《网络安全技术》PPT课件

1、.,1,网络安全技术,.,2,主要内容,1网络安全威胁 2访问控制技术 3防火墙技术 4信息安全检测：IDS 5隐患扫描技术 6VPN技术 7病毒防范技术,.,3,安全层次,安全的密码算法,安全协议,网络安全,系统安全,应用安全,.,4,1.网络安全威胁,网络通信安全模型,.,5,威胁类型,网络安全包括数据安全和系统安全 数据安全受到四个方面的威胁 设信息是从源地址流向目的地址，那么正常的信息流向是：,信息源,信息目的地,.,6,网络安全的四种威胁,中断威胁:使在用信息系统毁坏或不能使用的攻击， 破坏可用性。如硬盘等一般硬件的毁坏， 通信线路的切断，文件管理系统的瘫痪等。,伪造威胁:一个非授权

2、方将伪造的客体插入系统中的攻击 破坏真实性。包括网络中插入假信件，或者在 文件中追加记录等。,.,7,网络安全的四种威胁,修改威胁:一个非授权方不仅介入系统而且在系统中瞎捣 乱的攻击，破坏完整性。包括改变数据文件， 改变程序使之不能正确执行，修改信件内容等。,侦听威胁:一个非授权方介入系统的攻击，破坏保密性。 非授权方可以是一个人，一个程序，一台微机。 包括搭线窃听，文件或程序的不正当拷贝等。,.,8,四种主要的攻击,冒充攻击：一个实体假装成另外一个实体。 在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得部分特权。 重放攻击：获取有效数据段以重播的方式获取对方信任。 在远程登录时如果一

3、个人的口令不改变，则容易被第三 者获取，并用于冒名重放。 修改攻击：信件被改变，延时，重排，以至产生非授权效果。 如信件“允许张三读机密帐簿”可被修改成“允许李四读机密帐簿”,.,9,四种主要的攻击,拒绝服务攻击：破坏设备的正常运行和管理。 这种攻击往往有针对性或特定目标。 一个实体抑制发往特定地址(如发往审计服务器)的所有信件。 或将整个网络扰乱，扰乱的方法是发送大量垃圾信件使网络过载，以降低系统性能。,.,10,2.访问控制技术,网络安全门户是访问控制与防火墙技术。访问控制技术过去主要用于单机状态，随着网络发展，该项技术得到长足的进步。 访问控制是网络安全防范和保护的主要策略，它的主要任务

4、是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。 访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。,.,11,1).入网访问控制,为网络访问提供了第一层访问控制。它控制哪些用户 能够登录到服务器并获取网络资源，控制准许用户入网的 时间和准许他们在哪台工作站入网。用户的入网访问控制 可分为三个步骤： 用户名的识别与验证; 用户口令的识别与验证; 为保证口令的安全性，用户口令不能显示在显示屏上，口令长度 应不少于6个字符，口令字符最好是数字、字母和其他字符的混合， 用户口令必须经过加密。 用户还可采用一次性用户口令，也可用便携式验

5、证器（如智能卡） 来验证用户的身份。 用户账号的缺省限制检查。,.,12,网络管理员可以控制和限制普通用户的账号使用、访问 网络的时间和方式。用户账号应只有系统管理员才能建立。 用户口令应是每用户访问网络所必须提交的“证件”、用 户可以修改自己的口令，但系统管理员应该可以控制口令的 限制：最小口令长度、强制修改口令的时间间隔、口令的唯 一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户账号的 缺省限制检查。网络应能控制用户登录入网的站点、限制用 户入网的时间、限制用户入网的工作站数量。当用户对交费 网络的访问“资费”用尽时，网络还应能对用户的账号加以限 制，用

6、户此时应无法进入网络访问网络资源。 网络应对所有用户的访问进行审计。如果多次输入口令 则认为是不正确，非法用户的入侵，应给出报警信息。,.,13,2).网络权限控制,针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。 两种实现： 受托者指派; 控制用户和用户组如何使用网络服务器的目录、文件和设备 继承权限屏蔽（irm）. 相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。,.,14,用户分类,可以根据访问权限将用户分为： 特殊用户(系统管理员)； 一般

7、用户：系统管理员根据他们的实际需要为他们分配操作权限； 审计用户：负责网络的安全控制与资源使用情况的审计。 用户对网络资源的访问权限可以用访问控制表来描述。,.,15,3).目录级安全控制,网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。 对目录和文件的访问权限一般有8种： 系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。 一个网络管理员应当为用户指定适当的访问权限，这些 访问权限控制着用户对服务器的访问。8种访问权限的有效 组合可以让用户有效地完成工作，同时又

