网络安全实战详解

...v.第一章网络平安根底1.1网络平安的现状与挑战1.1.1我国网络平安的现状〔1〕计算机系统遭受病毒感染和破坏的情况相当严重。〔2〕黑客活动已形成严重威胁〔3〕平安意识淡薄是网络平安的瓶颈。1.1.2网络平安面临的挑战1、网络部平安的原因〔1〕教育问题〔2〕技术方面〔3〕互联网不平安〔4〕系统软件自身不平安〔5〕网络管理问题2、威胁的来源威胁网络平安的主要来源包括内部人员〔信息系统的管理者、使用者和决策者、开发者、维护者等〕、特殊身份的人员〔审计人员、稽查人员、记者等〕、外部黑客、竞争对手、网络恐惧组织、军事组织或国家组织等。任何威胁都可能是主机受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内部网向公共网传输的信息可能被他人窃听或篡改。3、平安威胁与网络攻击的类型多样化〔1〕窃听〔2〕重传〔3〕伪造〔4〕篡改〔5〕非授权〔6〕拒绝效劳攻击〔7〕行为否认〔8〕旁路控制〔9〕电磁/射频截获〔10〕人员疏忽1.2网络平安的定义从本质上讲，网络平安就是网络上信息的平安。网络平安是指包含网络信息系统中的软件、硬件级信息资源，使之免受偶然或者恶意的破坏篡改和泄露，保证网络系统的正常运行、网络效劳不中断。网络平安是一门涉及计算机科学、网络技术、密码技术、信息平安技术、应用数学、数论、信息论等多种学科的综合性科学。从广义上讲，网络平安包括网络硬件资源和信息资源的平安性。硬件资源包括通信线路、通信设备〔交换机、路由器等〕、主机等，要实现信息快速平安的交换，一个可靠的物理网络是必不可少的。信息资源包括维持网络效劳运行的系统软件和应用软件，以及在网络中存储和传输的用户信息数据等。1.3典型网络平安案例分析1.4网络平安技术1.4.1数据加密技术密码技术是保障网络平安的最根本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。就体质而言，目前的加密体制可分为：但密钥加密体制和公钥加密体制。单密钥加密体制对称加密算法、私钥加密体制。速度快，容易用软硬件实现。公钥加密体制非对称加密体制，RSA。1.4.2防火墙技术防火墙是网络控制设备，用于拒绝除了明确允许通过之外的所有通信数据。大多数防火墙都采用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理效劳器技术。1.4.3认证技术认证技术就是验证一个用户、系统或进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用认证技术：身份认证报文认证授权数字签名1.4.4杀毒软件技术杀毒软件是最常见、最普通的平安技术方案，因为这种技术实现起来简单。现在杀毒软件有预防木马和防火墙的作用。1.4.5入侵检测技术入侵检测技术是对防火墙技术的一种逻辑补偿技术，是一种积极主动的平安防护技术，提佛功能了对内部入侵、外部入侵、和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。入侵检测技术三个开展方向:分布式入侵检测、智能化入侵检测、和全面的平安防御方案。1．4.6控制技术每个系统都要确保用户是有权限的，这样才允许他们，这种机制交控制。每当用户对系统进展时，参考监视器就会查看授权数据库，已确定准备进展操作的用户是否确实得到了可进展此项操作的许可。1.4.7虚拟专用网VPNVPN是目前解决信息平安最新、最成功的技术之一。所谓虚拟专用网技术就是在公网上建立专用网络，使数据通过平安的“加密管道〞在公网中传输。构建VPN有两种主流机制：路由过滤技术和隧道技术。