【精编】网络系统安全技术及方案设计教材

《【精编】网络系统安全技术及方案设计教材》由会员分享，可在线阅读，更多相关《【精编】网络系统安全技术及方案设计教材（78页珍藏版）》请在金锄头文库上搜索。

1、第十一章网络系统安全技术及方案设计 网络系统安全技术概况 访问控制技术 网络防火墙技术 网络防病毒技术 网络安全系统方案设计 11 1网络系统安全技术概览国际标准化组织 ISO 对计算机系统安全的定义是 为数据处理系统建立和采用的技术和管理的安全保护 保护计算机硬件 软件和数据不因偶然和恶意的原因遭到破坏 更改和泄露 11 1 1网络系统所面临的主要安全问题网络系统安全问题是整个计算机系统安全问题的一个重要方面 计算机系统安全包括的内容相当广泛 包括计算机系统的环境安全 防电磁泄漏 操作系统安全 应用软件系统安全 数据库系统安全 网络系统安全及病毒防范等若千方面 网络技术飞速发展 人们对网络的

2、依赖程度不断提高的同时 我们也正在受到来自网络方面的日益严重的安全威胁 这种威胁主要表现在病毒泛滥 黑客侵袭 数据失窃等方面 全面深入地研究网络安全技术 在系统集成方案设计和实施中有针对性地解决网络安全问题 成为当前系统集成和系统集成工程师的主要任务之一 一 网络病毒的泛滥性传播计算机病毒本身就具有感染性 流行性 欺骗性 隐蔽性和顽固性等对我们来说非常棘手的特性 加之计算机网络的广泛使用和大范围互联 病毒便更加疯狂地蔓延 如今通过网络传播的病毒无论是在传播速度 破坏性和传播范围等方面都是单机病毒所不能比拟的 二 非法访问和破坏不断升级全球平均每20秒钟应有一个网站遭到黑客的攻击 三 对于网络安

3、全缺乏重视和相应的手段首先是重视问题 国内的许多网络系统用户单位对于网络安全缺乏基本的认识和相应的重视 把安全问题简化为病毒的防范 没有花费应有的精力和财力解决网络安全问题 四 计算机网络面临的安全性威胁1 截获 当甲通过网络与乙通信时 如果不采取任何保密措施 那么其他人 如丙 就有可能偷听到他们的通信内容 2 中断 当用户正在通信时 有意的破坏者可设法中断他们的通信 3 篡改 乙给甲发了如下一份报文 请给丁汇一百元钱 乙 报文在转发过程中经过丙 丙把 丁 改为 丙 这就是报文被篡改 4 伪造 用计算机通信时 若甲的屏幕上显示出 我是乙 时 甲如何确信这是乙而不是别人呢 拨号用户B 拨号用户C

4、 拨号用户A 拨号用户D Internet 垃圾邮件 病毒破坏 黑客攻击 资源滥用 信息泄密 DOS攻击 不良信息 终端安全 信息丢失 未授权接入 非法外联监控 安全事件处理 IT系统运维面临的问题 导致这些问题的原因是什么 病毒泛滥 计算机病毒的感染率比例非常高 高达89 73 软件漏洞 软件系统中的漏洞也不断被发现 从漏洞公布到出现攻击代码的时间为5 8天黑客攻击 世界上目前有20多万个黑客网站 各种黑客工具随时都可以找到 攻击方法达几千种之多 移动用户越来越多 网络用户往往跨越多个工作区域 现有网络安全防御体制 现有网络安全体制 IDS68 杀毒软件99 防火墙98 ACL 规则控制 7

5、1 2004CSI FBIComputerCrimeandSecuritySurvey资料来源 ComputerSecurityInstitute 网络安全的演化 第一代引导性病毒 第二代宏病毒DOS电子邮件有限的黑客攻击 下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫 波及全球的网络基础架构地区网络多个网络单个网络单台计算机 周 天 分钟 秒 影响的目标和范围 1980s 1990s 今天 未来 安全事件对我们的威胁越来越快 病毒的演化趋势 攻击和威胁转移到服务器和网关 对防毒体系提出新的挑战 IDC 2004 邮件 互联网 CodeRedNimda funlo

6、veKlez 2001 2002 邮件 Melissa 1999 2000 LoveLetter 1969 物理介质 Brain 1986 1998 CIH SQLSlammer 2003 2004 冲击波震荡波 病毒发展史 1990 1991 1994 1996 1998 1999 2000 2001 2002 2003 主流病毒行态木马 蠕虫 病毒发展史 续1 Internet 攻击模式 WORM SASSER A 染毒电脑 未修补漏洞的系统 已修补漏洞的系统 被感染 不被感染 不被感染 被感染 被感染 不被感染 不被感染 病毒出现越来越快 时间间隔 26天 185天 336天 18天 网

7、络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作 可能会引起严重的网络负载如果攻击是属于常规的应用 例如SQL IIS等就可能穿过防火墙 木马程序等间谍软件成为网络与信息安全保密的重要隐患 在现在的工作中发现 越来越多的木马程序植入到我国重要信息系统中 根据保守估计 国内80 的网络系统 都存在木马程序和间谍软件问题 中国地区危害最为严重的十种木马病毒 分别是 QQ木马 网银木马 MSN木马 传奇木马 剑网木马 BOT系列木马 灰鸽子 蜜峰大盗 黑洞木马 广告木马系统漏洞就像给了木马病毒一把钥匙 使它能够很轻易在电脑中埋伏下

