網(wǎng)絡(luò)安全培訓(xùn)課程圖文

網(wǎng)絡(luò)安全培訓(xùn)課程圖文第1頁，共193頁，2023年，2月20日，星期日課程綜述第2頁，共193頁，2023年，2月20日，星期日課程綜述課程內(nèi)容

本課程以分析計算機(jī)網(wǎng)絡(luò)面臨的安全威脅為起點(diǎn)，闡述了常用的網(wǎng)絡(luò)安全技術(shù)，介紹了主流網(wǎng)絡(luò)安全產(chǎn)品和常用網(wǎng)絡(luò)安全策略，并著重強(qiáng)調(diào)內(nèi)容安全（防病毒）在網(wǎng)絡(luò)安全中的重要地位。

分析計算機(jī)網(wǎng)絡(luò)面臨的安全威脅闡述常用的計算機(jī)網(wǎng)絡(luò)安全技術(shù)介紹主要的網(wǎng)絡(luò)安全產(chǎn)品類型推薦企業(yè)網(wǎng)絡(luò)安全策略第3頁，共193頁，2023年，2月20日，星期日課程綜述課程目標(biāo)

本課程的目標(biāo)是提高學(xué)員的網(wǎng)絡(luò)安全意識，使學(xué)員熟悉基本的網(wǎng)絡(luò)安全理論知識和常用網(wǎng)絡(luò)安全產(chǎn)品，了解部署整個網(wǎng)絡(luò)安全的防護(hù)系統(tǒng)和策略的方法。在此基礎(chǔ)上，讓學(xué)員充分了解病毒防范的重要性和艱巨性，了解“內(nèi)部人員的不當(dāng)使用”和“病毒”是整個網(wǎng)絡(luò)系統(tǒng)中最難對付的兩類安全問題。全面了解基本的網(wǎng)絡(luò)弱點(diǎn)了解安全技術(shù)原理了解各類安全技術(shù)的產(chǎn)品及其實現(xiàn)方式了解內(nèi)容安全（防病毒）的難度及在網(wǎng)絡(luò)安全中日益重要的地位第4頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全概述第一章第5頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全概述本章概要

本章介紹網(wǎng)絡(luò)安全的定義、安全網(wǎng)絡(luò)的基本特征以及計算機(jī)網(wǎng)絡(luò)面臨的威脅。本章內(nèi)容包含以下幾部分：網(wǎng)絡(luò)安全背景計算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的定義安全網(wǎng)絡(luò)的基本特征第6頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全概述課程目標(biāo)通過本章的學(xué)習(xí)，學(xué)員應(yīng)能夠了解：網(wǎng)絡(luò)安全的定義及其涵蓋的范圍計算機(jī)網(wǎng)絡(luò)面臨的威脅主要來自哪些方面安全的計算機(jī)網(wǎng)絡(luò)的基本特征第7頁，共193頁，2023年，2月20日，星期日在我們的生活中，經(jīng)?？梢月牭较旅娴膱蟮溃篨X網(wǎng)站受到黑客攻擊XX計算機(jī)系統(tǒng)受到攻擊，造成客戶數(shù)據(jù)丟失目前又出現(xiàn)XX計算機(jī)病毒，已擴(kuò)散到各大洲……網(wǎng)絡(luò)安全的背景計算機(jī)網(wǎng)絡(luò)在帶給我們便利的同時已經(jīng)體現(xiàn)出了它的脆弱性……第8頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的背景經(jīng)常有網(wǎng)站遭受黑客攻擊第9頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的背景用戶數(shù)據(jù)的泄漏第10頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的背景調(diào)查顯示：網(wǎng)絡(luò)攻擊數(shù)量與日俱增/stats/cert_stats.htmlIncidentsreportedtoCERT/CCinrecentyearsYear第11頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的背景網(wǎng)絡(luò)病毒在全球范圍內(nèi)高速擴(kuò)散2001年7月19日01:05:002001年7月19日20:15:00第12頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)病毒在全球范圍內(nèi)高速擴(kuò)散SatJan2505:29:002003——SatJan2506:00:002003第13頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的背景黑客攻擊技術(shù)與網(wǎng)絡(luò)病毒日趨融合第14頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的背景攻擊者需要的技能日趨下降攻擊工具復(fù)雜性攻擊者所需技能第15頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全面臨的威脅互聯(lián)網(wǎng)在推動社會發(fā)展的同時，也面臨著日益嚴(yán)重的安全問題：信息系統(tǒng)存在諸多弱點(diǎn)企業(yè)外部的網(wǎng)絡(luò)攻擊企業(yè)內(nèi)部發(fā)起的網(wǎng)絡(luò)破壞計算機(jī)病毒的破壞……計算機(jī)網(wǎng)絡(luò)的最大威脅是來自企業(yè)內(nèi)部員工的惡意攻擊和計算機(jī)病毒的威脅。第16頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全面臨的威脅網(wǎng)絡(luò)面臨多種風(fēng)險物理風(fēng)險系統(tǒng)風(fēng)險信息風(fēng)險應(yīng)用風(fēng)險其它風(fēng)險網(wǎng)絡(luò)的風(fēng)險管理風(fēng)險

設(shè)備防盜，防毀鏈路老化人為破壞網(wǎng)絡(luò)設(shè)備自身故障停電導(dǎo)致無法工作機(jī)房電磁輻射其他

信息存儲安全信息傳輸安全信息訪問安全其他身份鑒別訪問授權(quán)機(jī)密性完整性不可否認(rèn)性可用性

計算機(jī)病毒

外部攻擊內(nèi)部破壞其他風(fēng)險軟件弱點(diǎn)是否存在管理方面的風(fēng)險需有無制定相應(yīng)的安全制度安全拓?fù)浒踩酚蒊nternet第17頁，共193頁，2023年，2月20日，星期日磁盤意外損壞光盤意外損壞磁帶被意外盜走導(dǎo)致數(shù)據(jù)丟失導(dǎo)致數(shù)據(jù)無法訪問信息系統(tǒng)的弱點(diǎn)信息存儲的弱點(diǎn)第18頁，共193頁，2023年，2月20日，星期日信息系統(tǒng)的弱點(diǎn)信息傳輸?shù)娜觞c(diǎn)搭線竊聽信息總部下屬機(jī)構(gòu)黑客信息泄密

信息被篡改Internet第19頁，共193頁，2023年，2月20日，星期日企業(yè)網(wǎng)絡(luò)非法用戶非法登錄合法用戶越權(quán)訪問信息系統(tǒng)的弱點(diǎn)計算機(jī)網(wǎng)絡(luò)信息被非法訪問

