>>>>信息系统监理师在线辅导

    >>>>信息系统监理师面授班

    >>>>信息系统监理师网络课堂

      按拓扑划分的安全策略

      外围安全性问题根据采用的具体网络技术和是否连接到互联网等公共网络而不同，从安全性的角度出发，有4种基本的网络连接。

      第1层：物理电路和租用专线。这些连接具有高度安全性，对企业的风险最小。无论是电信公司提供电路，还是隶属于内部接线的电路，攻击者必须物理地进入线路，方可获得网络接入并窃听或修改数据。在光媒体的情况下，很难在不被发现的情况下接入线路。一般来说，无需其他安全措施。在一些情况下，机构可能选择实施不同种类的加密，但一般仅限于传输高度敏感的数据或运行需符合政府安全规定的单位（如银行、政府机关或军队等）。

      第2层：VPN,依赖于网络设备配置，在办公地点间建立虚拟专用电路的网络连接。传统产品有帧中继、ATM和专用X.25.最近MPLSVPN和ATM上的MPLS也已用于提供相似功能。第1层电路和第2层VPN的主要差别在于，它受电信运营商的配置和控制的影响。第2层VPN不仅有物理线路切入的风险，而且攻击者还可能试图猜出正确的接入凭证（如密码）来接入网络。旧账户或共享账户、厂商提供的用户ID的默认密码和无密码用户等管理漏洞都可能给网络带来风险。大多数公司对第1层电路和第2层VPN采用相同的安全策略。然而一些公司可能认为第2层VPN相对不安全，尤其是如果针对新MPLS技术的成功攻击能得以证实，则更是如此。

      拨号技术：拨号技术允许拨号网络中的成员连接至其他成员。接入一般通过使用某种类型的验证技术，如密码、令牌或一次性密码或证书进行控制，例子包括POTS、ADSL和ISDN等。拨号技术的安全风险远大于第1层电路和第2层VPN技术。除具有两种技术的风险外，拨号技术还使用公共接入服务器，此种风险可通过使用VPN客户机进行拨号连接来缓解。应认真考虑进程加密、强大的验证、安全监控和入侵检测等。

      互联网：此类包括所有到互联网的拨号或第1层连接，这类连接对企业的威胁最大。尤其采用T1或帧中继等类型的专用互联网接入时，威胁更为明显。未授权连接的风险类似于拨号技术，但暴露于潜在黑客的可能性大大增加了，因为互联网攻击可来自于世界上任意地点。此外，因为高速连接，拒绝服务（DoS）攻击和溢流也增多了。最后，此连接可能支持关键任务应用和业务流程，提高了实施数据备份、热故障转移解决方案和意外事件规划的需要。当今企业中的一个主要考虑就是符合法律法规的要求，由此可涉及从实施防火墙、IDS、内容过滤器和VPN等安全技术，到获得持续风险评估和易损点测试的最佳实践的一切。

    返回目录：信息系统监理师教程知识点精讲之招标及设计阶段的监理

      相关推荐：

    信息系统监理师教程知识点精讲之安全管理的实现

   信息系统监理师教程知识点精讲之安全策略的管理原则

      信息系统监理师教程知识点精讲之网络规划与评审的原则