《网管员必读——网络安全》由会员分享,可在线阅读,更多相关《网管员必读——网络安全(42页珍藏版)》请在金锄头文库上搜索。
1、网管员必读网络安全,欢 迎 词,非常感谢贵校选择本书作为教材!网管员必读网络安全一书是近两年来一直畅销全国、在各权威机构近两年的年度IT图书评比中大获全胜,获得过许多第一的网管员必读系列丛书中的一本。同时,该系列有多本图书输出到了我国台湾省。 在此以本书作者身份,祝您们通过对本书的学习能取得实实在在的进步,学到实实在在的网络安全管理方面的的知识和培养实实在在的安全策略部署方面的动手实践能力。,目录 第一章 企业网络安全概述 第二章恶意软件的浓度防护 第三章 防火墙在网络安全中的应用 第四章 入侵检测系统及应用 第五章 企业网络安全隔离 第六章 Windows用户账户安全策略 第七章 公钥基础结
2、构 第八章 文件加密与数字签名 第九章 数据备份与恢复 第十章 远程网络连接的安全配置,教学目的与要求通过本书的学习学员要达到以下基本目的:了解企业网络中主要的网络安全隐患来源了解各种网络安全隐患的主要特点和威胁掌握各种安全隐患的安全防护策略和方法以下是学员在学习本书时的基本要求:要全局,不孤立地看待任何一种安全隐患要从网络,而不是PC机角度分析安全隐患尽可能亲自配置书中介绍的设备和软件系统具体内容仍在课本上,必须与课本同时使用,基本教学思路 本书是目前国内图书市场中唯一一本真正从企业应用角度分析企业网络安全需求、企业网络中可能存在的各种安全隐患,以及应采取的安全策略和安全防护方法的网络安全类
3、图书。本书在教学中,建议授课老师遵循以下教学思路:先要求学生全面预习课本中相应章节内容,然后结合使用本课件进行教学从网络角度分析相应安全隐患的来源结合实例阐述主要安全隐患的主要特点和威胁学习掌握各种安全隐患预防方法和意义,第一章 企业网络安全概述,本章是本书主要内容的综合阐述章,其目的就是想让大家事先对企业网络安全隐患有一个比较全面的了解。这样我们在学习后面各章内容时才会有目的地去学习。 本章重点如下: 企业网络安全隐患来源 病毒的主要特点及常见类型 常见的网络攻击类型 企业网络安全策略设计原则 企业网络安全策略设计思路,1.1 企业网络安全考虑,一般来说企业网络安全隐患有如下几个方面: 病毒
4、入侵和黑客攻击 操作系统安全漏洞 用户密码和权限的滥用 机密文件的非法操作、访问与窃取 机密部门的非法访问 外网用户的非法访问,或入侵 数据备份和存储媒体损坏的损坏、丢失,1.1.1 病毒入侵和黑客攻击的基本防护,这是我们最常见的安全隐患,不仅在企业网络中普遍存在,就在我们平时所用的个人计算机中也是四处肆虐。特别是病毒,它并不是近期随着网络的产生而产生,早在DOS时代就已非常普遍。 本节在此只作简要说明,详细内容参见书本P2P4页。 1. 病毒和黑客程序简介 病毒和黑客程序都属于程序软件的类型,只不过它们与一般意义的程序软件在用意上有着明显的区别,那就是病毒和黑客程序是专门用来破坏用户计算机系
5、统、损坏系统硬件,或者使用系统崩溃的,用意不良;而一般的程序软件则是用来解决用户工作中的某种需要,或为用户具体的应用提供平台。 与病毒程序相伴相随的就是黑客程序了。它的出现虽然要比病毒程序晚许多,其盛行只是近几年随着计算机网络的普及才开始的,但是它的威胁性和破坏性比病毒更大。,2. 病毒和黑客程序的传播途经 病毒和黑客传播的途经非常多,但两者的传播途经并不一样。病毒主是通过相互感染进行传播的,如运行带病毒的文件、磁盘(包括软、硬磁盘)、光盘,打开带病毒的邮件附件、图片,更主要是通过网络渗入,如从互联网或局域网上下载带病毒的文件、在互联网上点击带病毒的网页、“热门”图片、动画等。而黑客程序则主要
