構(gòu)建信息安全技術(shù)防御體系(6月17日上午遠(yuǎn)程教育視頻培訓(xùn)課件)

構(gòu)建信息安全防護(hù)體系中國(guó)信息安全測(cè)評(píng)中心CISP運(yùn)營(yíng)中心沈傳寧安全防護(hù)體系建設(shè)病毒木馬誤操作斷電硬件故障內(nèi)部人員泄密應(yīng)用問(wèn)題軟件故障漏洞網(wǎng)絡(luò)故障口令破解協(xié)議缺陷防火墻、入侵檢測(cè)、防病毒軟件、身份認(rèn)證、備份、漏洞掃描、安全審計(jì)……4安全防護(hù)體系模型信息保障技術(shù)框架（IATF）保護(hù)計(jì)算環(huán)境安全保護(hù)網(wǎng)絡(luò)邊界安全保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施建設(shè)5信息安全防護(hù)體系參考模型一信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）美國(guó)國(guó)家安全局（NSA）制定的，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF的代表理論為“深度防御（Defense-in-Depth）”。在關(guān)于實(shí)現(xiàn)信息保障目標(biāo)的過(guò)程和方法上，IATF論述了系統(tǒng)工程、系統(tǒng)采購(gòu)、風(fēng)險(xiǎn)管理、認(rèn)證和鑒定以及生命周期支持等過(guò)程，指出了一條較為清晰的建設(shè)信息保障體系的路子4信息保障技術(shù)框架（IATF）5SuccessfulOrganizationFunctionsInformationAssuranceDefenseInDepthStrategyDefendtheNetwork&InfrastructureDefendtheComputingEnvironmentSupportingInfrastructuresDefendtheEnclaveBoundaryDetect&RespondKMI/PKIOverlappingApproaches&LayersofProtectionTechnologyTechnologyOperationsOperationsPeoplePeoplePeopleExecutingOperationsSupportedbyTechnology成功的組織功能信息保障深度防御戰(zhàn)略網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全邊界安全計(jì)算環(huán)境安全安全基礎(chǔ)設(shè)施檢測(cè)與響應(yīng)KMI/PKI層疊的方法與保護(hù)層次技術(shù)技術(shù)操作操作人員人員技術(shù)技術(shù)操作操作人員人員人員依靠技術(shù)進(jìn)行操作人（People）：信息保障體系的核心，是第一位的要素，同時(shí)也是最脆弱的?；谶@樣的認(rèn)識(shí)，安全管理在安全保障體系中愈顯重要，包括：意識(shí)培訓(xùn)、組織管理、技術(shù)管理、操作管理……技術(shù)（Technology）：技術(shù)是實(shí)現(xiàn)信息保障的重要手段。動(dòng)態(tài)的技術(shù)體系：防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)操作（Operation）：也叫運(yùn)行，構(gòu)成安全保障的主動(dòng)防御體系。是將各方面技術(shù)緊密結(jié)合在一起的主動(dòng)的過(guò)程，包括風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、安全審計(jì)跟蹤告警、入侵檢測(cè)、響應(yīng)恢復(fù)……IATF的三要素6IATF的核心思想人，借助技術(shù)的支持，實(shí)施一系列的操作過(guò)程，最終實(shí)現(xiàn)信息保障目標(biāo)，這就是IATF最核心的理念之一7IATF關(guān)注的技術(shù)領(lǐng)域關(guān)注的四個(gè)主要的技術(shù)領(lǐng)域計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施。四個(gè)領(lǐng)域構(gòu)成了完整的信息保障體系所涉及的范圍，每個(gè)范圍領(lǐng)域內(nèi)描述特有安全需求和相應(yīng)可供選擇的技術(shù)措施8

邊界區(qū)域

計(jì)算環(huán)境

