信息安全培訓(xùn)PPT文檔剖析

1、第一部分第一部分信息安全概念與分析信息安全概念與分析連云港康達(dá)智連云港康達(dá)智信息安全基本概念信息安全基本概念連云港康達(dá)智為何要實現(xiàn)安全？為何要實現(xiàn)安全？連云港康達(dá)智安全研究層次安全研究層次應(yīng)用安全應(yīng)用安全系統(tǒng)安全系統(tǒng)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全安全協(xié)議安全協(xié)議安全的密碼算法安全的密碼算法連云港康達(dá)智安全的側(cè)重點安全的側(cè)重點談到信息安全時我們通常有三個主要的側(cè)重點：談到信息安全時我們通常有三個主要的側(cè)重點：網(wǎng)絡(luò)安全，通常指的是我們的計算機(jī)所處的網(wǎng)絡(luò)環(huán)境的安網(wǎng)絡(luò)安全，通常指的是我們的計算機(jī)所處的網(wǎng)絡(luò)環(huán)境的安全問題全問題系統(tǒng)安全，指我們的每臺計算機(jī)系統(tǒng)自身的安全問題系統(tǒng)安全，指我們的每臺計算機(jī)系統(tǒng)自身的安全

2、問題操作安全，指計算機(jī)使用者自身的安全意識問題操作安全，指計算機(jī)使用者自身的安全意識問題連云港康達(dá)智網(wǎng)絡(luò)架構(gòu)與具體安全著力點網(wǎng)絡(luò)架構(gòu)與具體安全著力點連云港康達(dá)智攻擊分析攻擊分析連云港康達(dá)智攻擊者分析攻擊者分析連云港康達(dá)智常見的攻擊過程常見的攻擊過程連云港康達(dá)智黑客攻擊的原因黑客攻擊的原因什么是黑客？對于計算機(jī)而言，黑客就是精通網(wǎng)絡(luò)、系統(tǒng)以及軟硬件技術(shù)的人。連云港康達(dá)智常見的攻擊手段常見的攻擊手段第第二二部分部分網(wǎng)絡(luò)安全實現(xiàn)網(wǎng)絡(luò)安全實現(xiàn)連云港康達(dá)智連云港康達(dá)智安全實現(xiàn)概述安全實現(xiàn)概述連云港康達(dá)智攻擊應(yīng)對方案攻擊應(yīng)對方案連云港康達(dá)智進(jìn)行弱弱點分析進(jìn)行弱弱點分析連云港康達(dá)智安全實施清單安全實施清單網(wǎng)

3、絡(luò)邊界防火墻網(wǎng)絡(luò)邊界防火墻病毒防火墻病毒防火墻網(wǎng)絡(luò)設(shè)備安全強(qiáng)化網(wǎng)絡(luò)設(shè)備安全強(qiáng)化物理安全設(shè)施和社會工程安全措施物理安全設(shè)施和社會工程安全措施可可移動設(shè)備管理移動設(shè)備管理無線設(shè)備管理無線設(shè)備管理操作系統(tǒng)安全強(qiáng)化操作系統(tǒng)安全強(qiáng)化主機(jī)防火墻防病毒軟件主機(jī)防火墻防病毒軟件數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)連云港康達(dá)智實現(xiàn)深度防御實現(xiàn)深度防御連云港康達(dá)智理解物理安全和社會理解物理安全和社會工程安全工程安全連云港康達(dá)智物理安全概念物理安全概念物理安全是指通過一些物理防護(hù)手段，也就是非物理安全是指通過一些物理防護(hù)手段，也就是非ITIT技術(shù)手段來確保技術(shù)手段來確保信息安全的方法，通常包括以下幾個方便：信息安全的方法，通常包括以下

4、幾個方便：1 1、物理訪問控制、物理訪問控制2 2、防盜竊、防破壞、防盜竊、防破壞3 3、防火、放水、防潮、防火、放水、防潮4 4、防雷擊、防雷擊5 5、溫濕度控制、溫濕度控制6 6、電力系統(tǒng)、電力系統(tǒng)連云港康達(dá)智社會工程學(xué)概念社會工程學(xué)概念社會工程學(xué)是一種黑客攻擊方法，通常是通過社會工程學(xué)是一種黑客攻擊方法，通常是通過對受害者心理弱點對受害者心理弱點、本能本能反應(yīng)、好奇心反應(yīng)、好奇心、信任、信任、貪婪等心理陷阱、貪婪等心理陷阱進(jìn)行諸如欺騙、進(jìn)行諸如欺騙、傷害傷害等等攻擊手段，獲取情報攻擊手段，獲取情報連云港康達(dá)智社會工程安全考慮社會工程安全考慮連云港康達(dá)智物理安全考慮物理安全考慮禁用非必要禁

