① 什么是PPDR安全模型
PPDR安全模型是指入侵检测的一种模型。
PDRR安全模型强调网络保护不再是简单的被动保护,而是保护、检测、响应和恢复的有机结合。因此,PDRR模型不仅包含了安全防护的概念,而且还包含了主动防御和主动防御的概念。
在PDRR安全模型中检测显得非常重要的一步。检测的目的是检测网络攻击,检测本地网络中的非法信息流,检测本地网络中的安全漏洞,有效防范网络攻击。通信部分检测技术包括入侵检测技术和网络安全扫描技术。
(1)网络安全的统一模型扩展阅读
工作原理
保护阶段。用一切手段保护信息系统的可用性、保密性、完整性、可控性和不可抵赖性。这里的手段一般是指静态的防护手段,包括防火墙、防病毒、虚拟专用网(VPN)、路由器。
响应阶段。主要对危害网络安全的事件和行动作出响应,防止对信息系统的进一步破坏,并将损失降到最低。这就要求在检测到网络攻击后及时阻止网络攻击,或者将网络攻击引向其他主机,这样网络攻击就不会对信息系统造成进一步的破坏。
恢复阶段。 使系统能尽快正常地对外提供服务,是降低网络攻击造成损失的有效途径。为了能保证受到攻击后能够及时成功地恢复系统,必须在平时做好备份工作。
② 网络工程师请进!!
我给你 一个 概念 我还有更好的 真正项目下来的 给点分吧
目 录
一、项目概述
二、需求概述
三、网络需求
1.布线结构需求
2.网络设备需求
3.IP地址规划
四、系统需求
1.系统要求
2.网络和应用服务
五、存储备份系统需求
1.总体要求
2.存储备份系统建设目标
3.存储系统需求
4.备份系统需求
六、网络安全需求
1.网络安全体系要求
2.网络安全设计模型
前言
根据项目招标书的招标要求来细化为可执行的详细需求分析说明书,主要为针对项目需求进行深入的分析,确定详细的需求状况以及需求模型,作为制定技术设计方案、技术实施方案、技术测试方案、技术验收方案的技术指导和依据
一、项目概述
1. 网络部分的总体要求:
满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路。
良好的性能,能够支持大容量和实时性的各类应用。
能够可靠的运行,较低的故障率和维护要求。
提供安全机制,满足保护集团信息安全的要求。
具有较高的性价比。
未来升级扩展容易,保护用户投资。
用户使用简单、维护容易。
良好的售后服务支持。
2. 系统部分的总体要求:
易于配置:所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;
更广泛的设备支持:所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;
稳定性及可靠性:系统的运行应具有高稳定性,保障7*24的高性能无故障运行。
可管理性:系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便的对整个系统进行管理;
更低的TCO:系统设计应尽量降低整个系统和TCO(拥有成本);
安全性:在系统的设计、实现及应用上应采用多种安全手段保障网络安全;
良好的售后服务支持。
除了满足上述的基本特征外,本项目的设计还应具有开放性、可扩展性及兼容性,全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和集团的结构变更。
二、需求概述
在设计方案时,无论是系统或网络都严格遵循以下原则,以保障方案能充分满足集团的需求。
先进性和实用性原则
高性能原则
经济性原则
可靠性原则
安全性原则
可扩展性原则
标准化原则
易管理性原则
三、网络需求
集团园区网项目必须实现以下的功能需求:建设一个通畅、高效、安全、可扩展的集团园区网,支撑集团信息系统的运行,共享各种资源,提高集团办公和集团生产效率,降低集团的总体运行费用。网络系统必须运行稳定。
集团园区网需要满足集团各种计算机应用系统的大信息量的传输要求。
集团园区网要具备良好的可管理性。减轻维护人员的工作量,提高网络系统的运行质量。
集团园区网要具有良好的可扩展性。能够满足集团未来发展的需要,保护集团的投资。
整个项目的施工,系统集成商要精心组织、严格管理、定期提交各类项目文档。
在项目实施完毕之后,系统集成商要对集团的相关人员进行培训,并移交全部的项目工程资料,保证集团园区网的正常运行和管理维护。
1.布线结构需求