網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施目標(biāo)：使用信息保障技術(shù)確保數(shù)據(jù)在進(jìn)人、離開(kāi)或駐留客戶機(jī)和服務(wù)器時(shí)具有保密性、完整性和可用性。方法：使用安全的操作系統(tǒng),使用安全的應(yīng)用程序安全消息傳遞、安全瀏覽、文件保護(hù)等主機(jī)入侵檢測(cè)防病毒系統(tǒng)主機(jī)脆弱性掃描文件完整性保護(hù)保護(hù)計(jì)算環(huán)境9保護(hù)區(qū)域邊界什么是邊界？“域”指由單一授權(quán)通過(guò)專用或物理安全措施所控制的環(huán)境，包括物理環(huán)境和邏輯環(huán)境。區(qū)域的網(wǎng)絡(luò)設(shè)備與其它網(wǎng)絡(luò)設(shè)備的接入點(diǎn)被稱為“區(qū)域邊界”。目標(biāo)：對(duì)進(jìn)出某區(qū)域（物理區(qū)域或邏輯區(qū)域）的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視。方法：病毒、惡意代碼防御防火墻人侵檢測(cè)邊界護(hù)衛(wèi)遠(yuǎn)程訪問(wèn)多級(jí)別安全10保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施目標(biāo)：網(wǎng)絡(luò)和支持它的基礎(chǔ)設(shè)施必須防止數(shù)據(jù)非法泄露防止受到拒絕服務(wù)的攻擊防止受到保護(hù)的信息在發(fā)送過(guò)程中的時(shí)延、誤傳或未發(fā)送。方法：骨干網(wǎng)可用性無(wú)線網(wǎng)絡(luò)安全框架系統(tǒng)高度互聯(lián)和虛擬專用網(wǎng)。11支撐性基礎(chǔ)設(shè)施建設(shè)目標(biāo)：為安全保障服務(wù)提供一套相互關(guān)聯(lián)的活動(dòng)與基礎(chǔ)設(shè)施,包括：密鑰管理功能檢測(cè)和響應(yīng)功能方法：密鑰管理優(yōu)先權(quán)管理證書(shū)管理入侵檢測(cè)、審計(jì)、配置信息調(diào)查、收集12安全防護(hù)體系模型信息保障技術(shù)框架（IATF）保護(hù)計(jì)算環(huán)境安全保護(hù)網(wǎng)絡(luò)邊界安全保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施建設(shè)5骨干網(wǎng)絡(luò)保護(hù)網(wǎng)絡(luò)邊界保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)計(jì)算環(huán)境系統(tǒng)安全是信息系統(tǒng)縱深防御中的最后環(huán)節(jié)IATF“保護(hù)計(jì)算環(huán)境”的主要內(nèi)容14保護(hù)計(jì)算環(huán)境-操作系統(tǒng)安全實(shí)踐-Windows系統(tǒng)安全安全安裝系統(tǒng)選擇分區(qū)選擇優(yōu)化安裝補(bǔ)丁及備份安全配置賬戶安全訪問(wèn)控制（共享、防火墻、遠(yuǎn)程終端）服務(wù)安全日志安全安全策略（本地安全策略、組策略）62賬號(hào)安全配置默認(rèn)賬戶安全更名及安全的口令其他賬戶安全安全的口令賬戶策略密碼策略賬戶鎖定策略16安全的口令好的口令特征自己容易記住，別人不好猜案例：“安全”的弱口令：zaq12wsxZAQ!@WSX其他口令管理策略密碼信封A、B角64訪問(wèn)控制遠(yuǎn)程連接安全遠(yuǎn)程終端防火墻共享風(fēng)險(xiǎn)控制關(guān)閉共享空會(huì)話連接限制18系統(tǒng)用戶列表用戶信息共享列表……空會(huì)話連接系統(tǒng)服務(wù)安全關(guān)閉不必要的服務(wù)（手工、禁用）MessageTaskSchedulerRemoteRegistryWindowsTime……服務(wù)的權(quán)限控制默認(rèn)服務(wù)權(quán)限-system降低部分服務(wù)的權(quán)限，特別是應(yīng)用程序服務(wù)權(quán)限19關(guān)注互操作服務(wù)日志安全配置20默認(rèn)提供日志系統(tǒng)日志應(yīng)用程序日志安全日志安裝相應(yīng)服務(wù)后提供目錄服務(wù)日志文件復(fù)制日志DNS服務(wù)器日志

開(kāi)啟安全審核！日志安全配置日志屬性日志大小上限>

