《信息安全技術(shù)》全冊配套完整教學課件2

第1章概述《信息安全技術(shù)》全冊配套完整教學課件2主要內(nèi)容基本概念信息安全發(fā)展歷程CISAW信息安全保障模型信息安全保障對象資源管理信息對社會的影響相關(guān)標準及法律法規(guī)1.1基本概念基本概念信息安全信息安全信息定義信息的定義信息是用以消除隨機不確定性的東西我們認為信息是一種對象，能夠通過信息系統(tǒng)進行處理。信息通過載體在一定環(huán)境中表現(xiàn)、存儲和傳輸。信息的表現(xiàn)形式KB 210MB 220GB 230TB 240PB 250EB 260ZB 270YB 280信息系統(tǒng)從信息的角度來說，我們認為信息系統(tǒng)是為信息生命周期提供服務(wù)的各類軟硬件資源的總稱信息技術(shù)信息傳遞（通信）信息認知－>信息再生（計算機）信息傳遞（通信）信息實效（控制）信息獲?。ǜ袦y）外部世界信息技術(shù)（IT：InformationTechnology）的內(nèi)涵IT＝Computer＋Communication＋Control安全定義“不出事或感覺不到要出事的威脅”安全關(guān)乎兩件事一件是已經(jīng)發(fā)生的事，即安全事件；另一件是未發(fā)生但可能引發(fā)安全事件的事，即安全威脅與脆弱性基本概念安全脆弱性威脅安全風險安全事件對象預(yù)防防護信息安全的目標信息安全的目標將服務(wù)與資源的脆弱性降到最低限度，將損失降到最低。具有動態(tài)性和整體性。動態(tài)性：安全是相對的，沒有絕對的安全，安全程度隨著時間的變化而改變整體性：涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層信息安全定義GB/T22080-2008/ISO/IEC27001:2005《信息安全管理體系要求》保持信息的機密性、完整性、可用性；另外也包括諸如真實性、可核查性、不可否認性和可靠性等信息安全的特征信息安全的基本屬性有：1.可用性(availability)2.機密性(confidentiality)3.完整性(integrity)4.真實性(validity)5.不可否認性(non-repudiation)“信息安全”是指采用一切可能的辦法和手段，來保證信息的上述“五性”。CIA1.1.3可用性可用性要求包括信息、信息系統(tǒng)和系統(tǒng)服務(wù)都可以被授權(quán)實體在適合的時間，要求的方式，及時、可靠的訪問，甚至是在信息系統(tǒng)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)。1.1.4完整性完整性

指信息在存儲或傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性1.1.5機密性機密性

是指信息不泄漏給非授權(quán)的個人和實體1.1.6真實性真實性能夠核實和信賴在一個合法的傳輸、消息或消息源的真實性的性質(zhì)，以建立對其的信心真實性要求對用戶身份進行鑒別，對信息的來源進行驗證。而這些功能都離不開密碼學的支持。在非對稱密碼機制出現(xiàn)以前，這是一個很大的難題。非對稱密碼機制的出現(xiàn)，使該項難題得到了解決1.1.7不可否認性不可否認性是保證信息的發(fā)送者提供的交付證據(jù)和接受者提供的發(fā)送者證據(jù)一致，使其以后不能否認信息過程也稱為不可抵賴性，即所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。發(fā)送方不能否認已發(fā)送的信息，接收方也不能否認已收到的信息1.1.8其他屬性可靠性是指與預(yù)想的行為和結(jié)果相一致的特性。可控性是指對信息的傳播及內(nèi)容具有控制能力的特性，授權(quán)機構(gòu)可以隨時控制信息的機密性，能夠?qū)π畔嵤┌踩O(jiān)控可追溯性通過記錄標識的方法回溯某個實體的歷史、用途和位置的能力”。我們認為這里的實體可理解為安全事件和威脅行為的相關(guān)實體1.2信息安全的發(fā)展歷程信息安全發(fā)展過程數(shù)據(jù)通訊安全1976Diffie&Hellman“密碼學的新方向”1977DES計算機安全TCSEC（橘皮書）網(wǎng)絡(luò)安全CC（GB/T18336）、IPV6安全信息安全保障1995IATF從PDR到WPDRRC未來安全云計算安全大數(shù)據(jù)安全1.3CISAW信息安全保障模型信息安全保障模型通常描述信息安全保障的模型PDRPPDRPDRRMPDRRWPDRRCCISAW模型CISAW模型業(yè)務(wù)CISAW模型CISAW模型CISAW模型CISAW模型CISAW模型技術(shù)人力財務(wù)信息CISAW模型1.4保障對象保障對象本質(zhì)對象業(yè)務(wù)實體對象數(shù)據(jù)、載體、環(huán)境與邊界生命周期數(shù)據(jù)對象載體對象環(huán)境與邊界對象1.5保障要素資源人力財務(wù)技術(shù)信息1.6信息安全管理信息安全管理管理對象措施資源管理1.7對社會的影響對社會的影響數(shù)據(jù)通信安全階段保密技術(shù)的應(yīng)用計算機系統(tǒng)安全階段系統(tǒng)安全的關(guān)注網(wǎng)絡(luò)安全階段計算機病毒傳播1.8標準及法律法規(guī)標準及法律法規(guī)標準國際TCSECCCISO/IEC27001國內(nèi)GB17859-1999GB/T22080-2008法律法規(guī)中華人民共和國國家安全法商用密碼管理條例Q&A謝謝！第2章數(shù)據(jù)安全主要內(nèi)容密碼技術(shù)身份認證訪問控制數(shù)據(jù)隱藏容錯容災(zāi)反垃圾郵件2.1概述概述數(shù)據(jù)安全包括數(shù)據(jù)的產(chǎn)生、處理、加工、存儲、使用、傳輸、銷毀等環(huán)節(jié)的安全數(shù)據(jù)的分類圖形、聲音、文字等數(shù)據(jù)安全的概念定義數(shù)據(jù)安全是指數(shù)據(jù)在其生命周期受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露。分類數(shù)據(jù)物理安全主要是指存儲于機器、磁盤等物理設(shè)備中數(shù)據(jù)的安全，也可稱為數(shù)據(jù)存儲安全。數(shù)據(jù)邏輯安全在數(shù)據(jù)處理，加工，使用、傳輸?shù)拳h(huán)節(jié)的安全。根據(jù)其保護的形態(tài)又可分為靜態(tài)安全和動態(tài)安全。范疇數(shù)據(jù)安全保護的實體對象是數(shù)據(jù)數(shù)據(jù)的可用性數(shù)據(jù)的完整性數(shù)據(jù)的真實性數(shù)據(jù)的機密性數(shù)據(jù)的不可否認性常見的安全問題

