第一章-網(wǎng)絡(luò)安全概述最新版實施高級網(wǎng)絡(luò)安全DCNSE課件

吳江教委培訓(xùn)鄭璐zhenglu@吳江教委培訓(xùn)鄭璐構(gòu)建智能安全網(wǎng)絡(luò)第一章網(wǎng)絡(luò)安全概述第二章TCP/IP協(xié)議集第三章常用的攻擊方法第四章計算機(jī)病毒第五章防火墻技術(shù)第六章入侵檢測系統(tǒng)第七章數(shù)據(jù)加密第八章VPN第九章安全審計構(gòu)建智能安全網(wǎng)絡(luò)第一章網(wǎng)絡(luò)安全概述第一章網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全基礎(chǔ)知識-網(wǎng)絡(luò)安全的定義-網(wǎng)絡(luò)存在的威脅-網(wǎng)絡(luò)安全技術(shù)安全體系結(jié)構(gòu)-ISO/OSI安全體系結(jié)構(gòu)-P2DR模型-安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全解決方案-電子政務(wù)網(wǎng)-電信網(wǎng)絡(luò)第一章網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：網(wǎng)絡(luò)存在的威脅非授權(quán)訪問信息泄漏或丟失破壞數(shù)據(jù)完整性拒絕服務(wù)攻擊利用網(wǎng)絡(luò)傳播病毒網(wǎng)絡(luò)存在的威脅非授權(quán)訪問網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問控制技術(shù)密碼技術(shù)防火墻技術(shù)安全審計技術(shù)安全管理技術(shù)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問控制技術(shù)安全體系結(jié)構(gòu)ISO/OSI安全體系結(jié)構(gòu)-安全服務(wù)-安全機(jī)制-安全管理P2DR安全模型安全體系結(jié)構(gòu)ISO/OSI安全體系結(jié)構(gòu)ISO/OSI安全體系結(jié)構(gòu)公證路由控制業(yè)務(wù)流填充認(rèn)證交換數(shù)據(jù)完整性訪問控制數(shù)字簽名加密應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層對象認(rèn)證數(shù)據(jù)保密性三維安全體系結(jié)構(gòu)框架防抵賴性數(shù)據(jù)完整性結(jié)構(gòu)層次安全機(jī)制安全服務(wù)訪問控制ISO/OSI安全體系結(jié)構(gòu)公證應(yīng)用層對象認(rèn)證數(shù)據(jù)保密性三維安OSI各種安全機(jī)制和安全服務(wù)的關(guān)系加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換防業(yè)務(wù)流量分析路由控制公證對象認(rèn)證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性防抵賴性安全服務(wù)安全機(jī)制√