信息被越權(quán)訪問

信息被非授權(quán)訪問第20頁，共193頁，2023年，2月20日，星期日各種網(wǎng)絡(luò)攻擊企業(yè)外部的網(wǎng)絡(luò)攻擊1993年3月1日，由于駭客入侵，紐約市區(qū)供電中斷8個小時，造成巨大經(jīng)濟(jì)損失。1998年6月，國內(nèi)某著名銀行一用戶通過網(wǎng)絡(luò)使用非法手段盜支36萬元人民幣。1999年8月，一少年侵入德里醫(yī)院篡改血庫信息，致使12名病人因錯誤輸血而死亡。據(jù)美國《金融時報》報道，現(xiàn)在平均每20秒就發(fā)生一次入侵計算機(jī)網(wǎng)絡(luò)的事件；超過1/3的互聯(lián)網(wǎng)被攻破?！?1頁，共193頁，2023年，2月20日，星期日各種網(wǎng)絡(luò)攻擊企業(yè)內(nèi)部的網(wǎng)絡(luò)破壞統(tǒng)計顯示：來自企業(yè)內(nèi)部的網(wǎng)絡(luò)破壞更加危險；員工的不正常使用也是企業(yè)內(nèi)網(wǎng)的一個重要不安全因素。盡管企業(yè)外部的攻擊可以對企業(yè)網(wǎng)絡(luò)造成巨大威脅，企業(yè)內(nèi)部員工的不正確使用和惡意破壞是一種更加危險的因素。摘自ICSA/FBI,2001第22頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的破壞1998年，CIH病毒影響到2000萬臺計算機(jī)；1999年，梅利莎造成8000萬美元損失；2000年，愛蟲病毒影響到1200萬臺計算機(jī)，損失高達(dá)幾十億美元；2001年，紅色代碼病毒，目前造成的損失已超過十二億美元。……現(xiàn)在計算機(jī)病毒已達(dá)5萬多種，并呈幾何級數(shù)增長第23頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全問題的嚴(yán)重性網(wǎng)絡(luò)安全隱患到處存在據(jù)美國《金融時報》報道，現(xiàn)在平均每20秒就發(fā)生一次入侵計算機(jī)網(wǎng)絡(luò)的事件；超過1/3的互聯(lián)網(wǎng)被攻破。被認(rèn)為保護(hù)措施最嚴(yán)密的美國白宮被多次闖入。中國國內(nèi)80％的網(wǎng)絡(luò)存在安全隱患，20％的網(wǎng)站有嚴(yán)重安全問題?！?4頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全問題的嚴(yán)重性網(wǎng)絡(luò)安全問題造成的巨大損失據(jù)統(tǒng)計，在全球范圍內(nèi)，由于信息系統(tǒng)的脆弱性而導(dǎo)致的經(jīng)濟(jì)損失，每年達(dá)數(shù)億美元，并且呈逐年上升的趨勢。美國FBI統(tǒng)計數(shù)據(jù)：美國每年因為網(wǎng)絡(luò)安全問題而造成的經(jīng)濟(jì)損失高達(dá)75億美圓?！?5頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全的定義廣義的網(wǎng)絡(luò)安全定義：凡是涉及到網(wǎng)絡(luò)上信息的安全性，完整性，可用性，真實性和可控性的相關(guān)理論和技術(shù)都是網(wǎng)絡(luò)信息安全所要研究的領(lǐng)域。狹義的網(wǎng)絡(luò)安全定義：指信息內(nèi)容的安全性，即保護(hù)信息的秘密性、真實性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙、盜用等有損合法用戶利益的行為，保護(hù)合法用戶的利益和隱私。本課程涉及的網(wǎng)絡(luò)安全是指狹義的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，它涉及的范圍相當(dāng)廣。第26頁，共193頁，2023年，2月20日，星期日安全網(wǎng)絡(luò)的特征安全的網(wǎng)絡(luò)具有下列四個特征：保密性完整性可用性可控性第27頁，共193頁，2023年，2月20日，星期日如何構(gòu)建一個安全的網(wǎng)絡(luò)？構(gòu)建計劃周密、安全可行的安防體系人制度技術(shù)安防體系完整的安防體系應(yīng)該由人、制度和技術(shù)三方面組成；本課程的第二章到第四章討論了網(wǎng)絡(luò)安全技術(shù)的相關(guān)問題；本課程第五章著重討論了安防體系中人和制度的因素，并提出了規(guī)劃企業(yè)安防體系的一般方法。第28頁，共193頁，2023年，2月20日，星期日計算機(jī)網(wǎng)絡(luò)面臨的安全威脅第二章第29頁，共193頁，2023年，2月20日，星期日本章概要計算機(jī)網(wǎng)絡(luò)面臨的安全威脅本章分析了威脅計算機(jī)網(wǎng)絡(luò)安全的各種因素，具體如下：網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊手段計算機(jī)病毒的危害第30頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全漏洞系統(tǒng)存在安全方面的脆弱性非法用戶得以獲得訪問權(quán)合法用戶未經(jīng)授權(quán)提高訪問權(quán)限系統(tǒng)易受來自各方面的攻擊網(wǎng)絡(luò)安全漏洞的概念網(wǎng)絡(luò)協(xié)議的安全漏洞操作系統(tǒng)的安全漏洞應(yīng)用程序的安全漏洞安全漏洞的分類第31頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全漏洞系統(tǒng)和軟件的設(shè)計存在缺陷，通信協(xié)議不完備；如TCP/IP協(xié)議就有很多漏洞。技術(shù)實現(xiàn)不充分；如很多緩存溢出方面的漏洞就是在實現(xiàn)時缺少必要的檢查。配置管理和使用不當(dāng)也能產(chǎn)生安全漏洞；如口令過于簡單，很容易被黑客猜中。安全漏洞產(chǎn)生的原因第32頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全漏洞常見的Internet服務(wù)中都存在安全漏洞：

安全漏洞FTP文件傳輸?shù)陌踩┒碬WW服務(wù)的安全漏洞Usenet新聞的安全漏洞網(wǎng)絡(luò)服務(wù)的安全漏洞網(wǎng)絡(luò)文件系統(tǒng)的安全漏洞電子郵件的安全漏洞Telnet的安全漏洞第33頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全漏洞常見的Internet服務(wù)中都存在安全漏洞：

安全漏洞FTP文件傳輸?shù)陌踩┒碬WW服務(wù)的安全漏洞Usenet新聞的安全漏洞網(wǎng)絡(luò)服務(wù)的安全漏洞網(wǎng)絡(luò)文件系統(tǒng)的安全漏洞電子郵件的安全漏洞Telnet的安全漏洞網(wǎng)絡(luò)攻擊病毒破壞第34頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊的概念利用安全漏洞使用攻擊軟件或命令使用網(wǎng)絡(luò)命令使用專用網(wǎng)絡(luò)軟件自己編寫攻擊軟件攻擊具體內(nèi)容非法獲取、修改或刪除用戶系統(tǒng)信息在用戶系統(tǒng)上增加垃圾、色情或有害的信息破壞用戶的系統(tǒng)第35頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊概述常見的網(wǎng)絡(luò)攻擊者駭客（Hacker）黑客（Cracker）幼稚黑客（ScriptKiddie）內(nèi)奸工業(yè)間諜病毒制造者……第36頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊的工具分布式工具(DistributedTool)攻擊程序(IntrusionProgram)自治代理(AutonomousAgents

)工具集(ToolSets)用戶命令(UserCommand)第37頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊概述一個網(wǎng)絡(luò)攻擊的組成網(wǎng)絡(luò)攻擊攻擊者工具訪問結(jié)果目標(biāo)駭客黑客幼稚黑客內(nèi)奸工業(yè)間諜分布式工具程序自治代理工具集用戶命令信息破壞信息暴露服務(wù)偷竊服務(wù)拒絕破壞配置的脆弱點(diǎn)實現(xiàn)的漏洞黑客用戶命令配置的脆弱點(diǎn)信息破壞破壞第38頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊的類型拒絕服務(wù)：使遭受的資源目標(biāo)不能繼續(xù)正常提供服務(wù)侵入攻擊：攻擊者竊取到系統(tǒng)的訪問權(quán)并盜用資源信息盜竊：攻擊者從目標(biāo)系統(tǒng)中偷走數(shù)據(jù)。信息篡改：攻擊者篡改信息內(nèi)容。網(wǎng)絡(luò)攻擊主要可以分為以下幾種類型：第39頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊的類型拒絕服務(wù)（DenialofService）CPU拒絕服務(wù)第40頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊的類型信息盜竊（Eavesdropping）信息盜竊telnetusername:danpassword:m-y-p-a-s-s-w-o-r-dd-a-n第41頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊的類型侵入攻擊（Intrusion）Bob侵入攻擊I’mBob,PleaseletmeLogin.第42頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)攻擊的類型信息篡改（LossofIntegrity）BankCustomerDeposit$1000Deposit$100信息篡改第43頁，共193頁，2023年，2月20日，星期日常見的網(wǎng)絡(luò)攻擊手段主要網(wǎng)絡(luò)攻擊手段E-Mail炸彈(E-MailBombing)邏輯炸彈(LogicBombing)DDos攻擊(DistributedDenialofService)特洛伊木馬(TrojanHorseProgram)口令入侵(PasswordIntrusion)網(wǎng)絡(luò)竊聽(Eavesdropping)IP地址欺騙(IPSpoofing)病毒攻擊(Viruses)第44頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的危害計算機(jī)病毒的概念計算機(jī)病毒的特征計算機(jī)病毒的種類網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的特點(diǎn)及危害性常見的網(wǎng)絡(luò)病毒病毒——網(wǎng)絡(luò)攻擊的有效載體本部分主要討論以下幾內(nèi)容：第45頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的概念計算機(jī)病毒是指一段具有自我復(fù)制和傳播功能的計算機(jī)代碼，這段代碼通常能影響計算機(jī)的正常運(yùn)行，甚至破壞計算機(jī)功能和毀壞數(shù)據(jù)。第46頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的特征病毒是一段可執(zhí)行的程序病毒具有廣泛的傳染性病毒具有很強(qiáng)的隱蔽性病毒具有潛伏性病毒具有可觸發(fā)性病毒具有破壞性第47頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的種類啟動型病毒文件型病毒宏病毒Script病毒JAVA病毒Shockwave病毒第48頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)病毒的概念利用網(wǎng)絡(luò)協(xié)議及網(wǎng)絡(luò)的體系結(jié)構(gòu)作為傳播的途徑或傳播機(jī)制，并對網(wǎng)絡(luò)或聯(lián)網(wǎng)計算機(jī)造成破壞的計算機(jī)病毒稱為網(wǎng)絡(luò)病毒。第49頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)病毒的特點(diǎn)及危害破壞性強(qiáng)傳播性強(qiáng)針對性強(qiáng)擴(kuò)散面廣傳染方式多消除難度大第50頁，共193頁，2023年，2月20日，星期日常見的網(wǎng)絡(luò)病毒蠕蟲病毒多態(tài)病毒伙伴病毒梅利莎病毒BO病毒隱藏病毒JAVA病毒第51頁，共193頁，2023年，2月20日，星期日病毒——網(wǎng)絡(luò)攻擊的有效載體網(wǎng)絡(luò)的新威脅——病毒+網(wǎng)絡(luò)攻擊第52頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)第三章第53頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)本章概要

