搜索
《网络安全技术》教案(第8章)《网络安全技术》教案(第8章)教学内容第8章网络安全解决方案教材章节8.1~8.2教学周次第15周教学课时1授课对象计算机科学与技术教学环境多媒体教室教学目标掌握网络安全方案的基本概念;了解编写网络安全方案时应注意的问题;掌握评价网络安全方案的方法;掌握如何根据需求编写完整的网络安全的解决方案。教学内容1.网络安全方案概念。2.网络安全方案框架。教学重点1.网络安全方案设计的注意点。2.网络安全方案评价标准。3.网络安全方案的框架。教学难点网络安全方案设计。教学过程本章分1次讲述,共1学时,讲授思路和过程如下:1.以“顶联校园网网络安全解决方案”案例为向导,介绍网络安全方案的相关问题。2.首先分析案例,重点从设计内容、基本框架等方面进行介绍。3.然后介绍设计网络安全方案应该注意的问题,介绍如何评价网络安全方案的质量。4.最后介绍网络安全方案的框架和编写方案的基本思路及方法。注:所有问题的介绍均以案例为指导。作业与要求作业内容:1.P265,13、4、7。2.分组调查、设计方案。要求:1.以真实单位为背景进行设计。2.撰写并提交方案。备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。7.1网络安全方案概述第8章网络安全解决方案7.1网络安全方案概述网络安全方案可以认为是一张施工的图纸,图纸的好坏,直接影响到工程的质量。总的来说,网络安全方案涉及的内容比较多,比较广,比较专业和实际。7.1.1网络安全方案设计的注意点对于一名从事网络安全的人来说,网络必须有一个整体、动态的安全概念。总的来说,就是要在整个项目中,有一种总体把握的能力,不能只关注自己熟悉的某一领域,而对其他领域毫不关心,甚至不理解,这样写不出一份好的安全方案。因为写出来的方案,就是要针对用户所遇到的问题,运用产品和技术解决问题。设计人员只有对安全技术了解的很深,对产品了解的很深,写出来的方案才能接近用户的要求。一个好的安全方案不仅仅要考虑到技术,还要考虑到策略和管理。技术是关键,策略是核心,管理是保证。在方案中,始终要体现出这三方面的关系。在设计方案时,一定要了解用户实际网络系统环境,对当前可能遇到的安全风险和威胁做一个量化和评估,这样才能写出一份客观的解决方案。好的方案是一个安全项目中很重要的部分,是项目实施的基础和依据。在设计网络安全方案时,动态安全是一个很重要的概念,也是网络安全方案与其他项目方案的最大区别。所谓的动态安全,就是随着环境的变化和时间的推移,这个系统的安全性会发生变化,变得不安全,所以在设计方案时,不仅要考虑到现在的情况,也要考虑到将来的情况,用一种动态的方式来考虑,做到项目的实施既能考虑到现在的情况,也能很好地适应以后网络系统的升级,留出一个比较好的升级接口。网络安全没有绝对的安全,只有相对的安全。在设计网络安全方案时,必须清楚这一点,以一种客观的态度来写,不夸大也不缩小,写得实实在在,让人信服接收。由于时间和空间不断发生作用,安全是没有绝对的,不管在设计还是在实施的时候,想得多完善,做得多严密,都不能达到绝对安全。所以在方案中应该告诉用户,只能做到避免风险,而不能做到消灭风险。7.1.2评价网络安全方案的质量在实际工作中,怎样才能写出高质量、高水平的安全方案?只要抓住重点,理解安全概念和安全过程,基本就可以做到。一份网络安全方案需要从以下8个方面来把握。1体现惟一性由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准。实际中,每一个特定网络都是唯一的,需要根据实际情况来处理。2理解安全技术和安全风险对安全技术和安全风险有一个综合把握和理解,包括现在和将来可能出现的所有情况。《网络安全技术》教案(第8章)3准确评估安全风险和安全威胁对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适、中肯的评估,既不夸大,也不缩小。4对症下药用相应的安全产品、安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力。5体现服务支持方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术,都将会体现在服务中,服务来保证质量、服务来提高质量。6把握系统在设计方案的时候,要明白网络系统安全是一个动态的、整体的、专业的工程,不能一步到位解决用户所有的问题。7注意与用户的沟通方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。8方案中所涉及的产品和技术,都要经得起验证、推敲和实施,要有理论根据,要有实际基础。7.2网络安全方案网络安全方案涉及哪些内容,这可能是同学们最关心的。但要编写出满足用户需求的、比较有效的网络安全方案,需要首先弄清楚网络安全层次的划分,换句话说,应搞清楚从哪些方面对网络进行安全的防护。7.2.1网络安全层次划分在考虑网络安全时,把安全体系划分为一个多层面的结构,每个层面都是一个安全层次。在第一章介绍网络安全时,曾提到两种划分方法,第一种是简单地从系统安全(如操作系统)、网络安全和信息安全三个层面划分;第二种是从物理安全、系统安全、网络安全、应用安全和管理安全五个层面划分。