安全防護技術(shù)

信息安全防護技術(shù)曹鵬網(wǎng)絡(luò)安全產(chǎn)品營銷中心解決方案部部長CISP北京caopeng@沈陽東軟軟件股份有限公司技術(shù)支撐平臺的搭建控制與審計是當前信息安全技術(shù)支撐平臺的兩大主流技術(shù)防火墻：不同網(wǎng)絡(luò)區(qū)域之間進行訪問控制（服務(wù)器區(qū)域、互聯(lián)網(wǎng)絡(luò)出口、地市與省中心之間）全面的信息安全審計（網(wǎng)絡(luò)通訊行為審計、網(wǎng)絡(luò)應(yīng)用信息的審計、服務(wù)器主機操作信息、異常流量訪問行為、網(wǎng)絡(luò)攻擊行為）漏洞掃描防病毒數(shù)據(jù)應(yīng)用的存儲備份全國廣域骨干網(wǎng)千兆NP防火墻核心交換機高端路由設(shè)備流量分析千兆NP防火墻核心交換機骨干層面的安全關(guān)注是網(wǎng)絡(luò)可用質(zhì)量全國/省骨干網(wǎng)路由器核心交換機重要業(yè)務(wù)服務(wù)器群網(wǎng)管服務(wù)器群總部辦公區(qū)域樓層交換機入侵檢測與審計系統(tǒng)安全審計系統(tǒng)VPN防火墻安全運維平臺移動VPN用戶各地分支機構(gòu)網(wǎng)絡(luò)流量分析系統(tǒng)信息匯聚層需要全面完善的技術(shù)方案信息匯聚層路由器交換機分支機構(gòu)網(wǎng)絡(luò)VPN功能防火墻小型分支機構(gòu)的特點與安全應(yīng)對分支機構(gòu)中一般不存放重要的應(yīng)用服務(wù)與數(shù)據(jù)信息，大部分以終端操作為主。安全投入相對較低，卻最容易出現(xiàn)安全問題，根據(jù)特點我們認為分支機構(gòu)需要一種高效整合的防護理念。利用NetEyeVPN防火墻進行安全防護，首先利用VPN功能來加密保護通過INTERNET到總部信息匯聚層的業(yè)務(wù)信息訪問操作，同時利用防火墻的功能對于網(wǎng)絡(luò)進出的各種數(shù)據(jù)包進行基本的安全控制。信息匯聚層路由器交換機分支機構(gòu)網(wǎng)絡(luò)VPN功能防火墻NetEyeIDS2050/2100小型分支機構(gòu)的特點與安全應(yīng)對在網(wǎng)絡(luò)內(nèi)部核心交換設(shè)備上添加一臺NETEYE入侵檢測設(shè)備，利用入侵檢測設(shè)備實現(xiàn)針對分支機構(gòu)網(wǎng)絡(luò)內(nèi)部中的關(guān)鍵應(yīng)用服務(wù)的保護。信息匯聚層路由器交換機分支機構(gòu)網(wǎng)絡(luò)入侵防御系統(tǒng)小型分支機構(gòu)的特點與安全應(yīng)對部署NETEYEIPS整合性安全防護產(chǎn)品，整合性的安全防護設(shè)備可以針對當前網(wǎng)絡(luò)種的各種常見攻擊行為、病毒、惡意訪問等進行有效發(fā)覺。同時還可以利用自身的防火墻模塊功能實現(xiàn)傳統(tǒng)防火墻的訪問控制功能。當網(wǎng)絡(luò)整體訪問數(shù)據(jù)流量不大的時候這種產(chǎn)品對于中小型分支機構(gòu)來說是一種性價比不錯的解決方案。防火墻的技術(shù)知識

