《安全培训之1.ppt》由会员分享,可在线阅读,更多相关《安全培训之1.ppt(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全培训之一 -网络安全基础主讲:陈翔主讲:陈翔网安科技网安科技2021/9/271大大 纲纲n网络安全背景分析网络安全背景分析n安全基本理论安全基本理论n教育系统拓扑教育系统拓扑n安防体系安防体系2021/9/272校园网特点 现在地域地域:高校合并、新校区扩建应用应用:网上游戏、网上视频、BT/emule、学术研究 QoS:不同应用需要不同的时延、带宽安全安全:病毒频繁爆发、工具软件、学生特点由IPv4向IPv6进行逐步过渡2021/9/273现在需要现在需要现在需要现在需要过去过去过去过去从无到有从无到有从无到有从无到有校园办公网校园办公网校园办公网校园办公网宿舍网宿舍网宿舍网宿舍网互联
2、网出口互联网出口互联网出口互联网出口网络业务网络业务网络业务网络业务业务驱动业务驱动业务驱动业务驱动可运营可运营可运营可运营可用可用可用可用可管理可管理可管理可管理安全安全安全安全易维护易维护易维护易维护准确灵活计费准确灵活计费准确灵活计费准确灵活计费有效的业务支撑有效的业务支撑有效的业务支撑有效的业务支撑校园网建设的转变2021/9/274学校网络结构和系统应用n教学局域网:可由计算机中心、多校园网教学局域网:可由计算机中心、多校园网一般由两部分构成。一部分是内部网(称一般由两部分构成。一部分是内部网(称校园网内部网),包含教学局域网、图书校园网内部网),包含教学局域网、图书馆局域网、办公自
3、动化局域网等几个物理馆局域网、办公自动化局域网等几个物理隔离网络;另一部分是外部网(称校园网隔离网络;另一部分是外部网(称校园网外部网),包括一些公开服务器,并负责外部网),包括一些公开服务器,并负责与中国教育和科研网和与中国教育和科研网和INTERNET的连接的连接以及远程移动办公用户等的接入等以及远程移动办公用户等的接入等 2021/9/275n媒体教室、语音教室、各系班计算机房等构成,媒体教室、语音教室、各系班计算机房等构成,保证正常教学和学生上机。使教学人员能够利用保证正常教学和学生上机。使教学人员能够利用计算机备课,制作多媒体课件并开展教学。计算机备课,制作多媒体课件并开展教学。图书
4、馆局域网:一般由服务器和客户机构成,以图书馆局域网:一般由服务器和客户机构成,以实现图书馆自动化管理。保证图书馆内部业务计实现图书馆自动化管理。保证图书馆内部业务计算机网络化管理和在校园网上实现书刊目录及部算机网络化管理和在校园网上实现书刊目录及部分文献参考全文检索及浏览等应用。分文献参考全文检索及浏览等应用。2021/9/276n办公自动化局域网:包括办公自动化和教办公自动化局域网:包括办公自动化和教学管理服务器,客户机。通过办公自动化学管理服务器,客户机。通过办公自动化软件,开展公文管理、会议管理、档案管软件,开展公文管理、会议管理、档案管理和个人办公管理的办公自动化的应用。理和个人办公管
5、理的办公自动化的应用。实现包括教学管理、科研管理、学员管理、实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管资产管理、人事管理、党务管理、财务管理、后勤管理等应用,形成院校的管理信理、后勤管理等应用,形成院校的管理信息系统。息系统。2021/9/277各类应用服务器n域名服务器(域名服务器(DNS):完成主机名(域名)与):完成主机名(域名)与P地址相地址相互解析等任务。互解析等任务。代理服务器(代理服务器(Proxy):其跨越外部网和内部网,为校):其跨越外部网和内部网,为校园网内用户提供代理服务,并使用缓存(园网内用户提供代理服务,并使用缓存(CACHE)技)技术
6、,减少信息的重复调用,降低出口流量,提高访问术,减少信息的重复调用,降低出口流量,提高访问速度,也节约了通信资费。速度,也节约了通信资费。WWW服务器(服务器(Web Sever):提供超文本信息查询和):提供超文本信息查询和浏览器服务器模式应用服务。浏览器服务器模式应用服务。文件传输服务器(文件传输服务器(FTP Sever):提供远程文件透明传):提供远程文件透明传输服务。输服务。电子邮件服务器(电子邮件服务器(Mai1 Sever):提供电子邮件收、):提供电子邮件收、发服务。发服务。2021/9/278n外部网一般通过外部网交换机,连接因特网服务外部网一般通过外部网交换机,连接因特网服
7、务器构成一个独立网段。边界路由器通过器构成一个独立网段。边界路由器通过DDN专线专线与中国教育和科研网(或其它网络)连接,实现与中国教育和科研网(或其它网络)连接,实现与因特网互联。与因特网互联。远程访问服务器连入公用电话网(远程访问服务器连入公用电话网(PSNTGSM),使院外授权用户(含院内职工在宿舍或),使院外授权用户(含院内职工在宿舍或出差)用拔号方式访问校园网。出差)用拔号方式访问校园网。2021/9/279安全产品分布图安全产品分布图结论:防火墙、IDS、防病毒是首选的安全产品使用计费系统 过滤王2021/9/2710网络安全教育2021/9/2711学校安全问题学校安全问题n1.
