網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)培訓(xùn)-天融信

網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)北京天融信公司

CISP劉建威電話件：liu_jianwei@網(wǎng)址：課程模塊Module1:網(wǎng)絡(luò)安全概述Module2:我們眼中的網(wǎng)絡(luò)安全Module3:網(wǎng)絡(luò)安全技術(shù)產(chǎn)品及功能介紹Module1:

網(wǎng)絡(luò)安全概述什么是安全？安全一種能夠識(shí)別和消除不安全因素的能力安全是一個(gè)持續(xù)的過程網(wǎng)絡(luò)安全是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷一)非授權(quán)訪問沒有經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用。2.或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。形式:假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。安全威脅二)信息泄露敏感數(shù)據(jù)在有意或無意中被泄漏出去。信息在傳輸中丟失或泄漏（電磁泄漏或搭線竊聽；對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息；猜測(cè)用戶口令、帳號(hào)等重要信息。）2.信息在存儲(chǔ)介質(zhì)中丟失或泄漏。通過建立隱蔽通道等竊取敏感信息等。安全威脅三)破壞數(shù)據(jù)完整性以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；

惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。安全威脅四)拒絕服務(wù)攻擊不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程。

執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。安全威脅五)利用網(wǎng)絡(luò)傳播病毒通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。六)假冒假冒合法身份破壞正常工作。七)抵賴否認(rèn)接收過或發(fā)送過信息。安全威脅為什么我們不能杜絕攻擊事件的發(fā)生日趨精密的攻擊以及以INTERNET為基礎(chǔ)的技術(shù)快速發(fā)展符合的IT技術(shù)人員和資金的缺乏而不能獲得更多的資源沒有對(duì)被保護(hù)的系統(tǒng)大量的充分的快速的部署沒有絕對(duì)的安全開放最少服務(wù)提供最小權(quán)限原則安全需求平衡過分繁雜的安全政策將導(dǎo)致比沒有安全政策還要低效的安全。需要考慮一下安全政策給合法用戶帶來的影響在很多情況下如果你的用戶所感受到的不方便大于所產(chǎn)生的安全上的提高，則執(zhí)行的安全策略是實(shí)際降低了你公司的安全有效性。建立一個(gè)有效的安全矩陣安全距陣一個(gè)安全矩陣由單個(gè)操作系統(tǒng)安全特征、日志服務(wù)和其他的裝備包括防火墻，入侵檢測(cè)系統(tǒng)，審查方案構(gòu)成。安全矩陣系統(tǒng)最主要的幾個(gè)方面允許訪問控制容易使用合理的花費(fèi)靈活性和伸縮性優(yōu)秀的警報(bào)和報(bào)告保護(hù)資源終端用戶資源Theworkstationsusedbyemployees威脅:Viruses,trojans,ActiveX,applet網(wǎng)絡(luò)資源Routers,switches,wiringclosets,telephony威脅:IPspoofing,systemsnooping服務(wù)器資源DNS,WEB,Email,FTP等服務(wù)器威脅:Unauthorizedentry,D.O.S,trojans信息存儲(chǔ)資源Humanresourcesande-commercedatabases威脅:Obtainingtradesecrets,customerdata黑客的分類偶然的破壞者堅(jiān)定的破壞者間諜安全基本元素審計(jì)管理加密訪問控制用戶驗(yàn)證安全策略安全策略建立一個(gè)有效的安全策略為你的系統(tǒng)分類指定危險(xiǎn)因數(shù)確定每個(gè)系統(tǒng)的安全優(yōu)先級(jí)定義可接受和不可接受的活動(dòng)決定在安全問題上如何教育所有員工確定誰管理你的政策加密類型1.對(duì)稱加密2.非對(duì)稱加密3.Hash加密加密認(rèn)證方法1.證明你知道什么2.出示你擁有的3.證明你是誰4.鑒別你在哪里認(rèn)證KerberosKerberos系統(tǒng)是美國(guó)麻省理工學(xué)院為Athena工程而設(shè)計(jì)的，為分布式計(jì)算環(huán)境提供一種對(duì)用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法One-timepasswords(OPT)

為了解決固定口令的諸多問題，安全專家提出了一次性口令的密碼體制，以保護(hù)關(guān)鍵的計(jì)算資源特殊的認(rèn)證技術(shù)訪問控制列表(ACL)執(zhí)行控制列表(ECL)訪問控制被動(dòng)式審計(jì)主動(dòng)式審計(jì)