8、能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。,.,16,4).属性安全控制,当用文件、目录和网络设备时，网络系统管理员应给文 件、目录等指定访问属性。属性安全在权限安全的基础上提 供更进一步的安全性。 网络上的资源都应预先标出一组安全属性。用户对网络 资源的访问权限对应一张访问控制表，用以表明用户对网络 资源的访问能力。属性设置可以覆盖已经指定的任何受托者 指派和有效权限。属性往往能控制以下方面的权限： 向某个文件写数据、拷贝一个文件、删除目录或文件、 查看目录和文件、执行文件、隐含文件、共享、系统属性等。,.,17,5 ).服务器安全控制,网络允许在服务器控制台上执行

9、一系列操作。用户使用控制台可以装载/卸载模块，可以安装和删除软件等操作。 网络服务器的安全控制包括： 设置口令锁定服务器控制台，以防止非法用户修改、 删除重要信息或破坏数据； 设定服务器登录时间限制； 非法访问者检测； 关闭的时间间隔。,.,18,3.防火墙技术,防火墙技术是网络安全的关键技术之一，只要网络世界存在利益之争，就必须要自立门户-有自己的网络防火墙 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以Internet网络为最甚（Internet发展速度惊人，每天都有成千上万的主机连入Internet，它的内在

10、不安全性已受到越来越多的关注）。 防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。,.,19,(1)防火墙示意图,在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析器，有效地监控了内部网和 Internet 之间的任何活动，保 证了内部网络的安全。,.,20,防火墙(Firewall),防火墙的基本设计目标 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙 防火墙本身必须建立在安全操作系统的基础上 防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控

11、制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一个特定的服务的行为,.,21,防火墙能为我们做什么,定义一个必经之点 挡住未经授权的访问流量 禁止具有脆弱性的服务带来危害 实施保护，以避免各种IP欺骗和路由攻击 防火墙提供了一个监视各种安全事件的位置，因此可以在防火墙上实现审计和报警 对于有些Internet功能，防火墙也可以是一个理想的平台，比地址转换、Internet日志、审计，甚至计费功能 防火墙可以作为IPSec (Internet 协议安全性)的实现平台,.,22,提供安全决策的集中控制点，使所有进出网络的信息都通过这个检

12、查点，形成信息进出网络的一道关口； 针对不同用户的不同需求，强制实施安全策略，起到“交通警察”的作用； 对用户的操作和信息进行记录和审计，分析网络侵袭和攻击； 防止机密信息的扩散(功能有限如防内部拨号) 限制内部用户访问特殊站点 屏蔽内部网的结构,(2)防火墙的功能,.,23,(3)防火墙的类型,包过滤防火墙,应用代理防火墙,电路级网关,按网络体系结构分类,按应用技术分类,.,24,包过滤技术(Packet Filter)：通过在网络连接设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络.数据包过滤可以在网络层截获数据,使

13、用一些规则来确定是否转发或丢弃所截获的各个数据包。 优点：对用户透明；对网络的规模没有限制。 缺点：只能进行初步的安全控制；没有用户的访 问记录；设置过滤规则困难,(4)防火墙的实现技术包过滤技术,.,25,包过滤路由器,基本思想很简单 对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略,.,26,安全缺

14、省策略,两种基本策略，或缺省策略 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击，制定新的规则 没有被允许的流量都要拒绝 比较保守 根据需要，逐渐开放,.,27,包过滤路由器示意图,.,28,包过滤防火墙的特点,在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点： 实现简单 对用户透明 效率高 缺点： 正确制定规则并不容易 不可能引入认证机制,.,29,针对包过滤防火墙的攻击,IP地址欺骗，如假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头

15、部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 如利用ftp协议对内部进行探查,.,30,(4)防火墙的实现技术电路级网关,工作在传输层。 它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。 一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。 也称为通用代理（统一的代理应用程序），各协议可透明地通过通用代理防火墙。 电路级网关实现的典型例子是SOCKS(防火墙安全会话转换协议软件包) 。,.,31,SOCKS系统,.,32,电路层网关,.,33,电路层网关的优缺点,优点 效率高 精细控制，可以在应用层上授权

