好名字都让猪起了---
范文一:《信息网络安全技术》
《信息网络安全技术》
开班通知
《计算机信息网络安全员证书培训》(2010J077)
《信息安全技术基础》(2010Y014)
(远程直播班)
? 培训目的:
提高企业信息安全管理人员以及相关工作人员的网络安全理论和技术能力,以利于加强信息网络安全工作的更好开展。
? 培训对象:
信息网络安全方面的技术人员、管理人员以及相关工作人员。
? 开班起止日期及总学时:
2010年8月20日至8月31日(每次9:00-16:30)总学时24学时 具体时间8月20日、8月24日、8月31日 共三次
? 主讲教师:
宝钢人才开发院 俞思民 老师
? 上课地点:
电教楼 207教室
? 培训内容时间安排:
? 参考教程:
计算机网络安全教程(第2版)机械工业出版社 (远程学员需自行购买)
? 联系人及电话:
俞思民 Tel:26646601 ,手机13501833351
内网邮箱:013347@baogang.info
外网邮箱:yusimin@baosteel.com
本课程培训用FTP:ftp://ftp.edu.baosteel.com
学员帐号:e5yusimin-s 密码:password
访问目录:Teacher\信息安全技术(远程直播班)
宝钢人才开发院网络培训中心
2010年7月 22日
范文二:网络安全技术方案
1. 方案设计思路
基于监狱系统信息网络的分析,特别是对其安全需求和安全特点的分析后,可以看到,监狱系统信息安全的要点可归纳为三点,一是基于主体鉴别和行为控制的可信访问来源监控措施;二是基于客体授权访问和客体保护的可信数据保护措施;三是根据中间过程的全程监控与运行维护,保障访问的透明性和可控性。
基于以上考虑,方案将参考启明星辰技术体系进行设计,该框架是启明星辰根据多年安全建设的经验,提出以“为用户构建可信的信息网络”为核心目标的技术体系架构,在架构中将从网络世界行为的主体(用户)、客体(数据)和网络计算环境三个方面构建防御体系,并通过统一的安全资源和安全风险管理,完成对整个防御体系的整合与提升,实现安全按风险发现和响应的闭环反馈,真正达到主动防御的目的。
对于监狱系统信息网络,采用可信网络架构的思想,有利于突出重点,实现以应用为核心的安全防护系统,并在信息系统访问的全过程进行有效控制,全面提升信息系统的抗攻击能力,保障信息系统的高可用性和安全性。 1.1. 方案设计原则
针对监狱系统信息网络的应用系统、业务流程和安全特点的分析,确定方案设计将遵循以下的原则进行设计:
, 全过程控制原则
对于监狱系统信息网络,存在访问来源广泛、访问行为不可预期、访问结果不可控等因素,因此有必要实现基于“源头”控制的全过程安全监控体系,从访问用户进入网络开始,到进行访问并产生相应结果的过程中,必须有严格的鉴别、授权、认证和审计措施,使得访问的全过程都有严格的监控,防范非法访问,杜绝恶意攻击;
, 以应用为核心的原则
安全保障的目标应当是监狱系统的应用,方案以应用为核心,围绕业务访问的全过程,实现全面的监控与防护,保证网络访问的有序性;
1
, 适度安全原则
任何安全防护都不可能是百分之百的,应当平衡投入与产出,均衡风险与效果,采取优化的安全方案,形成有效的防护,应对突出的安全风险,提升监狱系统的安全对抗能力;
, 高效性原则
监狱系统信息网络的数据包大多为非结构化数据,在网络中传递过程中对网络带宽的要求很高,对网络节点的设备吞吐能力和转发能力要求很高,因此在设计安全防护系统的时候,特别是一些部署在关键节点的安全网关设备,重点需要考虑设备的性能,在保障安全的同时还要提供高效的转发能力;
, 动态安全原则
安全体系需要根据监狱系统的不断发展而演化,包括控制的节点、监控的内容、防护的范围、策略的设计等,因此对应安全技术方案需要从总体上提出完善的安全架构,并通过对应的技术和服务来满足监狱系统不同层面的安全需求;
, 多层保护原则
采用基于多种设备认证和用户身份认证手段,根据业务功能和安全等级实现统一认证、授权和集中审计。要求接入的安全产品都必须提供开放接口,以利于统一安全平台进行管理,通过将集成先进、成熟的安全产品和安全服务,构造从物理层到应用层的多层防御的安全保障体系。
, 管理并重原则
提高安全管理手段,建立完善的安全管理制度和规范,建立安全评估、安全运维、紧急响应相结合的安全服务体系。
1.2. 方案设计思想
启明星辰技术体系架构将“为用户构建可信的信息网络”作为终极目标,各种技术手段和技术体系的应用均为这个目标服务。因此从可信信息网络的角度,对于监狱系统的安全保障,应实现以下四个方面的建设目标:
