网络安全管理政策
网络安全管理政策是信息安全管理政策的一个组成部分。
信息安全管理政策:通过保证维护信息的机密性、完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。
网络类型:
局域网(LAN):用于连接本地系统。
城域网(MAN):用于连接大城市范围内的系统。
广域网(WAN):用于连接比大城市局域网的范围更大的系统。
防护措施:
安全服务管理、鉴定与验证、审计跟踪、入侵检测、恶意代码防护、网络安全管理、安全网关、数据的保密性、完整性和可信性、虚拟专用网、灾难恢复等。
安全服务管理:启动并监控安全措施的实施和操作。
鉴定与验证:确保网络服务及相关信息的安全通过,并通过只允许合法用户访问网络来进行保护。
安全网关:分隔各逻辑网络,提供用于限制和分析在两个逻辑网络之间传输的信息功能。
虚拟专用网(VPN):一个使用现有的网络基础构建的安全专用网络。
网络安全风险评估
风险评估:判断信息技术基础设施的安全状况的能力。
信息安全风险评估因素:信息资产价值、安全威胁、安全缺陷。
ISMS信息安全管理系统
风险评估目标:核实和评定一个组织及其财产所面临的的风险,以核实并选择证明是正确的相应的安全控制系统。
网络访问控制和防火墙
访问控制:保证网络资源不被非法使用和访问。
包括入网访问控制、网络权限控制、目录级控制、属性安全控制、服务器安全控制等。
入网访问控制:控制那些能够登陆到服务器并获取网络资源的用户,控制准许用户入网的时间和准许他们在哪台工作站入网。
权限控制:针对网络非法操作所提出的一种安全措施。
防火墙:位于两个信任程度不同的网络之间的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要的信息资源的非法存取和访问,以达到保护系统安全的目的。
网络级防火墙:基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。
应用级防火墙:能够检查进出的数据包,通过防火墙复制传递数据,防止在受信任服务器和客户机与不受信任的主机之间直接建立联系。
防火墙功能
包过滤、网络地址翻译、代理服务。
包过滤功能:拒绝接受从未授权的主机发送的TCP/IP包,并拒绝接受使用未授权的服务的连接请求。
网络地址翻译(NAT):防火墙在接收到数据包后,将源地址或者是目的地址修改后发送,以解决IP地址不足的问题。通过防火墙、路由器等网络边缘设备实现。
代理服务:代理服务器从客户端接到请求后,访问需要访问的服务器,并将结果返回给客户端。
VPN基本概念和介绍
虚拟专用网络(VPN):在VPN客户机与VPN网关之间创建一个加密的、虚拟的点对点连接,保障数据在经过因特网时的安全。
网络隧道技术:利用一种网络协议来传输另一种网络协议。
点对点隧道协议(PPTP):允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
安全IP(IPSEC)隧道模式:IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络发送。
自愿隧道:用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。
强制隧道:由支持VPN的拨号接入服务器配置和创建一条强制隧道。
点对点协议(PPP):设计用来通过拨号或专线方式建立点对点连接发送数据。主要用于连接拨号用户和NAS。
PPP拨号会话过程:
建立PPP链路、用户验证、PPP回叫控制、调用网络层协议。
建立PPP链路:PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。
用户验证:客户端将用户的身份证明发给远端的接入服务器。验证方式包括口令验证协议(PAP)、挑战握手验证协议(CHAP)、微软挑战握手验证协议(MSCHAP)。
PAP:简单的明文验证方式。
CHAP、MSCHAP:加密的验证方式,能够避免建立连接时传送用户的真实密码。
PPP回叫控制:使用回叫,验证之后远程客户和NAS之间的连接将会被断开。
调用网络层协议:PPP将调用在链路创建阶段选定的各种网络控制协议(NCP)。
常见的隧道协议:
点对点隧道(PPTP)、第2层转发(L2F)、第2层隧道协议(L2TP)
点对点隧道(PPTP):将PPP数据帧封装在IP数据报内通过IP网络。
第2层转发(L2F):支持拨号接入服务器,将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器。
第2层隧道协议(L2TP):网络层协议,支持封装的PPP帧在IP、X.25、帧中继或ATM等的网络上进行传送。
参考书籍:网络安全基础与应用—张千里