信息安全技術(shù)發(fā)展?fàn)顩r簡(jiǎn)

1、信息安全技術(shù)發(fā)展?fàn)顩r簡(jiǎn)第1頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施北大青鳥(niǎo)第2頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)信息安全的目標(biāo)、技術(shù)和產(chǎn)品關(guān)系圖應(yīng)用安全：目標(biāo)：機(jī)密、完整、抗否認(rèn)、可用 技術(shù)：加密、驗(yàn)證、簽名、認(rèn)證、備份 產(chǎn)品：加密機(jī)（卡）、保密網(wǎng)關(guān)誘因：網(wǎng)絡(luò)缺陷 + 開(kāi)放性 + 黑客攻擊保障：標(biāo)準(zhǔn) + 策略 + 管理 + 緊急響應(yīng)內(nèi)容安全：目標(biāo)：凈化內(nèi)容、獲取敵對(duì)信息、保護(hù)涉密 技術(shù)：搜索、定位、密級(jí)分類管理 產(chǎn)品：信息監(jiān)察系統(tǒng)、

2、涉密檢查系統(tǒng)網(wǎng)絡(luò)安全：目標(biāo)：可控、可靠、防入侵 技術(shù)：訪問(wèn)控制、認(rèn)證、審計(jì)、入侵檢測(cè) 產(chǎn)品：防火墻、VPN、安全路由器傳輸安全：目標(biāo)：防竊聽(tīng)、防阻塞、防篡改、防盜用 技術(shù)：加密、認(rèn)證 產(chǎn)品：加密機(jī)、VPN、專網(wǎng)第3頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全技術(shù)架構(gòu)第4頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施北大青鳥(niǎo)第5頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)不安全的根本原因 馮.諾依曼結(jié)構(gòu) 軟件=數(shù)據(jù)+程序網(wǎng)絡(luò)不安全的

3、直接原因 自身缺陷 + 開(kāi)放性 + 黑客攻擊第6頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)自身的安全缺陷 協(xié)議本身會(huì)泄漏口令 連接可成為被盜用的目標(biāo) 服務(wù)器本身需要讀寫特權(quán) 基于地址 密碼保密措施不強(qiáng) 某些協(xié)議經(jīng)常運(yùn)行一些無(wú)關(guān)的程序 業(yè)務(wù)內(nèi)部可能隱藏著一些錯(cuò)誤的信息 有些業(yè)務(wù)本身尚未完善,難于區(qū)分出錯(cuò)原因 有些業(yè)務(wù)設(shè)置復(fù)雜,很難完善地設(shè)立 使用CGI的業(yè)務(wù)第7頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)開(kāi)放性 業(yè)務(wù)基于公開(kāi)的協(xié)議遠(yuǎn)程訪問(wèn)使得各種攻擊無(wú)需到現(xiàn)場(chǎng)就能得手 連接是基于主機(jī)上的社團(tuán)彼此信任的原則黑客（HACKER) 定義：“非法入侵者”起源： 60

4、年代,計(jì)算機(jī)技術(shù)愛(ài)好者 目的： 基于興趣非法入侵 基于利益非法入侵 信息戰(zhàn)第8頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一常見(jiàn)攻擊分類口令破解：攻擊者可通過(guò)獲取口令文件，然后運(yùn)用口令破解工 具獲得口令，也可通過(guò)猜測(cè)或竊聽(tīng)等方式獲取口令。連接盜用：在合法的通信連接建立后，攻擊者可通過(guò)阻塞或摧毀 通信的一方來(lái)接管已經(jīng)過(guò)認(rèn)證建立起來(lái)的連接，從而 假冒被接管方與對(duì)方通信；服務(wù)拒絕：攻擊者可直接發(fā)動(dòng)攻擊，也可通過(guò)控制其它主機(jī)發(fā)起 攻擊使目標(biāo)癱瘓，如發(fā)送大量的數(shù)據(jù)洪流阻塞目標(biāo)；網(wǎng)絡(luò)竊聽(tīng)：網(wǎng)絡(luò)的開(kāi)放性使攻擊者可通過(guò)直接或間接竊聽(tīng)獲取所 需信息；數(shù)據(jù)篡改：攻擊者可通過(guò)截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方