數(shù)據(jù)無法獲取、使用和傳輸數(shù)據(jù)被刪除數(shù)據(jù)被篡改數(shù)據(jù)被泄漏數(shù)據(jù)被竊取數(shù)據(jù)被非法獲取安全問題的原因數(shù)據(jù)自身的脆弱性外界對數(shù)據(jù)的威脅載體、環(huán)境和邊界的安全問題2.2密碼技術(shù)對稱密碼體制非對稱密碼體制壓縮密鑰管理密碼學發(fā)展史密碼學的發(fā)展階段古代加密方法（手工加密）隱寫術(shù)信息隱藏古典密碼（機械階段）轉(zhuǎn)輪機近代密碼（計算階段）基本知識明文(Plaintext)密文(Ciphertext)加密(Encryption)解密(Decryption)密鑰(Key)中國信息安全認證中心培訓合作方徽標與名稱藏頭詩中國信息安全認證中心培訓合作方徽標與名稱凱撒密碼密碼學發(fā)展史中國信息安全認證中心培訓合作方徽標與名稱密碼學及編碼學密碼學以研究秘密通信為目的，研究對傳輸信息采取何種秘密的變換，以防止第三者對信息的截取。密碼編碼學——研究把信息（明文）變換成沒有密鑰不能解密或很難解密的密文的方法密碼分析學——研究分析破譯密碼的方法密碼算法分類-1按照保密的內(nèi)容分:受限制的（restricted)算法:算法的機密性基于保持算法的秘密?；诿荑€（key-based)的算法:算法的機密性基于對密鑰的保密。密碼算法分類-2基于密鑰的算法，按照密鑰的特點分類：對稱密碼算法（symmetriccipher)：又稱傳統(tǒng)密碼算法（conventionalcipher)，就是加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個易于推出另一個。又稱秘密密鑰算法或單密鑰算法。非對稱密鑰算法（asymmetriccipher):加密密鑰和解密密鑰不相同，從一個很難推出另一個。又稱公開密鑰算法（public-keycipher)。密碼算法分類-3按照明文的處理方法：分組密碼（blockcipher):將明文分成固定長度的組，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。流密碼（streamcipher):又稱序列密碼.序列密碼每次加密一位或一字節(jié)的明文，也可以稱為流密碼。典型技術(shù)現(xiàn)代密碼：對稱密碼體制和非對稱密碼體制。對稱密碼體制非對稱密碼體制保密通信系統(tǒng)模型信源M加密器C＝EK1（M）信道解密器M=Dk2(C)接收者m密鑰源k1密鑰源k2密鑰信道非法接入者密碼分析員（竊聽者）搭線信道（主動攻擊）搭線信道（被動攻擊）ccmk1k2m`對稱密碼體制加密和解密采用相同的密鑰對稱密碼體制中典型的算法DES(DataEncryptionStandard)算法、3DES(三重DES)、GDES(廣義DES)、AES、歐洲的IDEA、日本的FEAL、RC5等。分組密碼流密碼RC4A5分組密碼分組塊操作基本技術(shù)擴散混亂常見算法AES、SMS4、IDEABlowfish、RC5、……序列密碼也稱為：流密碼特點：實現(xiàn)簡單便于硬件實施加解密處理速度快沒有或只有有限的錯誤傳播常見算法RC4A5DES算法總體框架對稱密碼體制特點效率高，算法簡單，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)計算；通信雙方需確保密鑰安全交換；不能用于數(shù)字簽名；對于具有n個用戶系統(tǒng)，如果每2個用戶采用1個密鑰，則需要n(n-1)/2個密鑰。在用戶數(shù)量相對較小的情況下，對稱加密系統(tǒng)是有效的。但是當用戶數(shù)量超過一定規(guī)模時，密鑰的分配和保存就成了問題。非對稱密碼體制公鑰密碼學是密碼學一次偉大的革命1976年，Diffie和Hellman在“密碼學新方向”一文中提出使用兩個密鑰：公開（公有）密鑰、秘密（私有）密鑰加解密的非對稱性利用數(shù)論的方法是對對稱密碼的重要補充非對稱密碼體制加密和解密是相對獨立的，加密和解密使用兩個不同的密鑰，公開密鑰向公眾公開，任何實體都可以使用；秘密密鑰由所有者獨自擁有，并秘密保存。非法使用者根據(jù)公開的加密密鑰無法推算出解密密鑰。常見的非對稱密碼體制有RSA、橢圓曲線算法、Diffe-Hellman、背包算法、McEliece、Rabin、零知識證明、EIGamal，以及我國的組合公鑰CPK算法。非對稱密碼體制特點密鑰管理比較簡單，并且可以方便地實現(xiàn)數(shù)字簽名和驗證算法復(fù)雜，加密數(shù)據(jù)的速率較低HASH函數(shù)雜湊函數(shù)或散列函數(shù)從消息空間到像（Image）空間的不可逆映射。消息通過散列算法，變換成固定長度的輸出，該輸出就是散列值或稱為數(shù)字指紋、消息摘要、雜湊值。HASH函數(shù)特點可用于任意長度的消息輸出長度固定從消息計算散列值很容易對任意的散列值，反過來計算消息是不可行的很難找到兩個不同的輸入得到相同的散列值HASH函數(shù)簡介常用的算法主要有MD5、SHA-1、SHA-256、SHA-512壓縮HASH函數(shù)應(yīng)用數(shù)據(jù)完整性數(shù)字簽名消息鑒別身份認證密鑰管理密鑰生成密鑰注入密鑰分配密鑰驗證密鑰更新密鑰存儲密鑰備份密鑰銷毀密鑰管理公鑰基礎(chǔ)設(shè)施采用證書管理公鑰，通過CA把用戶的公鑰和用戶的其他標識信息捆綁在一起，在互聯(lián)網(wǎng)上驗證用戶的身份包括證書管理機構(gòu)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、API等基本構(gòu)成部分密碼技術(shù)應(yīng)用維持機密性保證真實性保證完整性用于不可否認性密碼體制優(yōu)缺點對稱密碼體制優(yōu)缺點非對稱密碼體制優(yōu)缺點典型應(yīng)用在電子商務(wù)上的應(yīng)用在VPN上的應(yīng)用2.3身份認證基本概念身份認證通常信息系統(tǒng)中的身份認證是指對實體（主體，客體）進行身份鑒別的過程標識身份標識口令授權(quán)生物特征唯一的可以自動識別和驗證的生理特征和行為方式典型認證技術(shù)基于信息秘密的身份認證技術(shù)根據(jù)主體雙方共同知曉的秘密信息：口令、密鑰、IP地址、MAC地址基于信任物體的身份認證技術(shù)基于生物特征的身份認證技術(shù)指紋、虹膜、語音多種認證方式疊加基于口令的認證定義口令（Password）是用戶與系統(tǒng)之間交換的共享信息和信物，用于對知曉口令用戶的身份認證口令依據(jù)認證方式可分為靜態(tài)口令和動態(tài)口令（一次性口令）。靜態(tài)口令可以理解為能夠多次使用的口令，而動態(tài)口令每次使用不同的口令。具體的認證方式由口令安全協(xié)議來實現(xiàn)基于口令的認證面臨的威脅外部泄露口令猜解線路竊聽重放攻擊基于密碼學的認證基本原理基本原理是由可信第三方頒發(fā)數(shù)字標識信息及私鑰給系統(tǒng)用戶，數(shù)字標識信息包括了用戶的基本信息、公鑰及第三方的簽名（在公鑰基礎(chǔ)設(shè)施PKI中稱為數(shù)字證書），這樣用戶的數(shù)字標識信息的真實性、完整性得到了保障。在身份驗證時，系統(tǒng)通過可信第三方獲取用戶信息并驗證，再結(jié)合非對稱密碼算法及具體的身份認證協(xié)議來完成身份驗證基于生物特征識別定義用戶的生物特征也可以用來進行身份認證。在進行身份認證之前，首先需要進行的是生物特征的采集、數(shù)字化處理、分析和存儲常見用于認證的識別技術(shù)有臉形、指紋、手形、手部血管分布、虹膜、視網(wǎng)膜、聲音、臉部能量圖等識別方法，及手寫簽名、步態(tài)、開鎖動力學等行為識別方法，也研究者針對DNA等遺傳型生物特征的認證技術(shù)進行研究基于生物特征識別生物特征需要具備的性質(zhì)普遍性每個人都要擁有的特征，只有一部分人所擁有的胎記、疤痕等是不能使用的；唯一性每個人所具有的特征都應(yīng)與其他人不一樣；穩(wěn)定性特征或行為應(yīng)在一個相當長的時間內(nèi)保持不變；可采集性即是否可以方便地獲取并量化這些特征或行為技術(shù)應(yīng)用案例中某運營商為了解決數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)的存在的賬號多不便記憶、管理權(quán)限混亂、安全隱患層出不窮等問題，提出了單點登錄系統(tǒng)的建設(shè)需求。單點登錄系統(tǒng)支持技術(shù)人員、業(yè)務(wù)人員、維護人員、管理人員等不同職務(wù)人員根據(jù)其權(quán)限訪問數(shù)據(jù)中心相應(yīng)的主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)信息系統(tǒng)等。解決方案該系統(tǒng)建設(shè)方案中采用多因子認證方式，利用口令、圖形驗證碼和短信驗證碼相結(jié)合的形式實現(xiàn)身份認證2.4訪問控制自主訪問控制強制訪問控制基于角色訪問控制基本知識訪問控制：主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問訪問控制三要素主體客體訪問控制策略訪問控制機制訪問控制矩陣訪問控制表訪問控制訪問控制矩陣（AccessControlMatrix，ACM）：其基本思想是將所有的訪問控制信息存儲在一個矩陣中集中管理。當前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的。矩陣的每一行代表一個主體，每一列代表一個客體，行列交叉處的矩陣元素中存放著該主體訪問該客體的權(quán)限。用戶1用戶2用戶3…文件1讀，寫讀執(zhí)行…文件2讀，寫讀，寫讀，寫…文件3執(zhí)行讀，寫寫…….…………訪問控制訪問控制表（AccessControlList，ACL）：是按控制矩陣的列來實施對系統(tǒng)中客體的訪問控制。file1用戶1,rw用戶2,orw…….file2用戶2,rw用戶4,x…….訪問控制模型自主訪問控制強制訪問控制基于角色的訪問控制自主訪問控制DiscretionaryAccessControl，DAC客體的宿主對客體進行管理，由客體的宿主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體。訪問控制表實施采用自主訪問控制的系統(tǒng)WindowsNTServer,UNIX系統(tǒng)，防火墻等強制訪問控制系統(tǒng)對所有主體及其所控制的客體（例如：進程、文件、段、設(shè)備）實施強制訪問控制，主體不能改變自身和客體的安全級別。系統(tǒng)為這些主體及客體指定敏感標記強制訪問控制依據(jù)主體和客體的安全級別，MAC中主體對客體的訪問有以下四種方式：向下讀（ReadDown），主體安全級別高于客體的安全級別時允許讀操作。向上讀（ReadUp），主體安全級別低于客體的安全級別時允許讀操作。向下寫（WriteDown），主體安全級別高于客體的安全級別時允許寫操作。向上寫（WriteUp），主體安全級別低于客體的安全級別時允許寫操作。基于角色的訪問控制(Role-BasedAccessControl，RBAC)授權(quán)給用戶的訪問權(quán)限由用戶在一個組織中擔當?shù)慕巧珌泶_定。通過角色溝通主體與客體。將訪問權(quán)限分配給角色，系統(tǒng)的用戶擔任一定的角色，與用戶相比角色是相對穩(wěn)定的。RBAC主要包括5個基本元素：用戶(USERS)、角色（ROLES）、客體（OBS）、操作(OPS)、許可權(quán)(PERMISSIONS)三種訪問控制策略的特點策略/特點優(yōu)點缺點DAC比較靈活、易用，已被廣泛應(yīng)用于商業(yè)、工業(yè)環(huán)境。（1）不能提供確實可靠的數(shù)據(jù)安全保證；（2）訪問控制權(quán)限是可以傳遞的，一旦訪問控制權(quán)限被傳遞出去將無法控制；（3）在大型系統(tǒng)中開銷巨大，效率低下。（4）不保護客體產(chǎn)生的副本，增加管理難度。MAC機密性強，適用于安全強度要求較高的數(shù)據(jù)系統(tǒng)。（1）系統(tǒng)靈活性差，不利于商業(yè)系統(tǒng)應(yīng)用；（2）機密性強，適用于安全強度要求較高的數(shù)據(jù)系統(tǒng)。（3）必須保證系統(tǒng)中不存在逆向潛信道。RBAC（1）以角色作為訪問控制的主體（2）獨立性（3）最小特權(quán)（leastprivilege）原則。（4）職責分離(separationofduties)原則系統(tǒng)實現(xiàn)難度大。定義眾多的角色和訪問權(quán)限及它們之間的關(guān)系非常復(fù)雜。典型應(yīng)用操作系統(tǒng)提供的訪問控制機制使用密碼或Kerberos對主體進行身份驗證，然后對其訪問文件、通信端口和其他系統(tǒng)資源等行為進行調(diào)度用戶操作系統(tǒng)賬號程序?qū)徲嫈?shù)據(jù)審核記錄SamRWXRWXRWRAliceXXRW-BobRXRRR2.5信息隱藏隱寫術(shù)數(shù)字水印信息隱藏隱寫術(shù)不讓計劃的接收者之外的任何人知道信息的傳遞事件（而不只是信息的內(nèi)容）的一門技巧與科學。數(shù)字水印在數(shù)字化的數(shù)據(jù)中嵌入不明顯的記號。通常被嵌入的記號是不可見或不可覺察的，但通過計算操作可以被檢查或被提取的。數(shù)字隱藏模型實例隱寫術(shù)實例一個24位的位圖中的每個像素的三個顏色分量（紅，綠和藍）各使用8個比特來表示，如果我們只考慮藍色的話，就像11111111和11111110這兩個值所表示的藍色，人眼幾乎無法區(qū)分這個最低有效位就可以用來存儲顏色之外的信息數(shù)字水印數(shù)字水印技術(shù)是將一些標識信息，即數(shù)字水印，直接嵌入到多媒體、文檔、軟件等數(shù)字載體中，但不影響原載體的使用價值。被嵌入的水印通常是不可見或不可覺察的，通過一些算法能夠被檢測或被提取。水印嵌入和檢查模型隱寫術(shù)和數(shù)字水印的應(yīng)用特點

