網(wǎng)絡(luò)安全技術(shù)培訓(xùn)課件

網(wǎng)絡(luò)安全技術(shù)主要內(nèi)容網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)攻擊與防范拒絕服務(wù)和數(shù)據(jù)庫安全計算機病毒與木馬安全防護與入侵檢測加密技術(shù)與虛擬專用網(wǎng)CISCOPIX防火墻學(xué)習(xí)目標(biāo)了解常見的網(wǎng)絡(luò)攻擊方法掌握網(wǎng)絡(luò)的安全狀況以及防護方法熟知網(wǎng)絡(luò)安全管理的基本技能了解網(wǎng)絡(luò)安全的高端技術(shù)第一章網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全的概念常見的安全威脅與攻擊安全的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢

1.1為什么研究網(wǎng)絡(luò)安全目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國家的經(jīng)濟、軍事等領(lǐng)域。目前政府上網(wǎng)已經(jīng)大規(guī)模的發(fā)展起來，電子政務(wù)工程已經(jīng)在全國啟動。政府網(wǎng)絡(luò)的安全直接代表了國家的形象。1999年到2001年，一些政府網(wǎng)站，遭受了四次大的黑客攻擊事件。為什么研究網(wǎng)絡(luò)安全第一次在99年1月份左右，美國黑客組織“美國地下軍團”聯(lián)合了波蘭的、英國的黑客組織以及世界上的黑客組織，有組織地對我們國家的政府網(wǎng)站進行了攻擊。我國計算機犯罪的增長速度超過了傳統(tǒng)的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后來就沒有辦法統(tǒng)計了。利用計算機實施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項業(yè)務(wù)。近幾年已經(jīng)破獲和掌握100多起，涉及的金額幾個億。2000年2月份黑客攻擊的浪潮，是互連網(wǎng)問世以來最為嚴(yán)重的黑客事件。99年4月26日，臺灣人編制的CIH病毒的大爆發(fā)，有統(tǒng)計說我國大陸受其影響的PC機總量達36萬臺之多。有人估計在這次事件中，經(jīng)濟損失高達近12億元。為什么研究網(wǎng)絡(luò)安全99年4月，河南商都熱線一個BBS，一張說交通銀行鄭州支行行長協(xié)巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，一天提了十多億。2001年2月8日正是春節(jié)，新浪網(wǎng)遭受攻擊，電子郵件服務(wù)器癱瘓了18個小時，造成了幾百萬的用戶無法正常的聯(lián)絡(luò)。1996年4月16日，美國金融時報報道，接入Internet的計算機，達到了平均每20秒鐘被黑客成功地入侵一次的新記錄。9、要學(xué)生做的事，教職員躬親共做；要學(xué)生學(xué)的知識，教職員躬親共學(xué)；要學(xué)生守的規(guī)則，教職員躬親共守。9月-249月-24Monday,September23,202410、閱讀一切好書如同和過去最杰出的人談話。23:04:1423:04:1423:049/23/202411:04:14PM11、一個好的教師，是一個懂得心理學(xué)和教育學(xué)的人。9月-2423:04:1423:04Sep-2423-Sep-2412、要記住，你不僅是教課的教師，也是學(xué)生的教育者，生活的導(dǎo)師和道德的引路人。23:04:1423:04:1423:04Monday,September23,202413、Hewhoseizetherightmoment,istherightman.誰把握機遇，誰就心想事成。9月-249月-2423:04:1423:04:14September23,202414、誰要是自己還沒有發(fā)展培養(yǎng)和教育好，他就不能發(fā)展培養(yǎng)和教育別人。23九月202411:04:14下午23:04:149月-2415、一年之計，莫如樹谷；十年之計，莫如樹木；終身之計，莫如樹人。九月2411:04下午9月-2423:04September23,202416、提出一個問題往往比解決一個更重要。因為解決問題也許僅是一個數(shù)學(xué)上或?qū)嶒炆系募寄芏?，而提出新的問題，卻需要有創(chuàng)造性的想像力，而且標(biāo)志著科學(xué)的真正進步。2024/9/2323:04:1423:04:1423September202417、兒童是中心，教育的措施便圍繞他們而組織起來。11:04:14下午11:04下午23:04:149月-241、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味著終身不懈的努力。21.5.265.26.202108:3008:30:57May-2108:302、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命運給予我們的不是失望之酒，而是機會之杯。二〇二一年五月二十六日2021年5月26日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果實是甜蜜的。08:305.26.202108:305.26.202108:3008:30:575.26.202108:305.26.20214、Allthatyoudo,dowithyourmight;thingsdonebyhalvesareneverdoneright.----R.H.Stoddard,Americanpoet做一切事都應(yīng)盡力而為，半途而廢永遠不行5.26.20215.26.202108:3008:3008:30:5708:30:575、Youhavetobelieveinyourself.That'sthesecretofsuccess.----CharlesChaplin人必須相信自己，這是成功的秘訣。-Wednesday,May26,2021May21Wednesday,May26,20215/26/2021

