分析后得出
潜在的安全风险
安全解决方案
进行
安全集成 / 应用开发
依照风险制定出
安全体系
•建立相应的
安全方案设计
进行
提出
安全服务
安全需求与目标
安全方案设计
安全方案设计的主要步骤
设计安全体系结构
确定安全方案设计原则
明确安全机制 选择安全技术
建立安全模型
安全方案设计
设计安全体系结构
应用层 表示层 会话层 传输层 网络层 链路层 物理层
身 访 数 数 不 审 可 根据实际的安全需求，确定要 问 据 据 可 计 用 份 建立一个什么样的安全体系 鉴 控 保 完 抵 管 性 别 制 密 整 赖 理
根据具体的安全风险，提出相 安全特性 应的安全需求
安全需求
安全威胁
分析具体的网络，了解网络系 统中潜在的安全风险
网络现状
三维安全体系结构框架
构建安全的计算机网络的建议
构建安全的计算机网络的建议
加强对公司领导和员工的安全教育，提高 安全意识； 制定切实可行的规章制度，确保网络安全 有法可依； 采用不同层次的网络安全产品和防病毒产 品构建多层次的安全防护体系； 定期进行网络安全评估，及时发现不安全 因素，并采取相应措施。
安全方案设计
选择网络安全技术
本课程前面介绍的各种网络安全技术均可用来建 立安全的网络。设计者可从中选择需要的技术。
防火墙技术 加密技术 鉴别技术 数字签名技术 入侵检测技术 审计监控技术 病毒防治技术 备份与恢复技术
安全方案设计
建立安全模型(MDPRR)
M R
Reaction 安全响应 Management 安全管理
Detection 入侵检测
Reaction 安全响应
安全体系的建立
安全代价 应用层
是不是所有 表示层 的网络安全 会话层 解决方案都 安全体系 传输层 需要建立在 这样一个完 网络层 整的体系之 链路层 上呢？ 物理层
结构层次 依照确定的安全体系，决定付
出多大的安全代价来实现
• • • • • • •
制度：安防体系的基础
安防制度的主要组成部分
计算机上机管理制度 用户账户管理制度
远程访问管理制度
信息保护管理制度 防火墙管理制度 特殊访问权限管理制度 网络连接设备管理制度 商业伙伴管理制度 顾客管理制度
技术：安防体系的基本保证
网络安防需要先进的信息安全技术
信息加密技术 身份鉴别技术结构层次• • • • Nhomakorabea• • •
身 份 鉴 别 访 问 控 制 数 据 保 密 数 据 完 整 不 可 抵 赖 审 可 计 用 管 性 理
安全特性
三维安全体系结构框架
安全方案设计
确定安全方案设计原则

需求、风险、代价平衡分析的原则 综合性、整体性原则
一致性原则
有效、实用和易操作性原则 适应性及灵活性原则
动态化原则
权责分割、互相制约和最小化原则 自主和可控的原则
多重保护原则
分布实施原则
安全方案设计
明确网络安全机制
ISO提出了八种安全机制，分别如下：
加密机制 数字签名机制 访问控制机制 数据完整性机制 交换鉴别机制 业务流量填充机制 路由控制机制 公证机制
安防工作是一个过程
没有一劳永逸的安防系统
攻防技术的不断发展决定了安防系统必须同时 发展与更新。 安全产品只是安全体系的一个部分，完善的安 防体系应是技术和管理的结合。安全管理需要 常抓不懈。
对员工的安全教育必须持之以恒。
安防工作是一个过程
安防工作是一个周而复始、循环上升的过程
100%安全的网络是不存 在的； 安防系统需要不断的变 化和调整； 安防工作是循序渐进、 不断完善的过程。
第五节
企业网络安全防 护策略
企业网络安全防护策略
本节概要
网络安全策略是安全管理体系和网络安全技术 的综合。本章将就企业范围的网络安全策略进行阐 述，着重介绍以下几方面： 企业安全防护体系的构成 建立安全的企业网络
安防工作是一个过程
企业安全防护体系的构成
企业安全防护体系的主要构成因素
人 制度 技术
资源使用授权技术
访问审计技术 备份与恢复技术 防病毒技术
