计算机技术网络安全技术教程 ch10 网络安全解决方案.ppt

《计算机技术网络安全技术教程 ch10 网络安全解决方案.ppt》由会员分享，可在线阅读，更多相关《计算机技术网络安全技术教程 ch10 网络安全解决方案.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第十章第十章 网络安全解决方案网络安全解决方案第第10章章 网络安全解决方案网络安全解决方案 内容提要：内容提要：网络安全体系结构网络安全体系结构网络安全解决方案网络安全解决方案 单机用户网络安全解决方案单机用户网络安全解决方案 内部网络安全管理制度内部网络安全管理制度 小结小结第十章第十章 网络安全解决方案网络安全解决方案10.1 网络安全体系结构网络安全体系结构 1.网络信息安全的基本问题网络信息安全的基本问题 网网络络信信息息安安全全的的基基本本问问题题是是众众所所周周知知的的诸诸要要素素：可可用用性性、保保密密性性、完完整整性性、可可控控性性与与可可审查性等。审查性等。最最终终要要解解

2、决决是是使使用用者者对对基基础础设设施施的的信信心心和和责任感的问题。责任感的问题。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 网网络络时时代代的的信信息息安安全全有有非非常常独独特特的的特特征征，研究信息安全的困难在于：研究信息安全的困难在于：边界模糊边界模糊评估困难评估困难安全技术滞后安全技术滞后管理滞后管理滞后返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2.网络与信息安全体系网络与信息安全体系 要实施一个完整的网络与信息安全体系，要实施一个完整的网络与信息安全体系，至少应包括三类措施，并且三者缺一不可。至少应包括三类措施，并且三者缺一

3、不可。一是社会的法律政策、规章制度措施一是社会的法律政策、规章制度措施二是技术措施二是技术措施三是审计和管理措施三是审计和管理措施返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 数据安全、平台安全、服务安全要求用完数据安全、平台安全、服务安全要求用完整的信息保障体系，并不断发展传统的信息安整的信息保障体系，并不断发展传统的信息安全概念。全概念。保护、检测、响应、恢复涵盖了对现代网保护、检测、响应、恢复涵盖了对现代网络信息系统保护的各个方面，构成了一个完整络信息系统保护的各个方面，构成了一个完整的体系，使网络信息安全建筑在更坚实的基础的体系，使网络信息安全建筑在更坚实的基

4、础之上。之上。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（1）保护（）保护（Protect）：）：保保护护包包括括传传统统安安全全概概念念的的继继承承，用用加加解解密密技技术术、访访问问控控制制技技术术、数数字字签签名名技技术术，从从信信息息动动态态舆舆、数数据据静静态态存存储储和和经经授授权权方方可可使使用用，以以及及可可验验证证的的信信息息交交换换过过程程等等到到方方面面对对数数据据及及其其网上操作加以保护。网上操作加以保护。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）检测（）检测（Detect）：）：检检测测的的含含义义是是，对

5、对信信息息传传输输的的内内容容的的可可控控性性的的检检测测，对对信信息息平平台台访访问问过过程程的的甄甄别别检检测测，对对违违规规与与恶恶意意攻攻击击的的检检测测，对对系系统统与与网网络络弱弱点点与漏洞的检测等等。与漏洞的检测等等。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（3）响应（）响应（React）：）：在在复复杂杂的的信信息息环环境境中中，保保证证在在任任何何时时候候信信息息平平台台能能高高效效正正常常运运行行，要要求求安安全全体体系系提提供供有有力的响应机制。力的响应机制。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（4）恢复（）

6、恢复（Restore）：）：狭狭义义的的恢恢复复指指灾灾难难恢恢复复，在在系系统统受受到到攻攻击击的的时时候候，评评估估系系统统受受到到的的危危害害与与损损失失，按按紧紧急急响响应应预预案案进进行行数数据据与与系系统统恢恢复复，启启动动备备份份系系统统恢恢复复工工作作等等。广广义义的的恢恢复复还还包包括括灾灾难难生生存存等等现现代新兴学科的研究。代新兴学科的研究。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 保保护护、检检测测、响响应应、恢恢复复四四个个概概念念之之间间存存在在着着一一定定的的因因果果和和依依存存关关系系，形形成成一一个个整整体体。如如果果全全面面的的

