网络安全知识培训

2020/3/131清纯网络安心畅游2020/3/132江锐手机：13723827733QQ:43069179Mail：zui_cat@163.comMSN:zui_cat@hotmail.com电话：86-0734-81264802020/3/133内容1.网络安全知识/常识2.网络漏洞和网络攻击技术介绍3.网络安全防御技术－产品4.网络安全策略-网络安全服务2020/3/134一、网络安全知识/常识1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险2020/3/135网络安全的兴起•Internet技术迅猛发展和普及•有组织、有目的地网络攻击－Hacker出现•企业内部安全隐患•有限的安全资源和管理专家2020/3/136复杂程度Internet技术的迅猛发展和普及-网络应用InternetEmailWeb浏览Intranet电子商务电子政务电子交易时间2020/3/137黑客（Hacker）的分类•偶然的破坏者•坚定的破坏者•间谍2020/3/138案例:电影《黑客帝国》•黑客方：尼奥（病毒、木马）反黑客方：史密斯（防火墙、杀毒软件）2020/3/139•全球超过26万个黑客站点提供系统漏洞和攻击知识•越来越多的容易使用的攻击软件的出现•国内法律制裁打击力度不够网络的普及使学习黑客技术变得异常简单2020/3/1310网络安全的目的•保护信息的安全•保护信息交互、传输的安全•保护信息系统的正常运行2020/3/1311进不来拿不走改不了跑不了看不懂信息安全的目的可审查2020/3/1312•财政损失•知识产权损失•时间消耗•由错误使用导致的生产力消耗•责任感下降•内部争执网络攻击后果可见的网络攻击影响利润攻击发生(财政影响)Q1Q2Q3Q42020/3/1313•安全需求和实际操作脱离•内部的安全隐患•动态的网络环境•有限的防御策略•安全策略和实际执行之间的巨大差异•用户对安全产品的依赖和理解误差网络安全风险2020/3/1314二、网络漏洞和网络攻击技术介绍1.网络中的漏洞2.网络攻击技术2020/3/1315网络通讯层漏洞•超过1000个TCP/IP服务安全漏洞:–Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.•错误的路由配置•TCP/IP中不健全的安全连接检查机制•缺省路由帐户•反向服务攻击•隐蔽Modem2020/3/1316针对网络通讯层的攻击通讯&服务层•TCP/IP•IPX•X.25•Ethernet•FDDI•RouterConfigurations•Hubs/SwitchesDMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继调制解调器2020/3/1317操作系统的安全隐患•1000个以上的商用操作系统安全漏洞•没有及时添加安全补丁•病毒程序的传播•文件/用户权限设置错误•默认安装的不安全设置•缺省用户的权限和密码口令•用户设置过于简单密码使用•特洛依木马2020/3/1318DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对操作系统的攻击操作系统•UNIX•Windows•Linux•Freebsd•Macintosh•Novell2020/3/1319应用程序服务的安全漏洞•Web服务器:–错误的Web目录结构–CGI脚本缺陷–Web服务器应用程序缺陷–私人Web站点–未索引的Web页•数据库:–危险的数据库读取删除操作,缓冲区溢出•路由器:–源端口/源路由•其他应用程序:–Oracle,SAP,Peoplesoft缺省帐户–有缺陷的浏览器2020/3/1320DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对应用服务的攻击应用服务程序•Web服务器•数据库系统•内部办公系统•网络浏览器•ERP系统•办公文件程序•FTPSMTPPOP3SAPR/3Oracle2020/3/1321总结•通迅层漏洞(TCP/IP协议)•操作系统漏洞•应用程序漏洞•非法授权访问•欺骗类攻击•拒绝服务攻击•利用病毒的攻击•木马程序攻击•入侵系统类攻击•后门攻击•缓冲区溢出攻击•暴力破解•字典程序2020/3/1322三、网络安全防御技术－产品1.防火墙2.防病毒3.VPN4.入侵检测5.网络扫描器（Scanner）6.加密7.数字证书2020/3/1323防火墙综述防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。晓通分支名称InternetFileServerClientMailServerClientClientClientFTPServer防火墙2020/3/1324•防火墙可以是软件、硬件和软硬件结合的•发展历经四代：简单包过滤、应用代理、状态检测（状态包过滤）防火墙、复合型防火墙防火墙综述2020/3/1325硬件防火墙软硬件结合防火墙软件防火墙用专用芯片处理数据包，CPU只作管理之用。使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。高带宽，高吞吐量，真正线速防火墙。即实际带宽与理论值可以达到一致.安全与速度同时兼顾。没有用户限制。性价比高。管理简单，快捷，具有良好的总体拥有成本。机箱+CPU+防火墙软件集成于一体（PCBOX结构），市面上大部分声称“硬件”防火墙的产品都采用这种结构。采用专用或通用操作系统。核心技术仍然为软件，容易形成网络带宽瓶颈。只能满足中低带宽要求，吞吐量不高。通常带宽只能达到理论值的20%--70%。中低流量时可满足一定的安全要求，在高流量环境下会造成堵塞甚至系统崩溃。