《[精选]第1章网络安全系统概论.pptx》由会员分享,可在线阅读,更多相关《[精选]第1章网络安全系统概论.pptx(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第1章网络安全系统概论章网络安全系统概论日期:n了解安全的基本概念和模型了解安全的基本概念和模型n了解网络安全的概念与开展历程了解网络安全的概念与开展历程n了解网络安全研究的内容了解网络安全研究的内容n掌握网络安全现状和网络威胁掌握网络安全现状和网络威胁课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:n安全概念和模型安全概念和模型n网络安全概述网络安全概述n网络安全研究的内容网络安全研究的内容n网络安全现状网络安全现状目录目录安全的基本概念安全的基本概念l无危为安,无损为全。这是汉语中无危为安,无损为全。这是汉语中“安全一词安全一词的字面解释。的字面解释。l国家标准国家标
2、准GB/T 28001对对“安全给出的定义安全给出的定义是:是:“免除了不可接受的损害风险的状态。免除了不可接受的损害风险的状态。安全安全国家安国家安全全经济安经济安全全信息安信息安全全网络安网络安全全安全三维模型和防御模型安全三维模型和防御模型l安全三维模型安全三维模型防御、制止、检测l安全防御模型安全防御模型周边防御深度防御制止制止防御防御检测检测目标目标目标目标周边防御周边防御深度防御深度防御安全性决定于最薄弱的环节安全性决定于最薄弱的环节l如果把系统的安全性比作一条链,那么整个系统如果把系统的安全性比作一条链,那么整个系统的安全可靠程度往往取决于链中最薄弱的环节。的安全可靠程度往往取决
3、于链中最薄弱的环节。目标目标保保护护攻击攻击安全策略与机制安全策略与机制l策略定义哪些是允许的,哪些是不允许策略定义哪些是允许的,哪些是不允许的的l机制使策略得到执行机制使策略得到执行l安全策略的要点:安全策略的要点:资产风险保护工具优先权n安全概念和模型安全概念和模型n网络安全概述网络安全概述n网络安全研究的内容网络安全研究的内容n网络安全现状网络安全现状目录目录什么是网络安全什么是网络安全l简单的说,在网络环境里的安全指的是一种能够简单的说,在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全以解决保护识别和消除不安全因素的能力。安全以解决保护系统资产以下五项需求为目的。系统资
4、产以下五项需求为目的。机密性完整性可用性可控性可审计性资产的概念比较宽泛,包括:信息和物理设备等资产的概念比较宽泛,包括:信息和物理设备等信息安全开展历程信息安全开展历程上世纪上世纪40年代至年代至70年代年代p主要威胁是搭线窃听、密码学破解与分析主要威胁是搭线窃听、密码学破解与分析p解决通信保密的安全问题解决通信保密的安全问题p主要保护措施加密手段主要保护措施加密手段上世纪上世纪70年代至年代至80年代年代p主要威胁是非法访问、恶意代码、脆弱口令主要威胁是非法访问、恶意代码、脆弱口令p解决计算机系统安全问题解决计算机系统安全问题p主要措施是安全操作系统设计技术主要措施是安全操作系统设计技术2
5、1世纪后世纪后p主要威胁是复杂多样的信息安全使实施措施与应对变得更加困难主要威胁是复杂多样的信息安全使实施措施与应对变得更加困难p解决如何进行信息解决如何进行信息保障保障IA,Information Assurancep主要措施是建立信息安全保障体系主要措施是建立信息安全保障体系信息安全保障参考体系架构图信息安全保障参考体系架构图 运运 行行安安全全评评估估灾灾难难恢恢复复检检 测测监监 控控备备份份技技 术术边边界界安安全全网网络络安安全全技技术术设设施施授授权权系系统统计算环境安全计算环境安全证证书书系系统统人人安全培训安全培训人员安全人员安全安全意识安全意识安全管理安全管理物理安全物理安
6、全中国信息安全产品测评认证中心中国信息安全产品测评认证中心-安全保障架构图安全保障架构图PDR模型模型lPDR最早是由最早是由ISSInternet Security Systems公司提出的一种安全模型。公司提出的一种安全模型。Protection保护Detection检测Response响应信息安全策略信息安全策略 安全策略安全策略是指在一个特定应用的环境里,为确保一定级别的安全保护所必须遵守的规则信息安全策略信息安全策略相关的法律和法规则相关的法律和法规则是支撑是支撑举例:通过进行信息安全相关立法,威慑非法分子法律、法规法律、法规先进的技术是手段先进的技术是手段举例:防火墙技术可以很好的