1.結(jié)束一個(gè)登陸會(huì)話

2.拒絕某些主機(jī)的訪問

3.跟蹤非法活動(dòng)的源位置審計(jì)增加了復(fù)雜性不得不培訓(xùn)用戶如何使用你需要的安全機(jī)制降低了系統(tǒng)響應(yīng)時(shí)間認(rèn)證，審計(jì)和加密機(jī)制會(huì)降低系統(tǒng)性能安全的權(quán)衡考慮和缺點(diǎn)網(wǎng)絡(luò)安全問題增長(zhǎng)趨勢(shì)Internet技術(shù)飛速發(fā)展有組織的網(wǎng)絡(luò)攻擊企業(yè)內(nèi)部安全隱患有限的安全資源和管理專家

財(cái)政損失知識(shí)產(chǎn)權(quán)損失時(shí)間消耗由錯(cuò)誤使用導(dǎo)致的生產(chǎn)力消耗責(zé)任感下降內(nèi)部爭(zhēng)執(zhí)網(wǎng)絡(luò)攻擊后果可見的網(wǎng)絡(luò)攻擊影響利潤(rùn)攻擊發(fā)生(財(cái)政影響)Q1Q2Q3Q4網(wǎng)絡(luò)安全風(fēng)險(xiǎn)安全需求和實(shí)際操作脫離

內(nèi)部的安全隱患動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境有限的防御策略安全策略和實(shí)際執(zhí)行之間的巨大差異針對(duì)網(wǎng)絡(luò)通訊層的攻擊通訊&服務(wù)層TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼調(diào)制解調(diào)器通訊&服務(wù)層弱點(diǎn)超過1000個(gè)TCP/IP服務(wù)安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.

錯(cuò)誤的路由配置

TCP/IP中不健全的安全連接檢查機(jī)制

缺省路由帳戶

反向服務(wù)攻擊

隱蔽ModemDMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼針對(duì)操作系統(tǒng)的攻擊操作系統(tǒng)

UNIXWindowsLinux

FreebsdMacintoshNovell操作系統(tǒng)的安全隱患

1000個(gè)以上的商用操作系統(tǒng)安全漏洞

沒有及時(shí)添加安全補(bǔ)丁病毒程序的傳播

文件/用戶權(quán)限設(shè)置錯(cuò)誤默認(rèn)安裝的不安全設(shè)置

缺省用戶的權(quán)限和密碼口令

用戶設(shè)置過于簡(jiǎn)單密碼使用

特洛依木馬DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼針對(duì)應(yīng)用服務(wù)的攻擊應(yīng)用服務(wù)程序

Web服務(wù)器

數(shù)據(jù)庫系統(tǒng)

內(nèi)部辦公系統(tǒng)

網(wǎng)絡(luò)瀏覽器

ERP系統(tǒng)

辦公文件程序

FTPSMTPPOP3SAPR/3Oracle應(yīng)用程序服務(wù)的攻擊弱點(diǎn)Web服務(wù)器:

錯(cuò)誤的Web目錄結(jié)構(gòu)

CGI腳本缺陷

Web服務(wù)器應(yīng)用程序缺陷

私人Web站點(diǎn)

未索引的Web頁

數(shù)據(jù)庫:

