《网络安全基础知识培训天融信》由会员分享,可在线阅读,更多相关《网络安全基础知识培训天融信(139页珍藏版)》请在金锄头文库上搜索。
1、北京天融信公司北京天融信公司北京天融信公司北京天融信公司 .课课程模程模块块Module 1: 网网络络安全概述安全概述Module 2: 我我们们眼中的网眼中的网络络安全安全Module 3: 网网络络安全技安全技术产术产品及功能介品及功能介绍绍.Module 1: 网网络络安全概述安全概述.什么是安全?什么是安全?安全安全一种能一种能一种能一种能够识别够识别够识别够识别和消除不安全因素的能力和消除不安全因素的能力和消除不安全因素的能力和消除不安全因素的能力安全是一个持安全是一个持安全是一个持安全是一个持续续续续的的的的过过过过程程程程网网网网络络络络安全是网安全是网安全是网安全是网络络络络
2、系系系系统统统统的硬件、的硬件、的硬件、的硬件、软软软软件及其系件及其系件及其系件及其系统统统统中中中中的数据受到保的数据受到保的数据受到保的数据受到保护护护护,不因偶然的或者,不因偶然的或者,不因偶然的或者,不因偶然的或者恶恶恶恶意的原因意的原因意的原因意的原因而遭到破坏、更改、泄露,系而遭到破坏、更改、泄露,系而遭到破坏、更改、泄露,系而遭到破坏、更改、泄露,系统连续统连续统连续统连续可靠正常可靠正常可靠正常可靠正常地运行,网地运行,网地运行,网地运行,网络络络络服服服服务务务务不中断不中断不中断不中断.一一) 非授非授权访问权访问1.没有没有经过经过同意,就使用网同意,就使用网络络或或计
3、计算机算机资资源。源。如有意避开系如有意避开系统访问统访问控制机制,控制机制,对对网网络设备络设备及及资资源源进进行非正常使用。行非正常使用。2. 或擅自或擅自扩扩大大权权限,越限,越权访问权访问信息。信息。形式形式:假冒、身份攻假冒、身份攻击击、非法用、非法用户进户进入网入网络络系系统进统进行行违违法操作、合法用法操作、合法用户户以未授以未授权权方式方式进进行操作等。行操作等。安全威安全威胁胁.二二) 信息泄露信息泄露1.敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去。信息信息在在传输传输中中丢丢失或泄漏(失或泄漏(电电磁泄漏或搭磁泄漏或搭线线窃窃听;听;对对信息流向、流量
4、、通信信息流向、流量、通信频频度和度和长长度度等参数的分析,推出有用信息;猜等参数的分析,推出有用信息;猜测测用用户户口令、口令、帐帐号等重要信息。)号等重要信息。)2. 信息在存信息在存储储介介质质中中丢丢失或泄漏。失或泄漏。 通通过过建立建立隐隐蔽通道等窃取敏感信息等。蔽通道等窃取敏感信息等。安全威安全威胁胁.三三)破坏数据完整性破坏数据完整性1.以非法手段窃得以非法手段窃得对对数据的使用数据的使用权权,删删除、除、修改、插入或重修改、插入或重发发某些重要信息,以取得某些重要信息,以取得有益于攻有益于攻击击者的响者的响应应;2. 恶恶意添加,修改数据,以干意添加,修改数据,以干扰扰用用户户
5、的正常的正常使用。使用。安全威安全威胁胁.四四) 拒拒绝绝服服务务攻攻击击1.不断不断对对网网络络服服务务系系统进统进行干行干扰扰,改,改变变其正其正常的作常的作业业流程。流程。2. 执执行无关程序使系行无关程序使系统统响响应应减慢甚至减慢甚至瘫痪瘫痪,影响正常用影响正常用户户的使用,甚至使合法用的使用,甚至使合法用户户被被排斥而不能排斥而不能进进入入计计算机网算机网络络系系统统或不能得或不能得到相到相应应的服的服务务。安全威安全威胁胁.五五) 利用网利用网络传络传播病毒播病毒 通通过过网网络传络传播播计计算机病毒,其破坏性大大算机病毒,其破坏性大大高于高于单单机系机系统统,而且用,而且用户户
6、很很难难防范。防范。六六) 假冒假冒 假冒合法身份破坏正常工作。假冒合法身份破坏正常工作。七七)抵抵赖赖 否否认认接收接收过过或或发发送送过过信息。信息。安全威安全威胁胁.为为为为什么我什么我什么我什么我们们们们不能杜不能杜不能杜不能杜绝绝绝绝攻攻攻攻击击击击事件的事件的事件的事件的发发发发生生生生日日趋趋精密的攻精密的攻击击以及以以及以INTERNET为为基基础础的技的技术术快速快速发发展展符合的符合的IT技技术术人人员员和和资资金的缺乏而不能金的缺乏而不能获获得得更多的更多的资资源源没有没有对对被保被保护护的系的系统统大量的充分的快速的大量的充分的快速的部署部署.没有没有绝对绝对的安全的安
7、全开放最少服开放最少服务务提供最小提供最小权权限原限原则则安全需求平衡安全需求平衡过过分繁分繁杂杂的安全政策将的安全政策将导导致比没有安全致比没有安全政策政策还还要低效的安全。要低效的安全。需要考需要考虑虑一下安全政策一下安全政策给给合法用合法用户带户带来来的影响在很多情况下如果你的用的影响在很多情况下如果你的用户户所感所感受到的不方便大于所受到的不方便大于所产产生的安全上的提生的安全上的提高,高,则执则执行的安全策略是行的安全策略是实际实际降低了你降低了你公司的安全有效性。公司的安全有效性。 .建立一个有效的安全矩建立一个有效的安全矩建立一个有效的安全矩建立一个有效的安全矩阵阵阵阵安全距安全
8、距阵阵一个安全矩一个安全矩一个安全矩一个安全矩阵阵阵阵由由由由单单单单个操作系个操作系个操作系个操作系统统统统安全特征、安全特征、安全特征、安全特征、日志服日志服日志服日志服务务务务和其他的装和其他的装和其他的装和其他的装备备备备包括防火包括防火包括防火包括防火墙墙墙墙,入侵,入侵,入侵,入侵检测检测检测检测系系系系统统统统,审查审查审查审查方案构成。方案构成。方案构成。方案构成。 安全矩安全矩阵阵系系统统最主要的几个方面最主要的几个方面 允允允允许访问许访问许访问许访问控制控制控制控制容易使用容易使用容易使用容易使用合理的花合理的花合理的花合理的花费费费费灵活性和伸灵活性和伸灵活性和伸灵活性
9、和伸缩缩缩缩性性性性优优优优秀的警秀的警秀的警秀的警报报报报和和和和报报报报告告告告.保保护资护资源源终终终终端用端用端用端用户资户资户资户资源源源源 The workstations used by employeesThe workstations used by employees 威威威威胁胁胁胁 : Viruses,trojans, Active X,applet : Viruses,trojans, Active X,applet网网网网络资络资络资络资源源源源 Routers,switches,wiring closets, telephonyRouters,switches,w
10、iring closets, telephony 威威威威胁胁胁胁: IP spoofing,system snooping: IP spoofing,system snooping服服服服务务务务器器器器资资资资源源源源 DNS,WEB, Email, FTP DNS,WEB, Email, FTP 等服等服等服等服务务务务器器器器 威威威威胁胁胁胁: Unauthorized entry, D.O.S, trojans: Unauthorized entry, D.O.S, trojans信息存信息存信息存信息存储资储资储资储资源源源源 Human resources and e-comm
11、erce databasesHuman resources and e-commerce databases 威威威威胁胁胁胁: Obtaining trade secrets,customer data: Obtaining trade secrets,customer data.黑客的分黑客的分类类偶然的破坏者偶然的破坏者坚坚定的破坏者定的破坏者间谍间谍.安全基本元素安全基本元素审计审计审计审计管理管理管理管理加密加密加密加密访问访问访问访问控制控制控制控制用用用用户验证户验证户验证户验证安全策略安全策略安全策略安全策略.安全策略安全策略建立一个有效的安全策略建立一个有效的安全策略为为你的
12、系你的系统统分分类类 指定危指定危险险因数因数 确定每个系确定每个系统统的安全的安全优优先先级级 定定义义可接受和不可接受的活可接受和不可接受的活动动 决定在安全决定在安全问题问题上如何教育所有上如何教育所有员员工工 确定确定谁谁管理你的政策管理你的政策 .加密加密类类型型 1. 对对称加密称加密2. 非非对对称加密称加密3. Hash加密加密加密加密.认证认证方法方法1. 证证明你知道什么明你知道什么2. 出示你出示你拥拥有的有的3. 证证明你是明你是谁谁4. 鉴别鉴别你在哪里你在哪里认证认证.Kerberos Kerberos系系统统是美国麻省理工学院是美国麻省理工学院为为Athena工程
