信息安全培訓(xùn)PPT文檔剖析

1、第一部分第一部分信息安全概念與分析信息安全概念與分析連云港康達(dá)智連云港康達(dá)智信息安全基本概念信息安全基本概念連云港康達(dá)智為何要實(shí)現(xiàn)安全？為何要實(shí)現(xiàn)安全？連云港康達(dá)智安全研究層次安全研究層次應(yīng)用安全應(yīng)用安全系統(tǒng)安全系統(tǒng)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全安全協(xié)議安全協(xié)議安全的密碼算法安全的密碼算法連云港康達(dá)智安全的側(cè)重點(diǎn)安全的側(cè)重點(diǎn)談到信息安全時(shí)我們通常有三個(gè)主要的側(cè)重點(diǎn)：談到信息安全時(shí)我們通常有三個(gè)主要的側(cè)重點(diǎn)：網(wǎng)絡(luò)安全，通常指的是我們的計(jì)算機(jī)所處的網(wǎng)絡(luò)環(huán)境的安網(wǎng)絡(luò)安全，通常指的是我們的計(jì)算機(jī)所處的網(wǎng)絡(luò)環(huán)境的安全問題全問題系統(tǒng)安全，指我們的每臺(tái)計(jì)算機(jī)系統(tǒng)自身的安全問題系統(tǒng)安全，指我們的每臺(tái)計(jì)算機(jī)系統(tǒng)自身的安全

2、問題操作安全，指計(jì)算機(jī)使用者自身的安全意識(shí)問題操作安全，指計(jì)算機(jī)使用者自身的安全意識(shí)問題連云港康達(dá)智網(wǎng)絡(luò)架構(gòu)與具體安全著力點(diǎn)網(wǎng)絡(luò)架構(gòu)與具體安全著力點(diǎn)連云港康達(dá)智攻擊分析攻擊分析連云港康達(dá)智攻擊者分析攻擊者分析連云港康達(dá)智常見的攻擊過(guò)程常見的攻擊過(guò)程連云港康達(dá)智黑客攻擊的原因黑客攻擊的原因什么是黑客？對(duì)于計(jì)算機(jī)而言，黑客就是精通網(wǎng)絡(luò)、系統(tǒng)以及軟硬件技術(shù)的人。連云港康達(dá)智常見的攻擊手段常見的攻擊手段第第二二部分部分網(wǎng)絡(luò)安全實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)現(xiàn)連云港康達(dá)智連云港康達(dá)智安全實(shí)現(xiàn)概述安全實(shí)現(xiàn)概述連云港康達(dá)智攻擊應(yīng)對(duì)方案攻擊應(yīng)對(duì)方案連云港康達(dá)智進(jìn)行弱弱點(diǎn)分析進(jìn)行弱弱點(diǎn)分析連云港康達(dá)智安全實(shí)施清單安全實(shí)施清單網(wǎng)

3、絡(luò)邊界防火墻網(wǎng)絡(luò)邊界防火墻病毒防火墻病毒防火墻網(wǎng)絡(luò)設(shè)備安全強(qiáng)化網(wǎng)絡(luò)設(shè)備安全強(qiáng)化物理安全設(shè)施和社會(huì)工程安全措施物理安全設(shè)施和社會(huì)工程安全措施可可移動(dòng)設(shè)備管理移動(dòng)設(shè)備管理無(wú)線設(shè)備管理無(wú)線設(shè)備管理操作系統(tǒng)安全強(qiáng)化操作系統(tǒng)安全強(qiáng)化主機(jī)防火墻防病毒軟件主機(jī)防火墻防病毒軟件數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)連云港康達(dá)智實(shí)現(xiàn)深度防御實(shí)現(xiàn)深度防御連云港康達(dá)智理解物理安全和社會(huì)理解物理安全和社會(huì)工程安全工程安全連云港康達(dá)智物理安全概念物理安全概念物理安全是指通過(guò)一些物理防護(hù)手段，也就是非物理安全是指通過(guò)一些物理防護(hù)手段，也就是非ITIT技術(shù)手段來(lái)確保技術(shù)手段來(lái)確保信息安全的方法，通常包括以下幾個(gè)方便：信息安全的方法，通常包括以下

4、幾個(gè)方便：1 1、物理訪問控制、物理訪問控制2 2、防盜竊、防破壞、防盜竊、防破壞3 3、防火、放水、防潮、防火、放水、防潮4 4、防雷擊、防雷擊5 5、溫濕度控制、溫濕度控制6 6、電力系統(tǒng)、電力系統(tǒng)連云港康達(dá)智社會(huì)工程學(xué)概念社會(huì)工程學(xué)概念社會(huì)工程學(xué)是一種黑客攻擊方法，通常是通過(guò)社會(huì)工程學(xué)是一種黑客攻擊方法，通常是通過(guò)對(duì)受害者心理弱點(diǎn)對(duì)受害者心理弱點(diǎn)、本能本能反應(yīng)、好奇心反應(yīng)、好奇心、信任、信任、貪婪等心理陷阱、貪婪等心理陷阱進(jìn)行諸如欺騙、進(jìn)行諸如欺騙、傷害傷害等等攻擊手段，獲取情報(bào)攻擊手段，獲取情報(bào)連云港康達(dá)智社會(huì)工程安全考慮社會(huì)工程安全考慮連云港康達(dá)智物理安全考慮物理安全考慮禁用非必要禁

