信息安全管理教材

信息安全管理（三）第二章、信息安全管理基础信息安全性质：信息技术以网络化的方式应用于社会生活各方面时，对国家、社会、个人安全利益的侵害与保护信息安全关键点：安全利益：国家、社会、个人的生存和发展的利益信息技术：对信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益的侵害与保护信息安全核心问题：信息技术：特性和过程结果可侵害或保护国家、社会、个人的安全利益信息安全是指在信息传递的过程中，数据被破坏、偷窃或丢失的风险性。信息安全管理体系ISMS：是组织在整体或特定范围内建立信息安全的方针和目标，以及完成这些目标所用的方法的体系。包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。ISO27001是建立和维护信息安全管理体系的标准，是信息安全管理领域的权威标准。信息安全管理的基本原则主要领导负责规范定级一人为本适度安全信息安全管理体系党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构内容技术资源管理资源人力资源信息安全管理的层次与内容宏观管理（政府）方针政策法规标准微观管理（信息安全机构）规章制度策略措施信息安全管理的发展历史发展阶段管人管密码管密钥管口令管配置管产品测评管产品采购管系统安全管等级划分管理基础安全产品分类编码信息技术安全管理指南（ISO/IECTR13335）信息安全管理(ISO/IECTR17799)系统管理安全报警报告功能（GB17143.7-1997idt10164.7-1992）安全审计跟踪功能（GB17143.8-1997idt10164.8-1993）访问控制对象和属性（GB17143.9-1997idt10164.9-1993风险管理测评认证信息技术安全性评估准则（ISO/IEC15408:1999）（CC）计算机信息系统安全保护等级划分准则(GB17859：1999)通用测评方法(SC27N2722|CEM)系统安全工程能力成熟模型(SSE-CMM)二、信息安全管理标准英国标准协会（BSI）于1995年制定BS7799《信息安全管理体系标准》，1999年修订改版：7799－1：《信息安全管理操作规则》7799－2：《信息安全管理系统规范》7799－1已经在2000年末被采纳为国际标准，即：ISO/TEC17799《信息安全管理操作规则》，香港、台湾等都采用BS7799标准。信息安全管理基础：BS7799ISO/IEC17799（BS7799-1）划分为11个主要方面：1、安全策略2、组织信息安全3、资产分级与控制4、人员安全5、物理和环境安全6、通信和运行管理7、访问控制8、信息系统获取、开发和维护9、信息安全事件管理10、业务连续性管理11、符合性BS7799-2BS7799-2第1版出版于1998年BS7799-2第2版出版于2002年评估一个组织全面或部分信息安全管理体系的基础，也可以作为一个正式认证方案的基础。BS7799-2建立立信信息息管管理理体体系系的的要要求求总则则建立立管管理理框框架架实施施文档档化化文档档控控制制记录录BS7799-2控制制细细则则安全全策策略略安全全组组织织资产产分分级级和和控控制制人员员安安全全物理理和和环环境境安安全全通信信和和运运行行管管理理访问问控控制制系统统开开发发和和维维护护商业业连连续续性性管管理理符合合性性等等10项要要求求通用用准准则则（（CC））国际际标标准准化化组组织织统统一一现现有有多多种种准准则则的的努努力力结结果果；；1993年年开开始始，，1996年年出出V1.0,1998年出出V2.0，，1999年6月正式式成为国际际标准，1999年年12月ISO出版发行ISO/IEC15408；主要思想和和框架取自自ITSEC和FC；充分突出““保护轮廓廓”，将评评估过程分分“功能””和“保证证”两部分分；是目前最全全面的评价价准则CC的结构以及及目标读者者安全管理指指南：ISO/IECTR13335信息技术安安全的概念念和模型信息技术安安全的管理理和规划信息技术安安全的管理理技术信息技术安安全措施的的安全网络安全性性的管理指指导SSE-CMM项目1993年4月开始酝量量，1996年10月出版了SSE-CMM模型的第一一个版本，，1997年4月出版了评评定方法的的第一个版版本。1999年4月出版了第二二版。正在申报国国际标准ISO/IEC21827。