网络安全防护策略

大家好第12章网络安全策略2当前安全保密存在的主要问题1、安全保密意识淡薄，重建设、轻防护的现象比较突出；2、主要软、硬件依赖进口，泄密隐患严重；3、安全保密技术落后，防护能力低下；4、组织管理跟不上，缺乏宏观规划，规章制度也不健全、不严格。3目前信息系统面临的主要安全问题1、网络信息的安全问题。主要威胁有特洛伊木马程序、拒绝服务攻击、入侵、网络欺骗、信息窃取和病毒等。2、关键设备依赖进口的问题。隐含有后门。3、电磁辐射问题。4、保密意识问题。等泄密，介质丢失、被盗泄密等。4构造网络安全防范体系的策略?安全网络的总体策略总体策略是结合管理与技术两方面的因素，从宏观角度提出安全网络的策略，主要包括：1、管理与技术并重的策略->是安全策略的基本出发点2、整体安全防范策略3、多层次安全防范策略4、相对安全的策略5、投入与安全平衡的策略51、管理与技术并重的策略:管理是根本，技术是手段。即要建立起一套严格，完整的网络安全管理制度，又要建立起一套先进，完善的技术防范措施->是安全策略的基本出发点62、整体安全防范策略：安全体系的建立必须从全局出发，各站点应该从内部网络角度建立自己的保护措施，以防一点突破，危害全局；各站点在安全技术上应该协同配合，采用一些共同的安全技术组成一种整体联合的安全保障体系；不采用带有安全隐患的产品，技术；不提供带有安全隐患的服务还应制定一套各站点必须共同遵循的网络安全管理制度。73、多层次安全防范策略：充分考虑构成网络的各个组成元素：网络通信设备，网络传输设备、网络终端设备(用户PC、服务器等)和网络使用者，针对不同的网络组成部分制定层次化的安全策略，整合到一个完整的安全基础架构中84、相对安全的策略：克服一劳永逸的思想，明确系统的建设需要一个总体规划，分步实施，不断认识，不断发展的过程。5、投入与安全平衡的策略：在网络服务，安全保障和应用成本之间找到一个最佳平衡点。9构筑信息安全万里长城的提法是不切实际的1997年11月，美国CarnegieMellon大学R.J.Ellison等提出了生存网络系统(SurvivableNetworkSystem简称SNS)这一概念。SNS承认网络可被攻破并以此为前提对网络安全机制进行了重新思考。SNS以网络承担的任务(mission)为中心和出发点，对任务进行等级划分,进而确定哪些任务是在任何情况下都必须保证实现(基本任务),哪些任务是在网络恢复正常后才继续执行(非基本任务)10网络信息系统安全保密的目标 按照“先进、科学、可靠、适用”的标准，以“非法用户进不来，秘密信息取不走，网络基础摧不垮”为目标。11制定安全策略应该注意的问题：1、在定义安全策略前，首先回答如下问题：你试图保护哪些资源资源的重要程度可能存在的威胁资源防范的对象采取什么样的措施既能使资源得到保护又能使资源可用122、在此基础上，在设计过程中还应该注意以下几点原则：最小特权：薄弱环节:阻塞点：集中力量对有限的输入／输出点进行控制和监视。多层次防御：失败时的反应策略：133、在制定管理体制时，应注意以下几点：制定符合国家规定的网络安全保密管理办法规范信息安全等级和制定网络用户信息访问控制权限设定网络安全机构和部门安全保密管理人员建立网络安全事故的及时上报制度加强安全教育和培训工作，提高计算机人员的安全意识。14

安全策略的等级安全策略是由一组规则组成的，对系统中所有与安全相关元素的活动做一些限制性规定。安全策略可分为四个等级：

第一级

内部网络与外部网络不互连。如涉及国家机密或军事机密网络的安全系统。

第二级

只允许授权用户访问网络系统，其它的访问行为都被禁止；如银行、证券网络的安全系统。

第三级

除那些被明确禁止的网络访问行为之外，其它的一切行为都被允许；如很多的行业网络的安全系统。

第四级

所有一切都被允许，当然也就包括那些被禁止的。如INTERNET网络。

15针对需要较大安全性的区域网互联的系统而言，为了构建安全系统采用的安全策略可以从以下几个方面来考虑：对全系统安全性做统一规划，安全设备统一选型；以子网作为安全系统的基本单元；子网内的安全策略采用统一管理；子网内采取访问控制措施；子网负责安全审计跟踪与安全告警报告；子网间传输采取加密措施；整个系统采用统一的密钥管理措施；采取抗病毒侵略措施；采取防电磁辐射措施；采取一切技术与非技术手段保证系统安全运行。16网络安全机制数据加密机制访问控制机制数据完整性机制数字签名机制交换鉴别机制：通过互相交换信息的方式来确认双方彼此的身份，方法：口令鉴别、数据加密鉴别、实物属性鉴别。流量填充机制：用于对付窃听者的流量分析。路由控制机制：按用户意愿，控制信息流向公证机制：解决通信双方由于诚信问题产生的纠纷。17提高计算机在网络上的安全性 在联网的计算机上工作，操作者必须养成一些良好的安全习惯，否则很容易成为黑客或者一些人测试黑客工具的实验品。1）不要随便运行不太了解的程序。如“特洛伊木马”类黑客程序就需要骗你运行后，才能起到窃密作用。2）密码设置尽可能使用字母数字混排。保护重要信息的密码最好经常更换。3）不要随便运行黑客程序，有时会泄露你的密码信息。4）在使用过程中，如遇到系统的提交警告或要求提供密码等情况，要特别谨慎，最好先查看源代码，因为这很可能提一个黑客模拟的，目的是骗取你的密码。181）对计算机机房、终端室、数据库、控制中心应加强安全保卫，并设报警系统。2）对计算机房屏蔽，或配备干扰器，防止计算机的电磁波辐射和外来的干扰。3）对使用计算机的用户活动情况进行登记。特别是所使用的终端、上机时间、处理数据等，便于分析发现异常的情况。4）对重要的数据、文件应有备份，一旦发生窃密事件，可及时恢复原始数据。5）对在通讯线路上传播和在库中贮存的秘密数据进行加密，可由软件或硬件来实现。6）加强磁介质的抹除技术，防止数据被抹去后仍然从残存的信号中提取复原。对记录有重要信息的磁介质不得重新使用，应随数据一起销毁。计算机信息系统的安全保密措施19（八）网络相关法律法规（我国）（1）1989年，公安部发布了《计算机病毒控制规定（草案）》；（2）1991年，国务院常委会议通过《计算机软件保护条例》；（3）1994年2月18日，国务院发布《中华人民共和国计算机信息系统安全保护条例》；（4）1996年2月1日，国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》；（5）1997年5月20日，国务院信息化工作领导小组制定了《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》；（6）1997年，国务院信息化工作领导小组发布《中国互联网络域名注册暂行管理办法》、《中国互联网络域名注册实施细则》；