特點隱藏技術(shù)保護對象應(yīng)用目的載體要求是否可視隱寫術(shù)嵌入的對象秘密傳輸可破壞否數(shù)字水?。敯粜裕┹d體版權(quán)保護可破壞可數(shù)字水?。ù嗳跣裕┹d體防偽不可破壞否應(yīng)用實例數(shù)字作品的版權(quán)保護IBM公司

數(shù)字圖書館”Adobe公司Photoshop商務(wù)交易中的票據(jù)防偽采用數(shù)字水印技術(shù)為各種票據(jù)提供不可見的認證標志證件真?zhèn)舞b別信息隱藏的應(yīng)用方案版權(quán)保護數(shù)字簽名數(shù)字指紋廣播監(jiān)視內(nèi)容認證拷貝控制秘密通信2.6容錯容災(zāi)容錯容災(zāi)基本知識數(shù)據(jù)備份為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將整個系統(tǒng)數(shù)據(jù)或部分重要數(shù)據(jù)集合打包，從應(yīng)用主機的硬盤或陣列中復(fù)制到其他的存儲介質(zhì)的過程相關(guān)概念容錯技術(shù)當由于種種原因在系統(tǒng)中出現(xiàn)了數(shù)據(jù)、文件損壞或丟失時，系統(tǒng)能夠自動將這些損壞或丟失的文件和數(shù)據(jù)恢復(fù)到發(fā)生事故以前的狀態(tài)，使系統(tǒng)能夠連續(xù)正常運行的一種技術(shù)。容災(zāi)技術(shù)為了應(yīng)付突發(fā)性災(zāi)難如火災(zāi)、洪水、地震或者恐怖事件等對整個組織機構(gòu)的數(shù)據(jù)和業(yè)務(wù)生產(chǎn)會造成重大影響的技術(shù)。

相關(guān)概念數(shù)據(jù)恢復(fù)點目標（RecoveryPointObjective，RPO）：在災(zāi)難發(fā)生時，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到哪個時間點的要求。數(shù)據(jù)恢復(fù)時間目標（RecoveryTimeObjective，RTO）：在災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停止到恢復(fù)的時間要求。數(shù)據(jù)級容災(zāi)：只保證數(shù)據(jù)的完整性、可靠性和安全性，但提供實時服務(wù)的請求在災(zāi)難中會中斷。應(yīng)用級容災(zāi)：能夠提供不間斷的應(yīng)用服務(wù)，讓服務(wù)請求能夠透明(在災(zāi)難發(fā)生時毫無覺察)地繼續(xù)運行，保證數(shù)據(jù)中心提供的服務(wù)完整、可靠、安全。相關(guān)技術(shù)存儲技術(shù)DAS存儲、NAS存儲、SAN存儲、OBS存儲備份技術(shù)磁帶備份、基于數(shù)據(jù)庫的遠程數(shù)據(jù)復(fù)制、服務(wù)器邏輯卷的遠程數(shù)據(jù)復(fù)制、基于存儲備份軟件實現(xiàn)的遠程數(shù)據(jù)復(fù)制、基于智能存儲設(shè)備的遠程數(shù)據(jù)復(fù)制冗余磁盤陣列技術(shù)鏡像、數(shù)據(jù)條帶、數(shù)據(jù)校驗復(fù)制技術(shù)同步復(fù)制、異步復(fù)制高可用技術(shù)雙機熱備份、集群相關(guān)技術(shù)開放系統(tǒng)直連式存儲（Direct-AttachedStorage，DAS）是指將儲存設(shè)備通過SCSI接口或光纖通道直接連接到一臺計算機上網(wǎng)絡(luò)附屬存儲（NetworkAttachedStorage，NAS）是一種將分布、獨立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對不同主機和應(yīng)用服務(wù)器進行訪問的技術(shù)SAN存儲技術(shù)存儲區(qū)域網(wǎng)絡(luò)（StorageAreaNetwork，SAN）是一種高速網(wǎng)絡(luò)或子網(wǎng)絡(luò)，提供在計算機與存儲系統(tǒng)之間的數(shù)據(jù)傳輸磁帶備份通過應(yīng)用程序或者中間件產(chǎn)品，將數(shù)據(jù)中心的數(shù)據(jù)復(fù)制到災(zāi)難備份中心這種備份方式往往需要應(yīng)用程序的修改，工作量比較大。另外，由應(yīng)用程序本身來處理數(shù)據(jù)的復(fù)制任務(wù)，對應(yīng)用系統(tǒng)的性能影響較大冗余磁盤陣列RedundantArrayofInexpensiveDisk，RAID由多個獨立的磁盤與磁盤驅(qū)動器組成的磁盤存儲系統(tǒng)，具有比單個磁盤更大的存儲容量、更快的存儲速度，并能為數(shù)據(jù)提供冗余技術(shù)。提供了數(shù)據(jù)安全性高、大容量、高存儲性能、高數(shù)據(jù)可靠性、易管理性等顯著優(yōu)勢的存儲設(shè)備。RAID的關(guān)鍵技術(shù)鏡像數(shù)據(jù)條帶數(shù)據(jù)校驗備份策略完全備份用存儲介質(zhì)對全部數(shù)據(jù)進行備份。累計備份或差分備份每次備份的數(shù)據(jù)是相對于上一次全備份之后新增加的和修改過的數(shù)據(jù)。增量備份增量備份是對上一次備份后所有發(fā)生變化的文件進行備份。按需備份按需備份是根據(jù)需要對資料進行備份。高可用技術(shù)雙機熱備份技術(shù)集群技術(shù)雙機熱備份技術(shù)兩臺服務(wù)器系統(tǒng)和一個外接共享磁盤陣列柜及相應(yīng)的雙機熱備份軟件組成在一臺服務(wù)器出現(xiàn)故障時，備機主動替代主機工作，保證網(wǎng)絡(luò)服務(wù)不間斷。集群技術(shù)一組相互獨立的計算機，利用高速通信網(wǎng)絡(luò)組成一個計算機系統(tǒng)，每個群集節(jié)點（即集群中的每臺計算機）都是運行其自己進程的一個獨立服務(wù)器2.7反垃圾郵件技術(shù)基本概念垃圾郵件SPAM垃圾郵件現(xiàn)在還沒有一個非常嚴格的定義。一般來說，垃圾郵件是指未經(jīng)用戶許可而強行發(fā)送到用戶郵箱中的任何電子郵件。郵件病毒是指通過電子郵件傳播的病毒。一般是夾在郵件的附件中，在用戶運行了附件中的病毒程序后，就會使電腦染毒。電子郵件本身不會產(chǎn)生病毒，只是病毒的寄生場所基本概念電子郵件炸彈最古老的匿名攻擊之一，通過設(shè)置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的寬帶。網(wǎng)絡(luò)釣魚（Phishing攻擊）一種企圖從電子通訊中，透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。郵件傳送流程MUA：郵件用戶代理MTA：郵件轉(zhuǎn)發(fā)代理DNS：域名服務(wù)器MDA：郵件分發(fā)代理反垃圾郵件相關(guān)技術(shù)關(guān)鍵詞過濾實時黑名單技術(shù)HASH技術(shù)基于規(guī)則的過濾智能和概率系統(tǒng)反向查詢技術(shù)DKIM（DomainKeysIdentifiedMail）技術(shù)SenderID技術(shù)FairUCE技術(shù)挑戰(zhàn)Q&A謝謝！第3章載體安全主要內(nèi)容概述存儲介質(zhì)安全惡意代碼及防范技術(shù)傳輸載體安全3.1概述概念載體是承載數(shù)據(jù)的實體物理載體是指承載數(shù)據(jù)的物理實體，例如計算機磁盤、磁帶、光盤、移動硬盤、存儲系統(tǒng)、主機、網(wǎng)線、光纖等邏輯載體是指承載數(shù)據(jù)的邏輯實體也稱為邏輯介質(zhì)，例如，操作系統(tǒng)、支撐平臺系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用程序等范疇載體安全的內(nèi)容包括：載體可用性

