构建安全网络培训教材课件

第14章构建安全网络学习目标：掌握网络的风险分析方法知道如何制定安全策略知道网络安全体系设计原则掌握如何设计安全解决方案第14章构建安全网络学习目标：114.1风险分析与安全策略一、网络安全计划制定步骤：确认保护什么考虑防止什么考虑这种威胁发生的可能性实施最经济有效的保护措施不断重复以上过程，不断完善计划14.1风险分析与安全策略一、网络安全计划制定步骤：2二、系统风险分析1、确定资产：硬件（计算机、路由器、存储设备）软件（操作系统、应用程序）数据（日志、数据库）人员（用户、管理员）文件（程序、文档）物资（纸张、表格）二、系统风险分析1、确定资产：32、确定威胁：物理威胁（地震、水灾、火灾、盗窃）网络平台威胁（服务器、路由器）系统安全威胁（WINDOWS、UNIX）应用安全威胁（QQ、EMAIL、电子商务）管理安全威胁（口令、泄露、下载）黑客攻击恶意代码不满员工2、确定威胁：物理威胁（地震、水灾、火43、网络信息安全模型加密授权认证审计政策、法律、法规3、网络信息安全模型加密授权认证审计政策、法律、法规54、网络的一般安全需求公开服务器的保护防止黑客从外部攻击入侵检测、监控信息审计、记录病毒防护数据安全保护（加密、备份）网络安全管理4、网络的一般安全需求公开服务器的保护65、设计和实现安全策略安全策略的作用：定义网络运作、管理的原则，是网络系统、应用软件、员工、访客应遵守的协议安全策略依据：安全需求、目标（对用户提供的服务）初始投资、后续投资使用方便、服务效率复杂度和安全性的平衡网络性能

5、设计和实现安全策略安全策略的作用：7安全策略的建立做什么？怎么做？7X24小时防止网络入侵7X24小时使用IDS防止网络入侵针对不同岗位职责划分层次：系统管理员、数据库管理员、安全管理员、普通用户安全策略的建立做什么？怎么做？8安全解决方案的构成要素完整的安全解决方案必须包含以下要素:物理保护-你在哪里?用户身份验证-你是谁?访问控制-哪些资源允许你使用?加密-哪些信息应当隐藏?管理-网络上发生了什么事情?安全解决方案的构成要素完整的安全解决方案必须包含以下要素:9新的安全问题基本策略管理检查策略研究寻求反馈检查过程草拟策略提议策略初稿法律检查最终策略方案批准、发布用户培训安全策略的制定流程确定关键人员新的安全问题基本策略管理检查策略研究寻求反馈检查过程草拟策略106、编写安全计划书总则（总体思路、任务）网络系统状况分析（结构、连接状态）网络系统安全风险分析（物理、平台、系统、应用、管理安全性）安全需求分析与安全策略的制定（需求、目标）方案总体设计（使用的安全机制、服务）体系结构设计安全系统的配置及实现6、编写安全计划书总则117、安全体系的设计原则

（1）需求、风险、代价平衡的原则（2）综合性、整体性原则（3）一致性原则（4）易操作性原则（5）适应性、灵活性（6）多重保护原则（7）分步实施原则（8）可评价原则7、安全体系的设计原则（1）需求、风险、代价平1214.2网络安全体系一、物理安全环境安全：机房设计规范、场地要求设备安全：防盗、防毁、电磁辐射传输介质安全：防盗、防毁、截获14.2网络安全体系一、物理安全13二、网络安全网络系统安全：（拓扑、路由）1、访问控制及内外网的隔离2、内网不同安全区域的隔离与访问控制3、网络安全检测4、审计与监控5、防病毒6、数据备份7、系统容错、网络冗余（负载平衡、镜像）二、网络安全网络系统安全：（拓扑、路由）14三、系统、信息、应用安全操作系统安全（配置、漏洞、检测）应用程序安全（认证、授权、审计、加密）数据安全（存储、传输、访问、备份）三、系统、信息、应用安全操作系统安全（配置、漏洞、检测）15四、安全管理安全管理原则：责任人原则任期有限职责分离管理实现：根据工作的重要程度，确定系统安全等级根据安全等级，确定安全管理范围制定机房出入管理制度、操作规程制定完备的系统维护制度、应急测试四、安全管理安全管理原则：1614.3网络安全性测试、评估一、安全测试使用扫描工具检测系统漏洞监视端口、网络流量、网络性能蜜罐系统发现问题，修改、投入运行，如此反复14.3网络安全性测试、评估一、安全测试17二、网络安全评估三个主要目标：存取的控制系统和数据的完整性系统恢复和数据备份二、网络安全评估三个主要目标：1814.4网络安全解决方案举例一、某银行的安全体系防火墙CA认证加密系统安全漏洞扫描和实时入侵检测严格的系统备份和管理制度14.4网络安全解决方案举例一、某银行的安全体系19二、某企业网的安全体系安全网络体系结构设计外部访问子网（外部拨号子网）公共资源子网内部用户子网（按照部门划分2级子网）网管、服务子网（WEB服务认证、加密）敏感资源子网二、某企业网的安全体系安全网络体系结构设计20因特网公共资源子网敏感资源子网管理及安全服务子网内部用户子网外部资源子网路由器IDS防火墙防火墙IDSIDS某企业的安全网络体系结构因特网公共资源子网敏感资源子网管理及安全服务子网内部用户子网21构建安全网络培训教材22中国国际电子商务网中国国际电子商务网23图1-1典型校园网络拓扑图