, 网络计算环境是可信的,即保障监狱系统信息网络中的各种计算资源(主
机、服务等)、网络资源(交换机、路由器等)、网络通道(局域网线路、
广域网线路等)是安全可信的;
2
, 网络行为主体是可信的,即使用监狱系统信息网络资源的用户身份是可
信的,用户的各种行为受到统一安全策略的控制,同时对用户行为进行
了完整的审计;
, 网络行为客体是可信的,即监狱系统信息网络中承载并处理的数据资源
的完整性、私密性、可用性被严格保障;
, 网络安全管理是完备的,即监狱系统中各种安全资源、安全策略的管理
具有一致性和完整性,网络安全风险管理具备智能性和合规性。
从以上四点可以看出,可信网络架构的保护核心是数据,这完全符合了监狱系统的“以信息安全为核心”的特点,同时该架构充分考虑了包含主体行为可信控制、客体可信保护、访问行为可信监控等内容,也能够符合监狱系统访问来源广泛、访问行为复杂、全局性的特点,此外,通过全面的应急响应服务规划,也满足了监狱系统弹性化的安全需求特点。
1.3. 监狱系统安全体系要点说明
满足从系统安全防护向可信网络建设发展的需要
传统的网络世界是完全平等和无序的,相互之间是一种完全信任和不设防状态,在这样的基础上构建的安全防御体系就好比在松软的沙滩上盖起的楼房,很容易垮塌。业内的专家、学者、厂商和各个研究机构都逐步认识到了这个问题,纷纷提出可信的概念,出发点是将网络或者系统中的各个元素由默认相互信任转换为相互怀疑,只有经过一系列的相互认证和检查之后才能建立起相互信任的关系,从而建立起一个真正有序的互信的网络世界。
满足从脆弱性安全向结构性安全转变的需要
传统信息安全防御手段主要针对攻击或者针对漏洞的,必然会造成防护的滞后性和局部性,头疼医头,脚疼医脚。面对这种情况,结构化防御是目前业内普遍比较认可的一种方案,通过在信息系统的各个环节上充分考虑信息安全的问题,以体系化的高度来思考信息安全的建设,避免信息系统中存在安全短木板,最终提升整体的安全基线。
但是结构性防御并不意味着可以抛弃脆弱性防御手段,任何的结构性防御手
3
段最终还都是依靠软、硬件系统来实现的,任何的软、硬件系统都会存在系统漏洞;同时攻击手段也再不断演化和提升,针对结构性防御必定会有结构性攻击方法产生。因此在我们的安全体系架构中应该以结构性防御为主,同时兼顾脆弱性防护。
更加关注网络主体行为的安全控制与审计
传统的安全产品(包括防火墙、**、IPS、AV等)网络防御技术主要保护用户的网络资源不受到攻击和侵害,我们称之为网络计算环境防护,这些防护手段主要是保护用户的网络资产(比如:交换机、路由器、PC机、服务器、通讯线路等)。但是,随着应用的深入,逐渐发现网络合法用户违规行为的安全威胁更为严重和难以控制,比如:用户违规越权访问、用户身份假冒、用户主动信息外泄等等。因此,面向网络主体――用户的身份认证和行为管理与审计越来越受到重视。
突出数据安全可用的重要性
数据安全是信息安全防护的终极目标,数据承载于网络计算环境,同时也是网络行为主体操作的客体。因此在结构化的安全解决方案中,数据安全是必不可少的一个部分。
更加重视主动防御能力
随着攻击技术的不断发展,网络攻击产生危害的时间越来越短,零天攻击已经不再停留在概念上。在这种趋势下,一方面要求安全厂商的反映速度和反映能力要不断提高,另一方面更多用户希望厂商能够提供具有一定主动防御能力的解决方案;所谓主动防御可以理解为对未知风险的及时发现和防范的能力,其中风险分析、风险管理是关键的核心技术。
1.4. 对监狱系统信息保障的意义
对于监狱系统,采用可信安全技术架构来搭建整体的安全防御系统,其意义在于:
, 可信安全技术架构是一项典型的系统工程,可信安全从层面上包含四个
环节,在集中统一的安全管理平台下,覆盖了对信息网络进行访问的主
4
体(访问用户)、信息网络自身(计算环境)、以及对信息网络进行访问
的对象(数据),系统涵盖了信息系统访问的各个环节,保障了信息访问
的过程安全;
, 通过可信安全技术架构,对监狱系统形成了多层次的保护;
, 监狱系统的运行,其本质就是访问用户(主体)通过相关的过程(计算
环境)对各类数据(客体)进行访问,并进行相关的业务操作,因此各
个环节的活动是否合理,其过程和结果是否正确,都可通过“可信”的
相关控制和检测得到验证;
, 可信是一种对活动状态的判断,只有“可信”的活动在网络中才能被许
可执行,对于监狱系统,信息系统的活动构成异常复杂,因此采用“可
信”的理念和技术后,将大大提升对访问控制的细粒度控制,能够及时
有效发觉网络中的异常行为,并采取相关的行为进行弥补,保障了监狱
系统的“长治久安”。
1.5. 监狱系统安全保障框架组成