5、用非必要PCPC的光驅(qū)、的光驅(qū)、USBUSB接口接口限制非公司人員使用公司局域網(wǎng)限制非公司人員使用公司局域網(wǎng)在機(jī)要部門安裝門鎖在機(jī)要部門安裝門鎖連云港康達(dá)智理解防火墻理解防火墻連云港康達(dá)智何為網(wǎng)絡(luò)防火墻？何為網(wǎng)絡(luò)防火墻？ 將內(nèi)部的網(wǎng)絡(luò)與外部的不安全網(wǎng)絡(luò)進(jìn)行隔離將內(nèi)部的網(wǎng)絡(luò)與外部的不安全網(wǎng)絡(luò)進(jìn)行隔離 通過定義規(guī)則有限制的開放內(nèi)部向外部網(wǎng)絡(luò)的數(shù)據(jù)包流動通過定義規(guī)則有限制的開放內(nèi)部向外部網(wǎng)絡(luò)的數(shù)據(jù)包流動 通過定義規(guī)則有限制的開放外部訪問內(nèi)部的數(shù)據(jù)包通過定義規(guī)則有限制的開放外部訪問內(nèi)部的數(shù)據(jù)包 通過定義通過定義DMZDMZ更有限的進(jìn)行安全防護(hù)更有限的進(jìn)行安全防護(hù) 檢測有害數(shù)據(jù)包并將其阻止檢測有害數(shù)據(jù)包

6、并將其阻止 進(jìn)行日志記錄和統(tǒng)計進(jìn)行日志記錄和統(tǒng)計連云港康達(dá)智何為何為DMZ?DMZ?DMZDMZ是在內(nèi)部和外部網(wǎng)絡(luò)之間的一個緩存區(qū)是在內(nèi)部和外部網(wǎng)絡(luò)之間的一個緩存區(qū)連云港康達(dá)智防火墻技術(shù)防火墻技術(shù)通常防火墻使用三個技術(shù)：通常防火墻使用三個技術(shù)：包包過濾過濾狀態(tài)過濾狀態(tài)過濾應(yīng)用層過濾應(yīng)用層過濾連云港康達(dá)智包過濾包過濾連云港康達(dá)智狀態(tài)狀態(tài)過濾過濾連云港康達(dá)智應(yīng)用層過濾應(yīng)用層過濾連云港康達(dá)智配置訪問規(guī)則配置訪問規(guī)則連云港康達(dá)智監(jiān)控防火墻和日志分析監(jiān)控防火墻和日志分析 監(jiān)控會話監(jiān)控會話 啟用日志記錄啟用日志記錄 日志記錄的統(tǒng)計和分析日志記錄的統(tǒng)計和分析連云港康達(dá)智理解反惡意代碼理解反惡意代碼連云港康達(dá)

7、智惡意代碼概述惡意代碼概述代碼是指計算機(jī)程序的代碼，可以被執(zhí)行完成特定的功代碼是指計算機(jī)程序的代碼，可以被執(zhí)行完成特定的功能。任何事物都有正反兩面，人類發(fā)明的工具既可以造能。任何事物都有正反兩面，人類發(fā)明的工具既可以造福也可作孽，這完全取決于使用工具的人。福也可作孽，這完全取決于使用工具的人。計算機(jī)程序也不例外，軟件工程師編寫了大量的軟件計算機(jī)程序也不例外，軟件工程師編寫了大量的軟件（操作系統(tǒng)，應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客（操作系統(tǒng)，應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客們在編寫擾亂社會和他人的計算機(jī)程序，這些代碼統(tǒng)稱們在編寫擾亂社會和他人的計算機(jī)程序，這些代碼統(tǒng)稱為惡意代碼（為惡意代碼

8、（Malicious codesMalicious codes）。連云港康達(dá)智惡意代碼類型惡意代碼類型在在InternetInternet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計算機(jī)病毒（比例。惡意代碼主要包括計算機(jī)病毒（VirusVirus）、蠕蟲（）、蠕蟲（WormWorm）、）、木馬程序（木馬程序（Trojan HorseTrojan Horse）、后門程序（）、后門程序（Backdoor)Backdoor)、邏輯炸彈、邏輯炸彈（Login BombLogin Bomb）等等。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)）等等

