计算机网络安全第5章网络安全处理.ppt

《计算机网络安全第5章网络安全处理.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全第5章网络安全处理.ppt（65页珍藏版）》请在装配图网上搜索。

1、第5章 网络安全处理,5.1 评估 5.2 策略制定 5.3 实施 5.4 安全培训 5.5 审计,5.6 网络安全实施流程 5.7 本章小结 习题,网络安全处理过程是一个连续不断、周而复始的过程，如图1.5所示。它包含5个关键阶段：评估、策略制定、实施、培训、审计。每一阶段的工作对组织的安全都是有价值的，然而只有将这些阶段的工作协调一致才能有效地管理网络安全的事故风险。,安全处理过程始于评估阶段。评估的作用是：确定一个组织的信息资产的价值，识别与这些信息资产有关的威胁及漏洞大小，确定总的风险对该组织的重要性。评估是十分重要的，如果对一个组织的信息资产当前的风险状态不清楚，就不可能有效地实施合

2、适的安全程序，以保护这些资产。 评估是通过风险管理计划来完成的。一旦识别和量化了风险，就可以选择有效的、代价小的预防措施以降低这些风险。,5.1 评估网络,1.评估目的 归纳起来，网络信息安全评估有以下一些目的： 确定信息资产的价值； 确定对这些信息资产的机密性、完整性、可用性和可审性的威胁； 确定该组织当前实际存在的漏洞； 识别与该组织信息资产有关的风险； 提出改变现状的建议，使风险减少到可接受的水平； 提供一个构造合适的安全计划的基础。,2.评估类型 通常有5个通用的评估类型： 系统级漏洞评估检验计算机系统的已知漏洞及基本策略。 网络级风险评估评估该组织的全部计算机网络及信息基础设施的风险

3、范围。 组织的风险评估分析整个组织，以识别对其信息资产的直接威胁。识别整个组织处理信息的漏洞对包括电子的和物理的所有形式的信息进行检验。 审计检验特定的策略以及该组织执行的情况。 入侵测试检验该组织对一个模拟的入侵反应的能力。这类评估只对具有成熟安全程序的组织进行。,3.评估方法 在评估时，需要从3个基本源搜集信息，即对组织的员工调查、文本检查以及物理检验。能提供现有安全系统以及组织实施方法的信息的员工，尤其是那些熟练的人员以及管理者是关键的调研对象。调研提纲（评估目的以及有助于保护该组织的信息资产的问题）应简单、易懂，并且前提是所提供的信息对被调研人没有直接的贡献。要审查现有的与安全有关的策

4、略以及关键的配置文本，包括已完成的和正在草拟的文本。最后一部分搜集的信息来自于对该组织的各种设施的物理审查。,4.评估内容 归纳起来，对该组织的评估包括以下内容： 组织的网络； 组织的物理安全度量； 组织的现有策略和过程； 组织已有的预防措施； 员工对安全的重视程度； 员工的工作负载； 员工的工作态度； 员工对现有策略的过程的执行情况； 组织的经营业务。,通常网络提供了对信息和系统最便捷的访问方式。 实施网络评估的具体步骤如下： 从网络配置图上检查每个连接点，包括服务器、桌面系统、Internet访问、拨号访问、对远程和其他组织的连接。从网络配置图以及和管理员的讨论中可获得如下信息：网络上的系

5、统数和类型，操作系统及版本，网络拓扑（包括交换、路由、桥接等），Internet访问点，Internet使用，防火墙的数目、类型和版本，拨号访问点，远程访问类型，广域网拓扑，远程场地的访问点，到其他组织的访问点，Web服务器，FTP服务器以及邮件网关的位置，网络使用的协议，以及网络的控制人员等。,5.1.1 网络评估, 在确定网络结构之后，还要识别网络内的保护机制，包括在全部Internet访问点上的路由器访问控制表和防火墙规则，用于远程访问的身份鉴别机制，到其他组织访问点的保护机制，用于传送和存储信息的加密机制，用于保护手提计算机的加密机制，在服务器、台式机、邮件系统上的防病毒系统以及服务器

