网络安全技术课件

《网络安全技术课件》由会员分享，可在线阅读，更多相关《网络安全技术课件（116页珍藏版）》请在金锄头文库上搜索。

1、网络安全技术网络安全技术1网络安全技术主要内容主要内容1网络安全威胁2访问控制技术3防火墙技术4信息安全检测：IDS5隐患扫描技术6VPN技术7病毒防范技术2网络安全技术安全层次安全层次安全的密码算法安全协议网络安全系统安全应用安全3网络安全技术1.网络安全威胁网络安全威胁 网络通信安全模型网络通信安全模型 4网络安全技术威胁类型威胁类型 网络安全包括数据安全和系统安全网络安全包括数据安全和系统安全 数据安全受到四个方面的威胁数据安全受到四个方面的威胁 设信息是从源地址流向目的地址，那么正常的信息流向设信息是从源地址流向目的地址，那么正常的信息流向是：是： 信息源信息目的地5网络安全技术网络安

2、全的四种威胁网络安全的四种威胁中断威胁中断威胁:使在用信息系使在用信息系统统毁毁坏或不能使用的攻坏或不能使用的攻击击， 破坏可用性破坏可用性。如硬如硬盘盘等一般硬件的等一般硬件的毁毁坏，坏， 通信通信线线路的切断，文件管理系路的切断，文件管理系统统的的瘫痪瘫痪等。等。 信息源信息目的地伪造威胁伪造威胁:一个非授一个非授权权方将方将伪伪造的客体插入系造的客体插入系统统中的攻中的攻击击 破坏真破坏真实实性性。包括网。包括网络络中插入假信件，或者在中插入假信件，或者在 文件中追加文件中追加记录记录等。等。 信息源信息目的地6网络安全技术网络安全的四种威胁网络安全的四种威胁修改威胁修改威胁:一个非授权

3、方不仅介入系统而且在系统中一个非授权方不仅介入系统而且在系统中瞎捣瞎捣 乱乱的攻击，的攻击，破坏完整性破坏完整性。包括改变数据文件，包括改变数据文件， 改变程序使之不能正确执行，修改信件内容等改变程序使之不能正确执行，修改信件内容等。 侦听威胁侦听威胁:一个非授权方介入系统的攻击，一个非授权方介入系统的攻击，破坏保密性破坏保密性。 非授权方可以是一个人，一个程序，一台微机。非授权方可以是一个人，一个程序，一台微机。 包括包括搭线窃听，文件或程序的不正当拷贝搭线窃听，文件或程序的不正当拷贝等。等。 信息源信息目的地信息源信息目的地7网络安全技术四种主要的攻击四种主要的攻击冒充攻击冒充攻击：一个实

4、体假装成另外一个实体。一个实体假装成另外一个实体。 在鉴别过程中，获取有效鉴别序列，在以后冒名重播的在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得部分特权。方式获得部分特权。重放攻击重放攻击：获获取有效数据段以重播的方式取有效数据段以重播的方式获获取取对对方信任方信任。 在在远远程登程登录时录时如果一个人的口令不改如果一个人的口令不改变变，则则容易被第三容易被第三者者获获取，并用于冒名重放。取，并用于冒名重放。修改攻击修改攻击：信件被改信件被改变变，延，延时时，重排，以至，重排，以至产产生非授生非授权权效效果。果。 如信件如信件“允允许张许张三三读读机密机密帐帐簿簿”可被修改成可被修

5、改成“允允许许李四李四读读机机密密帐帐簿簿”8网络安全技术四种主要的攻击四种主要的攻击拒绝服务攻击拒绝服务攻击：破坏设备的正常运行和管理。破坏设备的正常运行和管理。这种攻击往往有针对性或特定目标。这种攻击往往有针对性或特定目标。一个实体抑制发往特定地址一个实体抑制发往特定地址( (如发往审计服务器如发往审计服务器) )的的所有信件。所有信件。或将整个网络扰乱，或将整个网络扰乱，扰乱的方法是扰乱的方法是发送大量垃圾信发送大量垃圾信件使网络过载，以降低系统性能。件使网络过载，以降低系统性能。9网络安全技术2.访问控制技术访问控制技术l网络安全门户网络安全门户是是访问控制访问控制与与防火墙技术防火墙

6、技术。访问控制技术。访问控制技术过去主要用于单机状态，随着网络发展，该项技术得到过去主要用于单机状态，随着网络发展，该项技术得到长足的进步。长足的进步。l访问控制访问控制是网络安全防范和保护的主要策略，它的主要是网络安全防范和保护的主要策略，它的主要任务是任务是保证网络资源不被非法使用和访问保证网络资源不被非法使用和访问。它是保证网。它是保证网络安全最重要的核心策略之一。络安全最重要的核心策略之一。l访问控制涉及的技术比较广，包括访问控制涉及的技术比较广，包括入网访问控制入网访问控制、网络网络权限控制权限控制、目录级控制目录级控制以及以及属性控制属性控制等多种手段。等多种手段。10网络安全技术

7、1).入网访问控制入网访问控制为网络访问提供了第一层访问控制为网络访问提供了第一层访问控制。它控制哪些用户哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证用户名的识别与验证;用户口令的识别与验证用户口令的识别与验证;为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密用户口令必须经过加密。用户还可采用一次性用户口令，也可用便携式验证器（如智

8、能卡）来验证用户的身份。用户账号的缺省限制检查用户账号的缺省限制检查。11网络安全技术网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号用户账号应只有系统管理员才能建立。用户口令用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的限制：最小口令长度、强制修改口令的时间间隔、口令的唯最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后，再进一步履行用户账号的用户账号的缺省限制检查缺省限制检查。网络应能控制用户登录入网的站点、限制

9、用用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计审计。如果多次输入口令则认为是不正确，非法用户的入侵，应给出报警信息。12网络安全技术2).网络权限控制网络权限控制 针对网络非法操作所提出的一种安全保护措施针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些控制用户和用户组可以访问哪些目录、子目录、文件和其他资源目录、子目录、文件和其他资源。可以指定用

10、户对这些文件、可以指定用户对这些文件、目录、设备能够执行哪些操作目录、设备能够执行哪些操作。两种实现：受托者指派受托者指派;控制用户和用户组如何使用网络服务器的目录、文件和设备继承权限屏蔽（继承权限屏蔽（irm）.相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。13网络安全技术用户分类用户分类可以根据访问权限将用户分为：特殊用户特殊用户(系统管理员)；一般用户一般用户：系统管理员根据他们的实际需要为他们分配操作权限；审计用户审计用户：负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表访问控制表来描述。14网络安全技术3).目录级安全控制目录级安全控制网络