NISTSP800(SpecialPublication800-series)SP800-12,《计算机安全全手册》（（ComputerSecurityHandbook)SP800-14,《公认【安全全】原则与与操作》（（GenerallyAccepted[Security]Principles&Practices））SP800-18,《安全计划开开发指南》》（GuideforDevelopingSecurityPlans）SP800-23,《联邦机构安安全保障和和采购指南南/使用可可信或经评评估的产品品指南》（（GuidetoFederalOrganizationsonSecurityAssuranceandAcquisition/UseofTested/EvaluatedProducts)SP800-26,《IT系统自我评评估指南》》(Self-AssessmentGuideforITSystems)我国信息安安全标准工工作信息安全标标委会工作作组设置信息安全标标准体系与与协调工作作组（WG1）内容安全分分级及标识识工作组（（WG2）PKI/PMI工作组（WG4）信息安全评评估工作组组（WG5）应急处理工工作组（WG6）信息安全管管理（含工工程与开发发）工作组组（WG7）电子证据及及处理工作作组（WG8）身份标识与与鉴别协议议工作组（（WG9）操作系统与与数据库安安全工作组组（WG10）三、信息安安全策略信息安全策策略是一组组经过高级级管理员批批准，正式式发布和实实施的纲领领性文件，，描述了一一个企业、、组织的高高层安全目目标。是为为保证提供供一定级别别的安全保保护所必须须遵守的规规则。有三个基本本原则：确确定性、完完整性和有有效性。信息安全涉涉及的主要要问题网络攻击与与攻击检测测、防范问问题安全漏洞与与安全对策策问题信息安全保保密问题系统内部安安全防范问问题防病毒问题题数据备份与与恢复问题题、灾难恢恢复问题主要的信息息安全策略略物理安全网络安全数据安全软件安全系统管理灾难恢复1、口令策略略所有系统都都需要口令令，以拥有有易于实现现的第一级级别的访问问安全性。。为确保网网络安全运运行，保护护所拥有的的权益不受受侵害，可可以制定如如下管理策策略：☆网络服务务器口令的的管理：（1）服务器的的口令，由由部门负责责人和系统统管理员商商议确定，，必须两人人同时在场场设定。（2）服务器的的口令需部部门负责人人在场时，，由系统管管理员记录录封存。（3）口令要定定期更换（（视网络具具体情况）），更换后后系统管理理员要销毁毁原记录，，将新口令令记录封存存。（4）如发现口口令有泄密密迹象，系系统管理员员要立刻报报告部门负负责人，有有关部门负负责人报告告安全部门门，同时，，要尽量保保护好现场场并记录，，须接到上上一级主管管部门批示示后再更换换口令。☆用户口令令的管理：：（1）对于要求求设定口令令的用户，，由用户方方指定负责责人与系统统管理员商商定口令，，由系统管管理员登记记并请用户户负责人确确认（签字字或电话通通知）之后后系统管理理员设定口口令，并保保存用户档档案。（2）在用户由由于责任人人更换或忘忘记口令时时要求查询询口令或要要求更换口口令的情况况下，需向向网络服务务管理部门门提交申请请单，由部部门负责人人或系统管管理员核实实后，对用用户档案做做更新记载载。（3）如果网络络提供用户户自我更新新口令的功功能，用户户应自己定定期更换口口令，并设设专人负责责保密和维维护工作。。2、计算机病病毒和恶意意代码防治治策略计算机病毒毒是一种能能够通过改改变其他程程序而使它它们“感染染”的程序序。病毒毒防护策略略必须具备备下列准则则：（1）拒绝访问问能力：来来历不明的的入侵软件件（尤其是是通过网络络传过来的的）不得进进入系统。。（2）病毒检测测能力：病病毒总是有有可能进入入系统的，，系统中应应设置检测测病毒的机机制。除了了检测已知知类病毒外外，能否检检测未知病病毒是一个个重要的指指标。（3）控制病毒毒传播的能能力：没有有一种方法法能检测出出所有的病病毒，一旦旦病毒进入入了系统，，应不让病病毒在系统统中到处传传播。系统统一定要有有控制病毒毒传播的能能力。（4）清除能力力：如果病病毒突破了了系统的防防护，即使使它的传播播受到了控控制，也要要有相应的的措施将它它清除掉。。对于已知知类病毒，，可以使用用专用杀毒毒软件；对对于未知类类病毒，在在发现后使使用软件工工具对它进进行分析，，尽快编写写出消毒软软件。当然然，如果有有后备文件件，也可使使用它直接接覆盖受感感染文件，，但一定要要查清楚病病毒的来源源。（5）恢复能力力：有可能能在清除病病毒以前，，病毒就破破坏了系统统中的数据据，系统应应提供一种种高效的方方法来恢复复这些数据据。（6）替代操作作：可能会会遇到这种种情况，问问题发生时时，手头没没有可用的的技术，任任务又必须须执行下去去。系统应应该提供一一种替代操操作方案。。在恢复系系统时可用用替代系统统工作，等等问题解决决以后再换换回来。这这一准则对对于战时的的军事系统统是必须的的。3、安全教育育与培训策策略在安全教育育策略具体体实施过程程中应该有有一定的层层次性：（1）主管信息息安全工作作的高级负负责人或各各级管理人人员：重点点是了解、、掌握企业业信息安全全的整体策策略及目标标、信息安安全体系的的构成、安安全管理部部门的建立立和管理制制度的制定定等。