5、式破壞 數(shù)據(jù)的完整性；第9頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一常見(jiàn)攻擊分類地址欺騙：攻擊者可通過(guò)偽裝成被信任的IP地址等方式來(lái)騙取 目標(biāo)的信任；社會(huì)工程：攻擊者可通過(guò)各種社交渠道獲得有關(guān)目標(biāo)的結(jié)構(gòu)、 使用情況、安全防范措施等有用信息，從而提高攻 擊成功率。惡意掃描：攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標(biāo)的漏洞 ，進(jìn)而發(fā)起攻擊；基礎(chǔ)設(shè)施破壞：攻擊者可通過(guò)破壞DNS或路由信息等基礎(chǔ)設(shè)施 使目標(biāo)陷于孤立；數(shù)據(jù)驅(qū)動(dòng)攻擊：攻擊者可通過(guò)施放病毒、特洛伊木馬、數(shù)據(jù)炸 彈等方式破壞或遙控目標(biāo)。 第10頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與

6、威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施北大青鳥(niǎo)第11頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)安全的任務(wù) 保障各種網(wǎng)絡(luò)資源 穩(wěn)定、可靠地運(yùn)行 受控、合法地使用信息安全的任務(wù) 機(jī)密性（confidentiality) 完整性(integrity) 抗否認(rèn)性(non-repudiation) 可用性(availability)其他 病毒防治 預(yù)防內(nèi)部犯罪第12頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一四大安全需求運(yùn)行安全防護(hù)安全管理安全評(píng)估安全第13頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索

7、引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施北大青鳥(niǎo)第14頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全理論密碼理論與技術(shù)（加密、標(biāo)記）認(rèn)證識(shí)別理論與技術(shù)（I&A)授權(quán)與訪問(wèn)控制理論與技術(shù)審計(jì)追蹤技術(shù)網(wǎng)間隔離與訪問(wèn)代理技術(shù)反病毒技術(shù)第15頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一密碼技術(shù)信息加密算法 對(duì)稱；DES,3DES,AES 非對(duì)稱:RSA,ECC數(shù)字簽名算法 摘要：MD5,SHA 簽名：DSS,RSA第16頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一ECC密鑰長(zhǎng)度mRSA密

8、鑰長(zhǎng)度MIPS-年 160 10241012 320 51201036 600 210001078 1200 12000010168ECC和RSA性能比較第17頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一DES密鑰長(zhǎng)度(bit)RSA密鑰長(zhǎng)度(bit)56 38464 512 1121792 1282304DES和RSA性能比較(同等強(qiáng)度）第18頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一系統(tǒng)安全技術(shù)身份認(rèn)證口令認(rèn)證挑戰(zhàn)/應(yīng)答方式Keberos認(rèn)證訪問(wèn)控制和授權(quán)自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、基于角色訪問(wèn)控制審計(jì) 日志記錄、統(tǒng)計(jì)分析、數(shù)據(jù)挖掘第19頁(yè)，共77頁(yè)，2022

9、年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)安全技術(shù)北大青鳥(niǎo)防火墻技術(shù)安全保密網(wǎng)關(guān)技術(shù)安全路由技術(shù)VPN技術(shù)漏洞掃描技術(shù)入侵檢測(cè)技術(shù)第20頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一IP/IPSecHTTPFTPSMTPTCP(a) Network Level安全協(xié)議-網(wǎng)絡(luò)層第21頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一IPHTTPFTPSMTPTCP(b) Transport LevelSSL or TLS安全協(xié)議- 傳輸層第22頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一(c) Application LevelIPS/MIMEPGPSETTCPS