13、而工程而设计设计的,的,为为分布式分布式计计算算环环境提境提供一种供一种对对用用户户双方双方进进行行验证验证的的认证认证方法方法One-time passwords(OPT) 为为了解决固定口令的了解决固定口令的诸诸多多问题问题,安全,安全专专家家提出了一次性口令的密提出了一次性口令的密码码体制,以保体制,以保护护关关键键的的计计算算资资源源特殊的特殊的认证认证技技术术.访问访问控制列表控制列表 (ACL)执执行控制列表行控制列表 (ECL)访问访问控制控制.被被动动式式审计审计主主动动式式审计审计 1. 结结束一个登束一个登陆陆会会话话 2. 拒拒绝绝某些主机的某些主机的访问访问 3. 跟踪
14、非法活跟踪非法活动动的源位置的源位置审计审计.增加了复增加了复杂杂性性 不得不培不得不培训训用用户户如何使用你需要的安全机制如何使用你需要的安全机制降低了系降低了系统统响响应时间应时间 认证认证,审计审计和加密机制会降低系和加密机制会降低系统统性能性能安全的安全的权权衡考衡考虑虑和缺点和缺点.网网络络安全安全问题问题增增长趋势长趋势Internet 技技术飞术飞速速发发展展有有组织组织的网的网络络攻攻击击企企业业内部安全内部安全隐隐患患有限的安全有限的安全资资源和管理源和管理专专家家 .财财政政损损失失知知识产权损识产权损失失时间时间消耗消耗由由错误错误使用使用导导致的生致的生产产力消耗力消耗
15、责责任感下降任感下降内部争内部争执执网网络络攻攻击击后果后果可可可可见见见见的网的网的网的网络络络络攻攻攻攻击击击击影响影响影响影响利利利利润润润润攻攻攻攻击发击发击发击发生生生生( (财财财财政影响政影响政影响政影响) )Q1 Q2 Q3 Q4.网网络络安全安全风险风险安全需求和安全需求和实际实际操作脱离操作脱离 内部的安全内部的安全隐隐患患动态动态的网的网络环络环境境有限的防御策略有限的防御策略安全策略和安全策略和实际执实际执行之行之间间的巨大差异的巨大差异.针对针对网网络络通通讯层讯层的攻的攻击击通通讯讯 & 服服务层务层 TCP/IP TCP/IP IPX IPX X.25 X.25
16、Ethernet Ethernet FDDI FDDI Router Configurations Router Configurations Hubs/Switches Hubs/SwitchesDMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet 企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继调调制解制解调调器器.通讯&服务层弱点超超过过1000个个TCP/IP服服务务安全漏洞安全漏洞:Sendmail, FTP, NFS, Fil
17、e Sharing, Netbios, NIS, Telnet, Rlogin, 等等. 错误错误的路由配置的路由配置 TCP/IP中不健全的安全中不健全的安全连连接接检查检查机制机制 缺省路由缺省路由帐户帐户 反向服反向服务务攻攻击击 隐隐蔽蔽 Modem.DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企业业网网络络生生生生产产产产部部部部工程部工程部工程部工程部市市市市场场场场部部部部人事部人事部人事部人事部路由路由路由路由InternetInternet中中继继针对针对操作系操作系统统
18、的攻的攻击击操作系操作系统统 UNIXUNIX Windows Windows Linux Linux FreebsdFreebsd Macintosh Macintosh Novell Novell.操作系操作系统统的安全的安全隐隐患患 1000个以上的商用操作系个以上的商用操作系统统安全漏洞安全漏洞 没有及没有及时时添加安全添加安全补补丁丁 病毒程序的病毒程序的传传播播 文件文件/用用户权户权限限设设置置错误错误 默默认认安装的不安全安装的不安全设设置置 缺省用缺省用户户的的权权限和密限和密码码口令口令 用用户设户设置置过过于于简单简单密密码码使用使用 特洛依木特洛依木马马.DMZDMZ
19、E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继针对应针对应用服用服务务的攻的攻击击应应用服用服务务程序程序 WebWeb服服服服务务务务器器器器 数据数据数据数据库库库库系系系系统统统统 内部内部内部内部办办办办公系公系公系公系统统统统 网网网网络浏览络浏览络浏览络浏览器器器器 ERP ERP 系系系系统统统统 办办办办公文件程序公文件程序公文件程序公文件程序 FTP SMTP POP3FTP S
20、MTP POP3SAP R/3SAP R/3OracleOracle.应用程序服务的攻击弱点Web 服服务务器器: 错误错误的的Web目目录结录结构构 CGI脚本缺陷脚本缺陷 Web服服务务器器应应用程用程序缺陷序缺陷 私人私人Web站点站点 未索引的未索引的Web页页 数据数据库库: 危危险险的数据的数据库读库读取取删删 除操作除操作路由器路由器:源端口源端口/源路由源路由 其他其他应应用程序用程序: Oracle, SAP, Peoplesoft 缺省缺省帐户帐户 有缺陷的有缺陷的浏览浏览器器.DMZDMZ E-Mail E-Mail File Transfer File Transfer
21、 HTTP HTTPIntranetIntranet企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继额额外的不安全因素外的不安全因素外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织.网网络络的普及使学的普及使学习习网网络进络进攻攻变变得容易得容易全球超全球超过过26万个黑客站点提供系万个黑客站点提供系统统漏洞和漏洞和攻攻击击知知识识越来越多的容易使用的攻越来越多的容易使用的攻击软击软件的出件的出现现国内法律制裁打国内法律制裁打击击力度不力度不够够.典型的攻典型的攻击击方式及安全方式及安全规则规则字典攻字典攻击击
22、和暴力破解法和暴力破解法BUG和后和后门门社会工程和非直接攻社会工程和非直接攻击击.字典攻字典攻击击和暴力攻和暴力攻击击暴力程序攻暴力程序攻击击所有能所有能够够可以被可以被穷举穷举的的资资源都可以成源都可以成为为暴力破解的目暴力破解的目标标邮邮箱密箱密码码破解破解流光流光4.7.Bugs 和后和后门门缓缓冲区溢出冲区溢出Buffer Overflow后后门门Root kits.社会工程和非直接攻社会工程和非直接攻击击打打电话请电话请求密求密码码伪伪造造电电子子邮邮件件拒拒绝绝服服务务攻攻击击To crash a server and make it unusableMasquerade the
23、 identity of the attacked system Viruses, bugs and service flaws.八八项项安全安全实实施建施建议议成成为为一个安全的偏一个安全的偏执执狂狂完整的安全策略完整的安全策略不要采取不要采取单单独的系独的系统统或技或技术术部署公司范部署公司范围围的的强强制策略制策略.八八项项安全安全实实施建施建议议提供培提供培训训终终端用端用户户 管理管理员员 经经理理根据需要根据需要购购置安全置安全设备设备识别识别安全的商安全的商业问题业问题考考虑虑物理安全物理安全.Module 2: 我我们们眼中的网眼中的网络络安全安全.不安全的不安全的安全的安全的
24、安全策略安全策略安全策略安全策略实际实际安全到达安全到达标标准准安全安全间间隙隙未知的安全未知的安全间间隙不容忽隙不容忽视视.DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继部署安全保部署安全保卫卫措施措施防火防火防火防火墙墙墙墙的能力有限的能力有限的能力有限的能力有限外部外部/ /个体个体外部外部/ /组织组织内部内部/ /个体个体内部内部/ /组织组织安安安安 全全全全 隐隐隐隐 患
25、患患患.DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继尚不了解尚不了解实际实际的危机的危机实际实际实际实际安全安全安全安全问题还问题还问题还问题还有有有有很多很多很多很多外部外部外部外部/ /个体个体个体个体外部外部外部外部/ /组织组织组织组织内部内部内部内部/ /个体个体个体个体内部内部内部内部/ /组织组织组织组织安安安安 全全全全 隐隐隐隐 患患患患.DMZDMZ? E-Ma