9、。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受巨大的經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。蒙受巨大的經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。連云港康達(dá)智網(wǎng)絡(luò)蠕蟲的定義網(wǎng)絡(luò)蠕蟲的定義網(wǎng)絡(luò)蠕蟲是一種智能化、自動化的計算機(jī)程序，綜合了網(wǎng)絡(luò)攻網(wǎng)絡(luò)蠕蟲是一種智能化、自動化的計算機(jī)程序，綜合了網(wǎng)絡(luò)攻擊、密碼學(xué)和計算機(jī)病毒等技術(shù)，是一種無需計算機(jī)使用者干擊、密碼學(xué)和計算機(jī)病毒等技術(shù)，是一種無需計算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼，它會掃描和攻擊網(wǎng)絡(luò)上存在系預(yù)即可運(yùn)行的攻擊程序或代碼，它會掃描和攻擊

10、網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳統(tǒng)漏洞的節(jié)點主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點。播到另外一個節(jié)點。蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、造成網(wǎng)絡(luò)擁塞、降低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性特征，網(wǎng)絡(luò)蠕蟲低系統(tǒng)性能、產(chǎn)生安全隱患、反復(fù)性和破壞性特征，網(wǎng)絡(luò)蠕蟲是無須計算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的是無須計算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳獲得網(wǎng)絡(luò)中存在漏洞的計算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。播。連云

11、港康達(dá)智惡意代碼的攻擊機(jī)制惡意代碼的攻擊機(jī)制惡意惡意代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機(jī)制大體相同，代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機(jī)制大體相同，其整個作用過程分為其整個作用過程分為5 5個部分：個部分： 侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就含有惡意代碼；碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤、接收已經(jīng)感染惡意代碼的電子郵件；從光盤、U U盤等存儲設(shè)備往系統(tǒng)上盤等存儲設(shè)備往系統(tǒng)

12、上安裝軟件；黑客或攻擊者故意將惡意代碼植入系統(tǒng)等。安裝軟件；黑客或攻擊者故意將惡意代碼植入系統(tǒng)等。 維持或提升現(xiàn)有權(quán)限。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程維持或提升現(xiàn)有權(quán)限。惡意代碼的傳播與破壞必須盜用用戶或者進(jìn)程的合法權(quán)限。的合法權(quán)限。 隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)入侵系統(tǒng)，惡意代碼可能隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)入侵系統(tǒng)，惡意代碼可能會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。 潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并且有足夠的權(quán)限時潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并且有足夠的權(quán)限時進(jìn)行破壞

13、活動。進(jìn)行破壞活動。 破壞。惡意代碼是本質(zhì)具有破壞性，其目的是造成信息丟失、泄密、破壞。惡意代碼是本質(zhì)具有破壞性，其目的是造成信息丟失、泄密、破壞系統(tǒng)等。破壞系統(tǒng)等。連云港康達(dá)智惡意代碼防范方法惡意代碼防范方法 首先應(yīng)當(dāng)從源頭上盡可能的減少惡意代碼的入侵，主要的措首先應(yīng)當(dāng)從源頭上盡可能的減少惡意代碼的入侵，主要的措施有：對網(wǎng)頁進(jìn)行分析和預(yù)警，安裝反病毒軟件，對垃圾郵施有：對網(wǎng)頁進(jìn)行分析和預(yù)警，安裝反病毒軟件，對垃圾郵件進(jìn)行過濾，防火墻過濾，限制及安全使用件進(jìn)行過濾，防火墻過濾，限制及安全使用U U盤盤 其次在主機(jī)上安裝防病毒軟件，并及時更新數(shù)據(jù)庫其次在主機(jī)上安裝防病毒軟件，并及時更新數(shù)據(jù)庫 最

14、后應(yīng)當(dāng)強(qiáng)化操作系統(tǒng)，并做好備份。最后應(yīng)當(dāng)強(qiáng)化操作系統(tǒng)，并做好備份。連云港康達(dá)智建立攻擊反應(yīng)計劃建立攻擊反應(yīng)計劃連云港康達(dá)智何為攻擊反應(yīng)計劃何為攻擊反應(yīng)計劃攻擊反應(yīng)計劃包括：攻擊反應(yīng)計劃包括： 通過監(jiān)控及時發(fā)現(xiàn)攻擊行為通過監(jiān)控及時發(fā)現(xiàn)攻擊行為 進(jìn)行及時的應(yīng)急處理進(jìn)行及時的應(yīng)急處理 通過備份恢復(fù)系統(tǒng)功能與數(shù)據(jù)通過備份恢復(fù)系統(tǒng)功能與數(shù)據(jù) 通過日志的分析尋找攻擊源和攻擊方式通過日志的分析尋找攻擊源和攻擊方式 通過蜜罐技術(shù)誤導(dǎo)攻擊通過蜜罐技術(shù)誤導(dǎo)攻擊 尋求法律手段尋求法律手段連云港康達(dá)智理解網(wǎng)絡(luò)設(shè)備強(qiáng)化理解網(wǎng)絡(luò)設(shè)備強(qiáng)化連云港康達(dá)智何為網(wǎng)絡(luò)設(shè)備強(qiáng)化何為網(wǎng)絡(luò)設(shè)備強(qiáng)化由于網(wǎng)絡(luò)是通過網(wǎng)絡(luò)設(shè)備和計算器通過線路的互