11、应允许控制用户对目录、文件、设备的访问控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限、读权限、写权限、创建权限、删除权系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限限、修改权限、文件查找权限、访问控制权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。15网络安全技术

12、4).属性安全控制属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文网络系统管理员应给文件、目录等指定访问属性件、目录等指定访问属性。属性安全在权限安全的基础上提属性安全在权限安全的基础上提供更进一步的安全性供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性查看目录和文件、执

13、行文件、隐含文件、共享、系统属性等。16网络安全技术5 ).服务器安全控制服务器安全控制网络允许在服务器控制台上执行一系列操作在服务器控制台上执行一系列操作。用户使用控制台可以装载/卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括：设置口令设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制；设定服务器登录时间限制；非法访问者检测；非法访问者检测；关闭的时间间隔关闭的时间间隔。17网络安全技术3.防火墙技术防火墙技术防火墙技术防火墙技术是网络安全的关键技术之一，只要网络世界存是网络安全的关键技术之一，只要网络世界存在利益之争，就必须要自立门户

14、在利益之争，就必须要自立门户-有自己的网络防火墙有自己的网络防火墙防火墙技术是建立在现代通信网络技术和信息安全技术基防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以网络的互联环境之中，尤以InternetInternet网络为最甚（网络为最甚（InternetInternet发展速度惊人，每天都有成千上万的主机连入发展速度惊人，每天都有成千上万的主机连入InternetInternet，它它的内在不安全性已受到越来越多的关注）。的内在不安全性已受到越来越多的关注）。

15、防火防火墙墙是一种是一种将内部网将内部网和和公众网分开的方法公众网分开的方法。它能限制被。它能限制被保保护护的网的网络络与与其他网与与其他网络络之之间进间进行的信息存取、行的信息存取、传递传递操作。操作。18网络安全技术IntranetInternet客户机电子邮件服务器Web服务器数据库服务器(1)(1)防火墙示意图在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。19网络安全技术防火墙防火墙(Firewall)l防火墙的基本设计目标对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙通过一些安

16、全策略，来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在安全操作系统的基础上l防火墙的控制能力服务控制服务控制，确定哪些服务可以被访问方向控制方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制用户控制，根据用户来控制对服务的访问行为控制行为控制，控制一个特定的服务的行为20网络安全技术防火墙能为我们做什么防火墙能为我们做什么l定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的服务带来危害实施保护，以避免各种IP欺骗和路由攻击l防火墙提供了一个监视各种安全事件的位置，因此可以在防火墙上实现审计和报警l对于有些Internet功能，防火墙也可以是一个理想的平台，比

17、地址转换、Internet日志、审计，甚至计费功能l防火墙可以作为IPSec(Internet协议安全性)的实现平台21网络安全技术提提供供安安全全决决策策的的集集中中控控制制点点，使使所所有有进进出出网网络络的的信信息息都都通过这个检查点，形成信息进出网络的一道关口；通过这个检查点，形成信息进出网络的一道关口；针针对对不不同同用用户户的的不不同同需需求求，强强制制实实施施安安全全策策略略，起起到到“交通警察交通警察”的作用；的作用；对对用用户户的的操操作作和和信信息息进进行行记记录录和和审审计计，分分析析网网络络侵侵袭袭和和攻击；攻击；防止机密信息的扩散防止机密信息的扩散( (功能有限如防内

18、部拨号功能有限如防内部拨号) )限制内部用户访问特殊站点限制内部用户访问特殊站点屏蔽内部网的结构屏蔽内部网的结构(2)(2)防火防火墙墙的功能的功能22网络安全技术(3)(3)防火防火墙墙的的类型类型OSI模型防火墙应用层网关级网关级表示层会话层传输层电路级网络层路由器级路由器级数据链路层网桥级物理层中继器级包过滤防火墙包过滤防火墙应用代理防火墙应用代理防火墙电路级网关按网络体系结构分类按应用技术分类23网络安全技术包包过过滤滤技技术术( (Packet Packet Filter)Filter)：通通过过在在网网络络连连接接设设备备上上加加载载允允许许、禁禁止止来来自自某某些些特特定定的的源

19、源地地址址、目目的的地地址址、TCPTCP端端口口号号等等规规则则，对对通通过过设设备备的的数数据据包包进进行行检检查查，限限制制数数据据包包进进出出内内部部网网络络. .数数据据包包过过滤滤可可以以在在网网络络层层截截获获数数据据,使使用用一一些些规规则则来来确确定定是是否否转转发发或或丢丢弃弃所截获的各个数据包。所截获的各个数据包。F 优点优点：对用户透明；对网络的规模没有限制。对用户透明；对网络的规模没有限制。 缺点：只能进行初步的安全控制；没有用户的访缺点：只能进行初步的安全控制；没有用户的访 问记录；设置过滤规则困难问记录；设置过滤规则困难 (4)(4)防火防火墙墙的的实现实现技技术

20、术包包过滤过滤技技术术24网络安全技术包过滤路由器包过滤路由器基本思想很简单对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。l如果匹配到一条规则，则根据此规则决定转发或者丢弃l如果所有规则都不匹配，则根据缺省策略25网络安全技术安全缺省策略安全缺省策略l两种基本策略，或缺省策略没有被拒绝的流量都可以通过l管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝l比较保守l根据需要，逐

21、渐开放26网络安全技术包过滤路由器示意图包过滤路由器示意图网络层链路层物理层外部网络内部网络27网络安全技术包过滤防火墙的特点包过滤防火墙的特点l在网络层上进行监测并没有考虑连接状态信息l通常在路由器上实现实际上是一种网络的访问控制机制l优点：实现简单对用户透明效率高l缺点：正确制定规则并不容易不可能引入认证机制28网络安全技术针对包过滤防火墙的攻击针对包过滤防火墙的攻击lIP地址欺骗，如假冒内部的IP地址对策：在外部接口上禁止内部地址l源路由攻击，即由源指定路由对策：禁止这样的选项l小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中对策：丢弃分片太小的分片l利用复杂协议和管理员的配置

22、失误进入防火墙如利用ftp协议对内部进行探查29网络安全技术(4)(4)防火防火墙墙的的实现实现技技术术电路级网关电路级网关l工作在传输层。l它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。l一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。l也称为通用代理通用代理（统一的代理应用程序），各协议可透明地通过通用代理防火墙。l电路级网关实现的典型例子是SOCKS(防火墙安全会话转换协议软件包)。30网络安全技术SOCKS系统系统 31网络安全技术电路层网关电路层网关32网络安全技术电路层网关的优缺点电路层网关的优缺点l优点效率高精细控制，可以在应用层