√

√

√

√

√

√

√

√

√

√

√

√

√

OSI各種安全機(jī)制和安全服務(wù)的關(guān)系加密數(shù)字簽名訪問控制數(shù)據(jù)完P(guān)2DR安全模型P2DR安全模型安全體系結(jié)構(gòu)物理安全網(wǎng)絡(luò)安全信息安全環(huán)境安全設(shè)備安全媒體安全安全體系結(jié)構(gòu)物理安全網(wǎng)絡(luò)安全信息安全環(huán)境安全設(shè)備安全媒體安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全系統(tǒng)（主機(jī)、服務(wù)器）安全反病毒系統(tǒng)安全檢測入侵檢測審計分析網(wǎng)絡(luò)運行安全備份與恢復(fù)應(yīng)急、災(zāi)難恢復(fù)局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全系統(tǒng)（主機(jī)、服務(wù)器）安全反病毒系統(tǒng)安全檢測入侵檢測審信息安全信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性的鑒別防抵賴信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性的鑒別防抵第一章---網(wǎng)絡(luò)安全概述最新版實施高級網(wǎng)絡(luò)安全DCNSE課件第一章---網(wǎng)絡(luò)安全概述最新版實施高級網(wǎng)絡(luò)安全DCNSE課件電信網(wǎng)絡(luò)電信網(wǎng)絡(luò)信息安全的需求-電信網(wǎng)絡(luò)基礎(chǔ)服務(wù)的安全需求-電信網(wǎng)絡(luò)增值業(yè)務(wù)的安全需求-電信業(yè)務(wù)運營管理的安全需求電信網(wǎng)絡(luò)信息安全模型電信網(wǎng)絡(luò)電信網(wǎng)絡(luò)信息安全的需求安全維度3DSMP動態(tài)防御D2SMP靜態(tài)防御安全方案安全威脅類別網(wǎng)絡(luò)活動平面網(wǎng)絡(luò)層次結(jié)構(gòu)安全維度3DSMPD2SMP安全方案安全威脅類別網(wǎng)絡(luò)活動平面網(wǎng)絡(luò)層次結(jié)構(gòu)基礎(chǔ)設(shè)施層，服務(wù)層和應(yīng)用層基礎(chǔ)設(shè)施層：提供基礎(chǔ)網(wǎng)絡(luò)傳輸服務(wù)，包括主機(jī)、接入、匯聚、核心；服務(wù)層：提供支撐性服務(wù)（指為實現(xiàn)接入網(wǎng)絡(luò)所必須的服務(wù)，如AAA、DHCP、DNS）和增值服務(wù)（如QoS、VPN、VoIP）的管理系統(tǒng)；應(yīng)用層：指各種網(wǎng)絡(luò)應(yīng)用，如email,WEB,文件共享，VOIP，視頻會議、網(wǎng)管。網(wǎng)絡(luò)層次結(jié)構(gòu)基礎(chǔ)設(shè)施層，服務(wù)層和應(yīng)用層網(wǎng)絡(luò)活動平面管理平面、控制平面和傳輸平面；

管理平面：指對網(wǎng)絡(luò)的各種管理行為，如配置、網(wǎng)管、日志控制平面：指對網(wǎng)絡(luò)的各種控制行為，如STP、路由、H323的呼叫連接、DHCP的地址租借配置表、AAA的認(rèn)證用戶數(shù)據(jù)庫；數(shù)據(jù)平面：指信息在網(wǎng)元間的傳輸和在網(wǎng)元上的存儲行為

網(wǎng)絡(luò)活動平面管理平面、控制平面和傳輸平面；安全威脅類別由CCITTX.800定義如下：1）信息或資源的破壞；2）信息誤用或篡改；3）信息或資源的竊取、刪除或丟失；4）信息泄漏；5）服務(wù)中斷

安全威脅類別由CCITTX.800定義如下：

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞網(wǎng)元上存儲的管理信息

1．非法用戶破壞網(wǎng)元上存儲的控制信息（路由表等）2．虛假源、目的IP/MAC的包淹沒MAC、主機(jī)表資源1．網(wǎng)線差，線序錯

信息誤用或篡改1．非法用戶篡改存儲的網(wǎng)元配置信息2．非法用戶篡改傳輸?shù)木W(wǎng)元管理信息3．非法用戶管理非法路由、STP、DHCP、ARP、1X、RADIUS響應(yīng)接收或傳輸非法數(shù)據(jù)流（組播數(shù)據(jù)流）信息或資源竊取、刪除、丟失非法用戶讀取網(wǎng)元上或傳輸中的管理信息非法用戶讀取網(wǎng)元上或傳輸中的控制信息非法用戶讀取網(wǎng)元上或傳輸中的應(yīng)用信息信息泄漏管理信息（IP、端口、內(nèi)容）被監(jiān)聽控制信息（IP、端口、內(nèi)容）被監(jiān)聽組播數(shù)據(jù)流泄漏服務(wù)中斷1．IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．虛假路由、BPDU等包淹沒CPU；

1.廣播風(fēng)暴2．突發(fā)異常流量導(dǎo)致正常用戶不能使用對基礎(chǔ)設(shè)施層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞網(wǎng)元上存

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞服務(wù)層的管理信息

1．非法用戶破壞網(wǎng)元上存儲的控制信息（如AAA的認(rèn)證用戶數(shù)據(jù)庫、DHCP的地址租借表）2．虛假服務(wù)申請（ARP、DHCP、AAA等）消耗這些資源1．網(wǎng)線差，線序錯