8、网络安全方面的投入严重不足,没有系统网络安全方面的投入严重不足,没有系统的网络安全设施配备。大多数高校网络建的网络安全设施配备。大多数高校网络建设经费严重不足,有限的经费也主要投在设经费严重不足,有限的经费也主要投在网络设备上,对于网络安全建设一直没有网络设备上,对于网络安全建设一直没有比较系统的投入。校园网还基本处在一个比较系统的投入。校园网还基本处在一个开放的状态,没有任何有效的安全预警手开放的状态,没有任何有效的安全预警手段和防范措施。段和防范措施。2021/9/27122.学校的上网场所管理较混乱学校的上网场所管理较混乱.各校园网内有一批直接接入校园网的机房平时提供给学生和各校园网内有
9、一批直接接入校园网的机房平时提供给学生和教职员工上网、学习。但是,由于缺乏统一的管理软件和监教职员工上网、学习。但是,由于缺乏统一的管理软件和监控、日志系统,这些机房的管理基本处在各自为政的状态。控、日志系统,这些机房的管理基本处在各自为政的状态。绝大多数的机房的登记管理制度存在严重漏洞,上网用户的绝大多数的机房的登记管理制度存在严重漏洞,上网用户的身份无法唯一识别;另外,由于机房的计算机为了管理上的身份无法唯一识别;另外,由于机房的计算机为了管理上的方便,基本上都投入了大批资金安装了还原卡,计算机关机方便,基本上都投入了大批资金安装了还原卡,计算机关机后启动即恢复到初始状态,但这在安全管理上
10、就形成了很大后启动即恢复到初始状态,但这在安全管理上就形成了很大的漏洞,无法按照安全部门要求保留至少三个月以上的上机的漏洞,无法按照安全部门要求保留至少三个月以上的上机和上网日志;更有甚者,个别机房甚至私自接入了互联网,和上网日志;更有甚者,个别机房甚至私自接入了互联网,绕开了学校的统一管理和国家相关部门的监管,存在极大的绕开了学校的统一管理和国家相关部门的监管,存在极大的安全隐患。安全隐患。2021/9/27133.电子邮件系统极不完善,无任何安全电子邮件系统极不完善,无任何安全管理和监控的手段管理和监控的手段n近些时候,通过电子邮件系统散发反动,色情近些时候,通过电子邮件系统散发反动,色情
11、言论和材料以及散步谣言等情况愈发严重。言论和材料以及散步谣言等情况愈发严重。n但大多数校园网邮件系统依然采用互联网上下但大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统,由于是免费的软件,载的免费版本的邮件系统,由于是免费的软件,既不能提供自身完善的安全防护,更没有提供既不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手任何针对用户来往信件过滤、监控和管理的手段,完全不符合公安部门提出的安全邮件系统段,完全不符合公安部门提出的安全邮件系统的要求,出现问题无法及时有效的解决的要求,出现问题无法及时有效的解决2021/9/27144.网络病毒泛滥网络病毒泛滥
12、n网络在提供给大家的方便的同时,也变成了病毒网络在提供给大家的方便的同时,也变成了病毒传递的最快捷的途径。随着网络飞速发展、网络传递的最快捷的途径。随着网络飞速发展、网络病毒的编制者水平的提高以及近几年网络病毒和病毒的编制者水平的提高以及近几年网络病毒和黑客软件的结合,网络病毒的爆发直接导致用户黑客软件的结合,网络病毒的爆发直接导致用户的隐私和重要数据外泄。同时还极大的消耗了网的隐私和重要数据外泄。同时还极大的消耗了网络资源;造成网络性能急剧下降;从络资源;造成网络性能急剧下降;从“红色代码红色代码”、“尼姆达尼姆达”到到“爱之门爱之门”等网络病毒的爆发等网络病毒的爆发中可以看出,网络病毒的防
13、范任务越来越严峻。中可以看出,网络病毒的防范任务越来越严峻。而病毒防范的措施也不能仅仅靠原来单机的方式,而病毒防范的措施也不能仅仅靠原来单机的方式,必须是一种集中管理,统一升级,统一监控的针必须是一种集中管理,统一升级,统一监控的针对网络的防病毒体系。对网络的防病毒体系。2021/9/27155.网络安全意识淡薄,没有指定完善网络安全意识淡薄,没有指定完善的网络安全管理制度的网络安全管理制度n校园网络上的攻击、侵入他人机器,盗用他人帐校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经