5、用非必要PCPC的光驅(qū)、的光驅(qū)、USBUSB接口接口限制非公司人員使用公司局域網(wǎng)限制非公司人員使用公司局域網(wǎng)在機(jī)要部門安裝門鎖在機(jī)要部門安裝門鎖連云港康達(dá)智理解防火墻理解防火墻連云港康達(dá)智何為網(wǎng)絡(luò)防火墻？何為網(wǎng)絡(luò)防火墻？ 將內(nèi)部的網(wǎng)絡(luò)與外部的不安全網(wǎng)絡(luò)進(jìn)行隔離將內(nèi)部的網(wǎng)絡(luò)與外部的不安全網(wǎng)絡(luò)進(jìn)行隔離 通過(guò)定義規(guī)則有限制的開放內(nèi)部向外部網(wǎng)絡(luò)的數(shù)據(jù)包流動(dòng)通過(guò)定義規(guī)則有限制的開放內(nèi)部向外部網(wǎng)絡(luò)的數(shù)據(jù)包流動(dòng) 通過(guò)定義規(guī)則有限制的開放外部訪問內(nèi)部的數(shù)據(jù)包通過(guò)定義規(guī)則有限制的開放外部訪問內(nèi)部的數(shù)據(jù)包 通過(guò)定義通過(guò)定義DMZDMZ更有限的進(jìn)行安全防護(hù)更有限的進(jìn)行安全防護(hù) 檢測(cè)有害數(shù)據(jù)包并將其阻止檢測(cè)有害數(shù)據(jù)包

6、并將其阻止 進(jìn)行日志記錄和統(tǒng)計(jì)進(jìn)行日志記錄和統(tǒng)計(jì)連云港康達(dá)智何為何為DMZ?DMZ?DMZDMZ是在內(nèi)部和外部網(wǎng)絡(luò)之間的一個(gè)緩存區(qū)是在內(nèi)部和外部網(wǎng)絡(luò)之間的一個(gè)緩存區(qū)連云港康達(dá)智防火墻技術(shù)防火墻技術(shù)通常防火墻使用三個(gè)技術(shù)：通常防火墻使用三個(gè)技術(shù)：包包過(guò)濾過(guò)濾狀態(tài)過(guò)濾狀態(tài)過(guò)濾應(yīng)用層過(guò)濾應(yīng)用層過(guò)濾連云港康達(dá)智包過(guò)濾包過(guò)濾連云港康達(dá)智狀態(tài)狀態(tài)過(guò)濾過(guò)濾連云港康達(dá)智應(yīng)用層過(guò)濾應(yīng)用層過(guò)濾連云港康達(dá)智配置訪問規(guī)則配置訪問規(guī)則連云港康達(dá)智監(jiān)控防火墻和日志分析監(jiān)控防火墻和日志分析 監(jiān)控會(huì)話監(jiān)控會(huì)話 啟用日志記錄啟用日志記錄 日志記錄的統(tǒng)計(jì)和分析日志記錄的統(tǒng)計(jì)和分析連云港康達(dá)智理解反惡意代碼理解反惡意代碼連云港康達(dá)

7、智惡意代碼概述惡意代碼概述代碼是指計(jì)算機(jī)程序的代碼，可以被執(zhí)行完成特定的功代碼是指計(jì)算機(jī)程序的代碼，可以被執(zhí)行完成特定的功能。任何事物都有正反兩面，人類發(fā)明的工具既可以造能。任何事物都有正反兩面，人類發(fā)明的工具既可以造福也可作孽，這完全取決于使用工具的人。福也可作孽，這完全取決于使用工具的人。計(jì)算機(jī)程序也不例外，軟件工程師編寫了大量的軟件計(jì)算機(jī)程序也不例外，軟件工程師編寫了大量的軟件（操作系統(tǒng)，應(yīng)用程序和數(shù)據(jù)庫(kù)系統(tǒng)等）的同時(shí)，黑客（操作系統(tǒng)，應(yīng)用程序和數(shù)據(jù)庫(kù)系統(tǒng)等）的同時(shí)，黑客們?cè)诰帉憯_亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱們?cè)诰帉憯_亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱為惡意代碼（為惡意代碼

8、（Malicious codesMalicious codes）。連云港康達(dá)智惡意代碼類型惡意代碼類型在在InternetInternet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計(jì)算機(jī)病毒（比例。惡意代碼主要包括計(jì)算機(jī)病毒（VirusVirus）、蠕蟲（）、蠕蟲（WormWorm）、）、木馬程序（木馬程序（Trojan HorseTrojan Horse）、后門程序（）、后門程序（Backdoor)Backdoor)、邏輯炸彈、邏輯炸彈（Login BombLogin Bomb）等等。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)）等等