7、实现不同安全域之间的访问控制先进的技术先进的技术管理审计制度管理审计制度严格的管理审计制度是保障严格的管理审计制度是保障举例:某企业通过建立审计和跟踪体系,可有效的提高企业整体的信息安全意识n安全概念和模型安全概念和模型n网络安全概述网络安全概述n网络安全研究的内容网络安全研究的内容n网络安全现状网络安全现状目录目录网络安全研究内容网络安全研究内容信息对抗信息对抗网络安全网络安全互联网与电互联网与电信安全信安全软件安全软件安全密码学密码学工业网安全工业网安全内容安全内容安全信息隐藏与数信息隐藏与数字水印字水印n安全概念和模型安全概念和模型n网络安全概述网络安全概述n网络安全研究的内容网络安全研
8、究的内容n网络安全现状网络安全现状n网络环境网络环境n安全威胁安全威胁n安全建设模式安全建设模式n安全技术开展趋势安全技术开展趋势目录目录当前所处的网络环境当前所处的网络环境中国互联网络信息中心中国互联网络信息中心CNNICCNNIC第第2626次次中国互联网络开中国互联网络开展状况统计报告展状况统计报告数据:数据:网络规模开展迅猛网络规模开展迅猛网民规模继续高速增长网民规模继续高速增长上网设备多样化,上网设备多样化,上网普及上网普及网络应用更加多样化,形成了网络生活形态网络应用更加多样化,形成了网络生活形态现代的、先进的复杂技术的局域网、广域网、现代的、先进的复杂技术的局域网、广域网、Int
9、ranetIntranet和和ExtranetExtranet网络开展迅猛网络开展迅猛网络在国家的政治、经济、文化、科学等领域以及社会组织网络在国家的政治、经济、文化、科学等领域以及社会组织活动的各个方面发挥着重要的作用活动的各个方面发挥着重要的作用!n安全概念和模型安全概念和模型n网络安全概述网络安全概述n网络安全研究的内容网络安全研究的内容n网络安全现状网络安全现状n网络环境网络环境n安全威胁安全威胁n安全建设模式安全建设模式n安全技术开展趋势安全技术开展趋势目录目录信息系统安全漏洞层出不穷信息系统安全漏洞层出不穷系统安全漏洞是在系统具体实现存在的缺陷和在具体使用中产生的错误,这种缺陷和错
10、误能被攻击者系统安全漏洞是在系统具体实现存在的缺陷和在具体使用中产生的错误,这种缺陷和错误能被攻击者利用,从而使攻击者能在未授权的情况下访问和破坏系统。利用,从而使攻击者能在未授权的情况下访问和破坏系统。网络的普及引发全新的信息沟通及应用模式,同时也引进了大量系统安全漏洞,截止网络的普及引发全新的信息沟通及应用模式,同时也引进了大量系统安全漏洞,截止0808年底已公开的年底已公开的漏洞累计达漏洞累计达4 4万多个,其中万多个,其中8080可以被远程利用。可以被远程利用。木马与僵尸网络不断增长木马与僵尸网络不断增长入侵入侵者者入侵企业服务器获取金钱入侵网络游戏服务器批量入侵网站编写病毒窃取企业机
11、密信息出售盗取游戏道具、虚拟货币盗取用户帐号通过各种渠道进行销售盗取银行账号盗取信用卡账号盗取证券交易账号盗取虚拟财产组建僵尸网络传播病毒洗钱发送垃圾邮件收费传播流氓软件、病毒、提高网站流量拒绝服务攻击主动攻击勒索网站受雇攻击收取佣金篡改网站、网络仿冒以及恶意代码篡改网站、网络仿冒以及恶意代码2008年大陆被篡改网站总数达53917个,其中政府网站被篡改数量为3595个;网络仿冒事件报告1227件。P2P流量占用大量互联网业务流量流量占用大量互联网业务流量不断变化的业务模型和信任模型不断变化的业务模型和信任模型不断变化的信任模型不断变化的信任模型不断变化的业务模型不断变化的业务模型雇员、合作伙
12、伴、客户雇员、合作伙伴、客户网络边界:无线接入、网络边界:无线接入、Extranet边界安全模型还是内网安全模型边界安全模型还是内网安全模型新业务、新应用、新领域新业务、新应用、新领域组织架构的变化组织架构的变化人员的变化人员的变化n安全概念和模型安全概念和模型n网络安全概述网络安全概述n网络安全研究的内容网络安全研究的内容n网络安全现状网络安全现状n网络环境网络环境n安全威胁安全威胁n安全建设模式安全建设模式n安全技术开展趋势安全技术开展趋势目录目录安全建设模式安全建设模式 访问控制蠕虫/病毒DDoS攻击带宽滥用 etc安全风险分析安全风险分析防火墙、杀毒软件、防毒墙、IPS、抗DDoS设备