15、聯(lián)構(gòu)成由于網(wǎng)絡(luò)是通過網(wǎng)絡(luò)設(shè)備和計算器通過線路的互聯(lián)構(gòu)成的，因此可以啟動網(wǎng)絡(luò)設(shè)備的隔離功能強(qiáng)化網(wǎng)絡(luò)的安全的，因此可以啟動網(wǎng)絡(luò)設(shè)備的隔離功能強(qiáng)化網(wǎng)絡(luò)的安全保護(hù)，特別是針對內(nèi)部的攻擊。保護(hù)，特別是針對內(nèi)部的攻擊。設(shè)備強(qiáng)化主要針對路由器和交換機(jī)。設(shè)備強(qiáng)化主要針對路由器和交換機(jī)。連云港康達(dá)智了解網(wǎng)絡(luò)架構(gòu)的模型了解網(wǎng)絡(luò)架構(gòu)的模型連云港康達(dá)智交換機(jī)的工作過程交換機(jī)的工作過程地址學(xué)習(xí)地址學(xué)習(xí)轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)/ /過濾判斷過濾判斷二二層環(huán)路層環(huán)路連云港康達(dá)智通過交換機(jī)實現(xiàn)隔離通過交換機(jī)實現(xiàn)隔離可以通過交換機(jī)上啟動的端口安全和可以通過交換機(jī)上啟動的端口安全和VLANVLAN技術(shù)實現(xiàn)安全隔離。技術(shù)實現(xiàn)安全隔離。連云港康達(dá)智

16、通過路由器實現(xiàn)隔離通過路由器實現(xiàn)隔離可以通過路由器上定義規(guī)則實現(xiàn)計算機(jī)間的通信隔離，從可以通過路由器上定義規(guī)則實現(xiàn)計算機(jī)間的通信隔離，從而提高安全性。而提高安全性。比如只讓財務(wù)部門的員工能夠訪問財務(wù)數(shù)據(jù)庫服務(wù)器，別比如只讓財務(wù)部門的員工能夠訪問財務(wù)數(shù)據(jù)庫服務(wù)器，別的部門的員工被禁止。的部門的員工被禁止。連云港康達(dá)智基礎(chǔ)示例基礎(chǔ)示例連云港康達(dá)智理解無線通信安全理解無線通信安全連云港康達(dá)智無線網(wǎng)絡(luò)訪問概述無線網(wǎng)絡(luò)訪問概述連云港康達(dá)智無線通訊協(xié)議無線通訊協(xié)議IEEE802.11IEEE802.11家族家族 802.11a 54Mbit/s 5GHz802.11a 54Mbit/s 5GHz802.1

17、1b 11Mbit/s 2.4GHz802.11b 11Mbit/s 2.4GHz802.11n 475Mbit/s802.11n 475Mbit/s802.11ac 1Gbit/s 5GHz 802.11ac 1Gbit/s 5GHz 連云港康達(dá)智無線安全協(xié)議無線安全協(xié)議WIDS/WIPSWIDS/WIPS（無線入侵防御系統(tǒng)，Wireless Intrusion Prevention System）WEPWEP（有線等效保密協(xié)議，Wired Equivalent Privacy）WPAWPA（WIFI安全訪問協(xié)議，Wi-Fi Protected Access）WAPIWAPI（無線局域網(wǎng)鑒別

18、和保密基礎(chǔ)結(jié)構(gòu)， Wireless LAN Authentication and Privacy Infrastructure ）連云港康達(dá)智理解數(shù)據(jù)保護(hù)理解數(shù)據(jù)保護(hù)連云港康達(dá)智數(shù)據(jù)保護(hù)概念數(shù)據(jù)保護(hù)概念數(shù)據(jù)保護(hù)指的是針對文件系統(tǒng)中存儲的數(shù)據(jù)，以及通過網(wǎng)數(shù)據(jù)保護(hù)指的是針對文件系統(tǒng)中存儲的數(shù)據(jù)，以及通過網(wǎng)絡(luò)傳遞的數(shù)據(jù)包的內(nèi)容進(jìn)行保護(hù)，確保其無法被非法竊取絡(luò)傳遞的數(shù)據(jù)包的內(nèi)容進(jìn)行保護(hù)，確保其無法被非法竊取和篡改的技術(shù)和篡改的技術(shù)數(shù)據(jù)保護(hù)的意義很明顯是為了降低組織的敏感數(shù)據(jù)被泄露數(shù)據(jù)保護(hù)的意義很明顯是為了降低組織的敏感數(shù)據(jù)被泄露或者破壞的風(fēng)險或者破壞的風(fēng)險數(shù)據(jù)保護(hù)技術(shù)是使用數(shù)學(xué)上的算法（函數(shù)）和密鑰（