集团目前拥有六家子公司,包括集团总部在内共有2000多名员工;园区内有7栋建筑物,分别是集团总部和子公司的办公和生产经营场所;光纤+超五类综合布线系统,3000个左右信息点;集团计划为大部分的员工配置办公用计算机;集团目前有多种计算机应用系统。
7栋建筑物,每栋建筑高7层,都具有一样的内部物理结构。一层设有本楼的机房,一楼布有少量的信息点,供未来可能的需求使用,目前并不使用(不包括集团总部所在的楼)。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内光纤。每个子公司和集团总部之间通过两条12芯的室外光缆连接。要求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。集团总部所在楼的一层,是集团的主机房,布有48个信息点,但目前只有20台左右的服务器和工作站。
集团园区正在后期建设中,不存在遗留的网络系统。集团原有少量的网络设备,可以不作考虑或者用作临时的补充之用。
2.网络设备需求
集团园区网计划采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一一个出口访问Internet,集团能够控制网络的安全。
根据集团的网络功能需求和实际的布线系统情况,系统集成商需要给出设备选择的合理建议,包括楼层接入交换机、子公司主交换机、集团核心交换机等。其中,楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护。网络设备应该满足集团现有计算机设备的高速接入,应该具备未来良好的可扩展性、可升级性,保护用户的投资。网络设备必须具有良好的在满足功能与性能的基础上性能价格比最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
3.IP地址规划
集团园区网计划使用私有的A类IP地址。集团园区网的IP地址分配原则如下:
集团使用IPv4地址方案。
集团使用私有IP地址空间:10.0.0.0/8。
集团使用VLSM(变长子网掩码)技术分配IP地址空间。
集团IP地址分配满足合理利用的要求。
集团IP地址分配满足便于路由汇聚的要求。
集团IP地址分配满足分类控制等的要求。
集团IP地址分配满足未来公司网络扩容的需要。
集团园区网的IP地址的一些具体使用规定:
了网化后,所有的第一个子网(0子网)都不分配给用户使用。
网关的地址统一使用子网的最后一个可用地址。
IP地址的使用需要报集团总部审批备案。
具体配置如下:
机构 IP地址/地址范围 说明
总部 10.16.*.252/24 1号楼接入层交换机管理IP地址(*表示从97至102对应2至7层)
10.16.35.?/32 非二层交换机的Loopback地址(*表示1至7连接办公区域、服务器区域、核心区域的6台交换机以及边界路由器)
10.16.*.1 ~ 10.16.*.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)
10.16.*.252、253/24 1号楼汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)
10.16.*.254/24 1号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)
10.16.64.1、2/30 核心层交换机之间互联IP地址
10.16.64.5、6/30 服务器区块汇聚层交换机互联IP地址
10.16.64.17、18/30 服务器区块汇聚层交换机与核心层交换机互联IP地址1
10.16.64.21、22/30 服务器区块汇聚层交换机与核心层交换机互联IP地址2
10.16.64.25、26/30 路由器与核心层交换机互联IP地址1
10.16.64.29、30/30 路由器与核心层交换机互联IP地址2
10.16.64.33、34/30 路由器与防火墙互联IP地址
10.16.64.37、38/30 1号楼汇聚层交换机互联IP地址
10.16.64.41、42/30 2号楼汇聚层交换机互联IP地址
10.16.64.45、46/30 3号楼汇聚层交换机互联IP地址
10.16.64.49、50/30 4号楼汇聚层交换机互联IP地址
10.16.64.53、54/30 5号楼汇聚层交换机互联IP地址
10.16.64.57、58/30 6号楼汇聚层交换机互联IP地址
10.16.64.61、62/30 7号楼汇聚层交换机互联IP地址
