搜索
第一部分信息安全概念与分析连云港康达智连云港康达智信息安全基本概念连云港康达智为何要实现安全?1、保护企业现在的资产免遭破坏2、保证企业的生产力连云港康达智安全研究层次应用安全系统安全网络安全安全协议安全的密码算法连云港康达智安全的侧重点谈到信息安全时我们通常有三个主要的侧重点:网络安全,通常指的是我们的计算机所处的网络环境的安全问题系统安全,指我们的每台计算机系统自身的安全问题操作安全,指计算机使用者自身的安全意识问题连云港康达智网络架构与具体安全着力点连云港康达智攻击分析连云港康达智攻击者分析连云港康达智常见的攻击过程连云港康达智黑客攻击的原因什么是黑客?对于计算机而言,黑客就是精通网络、系统以及软硬件技术的人。连云港康达智常见的攻击手段第二部分网络安全实现连云港康达智连云港康达智安全实现概述连云港康达智攻击应对方案连云港康达智进行弱弱点分析连云港康达智安全实施清单网络边界防火墙病毒防火墙网络设备安全强化物理安全设施和社会工程安全措施可移动设备管理无线设备管理操作系统安全强化主机防火墙防病毒软件数据保护连云港康达智实现深度防御连云港康达智理解物理安全和社会工程安全连云港康达智物理安全概念物理安全是指通过一些物理防护手段,也就是非IT技术手段来确保信息安全的方法,通常包括以下几个方便:•1、物理访问控制•2、防盗窃、防破坏•3、防火、放水、防潮•4、防雷击•5、温湿度控制•6、电力系统连云港康达智社会工程学概念社会工程学是一种黑客攻击方法,通常是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等攻击手段,获取情报连云港康达智社会工程安全考虑连云港康达智物理安全考虑•禁用非必要PC的光驱、USB接口•限制非公司人员使用公司局域网•在机要部门安装门锁连云港康达智理解防火墙连云港康达智何为网络防火墙?•将内部的网络与外部的不安全网络进行隔离•通过定义规则有限制的开放内部向外部网络的数据包流动•通过定义规则有限制的开放外部访问内部的数据包•通过定义DMZ更有限的进行安全防护•检测有害数据包并将其阻止•进行日志记录和统计连云港康达智何为DMZ?DMZ是在内部和外部网络之间的一个缓存区连云港康达智防火墙技术通常防火墙使用三个技术:•包过滤•状态过滤•应用层过滤连云港康达智包过滤连云港康达智状态过滤连云港康达智应用层过滤连云港康达智配置访问规则连云港康达智监控防火墙和日志分析•监控会话•启用日志记录•日志记录的统计和分析连云港康达智理解反恶意代码连云港康达智恶意代码概述代码是指计算机程序的代码,可以被执行完成特定的功能。任何事物都有正反两面,人类发明的工具既可以造福也可作孽,这完全取决于使用工具的人。计算机程序也不例外,软件工程师编写了大量的软件(操作系统,应用程序和数据库系统等)的同时,黑客们在编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码(Maliciouscodes)。连云港康达智恶意代码类型在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。恶意代码主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(TrojanHorse)、后门程序(Backdoor)、逻辑炸弹(LoginBomb)等等。与此同时,恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受巨大的经济损失,而且使国家的安全面临着严重威胁。连云港康达智网络蠕虫的定义网络蠕虫是一种智能化、自动化的计算机程序,综合了网络攻击、密码学和计算机病毒等技术,是一种无需计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点。蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性特征,网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。连云港康达智恶意代码的攻击机制恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为5个部分:①侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘、U盘等存储设备往系统上安装软件;黑客或攻击者故意将恶意代码植入系统等。②维持或提升现有权限。恶意代码的传播与破坏必须盗用用户或者进程的合法权限。③隐蔽策略。为了不让系统发现恶意代码已经入侵系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。④潜伏。恶意代码侵入系统后,等待一定的条件,并且有足够的权限时进行破坏活动。⑤破坏。恶意代码是本质具有破坏性,其目的是造成信息丢失、泄密、破坏系统等。连云港康达智恶意代码防范方法•首先应当从源头上尽可能的减少恶意代码的入侵,主要的措施有:对网页进行分析和预警,安装反病毒软件,对垃圾邮件进行过滤,防火墙过滤,限制及安全使用U盘•其次在主机上安装防病毒软件,并及时更新数据库•最后应当强化操作系统,并做好备份。连云港康达智建立攻击反应计划连云港康达智何为攻击反应计划攻击反应计划包括:•通过监控及时发现攻击行为•进行及时的应急处理•通过备份恢复系统功能与数据•通过日志的分析寻找攻击源和攻击方式•通过蜜罐技术误导攻击•寻求法律手段连云港康达智理解网络设备强化连云港康达智何为网络设备强化由于网络是通过网络设备和计算器通过线路的互联构成的,因此可以启动网络设备的隔离功能强化网络的安全保护,特别是针对内部的攻击。设备强化主要针对路由器和交换机。连云港康达智了解网络架构的模型连云港康达智交换机的工作过程地址学习转发/过滤判断二层环路连云港康达智通过交换机实现隔离可以通过交换机上启动的端口安全和VLAN技术实现安全隔离。