网络安全基础知识培训-天融信课件

1、网络安全基础知识培训-天融信,网络安全基础知识,CISP 刘建威 电话邮件： 网址,网络安全基础知识培训-天融信,课程模块,Module 1: 网络安全概述 Module 2: 我们眼中的网络安全 Module 3: 网络安全技术产品及功能介绍,网络安全基础知识培训-天融信,Module 1: 网络安全概述,网络安全基础知识培训-天融信,什么是安全,安全 一种能够识别和消除不安全因素的能力 安全是一个持续的过程 网络安全是网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断,网络安全基础

2、知识培训-天融信,一) 非授权访问 没有经过同意，就使用网络或计算机资源。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。 2. 或擅自扩大权限，越权访问信息。 形式: 假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等,安全威胁,网络安全基础知识培训-天融信,二) 信息泄露 敏感数据在有意或无意中被泄漏出去。信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。） 2. 信息在存储介质中丢失或泄漏。 通过建立隐蔽通道等窃取敏感信息等,安全威胁,网络安全基础知识培训-天融信

3、,三)破坏数据完整性 以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应； 恶意添加，修改数据，以干扰用户的正常使用,安全威胁,网络安全基础知识培训-天融信,四) 拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作业流程。 执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务,安全威胁,网络安全基础知识培训-天融信,五) 利用网络传播病毒 通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。 六) 假冒 假冒合法身份破坏正常工作。 七)抵赖 否认接收过或发送过信息,

4、安全威胁,网络安全基础知识培训-天融信,为什么我们不能杜绝攻击事件的发生,日趋精密的攻击以及以INTERNET为基础的技术快速发展 符合的IT技术人员和资金的缺乏而不能获得更多的资源 没有对被保护的系统大量的充分的快速的部署,网络安全基础知识培训-天融信,没有绝对的安全,开放最少服务提供最小权限原则 安全需求平衡 过分繁杂的安全政策将导致比没有安全政策还要低效的安全。 需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全有效性,网络安全基础知识培训-天融信,建立一个有效的安全矩阵,安全距阵 一个安全矩

5、阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。 安全矩阵系统最主要的几个方面 允许访问控制 容易使用 合理的花费 灵活性和伸缩性 优秀的警报和报告,网络安全基础知识培训-天融信,保护资源,终端用户资源 The workstations used by employees 威胁 : Viruses,trojans, Active X,applet 网络资源 Routers,switches,wiring closets, telephony 威胁: IP spoofing,system snooping 服务器资源 DNS,WEB, Email, FTP

6、等服务器 威胁: Unauthorized entry, D.O.S, trojans 信息存储资源 Human resources and e-commerce databases 威胁: Obtaining trade secrets,customer data,网络安全基础知识培训-天融信,黑客的分类,偶然的破坏者 坚定的破坏者 间谍,网络安全基础知识培训-天融信,安全基本元素,审计,管理,加密,访问控制,用户验证,安全策略,网络安全基础知识培训-天融信,安全策略,建立一个有效的安全策略 为你的系统分类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上

7、如何教育所有员工 确定谁管理你的政策,网络安全基础知识培训-天融信,加密类型 1. 对称加密 2. 非对称加密 3. Hash加密,加密,网络安全基础知识培训-天融信,认证方法 1. 证明你知道什么 2. 出示你拥有的 3. 证明你是谁 4. 鉴别你在哪里,认证,网络安全基础知识培训-天融信,Kerberos Kerberos系统是美国麻省理工学院为Athena工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法 One-time passwords(OPT) 为了解决固定口令的诸多问题，安全专家提出了一次性口令的密码体制，以保护关键的计算资源,特殊的认证技术,网络安全基础知识培

8、训-天融信,访问控制列表 (ACL) 执行控制列表 (ECL,访问控制,网络安全基础知识培训-天融信,被动式审计 主动式审计 1. 结束一个登陆会话 2. 拒绝某些主机的访问 3. 跟踪非法活动的源位置,审计,网络安全基础知识培训-天融信,增加了复杂性 不得不培训用户如何使用你需要的安全机制 降低了系统响应时间 认证，审计和加密机制会降低系统性能,安全的权衡考虑和缺点,网络安全基础知识培训-天融信,网络安全问题增长趋势,Internet 技术飞速发展 有组织的网络攻击 企业内部安全隐患 有限的安全资源和管理专家,网络安全基础知识培训-天融信,财政损失 知识产权损失 时间消耗 由错误使用导致的生