VPN技術(shù)知識

終端用戶安全防護體系PDCEFR的應(yīng)急響應(yīng)方法文件刪除與反刪除議題整體介紹對系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求Firewall對系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求Anti-Virus對系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求IDS對系統(tǒng)影響程度產(chǎn)生信息量的多少系統(tǒng)更新頻度人員介入要求VPN什么是防火墻?FirewallInternetDMZInternalNetwork防火墻是在不同安全區(qū)域之間進行訪問控制的一種措施。防火墻的體系結(jié)構(gòu)包過濾技術(shù)應(yīng)用代理技術(shù)狀態(tài)檢測包過濾技術(shù)復(fù)合型防火墻的典型拓撲Internet內(nèi)部網(wǎng)絡(luò)DMZ目前市場上主流產(chǎn)品的形態(tài)集成了狀態(tài)檢測包過濾和應(yīng)用代理的混合型產(chǎn)品基于INTER/NP/ASIC不同的硬件平臺架構(gòu)胖防火墻和瘦防火墻的討論企業(yè)級別、電信級別與SOHU用戶級別的不同需求HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包進行分析根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于訪問內(nèi)容可以靈活的制定的控制策略靈活的包過濾規(guī)則HostCHostD在防火墻上制定基于時間的訪問控制策略上班時間不允許訪問Internet下班時間可以自由訪問公司的網(wǎng)絡(luò)Internet基于時間對象的訪問控制HostCHostDHostBHostA受保護網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶root123root123Yesadmin883No不管那臺電腦都可以用相同的用戶名來登陸防火墻只需在防火墻設(shè)置該用戶的規(guī)則即可用戶級權(quán)限控制客戶機A客戶機BInternet->MAC(A)->MAC(B)內(nèi)部網(wǎng)絡(luò)IP地址和MAC地址綁定防止IP地址盜用MAC與IP綁定規(guī)則的技術(shù)挑戰(zhàn)雙向NATFxp0的端口：8080正向NAT反向NAT（端口映射）InternetINTERNAL端口：80端口：21/24客戶機http://fxp0的IP地址:8080INTERNALFxp0的端口：2121External視頻H.323協(xié)議動態(tài)開放通訊端口防火墻正常工作狀態(tài)只開放端口1718或1719(發(fā)向網(wǎng)守的RAS消息所用端口)、1720(呼叫信令消息所用端口)。媒體流需要通過RTP協(xié)議來傳輸，而傳輸所需要的源端口和目的端口是動態(tài)確定的，這些端口可能是大于1024的任意端口，因此要使H.323數(shù)據(jù)流通過防火墻，需要在防火墻規(guī)則中打開所有大于1024的端口，這顯然是非常不安全的。防火墻需要全程跟蹤H.323協(xié)議過程，可以動態(tài)開放特定端口保證安全與應(yīng)用相統(tǒng)一。用戶C用戶D用戶B用戶A受保護網(wǎng)絡(luò)用戶A的流量已達到10M用戶A的流量已達到極限值30M阻斷用戶A的連接基于帳號的流量限制InternetInternetRADIUS服務(wù)器認證服務(wù)器admin12354876防火墻將認證信息傳給真正的RADIUS服務(wù)器進行認證將認證結(jié)果傳給防火墻根據(jù)認證結(jié)果決定用戶對資源的訪問權(quán)限支持第三方認證服務(wù)器HostAHostBHostCHostDInternet安全網(wǎng)域HostGHostH···TCP8：302005-07-07···TCP9：102005-07-07寫入日志寫入日志一旦出現(xiàn)安全事故可以查詢此日志訪問控制日志審計帶寬優(yōu)先級別管理Web服務(wù)器視頻應(yīng)用服務(wù)器客戶機客戶機客戶機瀏覽下載一級二級三級視頻Ftp服務(wù)器帶寬管理規(guī)則庫內(nèi)網(wǎng)外網(wǎng)外網(wǎng)內(nèi)網(wǎng)防火墻雙機熱備份保證網(wǎng)絡(luò)高可用性客戶機客戶機客戶機服務(wù)器服務(wù)器服務(wù)器請求請求請求請求安全網(wǎng)域HostCHostDInternet管理員黑客如何實現(xiàn)安全管理呢采用一次性口令認證來實現(xiàn)安全管理用戶名，口令用戶名，口令安全遠程管理OTPC一次性口令認證SNMPV3最新版本支持報警事件的統(tǒng)一監(jiān)控InternetDMZEmailFtpHTTP財務(wù)部市場部研發(fā)部RouterExe/doc/zip第三方殺毒軟件網(wǎng)絡(luò)防病毒聯(lián)動工作方式InternetDMZEmailFtpHTTP財務(wù)部市場部研發(fā)部Router來自內(nèi)部的攻擊來自外部的攻擊告警!攻擊次數(shù)比率(%)源地址目的地址攻擊方法2013.0702Portscan入侵特征庫內(nèi)置入侵檢測系統(tǒng)針對各種常見拒絕服務(wù)攻擊的防護IP/MAC地址綁定＋反向地址查找SYNCookie＋SYNProxy連接限速限制連接總數(shù)和入侵檢測產(chǎn)品聯(lián)動的工作方式DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部攻擊商務(wù)伙伴警告!記錄進攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置防火墻以便阻斷攻擊者郵件等多種方式通知管理員VPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)VPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)只有VPN/firewall集成的解決方案才能實現(xiàn)完全的訪問控制和全局一致的安全策略安全=最少服務(wù)最小權(quán)限公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的內(nèi)容還多推理：一個安全相關(guān)程序有安全性缺陷定理：只要不運行這個程序，那么這個程序有缺陷，也無關(guān)緊要推理：只要不運行這個程序，那么這個程序有安全性漏洞，也無關(guān)緊要定理：對外暴露的計算機，應(yīng)盡可能少地運行程序，且運行的程序也盡可能地小推論：防火墻基本法則：防火墻必須配置得盡可能地小，才能降低風(fēng)險。防火墻的網(wǎng)絡(luò)應(yīng)用防火墻應(yīng)用失敗案例辨析

