网络安全技术及应用第3章-网络安全体系及管理课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全技术及应用第3章-网络安全体系及管理课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 技术 应用 体系 管理 课件
- 资源描述:
-
1、 3.2 网络安全相关法律法规网络安全相关法律法规2 3.3 网络安全评估准则和方法网络安全评估准则和方法 3*3.4 网络安全管理过程网络安全管理过程、策略和规划策略和规划4 3.1 网络安全的体系结构网络安全的体系结构1 * *3.5 网络安全管理原则和制度网络安全管理原则和制度5 3.6 实验三实验三 统一威胁管理统一威胁管理UTM应用应用6 3.7 本章小结本章小结7 掌握掌握网络安全体系、法律法规、评估准则和网络安全体系、法律法规、评估准则和具体方法具体方法 理解理解网络安全管理规范网络安全管理规范,以及安全策略、管理以及安全策略、管理过程、原则和制度过程、原则和制度 了解网络安全规
2、划的主要内容和原则了解网络安全规划的主要内容和原则 掌握掌握网络安全统一威胁管理网络安全统一威胁管理UTM实验实验3.1 网络安全的体系结构网络安全的体系结构 我国高度重视网络安全管理工作我国高度重视网络安全管理工作。20142014年成年成立立中央网络安全和信息化工作领导小组中央网络安全和信息化工作领导小组, ,习近平亲自担任习近平亲自担任组长组长, ,强调强调没有网络安全就没有国家安全没有网络安全就没有国家安全, ,网络安全事关我网络安全事关我国国家安全和社会稳定国国家安全和社会稳定, ,事关人民群众切身利益事关人民群众切身利益. .并将维护并将维护网络安全网络安全上升为国家战略上升为国家
3、战略且且20162016年通过年通过网络安全法网络安全法, ,20172017国家安全会议国家安全会议又提出有关新思想、新观点、新论断。又提出有关新思想、新观点、新论断。 网络安全网络安全是影响国家安全、社会稳定、经济发展和文是影响国家安全、社会稳定、经济发展和文化传播的化传播的关键和基础关键和基础。随着信息化的快速发展,网络正在。随着信息化的快速发展,网络正在改变人们的工作生活方式,改变人们的工作生活方式,“谁控制网络空间谁就能控制谁控制网络空间谁就能控制一切一切”正在成为共识正在成为共识,网络安全已经成为信息时代,网络安全已经成为信息时代国家安国家安全的全的战略基石战略基石。案例案例3-1
4、3-1n 1.1.ISOISO网络安全体系结构网络安全体系结构 国际标准化组织(国际标准化组织(ISO)提出的开放系统互连参考模型提出的开放系统互连参考模型OSI(Open System Interconnect),主要),主要用于用于解决异构网解决异构网络及设备互联的开放式层次结构的研究。络及设备互联的开放式层次结构的研究。ISO网络安全体网络安全体系结构系结构主要包括网络安全机制和服务。主要包括网络安全机制和服务。 (1)网络安全机制)网络安全机制 ISO网络安全体系结构网络安全体系结构中,规定的中,规定的网络安全机制网络安全机制有有8项项:加密机制、数字签名机制、访问控制机制、数据完:加
5、密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。后续介绍主要部分。制和公证机制。后续介绍主要部分。 (2)网络安全服务)网络安全服务 网络安全服务主要有网络安全服务主要有5项项:鉴别服务、访问控制服务、:鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和可审查性服务。数据保密性服务、数据完整性服务和可审查性服务。3.1 网络安全的体系结构网络安全的体系结构 3.1.1 ISO3.1.1 ISO、TCP/IPTCP/IP及攻防体系结构及攻防体系结构 3.1 网络安全的体系结构网络安全
6、的体系结构 1 1)鉴别服)鉴别服务务: :主主要要用于用于网络系统中认定识别实网络系统中认定识别实体体( (含含用户及用户及设备设备等等) )和和数据源数据源等等, ,包包括同等实体鉴别和数据源鉴别服括同等实体鉴别和数据源鉴别服务。务。2 2)访问控制服务)访问控制服务;访问控制访问控制包括身份验证和权限验证。其包括身份验证和权限验证。其服务主要防止非法服务主要防止非法/ /越权越权访问访问/ /使用网络资源。使用网络资源。3 3)数据保密性服务)数据保密性服务:用于用于信息泄露、窃听等被动威胁等防信息泄露、窃听等被动威胁等防御措施。御措施。分为分为:信息保密、保护通信系统中的信息或网络数据