10、MTPUDPKerberosHTTP安全協(xié)議- 應(yīng)用層第23頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一Application dataFragment CompressAdd MACEncryptionAppend SSLrecord headerSSL Record Protocol 具體操作可選第24頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一SSL握手協(xié)議的消息傳遞第25頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一PGP典型示例(產(chǎn)生 PGP Message)第26頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一PGP典型示例(接收

11、PGP Message)第27頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施北大青鳥(niǎo)第28頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全評(píng)估標(biāo)準(zhǔn)第29頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一國(guó)標(biāo)主要安全指標(biāo)國(guó)家安全標(biāo)準(zhǔn)主要考核指標(biāo)有： 身份認(rèn)證、自主訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問(wèn)控制、安全標(biāo)記、可信路徑、可信恢復(fù)等。特點(diǎn)： 這些指標(biāo)涵蓋了不同級(jí)別的安全要求。第30頁(yè)，共77頁(yè)，2022年，5月20日，1

12、6點(diǎn)35分，星期一信息網(wǎng)絡(luò)主要安全指標(biāo)身 份 認(rèn) 證：主要考慮用戶、主機(jī)和節(jié)點(diǎn)的身份認(rèn)證。訪 問(wèn) 控 制：采用自主訪問(wèn)控制策略。數(shù)據(jù)完整性：考慮存儲(chǔ)、傳輸和使用中不被篡改和泄密。審 計(jì)：主要考慮訪問(wèn)的主體、客體、時(shí)間、成敗情況等。隱 蔽 信 道：主要考慮采用安全監(jiān)控和安全漏洞檢測(cè)來(lái)加強(qiáng)對(duì) 隱蔽信道的防范。第31頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一其他標(biāo)準(zhǔn)管理：ISO17799 . . . . . .第32頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案

13、與實(shí)施北大青鳥(niǎo)第33頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一技術(shù)管理 根據(jù)事物發(fā)展的規(guī)律，采用合理的技術(shù)手段，對(duì)所需管理的對(duì)象進(jìn)行合理的計(jì)劃、組織和控制，使之依照固有的規(guī)律最有效、最大限度地按預(yù)定的目標(biāo)運(yùn)行。技術(shù)管理與行政管理 技術(shù)管理是基礎(chǔ)和措施，服務(wù)于行政管理。行政管理是策略和方法，通過(guò)技術(shù)措施實(shí)現(xiàn)目標(biāo)。技術(shù)管理概念第34頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一技術(shù)管理的必要性三分技術(shù)七分管理 安全策略的制定不是技術(shù)問(wèn)題，而是管理問(wèn)題 缺省配置為系統(tǒng)留下安全隱患，需要管理 系統(tǒng)漏洞與補(bǔ)丁不斷出現(xiàn)，需要管理 安全檢查和評(píng)估需要需要管理手段 安全系統(tǒng)運(yùn)行監(jiān)控

14、需要管理管理出效益 減少故障時(shí)間 預(yù)防安全事件 節(jié)省維護(hù)開(kāi)支第35頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一技術(shù)管理的目標(biāo)和內(nèi)容網(wǎng)絡(luò)管理 IP地址管理 非法撥號(hào)上網(wǎng)管理 拓?fù)涔芾?端口管理 運(yùn)行管理 運(yùn)行基本狀況監(jiān)控 日志管理 配置管理 流量管理 病毒管理 授權(quán)管理 事件關(guān)聯(lián)分析 第36頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一技術(shù)管理的目標(biāo)和內(nèi)容漏洞管理 漏洞跟蹤 補(bǔ)丁檢查 特征升級(jí) 人員管理 人員權(quán)限管理 人員行為管理 人員變更管理 活動(dòng)帳號(hào)管理第37頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一物理安全檢查 物理運(yùn)行環(huán)境（溫度、濕度) 電磁兼容

