网络安全知识培训

内容1.网络安全基础知识2.网络漏洞和网络攻击技术3.网络安全防御技术－产品4.网络安全策略-网络安全服务6/6/20231北京网新易尚科技有限公司|一、网络安全基础知识1.网络安全的兴起2.网络安全的目的3.网络攻击后果4.网络安全风险6/6/20232北京网新易尚科技有限公司|网络安全的兴起技术迅猛发展和普及有组织、有目的地网络攻击－出现企业内部安全隐患有限的安全资源和管理专家6/6/20233北京网新易尚科技有限公司|复杂程度技术的迅猛发展和普及-网络应用InternetEmailWeb浏览Intranet

电子商务电子政务电子交易时间6/6/20234北京网新易尚科技有限公司|黑客（）的分类偶然的破坏者坚定的破坏者间谍6/6/20235北京网新易尚科技有限公司|案例:电影《黑客帝国》黑客方：尼奥（病毒、木马）反黑客方：史密斯（防火墙、杀毒软件）6/6/20236北京网新易尚科技有限公司|全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够网络的普及使学习黑客技术变得异常简单6/6/20237北京网新易尚科技有限公司|网络安全的目的保护信息的安全保护信息交互、传输的安全保护信息系统的正常运行6/6/20238北京网新易尚科技有限公司|进不来拿不走改不了跑不了看不懂信息安全的目的可审查6/6/20239北京网新易尚科技有限公司|财政损失知识产权损失时间消耗由错误使用导致的生产力消耗责任感下降内部争执网络攻击后果可见的网络攻击影响利润攻击发生(财政影响)Q1Q2Q3Q46/6/202310北京网新易尚科技有限公司|安全需求和实际操作脱离内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异用户对安全产品的依赖和理解误差网络安全风险6/6/202311北京网新易尚科技有限公司|二、网络漏洞和网络攻击技术介绍1.网络中的漏洞2.网络攻击技术6/6/202312北京网新易尚科技有限公司|网络通讯层漏洞超过1000个服务安全漏洞:,,,,,,,,等.错误的路由配置中不健全的安全连接检查机制缺省路由帐户反向服务攻击隐蔽6/6/202313北京网新易尚科技有限公司|针对网络通讯层的攻击通讯&服务层TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企业网络生产部工程部市场部人事部路由Internet中继调制解调器6/6/202314北京网新易尚科技有限公司|操作系统的安全隐患1000个以上的商用操作系统安全漏洞没有及时添加安全补丁病毒程序的传播文件/用户权限设置错误默认安装的不安全设置缺省用户的权限和密码口令用户设置过于简单密码使用特洛依木马6/6/202315北京网新易尚科技有限公司|DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对操作系统的攻击操作系统UNIXWindowsLinuxFreebsdMacintoshNovell6/6/202316北京网新易尚科技有限公司|应用程序服务的安全漏洞服务器:错误的目录结构脚本缺陷服务器应用程序缺陷私人站点未索引的页数据库:危险的数据库读取删除操作,缓冲区溢出路由器:源端口/源路由其他应用程序:,,缺省帐户有缺陷的浏览器6/6/202317北京网新易尚科技有限公司|DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对应用服务的攻击应用服务程序服务器数据库系统内部办公系统网络浏览器系统办公文件程序3SAPR/36/6/202318北京网新易尚科技有限公司|总结通迅层漏洞(协议)操作系统漏洞应用程序漏洞非法授权访问欺骗类攻击拒绝服务攻击利用病毒的攻击木马程序攻击入侵系统类攻击后门攻击缓冲区溢出攻击暴力破解字典程序6/6/202319北京网新易尚科技有限公司|三、网络安全防御技术－产品1.防火墙2.防病毒34.入侵检测5.网络扫描器（）6.加密7.数字证书6/6/202320北京网新易尚科技有限公司|防火墙综述防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。InternetFileServerMailServerFTPServer防火墙6/6/202321北京网新易尚科技有限公司|防火墙可以是软件、硬件和软硬件结合的发展历经四代：简单包过滤、应用代理、状态检测（状态包过滤）防火墙、复合型防火墙防火墙综述6/6/202322北京网新易尚科技有限公司|