本章首先介紹了計算機(jī)網(wǎng)絡(luò)的基本知識，然后分別就各種網(wǎng)絡(luò)安全技術(shù)進(jìn)行了闡述。本章涉及的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密技術(shù)（Encryption）身份認(rèn)證技術(shù)（Authentication）包過濾技術(shù)（PacketFiltering）資源授權(quán)使用（Authorization）內(nèi)容安全（防病毒）技術(shù)第54頁，共193頁，2023年，2月20日，星期日網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)課程目標(biāo)

通過本章的學(xué)習(xí)，學(xué)員應(yīng)能夠了解：計算機(jī)網(wǎng)絡(luò)的基本知識和常用網(wǎng)絡(luò)協(xié)議常用的網(wǎng)絡(luò)安全技術(shù)及其適用范圍內(nèi)容安全（防病毒）技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的重要地位第55頁，共193頁，2023年，2月20日，星期日計算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識計算機(jī)網(wǎng)絡(luò)的分層結(jié)構(gòu)復(fù)雜的計算機(jī)網(wǎng)絡(luò)計算機(jī)網(wǎng)絡(luò)的七層模型（OSI）TCP/IP網(wǎng)絡(luò)的層次結(jié)構(gòu)常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)TCP/IP協(xié)議族局域網(wǎng)技術(shù)和廣域網(wǎng)技術(shù)常見的Internet服務(wù)

第56頁，共193頁，2023年，2月20日，星期日復(fù)雜的計算機(jī)網(wǎng)絡(luò)計算機(jī)網(wǎng)絡(luò)分層結(jié)構(gòu)IBM3274Dial-on-DemandSDLCT1/E1XWindowsASCIIProtocolTranslatorLATHostPoint-to-PointSMDS,

X.25,

FrameRelayIBMMainframewithFEPFDDIDialBackupDialBackupLoadSharingLANSwitchLANSwitchInter-SwitchLink(ISL)VLANsSwitch1Switch2Switch3Switch4Router1Router2Router3Router4Router5Router6Router7Router8第57頁，共193頁，2023年，2月20日，星期日OSI七層模型計算機(jī)網(wǎng)絡(luò)分層結(jié)構(gòu)應(yīng)用層ApplicationLayer表示層PresentationLayer會話層SessionLayer傳輸層TransportLayer網(wǎng)絡(luò)層NetworkLayer數(shù)據(jù)鏈路層DataLinkLayer物理層PhysicalLayer與用戶應(yīng)用的接口數(shù)據(jù)格式的轉(zhuǎn)換會話管理與數(shù)據(jù)同步端到端的可靠傳輸分組傳送、路由選擇、流量控制相鄰節(jié)點(diǎn)間無差錯地傳送幀在物理媒體上透明傳送位流第58頁，共193頁，2023年，2月20日，星期日OSI七層模型計算機(jī)網(wǎng)絡(luò)分層結(jié)構(gòu)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層協(xié)議表示層協(xié)議會話層協(xié)議傳輸層協(xié)議主機(jī)A主機(jī)B路由器路由器第59頁，共193頁，2023年，2月20日，星期日計算機(jī)網(wǎng)絡(luò)分層結(jié)構(gòu)TCP/IP網(wǎng)絡(luò)層次結(jié)構(gòu)應(yīng)用層ApplicationLayer表示層PresentationLayer會話層SessionLayer傳輸層TransportLayer網(wǎng)絡(luò)層NetworkLayer數(shù)據(jù)鏈路層DataLinkLayer物理層PhysicalLayer應(yīng)用層ApplicationLayer傳輸層TransportLayer互聯(lián)網(wǎng)絡(luò)層Inter-NetworkingLayer網(wǎng)絡(luò)接口層NetworkAccessLayerTCP/IP網(wǎng)絡(luò)分層結(jié)構(gòu)OSI網(wǎng)絡(luò)分層結(jié)構(gòu)第60頁，共193頁，2023年，2月20日，星期日計算機(jī)網(wǎng)絡(luò)分層結(jié)構(gòu)應(yīng)用層ApplicationLayer傳輸層TransportLayer互聯(lián)網(wǎng)絡(luò)層Inter-NetworkingLayer網(wǎng)絡(luò)接口層NetworkAccessLayerXWindowNFSSMTPDNSSNMPHTTPFTPTelnetUDPTCPIPRARPARPBootPICMPFDDITokenRingX.25EthernetTCP/IP網(wǎng)絡(luò)層次結(jié)構(gòu)第61頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)TCP/IP協(xié)議族(網(wǎng)絡(luò)互聯(lián)層和傳輸層)

IP協(xié)議：InternetProtocolTCP協(xié)議：TransmissionControlProtocolUDP協(xié)議：UserDatagramProtocolICMP協(xié)議：InternetControlMessageProtocolARP協(xié)議：AddressResolutionProtoclRARP協(xié)議：ReversedAddressResolutionProtocol第62頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)TCP/IP協(xié)議族(應(yīng)用層)HTTP：HyperTextTransmissionProtocolFTP：FileTransmissionProtocolSMTP：SimpleMailTransmissionProtocolDNS：DomainnameServiceSNMP：SimpleNetworkManagementProtocolTelnetPOP3第63頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)TCP/IP協(xié)議支持的鏈路層協(xié)議EthernetTokenRingFDDIHLDCPPPX.25FrameRelayTCP/IP協(xié)議幾乎能支持所有的鏈路層協(xié)議，包括局域網(wǎng)協(xié)議和廣域網(wǎng)協(xié)議第64頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)局域網(wǎng)(LAN)技術(shù)令牌環(huán)網(wǎng)（TokenRing）分布式光纖接入（FDDI）以太網(wǎng)/快速以太網(wǎng)/千兆以太網(wǎng)（Ethernet/FastEthernet/GigabitEthernet）第65頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)局域網(wǎng)(LAN)常見設(shè)備集線器（HUB）交換機(jī)（Switch）網(wǎng)卡（NIC）PCMCIA網(wǎng)卡第66頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)廣域網(wǎng)(WAN)技術(shù)租用專線（LeasedLine）幀中繼技術(shù)（FrameRelay）電話撥號接入技術(shù)（DialUp）ISDN撥號接入技術(shù)（ISDN）虛擬專用網(wǎng)技術(shù)（VPN）Serviceprovider第67頁，共193頁，2023年，2月20日，星期日常用的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)廣域網(wǎng)(WAN)常見設(shè)備ADSL路由器CableModemISDN適配器第68頁，共193頁，2023年，2月20日，星期日常見的Internet服務(wù)電子郵件WWW服務(wù)Telnet文件傳輸網(wǎng)絡(luò)管理撥號網(wǎng)絡(luò)第69頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密的概念數(shù)據(jù)加密技術(shù)原理數(shù)據(jù)傳輸?shù)募用艹Ｓ眉用軈f(xié)議本部分涉及以下內(nèi)容：第70頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密的概念

