《企业网络信息安全课件.pptx》由会员分享,可在线阅读,更多相关《企业网络信息安全课件.pptx(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、酒店网络信息安全酒店网络信息安全 1教师概况黄均才:电子科技大学计算机学院信息安黄均才:电子科技大学计算机学院信息安 全实验室博士全实验室博士 东莞理工学院计算机系副教授东莞理工学院计算机系副教授Email:电话:电话:13267394811QQ:244640589地址:地址:东莞松山湖电子楼东莞松山湖电子楼4062住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息著名黑客著名黑客Adam Laurie 表示,他可以在表示,他可以在饭店房间内侵入付费电视、房内饮料和饭店房间内侵入付费电视、房内饮料和电话等系统。电话等系统。更令人惊骇的是,只要把笔记本电更令人惊骇的是,只
2、要把笔记本电脑与某些最新的饭店电视系统连线,脑与某些最新的饭店电视系统连线,Laurie便可监视其他房客的一举一动。便可监视其他房客的一举一动。3住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息他还不能真正监看别人的房间,但他可他还不能真正监看别人的房间,但他可以借由系统得知其他人在看什么节目、以借由系统得知其他人在看什么节目、他们的住宿信息、更改房内饮料帐单,他们的住宿信息、更改房内饮料帐单,并跟着他们一起用饭店的电视上网。若并跟着他们一起用饭店的电视上网。若想戏弄其他房客,还可以帮他们退房,想戏弄其他房客,还可以帮他们退房,或设定一大早的唤醒服务。或设定一大早的唤
3、醒服务。4住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息这一切都是起于这一切都是起于Laurie所称的所称的“反向安反向安全模式全模式”。他表示。他表示:“电视机控制我能看电视机控制我能看到的内容,大多数的饭店在发送所有内到的内容,大多数的饭店在发送所有内容时,都没有任何控管。容时,都没有任何控管。”Laurie在在30日召开的日召开的Defcon安全专家会议中,示范安全专家会议中,示范如何用电视侵入饭店系统。如何用电视侵入饭店系统。5住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息只要把饭店电视的线路插入一个和笔记只要把饭店电视的线路插入
4、一个和笔记本电脑相连的本电脑相连的USB 电视调频器,电视调频器,Laurie便能骇入控制娱乐节目和其他饭店便利便能骇入控制娱乐节目和其他饭店便利措施的后端系统。他发现许多这类系统措施的后端系统。他发现许多这类系统都以房间电视的识别信息,为存取信息都以房间电视的识别信息,为存取信息的依据。因此他只要改变识别信息,就的依据。因此他只要改变识别信息,就能存取其他房间的纪录。许多现代化的能存取其他房间的纪录。许多现代化的饭店系统会显示帐单、电话和客房服务饭店系统会显示帐单、电话和客房服务纪录,并提供视讯退房。纪录,并提供视讯退房。6住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房
5、客信息Laurie发现,饭店电视系统也能让员工发现,饭店电视系统也能让员工登记信息,例如房务员可提报某个房间登记信息,例如房务员可提报某个房间已经清理完毕。此外,客房服务人员也已经清理完毕。此外,客房服务人员也可借由某些系统输入房间饮料的帐单。可借由某些系统输入房间饮料的帐单。这些都是他能入侵控制的部分。这些都是他能入侵控制的部分。Laurie表示表示:“有时候你可以实际控制实体设备。有时候你可以实际控制实体设备。”在在Holiday Inn 连锁的某家饭店,他发连锁的某家饭店,他发现电视系统竟控制客房饮料柜的电子锁。现电视系统竟控制客房饮料柜的电子锁。7住酒店防隐私泄露住酒店防隐私泄露 黑客