信息誤用或篡改1．非法用戶篡改存儲的服務(wù)層配置信息2．非法用戶篡改傳輸?shù)姆?wù)層管理信息3．非法用戶管理非法篡改用戶認(rèn)證數(shù)據(jù)庫等信息、接收非法VOIP會話控制信息非法DHCP、ARP、1X、RADIUS響應(yīng)信息或資源竊取、刪除、丟失非法用戶讀取服務(wù)層存儲或傳輸中的管理信息非法用戶讀取存儲或傳輸中的用戶認(rèn)證數(shù)據(jù)庫信息非法用戶讀取傳輸中的服務(wù)信息信息泄漏由于廣播或組播，管理信息（IP、端口、內(nèi)容）被監(jiān)聽由于廣播或組播，服務(wù)的控制信息泄漏由于廣播或組播，服務(wù)信息泄漏服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．虛假會話控制請求淹沒H323控制信息處理能力

1.廣播風(fēng)暴2．突發(fā)大量服務(wù)申請導(dǎo)致正常用戶不能使用對服務(wù)層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞服務(wù)層的

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞應(yīng)用的管理信息

1．非法用戶破壞網(wǎng)元上存儲的應(yīng)用層控制信息（URL黑名單等）2．虛假URL黑名單的控制信息包淹沒黑名單表等資源網(wǎng)頁內(nèi)容被篡改

信息誤用或篡改1．非法用戶篡改存儲的應(yīng)用配置信息2．非法用戶篡改傳輸中的應(yīng)用管理信息3．非法用戶管理非法URL黑名單信息、非法SMTP控制信息

信息或資源竊取、刪除、丟失非法用戶讀取應(yīng)用層存儲或傳輸中的管理信息非法用戶讀取網(wǎng)元上或傳輸中的URL黑名單、SMTP等控制信息提供或訪問非法地址和內(nèi)容信息泄漏管理信息（IP、端口、進(jìn)程名、版本）被監(jiān)聽控制信息（IP、端口、內(nèi)容）被監(jiān)聽

服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．感染病毒3．系統(tǒng)漏洞攻擊垃圾郵件攻擊

對應(yīng)用層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞應(yīng)用的管靜態(tài)防范措施－可信、可控、可取證1）訪問控制：防止對網(wǎng)絡(luò)資源、信息的非授權(quán)使用；2）認(rèn)證：確認(rèn)通信實體的身份；3)通信安全：保證信息只在授權(quán)端點之間流動。telnet時的口令相當(dāng)于首次訪問時身份鑒別，SSH或IPSEC則相當(dāng)于保證信息只在兩點之間流動，其他端點插進(jìn)來的telnet包不管用?；蛘撸赫J(rèn)證相當(dāng)于同意為兩點之間建一個通道，通信安全則保證這個通道不會被其他端點侵入。4)

數(shù)據(jù)保密性：保護(hù)數(shù)據(jù)內(nèi)容不被非授權(quán)實體理解；5)數(shù)據(jù)完整性：保證數(shù)據(jù)的正確性，防止被非法修改、創(chuàng)建、復(fù)制；6)

非否認(rèn)：防止銷毀證據(jù)；7)分級服務(wù)：由于服務(wù)能力有限，為防止一種服務(wù)量特別大時阻礙其他服務(wù)，提供分級服務(wù)。8)

備份：用于信息破壞后的恢復(fù)。靜態(tài)防范措施－可信、可控、可取證1）訪問控制：防止對網(wǎng)絡(luò)資源措施管理平面控制平面數(shù)據(jù)平面訪問控制管理用戶分不同權(quán)限管理用戶分不同權(quán)限IP/MAC/PORT是否有權(quán)限發(fā)路由、DHCP、ARP、1X、RADIUS包(DHCPsnooping,ARP檢測)組播源、目的ACL認(rèn)證AAA管理用戶認(rèn)證AAA管理認(rèn)證未1X認(rèn)證的IP/MAC不學(xué)組播源、目的認(rèn)證通信安全SSH,SSL,IPSECSSH,SSL,IPSEC