13、、带宽管理 etc网络安全问题解决技术网络安全问题解决技术端点部署内/外网关部署网络边界部署 etc安全产品部署安全产品部署机密性完整性可用性可控性、可审计性确立安全目标确立安全目标业务流程安全规划系统安全体系规划业务持续性规划安全管理规划安全体系规划安全体系规划业务流程安全建设系统安全体系建设业务持续性实现安全管理规划安全体系建设安全体系建设面向业务的安全保障:分析业务流程,制定针对性安全规划面向业务的安全保障:分析业务流程,制定针对性安全规划关键点安全:分析安全的脆弱点并在关键点部署安全产品关键点安全:分析安全的脆弱点并在关键点部署安全产品n安全概念和模型安全概念和模型n网络安全概述网络安
14、全概述n网络安全研究的内容网络安全研究的内容n网络安全现状网络安全现状n网络环境网络环境n安全威胁安全威胁n安全建设模式安全建设模式n安全技术开展趋势安全技术开展趋势目录目录深度安全防御深度安全防御L2L2L7L7层深度安全防御层深度安全防御L2 L2 BPDU Guard、PVLAN、五元组绑定、802.1X等二层安全技术L2.5 L2.5 基于MPLS网络和业务隔离技术L3 L3 基于ACL的访问控制和隔离技术,基于IPSec的加密技术L4 L4 基于状态的访问控制和隔离,基于syn Proxy/Cookie的DDoS防护L5L5基于专家系统和统计技术的威胁识别技术基于关联分析的流量识别和
15、行为识别技术应用层威胁识别和抵御,可以检测并阻止攻击、蠕虫、间谍软件、带宽滥用等行为基础安全基础安全状态检测状态检测应用识别内容识别威胁识别L6L6L7L7从从技术开展的角度技术开展的角度看,深度的内容安全是看,深度的内容安全是目前热点的技术研究方向目前热点的技术研究方向多功能安全产品多功能安全产品从从产品演变的趋势看,多功能的产品演变的趋势看,多功能的UTMUTM已成为新一代安全防已成为新一代安全防护的开展方向。护的开展方向。防火墙防火墙防火墙提供提供访问访问控制控制和策和策略加略加强强VPNVPNVPN提供提供远程远程访问访问数据数据的防的防窃取、窃取、防窜防窜改的改的安全安全保证保证入侵
16、防御入侵防御入侵防御防御防御最新最新的安的安全威全威胁及胁及恶意恶意攻击攻击防病毒防病毒防病毒提供提供病毒、病毒、蠕虫、蠕虫、木马、木马、恶意恶意代码代码的查的查杀功杀功能能防垃圾防垃圾防垃圾邮件邮件邮件提供提供垃圾垃圾邮件、邮件、病毒病毒邮件邮件的过的过滤滤内容过滤内容过滤内容过滤屏蔽屏蔽有害有害内容、内容、防止防止机要机要信息信息泄密泄密应用控制应用控制应用控制限制限制P2P/IP2P/IMM应用应用,保,保证关证关键业键业务的务的有效有效带宽带宽UTMUTM(统一威胁管理)(统一威胁管理)融合基础网络安全功能和内容安全功能融合基础网络安全功能和内容安全功能基于硬件架构的平台基于硬件架构的
17、平台从从硬件支撑方面看,基于多核硬件支撑方面看,基于多核FPGAFPGA硬件架构硬件架构已成为已成为安全安全业务网关的主流平台。业务网关的主流平台。FW/Anti-DDoS/VPN等多种安全业务高速并行处理等多种安全业务高速并行处理 线程线程1线程线程2线程线程3线程线程4.ACL访问控制线程线程5.NAT地址转换1.基于状态的检查2.VPN远程安全互联3.安全区域划分多核多线程多核多线程 保障多个安全业务的并行处理,解决安全性能瓶颈问题。CPU1CPU2CPU3主动安全防护主动安全防护从从解决方案的建设思路看,要实现从被动防御到主动防御解决方案的建设思路看,要实现从被动防御到主动防御,从,从
18、局局部安全到智能安全防护的转变。部安全到智能安全防护的转变。核心交换机核心交换机安全管理中安全管理中心心终端终端终端终端终端终端1、用户进行非法或非授权行为告警告警核心防火墙核心防火墙入侵防御系统入侵防御系统IPS3、管理中心收到入侵防御系统事件服务器服务器区区告警告警告警告警2、IPS防御来自终端的攻击,同时将入侵事件上报安全管理中心4、安全管理中心对攻击源,对用户进行告警、下线等处理。内网防护的策略:对非内网防护的策略:对非法攻击阻断并查找攻击源,法攻击阻断并查找攻击源,彻底保障内网安全彻底保障内网安全网络安全技术分类网络安全技术分类n安全的基本概念、模型和方法论;安全的基本概念、模型和方法论;n网络安全的相关基本概念及模型;网络安全的相关基本概念及模型;n网络安全的主要研究内容;网络安全的主要研究内容;n目前网络中的安全问题、现状和解决思路;目前网络中的安全问题、现状和解决思路;n常见的网络技术分类常见的网络技术分类和简介和简介。本章总结本章总结