14、常发生、邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜,以福建省省网中心之一的屡见不鲜,以福建省省网中心之一的大学网络大学网络中心做过的统计,该校主要的几个应用服务器平中心做过的统计,该校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非常访均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大部分的非法访问源自校内,问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;另外,没说明校园网络上的用户安全意识淡薄;另外,没有制定完善而严格的网络安全制度,各校园网在有制定完善而严格的网络安全制度,各校园网在安全管理上也没有任何标准,这也是网络安全问安全管
15、理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因。题泛滥的一个重要原因。2021/9/2716解决网络安全问题涉及的方面解决网络安全问题涉及的方面n法制建设问题:约束黑客行为等法制建设问题:约束黑客行为等n组织建设问题:建立快速响应体系组织建设问题:建立快速响应体系n标准资质认证:产品、服务标准标准资质认证:产品、服务标准n系统评估问题:安全隐患与信息价值系统评估问题:安全隐患与信息价值n平台建设问题:平台建设问题:CERTCERT、反入侵、反病毒等安全中心、反入侵、反病毒等安全中心n科科 研研 支支 撑:专项基金、支持科研及自有力量的科研投入撑:专项基金、支持科研及自有力量的科研投入
16、n人力资源建设:建立专家队伍、开展培训工作人力资源建设:建立专家队伍、开展培训工作2021/9/2717网络安全的定义网络安全的定义n网络安全的五要素包括:网络安全的五要素包括:机密性:确保信息不暴露给未授权的实体或进程。机密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并且能够判别出完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。能占用所有的资源而阻碍授权者的工作。即服务不中断。即服
17、务不中断。可控性:可以控制授权范围内的信息流向及行为方式。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。可审查性:对出现的网络安全问题提供调查的依据和手段。2021/9/2718网络安全的分层防护体系2021/9/2719我们的方案思路网络系统现状网络系统现状安全风险评估安全风险评估安全需求与目标安全需求与目标安全体系安全体系安全解决方案安全解决方案网络安全的实现网络安全的实现安全服务安全服务2021/9/2720安全体系2021/9/2721教育网络安全防护策略教育网络安全防护策略本本 章章 概概 要要 网络安全策略是安全管理体系和网络安
18、全技术网络安全策略是安全管理体系和网络安全技术的综合。本章将就企业范围的网络安全策略进行阐的综合。本章将就企业范围的网络安全策略进行阐述,着重介绍以下几方面:述,着重介绍以下几方面:q企业安全防护体系的构成企业安全防护体系的构成q建立安全的企业网络建立安全的企业网络q安防工作是一个过程安防工作是一个过程2021/9/2722教育网络安全防护策略教育网络安全防护策略q先进的网络安全技术是企业网络安全的基础先进的网络安全技术是企业网络安全的基础q完善的安全管理体系是网络安全的必要条件完善的安全管理体系是网络安全的必要条件q安全防护工作是一个周而复始、循环上升的安全防护工作是一个周而复始、循环上升的
19、过程过程2021/9/2723教育安全防护体系的构成教育安全防护体系的构成人人 制度制度技术技术安全防护体系安全防护体系教育安全防护体系的主要构成因素教育安全防护体系的主要构成因素q人人q制度制度q技术技术2021/9/2724人:安防体系的根本动力人:安防体系的根本动力人是安防体系中的最薄弱环节人是安防体系中的最薄弱环节q对安全防护工作重视的领导是安防工作顺利推对安全防护工作重视的领导是安防工作顺利推进的主要动力;进的主要动力;q有强烈安全防护意识的员工是企业安防体系得有强烈安全防护意识的员工是企业安防体系得以切实落实的基础;以切实落实的基础;q杜绝企业内部员工攻击网络系统是加强安全防杜绝企