10.16.64.65、66/30 网管工作站及相应的网关地址
10.16.96.1、2/27 域控/DNS服务器主备IP地址
10.16.96.3、4/27 NAS服务器主备IP地址
10.16.96.5、6/27 Web/Mail服务器主备IP地址
子公司1 10.32.*.252/24 2号楼接入层交换机管理IP地址(*表示从97至102对应2至7层)
10.32.35.1、2/32 三层交换机的Loopback地址
10.32.*.1 ~ 10.32.*.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)
10.32.*.252、253/24 2号楼汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)
10.32.*.254/24 2号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)
10.32.96.1/27 子域服务器IP地址
10.32.96.2/27 Mail服务器IP地址
子公司2 10.48.*.252/24 2号楼接入层交换机管理IP地址(*表示从97至102对应2至7层)
10.48.35.1、2/32 三层交换机的Loopback地址
10.48.*.1 ~ 10.48.*.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)
10.48.*.252、253/24 2号楼汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)
10.48.*.254/24 2号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)
10.48.96.1/27 子域服务器IP地址
10.48.96.2/27 Mail服务器IP地址
子公司3 10.64.*.252/24 2号楼接入层交换机管理IP地址(*表示从97至102对应2至7层)
10.64.35.1、2/32 三层交换机的Loopback地址
10.64.*.1 ~ 10.64.*.251/24 各层客户端DHCP地址范围(*表示从97至102对应2至7层)
10.64.*.252、253/24 2号楼汇聚层交换机对应每一Vlan的IP地址(*表示从97至102对应Vlan12至17)
10.64.*.254/24 2号楼汇聚层交换机对应每一Vlan的虚拟IP地址即网关IP地址(*表示从97至102对应Vlan12至17)
10.64.96.1/27 子域服务器IP地址
10.64.96.2/27 Mail服务器IP地址
四、系统需求
本项目的实施目的是在集团内部建立稳定、高效的办公自动化网络,通过项目的实施,为所有员工配置桌面PC,使所有员工能通过总部网络接入Internet,从而提高所有员工的工作效率和加快企业内部的信息传递。同时需要建立集团的WEB服务器,用于在互联网上发布企业的信息。在总部及每个子公司均设立专用的服务器,使集团内所有员工能够利用服务器方便的访问公共的文件资源,并能够完成企业内外的邮件收发。系统建立完成后,要求能满足企业各方面应用的要求,包括办公自动化、邮件收发、信息共享和发布、员工账户管理、系统安全管理等。
1.系统要求
① 集团原有少量笔记本电脑及PC机,由各级经理及财务部门使用,操作系统均为Windows98,为了满足企业信息化建设的需要,集团将在本项目中更新所有的操作系统。本项目中的操作系统应选择占市场份额最大的主流操作系统,整个网络(服务器、客户机)采用同一厂商的操作系统产品,所选择的操作系统应简单蝗用,便于安装和管理。具体选择应依据如下规则:
操作系统要求选择最新版本
所选操作系统需要提供方便的更新与升级方法
服务器操作系统需要能够提供目录服务功能
服务器及客户机操作系统都需要支持TCP/IP协议
所选操作系统应能够方便的实现用户和权限的管理
秘选操作系统应能够运行常用的大多数应用软件,例如办公软件、图像处理软件、CAD财务软件等
服务器操作系统应能够提供WEB、FTP、DNS服务及完善的管理功能
操作系统厂商应能够提供优质的售后服务及技术支持
客户端操作系统要求简单易用,提供图形界面