防火墙发展概述6/6/202323北京网新易尚科技有限公司|防火墙功能包检测内容过滤网络地址转换()攻击检测日志审计/报警应用层控制用户认证管理控制网络内容行为（!）6/6/202324北京网新易尚科技有限公司|防病毒知识介绍什么是病毒从广义上定义，凡能够引起计算机故障，自动破坏计算机数据的程序统称为计算机病毒。计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。6/6/202325北京网新易尚科技有限公司|病毒特征及目前流行病毒破坏性自动复制自动传播红色代码红色代码尼姆达-求职信6/6/202326北京网新易尚科技有限公司|网关防病毒产品特点及适用平台产品特点企业网关入口处针对高效能的三合一防毒软件全球查杀技术，大大提升杀毒效能利用在网关入口处对病毒拦截的功能,降低了企业的防毒成本，提高了扫毒效率具有完整的实时监控功能适用平台、(、)、等6/6/202327北京网新易尚科技有限公司|网关防病毒

HackerInternet6/6/202328北京网新易尚科技有限公司|的基本技术6/6/202329北京网新易尚科技有限公司|()它指的是以公用开放的网络(如)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络()性能的网络服务技术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴6/6/202330北京网新易尚科技有限公司|最大优势投资回报大幅度减少电信服务费用，尤其针对地域上分散的公司和企业针对远程拨号上网访问的用户，省去了每个月的电信费用到2002年，按企业/组织规模大小，实施VPN比例将达到：57%----大型企业55%----中心企业51%----小型企业

来源:InfoneticsResearch6/6/202331北京网新易尚科技有限公司|数据机密性保护数据完整性保护数据源身份认证作用6/6/202332北京网新易尚科技有限公司|实时入侵监控器是网络上实时的入侵检测、报警、响应和防范系统。将基于网络的和基于主机的入侵检测技术，分布式技术和可生存技术完美地结合起来，提供实时的安全监控。监控系统事件和传输的网络数据，并对可疑的行为进行自动监测和安全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用，从而最大程度地降低安全风险，保护企业网络的系统安全。口令??????探测:入侵!实时入侵检测系统6/6/202333北京网新易尚科技有限公司|网络安全评估系统对网络设备进行自动的安全漏洞检测和分析，并且在执行过程中支持基于策略的安全风险管理过程。另外，执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、服务器、防火墙和应用程序的检测，从而识别能被入侵者利用来非法进入网络的漏洞。将给出检测到的漏洞信息，包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息，并跟随开放的网络应用和迅速增长的网络规模而相应地改变。网络安全扫描系统6/6/202334北京网新易尚科技有限公司|加密用于将数据转换成保密代码在不可信的网络上传输加密算法“”“44e33a1d382w4d”明文加密数据6/6/202335北京网新易尚科技有限公司|对称密钥加密和解密使用同一把密钥比非对称密钥速度快密钥管理工作量大密钥传递容易泄密

6/6/202336北京网新易尚科技有限公司|非对称密钥加密和解密采用不同密钥(一把公钥,一把私钥)密钥分配简单密钥保存量小，便于管理

6/6/202337北京网新易尚科技有限公司|数字证书和数字证书:包含了一个人的或一个实体的允许安全地分发a’s

::::393l4303981f594933d34w435d:…6/6/202338北京网新易尚科技有限公司|灵活的认证方式共享的密钥最简单的方式两个站点通过电话或方式共享密钥

提供在较大规模下发布和管理密钥的方法()自动更有效地进行身份认证、协商算法及交换密钥6/6/202339北京网新易尚科技有限公司|四、网络安全策略-网络安全服务建立一个有效的安全策略为你的系统分类指定危险因数确定每个系统的安全优先级定义可接受和不可接受的活动决定在安全问题上如何教育所有员工确定谁管理你的政策6/6/202340北京网新易尚科技有限公司|安全基本元素审计管理加密访问控制用户验证安全策略6/6/202341北京网新易尚科技有限公司|DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继管理分析&实施策略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令添加所有操作系统Patch数据文件加密安装认证&授权用户安全培训授权复查入侵检测实时监控6/6/202342北京网新易尚科技有限公司|风险RISKRISKRISKRISK风险实施安全解决方案： 就是为了把网络的风险降到最低限度基本的威胁采取措施后剩余的威胁资产威胁漏洞资产威胁漏洞6/6/202343北京网新易尚科技有限公司|网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出进行安全集成/应用开发安全服务安全方案设计建立相应的网络安全整体设计流程依照风险制定出6/6/202344北京网新易尚科技有限公司|冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁6/6/202345北京网新易尚科技有限公司|虚拟专用网防火墙访问控制防病毒入侵检测网络安全整体框架(形象图)6/6/202346北京网新易尚科技有限公司|网络病毒红色代码尼姆达冲击波震荡波病毒