100M日志覆蓋時(shí)間>30天日志保存路徑修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventlogApplication應(yīng)用程序日志Security安全日志System系統(tǒng)日志21本地安全策略設(shè)置用戶權(quán)限分配創(chuàng)建文件和目錄從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)……安全選項(xiàng)當(dāng)?shù)卿洉r(shí)間完成自動(dòng)注銷關(guān)機(jī)清理虛擬內(nèi)存頁(yè)面不顯示上次登陸用戶名超過(guò)登錄時(shí)間后強(qiáng)制注銷用戶登錄時(shí)的消息標(biāo)題用戶登錄時(shí)的消息文本使用空白密碼的賬號(hào)允許控制臺(tái)登錄……22其他本地安全策略高級(jí)安全Windows防火墻網(wǎng)絡(luò)列表管理器策略公鑰策略軟件限制策略應(yīng)用程序控制策略高級(jí)審核策略配置23組策略設(shè)置24軟件設(shè)置Windows設(shè)置管理模板Windows組件打印機(jī)控制面板網(wǎng)絡(luò)系統(tǒng)所有設(shè)置……安全增強(qiáng)軟件訪問(wèn)控制主機(jī)防火墻主機(jī)入侵檢測(cè)安全防護(hù)防病毒影子系統(tǒng)……72保護(hù)計(jì)算環(huán)境安全-惡意代碼防護(hù)什么是惡意代碼惡意代碼（UnwantedCode,MaliciousSoftware,Malware,Malicouscode）是指沒(méi)有作用卻會(huì)帶來(lái)危險(xiǎn)的代碼惡意代碼類型二進(jìn)制代碼二進(jìn)制文件腳本語(yǔ)言宏語(yǔ)言……26典型惡意代碼類別病毒編譯病毒解釋病毒蠕蟲(chóng)木馬其他惡意代碼邏輯炸彈流氓軟件……27編譯病毒定義指的是其源代碼已經(jīng)由編譯程序轉(zhuǎn)換成操作系統(tǒng)可直接執(zhí)行格式的病毒。類型感染文件病毒（CIH）感染引導(dǎo)區(qū)病毒(DIR2)混合病毒28解釋病毒定義非可直接執(zhí)行代碼，由特定應(yīng)用或服務(wù)執(zhí)行解釋執(zhí)行感染對(duì)象Office系統(tǒng)文檔：*.doc*.xls*.ppt*.mdb類型腳本病毒：各類腳本語(yǔ)言編寫(xiě)的病毒宏病毒：宏是office中的一項(xiàng)特殊功能，利用VBA編寫(xiě)腳本執(zhí)行重復(fù)性工作。宏病毒是以此功能編寫(xiě)的破壞性腳本。實(shí)例VBS腳本病毒：Happytime宏病毒：美麗莎（Macro.Melissa）29蠕蟲(chóng)病毒定義一種具備自復(fù)制能力的程序，它能傳播它自身功能的拷貝或它的某些部分到其他的計(jì)算機(jī)系統(tǒng)中特點(diǎn)有獨(dú)立的病毒文件體；主動(dòng)自我復(fù)制傳播；利用系統(tǒng)漏洞、弱口令、局域網(wǎng)共享等多種方式傳播；傳播速度極快。實(shí)例：莫里斯蠕蟲(chóng)尼姆達(dá)30木馬病毒定義又稱特洛伊木馬，名稱來(lái)源于古代神話特洛伊木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道其他的功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。（RFC1244）主要類別遠(yuǎn)程控制信息收集（密碼竊?。┢渌麗阂庾饔?1其他惡意代碼邏輯炸彈在特定邏輯條件滿足時(shí)，實(shí)施破壞的計(jì)算機(jī)程序或代碼。流氓軟件不會(huì)破壞計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)，但為了達(dá)到某種目的而收集信息或干擾用戶的使用體驗(yàn)。32惡意代碼的防治人：安全意識(shí)教育安全管理制度宣貫安全知識(shí)及意識(shí)技術(shù)：綜合病毒防御體系網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護(hù)網(wǎng)絡(luò)邊界安全防護(hù)運(yùn)行環(huán)境安全防護(hù)支撐性基礎(chǔ)設(shè)施管理：完善的制度33切斷病毒傳播途徑人員控制措施—惡意軟件的意識(shí)教育組織機(jī)構(gòu)IT系統(tǒng)和信息使用行為規(guī)范安全意識(shí)教育組織機(jī)構(gòu)的信息安全意識(shí)教育應(yīng)包含對(duì)惡意軟件的意識(shí)教育意識(shí)教育實(shí)踐的示例：不要打開(kāi)來(lái)自于未知或已知發(fā)送者的可疑的電子郵件或電子郵件附件不要點(diǎn)擊可疑的Web瀏覽器彈出窗口不要訪問(wèn)可能包含惡意內(nèi)容的網(wǎng)站不要打開(kāi)可能同惡意軟件相關(guān)的文件擴(kuò)展符的文件（例如：.bat，.com，.exe，.pif，.vbs)……

