版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
安全培训之一
-网络安全基础主讲:张伟10/12/2022大纲网络安全背景分析安全基本理论系统拓扑安防体系10/12/2022公司网特点---现在地域:网络合并、网络的扩建应用:应用系统、视频会议QoS:不同应用需要不同的时延、带宽安全:病毒频繁爆发、工具软件由IPv4向IPv6进行逐步过渡10/12/2022现在需要过去从无到有办公网互联网出口网络业务业务驱动可运营可用可管理安全易维护有效的业务支撑公司网建设的转变10/12/2022网络结构和系统应用局域网:可由计算机中心、公司网一般由两部分构成。一部分是内部网域网、办公自动化局域网等几个物理隔离网络;另一部分是外部网,包括一些公开服务器,并负责远程移动办公用户等的接入等10/12/2022各类应用服务器域名服务器(DNS):完成主机名(域名)与P地址相互解析等任务。
•代理服务器(Proxy):其跨越外部网和内部网,并使用缓存(CACHE)技术,减少信息的重复调用,降低出口流量,提高访问速度,也节约了通信资费。•WWW服务器(WebSever):提供超文本信息查询和浏览器/服务器模式应用服务。•文件传输服务器(FTPSever):提供远程文件透明传输服务。•电子邮件服务器(Mai1Sever):提供电子邮件收、发服务。
10/12/2022外部网一般通过外部网交换机,连接因特网服务器构成一个独立网段。边界路由器通过DDN专线连接,实现与因特网互联。
10/12/2022安全产品分布图结论:防火墙、IDS、防病毒是首选的安全产品过滤王10/12/2022网络安全10/12/2022案例:公司网络安全问题1.网络安全方面的投入不足,没有系统的网络安全设施配备。大多数网络建设经费不足,有限的经费也主要投在网络设备上,对于网络安全建设一直没有比较系统的投入。公司网络还基本处在一个开放的状态,没有有效的安全预警手段和防范措施。10/12/20223.电子邮件系统极不完善,无任何安全管理和监控的手段
近些时候,通过电子邮件系统散发反动,色情言论和材料以及散步谣言等情况愈发严重。但大多数网邮件系统依然采用互联网上下载的免费版本的邮件系统,由于是免费的软件,既不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合公安部门提出的安全邮件系统的要求,出现问题无法及时有效的解决10/12/20224.网络病毒泛滥网络在提供给大家的方便的同时,也变成了病毒传递的最快捷的途径。随着网络飞速发展、网络病毒的编制者水平的提高以及近几年网络病毒和黑客软件的结合,网络病毒的爆发直接导致用户的隐私和重要数据外泄。同时还极大的消耗了网络资源;造成网络性能急剧下降;从“红色代码”、“尼姆达”到“爱之门”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。而病毒防范的措施也不能仅仅靠原来单机的方式,必须是一种集中管理,统一升级,统一监控的针对网络的防病毒体系。10/12/20225.网络安全意识淡薄,没有指定完善的网络安全管理制度网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜,以福建省省网中心之一的××大学网络中心做过的统计,该校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;另外,没有制定完善而严格的网络安全制度,各校园网在安全管理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因。10/12/2022解决网络安全问题涉及的方面法制建设问题:约束黑客行为等组织建设问题:建立快速响应体系标准资质认证:产品、服务标准系统评估问题:安全隐患与信息价值平台建设问题:反入侵、反病毒等安全中心人力资源建设:建立专家队伍、开展培训工作10/12/2022网络安全的定义网络安全的五要素包括:机密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
即服务不中断。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。10/12/2022网络安全的分层防护体系10/12/2022我们的方案思路网络系统现状安全风险评估安全需求与目标安全体系安全解决方案网络安全的实现安全服务10/12/2022安全体系10/12/2022网络安全防护策略本章概要
网络安全策略是安全管理体系和网络安全技术的综合。本章将就企业范围的网络安全策略进行阐述,着重介绍以下几方面:企业安全防护体系的构成建立安全的企业网络安防工作是一个过程10/12/2022网络安全防护策略先进的网络安全技术是企业网络安全的基础完善的安全管理体系是网络安全的必要条件安全防护工作是一个周而复始、循环上升的过程10/12/2022安全防护体系的构成人