目前VPN采用以下4中技术来保障平安：隧道技术、加/解密技术、密钥管理技术、使用者和设备身份认证技术。1.4.8其他网络平安技术1.智能卡技术2.平安脆弱性扫描技术3.网络数据存储、备份及容灾规划目前主流的网络平安技术解决网络平安只是相对的，不可能保证网络的万无一失，任何的网络平安和数据保护的防范措施都有一定的限度，还有其他很多因素影响网络平安。1．5网络平安体系构造1.5.1网络平安体系构造框架一个三维的网络平安体系构造框架，反响了信息系统的平安需求和系统构造的共性。五大网络平安效劳平安效劳是指采用一种或多种平安机制以抵御平安攻击、提高机构的数据处理系统平安和信息传输平安的效劳。在对威胁进展分析的根底上，规定了五大标准网络平安效劳。鉴别效劳身份鉴别是授权控制的根底。目前一般采用的是基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术进展身份认证。比拟著名的有Kerberos、PGP等方法。控制效劳用于防止为授权用户非法使用系统资源，包括用户身份认证、用户权限确认。对控制的要求有：一致性统一性有审计功能数据完整性数据完整性是指通过网上传输的数据应注重非法实体对交换数据的修改、插入、删除、替换或重发，以保证合法用户接收和使用该数据的真实性。数据**效劳为了防止网络中各个系统之间交换的数据被截获的或被非法错去的二造成泄密，提供密码加密保护。抗抵赖效劳并防止发送发在发送数据后否认自己发送过此数据，接收方在接收数据后否认自己受到过次数据或者伪造接收数据。一是不得否认发送，二时不得否认接收。电子签名的主要目的是防止抵赖，防止否认，给仲裁提供证据。八大网络平安机制平安机制是指涉及用于检测、预防平安攻击后恢复系统的机制。加密机制加密是提供信息**的核心方法。控制机制控制是通过对者的有关信息进展检测来限制后制止者使用资源的技术。房屋内控制还可以直接支持数据**性、数据完整性、可用性以及合法使用的平安目标。数据完整性机制数字完整性包括数据单元完整性和数据字段完整性。数据单元完整性主要用hash函数生成标记。数字签名机制数字签名机制主要解决以下问题否认伪造冒充篡改数字签名机制具有可证实性、不可否认性、不可为伪造性和不可重用性。交换鉴别机制交换鉴别机制是通过相互交换信息的方式来确定彼此的身份。用于交换鉴别的技术有：口令和密码技术。公证机制公证机制是在两个和多个实体之间交换数据信息时，用户保护各个实体平安及纠纷的仲裁。流量填充机制流量填充机制提供针对流量分析的保护，外部攻击者有时能够根据数据交换的出现，消失、数量、或频率而提取有用的信息。路由控制机制路由控制机制使得可以指定透过网络发送数据的路径。1.5.2网络平安效劳层次模型开放系统互连参考模型的层次功能是上层利用下层提供的效劳，下层为上层效劳。在物理层要保证通信线路的可靠，不易被窃听。在数据链路层可以采用加密技术，保证通信的平安。在互联网和internet环境中，地域分布很广，物理层的平安难以保证，链路层的加密技术也不完全适用。在网络层，可以采用传统的防火墙技术，还可适用ＩＰ加密传输信道技术Ipsec，在两个结点之间建立透明的平安加密信道。在传输层可以实现进程到进程的平安通信。如现在流行的平安套接字SSL技术，是在两个通信节点间建立平安的TCP连接。这种技术实现了基于进程对进程的平安效劳和加密传输信道，采用公钥体系做身份认证，具有较高的平安度。但这种技术对应用层不透明，需要证书授权中心，它本身不提供控制。应用层针对特定的应用有效。1.5．3网络平安层次模型分析分析从网络平安层次模型根底上分析网络平安风险，可以将网络平安分层4个层次上的平安风险。物理平安网络设备、设施平安。