23、上授权为一般的应用提供了一个框架l缺点客户程序需要修改l动态链接库33网络安全技术F应应用用代代理理是是运运行行于于防防火火墙墙主主机机上上的的一一种种应应用用程程序序，它取代用它取代用户户和外部网和外部网络络的直接通信。的直接通信。优优点点：详详细细记记录录所所有有的的访访问问情情况况；完完全全阻阻断断了了内内部部网网络络与与外外部部网网络络的的直直接接联联系系；可可节节约约时时间间和网和网络资络资源源 缺缺点点：会会使使访访问问速速度度变变慢慢；需需要要为为每每种种服服务务专专门门开开发发代理服代理服务软务软件件(4)(4)防火防火墙墙的的实现实现技技术术应应用用代理服务技术代理服务技术3

24、4网络安全技术应用层网关应用层网关l也称为代理服务器l特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大35网络安全技术应用层网关的结构示意图应用层网关的结构示意图36网络安全技术应用层网关的协议栈结构应用层网关的协议栈结构HTTPFTP Telnet Smtp传输层网络层链路层37网络安全技术应用层网关的优缺点应用层网关的优缺点l优点允许用户“直接”访问Internet易于记录日志l缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有

25、些服务要求建立直接连接，无法使用代理如聊天服务、或者即时消息服务代理服务不能避免协议本身的缺陷或者限制38网络安全技术应用层网关实现应用层网关实现l编写代理软件代理软件一方面是服务器软件但是它所提供的服务可以是简单的转发功能另一方面也是客户软件对于外面真正的服务器来说，是客户软件针对每一个服务都需要编写模块或者单独的程序实现一个标准的框架，以容纳各种不同类型的服务软件实现的可扩展性和可重用性l客户软件软件需要定制或者改写对于最终用户的透明性l协议对于应用层网关的处理协议设计时考虑到中间代理的存在，特别是在考虑安全性（如数据完整性）的时候39网络安全技术三种防火墙技术的安全功能比较三种防火墙技术

26、的安全功能比较 源地址目的地址用户身份数据内容包过滤YYNN电路级网关YYYN应用代理YYYY40网络安全技术防火墙不能防范网络内部的攻击防火墙不能防范网络内部的攻击。如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。主要是基于基于IP控制控制而不是用户身份。防火墙不能防止传送己感染病毒的软件或文件防火墙不能防止传送己感染病毒的软件或文件。不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。难于管理和配置难于管理和配置。易造成安全漏洞(5)(5)防火防火墙墙的的局限性局限性存在一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击（如果允许从受保护的网络内部向外拨号，一些用

27、户就可能形成与Internet的直接连接）。41网络安全技术(6)防火墙的配置防火墙的配置l几个概念双宿主主机双宿主主机(dual-homed host)：至少有两个网络接口的通用计算机系统堡垒主机堡垒主机(Bastion Host)：对外部网络暴露，同时也是内部网络用户的主要连接点非军事区非军事区DMZ(Demilitarized Zone)或者停火区：或者停火区：在内部网络和外部网络之间增加的一个子网42网络安全技术防火墙的典型配置方案防火墙的典型配置方案l双宿主主机方案l屏蔽主机方案单宿主堡垒主机双宿主堡垒主机l屏蔽子网方案43网络安全技术配置方案一：双宿主主机方案配置方案一：双宿主主机

28、方案l核心是具有双宿主功能的主机充当路由器。至少有两个网络接口。l所有的流量都通过主机l优点：简单44网络安全技术 双宿主主机结构防火墙双宿主主机结构防火墙 l不允许两网之间的直接发送功能。仅仅能通过代理，或让用户直接登录到双宿主主机来提供服务。l提供高级别的安全控制。l问题：用户账号本身会带来明显的安全问题，会允许某种不安全的服务；通过登录来使用因特网太麻烦。45网络安全技术配置方案二：配置方案二：单宿主堡垒主机单宿主堡垒主机l屏蔽主机方案l只允许堡垒主机与外界直接通讯l优点：两层保护：包过滤+应用层网关；灵活配置l缺点：一旦包过滤路由器被攻破，则内部网络被暴露46网络安全技术配置方案三：配

29、置方案三：双宿主堡垒主机双宿主堡垒主机l屏蔽主机方案l从物理上把内部网络和Internet隔开，必须通过两层屏障l优点：两层保护：包过滤+应用层网关；配置灵活47网络安全技术屏蔽主机防火墙屏蔽主机防火墙 l主要的安全机制由屏蔽路由器来提供。l堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。堡垒主机需要保持更高的安全等级。l问题如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。48网络安全技术配置方案四：配置方案四：屏蔽子网防火墙屏蔽子网防火墙l优点：三层防护，用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的ro

30、uter只向内部私有网暴露屏蔽子网中的主机49网络安全技术屏蔽子网防火墙屏蔽子网防火墙 l添加额外的安全层：周边网，将内部网与因特网进一步隔开。l周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。l屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。l两个屏蔽路由器的规则设置的侧重点不同。外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。50网络安全技术4.信息安全检测：信息安全检测：IDS入侵入侵Intrusion:企图进入

31、或滥用计算机系统的行为。入侵检测入侵检测Intrusion Detection：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统入侵检测系统IDS（Intrusion DetectionSystem）进行入侵检测的软件与硬件的组合。51网络安全技术为什么需要入侵检测系统l防火墙和操作系统加固技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全性。lIDS能使系统对入侵事件和过程做出实时响应。l入侵检测是系统动态安全的核心技术之一。l入侵检测是防火墙的合理补充。 IDS帮助系统对付网络攻

32、击，扩展了系统管理帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构员的安全管理能力，提高了信息安全基础结构的完整性。的完整性。52网络安全技术入侵监测系统的设计要求入侵监测系统的设计要求l健壮性l可配置性l可扩展性l可升级性l自适应性l全局分析l有效性53网络安全技术(1)(1)IDSIDS的的种类种类根据收集的待分析信息来源，IDS可以分为三大类：（1）基于网络的基于网络的IDSIDS； 将IDS放置于网络之上，靠近被检测的系统，用以监测网络流量并判断是否正常。（2）基于主机的基于主机的IDSIDS； 将IDS运行在被监测的系统之上，用以监测系统上正在运行的进程是

33、否合法。（3）基于应用的基于应用的IDSIDS。 这种IDS监控一个应用内发生的事件，通常通过 分析应用的日志文件检测攻击。54网络安全技术(2)(2)IDSIDS的的模型模型Dennying于1987年提出一个通用的IDS模型：主体活动规则集处理引擎异常记录活动概要定时器审计记录规则设计与修改创建提取规则学习新的活动概要历史概要更新IDS模型包括2个功能部件：1提供事件记录流的信息源2发现入侵迹象的分析引擎55网络安全技术(3)(3)常用的入侵检测技术常用的入侵检测技术统计分析技术；活动与具有“正常活动”的特征原型比较。预测模式生成技术；根据已发生事件预测未来事件。基于神经网络的检测技术；神

