《網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計（30頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第十單元第十單元通用安全原則與安全設(shè)計通用安全原則與安全設(shè)計 學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo) 描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則 使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案 了解網(wǎng)絡(luò)安全設(shè)計中的網(wǎng)絡(luò)拓樸結(jié)構(gòu)了解網(wǎng)絡(luò)安全設(shè)計中的網(wǎng)絡(luò)拓樸結(jié)構(gòu) 描述配線房的安全注意事項描述配線房的安全注意事項 描述無線網(wǎng)絡(luò)安全描述無線網(wǎng)絡(luò)安全 設(shè)計一個安全的網(wǎng)絡(luò)設(shè)計一個安全的網(wǎng)絡(luò) 通用的安全原則介紹通用的安全原則介紹 警惕所有的網(wǎng)絡(luò)活動警惕所有的網(wǎng)絡(luò)活動 必須要有一個安全策略必須要有一個安全策略 不要采用獨立使用的系統(tǒng)或技術(shù)不要采用獨立使用的系統(tǒng)

2、或技術(shù) 盡可能使損壞最小化盡可能使損壞最小化 部署全公司范圍內(nèi)的執(zhí)行策略部署全公司范圍內(nèi)的執(zhí)行策略 提供培訓(xùn)提供培訓(xùn) 使用完整的安全策略使用完整的安全策略 根據(jù)需求安置設(shè)備根據(jù)需求安置設(shè)備 確定業(yè)務(wù)問題確定業(yè)務(wù)問題 考慮物理安全性考慮物理安全性損害最小化損害最小化 兩種最小化損害的方法是：兩種最小化損害的方法是：采取嚴(yán)格的用戶訪問控制采取嚴(yán)格的用戶訪問控制 隔離操作系統(tǒng)組件隔離操作系統(tǒng)組件 安全策略是必須的安全策略是必須的 制定安全策略要記住以下關(guān)鍵點：制定安全策略要記住以下關(guān)鍵點：強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連續(xù)性。續(xù)性。當(dāng)對攻擊做出響應(yīng)的時

3、候，安全策略是第一個當(dāng)對攻擊做出響應(yīng)的時候，安全策略是第一個需要考慮的資源。需要考慮的資源。安全策略應(yīng)該可以進(jìn)行變動。有時，為了反映安全策略應(yīng)該可以進(jìn)行變動。有時，為了反映當(dāng)前業(yè)務(wù)的需求，策略將被更新。為了反映技當(dāng)前業(yè)務(wù)的需求，策略將被更新。為了反映技術(shù)的變化和改進(jìn)，策略也會被更新。術(shù)的變化和改進(jìn)，策略也會被更新。當(dāng)安全策略發(fā)生變化時，要讓所有的員工都知當(dāng)安全策略發(fā)生變化時，要讓所有的員工都知道這些變化很重要。他們還必須確認(rèn)了解這些道這些變化很重要。他們還必須確認(rèn)了解這些變化的本質(zhì)，并且同意遵守它們。通常，這個變化的本質(zhì)，并且同意遵守它們。通常，這個確認(rèn)應(yīng)該被書面記錄下來。確認(rèn)應(yīng)該被書面記錄下

4、來。不要采取獨立應(yīng)用的系統(tǒng)或技術(shù)不要采取獨立應(yīng)用的系統(tǒng)或技術(shù) 沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全面的保護(hù)以對付所有的威脅。在各個方面使用多種面的保護(hù)以對付所有的威脅。在各個方面使用多種技巧和技術(shù)的組合，可以避免單個技術(shù)的弱點，而技巧和技術(shù)的組合，可以避免單個技術(shù)的弱點，而能夠全面提高安全有效性。能夠全面提高安全有效性。校驗數(shù)據(jù)備份校驗數(shù)據(jù)備份 措施措施描述描述數(shù)據(jù)校驗讓所有的管理人員和中層管理人員確認(rèn)正確的數(shù)據(jù)已經(jīng)備份。還要對備份數(shù)據(jù)抽樣并將其恢復(fù)。介質(zhì)校驗保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。存儲地點校驗保證所有被存儲的數(shù)據(jù)放在一個安全的場所。

