【文章內容簡介】 集群（ clustering）技術。第二層含義：將大量 并發(fā)訪問或數(shù)據(jù)流量，分擔到多臺節(jié)點設備上分別處理，減 少用戶等待響應的時間。 任務 2 政務網(wǎng)安全解決方案 安全技術說明 (2) IPSec VPN IPSec VPN即指采用 IPSec協(xié)議來實現(xiàn)遠程接入 的一種 VPN技術 , IPSec協(xié)議是一個范圍廣泛、開放虛擬專用網(wǎng)安全協(xié)議 ,它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，提供透明的安全通信。 IPSec協(xié)議通過相應的隧道技術實現(xiàn) VPN。IPSec有兩種模式：隧道模式和傳輸模式。 任務 2 政務網(wǎng)安全解決方案 安全技術說明 (2) IPSec VPN IPSec的安全特性主要有： ? 不可否認性 ? 反重播性 ? 數(shù)據(jù)完整性 ? 數(shù)據(jù)可靠性（加密） ? 認證 項目二 企業(yè)網(wǎng)安全設計 【 實施目標 】 知識目標： ?了解企業(yè)網(wǎng)絡安全重要性及特點 ?熟悉企業(yè)網(wǎng)絡安全架構與優(yōu)化模型 ?了解企業(yè)網(wǎng)的安全威脅 ?熟悉企業(yè)網(wǎng)絡安全防范技術 項目二 企業(yè)網(wǎng)安全設計 技能目標： ?掌握企業(yè)網(wǎng)安全分析方法 ?掌握企業(yè)網(wǎng)絡網(wǎng)絡安全設計技術 項目二 企業(yè)網(wǎng)安全設計 【 項目背景 】 某公司現(xiàn)有企業(yè)網(wǎng)存在網(wǎng)絡安全隱患，具體表現(xiàn)在：服務器系統(tǒng)經常遭到來自互聯(lián)網(wǎng)用戶的非法鏈接；員工長時間訪問 P2P及多媒體網(wǎng)站，導致企業(yè)互聯(lián)網(wǎng)帶寬資源緊張，時常導致網(wǎng)絡擁塞；郵件服務器沒有相應的安全防護，員工抱怨經常收到垃圾郵件，有時還會遭到郵件病毒侵害；企業(yè)網(wǎng)對于用戶訪問缺乏有效監(jiān)控，員工權限不明，涉密信息通過各種出口時（如 USB、串口拷貝等方式），缺乏必要的監(jiān)控和審計；企業(yè)信息全部明文傳播，存在核心機密外泄的隱患。為避免上述安全問題，公司決定采取相關網(wǎng)絡安全措施，提高、優(yōu)化企業(yè)網(wǎng)絡安全性能。 項目二 企業(yè)網(wǎng)安全設計 【 需求分析 】 在建設企業(yè)網(wǎng)絡時，應將人員作為安全體系的核心，采用技術與管理相結合的方式來提高、優(yōu)化企業(yè)網(wǎng)絡安全性能。通過安全教育、技能培訓，提高企業(yè)員工的安全意識，減少因誤操作造成的網(wǎng)絡破壞。 在技術上，可采用適宜的網(wǎng)絡安全設備來提升網(wǎng)絡安全性能。對于黑客攻擊，可以采用防火墻、 IDS、 IPS和UTM技術；對于帶寬限制，可采用鏈路負載均衡設備、流量控制設備和廣域網(wǎng)加速設備來解決；采用 SSL VPN設備進行數(shù)據(jù)加密，提升企業(yè)安全級別。 項目二 企業(yè)網(wǎng)安全設計 【 預備知識 】 知識 1 企業(yè)網(wǎng)安全背景 知識 2 企業(yè)網(wǎng)安全框架與模型 知識 3 企業(yè)網(wǎng)安全威脅 知識 4 企業(yè)網(wǎng)絡安全防范 知識 1 企業(yè)網(wǎng)安全背景 企業(yè)網(wǎng)的安全問題分為兩類，一是類屬于計算機網(wǎng)絡固有的安全問題，包括協(xié)議漏洞、操作系統(tǒng)安全漏洞與網(wǎng)絡信道的一些安全漏洞；另一類是企業(yè)網(wǎng)本身存在的特殊的安全隱患，包括：信息的認證和傳輸、企業(yè)數(shù)據(jù)的安全與特殊應用系統(tǒng)的安全等。 知識 1 企業(yè)網(wǎng)安全背景 一、 企業(yè)網(wǎng)的安全隱患 企業(yè)網(wǎng)的安全隱患首先是計算機網(wǎng)絡存在的安全隱患，其次是企業(yè)網(wǎng)存在的安全隱患。 ? TCP/IP協(xié)議漏洞 ? 操作系統(tǒng)漏洞 ? 傳輸信道漏洞 知識 1 企業(yè)網(wǎng)安全背景 ? 信息的認證和傳輸 ? 企業(yè)數(shù)據(jù)的安全 ? 應用系統(tǒng)的安全 ? Web服務器 知識 1 企業(yè)網(wǎng)安全背景 二、企業(yè)網(wǎng)的安全防護現(xiàn)狀 企業(yè)網(wǎng)內部面臨安全隱患 知識 1 企業(yè)網(wǎng)安全背景 三、企業(yè)網(wǎng)的特點 ? 企業(yè)網(wǎng)與互聯(lián)網(wǎng)隔離 ? 建立了 S／ C結構的應用 ? 企業(yè)的日程運轉對內網(wǎng)的依賴程度越來越高 ? 對網(wǎng)絡的安全要求越來越高 知識 1 企業(yè)網(wǎng)安全背景 三、企業(yè)網(wǎng)的特點 解決企業(yè)網(wǎng)的安全安全問題首先是解決“人”的問題 ，其次才是“物”的問題。 ? 企業(yè)網(wǎng)安全缺乏人才。 ? 企業(yè)網(wǎng)的安全問題是一個整體的問題，需要從多個方面不同角度綜合考慮。 ? 企業(yè)網(wǎng)速度較快，內部信息容易快速竊取，監(jiān)控時機轉瞬即失，需要采取新的網(wǎng)絡安全設備、安全技術與安全手段。 ? 企業(yè)網(wǎng)需要考慮身份驗證和數(shù)據(jù)加密。 ? 企業(yè)網(wǎng)需要對用戶權限控制。 ? 加強安全意識。 知識 2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全框架 知識 2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全框架 框架說明： ? 安全機制作為整個框架的最底層，也是最基礎的平臺。該平臺確立了信息機密性，信息完整性，信息有效性，信息可控性，信息可審查性和信息不可否認性等共 6大安全機制。只有這些安全機制得以實現(xiàn)，網(wǎng)絡安全性才能得以保證。 ? 基本防護系統(tǒng)和安全信任平臺通過整合防火墻，身份認證，IDS，漏洞掃描，信息加密以及網(wǎng)絡監(jiān)控等多種安全技術來實現(xiàn)對網(wǎng)絡系統(tǒng)的防護，并向上平臺和用戶提供可信任的信息服務。 ? 網(wǎng)絡安全技術體系只是 Intra安全體系中的基礎設施，能為Intra網(wǎng)絡安全提供技術和設備上的保障，但安全的關鍵因素還是與網(wǎng)絡管理人員和使用者，也就是說“人”的因素有關，“人”是網(wǎng)絡安全體系是否安全可信的關鍵所在。因此，在安全體系框架中專門設置了“人”的安全管理、安全培訓和安全策略三個層次，并將它們置于整個體系的最上層。 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 各層次之間的關系 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 。人員是安全體系的核心。 。安全管理包括安全技術、設備、安全管理制 度以及部門與人員的組織規(guī)則等管理。 ? 事件處理管理 ? 安全審計管理 ? 安全恢復管理 ? 實施多人負責管理 ? 落實任期有限管理 ? 執(zhí)行職責分離管理 ? 建立完善的管理制度 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 。物理安全是指在物理介質層次上對 存儲和傳輸?shù)木W(wǎng)絡信息進行安全保護，也就是保 護計算機網(wǎng)絡設備、設施以及其他媒介免遭地震 、水災、火災等事故，以及人為行為導致破壞的 過程。 ? 物理安全區(qū)域 ? 設備安全 ? 存儲器和存儲介質安全 ? 機房安全 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 。系統(tǒng)層安全包含主機平臺安全。主 要問題為病毒、黑客對于網(wǎng)絡的威脅、破壞和侵 入。 ? 系統(tǒng)漏洞和后門 ? 帳戶管理和用戶特權的安全 ? IIS服務安全 ? 病毒防護系統(tǒng) ? 網(wǎng)絡安全隱患掃描 ? 密碼的安全 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 。企業(yè)網(wǎng)是以 Inter為基礎，是 Inter技術在企業(yè)中 的的應用。 ? 通過防火墻來隔離 Intra與 Inter，防止來自外部的非法訪問。 ? 利用 VPN—— 虛擬專用網(wǎng)，以解決數(shù)據(jù)傳輸?shù)陌踩珕栴}。 ? 實施協(xié)議隔離，把重要的服務器或主機隔離在特殊的通信協(xié)議網(wǎng)段內，可以防止非法訪問或非法竊取。 ? 做好傳輸鏈路鋪設，采用適宜的加密措施，防止線路竊聽。 ? 使用防病毒軟件。 ? 使用入侵檢測系統(tǒng) 。 知識 2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 。應用安全是指信息在應用 過程中的安全，也就是信息的使用安全。 ? 系統(tǒng)配置。 ? 檢查安全漏洞。 ? 身份認證。 ? 訪問控制。安全審計與監(jiān)控 知識 2 企業(yè)網(wǎng)安全框架與模型 一、 企業(yè)網(wǎng)安全模型 。企業(yè)網(wǎng)安全的核心是數(shù)據(jù)安全，需 要采用相應的加密技術、備份技術和恢復機制， 來實現(xiàn)網(wǎng)絡暢通、系統(tǒng)安全，保證企業(yè)網(wǎng)內部業(yè) 務的連續(xù)性和數(shù)據(jù)的完整性、可用性、安全性。 ? 數(shù)據(jù)加密 ? 容災備份（包括本地和遠程容災備份） ? 數(shù)據(jù)恢復 知識 3 企業(yè)網(wǎng)安全威脅 典型的網(wǎng)絡攻擊： ? 病毒侵襲 ? 黑客的非法闖入 ? 數(shù)據(jù)“竊聽”和攔截 ? 拒絕服務 ? 內部網(wǎng)絡安全 ? 電子商務攻擊 網(wǎng)絡安全隱患：