載體完整性載體機密性常見的安全問題常見問題\安全屬性可用性完整性機密性載體丟失√

載體損壞√√

載體被盜

√載體邏輯被破壞√√

無法訪問√

引發(fā)原因載體脆弱性對載體的威脅環(huán)境安全問題邊界安全問題3.2介質(zhì)安全存儲介質(zhì)安全相關(guān)概念磁盤低級格式化就是把一張空白的磁盤劃分成一個個小區(qū)域并編號，供計算機儲存，讀取數(shù)據(jù)。分區(qū)為了便于管理和使用，將大容量的硬盤分成一個一個的邏輯分區(qū)，表現(xiàn)為一個個邏輯盤符。磁盤高級格式化在磁盤分區(qū)上建立文件系統(tǒng)的過程。相關(guān)概念文件系統(tǒng)文件系統(tǒng)是操作系統(tǒng)用于明確磁盤或分區(qū)上的文件的方法和數(shù)據(jù)結(jié)構(gòu),即在磁盤上組織文件的方法數(shù)據(jù)恢復(fù)把遭受破壞，或由介質(zhì)缺陷導(dǎo)致不可訪問或不可獲得，或由于誤操作等各種原因?qū)е聛G失數(shù)據(jù)還原成正常數(shù)據(jù)存儲介質(zhì)種類計算機存儲介質(zhì)按存儲速度從高到低的排列包括內(nèi)存儲器（半導(dǎo)體芯片組成）、磁盤、后援存儲器（光盤機、光盤庫、磁帶庫）和脫機存儲器（磁帶機，磁帶庫）。按存儲技術(shù)原理分為以下3類：電存儲、如內(nèi)存、閃存等；磁存儲，如磁盤、磁帶等；光存儲，如光盤、DVD等。數(shù)碼存儲介質(zhì)存儲卡：包括小型閃存卡（CF卡）、智慧卡（SM卡）、記憶棒（MS卡）、多媒體卡（MMC卡）和安全數(shù)字卡（SD卡）。微型硬盤計算機存儲介質(zhì)特點磁存儲器：包括硬盤，軟磁盤和磁帶存儲器1.永久性磁化磁存儲器屬于磁介質(zhì)，磁介質(zhì)存在剩磁效應(yīng)的問題，保存在磁介質(zhì)中的數(shù)據(jù)會使磁介質(zhì)不同程度地永久性磁化，所以磁介質(zhì)上記載的信息在一定程度上是抹除不干凈的，使用高靈敏度的磁頭和放大器可以將已抹除的信息的磁盤上的原有信息提取出來。因此涉密和重要磁介質(zhì)的管理、廢棄是很重要的問題。計算機存儲介質(zhì)特點2.被刪除文件可恢復(fù)在許多計算機操作系統(tǒng)中，刪除一個文件，僅僅刪除了該文件的文件指針，也就是刪除了該文件的標記，釋放了該文件的存儲空間，而并非真正將該文件刪除或覆蓋計算機刪除磁盤文件的這種方式，可以提高文件處理的速度和效率，但也方便了被刪除文件的恢復(fù)。光存儲介質(zhì)特點光存儲介質(zhì)記錄密度高存儲量大存儲速度慢介質(zhì)數(shù)據(jù)存儲結(jié)構(gòu)介質(zhì)數(shù)據(jù)存儲結(jié)構(gòu)都是由介質(zhì)所使用的文件系統(tǒng)的格式所決定的硬盤的文件格式windows文件系統(tǒng)：FAT16、FAT32、NTFSlinux文件系統(tǒng)：EXT系列、Reiser4、ReiserFS、xfs、JFS等unix文件系統(tǒng)：GPFS、UFS等光盤文件系統(tǒng)格式ISO-9660、Joliet、Romeo等軟盤的文件格式僅限于FAT16數(shù)碼介質(zhì)的文件格式UFS、exFAT等FAT32文件系統(tǒng)NTFS文件系統(tǒng)UNIX文件系統(tǒng)典型技術(shù)介質(zhì)防震技術(shù)介質(zhì)故障檢測技術(shù)介質(zhì)數(shù)據(jù)安全刪除銷毀技術(shù)介質(zhì)數(shù)據(jù)防盜技術(shù)介質(zhì)數(shù)據(jù)恢復(fù)技術(shù)介質(zhì)防震技術(shù)介質(zhì)防震是防止介質(zhì)由于震動造成不能正常讀取介質(zhì)數(shù)據(jù)。是在硬盤受到?jīng)_擊時保持磁頭不受震動。主要方法是使沖擊能量被硬盤的其它部分吸收或者使用減震保護膜。介質(zhì)故障檢測技術(shù)對于機械性質(zhì)產(chǎn)生的硬盤故障通過檢測、分析，發(fā)出報警的技術(shù)。主要有SMART技術(shù)、DPS技術(shù)、DFT技術(shù)等。介質(zhì)數(shù)據(jù)安全刪除銷毀技術(shù)磁介質(zhì)存在著永久性磁化問題。安全刪除銷毀技術(shù)就是防止介質(zhì)數(shù)據(jù)刪除或銷毀后被他人恢復(fù)而泄露數(shù)據(jù)磁介質(zhì)主要刪除銷毀技術(shù)可分為直流消磁法和交流消磁法兩種介質(zhì)防盜技術(shù)主要通過密碼技術(shù)的應(yīng)用來實現(xiàn)的。介質(zhì)數(shù)據(jù)一旦使用密碼技術(shù)進行加密，即具有很高的保密程度，介質(zhì)即使被盜竊或被復(fù)制，其記錄的數(shù)據(jù)也難以被讀懂泄露。具體的介質(zhì)數(shù)據(jù)加密技術(shù)又細分為文件加密、目錄加密、程序加密、數(shù)據(jù)庫加密、整盤數(shù)據(jù)加密等。介質(zhì)數(shù)據(jù)恢復(fù)技術(shù)在許多文件系統(tǒng)中，刪除一個文件，僅僅刪除了該文件的文件指針，也就是刪除了該文件的標記，釋放了該文件的存儲空間，而并非真正將該文件刪除或覆蓋磁盤恢復(fù)技術(shù)就是基于文件系統(tǒng)的這種刪除特征對被刪除文件進行恢復(fù)3.3惡意代碼及防護基本知識技術(shù)應(yīng)用3.3.1基本知識惡意代碼的概念惡意代碼是一種程序，它通過把代碼在不被察覺的情況下嵌入到另一段程序中，從而達到破壞被感染電腦數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意代碼的種類惡意代碼主要包括：病毒木馬蠕蟲邏輯炸彈后門僵尸網(wǎng)絡(luò)流氓軟件移動代碼惡意代碼的發(fā)展歷史年份攻擊行為發(fā)起者受害PC數(shù)目（萬臺）損失金額