6、扬言入侵房客信息黑客扬言入侵房客信息在巴黎的在巴黎的Hilton饭店内,饭店内,Laurie让入侵程让入侵程序自动操作,并在电视屏幕前安装一个序自动操作,并在电视屏幕前安装一个镜头。他拍下每一个画面,最后得到的镜头。他拍下每一个画面,最后得到的信息包括饭店住房率、房客姓名、他们信息包括饭店住房率、房客姓名、他们的帐单、拨打外电的地点和停留期间。的帐单、拨打外电的地点和停留期间。他在发布会中展示这些画面,但抹去房他在发布会中展示这些画面,但抹去房客的姓名。客的姓名。8住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息Laurie的方法一开始很简单。他发现付的方法一开始很简
7、单。他发现付费频道其实随时都在播放,但房间的电费频道其实随时都在播放,但房间的电视会在房客付费后才锁定特定的频道。视会在房客付费后才锁定特定的频道。如果你随身携带自己的电视如果你随身携带自己的电视笔记本电笔记本电脑和脑和USB 电视调频器即可电视调频器即可连上线,便连上线,便可进行入侵行动。可进行入侵行动。9住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息接下来的步骤愈来愈难,更改电视的识接下来的步骤愈来愈难,更改电视的识别信息和找到客房服务帐单码都需要一别信息和找到客房服务帐单码都需要一些技巧。这些系统接受电视遥控器输入些技巧。这些系统接受电视遥控器输入的代码,因此
8、的代码,因此Laurie 随身携带可与笔记随身携带可与笔记本电脑连线的红外线设备。他写了一个本电脑连线的红外线设备。他写了一个向电视发送代码的程序,大约向电视发送代码的程序,大约30分钟就分钟就能找到相关的代码。能找到相关的代码。10住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息未来住饭店的隐私风险可能更高。未来住饭店的隐私风险可能更高。Laurie表示表示:“(饭店企业饭店企业)开始提供经由开始提供经由电视输入信用卡号等服务。电视输入信用卡号等服务。”此外,某此外,某些饭店系统的制造商正在研究增加网络些饭店系统的制造商正在研究增加网络摄影机,让房客利用互联网聊天。
9、摄影机,让房客利用互联网聊天。11酒店宽带网络发展现状酒店宽带网络发展现状旅游、商务活动、大型体育比赛等因素旅游、商务活动、大型体育比赛等因素带动了酒店业近年来的快速发展。对于带动了酒店业近年来的快速发展。对于现在的星级酒店来说,提供宽带上网己现在的星级酒店来说,提供宽带上网己经是基本服务。客户期待着通过酒店宽经是基本服务。客户期待着通过酒店宽带网络实现更多的应用:远程办公、召带网络实现更多的应用:远程办公、召开网络视频会议、享受视频点播、使用开网络视频会议、享受视频点播、使用酒店特色的信息资源等等。这些需求一酒店特色的信息资源等等。这些需求一方面是对酒店的压力,另一方面也为酒方面是对酒店的压
10、力,另一方面也为酒店打开了增值服务的机会之门。店打开了增值服务的机会之门。12酒店宽带网络发展现状酒店宽带网络发展现状旅游、商务活动、大型体育比赛等因素旅游、商务活动、大型体育比赛等因素带动了酒店业近年来的快速发展。对于带动了酒店业近年来的快速发展。对于现在的星级酒店来说,提供宽带上网己现在的星级酒店来说,提供宽带上网己经是基本服务。客户期待着通过酒店宽经是基本服务。客户期待着通过酒店宽带网络实现更多的应用:远程办公、召带网络实现更多的应用:远程办公、召开网络视频会议、享受视频点播、使用开网络视频会议、享受视频点播、使用酒店特色的信息资源等等。这些需求一酒店特色的信息资源等等。这些需求一方面是