7、保保护护仍仍然然不不能能确确保保安安全全（这这在在现现阶阶段段是是必必然然的的），就就需需要要检检测测来来为为响响应应创创造造条条件件；有有效效与与充充分分地地响响应应安安全全事事件件，将将大大大大减减少少对对保保护护和和恢恢复复的的依依赖赖；恢恢复复能能力力是是在在其其他他措措施施均均失失准备的情形下的最后保障机制。准备的情形下的最后保障机制。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案3.网络安全体系结构网络安全体系结构 要要使使信信息息系系统统免免受受攻攻击击，关关键键要要建建立立起起安安全全防防御御体体系系，从从信信息息的的保保密密性性，拓拓展展到到信信息息的

8、的完完整整性性、信信息息的的可可用用性性、信信息息的的可可控控性性、信信息息的不可否认性等。的不可否认性等。为为研研究究的的方方便便，可可以以将将其其简简化化为为用用三三维维框框架架表表示示的的结结构构模模型型，其其构构成成要要素素是是安安全全特特性性、系统单元及开放互连参考模型结构层次。系统单元及开放互连参考模型结构层次。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案返回本章首页返回本章首页安全防御体系结构框架安全防御体系结构框架第十章第十章 网络安全解决方案网络安全解决方案 上上述述框框架架模模型型是是一一个个立立体体空空间间结结构构，突突破破了了以以往往分分散散孤

9、孤立立地地考考虑虑安安全全问问题题的的旧旧模模式式，是是站站在在顶顶层层从从整整体体上上对对网网络络安安全全进进行行分分析析和和描描述述的的。它它把把与与网网络络安安全全相相关关的的物物理理、规规章章及及人人员员等等安安全全要要素素都都容容纳纳其其中中，涉涉及及系系统统保保安安和和人人员员的的行行政政管管理理等等方方面面的的各各种种法法令令、法法规规、条条例例和和制度等也均在其考虑之列。制度等也均在其考虑之列。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 在在进进行行计计算算机机网网络络安安全全设设计计、规规划划时时，应应遵循以下原则：遵循以下原则：需求、风险、代价平

10、衡分析的原则需求、风险、代价平衡分析的原则 综合性、整体性原则综合性、整体性原则一致性原则一致性原则易操作性原则易操作性原则适应性、灵活性原则适应性、灵活性原则多重保护原则多重保护原则返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 任何安全保护措施都不是绝对安全的，都任何安全保护措施都不是绝对安全的，都可能被攻破。为此需要构建全方位的安全体系。可能被攻破。为此需要构建全方位的安全体系。全方位的安全体系的主要内容包括：全方位的安全体系的主要内容包括：访问控制访问控制检查安全漏洞检查安全漏洞攻击监控攻击监控加密通讯加密通讯认证认证备份和恢复备份和恢复返回本章首页返回本章首页

11、第十章第十章 网络安全解决方案网络安全解决方案10.2 网络安全解决方案网络安全解决方案 1.网络安全需求分析网络安全需求分析（1）网络安全需求分析的基本原则）网络安全需求分析的基本原则 网络系统的安全性和易用性在很多时候是网络系统的安全性和易用性在很多时候是矛盾的，因此，在做安全需求分析时需要在其矛盾的，因此，在做安全需求分析时需要在其中找到一个恰当的平衡点，如果安全原则妨碍中找到一个恰当的平衡点，如果安全原则妨碍了系统应用，那么这个安全原则就不是一个好了系统应用，那么这个安全原则就不是一个好的原则。的原则。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 在做需求分析

12、时需要确立的几种意识：在做需求分析时需要确立的几种意识：风险意识风险意识权衡意识权衡意识相对意识相对意识集成意识集成意识返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）安全威胁分析）安全威胁分析 企业网络面临的安全威胁主要来自以下方企业网络面临的安全威胁主要来自以下方面：面：操作系统的安全性。操作系统的安全性。防火墙的安全性。防火墙的安全性。来自内部网用户的安全威胁。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全缺乏有效的手段监视、评估网络系统的安全性。性。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案采用的采用的TCP/I