26、il? E-Mail? File Transfer? File Transfer? HTTP? HTTPIntranetIntranet企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继管理分析管理分析 & 实实施策略施策略安安安安 全全全全 隐隐隐隐 患患患患外部外部/ /个体个体外部外部/ /组织组织内部内部/ /个体个体内部内部/ /组织组织关关闭闭安全安全维护维护“后后门门”更改缺省的更改缺省的系系统统口令口令添加所有添加所有操作系操作系统统PatchModem数据文件加密数据文件加密安装安装认证认证 & 授授权权用用户户安
27、全培安全培训训授授权权复复查查入侵入侵检测检测实时监实时监控控.进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂信息安全的目的信息安全的目的可可可可审审审审查查查查.信信 息息 安安 全全 体体 系系鉴鉴鉴鉴别别别别加加加加密密密密访访访访问问问问控控控控制制制制安安安安全全全全管管管管理理理理病病病病毒毒毒毒防防防防范范范范数数数数字字字字签签签签名名名名链链链链路路路路加加加加密密密密机机机机IPIPIPIP协协协协议议议议加加加加密密密密机机机机邮邮邮邮件件件件加加加加密密密密文文文文件件件件加加加加密密密密防防防防
28、火火火火墙墙墙墙远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统防防防防病病病病毒毒毒毒软软软软件件件件防防防防病病病病毒毒毒毒制制制制度度度度密密密密钥钥钥钥管管管管理理理理网网网网络络络络监监监监视视视视审审审审计计计计系系系系统统统统信信信信息息息息检检检检查查查查系系系系统统统统代代代代理理理理服服服服务务务务器器器器远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统.信息系信息系统统使命使命信息系信息系统统建模,。建模,。GB 18336 idt ISO/IEC 15408信息技信息技术术安全性安全性评评估准估准则则IATF 信息保障技信息保障技术术框架
29、框架ISSE 信息系信息系统统安全工程安全工程SSE-CMM系系统统安全工程能力成熟度模型安全工程能力成熟度模型BS 7799, ISO/IEC 17799信息安全管理信息安全管理实实践准践准则则其他相关其他相关标标准、准准、准则则例如:例如:ISO/IEC 15443, COBIT。系系统认证统认证和和认认可可标标准和准和实实践践例如:美国例如:美国DITSCAP, 中国信息安全中国信息安全产产品品测评认证测评认证中心中心相关文档和系相关文档和系统测评认证实统测评认证实践践技技术术准准则则(信息技(信息技术术系系统评统评估准估准则则)管理准管理准则则(信息系(信息系统统管理管理评评估准估准则
30、则)过过程准程准则则(信息系(信息系统统安全工程安全工程评评估准估准则则)信信息息系系统统安安全全性性评评估估准准则则.组织组织管理管理技技术术保障保障基基础础设设施施产业产业支撑支撑人材人材培养培养环环境境建建设设国家信息安全保障体系框架国家信息安全保障体系框架.19941994年,中年,中年,中年,中华华华华人民共和国人民共和国人民共和国人民共和国计计计计算机信息系算机信息系算机信息系算机信息系统统统统安全保安全保安全保安全保护护护护条例第二章安全保条例第二章安全保条例第二章安全保条例第二章安全保护护护护制制制制部分部分部分部分规规规规定:定:定:定: “ “计计计计算机信息系算机信息系算
31、机信息系算机信息系统实统实统实统实行安全等行安全等行安全等行安全等级级级级保保保保护护护护。安全等。安全等。安全等。安全等级级级级的划分的划分的划分的划分标标标标准和安全等准和安全等准和安全等准和安全等级级级级保保保保护护护护的具体的具体的具体的具体办办办办法,由公安部会同有关部法,由公安部会同有关部法,由公安部会同有关部法,由公安部会同有关部门门门门制定。制定。制定。制定。” ”计计计计算机信息系算机信息系算机信息系算机信息系统统统统安全保安全保安全保安全保护护护护等等等等级级级级划分准划分准划分准划分准则则则则GB17859-1999GB17859-1999(技(技(技(技术术术术法法法法
32、规规规规)规规规规定:定:定:定: 国家国家国家国家对对对对信息系信息系信息系信息系统实统实统实统实行五行五行五行五级级级级保保保保护护护护。国家信息化国家信息化国家信息化国家信息化领导领导领导领导小小小小组组组组关于加关于加关于加关于加强强强强信息安全保障工作的意信息安全保障工作的意信息安全保障工作的意信息安全保障工作的意见见见见重点重点重点重点强强强强调调调调: 实实实实行信息安全等行信息安全等行信息安全等行信息安全等级级级级保保保保护护护护制度,重点保制度,重点保制度,重点保制度,重点保护护护护基基基基础础础础信息网信息网信息网信息网络络络络和重要信息系和重要信息系和重要信息系和重要信息
33、系统统统统。等等级级化保化保护护的政策依据的政策依据.等等级级化化标标准渊源准渊源TCSEC1985UKConfidence Levels1989GERMANCriteriaFRENCHCriteriaCTCPEC1993ITSEC1991FC1993CCV1.0 1996V2.0 1998V2.1 1999ISO/IEC15408-1999GB/T18336-2001GB 17859-1999.GB 17859衍生标准衍生标准GA/T 390 计算机信息系统安全等级保护通用技术要求GA/T 388 计算机信息系统安全等级保护操作系统技术要求GA/T 389 计算机信息系统安全等级保护数据库管
34、理系统技术要求GA/T 387 计算机信息系统安全等级保护网络技术要求GA/T 391 计算机信息系统安全等级保护管理要求GB/T 18336衍生标准衍生标准GB/T 18019 包过滤防火墙安全技术要求GB/T 18018 路由器安全技术要求GB/T 18020 应用级防火墙安全技术要求GB/T 17900 网络代理服务器的安全技术要求等等级级化衍生化衍生标标准准.网网网网络络络络系系系系统现统现统现统现状状状状潜在的安全潜在的安全潜在的安全潜在的安全风险风险风险风险安全需求与目安全需求与目安全需求与目安全需求与目标标标标安全体系安全体系安全体系安全体系安全解决方案安全解决方案安全解决方案安
35、全解决方案分析后得出分析后得出分析后得出分析后得出提提出出进进行行安全集成安全集成安全集成安全集成 / / 应应应应用开用开用开用开发发发发安全服务安全方案安全方案安全方案安全方案设计设计设计设计建立相应的网网络络安全整体安全整体设计设计流程流程.VPN 虚虚拟专拟专用网用网防火防火墙墙内容内容检测检测防病毒防病毒入侵入侵检测检测.Module 3: 安全技安全技术产术产品及功能介品及功能介绍绍.需要的安全技需要的安全技术产术产品品CA安全身份安全身份认证认证体系体系防火防火墙墙技技术术/VPN技技术术防病毒体系防病毒体系入侵入侵检测检测技技术术网网络络安全安全评评估系估系统统安全安全备备份和
36、系份和系统统灾灾难难恢复恢复.身份身份鉴别鉴别 基于口令、用基于口令、用户户名的身份名的身份认认 基于主体特征的身份基于主体特征的身份认证认证:如指:如指纹纹 基于基于IC卡卡+PIN号号码码的的认证认证 基于基于CA证书证书的身份的身份认证认证 其他的其他的认证认证方式方式.基于口令、用基于口令、用户户名的身份名的身份认证认证UsernamePasswordPermissionroot!#4RAdmin3458rR Wwebmaste234R Edd2342R W EServer End user Username=rootPassword=!#$ 发起访问请求基于口令、用户名的简单身份鉴别
37、验证用户名与口令回应访问请求,允许访问验证通过.基于主体特征的身份基于主体特征的身份认证认证UsernameFeaturePermissionRootSdffRAdmin8990R WWeb8668R Eftp8965R W EServer Workstation 传送特征信息 发起访问请求基于主体特征的身份鉴别验证用户特征信息回应访问请求,允许访问验证通过指纹识别器读取特征信息获得特征信息.基于基于IC卡卡+PIN号号码码的的认证认证UsernameInformation PermissionAdmin1234RRitt8990R WRoot8668R Eweb8965R W EServer