危險(xiǎn)的數(shù)據(jù)庫讀取刪除操作路由器:源端口/源路由

其他應(yīng)用程序:Oracle,SAP,Peoplesoft

缺省帳戶

有缺陷的瀏覽器DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼額外的不安全因素外部個(gè)體外部/組織內(nèi)部個(gè)體內(nèi)部/組織網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過26萬個(gè)黑客站點(diǎn)提供系統(tǒng)漏洞和攻擊知識(shí)越來越多的容易使用的攻擊軟件的出現(xiàn)國(guó)內(nèi)法律制裁打擊力度不夠典型的攻擊方式及安全規(guī)則字典攻擊和暴力破解法BUG和后門社會(huì)工程和非直接攻擊字典攻擊和暴力攻擊暴力程序攻擊所有能夠可以被窮舉的資源都可以成為暴力破解的目標(biāo)郵箱密碼破解流光4.7Bugs和后門緩沖區(qū)溢出BufferOverflow后門Rootkits社會(huì)工程和非直接攻擊打電話請(qǐng)求密碼偽造電子郵件拒絕服務(wù)攻擊TocrashaserverandmakeitunusableMasqueradetheidentityoftheattackedsystemViruses,bugsandserviceflaws八項(xiàng)安全實(shí)施建議成為一個(gè)安全的偏執(zhí)狂完整的安全策略不要采取單獨(dú)的系統(tǒng)或技術(shù)部署公司范圍的強(qiáng)制策略八項(xiàng)安全實(shí)施建議提供培訓(xùn)終端用戶管理員經(jīng)理根據(jù)需要購置安全設(shè)備識(shí)別安全的商業(yè)問題考慮物理安全Module2:

我們眼中的網(wǎng)絡(luò)安全不安全的安全的安全策略實(shí)際安全到達(dá)標(biāo)準(zhǔn)安全間隙未知的安全間隙不容忽視DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼部署安全保衛(wèi)措施防火墻的能力有限外部/個(gè)體外部/組織內(nèi)部/個(gè)體內(nèi)部/組織安全隱患DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼尚不了解實(shí)際的危機(jī)實(shí)際安全問題還有很多外部/個(gè)體外部/組織內(nèi)部/個(gè)體內(nèi)部/組織安全隱患DMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼管理分析&實(shí)施策略安全隱患外部/個(gè)體外部/組織內(nèi)部/個(gè)體內(nèi)部/組織關(guān)閉安全維護(hù)“后門”更改缺省的系統(tǒng)口令添加所有操作系統(tǒng)PatchModem數(shù)據(jù)文件加密安裝認(rèn)證&授權(quán)用戶安全培訓(xùn)授權(quán)復(fù)查入侵檢測(cè)實(shí)時(shí)監(jiān)控進(jìn)不來拿不走改不了跑不了看不懂信息安全的目的可審查信息

安全體系鑒別加密訪問控制安全管理病毒防范數(shù)字簽名鏈路加密機(jī)IP協(xié)議加密機(jī)郵件加密文件加密防火墻遠(yuǎn)程用戶鑒別系統(tǒng)防病毒軟件防病毒制度密鑰管理網(wǎng)絡(luò)監(jiān)視審計(jì)系統(tǒng)信息檢查系統(tǒng)代理服務(wù)器遠(yuǎn)程用戶鑒別系統(tǒng)信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國(guó)DITSCAP,…中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測(cè)評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全性評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)組織管理技術(shù)保障基礎(chǔ)設(shè)施產(chǎn)業(yè)支撐人材培養(yǎng)環(huán)境建設(shè)國(guó)家信息安全保障體系框架

1994年，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二章安全保護(hù)制部分規(guī)定：

“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。”《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GB17859-1999（技術(shù)法規(guī)）規(guī)定：

國(guó)家對(duì)信息系統(tǒng)實(shí)行五級(jí)保護(hù)。《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》重點(diǎn)強(qiáng)調(diào)：

實(shí)行信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)。等級(jí)化保護(hù)的政策依據(jù)等級(jí)化標(biāo)準(zhǔn)淵源TCSEC1985UKConfidenceLevels1989GERMANCriteriaFRENCHCriteriaCTCPEC1993ITSEC1991FC1993CCV1.01996V2.01998V2.11999ISO/IEC15408-1999GB/T18336-2001GB17859-1999GB17859衍生標(biāo)準(zhǔn)GA/T390計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求GA/T388計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求GA/T389計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求GA/T387計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求GA/T391計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求……GB/T18336衍生標(biāo)準(zhǔn)GB/T18019包過濾防火墻安全技術(shù)要求GB/T18018路由器安全技術(shù)要求GB/T18020應(yīng)用級(jí)防火墻安全技術(shù)要求GB/T17900網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求……等級(jí)化衍生標(biāo)準(zhǔn)網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀潛在的安全風(fēng)險(xiǎn)安全需求與目標(biāo)安全體系安全解決方案分析后得出提出依照風(fēng)險(xiǎn)制定出進(jìn)行安全集成/應(yīng)用開發(fā)安全服務(wù)安全方案設(shè)計(jì)建立相應(yīng)的網(wǎng)絡(luò)安全整體設(shè)計(jì)流程VPN