數(shù)據(jù)加密模型密文網(wǎng)絡(luò)信道明文明文三要素：信息明文(Plaintext)、密鑰(Key)、信息密文(Ciphertext).加密密鑰信息竊取者解密密鑰加密算法解密算法第71頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密的概念

數(shù)據(jù)加密技術(shù)的概念數(shù)據(jù)加密(Encryption)是指將明文信息(Plaintext)采取數(shù)學(xué)方法進(jìn)行函數(shù)轉(zhuǎn)換成密文(Ciphertext)，只有特定接受方才能將其解密(Decryption)還原成明文的過程。

明文(Plaintext)：加密前的原始信息；密文(Ciphertext)：明文被加密后的信息；密鑰(Key)：控制加密算法和解密算法得以實現(xiàn)的關(guān)鍵信息，分為加密密鑰和解密密鑰；加密(Encryption)：將明文通過數(shù)學(xué)算法轉(zhuǎn)換成密文的過程；解密(Decryption)：將密文還原成明文的過程。第72頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密的概念

數(shù)據(jù)加密技術(shù)的應(yīng)用數(shù)據(jù)保密；身份驗證；保持?jǐn)?shù)據(jù)完整性；確認(rèn)事件的發(fā)生。第73頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理

對稱密鑰加密（保密密鑰法）非對稱密鑰加密（公開密鑰法）混合加密算法哈希（Hash）算法數(shù)字簽名數(shù)字證書公共密鑰體系數(shù)據(jù)加密技術(shù)原理第74頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理對稱密鑰加密（保密密鑰法）加密算法解密算法密鑰網(wǎng)絡(luò)信道明文明文密文加密密鑰解密密鑰兩者相等第75頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理非對稱密鑰加密（公開密鑰加密）加密算法解密算法公開密鑰網(wǎng)絡(luò)信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導(dǎo)不相等第76頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理

混合加密系統(tǒng)對稱密鑰加密算法對稱密鑰解密算法對稱密鑰網(wǎng)絡(luò)信道明文明文密文混合加密系統(tǒng)既能夠安全地交換對稱密鑰，又能夠克服非對稱加密算法效率低的缺陷！非對稱密鑰加密算法非對稱密鑰解密算法對稱密鑰公開密鑰私有密鑰

混合加密系統(tǒng)是對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù)的結(jié)合第77頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理

哈希（Hash）算法信息加密解密網(wǎng)絡(luò)信道信息密文

哈希算法（hashalgorithm），也叫信息標(biāo)記算法（message-digestalgorithm），可以提供數(shù)據(jù)完整性方面的判斷依據(jù)。哈希算法結(jié)果相同，則數(shù)據(jù)未被篡改比較結(jié)果不同，則數(shù)據(jù)已被篡改信息標(biāo)記（digest）常用的哈希算法：MD5SHA-1哈希算法第78頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理數(shù)字簽名

數(shù)字簽名（digitalsignature）技術(shù)通過某種加密算法，在一條地址消息的尾部添加一個字符串，而收信人可以根據(jù)這個字符串驗明發(fā)信人的身份，并可進(jìn)行數(shù)據(jù)完整性檢查。第79頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的工作原理非對稱加密算法非對稱解密算法Alice的私有密鑰網(wǎng)絡(luò)信道合同Alice的公開密鑰哈希算法標(biāo)記標(biāo)記-2合同哈希算法比較標(biāo)記-1如果兩標(biāo)記相同，則符合上述確認(rèn)要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認(rèn)：合同的確是Alice發(fā)送的合同在傳輸途中未被修改第80頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理數(shù)字簽名的作用唯一地確定簽名人的身份；對簽名后信件的內(nèi)容是否又發(fā)生變化進(jìn)行驗證；發(fā)信人無法對信件的內(nèi)容進(jìn)行抵賴。當(dāng)我們對簽名人同公開密鑰的對應(yīng)關(guān)系產(chǎn)生疑問時，我們需要第三方頒證機(jī)構(gòu)（CA:CertificateAuthorities）的幫助。第81頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理數(shù)字證書

數(shù)字證書相當(dāng)于電子化的身份證明，應(yīng)有值得信賴的頒證機(jī)構(gòu)（CA機(jī)構(gòu)）的數(shù)字簽名，可以用來強(qiáng)力驗證某個用戶或某個系統(tǒng)的身份及其公開密鑰。

數(shù)字證書既可以向一家公共的辦證機(jī)構(gòu)申請，也可以向運(yùn)轉(zhuǎn)在企業(yè)內(nèi)部的證書服務(wù)器申請。這些機(jī)構(gòu)提供證書的簽發(fā)和失效證明服務(wù)。第82頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理數(shù)字證書標(biāo)準(zhǔn)：X.509X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn)。在X.500確保用戶名稱惟一性的基礎(chǔ)上,X.509為X.500用戶名稱提供了通信實體的鑒別機(jī)制，并規(guī)定了實體鑒別過程中廣泛適用的證書語法和數(shù)據(jù)接口。X.509的最初版本公布于1988年。X.509證書由用戶公共密鑰和用戶標(biāo)識符組成。此外還包括版本號、證書序列號、CA標(biāo)識符、簽名算法標(biāo)識、簽發(fā)者名稱、證書有效期等信息。X.509標(biāo)準(zhǔn)的最新版本是X.509

v3，它定義了包含擴(kuò)展信息的數(shù)字證書。該版數(shù)字證書提供了一個擴(kuò)展信息字段，用來提供更多的靈活性及特殊應(yīng)用環(huán)境下所需的信息傳送。第83頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理數(shù)字證書中的常見內(nèi)容發(fā)信人的公開密鑰；發(fā)信人的姓名；證書頒發(fā)者的名稱；證書的序列號；證書頒發(fā)者的數(shù)字簽名；證書的有效期限。第84頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)加密技術(shù)原理申請數(shù)字證書，并利用它發(fā)送電子郵件用戶向CA機(jī)構(gòu)申請一份數(shù)字證書，申請過程會生成他的公開/私有密鑰對。公開密鑰被發(fā)送給CA機(jī)構(gòu)，CA機(jī)構(gòu)生成證書，并用自己的私有密鑰簽發(fā)之，然后向用戶發(fā)送一份拷貝。用戶的同事從CA機(jī)構(gòu)查到用戶的數(shù)字證書，用證書中的公開密鑰對簽名進(jìn)行驗證。用戶把文件加上簽名，然后把原始文件同簽名一起發(fā)送給自己的同事。證書申請簽發(fā)的數(shù)字證書文件和數(shù)字簽名數(shù)字證書的驗證用戶同事CA第85頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式SH：會話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEE：明文信息：密文信息第86頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)，通常用硬件在物理層或數(shù)據(jù)鏈路層實現(xiàn)。優(yōu)點(diǎn)由于每條通信鏈路上的加密是獨(dú)立進(jìn)行的，因此當(dāng)某條鏈路受到破壞不會導(dǎo)致其它鏈路上傳輸?shù)男畔⒌陌踩浴笪闹械膮f(xié)議控制信息和地址都被加密，能夠有效防止各種流量分析。不會減少網(wǎng)絡(luò)有效帶寬。只有相鄰節(jié)點(diǎn)使用同一密鑰，因此，密鑰容易管理。加密對于用戶是透明的，用戶不需要了解加密、解密過程。第87頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)傳輸?shù)募用?/p>

鏈路加密方式缺點(diǎn)在傳輸?shù)闹虚g節(jié)點(diǎn)，報文是以明文的方式出現(xiàn)，容易受到非法訪問的威脅。每條鏈路都需要加密/解密設(shè)備和密鑰，加密成本較高。第88頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)傳輸?shù)募用?/p>