20、业内部员工攻击网络系统是加强安全防护的一项重要工作。护的一项重要工作。2021/9/2725人:安防体系的根本动力人:安防体系的根本动力加强安全教育、提高网络安全意识加强安全教育、提高网络安全意识q启蒙启蒙为安全培训工作打基础,端正对企业为安全培训工作打基础,端正对企业的态度,让他们充分认识到安防工作的重要意的态度,让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。义及在不重视安防工作的危险后果。q培训培训传授安全技巧,使其更好的完成自己传授安全技巧,使其更好的完成自己的工作。的工作。q教育教育目标是培养目标是培养IT安防专业人才,重点在安防专业人才,重点在于拓展应付处理复杂多变
21、的攻击活动的能力和于拓展应付处理复杂多变的攻击活动的能力和远见。远见。2021/9/2726制度:安防体系的基础制度:安防体系的基础q减轻或消除员工和第三方的法律责任减轻或消除员工和第三方的法律责任q对保密信息和无形资产加以保护对保密信息和无形资产加以保护q防止浪费企业的计算机资源防止浪费企业的计算机资源安防制度的定义和作用安防制度的定义和作用 安防制度是这样一份或一套文档,它从整体上规安防制度是这样一份或一套文档,它从整体上规划出在企业内部实施的各项安防控制措施。划出在企业内部实施的各项安防控制措施。安防制度的作用主要有安防制度的作用主要有:2021/9/2727制度:安防体系的基础制度:安
22、防体系的基础安防制度的生命周期安防制度的生命周期 安防制度的生命周期包括制度的制定、推行和监安防制度的生命周期包括制度的制定、推行和监督实施。督实施。第一阶段:规 章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、减轻和转移风险所需要的安防 控制措施。第二阶段:企业发布执行的规章制度,以及配套的奖惩措施。第三阶段:规章制度的监第三阶段:规章制度的监督实施。制度的监督实施督实施。制度的监督实施应常抓不懈、反复进行,应常抓不懈、反复进行,保证制度能够跟上企业的保证制度能够跟上企业的发展和变化发展和变化制度的监督实施制度的监督实施制度的制定制度的制定制度的推行制度的推行2021/9/2728
23、制度:安防体系的基础制度:安防体系的基础q计算机上机管理制度计算机上机管理制度q用户账户管理制度用户账户管理制度q远程访问管理制度远程访问管理制度q信息保护管理制度信息保护管理制度q防火墙管理制度防火墙管理制度q特殊访问权限管理制度特殊访问权限管理制度q网络连接设备管理制度网络连接设备管理制度q商业伙伴管理制度商业伙伴管理制度q顾客管理制度顾客管理制度安防制度的主要组成部分安防制度的主要组成部分2021/9/2729技术:安防体系的基本保证技术:安防体系的基本保证q信息加密技术信息加密技术q身份鉴别技术身份鉴别技术q资源使用授权技术资源使用授权技术q访问审计技术访问审计技术q备份与恢复技术备份
24、与恢复技术q防病毒技术防病毒技术网络安防需要先进的信息安全技术网络安防需要先进的信息安全技术2021/9/2730技术:安防体系的基本保证技术:安防体系的基本保证q网络防火墙qVPN设备q入侵检测设备q漏洞评估产品q网络防病毒产品网络安防需要先进的安全产品网络安防需要先进的安全产品2021/9/2731技术:安防体系的基本保证技术:安防体系的基本保证q单一的安全保护往往效果不理想单一的安全保护往往效果不理想q目前的趋势目前的趋势应用和实施一个基于多层次应用和实施一个基于多层次安全系统的全面信息安全策略安全系统的全面信息安全策略网络安防需要采用多层防护策略网络安防需要采用多层防护策略在各个层次上
25、部署相关的网络安全产品在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的分层的安全防护成倍地增加了黑客攻击的成本和难度成本和难度从而卓有成效地降低被攻击的危险,达到从而卓有成效地降低被攻击的危险,达到安全防护的目标。安全防护的目标。2021/9/27321 防火墙技术防火墙技术2021/9/2733防火墙的基本概念 防火墙是一种高级访问控制设备,是置于不防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有网络安全域间通信流的唯一通道,能根据企业有关安全政策控制关安
