《网络安全培训课程》由会员分享,可在线阅读,更多相关《网络安全培训课程(76页珍藏版)》请在金锄头文库上搜索。
1、LOGO,重庆网安计算机技术服务中心,网络安全培训课程,Page 2,目录,认识信息安全等级保护,1,了解网络基础及安全防护,2,学习网络故障排查-实例,3,Page 3,信息安全等级保护简介,信息安全等级的划分与适用范围,我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布,根据细则将计算机信息系统安全保护能力划分为五个安全保护等级:第一级:用户自主保护级。用户自主保护级通过身份鉴别,自主访问控制机制,要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。第二级:系统审计保护级。在用户自主保护级的基础上,重点强
2、调系统的审计功能,要求通过审计、资源隔离等安全机帛,使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。第三级:安全标记保护级。在系统审计保护的基础上,从安全功能的设置和安全强度的要求方面均有明显的提高。首先,增加了标记和强制访问控制功能。同时,对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记,确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。第四级:结构化保护级。在安全标记保护级的基础上,重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。第
3、五级:访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性,也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。,Page 4,信息安全等级保护,Page 5,信息安全系统定级,系统定级,需要特别说明的是,定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准,系统建设、整改、备案、等级测评等后续工作都失去了针对性。,信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家
4、安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。,Page 6,系统定级一般流程,信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。,业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。,由业务信息安全等级和系统服务安全等级的较高者
5、确定定级对象的安全保护等级。,Page 7,系统定级一般流程,Page 8,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 ;是当今发达国家的通行做法,也是我国多年来信息安全工作经验的总结 。,信息安全等级保护工作的重要意义,开展信息安全等级保护工作:有利于同步建设 ;有利于指导和服务;有利于保障重点;有利于明确责任 ;有利于产业发展。,Page 9,网络基础及安全防护,网络基础与OSI模型,1,TCP-IP编址,2,交换原理和VLAN,Page 10,网络基础与OSI模型,计算机网络定义:通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合,
6、通过运行特定的操作系统和通信协议来实现数据通信和资源共享。计算机网络组成:通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。计算机网络类型:局域网、广域网。,Page 11,计算机网络组成,Page 12,计算机网络类型,运行在有限的地理区域;允许网络设备同时访问高带宽的介质; 通过局部管理控制网络的权限;提供全时的局部服务; 连接物理上相邻的设备。,通常指几公里以内的,可以通过某种介质互联的计算机、打印机或其它 设备的集合。目前,大多数网络都使用某些形式的以太网。,1,距离短、延迟小、 数据速率高、传输可靠,特点,设计目标,局域网,2,Page 13,计算机网络类型,运
7、行在广阔的地理区域;通过低速串行链路进行访问; 网络控制服从公共服务的规则;提供全时的或部分时间的连接; 连接物理上分离的、遥远的、甚至全球的设备,在大范围区域内提供数据通信服务,主要用于互连局域网。,1,公用电话网:PSTN 综合业务数字网:ISDN 数字数据网:专线 帧中继:Frame Relay 异步传输模式:ATM,分类,设计目标,广域网,2,Page 14,OSI七层参考模型,OSI模型:1984年由国际标准化组织ISO国际标准化组织提出。目的:提供一个大家共同遵守的标准,解决不同网络之间的兼容性和互操作性问题。分层标准:依据功能来划分。OSI七层参考模型的优点:促进标准化工作,允许
8、各个供应商进行开发.各层间相互独立,把网络操作分成低复杂性单元.灵活性好,某一层变化不会影响到别层.各层间通过一个接口在相邻层上下通信.,Page 15,OSI分层结构,数据流层,传输层,数据链路层,网络层,物理层,应用层 (高),会话层,表示层,应用层,负责主机之间的数据传输,负责网络数据传输,Page 16,OSI分层结构,规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输,网络接口卡和网络连接等.,没有智能性,只能对bit 流进行简单的处理。如传输,放大,复制等。,网线:bit 流的传输.中继器:信号的放大.集线器:信号的放大和复制.,Page 17,OSI分层结构,在
