网络安全介绍网络安全介绍网络安全介绍网络安全介绍学习目标学习目标通过本章的学习,希望您能够:通过本章的学习,希望您能够:¾¾了解网络安全的概念了解网络安全的概念¾¾了解网络威胁了解网络威胁¾¾了解什么是安全策略了解什么是安全策略¾¾了解主要的网络安全技术了解主要的网络安全技术本章内容本章内容网络安全概念网络安全概念网络安全威胁网络安全威胁网络安全威胁网络安全威胁网络安全策略网络安全策略网络安全技术概览网络安全技术概览课程议题课程议题网络安全概念网络安全概念网络安全概念网络安全概念什么是网络安全什么是网络安全什么是网络安全?什么是网络安全?¾¾网络安全网络安全≠≠防火墙防火墙¾¾网络安全网络安全≠≠VPNVPN¾¾网络安全网络安全≠≠IDSIDS¾¾网络安全网络安全≠≠IDSIDS¾¾网络安全网络安全≠≠防病毒防病毒¾¾¾¾………………网络安全的定义网络安全的定义¾¾网络安全是一个方法网络安全是一个方法¾¾网络安全是一个系统网络安全是一个系统¾¾网络安全是一个过程网络安全是一个过程网络安全是一个持续不断过程网络安全是一个持续不断过程课程议题课程议题网络安全威胁网络安全威胁网络安全威胁网络安全威胁我们现在的网络我们现在的网络我们面临的问题我们面临的问题安全问题的原因安全问题的原因为什么我们的网络会出现安全问题?为什么我们的网络会出现安全问题?¾¾策略定义的弱点策略定义的弱点¾¾软件弱点软件弱点¾¾硬件弱点硬件弱点¾¾网络设备弱点网络设备弱点¾¾网络协议弱点网络协议弱点¾¾配置弱点配置弱点¾¾使用弱点使用弱点威胁的类型威胁的类型网络安全威胁可以分为网络安全威胁可以分为44个类型个类型¾¾外部威胁外部威胁¾¾内部威胁内部威胁¾¾有组织性威胁有组织性威胁¾¾无组织性威胁无组织性威胁相关数据报道,我们所受到的攻击相关数据报道,我们所受到的攻击60%60%以上来自于内部!!以上来自于内部!!攻击者的种类攻击者的种类攻击者的分类攻击者的分类¾¾ScriptKiddieScriptKiddie¾¾CrackerCracker((NotHacker!NotHacker!))¾¾EliteElite攻击者的动机攻击者的动机恶作剧恶作剧¾¾攻击者感到无聊从攻击中获得快感攻击者感到无聊从攻击中获得快感¾¾攻击者感到无聊,从攻击中获得快感攻击者感到无聊,从攻击中获得快感贪婪贪婪¾¾窃取机密信息以获得经济报酬窃取机密信息以获得经济报酬扬名扬名¾¾使用攻击来证明自己的技术、能力,并赢得他人的赞赏和认可使用攻击来证明自己的技术、能力,并赢得他人的赞赏和认可报复报复¾¾具有报复心理的攻击者,可能是被解雇、降职等的员工,用此手段发泄自具有报复心理的攻击者,可能是被解雇、降职等的员工,用此手段发泄自己的不满己的不满无知无知¾¾缺少计算机或网络知识,无意中导致信息的丢失、损坏或执行非法操作缺少计算机或网络知识,无意中导致信息的丢失、损坏或执行非法操作¾¾缺少计算机或网络知识,无意中导致信息的丢失、损坏或执行非法操作缺少计算机或网络知识,无意中导致信息的丢失、损坏或执行非法操作攻击的阶段攻击的阶段网络攻击通常可以分为网络攻击通常可以分为33个阶段个阶段¾¾寻找攻击目标寻找攻击目标¾¾攻击前的侦察攻击前的侦察¾¾正式攻击正式攻击攻击的分类攻击的分类网络攻击大致可以分为如下类别网络攻击大致可以分为如下类别¾¾勘测攻击勘测攻击Ì探测与扫描Ì拨号式扫描Ì拨号式扫描Ì嗅探攻击¾¾操纵攻击操纵攻击Ì网络操纵攻击Ì应用程序操纵攻击—缓冲区溢出¾¾欺骗攻击欺骗攻击¾¾欺骗攻击欺骗攻击ÌMAC欺骗ÌIP欺骗ÌTCP/UDP欺骗ÌTCP/UDP欺骗Ì身份欺骗Ì设备欺骗攻击的分类(续)攻击的分类(续)¾¾DoS&DDoSDoS&DDoS攻击攻击ÌSfÌSmurfÌTCPSYNFloodÌPingofDeathÌWinNukeÌLand.cÌFragFloodÌ………¾¾重定向攻击重定向攻击ÌL2重定向ÌL2重定向ÌIP重定向¾¾混合型攻击混合型攻击ÌManInTheMiddle(中间人攻击)Ì病毒、蠕虫、特洛伊木马攻击的结果攻击的结果网络攻击之后通常会产生如下攻击结果网络攻击之后通常会产生如下攻击结果¾¾信息泄露信息泄露Ì信息在未授权的情况下被无权获得或查看的人所获取¾¾信息损坏信息损坏Ì信息被改动或删除Ì信息被改动或删除¾¾拒绝服务拒绝服务Ì主机或网络设备收到攻击后,无可用资源提供正常的服务或降低服务质量服务质量¾¾特权提升特权提升Ì用户权限在未授权的情况下增大课程议题课程议题网络安全策略网络安全策略网络安全策略网络安全策略什么是安全策略什么是安全策略安全策略的定义安全策略的定义¾¾RFC2196RFC2196:安全策略赋予了组织:安全策略赋予了组织机构技术和信息资产使用权的人机构技术和信息资产使用权的人员必须遵守的准则的正确陈述员必须遵守的准则的正确陈述安全策略的目的安全