网络安全知识讲座

网络安全知识讲座提纲网络安全定义保护资源网络安全风险安全技术产品病毒与特洛伊木马网络安全定义网络安全的定义通常感觉：“网络安全就是避免危险”科学的安全定义防止未授权的用户访问信息防止未授权而试图破坏与修改信息从风险的角度：在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全就是一个系统地保护信息和资源相应的机密性和完整性的能力安全领域物理安全操作步骤安全网络安全人事安全系统安全安全领域网络安全问题的复杂程度复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易安全威胁:网络为什么不安全网络发展迅速,较少考虑安全问题管理人员的缺乏及对安全知识和意识的不足网络技术处于不断发展和进化中全球超过26万个黑客站点提供系统漏洞和攻击手段及工具等方面的知识容易使用的攻击软件和黑客教程比比皆是,成为一名“黑客”变的越来越简单直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果安全威胁:安全事故的后果相关数据美国FBI调查，每年因网络安全造成的损失高达170亿美金；CERT组织2000年数据，平均每五个站点就有一个遭受不同程度地攻击中国公安部资料表明网络犯罪每年以30％的惊人速度递增。1986年中国电脑网络犯罪发案仅9起，到2002年已经突破4500起，且保持迅速增长的势头。100%安全的神话开销风险性能建立有效的安全矩阵安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成；包括软件和硬件设备功能是有效的可持续的是灵活的可扩展的拥有很高级的预警和报告功能保护资源保护资源终端用户资源（普通员工使用的工作站）网络资源（路由器、交换机、电话系统）服务器资源（DNS、Web、FTP、E-mail等）信息存储资源（人力资源和电子商务数据库等）终端用户资源操作系统Win98WindowsNTWorkstationWindows2000professional威胁错误下载ActiveX文件和Java小程序错误下载病毒和特洛伊木马（Trojans）错误操作导致系统崩溃网络资源硬件设备路由器交换机机柜配线架威胁物理安全服务器资源常见的服务器WebFTPEMAILDNS威胁字典攻击系统和服务自身的漏洞拒绝服务攻击病毒攻击信息存储资源信息存储资源更多的是指数据库系统威胁泄露商业机密破坏或伪造交易行为消费者的重要数据网络安全风险网络安全风险安全需求和实际操作脱离内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异针对网络通讯层的攻击通讯&服务层•TCP/IP•IPX•X.25•Ethernet•FDDI•RouterConfigurations•Hubs/SwitchesDMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继调制解调器通讯&服务层弱点超过1000个TCP/IP服务安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.错误的路由配置TCP/IP中不健全的安全连接检查机制缺省路由帐户反向服务攻击隐蔽ModemDMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对操作系统的攻击操作系统•UNIX•Windows•Linux•Freebsd•Macintosh•Novell操作系统的安全隐患1000个以上的商用操作系统安全漏洞没有及时添加安全补丁病毒程序的传播文件/用户权限设置错误默认安装的不安全设置缺省用户的权限和密码口令用户设置过于简单密码使用特洛依木马DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对应用服务的攻击应用服务程序•Web服务器•数据库系统•内部办公系统•网络浏览器•ERP系统•办公文件程序•FTPSMTPPOP3SAPR/3Oracle应用程序Web服务器:错误的Web目录结构CGI脚本缺陷Web服务器应用程序缺陷私人Web站点未索引的Web页防火墙:防火墙的错误配置会导致漏洞:冒名IP,SYNfloodingDenialofserviceattacks路由器:源端口/源路由其他应用程序:Oracle,SAP,Peoplesoft缺省帐户有缺陷的浏览器DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继额外的不安全因素外部个体外部/组织内部个体内部/组织网络的普及使学习网络进攻变得容易全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现不安全的安全的安全策略实际安全到达标准安全间隙未知的安全间隙DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继我们眼中的网络安全网络安全隐患无处不在，常见漏洞目前有1000余种。DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继管理分析&实施策略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令添加所有操作系统PatchModem数据文件加密安装认证&授权用户安全培训授权复查入侵检测实时监控网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出依照风险制定出进行安全集成/应用开发安全服务安全方案设计•建立相应的网络安全整体设计流程VPN虚拟专用网防火墙内容检测防病毒入侵探测安全技术产品需要的安全技术产品CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系身份鉴别基于口令、用户名的身份认证基于主体特征的身份认证：如指纹基于IC卡+PIN号码的认证基于CA证书的身份认证其他的认证方式基于CA证书的身份认证基于CA证书的身份鉴别CA中心证书发布服务器用户证书----------CA服务器证书----------CA用户证书----------CA服务器证书----------CA开始数字证书的签名验证开始数字证书的签名验证开始安全通讯需要的安全技术产品CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系防火墙定义防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的发展历经三代：简单包过滤、应用代理、状态检测（状态包过滤）防火墙防火墙主要功能过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量可以灵活的制定的控制策略包过滤IP与MAC绑定InternetHostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBind199.168.1.2To00-50-04-BB-71-A6Bind199.168.1.4To00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网信息审计&日志HostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.5Internet安全网域HostGHostH···TCP202.102.1.2199.168.1.28：302001-02-07202.102.1.2202.102.1.3···TCP202.102.1.3199.168.1.59：102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志需要的安全技术产品CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系入侵检测的主要功能监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。利用入侵检测保护网络应用DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接需要的安全技术产品CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系安全扫描的概念理解安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。安全扫描系统具有的功能说明识别正在受到的攻击减轻系统管理员搜索最近黑客行为的负担使得安全管理可由普通用户来负责为制定安全规则提供依据利用网络安全评估系统对网络进行安全评估DMZE-MailFileTransferHTTPIntranet生产部工程部市场部人事部路由Internet中继安全弱点扫描通讯&应用服务层需要的安全技术产品CA安全身份认证体系防火墙技术技术入侵检测技术网络安全评估系统防病毒体系全面的病毒防护体系网关病毒防护工作站病毒防护服务器病毒防护网络中心病毒控制台自动更新升级的维护策略内部工作子网管理子网一般子网内部服务器防病毒软件工作站防毒软件网关防病毒软件防病毒中央控制系统病毒信息控制信息等病毒信息控制信息等实现多方位、多层次，点（单台工作站）、线（服务器）、面（网关）相结合的防病毒解决方案Internet区域Internet边界路由器病毒更新主站点总部主升级服务器总行客户端分部主升级服务器代理服务器总行服务器客户端服务器总行分部主升级服务器客户端服务器分发分发下载分发/登录分发分发/登录分发分发/登录分发分发病毒与特洛伊木马计算机病毒基本概念概念：编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码特征：复制、感染、隐蔽、破坏危害：病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。网络环境下，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大防治：以防为主，病原体(病毒库)是病毒防治技术的关键为了和以前的DOS/Windows系统保持兼容，WIN9X/NT下等32位的EXE文件格式有所不同，其中含有一些空挡，病毒会找适合的地方嵌入进去这是一个被感染的WindowsPE格式EXEFile为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病毒代码的空间部分。如果覆写的位置超过了“空挡”大小，原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的，因为原始程序文件被感染时可能已被覆写破坏了。（典型的象CIH、FUNLOVE病毒）EXE文件被感染VIRUS病毒的新概念•蠕虫（Worm）通过网络连接，将自身复制到其它计算机中，但不感染其它文件。•特洛伊木马（Trojanhorse）表面上看起来是无害的程序或数据，实际上内含恶意或有害的代码。窃取用户数据和系统控制权病毒基本知识RPC：remoteprocedurecall(远程过程调用)一种消息传递功能，允许分布式应用程序呼叫网络上不同计算机上的可用服务