19、因子）數(shù)據(jù)保護(hù)技術(shù)是使用數(shù)學(xué)上的算法（函數(shù)）和密鑰（因子）通過計算過程實現(xiàn)的通過計算過程實現(xiàn)的它它的兩個典型技術(shù)是加密和數(shù)字簽名的兩個典型技術(shù)是加密和數(shù)字簽名連云港康達(dá)智密碼長度密碼長度算法和密鑰的復(fù)雜程度共通決定保護(hù)的級別算法和密鑰的復(fù)雜程度共通決定保護(hù)的級別連云港康達(dá)智對稱密鑰與非對稱密鑰對稱密鑰與非對稱密鑰連云港康達(dá)智數(shù)字簽名數(shù)字簽名連云港康達(dá)智IPSecIPSec在網(wǎng)絡(luò)中的地位在網(wǎng)絡(luò)中的地位IPSecIPSec是是由由IETFIETF主持的標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全通訊協(xié)議，它可以確主持的標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全通訊協(xié)議，它可以確保在源與目的地進(jìn)行通訊的網(wǎng)絡(luò)鏈路上數(shù)據(jù)以安全的方式保在源與目的地進(jìn)行通訊的網(wǎng)絡(luò)

20、鏈路上數(shù)據(jù)以安全的方式傳輸，同時能確保源與目的地的合法身份，以及保證數(shù)據(jù)傳輸，同時能確保源與目的地的合法身份，以及保證數(shù)據(jù)在傳輸過程中沒有經(jīng)過篡改。在傳輸過程中沒有經(jīng)過篡改。IPSecIPSec當(dāng)今在當(dāng)今在VPNVPN環(huán)境中被廣泛應(yīng)用。環(huán)境中被廣泛應(yīng)用。IPSecIPSec能夠解決的網(wǎng)絡(luò)安全問題包括：網(wǎng)絡(luò)監(jiān)視，中間人，能夠解決的網(wǎng)絡(luò)安全問題包括：網(wǎng)絡(luò)監(jiān)視，中間人，身份仿冒，地址欺騙，數(shù)據(jù)篡改。身份仿冒，地址欺騙，數(shù)據(jù)篡改。第第三三部分部分操作系統(tǒng)安全設(shè)計與實現(xiàn)操作系統(tǒng)安全設(shè)計與實現(xiàn)連云港康達(dá)智連云港康達(dá)智操作系統(tǒng)安全操作系統(tǒng)安全連云港康達(dá)智常用操作系統(tǒng)概述常用操作系統(tǒng)概述目前服務(wù)器常用的操作系

21、統(tǒng)有三類：目前服務(wù)器常用的操作系統(tǒng)有三類：UnixUnixLinuxLinuxWindowsWindows這些操作系統(tǒng)都是符合這些操作系統(tǒng)都是符合C2C2級安全級別的操作系統(tǒng)。但是都級安全級別的操作系統(tǒng)。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。施，就會使操作系統(tǒng)完全暴露給入侵者。連云港康達(dá)智UNIXUNIXUNXIUNXI操作系統(tǒng)經(jīng)過操作系統(tǒng)經(jīng)過2020多年的發(fā)展后，已經(jīng)成為一種成熟的多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，主流操作系統(tǒng)，并在發(fā)展過程

22、中逐步形成了一些新的特色，其中主要包括其中主要包括5 5個方面。個方面。a)a) 可靠性高可靠性高b)b) 極強(qiáng)的極強(qiáng)的伸縮性伸縮性c)c) 網(wǎng)絡(luò)功能強(qiáng)網(wǎng)絡(luò)功能強(qiáng)d)d) 強(qiáng)大的數(shù)據(jù)庫支持功能強(qiáng)大的數(shù)據(jù)庫支持功能e)e) 開放性好開放性好連云港康達(dá)智LinuxLinux典型的優(yōu)點典型的優(yōu)點a)a) 完全免費(fèi)完全免費(fèi)b)b) 完全兼容完全兼容POSIX 1.0POSIX 1.0標(biāo)準(zhǔn)標(biāo)準(zhǔn)c)c) 多用戶、多任務(wù)多用戶、多任務(wù)d)d) 良好的界面良好的界面e)e) 豐富的網(wǎng)絡(luò)功能豐富的網(wǎng)絡(luò)功能f)f) 可靠的安全、穩(wěn)定性能可靠的安全、穩(wěn)定性能g)g) 支持多種平臺支持多種平臺連云港康達(dá)智Window