26、全政策控制(允许、拒绝、监视、记录允许、拒绝、监视、记录)进出进出网络的访问行为。网络的访问行为。不可信的网络及服务器可信任的网络路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户 DMZ 防火墙防火墙2021/9/2734防火墙的主要技术q包过滤技术 (Packet Filtering)q应用层代理技术 (Application Proxy)q状态包过滤技术 (Stateful Packet Filtering)应用层表示层会话层传输层网络层数据链路层物理层2021/9/2735数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包
27、根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网企业内部网数据包数据包包过滤技术的基本原理包过滤技术的基本原理数据包数据包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制策略2021/9/2736数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网 数据包数据包应用层代理技术的基本原理应用层代理技术的基本原理数据包数据包数据TCP报头IP报头
28、分组过滤判断信息应用代理判断信息控制策略控制策略2021/9/2737数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网数据包数据包状态检测包过滤技术的基本原理状态检测包过滤技术的基本原理数据包数据包数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测控制策略控制策略2021/9/2738防火墙的用途防火墙的用途q位于位于Internet与与Intranet之间的系统,之间的系统,避免内部网络直接暴露在外面避免内部网络
29、直接暴露在外面q防止防止Internet上非法访问上非法访问q防止内部使用者不当的使用防止内部使用者不当的使用Internetq有效的记录及监控企业与互联网活动有效的记录及监控企业与互联网活动q强化企业安全策略强化企业安全策略2021/9/2739q防火墙不能完全防止受病毒感染的文防火墙不能完全防止受病毒感染的文件或软件的传输件或软件的传输q防火墙对不通过它的连接无能为力防火墙对不通过它的连接无能为力q防火墙不能防备内部人员的攻击防火墙不能防备内部人员的攻击q防火墙可能导致传输延迟、网络瓶颈防火墙可能导致传输延迟、网络瓶颈及单点失效及单点失效q防火墙不能防备新的网络安全问题防火墙不能防备新的网
30、络安全问题防火墙的弱点防火墙的弱点2021/9/27402 入侵检测技术入侵检测技术2021/9/2741入侵检测系统的概念q防火墙不能彻底消除网络入侵的威胁;防火墙不能彻底消除网络入侵的威胁;q入侵检测系统入侵检测系统(IDS:Intrusion detection system)用于用于监控网络和计算机系统被入监控网络和计算机系统被入侵或滥用的征兆;侵或滥用的征兆;qIDS系统以后台进程的形式运行,发现可疑系统以后台进程的形式运行,发现可疑情况,立即通知有关人员;情况,立即通知有关人员;qIDS是监控和识别攻击的标准解决方案,是是监控和识别攻击的标准解决方案,是安防体系的重要组成部分;安防
31、体系的重要组成部分;q假如说防火墙是一幢大楼的门锁,那入侵假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。检测系统就是这幢大楼里的监视系统。2021/9/2742n内部用户可能对网络服务器进行攻击,窃内部用户可能对网络服务器进行攻击,窃取资料,破坏服务器上的重要数据信息,取资料,破坏服务器上的重要数据信息,令网络瘫痪;令网络瘫痪;n有的用户擅自接入互联网,感染木马程序有的用户擅自接入互联网,感染木马程序和网络病毒,将导致内部重要数据外泄;和网络病毒,将导致内部重要数据外泄;n用户可能通过内部网络向外进行非法攻击,用户可能通过内部网络向外进行非法攻击,造成重大破坏,而从外界