多关注和主动防御是可信网络技术架构的核心理念。技术架构从网络世界行为的主体(用户)、客体(数据)和网络计算环境三个方面构建防御体系,实现了从传统的单一关注网络系统自身安全性到多关注的网络世界可信的根本转变;同时通过集中统一的安全资源和安全风险管理,完成对整个防御体系的整合与提升,实现安全风险发现和响应的闭环反馈,达到主动防御的目标。
5
可信技术体系框架示意图
针对用户、数据、基础网络三个关注点,这三个防御体系的防护对象和侧重点不同,但是它们在技术手段和防御效果上有相互重叠的部分,同时它们之间是无法相互取代的,单纯从任何一个或两个关注点提出的安全保障方案都存在局限性和不完整性;最后通过安全资产和安全风险管理平台对上述三个防御体系进行整合与提升,统一安全管理渗透在每个防御体系之中,却不仅仅是完成三个体系的简单叠加,而是实现防御效果的倍增和放大。
1.5.1. 可信网络计算环境防御体系
网络计算环境包括完成信息处理与存储的主机、服务器、网络、网络设备及其连接部件等等,当然也包括安全系统自身。在实际工作中,网络计算环境的划分应是在您可接受的风险范围内,越大越好、越简单清晰越好。
网络计算环境安全方案的思路是:用动态的安全策略,整合网关安全和桌面安全产品,用7层主动防御的方针,形成针对应用的弹性解决方案。
网络计算环境安全就是要做到信息的流动是可控、符合安全策略的。总体结构如图:
安全策略管理
?接入端点安全 ?网络访问控制 ?网络通道安全 ?内容安全控制
?审计 防御体系的边界访问控制主要包括:以信息摆渡为基础的网闸、以访问控制列表为核心的防火墙以及内嵌简单访问控制的路由器等产品和技术,这些产品和技术组成了防御的第一道屏障。
现在的攻击越来越隐藏在应用的流量中,木马、病毒、垃圾邮件、DDOS攻击等的协议行为都淹没在正常的应用中。以综合防护为特征的安全网关、以实时阻断入侵为目的的IPS、以用户行为控制为中心的应用控制网关,以及独立的防病毒网关、防垃圾邮件网关、防DDOS网关、异常流量分析等面向内容的安全检测与防护技术组成了防御的又一道防线――内容安全控制,这是可信网络计算
6
环境防御体系向立体与纵深发展的体现。
绝大多数的网络攻击是从网络中的终端开始的,只有明确端点的身份、信息资产和安全状态,才能在业务层防范互联网上的入侵和防范端点非法信息传播,实现内网边界安全防护、内网安全威胁防护、外网移动用户安全接入防护
以往的安全防御体系一定程度上割裂了防护、检测、响应这几个信息安全的环节,防护是静态、事先设定的、是分散的,响应是人工的。可信网络计算环境防御体系的围绕全局的安全策略管理,使防护、检测、响应几个环节在穿越边界的同时就形成了一个闭环;同时将传统网关安全策略和端点安全策略融合起来,使网络边界能随端点的接入而动态变化。
安全策略管理联通上述的边界访问控制、内容控制、通道安全、端点安全,可以强制地把企业的安全目标落实到安全实践中,从而实现安全无缝隙,策略执行无延迟,网络应用无杂质,信息移动不违规,内网安全有保障。
通过对网络计算环境的网络信息分析可以发现外部的入侵行为、可以发现内网用户的网络行为、可以发现内部网络的漏洞、可以发现网络带宽利用和业务流量占用情况等等,达到全捕捉、可关联、视图全。IDS、日志分析系统、内容与行为分析系统等构成了审计体系。同时审计也是满足政策合规性的主要内容。 1.5.2. 可信网络安全管理体系
网络采用不同类型、不同厂商的安全产品,能够从不同层次、不同角度部分解决用户的网络安全问题,但是由于各个厂商没有统一的标准可遵循,孤立的安全产品存在如下问题:安全产品之间无法进行信息交流,只能形成许多的安全孤岛;安全产品观察问题角度单一,之间存在安全盲区;安全产品无法很好地协作,不能为用户提供统一的预警、自动响应等功能;用户无很难了解网络安全的整体状况和趋势,无法为用户提供统一的安全状态观测平台。
可信网络安全管理体系很好的解决了这些问题,通过统一的策略管理、资源管理和安全事件管理,实现了各类安全防护系统的整合,实现了协调一致的纵深防护系统,实现了对安全事件的集中分析与有效预警,实现了策略的强制执行与动态调整,避免了各类安全设备“各自为战”的局面,从全局上实现了“可信的网络世界”。
7
1.6. 安全体系架构与等级保护的关系
信息安全同样也是国家非常关注的内容,为此国家出台了以“等级保护”为核心的相关政策标准,包括等级保护实施指南、定级指南、技术要求以及测评指南等,等级保护的工作目前也推进到建设阶段(定级阶段在07年底到08年初已经基本完成),等级保护被强制性的要求在各个政府单位中执行。