技术：安防体系的基本保证
网络安防需要先进的安全产品
网络防火墙 VPN设备
入侵检测设备
漏洞评估产品 网络防病毒产品
技术：安防体系的基本保证
网络安防需要采用多层防护策略
单一的安全保护往往效果不理想
目前的趋势——应用和实施一个基于多层 次安全系统的全面信息安全策略
人
安全防护体系
制度
技术
人：安防体系的根本动力
人是安防体系中的最薄弱环节
对安全防护工作重视的领导是安防工作顺利推 进的主要动力； 有强烈安全防护意识的员工是企业安防体系得 以切实落实的基础； 杜绝企业内部员工攻击网络系统是加强安全防 护的一项重要工作。
人：安防体系的根本动力
加强安全教育、提高网络安全意识
没有100%安全的网络
安防工作是风险、性能和成本之间的折衷 安防的成本应该小于系统受损后可能造成的损 失
风险 性能
成本
安防工作是一个过程
没有一成不变的安防系统
网络安全防御系统是个动态的系统，攻防技术 都在不断发展。安防系统必须同时发展与更新。 定期的风险评估是保证系统安全的有效手段。 系统的安全防护人员必须密切追踪最新出现的 不安全因素和最新的安防理念，以便对现有的 安防系统及时提出改进意见。 安防工作是一个循序渐进不断完善的过程。
启蒙——为安全培训工作打基础，端正对企业 的态度，让他们充分认识到安防工作的重要意 义及在不重视安防工作的危险后果。 培训——传授安全技巧，使其更好的完成自己 的工作。
教育——目标是培养IT安防专业人才，重点在 于拓展应付处理复杂多变的攻击活动的能力和 远见。
制度：安防体系的基础
安防制度的定义和作用
安防制度是这样一份或一套文档，它从整体上规 划出在企业内部实施的各项安防控制措施。 安防制度的作用主要有：
减轻或消除员工和第三方的法律责任
对保密信息和无形资产加以保护 防止浪费企业的计算机资源
制度：安防体系的基础
安防制度的生命周期
安防制度的生命周期包括制度的制定、推行和监 督实施。
第一阶段：规 章制度的制 第三阶段：规章制度的监 定。本阶段以风险评估工 第二阶段：企业发布执行 督实施。制度的监督实施 作的结论为依据制定出消 的规章制度，以及配套的 应常抓不懈、反复进行， 除、 奖惩措施。 减轻和转移风险所需 保证制度能够跟上企业的 要的安防 控制措施。 发展和变化 制度的制定
D
Detection 入侵检测
安全模型 MPDRR
R
Recovery 安全恢复
P
Protect 安全保护
安全方案设计
建立安全模型(MDPRR)
$dollars
Management 安全管理
$dollars
统一管理、协调 PDRR之间的行动
Recovery 安全备份 $dollars Protect 安全保护
安全应用软件的开发
购买安全服务
购买安全服务
安全是一个动态的过程，静态的安全网络架构并不 能完全抵御住新的安全威胁。专业的安全服务可以帮助 客户不断调整安全策略、提高网络的安全水平。常见的 安全服务有：
网络安全咨询 网络安全培训 网络安全检测 网络安全管理 应急响应服务
安防工作是一个过程
提出安全解决方案
提出安全解决方案
安全网络的建设者应针对前面设计中提出的各种安 全需求，提出可行的安全解决方案。 一般安全网络设计项目均会涉及到下述安全需求：
身份鉴别 访问控制 数据加密 病毒防护 入侵检测 安全评估 备份与恢复
安全产品集成及应用软件开发
安全产品集成及应用软件开发
安全网络的建设者应针对前面设计中提出的各种安 全需求，提出可行的安全解决方案。 一般安全网络设计项目均会涉及到下述安全需求： 安全产品的集成
在各个层次上部署相关的网络安全产品
分层的安全防护成倍地增加了黑客攻击的 成本和难度
从而卓有成效地降低被攻击的危险，达到 安全防护的目标。
技术：安防体系的基本保证
网络安防更需要完善的整体防卫架构
防病毒 入侵检测
访问控制 漏洞评估
虚拟专用网
防火墙
建立安全的企业网络
建立安全网络的一般步骤：
网络系统现状