《网络信息安全厂家培给客户培训讲义(一)》由会员分享,可在线阅读,更多相关《网络信息安全厂家培给客户培训讲义(一)(47页珍藏版)》请在金锄头文库上搜索。
1、课程模块课程模块网络网络安全安全培训培训Module 1: Module 1: 网络安全概述网络安全概述 Module 2: Module 2: 我们眼中的我们眼中的网络安全网络安全 Module 3: Module 3: 网络安全技术产品及功能介绍网络安全技术产品及功能介绍MODULE 1: 网络安全概述什么是安全?安全安全一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力安全是一个持续的过程安全是一个持续的过程网络安全是网络系统的硬件、软件及其系统网络安全是网络系统的硬件、软件及其系统 中的数据受到保护,不因偶然的或者恶意的中的数据受到保护,不因偶然的或者恶意的 原因而遭
2、到破坏、更改、泄露,系统连续可原因而遭到破坏、更改、泄露,系统连续可 靠正常地运行,网络服务不中断。靠正常地运行,网络服务不中断。一一) ) 非授权访问非授权访问 1.1.没有经过同意,就使用网络或计算机资源。没有经过同意,就使用网络或计算机资源。 如有意避开系统访问控制机制,对网络设备如有意避开系统访问控制机制,对网络设备 及资源进行非正常使用。及资源进行非正常使用。 2. 2. 擅自扩大权限,越权访问信息。擅自扩大权限,越权访问信息。 形式形式: :假冒、身份攻击、非法用户进入网络假冒、身份攻击、非法用户进入网络 系统进行违法操作、合法用户以未授权方系统进行违法操作、合法用户以未授权方 式
3、进行操作等。式进行操作等。安全威胁二二) ) 信息泄露信息泄露 1.1.敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去。信信 息在传输中丢失或泄漏(电磁泄漏或搭线息在传输中丢失或泄漏(电磁泄漏或搭线 窃听;对信息流向、流量、通信频度和长窃听;对信息流向、流量、通信频度和长 度等参数的分析,推出有用信息;猜测用度等参数的分析,推出有用信息;猜测用 户口令、帐号等重要信息。)户口令、帐号等重要信息。) 2. 2. 信息在存储介质中丢失或泄漏。信息在存储介质中丢失或泄漏。通过建立隐蔽隧道等窃取敏感信息等。通过建立隐蔽隧道等窃取敏感信息等。安全威胁三三) )破坏数据完整性破坏数据完整
4、性 1.1.以非法手段窃得对数据的使用权,删除、以非法手段窃得对数据的使用权,删除、 修改、插入或重发某些重要信息,以取得修改、插入或重发某些重要信息,以取得 有益于攻击者的响应;有益于攻击者的响应; 2.2. 恶意添加,修改数据,以干扰用户的正常恶意添加,修改数据,以干扰用户的正常 使用。使用。安全威胁四四) ) 拒绝服务攻击拒绝服务攻击 1.1.不断对网络服务系统进行干扰,改变其正不断对网络服务系统进行干扰,改变其正 常的作业流程。常的作业流程。 2.2. 执行无关程序使系统响应减慢甚至瘫痪,执行无关程序使系统响应减慢甚至瘫痪, 影响正常用户的使用,甚至使合法用户被影响正常用户的使用,甚至
5、使合法用户被 排斥而不能进入计算机网络系统或不能得排斥而不能进入计算机网络系统或不能得 到相应的服务。到相应的服务。安全威胁五五) ) 利用网络传播病毒利用网络传播病毒通过网络传播计算机病毒,其破坏性大大通过网络传播计算机病毒,其破坏性大大 高于单机系统,而且用户很难防范。高于单机系统,而且用户很难防范。 六六) ) 假冒假冒假冒合法身份破坏正常工作,北大同宿舍假冒合法身份破坏正常工作,北大同宿舍 同学邮件假冒案。同学邮件假冒案。 七七) )抵赖抵赖否认接收过或发送过信息。否认接收过或发送过信息。安全威胁为什么我们不能杜绝攻击事件的发生?日趋精密的攻击以及以日趋精密的攻击以及以INTERNET
6、INTERNET为基为基 础的网络技术飞速发展础的网络技术飞速发展符合的符合的ITIT技术人员和资金的缺乏而不能技术人员和资金的缺乏而不能 获得更多的资源获得更多的资源没有对被保护的系统进行大量的充分的没有对被保护的系统进行大量的充分的 快速的部署快速的部署没有绝对的安全开放最少服务提供最小权限原则开放最少服务提供最小权限原则安全需求平衡安全需求平衡过分繁杂的安全政策将导致比没有过分繁杂的安全政策将导致比没有 安全政策还要低效的安全。安全政策还要低效的安全。需要考虑一下安全政策给合法用户需要考虑一下安全政策给合法用户 带来的影响。在很多情况下如果你的带来的影响。在很多情况下如果你的 用户所感受
7、到的不方便大于所产生的用户所感受到的不方便大于所产生的 安全上的提高,则执行的安全策略是安全上的提高,则执行的安全策略是 实际降低了你公司的安全有效性。实际降低了你公司的安全有效性。 建立一个有效的安全矩阵安全距阵安全距阵一个安全矩阵由操作系统安全特征、日志一个安全矩阵由操作系统安全特征、日志 服务和其它的设备包括防火墙系统,入侵服务和其它的设备包括防火墙系统,入侵 检测系统,日志审计系统、安全管理系统检测系统,日志审计系统、安全管理系统 等构成。等构成。 安全矩阵系统最主要的几个方面安全矩阵系统最主要的几个方面 允许访问控制允许访问控制容易使用容易使用合理的花费合理的花费灵活性和伸缩性灵活性
8、和伸缩性优秀的警报和报告优秀的警报和报告保护资源终端用户资源终端用户资源The workstations used by employeesThe workstations used by employees威胁威胁 : Viruses,trojans, Active X,applet: Viruses,trojans, Active X,applet网络资源网络资源Routers,switches,wiring closets, telephonyRouters,switches,wiring closets, telephony威胁威胁: IP spoofing,system snoopi
