網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)

第十單元第十單元通用安全原則與安全設(shè)計(jì)通用安全原則與安全設(shè)計(jì) 學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo) 描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則 使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案 了解網(wǎng)絡(luò)安全設(shè)計(jì)中的網(wǎng)絡(luò)拓樸結(jié)構(gòu)了解網(wǎng)絡(luò)安全設(shè)計(jì)中的網(wǎng)絡(luò)拓樸結(jié)構(gòu) 描述配線房的安全注意事項(xiàng)描述配線房的安全注意事項(xiàng) 描述無線網(wǎng)絡(luò)安全描述無線網(wǎng)絡(luò)安全 設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò)設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò) 通用的安全原則介紹通用的安全原則介紹 警惕所有的網(wǎng)絡(luò)活動(dòng)警惕所有的網(wǎng)絡(luò)活動(dòng) 必須要有一個(gè)安全策略必須要有一個(gè)安全策略 不要采用獨(dú)立使用的系統(tǒng)或技術(shù)不要采用獨(dú)立使用的系統(tǒng)或技術(shù) 盡可能使損壞最小化盡可能使損壞最小化 部署全公司范圍內(nèi)的執(zhí)行策略部署全公司范圍內(nèi)的執(zhí)行策略 提供培訓(xùn)提供培訓(xùn) 使用完整的安全策略使用完整的安全策略 根據(jù)需求安置設(shè)備根據(jù)需求安置設(shè)備 確定業(yè)務(wù)問題確定業(yè)務(wù)問題 考慮物理安全性考慮物理安全性損害最小化損害最小化 兩種最小化損害的方法是：兩種最小化損害的方法是：采取嚴(yán)格的用戶訪問控制采取嚴(yán)格的用戶訪問控制 隔離操作系統(tǒng)組件隔離操作系統(tǒng)組件 安全策略是必須的安全策略是必須的 制定安全策略要記住以下關(guān)鍵點(diǎn)：制定安全策略要記住以下關(guān)鍵點(diǎn)：強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連續(xù)性。續(xù)性。當(dāng)對(duì)攻擊做出響應(yīng)的時(shí)候，安全策略是第一個(gè)當(dāng)對(duì)攻擊做出響應(yīng)的時(shí)候，安全策略是第一個(gè)需要考慮的資源。需要考慮的資源。安全策略應(yīng)該可以進(jìn)行變動(dòng)。有時(shí)，為了反映安全策略應(yīng)該可以進(jìn)行變動(dòng)。有時(shí)，為了反映當(dāng)前業(yè)務(wù)的需求，策略將被更新。為了反映技當(dāng)前業(yè)務(wù)的需求，策略將被更新。為了反映技術(shù)的變化和改進(jìn)，策略也會(huì)被更新。術(shù)的變化和改進(jìn)，策略也會(huì)被更新。當(dāng)安全策略發(fā)生變化時(shí)，要讓所有的員工都知當(dāng)安全策略發(fā)生變化時(shí)，要讓所有的員工都知道這些變化很重要。他們還必須確認(rèn)了解這些道這些變化很重要。他們還必須確認(rèn)了解這些變化的本質(zhì)，并且同意遵守它們。通常，這個(gè)變化的本質(zhì)，并且同意遵守它們。通常，這個(gè)確認(rèn)應(yīng)該被書面記錄下來。確認(rèn)應(yīng)該被書面記錄下來。不要采取獨(dú)立應(yīng)用的系統(tǒng)或技術(shù)不要采取獨(dú)立應(yīng)用的系統(tǒng)或技術(shù) 沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全面的保護(hù)以對(duì)付所有的威脅。在各個(gè)方面使用多種面的保護(hù)以對(duì)付所有的威脅。在各個(gè)方面使用多種技巧和技術(shù)的組合，可以避免單個(gè)技術(shù)的弱點(diǎn)，而技巧和技術(shù)的組合，可以避免單個(gè)技術(shù)的弱點(diǎn)，而能夠全面提高安全有效性。能夠全面提高安全有效性。校驗(yàn)數(shù)據(jù)備份校驗(yàn)數(shù)據(jù)備份 措施措施描述描述數(shù)據(jù)校驗(yàn)讓所有的管理人員和中層管理人員確認(rèn)正確的數(shù)據(jù)已經(jīng)備份。