11、对酒店的压力,另一方面也为酒方面是对酒店的压力,另一方面也为酒店打开了增值服务的机会之门。店打开了增值服务的机会之门。13住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息著名黑客著名黑客Adam Laurie 表示,他可以在表示,他可以在饭店房间内侵入付费电视、房内饮料和饭店房间内侵入付费电视、房内饮料和电话等系统。电话等系统。更令人惊骇的是,只要把笔记本电更令人惊骇的是,只要把笔记本电脑与某些最新的饭店电视系统连线,脑与某些最新的饭店电视系统连线,Laurie便可监视其他房客的一举一动。便可监视其他房客的一举一动。14住酒店防隐私泄露住酒店防隐私泄露 黑客扬言入侵房
12、客信息黑客扬言入侵房客信息实际上,除了向客人提供高速上网及各种网实际上,除了向客人提供高速上网及各种网上应用之外,网络还为酒店自身带来很多收上应用之外,网络还为酒店自身带来很多收益,例如:益,例如:1)建立酒店网站发布信息,方便客人查询)建立酒店网站发布信息,方便客人查询和预订。和预订。2)建立)建立E-Mail回访机制,加强酒店与客人回访机制,加强酒店与客人的联系。的联系。3)运行网上酒店管理系统,提高资源利用)运行网上酒店管理系统,提高资源利用率,节省开支。率,节省开支。4)建立酒店总部与各分店的网上沟通机制,)建立酒店总部与各分店的网上沟通机制,提高管理效率。提高管理效率。15住酒店防隐
13、私泄露住酒店防隐私泄露 黑客扬言入侵房客信息黑客扬言入侵房客信息总之,在网络刚刚出现的时候,酒店并总之,在网络刚刚出现的时候,酒店并未完全意识到网络的潜在价值,随着信未完全意识到网络的潜在价值,随着信息化渗透到各行各业,酒店面临着大量息化渗透到各行各业,酒店面临着大量高端宽带用户,尤其是在承担大型商务高端宽带用户,尤其是在承担大型商务活动的时候。在这种情况下,酒店网络活动的时候。在这种情况下,酒店网络建设迎来了大发展的时期。建设迎来了大发展的时期。16酒店网络的安全风险酒店网络的安全风险 对于酒店网络环境的安全性,有观点认为酒店对于酒店网络环境的安全性,有观点认为酒店的网络只要保障酒店自身信息
14、系统安全就足够的网络只要保障酒店自身信息系统安全就足够了,客人在使用酒店网络过程中遭遇病毒攻击了,客人在使用酒店网络过程中遭遇病毒攻击或信息泄露与酒店无关。其实此观点过于片面,或信息泄露与酒店无关。其实此观点过于片面,如今的酒店己经成为众多公司召开会议,进行如今的酒店己经成为众多公司召开会议,进行商务活动的重要场所,为客人提供一个安全的商务活动的重要场所,为客人提供一个安全的网络通信环境是可以作为一种服务进行运营的,网络通信环境是可以作为一种服务进行运营的,是赢得高端客人信赖的重要手段。因此建立安是赢得高端客人信赖的重要手段。因此建立安全的网络环境,会给酒店和客人带来全的网络环境,会给酒店和客
15、人带来“双赢双赢”。17酒店网络的安全风险酒店网络的安全风险 然而当前的情况是:酒店网络为客人和店自身提供的各项应用都面临一些潜在信息安全问题,如下表:18酒店网络的安全风险酒店网络的安全风险 客人酒店应用信息安全问题应用信息安全问题网页访问感染病毒,流量不均承载酒店管理系统网络隔离,访问控制视频节目点播服务器安金分支到总部远程访问信息加密传输远程视频会议高可靠网络网站宜传服务器高可用性特色信息资源服务服务器安全Email 客户回访感染病毒19酒店网络的安全规划酒店网络的安全规划 其实酒店所面临的安全问题可以进行简化为数其实酒店所面临的安全问题可以进行简化为数据存在方式的三大形态,即数据的存储