而可信安全架构的思想,与等级保护的建设办法是基本类似的,都是以安全区域划分为前提,在分等级(在可信安全架构中是根据重要程度)的前提下,实现对网络环境、用户、数据的全面保障,等级保护提出了包括物理安全、网络安全、系统安全、应用安全以及数据安全在内的等级保护技术要求,这些要求在可信安全架构中,通过访问主体鉴别(包括用户和终端)、计算环境保护(包括物理环境、通信网络、操作系统)以及访问客体(包括数据)三个环境进行建设,同时在集中的安全管理平台的统一策略要求下,对信息系统(重点是应用系统)进行有效防护,因此在建设目标上将,可信安全架构与等级保护是相符的。
2. 设备部署说明
2.1. 防火墙
在省局和各个下属监狱网络出口部署2台防火墙,支持深度内容检测,能够实现基于应用的访问控制,并且能够和其他安全技术(比如认证、入侵检测、终端安全管理)的整合,形成全方面的动态安全防护体系。
2.2. 入侵防御
针对用户的访问,可在各级网络出口处防火墙后部署入侵防御系统,该系统采用在线检测与控制的办法,针对出入互联网的访问数据包,进行7层深度检测,在防火墙访问控制的基础上,对异常的数据包进行有效阻断,防止欺骗类攻击和端口伪装类攻击,防火墙的访问控制规则检测到该访问属于正常访问而放行,而入侵防御则深入到内容,可以有效鉴别出此类访问行为,并采取必要的控制措施。
8
2.3. 防毒墙
在入侵防御后部署硬件防毒设备,对进出网络的数据进行实时检测,可以让病毒在一个模拟的环境中执行,从而获得它的行为,并对其进行识别,从而保证进出网络的数据流的纯净。
2.4. 行为审计
在省局网络中针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。对于来自任何内部网络用户的WEB访问、文件传输访问、数据库访问等行为进行审计记录,并且可根据需要对用户操作行为过程和传输的数据内容进行回放,一旦发生网络安全事故,可以对系统内发生的与安全有关的事件进行分析与追踪,能够及时排查网络故障并挽回损失。
2.5. 漏洞扫描
要消除系统的弱点,通常采用安全加固的方式来进行,而弱点扫描是为安全加固提供依据,提供加固的对象,因此,有必要进行分析和评估,发现存在的隐患或弱点后,进行修补及加固。漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性,并具体指证将要发生的行为和产生的后果,而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。 2.6. 网络杀毒软件(病毒服务器)
在省局部署一级网络版杀毒软件管理中心,其余各单位部署一个二级网络版管理中心,各级的服务器群及终端计算机均部署客户端杀毒软件,形成整个网络中终端桌面杀毒统一管理;利用硬件防毒设备与网络防毒子系统配合,将病毒屏
9
蔽在网络边界外。
2.7. 8.终端安全管理
由于用户对电脑的使用和维护水平参差不齐,网络病毒仍很严重,在陕西省监狱管理局外网计算机上安装及使用与工作无关的软件、通过BT下载等行为仍时有发生,这些均使陕西省监狱管理局网络安全员和网络管理人员疲于应付各种安全和日常维护事件。这主要是由于所有的安全和管理风险均来自与网络客户端,而现有手段对客户端监控力度不够造成的。综合而言,因此在陕西省监狱管理局内部部署终端安全管理软件,进行计算机外设接口管理,杀毒软件管理,IP地址管理,对办公无关的软件、进程的管理,违规外联管理,资产管理等。让网络更加健壮)稳定的运行。
2.8. 服务器群组防护
应用服务器系统作为信息化建设和使用中资源信息的提供者其重要性越显突出。在企事业单位网络中,财务数据、客户信息、人事档案、机密数据及各种核心业务都保存和运行在服务器系统上,服务器系统存贮、处理网络上80%的数据和信息。因此,服务器系统作为承载企业核心数据资产的重要部分,是最应该加强安全管理和防护的网络领域。服务器群组防护系统从接入安全、传输安全、内容安全、状态安全等安全需求角度出发,将设备认证(IP安全)、访问控制(协议端口安全)、用户认证授权(实名制)、**技术(传输安全)、内容审计(信息内容安全)、服务器状态检测(服务器运行安全)等多项技术有机结合,从而实现了对应用服务器全面的、多层次的立体性防护。
2.9. 网络管理软件
为了实现了从宏观到微观、从整体到局部、从网络到应用的运维管理,使工作简单化、人性化,因此部署网络管理软件,可以发现网络拓扑,骨干链路管理,设备管理,异常流量管理,故障预警,报表分析等,使整个网络更加稳定运行。
10
2.10. 统一日志管理
