网络安全保障的两个对象:
1)服务安全:确保网络设备的安全运行,提供有效的网络服务
2)数据安全:确保在网上传输数据的保密性、完整性和可用性等;
3)网络环境是抵御内外攻击的第一道防线,一共安排了7个控制点 :
结构安全
访问控制(网络访问控制、拨号访问控制)
网络安全审计
边界完整性检查
网络入侵防范
恶意代码防范
网络设备防护
三级结构安全包含哪些内容?
1.要求网络资源方面能够为网络的正常运行提供基本的保障(1级)
2.要求网络资源能够满足业务高峰的需要,同时应以网段形式分隔不同部门的系统(2级)
3.与一、二级相比,增加了“处理优先级”考虑:要求“”主要网络设备 “、“网络各个部分的带宽”,不仅要求满足基本的业务需要,更应满足业务高峰时的网络正常运行,以保证重要主机能够正常运行(3级)
网络访问控制的意义何在?
须对对于网络而言,最重要的一道安全防线就是边界,边界上汇聚了所有流经网络的数据流,必其进行有效的监视和控制。
何谓边界?
所谓边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间的连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。有连接,必有数据间的流动,因此在边界处,重要的就是对流经的数据(或者称进出网络)进行严格的访问控制。按照一定的规则允许或拒绝数据的流入、流出。
什么是拨号访问控制?
如果说,网络访问控制是从数据的角度对网络中流动的数据进行控制,那么,拨号访问控制则是从用户的角度对远程访问网络的用户进行控制。对用户的访问控制,同样应按照一定的控制规则来允许或拒绝用户的访问
三级访问控制包含哪些内容?
主要在网络边界处对经过的数据进行包头信息的过滤,以控制数 据的进出网络,对用户进行基本的访问控制 (1级)
对数据的过滤增强为根据会话信息进行过滤,对用户访问粒度进 一步细化,由用户组到单个用户,同时限制拨号访问的用户数量 (2级)
将过滤的力度扩展到应用层,即根据应用的不同而过滤,对设备 接入网络进行了一定的限制 (3级)
你怎么理解网络安全审计?
如果将安全审计仅仅理解为“日志记录”功能,那么目前大多数的 操作系统、网络设备都有不同程度的日志功能。但是实际上仅这些 日志根本不能保障系统的安全,也无法满足事后的追踪取证。安全 审计并非日志功能的简单改进,也并非等同于入侵检测
网络安全审计重点包括的方面:对网络流量监测以及对异常流量 的识别和报警、网络设备运行情况的监测等。通过对以上方面的记 录分析,形成报表,并在一定情况下发出报警、阻断等动作。其 次,对安全审计记录的管理也是其中的一方面。由于各个网络产品 产生的安全事件记录格式也不统一,难以进行综合分析,因此,集 中审计已成为网络安全审计发展的必然趋势。
有了访问控制为什么还需要网络入侵防范?
网络访问控制在网络安全中起到大门警卫的作用,对进出的数据进 行规则匹配,是网络安全的第一道闸门。但其也有局限性,它只能对 进出网络的数据进行分析,对网络内部发生的事件则无能为力。
基于网络的入侵检测,被认为是防火墙之后的第二道安全闸门,它主要是监视所在网段内的各种数据包,对每一个数据包或可疑数据包进行分析,如果数据包与内置的规则吻合,入侵检测系统就会记录事件的各种信息,并发出警报
网络恶意代码防范的手段是什么?
目前,对恶意代码的防范已是全方位、立体防护的概念。根据对恶 意代码引入的源头进行分析,可以得出,随着互联网的不断发展,从 网络上引入到本地的恶意代码占绝大多数。因此,在网络边界处对恶 意代码进行防范是整个防范工作的重点。部署了相应的网络防病毒产 品后,并不代表“万事大吉”了,根据统计,平均每个月有300种(?) 新的病毒被发现,如果产品恶意代码库跟不上这一速度,其实际检测 效率可能会大大降低,因此,必须及时地、自动更新产品中的恶意代 码定义。这种更新必须非常频繁,且对用户透明
为何需要进行网络设备防护? 防护什么?
对网络安全的防护,除了对网络结构、网络边界部署相应的安全措 施外,另外一个重要的方面就是对实现这些控制要求的网络设备的保 护。通过登录网络设备对各种参数进行配置、修改等,都直接影响网 络安全功能的发挥。因此,网络设备的防护主要是对用户登录前后的 行为进行控制。
未完,待续。。