《CISM培训课件》――网络安全

网络安全中国信息安全测评中心课程内容2网络安全技术网络安全基础常见网络安全设备虚拟专用网PKI体系知识体：网络安全技术知识域：网络安全基础了解网络安全基本概念；了解如何构建安全的网络；3网络安全基本概念网络安全要解决什么问题保密性完整性可用性怎么解决IATF:人操作技术信息系统安全保障模型:管理、工程、人、技术4网络面临的安全威胁物理安全威胁自然灾害：火灾、水浸、雷击、地震、……设备问题：电力故障、电磁泄漏、……人为破坏：爆炸、盗窃……网络攻击威胁设计缺陷：协议设计缺陷、协议实现缺陷网络攻击：欺骗、拒绝服务、嗅探等人为错误误操作收买5构建安全的网络系统安全的物理环境合理的网络规划正确配置的网络安全设备完善的网络安全管理6安全的物理环境机房位置选址地下、一楼、顶楼、其他楼层等基础支撑设备电力、防火、防水、防雷击、防尘、抗干扰等安保门禁、摄像头、保安员等7合理的网络规划网络结构星型、环形、总线型、网状等网络安全域划分把大规模负责系统安全问题化解为更小区域的安全保护问题IP地址规划提高运行效率、性能及可管理性VLAN规划控制网络的广播风暴提高网络安全性及简化网络管理8正确配置的网络安全设备网络安全设备部署边界网络安全设备（防火墙、流量管理、网闸等）旁路网络安全设备（IDS、审计、网络分析等）管理型网络安全设备（SOC、准入控制等）网络安全设备策略配置先紧后松，不是明确允许的就是禁止设备自身安全设备日志保护9完善的网络安全管理管理目标管理制度组织架构人员职责10知识体：网络安全技术知识域：常见网络安全设备理解防火墙系统的基本原理和应用；理解入侵检测系统的基本原理和应用；11防火墙技术防火墙的基本概念防火墙实现技术防火墙的工作模式防火墙典型部署12防火墙基本概念什么是防火墙一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙部署在哪可信网络与不可信网络之间不同安全级别网络之间两个需要隔离的区域之间Internet防火墙13为什么需要防火墙控制：在网络连接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息防火墙基本概念14安全网域一防火墙基本概念防火墙的分类按防火墙形态•硬件防火墙•软件防火墙按体系结构分•双宿/多宿主机防火墙•屏蔽主机防火墙•屏蔽子网防火墙•混合结构其他分类方法15防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术16防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型17安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明，用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层，不能识别应用层协议或维持连接状态安全性薄弱，不能防止IP欺骗等18防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理19防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容20防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的“put”命令21防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳22防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题23防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换24202.2.2.2安全网域一202.2.2.100192.168.1.1192.168.1.3025NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层26防火墙实现技术--状态检测状态检测技术的特点安全性高，可根据通信和应用程序状态确定是否允许包的通行性能高，在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明27防火墙实现技术-自适应代理技术特点根据用户定义安全规则动态“适应”传输中的分组流量•高安全要求：在应用层进行检查•明确会话安全细则：链路层数据包转发兼有高安全性和高效率28防火墙技术--防火墙的工作模式路由模式透明模式混合模式29防火墙的工作模式-路由模式内部网络192.168.1.0/24GW:192.168.1.254外部网络202.101.10.0/24GW:202.101.10.1防火墙InternetIntranet202.101.10.1/24192.168.1.254/2430防火墙的工作模式-透明模式31内部网络192.168.1.0/24GW:192.168.1.254外部网络路由器InternetIntranet192.168.1.254/24防火墙的工作模式-混合模式32内部网络192.168.1.0/24192.168.1.254外部网络202.101.10.0/24GW:202.101.10.1防火墙InternetIntranetIntranet内部网络192.168.1.100/24GW:192.168.1.253路由模式透明模式防火墙的典型部署区域划分：可信网络、不可信网络、DMZ区33可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防护墙的策略设置没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略34防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求35可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定36可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的不足和局限性无法发现和阻止对合法服务的攻击；无法发现和阻止源自其它入口的攻击；无法发现和阻止来自内部网络的攻击；无法发现和阻止应用层的攻击；防火墙本身也会出现问题和受到攻击。37入侵检测技术38入侵检测的基本概念入侵检测实现技术入侵检测的典型部署什么是入侵检测系统？39什么是入侵检测系统一种通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的设备入侵检测系统部署在哪数据流入流出点关键位置入侵检测系统的价值及作用为什么需要入侵检测系统防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统能做什么检测对网络和系统的攻击行为对攻击行为作出响应40入侵检测系统的分类按入侵检测形态硬件入侵检测软件入侵检测按目标系统的类型网络入侵检测主机入侵检测按系统结构集中式分布式41主机入侵检测系统什么是主机入侵检测运行在被检测主机上，通过对主机数据包和主机上的系统调研、资源使用状态进行分析，发现可能的入侵通常是软件形式42主机入侵检测系统优点运行在被检测的主机上，不仅能检测主机网卡上的数据流，还可以分析主机日志、检测系统调用等主机内部活动能精确地判断攻击行为是否成功监控主机上特定用户活动、系统运行情况HIDS能够检测到NIDS无法检测的攻击适用加密环境43主机入侵检测系统不足无法检测到网络中的其他数据流需要消耗主机资源，影响主机性能安全性受宿主操作系统限制数据源受系统审计功能限制针对不同的操作系统需要单独开发维护/升级不方便44网络入侵检测系统部署在核心网络或重要网络位置对通信数据的侦听采集数据，分析可疑现象通常是硬件形式45网络入侵检测系统优势实时分析网络数据，检测网络系统的非法行为；网络IDS系统单独架设，不占用其它计算机系统的任何资源；网络IDS系统是一个独立的网络设备，不提供对外服务，因此其本身的安全性高；通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。不会增加网络中主机的负担46网络入侵检测系统的不足不适合交换环境和高速环境不能处理加密数据资源及处理能力局限无法分析攻击是否成功47入侵检测的实现技术关键技术数据采集技术数据检测技术外围技术联动日志分析事件合并过滤漏洞机理研究……48数据采集技术嗅探技术交换环境下的数据采集镜像口•1对1镜像•多对1镜像491234复制一份将端口4镜像到端口1数据检测技术误用检测技术建立入侵行为模型(攻击特征)；假设可以识别和表示所有可能的特征；基于系统和基于用户的误用；异常检测技术设定“正常”的行为模式；假设所有的入侵行为是异常的；基于系统和基于用户的异常；50误用检测51优点准确率高；算法简单。关键问题有所有的攻击特征，建立完备的特征库；特征库要不断更新；无法检测新的入侵。异常检测52误报率、漏报率较高优点可检测未知攻击自适应、自学习能力关键问题“正常”行为特征的选择统计算法、统计点的选择入侵检测系统的典型部署53可信网络不可信的网络防火墙InternetIntranet旁路的方式接入部署位置防火墙外核心交换机关键位置HIDSNIDSNIDSNIDS部署中需注意的问题54入侵检测需要发挥效果，需要大量管理机制作为后盾攻击特征库决定入侵检测系统对入侵行为的发现能力事件分析器优化非常重要，确保能够准确快速的产生相关警告信息（避免重复报警、漏报等）入侵检测的选择结构分布式、集中式通讯方式（加密、不加密）……探头检测能力事件通知自身安全……55控制中心策略设置灵活检测库更新自定义事件查询报表综合分析能力易用性……其他网络安全设备56整合型边界安全防护设备入侵防御系统（IPS）统一威胁管理系统（UTM）边界防病毒网关等数据交换管理设备安全隔离与信息交换系统（网闸）流量管理、上网行为管理安全管理设备安全管理平台（Soc）网络准入控制（NAC）……知识体：网络安全技术知识域：PKI体系了解密码学基本概念及知识；了解PKI体系的构成及应用。57什么是密码学密码学研究什么密码编码学——主要研究对信息进行编码，实现对信息的隐蔽、完整性验证等密码分析学——主要研究加密信息的破译或信息的伪造密码学在信息安全中的地位信息安全的重要基础技术58密码学发展古典密码学（1949年之前）1949年之前，密码学是一门艺术主要特点：数据的安全基于算法的保密近代密码学（1949～1975年）1949～1975年，密码学成为科学主要特点：数据的安全基于密钥而不是算法的保密