（2）负责信息息安全运行行管理及维维护的技术术人员：重重点是充分分理解信息息安全管理理策略，掌掌握安全评评估的基本本方法，对对安全操作作和维护技技术的合理理运用等。。（3）用户：重重点是学习习各种安全全操作流程程，了解和和掌握与其其相关的安安全策略，，包括自身身应该承担担的安全职职责等。4、可接受使使用策略AUP在完成了大大部分策略略的编制工工作后，需需要对其进进行总结和和提炼，产产生的成果果文档被称称为可接受受使用策略略AUP，该文档是是整体安全全策略的总总结，其中中，概括了了用户对于于信息安全全的责任，，AUP以终端用户户作为阅读读对象，具具有简短而而突出重点点的特点。。AUP通常包含以以下主要内内容：（1）概述：描描述什么是是AUP，企业、组组织发布AUP的目的，制制定AUP的原则以及及一些必要要的法律声声明等。（2）安全策略略说明：说说明制定AUP所依据的信信息安全策策略，提示示用户信息息安全策略略的更改会会影响到AUP的修订，并并且告诉用用户从哪里里可以获得得详细的信信息安全策策略文档。。（3）术语说明明：将AUP中涉及的术术语名词，，以及AUP签署生效的的有效时间间进行说明明。（4）用户责任任：对信息息安全策略略中所有涉涉及到用户户的信息安安全责任内内容，应当当进行总结结和提炼，，以简单明明了的语言言进行阐述述，使得用用户充分了了解自己对对于企业、、组织信息息安全所承承担的责任任和义务。。介绍cisco公司信息安安全管理实实例企业信息安安全策略的的制定四、信息网网络的物理理安全物理安全就就是保护信信息网络免免受各种自自然灾害和和人为操作作错误等因因素的破坏坏，使信息息网络可以以维持正常常运行的状状态。物理安全分分为：环境境安全、设设备安全和和媒体安全全三类；环境安全是是指保障信信息网络所所处环境安安全的技术术；设备安全是是指保障构构成信息网网络的各种种设备、网网络线路、、供电连接接、各种媒媒体数据本本身以及存存储介质等等安全的技技术。媒体安全是是指包括媒媒体数据的的安全及媒媒体本身的的安全。物理环境涉及到的标标准：计算站场地地安全要求求（GB9361-88）计算站场地地技术要求求（GB2887-2000）计算机信息息系统防雷雷保安器（（GA173-98）计算机机房房用活动地地板技术条条件（GB6650-86）军用通信设设备及系统统安全要求求（GJZB663）环境安安全的的保障障要求求计算机机场地地通用用规范范（GB/T2887：2000）计算算机场场地安安全要要求（（GB9361：1988）计算算机机机房用用活动动地板板技术术条件件(GB6650-1986)电子计计算机机机房房设计计规范范(GB50174-1993)计算机机信息息系统统防雷雷保安安器(GA173-98)电磁泄泄露发发射电磁磁兼容容低压压电气气及电电子设设备发发出的的谐波波电流流限值值（设设备每每相输输入电电流≤16A）(GB17625.1-1998)电磁兼兼容-限值-对额定定电流流不大大于16A的设备备在低低压供供电系系统中中产生生的电电压波波动和和闪烁烁的限限制(GB17625.2-1999)电磁干干扰信息息技术术设备备的无无线电电骚扰扰极限限值和和测量量方法法(GB9254-1998)信息技技术设设备抗抗扰度度限值值和测测量方方法(GB17618-1998)计算站站场地地是计计算机机系统统的安安置地地点，，计算算机供供电、、空调调以及及该系系统的的维修修人员员和工工作人人员的的工作作场所所。计算机机机房房安全全等级级划分分A类，有有完善善的计计算机机机房房安全全措施施B类，有有较完完善的的计算算机机机房安安全措措施C类，有有基本本的计计算机机机房房安全全措施施环境安安全计算机机机房房场地地选址址时应应符合合《电子计计算机机机房房设计计规范范》、《计算站站场地地安全全要求求》主要应应考虑虑的问问题：：1、场地地防火火，包包括防防火报报警系系统,灭火系系统等等2、场地地防水水、防防潮，，控制制湿度度40%———65%3、场地地供电电，设设置电电源保保护装装置，，如浪浪涌滤滤波器器、零零地电电压调调整变变压器器、UPS紧急供供电等等4、防静静电，，采用用防静静电地地板；；5、防雷雷击，，机房房应设设在建建筑物物中间间位置置，做做好接接地与与等电电位连连接；；6、电磁磁防护护，采采用电电磁屏屏蔽。。设备安安全1、设备备防盗盗、防防毁，，采用用门禁禁防盗盗系统统2、设备备防静静电3、设备备防电电磁干干扰广义定定义:能够引引起计计算机机故障障,破破坏计计算数数据的的程序序统称称为计计算机机病毒毒。标准定定义：：计算机机病毒毒，是是指编编制或或者在在计算算机程程序中中插入入的破破坏计计算机机功能能或者者毁坏坏数据据，影影响计计算机机使用用，并并能自自我复复制的的一组组计算算机指指令或或者程程序代代码。。计算机机病毒毒防护病毒历历史及及发展展趋势势的演演变病毒年年表年代病毒情况198311月，第一例病毒被专家们在试验中证实1986出现攻击MS-DOS的Brain病毒1987

