信息安全解决方案.pptVIP

　　创建一种安全方案意味着设计一种如何处理计算机安全问题的计划，也就是尽力在黑客征服系统以前保护系统。 通常，设计一套安全方案涉及以下步骤: 　　(1) 网络安全需求分析。确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。　　(2) 确立合理的安全策略。　　(3) 制订可行的技术方案 ，包括工程实施方案(产品的选购与订制)、制订管理办法等。 第三十一页，共八十五页。 15.4.1 威胁分析　　威胁就是将会对资产造成不利影响的潜在的事件或行为，包括自然的、故意的以及偶然的情况。可以说威胁是不可避免的，我们必须采取有效的措施，以降低各种情况造成的威胁。　　1. 边界网络设备安全威胁　　边界网络设备面临的威胁主要有以下两点: 　　(1) 入侵者通过控制边界网络设备进一步了解网络拓扑结构，利用网络渗透搜集信息，为扩大网络入侵范围奠定基础。比如，入侵者可以利用这些网络设备的系统(Cisco的IOS)漏洞或者配置漏洞，实现对其控制。 第三十二页，共八十五页。 　　(2) 通过各种手段对网络设备实施拒绝服务攻击，使网络设备瘫痪，从而造成网络通信的瘫痪。　　2. 信息基础安全平台威胁　　信息基础平台主要是指支撑各种应用与业务运行的各种操作系统。操作系统主要有Windows系列与UNIX系统。相对边界网络设备来说，熟知操作系统的人员的范围要广得多，而且在网络上，很容易就能找到许多针对各种操作系统的漏洞的详细描述，所以，针对操作系统和数据库的入侵攻击在网络中也是最常见的。 第三十三页，共八十五页。 　　不管是什么操作系统，只要它运行于网络上，就必然会有或多或少的端口服务暴露在网络上，而这些端口服务又恰恰可能存在致命的安全漏洞，这无疑会给该系统带来严重的安全威胁，从而也给系统所在的网络带来很大的安全威胁。 第三十四页，共八十五页。 　　3. 内部网络的失误操作行为　　由于人员的技术水平的局限性以及经验的不足，可能会出现各种意想不到的操作失误，势必会对系统或者网络的安全产生较大的影响。　　4. 源自内部网络的恶意攻击与破坏　　据统计，有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显地弱于对于网络外部的安全防范，而且由于内部人员对于内部网络的熟悉程度一般是很高的，因此，由网络内部发起的攻击也就必然更容易成功， 一旦攻击成功，其强烈的攻击目的也就必然促成了更为隐蔽和严重的网络破坏。 第三十五页，共八十五页。 　　5. 网络病毒威胁　　在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点，网络病毒的这些新的特点都会对网络与应用造成极大的威胁。 第三十六页，共八十五页。 15.4.2 制订策略　　根据网络系统的实际安全需求，结合网络安全体系模型，建议采用如下网络安全防护措施。　　1. 访问控制　　建议在网络的各个入口处部署防火墙，对进入企业网络系统的网络用户进行访问控制，主要实现如下防护功能: 　　(1) 对网络用户进行身份验证，保证网络用户的合法性; 　　(2) 能够屏蔽流行的攻击手段; 　　(3) 对远程访问的用户提供通信线路的加密连接; 　　(4) 能提供完整的日志和审计功能。 第三十七页，共八十五页。 　　2. VPN防火墙系统　　防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据网络的安全政策控制(允许、拒绝、监测)出入网络的信息流。防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。　　并且防火墙本身具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。 第三十八页，共八十五页。 　　同时网络通信要对用户“透明”，部署带VPN功能的防火墙，可以同时实现 “虚拟”和“专用”的安全特性，充分利用已有公共网络基础设施的高效性。VPN实现的协议有IPSec、 L2F、L2TP、PPTP、MPPE、SSL等。其中互联网络层的安全标准是IPSec，事实证明，基于IPSec技术构建的VPN是应用最广、安全特性最完备的实现形式。 第三十九页，共八十五页。 　　3. 入侵检测系统　　在传统的网络安全概念里，似乎配置了防火墙就标志着网络的安全，其实不然，防火墙仅仅是部署在网络边界的安全设备，它的作用是防止外部的非法入侵，仅仅相当于计算机网络的第一道防线。虽然通过防火墙可以隔离大部分的外部攻击，但是仍然会有小部分攻击通过正常的访问的漏洞渗透到内部网络。另外，据统计，有70％以上的攻击事件来自内部网络，也就是说内部人员作案，而这恰恰是防火墙的