8、来 而木马病毒又会欺骗用户伪装成 好人 达到其偷取隐私信息的险恶目的 木马程序 木马病毒有可能洗劫用户网上银行存款 造成网络游戏玩家装备丢失 被黑客利用执行不法行为等 如今 针对以上各种现象的危害越来越多 木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲 木马病毒又分为以下五大类别 针对网游的木马病毒 针对网上银行的木马病毒 针对即时通讯工具的木马病毒 给计算机开后门的木马病毒 推广广告的木马病毒 木马程序 黑客攻击愈加猖獗 据国家计算机应急处理协调中心 CNCERT CC 统计 2003年 我国互联网内共有272万台主机受到攻击 造成的损失数以亿计 攻击向纵深发展 以经济和

9、商业利益为目的的网络攻击行为渐为主流 垃圾邮件成为公害 据中国互联网中心统计 现在 我国用户平均每周受到的垃圾邮件数超过邮件总数的60 部分企业每年为此投入上百万元的设备和人力 垃圾邮件泛滥造成严重后果它不但阻塞网络 降低系统效率和生产力 同时有些邮件还包括色情和反动的内容 垃圾邮件的发展速度和趋势 数据来源 Radicati 2004 6 应用安全 设计阶段开发阶段实施阶段使用阶段管理制度监督机制使用方法 在应用安全问题中 在Windows平台上利用Windows系统新漏洞的攻击占70 左右 30 的安全问题与Linux相关 移动用户D 广域网 如何进行信息系统的等级化保护 各信息系统依据重

10、要程度的等级需要划分不同安全强度的安全域 采取不同的安全控制措施和制定安全策略 完成安全设施的重新部署或响应 如何从全局角度对安全状况分析 评估与管理 获得全局安全视图 制定安全策略指导或自动 Internet p 用户如何管理现有安全资源并执行策略机制 补丁服务器 p 打补丁了吗 更新补丁了吗 p p p p p p p p p p p 困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起 系统安全漏洞微软每周都有数个修正档需要更新2003年Windows2000Server有50个漏洞补丁 Internet 用户如何防止内部信息的泄露 未经安全检查与过滤

11、 违规接入内部网络 私自拨号上网 Internet 用户如何实现积极防御和综合防范 怎样定位病毒源或者攻击源 怎样实时监控病毒与攻击 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 教学网段1 网站 OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 Internet 保户网络与基础设施的安全 1 网络设备2 通讯设备3 通讯线路4 可用性5 机密性6 完整性7 可管理性 保护边界与外部连接 边界进出数据流的有效控制与监视 保护计算环境 操作系统数据库系统终端 保护应用业务系统 办公自动化系统其他应用系统 网络基础设施保护需求 教学网段5 内部办公N

12、 Intranet 边界处的访问控制 边界处的病毒与恶意代码防护 边界内部的网络扫描与拨号监控 边界处的网络入侵检测 边界处的认证与授权 网络边界与外部连接的保护需求 边界处的垃圾邮件和内容过滤 计算环境的保护需求 基于主机的入侵检测 基于主机的恶意代码和病毒检测 主机脆弱性扫描 主机系统加固 主机文件完整性检查 主机用户认证与授权 主机数据存储安全 主机访问控制 管理分析 实施策略 Modem 看不懂 进不来 改不了 跑不了 可审查 信息安全的目的 打不垮 采取的解决办法一 对于非法访问及攻击类 在非可信网络接口处安装访问控制防火墙 蠕虫墙 Dos DDos墙 IPsecVPN SSLVPN

13、 内容过滤系统 领导网段 Internet 防火墙 IPSECVPN SSLVPN 内容过滤等 防DOS DDOS设备 个人安全套件 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法二 对于病毒 蠕虫 木马类 实施全网络防病毒系统对于垃圾邮件类 在网关处实施防垃圾邮件系统 Internet 邮件过滤网关 反垃圾邮件系统 在MAIL系统中邮件病毒过滤系统 反垃圾邮件系统 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N

14、OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法三 对于内部信息泄露 非法外联 内部攻击类 在各网络中安装IDS系统 在系统中安装安全隐患扫描系统 在系统中安装事件分析响应系统 在主机中安装资源管理系统 在主机中安装防火墙系统 在重要主机中安装内容过滤系统 在重要主机中安装VPN系统 人事商务网段 Internet 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 采取的解决办法四 对于系统统一管理 信息分析 事件分析

15、响应 在网络中配置管理系统 在网络中配置信息审计系统 在网络中配置日志审计系统 在网络中补丁分发系统 在网络中配置安全管理中心 销售体系网段N Internet 安全审计中心 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 01010100 领导网段 语音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 Internet 领导网段 语

16、音教室网段 财务网段 多媒体教室网段 内部办公网段1 数字图书馆网段 内部办公N OA网段 教学网段3 安服网段 教学网段4 网管网段 校园网服务器群 教学网段5 11 1 2网络系统安全的主要技术 物理隔离技术物理隔离的指导思想是 要绝对保证安全 不安全就不连网 而逻辑隔离的思路是 在保证网络正常使用的情况F 尽可能安全 防火墙技术防火墙技术 即在Intemet和内部网络之间设一个防火墙 防火墙又分为软件防火墙和硬件防火墙两种 网络防病毒技术自动分发 集中管理 在线升级 实时监控等 访问控制技术访问控制主要是指通过路由和交换体系的访问控制列表和AAA体系进行对于网络系统的访问控制技术 加密技术加密技术的核心思想就是假定网络本身并不十分安全可靠 网上传输的数据容易被窃取 因而对所有重要信息全部经过加密处理后再进行传送 入侵检测技术入侵检测技术通过对计算机网络或系统中的升于关键点收集信息并对其进行分析 从中发现是否有违反安全策略的行为和被攻击的迹象 它不仅能检测来自外部的入侵行为 同时也监督内部用户的未授权活动 因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备 入侵检测是一种集检