13、P协议族软件，本身缺乏安全协议族软件，本身缺乏安全性。性。应用服务的安全性。应用服务的安全性。未能对来自未能对来自Internet的电子邮件夹带的病毒的电子邮件夹带的病毒及及Web浏览可能存在的浏览可能存在的Java/ActiveX控件进控件进行有效控制。行有效控制。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 一一套套完完整整的的网网络络安安全全解解决决方方案案，应应该该根根据据目目标标网网络络系系统统的的具具体体特特征征和和应应用用特特点点，有有针针对对性性地地解解决决可可能能面面临临的的安安全全问问题题。具具体体来来讲讲，需需要考虑的问题包括：要考虑的问题包括：

14、关于物理安全的考虑关于物理安全的考虑 关于数据安全的考虑关于数据安全的考虑数据备份的考虑数据备份的考虑防病毒的考虑防病毒的考虑关于操作系统关于操作系统/数据库数据库/应用系统的安全考虑应用系统的安全考虑返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案网络系统安全结构的考虑网络系统安全结构的考虑通信系统安全的考虑关于口令安全的考虑通信系统安全的考虑关于口令安全的考虑关于软件研发安全的考虑关于软件研发安全的考虑关于人员安全因素的考虑关于人员安全因素的考虑 网络相关设施的设置和改造网络相关设施的设置和改造 安全设备的选型安全设备的选型安全策略与安全管理保障机制的设计安全策略与安

15、全管理保障机制的设计返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案网络安全行政与法律保障体系的建立网络安全行政与法律保障体系的建立长期安全顾问服务长期安全顾问服务服务的价格服务的价格事件处理机制事件处理机制安全监控网络和安全监控中心的建立安全监控网络和安全监控中心的建立安全培训等安全培训等返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（3）企业网络的安全需求分析）企业网络的安全需求分析企业网络的基本安全需求企业网络的基本安全需求 企业网络内部部署了众多的网络设备、服企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务器，

16、保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。务系统的安全，是企业网络的基本安全需求。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案业务系统的安全需求业务系统的安全需求 企业网络应保障：企业网络应保障：访问控制，确保业务系统不被非法访问。访问控制，确保业务系统不被非法访问。数据安全，保证数据库软硬件系统的整体安数据安全，保证数据库软硬件系统的整体安全性和可靠性。全性和可靠性。入侵检测，能及时发现、记录和跟踪破坏业入侵检测，能及时发现、记录和跟踪破坏业务系统的恶意行为，提供非法攻击的证据。务系统的恶意行为，提供非法攻击的证据。来自网络内部其他系

17、统带来的安全隐患。来自网络内部其他系统带来的安全隐患。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案Internet服务网络的安全需求服务网络的安全需求 Internet服务网络安全需求是保护网络不服务网络安全需求是保护网络不受破坏，确保网络服务的可用性。受破坏，确保网络服务的可用性。Internet服服务网络分为两个部分：务网络分为两个部分：提供网络用户对提供网络用户对Internet的访问的访问提供提供Internet对网内服务的访问对网内服务的访问返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 作为信息网络之间互联的边界安全应作为作为信息网

18、络之间互联的边界安全应作为主要安全需求包括：主要安全需求包括：保证信息网络间安全互联，能够实现网络安全保证信息网络间安全互联，能够实现网络安全隔离；隔离；对于专有应用的安全服务；对于专有应用的安全服务；必要的信息交互的可信任性；必要的信息交互的可信任性；能够提供对于主流网络应用的良好支持；能够提供对于主流网络应用的良好支持；返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案信息网络公共资源能够对开放用户提供安全访信息网络公共资源能够对开放用户提供安全访问；问；对网络安全事件的审计；对网络安全事件的审计；对于网络安全状态的量化评估；对于网络安全状态的量化评估；对网络安全状态的

19、实时监控；对网络安全状态的实时监控；返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 信息网络内部的安全需求，包括：信息网络内部的安全需求，包括：信息网络中的各单位网络之间建立连接控制信息网络中的各单位网络之间建立连接控制手段；手段；能够满足信息网络内的授权用户对相关专用能够满足信息网络内的授权用户对相关专用网络资源访问；网络资源访问；同时对于远程访问用户增强安全管理；同时对于远程访问用户增强安全管理；加强对于整个信息网络资源和人员的安全管加强对于整个信息网络资源和人员的安全管理与培训。理与培训。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（4）