34、经网络用已出现的用户特征去预测和匹配实际的用户行为和操作。状态转移分析技术；根据当前系统状态、网络状态和链路状态的变化情况区分入侵行为。模式匹配技术；数据挖掘技术；针对分布式入侵的检测技术。56网络安全技术信息收集信息收集:入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息数据分析数据分析:是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能,有异常入侵检测与误用入侵检测两类。响应响应: 1、将分析结果记录在日志文件中，并产生相应的报告。 2、触发警报：如

35、在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。 3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。(4)(4)入侵检测的步骤入侵检测的步骤57网络安全技术信息收集技术信息收集技术l基于网络的实时入侵检测系统：原始数据来源丰富，实时性、适应性、可扩展性方面具有其独特的优势；容易受到基于网络的拒绝服务等恶意攻击，在高层信息的获取上更为困难。l基于主机的实时入侵检测系统：能获取高层信息，理解动作的含义；环境适应性、可移植性方面问题较多。l通过分析应用的日志文件检测攻击通过分析应用的日志文件检测攻击。58网络安全技术信息分析技术信息分析

36、技术l基于误用基于误用 (Anomaly-based) 的分析方法的分析方法试图在网络或主机的数据流中发现已知的攻击模式（pattern）；可以直接识别攻击过程，误报率低；只能检测已知的攻击，对新的攻击模式无能为力，需要不断地更新模式库（PatternDatabase）；状态分析、模式匹配、一致性分析。l基于异常基于异常 (Misuse-based) 的分析方法的分析方法首先统计和规范网络和用户的正常行为模式(ActivityProfile)，当网络和用户的行为模式偏离了其正常行为模式时，就认为是异常；行为异常通常意味着某种攻击行为的发生；能够检测出新出现的攻击模式；对正常行为模式的描述比较困

37、难、误报率高；统计分析。59网络安全技术l模式匹配是当前应用中最基本、最有效的检测方法；以攻击行为数据流中的特征字符串作为检测的关键字，其攻击行为模式数据库中记录各种攻击行为的特征串；检查数据流中是否有与模式数据库中特征串相匹配的内容，的每种攻击行为产生中，一般都有特定的；不需保存状态信息，速度快，但只能检测过程较简单的攻击。l状态分析将攻击行为的过程以状态转移图的形式记录在模式数据库中，状态转移的条件是网络或系统中的一些特征事件；检测软件记录所有可能攻击行为的状态，并从数据流中提取特征事件进行状态转移，当转移到达某个特定状态时，就被认为是检测到了一次攻击行为；用于检测过程较复杂的攻击过程（如

38、分布式攻击）。主要信息分析技术主要信息分析技术(1)60网络安全技术l统计分析基于异常的检测方式；通过统计方式总结系统的正常行为模式；利用若干统计变量来刻画当前系统的状态，通过统计变量与正常行为模式的偏差来检测可能的入侵行为。l应用数据挖掘技术使用一定的数据挖掘算法进行挖掘，推导出系统的正常行为模式和入侵的行为模式；需要提出一种真正自适应的、无须预标识的数据挖掘的方式。主要信息分析技术主要信息分析技术(2)61网络安全技术l预测模式生成技术试图基于已经发生的事件来预测未来事件，如果一个与预测统计概率偏差较大的事件发生，则被标志为攻击。比如规则：E1E2(E3=80%，E4=15%，E5=5%)

39、，即假定事件E1和E2已经发生，E3随后发生的概率是80%，E4随后发生的概率是15%，E5随后发生的概率是5%，若E1、E2发生了，接着E3发生，则为正常的概率很大，若E5发生，则为异常的概率很大，若E3、E4、E5都没有发生，而是发生了模式中没有描述到的E5，则可以认为发生了攻击。预测模式生成技术的问题在于未被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较容易发现在系统学习期间试图训练系统的用户。主要信息分析技术主要信息分析技术(3)62网络安全技术l分布式入侵检测针对分布式攻击的入侵检测技术。入侵检测系统采用分布式计算技术。主要难点：l各部件间的协作；l安全攻击的相关性分析。主要信

40、息分析技术主要信息分析技术(4)63网络安全技术一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报误报是指被入侵检测系统测报警的是正常及合法网络和计算机的访问漏报漏报:对入侵行为没有报警特征库的更新特征库的更新速度速度:基于网络的的IDS难网络以跟上网络速度的发展(5)(5)入侵检测系统面临的挑战入侵检测系统面临的挑战64网络安全技术(6)(6)入侵检测的发展趋势入侵检测的发展趋势 随着对网络系统的攻击越来越普遍，攻击手法日趋复杂。IDS也随着网络技术和相关学科的发展而日趋成熟，其未来发展的趋势主要表现在以下方面：宽带高速实时的检测技术宽带高速实时的检测技术 ；大规模分布式的

41、检测技术大规模分布式的检测技术；数据挖掘技术数据挖掘技术；更先进的检测算法更先进的检测算法；如计算机免疫技术、神经网络技术、遗传算法等。入侵响应技术入侵响应技术。 从系统保护（事件警告）、动态策略到攻击对抗。 总之IDS只有在基础理论研究和工程项目开发多个层面上同时发展，才能全面提高整体检测效率。65网络安全技术5、隐患扫描技术、隐患扫描技术网络安全一直无法落实的主要原因是不知道漏洞的存在，甚至不去实时修补漏洞。漏洞扫描：漏洞扫描：对网络安全性进行风险评估的一项重要技术，也是网络安全防御中关键技术。l其原理是：采用模拟黑客攻击的形式对目标可能存在的已采用模拟黑客攻击的形式对目标可能存在的已知安

42、全漏洞和弱点进行逐项扫描和检查，向系统管理员提知安全漏洞和弱点进行逐项扫描和检查，向系统管理员提供周密可靠的安全性分析报告供周密可靠的安全性分析报告。l目标可以是工作站、服务器、交换机、数据库应用等各种对象。l安全防护最弱的部分容易被入侵者利用，给网络带来灾难。找到弱点并加以保护是保护网络安全的重要使命之一。这需要有高效的漏洞扫描工具，来自动发现网络系统的弱点，以便管理员能够迅速有效地采取相应的措施。66网络安全技术(1)(1)漏洞扫描的基本实现方法漏洞扫描的基本实现方法现有的漏洞扫描技术采用的基本实现方法：基于单机系统的安全评估系统基于单机系统的安全评估系统；早期采用的一种安全评估软件，安全