虛擬專用網(wǎng)防火墻內(nèi)容檢測(cè)防病毒入侵檢測(cè)Module3:

安全技術(shù)產(chǎn)品及功能介紹需要的安全技術(shù)產(chǎn)品CA安全身份認(rèn)證體系防火墻技術(shù)/VPN技術(shù)防病毒體系入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)安全備份和系統(tǒng)災(zāi)難恢復(fù)身份鑒別

基于口令、用戶名的身份認(rèn)

基于主體特征的身份認(rèn)證：如指紋基于IC卡+PIN號(hào)碼的認(rèn)證基于CA證書的身份認(rèn)證其他的認(rèn)證方式基于口令、用戶名的身份認(rèn)證UsernamePasswordPermissionroot~!@@#4RAdmin3458rRWwebmaste234REdd2342RWEServer

Enduser

Username=rootPassword=~!@##$發(fā)起訪問請(qǐng)求基于口令、用戶名的簡(jiǎn)單身份鑒別驗(yàn)證用戶名與口令回應(yīng)訪問請(qǐng)求，允許訪問驗(yàn)證通過基于主體特征的身份認(rèn)證UsernameFeaturePermissionRootSdffRAdmin8990RWWeb8668REftp8965RWEServer

Workstation

傳送特征信息發(fā)起訪問請(qǐng)求基于主體特征的身份鑒別驗(yàn)證用戶特征信息回應(yīng)訪問請(qǐng)求，允許訪問驗(yàn)證通過指紋識(shí)別器讀取特征信息獲得特征信息基于IC卡+PIN號(hào)碼的認(rèn)證UsernameInformationPermissionAdmin1234RRitt8990RWRoot8668REweb8965RWEServer

Workstation

傳送身份驗(yàn)證信息發(fā)起訪問請(qǐng)求基于IC卡+PIN號(hào)碼的身份鑒別驗(yàn)證用戶身份回應(yīng)訪問請(qǐng)求，允許訪問驗(yàn)證通過讀卡器輸入PIN號(hào)碼插入IC卡讀取用戶信息獲得用戶信息基于CA證書的身份認(rèn)證基于CA證書的身份鑒別CA中心證書發(fā)布服務(wù)器用戶證書服務(wù)器證書用戶證書傳送證書給對(duì)方用于身份認(rèn)證服務(wù)器證書傳送證書給對(duì)方用于身份認(rèn)證開始數(shù)字證書的簽名驗(yàn)證開始數(shù)字證書的簽名驗(yàn)證查找共同可信的CA查詢黑名單驗(yàn)證都通過查找共同可信的CA查詢黑名單驗(yàn)證通過開始安全通訊需要的安全技術(shù)產(chǎn)品CA安全身份認(rèn)證體系防火墻技術(shù)/VPN技術(shù)防病毒體系入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)安全備份和系統(tǒng)災(zāi)難恢復(fù)VPN的基本技術(shù)Internet開放互聯(lián)網(wǎng)絡(luò)的帶來的安全風(fēng)險(xiǎn)路由器內(nèi)部網(wǎng)Web、Mail服務(wù)器等因特網(wǎng)入侵者攻擊路由器進(jìn)行竊聽分支機(jī)構(gòu)正常的通信流為什么我工資比他少500他們的標(biāo)書拿到了又攻破了一個(gè)站點(diǎn)內(nèi)部人員使用監(jiān)聽工具竊聽VPN最大優(yōu)勢(shì)----投資回報(bào)大幅度減少電信服務(wù)費(fèi)用，尤其針對(duì)地域上分散的公司和企業(yè)針對(duì)遠(yuǎn)程撥號(hào)上網(wǎng)訪問的用戶，省去了每個(gè)月的電信費(fèi)用采用VPN,公司/企業(yè)中當(dāng)前使用的ModemPool將永遠(yuǎn)退休到2002年，按企業(yè)/組織規(guī)模大小，實(shí)施VPN比例將達(dá)到：57%----大型企業(yè)55%----中心企業(yè)51%----小型企業(yè)