16、、计算据存在方式的三大形态,即数据的存储、计算和交互。通过保证数据存在三大形态的安全,和交互。通过保证数据存在三大形态的安全,并实现安全事件的实时感知、安全策略的动态并实现安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应将智能的安部署、网络安全设备的自动响应将智能的安全融入企业业务流程中,形成开放融合、相互全融入企业业务流程中,形成开放融合、相互渗透的安全实体,就可以实现网络安全智能化。渗透的安全实体,就可以实现网络安全智能化。结合酒店的应用特点,酒店可考虑从以下几方结合酒店的应用特点,酒店可考虑从以下几方面来完整的规划自身的安全建设。面来完整的规划自身的安全建设。20网络数据交
17、互设备网络数据交互设备 在关键位置部署专业安全设备在关键位置部署专业安全设备 Internet出口部署防火墙进行访问控制并抵御基础攻击若有较高的安全需求还可部署lPS(人侵防御系统)抵御黑客的各种攻击面对猖獗的病毒攻击,Internet 出口应部署网关式防病毒设备办公网络出口部署防垃圾邮件设备移动办公采用SSL、VPN 加密设备实现安全、方便的数据访问与分支机构采用标准IPsec、VPN 加密以保证安全核心交换层或Internet 出口部署流量监测系统,监控网络流量变化21网络数据交互设备网络数据交互设备 网络数据交互设备普遍具有高安全、高可靠、可管理网络数据交互设备普遍具有高安全、高可靠、可
18、管理特性特性 Internet出口部署防火墙进行访问控制并抵御基础攻击若有较高的安全需求还可部署lPS(人侵防御系统)抵御黑客的各种攻击面对猖獗的病毒攻击,Internet 出口应部署网关式防病毒设备办公网络出口部署防垃圾邮件设备移动办公采用SSL、VPN 加密设备实现安全、方便的数据访问与分支机构采用标准IPsec、VPN 加密以保证安全核心交换层或Internet 出口部署流量监测系统,监控网络流量变化22网络数据交互设备网络数据交互设备 接入终端:要求接入终端具备安全接入终端:要求接入终端具备安全接入特性接入特性办公网接入终端PC必须采用足够支撑业务软件的硬件系统和操作系统,并要求相关操
19、作系统能够即使进行漏洞和补丁的更新,配备最新的病毒防护和攻击防护软件保证终端的安全。针对大规模的终端防护应部署统一终端管理软件如EAD(终端准入防御),监控终端的补丁状态和防病毒软件状态,甚至于黑白软件列表。23网络数据交互设备网络数据交互设备 业务系统业务系统:要求硬件以及软件具有稳定的要求硬件以及软件具有稳定的构架和安全使用机制。构架和安全使用机制。酒店的关键服务器(视频节目、信息资源、网站)需要高稳定性运行,在业务快速增长的时候,客户体验不能降低服务器具有保护措施,可以抵御病毒、黑客的攻击部署国内经过长期使用和检验的酒店管理软件配合先进的安全使用架构,从而实现对于使用者身份认证、合法用户
20、的管理24首先,一个酒店的宽带网络大致如下图所示:252627酒店网络的安全规划酒店网络的安全规划 另外,大型酒店集团往往在全国各另外,大型酒店集团往往在全国各地开设分店,每个分店都有类似上地开设分店,每个分店都有类似上图的网络,同时又和总部的网络互图的网络,同时又和总部的网络互联。联。根据这种网络结构,我们可以构造根据这种网络结构,我们可以构造一种酒店宽带信息安全的一种酒店宽带信息安全的5 步解决方步解决方案:案:28酒店网络的安全规划酒店网络的安全规划 另外,大型酒店集团往往在全国各另外,大型酒店集团往往在全国各地开设分店,每个分店都有类似上地开设分店,每个分店都有类似上图的网络,同时又和
21、总部的网络互图的网络,同时又和总部的网络互联。联。根据这种网络结构,我们可以构造根据这种网络结构,我们可以构造一种酒店宽带信息安全的一种酒店宽带信息安全的5 步解决方步解决方案:案:29酒店宽带信息安全的酒店宽带信息安全的5 步解决方案步解决方案 第一步:安全网关第一步:安全网关第二步:网络基础设备的安全特性第二步:网络基础设备的安全特性第三步:服务器安全第三步:服务器安全第四步:智能安全管理第四步:智能安全管理第五步:安全服务第五步:安全服务30安全网关安全网关 安全网关解决方案是酒店宽带信息安全的核心,安全网关解决方案是酒店宽带信息安全的核心,选用的产品最好实现了网络隔离、访问控制、选用的