43、检测人员针对每台机器运行评估软件进行独立的检测。基于客户的安全评估系统基于客户的安全评估系统；安全检测人员在一台客户机上执行评估软件，对网络中的所有资源进行检测。采用网络探测方式的安全评估系统采用网络探测方式的安全评估系统；模拟入侵者所采用的行为，从系统的外围进行扫描试图发现网络的漏洞采用管理者采用管理者/代理方式的安全评估系统代理方式的安全评估系统。安全管理员通过一台管理器来控制和管理大型系统中的安全隐患扫描67网络安全技术(2)(2)漏洞扫描系统的内容漏洞扫描系统的内容一个功能完善、可不断扩展的漏洞扫描系统包括：安全漏洞数据库安全漏洞数据库；通过对安全性漏洞和扫描手段的分析，形成一个安全漏

44、洞数据库。安全漏洞扫描引擎安全漏洞扫描引擎；利用漏洞数据库实现安全漏洞扫描的扫描器。结果分析和报表生成结果分析和报表生成；安全扫描工具管理器安全扫描工具管理器。扫描工具管理器提供良好的用户界面，实现扫描管理和配置。68网络安全技术l安全漏洞数据库安全漏洞数据库安全性漏洞原理描述、及危害程度、所在的系统和环境等信息；采用的入侵方式、入侵的攻击过程、漏洞的检测方式；发现漏洞后建议采用的防范措施。l安全漏洞扫描引擎安全漏洞扫描引擎与安全漏洞数据库相对独立，可对数据库中记录的各种漏洞进行扫描；支持多种OS，以代理性试运行于系统中不同探测点，受到管理器的控制；实现多个扫描过程的调度，保证迅速准确地完成扫

45、描检测，减少资源占用；有准确、清晰的扫描结果输出，便于分析和后续处理。隐患扫描系统的组成（隐患扫描系统的组成（1） 69网络安全技术l结果分析和报表生成结果分析和报表生成目标网络中存在的安全性弱点的总结；对目的网络系统的安全性进行详细描述，为用户确保网络安全提供依据；向用户提供修补这些弱点的建议和可选择的措施；能就用户系统安全策略的制定提供建议，以最大限度地帮助用户实现信息系统的安全。l安全扫描工具管理器安全扫描工具管理器提供良好的用户界面，实现扫描管理和配置。隐患扫描系统的组成（隐患扫描系统的组成（2）70网络安全技术6.VPN技术技术虚虚拟拟专专用用网网VPNVPN( (Virtual V

46、irtual Private Private Network)Network)是是利利用用现现有有的的不不安安全全的的公公共共网网络络环环境境，构构建建的的具具有有安安全全性性、独独占性、自成一体的虚占性、自成一体的虚拟拟网网络络。VPNVPN是是指指利利用用公公共共网网络络的的一一部部分分来来发发送送专专用用信信息息，形形成成逻逻辑辑上上的的专专用用网网络络。它它实实际际上上是是一一个个在在互互联联网网等等公公用用网网络络上上的的一一些些节节点点的的集集合合。这这些些节节点点之之间间采采用用了了专专用用加加密密和和认认证证技技术术来来相相互互通通信信，好好像像用用专专线线连连接接起起来来一一

47、样样。虚虚拟专拟专用网可以在两个异地子网之用网可以在两个异地子网之间间建立安全的通道。建立安全的通道。 71网络安全技术(1)(1)VPNVPN的基本概念的基本概念采采用用加加密密和和认认证证技技术术，利利用用公公共共通通信信网网络络设设施施的的一一部部分分来来发发送送专专用用信信息息，为为相相互互通通信信的的节节点点建建立立一一个个相相对对封闭、逻辑的专用网络；封闭、逻辑的专用网络；通通常常用用于于大大型型组组织织跨跨地地域域的的各各个个机机构构之之间间的的联联网网信信息息交换，或流动工作人员与总部之间的通信；交换，或流动工作人员与总部之间的通信；只只允允许许特特定定利利益益集集团团内内建建

48、立立对对等等连连接接，保保证证在在网网络络中中传输的数据的保密性和安全性传输的数据的保密性和安全性。其其中中“虚虚拟拟”指指网网络络不不是是物物理理上上独独立立存存在在的的，而而是是利利用用服服务务商商（如如ISPISP）提提供供的的公公共共网网络络来来实实现现远远程程的的广广域域连连接接；“专专用用”指指用用户户可可以以为为自自己己定定制制一一个个符符合合自自己己需需求求的的网网络络，使使网网内内业业务务独独立立于于网网外外的的业业务务流流，且且具具有有独独立立的的寻寻址址空空间间和和路路由由空空间间，使使用用户户获获得得等等同于专用网络的通信体验。同于专用网络的通信体验。72网络安全技术(

49、2)(2)VPNVPN的好处的好处VPN提供了安全、可靠的Internet访问通道，为企业进一步发展提供了可靠的技术保障。实现了网络安全实现了网络安全：以多种方式增强了网络的智能与安全性；简化网络设计和管理简化网络设计和管理：替代租用线路来实现分支机构的连接；降低成本降低成本：只需付短途电话费，却收到长途通信的效果；局域网互联费降低20%40%，远程接入费减少60%80%；容易扩展，适应性强容易扩展，适应性强；可随意与合作伙伴联网可随意与合作伙伴联网；完全控制主动权完全控制主动权：自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作；支持新兴应用支持新兴应用。73网络安全技术(

50、3)(3)VPNVPN的工作流程的工作流程l内部网主机发送明文信息到连接公共网络的VPN设备。lVPN设备根据网络管理员设置的规则，确定是否需要对数据进行加密或让数据直接通过。l对需要加密的数据，VPN设备在网络IP层对整个IP数据包进行加密和附上数字签名。lVPN设备重新封装加密后数据（加上新的数据报头，包括目的地VPN设备所需的安全信息和一些初始化参数），然后将其通过虚拟通道在公共网络上传输。l当数据包到达目标VPN设备时，数据包被解除封装，数字签名被核对无误后数据包被解密还原。74网络安全技术访问控制报文加密报文鉴别IP封装源VPN设备访问控制报文加密报文鉴别IP封装目的VPN设备发送者

51、接收者明文明文LAN1LAN2公共网络IP隧道75网络安全技术( (4 4) )VPNVPN的主要技术的主要技术l隧道技术（Tunneling）l加解密技术（Encryption&Decryption）l密钥管理技术（KeyManagement）l使用者与设备身份鉴别技术（Authentication）76网络安全技术建立点对点的连接，数据包在公网上的隧道内传输。隧道技术隧道技术 l利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。l涉及了三种网络协议：网络隧道协议；隧道协议下面的承载协议；隧道协议所承载的被承载协议。l有两种类型的隧道协议：二层隧道协议：如L2F、P

