企业网络安全防护策略第五节企业网络安全防护策略本节概要网络安全策略是安全管理体系和网络安全技术的综合。本章将就企业范围的网络安全策略进行阐述,着重介绍以下几方面:企业安全防护体系的构成建立安全的企业网络安防工作是一个过程企业安全防护体系的构成人制度技术安全防护体系企业安全防护体系的主要构成因素人制度技术人:安防体系的根本动力人是安防体系中的最薄弱环节对安全防护工作重视的领导是安防工作顺利推进的主要动力;有强烈安全防护意识的员工是企业安防体系得以切实落实的基础;杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。人:安防体系的根本动力加强安全教育、提高网络安全意识启蒙——为安全培训工作打基础,端正对企业的态度,让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。培训——传授安全技巧,使其更好的完成自己的工作。教育——目标是培养IT安防专业人才,重点在于拓展应付处理复杂多变的攻击活动的能力和远见。制度:安防体系的基础减轻或消除员工和第三方的法律责任对保密信息和无形资产加以保护防止浪费企业的计算机资源安防制度的定义和作用安防制度是这样一份或一套文档,它从整体上规划出在企业内部实施的各项安防控制措施。安防制度的作用主要有:制度:安防体系的基础安防制度的生命周期安防制度的生命周期包括制度的制定、推行和监督实施。第一阶段:规章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、减轻和转移风险所需要的安防控制措施。第二阶段:企业发布执行的规章制度,以及配套的奖惩措施。第三阶段:规章制度的监督实施。制度的监督实施应常抓不懈、反复进行,保证制度能够跟上企业的发展和变化制度的制定制度:安防体系的基础计算机上机管理制度用户账户管理制度远程访问管理制度信息保护管理制度防火墙管理制度特殊访问权限管理制度网络连接设备管理制度商业伙伴管理制度顾客管理制度安防制度的主要组成部分技术:安防体系的基本保证信息加密技术身份鉴别技术资源使用授权技术访问审计技术备份与恢复技术防病毒技术网络安防需要先进的信息安全技术技术:安防体系的基本保证网络防火墙VPN设备入侵检测设备漏洞评估产品网络防病毒产品网络安防需要先进的安全产品技术:安防体系的基本保证单一的安全保护往往效果不理想目前的趋势——应用和实施一个基于多层次安全系统的全面信息安全策略网络安防需要采用多层防护策略在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险,达到安全防护的目标。技术:安防体系的基本保证网络安防更需要完善的整体防卫架构防火墙访问控制防病毒入侵检测虚拟专用网漏洞评估建立安全的企业网络网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出依照风险制定出进行安全集成/应用开发安全服务进行安全方案设计•建立相应的建立安全网络的一般步骤:安全方案设计设计安全体系结构确定安全方案设计原则明确安全机制选择安全技术建立安全模型安全方案设计的主要步骤•可用性•审计管理•不可抵赖•数据完整•数据保密•访问控制•身份鉴别应用层表示层会话层传输层网络层链路层物理层三维安全体系结构框架结构层次安全特性安全方案设计设计安全体系结构安全方案设计需求、风险、代价平衡分析的原则综合性、整体性原则一致性原则有效、实用和易操作性原则适应性及灵活性原则动态化原则权责分割、互相制约和最小化原则自主和可控的原则多重保护原则分布实施原则确定安全方案设计原则安全方案设计明确网络安全机制加密机制数字签名机制访问控制机制数据完整性机制交换鉴别机制业务流量填充机制路由控制机制公证机制ISO提出了八种安全机制,分别如下:安全方案设计选择网络安全技术防火墙技术加密技术鉴别技术数字签名技术入侵检测技术审计监控技术病毒防治技术备份与恢复技术本课程前面介绍的各种网络安全技术均可用来建立安全的网络。设计者可从中选择需要的技术。安全方案设计MManagement安全管理DDetection入侵检测RReaction安全响应RRecovery安全恢复PProtect安全保护建立安全模型(MDPRR)安全模型MPDRR$dollars$dollars$dollarsDetection入侵检测Protect安全保护Reaction安全响应Recovery安全备份Management安全管理统一管理、协调PDRR之间的行动安全方案设计建立安全模型(MDPRR)是不是所有的网络安全解决方案都需要建立在这样一个完整的体系之上呢?•可用性•审计管理•不可抵赖•数据完整•数据保密•访问控制•身份鉴别应用层表示层会话层传输层网络层链路层物理层三维安全体系结构框架结构层次安全特性网络现状安全需求安全代价安全体系安全威胁分析具体的网络,了解网络系统中潜在的安全风险根据具体的安全风险,提出相应的安全需求根据实际的安全需求,确定要建立一个什么样的安全体系依照确定的安全体系,决定付出多大的安全代价来实现安全体系的建立提出安全解决方案身份鉴别访问控制数据加密病毒防护入侵检测安全评估备份与恢复提出安全解决方案安全网络的建设者应针对前面设计中提出的各种安全需求,提出可行的安全解决方案。一般安全网络设计项目均会涉及到下述安全需求:安全产品集成及应用软件开发安全产品的集成安全应用软件的开发安全产品集成及应用软件开发安全网络的建设者应针对前面设计中提出的各种安全需求,提出可行的安全解决方案。一般安全网络设计项目均会涉及到下述安全需求:购买安全服务网络安全咨询网络安全培训网络安全检测网络安全管理应急响应服务购买安全服务安全是一个动态的过程,静态的安全网络架构并不能完全抵御住新的安全威胁。专业的安全服务可以帮助客户不断调整安全策略、提高网络的安全水平。常见的安全服务有:安防工作是一个过程没有100%安全的网络成本风险性能安防工作是风险、性能和成本之间的折衷安防的成本应该小于系统受损后可能造成的损失安防工作是一个过程没有一成不变的安防系统网络安全防御系统是个动态的系统,攻防技术都在不断发展。安防系统必须同时发展与更新。定期的风险评估是保证系统安全的有效手段。系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念,以便对现有的安防系统及时提出改进意见。安防工作是一个循序渐进不断完善的过程。安防工作是一个过程没有一劳永逸的安防系统攻防技术的不断发展决定了安防系统必须同时发展与更新。安全产品只是安全体系的一个部分,完善的安防体系应是技术和管理的结合。安全管理需要常抓不懈。对员工的安全教育必须持之以恒。安防工作是一个过程安防工作是一个周而复始、循环上升的过程100%安全的网络是不存在的;安防系统需要不断的变化和调整;安防工作是循序渐进、不断完善的过程。构建安全的计算机网络的建议构建安全的计算机网络的建议加强对公司领导和员工的安全教育,提高安全意识;制定切实可行的规章制度,确保网络安全有法可依;采用不同层次的网络安全产品和防病毒产品构建多层次的安全防护体系;定期进行网络安全评估,及时发现不安全因素,并采取相应措施。