16、为一般的应用提供了一个框架 缺点 客户程序需要修改 动态链接库,.,34,应用代理是运行于防火墙主机上的一种应用程序，它取代用户和外部网络的直接通信。 优点：详细记录所有的访问情况；完全阻断了内部网络与外部网络的直接联系；可节约时间和网络资源 缺点：会使访问速度变慢；需要为每种服务专门开发代理服务软件,(4)防火墙的实现技术应用代理服务技术,.,35,应用层网关,也称为代理服务器 特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证 所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大,.,36,应用层网关的结构示意图,.,

17、37,应用层网关的协议栈结构,HTTP,FTP,Telnet,Smtp,传输层,网络层,链路层,.,38,应用层网关的优缺点,优点 允许用户“直接”访问Internet 易于记录日志 缺点 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改，重新编译或者配置 有些服务要求建立直接连接，无法使用代理 如聊天服务、或者即时消息服务 代理服务不能避免协议本身的缺陷或者限制,.,39,应用层网关实现,编写代理软件 代理软件一方面是服务器软件 但是它所提供的服务可以是简单的转发功能 另一方面也是客户软件 对于外面真正的服务器来说，是客户软件 针对每一个服务都需要编写模块或者

18、单独的程序 实现一个标准的框架，以容纳各种不同类型的服务 软件实现的可扩展性和可重用性 客户软件 软件需要定制或者改写 对于最终用户的透明性 协议对于应用层网关的处理 协议设计时考虑到中间代理的存在，特别是在考虑安全性（如数据完整性）的时候,.,40,三种防火墙技术的安全功能比较,.,41,防火墙不能防范网络内部的攻击。如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 主要是基于IP控制而不是用户身份。 防火墙不能防止传送己感染病毒的软件或文件。不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。 难于管理和配置。易造成安全漏洞,(5)防火墙的局限性,存在一些防火墙不能防范的安全威

19、胁，如防火墙不能 防范不经过防火墙的攻击（如果允许从受保护的网络内部 向外拨号，一些用户就可能形成与 Internet的直接连接）。,.,42,(6)防火墙的配置,几个概念 双宿主主机(dual-homed host)：至少有两个网络接口的通用计算机系统 堡垒主机(Bastion Host)：对外部网络暴露，同时也是内部网络用户的主要连接点 非军事区DMZ(Demilitarized Zone)或者停火区：在内部网络和外部网络之间增加的一个子网,.,43,防火墙的典型配置方案,双宿主主机方案 屏蔽主机方案 单宿主堡垒主机 双宿主堡垒主机 屏蔽子网方案,.,44,配置方案一：双宿主主机方案,核心

20、是具有双宿主功能的主机充当路由器。 至少有两个网络接口。 所有的流量都通过主机 优点：简单,.,45,双宿主主机结构防火墙,不允许两网之间的直接发送功能。 仅仅能通过代理，或让用户直接登录到双宿主主机来提供服务。 提供高级别的安全控制。 问题： 用户账号本身会带来明显的安全问题，会允许某种不安全的服务； 通过登录来使用因特网太麻烦。,.,46,配置方案二：单宿主堡垒主机,屏蔽主机方案 只允许堡垒主机与外界直接通讯 优点：两层保护：包过滤+应用层网关；灵活配置 缺点：一旦包过滤路由器被攻破，则内部网络被暴露,.,47,配置方案三：双宿主堡垒主机,屏蔽主机方案 从物理上把内部网络和Internet

21、隔开，必须通过两层屏障 优点：两层保护：包过滤+应用层网关；配置灵活,.,48,屏蔽主机防火墙,主要的安全机制由屏蔽路由器来提供。 堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。 堡垒主机需要保持更高的安全等级。 问题 如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的安全保护。,.,49,配置方案四：屏蔽子网防火墙,优点： 三层防护，用来阻止入侵者 外面的router只向Internet暴露屏蔽子网中的主机 内部的router只向内部私有网暴露屏蔽子网中的主机,.,50,屏蔽子网防火墙,添加额外的安全层：周边网，将内部网与因特网进一 步隔开。 周

22、边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。 屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。 两个屏蔽路由器的规则设置的侧重点不同。 外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。,.,51,4.信息安全检测：IDS,入侵Intrusion:企图进入或滥用计算机系统的行为。 入侵检测Intrusion Detection：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完

23、整性和可用性。 入侵检测系统IDS（Intrusion DetectionSystem） 进行入侵检测的软件与硬件的组合。,.,52,为什么需要入侵检测系统,防火墙和操作系统加固技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全性。 IDS能使系统对入侵事件和过程做出实时响应。 入侵检测是系统动态安全的核心技术之一。 入侵检测是防火墙的合理补充。 IDS帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。,.,53,入侵监测系统的设计要求,健壮性 可配置性 可扩展性 可升级性 自适应性 全局分析 有效性,.,54,(1