连云港康达智通过路由器实现隔离可以通过路由器上定义规则实现计算机间的通信隔离,从而提高安全性。比如只让财务部门的员工能够访问财务数据库服务器,别的部门的员工被禁止。连云港康达智基础示例连云港康达智理解无线通信安全连云港康达智无线网络访问概述连云港康达智无线通讯协议IEEE802.11家族802.11a54Mbit/s5GHz802.11b11Mbit/s2.4GHz802.11n475Mbit/s802.11ac1Gbit/s5GHz连云港康达智无线安全协议WIDS/WIPS(无线入侵防御系统,WirelessIntrusionPreventionSystem)WEP(有线等效保密协议,WiredEquivalentPrivacy)WPA(WIFI安全访问协议,Wi-FiProtectedAccess)WAPI(无线局域网鉴别和保密基础结构,WirelessLANAuthenticationandPrivacyInfrastructure)连云港康达智理解数据保护连云港康达智数据保护概念数据保护指的是针对文件系统中存储的数据,以及通过网络传递的数据包的内容进行保护,确保其无法被非法窃取和篡改的技术数据保护的意义很明显是为了降低组织的敏感数据被泄露或者破坏的风险数据保护技术是使用数学上的算法(函数)和密钥(因子)通过计算过程实现的它的两个典型技术是加密和数字签名连云港康达智密码长度算法和密钥的复杂程度共通决定保护的级别连云港康达智对称密钥与非对称密钥连云港康达智数字签名连云港康达智IPSec在网络中的地位IPSec是由IETF主持的标准的网络安全通讯协议,它可以确保在源与目的地进行通讯的网络链路上数据以安全的方式传输,同时能确保源与目的地的合法身份,以及保证数据在传输过程中没有经过篡改。IPSec当今在VPN环境中被广泛应用。IPSec能够解决的网络安全问题包括:网络监视,中间人,身份仿冒,地址欺骗,数据篡改。第三部分操作系统安全设计与实现连云港康达智连云港康达智操作系统安全连云港康达智常用操作系统概述目前服务器常用的操作系统有三类:•Unix•Linux•Windows这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。连云港康达智UNIXUNXI操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要包括5个方面。a)可靠性高b)极强的伸缩性c)网络功能强d)强大的数据库支持功能e)开放性好连云港康达智Linux典型的优点a)完全免费b)完全兼容POSIX1.0标准c)多用户、多任务d)良好的界面e)丰富的网络功能f)可靠的安全、稳定性能g)支持多种平台连云港康达智Windows系统Windows分为桌面操作系统和服务器操作系统,分别适用于个人用户和企业用户Windows操作系统的特点是易于使用,功能全面,与微软公司的其他应用程序产品无缝集成,是现今世界上使用者最多的一种操作系统。连云港康达智操作系统安全体系谈到操作系统安全时我们通常有几个需求:确保操作系统自身的稳定正常确保只有合法的用户能够进入系统进入系统的用户只能做被允许的操作安全敏感的数据无法被非法窃取连云港康达智操作系统自身安全设计为了使用户更愿意使用自己的产品,提供操作系统的软件开发商们都默认在他们生产的系统中提供了一些安全技术,通常这些技术包括:身份验证授权加密策略或者规则主机防火墙审核连云港康达智身份验证与账户系统账户系统是操作系统中重要的子系统,它主要对被管理的主体进行映射。在日常的计算机管理环境中,常见的主体是用户和计算机,为了在操作系统中对用户进行区分管理,将其映射为用户账户。这两种账户用来实现身份证,权限和策略控制连云港康达智为什么使用用户账户我想控制什么样的人才能访问某些文件。(IT主管)将用户账户和相应文件的权限关联在一起实现控制访问我想提高公司网络的安全性。(IT主管)用户在登录时必须提供在公司的网络中合法的账户与相关口令在计算机应用环境中通过账户映射“人”这种实体,并将其和相关应用关联起来连云港康达智账户攻击连云港康达智何为资源访问控制?网络的实际作用在于能够让用户更方便更快捷的在很大的范围内共享数据,但这是否就意味着每个人都能够或者应该是自由的访问任何一台另外计算机上的文件呢答案在于用户可以去访问别人计算机上的文件,但前提是确保安全性与合法性所谓资源访问控制就是利用权限来控制哪些人可以访问资源,访问的级别又有多高可以利用共享权限控制远程访问权限,通过文件系统权限控制本地访问权限连云港康达智何为权限?权限用来定义合法的访问者在系统中做哪些操作是合法的。权限一般也分为多个层次,有本地权限,也有远程权限连云港康达智何为审核?审核和日志是操作系统中的一种跟踪技术,它可帮助管理员了解到如下的一些内部活动的相关信息•通过审核我们及时发现系统中出现的一些安全问题,从而及时的进行反应,进而配置防御性措施•我们也可以利用审核信息作为证据,威慑攻击者连云港康达智关闭不必要的服务通过系统中的管理工具将一些我们所不需要的功能进行关闭,或者修改默认端口号防止监听。连云港康达智应用程序安全连云港康达智应用程序安全确保企业关键的应用程序服务器不易遭受到攻击确保应用程序本身的稳定运行•安装经测试的反病毒和反木马软件•定期进行应用程序的更新第四部分安全设计和安全评估连云港康达智连云港康达智安全设计连云港康达智安全设计与实现设计•确保网络安全的方案是预见性的而不是被动的•包含策略和过程•包括了对操作系统,数据,账户,中立区,路由器,连接,计算机,移动设置,技术设施,操作者的安全规划实现•通过所设计的安全方案进行环境配置额外考虑•实现更高级别的安全并不总是带来好处意味着更高的投资连云港康达智网络安全方案的框架总体上说,一份安全解决方案框架涉及6大方面,可以根据实际需求取舍①概要安全风险分析②实际安全风险分析③网络系统的安全原则④安全产品⑤风险评估⑥安全服务连云港康达智安全评估连云港康达智安全准则只要企业的网络连接到Internet,一定要配置边