端對端加密方式應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層MessageMessageSHMessageTHNHLHLHSHTHSHNHTHSHNHTHSHMessageMessageMessageMessageEESH：會話層包頭；TH：傳輸層包頭；NH：網(wǎng)絡(luò)層包頭；LH：鏈路層包頭；E：鏈路層包尾；：明文信息：密文信息第89頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)傳輸?shù)募用?/p>

端對端加密方式

在源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)對傳輸?shù)膱笪倪M(jìn)行加密和解密，一般在應(yīng)用層或表示層完成。優(yōu)點(diǎn)在高層實現(xiàn)加密，具有一定的靈活性。用戶可以根據(jù)需要選擇不同的加密算法。缺點(diǎn)報文的控制信息和地址不加密，容易受到流量分析的攻擊。需要在全網(wǎng)范圍內(nèi)對密鑰進(jìn)行管理和分配。第90頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

SSL協(xié)議:安全套接層協(xié)議（SecureSocketLayer）。SSL是建立安全通道的協(xié)議，位于傳輸層和應(yīng)用層之間，理論上可以為任何數(shù)量的應(yīng)用層網(wǎng)絡(luò)通信協(xié)議提供通信安全。SSL協(xié)議提供的功能有安全（加密）通信、服務(wù)器（或客戶）身份鑒別、信息完整性檢查等。SSL協(xié)議最初由Netscape公司開發(fā)成功，是在Web客戶和Web服務(wù)器之間建立安全通道的事實標(biāo)準(zhǔn)。SSL協(xié)議大量使用于網(wǎng)站的安全連接。第91頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

數(shù)據(jù)鏈路層和物理層網(wǎng)絡(luò)層（IP）傳輸層（TCP）安全套接層（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP

SSL協(xié)議:安全套接層協(xié)議所在層次第92頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

SSL協(xié)議:建立SSL協(xié)議的六個步驟建立SSL協(xié)議的前三個步驟1?？蛻魝魉汀癈lientHello”2。服務(wù)器傳送“ServerHello”3。服務(wù)器傳送公開密鑰服務(wù)器服務(wù)器服務(wù)器客戶端客戶端客戶端公開密鑰第93頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

SSL協(xié)議:建立SSL協(xié)議的六個步驟建立SSL協(xié)議的后三個步驟4?？蛻魝魉兔孛苊荑€給服務(wù)器5。服務(wù)器和客戶端均傳送“ChangeCipherSpec”和“Finished”給對方6?？蛻舳伺c服務(wù)器開始使用秘密密鑰交換資料服務(wù)器服務(wù)器服務(wù)器客戶端客戶端客戶端第94頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

TLS協(xié)議:傳輸層安全協(xié)議（TransportLayerSecurity）。

TLS協(xié)議由IETF（InternetEngineeringTaskForce）組織開發(fā)。TLS協(xié)議是對SSL3.0協(xié)議的進(jìn)一步發(fā)展。同SSL協(xié)議相比，TLS協(xié)議是一個開放的、以有關(guān)標(biāo)準(zhǔn)為基礎(chǔ)的解決方案，使用了非專利的加密算法。第95頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

IP-Sec協(xié)議(VPN加密標(biāo)準(zhǔn)):InternetInternal

NetworkEncryptedIP

與SSL協(xié)議不同，IP-Sec協(xié)議試圖通過對IP數(shù)據(jù)包進(jìn)行加密，從根本上解決因特網(wǎng)的安全問題。IP-Sec是目前遠(yuǎn)程訪問VPN網(wǎng)的基礎(chǔ)，可以在Internet上創(chuàng)建出安全通道來。

第96頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

IP-Sec協(xié)議:IPHDRMayBeEncryptedIPHDRDataIPsecHDRDataIPHDRDataIPsecHDRIPHDRNewIPHDRMayBeEncryptedData信道模式透明模式IP-Sec協(xié)議有兩種模式：透明模式：把IP-Sec協(xié)議施加到IP數(shù)據(jù)包上，但保留數(shù)據(jù)包原來的數(shù)據(jù)頭；信道模式：把數(shù)據(jù)包的一切內(nèi)容都加密（包括數(shù)據(jù)頭），然后再加上一個新的數(shù)據(jù)頭。第97頁，共193頁，2023年，2月20日，星期日常用加密協(xié)議

其它加密協(xié)議與標(biāo)準(zhǔn):SSH：SecureShell，在UNIX操作系統(tǒng)中用于遠(yuǎn)程控制Web服務(wù)器和其他服務(wù)器。DNSSEC：DomainNameServerSecurity，主要用于分布式域名服務(wù)。GSSAPI：GenericSecurityServicesAPI，為各種密碼學(xué)提供身份鑒別、密鑰交換、數(shù)據(jù)加密的平臺。PGP協(xié)議：PrettyGoodProtocol，適合于加密文件和加密電子郵件。第98頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)IsthatAlice?Hi,thisisAlice.Pleasesendmedata.Internet身份鑒別技術(shù)的提出

在開放的網(wǎng)絡(luò)環(huán)境中，服務(wù)提供者需要通過身份鑒別技術(shù)判斷提出服務(wù)申請的網(wǎng)絡(luò)實體是否擁有其所聲稱的身份。第99頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)常用的身份鑒別技術(shù)基于用戶名和密碼的身份鑒別基于對稱密鑰密碼體制的身份鑒別技術(shù)基于KDC（密鑰分配中心）的身份鑒別技術(shù)基于非對稱密鑰密碼體制的身份鑒別技術(shù)基于證書的身份鑒別技術(shù)第100頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)Yes.Ihaveausernamed“Alice”whosepasswordis“byebye”.Icansendhimdata.Hi,thisisAlice.MyUserIdis“Alice”,mypasswordis“byebye”.Pleasesendmedata.Internet基于用戶名和密碼的身份鑒別