24、)IDS的种类,根据收集的待分析信息来源，IDS可以分为三大类：（1）基于网络的IDS； 将IDS放置于网络之上，靠近被检测的系统， 用以监测网络流量并判断是否正常。（2）基于主机的IDS； 将IDS运行在被监测的系统之上，用以监测系统 上正在运行的进程是否合法。 （3）基于应用的IDS。 这种IDS监控一个应用内发生的事件，通常通过 分析应用的日志文件检测攻击。,.,55,(2)IDS的模型,Dennying于1987年提出一个通用的IDS模型：,主体活动,规则集 处理引擎,异常 记录,活动 概要,定时器,审计 记录,规则设计 与修改,创建,提取规则,学习,新的活 动概要,历史概要,更新,I

25、DS模型包括2个功能部件： 1提供事件记录流的信息源 2发现入侵迹象的分析引擎,.,56,(3)常用的入侵检测技术,统计分析技术； 活动与具有“正常活动”的特征原型比较。 预测模式生成技术； 根据已发生事件预测未来事件。 基于神经网络的检测技术； 神经网络用已出现的用户特征去预测和匹配实际的用户行为和操作。 状态转移分析技术； 根据当前系统状态、网络状态和链路状态的变化情况区分入侵行为。 模式匹配技术； 数据挖掘技术； 针对分布式入侵的检测技术。,.,57,信息收集:入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有

26、相当强的坚固性，能够防止被篡改而收集到错误的信息 数据分析:是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能,有异常入侵检测与误用入侵检测两类。 响应: 1、将分析结果记录在日志文件中，并产生相应的报告。 2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。 3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。,(4)入侵检测的步骤,.,58,信息收集技术,基于网络的实时入侵检测系统： 原始数据来源丰富，实时性、适应性、可扩展性方面具有其独特的优势； 容易受到基于网络的拒绝服务等恶意攻击，在高层信息的获

27、取上更为困难。 基于主机的实时入侵检测系统： 能获取高层信息，理解动作的含义； 环境适应性、可移植性方面问题较多。 通过分析应用的日志文件检测攻击 通过分析应用的日志文件检测攻击。,.,59,信息分析技术,基于误用 (Anomaly-based) 的分析方法 试图在网络或主机的数据流中发现已知的攻击模式（pattern）； 可以直接识别攻击过程，误报率低； 只能检测已知的攻击，对新的攻击模式无能为力，需要不断地更新模式库（Pattern Database）； 状态分析、模式匹配、一致性分析。 基于异常 (Misuse-based) 的分析方法 首先统计和规范网络和用户的正常行为模式 (Acti

28、vity Profile)，当网络和用户的行为模式偏离了其正常行为模式时，就认为是异常； 行为异常通常意味着某种攻击行为的发生； 能够检测出新出现的攻击模式； 对正常行为模式的描述比较困难、误报率高； 统计分析。,.,60,模式匹配 是当前应用中最基本、最有效的检测方法； 以攻击行为数据流中的特征字符串作为检测的关键字，其攻击行为模式数据库中记录各种攻击行为的特征串； 检查数据流中是否有与模式数据库中特征串相匹配的内容，的每种攻击行为产生中，一般都有特定的； 不需保存状态信息，速度快，但只能检测过程较简单的攻击。 状态分析 将攻击行为的过程以状态转移图的形式记录在模式数据库中，状态转移的条件是

29、网络或系统中的一些特征事件； 检测软件记录所有可能攻击行为的状态，并从数据流中提取特征事件进行状态转移，当转移到达某个特定状态时，就被认为是检测到了一次攻击行为； 用于检测过程较复杂的攻击过程（如分布式攻击）。,主要信息分析技术(1),.,61,统计分析 基于异常的检测方式； 通过统计方式总结系统的正常行为模式； 利用若干统计变量来刻画当前系统的状态，通过统计变量与正常行为模式的偏差来检测可能的入侵行为。 应用数据挖掘技术 使用一定的数据挖掘算法进行挖掘，推导出系统的正常行为模式和入侵的行为模式； 需要提出一种真正自适应的、无须预标识的数据挖掘的方式。,主要信息分析技术(2),.,62,预测模

