网络安全管理政策
网络安全管理政策是信息安全管理政策的一个组成部分。
信息安全管理政策:通过保证维护信息的机密性、完整性和可用性来管理和保护机构部门的所有的信息资产的一项*。
网络类型:
局域网(LAN):用于连接本地系统。
城域网(MAN):用于连接大城市范围内的系统。
广域网(WAN):用于连接比大城市局域网的范围更大的系统。
防护措施:
安全服务管理、鉴定与验证、审计跟踪、入侵检测、恶意代码防护、网络安全管理、安全网关、数据的保密性、完整性和可信性、虚拟专用网、灾难恢复等。
安全服务管理:启动并监控安全措施的实施和操作。
鉴定与验证:确保网络服务及相关信息的安全通过,并通过只允许合法用户访问网络来进行保护。
安全网关:分隔各逻辑网络,提供用于限制和分析在两个逻辑网络之间传输的信息功能。
虚拟专用网(VPN):一个使用现有的网络基础构建的安全专用网络。
网络安全风险评估
风险评估:判断信息技术基础设施的安全状况的能力。
信息安全风险评估因素:信息资产价值、安全威胁、安全缺陷。
ISMS信息安全管理系统
风险评估目标:核实和评定一个组织及其财产所面临的的风险,以核实并选择证明是正确的相应的安全控制系统。
网络访问控制和防火墙
访问控制:保证网络资源不被非法使用和访问。
包括入网访问控制、网络权限控制、目录级控制、属性安全控制、服务器安全控制等。
入网访问控制:控制那些能够登陆到服务器并获取网络资源的用户,控制准许用户入网的时间和准许他们在哪台工作站入网。
权限控制:针对网络非法操作所提出的一种安全措施。
防火墙:位于两个信任程度不同的网络之间的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要的信息资源的非法存取和访问,以达到保护系统安全的目的。
网络级防火墙:基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。
应用级防火墙:能够检查进出的数据包,通过防火墙复制传递数据,防止在受信任服务器和客户机与不受信任的主机之间直接建立联系。
防火墙功能
包过滤、网络地址翻译、代理服务。
包过滤功能:拒绝接受从未授权的主机发送的TCP/IP包,并拒绝接受使用未授权的服务的连接请求。
网络地址翻译(NAT):防火墙在接收到数据包后,将源地址或者是目的地址修改后发送,以解决IP地址不足的问题。通过防火墙、路由器等网络边缘设备实现。
代理服务:代理服务器从客户端接到请求后,访问需要访问的服务器,并将结果返回给客户端。
VPN基本概念和介绍
虚拟专用网络(VPN):在VPN客户机与VPN网关之间创建一个加密的、虚拟的点对点连接,保障数据在经过因特网时的安全。
网络隧道技术:利用一种网络协议来传输另一种网络协议。
点对点隧道协议(PPTP):允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
安全IP(IPSEC)隧道模式:IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络发送。
自愿隧道:用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。
强制隧道:由支持VPN的拨号接入服务器配置和创建一条强制隧道。
点对点协议(PPP):设计用来通过拨号或专线方式建立点对点连接发送数据。主要用于连接拨号用户和NAS。
PPP拨号会话过程:
建立PPP链路、用户验证、PPP回叫控制、调用网络层协议。
建立PPP链路:PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。
用户验证:客户端将用户的身份证明发给远端的接入服务器。验证方式包括口令验证协议(PAP)、挑战握手验证协议(CHAP)、微软挑战握手验证协议(MSCHAP)。
PAP:简单的明文验证方式。
CHAP、MSCHAP:加密的验证方式,能够避免建立连接时传送用户的真实密码。
PPP回叫控制:使用回叫,验证之后远程客户和NAS之间的连接将会被断开。
调用网络层协议:PPP将调用在链路创建阶段选定的各种网络控制协议(NCP)。
常见的隧道协议:
点对点隧道(PPTP)、第2层转发(L2F)、第2层隧道协议(L2TP)
点对点隧道(PPTP):将PPP数据帧封装在IP数据报内通过IP网络。
第2层转发(L2F):支持拨号接入服务器,将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器。
第2层隧道协议(L2TP):网络层协议,支持封装的PPP帧在IP、X.25、帧中继或ATM等的网络上进行传送。
参考书籍:网络安全基础与应用—张千里