7、。:信息保密、保护通信系统中的信息或网络数据。对于通信系统中的信息,又分为面向连接保密和无连接保密。对于通信系统中的信息,又分为面向连接保密和无连接保密。4 4)数据完整性服务)数据完整性服务:主要:主要包括包括5 5种种:带恢复功能的面向连:带恢复功能的面向连接的数据完整性,不带恢复功能的面向连接的数据完整性,选接的数据完整性,不带恢复功能的面向连接的数据完整性,选择字段面向连接的数据完整性,选择字段无连接的数据完整性择字段面向连接的数据完整性,选择字段无连接的数据完整性和无连接的数据完整性,主要和无连接的数据完整性,主要用于用于满足不同用户、不同场合对满足不同用户、不同场合对数据完整性的要
8、求。数据完整性的要求。5 5)可审查性服务)可审查性服务。是防止文件或数据发出者无法否认所发。是防止文件或数据发出者无法否认所发送的原有内容真实性的防范措施送的原有内容真实性的防范措施, ,可可用于用于证实已发生过的操作。证实已发生过的操作。3.1.1 ISO3.1.1 ISO、TCP/IPTCP/IP及攻防体系结构及攻防体系结构 n 2. TCP/IP2. TCP/IP网络安全管理体系结构网络安全管理体系结构3.1 网络安全的体系结构网络安全的体系结构 图图3-1 TCP/IP网络安全管理体系结构网络安全管理体系结构 TCP/IP网络安全管理体系结构网络安全管理体系结构,如图如图3-1.包括
9、三个方面包括三个方面:分层安全管理、安全服务与机制分层安全管理、安全服务与机制(认证、访问控制、数据完整认证、访问控制、数据完整性、抗抵赖性、可用及可控性、审计性、抗抵赖性、可用及可控性、审计)、系统安全管理、系统安全管理(终端终端系统安全、网络系统、应用系统系统安全、网络系统、应用系统).综合安全管理、技术和机综合安全管理、技术和机制各方面制各方面,对网络安全对网络安全整体管理与实施和效能整体管理与实施和效能将起到将起到至关重要作用至关重要作用。 3.1.1 ISO3.1.1 ISO、TCP/IPTCP/IP及攻防体系结构及攻防体系结构 n 3. 3. 网络安全的攻防体系结构网络安全的攻防体
10、系结构 网络安全的攻防体系结构网络安全的攻防体系结构主要包括主要包括两大方面两大方面:攻击:攻击技术和防御技术。知其攻击才能有针对性搞好防御,主技术和防御技术。知其攻击才能有针对性搞好防御,主要的要的攻防体系结构攻防体系结构如图如图3-2所示。所示。3.1 网络安全的体系结构网络安全的体系结构 图图3-2 网络安全攻防体系结构网络安全攻防体系结构3.1 网络安全的体系结构网络安全的体系结构 为了做到为了做到“知己知彼,百战不殆知己知彼,百战不殆”, ,需要掌握好网络安全的攻防体系需要掌握好网络安全的攻防体系结构、常见的攻击技术和手段,有助于更好地进行网络安全防御结构、常见的攻击技术和手段,有助
11、于更好地进行网络安全防御。主主要常见的网络攻击技术要常见的网络攻击技术包括以下六种。包括以下六种。1 1)隐藏)隐藏IPIP。非授权者入侵目标终端网络前,先设法隐藏其。非授权者入侵目标终端网络前,先设法隐藏其IPIP地址。地址。 2 2)网络扫描。借助网络漏洞扫描工具探测目标终端或网站的操作系)网络扫描。借助网络漏洞扫描工具探测目标终端或网站的操作系统、开放端口和漏洞等,为入侵攻击做好统、开放端口和漏洞等,为入侵攻击做好“踩点(探路)踩点(探路)”准备。准备。3 3)网络监听。黑客利用各种网络,借助监听程序探测窃取目标终端)网络监听。黑客利用各种网络,借助监听程序探测窃取目标终端与其它设备之间
12、的通信情况和机密信息。与其它设备之间的通信情况和机密信息。 4 4)网络入侵。主要指入侵者利用不同的攻击技术和手段,通过网络)网络入侵。主要指入侵者利用不同的攻击技术和手段,通过网络入侵到目标主机或网站中,窃取机密资源、篡改数据或破坏等。入侵到目标主机或网站中,窃取机密资源、篡改数据或破坏等。5 5)网络后门。黑客成功入侵到目标设备或网站后,为了便于再次入)网络后门。黑客成功入侵到目标设备或网站后,为了便于再次入侵和控制,在目标终端或网站种植后门程序。侵和控制,在目标终端或网站种植后门程序。6 6)网络隐身。入侵结束后,为了防止被侦破、收集证据及惩治,不)网络隐身。入侵结束后,为了防止被侦破、