6、安全配置等。 如果网络和系统管理员不能提供服务器的安全配置信息，就有必要详细检查这些服务器，包括口令要求、每个系统的审计配置、当前系统的补丁水平等。, 询问网络管理员关于使用的网络管理系统的类型、报警的类型、系统的监控者等信息。用这些信息来识别使用现有的系统，管理人员是否能发觉攻击。 最后，应对整个系统进行漏洞扫描。应从系统内部和外部两方面来做扫描。前者是内部网络的一个系统，后者是组织防火墙外部的Internet上的一个系统。扫描的结果可识别外部威胁和内部威胁能看到的漏洞。,组织建筑物的物理安全是网络安全的一个关键组成。物理安全的检查应包括场地的物理访问控制以及场地的敏感区域的物理访问控制。例

7、如，数据中心应该和整个大楼有分开的物理访问控制，至少访问数据中心必须有严格的限制。当检查物理安全时，应包括对场地、大楼、办公室、纸面记录、数据中心的物理保护类型，各个门的钥匙保管者，邻近数据中心的大楼或场地这些临界区域的情况等。 应该检查大楼内的通信线路和位置，以及进入大楼的通信线位置。这些地方可能放置网络的连接头，因此应将它们包括在敏感区域或临界区域列表内。这些地方也是惟一的网络出口处。,5.1.2 物理安全评估,物理安全还包括电源、环境控制、用于数据中心的消防系统。关于这些系统的信息应包括场地是如何供电的、数据中心的供电情况、使用的UPS的类型、UPS系统的保持时间、接到UPS上的系统类型

8、、当电源失效后UPS运行的指示、接到UPS的环境控制、放置在数据中心的环境控制的类型、环境控制失效的指示、数据中心的消防系统的类型以及洒水系统等。,在评估阶段需要检查的文本包括安全策略、信息策略、灾难恢复策略、事故响应过程、后备策略与过程、员工手册或策略手册、招聘新员工的过程、系统配置指南、防火墙规则、路由器过滤、物理安全策略、软件开发方法、软件移交过程、网络配置图以及组织结构图等。在搜集这些文本基础上检查其相关性、适用性、完全性和正确性。,5.1.3 策略和过程评估,每个策略和过程应和组织当前的经营业务实际相关联。策略和过程应适合文本定义的目的。当检查文本是否适当时，检查其要求是否满足策略和

9、过程的目标。例如，假如安全策略的目标是定义安全需求要针对所有计算机系统，那么不仅要为主机系统定义专门的配置，而且也应包括台式机和客户机服务器系统。 策略和过程应覆盖组织运行的各个方面。在实际工作中常常没有考虑到某些方面，或者在生成策略和过程时，某些方面还不存在。由于技术经常变化，相应的策略和过程也要改变。,当文本太老了或已过时了，应及时修改。因为组织的系统和网络经常会改变，如果文本不跟随系统和网络的变化而改变，那么该文本就没有用处。策略和过程应定期修改。相应地还要检查有关的培训材料，看这些材料是否反映当前的策略和过程。 最后，评估应包括检查最近的事故和审计报告。考察该组织是否根据已发生的事故和

10、审计情况有所进展。,预防的两个基本措施是后备系统和灾难恢复计划。在评估后备系统的作用时，应详细地询问系统操作员，了解后备系统实际的使用情况。应了解的情况包括使用什么样的后备系统、对什么系统做后备，多长时间做一次后备、后备系统存储在何处、多长时间将后备作存储、是否验证过后备、是否经常使用后备，以及后备是否曾经有故障等。,5.1.4 预防措施评估,和其他策略和过程一起，检查灾难恢复计划是否完整。不仅要通过阅读文本，更重要的是要和使用灾难恢复计划的员工对话，了解灾难恢复计划是否曾经使用过、使用的结果如何、计划是否经过测试、什么样的灾难恢复设备是可用的、什么样的灾难恢复场地是可用的，以及谁负责灾难恢复