第101頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于對稱密鑰體制的身份鑒別A在這種技術(shù)中，鑒別雙方共享一個對稱密鑰KAB，該對稱密鑰在鑒別之前已經(jīng)協(xié)商好（不通過網(wǎng)絡(luò)）。RBKAB(RB)RAKAB(RA)AliceBob①②③④⑤第102頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?Internet基于KDC的身份鑒別技術(shù)A,KA(B,KS)基于KDC（KeyDistributionCenter，密鑰分配中心）的身份鑒別技術(shù)克服了基于對稱密鑰的身份鑒別技術(shù)中的密鑰管理的困難。在這種技術(shù)中，參與鑒別的實體只與KDC共享一個對稱密鑰，鑒別通過KDC來完成。KB(A,KS)AliceBob①②KDC第103頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)基于非對稱密鑰體制的身份鑒別在這種技術(shù)中，雙方均用對方的公開密鑰進(jìn)行加密和傳輸。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetEPKB(A,RA)EPKA(RA,RB,KS)KS(RB)AliceBob①②③第104頁，共193頁，2023年，2月20日，星期日身份鑒別技術(shù)基于證書的身份鑒別技術(shù)為解決非對稱密鑰身份鑒別技術(shù)中存在的“公開密鑰真實性”的問題，可采用證書對實體的公開密鑰的真實性進(jìn)行保證。ThisisBob.AreyouAlice?Hi,thisisAlice.AreyouBob?InternetPKB(A,KS),CAPKA(B,KS)AliceBob①②第105頁，共193頁，2023年，2月20日，星期日資源使用授權(quán)資源使用授權(quán)的概念當(dāng)用戶登陸到系統(tǒng)時，其任何動作都要受到約束在使用者和各類系統(tǒng)資源間建立詳細(xì)的授權(quán)映射，確保用戶只能使用其授權(quán)范圍內(nèi)的資源。通過訪問控制列表(ACL:AccessControlList)來實現(xiàn)資源使用授權(quán)。系統(tǒng)中的每一個對象與一個ACL關(guān)聯(lián)。ACL中包含一個或多個訪問控制入口(AccessControlEntry,ACE)。第106頁，共193頁，2023年，2月20日，星期日資源使用授權(quán)資源使用授權(quán)實例分析InternetIntranetDNS/MailDMZTelnetJoeInsideHostAFirewallInternetSecureMonitorJoeUserProfileid=JoeFail=0Service=ShellCmd=Telnet{PermitHostA}Cmd=FTP{PermitHostB}第107頁，共193頁，2023年，2月20日，星期日包過濾技術(shù)包過濾技術(shù)的基本概念包過濾技術(shù)指在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢茫ㄗ饔迷诰W(wǎng)絡(luò)層和傳輸層）對數(shù)據(jù)包有選擇的通過；選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則（分組包頭源地址，目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過）；只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)接口；其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。包過濾一般由屏蔽路由器來完成。包過濾技術(shù)是防火墻最常用的技術(shù)。第108頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包包過濾技術(shù)包過濾技術(shù)的基本原理數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略第109頁，共193頁，2023年，2月20日，星期日包過濾技術(shù)包過濾技術(shù)的特點(diǎn)較高的網(wǎng)絡(luò)性能。成本較低。不足：優(yōu)點(diǎn)：包過濾技術(shù)是安防強(qiáng)度最弱的防火墻技術(shù)。雖然有一些維護(hù)工具，但維護(hù)起來十分困難。IP包的源地址、目的地址、TCP端口號是唯一可以用于判斷是否允許包通過的信息。不能阻止IP地址欺騙，不能防止DNS欺騙。第110頁，共193頁，2023年，2月20日，星期日內(nèi)容安全（防病毒）技術(shù)病毒檢測方法比較法搜索法特征字的識別法分析法病毒清除方法文件型病毒的清除引導(dǎo)型病毒的清除內(nèi)存殺毒未知病毒的檢測壓縮文件病毒的檢測和清除第111頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的檢測病毒檢測方法：搜索法分析法特征字識別法比較法病毒檢測方法第112頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的檢測比較法比較法是通過用原始備份與被檢測的引導(dǎo)扇區(qū)或文件進(jìn)行比較，來判斷系統(tǒng)是否感染病毒的方法。文件長度的變化和文件中程序代碼的變化都可以用來作為比較法判斷有無病毒的依據(jù)。比較法的優(yōu)點(diǎn)：簡單、方便，不需專用軟件，并且還能發(fā)現(xiàn)尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計算機(jī)病毒。比較法的缺點(diǎn)：無法確認(rèn)病毒的種類。當(dāng)發(fā)現(xiàn)差異時，無法判斷產(chǎn)生差異的原因是由于病毒的感染，還是由于突然停電、程序失控、惡意程序破壞等原因造成的。第113頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的檢測搜索法搜索法的主要缺點(diǎn)：當(dāng)被掃描的文件很長時，掃描所花的時間也多。當(dāng)新的病毒特征串未加入病毒代碼庫時，老版本的掃描程序無法識別新病毒。當(dāng)病毒產(chǎn)生新的變種時，病毒特征串被改變，因此可以躲過掃描程序。容易產(chǎn)生誤報警。搜索法是用每一種病毒體含有的特征字節(jié)串對被檢測的對象進(jìn)行掃描，如果發(fā)現(xiàn)特征字節(jié)串，就表明發(fā)現(xiàn)了該特征串所代表的病毒。被廣泛應(yīng)用。第114頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的檢測特征字的識別法同搜索法不同，特征字識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字，組成特征字庫，可進(jìn)行病毒的查殺。由于需要處理的字節(jié)很少，又不必進(jìn)行串匹配，特征字識別法的識別速度大大高于搜索法。特征字識別法比搜索法更加注意“程序活性”，減少了錯報的可能性。第115頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的檢測分析法分析法是反病毒專家使用的方法，不適合普通用戶。反病毒專家采用分析法對染毒文件和病毒代碼進(jìn)行分析，得出分析結(jié)果后形成反病毒產(chǎn)品。分析法可分為動態(tài)和靜態(tài)兩種。一般必須采用動靜結(jié)合的方法才能完成整個分析過程。第116頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的清除病毒清除方法：文件型病毒的清除引導(dǎo)型病毒的清除壓縮文件病毒的檢測與清除內(nèi)存殺毒病毒清除方法第117頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的清除文件型病毒的清除清除文件型病毒，可以有如下一些方案：如果染毒文件有未染毒的備份的話，用備份文件覆蓋染毒文件即可。如果可執(zhí)行文件有免疫疫苗的話，遇到病毒后，程序可以自動復(fù)原。如果文件沒有任何防護(hù)的話，可以通過殺毒程序進(jìn)行殺毒和文件的恢復(fù)。但殺毒程序不能保證文件的完全復(fù)原。第118頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的清除引導(dǎo)型病毒的清除清除引導(dǎo)型病毒，可以有以下一些方案：對于硬盤，可以在其未感染病毒時進(jìn)行硬盤啟動區(qū)和分區(qū)表的備份。當(dāng)感染引導(dǎo)型病毒后，可以將備份的數(shù)據(jù)寫回啟動區(qū)和分區(qū)表即可清除引導(dǎo)型病毒?？梢杂脷⒍拒浖砬宄龑?dǎo)型病毒。第119頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的清除內(nèi)存殺毒由于內(nèi)存中的活病毒體會干擾反病毒軟件的檢測結(jié)果，所以幾乎所有的反病毒軟件設(shè)計者都要考慮到內(nèi)存殺毒。內(nèi)存殺毒技術(shù)首先找到病毒在內(nèi)存中的位置，重構(gòu)其中部分代碼，使其傳播功能失效。第120頁，共193頁，2023年，2月20日，星期日計算機(jī)病毒的清除壓縮文件病毒的檢測和清除壓縮程序在壓縮文件的同時也改變了依附在文件上的病毒代碼，使得一般的反病毒軟件無法檢查到病毒的存在。已被壓縮的文件被解壓縮并執(zhí)行時，病毒代碼也被恢復(fù)并激活，將到處傳播和破壞。目前的主流防病毒軟件都已經(jīng)在其產(chǎn)品中包含了特定的解壓縮模塊，可以既檢查被壓縮后的病毒，又不破壞被壓縮后沒有病毒的文件。第121頁，共193頁，2023年，2月20日，星期日主要網(wǎng)絡(luò)安全產(chǎn)品第四章第122頁，共193頁，2023年，2月20日，星期日主要網(wǎng)絡(luò)安全產(chǎn)品本章概要

本章針對目前主流的幾類網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行介紹，涉及的網(wǎng)絡(luò)安全產(chǎn)品有以下幾種：防火墻產(chǎn)品入侵監(jiān)測產(chǎn)品VPN網(wǎng)關(guān)防病毒產(chǎn)品漏洞評估第123頁，共193頁，2023年，2月20日，星期日防火墻的基本概念防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶

DMZ第124頁，共193頁，2023年，2月20日，星期日防火墻的主要技術(shù)應(yīng)用層代理技術(shù)(ApplicationProxy)包過濾技術(shù)(PacketFiltering)狀態(tài)包過濾技術(shù)(StatefulPacketFiltering)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻的主要技術(shù)種類第125頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術(shù)包過濾技術(shù)的基本原理數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略第126頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術(shù)狀態(tài)檢測包過濾技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判斷信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測控制策略第127頁，共193頁，2023年，2月20日，星期日數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術(shù)應(yīng)用層代理技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應(yīng)用代理判斷信息控制策略第128頁，共193頁，2023年，2月20日，星期日防火墻的用途防火墻的用途控制對網(wǎng)點(diǎn)的訪問和封鎖網(wǎng)點(diǎn)信息的泄露能限制被保護(hù)子網(wǎng)的泄露具有審計作用能強(qiáng)制安全策略第129頁，共193頁，2023年，2月20日，星期日防火墻不能防備病毒防火墻對不通過它的連接無能為力防火墻不能防備內(nèi)部人員的攻擊限制有用的網(wǎng)絡(luò)服務(wù)防火墻不能防備新的網(wǎng)絡(luò)安全問題防火墻的弱點(diǎn)防火墻的弱點(diǎn)第130頁，共193頁，2023年，2月20日，星期日防火墻的構(gòu)筑原則構(gòu)筑防火墻要從以下幾方面考慮：體系結(jié)構(gòu)的設(shè)計安全策略的制定安全策略的實施第131頁，共193頁，2023年，2月20日，星期日防火墻的產(chǎn)品(國外)第132頁，共193頁，2023年，2月20日，星期日防火墻的產(chǎn)品(國內(nèi))第133頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)入侵監(jiān)測系統(tǒng)的概念入侵監(jiān)測的主要技術(shù)入侵監(jiān)測系統(tǒng)的主要類型入侵監(jiān)測系統(tǒng)的優(yōu)點(diǎn)和不足含入侵監(jiān)測系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)入侵監(jiān)測系統(tǒng)的發(fā)展本節(jié)將分以下幾部分介紹入侵監(jiān)測系統(tǒng)：第134頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)的概念防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；入侵監(jiān)測系統(tǒng)(IDS：Intrusiondetectionsystem)用于監(jiān)控網(wǎng)絡(luò)和計算機(jī)系統(tǒng)被入侵或濫用的征兆；IDS系統(tǒng)以后臺進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員；IDS是監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵監(jiān)測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。基本概念第135頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)的概念能夠發(fā)現(xiàn)異于正常行為的操作不需要人工干預(yù)即可不間斷運(yùn)行對網(wǎng)絡(luò)入侵行為進(jìn)行實時報警和主動響應(yīng)不需要占用大量的系統(tǒng)資源能方便地進(jìn)行升級入侵監(jiān)測系統(tǒng)應(yīng)有的功能第136頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測的主要技術(shù)主要技術(shù)簽名分析法SignatureAnalysis統(tǒng)計分析法StatisticsAnalysis數(shù)據(jù)完整性分析法DataIntegrationAnalysis第137頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)的主要類型應(yīng)用軟件入侵監(jiān)測系統(tǒng)ApplicationIntrusionDetection主機(jī)入侵監(jiān)測系統(tǒng)HostIntrusionDetection網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)NetworkIntrusionDetection集成入侵監(jiān)測系統(tǒng)IntegratedIntrusionDetectionIDS的主要類型第138頁，共193頁，2023年，2月20日，星期日含入侵監(jiān)測系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)含IDS的網(wǎng)絡(luò)體系結(jié)構(gòu)InternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機(jī)帶主機(jī)IDS感應(yīng)器的服務(wù)器服務(wù)器第139頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)的優(yōu)點(diǎn)和不足能完善現(xiàn)有的安防體系；能幫助用戶更好地掌握系統(tǒng)情況；能追蹤攻擊線路，以便抓住攻擊者。入侵監(jiān)測系統(tǒng)的優(yōu)點(diǎn)入侵監(jiān)測系統(tǒng)能夠增強(qiáng)網(wǎng)絡(luò)的安全性，它第140頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)的優(yōu)點(diǎn)和不足傳統(tǒng)的入侵監(jiān)測系統(tǒng)不能在沒有用戶參與的情況下對攻擊行為展開調(diào)查。傳統(tǒng)的入侵監(jiān)測系統(tǒng)不能在沒有用戶參與的情況下阻止攻擊行為的發(fā)生。不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷不能克服設(shè)計原理方面的缺陷。響應(yīng)不夠及時，簽名數(shù)據(jù)庫難以及時更新。入侵監(jiān)測系統(tǒng)的不足入侵監(jiān)測系統(tǒng)不是萬能的，也存在許多不足：第141頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測系統(tǒng)的發(fā)展能對入侵做出主動的反映；不再完全依賴于簽名數(shù)據(jù)庫，易于管理；追求的目標(biāo)是在攻擊對系統(tǒng)造成真正的危害之前將它們化解掉；隨時都可以對攻擊展開的跟蹤調(diào)查；極大的改善了IDS系統(tǒng)的易用性，減輕了主機(jī)安防在系統(tǒng)管理方面的壓力。抗入侵技術(shù)——入侵監(jiān)測的發(fā)展方向入侵監(jiān)測系統(tǒng)的發(fā)展方向是抗入侵技術(shù)（IntrusionResistant）。該技術(shù)能在系統(tǒng)遇到攻擊時設(shè)法把它化解掉，讓網(wǎng)絡(luò)和系統(tǒng)還能正常運(yùn)轉(zhuǎn)?？谷肭旨夹g(shù)具有如下優(yōu)勢：第142頁，共193頁，2023年，2月20日，星期日入侵監(jiān)測產(chǎn)品常見的入侵監(jiān)測產(chǎn)品CiscoSystem:NetRangerNetworkAssociate:CyberCopInternetSecuritySystem:RealSecureIntrusionDetection:KaneSecurityMonitorAxentTechnologies:OmniGuard/IntruderAlert中科網(wǎng)威：天眼啟明星辰：SkyBell（天闐）第143頁，共193頁，2023年，2月20日，星期日VPN網(wǎng)關(guān)VPN的基本概念VPN的功能VPN的分類及用途VPN常用協(xié)議基于IPSec協(xié)議的VPN體系結(jié)構(gòu)本節(jié)將分以下幾部分介紹VPN網(wǎng)關(guān)：第144頁，共193頁，2023年，2月20日，星期日VPN的基本概念虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。InternetVPN通道隧道交換機(jī)移動用戶VPN的基本概念第145頁，共193頁，2023年，2月20日，星期日VPN必須具備如下功能：VPN的功能保證數(shù)據(jù)的真實性，通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動態(tài)密鑰交換功能，提供密鑰中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。提供安全防護(hù)措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進(jìn)行訪問控制（AccessControl）第146頁，共193頁，2023年，2月20日，星期日內(nèi)部網(wǎng)VPN——用VPN連接公司總部和其分支機(jī)構(gòu).

遠(yuǎn)程訪問VPN——用VPN連接公司總部和遠(yuǎn)程用戶.

外聯(lián)網(wǎng)VPN——用VPN連接公司和其業(yè)務(wù)伙伴.VPN的分類及用途子公司LAN合作伙伴LAN遠(yuǎn)程用戶Internet第147頁，共193頁，2023年，2月20日，星期日InternetVPN服務(wù)器VPN服務(wù)器路由器路由器加密信道加密認(rèn)證VPN總部LAN子公司LAN一個安全的VPN服務(wù)，應(yīng)該為子公司的不同用戶指定不同的訪問權(quán)限。VPN的分類及用途內(nèi)部網(wǎng)VPN

第148頁，共193頁，2023年，2月20日，星期日InternetVPN服務(wù)器加密信道總部LANVPN的功能：1、訪問控制管理。2、用戶身份認(rèn)證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計記錄。5、密鑰和數(shù)字簽名管理。PC機(jī)移動用戶公共服務(wù)器VPN的分類及用途遠(yuǎn)程訪問VPN

第149頁，共193頁，2023年，2月20日，星期日InternetVPN服務(wù)器VPN服務(wù)器加密信道加密認(rèn)證VPN公司內(nèi)聯(lián)網(wǎng)合作公司內(nèi)聯(lián)網(wǎng)1、VPN服務(wù)應(yīng)有詳細(xì)的訪問控制。2、與防火墻/協(xié)議兼容。FTP服務(wù)器VPN的分類及用途外聯(lián)網(wǎng)VPN

第150頁，共193頁，2023年，2月20日，星期日VPN常用協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會話層傳輸層會話層代理SOCKV5網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TP