13、收集证据及惩治,不法者及时清除所有的入侵痕迹及日志。法者及时清除所有的入侵痕迹及日志。主要防御技术主要防御技术包括系统安全配置与加固、实体(物理)安全与隔离包括系统安全配置与加固、实体(物理)安全与隔离技术、密码及加密技术、计算机病毒查杀、防火墙、入侵检测与防御技技术、密码及加密技术、计算机病毒查杀、防火墙、入侵检测与防御技术、统一威胁资源管理(术、统一威胁资源管理(UTMUTM)等。后面将陆续具体介绍)等。后面将陆续具体介绍3.1.1 ISO3.1.1 ISO、TCP/IPTCP/IP及攻防体系结构及攻防体系结构 网络空间安全的学科知识体系网络空间安全的学科知识体系及有关及有关内容内容。 国
14、家国家863计划信息安全主题计划信息安全主题专家组首席专家专家组首席专家 、上海交通大学信息安全工程学院院长、上海交通大学信息安全工程学院院长李建华教授、博导李建华教授、博导, 2016年年8月在月在“十三五国家重点出版规划项目工作会议十三五国家重点出版规划项目工作会议”上上“网络空间安全网络空间安全人才培养知识体系思考人才培养知识体系思考”报告中提出报告中提出网络空间安全的学科知识体系网络空间安全的学科知识体系如图如图3-3。3.1 网络安全的体系结构网络安全的体系结构 3.1.2 3.1.2 网络空间安全体系网络空间安全体系图图3-3网络空间安全的学科知识体系网络空间安全的学科知识体系重点
15、重点3.1 网络安全的体系结构网络安全的体系结构 3.1.2 3.1.2 网络空间安全体系网络空间安全体系 由于网络空间安全威胁和隐患由于网络空间安全威胁和隐患剧增剧增,急需构建急需构建新型网络空间安全防新型网络空间安全防御体系御体系,并从传统线性防御体系向,并从传统线性防御体系向新型多层次的立体式网络空间防御新型多层次的立体式网络空间防御体系发展。以相关法律、准则、策体系发展。以相关法律、准则、策略、机制和技术为基础,以安全管略、机制和技术为基础,以安全管理及运行防御体系贯彻始终,从第理及运行防御体系贯彻始终,从第一层物理层防御体系、第二层网络一层物理层防御体系、第二层网络层防御体系和第三层
16、系统层与应用层防御体系和第三层系统层与应用层防御体系构成新型网络空间防御体系,可以实现多层防御的立体层防御体系构成新型网络空间防御体系,可以实现多层防御的立体化安全区域,将网络空间中的结点分布于所有域中,其中的所有活化安全区域,将网络空间中的结点分布于所有域中,其中的所有活动支撑着其它域中的活动,且其它域中的活动同样可以对网络空间动支撑着其它域中的活动,且其它域中的活动同样可以对网络空间产生影响产生影响,构建一种网络空间安全立体防御体系构建一种网络空间安全立体防御体系,如图如图3-4.图3-4网络空间安全防御体系。 网络安全保障体系网络安全保障体系如图如图3-5.其其保障功能主要体现在保障功能
17、主要体现在对整个网对整个网络系统的风险及隐患进行及时的评估、识别、控制和应急处理络系统的风险及隐患进行及时的评估、识别、控制和应急处理等等,便于有效地预防、保护、响应和恢复便于有效地预防、保护、响应和恢复,确保系统安全运行确保系统安全运行 。 3.1 网络安全的体系结构网络安全的体系结构 3.1.3 3.1.3 网络安全保障体系网络安全保障体系图图3-5 网络安全保障体系网络安全保障体系n 1 1网络安全保障关键要素网络安全保障关键要素网络安全保障网络安全保障包括四个方面:网络安全策略、网络安全管理、包括四个方面:网络安全策略、网络安全管理、网络安全运作和网络安全技术,如图网络安全运作和网络安
18、全技术,如图3-6所示。其中,所示。其中,网络安全策略网络安全策略为为安安全保障的核心全保障的核心,主要包括网络安全的战略、政策和标准。网络安全管理是,主要包括网络安全的战略、政策和标准。网络安全管理是指企事业机构的管理行为指企事业机构的管理行为,主要包括安全意识、组织结构和审计监督主要包括安全意识、组织结构和审计监督.网络网络安全运作安全运作是企事业机构的日常管理行为是企事业机构的日常管理行为,包括运作流程和对象管理包括运作流程和对象管理.网络安网络安全技术全技术是网络系统的行为是网络系统的行为,包括安全服务、措施、基础设施和技术手段。包括安全服务、措施、基础设施和技术手段。3.1 网络安全
19、的体系结构网络安全的体系结构 3.1.3 3.1.3 网络安全保障体系网络安全保障体系 图图3-6网络安全保障要素网络安全保障要素 图图3-7 P2DR模型示意图模型示意图3.1 网络安全的体系结构网络安全的体系结构 3.1.3 3.1.3 网络安全保障体系网络安全保障体系n 1 1网络安全保障关键要素网络安全保障关键要素在机构的管理机制下,只有利用运作机制借助技术手段,才可真在机构的管理机制下,只有利用运作机制借助技术手段,才可真正实现网络安全。通过网络安全运作,在日常工作中认真执行网络正实现网络安全。通过网络安全运作,在日常工作中认真执行网络安全管理和网络安全技术手段,安全管理和网络安全技