11、的工作等。,1.员工和管理员的安全意识 除了策略和过程本身是否完善以外，十分重要的是员工的安全意识。应考察他们是否清楚这些策略和过程，以及是否遵照这些策略和过程去执行。考察的方式是和员工谈话和实地考察。 管理员的安全意识也是十分重要的，要考察管理员是否重视关于系统配置的安全策略，是否了解安全的威胁、系统的漏洞，是否已采取相应的措施。特别重要的是，管理员应知道在系统遭受破坏时应做什么以及如何做。,5.1.5 员工和管理员评估,2.人员的技术熟练程度 一个组织的员工对整个安全环境的影响是最大的。缺少技术或太熟练的技术都有可能使很好的安全程序失效。要考察安全员和管理员的技术水平，看其是否具备必要的技

12、术来运行安全程序。安全员应了解安全策略及相关的安全产品。管理员应具备必要的知识来管理系统和网络。 一般用户应具备基本的计算机技巧。然而如果用户具有太熟练的技巧（如公司的软件开发人员），可能会产生额外的安全问题。一些附加的软件加载至系统可能会影响整个组织的安全，具备必要的知识和技巧便于暴露内部系统的漏洞。对审计员，主要考察其对系统和网络的了解，特别是识别问题的能力，而不注重其对技术本身的了解。,3.员工的工作负担 如果员工的工作负担太重，经常超负荷，那么即使是完善的安全策略和过程，也不可能很好地执行。当工作负荷增加时，最容易忽视的就是安全问题。这时管理员不再去审阅审计日志，用户共享口令，管理者也

13、不再做安全培训。 在工作人员超负荷工作的情况下，往往安全漏洞也易于暴露。在评估时应审查这种超负荷情况是否是临时的现象。,4.人员的心态 管理者和员工对安全重要性的重视程度是整个安全环境的又一个关键问题。评估时要审查谁负责组织的安全，以及如何和员工交流有关安全问题。管理者的态度以及和与员工的交流都很重要。有时管理者了解安全的重要性，但不能及时和员工交流，这样员工并不了解安全的重要性。在评估时，要同时向管理者、员工了解，审查这两方面的问题。,5.人员执行情况 在审查要求的安全环境的同时，必须审查实际的安全环境。要求的安全环境是由策略、机制等决定的。而实际的安全环境还要看管理员和员工是否遵照执行的情

14、况。例如，安全策略规定每周要审查审计日志，但管理员可能未按规定执行。又如，策略规定口令需个字符，而管理员未遵照此规定进行配置。这种缺乏执行的情况也是经常发生的。,在完成评估信息搜集后，评估组需要分析这些信息。评估组不应根据个别信息，而应审查所有的安全漏洞。并非将所有漏洞都转换成风险。有些漏洞可由其他一些控制来阻止漏洞的暴露。 一旦完成了评估分析，评估组应该而且能够提出全部的风险，以及向组织进行建议。风险的表达可从大到小有序地列出。对每个风险，应估算在经费、时间、资源、信誉等方面的代价，并提出管理风险的建议。,5.1.6 评估结果,评估的最后一步是开发一个安全计划。该组织必须决定评估结果是否真正

15、反映了安全状况，以及如何最佳地处理它。必须对资源进行分配以及生成调度计划。计划不一定从最坏的风险开始，因为诸如预算、资源等因素可以防止这种情况发生。,完成评估后的下一步是制定安全策略和过程。安全策略和过程是确定该组织期望的安全状态以及在实施阶段如何工作。没有策略，就不可能设计实施有效的信息安全程序。需要制定的策略和过程包括以下几项。,5.2 策略制定,信息策略：确定信息的敏感度以及对敏感信息如何处理、存储、传输和销毁。该策略构成了解安全程序目的的基础。 安全策略：确定各种计算机系统需要的技术控制。该策略构成了安全程序内容的基础。 用户策略：提供使用该组织计算机的使用策略。 后备策略：确定计算机

16、系统的后备需求。 账户管理过程：确定增加或删除用户账号的步骤。 事故处理过程：确定信息安全事故处理的目标和步骤。 灾难恢复计划：在自然灾难或人为灾难后提供重建计算机设施的计划。,1.选择开发策略的次序 如何选择开发策略的次序，取决于评估阶段对风险的识别。如果信息的保护标识为高风险域，那么应将信息策略放在首位。如果由于缺少灾难恢复计划使经营业务丢失是高风险域，那么应将灾难恢复计划放在首位。 在选择首先编写的文本时还要看完成该文本所需的时间。灾难恢复计划是十分详细的文本，需要很多部门和人员作出很大努力才能完成，有时还需要热线场地商帮助完成。在灾难发生时，它可提供全部计算机设备的冗余设施。,在处理过