制度技术安全防护体系安全防护体系的主要构成因素人制度技术10/12/2022人:安防体系的根本动力人是安防体系中的最薄弱环节对安全防护工作重视的领导是安防工作顺利推进的主要动力;有强烈安全防护意识的员工是企业安防体系得以切实落实的基础;杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。10/12/2022人:安防体系的根本动力加强安全教育、提高网络安全意识启蒙——为安全培训工作打基础,端正对企业的态度,让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。培训——传授安全技巧,使其更好的完成自己的工作。教育——目标是培养IT安防专业人才,重点在于拓展应付处理复杂多变的攻击活动的能力和远见。10/12/2022制度:安防体系的基础减轻或消除员工和第三方的法律责任对保密信息和无形资产加以保护防止浪费企业的计算机资源安防制度的定义和作用
安防制度是这样一份或一套文档,它从整体上规划出在企业内部实施的各项安防控制措施。安防制度的作用主要有:10/12/2022制度:安防体系的基础安防制度的生命周期
安防制度的生命周期包括制度的制定、推行和监督实施。第一阶段:规章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、减轻和转移风险所需要的安防控制措施。第二阶段:企业发布执行的规章制度,以及配套的奖惩措施。第三阶段:规章制度的监督实施。制度的监督实施应常抓不懈、反复进行,保证制度能够跟上企业的发展和变化制度的监督实施制度的制定制度的推行10/12/2022制度:安防体系的基础计算机上机管理制度用户账户管理制度远程访问管理制度信息保护管理制度防火墙管理制度特殊访问权限管理制度网络连接设备管理制度商业伙伴管理制度顾客管理制度安防制度的主要组成部分10/12/2022技术:安防体系的基本保证信息加密技术身份鉴别技术资源使用授权技术访问审计技术备份与恢复技术防病毒技术网络安防需要先进的信息安全技术10/12/2022技术:安防体系的基本保证网络防火墙VPN设备入侵检测设备漏洞评估产品网络防病毒产品网络安防需要先进的安全产品10/12/2022技术:安防体系的基本保证单一的安全保护往往效果不理想目前的趋势——应用和实施一个基于多层次安全系统的全面信息安全策略网络安防需要采用多层防护策略在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险,达到安全防护的目标。10/12/20221防火墙技术10/12/2022防火墙的基本概念
防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。不可信的网络及服务器可信任的网络路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户DMZ防火墙10/12/2022防火墙的主要技术包过滤技术
(PacketFiltering)应用层代理技术
(ApplicationProxy)状态包过滤技术
(StatefulPacketFiltering)应用层表示层会话层传输层网络层数据链路层物理层10/12/2022数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网数据包包过滤技术的基本原理数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略10/12/2022数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网
数据包应用层代理技术的基本原理数据包数据TCP报头IP报头分组过滤判断信息应用代理判断信息控制策略10/12/2022数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包企业内部网数据包状态检测包过滤技术的基本原理数据包数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测控制策略10/12/2022防火墙的用途位于Internet与Intranet之间的系统,避免内部网络直接暴露在外面防止Internet上非法访问防止内部使用者不当的使用Internet有效的记录及监控企业与互联网活动强化企业安全策略10/12/2022防火墙不能完全防止受病毒感染的文件或软件的传输防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击防火墙可能导致传输延迟、网络瓶颈及单点失效防火墙不能防备新的网络安全问题防火墙的弱点10/12/20222入侵检测技术10/12/2022入侵检测系统的概念防火墙不能彻底消除网络入侵的威胁;入侵检测系统(IDS:Intrusiondetectionsystem)用于监控网络和计算机系统被入侵或滥用的征兆;IDS系统以后台进程的形式运行,发现可疑情况,立即通知有关人员;IDS是监控和识别攻击的标准解决方案,是安防体系的重要组成部分;假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。