還要對(duì)備份數(shù)據(jù)抽樣并將其恢復(fù)。介質(zhì)校驗(yàn)保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。存儲(chǔ)地點(diǎn)校驗(yàn)保證所有被存儲(chǔ)的數(shù)據(jù)放在一個(gè)安全的場(chǎng)所。過程校驗(yàn)如果數(shù)據(jù)需要從一個(gè)地點(diǎn)物理傳輸?shù)搅硪粋€(gè)地點(diǎn)，那么要采取措施保證數(shù)據(jù)確實(shí)被送到了新的地點(diǎn)。提供培訓(xùn)提供培訓(xùn) 終端用戶培訓(xùn)終端用戶培訓(xùn) 管理員培訓(xùn)管理員培訓(xùn) 高層管理人員高層管理人員實(shí)施設(shè)備需求評(píng)估審核實(shí)施設(shè)備需求評(píng)估審核 需求評(píng)估審核所涉及的步驟：需求評(píng)估審核所涉及的步驟：同管理層協(xié)商確定特殊需求。同管理層協(xié)商確定特殊需求。確定一種新技術(shù)將如何影響所有級(jí)別的終端用確定一種新技術(shù)將如何影響所有級(jí)別的終端用戶的日常工作。戶的日常工作。與管理層一起保證資金安全。與管理層一起保證資金安全。進(jìn)行研究工作進(jìn)行研究工作,確定適合組織機(jī)構(gòu)的產(chǎn)品。確定適合組織機(jī)構(gòu)的產(chǎn)品。研究網(wǎng)絡(luò)以保證新的解決方案在適合的地點(diǎn)、研究網(wǎng)絡(luò)以保證新的解決方案在適合的地點(diǎn)、正確的時(shí)間被實(shí)現(xiàn)。正確的時(shí)間被實(shí)現(xiàn)。正確安置產(chǎn)品正確安置產(chǎn)品 安放設(shè)備的時(shí)候，必須采取下列步驟：安放設(shè)備的時(shí)候，必須采取下列步驟：在獨(dú)立的子網(wǎng)內(nèi)測(cè)試系統(tǒng)。在獨(dú)立的子網(wǎng)內(nèi)測(cè)試系統(tǒng)。即使你熟悉新近安裝的系統(tǒng)和網(wǎng)絡(luò)后臺(tái)程序/服務(wù)，也要確認(rèn)服務(wù)器和后臺(tái)程序以你希望的方式運(yùn)行。對(duì)系統(tǒng)使用漏洞掃描作為測(cè)試的一部分。對(duì)系統(tǒng)使用漏洞掃描作為測(cè)試的一部分。漏洞掃描能夠確定系統(tǒng)中是否有問題存在。有關(guān)這些掃描的更多內(nèi)容，將在后面章節(jié)中學(xué)習(xí)。在生產(chǎn)服務(wù)器上升級(jí)所有的圖表和文檔。在生產(chǎn)服務(wù)器上升級(jí)所有的圖表和文檔。確保將生產(chǎn)中的服務(wù)器保持當(dāng)前狀態(tài)，這樣能避免意外。安全措施對(duì)業(yè)務(wù)的影響安全措施對(duì)業(yè)務(wù)的影響 安全措施也會(huì)以下列方式影響業(yè)務(wù)和用戶：安全措施也會(huì)以下列方式影響業(yè)務(wù)和用戶：成本的增加成本的增加 許多安全解決方案的費(fèi)用非常高。一個(gè)站點(diǎn)的防火墻許可證的費(fèi)用在5000美元到20000美元之間，或更高。即使是能夠支付這筆大額費(fèi)用的組織機(jī)構(gòu)也需要證明這些開銷是正確的。不方便之處不方便之處 新的程序的措施可能會(huì)使用戶覺得不方便，特別是那些經(jīng)常出差和遠(yuǎn)程工作的用戶。記住要讓用戶意識(shí)到：開始的時(shí)候會(huì)稍微有些不方便，但長(zhǎng)遠(yuǎn)的好處是將節(jié)約他們的時(shí)間和保護(hù)公司安全。考慮物理安全性考慮物理安全性 有關(guān)物理安全保護(hù)的問題包括：有關(guān)物理安全保護(hù)的問題包括：公司的防火墻是在一間上了鎖的房間內(nèi)嗎？公公司的防火墻是在一間上了鎖的房間內(nèi)嗎？公司所有的服務(wù)器如何？司所有的服務(wù)器如何？網(wǎng)絡(luò)設(shè)備（如路由器、網(wǎng)絡(luò)設(shè)備（如路由器、WEBWEB服務(wù)器、服務(wù)器、FTPFTP服務(wù)器）服務(wù)器）被關(guān)嚴(yán)和監(jiān)控了嗎？被關(guān)嚴(yán)和監(jiān)控了嗎？有員工單獨(dú)在敏感區(qū)域工作嗎？有員工單獨(dú)在敏感區(qū)域工作嗎？人員維護(hù)人員維護(hù) 考慮下列問題：考慮下列問題：所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和其他工具是否安全？其他工具是否安全？公司是否有策略準(zhǔn)許員工在工作時(shí)監(jiān)控維護(hù)人公司是否有策略準(zhǔn)許員工在工作時(shí)監(jiān)控維護(hù)人員？