MCSE 网络安全设计.doc
《MCSE 网络安全设计.doc》由会员分享,可在线阅读,更多相关《MCSE 网络安全设计.doc(10页珍藏版)》请在文库网上搜索。
1、信息主要内容的有关安全问 题,身份认证、抗抵赖性、监控访问等针对解决网络通信的档次、接连和实体的一些 安全问题。 关于技术体系框架结构的设计方法,美国 DISSP 提出的三维安全体系规划堪称典 范,分别将安全机制、协议层次、信息系统的构成单元作为 X、Y、Z 维,如图 2-1 所 示。 图 2-1 美国 DISSP 安全技术体系的三维图示 从图中我们可以看到定量的数据表达不存在于三维体系中,在 X 维中,安全服务 是安全机制的上层建筑,且安全机制是借以安全服务来体现其作用的,安全机制并没 有和协议层、系统单元有着直接的联系。在 X 维中,除了安全体系中鉴别、访问控制、 审计、加密、鉴别交换等八
2、种机制外,还有电磁辐射等物理安全机制,不但有利于数 据的非泄露性、能用性等功能发挥意义,而且也将安全机制渗入到物理环境的安全问 题当中;在 Y 维中,主要有应用层、传输层、网络层、链路层、物理层五层模型,它 们基于协议的各种管理方面的高端技术,独立成为一种概念;在 Z 维中,系统构成单 元有物理环境、系统平台、通信平台、网络平台、应用平台。 2.2.22.2.2 机构体系机构体系 信息系统安全的组织保障系统就是组织机构(管理层、决策层和执行层)体系 (岗位、机构和人事三个模块) 。 决策层是领导机构,主要决定重大的安全事宜。首要的负责人为单位主管,下设 第 2 章 基本理论及概念 6 信息系统
3、的重要负责人和各部门(国家安全、国家机密、公共安全及公共保密)负责 人。单位的骨干领导、计算机实力专家和网络尖端管理人员则撑起了政府部门的门面。 管理层是管理机构,管理日常事务。按照决策层的规划协调各部门人力物力资源 实施安全方案,制定安全决策,为有可能的安全事故设防,增加部分安全工作岗位。 执行层是一个群体,具体针对某一个或几个特定的安全事务问题。它在管理层的 协调下分布范围比较广泛,比如,各个岗位上、不同的操作层。 岗位不属于机构体系,它只是一种职位,是一种序列,在管理机构的设定下,由 人事机构全权管理。岗位分为若干层次,往上有直属领导,一个人不能一次性从事具 体的安全系统管理和业务事项,
4、但却可以着手不同个安全岗位,这是由系统安全需求 在安全管理机关运行下设定的负责某一个、几个安全事务的特点决定的。 岗位在职人员、待职人员、离职人员的素质教育、业务总评、安全监督等需要人 事机构。人事机构本身就是管理机构的下设部门,它的活动范围只能在国家相关法律 法规、政策措施之内。 2.2.32.2.3 管理体系管理体系 管理素来被称为信息系统安全的灵魂,法律、制度和培训管理是其组成部分。 法律管理具有规范和约束作用,它必须遵守国家的相关法律,切实处理好信息系 统主体与客体之间的关系。法律管理的强有力的约束能力和层次分明的管理对信息系 统主体的行为活动起着很大的作用,同时它还占据着信息系统安全
5、的绝对行为规则。 制度管理由一系列非外部的制度规章组成,它制定规章制度必须以信息系统内部 的非隐患需要为依据,它一般将法律法规和实施对象连接起来,确保工作的具体到位, 在一定形式上形式化了法律的管理。制度管理涉及的主要方面有:安全管理机构和执 行机构在岗位的设定及具体操作、员工素质的培养、内外关系的协调等方面以特定的 行为规范。 培训管理培训了一大批投身于安全业务、安全管理方面的人才,也栽培了绝大多 数从事信息系统工作的人员,这就为信息系统的安全提供了前提条件。它具体有律法 法规、岗位实践、业务水平、业务素质、技术技能等培训,当然培训管理也较重视常 见安全和在职岗位特殊安全意识的有机结合。 2
6、.32.3 网络安全技术网络安全技术 网络安全庞杂无比,自然少不了一些常见的安全技术,才能推动此项浩大工程的 进程。 第 2 章 基本理论及概念 7 2.3.12.3.1 防火墙技术防火墙技术 “防火墙”4 是一整套的装置,既可以控制不同网络之间的访问人数,又可以监 管应用层流动的网络量。换种说法,防火墙在高度保护内、外部网安全的前提下,使 所有的信息无巨细地强制性地流经过内、外部网,并对所有进进出出防火墙的数据资 源进行检测、限制、修改,从而保证了内部网络系统的安全,非法侵入者只会无功而 返。在这里,我们需要说明的是,内部网也被称为可信网络,外部网也被称作不可信 网络,比如因特网。 防火墙的