34技術(shù)控制措施-構(gòu)建綜合病毒防御體系遠(yuǎn)程用戶遠(yuǎn)程用戶遠(yuǎn)程用戶遠(yuǎn)程用戶邊界保護(hù)（隔離器、防火墻等）遠(yuǎn)程訪問(wèn)保護(hù)（VPN，加密等）邊界電信運(yùn)營(yíng)商公共電話網(wǎng)公共移動(dòng)網(wǎng)連接至其他邊界遠(yuǎn)程用戶專網(wǎng)密級(jí)網(wǎng)絡(luò)PBX公網(wǎng)(Internet)Internet服務(wù)供應(yīng)商電信運(yùn)營(yíng)商本地計(jì)算環(huán)境網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施（PKI公鑰基礎(chǔ)設(shè)施、檢測(cè)和響應(yīng)基礎(chǔ)設(shè)施）帶密級(jí)網(wǎng)絡(luò)的邊界專用網(wǎng)絡(luò)的邊界公共網(wǎng)絡(luò)的邊界35保護(hù)計(jì)算環(huán)境-應(yīng)用安全應(yīng)用安全目標(biāo)合法用戶能夠通過(guò)安全策略合法地訪問(wèn)業(yè)務(wù)資源非法用戶無(wú)法訪問(wèn)、篡改任何受保護(hù)的資源36技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全應(yīng)用安全問(wèn)題構(gòu)建在網(wǎng)絡(luò)、系統(tǒng)安全基礎(chǔ)上安全問(wèn)題關(guān)注運(yùn)行環(huán)境的安全（網(wǎng)絡(luò)安全、系統(tǒng)安全）應(yīng)用系統(tǒng)支撐軟件安全應(yīng)用軟件自身安全應(yīng)用協(xié)議安全37常見(jiàn)應(yīng)用安全威脅網(wǎng)絡(luò)層面拒絕服務(wù)、電子欺騙、嗅探、……系統(tǒng)層面Web服務(wù)漏洞、配置錯(cuò)誤、……應(yīng)用層面代碼缺陷(SQL注入、XSS……）資源管理……業(yè)務(wù)層面釣魚(yú)、流程缺陷38網(wǎng)絡(luò)層面安全防御拒絕服務(wù)資源控制（帶寬、CPU、內(nèi)存、連接數(shù)）電子欺騙強(qiáng)身份驗(yàn)證嗅探加密的會(huì)話（https）39系統(tǒng)層面安全防御Web服務(wù)漏洞補(bǔ)丁最小化安裝配置錯(cuò)誤安全配置標(biāo)準(zhǔn)化配置40應(yīng)用層面安全防御代碼缺陷（SQL注入、XSS等）安全開(kāi)發(fā)管理培訓(xùn)規(guī)范化開(kāi)發(fā)……信息泄露安全意識(shí)培訓(xùn)審查機(jī)制電子欺騙加密會(huì)話身份驗(yàn)證41業(yè)務(wù)層面安全防御釣魚(yú)式攻擊用戶自主標(biāo)識(shí)用戶安全意識(shí)教育流程缺陷風(fēng)險(xiǎn)評(píng)估滲透流程優(yōu)化42某域名注冊(cè)流程缺陷的例子！安全防護(hù)體系模型信息保障技術(shù)框架（IATF）保護(hù)計(jì)算環(huán)境安全保護(hù)網(wǎng)絡(luò)邊界安全保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施建設(shè)5控制：在網(wǎng)絡(luò)連接點(diǎn)上建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對(duì)進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息保護(hù)網(wǎng)絡(luò)邊界-防火墻44安全網(wǎng)域一防火墻的實(shí)現(xiàn)技術(shù)包過(guò)濾技術(shù)代理網(wǎng)關(guān)技術(shù)狀態(tài)檢測(cè)技術(shù)自適應(yīng)代理技術(shù)45防火墻的實(shí)現(xiàn)技術(shù)-包過(guò)濾實(shí)現(xiàn)機(jī)制：依據(jù)數(shù)據(jù)包的基本標(biāo)記來(lái)控制數(shù)據(jù)包網(wǎng)絡(luò)層地址：IP地址（源地址及目的地址）傳輸層地址：端口（源端口及目的端口）協(xié)議：協(xié)議類型46安全網(wǎng)域一防火墻的實(shí)現(xiàn)技術(shù)-包過(guò)濾優(yōu)點(diǎn):只對(duì)數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進(jìn)行分析，規(guī)則簡(jiǎn)單，處理速度較快易于配置對(duì)用戶透明，用戶訪問(wèn)時(shí)不需要提供額外的密碼或使用特殊的命令缺點(diǎn)：檢查和過(guò)濾器只在網(wǎng)絡(luò)層，不能識(shí)別應(