9、产力消耗 责任感下降 内部争执,网络攻击后果,可见的网络攻击影响,利润,Q1 Q2 Q3 Q4,网络安全基础知识培训-天融信,网络安全风险,安全需求和实际操作脱离 内部的安全隐患 动态的网络环境 有限的防御策略 安全策略和实际执行之间的巨大差异,网络安全基础知识培训-天融信,针对网络通讯层的攻击,网络安全基础知识培训-天融信,通讯&服务层弱点,超过1000个TCP/IP服务安全漏洞: Sendmail, FTP, NFS, , Netbios, NIS, Telnet, Rlogin, 等. 错误的路由配置 TCP/IP中不健全的安全连接检查机制 缺省路由帐户 反向服务攻击 隐蔽 Modem,

10、网络安全基础知识培训-天融信,针对操作系统的攻击,网络安全基础知识培训-天融信,操作系统的安全隐患,1000个以上的商用操作系统安全漏洞 没有及时添加安全补丁 病毒程序的传播 文件/用户权限设置错误 默认安装的不安全设置 缺省用户的权限和密码口令 用户设置过于简单密码使用 特洛依木马,网络安全基础知识培训-天融信,针对应用服务的攻击,应用服务程序,Web服务器 数据库系统 内部办公系统 网络浏览器 ERP 系统 办公文件程序 POP3,Oracle,网络安全基础知识培训-天融信,应用程序服务的攻击弱点,Web 服务器: 错误的Web目录结构 CGI脚本缺陷 Web服务器应用程序缺陷 私人Web

11、站点 未索引的Web页 数据库: 危险的数据库读取删 除操作,路由器: 源端口/源路由 其他应用程序: Oracle, SAP, Peoplesoft 缺省帐户 有缺陷的浏览器,网络安全基础知识培训-天融信,额外的不安全因素,内部个体,内部/组织,网络安全基础知识培训-天融信,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现 国内法律制裁打击力度不够,网络安全基础知识培训-天融信,典型的攻击方式及安全规则,字典攻击和暴力破解法 BUG和后门 社会工程和非直接攻击,网络安全基础知识培训-天融信,字典攻击和暴力攻击,暴力程序攻击

12、所有能够可以被穷举的资源都可以成为暴力破解的目标 邮箱密码破解 流光4.7,网络安全基础知识培训-天融信,Bugs 和后门,缓冲区溢出 Buffer Overflow 后门 Root kits,网络安全基础知识培训-天融信,社会工程和非直接攻击,打电话请求密码 伪造电子邮件 拒绝服务攻击 To crash a server and make it unusable Masquerade the identity of the attacked system Viruses, bugs and service flaws,网络安全基础知识培训-天融信,八项安全实施建议,成为一个安全的偏执狂 完整

13、的安全策略 不要采取单独的系统或技术 部署公司范围的强制策略,网络安全基础知识培训-天融信,八项安全实施建议,提供培训 终端用户 管理员 经理 根据需要购置安全设备 识别安全的商业问题 考虑物理安全,网络安全基础知识培训-天融信,Module 2: 我们眼中的网络安全,网络安全基础知识培训-天融信,未知的安全间隙不容忽视,网络安全基础知识培训-天融信,部署安全保卫措施,防火墙的能力有限,安 全 隐 患,网络安全基础知识培训-天融信,尚不了解实际的危机,实际安全问题还有 很多,安 全 隐 患,网络安全基础知识培训-天融信,管理分析 & 实施策略,Modem,网络安全基础知识培训-天融信,进不来,

14、拿不走,改不了,跑不了,看不懂,信息安全的目的,可审查,网络安全基础知识培训-天融信,信 息 安 全 体 系,鉴 别,加 密,访 问 控 制,安 全 管 理,病 毒 防 范,数 字 签 名,链 路 加 密 机,IP 协 议 加 密 机,邮 件 加 密,文 件 加 密,防 火 墙,远 程 用 户 鉴 别 系 统,防 病 毒 软 件,防 病 毒 制 度,密 钥 管 理,网 络 监 视 审 计 系 统,信 息 检 查 系 统,代 理 服 务 器,远 程 用 户 鉴 别 系 统,网络安全基础知识培训-天融信,网络安全基础知识培训-天融信,国家信息安全保障体系框架,网络安全基础知识培训-天融信,1994