52、PTP、L2TP等；三层隧道协议：如GRE协议、IPsec协议等。77网络安全技术隧道的基本组成隧道的基本组成 一个隧道的基本组成：（1）一个路由网络（Internet）；（2）一个隧道终结器；（3）一个隧道启动器。78网络安全技术通用路由封装通用路由封装GRE协议协议 lGRE隧道建立于源路由器和目的路由器之间。l封装形式（IP环境）。lGRE只提供了数据包的封装，它并没有加密功能,在实际环境中它常和IPsec在一起使用。l隧道必须手工配置，每次隧道终点改变，都需要重新配置。79网络安全技术点到点隧道协议（PPTP） l是由Microsoft和Ascend在PPP协议的基础上开发的。l隧道的

53、加密认证协议使用专用验证协议PAP或通用交接验证协议CHAP（RFC1994）。80网络安全技术通过拨号连接的通过拨号连接的PPTP协议栈协议栈 81网络安全技术PPTP协议的优越性 l通过PPTP，远程用户可经由因特网访问企业的网络和应用，而不再需要直接拨号至企业的网络。lPPTP在IP网络中支持非IP协议，PPTP隧道将IP、IPX、AppleTalk等协议封装在IP包中，使用户能够运行基于特定网络协议的应用程序。l其隧道机制采用现有的安全检测和鉴别策略，还允许管理员和用户对现有数据进行加密，使数据更安全。l提供了灵活的地址管理。82网络安全技术PPTP与与IPSec的比较的比较l在安全性

54、方面PPTP工作在第二层，可以发送IP之外的数据包，如IPX或NetBEUI数据包；IPSec在第三层运行，只能提供IP包的隧道传输；从加密强度和数据集成方面来说，一般认为IPSec优于PPTP；PPTP无鉴别功能。l安装和维护方面从简单性的角度看，PPTP在安装部署和维护上要容易些。83网络安全技术第二层隧道协议（L2TP）l综合了PPTP和L2F两者的特点：隧道控制沿用了PPTP的协议；认证过程沿袭了L2F协议；模块化采用了独立的L2TP报头。lL2TP利用控制报文进行隧道维护，使用UDP/PPP通过隧道来传输数据报文。84网络安全技术PPTP与L2TP的比较lPPTP是主动隧道模式拨号用

55、户有权在初始PPP协商之后选择选择PPTP隧道的目的端隧道的目的端。其隧道对于ISP来说是透明的，ISP不需保留PPTP服务器地址，只需象传送其他IP数据一样传送PPTP数据。PPTP的模型是一个单独的端用户单独的端用户，所建立的VPN结构是端到端隧道（由客户端到PPTP服务器）。lL2TP是被动隧道模式ISP控制PPP会话的终节点。这在用户需要通过ISP拨入到ICP时很有作用。lL2TP的模型有大量已配置的用户，使VPN很像普通的拨号访问系统。其隧道始于NAS，止于L2TP服务器。85网络安全技术加解密技术加解密技术：传输保密性，VPN可直接利用现有技术；密钥管理技术密钥管理技术：在公网中安

56、全地传递密钥，如Deffie-Hellman密钥分配方法；SKIP（SimpleKeyManagementforIP）是由SUN公司开发的一种技术，主要是利用Diffie-Hellmail算法IPSec中的ISAKMP/Oakley身份鉴别技术身份鉴别技术：使属于本单位或授权者与设备能相互通信，且未授权者无法进入通信系统。使用者身份鉴别：通常采用远程身份验证拨入用户服务RADIUS。最常用的是使用者名称与密码或卡片式认证等方式。设备身份鉴别：通常采用证书（Certificate）。VPNVPN的其他安全技术的其他安全技术86网络安全技术( (5 5) )VPNVPN服务分类服务分类拨号拨号VP

57、N；企业员工或小分支通过公网远程拨号的方式构筑的虚拟网。采用二层隧道协议，实现二层网络协议传输。适用于公司内部经常有流动人员的远程办公。内部网内部网VPN（IntranetVPN）；进行企业内部各分支机构的互联。采用三层隧道协议，实现三层网络协议传输。外联网外联网VPN（Extranet VPN）。企业与客户、合作伙伴的互联。既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络安全。采用三层隧道协议，实现三层网络协议传输。87网络安全技术拨号拨号VPN拨号VPN通过一个拥有与专用网络相同策略的共享基础设施，提供提供对企业内部网或外部网的远程访问对企业内部网或外部网的远程访问。拨号

58、VPN能使用户随时、随地以其所需的方式访问企业资源。包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。88网络安全技术拨号拨号VPN的特点的特点l如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。l减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；l实现本地拨号接入的功能来取代远距离接入或

59、800电话接入，这样能显著降低远距离通信的费用；l极大的可扩展性，简便地对加入网络的新用户进行调度；l远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务；l将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。89网络安全技术内部网内部网VPN（IntranetVPN）越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务

60、开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在特性可以在Internet上组建世界范上组建世界范围内的围内的Intranet VPN。利用利用Internet的线路保证网络的互联性，而利用隧道、加密等的线路保证网络的互联性，而利用隧道、加密等VPN特特性可以保证信息在整个性可以保证信息在整个Intranet VPN上安全传输。上安全传输。 Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安

61、全、服务质量分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可可管理性和可靠性。靠性。90网络安全技术Intranet VPN的特点的特点l如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。l减少WAN带宽的费用；l能使用灵活的拓扑结构，包括全网络连接；l新的站点能更快、更容易地被连接；l通过设备供应商WAN的连接冗余，可以延长网络的可用时间。91网络安全技术外联网外联网VPN（Extranet VPN）随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可

62、以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时企业间的合作关系也越来越多，快捷方便的信息服务，通过各种方式了解客户的需要，同时企业间的合作关系也越来越多，信息交换日益频繁。信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可技术可以组建安全的以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证内部既可以向客户、合作伙伴提供

63、有效的信息服务，又可以保证内部网络的安全。网络的安全。 Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。可管理性和可靠性。92网络安全技术Extranet VPN的特点的特点l如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。l能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问

64、VPN相同的架构和协议进行部署。l主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。93网络安全技术7.病毒防范技术病毒防范技术病病毒毒是是指指编编制制或或者者在在计计算算机机程程序序中中插插入入的的破破坏坏计计算算机机功功能能或或者者毁毁坏坏数数据据，并并自自我我复复制制的的一一组组计计算机指令或程序代算机指令或程序代码码。特点：特点： (1) (1)传传染性染性；(2)(2)非授非授权权性性；(3)(3)隐隐蔽性蔽性； (4)(4)破坏性破坏性； (5) (5)不可不可预见预见性性 94网络安全技术( (1 1) )计算机网络病毒的类型计算机网络病毒的类型常见的计算