17、程中，信息策略需要及早完成。因为信息策略是构成了解安全程序目的的基础，说明为什么这些信息是重要的以及应该如何保护它。该文本还构成安全意识培训的基础。相似地，一个用户策略以及安全策略中的口令要求都会影响安全意识培训程序。 有些策略可能同时工作效果更好。因为不同部门、不同人员对各种策略的兴趣也是不同的。例如，系统管理员对安全策略感兴趣，而对信息策略的兴趣要少一些；人力资源部门对用户策略和用户管理过程更感兴趣，对后备等过程不十分感兴趣。,安全部门可先草拟一个框架和目录作为起点。还可先选择一些少部分人感兴趣的小的文本开始，这样可产生很快成功的机会，并从中总结经验，再生成其他的部分。 2.策略的修改 某

18、些已有的策略文本由于情况的变更需要修改。如果原始的策略文本是该组织自己生成的，应该首先根据变化的情况重新组合那些对策略原始版本做过贡献的组，以原始的文本作为起点，对版本作相应的修改。 假如策略文本是由其他组或人编写的，那么他们也应介入策略的修改工作。如果原始文本的开发者已经不在该组织了，通常需要重新开始。,一个组织的策略实施包括技术工具、物理控制、安全人员聘用的选择和实施。在实施中可能需要改变系统配置，这不属于安全部门的控制范围，因此安全程序的实施必须有系统和网络管理员的介入。 检查每个实施和整个环境的关系，以决定如何和其他的控制相协调。例如，物理安全的改变可以降低加密的要求，反之亦然；防火墙

19、的设置可以降低立即校正系统漏洞的要求。,5.3 实施,安全报告系统是一个机制，用于遵守安全部门的跟踪策略和过程，跟踪一个组织内的漏洞的总的状态。可以是人工系统，也可以是自动系统，大多数情况二者兼用。,5.3.1 安全报告系统,1.使用监控机制 监控机制用来保证员工遵守计算机的使用策略，包括跟踪Internet使用的软件。该机制的目的是识别那些一贯违反组织策略的员工。有些机制还有能力对那些有这种企图记录的访问进行阻断。 使用监控机制有一些简单的配置要求，需要将游戏软件从台式机中去除。更加精细的机制可对桌面系统安装的新软件进行识别。这样的机制需要安全部门和管理员的合作协调。,2.系统漏洞扫描 系统

20、漏洞在安全方面成为十分重要的问题。默认的操作系统安装通常会伴随着大量的不必要的处理和安全漏洞。使用现有的工具来识别这些漏洞对安全部门来说是一个比较简单的事，但是要纠正这些漏洞，对管理员来说是一个要花费时间的处理过程。 安全部门必须定期地跟踪网上的各种系统以及在这些系统上的漏洞。将漏洞报告提供给系统管理员用于纠正漏洞。当识别到新的系统时应通知系统管理员加以注意，以决定其行动。,3.遵守策略 对安全部门来说，这是最花费时间的工作。两个机制可以决定是否遵守策略，即自动的或人工的。人工系统需要安全人员对每个系统进行检查，以决定安全策略的所有方面是否通过系统配置予以遵从。这是十分费时的，且易于出错。更常

21、用的办法是安全部门选择一些简单的工具对组织内的系统进行周期测试，这种方法很省事，但检查不完全。 软件机制可用来实施对策略遵从的自动检查。这种机制需要更多时间来设置和配置，但可提供更及时、更完全的结果。这种软件机制需要系统管理员的帮助，因为需要对每个系统上的软件进行检查。使用这些机制，策略遵从的检查能有规则地执行，并将结果报告给系统管理。,1.身份鉴别系统 身份鉴别系统用来检验要使用的系统和访问网络的用户的标识的机制。这样的机制也能用来检验要获得对设施的物理访问者的标识。 身份鉴别机制可采用口令限制、智能卡、生物识别等形式。它用于该组织计算机系统的每个用户，因此任何身份鉴别机制的应用，用户教育和