國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC1.2安全的概念一種能夠識別和消除不安全因素的能力。安全是一個持續(xù)的過程。網(wǎng)絡(luò)安全（NetworkSecurity）是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。安全的概念國際標(biāo)準(zhǔn)化組織（ISO）7498-2安全體系結(jié)構(gòu)文獻定義了安全就是最小化資產(chǎn)和資源的漏洞。資產(chǎn)可以指任何事物。漏洞是指任何可以造成破壞系統(tǒng)或信息的弱點。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全的內(nèi)容和要素從內(nèi)容看，網(wǎng)絡(luò)安全大致包括4個方面：

網(wǎng)絡(luò)實體安全軟件安全數(shù)據(jù)安全安全管理從特征上看，網(wǎng)絡(luò)安全包括5個基本要素：機密性完整性可用性可控性可審查性安全模型通信雙方想要傳遞某個信息，需建立一個邏輯上的信息通道。通信主體可以采取適當(dāng)?shù)陌踩珯C制，包括以下兩個部分：對被傳送的信息進行與安全相關(guān)的轉(zhuǎn)換，包括對消息的加密和認(rèn)證。

兩個通信主體共享不希望對手知道的秘密信息，如密鑰等。

網(wǎng)絡(luò)安全模型策略防護防火墻加密機殺毒軟件檢測隱患掃描入侵檢測響應(yīng)安全模型之MPDRR安全模型之MPDRR的解釋安全體系ISO（國際標(biāo)準(zhǔn)化組織）1989年制定的ISO/IEC7489-2，給出了ISO/OSI參考模型的安全體系結(jié)構(gòu)。在OSI參考模型中增設(shè)了安全服務(wù)、安全機制和安全管理，并給出了OSI網(wǎng)絡(luò)層次、安全服務(wù)和安全機制之間的邏輯關(guān)系。定義了5大類安全服務(wù)，提供這些服務(wù)的8大類安全機制以及相應(yīng)的開放系統(tǒng)互聯(lián)的安全管理。

安全體系安全體系安全體系－安全服務(wù)服務(wù)目的鑒別服務(wù)（認(rèn)證）提供身份驗證的過程，用于在于保證信息的可靠性。訪問控制確定一個用戶或服務(wù)可能用到什么樣的系統(tǒng)資源，查看還是改變。一旦一個用戶認(rèn)證通過，操作系統(tǒng)上的訪問控制服務(wù)確定此用戶將能做些什么。數(shù)據(jù)保密性這個服務(wù)保護數(shù)據(jù)不被未授權(quán)的暴露。數(shù)據(jù)保密性防止被動威脅，包括一些用戶想用packetsniffer來讀取網(wǎng)線上的數(shù)據(jù)。數(shù)據(jù)完整性這個服務(wù)通過檢查或維護信息的一致性來防止主動的威脅?？沟仲囆苑?wù)（不可否定性）不可否定性是防止參與交易的全部或部分的抵賴。比如說在網(wǎng)絡(luò)上，一個人發(fā)送了一封Email信息或一些數(shù)據(jù)，如ping包或SYN包，然后說“我并沒有發(fā)送”。不可否定性可以防止這種來自源端的欺騙。安全體系－安全機制安全機制是一種技術(shù)，一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程。ISO把機制分成特殊的和普遍的。一個特殊的安全機制是在同一時間只對一種安全服務(wù)上實施一種技術(shù)或軟件。加密就是特殊安全機制的一個例子。盡管可以通過使用加密來保證數(shù)據(jù)的保密性，數(shù)據(jù)的完整性和不可否定性，但實施在每種服務(wù)時你需要不同的加密技術(shù)。一般的安全機制都列出了在同時實施一個或多個安全服務(wù)的執(zhí)行過程。特殊安全機制和一般安全機制不同的另一個要素是一般安全機制不能應(yīng)用到OSI參考模型的任一層。安全體系－安全機制安全服務(wù)依賴于安全機制的支持。ISO安全體系結(jié)構(gòu)提出了8種基本的安全機制，將一個或多個安全機制配置在適當(dāng)層次上以實現(xiàn)安全服務(wù)。