32、追查只能知道攻造成重大破坏,而从外界追查只能知道攻击来自该网络;击来自该网络;n外来用户可以通过外接一台计算机连入内外来用户可以通过外接一台计算机连入内部网络,窃取内部资料或进行破坏活动。部网络,窃取内部资料或进行破坏活动。使用入侵检测系统的意义:使用入侵检测系统的意义:2021/9/2743q不需要人工干预即可不间断运行不需要人工干预即可不间断运行q有容错功能有容错功能q不需要占用大量的系统资源不需要占用大量的系统资源q能够发现异于正常行为的操作能够发现异于正常行为的操作q能够适应系统行为的长期变化能够适应系统行为的长期变化q判断准确判断准确q灵活定制灵活定制q保持领先保持领先入侵检测系统应
33、有的功能入侵检测系统应有的功能2021/9/2744入侵检测系统的主要类型q主机入侵检测系统主机入侵检测系统Host Intrusion Detection SystemHost Intrusion Detection Systemq网络入侵检测系统网络入侵检测系统Network Intrusion Detection SystemNetwork Intrusion Detection System2021/9/2745入侵检测系统的优点和不足q能够使现有的安防体系更完善;能够使现有的安防体系更完善;q能够更好地掌握系统的情况;能够更好地掌握系统的情况;q能够追踪攻击者的攻击线路;能够追踪攻击
34、者的攻击线路;q界面友好,便于建立安防体系;界面友好,便于建立安防体系;q能够抓住肇事者。能够抓住肇事者。2021/9/2746q不能在没有用户参与的情况下对攻击行不能在没有用户参与的情况下对攻击行为展开调查;为展开调查;q不能克服网络协议方面的缺陷;不能克服网络协议方面的缺陷;q不能克服设计原理方面的缺陷;不能克服设计原理方面的缺陷;q存在漏报与误报。存在漏报与误报。入侵检测系统不是万能的,也存在许多不足:入侵检测系统不是万能的,也存在许多不足:2021/9/2747含入侵检测系统的网络体系结构InternetIDS 1IDS 2IDS 3IDS 4子网子网 A子网子网 B交换机交换机带主机
35、带主机IDS感应感应器的服务器器的服务器服务器服务器2021/9/27483 防病毒技术2021/9/2749病毒的演化趋势病毒的演化趋势 攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战IDC,2002邮件邮件/互联网互联网Code RedNimdafunloveKlez20012002邮件邮件Melissa19992000LoveLetter1981物理介质物理介质Brain19861998CIH病毒演化趋势病毒演化趋势速客一号速客一号20032021/9/网络防病毒技术发展趋势网络防病毒技术发展趋势n反黑与反病毒相结合反黑与反病毒相结合n从入口拦截病毒从入口拦截病毒n全面解决方案全面
36、解决方案 n客户化定制客户化定制n区域化到国际化区域化到国际化2021/9/2751企业防病毒策略 多层次病毒防护体系q在企业每台台式机上安装客户端防病毒软件在企业每台台式机上安装客户端防病毒软件q在服务器上安装基于服务器的防病毒软件在服务器上安装基于服务器的防病毒软件q在网关上安装基于在网关上安装基于Internet网关的防病毒产品网关的防病毒产品q这一防护体系能极大程度地保证企业网络不这一防护体系能极大程度地保证企业网络不受病毒的危害受病毒的危害与其亡羊补牢不如未雨绸缪与其亡羊补牢不如未雨绸缪2021/9/2752q选择的防病毒产品应与现有网络具有拓扑选择的防病毒产品应与现有网络具有拓扑契
37、合性;契合性;q企业应选用网络版的防病毒软件企业应选用网络版的防病毒软件 q应选用单一品牌防毒软件产品应选用单一品牌防毒软件产品q慎选防病毒软件的供应商慎选防病毒软件的供应商防病毒产品的选择原则2021/9/2753q病毒查杀能力病毒查杀能力q对新病毒的反应能力对新病毒的反应能力q病毒实时检测能力病毒实时检测能力q快速、方便的升级快速、方便的升级q智能安装、远程识别智能安装、远程识别q管理方便,易于操作管理方便,易于操作q对现有资源的占用情况对现有资源的占用情况q系统兼容性系统兼容性q软件的价格软件的价格q软件商的企业实力软件商的企业实力防病毒产品选择应考虑的具体因素防病毒产品选择应考虑的具体