38、 Workstation 传送身份验证信息 发起访问请求基于IC卡+PIN号码的身份鉴别验证用户身份回应访问请求,允许访问验证通过读卡器输入PIN号码插入IC卡读取用户信息获得用户信息.基于基于CA证书证书的身份的身份认证认证基于CA证书的身份鉴别CA中心中心证书发证书发布服布服务务器器用户证书服务器证书用户证书传送证书给对方用于身份认证服务器证书传送证书给对方用于身份认证开始数字证书的签名验证开始数字证书的签名验证查找共同可信的CA查询黑名单验证都通过查找共同可信的CA 查询黑名单验证通过开始安全通讯.需要的安全技需要的安全技术产术产品品CA安全身份安全身份认证认证体系体系防火防火墙墙技技术
39、术/VPN技技术术防病毒体系防病毒体系入侵入侵检测检测技技术术网网络络安全安全评评估系估系统统安全安全备备份和系份和系统统灾灾难难恢复恢复.VPN的基本技的基本技术术InternetInternet.开放互开放互联联网网络络的的带带来的安全来的安全风险风险路由器内部网Web、Mail服务器等因特网入侵者攻击路由器 进行窃听分支机构正常的通信流为什么我工资比他少500他们的标书拿到了又攻破了一个站点内部人员使用监听工具窃听.VPN 最大最大优势优势 - 投投资资回回报报 大幅度减少大幅度减少大幅度减少大幅度减少电电电电信服信服信服信服务费务费务费务费用,尤其用,尤其用,尤其用,尤其针对针对针对针
40、对地域上分散的公司和企地域上分散的公司和企地域上分散的公司和企地域上分散的公司和企业业业业 针对远针对远针对远针对远程程程程拨拨拨拨号上网号上网号上网号上网访问访问访问访问的用的用的用的用户户户户,省去了每个月的,省去了每个月的,省去了每个月的,省去了每个月的电电电电信信信信费费费费用用用用 采用采用采用采用VPN, VPN, 公司公司公司公司/ /企企企企业业业业中当前使用的中当前使用的中当前使用的中当前使用的Modem PoolModem Pool将永将永将永将永远远远远退休退休退休退休到到到到20022002年,按企年,按企年,按企年,按企业业业业/ /组织规组织规组织规组织规模大小,模
41、大小,模大小,模大小,实实实实施施施施VPNVPN比例将达到:比例将达到:比例将达到:比例将达到:57% - -大型企大型企大型企大型企业业业业55% - -中心企中心企中心企中心企业业业业51% - -小型企小型企小型企小型企业业业业 来源: Infonetics Research.安全的,安全的,统统一的通信一的通信移移动动用用户户分支机构分支机构网站网站合作伙伴合作伙伴VPNVPN.VPN(Virtual VPN(Virtual Private Private Network) Network) 它它它它指指指指的的的的是是是是以以以以公公公公用用用用开开开开放放放放的的的的网网网网络络
42、络络( (如如如如Internet)Internet)作作作作为为为为基基基基本本本本传传传传输输输输媒媒媒媒体体体体,通通通通过过过过加加加加密密密密和和和和验验验验证证证证网网网网络络络络流流流流量量量量来来来来保保保保护护护护在在在在公公公公共共共共网网网网络络络络上上上上传传传传输输输输的的的的私私私私有有有有信信信信息息息息不不不不会会会会被被被被窃窃窃窃取取取取和和和和篡篡篡篡改改改改,从从从从而而而而向向向向最最最最终终终终用用用用户户户户提提提提供供供供类类类类似似似似于于于于私私私私有有有有网网网网络络络络(Private (Private Network)Network)性
43、性性性能能能能的的的的网网网网络络络络服服服服务务务务技技技技术术术术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴.v 数据机密性保数据机密性保护护v 数据完整性保数据完整性保护护v 数据源身份数据源身份认证认证VPN作用.数据机密性保数据机密性保护护拨拨号服号服务务器器PSTNPSTN Internet Internet 区域区域InternetInternet边边界路由器界路由器内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线DMZDMZ区域区域WWW Mail DNS密文密文传输明
44、文传输明文传输.内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专线原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要摘要对原始数据包进行加密加密后的数据包加密后的数据包加密加密后的数据包加密后的数据包摘要摘要加密后的数据包加密后的数据包摘要摘要摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较,验证数据的完整性数据完整性保数据完整性保护护.数据源身份数据源身份认证认证内部工作子网内部工作子网管理子网一般子网内部WWW重点子网下属机构下属机构DDN/FRDDN/FRX.25X.25专线专
45、线原始数据包对原始数据包进行HashHash摘要摘要加密摘要摘要摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗?验证通过.远远程程访问访问 VPN提供通提供通提供通提供通过过过过InternetInternet访问访问访问访问公司网公司网公司网公司网络络络络内部内部内部内部资资资资源的方法源的方法源的方法源的方法降低了降低了降低了降低了长长长长途、大型途、大型途、大型途、大型Modem PoolModem Pool和技和技和技和技术术术术支持的支持的支持的支持
46、的费费费费用用用用公司公司总总部站点部站点InternetInternet远远程或移程或移动动用用户户.端到端端到端 VPN利用利用利用利用InternetInternet安全安全安全安全连连连连接多个分支机构接多个分支机构接多个分支机构接多个分支机构减少减少减少减少对帧对帧对帧对帧中中中中继继继继 和租用和租用和租用和租用线线线线路的依靠路的依靠路的依靠路的依靠公司公司总总部站点部站点InternetInternet分支机构站点分支机构站点.内部网内部网 VPN向商向商业业合作伙伴提供合作伙伴提供对对内部重要数据的内部重要数据的访问访问 (销销售信息、工具售信息、工具软软件等等件等等)减少了
47、事减少了事务处务处理和操作中的理和操作中的费费用用公司公司总总部站点部站点InternetInternet合作伙伴站点合作伙伴站点.VPN的的组组成成加密加密消息消息认证认证实实体体认证认证密密钥钥管理管理.Point-to-Point Tunneling Protocol 第二第二第二第二层层层层隧道隧道隧道隧道协议协议协议协议提供提供提供提供PPTPPPTP客客客客户户户户机和机和机和机和PPTPPPTP服服服服务务务务器之器之器之器之间间间间的加的加的加的加密通信密通信密通信密通信 Point-to-Point Protocol (PPP)Point-to-Point Protocol
48、(PPP)协议协议协议协议的的的的扩扩扩扩展展展展 允允允允许许许许封装多种封装多种封装多种封装多种协议协议协议协议:TCP/IPTCP/IP、IPXIPX等等等等 使用使用使用使用RSARSA公司的公司的公司的公司的RC4RC4加密方法,但不加密方法,但不加密方法,但不加密方法,但不进进进进行隧道行隧道行隧道行隧道验证验证验证验证 用用用用户户户户需要在客需要在客需要在客需要在客户户户户端配置端配置端配置端配置PPTPPPTPInternetRemote PPTP ClientISP Remote AccessSwitchPPTP RAS ServerCorporate Network.La
49、yer 2 Tunneling Protocol (L2TP)第二第二第二第二层层层层 隧道隧道隧道隧道协议协议协议协议结结结结合并合并合并合并扩扩扩扩展了展了展了展了 PPTP PPTP和和和和L2F (Cisco supported L2F (Cisco supported protocol)protocol)对对对对隧道隧道隧道隧道进进进进行行行行验证验证验证验证,但,但,但,但对传输对传输对传输对传输中的数据不加密中的数据不加密中的数据不加密中的数据不加密没有包括数据包的没有包括数据包的没有包括数据包的没有包括数据包的验证验证验证验证、数据完整性和密、数据完整性和密、数据完整性和密、数