22、安全意识是十分重要的。身份鉴别机制的要求应包括用户安全意识培训程序。,5.3.2 各种安全机制的实施,如果身份鉴别系统发生变更，要及时对用户进行培训，或通过咨询服务台的帮助，使用户了解如何使用新的系统。 身份鉴别系统还对组织内的所有系统有影响。没有适当的计划就无法实施身份鉴别机制。安全部门必须同系统管理员一起工作来平滑地实施身份鉴别。,2.Internet安全 Internet安全的实施包括诸如防火墙和虚拟专网VPN等机制，它可以改变网络的体系结构。实施Internet安全机制的最重要方面是在Internet和组织内部网之间放置诸如防火墙等访问控制设备。没有这样的保护，所有内部系统将无防护地向

23、外部攻击开放。添加防火墙不是一个简单的处理过程，有可能会影响或破坏用户的正常活动。,防火墙或其他访问控制设备的应用会改变网络体系结构。首先应确定基本的网络体系结构，随后再恰当地配置防火墙及生成遵从该组织用户策略的基本规则。 VPN也是Internet安全的重要角色。当VPN为Internet传送的信息提供安全时，它扩展了该组织的安全边界。这些问题应包括在Internet安全机制的实施中。,3.入侵检测系统 入侵检测系统（IDS）是网络的防盗警报。通常将防盗警报设计成可检测任何进入保护区的企图。入侵检测系统能区分进入保护网络的授权用户和恶意入侵。 入侵检测系统有多种类型，可根据该组织的总的风险以

24、及资源的可用性进行选择。在第13章还会详细讲述入侵检测。入侵检测系统需要的主要资源从安全部门获得。,一个十分通用的入侵检测机制是防病毒软件。这个软件应配置在所有台式机和服务器系统中。除了防病毒软件以外，常用的入侵检测系统还有人工日志检查、自动日志检查、基于主机的入侵检测软件、基于网络的入侵检测软件。 人工日志检查效果很好，但费时，且易出错。更好的日志检查是生成一个程序，它能搜索所有计算机日志，并寻找可能的异常情况。 入侵检测系统通常是在大多数高风险域确定后才实施。,4.加密 加密机制通常是针对机密性和隐私服务的。它能保护在传输中或存储中的信息。不论使用什么类型的加密机制，在实施前必须解决的两个

25、主要问题是加密算法和密钥管理。由于加密会降低处理速度和信息流速度，因此对所有信息都进行加密是不合适的。 在实施加密机制时，要注意以下问题： （1） 当实施加密时，算法的选择取决于加密的目的。私钥密码比公钥密码要快，然而私钥密码不提供数字签名和信息签名。 （2） 选择众人熟知的或易于检验的算法也是重要的，这种算法很少有后门，不易破坏所保护的信息。,（3） 实施加密机制时还必须包括某种类型的密钥管理。链路加密器实现点对点通信加密，建立的系统必须周期地更换密钥。公钥系统需要给大量用户分发证书，要实现这一点比较困难。 （4） 当计划实施这种系统时，一定要包括测试密钥管理系统的时间。通常试验程序只包含有

26、限的用户，但密钥管理系统必须处理整个系统。 除了上面这些安全机制和技术工具外，安全机制的实施还应包括物理安全实施机制和安全人员、管理人员的职责等。,没有员工的介入，一个组织不可能保护其敏感信息。安全意识培训是对员工提供必要的安全知识和信息的机制。培训程序可采用短期课程、快报和广告等多种形式。培训的对象可分为员工、管理员、开发者、经理和安全职员。 必须通过培训使员工明白为什么安全对一个组织如此重要。要使员工能识别和保护敏感信息。安全意识培训为员工提供有关安全的必要知识和信息，包括口令选择、如何防止攻击等。比较合适的培训方法是短期培训，每年12次。,5.4 安全培训,对系统管理员进行培训也是重要的