65、机网络病毒有：（1 1）蠕虫蠕虫：能够进行自我复制的程序段，并最终导致系统崩溃；（2 2）核核心心大大战战（ZombieZombie）：能秘密接管其他依附在Internet上的计算机，并使该计算机发动攻击的一种程序。（3 3）逻逻辑辑炸炸弹弹：嵌在合法程序中，只有当特定的事件出现时才会进行破坏的一组程序代码；（4 4）特特洛洛伊伊木木马马：表面上具有某种有用功能的程序，它的内部含有隐蔽代码，当其被调用时会产生意想不到的后果；（5 5）陷陷阱阱（后后门门）：程序的一个秘密入口，用户通过它可以不按照通常的访问步骤就能获得访问权；95网络安全技术( (2 2) )网络反病毒技术网络反病毒技术 （1

66、1）预防病毒技术预防病毒技术：在第一时间阻止病毒进入系统。一般来说不可能实现。（2 2）病毒检测技术病毒检测技术：一旦系统被感染，就立即断定病毒的存在并对其进行定位。（3）病毒鉴别技术）病毒鉴别技术：对病毒进行检测后，辨别该病毒的类型。 （4 4）病毒消除技术）病毒消除技术：在确定病毒的类型后，从受染文件中删除所有病毒并恢复程序正常状态。清除被感染系统中的所有病毒，目的是阻止病毒的进一步传染。如果对病毒检测成功但鉴别或清除失败，则必须删除受染文件并重新装入无毒文件的备份。96网络安全技术防范病毒的措施：防范病毒的措施：(1)(1)安装防病毒软件安装防病毒软件，及，及时时更新病毒更新病毒库库；(

67、2)(2)加强数据备份和恢复措施；加强数据备份和恢复措施；(3)(3)对对敏敏感感的的设设备备和和数数据据要要建建立立必必要要的的物物理理或或逻逻辑辑 隔离措施；隔离措施； (4)(4)不不轻轻易打开不明的易打开不明的电电子子邮邮件及其附件；件及其附件； (5) (5)避免在无防毒避免在无防毒软软件的机器上使用可移件的机器上使用可移动动磁磁盘盘 (6) (6)关闭不必要的端口关闭不必要的端口( (3 3) )计算机病毒的防范措施计算机病毒的防范措施97网络安全技术优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner

68、简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一小结-网络安全工具的特点98网络安全技术最后一招最后一招l积极备份99网络安全技术在实际应用中，综合运用上述技术，可以为网络系统提供动态安全。首先需要根据网络的拓扑结构、应用类型及安全要求选择配置适当类型的防火墙选择配置适当类型的防火墙，或采用合适的协议建立虚拟建立虚拟专用网专用网，对系统进行保护（防护），同时运用入侵检测技运用入侵检测技术术对网络系统的若干关键点实时监控，在发现入侵行为以后通过系统管理员或设置的安全策略自动对系统进行调整

69、（如通知防火墙关闭某类应用，或阻塞某个地址等）。此外还要定期对系统进行隐患扫描定期对系统进行隐患扫描，以便及时发现由于改动配置、安装新软件等带来的漏洞并加以修补。100网络安全技术4 企业信息安全解决方案企业信息安全解决方案lInternet的强劲旋风以惊人的速度渗透到各行各业。企业上网，既可以开展网上的交易业务，又可以宣传自身的服务，吸引更多的客户；同时，还可以发布实时的产品信息，开展网上进存销业务，实现电子商务战略。总之，电子商务为企业提供了更为广泛的信息来源空间，为员工提供了更为广阔的施展才能的舞台，为市场提供了一种更为灵活的交易方式。l伴随网络的普及，安全问题日益成为影响网络效能的瓶颈

70、，而企业的网络安全存在漏洞的状况也是众所周知的，多位信息安全领域的专家也对企业网络的安全问题提出了尖锐的批评，不少企业的安全现状已不能适应电子商务迅速发展的要求。近几年，不断有大型企业的网络被“黑客”入侵，造成重大经济损失和恶劣影响的消息见诸报端。企业的网络安全已经成为企业信息化进程中首先要考虑的事情之一。101网络安全技术确定企业网络安全等级确定企业网络安全等级v企业由于其应用不同，对安全的等级需求也不一样；v在企业内部，不同的部门安全等级需求也不一样。 安全级别越高，所需要的资金投入就越多，同时对企业网络的性能和企业资源使用的方便性的影响就越大。102网络安全技术( (1 1) )安全风险

71、安全风险l企业信息系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。包括：1.物理安全风险2.系统安全风险：网络系统、操作系统和应用系统3.网上交易的安全风险4.数据的安全风险5.安全策略 传统的安全策略停留在局部、静态的层面上，仅仅依靠几项安全传统的安全策略停留在局部、静态的层面上，仅仅依靠几项安全技术和手段达到整个系统的安全目的，现代的安全策略应当紧跟安全技术和手段达到整个系统的安全目的，现代的安全策略应当紧跟安全行业的发展趋势，在进行安全方案设计、规划时，遵循以下原则：体行业的发展趋势，在进行安全方案设计、规划时，遵循以下原则：体系性，系统

72、性，层次性，综合性，动态性。系性，系统性，层次性，综合性，动态性。103网络安全技术( (2 2) )解决方案解决方案企业网络的安全体系涉及到网络物理安全和系统安全的各个层面。通常应该从网络安全、操作系统、应用系统、交易安全、数据安全、安全服务和安全目标等方面寻求解决方案，并从以下3个方面进行综合考虑：安全体系安全体系:按照安全策略的要求及风险分析的结果，整个企业网络安全措施应根据不同的行业特点，按照网络安全的整体构想来建立。物理安全物理安全：保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。系统安全系统安全：系统安全主要关注网络系统、操作系统和应用系统 三个层次。104网络

73、安全技术( (2 2) )解决方案解决方案安全体系安全体系安全管理安全管理体系体系安全保障安全保障体系体系安全技术体系安全技术体系数据安全数据安全交易安全交易安全系统安全系统安全物理安全物理安全安安全全管管理理 安安全全服服务务105网络安全技术( (2 2) )解决方案解决方案物理安全物理安全 保证计算机信息系统各种设备的物理安全是整个计保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。算机信息系统安全的前提。 物理安全是保护计算机网络设备、设施以及其它媒物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误体免遭地震、水灾、火灾等环境