6、通过黑客工具软件入侵,或者正常文件携带而实现传播的,当然目前也有通过点击网上的网页、 “热门”图片、动画等传播的。所以,我们在预防病毒和黑客程序时要分别对待,要采取不同的预防措施。 3. 病毒和黑客程序的查杀 病毒和黑客程序的查杀方法通常是通过专门的病毒和木马防护软件进行的。有单机版和网络版之分,在网络中建议采用网络版,以便在整个网络中同步杀毒。在这些病毒防护软件中基本上都同时带有软件防火墙系统、漏洞扫描工具和木马查杀工具。也有一些专门的木马类查杀工具,如木马克星、反间谍专家、木马杀客等。也可通过路由器和防火墙的包、IP地址过滤等功能来阻止。,1.1.2 操作系统安全漏洞攻击的防护,黑客为了实
7、施他们的攻击目的,就必须寻一个攻击入口,这些入口通常就是各种各样的“安全漏洞”。所有软件都可能存在安全漏洞,但操作系统的安全漏洞被发现的最多,也是黑客们认为最有利用价值的,因为利用这些操作系统属于基础平台,通过它们的安全漏洞最容易实现他们预期攻击目标。同时,操作系统是控制整个计算机和网络系统的安全核心,选择操作系统的安全漏洞进行攻击,可以迅速产生巨大破坏性,使对方迅速处于瘫痪或崩溃状态。 本节详细内容参见书本P4P7页。1. 操作系统安全漏洞的来源 操作系统的安全漏洞来源可能是多方面的,有些是操作系统程序本身自带的,这主是由于开发商在程序开发时考虑不周造成的。这些漏洞一般都可通过安装在应用过程
8、中开发商后面开发的安全补丁程序来修复。,还有一些是用户自身配置不当造成的,如打开一些非必要的端口,设置了过多、过高权限的磁盘和文件共享;或者用户权限配置不当等。这些漏洞不能通过安装补丁来修复了,必须由用户自己重新设置。 虽然从数量和见诸媒体的频率来说,微软的Windows系统是最经常被发现安全漏洞的,但这并不能说它的安全性就是最差的。事实上像UNIX、Linux之类系统同样存在安全漏洞,当然不能否认的是,这两类系统的稳定性和安全性确实要稍好于Windows系统,但这也只是Windows为了使用的方便性作出的牺牲 另一方面,由于Windows类操作系统应用面最广,关注度最高,受影响面广,容易操作
9、,所以相对来说黑客们更加喜欢、更加容易分析攻击它的方法,这样被发现的安全漏洞就会感觉到多了。 2. 操作系统安全漏洞的发现 要知道自己的系统到底存在哪些安全漏洞,一般来说只能通过专门的漏洞扫描工具了。目前一些主要杀毒软件最新版本都带有安全漏洞扫描功能,如金山毒霸、瑞星等。通过它们可以十分方便地查找自己系统的安全漏洞。,除此之外,也有一些专门的漏洞扫描工具,如微软自己提供的免费MBSA(微软基准安全分析器 ),Linux系统中的Nessus等。利用它们扫描发现漏洞后,还可以自动修复,多数是一个补丁安装过程,也有一些需要用户自己配置的,如注册表配置、帐户权限配置等。 系统补丁的安装还可利用Wind
10、ows系统的“自动更新” 工具或者“Windows Update” 菜单进行。只有这样才能及时把这些系统漏洞补上,防止黑客们利用这些漏洞进行攻击。 除了操作系统可能具有安全漏洞外,其他方面也可能有,如网络系统、数据库系统和服务器等。所以目前的漏洞扫描工具基本分为三种:基于服务器的扫描器、基于网络的扫描器和基于数据库的扫描器,分别可以对服务器、网络或数据库的安全漏洞进行扫描,并提出安全分析报告。目前还有一些同时支持UNIX、Linux和Windows系统漏洞、网络漏洞扫描的工具软件,如Secuguard、SecuguardNSE等。 【说明】书中P6页详细介绍了利用金山毒霸中的漏洞扫描工具查找系
11、统和修复漏洞的步骤。,1.1.3 网络用户密码盗用和权限滥用,这是一非常严重的安全问题,它同时可以在企业内部和外部网络中发生。有些黑客通过一些诸如木马类的黑客程序就可以盗取一些用户的网络帐户和密码,轻松从内部或外部网络中登录进入到企业网络系统中。如果所盗取的用户帐户权限较高,则黑客很轻松地制造出各种网络安全事故,甚至毁坏整个企业网络。 用户帐户和密码的盗取可以有多种不同途经的:如用户自己在进入网络系统登录,输入帐户和密码时不小心给人看见了;或者密码长时间不换,或换来换去都是原来的几个密码,这对于那些别有用心的人就很容易猜到。这些可通过网络操作系统的密码策略来预防。 还有一种盗取用户帐户和密码的