30、式生成技术 试图基于已经发生的事件来预测未来事件，如果一个与预测统计概率偏差较大的事件发生，则被标志为攻击。比如规则：E1E2(E3=80%，E4=15%，E5=5%)，即假定事件E1和E2已经发生，E3随后发生的概率是80%，E4随后发生的概率是15%，E5随后发生的概率是5%，若E1、E2发生了，接着E3发生，则为正常的概率很大，若E5发生，则为异常的概率很大，若E3、E4、E5都没有发生，而是发生了模式中没有描述到的E5，则可以认为发生了攻击。预测模式生成技术的问题在于未被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较容易发现在系统学习期间试图训练系统的用户。,主要信息分析技术(3

31、),.,63,分布式入侵检测 针对分布式攻击的入侵检测技术。 入侵检测系统采用分布式计算技术。 主要难点： 各部件间的协作； 安全攻击的相关性分析。,主要信息分析技术(4),.,64,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。 误报是指被入侵检测系统测报警的是正常及合法网络和计算机的访问 漏报:对入侵行为没有报警 特征库的更新 速度:基于网络的的IDS难网络以跟上网络速度的发展,(5)入侵检测系统面临的挑战,.,65,(6)入侵检测的发展趋势,随着对网络系统的攻击越来越普遍，攻击手法日趋复杂。 IDS也随着网络技术和相关学科的发展而日趋成熟，其未来 发展的趋势主要表现 在

32、以下方面： 宽带高速实时的检测技术 ； 大规模分布式的检测技术 ； 数据挖掘技术 ； 更先进的检测算法 ； 如计算机免疫技术、神经网络技术、遗传算法等。 入侵响应技术 。 从系统保护（事件警告）、动态策略到攻击对抗。 总之IDS只有在基础理论研究和工程项目开发多个层 面上同时发展，才能全面提高整体检测效率。,.,66,5、隐患扫描技术,网络安全一直无法落实的主要原因是不知道漏洞的存在，甚至不去实时修补漏洞。漏洞扫描：对网络安全性进行风险评估的一项重要技术，也是网络安全防御中关键技术。 其原理是：采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查，向系统管理员提供周密可靠

33、的安全性分析报告。 目标可以是工作站、服务器、交换机、数据库应用等各种对象。 安全防护最弱的部分容易被入侵者利用，给网络带来灾难。找到弱点并加以保护是保护网络安全的重要使命之一。这需要有高效的漏洞扫描工具，来自动发现网络系统的弱点，以便管理员能够迅速有效地采取相应的措施。,.,67,(1)漏洞扫描的基本实现方法,现有的漏洞扫描技术采用的基本实现方法： 基于单机系统的安全评估系统； 早期采用的一种安全评估软件，安全检测人员针对每台机器运行评估软件进行独立的检测。 基于客户的安全评估系统； 安全检测人员在一台客户机上执行评估软件，对网络中的所有资源进行检测。 采用网络探测方式的安全评估系统； 模拟

34、入侵者所采用的行为，从系统的外围进行扫描试图发现网络的漏洞 采用管理者/代理方式的安全评估系统。 安全管理员通过一台管理器来控制和管理大型系统中的安全隐患扫描,.,68,(2)漏洞扫描系统的内容,一个功能完善、可不断扩展的漏洞扫描系统包括： 安全漏洞数据库； 通过对安全性漏洞和扫描手段的分析，形成一个安全漏洞数据库。 安全漏洞扫描引擎； 利用漏洞数据库实现安全漏洞扫描的扫描器。 结果分析和报表生成； 安全扫描工具管理器。 扫描工具管理器提供良好的用户界面，实现扫描管理和配置。,.,69,安全漏洞数据库 安全性漏洞原理描述、及危害程度、所在的系统和环境等信息； 采用的入侵方式、入侵的攻击过程、漏

35、洞的检测方式； 发现漏洞后建议采用的防范措施。 安全漏洞扫描引擎 与安全漏洞数据库相对独立，可对数据库中记录的各种漏洞进行扫描； 支持多种OS，以代理性试运行于系统中不同探测点，受到管理器的控制； 实现多个扫描过程的调度，保证迅速准确地完成扫描检测，减少资源占用； 有准确、清晰的扫描结果输出，便于分析和后续处理。,隐患扫描系统的组成（1）,.,70,结果分析和报表生成 目标网络中存在的安全性弱点的总结； 对目的网络系统的安全性进行详细描述，为用户确保网络安全提供依据； 向用户提供修补这些弱点的建议和可选择的措施； 能就用户系统安全策略的制定提供建议，以最大限度地帮助用户实现信息系统的安全。 安