6/6/202347北京网新易尚科技有限公司|木马病毒性木马工行密码盗取ＱＱ木马其它后门工具6/6/202348北京网新易尚科技有限公司|安全威胁实例用户使用一台计算机D访问位于网络中心服务器S上的邮件服务，存在的安全威胁：U在输入用户名和口令时被录像机器D上有程序，记录了用户名和口令机器D上存放用户名和密码的内存对其他进程可读，其他进程读取了信息，或这段内存没有被清0就分配给了别的进程，其他进程读取了信息用户名和密码被自动保存了用户名和密码在网络上传输时被监听（共享介质、或伪造）机器D上被设置了代理，经过代理被监听6/6/202349北京网新易尚科技有限公司|安全威胁实例（续）查看邮件时被录像机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来屏幕记录程序保存了屏幕信息浏览邮件时的临时文件被其他用户打开浏览器了网页信息临时文件仅仅被简单删除，但是硬盘上还有信息由于攻击，连接到错误的站点，泄漏了用户名和密码由于网络感染了病毒，主干网瘫痪，无法访问服务器服务器被攻击，无法提供服务6/6/202350北京网新易尚科技有限公司|什么是网络安全？本质就是网络上的信息安全。网络安全防护的目的。6/6/202351北京网新易尚科技有限公司|网络安全的特征（1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性：对信息的传播及内容具有控制能力。（5）可审查性：出现的安全问题时提供依据与手段6/6/202352北京网新易尚科技有限公司|网络系统结构——开放系统互连参考模型（1）ISO/OSI模型网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层对等协议物理介质系统A系统B第N+1层第N层PDUSDUHPDU第N-1层SDUN+1层协议实体N+1层协议实体N层协议实体SAPSAP6/6/202353北京网新易尚科技有限公司|的网络互连网际互连是通过网关（）实现的网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机，同时属于多个网络G1网络1网络3G1网络26/6/202354北京网新易尚科技有限公司|与参考模型协议和模型的对应关系应用层表示层会话层传输层网络层数据链路层物理层、、

、

,802.3,802.11等

参考模型协议簇物理层6/6/202355北京网新易尚科技有限公司|影响网络安全的主要因素网络的缺陷 因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。例如：多数底层协议为广播方式，多数应用层协议为明文传输，缺乏保密与认证机制，因此容易遭到欺骗和窃听软件及系统的“漏洞”及后门随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是还是几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一6/6/202356北京网新易尚科技有限公司|黑客的攻击 黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。网络普及，安全建设滞后 网络硬件建设如火如荼，网络管理尤其是安全管理滞后，用户安全意识不强，即使应用了最好的安全设备也经常达不到预期效果6/6/202357北京网新易尚科技有限公司|网络安全策略网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种：1直接风险控制策略（静态防御）安全=风险分析+安全规则+直接的技术防御体系+安全监控攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。2自适应网络安全策略（动态性）安全=风险分析+执行策略+系统实施+漏洞分析+实时响应该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安全间隙”，从而提高网络系统的安全性。完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。局限性在于：只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。

