在边界建立符合安全政策的防火墙体系 wWW、SMTP内部用户 Internet 防火墙 DMZ 路由器 rox
16 在边界建立符合安全政策的防火墙体系 在边界建立符合安全政策的防火墙体系 Internet 路由器 防火墙 WWW SMTP Proxy 内部用户 DMZ
划分内部的安全政策域 例如可以划为:用户上网域、服务器域、开发域等 www、SMTP 内部开发区 Internet 路由器服务器域 (MZ 用户上网区
17 划分内部的安全政策域 划分内部的安全政策域 • 例如可以划为 用户上网域 服务器域 开发域等 Internet 路由器 WWW SMTP 内部开发区 服务器域 (DMZ) 用户上网区
对特定的主机节点进行加固 对特殊位置的主机必须进行加固 如上例 WWW服务器和Ma服务器 对于内部开发服务器也需要加固 可以制定一定的制度,要求内部员工也对各 自的主机进行加固
18 对特定的主机节点进行加固 对特定的主机节点进行加固 • 对特殊位置的主机必须进行加固 • 如上例 – WWW服务器和Mail服务器 – 对于内部开发服务器也需要加固 – 可以制定一定的制度 要求内部员工也对各 自的主机进行加固
使用合理的访问控制、鉴别机 制和数据安全体制 建立授权访问控制的政策,例如:哪些 人可以访问哪些信息、权限如何等 选择内部或外部使用的鉴别机制,例如 口令机制、证书、LDAP、NS 选择使用或不使用数据安全体制,使用 哪种数据安全体制,例如CA、KDC,如 采用 Kerberos(KDC)
19 使用合理的访问控制 使用合理的访问控制 鉴别机 制和数据安全体制 制和数据安全体制 • 建立授权访问控制的政策 例如 哪些 人可以访问哪些信息 权限如何等 • 选择内部或外部使用的鉴别机制 例如 口令机制 证书 LDAP NIS • 选择使用或不使用数据安全体制 使用 哪种数据安全体制 例如CA KDC 如 采用Kerberos(KDC)
建立有效的可承受的监测体制 使用不使用安全监测系统 基于网络还是基于主机的安全监测系统 例如: 在边界上使用基于网络的入侵检测系统 在服务器上使用基于主机的安全状态检查系统 等等
20 建立有效的可承受的监测体制 建立有效的可承受的监测体制 • 使用不使用安全监测系统 • 基于网络还是基于主机的安全监测系统 • 例如 – 在边界上使用基于网络的入侵检测系统 – 在服务器上使用基于主机的安全状态检查系统 – 等等