收藏
下载资源

网络信息安全完整ppt培训课件

上传人:aa****6 文档编号:52443724 上传时间:2018-08-21 格式:PPT 页数:20 大小:2.55MB
返回 下载 相关 举报
网络信息安全完整ppt培训课件_第1页
第1页 / 共20页
网络信息安全完整ppt培训课件_第2页
第2页 / 共20页
网络信息安全完整ppt培训课件_第3页
第3页 / 共20页
网络信息安全完整ppt培训课件_第4页
第4页 / 共20页
网络信息安全完整ppt培训课件_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《网络信息安全完整ppt培训课件》由会员分享,可在线阅读,更多相关《网络信息安全完整ppt培训课件(20页珍藏版)》请在金锄头文库上搜索。

1、网络信息安全网络信息安全 1010元方案元方案0707级计算机级计算机 第十三组第十三组网络分析同大型企业相比,中小企业的规模较小,应用的类型少 而且比较简单,因此其网络的基础架构相对简单,实现起来 比较容易一些,投资也会少得多。从目前的网络技术和应用 的发展趋势来看,对于中小企业,采用基于TCP/IP协议组 的以太交换网模式最为适合。经过几年的发展,以太交换技 术和产品都十分成熟,网络的实现和管理都很简单,维护量 也小,并且可以向未来的发展进行平滑的升级和过渡。 针对XX企业现阶 段网络系统的网络结构和业务流程,结合XX企业今后进行的网络化应用范围的 拓展考虑,XX企业网主要的安全威胁和安全

2、漏洞包括以下几方面:2.1内部窃密和破坏 由于XX企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外 部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领 导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。2.2 搭线线(网络络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议 分析工具,在INTERNET网 络安全的薄弱处进入INTERNET,并非常容易地在信息传输过 程中获取所有信息(尤其是敏感信息)的内 容。对XX企业网络系统来讲,由于存在跨越INTERNET的内部通信(

3、与上级、下级)这种威胁等级是相 当高的,因此也是本方案考虑的重点。2.3 假冒 这种威胁既可能来自XX企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击 者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员 ,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方 式获取其不能阅读的秘密信息。 风险分析2.4 完整性破坏 这种威胁主要指信息在传输过 程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真 实性,从而变得不可用或造成广泛的负面影响。由于XX企业网内有许多重要信息,因此那些不怀好意 的用户

4、和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假 信息,从而影响工作的正常进行。2.5 其它网络络的攻击击 XX企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户 等的网络攻击,如试图进 入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务 严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。2.6 管理及操作人员员缺乏安全知识识 由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和 系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识 不足,很容易使安全

5、设备/ 系统成为摆设 ,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全 开放状态等等,从而出现网络漏洞。 由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设 备能够尽量发挥其作用,避免使用上的漏洞。风险分析 由于XX企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的 是内部办公、业务 系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内 部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网, 并通过网络进 行数据交换、信息共享。而INTERNET本身就缺乏有效的安全

6、保护,如果不 采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡 改,产生严重的后果。 由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公 共网络的内联网系统,因此在本解决方案中对网络传输 安全部分推荐采用VPN设备 来构建 内联网。可在每级管理域内设置一套VPN设备 ,由VPN设备实现 网络传输 的加密保护。 根据XXX企业三级网络结 构,VPN设置如下图所示:设计分析在上图中的VPN调备,出于经济上的考虑,均采用 PC+Gentoo Linux+OpenVPN,软件VPN在稳定性和可靠 性上自然比不上硬件VPN的效果,但还是可以提供一定

7、 的作用的。每一级的设置及管理方法相同:即在每一级的中心网络安装一台VPN设备 和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN 设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网 络化管理。可达到以下几个目的: l 网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并 可同时采取加密或隧道的方式进行传输 2 网络隔离保护与INTERNET进行隔离,控制内网与INTERNET的相互访问 3 集中统一管理,提高网络安全性 4 降低成本(设备成本和维护成本)其中,在各级中心网络的VPN设备设置如下图:网络拓扑图

8、由一台VPN管理机对CA、中心VPN设备、分支机构 VPN设备进行统一网络管理。将对外服务器放置于 VPN设备的DMZ口与内部网络进行隔离,禁止外网直 接访问内网,控制内网的对外访问、记录日志,这样 即使服务器被攻破,内部网络仍然安全。下级单位的VPN设备放置如下图所示:从上图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管 理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通 电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员 ,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员 的要求,这对有着庞大下属、分支机构的单位

9、来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅 采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一 般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使 整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此 ,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上 的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管 理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体 网络的安全性和稳定性。由于XX企业广域网网络部分通过公共网络建立,其在 网

10、络上必定会受到来自INTERNET上许多非法用户的攻击和 访问,如试图进入网络系统、窃取敏感信息、破坏系统数 据、设置恶意代码、使系统服务严重降低或瘫痪等,因此 ,采取相应的安全措施是必不可少的。通常,对网络的访 问控制最成熟的是采用防火墙技术来实现的,本方案中选 择一款开源的防火墙可满足下面的要求:访问控制控制外部合法用户对内部网络的网络访问;控制外部合法用户对服务器的访问;禁止外部非法用户对内部网络的访问;控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;网络监控;网络日志审计;防火墙可满足下面的要求 :防火墙选用开源的

11、 Iptables,使用同 样开源的Firewall Builder来配置管 理,Firewall Builder是一个面 向对象的包括一个 图形用户界面和一 系列的各种防火墙 平台的编译器。1.杀毒软件尽管防火墙能阻止来自外部的部分攻击,但内网同样也有着不容小视的安全 威胁。比如病毒、蠕虫等的传播同样会造成大的安全问题,我们在员工的桌面上 安装德国的一款免费杀毒软件-Avira AntiVir,它可以对流行的病毒等有效的查杀 。 2. 内部网络之间的防范措施比如办公网与财务网之间需要隔离,否则容易造成公司的混乱,在隔离手段 上有硬件隔离和软件隔离,在这里可以用防火墙加上一些访问规则来实现简单

12、的 网络隔离。 3. 虚拟专用网(VPN)设置用户的访问对内网的安全也造成了巨大的威胁,因为它们将弱化的桌面操作 系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要 避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限 制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访 问邮件服务器或其他可选择的网络资源的权限。网络安全不可能完全依靠单一产品来实现,网络安全是个整体的, 必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安 全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的 攻击手段的信息代码对进

13、出网络的所有操作行为进行实时监控、记录, 并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网 络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引 擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎 )用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由 于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用 不会对网络系统性能造成多大影响。入侵检测从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测 仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设 备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通 知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自 适应机制),最后将攻击行为进行日志记录以供以后审查。入侵检测系统采用开源的Null IDS。该软件通过检测指令的行为来防止 黑客的攻击。入侵检测系统的设置如下图数据备份与容灾在系统运行过程中,有各种各样的意外发生,虽然只是 万一,但一旦发生,后果不堪设想,所以必须做好备 份工作。XX公司采用的是开源的MySql数据库,相应地 我们采用同样开源的EmpireBak来备份。社会主义核心价值体系质量体系审核的类型榆林开发区一小北师四下精打细算课件营运岗位常用地理知识总结Thank you

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > 教育/培训/课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号