引导型病毒开始在世界上传播，并受到重视1989

我国首次发现病毒1989可执行文件型病毒出现1992出现直接修改系统关键中断的内核的EWDIR2病毒1992伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。年代病毒情况1994变形病毒出现1996我国发现“病毒生成机软件”1996感染LotusAmiPro的文件的宏病毒(APM/GreenStripe)出现1997

采用JAVA、ACTIVE技术的恶意程序出现19982月，台湾省的陈盈豪编写出了CIH-1.2版19992月，“美丽杀”病毒爆发2000I-WORM/LoveLetter“爱虫”网络蠕虫病毒2003冲击波病毒病毒发发展演演变趋趋势图图典型的的计算算机病病毒一一般由由三个个功能能模块块组成成，即即：引引导模模块，，传染染模块块，破破坏模模块。。但是，，不是是所有有的病病毒均均由此此结构构组成成，如如有的的SQL甚至没没有病病毒体体（即即病毒毒文件件），，只驻驻留于于内存存。典型病病毒的的结构构引导模块块：将病病毒主体体导入内内存并为为传染模模块提供供运行环环境。传染模块块：将病病毒代码码传到其其它的载载体上去去.一般般情况下下传染模模块分为为两部分分，前部部是一个个条件判判别程序序，后部部才是传传染程序序主体。。破坏模块块：同传传染模块块一样，，破坏模模块也带带有条件件判别部部分，因因病毒均均有潜伏伏期，破破坏模块块只在符符合条件件时才进进行活动动。计算机病病毒的分分类按照通常常习惯分分为一下下几种：：A）引导型B）文件型C）脚本病毒毒D）宏病毒E）蠕虫病毒毒F）木马病毒毒G）逻辑炸弹弹引导型病病毒1．感染染目标：：通过文文件感染染硬盘的的引导区区部分；；2．传播播途径：：通过软软盘,光光盘等介介质进行行传播；；3．典型型病毒：：Stone文件型病病毒1．感染染目标：：通过可可执行的的文件感感染目标标系统文文件；2．传播播途径：：各种存存储介质质，网络络共享，，电子邮邮件；3.典典型病毒毒：幽灵灵王脚本语言言:脚本语言言是介于于HTML和Java、C++和VisualBasic之间的语语言。它它的语法法和规则则没有可可编译的的编程程程序那样样严谨和和复杂。。脚本病毒毒就是指指在脚本本语言中中加入病病毒代码码，利用用网页的的等脚本本载体传传播的病病毒。脚本型病病毒宏病毒MicrosoftWord中对宏定定义为：：“宏就是能能组织到到一起作作为一独独立的命命令使用用的一系系列Word命令，它它能使日日常工作作变得更更容易。。”感染目标标：通过过可执行行的文件件感染目目标系统统文件；；传播途径径：各种种存储介介质，网网络共享享，电子子邮件；；蠕虫病毒毒蠕虫是指指具有通通过网络络进行自自我繁殖殖功能的的程序，，传染机机理是利利用网络络和电子子邮件进进行复制制和传播播。这一一病毒利利用了微微软视窗窗操作系系统或者者其他软软件系统统的漏洞洞，计算算机感染染这一病病毒后，，会不断断自动上上网，并并利用文文件中的的地址信信息或者者网络共共享进行行传播和和网络攻攻击。木马病毒毒特洛伊木木马病毒毒，也叫叫黑客程程序或后后门病毒毒，病毒毒通过一一套隐藏藏在合法法程序中中的命令令，指示示计算机机进行不不合法的的运作。。换句话话说就是是指采用用正常用用户无法法察觉的的方法潜潜入到对对方内部部实施某某种破坏坏（盗窃窃）行为为。木马马程序的的本质就就是一个个远程控控制软件件：远程程控制软软件是在在远方机机器知道道，允许许的情况况下，对对远方机机器进行行远程控控制的软软件。逻辑炸弹弹指被设置置在合法法程序中中，通过过事件或或条件引引发后，，会破坏坏程序和和数据的的子程序序段。新出现的的病毒JAVA等网页病病毒；利用P2P软件传播播的病毒毒；PDA等掌上电电脑病毒毒；手机病毒毒等。造成数据据毁坏、、丢失；；破坏系统统如硬盘盘、主板板等硬件件；影响网络络正常功功能，甚甚至网络络瘫痪；；破坏系统统软件；；为系统留留“后门”，为黑客客窃取数数据提供供途径；；降低计算算机系统统性能。。计算机病病毒的危危害年份病毒名称感染数量损失金额（美元）2000爱虫88亿2001尼姆达>8百万台60亿2001红色代码>1百万台26亿2002求职信>6百万台90亿2003SQLSlammer>20万台约9.5－12亿2003冲击波>140万台损失还在继续近年病毒毒爆发的的情况及及损失传染性：：正常的计计算机程程序一般般是不会会将自身身的代码码强行连连接到其其它程序序上，而而病毒却却能使自自身的代代码强行行传染到到一切符符合其传传染条件件的未受受到传染染的程序序之上。。隐蔽性：：病毒通常常附在正正常程序序中或磁磁盘隐蔽蔽处，与与正常程程序通常常是难以以区分的的。计算机病病毒的特特性潜伏性：：大部分分的病毒毒感染系系统之后后一般不不会马上上发作，，它可长长期隐藏藏在系统统中，只只有在满满足其特特定条件件时才启启动其表表现（破破坏）模模块。