15、環(huán)境 (抗干擾、防輻射） 機(jī)房安防環(huán)境（防盜、防改) 第38頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一漏洞掃描檢測(cè) IP掃描端口掃描漏洞掃描補(bǔ)丁掃描病毒掃描第39頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全設(shè)備運(yùn)行監(jiān)控設(shè)備有效性監(jiān)控設(shè)備配置監(jiān)控日志分析突發(fā)事件監(jiān)控遠(yuǎn)程配置和控制事件關(guān)聯(lián)性分析事件追蹤第40頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全決策專家安全建議國(guó)家行業(yè)法規(guī)用戶行為追蹤行為關(guān)聯(lián)分析網(wǎng)絡(luò)異常發(fā)現(xiàn)安全事件告警策略自動(dòng)分配可視安全狀態(tài)人性操作界面安全事件歷史安全控制分布管理集中管理異步調(diào)用跨平臺(tái)開(kāi)放接口加密通信信息采集網(wǎng)絡(luò)運(yùn)行狀況

16、網(wǎng)絡(luò)流量信息用戶行為數(shù)據(jù)產(chǎn)品審計(jì)信息產(chǎn)品更換升級(jí)策略措施調(diào)整產(chǎn)品技術(shù)公告攻擊技術(shù)公告第41頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一第42頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全測(cè)評(píng)安全風(fēng)險(xiǎn)評(píng)估（財(cái)產(chǎn)評(píng)估、威脅評(píng)估）安全標(biāo)準(zhǔn)和安全等級(jí)確認(rèn)安全指標(biāo)第43頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全實(shí)踐結(jié)構(gòu)第44頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全策略策略建立和審核過(guò)程人員策略決定需要保護(hù)什么決定哪些損失是可以接受的列出所有潛在的風(fēng)險(xiǎn)和安全漏洞獲得安全工具建立物理災(zāi)難恢復(fù), 事件響應(yīng)及意外事故計(jì)提供安全認(rèn)知和實(shí)踐培訓(xùn)

17、第45頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一系統(tǒng)安全增強(qiáng)新的系統(tǒng)總是充滿了各種安全漏洞打上最新軟件補(bǔ)丁和更新總是到系統(tǒng)供應(yīng)商處檢查更新從可信站點(diǎn)下載,使用MD5或數(shù)字簽名(PGP)檢查加強(qiáng)口令保護(hù)設(shè)置系統(tǒng)審計(jì)功能增強(qiáng)文件系統(tǒng)安全文件系統(tǒng)監(jiān)控文件自動(dòng)恢復(fù)安全配置各種網(wǎng)絡(luò)服務(wù)其他安全考慮第46頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)基礎(chǔ)設(shè)施為避免網(wǎng)絡(luò)竊聽(tīng),應(yīng)使用交換式HUB,而不用共享式HUB許多支持SNMP的設(shè)備中, SNMP agent的默認(rèn)口令“public” 未作更改第47頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一路由器關(guān)閉源路由,

18、以避免IP欺騙在路由器上,禁止TCP和UDP端口137 138,139 以及其他不會(huì)用到的TCP/UDP端口,禁止不需要的協(xié)議路由器只是原始的網(wǎng)絡(luò)安全設(shè)備它不跟蹤TCP連接狀態(tài)它也沒(méi)有日志機(jī)制來(lái)檢測(cè)入侵企圖包過(guò)濾規(guī)則難以設(shè)置第48頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施北大青鳥(niǎo)第49頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全方案設(shè)計(jì)要素明確的需求分析 合理的設(shè)計(jì)原則可信的安全等級(jí) 良好的指導(dǎo)方法全面的理論模型 正確的技術(shù)選擇可靠的支撐產(chǎn)品

19、實(shí)用的功能性能可行的評(píng)價(jià)措施 完善的管理手段長(zhǎng)遠(yuǎn)的維護(hù)升級(jí) 第50頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一信息安全產(chǎn)品防火墻入侵檢測(cè)漏洞掃描管理中心測(cè)評(píng)工具反病毒第51頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一目前的安全狀況 -產(chǎn)品分布總產(chǎn)值：26億（2001年） 第52頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全防護(hù)實(shí)踐安全策略系統(tǒng)安全增強(qiáng)網(wǎng)絡(luò)安全最終用戶安全其他第53頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一防火墻防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)間訪問(wèn)控制的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的集合，它滿足以下條件：內(nèi)部和外部之間的所有網(wǎng)