15、年，中华人民共和国计算机信息系统安全保护条例第二章安全保护制部分规定： “计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 计算机信息系统安全保护等级划分准则GB17859-1999（技术法规）规定： 国家对信息系统实行五级保护。 国家信息化领导小组关于加强信息安全保障工作的意见重点强调： 实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统,等级化保护的政策依据,网络安全基础知识培训-天融信,等级化标准渊源,网络安全基础知识培训-天融信,等级化衍生标准,网络安全基础知识培训-天融信,网络系统现状,潜在的安全风险,安全需求与目标,

16、安全体系,安全解决方案,分析后得出,提出,依照风险制定出,进行,安全集成 / 应用开发,安全服务,安全方案设计,建立相应的,网络安全整体设计流程,网络安全基础知识培训-天融信,VPN 虚拟专用网,防火墙,内容检测,防病毒,入侵检测,网络安全基础知识培训-天融信,Module 3: 安全技术产品及功能介绍,网络安全基础知识培训-天融信,需要的安全技术产品,CA安全身份认证体系 防火墙技术/VPN技术 防病毒体系 入侵检测技术 网络安全评估系统 安全备份和系统灾难恢复,网络安全基础知识培训-天融信,身份鉴别,基于口令、用户名的身份认 基于主体特征的身份认证：如指纹 基于IC卡+PIN号码的认证 基

17、于CA证书的身份认证 其他的认证方式,网络安全基础知识培训-天融信,基于口令、用户名的身份认证,Server,End user,Username=root Password=!#$ 发起访问请求,基于口令、用户名的简单身份鉴别,验证用户名与口令,回应访问请求，允许访问,验证通过,网络安全基础知识培训-天融信,基于主体特征的身份认证,Server,Workstation,传送特征信息 发起访问请求,基于主体特征的身份鉴别,验证用户特征信息,回应访问请求，允许访问,验证通过,指纹识别器,读取特征信息,获得特征信息,网络安全基础知识培训-天融信,基于IC卡+PIN号码的认证,Server,Works

18、tation,传送身份验证信息 发起访问请求,基于IC卡+PIN号码的身份鉴别,验证用户身份,回应访问请求，允许访问,验证通过,读卡器,输入PIN号码,插入IC卡,读取用户信息,获得用户信息,网络安全基础知识培训-天融信,基于CA证书的身份认证,基于CA证书的身份鉴别,CA中心,证书发布服务器,用户证书,服务器证书,开始数字证书的签名验证,开始数字证书的签名验证,开始安全通讯,网络安全基础知识培训-天融信,需要的安全技术产品,CA安全身份认证体系 防火墙技术/VPN技术 防病毒体系 入侵检测技术 网络安全评估系统 安全备份和系统灾难恢复,网络安全基础知识培训-天融信,VPN的基本技术,Inte

19、rnet,网络安全基础知识培训-天融信,开放互联网络的带来的安全风险,网络安全基础知识培训-天融信,VPN 最大优势 - 投资回报,大幅度减少电信服务费用，尤其针对地域上分散的公司和企业 针对远程拨号上网访问的用户，省去了每个月的电信费用 采用VPN, 公司/企业中当前使用的Modem Pool将永远退休,网络安全基础知识培训-天融信,安全的，统一的通信,移动用户,分支机构,网站,合作伙伴,VPN,网络安全基础知识培训-天融信,VPN(Virtual Private Network) 它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的

20、私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术,网络安全基础知识培训-天融信,数据机密性保护 数据完整性保护 数据源身份认证,VPN作用,网络安全基础知识培训-天融信,数据机密性保护,拨号服务器,PSTN,内部工作子网,下属机构,DDN/FR X.25专线,密文传输,明文传输,明文传输,网络安全基础知识培训-天融信,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,

21、与原摘要进行比较，验证数据的完整性,数据完整性保护,网络安全基础知识培训-天融信,数据源身份认证,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,DSS,解密,相等吗,验证通过,网络安全基础知识培训-天融信,远程访问 VPN,提供通过Internet访问公司网络内部资源的方法 降低了长途、大型Modem Pool和技术支持的费用,公司总部站点,Internet,远程或移动用户,网络安全基础知识