破坏性：：任何病毒毒只要侵侵入系统统，都会会对系统统及应用用程序产产生程度度不同的的影响。。不可预见性：：从对病病毒的检检测方面面来看，，病毒还还有不可可预见性性。计算机病病毒的特特性1.密码码破解技技术应用此技技术的病病毒可对对win2000以上的操操作系统统的密码码进行破破解。此此类病毒毒一般会会带有约约几百单单词数量量（有时时会更大大的）的的字典库库，可对“弱口令”进行破解解，因此此需要至至少六位位的数字字字母混混合的系系统口令令。例：爱情情后门病病毒目前病毒毒新技术术和新特特点2.漏漏洞技术术利用操作作系统和和软件系系统（主主要是微微软的软软件系统统）漏洞洞进行攻攻击;即即发送不不正常的的数据包包，使获获得的系系统出现现错误，，从而使使病毒夺夺取对方方电脑的的控制权权。例：冲击击波利用用rpc漏洞，震震荡波利利用LSASS漏洞3.端口口监听技技术（原原多见于于木马程程序）Moodown.y病毒利用用自身的的SMTP发信引擎擎来发送送病毒邮邮件，监监听82端口，，等待攻攻击者连连接，可可自动下下载并执执行新的的病毒。。振荡波病病毒的最最新变种种监听1023端口（（支持USER、PASS、、PORT、RETR和QUIT命令），，并实现现一个tftp服务器，，并进行行攻击。。4.多线线程扫描描技术现在常见见病毒多多采用此此技术，，此技术术可加速速网络病病毒的传传播速度度。如I-Worm.Sasser.e（（振荡波.e）开辟128个线线程扫描描网络，，传播播病毒。。主动通通过网网络和和邮件件系统统传播播传播速速度极极快扩散面面广变种多多、快快网络时时代病病毒的的新特特性：：使用传传统手手段难难于根根治、、容易易引起起多次次疫情情具有病病毒、、蠕虫虫和后后门（（黑客客）程程序的的多种种特性性病毒向向能对对抗反反病毒毒软件件和有有特定定目的的的方方向发发展目前存存在病病毒的的传播播途径径网络病病毒攻击图工作站站工作站站网站服服务器器网站服服务器器邮件中中恶意意附件件攻破多多个网网站服服务器器以前攻攻破的的网站站服务务器浏览器器进攻攻文件共共享Internethub路由器有防护护的办办公网网络中中的病病毒传传播病毒传传入途途径：：终端漏漏洞导导致病病毒传传播；；邮件接接收导导致病病毒传传播；；外部带带有病病毒的的介质质直接接接入入网络络导致致病毒毒传播播；内部用用户绕绕过边边界防防护措措施，，直接接接入入因特特网导导致病病毒被被引入入；网页中中的恶恶意代代码传传入；；大型内内部网网络，，一般般均有有防火火墙等等边界界防护护措施施，但但是还还经常常会出出现病病毒，，病毒毒是如如何传传入的的呢？？系统漏漏洞传传播；；系统邮邮件传传播；；储存介介质传传播；；共享目目录传传播；；病毒在在此类类网络络内的的传播播途径径目前网网络防防病毒毒可能能需要要面临临的问问题：：难以确确定网网络内内设备备的用用户联联网状状况;无法快快速准准确定定位病病毒源源;了解病病毒源源后，，无法法方便便的对对病毒毒源进进行阻阻断。。难以监监控系系统安安全补补丁安安装情情况;缺乏有有效的的技术术手段段保证证管理理制度度的贯贯彻。。防病毒毒管理理机构构组成成图建立有有效的的病毒毒防范范管理理机制制防病毒毒需求求分析析：只有有明了了自己己的安安全需需求才才能有有针对对性地地构建建适合合于自自己的的安全全体系系结构构，正正确的的安全全分析析需求求是保保证网网络系系统的的安全全的根根源。。防病毒毒风险险管理理：风险险管理理是对对需求求分析析结果果中存存在的的威胁胁和业业务需需求进进行风风险评评估，，以可可以接接受的的投资资，进进行最最大限限度的的病毒毒防范范工作作。防病毒毒管理理机制制的制制定和和完善善制定防防病毒毒策略略:根据据组织织和部部门的的防病病毒需需求和和风险险评估估的结结论，，制定定切实实可行行的计计算机机网络络防病病毒策策略。。定期防防病毒毒审核核:安全全审核核的首首要任任务是是审核核组织织的安安全策策略是是否被被有效效地和和正确确地执执行。。因为为网络络防病病毒是是一个个动态态的过过程，，防病病毒的的需求求可能能会发发生变变化；；为了了在防防病毒毒需求求发生生变化化时，，策略略和控控制措措施能能够及及时反反映这这种变变化，，必须须进行行定期期安全全审核核。病毒特征码码识别技术术自动解压技技术实时监视技技术启发式查毒毒技术带毒杀毒技技术病毒队列技技术目前主要的的防病毒技技术概述防病毒软件件的结构扫描应用扫描引擎病毒定义库库防病毒软件件的3个组组成部分防病毒软件件扫描应用用户接口日志文件报警功能扫描引擎搜索病毒的的逻辑算法法CPU仿真器精密编程逻逻辑病毒定义库库：内有病病毒的特征征码防病毒网关关由于目前的的防火墙并不不能防止目目前所有的的病毒进入入内网，所所以在某些些情况下，，需要在网网络的数据据出入口处处和网络中中重要设备备前配置防防病毒网关关，以防止止病毒进入入内部网络络。