數(shù)據(jù)保密配置/日志加密,SNMPv3路由加密

數(shù)據(jù)完整

非否認(rèn)行為記錄行為記錄DHCPsnooping

分級服務(wù)1．為管理服務(wù)預(yù)留CPU2．管理信息QOS高限制端口可學(xué)習(xí)的IP/MAC數(shù)量QOS備份配置信息備份路由、ARP等信息備份

對基礎(chǔ)設(shè)施層的靜態(tài)防范措施措施管理平面控制平面數(shù)據(jù)平面訪問控制管理用戶分不同權(quán)限管理用動態(tài)防范措施－可信、可控、可取證識別調(diào)整取證安全策略檢測動態(tài)防范措施－可信、可控、可取證識別調(diào)整取證安全檢測

基礎(chǔ)設(shè)施層服務(wù)層應(yīng)用層探測應(yīng)用類型、地址設(shè)置、網(wǎng)關(guān)設(shè)置、防毒設(shè)置、網(wǎng)卡設(shè)置、ping響應(yīng)、關(guān)鍵詞檢測、關(guān)鍵進(jìn)程檢測、補(bǔ)丁檢測、TCP連接數(shù)檢測網(wǎng)線質(zhì)量、流量檢測、廣播速率檢測、DHCP監(jiān)測、ARP監(jiān)測、URL檢測、

識別故障？攻擊？正常故障？攻擊？正常故障？攻擊？正常報警向網(wǎng)管服務(wù)器報警主動切斷

動態(tài)調(diào)整控制帶寬、切換端口、過濾指定數(shù)據(jù)流

取證（非否認(rèn)）

時間、SIP、DIP、URL、user…動態(tài)防范措施

基礎(chǔ)設(shè)施層服務(wù)層應(yīng)用層探測應(yīng)用類型、地址設(shè)置、網(wǎng)關(guān)設(shè)置、防3DSMP—神州數(shù)碼IPv4安全可運營方案“內(nèi)外兼修”內(nèi)網(wǎng)系統(tǒng)安全外網(wǎng)系統(tǒng)安全交換機(jī)路由器防火墻IDS客戶端用戶管理平臺聯(lián)動3D-SMP(DynamicDistributedDefence–Security、Management、Policy)