VPN常用的協(xié)議有SOCKv5、IPSec、PPTP以及L2TP等。這些協(xié)議對應(yīng)的OSI層次結(jié)構(gòu)如下：VPN常用協(xié)議第151頁，共193頁，2023年，2月20日，星期日不安全網(wǎng)網(wǎng)關(guān)或主機(jī)網(wǎng)關(guān)或主機(jī)IP數(shù)據(jù)包傳輸層數(shù)據(jù)應(yīng)用程序IP數(shù)據(jù)包傳輸層數(shù)據(jù)應(yīng)用程序SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰安全聯(lián)系基于IPSec協(xié)議的VPN體系結(jié)構(gòu)第152頁，共193頁，2023年，2月20日，星期日VPN產(chǎn)品第153頁，共193頁，2023年，2月20日，星期日防病毒產(chǎn)品企業(yè)防病毒策略——建立多層次病毒防護(hù)體系防病毒產(chǎn)品的選擇原則防病毒廠商及主要產(chǎn)品本節(jié)將分以下幾部分介紹防病毒產(chǎn)品相關(guān)內(nèi)容：第154頁，共193頁，2023年，2月20日，星期日企業(yè)防病毒策略——多層次病毒防護(hù)體系企業(yè)防病毒策略的制訂企業(yè)應(yīng)建立多層次的、立體的病毒防護(hù)體系，并應(yīng)配備完善的管理系統(tǒng)來設(shè)置和維護(hù)病毒防護(hù)策略，從而達(dá)到防范各種病毒危害的目的。在企業(yè)每臺臺式機(jī)上安裝客戶端防病毒軟件在服務(wù)器上安裝基于服務(wù)器的防病毒軟件在網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的防病毒產(chǎn)品這一防護(hù)體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不受病毒的危害與其亡羊補(bǔ)牢不如未雨綢繆第155頁，共193頁，2023年，2月20日，星期日多層次病毒防護(hù)體系的實施：對個人工作站進(jìn)行病毒防護(hù)對文件服務(wù)器進(jìn)行病毒防護(hù)對郵件服務(wù)器進(jìn)行病毒防護(hù)企業(yè)Internet聯(lián)接的病毒防護(hù)企業(yè)廣域網(wǎng)的病毒防護(hù)企業(yè)防病毒策略——多層次病毒防護(hù)體系第156頁，共193頁，2023年，2月20日，星期日選擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓?fù)淦鹾闲云髽I(yè)應(yīng)選用網(wǎng)絡(luò)版的防病毒軟件應(yīng)選用單一品牌防毒軟件產(chǎn)品慎選防病毒軟件的供應(yīng)商防病毒產(chǎn)品的選擇原則選型原則第157頁，共193頁，2023年，2月20日，星期日防病毒產(chǎn)品的選擇原則病毒查殺能力對新病毒的反應(yīng)能力病毒實時監(jiān)測能力?？焖?、方便的升級智能安裝、遠(yuǎn)程識別管理方便，易于操作對現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價格軟件商的企業(yè)實力防病毒產(chǎn)品選擇應(yīng)考慮的具體因素第158頁，共193頁，2023年，2月20日，星期日常見的防病毒產(chǎn)品第159頁，共193頁，2023年，2月20日，星期日漏洞評估的概念基本概念通過對系統(tǒng)進(jìn)行動態(tài)的試探和掃描，找出系統(tǒng)中各類潛在的弱點(diǎn)，給出相應(yīng)的報告，建議采取相應(yīng)的補(bǔ)救措施或自動填補(bǔ)某些漏洞。主要優(yōu)點(diǎn)通過漏洞評估，網(wǎng)絡(luò)管理人員能提前發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的弱點(diǎn)和漏洞，防范于未然。第160頁，共193頁，2023年，2月20日，星期日漏洞評估產(chǎn)品的分類漏洞評估產(chǎn)品的分類網(wǎng)絡(luò)型安全漏洞評估產(chǎn)品模擬黑客行為，掃描網(wǎng)絡(luò)上的漏洞并進(jìn)行評估主機(jī)型安全漏洞評估產(chǎn)品針對操作系統(tǒng)的漏洞作更深入的掃描數(shù)據(jù)庫安全漏洞評估產(chǎn)品專門針對數(shù)據(jù)庫的漏洞進(jìn)行掃描第161頁，共193頁，2023年，2月20日，星期日漏洞評估產(chǎn)品選擇原則產(chǎn)品選擇原則是否具有針對網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫的漏洞檢測功能產(chǎn)品掃描能力產(chǎn)品的評估能力產(chǎn)品的漏洞修復(fù)能力及報告格式第162頁，共193頁，2023年，2月20日，星期日如果將計算機(jī)網(wǎng)絡(luò)比作城堡：網(wǎng)絡(luò)安全產(chǎn)品的集成防火墻就是城堡的護(hù)城橋（河）——只允許己方的隊伍通過。入侵監(jiān)測系統(tǒng)就是城堡中的了望哨——監(jiān)視有無敵方或其他誤入城堡的人出現(xiàn)。VPN就是城褒外到城堡內(nèi)的一個安全地道——有時城堡周圍遍布敵軍而內(nèi)外需要聯(lián)絡(luò)。漏洞評估就是巡鑼——檢測城堡是否堅固以及是否存在潛在隱患。防病毒產(chǎn)品就是城堡中的將士——想方設(shè)法把發(fā)現(xiàn)的敵人消滅。第163頁，共193頁，2023年，2月20日，星期日防火墻訪問控制防病毒入侵檢測虛擬專用網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品的集成漏洞評估第164頁，共193頁，2023年，2月20日，星期日企業(yè)網(wǎng)絡(luò)安全防護(hù)策略第五章第165頁，共193頁，2023年，2月20日，星期日企業(yè)網(wǎng)絡(luò)安全防護(hù)策略本章概要

網(wǎng)絡(luò)安全策略是安全管理體系和網(wǎng)絡(luò)安全技術(shù)的綜合。本章將就企業(yè)范圍的網(wǎng)絡(luò)安全策略進(jìn)行闡述，著重介紹以下幾方面：企業(yè)安全防護(hù)體系的構(gòu)成建立安全的企業(yè)網(wǎng)絡(luò)安防工作是一個過程第166頁，共193頁，2023年，2月20日，星期日企業(yè)安全防護(hù)體系的構(gòu)成人

制度技術(shù)安全防護(hù)體系企業(yè)安全防護(hù)體系的主要構(gòu)成因素人制度技術(shù)第167頁，共193頁，2023年，2月20日，星期日人：安防體系的根本動力人是安防體系中的最薄弱環(huán)節(jié)對安全防護(hù)工作重視的領(lǐng)導(dǎo)是安防工作順利推進(jìn)的主要動力；有強(qiáng)烈安全防護(hù)意識的員工是企業(yè)安防體系得以切實落實的基礎(chǔ)；杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強(qiáng)安全防護(hù)的一項重要工作。第168頁，共193頁，2023年，2月20日，星期日人：安防體系的根本動力加強(qiáng)安全教育、提高網(wǎng)絡(luò)安全意識啟蒙——為安全培訓(xùn)工作打基礎(chǔ)，端正對企業(yè)的態(tài)度，讓他們充分認(rèn)識到安防工作的重要意義及在不重視安防工作的危險后果。培訓(xùn)——傳授安全技巧，使其更好的完成自己的工作。教育——目標(biāo)是培養(yǎng)IT安防專業(yè)人才，重點(diǎn)在于拓展應(yīng)付處理復(fù)雜多變的攻擊活動的能力和遠(yuǎn)見。第169頁，共193頁，2023年，2月20日，星期日制度：安防體系的基礎(chǔ)減輕或消除員工和第三方的法律責(zé)任對保密信息和無形資產(chǎn)加以保護(hù)防止浪費(fèi)企業(yè)的計算機(jī)資源安防制度的定義和作用

安防制度是這樣一份或一套文檔，它從整體上規(guī)劃出在企業(yè)內(nèi)部實施的各項安防控制措施。

安防制度的作用主要有：第170頁，共193頁，2023年，2月20日，星期日制度：安防體系的基礎(chǔ)安防制度的生命周期

安防制度的生命周期包括制度的制定、推行和監(jiān)督實施。第一階段：規(guī)章制度的制定。本階段以風(fēng)險評估工作的結(jié)論為依據(jù)制定出消除、減輕和轉(zhuǎn)移風(fēng)險所需要的安防控制措施。第二階段：企業(yè)發(fā)布執(zhí)行的規(guī)章制度，以及配套的獎懲措施。第三階段：規(guī)章制度的監(jiān)督實施。制度的監(jiān)督實施應(yīng)常抓不懈、反復(fù)進(jìn)行，保證制度能夠跟上企業(yè)的發(fā)展和變化制度的監(jiān)督實施制度的制定制度的推行第171頁，共193頁，2023年，2月20日，星期日制度：安防體系的基礎(chǔ)計算機(jī)上機(jī)管理制度用戶賬戶管理制度遠(yuǎn)程訪問管理制度信息保護(hù)管理制度防火墻管理制度特殊訪問權(quán)限管理制度網(wǎng)絡(luò)連接設(shè)備管理制度商業(yè)伙伴管理制度顧客管理制度安防制度的主要組成部分第172頁，