20、术手段,“七分管理,三分技术,运作贯穿七分管理,三分技术,运作贯穿始终始终”,管理是关键,技术是保障,管理是关键,技术是保障,其中的管理包括管理技术。,其中的管理包括管理技术。P2DR模型模型是美国是美国ISS公司提出的公司提出的动态网络安全体系的代表模型动态网络安全体系的代表模型,也是也是动态安全模型动态安全模型,包含包含4个主要部分个主要部分:Policy(安全策略安全策略)、Protection (防护防护)、Detection(检测检测)和和 Response(响应响应)。如上图。如上图3-7所示。所示。 。n 2 2网络安全保障总体框架网络安全保障总体框架 鉴于网络系统的各种威胁和风
21、险,以往传统针对单方面具体安全隐患鉴于网络系统的各种威胁和风险,以往传统针对单方面具体安全隐患,所所提出的具体解决方案具有一定其局限性提出的具体解决方案具有一定其局限性,应对措施也难免顾此失彼应对措施也难免顾此失彼.面对新网络面对新网络环境和威胁环境和威胁,需要建立一个以深度防御为特点的需要建立一个以深度防御为特点的网络信息安全保障体系网络信息安全保障体系。网络安全保障体系总体框架网络安全保障体系总体框架如图如图3-8.保障体系框架外围是风险管理、法律保障体系框架外围是风险管理、法律法规、标准的符合性。法规、标准的符合性。3.1 网络安全的体系结构网络安全的体系结构 3.1.3 3.1.3 网
22、络安全保障体系网络安全保障体系图图3-8 网络安全保障体系框架网络安全保障体系框架 n 2 2网络安全保障总体框架网络安全保障总体框架 网络安全管理的本质网络安全管理的本质是对网络信息安全风险进行动态及有效管理和控制。是对网络信息安全风险进行动态及有效管理和控制。网络安全风险管理是网络安全风险管理是网络运营管理的核心网络运营管理的核心,其中的,其中的风险分为风险分为信用风险、市场风信用风险、市场风险和操作风险险和操作风险(包括网络信息安全风险包括网络信息安全风险)。网络安全保障体系架构网络安全保障体系架构包括五个部分包括五个部分:1) 网络安全策略。属于整个体系架构网络安全策略。属于整个体系架
23、构顶层设计顶层设计,起到总体宏观上的战略性和起到总体宏观上的战略性和方向性方向性指导作用指导作用.以风险管理为核心理念以风险管理为核心理念,从长远发展规划和战略角度整体策划从长远发展规划和战略角度整体策划.2) 网络安全政策和标准。是对网络安全策略的逐层细化和落实,包括管理、网络安全政策和标准。是对网络安全策略的逐层细化和落实,包括管理、运作和技术三个层面,各层面都有相应的安全政策和标准,通过落实标准政策运作和技术三个层面,各层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,保证其规范管理、运作和技术,保证其统一性和规范性统一性和规范性。3) 网络安全运作。基于日常运作模式及
24、其概念性流程网络安全运作。基于日常运作模式及其概念性流程(风险评估、安全控制风险评估、安全控制规划和实施、安全监控及响应恢复规划和实施、安全监控及响应恢复).是是网络安全保障体系网络安全保障体系重点重点,贯穿网络安全始终贯穿网络安全始终,也是安全管理和技术机制在日常运作中的实现也是安全管理和技术机制在日常运作中的实现,涉及运作流程和运作管理涉及运作流程和运作管理.4) 网络安全管理。对网络安全运作至关重要,从人员、意识、职责等方面网络安全管理。对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的保证网络安全运作的顺利进行顺利进行。5) 网络安全技术。网络安全运作需要的网络安全基础
25、服务和基础设施的网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及及时支持时支持。先进完善的网络安全技术可极大提高网络安全运作的有效性,从而达。先进完善的网络安全技术可极大提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制恢复)的风险防范和控制。3.1 网络安全的体系结构网络安全的体系结构 3.1.3 3.1.3 网络安全保障体系网络安全保障体系国务院国务院国家中长期科技发展规划纲要国家中长期科技发展规划纲要(20062020年年)提出提出“以
展开阅读全文