來源:InfoneticsResearch安全的，統(tǒng)一的通信移動(dòng)用戶分支機(jī)構(gòu)網(wǎng)站合作伙伴VPNVPN(VirtualPrivateNetwork)它指的是以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫?huì)被竊取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證VPN作用數(shù)據(jù)機(jī)密性保護(hù)撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過遠(yuǎn)程訪問VPN提供通過Internet訪問公司網(wǎng)絡(luò)內(nèi)部資源的方法降低了長(zhǎng)途、大型ModemPool和技術(shù)支持的費(fèi)用公司總部站點(diǎn)Internet遠(yuǎn)程或移動(dòng)用戶端到端VPN利用Internet安全連接多個(gè)分支機(jī)構(gòu)減少對(duì)幀中繼和租用線路的依靠公司總部站點(diǎn)Internet分支機(jī)構(gòu)站點(diǎn)內(nèi)部網(wǎng)VPN向商業(yè)合作伙伴提供對(duì)內(nèi)部重要數(shù)據(jù)的訪問

(銷售信息、工具軟件等等)減少了事務(wù)處理和操作中的費(fèi)用公司總部站點(diǎn)Internet合作伙伴站點(diǎn)VPN的組成加密消息認(rèn)證實(shí)體認(rèn)證密鑰管理Point-to-PointTunnelingProtocol第二層隧道協(xié)議提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信Point-to-PointProtocol(PPP)協(xié)議的擴(kuò)展允許封裝多種協(xié)議：TCP/IP、IPX等使用RSA公司的RC4加密方法，但不進(jìn)行隧道驗(yàn)證用戶需要在客戶端配置PPTPInternetRemotePPTPClientISPRemoteAccessSwitchPPTPRASServerCorporateNetworkLayer2TunnelingProtocol(L2TP)第二層隧道協(xié)議結(jié)合并擴(kuò)展了PPTP和L2F(Ciscosupportedprotocol)對(duì)隧道進(jìn)行驗(yàn)證，但對(duì)傳輸中的數(shù)據(jù)不加密沒有包括數(shù)據(jù)包的驗(yàn)證、數(shù)據(jù)完整性和密鑰管理InternetRemoteL2TPClientISPL2TPConcentratorL2TPServerCorporateNetworkInternetProtocolSecurity(IPSec)第三層隧道協(xié)議（遠(yuǎn)程訪問、內(nèi)部網(wǎng)絡(luò)和ExtranetVPN）InternetVPN標(biāo)準(zhǔn)一個(gè)協(xié)議包（AH、ESP及密鑰管理協(xié)議）提供靈活的加密、消息驗(yàn)證和數(shù)據(jù)完整的技術(shù)包括密鑰管理IPSecVPN的組成加密消息認(rèn)證實(shí)體認(rèn)證密鑰交換

DES,3DES,RC5,RC4HMAC-MD5,HMAC-SHA-1,orothersDigitalCertificates,SharedSecrets,HybridModeIKEInternetKeyExchange(IKE),PublicKeyInfrastructure(PKI)加密用于將數(shù)據(jù)轉(zhuǎn)換成保密代碼在不可信的網(wǎng)絡(luò)上傳輸加密算法“Thecowjumpedoverthemoon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文加密數(shù)據(jù)對(duì)稱密鑰加密和解密使用同一把密鑰比非對(duì)稱密鑰速度快密鑰管理工作量大密鑰傳遞容易泄密SharedSecretKey

在一個(gè)非安全的通道上安全地建立一個(gè)共享密鑰Internet事先雙方協(xié)商兩個(gè)公共數(shù)值，非常大的素?cái)?shù)m和整數(shù)g做計(jì)算X=gamodm發(fā)送X=gamodm產(chǎn)生一個(gè)很大的數(shù)b產(chǎn)生一個(gè)很大的數(shù)a做計(jì)算Y=gbmodm發(fā)送Y=gb

modmKA=Ya

modm=gabmodmKB=Xb

modm=gabmodm兩者相等得出共享密鑰Key=gabmodmHostAHostBDiffie—Hellman

密鑰交換算法非對(duì)稱密鑰加密和解密采用不同密鑰(一把公鑰,一把私鑰)密鑰分配簡(jiǎn)單密鑰保存量小，便于管理AlicePublicKeyEncryptAlicePrivateKeyDecryptBobAlice數(shù)字證書和