74、事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：它主要包括三个方面： （1 1） 环境安全环境安全 （2 2） 设备安全设备安全 （3 3） 媒体安全：媒体安全：媒体数据的安全和媒体本身的安全媒体数据的安全和媒体本身的安全106网络安全技术( (2 2) )解决方案解决方案系统安全系统安全107网络安全技术系统安全采用的技术和手段有系统安全采用的技术和手段有:冗余技术冗余技术；网络隔离技术网络隔离技术；访问控制技术访问控制技术；身份鉴别技术身份鉴别技术；加密技术加密技术；监控审计技术监控审计技术；安全评估技术。安全评估

75、技术。108网络安全技术系统安全包括：网络系统安全；操作系统安全；应用系统安全；交易安全；数据安全。应用安全系统扫描办公系统安全业务系统安全交易安全标准：SET、SSL交易安全基础体系交易安全的实现数据库安全数据安全109网络安全技术( (2 2) )解决方案解决方案安全管理安全管理 面对网络安全的脆弱性，除了运用先进的网络安全技术和安全系统外，完善的网络安全管理将是信息系统建设重要组成部分，许多不安全的因素恰恰反映在组织资源管理上，安全管理应该贯穿在安全的各个层次上。 企业安全管理应该遵循以下三项原则:多人负责原则多人负责原则任期有限原则任期有限原则职责分离原则职责分离原则110网络安全技术

76、（1）安全制度管理根据本行业的有关法规的要求，建立本企业的管理 制度，包括机房管理、网络管理、数据管理、设备管理、 应急处理、人员管理、技术信息管理等有关信息系统建 设的规范。（2）安全目标管理 1.按照技术管理目标2.按照资源管理目标 3.按照客户管理目标信息系统安全管理的实现信息系统安全管理的实现111网络安全技术( (3 3) )构建企业安全体系的原则构建企业安全体系的原则企业安全是一个循环的过程企业安全是一个循环的过程，部署了安全产品并不意味着安全方案 的结束。安全是为了保证和满足企业应用系统的需求，随着企业应 用系统和网络结构的变化，安全策略和方案也应随着变化。无论企业采用什么样的安

77、全技术和部署什么安全产品，从实际应用 角度来看，没有绝对或没有没有绝对或没有100%100%的安全的安全，因此企业要根据自己的实 际情况，选择适合自己的安全技术和方案。实施安全方案的过程实际上就是降低企业风险的过程，当通过实施 安全解决方案使企业的风险降低到了用户可以接受和可以控制的程 度就基本达到了企业安全的需求。在实施安全方案的过程中必须保证业务的连续性和可用性。112网络安全技术( (4 4) )采用的技术采用的技术为了保障网络系统安全，目前采用的技术包括了：l网络隔离技术；l访问控制技术；l加密技术；l鉴别技术；l数字签名技术；l入侵检测技术；l信息审计技术；l安全评估技术；l病毒防治

78、技术；l备份与恢复技术。113网络安全技术( (5 5) )典型应用案例典型应用案例-某证券公司信息安全解决方案某证券公司信息安全解决方案114网络安全技术该应用实例是典型的总部模式该应用实例是典型的总部模式：1、防火墙防火墙设立在公司总部及营业部入口，设立在公司总部及营业部入口，通过通过访问控制访问控制可防止非法入侵并能做内部可防止非法入侵并能做内部的安全代理。的安全代理。2 2、通过、通过IPIP层加密构建层加密构建企业企业VPNVPN，保证证券保证证券公司总部与各营业部之间信息传输的机密公司总部与各营业部之间信息传输的机密性。性。3 3、安全控制中心安全控制中心用作证券公司网络监控用作证

79、券公司网络监控预警系统，具有主动、实时的特性。它是预警系统，具有主动、实时的特性。它是由入侵检测系统、网络扫描系统、系统扫由入侵检测系统、网络扫描系统、系统扫描系统、网络防病毒系统、信息审计系统描系统、网络防病毒系统、信息审计系统等构成的综合安全体系。等构成的综合安全体系。4 4、证券公司的、证券公司的WebWeb服务器、邮件服务器等服务器、邮件服务器等应用系统的保护由应用系统的保护由页面保护系统页面保护系统、安全邮安全邮件系统件系统完成。完成。5 5、基于、基于SSLSSL协议的协议的应用加密系统应用加密系统保证股民保证股民交易安全。交易安全。 6 6、建立公司的数字证书、建立公司的数字证书

80、CACA中心中心，向股民向股民发放相应的数字证书。发放相应的数字证书。7 7、交易、行情服务器采用负载均衡和、交易、行情服务器采用负载均衡和容容错备份系统错备份系统。8、采用安全控件组成安全数据库，定期、采用安全控件组成安全数据库，定期进行数据库进行数据库漏洞扫描漏洞扫描和和数据备份数据备份。9、卫星加密系统卫星加密系统用于证券公司与深、沪用于证券公司与深、沪两市数据安全交换。两市数据安全交换。10、文电办公加密系统文电办公加密系统用于办公文件（邮用于办公文件（邮件）加密传输、存储。件）加密传输、存储。115网络安全技术( (6 6) )发展趋势发展趋势1、安全技术体系、安全技术体系：更强调整

81、体性、融合性、开放性，随着更强调整体性、融合性、开放性，随着安全技术的演进，综合运用多种安全技术的安全产品将在市场安全技术的演进，综合运用多种安全技术的安全产品将在市场上大行其是，而功能单一的安全产品将逐步消亡，但不排除基上大行其是，而功能单一的安全产品将逐步消亡，但不排除基于客户特殊应用的二次开发的安全产品。安全技术及产品的行于客户特殊应用的二次开发的安全产品。安全技术及产品的行业标准在一定范围内逐步统一，同时与网络的开放性趋于一致。业标准在一定范围内逐步统一，同时与网络的开放性趋于一致。 2、安全管理体系：不同行业的安全管理将更加制度化、规、安全管理体系：不同行业的安全管理将更加制度化、规范化，信息系统的安全管理将从其他管理体系中独立出来，与范化，信息系统的安全管理将从其他管理体系中独立出来，与安全技术体系紧密结合，成为非技术的重要安全因素安全技术体系紧密结合，成为非技术的重要安全因素。 3、安全保障体系：安全保障最终落实在安全服务上，因为、安全保障体系：安全保障最终落实在安全服务上，因为它是动态的、持久的、专业的。如同安全产品一样，安全服务它是动态的、持久的、专业的。如同安全产品一样，安全服务将独立体现自己本身的价值。有特色安全服务越来越成为网络将独立体现自己本身的价值。有特色安全服务越来越成为网络安全公司品牌的一部分。安全公司品牌的一部分。116网络安全技术