性价比不高。管理比较方便。运行在通用操作系统上的能安全控制存取访问的软件，性能依靠于计算机CPU,内存等。基于众所周知的通用操作系统（如WinNT,SUNSolaris,SCOUNIX等），对底层操作系统的安全依赖性很高。由于操作系统平台的限制，极易造成网络带宽瓶颈。因此，实际所能达到的带宽通常只有理论值的20%--70%。可以满足低带宽低流量环境下的安全需要，高速环境下容易造成系统崩溃。有用户限制，一般需要按用户数购买，性价比较低。管理复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护。防火墙发展概述2020/3/1326防火墙功能IP包检测Internet内容过滤网络地址转换(NAT)攻击检测日志审计/报警应用层控制用户认证管理控制网络内容行为（NEW!）2020/3/1327防病毒知识介绍什么是病毒从广义上定义，凡能够引起计算机故障，自动破坏计算机数据的程序统称为计算机病毒。计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2020/3/1328病毒特征及目前流行病毒破坏性自动复制自动传播红色代码红色代码II尼姆达-Nimuda求职信2020/3/1329网关防病毒产品特点及适用平台•产品特点–企业Internet网关入口处针对FTP,HTTP,SMTP高效能的三合一防毒软件–全球查杀技术，大大提升杀毒效能–利用在网关入口处对病毒拦截的功能,降低了企业的防毒成本，提高了扫毒效率–具有完整的实时监控功能•适用平台WindowsNT、UNIX(Solaris、HP-UX)、Linux等2020/3/1330网关防病毒DisparatesystemsIDSHackerInternet2020/3/1331VPN的基本技术Internet2020/3/1332VPN(VirtualPrivateNetwork)它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。远程访问Internet内部网分支机构虚拟私有网合作伙伴2020/3/1333VPN最大优势----投资回报•大幅度减少电信服务费用，尤其针对地域上分散的公司和企业•针对远程拨号上网访问的用户，省去了每个月的电信费用到2002年，按企业/组织规模大小，实施VPN比例将达到：57%----大型企业55%----中心企业51%----小型企业来源:InfoneticsResearch2020/3/1334数据机密性保护数据完整性保护数据源身份认证VPN作用2020/3/1335实时入侵监控器是网络上实时的入侵检测、报警、响应和防范系统。将基于网络的和基于主机的入侵检测技术，分布式技术和可生存技术完美地结合起来，提供实时的安全监控。监控系统事件和传输的网络数据，并对可疑的行为进行自动监测和安全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用，从而最大程度地降低安全风险，保护企业网络的系统安全。口令??????实时入侵检测系统2020/3/1336网络安全评估系统对网络设备进行自动的安全漏洞检测和分析，并且在执行过程中支持基于策略的安全风险管理过程。另外，执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测，从而识别能被入侵者利用来非法进入网络的漏洞。Scanner将给出检测到的漏洞信息，包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息，并跟随开放的网络应用和迅速增长的网络规模而相应地改变。网络安全扫描系统2020/3/1337加密•用于将数据转换成保密代码在不可信的网络上传输加密算法“Thecowjumpedoverthemoon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文加密数据2020/3/1338对称密钥•加密和解密使用同一把密钥•比非对称密钥速度快•密钥管理工作量大•密钥传递容易泄密SharedSecretKey2020/3/1339非对称密钥•加密和解密采用不同密钥(一把公钥,一把私钥)•密钥分配简单•密钥保存量小，便于管理AlicePublicKeyEncryptAlicePrivateKeyDecryptBobAlice2020/3/1340数字证书和PublicKeyInfrastructure•数字证书:–包含了一个人的或一个实体的PublicKeys•允许安全地分发publickeys–IssignedbyaCertificateAuthority’sprivatekey•VerifiesidentitythroughtrustedthirdpartyMyCertificate:Name:BobOrganization:YISHANGPublicKey:lk393l430fksffj398sdf1f594ier933d34w435dCA:xxx.xxx.xxx.xxxandmore…2020/3/1341灵活的认证方式•共享的密钥–最简单的方式–两个站点通过电话或E-Mail方式共享密钥•PublicKeyInfrastructure–提供在较大规模下发布和管理Public/Private密钥的方法•InternetKeyExchange(IKE)–自动更有效地进行身份认证、协商算法及交换密钥2020/3/1342四、网络安全策略-网络安全服务•建立一个有效的安全策略–为你的系统分类–指定危险因数–确定每个系统的安全优先级–定义可接受和不可接受的活动–决定在安全问题上如何教育所有员工–确定谁管理你的政策2020/3/1343安全基本元素审计管理加密