22、培训-天融信,端到端 VPN,利用Internet安全连接多个分支机构 减少对帧中继 和租用线路的依靠,公司总部站点,Internet,分支机构站点,网络安全基础知识培训-天融信,内部网 VPN,向商业合作伙伴提供对内部重要数据的访问 (销售信息、工具软件等等) 减少了事务处理和操作中的费用,公司总部站点,Internet,合作伙伴站点,网络安全基础知识培训-天融信,VPN的组成,加密 消息认证 实体认证 密钥管理,网络安全基础知识培训-天融信,Point-to-Point Tunneling Protocol,第二层隧道协议提供PPTP客户机和PPTP服务器之间的加密通信 Point-to-

23、Point Protocol (PPP)协议的扩展 允许封装多种协议：TCP/IP、IPX等 使用RSA公司的RC4加密方法，但不进行隧道验证 用户需要在客户端配置PPTP,Internet,Remote PPTP Client,ISP Remote Access Switch,PPTP RAS Server,Corporate Network,网络安全基础知识培训-天融信,Layer 2 Tunneling Protocol (L2TP,第二层 隧道协议 结合并扩展了 PPTP和L2F (Cisco supported protocol) 对隧道进行验证，但对传输中的数据不加密 没有包括数据

24、包的验证、数据完整性和密钥管理,Internet,Remote L2TP Client,ISP L2TP Concentrator,L2TP Server,Corporate Network,网络安全基础知识培训-天融信,Internet Protocol Security (IPSec,第三层隧道协议（远程访问、内部网络和Extranet VPN） Internet VPN标准 一个协议包（AH、ESP及密钥管理协议） 提供灵活的加密、消息验证和数据完整的技术 包括密钥管理,网络安全基础知识培训-天融信,IPSec VPN的组成,加密 消息认证 实体认证 密钥交换,DES, 3DES, RC

25、5,RC4 HMAC-MD5, HMAC-SHA-1, or others Digital Certificates, Shared Secrets,Hybrid Mode IKE Internet Key Exchange (IKE), Public Key Infrastructure (PKI,网络安全基础知识培训-天融信,加密,用于将数据转换成保密代码在不可信的网络上传输,加密算法,The cow jumped over the moon,4hsd4e3mjvd3sd a1d38esdf2w4d,明文,加密数据,网络安全基础知识培训-天融信,对称密钥,加密和解密使用同一把密钥 比非对称

26、密钥速度快 密钥管理工作量大 密钥传递容易泄密,Shared Secret Key,网络安全基础知识培训-天融信,在一个非安全的通道上安全地建立一个共享密钥,事先双方协商两个公共数值， 非常大的素数m和整数g,做计算 X=ga mod m,产生一个很大的数 b,产生一个很大的数 a,做计算 Y=gb mod m,KA=Ya mod m=gab mod m,KB=Xb mod m=gab mod m,两者相等,得出共享密钥Key= gab mod m,Host A,Host B,DiffieHellman 密钥交换算法,网络安全基础知识培训-天融信,非对称密钥,加密和解密采用不同密钥 (一把公钥

27、, 一把私钥) 密钥分配简单 密钥保存量小，便于管理,Alice Public Key Encrypt,Alice Private Key Decrypt,Bob,Alice,网络安全基础知识培训-天融信,数字证书和 Public Key Infrastructure,数字证书: 包含了一个人的或一个实体的Public Keys 允许安全地分发 public keys Is signed by a Certificate Authoritys private key Verifies identity through trusted third party,My Certificate: Na

28、me: Bob Organization: Check Point Public Key: lk393l430fksffj398sdf1f594ier933d34w435d CA: xxx.xxx.xxx.xxx and more,网络安全基础知识培训-天融信,灵活的认证方式,共享的密钥 最简单的方式 两个站点通过电话或E-Mail方式共享密钥 Public Key Infrastructure 提供在较大规模下发布和管理Public/Private 密钥的方法 Internet Key Exchange (IKE) 自动更有效地进行身份认证、协商算法及交换密钥,网络安全基础知识培训-天融信,

29、IPSec 会话举例,Bob 试图连接到公司内部邮件服务器,Certificate Authority,网络安全基础知识培训-天融信,IPSec 会话举例,Bob 试图连接到公司内部邮件服务器 VPN gateway和VPN client（Bob计算机）使用IKE: 通过数字证书验证VPN gateway和Bob身份 为通信建立安全关联(密钥和算法,Certificate Authority,网络安全基础知识培训-天融信,IPSec 会话举例,Bob 试图连接到公司内部邮件服务器 VPN gateway和VPN client（Bob计算机）使用IKE: 通过数字证书验证VPN gateway和