防盗防火防静电防雷防电磁泄漏逻辑平安主要表达在网络方面的平安性，包括网络层身份认证、网络资源的控制、数据传输的**与完整性、远程接入平安、域名系统的平安、路由系统的平安、入侵检测的手段和网络设施的放病毒。操作系统平安主要表达在3个方面：一是操作系统本身缺陷带来的不平安因素，主要包括身份认证、控制、系统漏洞等；二是操作系统平安配置问题；三是病毒对操作系统的威胁。联网平安联网的平安性通过两方面来到达:控制效劳通信平安效劳1.6网络平安评估准那么1.6.1网络平安评估准那么的开展1.可信计算机系统评估准那么美国TCSEC橘皮书2.信息技术平安评估准那么欧洲ITSEC白皮书3.加拿大可信计算机产品评个准那么CTCSEC4.美国联邦准那么FC5.通用平安评估准那么CC标准第一个信息技术平安评估国际标准。6.计算机信息系统平安等级划分标准GB17895-19991.6.2可信计算机系统评估准那么7个级别，一般操作系统C2级。1.6.3计算机信息系统平安保护等级划分准那么1.第一级为用户自主保护级2.第二级为系统审计保护级3.第三极为平安标记保护级4.第四级为构造化保护级5.第五级为验证保护级1.6.4网络平安评估效劳网络平安评估是一个比拟泛化的概念，其核心是网络平安风险评估。企业的平安风险信息是动态变化的，只用动态的信息平安评估才能发现和追踪最新的平安风险。所以企业的网络信息平安评估是一个长期持续的工作，通常每隔1~3年就进展一次平安风险评估。1.6.5网络平安管理1.平安管理原那么2.平安管理实现1.7网络平安法律法规系统第二章网络平安的规划与设计一个可行的网络系统平安规划与设计方案应具备三个根本特征：既充分满足应用需求、具有较高的性价比、最大限度保护用户投资。2.1网络系统平安规划设计概述2.1.1网络系统平安规划的意义2.1.2网络系统平安规划的任务网络系统平安的规划是在需求分析的根底上进展技术的论证，把用户提出的问题和要求，用网络平安方面的术语提出来，经过技术方面的分析，提出一整套网络系统规划与设计的设想和方案。网络平安的规划设计要用科学的方法，对网络上各种数据进展风险评估，然后选择适当的网络平安机制和方法。网络平安规划和设计一般经历以下几个过程：〔1〕问题的提出与技术化分析〔2〕充分调研，确定网络资源，分析网络资源的平安性威胁，分析平安性需求和折中方案。〔3〕把总体设计具体化，开发平安性方案，定义平安策略。〔4〕经费概算〔5〕开发实现平安策略，选用适当的网络平安技术措施实现平安策略〔6〕编写规划技术文档〔7〕得到用户认可，培训用户，实现技术策略〔8〕测试平安性，发现问题并改正(9)通过制定周期的独立审计，阅读审计日志，响应突发事件，阅读最后的文献，不断测试和培训，更新平安方案和策略。2.1.3网络系统平安规划设计的根本原那么网络平安的实质是平安立法、平安管理和平安技术的综合实施。这三个层次表达了平安策略的限制、监视和保障职能。根据防范平安攻击的需求、需要到达的平安目标、对应平安机制所需的平安效劳等因素，参照SSE-CMM〔系统平安工程能力成熟度模型〕和ISO17799〔信息平安管理标准〕等国际标准，综合考虑可实施性，可管理性、和扩展性、综合完备性、系统均衡性等方面，子啊网络平安方案整体规划、设计过程中应遵循以下十大原那么。1.整体性原那么三大机制：平安防护机制是根据具体系统存在的各种平安隐患采取相应的防护措施，防止非法攻击的进展。平安检测机制是检测系统的运行情况，及时发现和制止对系统进展的各种攻击。平安恢复机制是在平安防护机制失效的情况下，进展应急处理和尽量、及时地恢复信息，降低破坏程度。2.均衡性原那么平安系统设计要正确处理需求、风险与代价的关系，做到平安与可用性相融，使其更易执行。这就要求在设计平安策略是，要全面地评估企业的实际平安需求等级及企业的实际经济能力，寻找平安风险与实际需求之间的一个均衡点。