員？監(jiān)督方法監(jiān)督方法 提高物理安全性的選擇包括：提高物理安全性的選擇包括：用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。將服務(wù)器放置在有鎖的門后。將服務(wù)器放置在有鎖的門后。安裝視頻監(jiān)視設(shè)備。安裝視頻監(jiān)視設(shè)備。物理攻擊策略物理攻擊策略 超級(jí)更改超級(jí)更改 超級(jí)更改包括使用一個(gè)應(yīng)用程序或操作系統(tǒng)去讀取另一個(gè)操作系統(tǒng)中的信息。使用超級(jí)更改程序可以修改用戶帳號(hào)信息、讀文件或創(chuàng)建文件和目錄。結(jié)構(gòu)滲透結(jié)構(gòu)滲透 類型包括：從門樞卸掉帶鎖的門，然后進(jìn)入房間?；蛘咄蹈`，或者造一把新的，從而獲取房間的鑰匙。爬行通過人造天花板，進(jìn)入房間。網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)電源問題電源問題 大多數(shù)桌面大多數(shù)桌面UPSUPS提供有限的清潔電源，但是卻可能提供有限的清潔電源，但是卻可能在發(fā)生斷電時(shí)的切換過程中造成延遲，而這可能會(huì)在發(fā)生斷電時(shí)的切換過程中造成延遲，而這可能會(huì)中斷對(duì)延時(shí)敏感的數(shù)據(jù)傳輸。中斷對(duì)延時(shí)敏感的數(shù)據(jù)傳輸。大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的“臟電臟電”，即電壓，即電壓可能起伏波動(dòng)、不穩(wěn)定。對(duì)于像電子設(shè)備這類電源可能起伏波動(dòng)、不穩(wěn)定。對(duì)于像電子設(shè)備這類電源敏感設(shè)備來說，這可能會(huì)造成問題。敏感設(shè)備來說，這可能會(huì)造成問題。POEPOE POEPOE即即Power Over EthernetPower Over Ethernet，以太網(wǎng)饋電適配器，以太網(wǎng)饋電適配器，適配器上提供適配器上提供3 3個(gè)接口，一個(gè)直流電源接口，另外個(gè)接口，一個(gè)直流電源接口，另外兩個(gè)是兩個(gè)是RJ45RJ45接口。通過輸電適配器把電源轉(zhuǎn)接到五接口。通過輸電適配器把電源轉(zhuǎn)接到五類網(wǎng)線的輔助電源線對(duì)，在一條五類網(wǎng)線上集成數(shù)類網(wǎng)線的輔助電源線對(duì)，在一條五類網(wǎng)線上集成數(shù)據(jù)傳輸與供電功能，通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供據(jù)傳輸與供電功能，通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供電，而無需為這些設(shè)備單獨(dú)鋪設(shè)電源線。電，而無需為這些設(shè)備單獨(dú)鋪設(shè)電源線。線纜的選擇線纜的選擇 需要考慮的因素包括：需要考慮的因素包括：確定使用線纜的類別和布線的結(jié)構(gòu)。確定使用線纜的類別和布線的結(jié)構(gòu)。傳輸頻率與傳輸速率。傳輸頻率與傳輸速率。屏蔽與非屏蔽。屏蔽與非屏蔽?？闺姶鸥蓴_抗電磁干擾(EMI)(EMI)的程度。的程度。系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。網(wǎng)絡(luò)要求的生命周期。網(wǎng)絡(luò)要求的生命周期。其它特性，如防火、防腐蝕等。其它特性，如防火、防腐蝕等。無線網(wǎng)絡(luò)安全問題無線網(wǎng)絡(luò)安全問題 對(duì)無線網(wǎng)絡(luò)的威脅主要包括：對(duì)無線網(wǎng)絡(luò)的威脅主要包括：偷聽傳輸?shù)臄?shù)據(jù)偷聽傳輸?shù)臄?shù)據(jù) 可能導(dǎo)致機(jī)密數(shù)據(jù)泄漏、曝光未保護(hù)的用戶憑據(jù)、身份被盜用等。中途截獲或修改傳輸數(shù)據(jù)中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪問網(wǎng)絡(luò)，他可接入惡意計(jì)算機(jī)來中途截獲、修改或延遲兩個(gè)合法方的通信。哄騙哄騙 現(xiàn)有網(wǎng)絡(luò)訪問允許惡意用戶使用在網(wǎng)絡(luò)外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù)（例如，哄騙的電子郵件消息）。