20、絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻防火墻的作用強(qiáng)化安全策略 有效地記錄Internet上的活動(dòng) 隔離不同網(wǎng)絡(luò)，限制安全問(wèn)題擴(kuò)散是一個(gè)安全策略的檢查站 第54頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一防火墻相關(guān)技術(shù)靜態(tài)包過(guò)濾動(dòng)態(tài)包過(guò)濾應(yīng)用程序網(wǎng)關(guān)(代理服務(wù)器)電路級(jí)網(wǎng)關(guān)網(wǎng)絡(luò)地址翻譯虛擬專用網(wǎng)第55頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一防火墻體系結(jié)構(gòu)雙宿/多宿主機(jī)模式 (dual-homed/multi-homed)屏蔽主機(jī)模式屏蔽子網(wǎng)模式第56頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一雙宿主機(jī)模式堡壘主機(jī)內(nèi)部網(wǎng)外部網(wǎng)絡(luò)

21、最小服務(wù)最少特權(quán)第57頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一屏蔽主機(jī)模式包過(guò)濾路由器內(nèi)部網(wǎng)外部網(wǎng)絡(luò)堡壘主機(jī)第58頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一屏蔽子網(wǎng)模式內(nèi)部路由器內(nèi)部網(wǎng)外部網(wǎng)絡(luò)堡壘主機(jī)外部路由器DMZ區(qū)周邊網(wǎng)解決了單點(diǎn)失效問(wèn)題第59頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全掃描手工地或使用特定的自動(dòng)軟件工具安全掃描器，對(duì)系統(tǒng)威脅進(jìn)行評(píng)估，尋找可能對(duì)系統(tǒng)造成損害的安全漏洞。本地掃描器或系統(tǒng)掃描器：掃描器和待檢查系統(tǒng)運(yùn)行于同一結(jié)點(diǎn)，執(zhí)行自身檢查遠(yuǎn)程掃描器或網(wǎng)絡(luò)掃描器：掃描器和待檢查系統(tǒng)運(yùn)行于不同結(jié)點(diǎn)，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)目標(biāo)結(jié)點(diǎn)，尋

22、找安全漏洞。第60頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一入侵檢測(cè) (IDS)防火墻和IDS是網(wǎng)絡(luò)安全中互為補(bǔ)充的兩項(xiàng)工具IDS完成以下功能實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量檢查審計(jì)信息,尋找入侵活動(dòng)當(dāng)發(fā)現(xiàn)入侵特征后,告警IDS有兩大種類基于主機(jī)基于網(wǎng)絡(luò)IDS通常很昂貴,會(huì)產(chǎn)生相當(dāng)多的誤報(bào)第61頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一最終用戶安全安全訓(xùn)練提高安全意識(shí),了解網(wǎng)絡(luò)安全策略工作站安全保護(hù)敏感信息備份,加密,加鎖默認(rèn)外來(lái)文件都是有害的選取合適口令瀏覽器選擇及配置強(qiáng)加密Cookie,Java Applet, Javascript, ActiveX等的使用正確處理電子郵件

23、加密,數(shù)字簽名第62頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全技術(shù)架構(gòu)第63頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一DMZDDN/X.25/FR無(wú)線網(wǎng)加密機(jī)防火墻路由器路由器PSTN移動(dòng)用戶外部mail服務(wù)器外部WWW服務(wù)器外部DNS普通客戶密鑰管理中心防火墻安全客戶端一般服務(wù)器1一般服務(wù)器2一般服務(wù)器3一般服務(wù)器n重要服務(wù)器1重要服務(wù)器2重要服務(wù)器3重要服務(wù)器n接入/認(rèn)證服務(wù)器 訪問(wèn)代理漏洞掃描/入侵檢測(cè)安全方案拓?fù)淇倛D第64頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一代理服務(wù)器地址過(guò)濾身份認(rèn)證（雙向）訪問(wèn)控制訪問(wèn)代理出關(guān)控制數(shù)據(jù)加/解密