6/6/202358北京网新易尚科技有限公司|

3智能网络系统安全策略（动态免疫力）安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能而引入的智能反馈机制。 模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。6/6/202359北京网新易尚科技有限公司|安全技术选择根据协议层次 物理层：物理隔离链路层:链路加密技术、2网络层:协议（）、防火墙层:协议、基于公钥的认证和对称钥加密技术应用层:、、、()、开发专用协议（）6/6/202360北京网新易尚科技有限公司|网络安全工具物理隔离设备交换机/路由器安全模块防火墙()漏洞扫描器入侵检测系统、入侵防御系统、安全审计系统、日志审计系统绿盟远程安全评估系统虚拟专用网（）、上网行为管理系统病毒防护（防病毒软件、防毒墙、防木马软件等）网络加速，负载均衡、流量控制……6/6/202361北京网新易尚科技有限公司|物理隔离主要分两种：双网隔离计算机物理隔离网闸6/6/202362北京网新易尚科技有限公司|双网隔离计算机解决每人2台计算机的问题1台计算机，可以分时使用内网或外网关键部件硬盘网线软盘等共享部件显示器键盘/鼠标主板/电源硬盘*原理切换关键部件6/6/202363北京网新易尚科技有限公司|简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关6/6/202364北京网新易尚科技有限公司|复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用中的8芯，减少一根网线6/6/202365北京网新易尚科技有限公司|物理隔离网闸的基本原理采用数据“摆渡”的方式实现两个网络之间的信息交换在任意时刻，物理隔离设备只能与一个网络的主机系统建立非协议的数据连接，即当它与外部网络相连接时，它与内部网络的主机是断开的，反之亦然。任何形式的数据包、信息传输命令和协议都不可能穿透物理隔离设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件，然后以“摆渡文件”形式传递原始数据。6/6/202366北京网新易尚科技有限公司|物理隔离实现基本原理（1）6/6/202367北京网新易尚科技有限公司|内外网模块连接相应网络实现数据的接收及预处理等操作；交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧；集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。6/6/202368北京网新易尚科技有限公司|物理隔离技术的应用涉密网和非涉密网之间6/6/202369北京网新易尚科技有限公司|物理隔离技术的优缺点优点：

中断直接连接

强大的检查机制

最高的安全性缺点：

对协议不透明，对每一种协议都要一种具体的实现 效率低6/6/202370北京网新易尚科技有限公司|交换机安全模块绑定设置多划分日志其他…6/6/202371北京网新易尚科技有限公司|路由器安全功能访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止假冒和拒绝服务（）检查源地址：过滤1918地址空间的所有包；关闭源路由：路由协议的过滤与认证管理日志其他抗攻击功能6/6/202372北京网新易尚科技有限公司|通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网提供高性能、低价位的因特网接入是企业网在公共网络上的延伸简介6/6/202373北京网新易尚科技有限公司|网上数据泄漏的风险Internet内部网恶意修改通道终点到：假冒网关外部段（公共因特网）接入设备原始终点为：安全网关数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送恶意的可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISP窃听正确通道6/6/202374北京网新易尚科技有限公司|功能数据机密性保护数据完整性保护数据源身份认证重放攻击保护6/6/202375北京网新易尚科技有限公司|远程访问内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网是企业网在因特网上的延伸的典型应用6/6/202376北京网新易尚科技有限公司|现有的解决方案基于的解决方案基于第二层的解决方案非的网络层解决方案非的应用层解决方案6/6/202377北京网新易尚科技有限公司|现有的解决方案－小结网络层对所有的上层数据提供透明方式的保护，但无法为应用提供足够细的控制粒度数据到了目的主机，基于网络层的安全技术就无法继续提供保护，因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据，但在传递过程中，无法抵抗常用的网络层攻击手段，如源地址、目的地址欺骗应用层安全几乎更加智能，但更复杂且效率低因此可以在具体应用中采用多种安全技术，取长补短6/6/202378北京网新易尚科技有限公司|防火墙的主要功能监控并限制访问 针对黑客攻击的不安全因素，防火墙采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。控制协议和服务 针对网络先天缺陷的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。6/6/202379北京网新易尚科技有限公司|防火墙的主要功能（续）保护网络内部 针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制；防火墙还可以屏蔽受保护网络的相关信息，使黑客无从下手。日志记录与审计 当防火墙系统被配置为所有内部网络与外部连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。6/6/202380北京网新易尚科技有限公司|防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用2－7层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限6/6/202381北京网新易尚科技有限公司|入侵检测基本原理：利用方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为6/6/202382北京网新易尚科技有限公司|网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响6/6/202383