50、据完整性和密钥钥钥钥管理管理管理管理InternetRemote L2TP ClientISP L2TP ConcentratorL2TP ServerCorporate Network.Internet Protocol Security (IPSec)第三第三层层隧道隧道协议协议(远远程程访问访问、内部网、内部网络络和和Extranet VPN)Internet VPN标标准准一个一个协议协议包(包(AH、ESP及密及密钥钥管理管理协议协议)提供灵活的加密、消息提供灵活的加密、消息验证验证和数据完整的技和数据完整的技术术包括密包括密钥钥管理管理.IPSec VPN的的组组成成加密加密消息消
51、息认证认证 实实体体认证认证密密钥钥交交换换DES, 3DES, RC5,RC4DES, 3DES, RC5,RC4HMAC-MD5, HMAC-HMAC-MD5, HMAC-SHA-1, or othersSHA-1, or othersDigital Certificates, Digital Certificates, Shared Secrets,Hybrid Shared Secrets,Hybrid Mode IKEMode IKEInternet Key Exchange Internet Key Exchange (IKE), Public Key (IKE), Public
52、Key Infrastructure (PKI)Infrastructure (PKI).加密加密用于将数据用于将数据转换转换成保密代成保密代码码在不可信的网在不可信的网络络上上传输传输加密算法加密算法“The cow jumped over the moon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文明文明文明文加密数据加密数据加密数据加密数据.对对称密称密钥钥加密和解密使用同一把密加密和解密使用同一把密钥钥比非比非对对称密称密钥钥速度快速度快密密钥钥管理工作量大管理工作量大密密钥传递钥传递容易泄密容易泄密Shared Secret KeyShared Secret Ke
53、y. 在一个非安全的通道上安全地建立一个共享密钥Internet事先双方协商两个公共数值, 非常大的素数m和整数g做计算 X=ga mod m发送X=ga mod m产生一个很大的数 b产生一个很大的数 a做计算 Y=gb mod m发送Y=gb mod mKA=Ya mod m=gab mod mKB=Xb mod m=gab mod m两者相等得出共享密得出共享密钥钥Key= gab mod mHost AHost BDiffieHellman DiffieHellman 密密密密钥钥钥钥交交交交换换换换算法算法算法算法.非非对对称密称密钥钥加密和解密采用不同密加密和解密采用不同密钥钥 (
54、一把公一把公钥钥, 一把一把私私钥钥)密密钥钥分配分配简单简单密密钥钥保存量小,便于管理保存量小,便于管理Alice Public KeyAlice Public KeyEncryptEncryptAlice Private KeyAlice Private KeyDecryptDecryptBobBobAliceAlice.数字数字证书证书和和 Public Key Infrastructure数字数字证书证书:包含了一个人的或一个包含了一个人的或一个包含了一个人的或一个包含了一个人的或一个实实实实体的体的体的体的Public KeysPublic Keys 允允允允许许许许安全地分安全地分
55、安全地分安全地分发发发发 public keys public keysIs signed by a Certificate Authoritys Is signed by a Certificate Authoritys private keyprivate key Verifies identity through trusted third partyVerifies identity through trusted third partyMy Certificate:My Certificate:Name: Name: BobBobOrganization: Organization:
56、 Check PointCheck PointPublic Key: Public Key: lk393l430fksffj398sdf1f594ier933d34w435dlk393l430fksffj398sdf1f594ier933d34w435dCA: xxx.xxx.xxx.xxxCA: xxx.xxx.xxx.xxxand moreand more.灵活的灵活的认证认证方式方式共享的密共享的密共享的密共享的密钥钥钥钥最最最最简单简单简单简单的方式的方式的方式的方式两个站点通两个站点通两个站点通两个站点通过电话过电话过电话过电话或或或或E-MailE-Mail方式共享密方式共享密方式
57、共享密方式共享密钥钥钥钥Public Key InfrastructurePublic Key Infrastructure提供在提供在提供在提供在较较较较大大大大规规规规模下模下模下模下发发发发布和管布和管布和管布和管理理理理Public/Private Public/Private 密密密密钥钥钥钥的方的方的方的方法法法法Internet Key Exchange (IKE)Internet Key Exchange (IKE)自自自自动动动动更有效地更有效地更有效地更有效地进进进进行身份行身份行身份行身份认证认证认证认证、协协协协商算法及交商算法及交商算法及交商算法及交换换换换密密密密钥
58、钥钥钥.IPSec 会会话举话举例例Bob Bob 试图连试图连试图连试图连接到公司内部接到公司内部接到公司内部接到公司内部邮邮邮邮件服件服件服件服务务务务器器器器InternetCertificateAuthority.IPSec 会会话举话举例例Bob Bob 试图连试图连试图连试图连接到公司内部接到公司内部接到公司内部接到公司内部邮邮邮邮件服件服件服件服务务务务器器器器VPN gatewayVPN gateway和和和和VPN clientVPN client(BobBob计计计计算机)使用算机)使用算机)使用算机)使用IKE:IKE:通通通通过过过过数字数字数字数字证书验证证书验证证书
59、验证证书验证VPN gatewayVPN gateway和和和和BobBob身份身份身份身份为为为为通信建立安全关通信建立安全关通信建立安全关通信建立安全关联联联联( (密密密密钥钥钥钥和算法)和算法)和算法)和算法)InternetCertificateAuthority.IPSec 会会话举话举例例Bob Bob 试图连试图连试图连试图连接到公司内部接到公司内部接到公司内部接到公司内部邮邮邮邮件服件服件服件服务务务务器器器器VPN gatewayVPN gateway和和和和VPN clientVPN client(BobBob计计计计算机)使用算机)使用算机)使用算机)使用IKE:IKE
60、:通通通通过过过过数字数字数字数字证书验证证书验证证书验证证书验证VPN gatewayVPN gateway和和和和BobBob身份身份身份身份为为为为通信建立安全通信建立安全通信建立安全通信建立安全联联联联盟盟盟盟( (密密密密钥钥钥钥和算法)和算法)和算法)和算法)在在在在BobBob和和和和VPN GatewayVPN Gateway之之之之间间间间建立加密通道建立加密通道建立加密通道建立加密通道InternetCertificateAuthority.IPSec 会会话举话举例例Bob Bob 试图连试图连试图连试图连接到公司内部接到公司内部接到公司内部接到公司内部邮邮邮邮件服件服件
61、服件服务务务务器器器器VPN gatewayVPN gateway和和和和VPN clientVPN client(BobBob计计计计算机)使用算机)使用算机)使用算机)使用IKE:IKE:通通通通过过过过数字数字数字数字证书验证证书验证证书验证证书验证VPN gatewayVPN gateway和和和和BobBob身份身份身份身份为为为为通信建立安全通信建立安全通信建立安全通信建立安全联联联联盟盟盟盟( (密密密密钥钥钥钥和算法)和算法)和算法)和算法)在在在在BobBob和和和和VPN GatewayVPN Gateway之之之之间间间间建立加密通道建立加密通道建立加密通道建立加密通道B
62、ob Bob 现现现现在可以接受在可以接受在可以接受在可以接受邮邮邮邮件了件了件了件了InternetCertificateAuthority.VPN VPN 设备设备设备设备容易被攻容易被攻容易被攻容易被攻击击击击 例如:例如:例如:例如: denial of denial of servicservice e (DOSDOS)需要在防火需要在防火需要在防火需要在防火墙墙墙墙上开通上开通上开通上开通VPNVPN流量的通道流量的通道流量的通道流量的通道VPNVPN流量的安全性得流量的安全性得流量的安全性得流量的安全性得不到保不到保不到保不到保证证证证InternetInternetIntern
