网络安全基础设施设计原理.pptxVIP

第18章 安全基础设施设计原理;18.7 基础设施目录服务 18.8 信息系统安全工程 18.9 本章小结 习题;一个安全基础设施应提供很多安全组件的协同使用，其体系结构可改进整个的安全特性，而不仅是各个安全组件的特性。使用这个定义，可推论出安全基础设施的设计和特性。;以防火墙为例，使用防火墙可以很好地实施安全策略，但是，如果它不能和体系结构中的其他组件很好地连接，就不能构成一个安全基础设施。例如，这个防火墙不能和安全基础设施的其他方面互相联系、互相作用，那它只是一个安全组件，而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再如，假如从防火墙能发送报警至事件管理站，由事件管理站处理成通知网络运行中心（Network Operations Center, NOC）的报警，那么，防火墙可能成为基础设施的一部分。;反之，如防火墙本身做得很好，其屏幕可显示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何组件，那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道（VPN）等组件协同作用，就能设计成一个基本的安全基础设施。;安全基础设施的主要组成有4部分：网络、平台、物理设施、处理过程。 网络类包括防火墙、路由器、交换机、远程访问设备（如VPN和拨号modem池）以及基于网络的入侵检测，它们分别在整个安全设计中增加某些安全特性。这些组件通