網(wǎng)絡(luò)安全防范

網(wǎng)絡(luò)安全防范5/9/20241網(wǎng)絡(luò)安全防范主要內(nèi)容網(wǎng)絡(luò)安全認(rèn)識(shí)網(wǎng)絡(luò)安全防范技術(shù)分類網(wǎng)絡(luò)安全防范技術(shù)網(wǎng)絡(luò)安全防范體系5/9/20242網(wǎng)絡(luò)安全防范俗語說……矛盾亡羊補(bǔ)牢樹欲靜風(fēng)不止明槍易躲暗箭難防道高一尺魔高一丈千里之堤毀于蟻穴一朝被蛇咬十年怕井繩安全威脅安全防范5/9/20243網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)安全認(rèn)識(shí)網(wǎng)絡(luò)安全防范十分必要并相當(dāng)迫切不存在絕對(duì)安全的網(wǎng)絡(luò)和信息系統(tǒng)用發(fā)展的眼光看待網(wǎng)絡(luò)安全注重網(wǎng)絡(luò)安全體系的全面性從需求特點(diǎn)出發(fā)部署網(wǎng)絡(luò)安全設(shè)施把握網(wǎng)絡(luò)安全與投入成本的平衡點(diǎn)5/9/20244網(wǎng)絡(luò)安全防范【網(wǎng)絡(luò)安全命題一】從來就沒有安全的網(wǎng)絡(luò)，今后也不會(huì)有。5/9/20245網(wǎng)絡(luò)安全防范【網(wǎng)絡(luò)安全命題二】不存在為安全而構(gòu)筑的網(wǎng)絡(luò)。5/9/20246網(wǎng)絡(luò)安全防范【網(wǎng)絡(luò)安全命題三】網(wǎng)絡(luò)安全無小事。5/9/20247網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)安全防范技術(shù)分類嵌入式安全防范（EmbeddedDefence）安全協(xié)議安全設(shè)備主動(dòng)式安全防范（ActiveDefence）安全措施安全補(bǔ)丁被動(dòng)式安全防范（PassiveDefence）安全偵查安全防御5/9/20248網(wǎng)絡(luò)安全防范Subnet子網(wǎng)Sub-networkAutonomousDomain（自治域、自治網(wǎng)絡(luò)）構(gòu)造具備特定應(yīng)用目標(biāo)的網(wǎng)絡(luò)體系，自成相對(duì)獨(dú)立體系、可自我管理Intranet和Extranet把內(nèi)部網(wǎng)絡(luò)與Internet隔離開，通常使用NAT、Firewall等設(shè)備來完成DMZ使用雙防火墻機(jī)制，將內(nèi)部網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個(gè)層次VLAN把局域網(wǎng)劃分為不同的虛擬子網(wǎng)，使用二層或三層局域網(wǎng)交換機(jī)或路由器完成VPN使用安全協(xié)議和數(shù)據(jù)加密技術(shù)，構(gòu)造安全的訪問體系InterconnectionHost采用特殊設(shè)計(jì)的業(yè)務(wù)互連主機(jī)，將業(yè)務(wù)網(wǎng)絡(luò)與其它系統(tǒng)進(jìn)行互連，只傳輸指定數(shù)據(jù)PhysicalIsolation物理隔離子網(wǎng)5/9/20249網(wǎng)絡(luò)安全防范VLAN概要VLAN的劃分基于端口(Port)基于MAC地址基于IP地址VLAN作用把數(shù)據(jù)交換限制在各個(gè)虛擬網(wǎng)的范圍內(nèi)，提高了網(wǎng)絡(luò)的傳輸效率；減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，防止廣播風(fēng)暴（BroadcastStorm）的產(chǎn)生；各虛擬網(wǎng)之間不能直接進(jìn)行通信，而必須通過路由器轉(zhuǎn)發(fā)，起到了隔離端口的作用，為高級(jí)安全控制提供了可能，增強(qiáng)了網(wǎng)絡(luò)的安全性。5/9/202410網(wǎng)絡(luò)安全防范VLAN的邏輯分組特性傳統(tǒng)的LAN子網(wǎng)（物理分隔的沖突域）5/9/202411網(wǎng)絡(luò)安全防范基于端口的VLAN根據(jù)以太網(wǎng)交換機(jī)的端口來劃分VLAN，可以跨交換機(jī)進(jìn)行。優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只需將所有的端口都設(shè)定一遍；缺點(diǎn)是如果VLAN的某個(gè)用戶離開了原來的端口，連接到了一個(gè)新的端口，那么就必須重新定義5/9/202412網(wǎng)絡(luò)安全防范基于MAC地址的VLAN根據(jù)每個(gè)主機(jī)的MAC地址來劃分VLAN，所以也可稱為基于用戶的VLAN。