27、。系统管理员必须掌握最新的黑客攻击技术，了解最新的安全威胁和漏洞补丁。要经常进行培训，通常是每个月一次。可以采用管理人员会议的培训方式。安全工作人员要和系统管理员保持紧密的工作关系。 对开发人员的培训不同于一般员工培训，培训课程应包括减少安全漏洞的编程技术以及在开发过程中安全部门的角色等。对新的开发项目，安全部门在一开始就应介入。还要使开发人员明白这种早期介入是值得的。,没有一个组织的管理者的支持，安全程序就很难实施，因此对经理们的安全培训也是重要的。要使经理们知道安全的现状以及安全程序执行的情况。向经理们定期传达各种安全项目的状况及最近评估结果，指出组织的风险、系统漏洞以及策略的破坏等。 安

28、全人员的安全知识必须不断更新，以能为组织提供相应的安全服务。,审计是信息安全处理过程的最后一步。它包含3个不同的功能：策略遵从审计、周期的和新的项目评估、入侵测试。,5.5 审计,1.策略遵从审计 审计用来审定该组织的安全配置是否根据策略的要求设定。任何的偏差都被认为是对安全的破坏。审计每年进行一次。可以由安全管理员来做，但更为合适的是由组织的审计部门或外部单位来做，这样会更客观公正。不论哪一种方式都应该得到系统管理员的帮助。策略遵从审计应不限于系统配置。要考虑信息是如何处理的，是否遵从信息策略，敏感的文本是如何存储和传输的。,2.周期的和新的项目评估 一个组织的计算机和网络环境经常会变化。而

29、这些变化会使原先的评估结果过时，因此评估要周期地进行。对一个组织的安全风险的总体评估一般12年进行一次。如果安全人员有必要的技术和知识，大部分评估可由安全管理员做，但更为合适的是由外部公司来执行评估。 对每个新的项目，在开始设计阶段就应介入安全，用于识别项目是否存在任何内在的风险，以及如何降低这些风险。如果在项目的早期就能识别风险，就可调整设计或引入其他机制来管理这些风险。,3.入侵测试 入侵测试是一个有争议的题目。有时用入侵测试来代替评估，实际上入侵测试并不能代替评估。事实上，入侵测试在安全程序中的应用是十分有限的。理由很简单，入侵测试试图暴露一个组织的信息网络系统是否有漏洞。如果攻击测试成

30、功，入侵测试将提供一个信息，告知至少存在一个漏洞。如果攻击测试失败，入侵测试也将提供一个信息，告知未能发现和暴露一个漏洞。 那么为什么还要做入侵测试呢?如果一个组织已经做了风险评估并采用相应的控制来管理风险，那么可以使用入侵测试对某些控制进行测试。入侵测试可以完成以下检测工作：,入侵检测系统对攻击的检测能力； 事故响应过程的适合程度； 该组织的网络通过网络访问控制能知道的信息； 场地物理安全的适合程度； 安全意识培训程序提供给员工的信息的适合程度。 在做入侵测试前，应该向该组织提供一个详细的测试计划，说明计划的每一步以及测试的目的。组织应规定测试的范围，外部网络的入侵测试应限制在组织的外部网络

31、连接。可以包括对组织网络的拨号访问，也可以不包括。物理入侵测试包括对那些企图对设施得到非授权访问者的检测。还要确定测试的时间区间，例如只允许在上班时间进行。此外还有对员工的安全意识测试，可以试探员工是否泄露信息或帮助他人访问内部网络。,网络安全实施是一项复杂的系统工程，其流程如图5.1所示，具体包括以下几步。,5.6 网络安全实施流程,图5.1 网络安全实施流程,1.确定安全需求与安全策略 根据用户单位的性质、目标、任务以及存在的安全威胁确定安全需求与安全策略。安全策略是针对安全需求而制定的网络系统安全策略。除了通用的安全策略外，各用户单位还要规定适合自己情况的完整的安全需求和安全策略。下面列