(美元)2009U盤寄生蟲30002008Backdoor/Huigezi近2000—2007熊貓燒香超過200—2006木馬和惡意軟件——2005木馬——2004Worm_Sasser——2003Worm_MSBLAST超過140—2003SQLSlammer超過209.5億--12億2002Klez超過60090億2001RedCode超過10026億2001Nimda超過80060億2000LoveLetter—88億1999CIH超過6000近100億惡意代碼的傳播途徑熟悉惡意代碼的傳播途徑將有助于防范惡意代碼的傳播惡意代碼的傳播途徑軟盤光盤硬盤，含移動硬盤、USB硬盤等Internet無線通信系統(tǒng)惡意代碼防護技術(shù)基于主機的惡意代碼防御技術(shù)針對主機上運行的計算機程序或存放的數(shù)據(jù)，進行惡意代碼的檢測基于網(wǎng)絡(luò)的惡意代碼防御技術(shù)基于網(wǎng)絡(luò)的惡意代碼防范首先是惡意代碼的檢測，通過分析網(wǎng)絡(luò)主機行為和主機之間相互連接的數(shù)據(jù)，采用數(shù)據(jù)挖掘和異常檢測技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)進行求精和關(guān)聯(lián)分析以檢測是否具有惡意代碼行為，然后根據(jù)檢測結(jié)果采取措施保護主機和網(wǎng)絡(luò)基于主機的惡意代碼防御技術(shù)基于特征的掃描技術(shù)權(quán)限控制技術(shù)完整性技術(shù)基于網(wǎng)絡(luò)的惡意代碼防御技術(shù)異常檢測誤用檢測網(wǎng)絡(luò)隔離技術(shù)防火墻3.4傳輸載體安全·基本知識技術(shù)應(yīng)用傳輸安全數(shù)據(jù)傳輸涉及傳輸介質(zhì)、傳輸設(shè)備和要完成傳輸功能的通信協(xié)議。安全傳輸數(shù)據(jù)的前提是確保傳輸介質(zhì)的安全、傳輸設(shè)備的安全以及起著通信核心作用的傳輸協(xié)議的安全傳輸介質(zhì)傳輸介質(zhì)指的是在傳輸數(shù)據(jù)的物理實體。有線傳輸介質(zhì)雙絞線、同軸電纜以及傳輸光信號的光纖。無線傳輸介質(zhì)無線電波、微波、紅外線、激光等傳輸設(shè)備傳輸設(shè)備就是指由傳輸介質(zhì)連接起來，能夠?qū)?shù)據(jù)從一個地方送到另一個地方的設(shè)備傳輸協(xié)議常用協(xié)議包括TCP/IP協(xié)議、局域網(wǎng)的NETBEUI和IPX/SPX協(xié)議以及無線通信協(xié)議IEEE802.11系列協(xié)議等典型技術(shù)傳輸介質(zhì)安全技術(shù)傳輸設(shè)備安全技術(shù)傳輸協(xié)議相關(guān)安全技術(shù)傳輸介質(zhì)安全技術(shù)物理層的角度看，傳輸介質(zhì)最大的安全問題就是電磁信號的屏蔽問題，以及傳輸介質(zhì)本身的防盜問題邏輯安全相關(guān)技術(shù)信道加密技術(shù)指在信號的物理層對信號進行加密信道編碼技術(shù)在信號傳輸過程中，針對所處的不同信道特點，采取不同信道編碼技術(shù)，以便提高信道傳輸信號的可靠性傳輸協(xié)議安全技術(shù)傳輸協(xié)議安全是傳輸載體邏輯層面的安全。協(xié)議的安全問題主要源于協(xié)議自身的脆弱性，即協(xié)議在設(shè)計之初帶來的天生的缺陷，從而使得協(xié)議面臨著假冒、重演（重放）、中間人攻擊、抵賴等威脅。安全協(xié)議安全協(xié)議的功能將安全協(xié)議分為以下四類：密鑰交換協(xié)議：密鑰交換協(xié)議能夠使得參與協(xié)議的兩個或者多個實體建立共享的秘密信息，常用于建立在本次通信中所使用的會話密鑰；認證協(xié)議：認證協(xié)議一般用來向一個實體進行對另一個實體身份的某種程度的確認，包括身份認證協(xié)議、消息認證協(xié)議、數(shù)據(jù)源認證協(xié)議和數(shù)據(jù)目的認證協(xié)議等；應(yīng)用安全協(xié)議：針對某個領(lǐng)域而設(shè)計的安全協(xié)議，如電子交易協(xié)議SET；安全傳輸協(xié)議：如IPSec系列協(xié)議、SSL、HTTPS等。虛擬專用網(wǎng)虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）實現(xiàn)的最關(guān)鍵部分是在公網(wǎng)上建立虛信道，而建立虛信道是利用隧道技術(shù)實現(xiàn)的典型安全傳輸協(xié)議IPSec（IPSecurity）是一組安全協(xié)議的總稱，即IP安全協(xié)議SSLSSL(SeeureSocketLayer)是netscape公司設(shè)計的主要用于Web的安全傳輸協(xié)議HTTPS針對HTTP協(xié)議的安全缺陷，HTTPS通過上述的SSL來加強安全性。HTTPS增強的安全性雙向的身份認證數(shù)據(jù)傳輸?shù)臋C密性數(shù)據(jù)的完整性檢驗防止數(shù)據(jù)包重放攻擊技術(shù)應(yīng)用VPN技術(shù)對比協(xié)議工作層優(yōu)點缺點L2TP數(shù)據(jù)鏈路層支持其他網(wǎng)絡(luò)協(xié)議安全性差，連接數(shù)有限MPLS數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間保證服務(wù)器質(zhì)量核心網(wǎng)絡(luò)設(shè)備上使用IPSec網(wǎng)絡(luò)層安全性高，對上層透明支持IP協(xié)議；受防火墻影響SSL應(yīng)用層簡單便捷、不受NAT影響

Q&A謝謝！第4章環(huán)境安全主要內(nèi)容概述機房環(huán)境主機安全漏洞管理安全審計取證技術(shù)安全測試安全編碼4.1概述概念、范疇、常見安全問題概念環(huán)境是承載數(shù)據(jù)的載體所處的物理的、邏輯的資源。物理環(huán)境包括計算資源、計算所在的物理平臺、物理網(wǎng)絡(luò)、基礎(chǔ)性支持設(shè)施，以及監(jiān)督和監(jiān)控系統(tǒng)等；邏輯環(huán)境包括處理信息的系統(tǒng)、支撐性系統(tǒng)和平臺（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)）、運行于物理平臺上的網(wǎng)絡(luò)系統(tǒng)等。環(huán)境安全是指環(huán)境對象的安全，包括物理環(huán)境安全和邏輯環(huán)境安全。12345678范疇12345678環(huán)境安全環(huán)境的可用性環(huán)境的完整性環(huán)境的機密性環(huán)境的真實性環(huán)境的不可否認性環(huán)境的可控性……常見安全問題常見的環(huán)境安全問題和安全屬性的關(guān)系表常見問題\安全屬性可用性完整性機密性真實性不可否認性可控性非法闖入機房√