高度自動化響應(yīng)的智能網(wǎng)絡(luò)安全管理系統(tǒng)，以便降低客戶的總體擁有成本TCO，加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的長期可服務(wù)性，降低人為維護(hù)工作量。統(tǒng)一的平臺降低總體擁有成本動態(tài)防范自我學(xué)習(xí)自我完善無須人為干預(yù)全網(wǎng)防御安全到每個節(jié)點3DSMP—神州數(shù)碼IPv4安全可運營方案“內(nèi)外兼修”內(nèi)網(wǎng)系3DSMP—神州數(shù)碼IPv4安全可運營方案VoiceGatewayMCUDCBI-3000LinkManager外部網(wǎng)絡(luò)遭到來自內(nèi)網(wǎng)的攻擊內(nèi)外兼修的全面防護(hù)ServersmailwwwERPDatabase阻止DCFW-1800EDCRS-7608DCNIDS用戶安全控制平臺DCRS-5824GXDCS-3926SDCRS-5650DCRS-5512GCDCS-3926SDCS-3926SDCS-3926S阻止來自外網(wǎng)的攻擊針對外網(wǎng)的攻擊安全行為控制安全客戶端安全客戶端安全客戶端DCNIDSNetLog日志3DSMP—神州數(shù)碼IPv4安全可運營方案VoiceGate吳江教委培訓(xùn)鄭璐zhenglu@吳江教委培訓(xùn)鄭璐構(gòu)建智能安全網(wǎng)絡(luò)第一章網(wǎng)絡(luò)安全概述第二章TCP/IP協(xié)議集第三章常用的攻擊方法第四章計算機(jī)病毒第五章防火墻技術(shù)第六章入侵檢測系統(tǒng)第七章數(shù)據(jù)加密第八章VPN第九章安全審計構(gòu)建智能安全網(wǎng)絡(luò)第一章網(wǎng)絡(luò)安全概述第一章網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全基礎(chǔ)知識-網(wǎng)絡(luò)安全的定義-網(wǎng)絡(luò)存在的威脅-網(wǎng)絡(luò)安全技術(shù)安全體系結(jié)構(gòu)-ISO/OSI安全體系結(jié)構(gòu)-P2DR模型-安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全解決方案-電子政務(wù)網(wǎng)-電信網(wǎng)絡(luò)第一章網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全基礎(chǔ)知識網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全定義保密性可用性真實性可控性完整性網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全：網(wǎng)絡(luò)存在的威脅非授權(quán)訪問信息泄漏或丟失破壞數(shù)據(jù)完整性拒絕服務(wù)攻擊利用網(wǎng)絡(luò)傳播病毒網(wǎng)絡(luò)存在的威脅非授權(quán)訪問網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問控制技術(shù)密碼技術(shù)防火墻技術(shù)安全審計技術(shù)安全管理技術(shù)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問控制技術(shù)安全體系結(jié)構(gòu)ISO/OSI安全體系結(jié)構(gòu)-安全服務(wù)-安全機(jī)制-安全管理P2DR安全模型安全體系結(jié)構(gòu)ISO/OSI安全體系結(jié)構(gòu)ISO/OSI安全體系結(jié)構(gòu)公證路由控制業(yè)務(wù)流填充認(rèn)證交換數(shù)據(jù)完整性訪問控制數(shù)字簽名加密應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層對象認(rèn)證數(shù)據(jù)保密性三維安全體系結(jié)構(gòu)框架防抵賴性數(shù)據(jù)完整性結(jié)構(gòu)層次安全機(jī)制安全服務(wù)訪問控制ISO/OSI安全體系結(jié)構(gòu)公證應(yīng)用層對象認(rèn)證數(shù)據(jù)保密性三維安OSI各種安全機(jī)制和安全服務(wù)的關(guān)系加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換防業(yè)務(wù)流量分析路由控制公證對象認(rèn)證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性防抵賴性安全服務(wù)安全機(jī)制√

√

√

√

√

√

√

√

√

√

√

√

√

√

OSI各種安全機(jī)制和安全服務(wù)的關(guān)系加密數(shù)字簽名訪問控制數(shù)據(jù)完P(guān)2DR安全模型P2DR安全模型安全體系結(jié)構(gòu)物理安全網(wǎng)絡(luò)安全信息安全環(huán)境安全設(shè)備安全媒體安全安全體系結(jié)構(gòu)物理安全網(wǎng)絡(luò)安全信息安全環(huán)境安全設(shè)備安全媒體安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全系統(tǒng)（主機(jī)、服務(wù)器）安全反病毒系統(tǒng)安全檢測入侵檢測審計分析網(wǎng)絡(luò)運行安全備份與恢復(fù)應(yīng)急、災(zāi)難恢復(fù)局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全系統(tǒng)（主機(jī)、服務(wù)器）安全反病毒系統(tǒng)安全檢測入侵檢測審信息安全信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性的鑒別防抵賴信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性的鑒別防抵第一章---網(wǎng)絡(luò)安全概述最新版實施高級網(wǎng)絡(luò)安全DCNSE課件第一章---網(wǎng)絡(luò)安全概述最新版實施高級網(wǎng)絡(luò)安全DCNSE課件電信網(wǎng)絡(luò)電信網(wǎng)絡(luò)信息安全的需求-電信網(wǎng)絡(luò)基礎(chǔ)服務(wù)的安全需求-電信網(wǎng)絡(luò)增值業(yè)務(wù)的安全需求-電信業(yè)務(wù)運營管理的安全需求電信網(wǎng)絡(luò)信息安全模型電信網(wǎng)絡(luò)電信網(wǎng)絡(luò)信息安全的需求安全維度3DSMP動態(tài)防御D2SMP靜態(tài)防御安全方案安全威脅類別網(wǎng)絡(luò)活動平面網(wǎng)絡(luò)層次結(jié)構(gòu)安全維度3DSMPD2SMP安全方案安全威脅類別網(wǎng)絡(luò)活動平面網(wǎng)絡(luò)層次結(jié)構(gòu)基礎(chǔ)設(shè)施層，服務(wù)層和應(yīng)用層基礎(chǔ)設(shè)施層：提供基礎(chǔ)網(wǎng)絡(luò)傳輸服務(wù)，包括主機(jī)、接入、匯聚、核心；服務(wù)層：提供支撐性服務(wù)（指為實現(xiàn)接入網(wǎng)絡(luò)所必須的服務(wù)，如AAA、DHCP、DNS）和增值服務(wù)（如QoS、VPN、VoIP）的管理系統(tǒng)；應(yīng)用層：指各種網(wǎng)絡(luò)應(yīng)用，如email,WEB,文件共享，VOIP，視頻會議、網(wǎng)管。網(wǎng)絡(luò)層次結(jié)構(gòu)基礎(chǔ)設(shè)施層，服務(wù)層和應(yīng)用層網(wǎng)絡(luò)活動平面管理平面、控制平面和傳輸平面；