② 随着集团近年来的高速发展,集团的业务已经涉及到各个商业领域,集团及公司内部的组织结构也日益复杂,在本项目的设计实施过程中,要求工程实施方在规划系统设计时,充分考虑到集团管理的需求,设计出合理的系统管理架构,能够最大程度的降低集团的系统管理上的成本,并能满足各种商务工作的需求,具体的设计应依据以下原则:
清晰的逻辑结构:要求集团范围内的系统管理结构清晰,层次分明,能够充分的与集团的管理结构想吻合。集团总部及各个子公司应是相对独立的管理单元。各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权限管理各子公司的系统。
便于管理:整个系统设计要便于网络管理员管理,在系统中提供便于管理员管理的各种有效方式。使管理员工在任何一个位置均能对服务器进行维护和管理。集团总部及各子公司都有自己的专职系统管理员,应保障管理员对只对本公司网络具有管理权限。总部管理员对集团所有系统具有管理权限。
简单的设计:在保障满足集团需求的前提下,设计方案应以简单为佳,避免由于复杂的设计增加工程实施的难度和增加集团系统管理的复杂性。
合理的用户管理:所有的用户采用统一的命名规范,每个单位对本单位员工账户进行独立的管理,并按不同的部门管理用户账户。
2.网络和应用服务
① WEB服务
随着企业业务的不断拓展,集团在业界的影响力越来越大,越来越多的商业合作伙伴和客户需要从互联网上了解集团的信息,并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布集团及子公司的商业信息,集团计划在网络中建立WEB服务器,集团已经宴请了域名gzlk.local。集团下属子公司教育公司也在Internet上注册了域名gzlke.com。其他子公司不需要建立自己的WEB服务器。所有的网站内容已经制作完毕。详细的需求如下所述:
集团WEB服务器放置在总部机房,教育公司WEB服务器放置在该公司机房
WEB服务应和操作系统具有良好的兼容性,避免由于服务的不兼容影响性能和稳定性
WEB服务器具有固定的IP地址配置
WEB网站允许匿名访问
网站的文件存储应具备良好的安全性
允许互联网及集团内部的用户可以通过www.gzlk.local访问集团及子公司网站
② FTP服务
为了实现集团内部的文件存储和管理,集团计划采用两种方式管理文件资源,总部及各子公司设立自己的文件服务器,上项工作由各单位的系统管理员自行完成。另外,总部及各子公司建立自己的FTP服务器,此项工作包含在本项目中,由工程实施单位完成。FTP服务的建立要求具备足够的存储空间用于存储各单位的文档资料及应用软件并能够实现利用FTP客户端软件及WEB浏览器访问。具体的需求如下所述:
FTP服务器具有固定的IP地址
采用所选操作系统自带的FTP服务建立FTP服务器,不采用第三方软件
FTP服务器允许本公司内部员工下载
只允许系统管理员上传文件到FTP服务器
FTP服务器不对互联网用户开放
FTP服务器需要设置合理的权限,保障公用文件不被非法的删除和改写
③ 邮件服务
随着集团规模的不断扩大,企业内部的信息交流变得越来越重要,企业迫切的需要建立内部的消息传递平台,用于让员工之间方便的传输各种文件、数据和其他消息。集团计划在本项目中利用邮件服务实现企业内部的消息传递平台,需要在集团总部及各子公司建立邮件服务器,允许所有员工方便的收发电子邮件。并且通过集团的邮件服务器,员工也可以和外部的用户之间收发电子邮件。具体的需求如下:
总部及各子公司均建立邮件服务器
集团内的邮件服务之间能够互相转发邮件
每名员工均有公司统一分配的邮箱
所有员工能够利用自己的电子邮件与外部用户通信
所有员工发送邮件附件的大小不能超过4MB
所有员工能够利用outlook、outlook express、web浏览器收发邮件
这是 第2 种
目 录
一、 项目实施拓扑图
二、 设备命名规范
为了便于管理以及方面日后的维护,本实施方案对集团网络所使用的网络设备进行统一命名。在实际的实施过程中,网络设备按照命名规则完成命名后,将以标签的方式粘贴在设备的显要位置。
实行统一命名的设备类型包括:
楼层接入交换机
汇聚层交换机
集团核心交换机
命名规则见下表
表1
设备类型 命名规则 说明 示例
楼层接入交换机 B?_F?_S??_T???? B?:表示楼号
F?:表示楼层号
S??:表示该楼层中的交换机号,为了以后的扩展性考虑,交换机号用两位数字表示
T????:表示交换机型号 B1_F2_S03表示1号楼2楼的第3台交换机
汇聚层交换机 B?_D_S??_T????
M_D_S??_T????