√

√供電系統(tǒng)故障√√

√√溫濕度超標√√

√√電磁輻射嚴重√√

√√機房網(wǎng)絡(luò)設(shè)備癱瘓√√

核心服務(wù)器宕機√√

計算環(huán)境被假冒

√

計算環(huán)境非法訪問

√√

√計算環(huán)境遭受攻擊√√

√123456784.2機房環(huán)境基本知識機房是一種物理環(huán)境，是計算機系統(tǒng)、網(wǎng)絡(luò)、存儲等載體和環(huán)境所處的外部條件，為這些載體提供安全的保障。這里，機房環(huán)境不僅包含機房的場所，還包含確保機房安全及維護機房正常運轉(zhuǎn)的配電、照明、供水等各類系統(tǒng)、設(shè)備及措施等支撐設(shè)施。12345678基本知識機房建設(shè)的主要內(nèi)容環(huán)境安全供配電系統(tǒng)安全保安系統(tǒng)安全消防安全12345678基本知識機房的設(shè)計選址空間與面積配電與照明系統(tǒng)空調(diào)系統(tǒng)12345678基本知識機房的驗收機房的安全管理出入管理機房登記審查制度12345678基本知識相關(guān)規(guī)范1) GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》；2) GB50462-2008《電子信息系統(tǒng)機房施工及驗收規(guī)范》；3) CECS72-97《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》；4) GBJ16-87《建筑設(shè)計防火規(guī)范》；5) GB50116-98《火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范》；6) GB2887-89《計算機場地安全要求》；7) GB50057-94《建筑物防雷設(shè)計規(guī)范》；8) GB50054-95《低壓配電設(shè)計規(guī)范》；……12345678應(yīng)用實例12345678應(yīng)用實例12345678應(yīng)用實例12345678應(yīng)用實例12345678應(yīng)用實例123456784.3主機安全基本概念主機，在這里，是一個相對網(wǎng)絡(luò)的概念，是指連接到互聯(lián)網(wǎng)上計算機系統(tǒng)，包括了服務(wù)器計算機系統(tǒng)和桌面計算機系統(tǒng)。主機是一種計算環(huán)境。主機安全是指主機系統(tǒng)作為計算環(huán)境的安全，涉及相關(guān)軟硬件的安全問題，即確保主機系統(tǒng)的可用性、真實性、完整性等安全屬性。主機加固是指針對不同目標主機系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。其主要目的是消除與降低主機系統(tǒng)的安全隱患。12345678典型技術(shù)主機防護技術(shù)主機防火墻技術(shù)、主機入侵檢測技術(shù)、主機監(jiān)控技術(shù)主機加固技術(shù)操作系統(tǒng)加固技術(shù)、數(shù)據(jù)庫加固技術(shù)內(nèi)部存儲器的保護技術(shù)沙箱技術(shù)12345678應(yīng)用實例最牛密碼？不少于8位？字母+數(shù)字+其他字符？密文含義Tree_0f0=sprintf("2_Bird_ff0/a")兩個黃鸝鳴翠柳for_$n(@RenSheng)_$n+="die"人生自古誰無死while(1)Ape1Cry&&Ape2Cry兩岸猿聲啼不住hold?fish:palm魚和熊掌不可兼得FLZX3000cY4yhx9day飛流直下三千尺，疑似銀河下九天12345678應(yīng)用實例Windows2003服務(wù)器安全加固系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強，系統(tǒng)服務(wù)和訪問控制加固系統(tǒng)，整體提高服務(wù)器的安全性。IIS手工加固：手工加固iis可以有效的提高web站點的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。123456784.4漏洞管理基本知識漏洞是環(huán)境在其生命周期的各個階段（從設(shè)計、到實現(xiàn)、運維等過程），由于與環(huán)境相關(guān)的硬件、軟件的結(jié)構(gòu)、配置和協(xié)議存在缺陷，以及環(huán)境的管理、信任過程中存在某些問題，從而使得攻擊者能夠在未授權(quán)的情況下實現(xiàn)對系統(tǒng)的訪問或破壞。具體指如在硬件芯片中的邏輯錯誤，程序員在編程中的錯誤，以及管理員在配置匿名FTP服務(wù)時由于配置不當?shù)榷伎赡鼙还粽呃谩?2345678基本知識常見的漏洞產(chǎn)生的原因和導(dǎo)致漏洞產(chǎn)生的因素主要包括：系統(tǒng)復(fù)雜性設(shè)備熟知度基礎(chǔ)操作系統(tǒng)的設(shè)計缺陷用戶的使用與配置錯誤常見的代碼bug針對用戶輸入的非有效驗證漏洞分類：硬件漏洞、操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、開發(fā)平臺和工具的漏洞、應(yīng)用程序漏洞和網(wǎng)絡(luò)漏洞。12345678基本知識漏洞管理漏洞預(yù)警、漏洞發(fā)現(xiàn)、漏洞風險、修復(fù)確認零日攻擊漏洞管理技術(shù)CVE標準、OVAL評估語言漏洞發(fā)現(xiàn)技術(shù)漏洞掃描技術(shù)滲透測試技術(shù)12345678很多Web應(yīng)用程序都使用數(shù)據(jù)庫來存儲信息。SQL命令就是前端Web和后端數(shù)據(jù)庫之間的接口，使得數(shù)據(jù)可以傳遞至Web應(yīng)用程序。http://www.*./show.jsp?newsId=(selectlen(passwd)fromuserwhereusername=‘a(chǎn)dmin’)4.5安全審計基本知識安全審計就是對有關(guān)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動所產(chǎn)生的一系列有關(guān)安全的活動進行記錄、檢查及審核。管理員采用審計系統(tǒng)來監(jiān)控系統(tǒng)的狀態(tài)和活動，并對日志文件進行分析、及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題。12345678基本知識安全審計中檢查的內(nèi)容包括審計事件類型；事件安全級；引用事件的用戶；報警；指定時間內(nèi)的事件以及惡意用戶表等。12345678基本知識安全審計的形式人工審計計算機手動分析處理審計記錄并與審計人員最后決策相結(jié)合的半自動審計依靠專家系統(tǒng)作出判斷結(jié)果的自動化的智能審計等12345678基本知識審計日志分析技術(shù)統(tǒng)計分析Syslog標準與Syslog系統(tǒng)12345678基本知識安全審計系統(tǒng)是安全審計的工具，其通過對安全審計日志的分析和處理來對系統(tǒng)的活動進行檢查和審核，即進行安全審計。操作系統(tǒng)安全審計系統(tǒng)數(shù)據(jù)庫安全審計系統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)12345678基本知識安全審計的作用對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追蹤證據(jù)；為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，便于及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞；重建事件；評估損失；監(jiān)測系統(tǒng)的問題區(qū)；發(fā)現(xiàn)和阻止系統(tǒng)的不正當使用。12345678Q&A謝謝！第5章邊界安全主要內(nèi)容概述物理邊界控制防火墻技術(shù)入侵檢測隔離攻擊及其防范5.1概述基本概念、范疇、常見的安全問題基本概念物理的邊界物理安全區(qū)域的邊界建筑物的進入通道、停車場的入口、實驗室的大門邏輯的邊界網(wǎng)絡(luò)邊界處內(nèi)部網(wǎng)絡(luò)訪問的安全123456范疇真實性完整性機密性可用性123456常見的安全問題常見問題\安全屬性真實性完整性機密性可用性物理邊界非法闖入√

√√非授權(quán)地拷貝設(shè)備數(shù)據(jù)√

√

未授權(quán)的用戶遠程訪問內(nèi)部網(wǎng)絡(luò)√

√

未授權(quán)的用戶篡改內(nèi)部設(shè)備數(shù)據(jù)√√

利用內(nèi)部服務(wù)器漏洞進行遠程攻擊

√

√對設(shè)備進行拒絕服務(wù)攻擊

√123456威脅與脆弱性管理上的欠缺身份假冒軟件的缺陷協(xié)議棧的缺陷組織網(wǎng)絡(luò)內(nèi)部攻擊1234565.2物理邊界控制物理邊界控制的概念對于計算機網(wǎng)絡(luò)信息系統(tǒng)，物理邊界控制的作用就是保護位于邊界內(nèi)部區(qū)域的進行信息處理和信息存儲的物理基礎(chǔ)設(shè)施的安全。物理邊界控制必須防止對物理基礎(chǔ)設(shè)施的損害。123456門禁技術(shù)門禁是對進出物理邊界的人員進行控制的技術(shù)設(shè)備。感應(yīng)卡式門禁系統(tǒng)指紋門禁系統(tǒng)虹膜門禁系統(tǒng)面部識別門禁系統(tǒng)123456現(xiàn)代門禁系統(tǒng)傳感與告警身份識別處理與控制開關(guān)控制線路與通信管理設(shè)置123456門禁系統(tǒng)123456巡更系統(tǒng)123456紅外防護系統(tǒng)123456對射式主動紅外入侵探測器反射式主動紅外入侵探測器視頻監(jiān)控系統(tǒng)123456應(yīng)用實例某事業(yè)單位屬于涉密性質(zhì)，在內(nèi)部網(wǎng)絡(luò)中部署了大量的設(shè)備，如：數(shù)據(jù)存儲服務(wù)器、路由器、交換機、防火墻、入侵檢測等，在存儲載體上存儲了大量涉密數(shù)據(jù)及單位核心資料，如：技術(shù)開發(fā)文檔、檔案資料、財務(wù)資料等。這些設(shè)備和數(shù)據(jù)存放在單位的機房、資料室和檔案室中，在單位及關(guān)鍵房間的出入口處，有必要部署門禁系統(tǒng)進行物理邊界控制。123456技術(shù)部署門禁系統(tǒng)的部署與運行采用分布式網(wǎng)絡(luò)結(jié)構(gòu)，在各個關(guān)鍵位置（機房、資料室和檔案室）出入口安裝部署門禁設(shè)備，由系統(tǒng)控制服務(wù)器進行遠程管理和控制監(jiān)視系統(tǒng)采用了入侵檢測系統(tǒng)、傳感和報警系統(tǒng)和閉路電視監(jiān)視系統(tǒng)，對重點區(qū)域進行攝像、安防等操作123456技術(shù)部署紅外防護系統(tǒng)部署在安全區(qū)域內(nèi)，采用紅外線來檢測入侵者視頻監(jiān)控系統(tǒng)通過閉路電視進行監(jiān)控123456人員管理制度外來人員管理工作人員管理保衛(wèi)人員管理1234565.3防火墻技術(shù)防火墻的定義在網(wǎng)絡(luò)中，防火墻是一個或一組在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡(luò)不被可疑人侵擾。123456防火墻的發(fā)展史第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。第二代防火墻