日志管理系统属于软件形态的系统,这里需要在监狱系统IT网管平台内部署日志管理服务器以及相关数据库,同时在需要进行管理的重要节点(包括所有的应用服务器、数据库服务器、网络设备、安全设备)上进行配置,将其日志服务器指向日志审计服务器即可。日志管理系统集中收集了原本分散在各个节点上的日志信息,进行集中记录,一方面提供给系统管理员,对网络内的访问过程进行深入分析,并在发生安全事件后对访问过程进行分析,从而发现系统内可能存在的安全隐患;另一方面也作为整体信息安全管理中心的事件来源,使安全管理中心能够有效掌握网络的活动状态,并对威胁来源进行准确定位; 3. 解决方案总结
本方案按照可信网络架构,分别从可信网络计算环境、可信用户行为监管、可信数据安全保护三个层面,结合监狱系统信息网络的实际情况,以应用为核心,构建了全面的信息安全保障系统,其中可信网络计算环境、可信用户行为监管、可信数据安全保护实际上是从应用访问的三个重要环节(访问主体、访问客体、应用支撑计算环境)进行了细致的保护,确保应用系统访问活动过程的安全,并在集中的安全管理中心下,对监狱系统信息网络实现了动态的监测与响应,真正做到少发生安全事件、发生安全事件时能快速响应、发生安全事件后能有效追踪、信息系统能动态调整等。
11
服务器
审计
漏扫群组防护
防毒墙
统一日志管理
省局IPS
防病毒服务器
防火墙
终端管理
SDH
防火墙监狱
IPS
统一日志管理防毒墙
防病毒服务器
终端管理 3.1. 实现了源头控制
方案采用分区的方式,并根据各个区域内的访问特点设计有效的边界防护措
施,通过引入防火墙、入侵防御、网闸等多种技术综合起来,形成完善的边界访
问控制,有效保障监狱系统信息网络的安全性;
12
3.2. 实现了有效的分区管理
本方案采用划分安全域的办法,将监狱系统信息网络划分为多个安全区域,同时针对各个安全区域内接入的用户类型,执行严格的访问控制策略,体现出差异化的策略设计,以及“重点资产、重点防护”的设计原则;
另外,在重要的并且是容易发生安全事件的数据中心边界、互联网边界,综合采用了访问控制、监测和审计措施,形成多层次的保护。
3.3. 有效对抗攻击
方案中综合考虑并实现了基于用户行为、基于数据保护以及可信网络计算环境的安全设计,通过多种安全技术,实现了多层的防护。
另外,针对监狱系统访问来源广泛,用户行为不可控等因素,通过边界访问控制、内容安全检测等技术,充分提升了信息网络的抗攻击能力,并在信息网络内形成了多种安全机制,有效对抗来自信息网络内、外的攻击行为。 3.4. 有效保障应用
从应用系统保护的角度,方案从可信网络环境、可信用户行为、可信数据保护等角度,形成多层次的防护,通过可信的网络环境建设,为应用系统的运行提供了安全可靠的运行环境。
13
范文三:网络安全技术方案
某市场网络安全技术方案
第一章 网络方案设计
某一大市场客户要求在宽带线路接入本地局域网后下面所属的两个不同用户层的局域网不能相互之间进行访问,并且在需要受保护的市场人员内部网中架设防火墙,为了能更好的产生性价,我们决定不采用能实现三层交换的路由器。
现根据客户提供的需求情况,我们提出以下的网络解决方案。
1.1 综述
整个网络系统划为市场经营户内网和市场工作人员内部网两个部分。由于考虑到用最节省的方法下解决须三层路由所要解决的两个内网之间相互不能访问而又要同时上网的功能,所以使用了三级网络结构,但即便这样网络结构仍然简单清晰,易于维护和故障检查,网络的整体结构示意图如图所示:
1.2 方案说明
在网络接入端采用一个简单的INTERNET网关做为接入,并且做NAT方式,网关地址为192.168.1.1。在市场经营户这部分用一台不可网管交换机接客户端,网络地址段为192.168.1.0,所有电脑通过接入端网关相连满足上网需要。
在需要保护的市场工作人员这部分网络段中,先将易尚700S接在接入端网关后面,将接入端所做的
NAT地址192.168.1.2作为外网地址,并在防火墙内部设置为NAT地址转换,网段地址为192.68.68.0,防火墙地址为192.68.68.1(这一网络段中使用的是IP地址段都是192.68.68.0),这样从外网下来的网络信息包都通过易尚700S的检测,起到保护整个市场工作人员内部网的作用,并使得两个内网之间实现不能相互访问。
1.3.6 网络安全
随着以网络为核心的信息技术日新月异的发展,尤其是Internet/Intranet在全球的迅速普及,网络安全问题正日益成为人们关注的头号焦点。对于宁海网络来说,内部信息网络系统的安全涉及到两个方面的问题:
一是如何有效地防止网络外在的非法攻击
二是来自于网络内部,包括管理人员的误操作以及某些恶意的内部攻击
对于前者通过安放易尚防火墙来解决,后者只能通过建立相应的管理制度来解决。
1.3.6.1 管理制度的建立