3.有效性和实用性原那么不能影响系统正常的运行和合法用户的操作。在进展网络平安策略设计时，一定要结合实际平安等级需求与经济承受能力来综合考虑。4.等级性原那么平安层次和平安级别。好的信息平安系统必然是分为不同的等级的，包括对信息**程度分级，对网络平安程度分级〔平安域和平安子网〕，对系统是实现构造分级，针对不同的级别的对象，保护措施不同。5.易操作性原那么6.技术与原理相结合原那么7.统筹规划，分布实施原那么8.动态化原那么9.可评价性原那么10.多重保护原那么纵深防御2.2网络系统平安需求与平安目标分析网络资源的共享与网络的平安性是一对矛盾体。2.2.1平安需求分析具体表现：1.物理上的平安需求电磁泄漏；设备冗余；系统冗余；线路通信平安。2.控制需求〔1〕阻止外部攻击行为〔2〕防止内部员工合法用户非授权〔3〕防范假冒合法用户非法3.加密传输需求4.入侵检测系统需求5.平安风险评估系统需求网络平安扫描系统检测网络中存在的平安漏洞，并修补。6.防病毒系统需求7.平安管理体制需求2.2.2网络平安目标1.可靠性2.可控性3.抗抵赖性4.**性5.完整性6.有效性基于以上目标分析，在局域网中网络系统平安应该实行以下目标：建立一套完整可行的网络平安与网络管理策略将内部网络、公开效劳器网络和外网进展有效隔离，防止与外部网络的直接通信建立各主机和效劳器的平安保护措施，保证网络系统平安对网上效劳请求内容进展控制，使非法在到达主机前被拒绝加强合法用户的认证，同时将用户的权限控制在最低限度全面监视对公开效劳器的，及时发现和拒绝不平安的操作和黑客攻击行为加强对各种的审计工作，详细记录对网络、公开效劳器的行为，形成完整的系统日志备份与灾难恢复:强化系统备份，实现系统快速恢复。2.3网络平安规划设计与实施步骤网络平安规划设计与实施应考虑以下5个问题：2.3.1确定面临的各种攻击和风险并分析平安需求网络平安规划设计与实施必须根据具体的网络系统和环境，考察、分析、评估、检测和确定系统存在的平安漏洞和平安威胁。分析网络中可能存在的薄弱环节，分析这些环节可能造成的危害，分析这些危害可能造成的后果和损失。2.3.2明确网络系统平安策略网络平安最重要的一个任务就是制定一个平安策略。平安策略是指在一个特定的环境中，为保证提供一定级别的平安保护所必须遵守的规那么。网络平安策略是保障机构网络平安的指导文件，平安策略的目的是决定一个组织机构怎样来保护自己。一般来说网络平安策略包括总体平安策略和具体平安管理实施规那么。1.制定组织机构的整体平安策略领导主持2.制定和系统相关的平安策略网络平安策略主要确定以下几方面内容：平安策略的制定是为了保证信息的**性、完整性和可用性，应具有普遍的指导意义。平安策略要确定用户的权利和责任，包括账户管理、资源权限、口令应用以及建立备份等。平安策略还应提出一般性的平安防护措施:存取控制、认证、密码技术、防火墙技术、操作系统平安、数据库平安、计算机病毒防护、审计和监控等方面。在平安运维方面，还应注意应急处理策略和制度。制定平安策略的依据：对资源进展评估，包括硬件、软件、数据、文档、等分出平安等级。对可能的威胁进展分析，包括非授权、信息泄露和内部缺陷等。2.3.3建立网络平安模型模型的建立可以使复杂的问题简单化，更好的解决和平安策略有关的问题。网络平安的建立主要参看P2DR模型。Policy策略，Protection防护，Detection检测，Response响应，这4个局部构成了一个动态的信息平安周期。P2DR模型的根本思想是：一个系统的平安应在一个统一的平安策略的控制和指导下，综合运用各种平安技术〔如防火墙技术、操作系统身份认证和加密等手段〕对系统进展保护，同时，利用检测工具来监视和评估系统〔漏洞评估和入侵检测系统〕的平安状态，并通过适当的响应机制来讲系统调整到性对“更平安〞和“风险更低〞的状态。