免費(fèi)下載免費(fèi)下載 入侵者還有可能利用您的網(wǎng)絡(luò)作為他自己訪問 Internet 的自由訪問點(diǎn)。拒絕服務(wù)拒絕服務(wù)(DoS)復(fù)雜的攻擊多是針對(duì)低層無線協(xié)議本身；不很復(fù)雜的攻擊則通過向 WLAN 發(fā)送大量的隨機(jī)數(shù)據(jù)而使網(wǎng)絡(luò)堵塞。實(shí)施無線網(wǎng)絡(luò)實(shí)施無線網(wǎng)絡(luò) 考慮以下安全措施：考慮以下安全措施：掌控信號(hào)覆蓋的范圍掌控信號(hào)覆蓋的范圍 啟用無線設(shè)備的安全功能啟用無線設(shè)備的安全功能 使用安全性高的部署方式使用安全性高的部署方式 使用一些針對(duì)無線網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)軟件使用一些針對(duì)無線網(wǎng)絡(luò)環(huán)境的入侵檢測(cè)軟件 無線加密協(xié)議無線加密協(xié)議(WEP)(WEP)和和IEEE 802.11iIEEE 802.11i WEP(wired equivalent privacy)WEP(wired equivalent privacy)是一種以是一種以40 40 位位共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法，它可以對(duì)每一個(gè)企絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法，它可以對(duì)每一個(gè)企圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識(shí)別，同時(shí)對(duì)網(wǎng)絡(luò)圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識(shí)別，同時(shí)對(duì)網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行加密。傳輸內(nèi)容進(jìn)行加密。IEEE 802.11iIEEE 802.11i規(guī)定使用規(guī)定使用802.1x802.1x認(rèn)證和密鑰管理方式，認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了在數(shù)據(jù)加密方面，定義了TKIPTKIP（Temporal Key Temporal Key Integrity ProtocolIntegrity Protocol）、）、CCMPCCMP（Counter-Counter-Mode/CBC-MAC ProtocolMode/CBC-MAC Protocol）和）和WRAPWRAP（Wireless Wireless Robust Authenticated ProtocolRobust Authenticated Protocol）三種加密機(jī)制。）三種加密機(jī)制。鞏固匯聚層網(wǎng)絡(luò)鞏固匯聚層網(wǎng)絡(luò) 對(duì)匯聚層網(wǎng)絡(luò)設(shè)備提出的安全建議主要有以下幾點(diǎn)：對(duì)匯聚層網(wǎng)絡(luò)設(shè)備提出的安全建議主要有以下幾點(diǎn)：使用用戶認(rèn)證機(jī)制和安全密碼體系。使用用戶認(rèn)證機(jī)制和安全密碼體系。進(jìn)行進(jìn)行IPIP地址、地址、MACMAC地址、用戶名及卡號(hào)綁定。地址、用戶名及卡號(hào)綁定。配置訪問控制列表（配置訪問控制列表（ACLACL）、）、IPIP地址數(shù)量及連接地址數(shù)量及連接數(shù)的限制。數(shù)的限制。流量整形、擁塞控制、隊(duì)列調(diào)度及流量整形、擁塞控制、隊(duì)列調(diào)度及CARCAR等等QOSQOS保保障。障。進(jìn)行安全日志管理和流量監(jiān)控。進(jìn)行安全日志管理和流量監(jiān)控。應(yīng)用實(shí)例應(yīng)用實(shí)例 網(wǎng)絡(luò)系統(tǒng)及安全性分析網(wǎng)絡(luò)系統(tǒng)及安全性分析 網(wǎng)絡(luò)系統(tǒng)的安全性需求網(wǎng)絡(luò)系統(tǒng)的安全性需求 網(wǎng)絡(luò)安全整體解決方案的提出網(wǎng)絡(luò)安全整體解決方案的提出 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)典型企業(yè)的網(wǎng)絡(luò)安全實(shí)施拓?fù)鋱D典型企業(yè)的網(wǎng)絡(luò)安全實(shí)施拓?fù)鋱D 演講完畢，謝謝觀看！