计算机网络工程单元7 网络安全的设计与实施.pptxVIP

单元2 网络需求调查与分析;目标导航;第7单元：;7.1 网络安全设计;网络安全设计原则;7.1.1 网络安全设计原则;　　2、网络安全防范体系框架结构;　　3、网络安全防范体系层次 （1）物理环境的安全性（物理层安全） （2）操作系统的安全性（系统层安全） （3）网络的安全性（网络层安全） （4）应用的安全性（应用层安全） （5）管理的安全性（管理层安全）;　　4、网络安全防范体系设计准则 （1）网络信息安全的木桶原则 （2）网络信息安全的整体性原则 （3）安全性评价与平衡原则 （4）标准化与一致性原则 （5）技术与管理相结合原则 （6）统筹规划，分步实施原则 （7）等级性原则 （8）动态发展原则 （9）易操作性原则; 1、计算机网络面临的威胁 （1）信息泄漏或丢失 （2）非授权访问 （3）拒绝服务攻击（DDOS） （4）破坏数据完事性 （5）利用网络传播病毒; 2、网络安全的主要技术 （1）防火墙技术 防火墙技术是网络应用最广泛的技术，是在被保护的Internet 与Internet 之间设起的一道屏障，是用于增强Internet 的安全性，是网络访问控制设备，用于确定哪些服务可以被Internet 上的用户访问，外部的哪些人可以访问内部的哪些服务以及哪些外部服务可以被内部人员访问。 （2）数据加密技术 1）数据传输加密技术 2）数据存储加密技术 3）数据完整性鉴别技术 4）密钥管理技术; （3）虚拟专用户技术（VPN 技术） VPN 技术就是在公共网络上建立专用网络，使数据通过安全的“加密通道”在网络上传播，在公共网络上构建VPN 有路由过滤技术和隧道技术。目前VPN 技术主要采用四项技术来保障安全，分别是：隧道技术、加解密技术、密匙管理技术和使用者与设备身份认证技术等。 （4）入侵检测系统 入侵检测系统是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和失误操作的实时保护，能在网络系统受到危害之前拦截相应入侵，是当前网络安全技术研究的一个热点入侵检测系统的主要功能是能检测阻止内外部不发分子对系统的入侵，从而加以阻止、封闭。; （5）数字签名技术 数字签名（Digital Signature），就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造。 （6）认证技术 目前的认证技术有对用户的认证和对消息的认证两种方式。用户认证用于鉴别用户的身份是否是合法用户；消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改的消息，也可以验证消息的顺序和及时性。; 网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。 1．病毒防范 （1）采用多层的病毒防卫体系。 （2）选择合适的防病毒产品 2．黑客防范 （1）应用防火墙技术，控制访问权限，实现网络安全集中管理 （2）应用入侵检测技术保护网络与主机资源，防止内外网攻击; 网络入侵检测系统应具备如下特点： 1）可精确判断入侵事件 2）可判断应用层的入侵事件 3）对入侵可以立即进行反应 4）全方位的监控与保护 5）针对不同操作系统特点 3．应用安全扫描技术主动探测网络安全漏洞，进行网络安全评估 4．应用网站实时监控与恢复系统，实现网站安全可靠的运行; 5．应用网络安全紧急响应体系，防范安全突发事件 紧急响应的目标： （1）故障定位及排除 （2）预防问题 （3）优化性能 ; 简化的网络安全设计过程： （1）网络安全需求分析 （2）确立合理的目标基线和安全策略 （3）明确准备付出的代价 （4）制定可行的技术方案 （5）工程实施方案（产品的选购与定制） （6）制定配套的法规、条例和管理办法 （7）从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全; 简化的网络安全设计过程： （1）网络安全需求分析 （2）确立合理的目标基线和安全策略 （3）明确准备付出的代价 （4）制定可行的技术方案 （5）工程实施方案（产品的选购与定制） （6）制定配套的法规、条例和管理办法 （7）从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全; 参