30、Bob身份 为通信建立安全联盟(密钥和算法） 在Bob和VPN Gateway之间建立加密通道,Certificate Authority,网络安全基础知识培训-天融信,IPSec 会话举例,Bob 试图连接到公司内部邮件服务器 VPN gateway和VPN client（Bob计算机）使用IKE: 通过数字证书验证VPN gateway和Bob身份 为通信建立安全联盟(密钥和算法） 在Bob和VPN Gateway之间建立加密通道 Bob 现在可以接受邮件了,Certificate Authority,网络安全基础知识培训-天融信,VPN 设备容易被攻击 例如： denial of ser

31、vice （DOS） 需要在防火墙上开通VPN流量的通道 VPN流量的安全性得不到保证,VPN,Internet,Firewall,不同种类的 VPN/Firewall 结构,网络安全基础知识培训-天融信,VPN 设备容易被攻击 例如： denial of service （DOS） 需要在防火墙上开通VPN流量的通道 VPN流量的安全性得不到保证,VPN,Internet,Firewall,不同种类的 VPN/Firewall 结构,网络安全基础知识培训-天融信,构建安全的内联网,总部,办事处,因特网,分公司,加密隧道,VPN网关,网络安全基础知识培训-天融信,内联VPN的特点和优势,将各个

32、独立的局域网联接起来，逻辑上总部、分公司、办事处相当于在同一个局域网内部 构建各种基于WAN的应用，如ERP、OA、ESales、集中的财务监控、库存管理等等。 简化网络管理，便于实施集中的安全策略,网络安全基础知识培训-天融信,远程访问VPN,总部,因特网,分公司,加密隧道,VPN网关,网络安全基础知识培训-天融信,远程接入VPN的技术特点与优势,支持PSTN、ISDN、DSL、电缆（Cable Modem）或无线方式接入企业 网络 满足移动和远程用户应用的需求，支持E-mail、文件共享以及数据库访问等。 无需配置和维护远程接入交换机（RAS），大大降低了运营、管理、培训、硬件、软件及人工

33、费用等项的成本。 方便地扩大企业内部网络的地理覆盖范围，包括低成本的国际接入，并可提供更好的可扩展性，便于增加新用户,网络安全基础知识培训-天融信,外联网VPN,Internet,企业间互联网,客户,分销商,公司,供应商,VPN客户端软件,VPN网关,网络安全基础知识培训-天融信,外联网VPN的特点与优势,支持集中的生产管理、订单处理、销售监控、技术支持等应用 使企业同它的商业伙伴、客户、甚至供应商之间，实现紧密的网络与应用的联接 实现对供应链的精简管理、改善客户服务、并为分销渠道提供更高质量的通讯服务 提高生产率、实现竞争优势,网络安全基础知识培训-天融信,VPN基本功能特性,Web、Mai

34、l服务器等,因特网,分支机构,加密隧道,1%$*),安全区域划分 增强内网安全,VPN网关保护内网 及信息传输安全,工作站域,服务器域,VPN网关间建立加密隧道,VPN移动客户端保证 移动办公安全,网络安全基础知识培训-天融信,信息传输安全,小型分支机构,总部,分公司,VPN网关,VPN网关,办事处,VPN网关,VPN网关,VPN移动客户端,VPN移动客户端,分公司,加密隧道，保证信息传输的机密性与不可篡改性,VPN网关,网络安全基础知识培训-天融信,集中的身份认证,总部,远程用户,1 向VPN网关发起连接,认证服务器,业务主机,加密隧道,2 VPN网关将认证请求转发给认证服务器,4 通过加密

35、隧道访问业务主机,3 认证通过，建立加密隧道,1 入侵者向VPN网关发起连接,2 VPN网关将认证请求转发给认证服务器,3 未通过认证，断开连接,4 对被拒绝的连接记录源IP、访问时间等详细的日志信息,入侵者,网络安全基础知识培训-天融信,需要的安全技术产品,CA安全身份认证体系 防火墙技术/VPN技术 防病毒体系 入侵检测技术 网络安全评估系统 安全备份和系统灾难恢复,网络安全基础知识培训-天融信,1990,1991,1994,1996,1998,1999,2000,2001,2002,2003,主流病毒型态 木马、蠕虫,网络安全基础知识培训-天融信,攻击和威胁转移到服务器和网关，对防毒体系