9、。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受巨大的經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。蒙受巨大的經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。連云港康達(dá)智網(wǎng)絡(luò)蠕蟲的定義網(wǎng)絡(luò)蠕蟲的定義網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化的計(jì)算機(jī)程序，綜合了網(wǎng)絡(luò)攻網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化的計(jì)算機(jī)程序，綜合了網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒等技術(shù)，是一種無(wú)需計(jì)算機(jī)使用者干擊、密碼學(xué)和計(jì)算機(jī)病毒等技術(shù)，是一種無(wú)需計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼，它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系預(yù)即可運(yùn)行的攻擊程序或代碼，它會(huì)掃描和攻擊

10、網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過(guò)局域網(wǎng)或者國(guó)際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過(guò)局域網(wǎng)或者國(guó)際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。播到另外一個(gè)節(jié)點(diǎn)。蠕蟲具有主動(dòng)攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降蠕蟲具有主動(dòng)攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性特征，網(wǎng)絡(luò)蠕蟲低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性特征，網(wǎng)絡(luò)蠕蟲是無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過(guò)不停的是無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過(guò)不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來(lái)進(jìn)行傳獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來(lái)進(jìn)行傳播。播。連云

11、港康達(dá)智惡意代碼的攻擊機(jī)制惡意代碼的攻擊機(jī)制惡意惡意代碼的行為表現(xiàn)各異，破壞程度千差萬(wàn)別，但基本作用機(jī)制大體相同，代碼的行為表現(xiàn)各異，破壞程度千差萬(wàn)別，但基本作用機(jī)制大體相同，其整個(gè)作用過(guò)程分為其整個(gè)作用過(guò)程分為5 5個(gè)部分：個(gè)部分： 侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實(shí)現(xiàn)其惡意目的的必要條件。惡意代侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實(shí)現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就含有惡意代碼；碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤、接收已經(jīng)感染惡意代碼的電子郵件；從光盤、U U盤等存儲(chǔ)設(shè)備往系統(tǒng)上盤等存儲(chǔ)設(shè)備往系統(tǒng)

12、上安裝軟件；黑客或攻擊者故意將惡意代碼植入系統(tǒng)等。安裝軟件；黑客或攻擊者故意將惡意代碼植入系統(tǒng)等。 維持或提升現(xiàn)有權(quán)限。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程維持或提升現(xiàn)有權(quán)限。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限。的合法權(quán)限。 隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)入侵系統(tǒng)，惡意代碼可能隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)入侵系統(tǒng)，惡意代碼可能會(huì)改名、刪除源文件或者修改系統(tǒng)的安全策略來(lái)隱藏自己。會(huì)改名、刪除源文件或者修改系統(tǒng)的安全策略來(lái)隱藏自己。 潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并且有足夠的權(quán)限時(shí)潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并且有足夠的權(quán)限時(shí)進(jìn)行破壞

13、活動(dòng)。進(jìn)行破壞活動(dòng)。 破壞。惡意代碼是本質(zhì)具有破壞性，其目的是造成信息丟失、泄密、破壞。惡意代碼是本質(zhì)具有破壞性，其目的是造成信息丟失、泄密、破壞系統(tǒng)等。破壞系統(tǒng)等。連云港康達(dá)智惡意代碼防范方法惡意代碼防范方法 首先應(yīng)當(dāng)從源頭上盡可能的減少惡意代碼的入侵，主要的措首先應(yīng)當(dāng)從源頭上盡可能的減少惡意代碼的入侵，主要的措施有：對(duì)網(wǎng)頁(yè)進(jìn)行分析和預(yù)警，安裝反病毒軟件，對(duì)垃圾郵施有：對(duì)網(wǎng)頁(yè)進(jìn)行分析和預(yù)警，安裝反病毒軟件，對(duì)垃圾郵件進(jìn)行過(guò)濾，防火墻過(guò)濾，限制及安全使用件進(jìn)行過(guò)濾，防火墻過(guò)濾，限制及安全使用U U盤盤 其次在主機(jī)上安裝防病毒軟件，并及時(shí)更新數(shù)據(jù)庫(kù)其次在主機(jī)上安裝防病毒軟件，并及時(shí)更新數(shù)據(jù)庫(kù) 最

14、后應(yīng)當(dāng)強(qiáng)化操作系統(tǒng)，并做好備份。最后應(yīng)當(dāng)強(qiáng)化操作系統(tǒng)，并做好備份。連云港康達(dá)智建立攻擊反應(yīng)計(jì)劃建立攻擊反應(yīng)計(jì)劃連云港康達(dá)智何為攻擊反應(yīng)計(jì)劃何為攻擊反應(yīng)計(jì)劃攻擊反應(yīng)計(jì)劃包括：攻擊反應(yīng)計(jì)劃包括： 通過(guò)監(jiān)控及時(shí)發(fā)現(xiàn)攻擊行為通過(guò)監(jiān)控及時(shí)發(fā)現(xiàn)攻擊行為 進(jìn)行及時(shí)的應(yīng)急處理進(jìn)行及時(shí)的應(yīng)急處理 通過(guò)備份恢復(fù)系統(tǒng)功能與數(shù)據(jù)通過(guò)備份恢復(fù)系統(tǒng)功能與數(shù)據(jù) 通過(guò)日志的分析尋找攻擊源和攻擊方式通過(guò)日志的分析尋找攻擊源和攻擊方式 通過(guò)蜜罐技術(shù)誤導(dǎo)攻擊通過(guò)蜜罐技術(shù)誤導(dǎo)攻擊 尋求法律手段尋求法律手段連云港康達(dá)智理解網(wǎng)絡(luò)設(shè)備強(qiáng)化理解網(wǎng)絡(luò)設(shè)備強(qiáng)化連云港康達(dá)智何為網(wǎng)絡(luò)設(shè)備強(qiáng)化何為網(wǎng)絡(luò)設(shè)備強(qiáng)化由于網(wǎng)絡(luò)是通過(guò)網(wǎng)絡(luò)設(shè)備和計(jì)算器通過(guò)線路的互

