网络安全讲义

内容1.网络安全知识/常识2.网络漏洞和网络攻击技术介绍3.网络安全防御技术－产品4.网络安全策略-网络安全服务1/10/20231一、网络安全知识/常识1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险1/10/20232网络安全的兴起Internet技术迅猛发展和普及有组织、有目的地网络攻击－Hacker出现企业内部安全隐患有限的安全资源和管理专家

1/10/20233复杂程度Internet技术的迅猛发展和普及-网络应用InternetEmailWeb浏览Intranet

电子商务电子政务电子交易时间1/10/20234黑客（Hacker）的分类偶然的破坏者坚定的破坏者间谍1/10/20235案例:电影《黑客帝国》黑客方：尼奥（病毒、木马）反黑客方：史密斯（防火墙、杀毒软件）1/10/20236全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够网络的普及使学习黑客技术变得异常简单1/10/20237网络安全的目的保护信息的安全保护信息交互、传输的安全保护信息系统的正常运行1/10/20238进不来拿不走改不了跑不了看不懂信息安全的目的可审查1/10/20239财政损失知识产权损失时间消耗由错误使用导致的生产力消耗责任感下降内部争执网络攻击后果可见的网络攻击影响利润攻击发生(财政影响)Q1Q2Q3Q41/10/202310安全需需求和和实际际操作作脱离离内部的的安全全隐患患动态的的网络络环境境有限的的防御御策略略安全策策略和和实际际执行行之间间的巨巨大差差异用户对对安全全产品品的依依赖和和理解解误差差网络安安全风风险12/29/202211二、网网络漏漏洞和和网络络攻击击技术术介绍绍1.网网络中中的漏漏洞2.网网络攻攻击技技术12/29/202212网络通讯讯层漏洞洞超过1000个个TCP/IP服务安全全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等等.错误的路路由配置置TCP/IP中中不健全全的安全全连接检检查机制制缺省路由由帐户反向服务务攻击隐蔽Modem12/29/202213针对网络络通讯层层的攻击击通讯&服务层TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企业网络生产部工程部市场部人事部路由Internet中继调制解调器12/29/202214操作系统的的安全隐患患1000个个以上的商商用操作系系统安全漏漏洞没有及时添添加安全补补丁病毒程序的的传播文件/用户户权限设置置错误默认安装的的不安全设设置缺省用户的的权限和密密码口令用户设置过过于简单密密码使用特洛依木马马12/29/202215DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对对操操作作系系统统的的攻攻击击操作系统UNIXWindowsLinuxFreebsdMacintoshNovell12/29/202216应用用程程序序服服务务的的安安全全漏漏洞洞Web服服务务器器:错误误的的Web目目录录结结构构CGI脚脚本本缺缺陷陷Web服服务务器器应应用用程程序序缺缺陷陷私人人Web站站点点未索索引引的的Web页页数据据库库:危险险的的数数据据库库读读取取删删除除操操作作,缓冲冲区区溢溢出出路由由器器:源端端口口/源源路路由由其他他应应用用程程序序:Oracle,SAP,Peoplesoft缺缺省省帐帐户户有缺缺陷陷的的浏浏览览器器12/29/202217DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对应用服务务的攻击应用服务程序序Web服务器器数据库系统内部办公系统统网络浏览器ERP系统统办公文件程序序FTPSMTPPOP3SAPR/3Oracle12/29/202218总结通迅层漏洞(TCP/IP协议)操作系统漏洞洞应用程序漏洞洞非法授权访问问欺骗类攻击拒绝服务攻击击利用病毒的攻攻击木马程序攻击击入侵系统类攻攻击后门攻击缓冲区溢出攻攻击暴力破解字典程序12/29/202219三、网网络安安全防防御技技术－－产品品1.防防火墙墙2.防防病毒毒3.VPN4.入入侵检检测5.网网络扫扫描器器（Scanner）6.加加密7.数数字证证书12/29/202220防火墙墙综述述防火墙墙是指指设置置在不不同网网络（（如可可信任任的企企业内内部网网和不不可信信的公公共网））或网网络安安全域域之间间的一一系列列部件件的组组合。。它是是不同同网络络或网网络安全全域之之间信信息的的唯一一出入入口，，能根根据企企业的的安全全政策策控制制（允允许、拒拒绝、、监测测）出出入网网络的的信息息流，，且本身身具有有较强强的抗攻击击能力力。它是提提供信信息安安全服务，，实现现网络络和信息安安全的的基础础设施施。晓通分分支名名称InternetFileServerClientMailServerClientClientClientFTPServer防火墙墙12/29/202221防火墙可可以是软软件、硬硬件和软软硬件结结合的发展历经经四代：：简单包包过滤、、应用代代理、状状态检测测（状态态包过滤滤）防火火墙、复复合型防防火墙防火墙综综述12/29/202222硬件防火墙