5、過程校驗如果數(shù)據(jù)需要從一個地點物理傳輸?shù)搅硪粋€地點，那么要采取措施保證數(shù)據(jù)確實被送到了新的地點。提供培訓(xùn)提供培訓(xùn) 終端用戶培訓(xùn)終端用戶培訓(xùn) 管理員培訓(xùn)管理員培訓(xùn) 高層管理人員高層管理人員實施設(shè)備需求評估審核實施設(shè)備需求評估審核 需求評估審核所涉及的步驟：需求評估審核所涉及的步驟：同管理層協(xié)商確定特殊需求。同管理層協(xié)商確定特殊需求。確定一種新技術(shù)將如何影響所有級別的終端用確定一種新技術(shù)將如何影響所有級別的終端用戶的日常工作。戶的日常工作。與管理層一起保證資金安全。與管理層一起保證資金安全。進(jìn)行研究工作進(jìn)行研究工作,確定適合組織機(jī)構(gòu)的產(chǎn)品。確定適合組織機(jī)構(gòu)的產(chǎn)品。研究網(wǎng)絡(luò)以保證新的解決方案在適合的

6、地點、研究網(wǎng)絡(luò)以保證新的解決方案在適合的地點、正確的時間被實現(xiàn)。正確的時間被實現(xiàn)。正確安置產(chǎn)品正確安置產(chǎn)品 安放設(shè)備的時候，必須采取下列步驟：安放設(shè)備的時候，必須采取下列步驟：在獨立的子網(wǎng)內(nèi)測試系統(tǒng)。在獨立的子網(wǎng)內(nèi)測試系統(tǒng)。即使你熟悉新近安裝的系統(tǒng)和網(wǎng)絡(luò)后臺程序/服務(wù)，也要確認(rèn)服務(wù)器和后臺程序以你希望的方式運(yùn)行。對系統(tǒng)使用漏洞掃描作為測試的一部分。對系統(tǒng)使用漏洞掃描作為測試的一部分。漏洞掃描能夠確定系統(tǒng)中是否有問題存在。有關(guān)這些掃描的更多內(nèi)容，將在后面章節(jié)中學(xué)習(xí)。在生產(chǎn)服務(wù)器上升級所有的圖表和文檔。在生產(chǎn)服務(wù)器上升級所有的圖表和文檔。確保將生產(chǎn)中的服務(wù)器保持當(dāng)前狀態(tài)，這樣能避免意外。安全措施對

7、業(yè)務(wù)的影響安全措施對業(yè)務(wù)的影響 安全措施也會以下列方式影響業(yè)務(wù)和用戶：安全措施也會以下列方式影響業(yè)務(wù)和用戶：成本的增加成本的增加 許多安全解決方案的費(fèi)用非常高。一個站點的防火墻許可證的費(fèi)用在5000美元到20000美元之間，或更高。即使是能夠支付這筆大額費(fèi)用的組織機(jī)構(gòu)也需要證明這些開銷是正確的。不方便之處不方便之處 新的程序的措施可能會使用戶覺得不方便，特別是那些經(jīng)常出差和遠(yuǎn)程工作的用戶。記住要讓用戶意識到：開始的時候會稍微有些不方便，但長遠(yuǎn)的好處是將節(jié)約他們的時間和保護(hù)公司安全?？紤]物理安全性考慮物理安全性 有關(guān)物理安全保護(hù)的問題包括：有關(guān)物理安全保護(hù)的問題包括：公司的防火墻是在一間上了鎖的

8、房間內(nèi)嗎？公公司的防火墻是在一間上了鎖的房間內(nèi)嗎？公司所有的服務(wù)器如何？司所有的服務(wù)器如何？網(wǎng)絡(luò)設(shè)備（如路由器、網(wǎng)絡(luò)設(shè)備（如路由器、WEBWEB服務(wù)器、服務(wù)器、FTPFTP服務(wù)器）服務(wù)器）被關(guān)嚴(yán)和監(jiān)控了嗎？被關(guān)嚴(yán)和監(jiān)控了嗎？有員工單獨在敏感區(qū)域工作嗎？有員工單獨在敏感區(qū)域工作嗎？人員維護(hù)人員維護(hù) 考慮下列問題：考慮下列問題：所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和其他工具是否安全？其他工具是否安全？公司是否有策略準(zhǔn)許員工在工作時監(jiān)控維護(hù)人公司是否有策略準(zhǔn)許員工在工作時監(jiān)控維護(hù)人員？員？監(jiān)督方法監(jiān)督方法 提高物理安全性的選擇包括：提高物理安全性的選擇包括：