15、聯(lián)構(gòu)成由于網(wǎng)絡(luò)是通過(guò)網(wǎng)絡(luò)設(shè)備和計(jì)算器通過(guò)線路的互聯(lián)構(gòu)成的，因此可以啟動(dòng)網(wǎng)絡(luò)設(shè)備的隔離功能強(qiáng)化網(wǎng)絡(luò)的安全的，因此可以啟動(dòng)網(wǎng)絡(luò)設(shè)備的隔離功能強(qiáng)化網(wǎng)絡(luò)的安全保護(hù)，特別是針對(duì)內(nèi)部的攻擊。保護(hù)，特別是針對(duì)內(nèi)部的攻擊。設(shè)備強(qiáng)化主要針對(duì)路由器和交換機(jī)。設(shè)備強(qiáng)化主要針對(duì)路由器和交換機(jī)。連云港康達(dá)智了解網(wǎng)絡(luò)架構(gòu)的模型了解網(wǎng)絡(luò)架構(gòu)的模型連云港康達(dá)智交換機(jī)的工作過(guò)程交換機(jī)的工作過(guò)程地址學(xué)習(xí)地址學(xué)習(xí)轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)/ /過(guò)濾判斷過(guò)濾判斷二二層環(huán)路層環(huán)路連云港康達(dá)智通過(guò)交換機(jī)實(shí)現(xiàn)隔離通過(guò)交換機(jī)實(shí)現(xiàn)隔離可以通過(guò)交換機(jī)上啟動(dòng)的端口安全和可以通過(guò)交換機(jī)上啟動(dòng)的端口安全和VLANVLAN技術(shù)實(shí)現(xiàn)安全隔離。技術(shù)實(shí)現(xiàn)安全隔離。連云港康達(dá)智

16、通過(guò)路由器實(shí)現(xiàn)隔離通過(guò)路由器實(shí)現(xiàn)隔離可以通過(guò)路由器上定義規(guī)則實(shí)現(xiàn)計(jì)算機(jī)間的通信隔離，從可以通過(guò)路由器上定義規(guī)則實(shí)現(xiàn)計(jì)算機(jī)間的通信隔離，從而提高安全性。而提高安全性。比如只讓財(cái)務(wù)部門的員工能夠訪問財(cái)務(wù)數(shù)據(jù)庫(kù)服務(wù)器，別比如只讓財(cái)務(wù)部門的員工能夠訪問財(cái)務(wù)數(shù)據(jù)庫(kù)服務(wù)器，別的部門的員工被禁止。的部門的員工被禁止。連云港康達(dá)智基礎(chǔ)示例基礎(chǔ)示例連云港康達(dá)智理解無(wú)線通信安全理解無(wú)線通信安全連云港康達(dá)智無(wú)線網(wǎng)絡(luò)訪問概述無(wú)線網(wǎng)絡(luò)訪問概述連云港康達(dá)智無(wú)線通訊協(xié)議無(wú)線通訊協(xié)議IEEE802.11IEEE802.11家族家族 802.11a 54Mbit/s 5GHz802.11a 54Mbit/s 5GHz802.1

17、1b 11Mbit/s 2.4GHz802.11b 11Mbit/s 2.4GHz802.11n 475Mbit/s802.11n 475Mbit/s802.11ac 1Gbit/s 5GHz 802.11ac 1Gbit/s 5GHz 連云港康達(dá)智無(wú)線安全協(xié)議無(wú)線安全協(xié)議WIDS/WIPSWIDS/WIPS（無(wú)線入侵防御系統(tǒng)，Wireless Intrusion Prevention System）WEPWEP（有線等效保密協(xié)議，Wired Equivalent Privacy）WPAWPA（WIFI安全訪問協(xié)議，Wi-Fi Protected Access）WAPIWAPI（無(wú)線局域網(wǎng)鑒別

18、和保密基礎(chǔ)結(jié)構(gòu)， Wireless LAN Authentication and Privacy Infrastructure ）連云港康達(dá)智理解數(shù)據(jù)保護(hù)理解數(shù)據(jù)保護(hù)連云港康達(dá)智數(shù)據(jù)保護(hù)概念數(shù)據(jù)保護(hù)概念數(shù)據(jù)保護(hù)指的是針對(duì)文件系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，以及通過(guò)網(wǎng)數(shù)據(jù)保護(hù)指的是針對(duì)文件系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，以及通過(guò)網(wǎng)絡(luò)傳遞的數(shù)據(jù)包的內(nèi)容進(jìn)行保護(hù)，確保其無(wú)法被非法竊取絡(luò)傳遞的數(shù)據(jù)包的內(nèi)容進(jìn)行保護(hù)，確保其無(wú)法被非法竊取和篡改的技術(shù)和篡改的技術(shù)數(shù)據(jù)保護(hù)的意義很明顯是為了降低組織的敏感數(shù)據(jù)被泄露數(shù)據(jù)保護(hù)的意義很明顯是為了降低組織的敏感數(shù)據(jù)被泄露或者破壞的風(fēng)險(xiǎn)或者破壞的風(fēng)險(xiǎn)數(shù)據(jù)保護(hù)技術(shù)是使用數(shù)學(xué)上的算法（函數(shù)）和密鑰（