yīng)用層協(xié)議或維持連接狀態(tài)安全性薄弱，不能防止IP欺騙等47防火墻的實(shí)現(xiàn)技術(shù)-代理網(wǎng)關(guān)每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過(guò)防火墻的介入和轉(zhuǎn)換，加強(qiáng)了控制分類電路級(jí)代理應(yīng)用代理48防火墻的實(shí)現(xiàn)技術(shù)-電路級(jí)代理建立回路，對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)優(yōu)點(diǎn)能提供NAT，為內(nèi)部地址管理提供靈活性，隱藏內(nèi)部網(wǎng)絡(luò)等適用面廣缺點(diǎn)僅簡(jiǎn)單的在兩個(gè)連接間轉(zhuǎn)發(fā)數(shù)據(jù)，不能識(shí)別數(shù)據(jù)包的內(nèi)容49防火墻的實(shí)現(xiàn)技術(shù)-應(yīng)用代理工作在應(yīng)用層使用代理技術(shù)，對(duì)應(yīng)用層數(shù)據(jù)包進(jìn)行檢查對(duì)應(yīng)用或內(nèi)容進(jìn)行過(guò)濾，例如：禁止FTP的“put”命令50防火墻的實(shí)現(xiàn)技術(shù)-應(yīng)用代理優(yōu)點(diǎn)可以檢查應(yīng)用層內(nèi)容，根據(jù)內(nèi)容進(jìn)行審核和過(guò)濾提供良好的安全性缺點(diǎn)支持的應(yīng)用數(shù)量有限性能表現(xiàn)欠佳51防火墻的實(shí)現(xiàn)技術(shù)-NAT什么是NAT一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT技術(shù)設(shè)計(jì)初衷增加私有組織的可用地址空間解決現(xiàn)有私有網(wǎng)絡(luò)接入的IP地址編號(hào)問(wèn)題52防火墻的實(shí)現(xiàn)技術(shù)-NATNAT實(shí)現(xiàn)方式靜態(tài)地址轉(zhuǎn)換動(dòng)態(tài)地址轉(zhuǎn)換端口轉(zhuǎn)換53安全網(wǎng)域一00054NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)管理方便并且節(jié)約IP地址資源隱藏內(nèi)部IP地址信息可用于實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡缺點(diǎn)外部應(yīng)用程序卻不能方便地與NAT網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。防火墻實(shí)現(xiàn)技術(shù)--狀態(tài)檢測(cè)數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層表示層會(huì)話層傳輸層檢測(cè)引擎應(yīng)用層動(dòng)態(tài)狀態(tài)表動(dòng)態(tài)狀態(tài)表動(dòng)態(tài)狀態(tài)表在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)創(chuàng)建狀態(tài)表用于維護(hù)連接上下文應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會(huì)話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層55防火墻實(shí)現(xiàn)技術(shù)--狀態(tài)檢測(cè)狀態(tài)檢測(cè)技術(shù)的特點(diǎn)安全性高，可根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高，在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識(shí)別和判斷適應(yīng)性好對(duì)用戶、應(yīng)用程序透明56防火墻實(shí)現(xiàn)技術(shù)-自適應(yīng)代理技術(shù)特點(diǎn)根據(jù)用戶定義安全規(guī)則動(dòng)態(tài)“適應(yīng)”傳輸中的分組流量高安全要求：在應(yīng)用層進(jìn)行檢查明確會(huì)話安全細(xì)則：鏈路層數(shù)據(jù)包轉(zhuǎn)發(fā)兼有高安全性和高效率57防火墻技術(shù)--防火墻的工作模式路由模式透明模式混合模式內(nèi)部網(wǎng)絡(luò)/24GW:54外部網(wǎng)絡(luò)/24GW:防火墻InternetIntranet