1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即應(yīng)用層防火墻（代理防火墻）。第三代防火墻

1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第三代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品

123456防火墻適用的環(huán)境由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對獨立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過三分之一的站點都是有某種防火墻保護的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后123456防火墻的功能根據(jù)不同的需要，防火墻的功能有比較大的差異，但是一般都包含以下基本功能：對外可以限制未授權(quán)的用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近網(wǎng)絡(luò)防御設(shè)施；對內(nèi)限制內(nèi)部用戶訪問特殊站點123456防火墻應(yīng)該滿足的條件所有進出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)123456防火墻的局限性防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無法禁止內(nèi)部人員將敏感數(shù)據(jù)拷貝到軟盤上防火墻也不能防范沒有防范心理的管理員授予其些入侵者臨時的網(wǎng)絡(luò)訪問權(quán)限防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒123456防火墻的分類從采用的技術(shù)上分，常見的防火墻有三種類型：包過濾防火墻；應(yīng)用代理防火墻；狀態(tài)檢測防火墻。123456包過濾路由器包過濾器在包對包的基礎(chǔ)上進行網(wǎng)絡(luò)流量的處理。它們只在OSI參考模型的網(wǎng)絡(luò)層工作,因此,它們能夠準許或阻止IP地址和端口，并且能夠在標準的路由器上以及專門的防火墻設(shè)備上執(zhí)行。一個純包過濾器只關(guān)注下列信息:源IP地址、目標IP地址、源端口、目標端口、包類型包過濾器的一個基本例子就是位于Internet和內(nèi)部網(wǎng)絡(luò)之間的路由器，它根據(jù)數(shù)據(jù)包的來源、目的地址和端口來過濾。這樣的路由器被稱為篩分路由器(ScreeningRouter)123456常見的包過濾規(guī)則包過濾系統(tǒng)只能讓我們進行類似以下情況的操作：（1）允許或不允許用戶從外部網(wǎng)用Telnet登錄；（2）允許或不允許用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；包過濾不能允許我們進行如下的操作：（1）允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其它用戶進行這種操作（2）允許用戶傳送一些文件而不允許用戶傳送其它文件123456包過濾操作流程圖123456包過濾防火墻的配置與實現(xiàn)數(shù)據(jù)包過濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。123456ftp協(xié)議ftp協(xié)議使用兩個端口，一個是控制端口21（服務(wù)器端），另一個是數(shù)據(jù)端口20（客戶端）123456規(guī)則設(shè)置舉例怎樣設(shè)置防火墻從而開放的對外的ftp訪問？組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許**21TCP2允許*21*TCP3禁止*20<1024TCP4允許*20*TCP5允許**20TCP123456規(guī)則設(shè)置舉例(續(xù))規(guī)則1和2允許主機向外發(fā)起FTP連接；規(guī)則3禁止外部的ftp服務(wù)器的20端口向主機小于1024的端口發(fā)起連接。規(guī)則4允許外部的ftp服務(wù)器的20端口向主機大于1024的端口發(fā)起數(shù)據(jù)連接。規(guī)則5允許主機與外網(wǎng)FTP服務(wù)器在建立起的數(shù)據(jù)連接上傳輸數(shù)據(jù)123456問題包過濾規(guī)則的匹配是按順序進行的，如果匹配過程中出現(xiàn)了一條匹配規(guī)則，則包過濾結(jié)果就按照該規(guī)則的目標動作執(zhí)行，位于該規(guī)則后的其它規(guī)則則不會再進行匹配服務(wù)器的發(fā)起數(shù)據(jù)連接的不一定是20端口，這和FTP的應(yīng)用模式有關(guān)，如果是主動模式，應(yīng)該為20，如果為被動模式，由服務(wù)器端和客戶端協(xié)商而定123456包過濾配置原理包過濾防火墻的配置

在配置包過濾防火墻時，我們首先要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。 下面給出將有關(guān)服務(wù)翻譯成包過濾規(guī)則時非常重要的幾個概念。（1）協(xié)議的雙向性。協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個請求而另一方返回一個應(yīng)答。在制定包過濾規(guī)則時，要注意包是從兩個方向來到防火墻的。（2）“往內(nèi)”與“往外”的含義。在我們制定包過濾規(guī)則時，必須準確理解“往內(nèi)”與“往外”的包和“往內(nèi)”與“往外”的服務(wù)這幾個詞的語義。123456包過濾配置原理(續(xù)) （3）“默認允許”與“默認拒絕”。網(wǎng)絡(luò)的安全策略中的有兩種方法：默認拒絕（沒有明確地被允許就應(yīng)被拒絕）與默認允許（沒有明確地被拒絕就應(yīng)被允許）。從安全角度來看，用默認拒絕應(yīng)該更合適。123456NAT技術(shù)NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP數(shù)據(jù)包頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用123456包過濾的優(yōu)點容易實現(xiàn)，費用少，如果被保護網(wǎng)絡(luò)與外界之間已經(jīng)有一個獨立的路由器，那么只需簡單地加一個包過濾軟件便可保護整個網(wǎng)絡(luò)包過濾在網(wǎng)絡(luò)層實現(xiàn)，不要求改動應(yīng)用程序，對用戶透明，用戶感覺不到過濾服務(wù)器的存在，因而使用方便123456包過濾的缺點規(guī)則表隨著應(yīng)用的深化會很快變得很大而且復(fù)雜，這樣不僅規(guī)則難以測試，而且規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加另一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的數(shù)據(jù)包和壞的數(shù)據(jù)包。包過濾只能工作在有黑白分明安全策略的網(wǎng)絡(luò)環(huán)境中123456應(yīng)用代理型防火墻應(yīng)用代理型防火墻(applicationgateway，又稱雙宿主網(wǎng)關(guān))的物理位置與包過濾路由器一樣，但它的邏輯位置在OSI7層協(xié)議的應(yīng)用層上，所以主要采用協(xié)議代理服務(wù)(proxyservices)123456代理服務(wù)器何為ProxyServer？

功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息。代理服務(wù)器位于網(wǎng)絡(luò)和Internet之間，接收、分析服務(wù)請求，并在允許的情況下對其進行轉(zhuǎn)發(fā)。代理服務(wù)提供服務(wù)的替代連接，比如，網(wǎng)絡(luò)內(nèi)部的一個用戶想要遠程登錄到Internet上的一臺主機，代理服務(wù)器會接收用戶請求，決定是否準許其到遠程的連接，之后建立自身與遠程目標主機之間及自身與用戶之間的Telnet會話123456代理的實現(xiàn)過程123456應(yīng)用代理防火墻的分類應(yīng)用代理防火墻可以分為以下兩類：應(yīng)用級網(wǎng)關(guān)防火墻應(yīng)用級網(wǎng)關(guān)防火墻工作于OSI模型或者TCP/IP模型的應(yīng)用層，用來控制應(yīng)用層服務(wù)，起到外網(wǎng)向內(nèi)網(wǎng)或內(nèi)網(wǎng)向外網(wǎng)的應(yīng)用層通信的轉(zhuǎn)接作用鏈路中繼網(wǎng)關(guān)防火墻適用于多個應(yīng)用協(xié)議，主要用于提供網(wǎng)絡(luò)地址翻譯123456運行示意圖外部的ftp服務(wù)器123456代理服務(wù)器的適用環(huán)境代理服務(wù)器適用于特定的Internet服務(wù)，如HTTP、FTP等。比如http代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的一臺服務(wù)器，有了它之后，瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請求，Request信號會先送到代理服務(wù)器，由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給你的瀏覽器123456應(yīng)用型防火墻的配置與實現(xiàn)123456代理服務(wù)器的優(yōu)點網(wǎng)關(guān)將受保護網(wǎng)絡(luò)與外界完全隔離代理服務(wù)器提供日志，有助于發(fā)現(xiàn)入侵由于它本身是一臺主機，可以用于諸如身份驗證服務(wù)器及代理服務(wù)器，使其具有多種功能123456使用代理的不足每項服務(wù)必須使用專門設(shè)計的代理服務(wù)器，即使較新的代理服務(wù)器(如AltaVistaFirewall)雖然能處理幾種服務(wù)，也不能同時服務(wù)應(yīng)用代理防火墻工作在OSI模型的最高層，因此開銷較大；配置的方便性－需要用戶配置自己的IE，從而指向代理服務(wù)器123456透明代理普通代理需要用戶配置IE，從而指向代理服務(wù)器。用戶的訪問數(shù)據(jù)包的目的地址變?yōu)榱舜矸?wù)器的地址透明代理，不需要用戶進行手工設(shè)置，用戶的訪問數(shù)據(jù)包的目的地址仍是提供服務(wù)的主機IP地址。代理服務(wù)器負責自動的轉(zhuǎn)換。當然，這需要代理服務(wù)器在用戶數(shù)據(jù)包的必經(jīng)之路上123456狀態(tài)檢測狀態(tài)檢測技術(shù)是防火墻近幾年才應(yīng)用的新技術(shù)狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別123456狀態(tài)檢測這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，狀態(tài)檢測技術(shù)具有更好的靈活性和安全性123456狀態(tài)檢測TCP數(shù)據(jù)包的狀態(tài)SYN：初始化ACK：確認RST連接復(fù)位FIN：關(guān)閉連接123456狀態(tài)檢測狀態(tài)數(shù)據(jù)包過濾規(guī)則在TCP連接建立之前，仍然使用普通的包過濾但是在使用普通包過濾的同時，建立起連接狀態(tài)表對一個已建立的連接使用連接狀態(tài)表去匹配123456狀態(tài)檢測狀態(tài)表示例：