对网络而言,100%零风险意味着网络几乎关闭,根本不能提供网络服务,这是不可取的。换句话说,网络安全不可能做到100%的零风险。购买了高性能的网络安全产品并不意味着信息主管从此可以高枕无忧。信息安全并不仅仅局限于通信保密,其实网络信息安全牵扯到方方面面的问题,是一个极其复杂的工程。要实施一个完整的网络与信息安全体系,至少应包括三类措施,一是规章制度,及安全教育等外部软环境。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存贮通信、身份论证,授权等。但只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。主要措施有:实时监控安全状态、提供实时改变安全策略的能力,对现有的安全系统实施漏洞检查等,以防患于未然。总之,要实施一个安全的系统,应三管齐下。为了确保网络的绝对安全,仅仅在安全技术上采取种种措施是远远不够的,一个有效的网络安全管理体制是网络安全的关键所在。网络安全管理制度的核心是围绕着用户的帐户和口令而展开的。任何一个部门或分系统都应该在该制度下运转,服从统一的安全策略。以下是实践经验总结出的一些原则:
●对系统中主机、数据库、文件系统也需要进行访问控制。
缩短口令周期,要求管理员常常更换口令,并选择一些不易被人猜中的字串作为口令。
●对于由于人员调动等原因长期不用或废弃的帐户要及时清除,防止被人利用后而不能马上发现。
●将拥有系统管理员口令的人数限制在尽可能少的范围内。
●定时检查网管系统的事件记录,对每次可疑情况进行深入调查。
1.3.6.2 设置防火墙
在市场工作人员的内网接入端使用防火墙好处在于:
(1) 防火墙能强化安全策略
因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
(2)防火墙能有效地记录Internet上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行纪录。
(3)防火墙限制暴露用户点
防火墙能够隔开网络中一个网段与另一个网段的信息通讯。
(4)防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 我们知道,现在我们连接Internet,主要的目的是访问Internet各项服务,而Internet的各项服务均是通过各种基于TCP/IP协议的应用程序完成的。我们在进行需求分析,规划设计原则时,必须从这些TCP/IP应用程序的安全隐患以及用途出发。
目前通用的TCP/IP服务如下所示:
SMTP一用于电子邮件
NNTP一用于网络新闻组
SNMP一用于网络管理
FTP
Telnet
WWW
等等
1.减少内部网连接Internet的出口点;
应确保DMZ区(非军事用区-暴露在共网上的设备)内的机器,在与Internet通信时,都必须经过防火墙。通常一个网络只建立一台防火墙,作为内部机器与外部Internet连接的唯一出口。除了网络拓扑结构保证外,还要注意的有以下方面:
2.提供合理有效的服务
一般来说,Internet服务主要分为三大类,即电子邮件、FTP以及WWW
对于其他TCP/IP服务,则应禁止穿透防火墙与Internet通讯。这是因为:
SNMP:是用于进行网络系统管理的协议。由于目前信息网中的网络管理是通过内部专线对内部机器进行控制,不可能有SNMP信息穿透防火墙的需求。而且,SNMP中包含的信息均是与网络系统管理控制有关,非常重要,使之穿透防火墙,流入Internet是非常危险的。所以需要绝对禁止SNMP穿透防火墙。
NNTP:是用于Internet网络新闻组的协议。由于NNTP所实现的Internet新闻自动接收是完全被动的,难以对接收的内容以及流量进行控制。所以让NNTP穿透防火墙具有很大的安全隐患。所以建议信息网不提供Internet的NNTP服务,禁止NNTP服务穿透防火墙。 Telnet:Telnet仅局限于内部网中应用,而且Telnet的信息在网络是以明文的方式进行传送,所以在Internet服务中提供Telnet也是非常危险和不必要的,所以必须绝对禁止Telnet穿透防火墙。
3.没有明确允许的信息流必须禁止通过防火墙
在进行需求分析以及防火墙设计时,必须遵循从小到大原则,即需要什么服务方可打开什么服务。缺省情况下,应禁止所有信息通过。然后,根据具体需要,逐步允许指定的信息流通过。
4.对外部用户Internet进行隔离, 防止进入内部网
(1)如果计划建立自己的Internet站点并允许外部用户访问,应将
提供给外部用户访问的服务器放在防火墙外的DMZ区。
如WWWServer,FTPServer,DNSServer