24、日 志 審 計(jì)第65頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一安全客戶通信層身份認(rèn)證（雙向）數(shù)據(jù)加/解密（軟件或IC卡）emailwwwFTP第66頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一代理接口安全第67頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一外層防火墻隔離Internet和DMZ；IP包過(guò)濾，僅允許從Internet到DMZ公共服務(wù)器的訪問(wèn)和經(jīng)由內(nèi)層防火墻到Internet訪問(wèn)的IP包進(jìn)出；實(shí)現(xiàn)地址轉(zhuǎn)換，隱藏DMZ及內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；IP地址合法性檢查，防止地址欺騙；具備審計(jì)功能。同IDS聯(lián)動(dòng),切斷入侵者連接內(nèi)層防火墻、代理服務(wù)器隔離DM

25、Z和內(nèi)部網(wǎng)；實(shí)現(xiàn)代理訪問(wèn)型防火墻功能，支持從內(nèi)部網(wǎng)到Internet和DMZ的單向訪問(wèn)；實(shí)現(xiàn)身份認(rèn)證，內(nèi)部網(wǎng)訪問(wèn)Internet必須先經(jīng)過(guò)認(rèn)證才能進(jìn)行；能夠?qū)崿F(xiàn)地址轉(zhuǎn)換，隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；IP地址合法性檢查，防止地址欺騙；對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行監(jiān)控審計(jì)；自身對(duì)發(fā)生的攻擊行為能進(jìn)行審計(jì)。同IDS聯(lián)動(dòng),切斷入侵者連接第68頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一入侵檢測(cè)系統(tǒng)(IDS)能夠?qū)崟r(shí)準(zhǔn)確捕捉到入侵；能夠檢測(cè)出系統(tǒng)管理員及內(nèi)部用戶的誤操作；發(fā)現(xiàn)入侵能夠及時(shí)作出響應(yīng)并詳細(xì)記錄審計(jì)日志同防火墻聯(lián)動(dòng)，主動(dòng)切斷入侵者連接安全掃描系統(tǒng)檢查系統(tǒng)中存在的特洛伊木馬及有漏洞程序；對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)

26、行檢測(cè)，查找可能存在的安全漏洞、配置問(wèn)題并給出報(bào)告和修改建議；第69頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一DMZDDN/X.25/FR無(wú)線網(wǎng)加密機(jī)防火墻路由器路由器PSTN移動(dòng)用戶外部mail服務(wù)器外部WWW服務(wù)器外部DNS普通客戶密鑰管理中心防火墻安全客戶端一般服務(wù)器1一般服務(wù)器2一般服務(wù)器3一般服務(wù)器n重要服務(wù)器1重要服務(wù)器2重要服務(wù)器3重要服務(wù)器n接入/認(rèn)證服務(wù)器 訪問(wèn)代理漏洞掃描/入侵檢測(cè)安全方案拓?fù)淇倛D第70頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一內(nèi)容索引安全總體框架安全原因與威脅安全目的與任務(wù)安全理論與技術(shù)安全標(biāo)準(zhǔn)與規(guī)范安全管理與檢查安全主管與監(jiān)察安全方案與實(shí)施未來(lái)展望北大青鳥(niǎo)第71頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一被動(dòng)防御-主動(dòng)防御基本安全-全面安全防護(hù)監(jiān)測(cè)-誘騙取證可用性-生存性安全發(fā)展趨勢(shì)第72頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一北大青鳥(niǎo)安全實(shí)踐北大青鳥(niǎo)第73頁(yè)，共77頁(yè)，2022年，5月20日，16點(diǎn)35分，星期一Structure of Jade BirdJade Bird GroupBeijing Beida Jade Bird LimitedJade B