20、安全需求分析的一般过程）安全需求分析的一般过程返回本章首页返回本章首页 本节以本节以某公司网络某公司网络为例，来介为例，来介绍进行安全绍进行安全需求分析的需求分析的一般过程，一般过程，网络拓扑结网络拓扑结构如右图所构如右图所示。示。第十章第十章 网络安全解决方案网络安全解决方案 网络系统的总体安全需求是建立在对网络网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于安全层次分析基础上的。对于基于TCP/IP协协议的网络系统来说，安全层次是与议的网络系统来说，安全层次是与TCP/IP协协议层次相对应的，针对网络的实际情况，可以议层次相对应的，针对网络的实际情况，可以将安全需求层次归

21、纳为网络层安全和应用层安将安全需求层次归纳为网络层安全和应用层安全两个技术层次，同时将在各层都涉及的安全全两个技术层次，同时将在各层都涉及的安全管理部分单独作为一部分进行分析。管理部分单独作为一部分进行分析。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案网络层需求分析网络层需求分析网络层安全需求是保护网络不受攻击，确保网络层安全需求是保护网络不受攻击，确保网络服务的可用性。网络服务的可用性。能够防范来自能够防范来自Internet的对提供服务的非法的对提供服务的非法利用。利用。防范来自防范来自Internet的网络入侵和攻击行为的的网络入侵和攻击行为的发生。发生。对于内

22、部网络提供高于网络边界更高的安全对于内部网络提供高于网络边界更高的安全保护。保护。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案应用层需求分析应用层需求分析 应用层的安全需求是针对用户和网络应用资应用层的安全需求是针对用户和网络应用资源的，主要包括：源的，主要包括：合法用户可以以指定的方式访问指定的信息；合法用户可以以指定的方式访问指定的信息；合法用户不能以任何方式访问不允许其访问的合法用户不能以任何方式访问不允许其访问的信息；信息；非法用户不能访问任何信息；非法用户不能访问任何信息；用户对任何信息的访问都有记录。用户对任何信息的访问都有记录。返回本章首页返回本章首页第

23、十章第十章 网络安全解决方案网络安全解决方案安全管理需求分析安全管理需求分析 能否制定一个统一的安全策略，在全网范能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于企业网来说是围内实现统一的安全管理，对于企业网来说是至关重要的。至关重要的。安全管理主要包括三个方面：安全管理主要包括三个方面：内部安全管理内部安全管理网络安全管理网络安全管理应用安全管理应用安全管理 返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2.网络安全解决方案网络安全解决方案（1）网络安全解决方案的层次划分）网络安全解决方案的层次划分第一部分为法律、法规与管理手段第一部分为法律、法规与管

24、理手段第二部分为增强的用户认证第二部分为增强的用户认证 第三部分是授权第三部分是授权 第四部分是加密第四部分是加密 第五部分为审计、监控和数据备份第五部分为审计、监控和数据备份返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 在上述网络和信息安全模型中，五个部分在上述网络和信息安全模型中，五个部分是相辅相成、缺一不可的。其中底层是上层保是相辅相成、缺一不可的。其中底层是上层保障的基础，如果缺少下面各层次的安全保障，障的基础，如果缺少下面各层次的安全保障，上一层的安全措施则无从说起。上一层的安全措施则无从说起。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解

25、决方案（2）网络安全解决方案）网络安全解决方案 返回本章首页返回本章首页 根据上根据上述网络安全述网络安全解决方案的解决方案的层次分析，层次分析，可以设计出可以设计出如图所示的如图所示的网络安全解网络安全解决方案。决方案。第十章第十章 网络安全解决方案网络安全解决方案 在总部网关位置配置在总部网关位置配置CheckPoint Firewall-1 防火墙，划分多安全区域，将内网，防火墙，划分多安全区域，将内网，对外发布的对外发布的Web Server 和电子商务网站放置和电子商务网站放置在不同的网络安全区域。在不同的网络安全区域。在服务器区前放置在服务器区前放置CheckPoint Firew

26、all-1 防火墙模块，其他区域对服务器区的访问必防火墙模块，其他区域对服务器区的访问必须经过防火墙模块的检查。须经过防火墙模块的检查。在中心交换机上配置基于网络的在中心交换机上配置基于网络的IDS系统，系统，监控整个网络内的网络流量。监控整个网络内的网络流量。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 在服务器区内的重要服务器，如在服务器区内的重要服务器，如Sybase 数据库服务器等，安装基于主机的入侵检测系数据库服务器等，安装基于主机的入侵检测系统，对所有对数据库服务器的访问进行监控，统，对所有对数据库服务器的访问进行监控，并对数据库服务器的操作进行记录和审计