22、产品最好实现了网络隔离、访问控制、防病毒、防病毒、VPN、流量监控等多功能的集成。、流量监控等多功能的集成。31安全网关安全网关-防火墙防火墙防火墙:防火墙是安全网关的核心设备,基本功能是保护一个“信任”网络免受“非信任”网络的攻击,但同时还允许两个网络之间可以进行合法(符合安全策略)的通信。这个功能既可以用在出口网关,也可以用于酒店客房网和办公网之间。防火墙还能够识别并限制P2P 流量,支持双机状态热备,这些功能也是酒店安全网关所需要的。32安全网关安全网关-防火墙防火墙 33安全网关安全网关-ASM ASM:防病毒安全模块(ASM)可以应用在防火墙之上,部署在网关位置对进出酒店网络的双向数
23、据流进行病毒查杀,依据不断更新的病毒库,ASM 可以极大地减少病毒侵入酒店网络的机会。34安全网关安全网关-ASM35安全网关安全网关-NSM NSM:网络安全监控模块(NSM)也可以应用在防火墙之上,部署在网关位置为酒店提供一种便捷的安全监控手段,通过对经过网关数据流的实时分析,可以给客人及酒店管理者提供关于网络安全状态的报告。36安全网关安全网关-NSM37网络基础设备的安全特性网络基础设备的安全特性为了保障网络的安全稳定,网络基础设备需要具有足够的安全特性,可以通过Access List(访问列表)控制端口和IP地址的数据访问来抑制常见病毒的传播,阻断黑客攻击数据流。也可以通过Vlan划
24、分来限制酒店客房网络的二层区域,使可能出现的二层攻击无法扩散,保证整体网络环境的安全。38网络基础设备的安全特性网络基础设备的安全特性为了保障网络的安全稳定,网络基础设备需要具有足够的安全特性,可以通过Access List(访问列表)控制端口和IP地址的数据访问来抑制常见病毒的传播,阻断黑客攻击数据流。也可以通过Vlan划分来限制酒店客房网络的二层区域,使可能出现的二层攻击无法扩散,保证整体网络环境的安全。39网络基础设备的安全特性网络基础设备的安全特性-Netstream 网流分析网流分析 Netstream 网流分析:深入网络内部,将原来不可见的网络业务应用流量看的清清楚楚,进而实时的优
25、化网络结构和资源部署,实现面向业务的管理优化.40网络基础设备的安全特性网络基础设备的安全特性-Netstream 网流分析网流分析 41网络基础设备的安全特性网络基础设备的安全特性-交换机交换机 核心交换机:在提供稳定、可靠、安全的高性能L2/L3 层交换服务基础上,进一步提供业务流分析、基于策略的QOS、可控组播等智能的业务优化手段,从而为企业lT 系统构建面向业务的基础网络平台,实现通信整合数据整合奠定基础。接入交换机:三层/二层线速智能型可网管以太网交换机,具有千兆上行、可堆叠、完备的安全和Q05 控制策略等特点。42网络基础设备的安全特性网络基础设备的安全特性-ASE ASE:应用加
26、速引擎(ASE)通过硬件处理实现TCP 优化、内容压缩、SSL 加速、负载均衡等功能的集成,部署在服务器前端可以分担服务器的大量工作,在服务器访问量急剧增加的情况下,它仍能保证客人的体验效果。43网络基础设备的安全特性网络基础设备的安全特性-ASE 44服务器安全 酒店提供视频节目点播、特色信息资源、网站都需要高可靠的服务器支持。在服务器前端实现网络2-7 层的深度安全保护,还要考虑在服务器前提供应用加速功能,保证服务器的高可用性。45智能安全管理 酒店宽带网络越来越大,功能越来越多是一个趋势,管理的难题逐渐显现。如何在不大量增加维护人员的前提下,更好地管理网络安全呢?这就是我们要讲的智能管理