23、sWindows系統(tǒng)系統(tǒng)WindowsWindows分為桌面操作系統(tǒng)和服務(wù)器操作系統(tǒng)，分別適用于分為桌面操作系統(tǒng)和服務(wù)器操作系統(tǒng)，分別適用于個人用戶和企業(yè)用戶個人用戶和企業(yè)用戶WindowsWindows操作系統(tǒng)的特點是易于使用，功能全面，與微軟公操作系統(tǒng)的特點是易于使用，功能全面，與微軟公司的其他應(yīng)用程序產(chǎn)品無縫集成，是現(xiàn)今世界上使用者最司的其他應(yīng)用程序產(chǎn)品無縫集成，是現(xiàn)今世界上使用者最多的一種操作系統(tǒng)。多的一種操作系統(tǒng)。連云港康達(dá)智操作系統(tǒng)安全體系操作系統(tǒng)安全體系談到操作系統(tǒng)安全時我們通常有幾個需求：談到操作系統(tǒng)安全時我們通常有幾個需求：確保操作系統(tǒng)自身的穩(wěn)定正常確保操作系統(tǒng)自身的穩(wěn)定正常

24、確保只有合法的用戶能夠進(jìn)入系統(tǒng)確保只有合法的用戶能夠進(jìn)入系統(tǒng)進(jìn)入系統(tǒng)的用戶只能做被允許的操作安全進(jìn)入系統(tǒng)的用戶只能做被允許的操作安全敏感的數(shù)據(jù)無法被非法竊取敏感的數(shù)據(jù)無法被非法竊取連云港康達(dá)智操作系統(tǒng)自身安全設(shè)計操作系統(tǒng)自身安全設(shè)計為了為了使用戶更愿意使用自己的產(chǎn)品，提供操作系統(tǒng)的軟件使用戶更愿意使用自己的產(chǎn)品，提供操作系統(tǒng)的軟件開發(fā)商們都默認(rèn)在他們生產(chǎn)的系統(tǒng)中提供了一些安全技術(shù)，開發(fā)商們都默認(rèn)在他們生產(chǎn)的系統(tǒng)中提供了一些安全技術(shù)，通常這些技術(shù)包括：通常這些技術(shù)包括：身份驗證身份驗證授權(quán)授權(quán)加密加密策略或者規(guī)則策略或者規(guī)則主機(jī)防火墻主機(jī)防火墻審核審核連云港康達(dá)智身份驗證與賬戶系統(tǒng)身份驗證與賬戶

25、系統(tǒng)賬戶系統(tǒng)是操作系統(tǒng)中重要的子系統(tǒng)，它主要對被管理的賬戶系統(tǒng)是操作系統(tǒng)中重要的子系統(tǒng)，它主要對被管理的主體進(jìn)行映射。主體進(jìn)行映射。在日常的計算機(jī)管理環(huán)境中，常見的主體是用戶和計算機(jī)，在日常的計算機(jī)管理環(huán)境中，常見的主體是用戶和計算機(jī)，為了在操作系統(tǒng)中對用戶進(jìn)行區(qū)分管理，將其映射為用戶為了在操作系統(tǒng)中對用戶進(jìn)行區(qū)分管理，將其映射為用戶賬戶。這兩種賬戶用來實現(xiàn)身份證，權(quán)限和策略控制賬戶。這兩種賬戶用來實現(xiàn)身份證，權(quán)限和策略控制連云港康達(dá)智為什么使用用戶賬戶為什么使用用戶賬戶我想控制什么樣的人才能訪問某些文件。我想控制什么樣的人才能訪問某些文件。(IT(IT主管主管) )將用戶賬戶和相應(yīng)文件的權(quán)限

26、關(guān)聯(lián)在一起實現(xiàn)控制訪問我我想提高公司網(wǎng)絡(luò)的安全性。（想提高公司網(wǎng)絡(luò)的安全性。（ITIT主管）主管）用戶在登錄時必須提供在公司的網(wǎng)絡(luò)中合法的賬戶與相關(guān)口令在計算機(jī)應(yīng)用環(huán)境中通過賬戶映射在計算機(jī)應(yīng)用環(huán)境中通過賬戶映射“人人”這種實體，并將其和相關(guān)這種實體，并將其和相關(guān)應(yīng)用關(guān)聯(lián)起來應(yīng)用關(guān)聯(lián)起來連云港康達(dá)智賬戶攻擊賬戶攻擊連云港康達(dá)智何為資源訪問控制？何為資源訪問控制？網(wǎng)絡(luò)的實際作用在于能夠讓用戶更方便更快捷的在很大的網(wǎng)絡(luò)的實際作用在于能夠讓用戶更方便更快捷的在很大的范圍內(nèi)共享數(shù)據(jù)，但這是否就意味著每個人都能夠或者應(yīng)范圍內(nèi)共享數(shù)據(jù)，但這是否就意味著每個人都能夠或者應(yīng)該是自由的訪問任何一臺另外計算機(jī)上的