優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即使移動(dòng)到另一個(gè)交換機(jī)，VLAN也不用重新配置；缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果用戶很多，配置的工作量非常大。此外，這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法有效限制廣播包。如果網(wǎng)卡可能經(jīng)常更換，VLAN就必須不停地更新5/9/202413網(wǎng)絡(luò)安全防范基于協(xié)議的VLAN通過第二層報(bào)文中的協(xié)議字段，判斷出上層運(yùn)行的網(wǎng)絡(luò)層協(xié)議，如IP協(xié)議或者是IPX協(xié)議。當(dāng)一個(gè)物理網(wǎng)絡(luò)中存在多種第三層協(xié)議運(yùn)行的時(shí)候，可采用這種VLAN的劃分方法。但是現(xiàn)有的系統(tǒng)中一般僅有IP協(xié)議，所以基于協(xié)議的VLAN很少有機(jī)會(huì)使用5/9/202414網(wǎng)絡(luò)安全防范基于子網(wǎng)的VLAN根據(jù)報(bào)文中的IP地址決定報(bào)文屬于哪個(gè)VLAN，同一個(gè)IP子網(wǎng)的所有報(bào)文屬于同一個(gè)VLAN。優(yōu)點(diǎn)是可以針對(duì)具體應(yīng)用的服務(wù)來組織用戶，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)而不用重新配置自己的設(shè)備；缺點(diǎn)是效率較低，因?yàn)闄z查每一個(gè)報(bào)文的IP地址很耗時(shí)。同時(shí)由于一個(gè)端口也可能存在多個(gè)VLAN的成員，對(duì)廣播報(bào)文也無法有效抑制5/9/202415網(wǎng)絡(luò)安全防范VPNVirtualPrivateNetwork虛擬專用網(wǎng)絡(luò)在“不安全”的網(wǎng)絡(luò)上建立安全的互連關(guān)系VPN主要應(yīng)用目的用戶通過Internet安全接入IntranetIntranet之間通過Internet的安全互連通過Internet構(gòu)造安全的Extranet通過Internet的對(duì)等設(shè)備安全互連5/9/202416網(wǎng)絡(luò)安全防范VPN安全隧道安全隧道（SecureTunnel）5/9/202417網(wǎng)絡(luò)安全防范Intranet組網(wǎng)5/9/202418網(wǎng)絡(luò)安全防范Extranet組網(wǎng)5/9/202419網(wǎng)絡(luò)安全防范VPN安全隧道協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point-to-PointTunnelProtocol，PPTP）PPTP協(xié)議允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中，通過Intranet或Internet相互通信第2層隧道協(xié)議（Layer-2TunnelProtocol，L2TP）L2TP協(xié)議允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)通信的任意網(wǎng)絡(luò)發(fā)送，如IP、X.25、FrameRelay或ATM安全I(xiàn)P（SecureIP，IPsec）IPSec隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過Intranet或Internet相互通信安全套接層（SecureSocketLayer，SSL）使用SSL協(xié)議，實(shí)現(xiàn)移動(dòng)用戶遠(yuǎn)程安全接入內(nèi)部網(wǎng)絡(luò)。尤其是對(duì)于基于Web的應(yīng)用訪問，SSL-VPN方式有更強(qiáng)的靈活性優(yōu)勢(shì)5/9/202420網(wǎng)絡(luò)安全防范IPsecIP的安全子層（3.5層），包括兩部分：AH（AuthenticationHeader）ESP（EncapsulatingSecurityPayload）AH的認(rèn)證模式：傳輸模式（TransportMode）不改變IP地址，插入一個(gè)AH隧道模式（TunnelMode）生成一個(gè)新的IP頭，把AH和原來的整個(gè)IP包放到新IP包的載荷數(shù)據(jù)中5/9/202421網(wǎng)絡(luò)安全防范AH報(bào)頭5/9/202422網(