網(wǎng)絡安全講義

內(nèi)容1.網(wǎng)絡安全知識/常識2.網(wǎng)絡漏洞和網(wǎng)絡攻擊技術(shù)介紹3.網(wǎng)絡安全防御技術(shù)－產(chǎn)品4.網(wǎng)絡安全策略-網(wǎng)絡安全服務5/9/20241網(wǎng)絡安全講義一、網(wǎng)絡安全知識/常識1.網(wǎng)絡安全的興起2.網(wǎng)絡安全的目的3.網(wǎng)絡攻擊后果4.網(wǎng)絡安全風險5/9/20242網(wǎng)絡安全講義網(wǎng)絡安全的興起Internet技術(shù)迅猛發(fā)展和普及有組織、有目的地網(wǎng)絡攻擊－Hacker出現(xiàn)企業(yè)內(nèi)部安全隱患有限的安全資源和管理專家

5/9/20243網(wǎng)絡安全講義復雜程度Internet技術(shù)的迅猛發(fā)展和普及-網(wǎng)絡應用InternetEmailWeb瀏覽Intranet

電子商務電子政務電子交易時間5/9/20244網(wǎng)絡安全講義黑客（Hacker）的分類偶然的破壞者堅定的破壞者間諜5/9/20245網(wǎng)絡安全講義案例:電影《黑客帝國》黑客方：尼奧（病毒、木馬）反黑客方：史密斯（防火墻、殺毒軟件）5/9/20246網(wǎng)絡安全講義全球超過26萬個黑客站點提供系統(tǒng)漏洞和攻擊知識越來越多的容易使用的攻擊軟件的出現(xiàn)國內(nèi)法律制裁打擊力度不夠網(wǎng)絡的普及使學習黑客技術(shù)變得異常簡單5/9/20247網(wǎng)絡安全講義網(wǎng)絡安全的目的保護信息的安全保護信息交互、傳輸?shù)陌踩Ｗo信息系統(tǒng)的正常運行5/9/20248網(wǎng)絡安全講義進不來拿不走改不了跑不了看不懂信息安全的目的可審查5/9/20249網(wǎng)絡安全講義財政損失知識產(chǎn)權(quán)損失時間消耗由錯誤使用導致的生產(chǎn)力消耗責任感下降內(nèi)部爭執(zhí)網(wǎng)絡攻擊后果可見的網(wǎng)絡攻擊影響利潤攻擊發(fā)生(財政影響)Q1Q2Q3Q45/9/202410網(wǎng)絡安全講義安全需求和實際操作脫離內(nèi)部的安全隱患動態(tài)的網(wǎng)絡環(huán)境有限的防御策略安全策略和實際執(zhí)行之間的巨大差異用戶對安全產(chǎn)品的依賴和理解誤差網(wǎng)絡安全風險5/9/202411網(wǎng)絡安全講義二、網(wǎng)絡漏洞和網(wǎng)絡攻擊技術(shù)介紹1.網(wǎng)絡中的漏洞2.網(wǎng)絡攻擊技術(shù)5/9/202412網(wǎng)絡安全講義網(wǎng)絡通訊層漏洞超過1000個TCP/IP服務安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.錯誤的路由配置TCP/IP中不健全的安全連接檢查機制缺省路由帳戶反向服務攻擊隱蔽Modem5/9/202413網(wǎng)絡安全講義針對網(wǎng)絡通訊層的攻擊通訊&服務層TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼調(diào)制解調(diào)器5/9/202414網(wǎng)絡安全講義

操作系統(tǒng)的安全隱患

1000個以上的商用操作系統(tǒng)安全漏洞沒有及時添加安全補丁病毒程序的傳播文件/用戶權(quán)限設(shè)置錯誤默認安裝的不安全設(shè)置缺省用戶的權(quán)限和密碼口令用戶設(shè)置過于簡單密碼使用特洛依木馬5/9/202415網(wǎng)絡安全講義DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼針對操作系統(tǒng)的攻擊操作系統(tǒng)UNIXWindowsLinuxFreebsdMacintoshNovell5/9/202416網(wǎng)絡安全講義應用程序服務的安全漏洞Web服務器:錯誤的Web目錄結(jié)構(gòu)CGI腳本缺陷Web服務器應用程序缺陷私人Web站點未索引的Web頁數(shù)據(jù)庫:危險的數(shù)據(jù)庫讀取刪除操作,緩沖區(qū)溢出路由器:源端口/源路由其他應用程序:Oracle,SAP,Peoplesoft缺省帳戶有缺陷的瀏覽器5/9/202417網(wǎng)絡安全講義DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼針對應用服務的攻擊應用服務程序

Web服務器

數(shù)據(jù)庫系統(tǒng)

內(nèi)部辦公系統(tǒng)

網(wǎng)絡瀏覽器

ERP系統(tǒng)