7、设置原则是:(1)禁止即未被允许;(2)允许即未被禁止。两条原则 各有其利弊,优势为:第一条原则认真选择服务内容,保证了绝对的安全;第二条原 则灵活多变,先将全部信息流通过防火墙,再逐条检测屏蔽一切有害的服务项,为广 大用户提供了安全的使用环境。劣势为:第一条原则应用效率不高,主要受制于一味 追求高安全,刻板呆滞,大大损伤了网络用户的方便;第二条原则虽然发挥防火墙的 巨大作用屏蔽了很多有害的服务,但是网络是不断发展的,随着地域范围的扩大和网 络服务的多样化,网络工作者将会殚精竭虑,可靠安全的网络防护难免会出差错。 当今防火墙以代理的服务器、包过滤、网关的服务器为核心技术,以网络的拓扑结 构、配
8、置技术和位置技术的有度使用为辅助技术。 1) 数据包过滤的有关技术 网络防火墙技术的最基本的构件除了技术、还包括包过滤(在网络的 OSI 模型网络 层将数据包有选择性地筛选)原理,筛选判据通常为系统内部设计的接入控制表,有 时也叫做过滤逻辑。在严格遵守 TCP 或者是 IP 协议技术的网络中,数据是通过数据包 的形式进行传送的,这样数据包的本源的地址、目标的地址、UDP 源端口、TCP 源目标 端口及它们的不同组合等就会在数据流中 IP 包中检查出来,并判断应不应该让数据包 顺利通过。一般来说,数据包除了符合过滤规则之外,其它不合理的统统从数据流中 被清除殆尽,那些符合规则的就被转发到对应的目
9、的地输出端口。包过滤的该种防火 墙技术一般而言被装在网络路由器上,差不多所有的商业运用的路由器又有相应的包 过滤的功能。 包过滤技术有它的优点,也有它的缺点。优点是:成本较低,实用不繁琐,能以最 小的投入获取最大的效益,确保了一定程度上系统的安全。缺点主要有三点: 第一: 数据包的网络保护功能受制于包过滤的工具的完美与否,数据包的过滤规 则需要非常完美的工具才能得以实现,可是实际上包过滤的工具很不完美。 第二:包过滤技术是网络应用层的安全性技术,它只能在该范围内发挥作用,一旦 涉及到通过网络高协议层的信息的保护和理解等问题时,他将难以胜任安全防护的任 务。 第三:由于数据包过滤逻辑是非动态指定
10、的,因此动态分配、随机分配等端口的服 第 2 章 基本理论及概念 8 务(远程过程控制、基于远程控制的协议网络文件系统)将难以实现非常有效的过滤, 它只能实现静态状态下系统的操作和工作量的维护等目标。 包过滤技术不断进行自身技术的提高,状态监测型防火墙就是很好的体现。这种防 火墙是一种软件引擎,在链路层和网络层之间实现安全的相互对接,执行相关的安全 策略,被叫做检测模块。状态监测型防火墙分析各层的网络通信、提取一些通信信息 和相关状态信息、存贮或者革新状态酒店投诉处理方式探析摘要:“让每一个客人高兴而来满意而归”,这是每个酒店的美好理想,然而,事与愿违,不管员工在工作中怎么用心服务,也会有客人
11、对于酒店的服务不满意而投诉。本文通过对酒店投诉类型的分析认为,酒店管理者要做好客人投诉的心理准备,分析投诉带给酒店与客人的双重影响,同时要讲究投诉的处理方式,针对不同投诉类型、不同客人脾性、不同事件给出合理而又及时的解决方案,此外还要重视服务补救以维护酒店名誉,留住客人。关键词:投诉处理方式影响补救从酒店角度看,投诉(complain)是客人对酒店提供的服务设施、设备、项目及行动的结果表示不满而提出的批评、抱怨或控告。由于酒店是一个复杂的整体运作系统,客人对服务的需求是多种多样的,因此无论酒店经营多么完善,都不可能百分百的达到甚至超过客人的期望值,客人的投诉是不可避免的。而事实上,投诉也正是客
12、人对酒店、对酒店员工服务工作质量和管理工作质量的一种劣等评价,同时也是表现客人对酒店的信任。任何酒店任何员工都不希望有客人投诉自己的工作。尽管管理者和员工时刻在预防投诉的发生,但即使是世界上最负盛名的酒店也会遇到客人投诉。对酒店投诉的研究因此显得非常有必要。酒店投诉管理的目的和宗旨在于减少客人的投诉,并且把因客人投诉而造成的损失减少到最低,最终使客人对投诉的处理感到满意的同时避免类似投诉的再次发生。一、酒店投诉的类别分析(一)对酒店某工作人员服务态度的投诉对服务员服务态度优劣的甄别评定,虽然根据不同消费经验、不同个性、不同心境的客人对服务态度的敏感度不同,但评价标准不会有太大差异。尊重需要有强
13、烈的客人往往以服务态度欠佳作为投诉内容,具体表现有:服务员待客不主动,给客人以被冷落、怠慢的感受;服务员待客不热情,表情生硬、呆滞甚至冷淡,言语不亲切;服务员缺乏修养,动作、语言粗俗,无礼,挖苦、嘲笑、辱骂客人;服务员在大庭广众中态度咄咄逼人,使客人感到难堪;服务员无根据的怀疑客人行为不轨。(二)对酒店某项服务效率低下的投诉不同客人有着不一样的脾性,一旦在某段时间内、某个场所中不能达到他们心目中的期望值时,就会激发客人的忍耐度,客人就会对人或事进行埋怨、发泄:如餐厅上菜、结账速度太慢;前台入住登记手续繁琐,客人等候时间太长;邮件迟迟送达,耽误客人大事等。在这方面进行投诉的客人有的是急性子,有的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MCSE 网络安全设计 网络安全 设计