防病毒网关关按照功能能上分有两两种:保护网络入入口的防病病毒网关保护邮件器器的防病毒毒网关防病毒网关关按照部署署形式分为为：透明网关代理网关透明网关代理网关邮件服务器器的防病毒毒保护对邮件服务务器系统自自身加固邮件防病毒毒网关邮件防病毒毒由于目前的的病毒大部部分均是通通过邮件传传播的，所所以对于邮邮件服务器器的保护是是十分重要要的。客户端防病病毒引导安全系统安装安安全系统日常加加固日常使用安安全服务器防病病毒服务器防病病毒时，除除了注意主主机还应注注意防病毒毒应该注意意的问题外外，还应该该注意到服服务器的可可用性和稳稳定性，也也需要注意意对重要数数据经常备备份等问题题。补丁加固是是今年来网网络面临的的新问题，，对于大型型机关和企企业网络，，靠有限的的人力人工工去进行终终端的安全全加固是不不现实的。。为此，微微软提出了了两个解决决方案：SMS：MicrosoftSystemManagementSUS：SoftwareUpdateServices补丁加固SMS技术是基于于主域控制制技术，通通过域控制制器对管辖辖的计算机机的安全补补丁进行统统一的升级级和管理。。此方法存存在的问题题是国内一一般不使用用主域控制制形式进行行网络管理理,另外，，对于终端端使用多操操作系统的的网络使用用此技术升升级所需的的工作量也也比较大。。SMS技术SUS技术此技术应用用了当前微微软WindowsUpdate的技术，即即客户端可可通过内网网建立的SUSServer自动下载升升级补丁。。采用此方方法的优点点是简单方方便，但是是此系统也也有不易实实施的缺点点。病毒预警技技术一般是是采用分布布式的结构构，进行集集中管理报报警，分散散控制。病毒预警的的具体可采采用“数据流分析析”、“病毒诱捕”等技术。新一代病毒毒预警技术术提供网络数数据流量的的侦测模块块，通过网网络数据分分析工具及及时捕获网网络设备数数据流信息息，对于数数据流量异异常的机器器进行报警警，以辨别别是否为网网络病毒、、木马、黑黑客等程序序所外发数数据包。数据流分析析系统第一时间提提供病毒入入侵消息，，并自动上上报至病毒毒集中监控控中心。病毒诱捕机机具体操作：：360安全卫士补补丁加固McAfee城域网杀毒毒软件的分分布部署McAfee邮件防病毒毒网关的部部署边界安全防防护设计硬件防火墙墙QOS带宽管理系系统MCAFEE城域网防护护系统及反反垃圾/病毒邮件网网关MRTG流量监控－－24小时监控所所有学校及及网络骨干干接口的流流量IP侦测－24小时记录出出口数据包包的包头信信息交换机（Switch）是集线器的的升级换代代产品，从从外观上来来看的话，，它与集线线器类似都是带有多多个端口的的长方形盒盒状体。但是交换机拥有有一条很高高带宽的背背部总线和和内部交换换矩阵。它的所有的端端口都挂接接在这条背背部总线上上。控制电电路收到数数据包以后后，处理端端口会查找找内存中的的MAC地址对照照表以确确定目的的MAC的网卡挂挂接在哪哪个端口口上，通通过内部部交换矩矩阵直接接将数据据迅速包包传送到到目的节节点，而而不是所所有节点点，目的的MAC若不存在在才广播播到所有有的端口口。二层交换换机，实实现OSI二层交换换帧不作作任何修修改，仅仅仅查一一下交换换表，进进行转发发。三层交换换机是指将交换机机的快速速交换能能力和路路由器的的路由寻寻址能力力结合起来，所以也称称路由交换换机，它工作在网网络层。。通过IP地址来确确定是哪哪个子网网的结点点，帧可可能会发发生变化化，经路路由后变变成新的的帧。三三层交交换机充充分利用用路由器器的三层层功能，，既保留留了二层层交换机机灵活的的虚拟局局域网（（VLAN）划分和高高交换速速度的优优点，又又解决了了二层网网络无法法处理的的“广播播风暴””问题，，三层交换换与路由由的最大大区别在在于：路路由要对对每一个个数据包包进行路路由转发发，而三三层交换换只对每每次通讯讯的握手手连接进进行路由由查找，，对真正正的用户户数据只只进行二二层转发发，速度度快了很很多。三三层交换换机能够支持常用用的路由由协议。交换机设设置switch:；ROM状态，路路由器器是rommon>Setup模式，以以对话方方式配置置hostname>；；用户命令令模式hostname#；；特权命令令模式hostname(config)#；；全局配置置模式hostname(config-if)#；；子配置模模式－接接口状态态1、六种工作作模式：：？查查询命命令Tab补全按键键用户命令令模式：：Enable进入特权权模式特权命令令模式：：Configterminal进入全局局配置模模式Copy复制命令令Reload重启设备备Show显示命令令showrunning显示运行行配置文文件内容容showversion显示版本本信息Exit返回命令令2、常用用CLI命令全局配置置模式：：Hostname设置交换换机的主主机名Enablepassword***设置特权权非密口口令Enablesecret0***设置特权权加密口口令ipaddressip-addressnetmask设置交换换机IP地址ipdefault-gatewayip-address设置交换换机网关关Interfaceethernetmodule/number进入接口口模式子配置模模式－接接口模式式Noshudown激活端口口duplex{auto|full|half}设置接口口链路模模式speed{10|100|auto}设置端口口速度VLAN（VirtualLAN），翻译成中中文是““虚拟局局域网””。