辦公文件程序

FTPSMTPPOP3SAPR/3Oracle5/9/202418網(wǎng)絡安全講義總結(jié)通迅層漏洞(TCP/IP協(xié)議)操作系統(tǒng)漏洞應用程序漏洞非法授權(quán)訪問欺騙類攻擊拒絕服務攻擊利用病毒的攻擊木馬程序攻擊入侵系統(tǒng)類攻擊后門攻擊緩沖區(qū)溢出攻擊暴力破解字典程序5/9/202419網(wǎng)絡安全講義三、網(wǎng)絡安全防御技術(shù)－產(chǎn)品1.防火墻2.防病毒3.VPN4.入侵檢測5.網(wǎng)絡掃描器（Scanner）6.加密7.數(shù)字證書5/9/202420網(wǎng)絡安全講義防火墻綜述防火墻是指設(shè)置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎(chǔ)設(shè)施。曉通分支名稱InternetFileServerClientMailServerClientClientClientFTPServer防火墻5/9/202421網(wǎng)絡安全講義防火墻可以是軟件、硬件和軟硬件結(jié)合的發(fā)展歷經(jīng)四代：簡單包過濾、應用代理、狀態(tài)檢測（狀態(tài)包過濾）防火墻、復合型防火墻防火墻綜述5/9/202422網(wǎng)絡安全講義硬件防火墻

軟硬件結(jié)合防火墻

軟件防火墻

用專用芯片處理數(shù)據(jù)包，CPU只作管理之用。使用專用的操作系統(tǒng)平臺，避免了通用性操作系統(tǒng)的安全性漏洞。高帶寬，高吞吐量，真正線速防火墻。即實際帶寬與理論值可以達到一致.安全與速度同時兼顧。沒有用戶限制。性價比高。管理簡單，快捷，具有良好的總體擁有成本。

機箱+CPU+防火墻軟件集成于一體（PCBOX結(jié)構(gòu)），市面上大部分聲稱“硬件”防火墻的產(chǎn)品都采用這種結(jié)構(gòu)。采用專用或通用操作系統(tǒng)。核心技術(shù)仍然為軟件，容易形成網(wǎng)絡帶寬瓶頸。只能滿足中低帶寬要求，吞吐量不高。通常帶寬只能達到理論值的20%--70%。中低流量時可滿足一定的安全要求，在高流量環(huán)境下會造成堵塞甚至系統(tǒng)崩潰。性價比不高。管理比較方便。

運行在通用操作系統(tǒng)上的能安全控制存取訪問的軟件，性能依靠于計算機CPU,內(nèi)存等?；诒娝苤耐ㄓ貌僮飨到y(tǒng)（如WinNT,SUNSolaris,SCOUNIX等），對底層操作系統(tǒng)的安全依賴性很高。由于操作系統(tǒng)平臺的限制，極易造成網(wǎng)絡帶寬瓶頸。因此，實際所能達到的帶寬通常只有理論值的20%--70%。可以滿足低帶寬低流量環(huán)境下的安全需要，高速環(huán)境下容易造成系統(tǒng)崩潰。有用戶限制，一般需要按用戶數(shù)購買，性價比較低。管理復雜，與系統(tǒng)有關(guān)，要求維護人員必須熟悉各種工作站及操作系統(tǒng)的安裝及維護。

防火墻發(fā)展概述5/9/202423網(wǎng)絡安全講義防火墻功能IP包檢測Internet內(nèi)容過濾網(wǎng)絡地址轉(zhuǎn)換(NAT)攻擊檢測日志審計/報警應用層控制用戶認證管理控制網(wǎng)絡內(nèi)容行為（NEW!）5/9/202424網(wǎng)絡安全講義防病毒知識介紹什么是病毒從廣義上定義，凡能夠引起計算機故障，自動破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

5/9/202425網(wǎng)絡安全講義病毒特征及目前流行病毒破壞性自動復制自動傳播紅色代碼紅色代碼II尼姆達-Nimuda求職信5/9/202426網(wǎng)絡安全講義網(wǎng)關(guān)防病毒產(chǎn)品特點及適用平臺產(chǎn)品特點企業(yè)Internet網(wǎng)關(guān)入口處針對FTP,HTTP,SMTP高效能的三合一防毒軟件全球查殺技術(shù)，大大提升殺毒效能

利用在網(wǎng)關(guān)入口處對病毒攔截的功能,降低了企業(yè)的防毒成本，提高了掃毒效率具有完整的實時監(jiān)控功能適用平臺WindowsNT、UNIX(Solaris、HP-UX)、Linux等5/9/202427網(wǎng)絡安全講義網(wǎng)關(guān)防病毒DisparatesystemsIDSHackerInternet5/9/202428網(wǎng)絡安全講義VPN的基本技術(shù)Internet5/9/202429網(wǎng)絡安全講義VPN(VirtualPrivateNetwork)它指的是以公用開放的網(wǎng)絡(如Internet)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡流量來保護在公共網(wǎng)絡上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(PrivateNetwork)性能的網(wǎng)絡服務技術(shù)。遠程訪問Internet內(nèi)部網(wǎng)分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴5/9/202430網(wǎng)絡安全講義VPN最大優(yōu)勢----投資回報大幅度減少電信服務費用，尤其針對地域上分散的公司和企業(yè)針對遠程撥號上網(wǎng)訪問的用戶，省去了每個月的電信費用到2002年，按企業(yè)/組織規(guī)模大小，實施VPN比例將達到：57%----大型企業(yè)55%----中心企業(yè)51%----小型企業(yè)