1.Policy策略策略是网络平安模型的核心，所有的防护、检测、响应都是依据平安策略实施的。2.Protection防护缺陷扫描、控制及防火墙、防病毒软件如个人防火墙、数据加密、鉴别技术等3.Detection检测IDS4.Response响应总之，防护、检测、响应和恢复组成了一个完整的、动态的平安循环，在平安策略的指导保障信息系统的平安。平安=风险分析+执行策略+系统实施+漏洞监测+实施响应2.3.4选择并实施平安策略网络平安策略的实施是具体平安技术机制和方法是实现。〔1〕物理层平安策略设备和通信链路，环境。电磁泄漏。〔2〕数据链路层平安策略保障通过链路传输的数据不被窃听，Vlan和加密〔3〕网络层平安策略保证网络只给授权的客户使用授权的效劳，保证网络路由正确，防止拦截或监听。防火墙和VPN〔4〕系统平安策略操作系统和业务系统〔5〕应用系统平安策略〔6〕网络平安管理策略2.3.5平安产品选型测试要求：一是平安产品必须符合国家有关平安管理部门的政策要求；二是平安产品的功能与性能要求。2.4典型的企业网络平安规划设计案例2.4.1某小型企业网络平安规划设计方案1.网络应用概述该企业的网络系统是典型的intranet系统，总部的主网络系统通过DDN专线与互联网相连，企业有效劳器系统、效劳器系统和intranet效劳器和内部效劳器，分别用于发布公司的、构建公司的Email系统及实现本地和远程网络化办公，其中总部的主网络系统和分支机构的子网络系统的数据通信是通过互联网公网来完成的。此外，公司的研发中心等重要部门设置在总部。企业网络构造示意图如下:2.平安需求分析为确保公司的整个网络系统能够平安稳定运行，需要对重要效劳器、重要子网进展平安保护，对传输的数据进展加密，对用户的身份进展鉴别等，必须主要解决以下方面的平安问题：〔1〕效劳器系统的平安：包括效劳器、效劳器、内部效劳器等〔2〕公司总部和分支机构内部网络平安：防范来自互联网的攻击，如病毒、木马、黑客等〔3〕用户的身份确定：包括公司员工、访客和网络会员。〔4〕数据传输平安：包括总部和分支机构之间、内部网用户到效劳器、移动用户和家庭用户到效劳器〔5〕保护重要部门：研发中心等有产品源代码3.平安策略制定〔1〕物理平安策略：如机房环境、门禁系统、设备锁、数据备份、CMOS平安设置等。〔2〕控制策略：为公司总部内部网与互联网之间、公司总部与分支机构之间、互联网用户与公司网络之间等需要进展互联的网络制定控制规那么。〔3〕平安配置及更新策略：对操作系统、应用系统、平安产品等进展升级更新，设置用户权限及信任关系等。〔4〕管理员和用户策略：制定机房出入管理制度，实行平安责任制等〔5〕平安管理策略：平安规划设置、平安审计、日志分析、漏洞检测及修等。〔6〕密码平安策略：密码复杂度、密码更改周期、密码有效期等〔7〕紧急事件策略：针对打击和入侵可能导致的结果制定应急处理流程和灾难恢复方案。4.产品选择及部署使用平安产品是贯彻平安策略的有效手段，能够解决大多数的平安问题。但这并不代表使用了平安产品就一定平安了，往往需要把平安产品与平安管理和效劳有机地结合起来，才能到达较高的平安水平。〔1〕交换机：划分Vlan进展子网隔离，抵抗嗅探类程序，提高网络传输效率〔2〕防火墙：解决内外网隔离及效劳器平安防范等问题，主要部署在网络的互联网接点和重要部门的子网与其他内部子网之间，其中个人防火墙系统安装在客户端。〔3〕VPN：解决网络间数据传输的平安**，主要部署在需要平安**的线路两端的接点处，如防火墙和客户端。