LAN可以是由由少数几几台家用用计算机机构成的的网络，，也可以以是数以以百计的的计算机机构成的的企业网网络。VLAN所指的LAN特指使用用路由器器分割的的网络———也就就是广播播域。广播域，，指的是是广播帧帧所能传传递到的的范围，，亦即能能够直接接通信的的范围。。二层交交换机只只能构建建单一的的广播域域，不过过使用VLAN功能后，，它能够够将网络络分割成成多个广广播域。。通过增加加子网数数目可以以构建更更多的通通路，减减轻信息息流量拥拥塞。将将网络拆拆分成多多个由交交换机、、路由器器所连接接的子网网，这样样可以划划分冲突突域和广广播数据据包，进进而提高高网络性性能。交换机操操作练习习：(一)、、1、设设置Switch的主机名名2、设置置一个加加密密码码3、启用用VLAN1,设置IP地址为1544、设置置默认网网关为1(二)、、新建一一个PC，设置IP地址为2在PC上屏Switch，如果能能屏通则则说明设设置成功功接入交换换机安全全设置生成树防防环路：：spanning-treeinterfacerangefastEthernet0/2-47spanning-treebpduguardenabled防DoS攻击：ipdenylandipdenyinvalid-l4port路由黑洞洞iprouteNull0iprouteNull0ACL访问列表表ipaccess-listextended1001denyicmpanyanydenytcpanyanyeq135denytcpanyanyeq139denytcpanyanyeq445denytcpanyanyeq593denytcpanyanyeq1433denytcpanyanyeq4444denytcpanyanyeq5554denytcpanyanyeq9996denyudpanyanyeqnetbios-nsdenyudpanyanyeqnetbios-dgmdenyudpanyanyeqnetbios-sspermitipanyanyipaccess-group1001in网络管理理：snmp-servercommunitypublicro镜像端口口monitorsession1destinationinterfacefastEthernet0/48monitorsession1sourceinterfacefastEthernet0/1both网络故障障排查一、故障障分层排排查法1、了解解故障现现象，收收集信息息，判断断是用户户的使用用问题还还是网络络连接问问题2、根据据现象给给故障分分层，到到底属于于网络层层还是应应用层问问题，3、根据据分层查查找故障障原因，，可以使使用对应应的命令令或网管管工具来来检测。。4、制定定执行排排障计划划，对较较大的排排障过程程一定要要作记录录，以便便作故障障分析和和对可能能产生的的新故障障的原因因分析故障案例例分析1、网卡卡指示灯灯亮，但但托盘区区显示网网络电缆缆没有插插好网卡灯亮亮说明网网卡硬件件安装正正常，但但托盘区区显示网网络电缆缆没有插插好，基基本上可可以判断断是线路路连接问问题，首首先重插插网线两两端水晶晶头，如如果网卡卡另一指指示灯闪闪烁，说说明链路路已连通通，托盘盘区提示示会自动动消失。。如果重插插后另一一指示灯灯仍旧不不亮，可可换一根根网线或或换一个个上联接接口。另外如果果在检查查中发现现网卡两两个指示示灯始终终长亮，，没有闪闪烁，则则可以判判断为网网卡故障障。2、网络络连接正正常，仍仍然无法法上网首先使用用ipconfig命令查看看本机网网络配置置是否正正确，如如果ipconfig命令无效效，则可可能是本本机TCP/IP协议出错错或系统统故障其次在本本机ping同网段主主机和网网关地址址，如果果能拼通通同网段段主机，，说明本本机网络络正常，，如果能能拼通网网关，说说明网段段正常最后拼网网络域名名，如果果能解析析出域名名对应IP，说明网络络完全正正常，不不能上网网是IE浏览器故故障或网网管控制制造成的的。如果果无法解解析出IP，则说明是是DNS服务故障障。可通通过IP地址打开开网页，，如。3、交换换机指示示灯观察察普通交换换机每个个端口有有3个指指示灯第一个灯灯亮显示示链路连连通第二个灯灯亮表示示百兆状状态第三个灯灯闪烁表表示数据据在传输输路由交换换机端口口只有一一个指示示灯，亮亮表示连连通，闪闪烁表示示数据传传输如果开机机后所有有指示灯灯始终长长亮，说说明交换换机自检检未通过过，判断断为硬件件或电源源故障如自检通通过，但但所有指指示灯无无规律快快速闪动动，网络络无法连连通，判判断为网网络中有有回路或或蠕虫病病毒发作作引起。。