27、。并对数据库服务器的操作进行记录和审计。将电子商务网站和进行公司普通将电子商务网站和进行公司普通Web发布发布服务器进行独立配置，对电子商务网站的访问服务器进行独立配置，对电子商务网站的访问将需要身份认证和加密传输，保证电子商务的将需要身份认证和加密传输，保证电子商务的安全性。安全性。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 在在DMZ区的电子商务网站配置基于主机的区的电子商务网站配置基于主机的入侵检测系统，防止来自入侵检测系统，防止来自Internet 对对Http服服务的攻击行为。务的攻击行为。在公司总部安装在公司总部安装Spa统一认证服务器，对统一认证服务器

28、，对所有需要的认证进行统一管理，并根据客户的所有需要的认证进行统一管理，并根据客户的安全级别设置所需要的认证方式（如静态口令，安全级别设置所需要的认证方式（如静态口令，动态口令，数字证书等）。动态口令，数字证书等）。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（3）设备说明）设备说明 防火墙设备防火墙设备 在本方案中选用的防火墙设备是在本方案中选用的防火墙设备是CheckPoint FireWall-1防火墙。防火墙。FireWall-1功能特点有：功能特点有：对应用程序的广泛支持对应用程序的广泛支持集中管理下的分布式客户机集中管理下的分布式客户机/服务器结构服务器结

29、构远程网络访问的安全保障（远程网络访问的安全保障（FireWall-1 SecuRemote）：）：返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防病毒设备防病毒设备 在本方案中防病毒设备选用的是趋势科技在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案，包括中央管理的整体防病毒产品和解决方案，包括中央管理控制、服务器防病毒和客户机防病毒三部分。控制、服务器防病毒和客户机防病毒三部分。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案入侵监测设备入侵监测设备 在本方案中入侵监测设备采用的是在本方案中入侵监测设备采用的是NFR入入侵监测设备

30、，包括侵监测设备，包括NFR NID和和NFR HID。NFR把把基基于于网网络络的的入入侵侵检检测测技技术术NID和和基基于于主主机机的的入入侵侵检检测测技技术术HID完完美美地地结结合合起起来来，构成了一个完整的，一致的实时入侵监控体系。构成了一个完整的，一致的实时入侵监控体系。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案SPA身份认证设备身份认证设备 本方案采用的身份认证设备是本方案采用的身份认证设备是Secure Computing的的SafeWord。SafeWord具备分具备分散式运作及无限制的可扩充特性。散式运作及无限制的可扩充特性。返回本章首页返回本章

31、首页第十章第十章 网络安全解决方案网络安全解决方案10.3 单机用户网络安全解决方案单机用户网络安全解决方案 由由于于当当前前个个人人用用户户使使用用Windows类类操操作作系系统统的的占占大大多多数数，因因此此本本节节所所讨讨论论的的单单机机用用户户网网络络安安全全解解决决方方案案主主要要是是针针对对Windows系系列列操操作作系系统统的的。单单机机上上网网用用户户面面临临的的安安全全问问题题主主要包括：要包括：返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案计算机硬件设备的安全计算机硬件设备的安全计算机病毒计算机病毒网络蠕虫网络蠕虫恶意攻击恶意攻击木马程序木马程序

32、网站恶意代码网站恶意代码操作系统和应用软件漏洞等操作系统和应用软件漏洞等返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案1.Windows98安全解决方案安全解决方案（1）Windows98系统面临的安全威胁系统面临的安全威胁 Windows98系统的可控性和可管理性相系统的可控性和可管理性相对较差，从自身来讲安全性不强，但同时来自对较差，从自身来讲安全性不强，但同时来自于于Internet上的安全威胁又相对较少，主要体上的安全威胁又相对较少，主要体现在：现在：返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案恶意网络攻击恶意网络攻击网络共享漏洞网络共