36、全扫描工具管理器 提供良好的用户界面，实现扫描管理和配置。,隐患扫描系统的组成（2）,.,71,6.VPN技术,虚拟专用网VPN(Virtual Private Network)是利用现有的不安全的公共网络环境，构建的具有安全性、独占性、自成一体的虚拟网络。 VPN是指利用公共网络的一部分来发送专用信息，形成逻辑上的专用网络。它实际上是一个在互联网等公用网络上的一些节点的集合。这些节点之间采用了专用加密和认证技术来相互通信，好像用专线连接起来一样。 虚拟专用网可以在两个异地子网之间建立安全的通道。,.,72,(1)VPN的基本概念,采用加密和认证技术，利用公共通信网络设施的一部分来发送专用信息

37、，为相互通信的节点建立一个相对封闭、逻辑的专用网络； 通常用于大型组织跨地域的各个机构之间的联网信息交换，或流动工作人员与总部之间的通信； 只允许特定利益集团内建立对等连接，保证在网络中传输的数据的保密性和安全性。 其中“虚拟”指网络不是物理上独立存在的，而是利用服务商（如ISP）提供的公共网络来实现远程的广域连接；“专用”指用户可以为自己定制一个符合自己需求的网络，使网内业务独立于网外的业务流，且具有独立的寻址空间和路由空间，使用户获得等同于专用网络的通信体验。,.,73,(2)VPN的好处,VPN提供了安全、可靠的Internet访问通道，为企业 进一步发展提供了可靠的技术保障。 实现了网

38、络安全：以多种方式增强了网络的智能与安全性； 简化网络设计和管理：替代租用线路来实现分支机构的连接； 降低成本：只需付短途电话费，却收到长途通信的效果；局域网互联费降低20%40%，远程接入费减少60% 80%； 容易扩展，适应性强； 可随意与合作伙伴联网； 完全控制主动权：自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作； 支持新兴应用。,.,74,(3)VPN的工作流程,内部网主机发送明文信息到连接公共网络的 VPN 设备。 VPN设备根据网络管理员设置的规则，确定是否需要对数据进行加密或让数据直接通过。 对需要加密的数据，VPN设备在网络IP层对整个IP数据包进行加密

39、和附上数字签名。 VPN设备重新封装加密后数据（加上新的数据报头，包括目的地VPN设备所需的安全信息和一些初始化参数），然后将其通过虚拟通道在公共网络上传输。 当数据包到达目标VPN设备时，数据包被解除封装，数字签名被核对无误后数据包被解密还原。,.,75,.,76,(4)VPN的主要技术,隧道技术（Tunneling） 加解密技术（Encryption & Decryption） 密钥管理技术（Key Management） 使用者与设备身份鉴别技术（Authentication）,.,77,建立点对点的连接，数据包在公网上的隧道内传输。,隧道技术,利用一种网络协议来传输另一种网络协议，它主

40、要利用网络隧道协议来实现这种功能。 涉及了三种网络协议： 网络隧道协议； 隧道协议下面的承载协议； 隧道协议所承载的被承载协议。 有两种类型的隧道协议： 二层隧道协议：如L2F、PPTP、L2TP等； 三层隧道协议：如GRE协议、IPsec协议等。,.,78,隧道的基本组成,一个隧道的基本组成： （1）一个路由网络（Internet）； （2）一个隧道终结器； （3）一个隧道启动器。,.,79,通用路由封装GRE协议,GRE隧道建立于源路由器和目的路由器之间。 封装形式（IP环境）。 GRE 只提供了数据包的封装，它并没有加密功能 ,在实际环境中它常和IPsec在一起使用。 隧道必须手工配置，

41、每次隧道终点改变，都需要重新配置。,.,80,点到点隧道协议（PPTP）,是由Microsoft和Ascend在PPP协议的基础上开发的。 隧道的加密认证协议使用专用验证协议PAP或通用交接验证协议CHAP（RFC1994）。,.,81,通过拨号连接的PPTP协议栈,.,82,PPTP协议的优越性,通过PPTP，远程用户可经由因特网访问企业的网络和应用，而不再需要直接拨号至企业的网络。 PPTP在IP网络中支持非IP协议，PPTP隧道将IP、IPX、AppleTalk等协议封装在IP包中，使用户能够运行基于特定网络协议的应用程序。 其隧道机制采用现有的安全检测和鉴别策略，还允许管理员和用户对现