软硬件结合防火墙

软件防火墙

用专用芯片处理数据包，CPU只作管理之用。使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。高带宽，高吞吐量，真正线速防火墙。即实际带宽与理论值可以达到一致.安全与速度同时兼顾。没有用户限制。性价比高。管理简单，快捷，具有良好的总体拥有成本。

机箱+CPU+防火墙软件集成于一体（PCBOX结构），市面上大部分声称“硬件”防火墙的产品都采用这种结构。采用专用或通用操作系统。核心技术仍然为软件，容易形成网络带宽瓶颈。只能满足中低带宽要求，吞吐量不高。通常带宽只能达到理论值的20%--70%。中低流量时可满足一定的安全要求，在高流量环境下会造成堵塞甚至系统崩溃。性价比不高。管理比较方便。

运行在通用操作系统上的能安全控制存取访问的软件，性能依靠于计算机CPU,内存等。基于众所周知的通用操作系统（如WinNT,SUNSolaris,SCOUNIX等），对底层操作系统的安全依赖性很高。由于操作系统平台的限制，极易造成网络带宽瓶颈。因此，实际所能达到的带宽通常只有理论值的20%--70%。可以满足低带宽低流量环境下的安全需要，高速环境下容易造成系统崩溃。有用户限制，一般需要按用户数购买，性价比较低。管理复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护。

防火墙发发展概述述12/29/202223防火墙功功能IP包检检测Internet内容容过滤网络地址址转换(NAT)攻击检测测日志审计计/报警警应用层控控制用户认证证管理控制网络络内容行行为（NEW!）12/29/202224防病毒知识介介绍什么是病毒从广义上定义义，凡能够引引起计算机故故障，自动破破坏计算机数数据的程序统统称为计算机机病毒。计算机病毒，，是指编制或或者在计算机机程序中插入入的破坏计算算机功能或者者毁坏数据，，影响计算机机使用，并能能自我复制的的一组计算机机指令或者程程序代码。12/29/202225病毒特征及目目前流行病毒毒破坏性自动复制自动传播红色代码红色代码II尼姆达-Nimuda求职信12/29/202226网关关防防病病毒毒产产品品特特点点及及适适用用平平台台产品品特特点点企业业Internet网网关关入入口口处处针针对对FTP,HTTP,SMTP高高效效能能的的三三合合一一防防毒毒软软件件全球球查杀杀技技术术，大大大大提提升升杀杀毒毒效效能能利用用在在网网关关入入口口处处对对病病毒毒拦拦截截的的功功能能,降降低低了了企企业业的的防防毒毒成本本，提提高高了了扫扫毒毒效效率率具有有完完整整的的实实时时监监控控功功能能适用用平平台台WindowsNT、、UNIX(Solaris、、HP-UX)、、Linux等等12/29/202227网关防病病毒DisparatesystemsIDSHackerInternet12/29/202228VPN的的基本技技术Internet12/29/202229VPN(VirtualPrivateNetwork)它它指指的是是以公公用开开放的的网络络(如如Internet)作作为基基本传传输媒媒体，，通过过加密密和验验证网网络流流量来来保护护在公公共网网络上上传输输的私私有信信息不不会被被窃取取和篡篡改，，从而而向最最终用用户提提供类类似于于私有有网络络(PrivateNetwork)性性能的的网络络服务务技术术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴12/29/202230VPN最最大优势----投资回回报大幅度减少少电信服务务费用，尤尤其针对地地域上分散散的公司和和企业针对远程拨拨号上网访访问的用户户，省去了了每个月的的电信费用用到2002年，按企业/组织规模大小，实施VPN比例将达到：57%----大型企业55%----中心企业51%----小型企业