9、用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。將服務(wù)器放置在有鎖的門后。將服務(wù)器放置在有鎖的門后。安裝視頻監(jiān)視設(shè)備。安裝視頻監(jiān)視設(shè)備。物理攻擊策略物理攻擊策略 超級更改超級更改 超級更改包括使用一個應(yīng)用程序或操作系統(tǒng)去讀取另一個操作系統(tǒng)中的信息。使用超級更改程序可以修改用戶帳號信息、讀文件或創(chuàng)建文件和目錄。結(jié)構(gòu)滲透結(jié)構(gòu)滲透 類型包括：從門樞卸掉帶鎖的門，然后進(jìn)入房間?；蛘咄蹈`，或者造一把新的，從而獲取房間的鑰匙。爬行通過人造天花板，進(jìn)入房間。網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)電源問題電源問題 大多數(shù)桌面大多數(shù)桌面UPSUPS提供有限的清潔電源，但是卻可能

10、提供有限的清潔電源，但是卻可能在發(fā)生斷電時的切換過程中造成延遲，而這可能會在發(fā)生斷電時的切換過程中造成延遲，而這可能會中斷對延時敏感的數(shù)據(jù)傳輸。中斷對延時敏感的數(shù)據(jù)傳輸。大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的“臟電臟電”，即電壓，即電壓可能起伏波動、不穩(wěn)定。對于像電子設(shè)備這類電源可能起伏波動、不穩(wěn)定。對于像電子設(shè)備這類電源敏感設(shè)備來說，這可能會造成問題。敏感設(shè)備來說，這可能會造成問題。POEPOE POEPOE即即Power Over EthernetPower Over Ethernet，以太網(wǎng)饋電適配器，以太網(wǎng)饋電適配器，適配器上提供適配器上提供3 3個接口，一個直流電源

11、接口，另外個接口，一個直流電源接口，另外兩個是兩個是RJ45RJ45接口。通過輸電適配器把電源轉(zhuǎn)接到五接口。通過輸電適配器把電源轉(zhuǎn)接到五類網(wǎng)線的輔助電源線對，在一條五類網(wǎng)線上集成數(shù)類網(wǎng)線的輔助電源線對，在一條五類網(wǎng)線上集成數(shù)據(jù)傳輸與供電功能，通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供據(jù)傳輸與供電功能，通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供電，而無需為這些設(shè)備單獨鋪設(shè)電源線。電，而無需為這些設(shè)備單獨鋪設(shè)電源線。線纜的選擇線纜的選擇 需要考慮的因素包括：需要考慮的因素包括：確定使用線纜的類別和布線的結(jié)構(gòu)。確定使用線纜的類別和布線的結(jié)構(gòu)。傳輸頻率與傳輸速率。傳輸頻率與傳輸速率。屏蔽與非屏蔽。屏蔽與非屏蔽?？闺姶鸥蓴_抗電磁干擾(

12、EMI)(EMI)的程度。的程度。系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。網(wǎng)絡(luò)要求的生命周期。網(wǎng)絡(luò)要求的生命周期。其它特性，如防火、防腐蝕等。其它特性，如防火、防腐蝕等。無線網(wǎng)絡(luò)安全問題無線網(wǎng)絡(luò)安全問題 對無線網(wǎng)絡(luò)的威脅主要包括：對無線網(wǎng)絡(luò)的威脅主要包括：偷聽傳輸?shù)臄?shù)據(jù)偷聽傳輸?shù)臄?shù)據(jù) 可能導(dǎo)致機(jī)密數(shù)據(jù)泄漏、曝光未保護(hù)的用戶憑據(jù)、身份被盜用等。中途截獲或修改傳輸數(shù)據(jù)中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪問網(wǎng)絡(luò)，他可接入惡意計算機(jī)來中途截獲、修改或延遲兩個合法方的通信。哄騙哄騙 現(xiàn)有網(wǎng)絡(luò)訪問允許惡意用戶使用在網(wǎng)絡(luò)外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù)（例如，哄騙的電子郵件消