wǎng)絡(luò)安全防范ESP報(bào)頭5/9/202423網(wǎng)絡(luò)安全防范VPN應(yīng)用方式客戶端方式由用戶自行配置VPN設(shè)備和系統(tǒng)，ISP及Internet只提供普通的IP互連服務(wù)（網(wǎng)絡(luò)透明方式）服務(wù)端方式由ISP提供VPN服務(wù)，用戶端使用普通IP互連設(shè)備（用戶透明方式）5/9/202424網(wǎng)絡(luò)安全防范NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NetworkAddressTranslator5/9/202425網(wǎng)絡(luò)安全防范NAT方法靜態(tài)翻譯（StaticTranslation）內(nèi)部和外部地址一一對(duì)應(yīng)（映射）動(dòng)態(tài)翻譯（DynamicTranslation）復(fù)用外部地址，按需映射端口復(fù)用（Port-Multiplexing）IP地址＋TCP/UDP端口號(hào)5/9/202426網(wǎng)絡(luò)安全防范NAT-PAT端口地址翻譯PortAddressTranslator，PAT5/9/202427網(wǎng)絡(luò)安全防范FW防火墻FireWall5/9/202428網(wǎng)絡(luò)安全防范FW功能功能層次過濾代理網(wǎng)絡(luò)層過濾IP地址過濾廣播過濾探測(cè)報(bào)文過濾無效報(bào)文報(bào)文重組NATDoS攻擊運(yùn)輸層過濾端口號(hào)SYN攻擊其它DoS攻擊應(yīng)用層過濾內(nèi)容策略應(yīng)用病毒掃描木馬探測(cè)其它過濾連接發(fā)起人Cache身份認(rèn)證計(jì)費(fèi)5/9/202429網(wǎng)絡(luò)安全防范FW抵抗同步攻擊原理攻擊者發(fā)送SYN，請(qǐng)求會(huì)話連接。防火墻檢查IP地址的有效性、源地址是否是內(nèi)網(wǎng)地址等，丟棄可疑的連接請(qǐng)求（可不予以響應(yīng)，以對(duì)抗探測(cè)）。結(jié)束。響應(yīng)SYN-ACK，啟動(dòng)超時(shí)計(jì)時(shí)器。（只需匹配極少資源；計(jì)時(shí)器長(zhǎng)度可以依據(jù)不同需求進(jìn)行調(diào)整，適當(dāng)縮短。）若計(jì)時(shí)器超時(shí)而未受到ACK，則釋放該連接（同樣可以不發(fā)送拒絕報(bào)文，不占用帶寬資源）。結(jié)束。若受到ACK，則立即向內(nèi)網(wǎng)指定計(jì)算機(jī)（第3步已記錄相關(guān)連接參數(shù)）發(fā)送SYN，接收到SYN-ACK后立即響應(yīng)ACK。連接建立成功。5/9/202430網(wǎng)絡(luò)安全防范FW-ACL訪問控制列表AccessControlList黑名單（BlackList，F(xiàn)orbidList）白名單（WhiteList，PermissionList）灰名單（GreyList）5/9/202431網(wǎng)絡(luò)安全防范雙FW與DMZ非軍事區(qū)De-MilitaryZone5/9/202432網(wǎng)絡(luò)安全防范DMZ應(yīng)用示例5/9/202433網(wǎng)絡(luò)安全防范防火墻性能評(píng)價(jià)誤報(bào)率漏報(bào)率誤報(bào)率優(yōu)劣優(yōu)劣5/9/202434網(wǎng)絡(luò)安全防范FW類型軟件防火墻（SoftwareFirewall）個(gè)人防火墻（PersonalFirewall）病毒防火墻（VirusFirewall，VirusScanner/Killer）垃圾郵件防火墻（SpamFirewall，SpamFilter）

各對(duì)誤報(bào)率/漏報(bào)率有何要求？5/9/202435網(wǎng)絡(luò)安全防范Proxy代理Proxy協(xié)助、轉(zhuǎn)換、緩存、隔離、限制5/9/202436網(wǎng)絡(luò)安全防范信息系統(tǒng)訪問控制分析（示例）總裁總監(jiān)助理部門經(jīng)理項(xiàng)目經(jīng)理職員后勤人員級(jí)別角色辦公公關(guān)生產(chǎn)銷售市場(chǎng)設(shè)計(jì)技術(shù)財(cái)務(wù)規(guī)劃查看創(chuàng)建錄入修改刪除審核批準(zhǔn)操作5/9/202437網(wǎng)絡(luò)安全防范用戶－角色－權(quán)限誰？可訪問什么？做哪些操作？