(2)绝对禁止外部Internet用户穿透防火墙访问内部信息网。
(3)阻止外部用户对内部资源的访问请求
—DNS
—Proxy
(4)进行完整的日志备份
这将有助于发现安全漏洞,及时发现侵入者
范文四:信息技术-网络安全(教案)
网络技术应用-网络安全(教案)
一、课程设计理念和思想
现在大部分学生都会上网,但是网络中的黑客行为、病毒和垃圾一直在侵袭和破坏我们
的网络环境。如何看待信息安全,让学生树立正确的网络安全观念呢?这就要求我们在计算机教学中应该让学生了解计算机犯罪的危害性,学会病毒防犯和信息安全保护的方法,引导学生养成安全的信息活动习惯,树立信息安全意识和自我保护意识,自觉规范个人网络行为,做一个维护网络秩序、净化网络空间的道德公民。
二、教学对象分析
高二学生具备一定信息技术基础,具备了一定的信息收集、处理、表达能力,对上网有浓厚的兴趣。 但在上网过程中,他们好奇心重,对网络安全没有足够的认识,在面对网络的诱惑中容易迷失方向,因此在教学过程中要十分注重培养学生的网络安全意识,同时加强他们的网络道德能力,使他们能遵守规范,自尊自爱,文明上网,争做遵守网络道德的模范。
三、教学目标
知识目标:1、介绍常见的黑客攻击手段,尽量深入浅出,让学生比较容易的理解。
2、了解计算机病毒的定义、特性及有关知识。 3、学会病毒防护和信息安全防护的基本方法。
4、了解威胁信息安全的因素,知道保护信息安全的基本措施。
能力目标:1、学会使用杀毒软件进行病毒防护。
2、提高发现计算机安全问题和解决问题的能力。
情感目标:增强学生的信息安全意识和道德水平,教育学生文明上网, 遵守相关法律规范,养成良好的上网习惯。
四、教学重点、难点:
重点:计算机信息安全问题及防范策略;
难点:介绍黑客,讲解黑客常用的攻击手段。
五、教学方法:
实例演示法、自主探究法、讨论法。
六、课前准备:
1、制作互联网安全方面的损失图标两份; 2、收集教材案例;
七、教学过程:
1
2
3
范文五:信息技术与网络安全
信息技术与?网络安全
一、学习目的:
1、了解计算机?、计算机网络?的脆弱性。
2、了解计算机?网络存在的?安全隐患及?安全隐患产?生的原因。 3、了解防范安?全隐患的常?用措施。
4、了解常用的?安全技术:病毒防治及?防火墙。
二、教材分析:
通过本节课?的学习, 让学生知道?有关计算机?网络安全的?基本概念,了解计算 机网络系统?存在的安全?隐患及产生?这些安全隐?患的主要原?因,了解病毒防?治、防 火墙等安全?技术。
重点: 了解计算机?网络的安全?隐患及其产?生的原因、防范安全隐?患的常用措?施。
难点:对病毒防治?和防火墙的?认识。
三、教学过程:
(一)导入新课: 同学们,信息安全是?当前阻碍信?息技术进一?步深入我们?日常生活、学习和工 作的最大的?阻力, 由于网络的?不安全性, 使得人们对?网络的应用?有所顾忌和?保留, 达不到理想?的交流效果?。 请同学根据?自己的体验?,谈谈使用信?息技术进行?工作和 学习的存在?哪些安全问?题,以及有何解?决的方法, 通过创设情?景,提出相关问?题, “QQ 是我和朋友?联系,和同事探讨?问题的好 工具。可今天却怎?么也登入不?上去了,并提示密码?错误,可我输入的?密码肯定是? 对的,很着急,请大家替我?想想办法。 ”经过对问题?的具体分析?,即引出今天?的 教学内容——计算机的安?全问题。
(二)用深情的语?言感化学生?。
1([设问]:同学们,人的生命是?脆弱的,很容易受自?身因素和外?界环境的 影响而生病?甚至一命乌?呼,其实计算机?网络在安全?上也是很脆?弱的。同学们,你 们知道计算?机网络脆弱?的原因吗,
[学生活动]:学生对此问?题展开讨论?,各说其词。
1 [教师活动]:首先对学生?的讨论进行?点评、总结。然后完整阐?述造成计算?机 网络脆弱性?的两大因素?:计算机本身?问题和计算?机网络问题?。最后,以图表的形?式呈现具体?的子因素。计算机网络?的脆弱性示?意图:
2([设问]:请同学们归?纳计算机网?络存在的安?全隐患并分?析产生隐患?的原因, [教师活动]:查看学生归?纳情况,观察学生活?动,并参与探讨?,最后列 出产生安全?隐患原因的?示意图:
3([设问]:同学们,你们在使用?过程中有没?有碰到过这?类事情呀,如果碰 到过,那么你们又?是怎么来解?决的,
[学生活动]:学生说说自?己的情况(气氛开始活?跃起来) ,请学生代表?说说 碰到的一些?典型问题, 然后针对这?些问题展开?讨论,以自我推荐?的方式讲述?自己 的解决之道(学生很得意??,在学生面前?露了一把,这也是对学?生的一种激?励) 。 [教师活动]:认真倾听,归纳小结,适当加以表?扬。