27、解决方案,该方案通过SecCenter(安全管理中心)和iMC(智能管理中心)的联动配合,将管理员复杂的管理工作交由智能系统来完成,是酒店宽带网络长期发展的有力保障。46智能安全管理-SecCenter SecCenter:安全管理中心(SecCenter)采用旁路部署模式,在网络中对各类设备的系统信息、安全信息进行收集、智能关联分析、生成报告,要能够支持100 多家主流厂商的设备,特别适用于管理当前酒店的由多厂商设备混合组成的异构网络。47智能安全管理-SecCenter 48智能安全管理-SecCenter SecCenter:安全管理中心(SecCenter)采用旁路部署模式,在网络中对
28、各类设备的系统信息、安全信息进行收集、智能关联分析、生成报告,要能够支持100 多家主流厂商的设备,特别适用于管理当前酒店的由多厂商设备混合组成的异构网络。49智能安全管理-iMC iMC:智能管理中心(iMC)采用组件方式,将设备管理、用户管理、业务管理整合到统一的管理平台之上,并要实现3 种管理的无缝切换和数据共享。50安全服务 网络安全是一个广泛而复杂的课题,酒店单靠自身的技术力量无法做出很好的规划。而且,不同的酒店对网络女全也有不同的需求,必须进行具体的分析才能制定出适合自身要求的总体网络安全解决方案。51安全服务-安全评估 安全评估:分为弱点评估、渗透测试、安全加固3 个部分,通过专
29、业人员的分析、实验,找出并加强酒店信息系统的弱点,并形成报告。52安全服务-安全咨询 安全咨询:分为策略咨询、管理咨询、风险评估3 个部分,主要是依据信息安全标准和法律法规为酒店信息安全建设提供合适的建议和规划。53安全服务-安全培训 安全培训:包括安全意识培训、安全管理培训、安全技术培训、安全产品培训,意在为酒店培养合格的网络管理者,为管理好酒店网络安全提供人员保证。54谢谢大家!551、有时候读书是一种巧妙地避开思考的方法。3月-233月-23Monday,March 6,20232、阅读一切好书如同和过去最杰出的人谈话。14:25:2414:25:2414:253/6/2023 2:25
30、:24 PM3、越是没有本领的就越加自命不凡。3月-2314:25:2414:25Mar-2306-Mar-234、越是无能的人,越喜欢挑剔别人的错儿。14:25:2414:25:2414:25Monday,March 6,20235、知人者智,自知者明。胜人者有力,自胜者强。3月-233月-2314:25:2414:25:24March 6,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。06三月20232:25:24下午14:25:243月-237、最具挑战性的挑战莫过于提升自我。三月232:25下午3月-2314:25March 6,20238、业余生活要有意义,不要越轨。2
31、023/3/614:25:2414:25:2406 March 20239、一个人即使已登上顶峰,也仍要自强不息。2:25:24下午2:25下午14:25:243月-2310、你要做多大的事情,就该承受多大的压力。3/6/2023 2:25:24 PM14:25:2406-3月-2311、自己要先看得起自己,别人才会看得起你。3/6/2023 2:25 PM3/6/2023 2:25 PM3月-233月-2312、这一秒不放弃,下一秒就会有希望。06-Mar-2306 March 20233月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Monday,March 6,202306-Mar-233月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。3月-2314:25:2406 March 202314:25谢谢大家谢谢大家