信息系統(tǒng)A信息系統(tǒng)B信息系統(tǒng)C功能模塊A1功能模塊A2功能模塊B1功能模塊B2功能模塊B3功能模塊C1組組組組讀讀刪刪改改添讀讀添改讀字段字段字段字段字段字段字段讀讀讀改讀讀5/9/202438網(wǎng)絡(luò)安全防范Password口令Password合法身份的認(rèn)定訪問權(quán)限的分配可訪問資源的URL（或IP地址）可訪問資源的類型（Web、Email、FTP等）可訪問的應(yīng)用系統(tǒng)可訪問的應(yīng)用系統(tǒng)的功能（或時(shí)段）可訪問的應(yīng)用系統(tǒng)的功能操作方式（R/W，M/A/D）可訪問的應(yīng)用系統(tǒng)的數(shù)據(jù)表可訪問的應(yīng)用系統(tǒng)的數(shù)據(jù)表的字段5/9/202439網(wǎng)絡(luò)安全防范OTP一次性口令OneTimePassword添加不確定因子口令序列（S/KEY）挑戰(zhàn)/回答（Challenge/Answer，CryptoCard）時(shí)間同步（TimeSynchronous，SecureID）事件同步（EventSynchronous，SafeWord）輔助工具TokenCard（智能卡）SoftToken（軟件虛擬卡）IC卡/USB棒5/9/202440網(wǎng)絡(luò)安全防范OTP示例一Password1Password2Password3···passwordNClientServerPassword1Password2Password3···passwordN每次一個(gè)順序使用5/9/202441網(wǎng)絡(luò)安全防范OTP示例二passwordClientServersalttimeHashpasswordtimeHash比較5/9/202442網(wǎng)絡(luò)安全防范OTP示例三3274576214…286613789137…21…5517830649…07ABCDE…Z12…nClientServerC2Password＋785/9/202443網(wǎng)絡(luò)安全防范OTP示例四ClientServerPassword＋379648379648379648隨機(jī)數(shù)生成算法379648比較5/9/202444網(wǎng)絡(luò)安全防范登錄方式統(tǒng)一認(rèn)證 UniformAuthentication單點(diǎn)登錄 Single-PointSign-up5/9/202445網(wǎng)絡(luò)安全防范AAA驗(yàn)證、授權(quán)和記賬 Authentication，AuthorizationandAccountingRADIUS（RemoteAuthenticationDial-InUserService）PPP協(xié)議包含：PAP（PasswordAuthenticationProtocol）CHAP（ChallengeHandshakeAuthenticationProtocol）5/9/202446網(wǎng)絡(luò)安全防范PAP用戶以明文的形式傳遞用戶名和口令服務(wù)端把用戶名和加密過的口令傳遞給RADIUS服務(wù)器，根據(jù)返回結(jié)果決定是否允許用戶訪問5/9/202447網(wǎng)絡(luò)安全防范CHAP當(dāng)用戶請(qǐng)求訪問時(shí)，服務(wù)端產(chǎn)生一個(gè)16字節(jié)隨機(jī)碼給用戶用戶端得到這個(gè)包后使用專用的設(shè)備或軟件對(duì)相關(guān)信息進(jìn)行加密，生成響應(yīng)回傳給服務(wù)端服務(wù)端將這些數(shù)據(jù)傳遞給RADIUS服務(wù)器進(jìn)行同樣的運(yùn)算并比較，如果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗5/9/202448網(wǎng)絡(luò)安全防范LDAP輕量目錄訪問協(xié)議 LightweightDirectoryAccessProtocol公司技術(shù)部市場(chǎng)部辦公室項(xiàng)目管理室開發(fā)室測(cè)試室員工1員工2員工n姓名職務(wù)電子郵件地址電話號(hào)碼系統(tǒng)用戶名口令加密串5/9/202449網(wǎng)絡(luò)安全防范SimAttack模擬攻擊（SimulatingAttack）又稱仿真攻擊、攻擊演練，是指采用網(wǎng)絡(luò)安全攻擊的工具，對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施攻擊行為，然后分析攻擊結(jié)果，用以指導(dǎo)安全防范措施的應(yīng)用。