管理平面：指對網(wǎng)絡(luò)的各種管理行為，如配置、網(wǎng)管、日志控制平面：指對網(wǎng)絡(luò)的各種控制行為，如STP、路由、H323的呼叫連接、DHCP的地址租借配置表、AAA的認(rèn)證用戶數(shù)據(jù)庫；數(shù)據(jù)平面：指信息在網(wǎng)元間的傳輸和在網(wǎng)元上的存儲行為

網(wǎng)絡(luò)活動平面管理平面、控制平面和傳輸平面；安全威脅類別由CCITTX.800定義如下：1）信息或資源的破壞；2）信息誤用或篡改；3）信息或資源的竊取、刪除或丟失；4）信息泄漏；5）服務(wù)中斷

安全威脅類別由CCITTX.800定義如下：

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞網(wǎng)元上存儲的管理信息

1．非法用戶破壞網(wǎng)元上存儲的控制信息（路由表等）2．虛假源、目的IP/MAC的包淹沒MAC、主機(jī)表資源1．網(wǎng)線差，線序錯

信息誤用或篡改1．非法用戶篡改存儲的網(wǎng)元配置信息2．非法用戶篡改傳輸?shù)木W(wǎng)元管理信息3．非法用戶管理非法路由、STP、DHCP、ARP、1X、RADIUS響應(yīng)接收或傳輸非法數(shù)據(jù)流（組播數(shù)據(jù)流）信息或資源竊取、刪除、丟失非法用戶讀取網(wǎng)元上或傳輸中的管理信息非法用戶讀取網(wǎng)元上或傳輸中的控制信息非法用戶讀取網(wǎng)元上或傳輸中的應(yīng)用信息信息泄漏管理信息（IP、端口、內(nèi)容）被監(jiān)聽控制信息（IP、端口、內(nèi)容）被監(jiān)聽組播數(shù)據(jù)流泄漏服務(wù)中斷1．IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．虛假路由、BPDU等包淹沒CPU；

1.廣播風(fēng)暴2．突發(fā)異常流量導(dǎo)致正常用戶不能使用對基礎(chǔ)設(shè)施層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞網(wǎng)元上存

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞服務(wù)層的管理信息

1．非法用戶破壞網(wǎng)元上存儲的控制信息（如AAA的認(rèn)證用戶數(shù)據(jù)庫、DHCP的地址租借表）2．虛假服務(wù)申請（ARP、DHCP、AAA等）消耗這些資源1．網(wǎng)線差，線序錯

信息誤用或篡改1．非法用戶篡改存儲的服務(wù)層配置信息2．非法用戶篡改傳輸?shù)姆?wù)層管理信息3．非法用戶管理非法篡改用戶認(rèn)證數(shù)據(jù)庫等信息、接收非法VOIP會話控制信息非法DHCP、ARP、1X、RADIUS響應(yīng)信息或資源竊取、刪除、丟失非法用戶讀取服務(wù)層存儲或傳輸中的管理信息非法用戶讀取存儲或傳輸中的用戶認(rèn)證數(shù)據(jù)庫信息非法用戶讀取傳輸中的服務(wù)信息信息泄漏由于廣播或組播，管理信息（IP、端口、內(nèi)容）被監(jiān)聽由于廣播或組播，服務(wù)的控制信息泄漏由于廣播或組播，服務(wù)信息泄漏服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．虛假會話控制請求淹沒H323控制信息處理能力