來源:InfoneticsResearch5/9/202431網(wǎng)絡安全講義數(shù)據(jù)機密性保護數(shù)據(jù)完整性保護數(shù)據(jù)源身份認證VPN作用5/9/202432網(wǎng)絡安全講義實時入侵監(jiān)控器是網(wǎng)絡上實時的入侵檢測、報警、響應和防范系統(tǒng)。將基于網(wǎng)絡的和基于主機的入侵檢測技術(shù)，分布式技術(shù)和可生存技術(shù)完美地結(jié)合起來，提供實時的安全監(jiān)控。監(jiān)控系統(tǒng)事件和傳輸?shù)木W(wǎng)絡數(shù)據(jù)，并對可疑的行為進行自動監(jiān)測和安全響應，使用戶的系統(tǒng)在受到危害之前即可截取并終止非法入侵的行為和內(nèi)部網(wǎng)絡的誤用，從而最大程度地降低安全風險，保護企業(yè)網(wǎng)絡的系統(tǒng)安全?？诹??????探測:入侵!實時入侵檢測系統(tǒng)5/9/202433網(wǎng)絡安全講義

網(wǎng)絡安全評估系統(tǒng)對網(wǎng)絡設(shè)備進行自動的安全漏洞檢測和分析，并且在執(zhí)行過程中支持基于策略的安全風險管理過程。另外，執(zhí)行預定的或事件驅(qū)動的網(wǎng)絡探測，包括對網(wǎng)絡通信服務、操作系統(tǒng)、路由器、電子郵件、Web服務器、防火墻和應用程序的檢測，從而識別能被入侵者利用來非法進入網(wǎng)絡的漏洞。Scanner將給出檢測到的漏洞信息，包括位置、詳細描述和建議的改進方案。這種策略允許管理員偵測和管理安全風險信息，并跟隨開放的網(wǎng)絡應用和迅速增長的網(wǎng)絡規(guī)模而相應地改變。網(wǎng)絡安全掃描系統(tǒng)5/9/202434網(wǎng)絡安全講義加密用于將數(shù)據(jù)轉(zhuǎn)換成保密代碼在不可信的網(wǎng)絡上傳輸加密算法“Thecowjumpedoverthemoon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文加密數(shù)據(jù)5/9/202435網(wǎng)絡安全講義對稱密鑰加密和解密使用同一把密鑰比非對稱密鑰速度快密鑰管理工作量大密鑰傳遞容易泄密SharedSecretKey5/9/202436網(wǎng)絡安全講義非對稱密鑰加密和解密采用不同密鑰(一把公鑰,一把私鑰)密鑰分配簡單密鑰保存量小，便于管理AlicePublicKeyEncryptAlicePrivateKeyDecryptBobAlice5/9/202437網(wǎng)絡安全講義數(shù)字證書和PublicKeyInfrastructure數(shù)字證書:包含了一個人的或一個實體的PublicKeys允許安全地分發(fā)publickeysIssignedbyaCertificateAuthority’sprivatekeyVerifiesidentitythroughtrustedthirdpartyMyCertificate:Name:BobOrganization:YISHANGPublicKey:lk393l430fksffj398sdf1f594ier933d34w435dCA:xxx.xxx.xxx.xxxandmore…5/9/202438網(wǎng)絡安全講義靈活的認證方式共享的密鑰最簡單的方式兩個站點通過電話或E-Mail方式共享密鑰PublicKeyInfrastructure提供在較大規(guī)模下發(fā)布和管理Public/Private密鑰的方法InternetKeyExchange(IKE)自動更有效地進行身份認證、協(xié)商算法及交換密鑰5/9/202439網(wǎng)絡安全講義四、網(wǎng)絡安全策略-網(wǎng)絡安全服務建立一個有效的安全策略為你的系統(tǒng)分類指定危險因數(shù)確定每個系統(tǒng)的安全優(yōu)先級定義可接受和不可接受的活動決定在安全問題上如何教育所有員工確定誰管理你的政策

5/9/202440網(wǎng)絡安全講義安全基本元素審計管理加密訪問控制用戶驗證安全策略5/9/202441網(wǎng)絡安全講義DMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼管理分析&實施策略安全隱患外部/個體外部/組織內(nèi)部/個體內(nèi)部/組織關(guān)閉安全維護“后門”更改缺省的系統(tǒng)口令添加所有操作系統(tǒng)PatchModem數(shù)據(jù)文件加密安裝認證&授權(quán)用戶安全培訓授權(quán)復查入侵檢測實時監(jiān)控5/9/202442網(wǎng)絡安全講義風險RISKRISKRISKRISK風險實施安全解決方案：

---就是為了把網(wǎng)絡的風險降到最低限度基本的威脅采取措施后剩余的威脅資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞5/9/202443網(wǎng)絡安全講義網(wǎng)絡系統(tǒng)現(xiàn)狀潛在的安全風險安全需求與目標安全體系安全解決方案分析后得出提出