36、提出新的挑战,IDC, 2004,邮件/互联网,Code Red Nimda,funlove Klez,2001,2002,邮件,Melissa,1999,2000,Love Letter,1969,物理介质,Brain,1986,1998,CIH,SQL Slammer,2003,2004,冲击波 震荡波,网络安全基础知识培训-天融信,时间间隔,26 天,185 天,336 天,18 天,网络安全基础知识培训-天融信,木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特

37、点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒,网络安全基础知识培训-天融信,一个企业级的病毒解决方案,一套优秀的防毒软件,一个工作勤奋努力的网络管理员,以往的病毒防护体系不能满足安全需求,网络安全基础知识培训-天融信,全面的病毒防护体系,网关病毒防护 工作站病毒防护 服务器病毒防护 网络中心病毒控制台 自动更新升级的维护策略,网络安全基础知识培训-天融信,企业网络,网关杀毒,在email病毒扩散之前就予以拦截歼灭,邮件服务器,网关杀毒,网络安全基础知识培训-天融信,工作站病毒

38、防护,带有病毒的数据包,工作站防毒软件,发现病毒立即采取相应的措施,发现病毒,均为客户端工作站,带有病毒的数据包,网络安全基础知识培训-天融信,服务器病毒防护,带有病毒的数据包,发现病毒立即采取相应的措施,发现病毒,带有病毒的数据包,均为NT服务器,服务器防病毒软件,网络安全基础知识培训-天融信,中心病毒控制台,服务器防病毒软件,工作站防毒软件,网关防病毒软件,防病毒中央控制系统,病毒信息控制信息等,病毒信息控制信息等,实现多方位、多层次，点（单台工作站）、线（服务器）、面（网关）相结合的防病毒解决方案,网络安全基础知识培训-天融信,分发,分发,下载,分发/登录,分发,分发/登录,分发,分发/

39、登录,分发,分发,网络安全基础知识培训-天融信,需要的安全技术产品,CA安全身份认证体系 防火墙技术/VPN技术 防病毒体系 入侵检测技术 网络安全评估系统 安全备份和系统灾难恢复,网络安全基础知识培训-天融信,什么是入侵检测,对入侵行为的发觉，通过对计算机网 络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违 反安全策略的行为和被攻击的迹象,网络安全基础知识培训-天融信,入侵检测的主要功能,监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户

40、活动,网络安全基础知识培训-天融信,入侵检测的分类,基于网络的入侵检测 基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。 基于主机的入侵检测 往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手 段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是 所在的系统,网络安全基础知识培训-天融信,检测方式的介绍,异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。 特征检测：特征

41、检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式,网络安全基础知识培训-天融信,网络入侵检测产品的架构,传感器(Sensor) 传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。 控制台(Console)。 控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台,网络安全基础知识培训-天融信,利用入侵检测保护网络应用,DMZ E-Mail HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,网络安全基础知识培训-天融信,利用入侵检测保护网络

42、应用,DMZ E-Mail HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,内部攻击行为,警告! 启动事件日志, 发送消息,网络安全基础知识培训-天融信,利用入侵检测保护网络应用,DMZ E-Mail HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,网络安全基础知识培训-天融信,为什么需要入侵监测系统,防范透过防火墙的入侵 利用应用系统漏洞实施的入侵 利用防火墙配置失误 防范来自内部网的入侵 内部网的攻击占总的攻击事件的80% 没有监测的内部网是内部人员的“自由王国” 对网络行为的审计，防范

43、无法自动识别的恶意破坏,网络安全基础知识培训-天融信,需要的安全技术产品,CA安全身份认证体系 防火墙技术/VPN技术 防病毒体系 入侵检测技术 网络安全评估系统 安全备份和系统灾难恢复,网络安全基础知识培训-天融信,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用,网络安全基础知识培训-天融信,安全扫描的检测技术,基于应用的检测技术，它采用被动的，非破坏性的办法检

44、查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃,网络安全基础知识培训-天融信,安全扫描在部署安全策略中处于重要地位,防火墙，反病毒，加强的用户认证，访问控制和认证，加密，评估，记录报告和预警，安全固化的用户认证，认证，物理安全。 管理这些设备，是安全扫描系统和入侵侦测软件（入侵侦测软件往往包含在安全扫描系统中）的职责。通过监视事件日志，系统受到攻击后的行为和这些设备的信号，作出反应。 安全扫描系统就把这些设备有机地结合在一起。因此，而安全扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位,网络安全基础知识培训-天融信,安全扫描系