2 最后老师分?别从计算机?系统、自然环境和?人为因素等?三个方面系?统介绍防范? 计算机网络?安全隐患的?一般措施(最好结合实?例讲解) ,并强调学生?在以后的计? 算机网络建?构时要注意?这几方面的?因素。比如在讲到?电磁辐射时?,告诉学生实?际上电子设?备工作过程?都有电磁辐?射产生。电磁辐射在?网络中表现?出两方面的?脆弱性。电磁辐射物?能够破坏网?络中传输的?数据, 这种辐射的?来源不外是?两个方面:网络周围电?子电气设备?产生的电磁?辐 射和试图破?坏数据传输?而预谋的干?扰辐射源;另一方面,网络的终端?、打印机或其?他电子设备?在工作时产?生的电磁辐?射泄露,即使用不太?先进的设备?,在近处甚至?远处都可以?将这些数据?,包括在终端?屏幕上显示?的数据接收?下来,并且重新恢?复。
4([设问]:通过以上知?识的学习,同学们对计?算机网络知?识有了一定?的了 解,现在我们来?思考一下如?何构建一个?安全的计算?机网络系统?呢, [学生活动]:以小组形式?展开,学生提出自?己的方案,发表自己的?想法,小组共同商?讨方案的可?行性。
[教师活动]:教师了解各?小组情况,进行归纳和?总结,提取几个典?型方案进 行全班分析?、讨论。
5(常用的安全?技术:要构建真正?意义上的安?全的计算机?网络系统,还必须 掌握一些常?用的安全技?术,如病毒防治?、防火墙等。
[问题 1]同学们,你们知道计?算机病毒是?什么吗,它与生物病?毒有关系吗?, 以及我们应?该如何来防?治计算机病?毒呀,
[学生活动]:学生通过网?络搜索查看?有关病毒特?性、病毒种类及?、病毒防治 措施方面的?内容,加深对病毒?的系统了解?。
[教师活动]:
1、分析讲解计?算机病毒与?生物病毒的?异同。 不同点:计算机病毒?是人为编制?的计算机程?序,而生物病毒?是一种病菌?。 相同点:?具有寄生性?。?具有隐藏性?。?具有潜伏性?。?具有传染性?。? 具有破坏性?,等等。
2、病毒的防治?。
要有效地防?治病毒, 首先应了解?病毒的特性?,然后采用杀?毒软件等进?行查杀 病毒或安装?相应补丁。教师可适当?举例说明,如如何对疯?狂作案的“冲击波”病 毒进行防治?,
症状分析: 被感染的机?器会出现莫?名其妙的死?机与反复重?启、 网络速度变?慢、 应用程序异?常、不能拷贝粘?贴、IE 浏览器不能?打开链接等?现象,而网络本身?由 于充斥了无?数的攻击数?据而变得非?常拥挤,服务器和网?关时有瘫痪?。 原因分析:该病毒是利?用微软公司? Windo?ws 操作系统 RPC DCOM 漏洞进行传? 播,能够使遭受?攻击的系统?崩溃,并通过网络?向仍有此漏?洞的计算机?传播。 解决方法:下载并安装?微软补丁。
[问题 2]:防火墙就是?一种防火的?设备吗,防火墙是如?何实现的网?络安全 的, 防火墙的本?义原是指古?代人们房屋?之间修建的?那道墙, 这道墙可以?防止火灾 发
生的时候?蔓延到别的?房屋。而这里所说?的防火墙当?然不是指物?理上的防火?墙, 而是指隔离?在本地网络?与外界网络?之间的一道?防御系统, 是这一类防?范措施的总? 称。
[学生活动]:打开“天极网”相关网页,学习有关防?火墙的相关?知识。 [教师活动]:1、教师讲解防?火墙的功能?。
防火墙通过?控制和监测?网络之间的?信息交换和?访问行为来?实现对网络?安全 的有效管理?,其基本功能?为:过滤进、出网络的数?据;管理进、出网络的访?问行 为; 封堵某些禁?止行为;记录通过防?火墙的信息?内容和活动?;对网络攻击?进行 检测和告警?。
2、讲清实现防?火墙的三种?技术。
分组过滤技?术、应用网关、代理服务。
(三)通过讨论主?题,完成德育的?内化和升华?:
我们青少年?正处于这样?一个时代:信息技术的?发展日新月?异,各种新 思想、新产品、新技术层出?不穷,而且发展的?速度越来越?快。作为国家未?来建设 的主力军,作为未来世?界的主人,现代青少年?肩负着发展?信息技术,建设安全与? 文明的信息?社会的历史?责任。我们应该自?觉遵守法律?、规则和道德?,加强自我保?护意识,提高自我保?护的能力。所有这一切?需要我们通?过不断的学?习,通过终身 的学习,迎接挑战,实现理想。
(四)学生练习: 1 为什么说计?算机网络在?安全上是脆?弱的,它的脆弱性?主要体现在?哪些方 面, 2、联系实际,讲一讲防范?安全隐患的?常用措施。 3、举例说明最?近影响力较?大的一些计?算机病毒的?特点及其防?治措施。 4、说说你心目?中的防火墙?是如何的,
转载请注明出处范文大全网 » 《信息网络安全技术》