19、因子）數(shù)據(jù)保護(hù)技術(shù)是使用數(shù)學(xué)上的算法（函數(shù)）和密鑰（因子）通過(guò)計(jì)算過(guò)程實(shí)現(xiàn)的通過(guò)計(jì)算過(guò)程實(shí)現(xiàn)的它它的兩個(gè)典型技術(shù)是加密和數(shù)字簽名的兩個(gè)典型技術(shù)是加密和數(shù)字簽名連云港康達(dá)智密碼長(zhǎng)度密碼長(zhǎng)度算法和密鑰的復(fù)雜程度共通決定保護(hù)的級(jí)別算法和密鑰的復(fù)雜程度共通決定保護(hù)的級(jí)別連云港康達(dá)智對(duì)稱密鑰與非對(duì)稱密鑰對(duì)稱密鑰與非對(duì)稱密鑰連云港康達(dá)智數(shù)字簽名數(shù)字簽名連云港康達(dá)智IPSecIPSec在網(wǎng)絡(luò)中的地位在網(wǎng)絡(luò)中的地位IPSecIPSec是是由由IETFIETF主持的標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全通訊協(xié)議，它可以確主持的標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全通訊協(xié)議，它可以確保在源與目的地進(jìn)行通訊的網(wǎng)絡(luò)鏈路上數(shù)據(jù)以安全的方式保在源與目的地進(jìn)行通訊的網(wǎng)絡(luò)

20、鏈路上數(shù)據(jù)以安全的方式傳輸，同時(shí)能確保源與目的地的合法身份，以及保證數(shù)據(jù)傳輸，同時(shí)能確保源與目的地的合法身份，以及保證數(shù)據(jù)在傳輸過(guò)程中沒有經(jīng)過(guò)篡改。在傳輸過(guò)程中沒有經(jīng)過(guò)篡改。IPSecIPSec當(dāng)今在當(dāng)今在VPNVPN環(huán)境中被廣泛應(yīng)用。環(huán)境中被廣泛應(yīng)用。IPSecIPSec能夠解決的網(wǎng)絡(luò)安全問題包括：網(wǎng)絡(luò)監(jiān)視，中間人，能夠解決的網(wǎng)絡(luò)安全問題包括：網(wǎng)絡(luò)監(jiān)視，中間人，身份仿冒，地址欺騙，數(shù)據(jù)篡改。身份仿冒，地址欺騙，數(shù)據(jù)篡改。第第三三部分部分操作系統(tǒng)安全設(shè)計(jì)與實(shí)現(xiàn)操作系統(tǒng)安全設(shè)計(jì)與實(shí)現(xiàn)連云港康達(dá)智連云港康達(dá)智操作系統(tǒng)安全操作系統(tǒng)安全連云港康達(dá)智常用操作系統(tǒng)概述常用操作系統(tǒng)概述目前服務(wù)器常用的操作系

21、統(tǒng)有三類：目前服務(wù)器常用的操作系統(tǒng)有三類：UnixUnixLinuxLinuxWindowsWindows這些操作系統(tǒng)都是符合這些操作系統(tǒng)都是符合C2C2級(jí)安全級(jí)別的操作系統(tǒng)。但是都級(jí)安全級(jí)別的操作系統(tǒng)。但是都存在不少漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的措存在不少漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。連云港康達(dá)智UNIXUNIXUNXIUNXI操作系統(tǒng)經(jīng)過(guò)操作系統(tǒng)經(jīng)過(guò)2020多年的發(fā)展后，已經(jīng)成為一種成熟的多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過(guò)程中逐步形成了一些新的特色，主流操作系統(tǒng)，并在發(fā)展過(guò)程

22、中逐步形成了一些新的特色，其中主要包括其中主要包括5 5個(gè)方面。個(gè)方面。a)a) 可靠性高可靠性高b)b) 極強(qiáng)的極強(qiáng)的伸縮性伸縮性c)c) 網(wǎng)絡(luò)功能強(qiáng)網(wǎng)絡(luò)功能強(qiáng)d)d) 強(qiáng)大的數(shù)據(jù)庫(kù)支持功能強(qiáng)大的數(shù)據(jù)庫(kù)支持功能e)e) 開放性好開放性好連云港康達(dá)智LinuxLinux典型的優(yōu)點(diǎn)典型的優(yōu)點(diǎn)a)a) 完全免費(fèi)完全免費(fèi)b)b) 完全兼容完全兼容POSIX 1.0POSIX 1.0標(biāo)準(zhǔn)標(biāo)準(zhǔn)c)c) 多用戶、多任務(wù)多用戶、多任務(wù)d)d) 良好的界面良好的界面e)e) 豐富的網(wǎng)絡(luò)功能豐富的網(wǎng)絡(luò)功能f)f) 可靠的安全、穩(wěn)定性能可靠的安全、穩(wěn)定性能g)g) 支持多種平臺(tái)支持多種平臺(tái)連云港康達(dá)智Window