I_D_S??_T???? D:表示汇聚层
M:表示服务器区块
I:表示因特网接入区块
其余同上 B1_D_S02表示1号楼第2台主交换机
M_D_S01表示服务器区块第1台主交换机
I_D_S01表示因特网接入区块第1台主交换机
集团核心交换机 C_S?? C:表示核心层
其余同上 C_S01表示核心层第1台交换机
三、 设备管理口令
配置设备口令,是防止非授权人员更改网络系统的配置的重要手段。
要为所有的设备设置口令,对于网络设备需要为每一台设备设置CONSOLE口令、AUX口令、VTY口令、特权口令等。
对于口令的设置,需要制定管理制度并严格执行,口令管理制度包括口令的设置、保管、更改以及口令的强度等内容。
口令强度
口令强度决定了口令被破译的难度,是口令安全性的基本保障。从集团本身对网络安全性的要求来考虑,口令强度为一般性的强口令即可。
口令要求采用10-12位口令,该口令必须是数字和字母的组合,其中字母的个数不能少于4个。字母可以为大写和小写字母。
例如:XinWF7002
口令设置
从安全的角度出发,最佳方案是为每一台设备设置不同的口令。但是从实际的工作需要出发,也可以对每一分公司的同一类型的设备设置相同的口令,便于管理和日常的维护。口令需要定时或不定时地进行经常性修改
对于口令的保管必须遵从严格的管理规范。口令的保管方式同上口令设置表。
口令原则上只能由系统管理员保管,保管的介质为纸质和电子两种。
为了防止系统管理员丢失口令,每次发生口令更新以后,对于纸质口令资料,系统管理员进行封存。对于电子的口令资料,系统管理员需要保存在特定服务器的专用目录中。该目录只有系统管理员能够访问。
口令更改
为了减少口令发生泄漏或者被破译的可能性,对于口令需要不定期进行修改。但是核心交换机口令必须至少90天修改一次,汇聚层、服务器区块和因特网接入区块交换机口令必须至少180天修改一次,接入层交换机口令必须至少360天修改一次。
一旦怀疑口令已经发生了泄漏,必须在12小时能对所有设备口令进行修改。
口令的更改由系统管理员进行,更改记录填写《网络设备口令更改单》,《网络设备口令更改单》的格式如下表所示:
表 3
网络设备口令更改单
更改事由
更改设备编号 更改日期
备注
操作人:
网络设备更改单完成后,系统管理员必须同时更新口令设置表,然后将更新后的口令设置表以及网络设备更改单同时保存。
四、 IP地址分配方案
根据集团公司的规模,集团内部网采用A类私有地址10.0.0.0/8。
为了管理方便除了服务器、路由器等设备需要固定IP外,所有客户端用户均从DHCP服务器上自动获取IP地址。
五、 交换机管理地址分配
参见表4中相关项目
六、 路由器地址分配
由于本方案中采用三层交换机来实现路由器的功能,所以没有单独采用路由器。
七、 测试要求
为了保证网络设备正常使用,在网络设备配置完成后,需要进行网络设备连接测试。
测试要求:
路由表正确
各交换机之间两两互相执行Ping操作可以成功
各交换机之间两两互连,当其中的某一条连接链路失效的时候,交换机之间仍然可以互相Ping通。
八、 各种设备配置步骤(见PPT)
交换机的配置
交换机的配置步骤如下:
所有的交换机之间连接的端口需要配置成为TRUNK。
配置命令:Switchport Trunk
配置VIP域。启用V2版本。
VTP模式为:各机构汇聚层交换机配置VTP Mode Server,接入层交换机配置为VTP Mode Client。
增加VLAN,配置VLAN名称,将所属端口加入到相应的VLAN中
在汇聚层交换机上创建Vlan,具体参见下表:
表 6
Vlan号 Vlan名称 命令 说明
1 B?-NM Vlan 1 name B?-NM 设置IP用于管理交换机
10 B?-HL Vlan 10 name B?-HL 连接互联网接口
11 B?-F2 Vlan 11 name B?-F2 连接2楼交换机
12 B?-F3 Vlan 12 name B?-F3 连接3楼交换机
13 B?-F4 Vlan 13 name B?-F4 连接4楼交换机
14 B?-F5 Vlan 14 name B?-F5 连接5楼交换机
15 B?-F6 Vlan 15 name B?-F6 连接6楼交换机
16 B?-F7 Vlan 16 name B?-F7 连接7楼交换机
说明:
、 分别表示1号楼、2号楼、3号楼、4号楼、5号楼、6号楼。
、 B?_D_S01和B?_D_S02交换机之间的两条链路要能够同时传送数据,提高网络带宽,同时需要减少中继端口上不必要的流量,提高网络的性能。
在B?_D_S01和B?_D_S02交换机上启用VTP Prunning
、 配置B?_F2_S01交换机,使得它到B?_D_S??的上行链路中的一条失效发生时,能够有效减少对终端网络用户的影响。
在B?_F2_S01交换机上配置上行速链路,当检测到转发链路发生失效时,可使交换机上一个阻断的端口几乎立刻开始进行转发。
配置方法:B?_F2_S01(config)# Spanning-tree uplinkfast
、 每台交换机的F0/11都是用来连接服务器的端口,需要配置速端口。