加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制認(rèn)證（鑒別）機制通信業(yè)務(wù)填充機制路由選擇控制機制公證機制

安全標(biāo)準(zhǔn)OSI安全體系的安全標(biāo)準(zhǔn)技術(shù)安全服務(wù)可信計算機評估標(biāo)準(zhǔn)（TCSEC）我國的計算機安全等級劃分與相關(guān)標(biāo)準(zhǔn)安全標(biāo)準(zhǔn)－TCSEC安全等級安全標(biāo)準(zhǔn)－我國安全標(biāo)準(zhǔn)等級名稱第一級用戶自主保護第二級系統(tǒng)審計保護第三級安全標(biāo)記保護第四級結(jié)構(gòu)化保護第五級訪問驗證保護安全目標(biāo)保障網(wǎng)絡(luò)安全的基本目標(biāo)就是要能夠具備安全保護能力、隱患發(fā)現(xiàn)能力、應(yīng)急反應(yīng)能力和信息對抗能力。

安全保護能力隱患發(fā)現(xiàn)能力

應(yīng)急反應(yīng)能力

信息對抗能力

1.3常見的安全威脅與攻擊網(wǎng)絡(luò)系統(tǒng)自身的脆弱性安全威脅威脅和攻擊的來源網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢設(shè)計、規(guī)劃企業(yè)的整體安全方案信息化進程網(wǎng)絡(luò)系統(tǒng)自身的脆弱性硬件系統(tǒng)軟件系統(tǒng)網(wǎng)絡(luò)和通信協(xié)議缺乏用戶身份鑒別機制缺乏路由協(xié)議鑒別機制缺乏保密性TCP/UDP的缺陷TCP/IP服務(wù)的脆弱性安全威脅-企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)企業(yè)網(wǎng)絡(luò)中的應(yīng)用企業(yè)網(wǎng)絡(luò)的結(jié)構(gòu)特點網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析－企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)網(wǎng)絡(luò)應(yīng)用企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險企業(yè)網(wǎng)絡(luò)的安全風(fēng)險風(fēng)險舉例之一：設(shè)備防盜、防毀風(fēng)險舉例之二：線路老化風(fēng)險舉例之三：停電風(fēng)險舉例之四：抗電磁輻射風(fēng)險舉例之五：安全拓撲風(fēng)險舉例之六：安全路由風(fēng)險舉例之七：信息存儲風(fēng)險風(fēng)險舉例之八：信息傳輸?shù)娘L(fēng)險風(fēng)險舉例之九：信息訪問安全威脅和攻擊的來源內(nèi)部操作不當(dāng)

內(nèi)部管理漏洞

來自外部的威脅和犯罪

企業(yè)的安全需求具體需求舉例之一：子網(wǎng)之間的訪問控制具體需求舉例之二：地址轉(zhuǎn)換與IP復(fù)用具體需求舉例之三：對員工的信息審計具體需求舉例之四：企業(yè)網(wǎng)站保護具體需求舉例之五：信息傳輸加密具體需求舉例之六：企業(yè)整體病毒防護具體需求舉例之七:不同服務(wù)器的訪問控制安全方案設(shè)計原則需求、風(fēng)險、代價平衡分析原則

綜合性、總體性原則

一致性原則

易操作性原則

適應(yīng)性及靈活性原則

多重保護原則

分布實施原則安全機制與技術(shù)

安全機制

訪問控制機制

加密機制

認(rèn)證交換機制

數(shù)字簽名機制

數(shù)據(jù)流分析機制

路由控制機制

業(yè)務(wù)流量填充機制安全技術(shù)防火墻技術(shù)加密技術(shù)鑒別技術(shù)數(shù)字簽名技術(shù)入侵檢測技術(shù)審計監(jiān)控技術(shù)病毒防治技術(shù)備份與恢復(fù)技術(shù)安全機制與技術(shù)身份鑒別

訪問控制

數(shù)據(jù)加密

病毒防護

入侵檢測

安全評估

備份與恢復(fù)身份鑒別

基于口令、用戶名的身份認(rèn)證

基于主體特征的身份認(rèn)證:如指紋

基于IC卡和PIN號碼的認(rèn)證

基