安全管理 安全评估
整体安全 技术因素
网络安全 数据链路安全
物理安全
安全策略
安全的主要技术
安全重点在于：
❖ 服务器的安全、终端的安全 ❖ 体现在：Email安全、FTP安全、WEB
服务安全、DNS服务的安全、Telnet 安全、SNMP的安全、数据库安全 ❖ 针对网络安全层次2，3，4层总结出 十一种安全技术
Firewall
• 无法防止基于应用层的攻
Hub
击
• 无法防止全部的网络层拒 绝服务攻击
Server
Computer Computer Computer
备份网管中心
Server Computer
Firewall
Hub
认证技术(二）
• 认证技术
– 分类
• 生物特征：指纹、虹膜； • 智能卡：IC、Token/USB Key； • 一次性口令方式：基于时间同步、基于事件同步； • 认证协议：CHAP、Radius、TACACS、LDAP、
– 缺点
• 无法跟上安全技术的发展速度 • 只能提供报告，无法实际解决 • 可能出现漏报和误报
防病毒体系（七）
备份与容灾恢复（十）
• 备份与容灾系统
– 多种备份方式结合，能很好保障数据安全 – 大规模实施，成本很高
• 备份、容灾模式
– 双机热备 – Cluster – 异地备份 – 存储备份 – 存储网络
网络安全
新疆清华万博
网络安全层次
• 层次一：物理环境的安全性（物理层安全） • 层次二：操作系统的安全性（系统层安全） • 层次三：网络的安全性（网络层安全） • 层次四：应用的安全性（应用层安全） • 层次五：管理的安全性（管理层安全）
网络安全层次架构
应用数据安全 应用平台的安全性 操作系统平台的安全性
• 系统安全加固
–分类
• 使用产品 • 利用系统本身设置
–优点
• 将C2级的unix系统提高到B级 • 增强系统的的抗攻击性 • 较大的提高系统本身安全和审计能力
–缺点
• 目前不便于普遍的实施 • 系统易用性会下降，管理成本上升。
数据的安全性(五）
• 数据的保密性
– 对称密钥加密技术 – 非对称密钥加密技术
防火墙技术(一）
• 防火墙
–分类
• 软件，硬件 • 包过滤，应用代理，状态
检测
–优点
ቤተ መጻሕፍቲ ባይዱ
• 有宜于在网络层阻止非授 权访问和攻击
• 可以在保护的边界上实施 一定的安全基准
北京网管中心
Server Server
Computer Computer Computer
• 提供一些增强的安全特性
–缺点
Server Server Computer
CA（SSL、SSH、IKE、自定制）； • 基于数字证书的认证； • 单点登陆：通过认证授权服务器；
– 单点登录的优点
• 很好的解决口令泄漏的问题 • 便于实施统一的口令管理
入侵检测技术（三)
• IDS系统（实时入侵检测)
–分类
IDS Agent
• 基于主机 • 基于网络
IAP+ IAP+ TLS TLS
lnternet VPN
网关防毒
认证服务器
防火墙
CA中心
漏洞扫描器
日志服务器 主机系统
IDS入侵检测监控中心 防毒管理中心
防火墙管理中心 扫描器管理中心 …
防火墙
IDS入侵检测 服务器防毒
客户端防毒 日志服务器
隔离网闸
IDS入侵检测
• 数据的完整性
– 校验和 – 消息完整性编码（MIC）
• 数据的不可否认性
– 有源端证据的抗抵赖性 – 有交付证据的抗抵赖性
• 数据的可用性
– 数据的备份与恢复
安全扫描(六）
• 安全扫描审计
– 分类
• 网络安全扫描 • 系统安全扫描
– 优点
• 较全面检测流行漏洞 • 降低安全审计人员的劳动强度 • 防止最严重的安全问题
隔离网闸（十一）
内 网 TCP/IP
内 网 非标准协议 机
单向传送
外
网 机
TCP/IP 外 网
传送机
网站保护—WebGuard（八）
WLAN安全(九）
ASU 10.10.10.34
支持WAPI标准
10.10.10.32 AP
STA1 10.10.10.42 STA2 10.10.10.44
综合安全体系示意图
–优点
IAP+
TLS
• 对重要服务的攻击企图能及时发
现
IAP+
• 能进行系统受攻击程度的量化
TLS
网管告 警中心
• 对攻击进行一定的取证
IDS
• 弥补防火墙的不足
Agent
–缺点
• 一般无法防止未知的攻击
• 不正确的使用等于无用
• 误报和漏报
IAP+ TLS
IAP+
TLS IDS Agent
操作系统安全加固(四）