PublicKeyInfrastructure數(shù)字證書:包含了一個(gè)人的或一個(gè)實(shí)體的PublicKeys允許安全地分發(fā)publickeysIssignedbyaCertificateAuthority’sprivatekeyVerifiesidentitythroughtrustedthirdpartyMyCertificate:Name:BobOrganization:CheckPointPublicKey:lk393l430fksffj398sdf1f594ier933d34w435dCA:xxx.xxx.xxx.xxxandmore…靈活的認(rèn)證方式共享的密鑰最簡(jiǎn)單的方式兩個(gè)站點(diǎn)通過電話或E-Mail方式共享密鑰PublicKeyInfrastructure提供在較大規(guī)模下發(fā)布和管理Public/Private密鑰的方法InternetKeyExchange(IKE)自動(dòng)更有效地進(jìn)行身份認(rèn)證、協(xié)商算法及交換密鑰IPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器InternetCertificateAuthorityIPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計(jì)算機(jī)）使用IKE:通過數(shù)字證書驗(yàn)證VPNgateway和Bob身份為通信建立安全關(guān)聯(lián)(密鑰和算法）InternetCertificateAuthorityIPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計(jì)算機(jī)）使用IKE:通過數(shù)字證書驗(yàn)證VPNgateway和Bob身份為通信建立安全聯(lián)盟(密鑰和算法）在Bob和VPNGateway之間建立加密通道InternetCertificateAuthorityIPSec

會(huì)話舉例Bob試圖連接到公司內(nèi)部郵件服務(wù)器VPNgateway和VPNclient（Bob計(jì)算機(jī)）使用IKE:通過數(shù)字證書驗(yàn)證VPNgateway和Bob身份為通信建立安全聯(lián)盟(密鑰和算法）在Bob和VPNGateway之間建立加密通道Bob現(xiàn)在可以接受郵件了InternetCertificateAuthorityVPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)VPN設(shè)備容易被攻擊

例如：denialofservice

（DOS）需要在防火墻上開通VPN流量的通道VPN流量的安全性得不到保證VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同種類的VPN/Firewall結(jié)構(gòu)只有VPN/firewall集成的解決方案才能實(shí)現(xiàn)完全的訪問控制和全局一致的安全策略構(gòu)建安全的內(nèi)聯(lián)網(wǎng)總部辦事處因特網(wǎng)分公司加密隧道VPN網(wǎng)關(guān)內(nèi)聯(lián)VPN的特點(diǎn)和優(yōu)勢(shì)將各個(gè)獨(dú)立的局域網(wǎng)聯(lián)接起來，邏輯上總部、分公司、辦事處相當(dāng)于在同一個(gè)局域網(wǎng)內(nèi)部構(gòu)建各種基于WAN的應(yīng)用，如ERP、OA、E－Sales、集中的財(cái)務(wù)監(jiān)控、庫存管理等等。簡(jiǎn)化網(wǎng)絡(luò)管理，便于實(shí)施集中的安全策略遠(yuǎn)程訪問VPN總部因特網(wǎng)分公司加密隧道VPN網(wǎng)關(guān)遠(yuǎn)程接入VPN的技術(shù)特點(diǎn)與優(yōu)勢(shì)支持PSTN、ISDN、DSL、電纜（CableModem）或無線方式接入企業(yè)網(wǎng)絡(luò)滿足移動(dòng)和遠(yuǎn)程用戶應(yīng)用的需求，支持E-mail、文件共享以及數(shù)據(jù)庫訪問等。無需配置和維護(hù)遠(yuǎn)程接入交換機(jī)（RAS），大大降低了運(yùn)營(yíng)、管理、培訓(xùn)、硬件、軟件及人工費(fèi)用等項(xiàng)的成本。方便地?cái)U(kuò)大企業(yè)內(nèi)部網(wǎng)絡(luò)的地理覆蓋范圍，包括低成本的國(guó)際接入，并可提供更好的可擴(kuò)展性，便于增加新用戶。外聯(lián)網(wǎng)VPNInternet企業(yè)間互聯(lián)網(wǎng)客戶分銷商公司供應(yīng)商