/2454/24防火墻的典型部署區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū)59可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防護(hù)墻的策略設(shè)置沒(méi)有明確允許的就是禁止先阻止所有數(shù)據(jù)包需要的給予開(kāi)放沒(méi)有明確禁止的就是允許對(duì)明確禁止的設(shè)置策略60防火墻的策略設(shè)置可信網(wǎng)絡(luò)可向DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請(qǐng)求61可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的策略設(shè)置DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請(qǐng)求DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請(qǐng)求DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請(qǐng)求根據(jù)業(yè)務(wù)需要確定62可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的不足和局限性無(wú)法發(fā)現(xiàn)和阻止對(duì)合法服務(wù)的攻擊；無(wú)法發(fā)現(xiàn)和阻止源自其它入口的攻擊；無(wú)法發(fā)現(xiàn)和阻止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊；無(wú)法發(fā)現(xiàn)和阻止應(yīng)用層的攻擊；防火墻本身也會(huì)出現(xiàn)問(wèn)題和受到攻擊。63網(wǎng)絡(luò)邊界防護(hù)-入侵檢測(cè)為什么需要入侵檢測(cè)系統(tǒng)防火墻的重要補(bǔ)充構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)克服傳統(tǒng)防御機(jī)制的限制入侵檢測(cè)系統(tǒng)能做什么檢測(cè)對(duì)網(wǎng)絡(luò)和系統(tǒng)的攻擊行為對(duì)攻擊行為作出響應(yīng)64入侵檢測(cè)系統(tǒng)的典型部署65可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻InternetIntranet旁路的方式接入部署位置防火墻外核心交換機(jī)關(guān)鍵位置HIDSNIDSNIDSNIDS數(shù)據(jù)采集技術(shù)嗅探技術(shù)交換環(huán)境下的數(shù)據(jù)采集鏡像口1對(duì)1鏡像多對(duì)1鏡像661234復(fù)制一份將端口4鏡像到端口1數(shù)據(jù)檢測(cè)技術(shù)誤用檢測(cè)技術(shù)建立入侵行為模型(攻擊特征)；假設(shè)可以識(shí)別和表示所有可能的特征；基于系統(tǒng)和基于用戶的誤用；異常檢測(cè)技術(shù)設(shè)定“正?！钡男袨槟Ｊ剑患僭O(shè)所有的入侵行為是異常的；基于系統(tǒng)和基于用戶的異常；67誤用檢測(cè)68優(yōu)點(diǎn)準(zhǔn)確率高；算法簡(jiǎn)單。關(guān)鍵問(wèn)題有所有的攻擊特征，建立完備的特征庫(kù)；特征庫(kù)要不斷更新；無(wú)法檢測(cè)新的入侵。異常檢測(cè)69誤報(bào)率、漏報(bào)率較高優(yōu)點(diǎn)可檢測(cè)未知攻擊自適應(yīng)、自學(xué)習(xí)能力關(guān)鍵問(wèn)題“正?！毙袨樘卣鞯倪x擇統(tǒng)計(jì)算法、統(tǒng)計(jì)點(diǎn)的選擇其他網(wǎng)絡(luò)安全設(shè)備70整合型邊界安全防護(hù)設(shè)備入侵防御系統(tǒng)（IPS）統(tǒng)一威脅管理系統(tǒng)（UTM）邊界防病毒網(wǎng)關(guān)等數(shù)據(jù)交換管理設(shè)備安全隔離與信息交換系統(tǒng)（網(wǎng)閘）流量管理、上網(wǎng)行為管理安全管理設(shè)備安全管理平臺(tái)（Soc）網(wǎng)絡(luò)準(zhǔn)入控制（NAC）……安全防護(hù)體系模型信息保障技術(shù)框架（IATF）保護(hù)計(jì)算環(huán)境安全保護(hù)網(wǎng)絡(luò)邊界安全保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施建設(shè)5保