未制定完整的企業(yè)安全策略沒有及時升級系統(tǒng)和安全漏洞庫安全策略更新緩慢合作伙伴選擇失敗缺少有效的管理手段防火墻的技術(shù)知識

VPN技術(shù)知識

終端用戶安全防護體系議題整體介紹VPN的基本技術(shù)Internet開放互聯(lián)網(wǎng)絡(luò)的帶來的安全風(fēng)險路由器內(nèi)部網(wǎng)Web、Mail服務(wù)器等因特網(wǎng)入侵者攻擊路由器進行竊聽分支機構(gòu)正常的通信流為什么我工資比他少500他們的標書拿到了又攻破了一個站點內(nèi)部人員使用監(jiān)聽工具竊聽PSTNEDI移動用戶分支機構(gòu)網(wǎng)站合作伙伴傳統(tǒng)訪問方式過于復(fù)雜難以管理私有公共RAS私有VANFrameRelayVPN最大優(yōu)勢----投資回報大幅度減少電信服務(wù)費用，尤其針對地域上分散的公司和企業(yè)針對遠程撥號上網(wǎng)訪問的用戶，省去了每個月的電信費用采用VPN,公司/企業(yè)中當前使用的ModemPool將永遠退休2002年，按企業(yè)/組織規(guī)模大小，實施VPN比例達到：57%----大型企業(yè)55%----中心企業(yè)51%----小型企業(yè)

來源:InfoneticsResearch安全的，統(tǒng)一的通信移動用戶分支機構(gòu)網(wǎng)站合作伙伴VPNVPN(VirtualPrivateNetwork)它指的是以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡(luò)流量來保護在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。遠程訪問Internet內(nèi)部網(wǎng)分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴VPN作用數(shù)據(jù)機密性保護數(shù)據(jù)完整性保護數(shù)據(jù)源身份認證撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)機密性保護內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進行比較，驗證數(shù)據(jù)的完整性數(shù)據(jù)完整性保護內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對方驗證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗證通過數(shù)據(jù)源身份認證加密算法與技術(shù)指標加密算法：國密辦批準使用的專用加密算法；認證方式：基于1024bitsRSA算法的數(shù)字簽名認證方式；認證算法：國密辦批準使用的專用認證算法；密鑰管理協(xié)議：采用標準的IKE協(xié)議；支持的協(xié)議：TCP/IP、IPSec、ESP和AH；采用的國際標準：IPSec、IKE-XAUTH、RSA、PKCS10/7/12；遠程訪問VPN提供通過Internet訪問公司網(wǎng)絡(luò)內(nèi)部資源的方法降低了長途、大型ModemPool和技術(shù)支持的費用公司總部站點Internet遠程或移動用戶點到點VPN利用Internet安全連接多個分支機構(gòu)減少對framerelay和租用線路的依靠公司總部站點Internet分支機構(gòu)站點內(nèi)部網(wǎng)VPN向商業(yè)合作伙伴提供對內(nèi)部重要數(shù)據(jù)的訪問

(銷售信息、工具軟件等等)減少了事務(wù)處理和操作中的費用公司總部站點Internet合作伙伴站點CorporateNetwork企業(yè)級

VPN的組成PKIorRADIUSBusinessPartnerBranchOfficeRemoteWorkerVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN靈巧網(wǎng)關(guān)VPN客戶端VPN應(yīng)用程序數(shù)據(jù)庫服務(wù)器VPN客戶端IPSec