来源:InfoneticsResearch12/29/202231数据机密性性保护数据完整性性保护数据源身份份认证VPN作用用12/29/202232实时入侵监控器器是网络上实实时的入侵检检测、报警、、响应和防范系系统。将基基于网络的和和基于主机的的入侵检测技术，，分布式技术术和可生存技技术完美地结结合起来，提供供实时的安全全监控。监监控系统事件件和传输的网络数数据，并对对可疑的行为为进行自动监监测和安全响应，，使用户的系系统在受到危危害之前即可可截取并终止非非法入侵的行行为和内部网网络的误用，，从而最大程程度地降低安全风风险，保护企企业网络的系系统安全。口令??????探测:入侵!实时入侵检测测系统12/29/202233网络安全评估估系统对网络络设备进行自自动的安全漏漏洞检测和分分析，并且在在执行过程中中支持基于策策略的安全风风险管理过程程。另外，执执行预定的或或事件驱动的的网络探测，，包括对网络络通信服务、、操作系统、、路由器、电电子邮件、Web服务器器、防火墙和和应用程序的的检测，从而而识别能被入入侵者利用来来非法进入网网络的漏洞。。Scanner将给出检检测到的漏洞洞信息，包括括位置、详细细描述和建议议的改进方案案。这种策略略允许管理员员侦测和管理理安全风险信信息，并跟随随开放的网络络应用和迅速速增长的网络络规模而相应应地改变。网络安全扫描描系统12/29/202234加密用于将数据转转换成保密代代码在不可信信的网络上传传输加密算法“Thecowjumpedoverthemoon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文加密数据12/29/202235对称称密密钥钥加密密和和解解密密使使用用同同一一把把密密钥钥比非非对对称称密密钥钥速速度度快快密钥钥管管理理工工作作量量大大密钥钥传传递递容容易易泄泄密密SharedSecretKey12/29/202236非对对称称密密钥钥加密密和和解解密密采采用用不不同同密密钥钥(一一把把公公钥钥,一一把把私私钥钥)密钥钥分分配配简简单单密钥钥保保存存量量小小，，便便于于管管理理AlicePublicKeyEncryptAlicePrivateKeyDecryptBobAlice12/29/202237数字字证证书书和和PublicKeyInfrastructure数字字证证书书:包含含了了一一个个人人的的或或一一个个实实体体的的PublicKeys允许许安安全全地地分分发发publickeysIssignedbyaCertificateAuthority’’sprivatekeyVerifiesidentitythroughtrustedthirdpartyMyCertificate:Name:BobOrganization:YISHANGPublicKey:lk393l430fksffj398sdf1f594ier933d34w435dCA:xxx.xxx.xxx.xxxandmore……12/29/202238灵活的的认证证方式式共享的的密钥钥最简单单的方方式两个站站点通通过电电话或或E-Mail方式式共享享密钥钥PublicKeyInfrastructure提供在在较大大规模模下发发布和和管理理Public/Private密密钥的的方法法InternetKeyExchange(IKE)自动更更有效效地进进行身身份认认证、、协商商算法法及交交换密密钥12/29/202239四、网网络安安全策策略-网络络安全全服务务建立一一个有有效的的安全全策略略为你的的系统统分类类指定危危险因因数确定每每个系系统的的安全全优先先级定义可可接受受和不不可接接受的的活动动决定在在安全全问题题上如如何教教育所所有员员工确定谁谁管理理你的的政策策12/29/202240安全基本元元素审计管理加密访问控制用户验证安全策略12/29/202241DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继管理分析&实施策略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令添加所有操作系统PatchModem数据文件加密安装认证&授权用户安全培训授权复查入侵检测实时监控12/29/202242风险RISKRISKRISKRISK风险实施安全全解决方方案：---就是为了了把网络络的风险险降到最最低限度度基本的威威胁采取措施施后剩余余的威胁胁资产威胁漏洞资产威胁漏洞12/29/202243网络系统统现状潜在的安安全风险险安全需求求与目标标安全体系系安全解决决方案分析后得得出提出依照风险险制定出出进行安全集成成/应应用开开发安全服务务安全方案案设计建立相应应的网络安全全整体设设计流程程12/29/202244VPN虚拟专用网防火墙内容检测安全评估入侵探测12/29/202245动态网络实时时系统部署网络P2DR模型-以安全策略为为核心安全策略防护

检测响应Protection-防防护D