VPN客戶端軟件VPN網(wǎng)關(guān)外聯(lián)網(wǎng)VPN的特點(diǎn)與優(yōu)勢(shì)支持集中的生產(chǎn)管理、訂單處理、銷售監(jiān)控、技術(shù)支持等應(yīng)用使企業(yè)同它的商業(yè)伙伴、客戶、甚至供應(yīng)商之間，實(shí)現(xiàn)緊密的網(wǎng)絡(luò)與應(yīng)用的聯(lián)接實(shí)現(xiàn)對(duì)供應(yīng)鏈的精簡(jiǎn)管理、改善客戶服務(wù)、并為分銷渠道提供更高質(zhì)量的通訊服務(wù)提高生產(chǎn)率、實(shí)現(xiàn)競(jìng)爭(zhēng)優(yōu)勢(shì)

VPN基本功能特性Web、Mail服務(wù)器等因特網(wǎng)分支機(jī)構(gòu)加密隧道&1%$*)!？？？安全區(qū)域劃分增強(qiáng)內(nèi)網(wǎng)安全VPN網(wǎng)關(guān)保護(hù)內(nèi)網(wǎng)及信息傳輸安全……工作站域服務(wù)器域VPN網(wǎng)關(guān)間建立加密隧道VPN移動(dòng)客戶端保證移動(dòng)辦公安全信息傳輸安全小型分支機(jī)構(gòu)總部分公司VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)辦事處VPN網(wǎng)關(guān)VPN網(wǎng)關(guān)VPN移動(dòng)客戶端VPN移動(dòng)客戶端分公司加密隧道，保證信息傳輸?shù)臋C(jī)密性與不可篡改性VPN網(wǎng)關(guān)集中的身份認(rèn)證總部遠(yuǎn)程用戶1向VPN網(wǎng)關(guān)發(fā)起連接認(rèn)證服務(wù)器業(yè)務(wù)主機(jī)加密隧道

2VPN網(wǎng)關(guān)將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器4通過加密隧道訪問業(yè)務(wù)主機(jī)3認(rèn)證通過，建立加密隧道1入侵者向VPN網(wǎng)關(guān)發(fā)起連接2VPN網(wǎng)關(guān)將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器3未通過認(rèn)證，斷開連接4對(duì)被拒絕的連接記錄源IP、訪問時(shí)間等詳細(xì)的日志信息入侵者需要的安全技術(shù)產(chǎn)品CA安全身份認(rèn)證體系防火墻技術(shù)/VPN技術(shù)防病毒體系入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)安全備份和系統(tǒng)災(zāi)難恢復(fù)1990199119941996199819992000200120022003主流病毒型態(tài)木馬、蠕蟲

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對(duì)防毒體系提出新的挑戰(zhàn)IDC,2004郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波

沖擊波2003年8月11日補(bǔ)?。篗S03-0262003年7月16日補(bǔ)丁：

MS02-0392002年7月24日蠕蟲王2003年1月25日時(shí)間間隔26天185天336天尼姆達(dá)補(bǔ)?。?/p>

MS00-0782000年10月17日2001年9月18日震蕩波2004年5月1日補(bǔ)丁：MS04-011

2004年4月13日18

天

木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對(duì)以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅數(shù)字娛樂的大敵根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分為以下五大類別：針對(duì)網(wǎng)游的木馬病毒、針對(duì)網(wǎng)上銀行的木馬病毒、針對(duì)即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī)開后門的木馬病毒、推廣廣告的木馬病毒。一個(gè)企業(yè)級(jí)的病毒解決方案

一套優(yōu)秀的防毒軟件一個(gè)工作勤奮努力的網(wǎng)絡(luò)管理員+=以往的病毒防護(hù)體系不能滿足安全需求全面的病毒防護(hù)體系網(wǎng)關(guān)病毒防護(hù)工作站病毒防護(hù)服務(wù)器病毒防護(hù)網(wǎng)絡(luò)中心病毒控制臺(tái)自動(dòng)更新升級(jí)的維護(hù)策略企業(yè)網(wǎng)絡(luò)網(wǎng)關(guān)殺毒在email病毒擴(kuò)散之前就予以攔截殲滅郵件服務(wù)器網(wǎng)關(guān)殺毒工作站病毒防護(hù)帶有病毒的數(shù)據(jù)包工作站防毒軟件發(fā)現(xiàn)病毒立即采取相應(yīng)的措施

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域WWWMailDNS發(fā)現(xiàn)病毒均為客戶端工作站帶有病毒的數(shù)據(jù)包服務(wù)器病毒防護(hù)帶有病毒的數(shù)據(jù)包發(fā)現(xiàn)病毒立即采取相應(yīng)的措施