27、文件呢該是自由的訪問任何一臺另外計算機(jī)上的文件呢答案在于用戶可以去訪問別人計算機(jī)上的文件，但前提是答案在于用戶可以去訪問別人計算機(jī)上的文件，但前提是確保安全性與合法性確保安全性與合法性所謂資源訪問控制就是利用權(quán)限來控制哪些人可以訪問資所謂資源訪問控制就是利用權(quán)限來控制哪些人可以訪問資源，訪問的級別又有多高源，訪問的級別又有多高可以利用共享權(quán)限控制遠(yuǎn)程訪問權(quán)限，通過文件系統(tǒng)權(quán)限可以利用共享權(quán)限控制遠(yuǎn)程訪問權(quán)限，通過文件系統(tǒng)權(quán)限控制本地訪問權(quán)限控制本地訪問權(quán)限連云港康達(dá)智何為權(quán)限？何為權(quán)限？權(quán)限用來定義合法的訪問者在系統(tǒng)中做哪些操作是合法的。權(quán)限用來定義合法的訪問者在系統(tǒng)中做哪些操作是合法的。權(quán)限

28、一般也分為多個層次，有本地權(quán)限，也有遠(yuǎn)程權(quán)限權(quán)限一般也分為多個層次，有本地權(quán)限，也有遠(yuǎn)程權(quán)限連云港康達(dá)智何為審核？何為審核？審核和日志是操作系統(tǒng)中的一種跟蹤技術(shù)，它可幫助管理審核和日志是操作系統(tǒng)中的一種跟蹤技術(shù)，它可幫助管理員了解到如下的一些內(nèi)部活動的相關(guān)信息員了解到如下的一些內(nèi)部活動的相關(guān)信息 通過審核我們及時發(fā)現(xiàn)系統(tǒng)中出現(xiàn)的一些安全問題，從而及時的進(jìn)行反應(yīng)，進(jìn)而配置防御性措施 我們也可以利用審核信息作為證據(jù)，威懾攻擊者連云港康達(dá)智關(guān)閉不必要的服務(wù)關(guān)閉不必要的服務(wù)通過系統(tǒng)中的管理工具將一些我們所不需要的功能進(jìn)行關(guān)通過系統(tǒng)中的管理工具將一些我們所不需要的功能進(jìn)行關(guān)閉，或者修改默認(rèn)端口號防止監(jiān)聽

29、。閉，或者修改默認(rèn)端口號防止監(jiān)聽。連云港康達(dá)智應(yīng)用程序安全應(yīng)用程序安全連云港康達(dá)智應(yīng)用程序安全應(yīng)用程序安全確保企業(yè)關(guān)鍵的應(yīng)用程序服務(wù)器不易遭受到攻擊確保企業(yè)關(guān)鍵的應(yīng)用程序服務(wù)器不易遭受到攻擊確保應(yīng)用程序本身的穩(wěn)定運(yùn)行確保應(yīng)用程序本身的穩(wěn)定運(yùn)行安裝經(jīng)測試的反病毒和反木馬軟件安裝經(jīng)測試的反病毒和反木馬軟件定期進(jìn)行應(yīng)用程序的更新定期進(jìn)行應(yīng)用程序的更新第第四四部分部分安全設(shè)計和安全評估安全設(shè)計和安全評估連云港康達(dá)智連云港康達(dá)智安全設(shè)計安全設(shè)計連云港康達(dá)智安全設(shè)計與實現(xiàn)安全設(shè)計與實現(xiàn)設(shè)計設(shè)計 確保網(wǎng)絡(luò)安全的方案是預(yù)見性的而不是被動的 包含策略和過程 包括了對操作系統(tǒng)，數(shù)據(jù)，賬戶，中立區(qū)，路由器，連接，計