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施-協(xié)議安全72應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARP網(wǎng)絡(luò)接口層安全損壞干擾電磁泄漏搭線竊聽(tīng)欺騙73拒絕服務(wù)嗅探網(wǎng)絡(luò)接口層安全損壞：自然災(zāi)害、動(dòng)物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏搭線竊聽(tīng)：物理搭線欺騙：ARP欺騙嗅探：常見(jiàn)二層協(xié)議是明文通信的（以太、arp等）拒絕服務(wù)：macflooding，arpflooding等74互聯(lián)網(wǎng)絡(luò)層體系結(jié)構(gòu)75應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP協(xié)議族中最為核心的協(xié)議IP協(xié)議的特點(diǎn)不可靠（unreliable）通信無(wú)連接（connectionless）通信IP協(xié)議簡(jiǎn)介76IP層安全拒絕服務(wù)欺騙竊聽(tīng)偽造77互聯(lián)網(wǎng)絡(luò)層安全拒絕服務(wù)：分片攻擊（teardrop）/死亡之ping欺騙：IP源地址欺騙竊聽(tīng)：嗅探偽造：IP數(shù)據(jù)包偽造78傳輸層體系結(jié)構(gòu)79應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPTCP:傳輸控制協(xié)議作用：TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)功能數(shù)據(jù)包分塊發(fā)送接收確認(rèn)超時(shí)重發(fā)數(shù)據(jù)校驗(yàn)數(shù)據(jù)包排序控制流量……TCP協(xié)議8016位源端口號(hào)16位目的端口號(hào)32位序號(hào)32位確認(rèn)序號(hào)偏移量保留UAP

RSF16位窗口大小16位緊急指針16位校驗(yàn)和數(shù)據(jù)特點(diǎn)：UDP是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的傳輸層協(xié)議不具備接收應(yīng)答機(jī)制不能對(duì)數(shù)據(jù)分組、合并不能重新排序 沒(méi)有流控制功能協(xié)議簡(jiǎn)單占用資源少，效率高……UDP協(xié)議8116位源端口號(hào)16位目的端口號(hào)16位UDP長(zhǎng)度16位UDP校驗(yàn)和數(shù)據(jù)傳輸層安全拒絕服務(wù)欺騙竊聽(tīng)偽造82傳輸層安全問(wèn)題拒絕服務(wù)：synflood/udpflood/Smurf欺騙：TCP會(huì)話劫持竊聽(tīng)：嗅探偽造：數(shù)據(jù)包偽造83應(yīng)用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁(yè)瀏覽：HTTP……84應(yīng)用層安全拒絕服務(wù)欺騙竊聽(tīng)偽造暴力破解……85應(yīng)用層協(xié)議的安全問(wèn)題拒絕服務(wù)：超長(zhǎng)URL鏈接欺騙：跨站腳本、釣魚(yú)式攻擊、cookie欺騙竊聽(tīng)：嗅探偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等……86應(yīng)用層協(xié)議安全問(wèn)題-明文用戶名：scn密碼：scn432187保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施-網(wǎng)絡(luò)安全規(guī)劃合理劃分網(wǎng)絡(luò)安全區(qū)域規(guī)劃網(wǎng)絡(luò)IP地址設(shè)計(jì)VLAN安全配置路由交換設(shè)備網(wǎng)絡(luò)邊界訪問(wèn)控制策略網(wǎng)絡(luò)冗余配置88網(wǎng)絡(luò)安全架構(gòu)需求及設(shè)計(jì)89網(wǎng)絡(luò)安全架構(gòu)需求及設(shè)計(jì)90無(wú)線局域網(wǎng)安全風(fēng)險(xiǎn)

保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施-無(wú)線局域網(wǎng)安全91傳統(tǒng)無(wú)線安全防護(hù)措施服務(wù)集標(biāo)識(shí)符SSID極易暴露和偽造，沒(méi)有安全性可言物理地址（MAC）過(guò)濾

MAC地址容易偽造，擴(kuò)展性差有線等效加密（WEP）