图1-1典型校园网络拓扑图24中国国际电子商务网标准体系

中国国际电子商务网标准体系25构建安全网络培训教材26网络安全组件防火墙系统入侵检测系统管理和监视系统（基本系统监控、安全设备监控、日志文件管理）安全认证系统其他安全应用程序网络安全组件防火墙系统27本章到此结束谢谢本章到此结束28构建安全网络培训教材29构建安全网络培训教材30演讲完毕，谢谢观看！演讲完毕，谢谢观看！31第14章构建安全网络学习目标：掌握网络的风险分析方法知道如何制定安全策略知道网络安全体系设计原则掌握如何设计安全解决方案第14章构建安全网络学习目标：3214.1风险分析与安全策略一、网络安全计划制定步骤：确认保护什么考虑防止什么考虑这种威胁发生的可能性实施最经济有效的保护措施不断重复以上过程，不断完善计划14.1风险分析与安全策略一、网络安全计划制定步骤：33二、系统风险分析1、确定资产：硬件（计算机、路由器、存储设备）软件（操作系统、应用程序）数据（日志、数据库）人员（用户、管理员）文件（程序、文档）物资（纸张、表格）二、系统风险分析1、确定资产：342、确定威胁：物理威胁（地震、水灾、火灾、盗窃）网络平台威胁（服务器、路由器）系统安全威胁（WINDOWS、UNIX）应用安全威胁（QQ、EMAIL、电子商务）管理安全威胁（口令、泄露、下载）黑客攻击恶意代码不满员工2、确定威胁：物理威胁（地震、水灾、火353、网络信息安全模型加密授权认证审计政策、法律、法规3、网络信息安全模型加密授权认证审计政策、法律、法规364、网络的一般安全需求公开服务器的保护防止黑客从外部攻击入侵检测、监控信息审计、记录病毒防护数据安全保护（加密、备份）网络安全管理4、网络的一般安全需求公开服务器的保护375、设计和实现安全策略安全策略的作用：定义网络运作、管理的原则，是网络系统、应用软件、员工、访客应遵守的协议安全策略依据：安全需求、目标（对用户提供的服务）初始投资、后续投资使用方便、服务效率复杂度和安全性的平衡网络性能

5、设计和实现安全策略安全策略的作用：38安全策略的建立做什么？怎么做？7X24小时防止网络入侵7X24小时使用IDS防止网络入侵针对不同岗位职责划分层次：系统管理员、数据库管理员、安全管理员、普通用户安全策略的建立做什么？怎么做？39安全解决方案的构成要素完整的安全解决方案必须包含以下要素:物理保护-你在哪里?用户身份验证-你是谁?访问控制-哪些资源允许你使用?加密-哪些信息应当隐藏?管理-网络上发生了什么事情?安全解决方案的构成要素完整的安全解决方案必须包含以下要素:40新的安全问题基本策略管理检查策略研究寻求反馈检查过程草拟策略提议策略初稿法律检查最终策略方案批准、发布用户培训安全策略的制定流程确定关键人员新的安全问题基本策略管理检查策略研究寻求反馈检查过程草拟策略416、编写安全计划书总则（总体思路、任务）网络系统状况分析（结构、连接状态）网络系统安全风险分析（物理、平台、系统、应用、管理安全性）安全需求分析与安全策略的制定（需求、目标）方案总体设计（使用的安全机制、服务）体系结构设计安全系统的配置及实现6、编写安全计划书总则427、安全体系的设计原则

（1）需求、风险、代价平衡的原则（2）综合性、整体性原则（3）一致性原则（4）易操作性原则（5）适应性、灵活性（6）多重保护原则（7）分步实施原则（8）可评价原则7、安全体系的设计原则（1）需求、风险、代价平4314.2网络安全体系一、物理安全环境安全：机房设计规范、场地要求设备安全：防盗、防毁、电磁辐射传输介质安全：防盗、防毁、截获14.2网络安全体系一、物理安全44二、网络安全网络系统安全：（拓扑、路由）1、访问控制及内外网的隔离2、内网不同安全区域的隔离与访问控制3、网络安全检测4、审计与监控5、防病毒6、数据备份7、系统容错、网络冗余（负载平衡、镜像）二、网络安全网络系统安全：（拓扑、路由）45三、系统、信息、应用安全操作系统安全（配置、漏洞、检测）应用程序安全（认证、授权、审计、加密）数据安全（存储、传输、访问、备份）三、系统、信息、应用安全操作系统安全（配置、漏洞、检测）46四、安全管理安全管理原则：责任人原则任期有限职责分离管理实现：根据工作的重要程度，确定系统安全等级根据安全等级，确定安全管理范围制定机房出入管理制度、操作规程制定完备的系统维护制度、应急测试四、安全管理安全管理原则：4714.3网络安全性测试、评估一、安全测试使用扫描工具检测系统漏洞监视端口、网络流量、网络性能蜜罐系统发现问题，修改、投入运行，如此反复14.3网络安全性测试、评估一、安全测试48二、网络安全评估三个主要目标：存取的控制系统和数据的完整性系统恢复和数据备份二、网络安全评估三个主要目标：4914.4网络安全解决方案举