30、算機(jī)，移動設(shè)置，技術(shù)設(shè)施，操作者的安全規(guī)劃實現(xiàn)實現(xiàn) 通過所設(shè)計的安全方案進(jìn)行環(huán)境配置額外考慮額外考慮 實現(xiàn)更高級別的安全并不總是帶來好處意味著更高的投資連云港康達(dá)智網(wǎng)絡(luò)安全方案的框架網(wǎng)絡(luò)安全方案的框架總體上說，一份安全解決方案框架涉及總體上說，一份安全解決方案框架涉及6 6大方面，可以根據(jù)大方面，可以根據(jù)實際需求取舍實際需求取舍 概要安全風(fēng)險分析 實際安全風(fēng)險分析 網(wǎng)絡(luò)系統(tǒng)的安全原則 安全產(chǎn)品 風(fēng)險評估 安全服務(wù)連云港康達(dá)智安全評估安全評估連云港康達(dá)智安全準(zhǔn)則安全準(zhǔn)則只要企業(yè)的網(wǎng)絡(luò)連接到只要企業(yè)的網(wǎng)絡(luò)連接到InternetInternet，一定要配置邊界防火墻，病毒防，一定要配置邊界防火墻，病

31、毒防火墻火墻分析并確認(rèn)企業(yè)的關(guān)鍵業(yè)務(wù)服務(wù)器，將這些關(guān)鍵服務(wù)器放置在指定分析并確認(rèn)企業(yè)的關(guān)鍵業(yè)務(wù)服務(wù)器，將這些關(guān)鍵服務(wù)器放置在指定的物理安全保障措施齊備的位置的物理安全保障措施齊備的位置對于關(guān)鍵服務(wù)器的訪問設(shè)備進(jìn)行強(qiáng)化對于關(guān)鍵服務(wù)器的訪問設(shè)備進(jìn)行強(qiáng)化對于關(guān)鍵服務(wù)器的操作系統(tǒng)進(jìn)行強(qiáng)化對于關(guān)鍵服務(wù)器的操作系統(tǒng)進(jìn)行強(qiáng)化對于關(guān)鍵服務(wù)器的應(yīng)用進(jìn)行強(qiáng)化對于關(guān)鍵服務(wù)器的應(yīng)用進(jìn)行強(qiáng)化對于重要數(shù)據(jù)采取加密保護(hù)對于重要數(shù)據(jù)采取加密保護(hù)對所有的計算機(jī)進(jìn)行及時更新對所有的計算機(jī)進(jìn)行及時更新啟動多層次的審核啟動多層次的審核對移動設(shè)備的使用進(jìn)行規(guī)范對移動設(shè)備的使用進(jìn)行規(guī)范對存儲設(shè)備的使用進(jìn)行規(guī)范對存儲設(shè)備的使用進(jìn)行規(guī)范對用

32、戶進(jìn)行培訓(xùn)提高其自身的安全意識問題并制定安全守則進(jìn)行約對用戶進(jìn)行培訓(xùn)提高其自身的安全意識問題并制定安全守則進(jìn)行約束束連云港康達(dá)智我國評價標(biāo)準(zhǔn)我國評價標(biāo)準(zhǔn)我國根據(jù)我國根據(jù)計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 17859-1999GB 17859-1999，19991999年年1010月月經(jīng)過國家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計算機(jī)安全保護(hù)劃分為以下五個級別經(jīng)過國家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計算機(jī)安全保護(hù)劃分為以下五個級別第第一級為用戶自主保護(hù)級：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，一級為用戶自主保護(hù)級：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保

33、護(hù)用戶的信息免受非法的讀寫破壞。保護(hù)用戶的信息免受非法的讀寫破壞。第二第二級為系統(tǒng)審計保護(hù)級：除具備第一級所有的安全保護(hù)功能外，要求創(chuàng)建和級為系統(tǒng)審計保護(hù)級：除具備第一級所有的安全保護(hù)功能外，要求創(chuàng)建和維護(hù)訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負(fù)責(zé)。維護(hù)訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負(fù)責(zé)。第三級為安全標(biāo)記保護(hù)級：除繼承前一個級別的安全功能外，還要求以訪問對第三級為安全標(biāo)記保護(hù)級：除繼承前一個級別的安全功能外，還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強(qiáng)制保護(hù)。象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強(qiáng)制保護(hù)。第四第四級

34、為結(jié)構(gòu)化保護(hù)級：在繼承前面安全級別安全功能的基礎(chǔ)上，將安全保護(hù)級為結(jié)構(gòu)化保護(hù)級：在繼承前面安全級別安全功能的基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制訪問者對訪問對象的機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制訪問者對訪問對象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力第五第五級為訪問驗證保護(hù)級：這一個級別特別增設(shè)了訪問驗證功能，負(fù)責(zé)仲裁訪級為訪問驗證保護(hù)級：這一個級別特別增設(shè)了訪問驗證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。問者對訪問對象的所有訪問活動。連云港康達(dá)智國際評價標(biāo)準(zhǔn)國際評價標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計算機(jī)安全標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計算機(jī)安全標(biāo)準(zhǔn)可信任計算機(jī)標(biāo)準(zhǔn)評價可信任計算機(jī)標(biāo)