63、etInternet不同种不同种类类的的 VPN/Firewall 结结构构.VPN 设备设备容易被攻容易被攻击击 例如:例如: denial of service (DOS)需要在防火需要在防火墙墙上开通上开通VPN流量的流量的通道通道VPN流量的安全性得不到保流量的安全性得不到保证证InternetInternetInternetInternet不同种不同种类类的的 VPN/Firewall 结结构构只有只有VPN/firewall集成的解决方案集成的解决方案才能才能实现实现完全的完全的访问访问控制控制和全局一致的安全策略和全局一致的安全策略.构建安全的内构建安全的内联联网网总总部部办办事
64、事处处因特网因特网分公司分公司加密隧道加密隧道VPNVPN网关网关. 内内联联VPN的特点和的特点和优势优势将各个独立的局域网将各个独立的局域网联联接起来,接起来,逻辑逻辑上上总总部、分公司、部、分公司、办办事事处处相当于在同一个局域相当于在同一个局域网内部网内部构建各种基于构建各种基于WANWAN的的应应用,如用,如ERPERP、OAOA、E ESalesSales、集中的集中的财务监财务监控、控、库库存管理等等存管理等等。简简化网化网络络管理,便于管理,便于实实施集中的安全策略施集中的安全策略.远远程程访问访问VPN总总部部因特网因特网分公司分公司加密隧道加密隧道VPNVPN网关网关. 远
65、远程接入程接入VPN的技的技术术特点与特点与优势优势支持支持PSTN、ISDN、DSL、电缆电缆(CableModem)或无)或无线线方式接入企方式接入企业业网网络络满满足移足移动动和和远远程用程用户应户应用的需求,支持用的需求,支持E-mail、文件共享以及数据、文件共享以及数据库访问库访问等。等。无需配置和无需配置和维护远维护远程接入交程接入交换换机(机(RAS),),大大降低了运大大降低了运营营、管理、培、管理、培训训、硬件、硬件、软软件件及人工及人工费费用等用等项项的成本。的成本。方便地方便地扩扩大企大企业业内部网内部网络络的地理覆盖范的地理覆盖范围围,包括低成本的国包括低成本的国际际
66、接入,并可提供更好的可接入,并可提供更好的可扩扩展性,便于增加新用展性,便于增加新用户户。.外外联联网网VPNInternetInternet企企企企企企业间业间业间业间业间业间互互互互互互联联联联联联网网网网网网客客客客户户户户分分分分销销销销商商商商公司公司公司公司供供供供应应应应商商商商 VPN客客户户端端软软件件VPN网关网关. 外外联联网网VPN的特点与的特点与优势优势支持集中的生支持集中的生产产管理、管理、订单处订单处理、理、销销售售监监控、技控、技术术支持等支持等应应用用使企使企业业同它的商同它的商业业伙伴、客伙伴、客户户、甚至供、甚至供应应商之商之间间,实现紧实现紧密的网密的网
67、络络与与应应用的用的联联接接实现对实现对供供应链应链的精的精简简管理、改善客管理、改善客户户服服务务、并、并为为分分销销渠道提供更高渠道提供更高质质量的通量的通讯讯服服务务提高生提高生产产率、率、实现竞实现竞争争优势优势. VPN基本功能特性基本功能特性WebWeb、MailMail服服务务器等器等因特网因特网分支机构分支机构加密隧道加密隧道&1%$*)!&1%$*)!?安全区域划分安全区域划分增增强强内网安全内网安全VPNVPN网关保网关保护护内网内网 及信息及信息传输传输安全安全工作站域工作站域服服务务器域器域VPNVPN网关网关间间建立加密隧道建立加密隧道VPNVPN移移动动客客户户端保
68、端保证证 移移动办动办公安全公安全.信息信息传输传输安全安全小型分支机构小型分支机构总总部部分公司分公司VPNVPN网关网关VPNVPN网关网关办办事事处处VPNVPN网关网关VPNVPN网关网关VPNVPN移移动动客客户户端端VPNVPN移移动动客客户户端端分公司分公司加密隧道,保加密隧道,保证证信息信息传输传输的机密性与不可的机密性与不可篡篡改性改性VPNVPN网关网关.集中的身份集中的身份认证认证总总总总部部部部远远远远程用程用程用程用户户户户1 1 向向向向VPNVPN网关网关网关网关发发发发起起起起连连连连接接接接认证认证认证认证服服服服务务务务器器器器业务业务业务业务主机主机主机主
69、机加密隧道加密隧道加密隧道加密隧道 2 VPN2 VPN网关将网关将网关将网关将认证请认证请认证请认证请求求求求转转转转发给认证发给认证发给认证发给认证服服服服务务务务器器器器4 4 通通通通过过过过加密隧道加密隧道加密隧道加密隧道访问业务访问业务访问业务访问业务主机主机主机主机3 3 认证认证认证认证通通通通过过过过,建立加密隧道,建立加密隧道,建立加密隧道,建立加密隧道1 1 入侵者向入侵者向入侵者向入侵者向VPNVPN网关网关网关网关发发发发起起起起连连连连接接接接2 VPN2 VPN网关将网关将网关将网关将认证请认证请认证请认证请求求求求转转转转发给认证发给认证发给认证发给认证服服服服
70、务务务务器器器器3 3 未通未通未通未通过认证过认证过认证过认证,断开,断开,断开,断开连连连连接接接接4 4 对对对对被拒被拒被拒被拒绝绝绝绝的的的的连连连连接接接接记录记录记录记录源源源源IPIP、访访访访问时间问时间问时间问时间等等等等详细详细详细详细的日志信息的日志信息的日志信息的日志信息入侵者入侵者入侵者入侵者.需要的安全技需要的安全技术产术产品品CA安全身份安全身份认证认证体系体系防火防火墙墙技技术术/VPN技技术术防病毒体系防病毒体系入侵入侵检测检测技技术术网网络络安全安全评评估系估系统统安全安全备备份和系份和系统统灾灾难难恢复恢复.1990 19911994 1996 1998
71、 19992000 2001 20022003主流病毒型主流病毒型态态 木木马马、蠕虫、蠕虫. 攻攻击击和威和威胁转胁转移到服移到服务务器和网关,器和网关,对对防毒体系提出新的挑防毒体系提出新的挑战战IDC, 2004IDC, 2004邮邮件件/互互联联网网Code RedNimdafunloveKlez20012002邮邮件件Melissa19992000LoveLetter1969物理介物理介质质Brain19861998CIHSQL Slammer20032004冲冲击击波波震震荡荡波波.冲冲击击波波20032003年年8 8月月1111日日补补丁:丁:MS03-026 MS03-026
72、 2002003 3年年7 7月月1616日日补补丁:丁: MS02-039MS02-03920022002年年7 7月月2424日日蠕虫王蠕虫王20032003年年1 1月月2525日日时间间时间间隔隔26 26 天天185 185 天天336 336 天天尼姆达尼姆达补补丁:丁: MS00-078MS00-07820002000年年1010月月1717日日20012001年年9 9月月1818日日震震荡荡波波2002004 4年年5 5月月1 1日日补补丁:丁:MS04-011MS04-011 20042004年年4 4月月1313日日1818 天天. 木木马马病毒有可能洗劫用病毒有可能洗
73、劫用户户网上网上银银行存款、造成网行存款、造成网络络游游戏戏玩家装玩家装备备丢丢失、被黑客利用失、被黑客利用执执行不法行行不法行为为等。如今,等。如今,针对针对以上各种以上各种现现象的危害象的危害越来越多,木越来越多,木马马病毒已成病毒已成为为威威胁胁数字数字娱乐娱乐的大的大敌敌 根据木根据木马马病毒的特点与其危害范病毒的特点与其危害范围围来来讲讲,木,木马马病毒又分病毒又分为为以下五以下五大大类别类别:针对针对网游的木网游的木马马病毒、病毒、针对针对网上网上银银行的木行的木马马病毒、病毒、针对针对即即时时通通讯讯工具的木工具的木马马病毒、病毒、给计给计算机开后算机开后门门的木的木马马病毒、推
74、广广告的木病毒、推广广告的木马马病毒。病毒。 .一个企一个企业级业级的病毒解决方案的病毒解决方案 一套一套优优秀的秀的防毒防毒软软件件 一个工作勤一个工作勤奋奋努力的努力的网网络络管理管理员员 + +=以往的病毒防以往的病毒防护护体系不能体系不能满满足安全需求足安全需求.全面的病毒防全面的病毒防护护体系体系 网关病毒防网关病毒防护护 工作站病毒防工作站病毒防护护 服服务务器病毒防器病毒防护护 网网络络中心病毒控制台中心病毒控制台 自自动动更新升更新升级级的的维护维护策略策略.企企业业网网络络网关网关杀杀毒毒在在emailemail病毒病毒扩扩散之前就予以散之前就予以拦拦截截歼灭歼灭邮件服务器.