23、sWindows系統(tǒng)系統(tǒng)WindowsWindows分為桌面操作系統(tǒng)和服務(wù)器操作系統(tǒng)，分別適用于分為桌面操作系統(tǒng)和服務(wù)器操作系統(tǒng)，分別適用于個(gè)人用戶和企業(yè)用戶個(gè)人用戶和企業(yè)用戶WindowsWindows操作系統(tǒng)的特點(diǎn)是易于使用，功能全面，與微軟公操作系統(tǒng)的特點(diǎn)是易于使用，功能全面，與微軟公司的其他應(yīng)用程序產(chǎn)品無(wú)縫集成，是現(xiàn)今世界上使用者最司的其他應(yīng)用程序產(chǎn)品無(wú)縫集成，是現(xiàn)今世界上使用者最多的一種操作系統(tǒng)。多的一種操作系統(tǒng)。連云港康達(dá)智操作系統(tǒng)安全體系操作系統(tǒng)安全體系談到操作系統(tǒng)安全時(shí)我們通常有幾個(gè)需求：談到操作系統(tǒng)安全時(shí)我們通常有幾個(gè)需求：確保操作系統(tǒng)自身的穩(wěn)定正常確保操作系統(tǒng)自身的穩(wěn)定正常

24、確保只有合法的用戶能夠進(jìn)入系統(tǒng)確保只有合法的用戶能夠進(jìn)入系統(tǒng)進(jìn)入系統(tǒng)的用戶只能做被允許的操作安全進(jìn)入系統(tǒng)的用戶只能做被允許的操作安全敏感的數(shù)據(jù)無(wú)法被非法竊取敏感的數(shù)據(jù)無(wú)法被非法竊取連云港康達(dá)智操作系統(tǒng)自身安全設(shè)計(jì)操作系統(tǒng)自身安全設(shè)計(jì)為了為了使用戶更愿意使用自己的產(chǎn)品，提供操作系統(tǒng)的軟件使用戶更愿意使用自己的產(chǎn)品，提供操作系統(tǒng)的軟件開發(fā)商們都默認(rèn)在他們生產(chǎn)的系統(tǒng)中提供了一些安全技術(shù)，開發(fā)商們都默認(rèn)在他們生產(chǎn)的系統(tǒng)中提供了一些安全技術(shù)，通常這些技術(shù)包括：通常這些技術(shù)包括：身份驗(yàn)證身份驗(yàn)證授權(quán)授權(quán)加密加密策略或者規(guī)則策略或者規(guī)則主機(jī)防火墻主機(jī)防火墻審核審核連云港康達(dá)智身份驗(yàn)證與賬戶系統(tǒng)身份驗(yàn)證與賬戶

25、系統(tǒng)賬戶系統(tǒng)是操作系統(tǒng)中重要的子系統(tǒng)，它主要對(duì)被管理的賬戶系統(tǒng)是操作系統(tǒng)中重要的子系統(tǒng)，它主要對(duì)被管理的主體進(jìn)行映射。主體進(jìn)行映射。在日常的計(jì)算機(jī)管理環(huán)境中，常見的主體是用戶和計(jì)算機(jī)，在日常的計(jì)算機(jī)管理環(huán)境中，常見的主體是用戶和計(jì)算機(jī)，為了在操作系統(tǒng)中對(duì)用戶進(jìn)行區(qū)分管理，將其映射為用戶為了在操作系統(tǒng)中對(duì)用戶進(jìn)行區(qū)分管理，將其映射為用戶賬戶。這兩種賬戶用來(lái)實(shí)現(xiàn)身份證，權(quán)限和策略控制賬戶。這兩種賬戶用來(lái)實(shí)現(xiàn)身份證，權(quán)限和策略控制連云港康達(dá)智為什么使用用戶賬戶為什么使用用戶賬戶我想控制什么樣的人才能訪問某些文件。我想控制什么樣的人才能訪問某些文件。(IT(IT主管主管) )將用戶賬戶和相應(yīng)文件的權(quán)限

26、關(guān)聯(lián)在一起實(shí)現(xiàn)控制訪問我我想提高公司網(wǎng)絡(luò)的安全性。（想提高公司網(wǎng)絡(luò)的安全性。（ITIT主管）主管）用戶在登錄時(shí)必須提供在公司的網(wǎng)絡(luò)中合法的賬戶與相關(guān)口令在計(jì)算機(jī)應(yīng)用環(huán)境中通過(guò)賬戶映射在計(jì)算機(jī)應(yīng)用環(huán)境中通過(guò)賬戶映射“人人”這種實(shí)體，并將其和相關(guān)這種實(shí)體，并將其和相關(guān)應(yīng)用關(guān)聯(lián)起來(lái)應(yīng)用關(guān)聯(lián)起來(lái)連云港康達(dá)智賬戶攻擊賬戶攻擊連云港康達(dá)智何為資源訪問控制？何為資源訪問控制？網(wǎng)絡(luò)的實(shí)際作用在于能夠讓用戶更方便更快捷的在很大的網(wǎng)絡(luò)的實(shí)際作用在于能夠讓用戶更方便更快捷的在很大的范圍內(nèi)共享數(shù)據(jù)，但這是否就意味著每個(gè)人都能夠或者應(yīng)范圍內(nèi)共享數(shù)據(jù)，但這是否就意味著每個(gè)人都能夠或者應(yīng)該是自由的訪問任何一臺(tái)另外計(jì)算機(jī)上的