B?_F2_S01(config)# int F0/11
B?_F2_S01(config-if)# spanning-tree portfast
、 B?_D_S??可以增删VLAN配置,而B?_F2_S01交换机不能增删VLAN的配置。采取措施,使得当一台新的交换机接入网络的时候不能自动加入域;将交换机上不使用的端口关闭;以提高网络的安全性。
配置接入层交换机和汇聚层交换机的VTP功能具体配置参见表
、 配置所有交换机的VLAN1接口。
所有交换机的F0/01作为Vlan1接口
WINDOWS SERVER 2003架设配置
1. 在安装完WINDOWS 2003服务器上用dcpromo命令创建域;
① 开始安装
② 在安装时选择:否,只在这台计算机上安装并配置DNS,成为第一台的首选DNS服务器;
③ 正在创建域写入硬盘中;
④ 完成局域网中的第一台域控制器的安装,点击完成;
2. 在总公司的服务器上建立首选DNS服务器,将各子域的域添加到总公司的首选DNS服务器中;
① 正向区域的配置:
② 在反向域区域添加相应的指针,确保能够通过IP查找域名;
3. 总经理和各部门的经理不需要继承他所属部门的组策略,在另一个OU里添加他们,赋予他们能监督自己部门里的员工工作情况,而总经理就可以监督整个域里的员工工作情况。
OU分配图如下:
① 创建经理OU;
② 创建人事部OU;
③ 创建市场部OU;
4. 为了增加安全性和容易管理,在服务器里创建必需的域组策略和本地组策略,策略如下:
① 密码策略
启用密码必须满足复杂性要求.
密码长度不小于7位.
密码最长保留为30天.
密码过期期限为50天
② 帐户锁定策略.
帐户锁定阀值为5次无效登录
③ 审核策略
启用审核登录事件
启用审核对象访问
④ 用户配置-Internet Explorer维护-连接
代理设置:代理服务器设置:IP地址容后写 端口:9999
⑤ 在用户配置的软件设置里将所有需要安装的软件指派给域的用户,只要员工登录域时就会全部全部安装到他们本地的机器。
⑥ 更新组策略用gpupdate命令
5. 根据该公司的情况创建每个所属的OU,而且在方案中采用AGDLP和AGUDLP策略。在每个域中创建全局组,用于组织本域的账户;在每个域中创建域本地组,用于完成权限的指派。在本域内的权限分配,可以使用AGDLP策略,在域间的权限分配,使用AGUDLP策略,依次将用户账户加入全局组,将全局组加入到通用组,再将通用组加入到域本地组,最后可以根据需要将权限授予指定的域本地组。
③ 网络信息安全包括哪些方面
网络信息安全包括以下方面:
1、网络安全模型
通信双方在网络上传输信息,需要先在发收之间建立一条逻辑通道。这就要先确定从发送端到接收端的路由,再选择该路由上使用的通信协议,如TCP/IP。
2、信息安全框架
网络信息安全可看成是多个安全单元的集合。其中,每个单元都是一个整体,包含了多个特性。一般,人们从三个主要特性——安全特性、安全层次和系统单元去理解网络信息安全。
3、安全拓展
网络信息安全往往是根据系统及计算机方面做安全部署,很容易遗忘人才是这个网络信息安全中的脆弱点,而社会工程学攻击则是这种脆弱点的击破方法。社会工程学是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。
(3)网络安全的统一模型扩展阅读:
网络信息安全的主要特征:
1、完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
2、保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
3、可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
4、不可否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
5、可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
④ 网络安全机制包括些什么
网络安全机制包括接入管理、安全监视和安全恢复三个方面。
接入管理主要处理好身份管理和接入控制,以控制信息资源的使用;安全监视主要功能有安全报警设置以及检查跟踪;安全恢复主要是及时恢复因网络故障而丢失的信息。
接入或访问控制是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源的安全管理使用。
网络安全的类型
(1)系统安全
运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩溃和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。
(2)网络信息安全
网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
(3)信息传播安全
网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上自由传输的信息失控。