42、有数据进行加密，使数据更安全。 提供了灵活的地址管理。,.,83,PPTP与IPSec的比较,在安全性方面 PPTP工作在第二层，可以发送IP之外的数据包，如IPX或NetBEUI数据包； IPSec在第三层运行 ，只能提供IP包的隧道传输； 从加密强度和数据集成方面来说，一般认为IPSec优于PPTP； PPTP 无鉴别功能。 安装和维护方面 从简单性的角度看，PPTP在安装部署和维护上要容易些。,.,84,第二层隧道协议（L2TP）,综合了PPTP和L2F两者的特点： 隧道控制沿用了PPTP的协议； 认证过程沿袭了L2F协议； 模块化采用了独立的L2TP报头。 L2TP利用控制报文进行隧道

43、维护，使用UDP/PPP通过隧道来传输数据报文。,.,85,PPTP与L2TP的比较,PPTP是主动隧道模式 拨号用户有权在初始PPP协商之后选择PPTP隧道的目的端。其隧道对于ISP来说是透明的，ISP不需保留PPTP服务器地址，只需象传送其他IP数据一样传送PPTP数据。 PPTP的模型是一个单独的端用户，所建立的VPN结构是端到端隧道（由客户端到PPTP服务器）。 L2TP是被动隧道模式 ISP控制PPP会话的终节点。这在用户需要通过ISP拨入到ICP时很有作用。 L2TP的模型有大量已配置的用户，使VPN很像普通的拨号访问系统。其隧道始于NAS，止于L2TP服务器。,.,86,加解密技

44、术：传输保密性，VPN可直接利用现有技术； 密钥管理技术：在公网中安全地传递密钥，如Deffie-Hellman密钥分配方法； SKIP（Simple Key Management for IP）是由SUN公司开发的一种技术，主要是利用Diffie-Hellmail算法 IPSec中的ISAKMP/Oakley 身份鉴别技术：使属于本单位或授权者与设备能相互通信，且未授权者无法进入通信系统。 使用者身份鉴别：通常采用远程身份验证拨入用户服务RADIUS。 最常用的是使用者名称与密码或卡片式认证等方式。 设备身份鉴别：通常采用证书（Certificate）。,VPN的其他安全技术,.,87,(5

45、)VPN服务分类,拨号VPN； 企业员工或小分支通过公网远程拨号的方式构筑的虚拟网。 采用二层隧道协议，实现二层网络协议传输。适用于公司内部经常有流动人员的远程办公。 内部网VPN（Intranet VPN ）； 进行企业内部各分支机构的互联。 采用三层隧道协议，实现三层网络协议传输。 外联网VPN（Extranet VPN）。 企业与客户、合作伙伴的互联。既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络安全。 采用三层隧道协议，实现三层网络协议传输。,.,88,拨号VPN,拨号VPN通过一个拥有与专用网络相同策略的共享基础设施，提供 对企业内部网或外部网的远程访问。 拨号V

46、PN能使用户随时、随地以其 所需的方式访问企业资源。包括模拟、拨号、ISDN、数字用户线路(xDSL)、 移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。,出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。,.,89,拨号VPN的特点,如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用Access VPN。 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络； 实现本地拨号接入的功能来取代远距离接入或800电

47、话接入，这样能显著降低远距离通信的费用； 极大的可扩展性，简便地对加入网络的新用户进行调度； 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务； 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。,.,90,内部网VPN（Intranet VPN ）,越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互

48、联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。 Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。,.,91,Intranet VPN的特点,如果要进行企业内部各分支机构的互联，使用Intranet VPN是很好的方式。 减少WAN带宽的费用； 能使用灵活的拓扑结构，包括全网络连接； 新的站点能更快、更容易地被连接； 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。,.,92,外联网VPN（Extranet VPN）,随着

49、信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时企业间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证内部网络的安全。 Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性

50、和可靠性。,.,93,Extranet VPN的特点,如果是提供B2B之间的安全访问服务，则可以考虑Extranet VPN。 能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。 主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。,.,94,7.病毒防范技术,病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，并自我复制的一组计算机指令或程序代码。 特点： (1)传染性； (2)非授权性； (3)隐蔽性； (4)破坏性； (5)不可预见性,.,95,(1)计算机网络病毒的类型,常见的计算机网络病毒有：

51、（1）蠕虫：能够进行自我复制的程序段，并最终导致系统崩溃； （2）核心大战（Zombie）：能秘密接管其他依附在Internet上的计算机，并使该计算机发动攻击的一种程序。 （3）逻辑炸弹：嵌在合法程序中，只有当特定的事件出现时才会进行破坏的一组程序代码； （4）特洛伊木马：表面上具有某种有用功能的程序，它的内部含有隐蔽代码，当其被调用时会产生意想不到的后果； （5）陷阱（后门）：程序的一个秘密入口，用户通过它可以不按照通常的访问步骤就能获得访问权；,.,96,(2)网络反病毒技术,（1）预防病毒技术： 在第一时间阻止病毒进入系统 。 一般来说不可能实现。 （2）病毒检测技术：一旦系统被感染，