27、文件呢該是自由的訪問任何一臺(tái)另外計(jì)算機(jī)上的文件呢答案在于用戶可以去訪問別人計(jì)算機(jī)上的文件，但前提是答案在于用戶可以去訪問別人計(jì)算機(jī)上的文件，但前提是確保安全性與合法性確保安全性與合法性所謂資源訪問控制就是利用權(quán)限來(lái)控制哪些人可以訪問資所謂資源訪問控制就是利用權(quán)限來(lái)控制哪些人可以訪問資源，訪問的級(jí)別又有多高源，訪問的級(jí)別又有多高可以利用共享權(quán)限控制遠(yuǎn)程訪問權(quán)限，通過(guò)文件系統(tǒng)權(quán)限可以利用共享權(quán)限控制遠(yuǎn)程訪問權(quán)限，通過(guò)文件系統(tǒng)權(quán)限控制本地訪問權(quán)限控制本地訪問權(quán)限連云港康達(dá)智何為權(quán)限？何為權(quán)限？權(quán)限用來(lái)定義合法的訪問者在系統(tǒng)中做哪些操作是合法的。權(quán)限用來(lái)定義合法的訪問者在系統(tǒng)中做哪些操作是合法的。權(quán)限

28、一般也分為多個(gè)層次，有本地權(quán)限，也有遠(yuǎn)程權(quán)限權(quán)限一般也分為多個(gè)層次，有本地權(quán)限，也有遠(yuǎn)程權(quán)限連云港康達(dá)智何為審核？何為審核？審核和日志是操作系統(tǒng)中的一種跟蹤技術(shù)，它可幫助管理審核和日志是操作系統(tǒng)中的一種跟蹤技術(shù)，它可幫助管理員了解到如下的一些內(nèi)部活動(dòng)的相關(guān)信息員了解到如下的一些內(nèi)部活動(dòng)的相關(guān)信息 通過(guò)審核我們及時(shí)發(fā)現(xiàn)系統(tǒng)中出現(xiàn)的一些安全問題，從而及時(shí)的進(jìn)行反應(yīng)，進(jìn)而配置防御性措施 我們也可以利用審核信息作為證據(jù)，威懾攻擊者連云港康達(dá)智關(guān)閉不必要的服務(wù)關(guān)閉不必要的服務(wù)通過(guò)系統(tǒng)中的管理工具將一些我們所不需要的功能進(jìn)行關(guān)通過(guò)系統(tǒng)中的管理工具將一些我們所不需要的功能進(jìn)行關(guān)閉，或者修改默認(rèn)端口號(hào)防止監(jiān)聽

29、。閉，或者修改默認(rèn)端口號(hào)防止監(jiān)聽。連云港康達(dá)智應(yīng)用程序安全應(yīng)用程序安全連云港康達(dá)智應(yīng)用程序安全應(yīng)用程序安全確保企業(yè)關(guān)鍵的應(yīng)用程序服務(wù)器不易遭受到攻擊確保企業(yè)關(guān)鍵的應(yīng)用程序服務(wù)器不易遭受到攻擊確保應(yīng)用程序本身的穩(wěn)定運(yùn)行確保應(yīng)用程序本身的穩(wěn)定運(yùn)行安裝經(jīng)測(cè)試的反病毒和反木馬軟件安裝經(jīng)測(cè)試的反病毒和反木馬軟件定期進(jìn)行應(yīng)用程序的更新定期進(jìn)行應(yīng)用程序的更新第第四四部分部分安全設(shè)計(jì)和安全評(píng)估安全設(shè)計(jì)和安全評(píng)估連云港康達(dá)智連云港康達(dá)智安全設(shè)計(jì)安全設(shè)計(jì)連云港康達(dá)智安全設(shè)計(jì)與實(shí)現(xiàn)安全設(shè)計(jì)與實(shí)現(xiàn)設(shè)計(jì)設(shè)計(jì) 確保網(wǎng)絡(luò)安全的方案是預(yù)見性的而不是被動(dòng)的 包含策略和過(guò)程 包括了對(duì)操作系統(tǒng)，數(shù)據(jù)，賬戶，中立區(qū)，路由器，連接，計(jì)