12、方法就是通过远程控制类黑客程序从目标计算机系统中获取,这类黑客行为就不能仅靠部署系统密码策略来完全预防了。,最后一种就是那些非法用户通过各种手段(如穷举法)猜测来获取用户密码,这种方法难度较大,所花时间也较多,一般不会采取。为了预防这种事件发生,笔者强烈建议在企业网络中采用强密码策略,这些将在本书第六章具体介绍。 至于用户权限的滥用那主要是因为网络管理员没有正确配置用户权限。本来有些用户的工作只需要一般的用户权限,但网络管理员为了配置方便,干脆把所有需要某些特权的用户都加进了系统管理员组,这样这些用户无形之中就具有了非常高的权限。当这些用户中有用户因某种好奇心,或者出于一种对公司,或某员工不满
13、,想进行一些网络破坏活动时就很容易实现了。具体的用户权限配置也将在本书的第六章介绍。,1.1.4重要文件或邮件的非法窃取与访问,在企业网络中一般保存着非常多的重要信息,如员工工资、公司财务报表、公司销售报告、竞标标书等。对于这些重要文件通常需要采取文件加密和网络隔离措施来保护,它们将在本书的第八章和第五章详细介绍。 非法用户窃取用户重要文件的另一个重要途经就是窃取用户的邮件。这时除了可对邮件中所发的文件进行文件加密外,还可对邮件进行数字签名,让对方确认这封邮件确实是自己发送的,这样也可确保所接收的文件没有被篡改。具体的邮件加密和数字签名在本书的第八章详细介绍。,1.1.5 关键部门的非法访问,
14、不同的隔离需求有不同的隔离措施,如对于一些小型企业,关键部门人员和重要文件都很少,不必采取价格昂贵的物理网络隔离措施,只需要把这个重要文件不设置共享,并且采取一定的加密措施进行保护即可。如果企业规模比较大,关键部门人员和重要数据也较多,这时就可考虑物理网络隔离措施。网络隔离方案总体有三种措施: 其一、按子网掩码重新划分子网,把需要保护的关键部门放在单独的子网中,具体参见网管员必读超级网管经验谈一书。 其二、采用支持VLAN技术的交换机把需要保护的关键部门用户划分在一个单独的VLAN子网中,具体参见网管员必读网络应用一书。 其三、采用物理隔离卡、网路选择器、隔离网闸等物理隔离设备对关键部门网络进
15、行隔离。具体将在本书的第五章具体介绍。,1.1.6 外网的非法入侵,外网入侵的方式有多种方式,如IP电子欺骗、毁损攻击、拒绝服务攻击、邮件洪流攻击、中间人攻击、HTTP协议攻击和应用层攻击等。 防止这类外网入侵的主要安全措施就是架设防火墙。对于个人用户,出于经济成本、性能需求等各方面的综合考虑,一般都是选择个人软件防火墙,但对于企业用户来说,强列建议采用硬件防火墙,当然主要是硬件防火墙的安全防护功能和性能远比软件防火墙要好。另外,防火墙不仅可以在内、外部网络之间架设,还可在内部网络的关键部门与其他部门之间架设,用于保护关键部门。具体将在本书第三章介绍。,1.1.7 备份数据和存储媒体的损坏与丢
16、失,正由于以上各节介绍的那么多网络安全隐患的存在,所以应非常重视系统或数据的备份。个人用户的备份通常是采取Ghost之类的整盘复制软件,或者把一些重要数据在单独一个硬盘中,或者刻成光碟备份。对于企业用户,通常是采用像磁盘阵列、磁带、磁带库、光盘塔、光盘库等专用硬件,加上适当的备份软件系统组成的数据备份与恢复系统进行。 然而即使有了完善的数据备份与恢复系统,仍可能存在备份数据和备份媒体损坏或丢失的危险。如存储媒介中的数据读不出来,存储媒价丢失、损坏等。这就需要我们为企业数据备份部署完善的容灾方案。具体将在本书的第十章介绍,但要了解数据存储与备份的详细知识和应用方案请参见本系列网管员必读服务器与数据存储一书。,1.2 认识病毒文件,自1946年第一台诺依曼型计算机ENIAC出世以来,计算机已被应用到人类社会的各个领域。1988年在美国发现的蠕虫病毒可以算是病毒的鼻祖了,它是由美国CORNELL大学编写,虽然设计之初的出发点并无恶意,但当时蠕虫病毒大肆在Internet上传播,致使数千台连网的计算机系统停止运行,成为一时的舆论的焦点。 在国内,最初引起人们注意的病毒是20世纪80年代末出现的黑色星期五、米氏病毒、小球病毒等。后来出现的Word宏病毒及Windows 95下的CIH病毒,使人们对病毒的认识更加深了一步。,