32、举一些重要的安全需求。 （1） 支持多种信息安全策略 计算机信息系统能够区分各种类型信息的用户活动，使之服从不同的安全策略。确保当用户共享信息及在不同安全策略下操作时，不违反安全策略。计算机信息系统必须支持各种安全策略规定的敏感和非敏感的信息处理。,（2） 使用开放系统 开放系统是当今的发展主流。在开放系统环境下，必须为支持多种安全等级保护策略的分布信息系统提供安全保障，保护多个主机间分布信息处理的分布信息系统管理的安全。 （3） 支持不同安全保护级别 支持不同安全属性的用户使用不同安全保护级别的资源。 （4） 使用公共通信系统 使用公共通信系统实现连通性功能是节约通信资源的有效方法。但是必须

33、确保公共通信系统的可用性安全服务。,2.确定安全服务与安全机制 根据制定的安全策略与安全需求确定安全服务与安全机制。参照国际标准化组织ISO-7498，可以确定以下主要的安全服务。 身份鉴别：用于确认所声明的身份的有效性； 访问控制：防止非授权使用资源或以非授权方式使用资源； 数据保密：数据存储和传输时加密，防止数据窃取、窃听； 数据完整：防止数据篡改； 防止否认：防止发送者否认曾经发送过数据或其内容，防止接收者对所收到数据或内容的否认。,为提供上述安全服务，要确立可信功能、安全标记、事件检测、安全审计跟踪和安全恢复等基本安全保护机制。此外，还要体现加密机制、数字签名机制、访问控制机制、数据完

34、整性机制、鉴别机制、通信业务填充机制、路由控制机制和公证机制等特定安全保护机制。,图5.2 网络信息系统安全体系结构框架,3.建立安全体系结构框架 确定了安全服务和安全机制后，根据网络信息系统组成和开放系统互连参考模型，建立安全体系结构框架。 网络信息系统安全体系结构框架将反映网络信息系统安全需求和体系结构的共性，其构成要素是安全特性、系统单元及开放系统互连参考模型结构层次，如图5.2所示。,4.安全技术、安全产品选择和安全系统实施 在安全体系结构框架下，遵循有关的信息技术和信息安全标准，折中考虑安全强度和安全代价，选择相应的安全保护等级的技术和产品，并进行安全系统实施。,网络安全需要综合处理

35、，从体系结构的角度，用系统工程的方法实施安全解决方案。网络安全处理过程是一个连续不断、周而复始的过程，包含评估、策略制定、实施、培训、审计五个关键阶段。 网络安全评估的目的是决定一个组织的信息资产的价值、对信息资产的威胁、网络系统漏洞大小以及所处的风险。安全评估包括网络安全、物理安全、策略和过程、预防措施以及管理员和员工。在评估基础上提出管理风险的建议和相应的安全计划。,5.7 本章小结,网络安全策略的作用是确定一个组织期望的安全状态以及在实施阶段如何执行。包括信息策略、安全策略、用户策略、后备策略、账户管理过程、事故处理过程以及灾难恢复过程。 网络安全实施机制包括跟踪网络安全策略的遵从、身份

36、鉴别系统、Internet安全机制、入侵检测系统、加密机制等。 安全培训是对管理员和员工提供必要的安全知识和信息的机制。安全培训对象应包括员工、系统管理员、开发人员、组织的管理员以及安全人员。 安全审计的主要功能是保证组织的安全配置根据安全策略的要求设定。,网络安全实施是一项复杂的系统工程，实施流程包括安全需求与安全策略的确定、安全服务与安全机制的确定、安全体系结构框架的确定，以及安全技术、安全产品的选择和安全系统实施。,5-1 哪些是网络安全处理的关键阶段？ 5-2 网络安全评估有哪些类型？它们的评估作用有什么区别？ 5-3 安全策略和过程的作用是什么？应制定哪些安全策略和过程？ 5-4 身份鉴别的作用是什么？有哪些身份鉴别机制？ 5-5 Internet安全的实施有哪些机制？它们的功能是什么？,习题,5-6 入侵检测系统的作用是什么？ 5-7 加密机制的作用是什么？加密机制实施的主要问题是什么？ 5-8 安全审计的作用是什么？主要功能有哪些？ 5-9 网络安全实施是一项复杂的系统工程，试简述网络安全实施流程。 5-10 什么是网络信息系统安全体系结构？其构成要素是什么？,