1.廣播風(fēng)暴2．突發(fā)大量服務(wù)申請導(dǎo)致正常用戶不能使用對服務(wù)層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞服務(wù)層的

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞應(yīng)用的管理信息

1．非法用戶破壞網(wǎng)元上存儲的應(yīng)用層控制信息（URL黑名單等）2．虛假URL黑名單的控制信息包淹沒黑名單表等資源網(wǎng)頁內(nèi)容被篡改

信息誤用或篡改1．非法用戶篡改存儲的應(yīng)用配置信息2．非法用戶篡改傳輸中的應(yīng)用管理信息3．非法用戶管理非法URL黑名單信息、非法SMTP控制信息

信息或資源竊取、刪除、丟失非法用戶讀取應(yīng)用層存儲或傳輸中的管理信息非法用戶讀取網(wǎng)元上或傳輸中的URL黑名單、SMTP等控制信息提供或訪問非法地址和內(nèi)容信息泄漏管理信息（IP、端口、進(jìn)程名、版本）被監(jiān)聽控制信息（IP、端口、內(nèi)容）被監(jiān)聽

服務(wù)中斷1．本機(jī)IP/MAC無效或沖突2．網(wǎng)管、日志服務(wù)器IP/MAC無效3．廣播淹沒CPU4．?dāng)?shù)據(jù)流淹沒管理通道1．廣播淹沒CPU2．感染病毒3．系統(tǒng)漏洞攻擊垃圾郵件攻擊

對應(yīng)用層的安全威脅

管理平面控制平面數(shù)據(jù)平面信息或資源破壞非法用戶破壞應(yīng)用的管靜態(tài)防范措施－可信、可控、可取證1）訪問控制：防止對網(wǎng)絡(luò)資源、信息的非授權(quán)使用；2）認(rèn)證：確認(rèn)通信實體的身份；3)通信安全：保證信息只在授權(quán)端點之間流動。telnet時的口令相當(dāng)于首次訪問時身份鑒別，SSH或IPSEC則相當(dāng)于保證信息只在兩點之間流動，其他端點插進(jìn)來的telnet包不管用?；蛘撸赫J(rèn)證相當(dāng)于同意為兩點之間建一個通道，通信安全則保證這個通道不會被其他端點侵入。4)

數(shù)據(jù)保密性：保護(hù)數(shù)據(jù)內(nèi)容不被非授權(quán)實體理解；5)數(shù)據(jù)完整性：保證數(shù)據(jù)的正確性，防止被非法修改、創(chuàng)建、復(fù)制；6)

非否認(rèn)：防止銷毀證據(jù)；7)分級服務(wù)：由于服務(wù)能力有限，為防止一種服務(wù)量特別大時阻礙其他服務(wù)，提供分級服務(wù)。8)

備份：用于信息破壞后的恢復(fù)。靜態(tài)防范措施－可信、可控、可取證1）訪問控制：防止對網(wǎng)絡(luò)資源措施管理平面控制平面數(shù)據(jù)平面訪問控制管理用戶分不同權(quán)限管理用戶分不同權(quán)限IP/MAC/PORT是否有權(quán)限發(fā)路由、DHCP、ARP、1X、RADIUS包(DHCPsnooping,ARP檢測)組播源、目的ACL認(rèn)證AAA管理用戶認(rèn)證AAA管理認(rèn)證未1X認(rèn)證的IP/MAC不學(xué)組播源、目的認(rèn)證通信安全SSH,SSL,IPSECSSH,SSL,IPSEC

數(shù)據(jù)保密配置/日志加密,SNMPv3路由加密

數(shù)據(jù)完整

非否認(rèn)行為記