75、工作站病毒防工作站病毒防工作站病毒防工作站病毒防护护护护带有病毒的数据包工作站防毒软件 发现病毒立即采取相应的措施 Internet Internet 区域区域InternetInternet边边界路由器界路由器内部工作子网内部工作子网管理子网一般子网内部WWW重点子网DMZDMZ区域区域WWW Mail DNS发现病毒均为客户端工作站带有病毒的数据包.服服服服务务务务器病毒防器病毒防器病毒防器病毒防护护护护带有病毒的数据包发现病毒立即采取相应的措施 Internet Internet 区域区域InternetInternet边边界路由器界路由器内部工作子网内部工作子网管理子网一般子网内部WW
76、W重点子网DMZDMZ区域区域WWW Mail DNS发现病毒带有病毒的数据包均 为 NT服务器服务器防病毒软件.内部工作子网内部工作子网管理子网一般子网内部WWW重点子网DMZDMZ区域区域控制台 WWW中心病毒控制台中心病毒控制台中心病毒控制台中心病毒控制台服务器防病毒软件工作站防毒软件 网关防病毒软件防 病 毒中 央 控制系统病毒信息控制信息等病毒信息控制信息等实实现现多多方方位位、多多层层次次,点点(单单台台工工作作站站)、线线(服服务务器器)、面面(网网关关)相相结结合合的的防病毒解决方案防病毒解决方案 Internet Internet 区域区域InternetInternet边边
77、界路由器界路由器.病毒更新站点病毒更新站点总总部主升部主升级级服服务务器器总总行客行客户户端端分部分部主升主升级级服服务务器器代理服代理服务务器器总总行服行服务务器器客客户户端端服服务务器器总行分部分部主升主升级级服服务务器器客客户户端端服服务务器器分分发发分分发发下下载载分分发发/登登录录分分发发分分发发/登登录录分分发发分分发发/登登录录分分发发分分发发.需要的安全技需要的安全技术产术产品品CA安全身份安全身份认证认证体系体系防火防火墙墙技技术术/VPN技技术术防病毒体系防病毒体系入侵入侵检测检测技技术术网网络络安全安全评评估系估系统统安全安全备备份和系份和系统统灾灾难难恢复恢复.什么是入
78、侵什么是入侵检测检测对对入侵行入侵行为为的的发觉发觉,通,通过对计过对计算机网算机网 络络或或计计算机系算机系统统中得若干关中得若干关键键点收集信息点收集信息并并对对其其进进行分析,从中行分析,从中发现发现网网络络或系或系统统中是否有中是否有违违 反安全策略的行反安全策略的行为为和被攻和被攻击击的迹象。的迹象。.入侵入侵检测检测的主要功能的主要功能监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。 .入侵入侵检测检测的分的分类类基于网络的入侵检测 基于网络的入侵检测系统使用原
79、始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。 基于主机的入侵检测 往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手 段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是 所在的系统。 .检测检测方式的介方式的介绍绍异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。 特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。 .网网络络入侵入侵检测产检测产
80、品的架构品的架构传感器(Sensor) 传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台(Console)。 控制台主要起到中央管理的作用,商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。.利用入侵利用入侵利用入侵利用入侵检测检测检测检测保保保保护护护护网网网网络应络应络应络应用用用用DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企企企业业业业网网网网络络络络生生生生产产产产部部部部工程部工程部工程部工程部市市场场部部人事部人事部
81、人事部人事部路由路由路由路由InternetInternet中中继继外部攻外部攻外部攻外部攻击击击击警告警告警告警告! !记录记录攻攻击击外部攻外部攻外部攻外部攻击击击击终终止止连连接接.利用入侵利用入侵利用入侵利用入侵检测检测检测检测保保保保护护护护网网网网络应络应络应络应用用用用DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企业业网网络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继内部攻内部攻内部攻内部攻击击击击行行行行为为为为警告警告警
82、告警告! !启启动动事件日志事件日志,发发送消息送消息.利用入侵利用入侵利用入侵利用入侵检测检测检测检测保保保保护护护护网网网网络应络应络应络应用用用用DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企企企业业业业网网网网络络络络生生生生产产产产部部部部工程部工程部市市场场部部人事部人事部人事部人事部路由路由InternetInternet中中继继外部攻外部攻外部攻外部攻击击击击商商务务伙伴伙伴警告警告警告警告! !记录进记录进攻攻,发发送消息送消息,终终止止连连接接外部攻外部攻外部攻外部攻击
83、击击击中止中止连连接接重新配置重新配置重新配置重新配置路由或防火路由或防火墙墙以便以便隐隐藏藏IP地址地址.为为什么需要入侵什么需要入侵监测监测系系统统防范透防范透过过防火防火墙墙的入侵的入侵利用利用应应用系用系统统漏洞漏洞实实施的入侵施的入侵利用防火利用防火墙墙配置失配置失误误防范来自内部网的入侵防范来自内部网的入侵内部网的攻内部网的攻击击占占总总的攻的攻击击事件的事件的80%没有没有监测监测的内部网是内部人的内部网是内部人员员的的“自由王自由王国国”对对网网络络行行为为的的审计审计,防范无法自,防范无法自动识别动识别的的恶恶意破坏意破坏.需要的安全技需要的安全技术产术产品品CA安全身份安全
84、身份认证认证体系体系防火防火墙墙技技术术/VPN技技术术防病毒体系防病毒体系入侵入侵检测检测技技术术网网络络安全安全评评估系估系统统安全安全备备份和系份和系统统灾灾难难恢复恢复.安全安全扫扫描的概念理解描的概念理解安全安全扫扫描就是描就是对计对计算机系算机系统统或者其它网或者其它网络络设备进设备进行安全相关的行安全相关的检测检测,以找出安全,以找出安全隐隐患和可被黑客利用的漏洞。患和可被黑客利用的漏洞。显显然,安全然,安全扫扫描描软软件是把双刃件是把双刃剑剑,黑客利用它入侵系,黑客利用它入侵系统统,而系而系统统管理管理员员掌握它以后又可以有效的防掌握它以后又可以有效的防范黑客入侵。因此,安全范
85、黑客入侵。因此,安全扫扫描是保描是保证证系系统统和网和网络络安全必不可少的手段,必安全必不可少的手段,必须须仔仔细细研研究利用。究利用。 .安全安全扫扫描的描的检测检测技技术术基于基于应应用的用的检测检测技技术术,它采用被,它采用被动动的,非破的,非破坏性的坏性的办办法法检查应检查应用用软软件包的件包的设设置,置,发现发现安安全漏洞。全漏洞。基于主机的基于主机的检测检测技技术术,它采用被,它采用被动动的,非破的,非破坏性的坏性的办办法法对对系系统进统进行行检测检测。 基于目基于目标标的漏洞的漏洞检测检测技技术术,它采用被,它采用被动动的,的,非破坏性的非破坏性的办办法法检查检查系系统统属性和文