源地址目的地址協(xié)議源端口目的端口超時（秒）1TCP234180605TCP32141211.55TCP202333320123456構(gòu)造連接狀態(tài)表狀態(tài)檢測能從應(yīng)用程序中收集狀態(tài)信息存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測策略。例如，被動模式的ftp數(shù)據(jù)連接由服務(wù)器端和客戶端協(xié)商而定在ftp連接之前，根本不可能知道將要打開的端口號，則無法為之制定規(guī)則ftp數(shù)據(jù)連接的端口是在ftp控制連接中協(xié)商的，因此狀態(tài)檢測可以分析應(yīng)用層數(shù)據(jù)，從而獲得響應(yīng)的端口號，并更新連接狀態(tài)表123456狀態(tài)檢測對于無連接的UDP協(xié)議同樣可以使用狀態(tài)檢測。超時檢測是否有以前的UDP數(shù)據(jù)包123456狀態(tài)監(jiān)測優(yōu)點配置靈活：無需為雙向數(shù)據(jù)分別配置規(guī)則；安全強度高：與傳統(tǒng)包過濾防火墻比較，狀態(tài)檢測防火墻能根據(jù)協(xié)議狀態(tài)對數(shù)據(jù)報文進行過濾，提升了安全強度缺點仍只是檢測數(shù)據(jù)包的第三層信息，對于應(yīng)用層數(shù)據(jù)無法進行深度過濾123456單宿主堡壘主機模型單宿主堡壘主機模型由包過濾路由器和堡壘主機組成。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，它實現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）體系結(jié)構(gòu)中提供安全保護的壁壘主機僅僅與內(nèi)部網(wǎng)相連。另外，主機過濾結(jié)構(gòu)還有一臺單獨的路由器（過濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供堡壘主機可以用來隱藏內(nèi)部網(wǎng)絡(luò)的配置123456單宿主堡壘主機模型單宿主堡壘主機的模型如圖所示123456雙宿主堡壘主機模型雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)）可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡(luò)接口但是主機在兩個端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過堡壘主機。123456雙宿主堡壘主機模型雙宿主堡壘主機模型如圖所示123456子網(wǎng)屏蔽防火墻屏蔽子網(wǎng)模型用了兩個包過濾路由器和一個堡壘主機。它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”(DMZ，DemilitarizedZone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能網(wǎng)絡(luò)管理員將堡壘主機、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個單獨的設(shè)備123456子網(wǎng)屏蔽防火墻的配置與實現(xiàn)屏蔽子網(wǎng)模型圖所示123456防火墻拓撲結(jié)構(gòu)多層模型TheInternetDNSWWWMailDemilitarizedZone(DMZ)TransactionPrivateNetworkPublicNetwork123456防火墻的安全標準RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP／IP協(xié)議開發(fā)商(如FTP公司等)提出了Secure／WAN(S／WAN)標準。美國國家計算機安全協(xié)會NCSA(nationalcomputersecurityassociation)成立的防火墻開發(fā)商(FWPD,firewallproductdeveloper)聯(lián)盟制訂的防火墻測試標準。公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心報請公安部批準，于2000年9月1日起，包括三個新標準，即GB/T17900-1999（網(wǎng)絡(luò)代理服務(wù)器安全技術(shù)要求）、GB/T18019-1999（包過濾防火墻安全技術(shù)要求）、GB/T18020-1999（應(yīng)用級防火墻安全技術(shù)要求）。123456選擇防火墻的原則

1．防火墻自身的安全性 大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)上，但往往忽略一點，防火墻也是網(wǎng)絡(luò)上的主機設(shè)備，也可能存在安全問題。防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完全保護內(nèi)部網(wǎng)絡(luò)

2．考慮特殊的需求 （1）IP地址轉(zhuǎn)換（IPAddressTranslation） 進行IP地址轉(zhuǎn)換有兩個好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡(luò)，也是要強調(diào)防火墻自身安全性問題的主要原因；另一個好處是可以讓內(nèi)部用戶使用保留的IP，這對許多IP不足的企業(yè)是有益的123456選擇防火墻的原則（2）雙重DNS

當內(nèi)部網(wǎng)絡(luò)使用沒有注冊的IP地址，或是防火墻進行IP轉(zhuǎn)換時，DNS也必須經(jīng)過轉(zhuǎn)換。因為，同樣的一個主機在內(nèi)部的IP與給予外界的IP將會不同，有的防火墻會提供雙重DNS有的則必須在不同主機上各安裝一個DNS。（3）虛擬企業(yè)網(wǎng)絡(luò)（VPN）

VPN可以在防火墻與防火墻或移動的Client間對所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個虛擬通道，讓兩者間感覺是在同一個網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。123456選擇防火墻的原則（4）病毒掃描功能

大部分防火墻都可以與防病毒防火墻搭配實現(xiàn)病毒掃描功能。有的防火墻則可以直接集成病毒掃描功能，差別只是病毒掃描工作是由防火墻完成，或是由另一臺專用的計算機完成。（5）特殊控制需求

有時候企業(yè)會有特別的控制需求，如限制特定使用者才能發(fā)送E-mail，F(xiàn)TP只能得到檔案不能上傳檔案，限制同時上網(wǎng)人數(shù)、使用時間等，依需求不同而定。123456防火墻需求的變化易于管理性；應(yīng)用透明性；鑒別功能；操作環(huán)境和硬件要求；VPN的功能；接口的數(shù)量；成本。123456防火墻的發(fā)展趨勢過濾深度不斷加強，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾，關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃除功能。利用防火墻建立專用網(wǎng)(VPN將在較長一段時間內(nèi)，仍然是用戶使用的主流)。IP加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。對網(wǎng)絡(luò)攻擊的檢測和各地告警將成為防火墻的重要功能。安全管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。123456應(yīng)用實例某企業(yè)有計算機100余臺，其中，財務(wù)部、員工辦公區(qū)域的計算機需要嚴格禁止外部主動訪問，在安全策略允許的情況下，允許財務(wù)部和員工辦公區(qū)域的計算機，正常訪問外部服務(wù)器。企業(yè)提供WEB服務(wù)器、郵件服務(wù)器和域名服務(wù)器，在安全策略許可的情況下，允許外網(wǎng)主動訪問。企業(yè)通過光纖接入外部網(wǎng)絡(luò)，內(nèi)部為雙絞線連接。123456應(yīng)用實例某企業(yè)有計算機100余臺，其中，財務(wù)部、員工辦公區(qū)域的計算機需要嚴格禁止外部主動訪問，在安全策略允許的情況下，允許財務(wù)部和員工辦公區(qū)域的計算機，正常訪問外部服務(wù)器。企業(yè)提供WEB服務(wù)器、郵件服務(wù)器和域名服務(wù)器，在安全策略許可的情況下，允許外網(wǎng)主動訪問。企業(yè)通過光纖接入外部網(wǎng)絡(luò)，內(nèi)部為雙絞線連接。123456應(yīng)用實例防火墻產(chǎn)品的選擇網(wǎng)絡(luò)接口的種類、接入速率和數(shù)量防火墻自身的安全性考慮特殊的需求IP地址轉(zhuǎn)換雙重DNSVPN病毒掃描功能特殊控制需求某企業(yè)有計算機100余臺，其中，財務(wù)部、員工辦公區(qū)域的計算機需要嚴格禁止外部主動訪問，在安全策略允許的情況下，允許財務(wù)部和員工辦公區(qū)域的計算機，正常訪問外部服務(wù)器。企業(yè)提供WEB服務(wù)器、郵件服務(wù)器和域名服務(wù)器，在安全策略