策略的目的¾¾指导技术团队选择设备指导技术团队选择设备¾¾指导技术团队配置设备指导技术团队配置设备¾¾定义资产以及其使用方法定义资产以及其使用方法¾¾定义允许和不被允许的行为定义允许和不被允许的行为¾¾定义用户和管理员的职责定义用户和管理员的职责¾¾定义违反策略的结果定义违反策略的结果¾¾定义对威胁的响应和控制方法定义对威胁的响应和控制方法什么是安全策略(续)什么是安全策略(续)安全策略的内容安全策略的内容¾¾可使用的资产可使用的资产¾¾工作站与服务器的配置策略工作站与服务器的配置策略¾¾网络设备策略网络设备策略¾¾补丁管理策略补丁管理策略¾¾用户账户策略用户账户策略¾¾园区访问策略园区访问策略¾¾远程访问策略远程访问策略¾¾InternetInternet访问策略访问策略¾¾………………安全策略的实施安全策略的实施为了安全策略正确、有效的实施,安全策略需遵守以为了安全策略正确、有效的实施,安全策略需遵守以下准则下准则¾¾管理者必须支持管理者必须支持¾¾管理者必须支持管理者必须支持¾¾必须具有一致性必须具有一致性¾¾技术上是可行的技术上是可行的技术上是可行的技术上是可行的¾¾不应是技术性文档不应是技术性文档¾¾在整个网络内全面实施,广泛分发在整个网络内全面实施,广泛分发¾¾清晰的定义角色和职责清晰的定义角色和职责¾¾具有灵活性,以应付技术和企业目标的改变具有灵活性,以应付技术和企业目标的改变¾¾必须规定违反规则的处罚措施必须规定违反规则的处罚措施实施安全性面临的问题实施安全性面临的问题安全性与业务需求间的平衡安全性与业务需求间的平衡安全性与业务需求间的平衡安全性与业务需求间的平衡安全性与性能间的平衡安全性与性能间的平衡安全性与经济承受能力间的平衡安全性与经济承受能力间的平衡安全性与复杂性间的平衡安全性与复杂性间的平衡安全性与复杂性间的平衡安全性与复杂性间的平衡设备安全状态设备安全状态课程议题课程议题网络安全技术概览网络安全技术概览网络安全技术概览网络安全技术概览身份验证技术身份验证技术身份验证技术身份验证技术身份验证技术身份验证技术¾¾可重用密码可重用密码¾¾RADIUSRADIUS¾¾密文密码密文密码¾¾OTPOTP次性密码次性密码¾¾OTPOTP——一次性密码一次性密码¾¾PKIPKI证书证书¾¾智能卡智能卡¾¾智能卡智能卡¾¾生物特征识别生物特征识别网络防火墙网络防火墙网络防火墙网络防火墙网络防火墙网络防火墙¾¾无状态包过滤防火墙无状态包过滤防火墙Ì静态的检查L3/L4信息Ì静态的检查L3/L4信息¾¾状态防火墙状态防火墙Ì跟踪会话连接的状态¾¾地址转换防火墙地址转换防火墙Ì将真实地址进行隐藏¾¾应网关防火墙应网关防火墙¾¾应用网关防火墙应用网关防火墙Ì在L7进行访问控制内容过滤内容过滤内容过滤内容过滤内容过滤内容过滤¾¾代理服务器代理服务器Ì终结所有到代理服务器的连接并Ì终结所有到代理服务器的连接,并代替客户端重新初始化连接¾¾WebWeb过滤过滤ÌURL过滤和Web流量中的恶意代码¾¾邮件过滤邮件过滤Ì邮件地址过滤和邮件内容中的恶意Ì邮件地址过滤和邮件内容中的恶意代码网络入侵检测系统网络入侵检测系统网络入侵检测系统网络入侵检测系统¾¾基于异常的基于异常的NIDSNIDS¾¾基于异常的基于异常的NIDSNIDSÌ定义正常行为,记录异常行为Ì难于定义正常的行为¾¾基于特征的基于特征的NIDSNIDSÌ预先建立攻击特征(签名),根据签名对流量进行匹配Ì检测攻击的能力依赖与签名的数目及精确度数据加密技术数据加密技术数据加密技术数据加密技术数据加密技术数据加密技术¾¾链路层加密(链路层加密(L2L2加密)加密)ÌWEP(WiredEquivalentPrivacy)ÌWEP(WiredEquivalentPrivacy)、MPPE(MicrosoftPoint-to-PointEncryption)¾¾网络层加密(网络层加密(L3L3加密)加密)¾¾网络层加密(网络层加密(L3L3加密)加密)ÌIPsec¾¾应用层加密(应用层加密(L5~L7L5~L7加密)加密)ÌSSL、SSH¾¾文件系统加密文件系统加密ÌMiftEFS(EtiFilÌMicrosoftEFS(EncryptingFileSystem)主机安全技术主机安全技术主机安全技术主机安全技术主机安全技术主机安全技术¾¾主机防火墙主机防火墙主机检测主机检测¾¾主机入侵检测系统主机入侵检测系统¾¾主机反病毒主机反病毒¾¾主机文件系统完成性校验主机文件系统完成性校验¾¾主机文件系统完成性校验主机文件系统完成性校验¾¾操作系统补丁操作系统补丁课程回顾课程回顾网络安全的概念网络安全的概念网络安全威胁网络安全威胁网络安全威胁网络安全威胁网络安全策略网络安全策略网络安全技术网络安全技术网络安全是一个方法、一个系统、一个过程。网络安全是一个方法、一个系统、一个过程。