52、就立即断定病毒的存在 并对其进行定位。 （3）病毒鉴别技术：对病毒进行检测后，辨别该病毒的类型。 （4）病毒消除技术：在确定病毒的类型后，从受染文件中删除所有病毒并恢复程序正常状态。清除被感染系统中的所有病毒，目的是阻止病毒的进一步传染。 如果对病毒检测成功但鉴别或清除失败，则必须删除受染文件并重新装入无毒文件的备份。,.,97,防范病毒的措施： (1)安装防病毒软件，及时更新病毒库； (2)加强数据备份和恢复措施； (3)对敏感的设备和数据要建立必要的物理或逻辑 隔离措施； (4)不轻易打开不明的电子邮件及其附件； (5)避免在无防毒软件的机器上使用可移动磁盘 (6)关闭不必要的端口,(3)

53、计算机病毒的防范措施,.,98,小结-网络安全工具的特点,.,99,最后一招,积极备份,.,100,在实际应用中，综合运用上述技术，可以为网络系统 提供动态安全。 首先需要根据网络的拓扑结构、应用类型及安全要求 选择配置适当类型的防火墙，或采用合适的协议建立虚拟 专用网，对系统进行保护（防护），同时运用入侵检测技 术对网络系统的若干关键点实时监控，在发现入侵行为以 后通过系统管理员或设置的安全策略自动对系统进行调整 （如通知防火墙关闭某类应用，或阻塞某个地址等）。 此外还要定期对系统进行隐患扫描，以便及时发现由 于改动配置、安装新软件等带来的漏洞并加以修补。,.,101,4 企业信息安全解决方

54、案,Internet的强劲旋风以惊人的速度渗透到各行各业。企业上网，既可以开展网上的交易业务，又可以宣传自身的服务，吸引更多的客户；同时，还可以发布实时的产品信息，开展网上进存销业务，实现电子商务战略。总之，电子商务为企业提供了更为广泛的信息来源空间，为员工提供了更为广阔的施展才能的舞台，为市场提供了一种更为灵活的交易方式。 伴随网络的普及，安全问题日益成为影响网络效能的瓶颈，而企业的网络安全存在漏洞的状况也是众所周知的，多位信息安全领域的专家也对企业网络的安全问题提出了尖锐的批评，不少企业的安全现状已不能适应电子商务迅速发展的要求。近几年，不断有大型企业的网络被“黑客”入侵，造成重大经济损失

55、和恶劣影响的消息见诸报端。企业的网络安全已经成为企业信息化进程中首先要考虑的事情之一。,.,102,确定企业网络安全等级,企业由于其应用不同，对安全的等级需求也不一样； 在企业内部，不同的部门安全等级需求也不一样。,安全级别越高，所需要的资金投入就越多，同时对 企业网络的性能和企业资源使用的方便性的影响就越大。,.,103,(1)安全风险,企业信息系统的安全风险主要来自网络设施物理特性的 安全、网络系统平台的安全、网上交易的安全、数据存 储的安全。包括： 1. 物理安全风险 2. 系统安全风险 ：网络系统、操作系统和应用系统 3. 网上交易的安全风险 4. 数据的安全风险 5. 安全策略 传统

56、的安全策略停留在局部、静态的层面上，仅仅依靠几项安全 技术和手段达到整个系统的安全目的，现代的安全策略应当紧跟安全 行业的发展趋势，在进行安全方案设计、规划时，遵循以下原则：体 系性，系统性，层次性，综合性，动态性。,.,104,(2)解决方案,企业网络的安全体系涉及到网络物理安全和系统安全的各个层面。通常应该从网络安全、操作系统、应用系统、交易安全、数据安全、安全服务和安全目标等方面寻求解决方案，并从以下3个方面进行综合考虑： 安全体系:按照安全策略的要求及风险分析的结果，整个企业网络安 全措施应根据不同的行业特点，按照网络安全的整体构想 来建立。 物理安全：保证计算机信息系统各种设备的物理安全是整个计算 机信息系统安全的前提。 系统安全：系统安全主要关注网络系统、操作系统和应用系统 三个层次。,.,1