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域WWWMailDNS發(fā)現(xiàn)病毒帶有病毒的數(shù)據(jù)包均為NT服務(wù)器服務(wù)器防病毒軟件內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域控制臺(tái)WWW中心病毒控制臺(tái)服務(wù)器防病毒軟件工作站防毒軟件網(wǎng)關(guān)防病毒軟件防病毒中央控制系統(tǒng)病毒信息控制信息等病毒信息控制信息等實(shí)現(xiàn)多方位、多層次，點(diǎn)（單臺(tái)工作站）、線（服務(wù)器）、面（網(wǎng)關(guān)）相結(jié)合的防病毒解決方案

Internet區(qū)域Internet邊界路由器病毒更新站點(diǎn)總部主升級(jí)服務(wù)器總行客戶端分部主升級(jí)服務(wù)器代理服務(wù)器總行服務(wù)器客戶端服務(wù)器總行分部主升級(jí)服務(wù)器客戶端服務(wù)器分發(fā)分發(fā)下載分發(fā)/登錄分發(fā)分發(fā)/登錄分發(fā)分發(fā)/登錄分發(fā)分發(fā)需要的安全技術(shù)產(chǎn)品CA安全身份認(rèn)證體系防火墻技術(shù)/VPN技術(shù)防病毒體系入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)安全備份和系統(tǒng)災(zāi)難恢復(fù)什么是入侵檢測(cè)對(duì)入侵行為的發(fā)覺，通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)的主要功能監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。入侵檢測(cè)的分類基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

基于主機(jī)的入侵檢測(cè)

往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。

檢測(cè)方式的介紹異常檢測(cè)：異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。特征檢測(cè)：特征檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。

網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品的架構(gòu)傳感器(Sensor)

傳感器負(fù)責(zé)采集數(shù)據(jù)(網(wǎng)絡(luò)包、系統(tǒng)日志等)、分析數(shù)據(jù)并生成安全事件?？刂婆_(tái)(Console)?？刂婆_(tái)主要起到中央管理的作用，商品化的產(chǎn)品通常提供圖形界面的控制臺(tái)，這些控制臺(tái)基本上都支持WindowsNT平臺(tái)。利用入侵檢測(cè)保護(hù)網(wǎng)絡(luò)應(yīng)用DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部攻擊警告!記錄攻擊外部攻擊終止連接利用入侵檢測(cè)保護(hù)網(wǎng)絡(luò)應(yīng)用DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼內(nèi)部攻擊行為警告!啟動(dòng)事件日志,發(fā)送消息利用入侵檢測(cè)保護(hù)網(wǎng)絡(luò)應(yīng)用DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場(chǎng)部人事部路由Internet中繼外部攻擊商務(wù)伙伴警告!記錄進(jìn)攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置路由或防火墻以便隱藏IP地址為什么需要入侵監(jiān)測(cè)系統(tǒng)防范透過防火墻的入侵利用應(yīng)用系統(tǒng)漏洞實(shí)施的入侵利用防火墻配置失誤防范來自內(nèi)部網(wǎng)的入侵內(nèi)部網(wǎng)的攻擊占總的攻擊事件的80%沒有監(jiān)測(cè)的內(nèi)部網(wǎng)是內(nèi)部人員的“自由王國(guó)”對(duì)網(wǎng)絡(luò)行為的審計(jì)，防范無法自動(dòng)識(shí)別的惡意破壞需要的安全技術(shù)產(chǎn)品CA安全身份認(rèn)證體系防火墻技術(shù)/VPN技術(shù)防病毒體系入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全評(píng)估系統(tǒng)安全備份和系統(tǒng)災(zāi)難恢復(fù)安全掃描的概念理解安全掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測(cè)，以找出安全隱患和可被黑客利用的漏洞。顯然，安全掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。因此，安全掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段，必須仔細(xì)研究利用。安全掃描的檢測(cè)技術(shù)基于應(yīng)用的檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞?；谥鳈C(jī)的檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)?；谀繕?biāo)的漏洞檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫，注冊(cè)號(hào)等?；诰W(wǎng)絡(luò)的檢測(cè)技術(shù)，它采用積極的，非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。安全掃描在部署安全策略中處于重要地位防火墻，反病毒，加強(qiáng)的用戶認(rèn)證，