30、算機(jī)，移動(dòng)設(shè)置，技術(shù)設(shè)施，操作者的安全規(guī)劃實(shí)現(xiàn)實(shí)現(xiàn) 通過(guò)所設(shè)計(jì)的安全方案進(jìn)行環(huán)境配置額外考慮額外考慮 實(shí)現(xiàn)更高級(jí)別的安全并不總是帶來(lái)好處意味著更高的投資連云港康達(dá)智網(wǎng)絡(luò)安全方案的框架網(wǎng)絡(luò)安全方案的框架總體上說(shuō)，一份安全解決方案框架涉及總體上說(shuō)，一份安全解決方案框架涉及6 6大方面，可以根據(jù)大方面，可以根據(jù)實(shí)際需求取舍實(shí)際需求取舍 概要安全風(fēng)險(xiǎn)分析 實(shí)際安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)系統(tǒng)的安全原則 安全產(chǎn)品 風(fēng)險(xiǎn)評(píng)估 安全服務(wù)連云港康達(dá)智安全評(píng)估安全評(píng)估連云港康達(dá)智安全準(zhǔn)則安全準(zhǔn)則只要企業(yè)的網(wǎng)絡(luò)連接到只要企業(yè)的網(wǎng)絡(luò)連接到InternetInternet，一定要配置邊界防火墻，病毒防，一定要配置邊界防火墻，病

31、毒防火墻火墻分析并確認(rèn)企業(yè)的關(guān)鍵業(yè)務(wù)服務(wù)器，將這些關(guān)鍵服務(wù)器放置在指定分析并確認(rèn)企業(yè)的關(guān)鍵業(yè)務(wù)服務(wù)器，將這些關(guān)鍵服務(wù)器放置在指定的物理安全保障措施齊備的位置的物理安全保障措施齊備的位置對(duì)于關(guān)鍵服務(wù)器的訪問設(shè)備進(jìn)行強(qiáng)化對(duì)于關(guān)鍵服務(wù)器的訪問設(shè)備進(jìn)行強(qiáng)化對(duì)于關(guān)鍵服務(wù)器的操作系統(tǒng)進(jìn)行強(qiáng)化對(duì)于關(guān)鍵服務(wù)器的操作系統(tǒng)進(jìn)行強(qiáng)化對(duì)于關(guān)鍵服務(wù)器的應(yīng)用進(jìn)行強(qiáng)化對(duì)于關(guān)鍵服務(wù)器的應(yīng)用進(jìn)行強(qiáng)化對(duì)于重要數(shù)據(jù)采取加密保護(hù)對(duì)于重要數(shù)據(jù)采取加密保護(hù)對(duì)所有的計(jì)算機(jī)進(jìn)行及時(shí)更新對(duì)所有的計(jì)算機(jī)進(jìn)行及時(shí)更新啟動(dòng)多層次的審核啟動(dòng)多層次的審核對(duì)移動(dòng)設(shè)備的使用進(jìn)行規(guī)范對(duì)移動(dòng)設(shè)備的使用進(jìn)行規(guī)范對(duì)存儲(chǔ)設(shè)備的使用進(jìn)行規(guī)范對(duì)存儲(chǔ)設(shè)備的使用進(jìn)行規(guī)范對(duì)用

32、戶進(jìn)行培訓(xùn)提高其自身的安全意識(shí)問題并制定安全守則進(jìn)行約對(duì)用戶進(jìn)行培訓(xùn)提高其自身的安全意識(shí)問題并制定安全守則進(jìn)行約束束連云港康達(dá)智我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)我國(guó)根據(jù)我國(guó)根據(jù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859-1999GB 17859-1999，19991999年年1010月月經(jīng)過(guò)國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級(jí)別經(jīng)過(guò)國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級(jí)別第第一級(jí)為用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，一級(jí)為用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保

33、護(hù)用戶的信息免受非法的讀寫破壞。保護(hù)用戶的信息免受非法的讀寫破壞。第二第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)：除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)：除具備第一級(jí)所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。維護(hù)訪問的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。第三級(jí)為安全標(biāo)記保護(hù)級(jí)：除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問對(duì)第三級(jí)為安全標(biāo)記保護(hù)級(jí)：除繼承前一個(gè)級(jí)別的安全功能外，還要求以訪問對(duì)象標(biāo)記的安全級(jí)別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制保護(hù)。象標(biāo)記的安全級(jí)別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制保護(hù)。第四第四級(jí)

34、為結(jié)構(gòu)化保護(hù)級(jí)：在繼承前面安全級(jí)別安全功能的基礎(chǔ)上，將安全保護(hù)級(jí)為結(jié)構(gòu)化保護(hù)級(jí)：在繼承前面安全級(jí)別安全功能的基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問者對(duì)訪問對(duì)象的機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分直接控制訪問者對(duì)訪問對(duì)象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五第五級(jí)為訪問驗(yàn)證保護(hù)級(jí)：這一個(gè)級(jí)別特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪級(jí)為訪問驗(yàn)證保護(hù)級(jí)：這一個(gè)級(jí)別特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng)。問者對(duì)訪問對(duì)象的所有訪問活動(dòng)。連云港康達(dá)智國(guó)際評(píng)價(jià)標(biāo)準(zhǔn)國(guó)際評(píng)價(jià)標(biāo)準(zhǔn)根據(jù)美國(guó)國(guó)防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)根據(jù)美國(guó)國(guó)防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)可信任計(jì)算機(jī)標(biāo)