9、ng: IP spoofing,system snooping服务器资源服务器资源DNS,WEB, Email, FTP DNS,WEB, Email, FTP 等服务器等服务器威胁威胁: Unauthorized entry, D.O.S, trojans: Unauthorized entry, D.O.S, trojans信息存储资源信息存储资源Human resources and e-commerce Human resources and e-commerce databasesdatabases威胁威胁: Obtaining trade secrets,customer data
10、: Obtaining trade secrets,customer data黑客的分类偶然的破坏者偶然的破坏者坚定的破坏者坚定的破坏者间谍间谍安全基本元素审计审计管理管理加密加密访问控制访问控制用户验证用户验证安全策略安全策略安全策略建立一个有效的安全策略建立一个有效的安全策略为你的系统分类为你的系统分类 指定危险因数指定危险因数 确定每个系统的安全优先级确定每个系统的安全优先级 定义可接受和不可接受的活动定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工决定在安全问题上如何教育所有员工 确定谁管理你的政策确定谁管理你的政策 加密类型加密类型 1. 1. 对称加密对称加密 2. 2
11、. 非对称加密非对称加密 3. Hash3. Hash加密加密加密认证方法认证方法 1. 1. 证明你知道什么证明你知道什么 2. 2. 出示你拥有的出示你拥有的 3. 3. 证明你是谁证明你是谁 4. 4. 证明你在哪里证明你在哪里认证访问控制列表访问控制列表 (ACL)(ACL) 执行控制列表执行控制列表 (ECL)(ECL)访问控制被动式审计被动式审计 主动式审计主动式审计1. 1. 结束一个登陆会话结束一个登陆会话2. 2. 拒绝某些主机的访问拒绝某些主机的访问3. 3. 跟踪非法活动的源位置跟踪非法活动的源位置审计 增加了复杂性增加了复杂性不得不培训用户如何使用你需要的安全机制不得不
12、培训用户如何使用你需要的安全机制 降低了系统响应时间降低了系统响应时间认证,审计和加密机制会降低系统性能认证,审计和加密机制会降低系统性能安全的权衡考虑和缺点网络安全问题增长趋势Internet Internet 技术飞速发展技术飞速发展有组织的网络攻击有组织的网络攻击企业内部安全隐患企业内部安全隐患有限的安全资源和管理有限的安全资源和管理 专家专家 网络攻击后果财政损失财政损失知识产权损失知识产权损失时间消耗时间消耗由错误使用导致的由错误使用导致的 生产力消耗生产力消耗责任感下降责任感下降内部争执内部争执可见的网络攻击影响可见的网络攻击影响利润利润攻击发生攻击发生( (财政影响财政影响) )
13、Q1 Q2 Q3 Q4网络安全风险安全需求和实际操作脱离安全需求和实际操作脱离 内部的安全隐患内部的安全隐患动态的网络环境动态的网络环境有限的防御策略有限的防御策略安全策略和实际执行之间的巨大差异安全策略和实际执行之间的巨大差异针对网络通讯层的攻击通讯 & 服务层 TCP/IP TCP/IP IPX IPX X.25 X.25 Ethernet Ethernet FDDI FDDI Router Configurations Router Configurations Hubs/Switches Hubs/SwitchesDMZE-MailE-MailFile Transfer File Tr
14、ansferHTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继调制解调器调制解调器通讯&服务层弱点超过超过10001000个个TCP/IPTCP/IP服务安全漏洞服务安全漏洞: :Sendmail, FTP, NFS, File Sendmail, FTP, NFS, File Sharing, Netbios, NIS, Telnet, Sharing, Netbios, NIS, Telnet, Rlogin, Rlogin, 等等. . 错误的路由配置错误的路由配置 TCP/I
15、PTCP/IP中不健全的安全连接检查机制中不健全的安全连接检查机制 缺省路由帐户缺省路由帐户 反向服务攻击反向服务攻击 隐蔽隐蔽 ModemModemDMZE-Mail E-MailFile Transfer File TransferHTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对操作系统的攻击操作系统 UNIX UNIX Windows Windows Linux Linux Freebsd Freebsd Macintosh Macintosh Novell Novell操作系统的安全隐患 1000 1000个以上的商用操作系统安全漏洞个以上的商用操作系统安全漏洞 没有及时添加安全补丁没有及时添加安全补丁 病毒程序的传播病毒程序的传播 文件文件/ /用户权限设置错误用户权限设置错误 默认安装的不安全设置默认安装的不安全设置 缺省用户的权限和密码口令缺省用户的权限和密码口令 用户设置过于简单密码使用用户设置过于简单密码使用 特洛依木马特洛依木马DMZE-Mail E-MailFile Transfer File Transfer