数据包分分析一、、网网络络嗅探探器器SnifferProSnifferPro是美美国国NetworkAssociates公司司出出品品的的一一种种网网络络分分析析软软件件，，可可用用于于网网络络故故障障检检修修与与性性能能管管理理，，在在网网络络应应用用界界应应用用非非常常广广泛泛，，现现已已占占到到网网络络分分析析软软件件市市场场的的76%。。其其网网络络分分析析器器的的强强大大功功能能和和特特征征，，能能解解决决各各种种网网络络问问题题。。Sniffer支持持的的协协议议丰丰富富，，可可以以运运行行在在各各种种Windows平台台上上。。由由于于软软件件比比较较大大，，运运行行时时需需要要的的计计算算机机内内存存比比较较大大，，否否则则运运行行比比较较慢慢，，这这是是它它的的一一个个缺缺点点。。1、、安安装装并并运运行行程程序序2、、软软件件介介绍绍Sniffer主菜菜单单分分为为监监控控、、捕捕获获、、显显示示、、工工具具、、数数据据库库、、窗窗口口等等多多个个功功能能菜菜单单在工工具具栏栏中中则则有有仪仪表表盘盘、、主主机机表表单单、、矩矩阵阵、、应应用用程程序序响响应应时时间间、、历历史史、、协协议议分分布布、、整整体体网网络络使使用用和和警警报报等等功功能能按按钮钮网络络监监视视功功能能－－网络络流流量量表表Dashboard主机机列列表表Hosttable3、、数据据包包的的捕捕获获和和分分析析捕获获局局域域网网所所有有数数据据的的方方法法1、、利利用用Hub广播播出出口口数数据据包包将网络络出口口链路路连接接到一一台Hub上，然然后从从Hub上连出出2根根线，，一根根连接接上联联端口口，保保证网网络畅畅通，，另一一根接接入安安装Sniffer的主机机2、利利用交交换机机镜像像口复复制出出口数数据包包将网络络出口口端口口镜像像到一一个普普通端端口，，然后后将这这个镜镜像口口连接接到安安装Sniffer的主机机捕获报报文查查看解码分分析模模式设置捕捕获条条件蠕虫攻攻击数数据包包ARP攻击实实例流量监监控MRTG(MultiRouterTrafficGrapher)，通常常讲是是一个个监控控网络络链路路流量量负载载的开开源软软件，，它可可以从从所有有运行行SNMP协议的的设备备上（（包括括服务务器、、路由由器、、交换换机等等）抓抓取信信息。。事实实上它它不仅仅可以以监控控网络络设备备，任任何其其它的的支持持SNMP协议的的设备备都可可以做做为MRTG的监控控对象象，并并自动动生成成包含含PNG图形格格式的的HTML文档，，通过过HTTP方式显显示给给用户户。MRTG是一个个有效效的网网络管管理和和安全全检测测工具具。因因为扫扫描与与破坏坏后都都能生生成一一些异异常的的网络络流量量，这这在一一般情情况下下是意意识不不到的的。但但是MRTG却能通通过图图形化化的形形式给给管理理员提提供入入侵的的信息息。并并可以以查出出数周周之前前的入入侵信信息，，以备备管理理员参参考。。当一种种蠕虫虫出现现，某某一个个特定定的协协议的的流量量会增增长。。蠕虫通通过傀傀儡主主机，，攻击击其他他的服服务器器，出出的流流量增增加，，并增增大CPU的负荷荷。攻击者者进行行DDOS攻击，，会造造成ICMP流量、、TCP连接、、虚假假的IP，多播播广播播流量量大增增，造造成浪浪费大大量的的带宽宽。网络管管理方方式1、简简单网网管协协议SNMPSNMP是英文文“SimpleNetworkManagementProtocol””的缩写写，中中文意意思是是“简简单网网络管管理协协议””。SNMP首先是是由Internet工程任任务组组织的的研究究小组组为了了解决决Internet上的路路由器器管理理问题题而提提出的的。SNMP是目前前最常常用的的环境境管理理协议议。SNMP被设计计成与与协议议无关关，所所以它它可以以在IP，，IPX，，AppleTalk，，OSI以及其其他用用到的的传输输协议议上被被使用用。SNMP是一系系列协协议组组和规规范，，它们们提供供了一一种从从网络络上的的设备备中收收集网网络管管理信信息的的方法法。SNMP也为设设备向向网络络管理理工作作站报报告问问题和和错误误提供供了一一种方方法。。SNMP协议组组:2、RMON管理技技术远远程程监控控（RMON））是一个个标准准监控控规范范，使使得各各种网网络监监控器器和控控制台台系统统之间间可以以交换换网络络监控控数据据，为为网络络管理理员选选择符符合特特殊网网络需需求的的控制制台和和网络络监控控探测测器提提供了了更多多的自自由。。3、基基于WEB的网络络管理理利用动动态网网页和和java技术对对网络络设备备进行行各种种功能能配置置Mrtg在Windows下的安安装与与运行行M