IEEE802.11定義的WEP保密機(jī)制加密強(qiáng)度不足，在很短的時(shí)間內(nèi)WEP密鑰即可被破解WEP機(jī)制本身存在安全漏洞，密鑰長(zhǎng)度增加無(wú)法解決問(wèn)題，目前各種基于WEP的改進(jìn)措施（WPA）等安全性仍然沒(méi)有得到根本解決。92保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施-網(wǎng)絡(luò)準(zhǔn)入控制（NAC）通過(guò)對(duì)連入網(wǎng)絡(luò)的客戶端設(shè)備進(jìn)行授權(quán)，以防止病毒和蠕蟲(chóng)等惡意代碼對(duì)網(wǎng)絡(luò)安全造成危害。通過(guò)NAC，可以只允許合法的、值得信任的端點(diǎn)設(shè)備（例如PC、服務(wù)器、筆記本、智能手機(jī)等）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入檢查設(shè)備的“狀態(tài)”，能確保等待接入網(wǎng)絡(luò)的設(shè)備符合一定級(jí)別的安全標(biāo)準(zhǔn)能夠防止易損主機(jī)接入正常網(wǎng)絡(luò)，減少病毒和蠕蟲(chóng)對(duì)企業(yè)網(wǎng)絡(luò)的干擾93NAC的組成與工作過(guò)程組成終端安全檢查軟件網(wǎng)絡(luò)接入設(shè)備策略/AAA服務(wù)器工作過(guò)程由終端設(shè)備和網(wǎng)絡(luò)接入設(shè)備進(jìn)行交互通訊將終端信息發(fā)給策略/AAA服務(wù)器對(duì)接入終端和終端使用者進(jìn)行檢查當(dāng)終端及使用者符合策略/AAA服務(wù)器上定義的策略后，策略/AAA服務(wù)器會(huì)通知網(wǎng)絡(luò)接入設(shè)備，對(duì)終端進(jìn)行授權(quán)和訪問(wèn)控制94NAC的四種準(zhǔn)入控制方式802.1x準(zhǔn)入控制DHCP準(zhǔn)入控制網(wǎng)關(guān)型準(zhǔn)入控制ARP準(zhǔn)入控制95安全防護(hù)體系模型信息保障技術(shù)框架（IATF）保護(hù)計(jì)算環(huán)境安全保護(hù)網(wǎng)絡(luò)邊界安全保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施建設(shè)5什么是密碼學(xué)密碼學(xué)研究什么密碼編碼學(xué)——主要研究對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)對(duì)信息的隱蔽、完整性驗(yàn)證等密碼分析學(xué)——主要研究加密信息的破譯或信息的偽造密碼學(xué)在信息安全中的地位信息安全的重要基礎(chǔ)技術(shù)97密碼學(xué)發(fā)展古典密碼學(xué)（1949年之前）1949年之前，密碼學(xué)是一門藝術(shù)主要特點(diǎn)：數(shù)據(jù)的安全基于算法的保密近代密碼學(xué)（1949～1975年）1949～1975年，密碼學(xué)成為科學(xué)主要特點(diǎn)：數(shù)據(jù)的安全基于密鑰而不是算法的保密現(xiàn)代密碼學(xué)（1976年以后）密碼學(xué)的新方向—公鑰密碼學(xué)主要特點(diǎn)：公鑰密碼使得發(fā)送端和接收端無(wú)密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡?8密碼學(xué)基本術(shù)語(yǔ)明文：被隱蔽的消息被稱做明文（PlainText），通常用P或M表示。密文：隱蔽后的消息被稱做密文(CipherText)，通常用C表示。發(fā)送者：在信息傳送過(guò)程中，主動(dòng)提供信息的一方稱為發(fā)送者。接受者：在信息傳送過(guò)程中，得到信息的一方稱為接收者。加密：將明文變換成密文的過(guò)程稱為加密(Encryption)。解密：將密文變換成明文的過(guò)程稱為解密(Decryption)。加密算法：對(duì)明文進(jìn)行加密時(shí)所采用的一組規(guī)則稱為加密算法(EncryptionAlgorithm)。通常用E表示。解密算法：對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱為解密算法(DecryptionAlgorithm)。通常用D表示。密鑰:加密和解密算法的操作通常都是在一組密鑰(Key)的控制下進(jìn)行的，分別稱為加密密鑰和解密密鑰。通常用Ke和Kd表示。99對(duì)稱加密算法100DES算法：56bit的密鑰強(qiáng)度3DES：三重DES