由于安全攻擊過程存在一定技術(shù)風(fēng)險(xiǎn)，所以應(yīng)該采用經(jīng)過改造的工具（類似于“病毒疫苗”），并在嚴(yán)密監(jiān)控下進(jìn)行安全測(cè)評(píng)（SecurityEvaluation）安全測(cè)評(píng)即安全風(fēng)險(xiǎn)評(píng)估、安全等級(jí)評(píng)定，可以采用專業(yè)安全評(píng)測(cè)工具，在相關(guān)國(guó)際、國(guó)家、行業(yè)或企業(yè)標(biāo)準(zhǔn)指導(dǎo)下進(jìn)行，也可以聘請(qǐng)專業(yè)的安全測(cè)評(píng)機(jī)構(gòu)來完成5/9/202450網(wǎng)絡(luò)安全防范Pack安全補(bǔ)丁Pack對(duì)系統(tǒng)安全性的修補(bǔ)（升級(jí)）包具有公開性，對(duì)攻擊者是一種變相“提示”，對(duì)未安裝相關(guān)補(bǔ)丁的系統(tǒng)是災(zāi)難5/9/202451網(wǎng)絡(luò)安全防范Log系統(tǒng)日志Log系統(tǒng)事件記錄事后偵查和追蹤的依據(jù)事件分析（潛在問題挖掘）5/9/202452網(wǎng)絡(luò)安全防范IDS入侵檢測(cè)系統(tǒng)IntrusionDetectionSystem異常發(fā)現(xiàn)技術(shù)假定所有入侵行為都是與正常行為有差異的模式發(fā)現(xiàn)技術(shù)假定所有入侵行為和手段（變種）都能表達(dá)為一種模式或特征主機(jī)網(wǎng)絡(luò)庫記錄參數(shù)分析引擎正常報(bào)告/警示告警/攔截5/9/202453網(wǎng)絡(luò)安全防范IDS分類基于主機(jī)的IDS基于網(wǎng)絡(luò)的IDS5/9/202454網(wǎng)絡(luò)安全防范SAS安全審計(jì)系統(tǒng)SecurityAuditSystem對(duì)日志、系統(tǒng)文件等海量的數(shù)據(jù)進(jìn)行分析除了采用模式匹配方法外，還可以采用數(shù)理統(tǒng)計(jì)分析、數(shù)據(jù)完整性分析等技術(shù)手段可進(jìn)行“回顧”性分析，使用最新的分析模型對(duì)原有的“干凈”記錄進(jìn)行安全隱患挖掘分析：系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）測(cè)量屬性（如訪問次數(shù)、失敗次數(shù)、流量、延時(shí)等）5/9/202455網(wǎng)絡(luò)安全防范攻擊陷阱攻擊陷阱（AttackingTrap）吸引和誘導(dǎo)網(wǎng)絡(luò)安全攻擊保護(hù)系統(tǒng)和數(shù)據(jù)安全通過定向監(jiān)測(cè)及時(shí)（容易）發(fā)現(xiàn)攻擊行為如：“看上去比其它服務(wù)器更像核心服務(wù)器的服務(wù)器”“具有通用的管理員賬戶名稱的虛假管理員賬戶”“明顯是很有價(jià)值的用戶信息列表文件”等5/9/202456網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)安全防范體系5/9/202457網(wǎng)絡(luò)安全防范第一層：實(shí)體安全（EntitySafety）或稱物理安全，是信息系統(tǒng)安全的基礎(chǔ)機(jī)房安全場(chǎng)地安全環(huán)境：溫/濕度、電磁、噪聲、防塵、靜電、振動(dòng)建筑：防火、防雷、圍墻、門禁設(shè)施安全設(shè)備可靠性通信線路安全性輻射控制與防泄露動(dòng)力、電源、空調(diào)災(zāi)難預(yù)防與恢復(fù)5/9/202458網(wǎng)絡(luò)安全防范第二層：平臺(tái)安全（PlatformSafety）操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全，用于防范駭客攻擊操作系統(tǒng)漏洞檢測(cè)與修復(fù)（Unix/Linux系統(tǒng)、Windows系統(tǒng)）網(wǎng)絡(luò)協(xié)議棧網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測(cè)與修復(fù)路由器、交換機(jī)、防火墻通用基礎(chǔ)應(yīng)用程序漏洞檢測(cè)與修復(fù)數(shù)據(jù)庫Web、FTP、Email、DNS及其它各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)守護(hù)進(jìn)程信息安全產(chǎn)品部署（FW、IDS/SAS、脆弱性掃描和防病毒）整體網(wǎng)絡(luò)系統(tǒng)平臺(tái)（安全綜合測(cè)試、模擬入侵與安全優(yōu)化）5/9/202459網(wǎng)絡(luò)安全防范第三層：數(shù)據(jù)安全（DataSafety）防止數(shù)據(jù)丟失、崩潰和被非法訪問介質(zhì)與載體安全保護(hù)數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查標(biāo)識(shí)與鑒別數(shù)據(jù)完整性數(shù)據(jù)可用性