38、因素2021/9/27545 VPN技术2021/9/2755 虚拟专用网虚拟专用网VPN(Virtual Private Network)技术是指在公共网络中建立专用网络,数据通过技术是指在公共网络中建立专用网络,数据通过安全的安全的“加密管道加密管道”在公共网络中传播。在公共网络中传播。VPN的基本概念InternetVPN通道通道VPN网关网关移动用户移动用户VPN网关网关2021/9/2756VPN的功能q保证数据的真实性,通信主机必须是经过授权的,保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(要有抵抗地址冒认(IP Spoofing)的能力。的能力。q保证数据的完整性
39、,接收到的数据必须与发送时的保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。一致,要有抵抗不法分子纂改数据的能力。q保证通道的机密性,提供强有力的加密手段,必须保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。使偷听者不能破解拦截到的通道数据。q提供动态密钥交换功能,提供密钥中心管理服务器,提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(必须具备防止数据重演(Replay)的功能,保证的功能,保证通道不能被重演。通道不能被重演。q提供安全防护措施和访问控制,要有抵抗黑客通过提供安全防护措施和访问控制,要有抵抗黑客
40、通过VPN通道攻击企业网络的能力,并且可以对通道攻击企业网络的能力,并且可以对VPN通通道进行访问控制(道进行访问控制(Access Control)2021/9/2757 内内 部部 网网VPN用用VPN连接公司总部和其分支机构连接公司总部和其分支机构.远程访问远程访问VPN用用VPN连接远程用户连接远程用户.外外 联联 网网VPN用用VPN连接其业务伙伴连接其业务伙伴.VPN的分类及用途子公司子公司LAN合作伙伴合作伙伴LAN远程用户远程用户Internet2021/9/2758InternetVPN服务器服务器VPN服务器服务器路由器路由器路由器路由器加密信道加密信道加密加密认证认证VP
41、N总总部部LAN子子公公司司LAN一个安全的VPN服务,应该为子公司的不同用户指定不同的访问权限。内部网内部网VPN 2021/9/2759InternetVPN服服务务器器加密信道加密信道总总部部LANVPN的功能:1、访问控制管理。2、用户身份认证。3、数据加密。4、智能监视和审计记录。5、密钥和数字签名管理。PC机机移动用户移动用户公公共共服服务务器器远程访问远程访问VPN 2021/9/2760InternetVPN服务器服务器VPN服务器服务器加密信道加密信道加密加密认证认证VPN公公司司内内联联网网合合作作公公司司内内联联网网1、VPN服务应有详细的访问控制。2、与防火墙/协议兼容
42、。FTP服服务务器器外联网外联网VPN 2021/9/2761VPN 采用的相关技术Tunneling 隧道隧道Encryption 加密加密Authentication 身份认证身份认证2021/9/2762VPN常用协议OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理网络层数据链路层物理层包过滤IPSecPPTP/L2TP VPN常用的协议有常用的协议有IPSec、PPTP以及以及L2TP等。这些协议对应的等。这些协议对应的OSI层次结构如下:层次结构如下:2021/9/2763$dollars$dollars$dollarsDetection 入侵检测Protect 安全保护Reaction 安全响应Recovery 安全备份Management Management 安全管理安全管理安全管理安全管理统一管理、协调PDRR之间的行动安全方案设计建立安全模型建立安全模型(MDPRR)2021/9/2764电话:电话:05972281620网址:网址:厦门厦门(龙岩龙岩)网安科技有限公司网安科技有限公司地址:地址:龙岩市中山路绿世界广场龙岩市中山路绿世界广场5F2021/9/27652021/9/2766