13、息）。免費(fèi)下載免費(fèi)下載 入侵者還有可能利用您的網(wǎng)絡(luò)作為他自己訪問 Internet 的自由訪問點。拒絕服務(wù)拒絕服務(wù)(DoS)復(fù)雜的攻擊多是針對低層無線協(xié)議本身；不很復(fù)雜的攻擊則通過向 WLAN 發(fā)送大量的隨機(jī)數(shù)據(jù)而使網(wǎng)絡(luò)堵塞。實施無線網(wǎng)絡(luò)實施無線網(wǎng)絡(luò) 考慮以下安全措施：考慮以下安全措施：掌控信號覆蓋的范圍掌控信號覆蓋的范圍 啟用無線設(shè)備的安全功能啟用無線設(shè)備的安全功能 使用安全性高的部署方式使用安全性高的部署方式 使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件 無線加密協(xié)議無線加密協(xié)議(WEP)(WEP)和和IEEE 802.11iIEEE 802.11i WEP

14、(wired equivalent privacy)WEP(wired equivalent privacy)是一種以是一種以40 40 位位共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法，它可以對每一個企絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法，它可以對每一個企圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識別，同時對網(wǎng)絡(luò)圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識別，同時對網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行加密。傳輸內(nèi)容進(jìn)行加密。IEEE 802.11iIEEE 802.11i規(guī)定使用規(guī)定使用802.1x802.1x認(rèn)證和密鑰管理方式，認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了在數(shù)據(jù)加

15、密方面，定義了TKIPTKIP（Temporal Key Temporal Key Integrity ProtocolIntegrity Protocol）、）、CCMPCCMP（Counter-Counter-Mode/CBC-MAC ProtocolMode/CBC-MAC Protocol）和）和WRAPWRAP（Wireless Wireless Robust Authenticated ProtocolRobust Authenticated Protocol）三種加密機(jī)制。）三種加密機(jī)制。鞏固匯聚層網(wǎng)絡(luò)鞏固匯聚層網(wǎng)絡(luò) 對匯聚層網(wǎng)絡(luò)設(shè)備提出的安全建議主要有以下幾點：對匯聚層網(wǎng)絡(luò)設(shè)備

16、提出的安全建議主要有以下幾點：使用用戶認(rèn)證機(jī)制和安全密碼體系。使用用戶認(rèn)證機(jī)制和安全密碼體系。進(jìn)行進(jìn)行IPIP地址、地址、MACMAC地址、用戶名及卡號綁定。地址、用戶名及卡號綁定。配置訪問控制列表（配置訪問控制列表（ACLACL）、）、IPIP地址數(shù)量及連接地址數(shù)量及連接數(shù)的限制。數(shù)的限制。流量整形、擁塞控制、隊列調(diào)度及流量整形、擁塞控制、隊列調(diào)度及CARCAR等等QOSQOS保保障。障。進(jìn)行安全日志管理和流量監(jiān)控。進(jìn)行安全日志管理和流量監(jiān)控。應(yīng)用實例應(yīng)用實例 網(wǎng)絡(luò)系統(tǒng)及安全性分析網(wǎng)絡(luò)系統(tǒng)及安全性分析 網(wǎng)絡(luò)系統(tǒng)的安全性需求網(wǎng)絡(luò)系統(tǒng)的安全性需求 網(wǎng)絡(luò)安全整體解決方案的提出網(wǎng)絡(luò)安全整體解決方案的提出 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)典型企業(yè)的網(wǎng)絡(luò)安全實施拓?fù)鋱D典型企業(yè)的網(wǎng)絡(luò)安全實施拓?fù)鋱D 演講完畢，謝謝觀看！