10/12/2022内部用户可能对网络服务器进行攻击,窃取资料,破坏服务器上的重要数据信息,令网络瘫痪;有的用户擅自接入互联网,感染木马程序和网络病毒,将导致内部重要数据外泄;用户可能通过内部网络向外进行非法攻击,造成重大破坏,而从外界追查只能知道攻击来自该网络;外来用户可以通过外接一台计算机连入内部网络,窃取内部资料或进行破坏活动。使用入侵检测系统的意义:10/12/2022不需要人工干预即可不间断运行有容错功能不需要占用大量的系统资源能够发现异于正常行为的操作能够适应系统行为的长期变化判断准确灵活定制保持领先入侵检测系统应有的功能10/12/2022入侵检测系统的主要类型主机入侵检测系统HostIntrusionDetectionSystem网络入侵检测系统NetworkIntrusionDetectionSystem10/12/2022入侵检测系统的优点和不足能够使现有的安防体系更完善;能够更好地掌握系统的情况;能够追踪攻击者的攻击线路;界面友好,便于建立安防体系;能够抓住肇事者。10/12/2022不能在没有用户参与的情况下对攻击行为展开调查;不能克服网络协议方面的缺陷;不能克服设计原理方面的缺陷;存在漏报与误报。入侵检测系统不是万能的,也存在许多不足:10/12/2022含入侵检测系统的网络体系结构InternetIDS1IDS2IDS3IDS4子网A子网B交换机带主机IDS感应器的服务器服务器10/12/20223防病毒技术10/12/2022病毒的演化趋势
攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战IDC,2002邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1981物理介质Brain19861998CIH病毒演化趋势速客一号200310/12/2022网络防病毒技术发展趋势反黑与反病毒相结合从入口拦截病毒全面解决方案客户化定制区域化到国际化10/12/2022企业防病毒策略
—多层次病毒防护体系在企业每台台式机上安装客户端防病毒软件在服务器上安装基于服务器的防病毒软件在网关上安装基于Internet网关的防病毒产品这一防护体系能极大程度地保证企业网络不受病毒的危害与其亡羊补牢不如未雨绸缪10/12/2022选择的防病毒产品应与现有网络具有拓扑契合性;企业应选用网络版的防病毒软件应选用单一品牌防毒软件产品慎选防病毒软件的供应商防病毒产品的选择原则10/12/2022病毒查杀能力对新病毒的反应能力病毒实时检测能力快速、方便的升级智能安装、远程识别管理方便,易于操作对现有资源的占用情况系统兼容性软件的价格软件商的企业实力防病毒产品选择应考虑的具体因素10/12/20225VPN技术10/12/2022虚拟专用网VPN(VirtualPrivateNetwork)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。VPN的基本概念InternetVPN通道VPN网关移动用户VPN网关10/12/2022VPN的功能保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(AccessControl)10/12/2022内部网VPN——用VPN连接公司总部和其分支机构.远程访问VPN——用VPN连接远程用户.外联网VPN——用VPN连接其业务伙伴.VPN的分类及用途子公司LAN合作伙伴LAN远程用户Internet10/
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 湖南文理学院《程序设计基础(C语言)》2021-2022学年第一学期期末试卷
- 湖南科技学院《数据通信与计算机网络》2021-2022学年第一学期期末试卷
- 2024至2030年中国洗衣机四角板焊机行业投资前景及策略咨询研究报告
- 2024至2030年中国抽纱家纺产品行业投资前景及策略咨询研究报告
- 2024年中国赛丽珠市场调查研究报告
- 2024至2030年中国高效蒸洗机行业投资前景及策略咨询研究报告
- 2024至2030年中国铁制佛帽行业投资前景及策略咨询研究报告
- 2024至2030年中国精密片机行业投资前景及策略咨询研究报告
- 2024至2030年高效复式真空滤油机项目投资价值分析报告
- 2024至2030年中国无纺布锁绳袋行业投资前景及策略咨询研究报告
- 带状疱疹的护理查房课件
- 顺丰快递公司视觉识别VI手册(清晰电子版)
- 处方点评与合理用药-PPT课件
- 羊奶培训手册
- XX某管道工程通信线路光缆施工组织设计
- 《First aid》(课堂PPT)
- 《生命教育》教学大纲
- 初中义务教育英语新课标必背词汇表
- 2.3 肉质根的形成生理生理ppt课件
- 逻辑电平测试器的课程设计报告书
- 解析几何课件(吕林根+许子道第四版)
评论
0/150
提交评论