33、享漏洞恶意网站代码恶意网站代码不明来历的包含病毒与木马的应用程序不明来历的包含病毒与木马的应用程序恶意电子邮件攻击等恶意电子邮件攻击等返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 其中电子邮件带来的安全问题主要包括：其中电子邮件带来的安全问题主要包括：电子邮件容易被截获电子邮件容易被截获电子邮件客户端软件设计存在缺陷电子邮件客户端软件设计存在缺陷返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）Windows98安全解决方案安全解决方案 根据以上的分析对根据以上的分析对Windows98系统的安系统的安全解决方案主要包括：全解决方案主要包括：

34、防病毒与木马防病毒与木马防网络攻击防网络攻击防网站恶意代码防网站恶意代码电子邮件安全电子邮件安全返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防病毒与木马防病毒与木马 防病毒与木马主要依赖于防病毒软件，目防病毒与木马主要依赖于防病毒软件，目前比较流行的有代表性的防病毒软件有：前比较流行的有代表性的防病毒软件有：Norton Anti-Virus、Kaspersky Anti-Virus、江民的江民的KV系列、金山毒霸和瑞星等。系列、金山毒霸和瑞星等。防病毒软件通常也具有一定防木马的能力，防病毒软件通常也具有一定防木马的能力，专业的防木马软件有：木马克星、专业的防木马软件

35、有：木马克星、Anti-Trojan、Trojan Remover等。等。安装防病毒软件绝对不是一劳永逸的，一安装防病毒软件绝对不是一劳永逸的，一定要养成定期更新病毒代码库的良好习惯。定要养成定期更新病毒代码库的良好习惯。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防网络攻击防网络攻击 防网络攻击的有效手段是安装个人防火墙。防网络攻击的有效手段是安装个人防火墙。应用防火墙软件最主要的是要设置好防火墙的应用防火墙软件最主要的是要设置好防火墙的规则，只有这样才能正常发挥抵御网络攻击的规则，只有这样才能正常发挥抵御网络攻击的能力。典型的个人防火墙软件主要有：能力。典型的个人

36、防火墙软件主要有：Norton Internet Security、ZoneAlarm Pro、Black Ice、天网防火墙（个人版）、绿、天网防火墙（个人版）、绿色警戒等。色警戒等。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防网站恶意代码防网站恶意代码 对于单机上网用户来说，网站恶意代码是对于单机上网用户来说，网站恶意代码是威胁用户安全的主要因素。威胁用户安全的主要因素。为了防网站恶意代码的危害，不让其执行为了防网站恶意代码的危害，不让其执行是其中的关键。可以在是其中的关键。可以在IE浏览器的安全设置中浏览器的安全设置中禁止禁止VBScript和和JavaScr

37、ipt的执行。此外，的执行。此外，如今的防病毒软件大多数也具有检测并杀除网如今的防病毒软件大多数也具有检测并杀除网站恶意代码的能力。站恶意代码的能力。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案电子邮件安全电子邮件安全 从技术上看，没有任何办法可以阻止攻击从技术上看，没有任何办法可以阻止攻击者截获需要在网络上传输的数据包。者截获需要在网络上传输的数据包。保护电子邮件安全的唯一方法就是让攻击保护电子邮件安全的唯一方法就是让攻击者截获了数据包但无法阅读它，即对电子邮件者截获了数据包但无法阅读它，即对电子邮件的内容进行某种形式的加密处理。目前已经出的内容进行某种形式的加密处

38、理。目前已经出现了不少解决电子邮件安全问题的加密系统解现了不少解决电子邮件安全问题的加密系统解决方案，其中最具代表性的是决方案，其中最具代表性的是PGP加密系统。加密系统。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2.Windows 2000/XP安全解决方案安全解决方案 针对针对Windows98的安全措施对的安全措施对Windows 2000/XP同样有效，也是同样有效，也是Windows 2000/XP安全解决方案的重要组成部分。此外安全解决方案的重要组成部分。此外Windows 2000/XP的可管理性比的可管理性比Windows 98要强得多，要强得多，本

39、小节主要从安全管理和安全配置方面进行介绍。本小节主要从安全管理和安全配置方面进行介绍。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（1）Windows 2000/XP安全管理安全管理 停用停用Guest 帐号帐号限制不必要的用户数量限制不必要的用户数量创建创建2个管理员用帐号个管理员用帐号把系统把系统administrator帐号改名帐号改名创建一个陷阱帐号创建一个陷阱帐号把共享文件的权限从把共享文件的权限从everyone组改成组改成授授权用户权用户返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案使用安全密码使用安全密码设置屏幕保护密码设置屏幕