9、相邻节点之间建立链路,传送数据帧。工作在同一个网段。主要涉及介质访问控制、连接控制、流量控制和差错控制等。,定义物理地址,标识节点。将bit流组合成数据帧。,交换机:能识别数据帧中的MAC地址信息,在同一网 段转发数据。有智能,进行定向转发。,Page 18,OSI分层结构,是一座桥梁,将不同规范的网络互连起来。在不同网段路由数据包。,定义IP地址,由32bit的二进制数组成,点分十进制表示。路由转发,通过路由表实现三层寻址.,MAC地址(二层) 物理地址 平面结构 身份 IP地址 (三层) 逻辑地址 层次结构 位置,Page 19,OSI分层结构,实现终端用户到终端用户之间的连接。可以实现流
10、量控制、负载均衡。,分段,使数据的大小适合在网络上传递。区分服务,端口号标识上层的通信进程。,Page 20,OSI分层结构,在两个应用程序之间建立会话,管理会话,终止会话。一旦建立连接,会话层的任务就是管理会话。主要由操作系统来完成,把不同的应用程序设置内存区间,分配相应的内存,CPU资源,保持不同的应用程序的数据独立性。,将数据转换成接收设备可以了解的格式.翻译数据格式,加密,压缩.,Page 21,OSI分层结构,为具体的应用程序提供服务,实现各种网络应用(WWW FTP QQ SMTP POP3)。我们说某个应用程序的界面是否友好,就是应用层完成的。应用层为用户和计算机会话提供一个界面
11、。计算机有他的语言,人有人的语言,人要和计算机交流,必须有一个窗口来把信息传递出来。,Page 22,数据的封装与解封装,数据封装,解封装,数据要通过网络进行传输,要从高层逐层的向下传送,如果一个主机要传送数据到别的主机,先把数据装到一个特殊协议报头中,这个过程叫封装。,上述的逆向过程。,Page 23,封装过程,TCP 头,LLC 头,IP 头,MAC 头,Page 24,解封装过程,TCP 头,IP 头,LLC 头,MAC 头,Page 25,数据传输过程,Page 26,冲突域和广播域,冲突域:一个支持共享介质的网段。,广播域:广播帧传输的网络范围,一般是路由器来设定边界 (因为rout
12、er不转发广播)。,冲突:在以太网中,当两个节点同时传输数据时,从两个设备发出的帧将会碰撞, 在物理介质上相遇,彼此数据都会被破坏。,Page 27,OSI模型的缺陷及意义,提供了网络间互连的参考模型。成为实际网络建模、设计的重要参考工具和理论依据。为我们提供了进行网络设计与分析的方法。,许多功能在多个层次重复,有冗余感(如流2.3.4层都有,差错控制等,数据链路层有流控)。各层功能分配不均匀(链路、网络层任务重,会话层任务轻)。功能和服务定义复杂,很难产品化。,OSI模型的缺陷,OSI模型的意义,Page 28,TCP/IP与OSI,TCP/IP与OSI的比较:TCP/IP 分四层,OSI分
13、的是七层。TCP/IP网络实践上的标准,OSI网络理论的标准。TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。TCO/IP的每一层都可以映射到OSI模型中去。,Page 29,TCP/IP与OSI,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,传输层,网络层,网络接口层,Page 30,TCP/IP应用层,应用层,传输层,网络层,文件传输- TFTP *- FTP * E-Mail- SMTP 远程登陆- Telnet *- SSH* 网络管理- SNMP * 名称管理- DNS*,网络接口层,Page 31,TCP/IP传输层,传输控制协议(TCP) 面向连
14、接用户数据报协议(UDP) 非面向连接,应用层,传输层,网络层,网络接口层,Page 32,端口号,TCP,端口号,F T P,T E L N E T,D N S,S N M P,T F T P,S M T P,UDP,应用层,21,23,25,53,69,161,R I P,520,传输层,Page 33,端口号作用,源端口,目标端口,Host A,1028,23,SP,DP,Host Z,Telnet Z,目标端口 = 23.,端口号标识上层通信进程。 小于1024 为周知端口、1024-5000为临时端口、大于5000为其他服务预留。,Page 34,TCP 确认机制,发送方,发送 1,
15、接收 1,发送 ACK 2,发送 2,接收 2,发送 ACK 3,发送 3,接收 3,接收 ACK 4,滑动窗口 = 1,接收方,Page 35,TCP 三次握手,发送 SYN (seq=100 ctl=SYN),接收 SYN,发送 SYN, ACK (seq=300 ack=101 ctl=syn,ack),建立会话 (seq=101 ack=301 ctl=ack),Host A,Host B,接收 SYN,TCP连接建立,Page 36,IP地址组成,IP地址为32Bit二进制数组成,用点分十进制表示。 (例如:192.168.1.1/24),IP地址=网络位+主机位,用来标识一个IP地址哪些是网络位, 哪些是主机位。用1 标识网络为,用0标识主机位。,Page 37,IP地址分类,A类 (1-126) 前8位表示网络位,后24位表示主机位。,B类 (128-191)前16位表示网络位,后16位表示主机位。,C类 (192-223)前24位表示网络位,后8位表示主机位。,D类 (224-239)用于组播地址。,5类IP,E类 (240-255)科研使用。,Page 38,特殊IP地址,本地回环(loopback)测试地址,广播地址,