86、件属性,属性和文件属性,如数据如数据库库,注册号等。,注册号等。基于网基于网络络的的检测检测技技术术,它采用,它采用积积极的,非破极的,非破坏性的坏性的办办法来法来检验检验系系统统是否有可能被攻是否有可能被攻击击崩崩溃溃。 .安全安全扫扫描在部署安全策略中描在部署安全策略中处处于重要地位于重要地位防火防火防火防火墙墙墙墙,反病毒,加,反病毒,加,反病毒,加,反病毒,加强强强强的用的用的用的用户认证户认证户认证户认证,访问访问访问访问控制和控制和控制和控制和认证认证认证认证,加密,加密,加密,加密,评评评评估,估,估,估,记录报记录报记录报记录报告和告和告和告和预预预预警,安全固化警,安全固化警
87、,安全固化警,安全固化的用的用的用的用户认证户认证户认证户认证,认证认证认证认证,物理安全。,物理安全。,物理安全。,物理安全。管理管理管理管理这这这这些些些些设备设备设备设备,是安全,是安全,是安全,是安全扫扫扫扫描系描系描系描系统统统统和入侵和入侵和入侵和入侵侦测软侦测软侦测软侦测软件件件件(入侵(入侵(入侵(入侵侦测软侦测软侦测软侦测软件往往包含在安全件往往包含在安全件往往包含在安全件往往包含在安全扫扫扫扫描系描系描系描系统统统统中)的中)的中)的中)的职责职责职责职责。通。通。通。通过监视过监视过监视过监视事件日志,系事件日志,系事件日志,系事件日志,系统统统统受到攻受到攻受到攻受到攻
88、击击击击后的行后的行后的行后的行为为为为和和和和这这这这些些些些设备设备设备设备的信号,作出反的信号,作出反的信号,作出反的信号,作出反应应应应。安全安全安全安全扫扫扫扫描系描系描系描系统统统统就把就把就把就把这这这这些些些些设备设备设备设备有机地有机地有机地有机地结结结结合在一起。合在一起。合在一起。合在一起。因此,而安全因此,而安全因此,而安全因此,而安全扫扫扫扫描是一个完整的安全解决方案中描是一个完整的安全解决方案中描是一个完整的安全解决方案中描是一个完整的安全解决方案中的一个关的一个关的一个关的一个关键键键键部分,在企部分,在企部分,在企部分,在企业业业业部署安全策略中部署安全策略中部
89、署安全策略中部署安全策略中处处处处于非于非于非于非常重要的地位。常重要的地位。常重要的地位。常重要的地位。.安全安全扫扫描系描系统统具有的功能具有的功能说说明明 协调协调了其它的安全了其它的安全设备设备使枯燥的系使枯燥的系统统安全信息易于理解,告安全信息易于理解,告诉诉了了你系你系统发统发生的事情生的事情跟踪用跟踪用户进户进入,在系入,在系统统中的行中的行为为和离开的和离开的信息信息可以可以报报告和告和识别识别文件的改文件的改动动纠纠正系正系统统的的错误设错误设置置.安全安全扫扫描系描系统统具有的功能具有的功能说说明明识别识别正在受到的攻正在受到的攻击击减减轻轻系系统统管理管理员员搜索最近黑客
90、行搜索最近黑客行为为的的负负担担使得安全管理可由普通用使得安全管理可由普通用户户来来负责负责为为制定安全制定安全规则规则提供依据提供依据 .利用网利用网利用网利用网络络络络安全安全安全安全评评评评估系估系估系估系统对统对统对统对网网网网络进络进络进络进行安全行安全行安全行安全评评评评估估估估DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继安全弱点安全弱点扫扫描描通通通通讯讯讯讯 & & 应应应应用服用服
91、用服用服务层务层务层务层.利用系利用系利用系利用系统统统统安全安全安全安全评评评评估估估估软软软软件件件件进进进进行可适行可适行可适行可适应应应应性安全弱点性安全弱点性安全弱点性安全弱点监测监测监测监测和响和响和响和响应应应应DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企企企业业业业网网网网络络络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继安全弱点安全弱点扫扫描描操作系操作系操作系操作系统层统层统层统层.网网络络安全安全评评估系估系统对统
92、对于于DMZ区域的区域的检测检测DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企企企企业业业业网网网网络络络络生生产产部部工程部工程部市市场场部部人事部人事部路由路由InternetInternet中中继继应应应应用程序用程序用程序用程序层层层层安全弱点安全弱点扫扫描描.正确正确认识认识安全安全扫扫描描软软件件不能弥不能弥补补由于由于认证认证机制薄弱机制薄弱带带来的来的问题问题不能弥不能弥补补由于由于协议协议本身的本身的问题问题不能不能处处理所有的数据包攻理所有的数据包攻击击,当网,当网络络繁忙
93、繁忙时时它也分析不了所有的数据流它也分析不了所有的数据流当受到攻当受到攻击击后要后要进进行行调查调查,离不开安全,离不开安全专专家的参与家的参与.选择选择安全安全扫扫描描产产品品应应注意的注意的问题问题 升升级问题级问题 可可扩扩充性充性 全面的解决方案全面的解决方案 人人员员培培训训.需要的安全技需要的安全技术产术产品品CA安全身份安全身份认证认证体系体系防火防火墙墙技技术术/VPN技技术术防病毒体系防病毒体系入侵入侵检测检测技技术术网网络络安全安全评评估系估系统统安全安全备备份和系份和系统统灾灾难难恢复恢复.网网络络系系统统安全安全备备份份应应用用 双机双机热备热备专业备专业备份份软软件件
94、 Web服服务务器器页页面保面保护护 灾灾难难恢复恢复.双机双机热备热备公共网络主服务器磁盘阵列心跳线备份服务器请求服务响应服务你工作正常吗?我有问题,请立即接管我的服务请求服务主服务器有问题,暂时由备份服务器为你服务响应服务.备备备备份示意份示意份示意份示意图图图图主备份服务器不管是什么不管是什么样样的平台,的平台,专业备专业备份份软软件能使用件能使用统统一的数据格式一的数据格式进进行行备备份份邮邮件代理件代理数据数据库库代理代理 for SQL for SQLUNIX UNIX 代理代理MacintoshMacintosh代理代理Unicenter TNG Framework数据库 NT代
95、理管理、察看、监测远在千里之外的备份任务 Win31/95/98Win31/95/98代理代理NetwareNetware代理代理磁带机或磁带库2磁带机或磁带库1下达备份指令执行指令备份数据流备份数据流写入磁带2Win31/95/98Win31/95/98代理代理远远程程备备份份下达备份指令执行指令备份数据流写入磁带1. Internet Internet 区域区域InternetInternet边边界路由器界路由器WebWeb服服服服务务务务器的器的器的器的页页页页面保面保面保面保护护护护DMZ区域WWW Mail Webguard检 测到页面被修改受攻击前的页面:欢迎你访问某某公司信息服务器,黑客发起攻击遭遇攻击Webguard页面保护软件Webguard立即将页面恢复到被篡改前的状态内部工作子网内部工作子网内部WWW一般子网管理子网重点子网受攻击后的页面:我是黑客,你的网站已被黑掉,哈!受攻击前的页面:欢迎你访问某某公司信息服务器,.灾灾灾灾难难难难恢复示意恢复示意恢复示意恢复示意图图图图磁带机或磁带库2在系统正常时用Disaster Recovery Option for ARCserveIT 制作灾难恢复引导盘在系统崩溃时请按照如下步骤操作首先插入灾难恢复引导盘引导机器按照提示插入系统光盘按照提示插入上一次完全备份的磁带一切OK.课课程程结结束束谢谢谢谢大家大家!.