40、保护密码使用使用NTFS格式分区格式分区保障备份盘的安全保障备份盘的安全返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）Windows 2000 安全配置安全配置利用利用win2000/XP的安全配置工具来配置策略的安全配置工具来配置策略关闭不必要的服务关闭不必要的服务关闭不必要的端口关闭不必要的端口打开审核策略打开审核策略开启密码策略开启密码策略 开启帐户策略开启帐户策略设定安全记录的访问权限设定安全记录的访问权限返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案不让系统显示上次登陆的用户名不让系统显示上次登陆的用户名到微软网站下载最新的补丁程

41、序到微软网站下载最新的补丁程序 禁止建立空连接禁止建立空连接关闭默认共享关闭默认共享禁止禁止dump file的产生的产生关机时清除掉页面文件关机时清除掉页面文件禁止从软盘和禁止从软盘和CD Rom启动系统启动系统考虑使用智能卡来代替密码考虑使用智能卡来代替密码虑使用虑使用IPSec返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.4 内部网络安全管理制度内部网络安全管理制度 面面对对网网络络安安全全的的脆脆弱弱性性，除除在在网网络络设设计计上上增增加加安安全全服服务务功功能能，完完善善系系统统的的安安全全保保密密措措施施外外，还还必必须须花花大大力力气气加加强强网网

42、络络的的安安全全管管理理。下下面面提提出出有有关关信信息息系系统统安安全全管管理理的的若若干干原原则则和和实实施措施以供参考。施措施以供参考。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案1.安全管理原则安全管理原则 计算机信息系统的安全管理主要基于三个计算机信息系统的安全管理主要基于三个原则。原则。多人负责原则多人负责原则任期有限原则任期有限原则职责分离原则职责分离原则返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2安全管理的实现安全管理的实现 信息系统的安全管理部门应根据管理原则和该信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性

43、，制订相应的管理制度或系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：采用相应规范，其具体工作是：确定该系统的安全等级。确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。根据确定的安全等级，确定安全管理的范围。制订相应的机房出入管理制度。制订相应的机房出入管理制度。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案制订严格的操作规程。制订严格的操作规程。制订完备的系统维护制度。制订完备的系统维护制度。制订应急措施。制订应急措施。建立人员雇用和解聘制度建立人员雇用和解聘制度,对工作调动和离职人对工作调动和离职人员要及时调整相应的授权。员要及时

44、调整相应的授权。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案3网络安全管理制度网络安全管理制度（1）网络安全管理的基本原则）网络安全管理的基本原则分离与制约原则分离与制约原则内部人员与外部人员分离内部人员与外部人员分离用户与开发人员分离用户与开发人员分离用户机与开发机分离用户机与开发机分离权限分级管理权限分级管理有限授权原则有限授权原则预防为主原则预防为主原则可审计原则可审计原则返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）安全管理制度的主要内容包括：）安全管理制度的主要内容包括：机构与人员安全管理机构与人员安全管理系统运行环境安全管理系

45、统运行环境安全管理硬设施安全管理硬设施安全管理软设施安全管理软设施安全管理网络安全管理网络安全管理数据安全管理数据安全管理技术文档安全管理技术文档安全管理应用系统运营安全管理应用系统运营安全管理操作安全管理操作安全管理应用系统开发安全管理应用系统开发安全管理返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.5 小结小结 网网络络安安全全是是一一项项复复杂杂的的系系统统工工程程，涉涉及及技技术术、设设备备、管管理理和和制制度度等等多多方方面面的的因因素素，安安全全解解决决方方案案的的制制定定需需要要从从总总体体上上进进行行把把握握。网网络络安安全全解解决决方方案案的的内内涵涵是是综综合合运运用用各各种种计计算算机机网网络络信信息息系系统统安安全全技技术术，将将安安全全操操作作系系统统技技术术、防防火火墙墙技技术术、病病毒毒防防护护技技术术、入入侵侵检检测测技技术术、安安全全扫扫描描技技术术、认认证证和和数数字字签签名名技技术术、VPN技技术术等等综综合合起起来来，形形成成一一个个完完整整的的、协协调调一一致致的的网络安全防护体系。网络安全防护体系。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案返回本章首页返回本章首页本章到此结束，谢谢！本章到此结束，谢谢！