网络安全和防火墙 第部分 通用安全原则与安全设计.pptVIP

@2006 VCampus Corporation All Rights Reserved. 第十单元 通用安全原则与安全设计 学习目标 描述有效的网络安全的通用指导方针和原则 使用通用的指导方针来建立有效的、详细的方案 了解网络安全设计中的网络拓朴结构 描述配线房的安全注意事项 描述无线网络安全 设计一个安全的网络 通用的安全原则介绍 警惕所有的网络活动 必须要有一个安全策略 不要采用独立使用的系统或技术 尽可能使损坏最小化 部署全公司范围内的执行策略 提供培训 使用完整的安全策略 根据需求安置设备 确定业务问题 考虑物理安全性 损害最小化 两种最小化损害的方法是： 采取严格的用户访问控制 隔离操作系统组件 安全策略是必须的 制定安全策略要记住以下关键点： 强制执行的安全策略能提供贯穿组织机构的连续性。 当对攻击做出响应的时候，安全策略是第一个需要考虑的资源。 安全策略应该可以进行变动。有时，为了反映当前业务的需求，策略将被更新。为了反映技术的变化和改进，策略也会被更新。 当安全策略发生变化时，要让所有的员工都知道这些变化很重要。他们还必须确认了解这些变化的本质，并且同意遵守它们。通常，这个确认应该被书面记录下来。 不要采取独立应用的系统或技术 没有一种通用的产品、技术或解决方案能够提供全面的保护以对付所有的威胁。在各个方面使用多种技巧和技术的组合，可以避免单个技术的弱点，而能够全面提高安全有效性。 校验数据备份 措施 描述 数据校验 让所有的管理人员和中层管理人员确认正确的数据已经备份。 还要对备份数据抽样并将其恢复。 介质校验 保证用来备份数据的介质是可靠的。 存储地点校验 保证所有被存储的数据放在一个安全的场所。 过程校验 如果数据需要从一个地点物理传输到另一个地点，那么要采取 措施保证数据确实被送到了新的地点。 提供培训 终端用户培训 管理员培训 高层管理人员 实施设备需求评估审核 需求评估审核所涉及的步骤： 同管理层协商确定特殊需求。 确定一种新技术将如何影响所有级别的终端用户的日常工作。 与管理层一起保证资金安全。 进行研究工作,确定适合组织机构的产品。 研究网络以保证新的解决方案在适合的地点、正确的时间被实现。 正确安置产品 安放设备的时候，必须采取下列步骤： 在独立的子网内测试系统。即使你熟悉新近安装的系统和网络后台程序/服务，也要确认服务器和后台程序以你希望的方式运行。 对系统使用漏洞扫描作为测试的一部分。漏洞扫描能够确定系统中是否有问题存在。有关这些扫描的更多内容，将在后面章节中学习。 在生产服务器上升级所有的图表和文档。确保将生产中的服务器保持当前状态，这样能避免意外。 安全措施对业务的影响 安全措施也会以下列方式影响业务和用户： 成本的增加 许多安全解决方案的费用非常高。一个站点的防火墙许可证的费用在5000美元到20000美元之间，或更高。即使是能够支付这笔大额费用的组织机构也需要证明这些开销是正确的。 不方便之处 新的程序的措施可能会使用户觉得不方便，特别是那些经常出差和远程工作的用户。记住要让用户意识到：开始的时候会稍微有些不方便，但长远的好处是将节约他们的时间和保护公司安全。 考虑物理安全性 有关物理安全保护的问题包括： 公司的防火墙是在一间上了锁的房间内吗？公司所有的服务器如何？ 网络设备（如路由器、WEB服务器、FTP服务器）被关严和监控了吗？ 有员工单独在敏感区域工作吗？ 人员维护 考虑下列问题： 所有允许工作人员进入系统的钥匙、通行证和其他工具是否安全？ 公司是否有策略准许员工在工作时监控维护人员？ 监督方法 提高物理安全性的选择包括： 用数字门卡替换标准的锁。 将服务器放置在有锁的门后。 安装视频监视设备。 物理攻击策略 超级更改 超级更改包括使用一个应用程序或操作系统去读取另一个操作系统中的信息。使用超级更改程序可以修改用户帐号信息、读文件或创建文件和目录。 结构渗透 类型包括： 从门枢卸掉带锁的门，然后进入房间。 或者偷窃，或者造一把新的，从而获取房间的钥匙。 爬行通过人造天花板，进入房间。 网络拓朴结构 网络拓朴结构 网络拓朴结构 电源问题 大多数桌面UPS提供有限的清洁电源，但是却可能在发生断电时的切换过程中造成延迟，而这可能会中断对延时敏感的数据传输。 大多数发电机发出的都是所谓的“脏电”，即电压可能起伏波动、不稳定。对于像电子设备这类电源敏感设备来说，这可能会造成问题。 POE POE即Power Over Ethernet，以太网馈电适配器，适配器上提供3个接口，一个直流电源接口，另外两个是RJ45接口。通过输电适配器把电源转接到五类网线的辅助电源线对，在一条五类网线上集成数据传输与供电功能，通过网线就可以向网络设备供电，而无需为这些