(4)信息内容安全
网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。
⑤ 网络及信息系统需要构建什么样的网络安全防护体系
网络安全保障体系的构建
网络安全保障体系如图1所示。其保障功能主要体现在对整个网络系统的风险及隐患进行及时的评估、识别、控制和应急处理等,便于有效地预防、保护、响应和恢复,确保系统安全运行。
图4 网络安全保障体系框架
网络安全管理的本质是对网络信息安全风险进行动态及有效管理和控制。网络安全风险管理是网络运营管理的核心,其中的风险分为信用风险、市场风险和操作风险,包括网络信息安全风险。实际上,在网络信息安全保障体系框架中,充分体现了风险管理的理念。网络安全保障体系架构包括五个部分:
1) 网络安全策略。属于整个体系架构的顶层设计,起到总体宏观上的战略性和方向性指导作用。以风险管理为核心理念,从长远发展规划和战略角度整体策划网络安全建设。
2) 网络安全政策和标准。是对网络安全策略的逐层细化和落实,包括管理、运作和技术三个层面,各层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准也需要调整并相互适应,反之,安全政策和标准也会影响管理、运作和技术。
3) 网络安全运作。基于日常运作模式及其概念性流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。是网络安全保障体系的核心,贯穿网络安全始终;也是网络安全管理机制和技术机制在日常运作中的实现,涉及运作流程和运作管理。
4) 网络安全管理。对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证正常运作,网络安全技术体系是从技术角度保证运作。
5) 网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可极大提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
摘自-拓展:网络安全技术及应用(第3版)贾铁军主编,机械工业出版社,2017
⑥ 网络信息安全说法正确的有什么
网络信息安全说法正确的有:
1、网络运营者应当对其收集的用户信息严格保密。
2、网络运营者不得泄露、篡改、毁损其收集的个人信息。
3、在经过处理无法识别特定个人且不能复原的情况下未经被收集者同意网络运营者不得向他人提供个人信息。
简介
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
⑦ 简要概述网络安全保障体系的总体框架
网络安全保障体系的总体框架
1.网络安全整体保障体系
计算机网络安全的整体保障作用,主要体现在整个系统生命周期对风险进行整体的管理、应对和控制。网络安全整体保障体系如图1所示。
图4 网络安全保障体系框架结构
【拓展阅读】:风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上,制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法,以避免和减少风险损失。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心,风险分为信用风险、市场风险和操作风险,其中包括信息安全风险。
实际上,在网络信息安全保障体系框架中,充分体现了风险管理的理念。网络安全保障体系架构包括五个部分:
(1)网络安全策略。以风险管理为核心理念,从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。
(2)网络安全政策和标准。网络安全政策和标准是对网络安全策略的逐层细化和落实,包括管理、运作和技术三个不同层面,在每一层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,以保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准也需要调整相互适应,反之,安全政策和标准也会影响管理、运作和技术。
(3)网络安全运作。网络安全运作基于风险管理理念的日常运作模式及其概念性流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。是网络安全保障体系的核心,贯穿网络安全始终;也是网络安全管理机制和技术机制在日常运作中的实现,涉及运作流程和运作管理。
(4)网络安全管理。网络安全管理是体系框架的上层基础,对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证正常运作,网络安全技术体系是从技术角度保证运作。
(5)网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
引自高等教育出版社网络安全技术与实践贾铁军主编2014.9