會話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器InternetCertificateAuthorityIPSec

會話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計算機）使用IKE:通過數(shù)字證書驗證VPNgateway和Bob身份為通信建立安全關(guān)聯(lián)(密鑰和算法）InternetCertificateAuthorityIPSec

會話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計算機）使用IKE:通過數(shù)字證書驗證VPNgateway和Bob身份為通信建立安全聯(lián)盟(密鑰和算法）在Bob和VPNGateway之間建立加密通道InternetCertificateAuthorityIPSec

會話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計算機）使用IKE:通過數(shù)字證書驗證VPNgateway和Bob身份為通信建立安全聯(lián)盟(密鑰和算法）在Bob和VPNGateway之間建立加密通道Bob現(xiàn)在可以接受郵件了InternetCertificateAuthority防火墻的技術(shù)知識

VPN技術(shù)知識

終端用戶安全防護體系議題整體介紹終端用戶的安全防護技術(shù)安全“死角”的問題越來越嚴重補丁管理與個人用戶的行為監(jiān)控成為了最重要的兩個問題終端用戶的行為監(jiān)控一些保密單位較為重要，有本地和網(wǎng)絡(luò)兩種監(jiān)控方法。本地監(jiān)控主要有USB等具備存儲能力的物理接口控制，和用戶本地計算機界面的行為管理。補丁管理服務(wù)器WSUS個人終端用戶目前大多為WINXP、WIN2000、WIN2003版本，其中都已經(jīng)安裝配置好了個人的客戶端組策略編輯器。WSUS是免費的補丁服務(wù)更新管理的服務(wù)器，最好安裝在WIN2003的服務(wù)器上。文件的安全刪除與反刪除Windows所謂的刪除實際上只是把文件名稱的第一個字母改成一個特殊字符，然后把該文件占用的簇標記為空閑狀態(tài)，但文件包含的數(shù)據(jù)仍在磁盤上，下次將新的文件保存到磁盤時，這些簇可能被新的文件使用，從而覆蓋原來的數(shù)據(jù)。因此，只要不保存新的文件，被刪除文件的數(shù)據(jù)實際上仍舊完整無缺地保存在磁盤上。讀/寫磁頭向磁盤寫入數(shù)據(jù)時，它會將磁化數(shù)據(jù)位的信號調(diào)整到某個適當?shù)膹姸?，但信號不是越強越好，不?yīng)超出一定的界限，以免影響相鄰的數(shù)據(jù)位。由于信號強度不足以使存儲媒介達到飽和的磁化狀態(tài)，所以實際記錄在媒介上的信號受到以前保存在同一位置的信號的影響，例如，如果原來記錄的數(shù)據(jù)位是0，現(xiàn)在被一個1覆蓋，那么實際記錄在磁盤媒介上的信號強度肯定不如原來數(shù)據(jù)位是1的強度。PDCERF的應(yīng)急響應(yīng)方法學(xué)縱觀網(wǎng)絡(luò)安全發(fā)展過程，大家對網(wǎng)絡(luò)安全的認識可以分成三個階段：第一階段為安全產(chǎn)品階段。如何加強網(wǎng)絡(luò)安全，大家首先想到要上種類繁多的安全產(chǎn)品，這是最初大家對安全的認識。第二階段為安全產(chǎn)品＋管理階段。隨著對安全認識的不斷加深，逐步發(fā)現(xiàn)僅僅依賴安全產(chǎn)品的堆積，并沒有把本單位的安全問題解決的很好，還需要從組織、流程上來加強對安全產(chǎn)品和人的管理。這個階段，在考慮本單位網(wǎng)絡(luò)安全的時候，都能夠從技術(shù)（產(chǎn)品）和管理兩方面，來建立網(wǎng)絡(luò)安全防護體系。目前大部分用戶都處在這個階段。第三階段為應(yīng)急體系階段。準備（Preparation）通過對本單位網(wǎng)絡(luò)的分析，采取必要的措施加強網(wǎng)絡(luò)安全。應(yīng)該包含安全支撐平臺、日常安全管理和應(yīng)急預(yù)案。安全支撐平臺至少應(yīng)該含有邊界控制設(shè)備（如防火墻）和預(yù)警設(shè)備（如