如果按五个层次划分,每个层次就有不同的保护重点和需要考虑的问题。1物理安全物理安全主要包括三个方面即:机房建设(机房及布局)、环境安全(门禁等)和物理安全控制(制度、手段等)。2系统安全系统层的安全问题来自网络内使用的操作系统。系统层的安全性问题表现在两方面,一是操作系统本身的不安全;二是对操作系统的安全配置问题。3网络安全网络层的安全问题主要体现在网络设备及信息的安全性。包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检7.2网络安全方案测的手段等。4应用层安全应用层的安全考虑所采用的应用软件和业务数据的安全性,包括:数据库软件、Web服务、电子邮件系统等。此外,还包括病毒对系统的威胁。5管理层安全管理层安全包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。7.2.2网络安全解决方案框架总体上说,一份安全解决方案的框架涉及5大方面,可以根据用户的实际需求进行取舍。1概要安全风险分析对当前的安全风险和安全威胁作一个概括和分析,最好能够突出用户所在的行业,并结合其业务的特点、网络环境和应用系统等。同时要有针对性,如政府行业、电力行业、金融行业等,要体现很强的行业特点,使人信服和接受。2实际安全风险分析实际安全分析一般从以下几方面进行分析。(1)网络风险和威胁分析详细分析用户当前的网络结构,找出带来安全问题的关键并使之图形化,指出风险和威胁所带来的危害,对如果不消除这些风险和威胁,会引起什么样的效果有一个中详细的分析和解决方法。(2)系统风险和威胁分析对用户所有的系统都要进行一次详细地评估,分析存在哪些风险和威胁,并根据与业务的关系,指出其中的厉害关系。要运用当前流行系统所面临的安全风险和威胁,结合用户的实际系统,给出一个中肯、客观和实际的分析。(3)应用分析和威胁分析应用的安全是企业的关键也是安全方案中最终说服要保护的对象。同时由于应用的复杂性和关联性,分析时要比较综合。总之,帮助用户找出其网络中要保护的对象,帮助用户分析网络系统,帮助他们发现其网络系统中存在的问题,以及采用哪些产品和技术来解决。3安全产品常用的安全产品有5种,防火墙、防病毒、身份认证、传输加密和入侵检测。结合用户的网络、系统和应用的实际情况,对安全产品和安全技术作比较和分析,分析要客观、结果要中肯,帮助用户选择最能解决他们所遇到的问题的产品,不要求新、求好和求大。(1)防火墙对包过滤技术、代理技术和状态检测技术的防火墙,都做一个概括和比较,结合用户网络系统的特点,帮助用户选择一种安全产品,对于选择的产品,一定要从中立的角度来说明。《网络安全技术》教案(第8章)(3)防病毒针对用户的系统和应用的特点,对桌面防病毒、服务器防病毒和网关防病毒做一个概括和比较,详细指出用户必须如何做,否则就会带来什么样的安全威胁,一定要中肯、合适,不要夸大和缩小。(4)身份认证从用户的系统和用户的认证的情况进行详细的分析,指出网络和应用本身的认证方法会出现哪些风险,结合相关的产品和技术,通过部署这些产品和采用相关的安全技术,能够帮助用户解决哪些应用的传统认证方式所带来的风险和威胁。(5)传输加密要用加密技术来分析,指出明文传输的巨大危害,通过结合相关的加密产品和技术,能够指出用户的现有情况存在哪些危害和风险。(6)入侵检测对入侵检测技术要有一个详细的解释,指出在用户的网络和系统部署了相关的产品之后,对现在的安全情况会产生一个怎样的影响要有一个详细的分析。结合相关的产品和技术,指出对用户的系统和网络会带来哪些好处,指出为什么必须要这样做,不这样做会怎么样,会带来什么样的后果。4风险评估风险评估是工具和技术的结合,通过这两个方面的结合,给用户一种很实际的感觉,使用户感到这样做过以后,会对他们的网络产生一个很大的影响。5安全服务安全服务不是产品化的东西,而是通过技术向用户提供的持久支持。对于不断更新的安全技术、安全风险和安全威胁,安全服务的作用变得越来越重要。(1)网络拓扑安全结合网络的风险和威胁,详细分析用户的网络拓扑结构,根据其特点,指出现在或将来会哪些安全风险和威胁,并运用相关的产品和技术,来帮助用户消除产生风险和威胁的根源。(2)系统安全加固通过风险评估和人工分析,找出用户的相关系统已经存在或是将来会存在的风险和威胁,并运用相关的产品和技术,来加固用户的系统安全。(3)应用安全结合用户的相关应用程序和后来支撑系统,通过相应的风险评估和人工分析,找出用户和相关应用已经存在或是将来会存在的风险,并运用相关产品和技术,来加固用户的应用安全。(4)灾难恢复结合用户的网络、系统和应用,通过详细的分析、针对可能遇到的灾难,制定出一份详细的恢复方案,把由于突发情况所带来的风险降到最低,并有一个良好的应付方案。(5)紧急相应对于突发的安全事件需要采用相关的处理流程,比如服务器死机,停电等。(6)安全规范7.2网络安全方案指定出一套完善的安全方案,比如IP地址固定、离开计算机时需要锁定等。结合实际分成多套方案,如系统管理员安全规范、网络管理员安全规范、高层领导的安全规范、普通员工的管理规范、设备使用规范和安全环境规范。(7)服务体系和培训体系提供售前和售后服务,并提供安全产品和技术的相关培训。