〔4〕身份认证：解决用户身份鉴别问题，主要部署在专用认证效劳器或需要认证的效劳器系统中。〔5〕反病毒：防范病毒、木马、蠕虫等有害程序的感染和传播，主要部署在效劳器系统和客户端系统上〔6〕入侵检测系统：平安监控和黑客入侵实时报警拦截，主要部署在需要保护的效劳器主机和需要保护的子网上。5.平安教育培训在网络平安方案中，平安教育也是比拟重要的一个环节，平安教育能使用户掌握根本的平安知识，有利于平安意识的提高，能够及时制止或防止有可能发生的平安事件的发生，能够是平安产品能够更好的发挥其作用，也方便了平安管理和效劳的实施。一般来说，主要是对一般网络用户和网络管理员及信息主管等对象实施平安培训，内容至少要包含以下一些方面：〔1〕根本网络知识〔2〕OSI7层网络模型及TCP/IP协议〔3〕计算机病毒及防治技术〔4〕常见网络入侵手段的分析和防范〔5〕操作系统及其应用的平安设置〔6〕平安产品的平安和配置〔7〕企业网络系他的平安管理和维护〔8〕数据备份与恢复2.4.2大型企业网络平安规划设计1.工程概况〔1〕工程背景某大型企业有6个子公司，各子公司的因为通过一个信息平台进展统一管理、协调处理〔2〕建立目标实现现代化网络办公，提供信息共享和交流的环境，提高协同工作的能力，保证公司业务有序进展，产生增值效应。〔3〕系统平安建立的意义满足业务应用需要，根本上解决企业平安问题，营造一个平安的企业网络环境，提供整体平安实施策略。2.需求分析〔1〕网络系统根本需求包括：多业务的承载能力和可靠的网络性能先进的流量管理能力和合理分配网络资源灵活的组网能力和合效劳质量保证能够提供各种网络接入方式网络扩展性好，能够方便的进展网络扩容和优化支持多种网络平安策略，在保证网络系统具有高度**性的同时，确保网络的互联互通性对平台的传输通道加密和对传输的数据进展加密实现灵活的控制功能和完备的平安审计功能统一的网络管理，使网络系统能更加有效的运行保证企业网络平台稳定有效地运行，能快速解决出现的故障，确保该系统的运行，节约运营资金。〔2〕平安保障体系要求包括：建立完备的备份、恢复机制合理划分平安域，控制用户的区域与权限提供多种数据传输模式，优先使用国产设备和软件建立计算机病毒防护体系，建立统一的身份认证机制加强对平安事件的检测与审计，建立完善的平安保证组织机构，建立完善的平安管理机制，建立完善的平安管理咨询、评估、规划、实施及培训制度3.设计方案〔1〕平安体系构造分析物理平安网络的物理平安主要是指地震、水灾、火灾等环境事故；电源故障，认为操作失误或错误，设备被盗、被毁；电磁干扰，线路截获，以及高可用性的硬件、双机多冗余设计、机房环境及报警系统、平安意识等。它是整个网络系统平安的前提，在这个企业网络内，由于网络的物理跨度大，只制定健全的平安管理制度是不能完全防止的，还要做好备份，并加强网络设备和机房的管理。网络平安指在数据传输和网络连接方面存在平安隐患。涉及的方面包括：数据传输平安和网络边界平安。系统平安指企业网络所采用的操作系统、数据库及相关商用软件产品的平安漏洞和计算机病毒对应用系统造成的威胁。涉及的方面包括：系统漏洞风险、病毒入侵和非法入侵风险。应用平安指角色及用户管理、身份认证、权限管理和数据传输等方面的威胁。涉及的方面包括：角色管理、用户管理、授权管理、用户认证和数据平安网络管理平安涉及的方面包括：组织管理、制度管理、人员管理和平安审计系统〔2〕平安方案设计整体方案企业网络的管理信息平台分为内部和外部。其中内部为数据中心，外部为信息平台的使用者和工程参与方。如图平安管理方案制定健全的平安管理体制将使网络平安得意实现的重要保证。企业网络根据自身的实际情况，制定如平安操作流程、平安事故奖罚制度，以及平安管理人员的考察等。构建平安管理平台将会减低很多因为无意的人为因素而造成的风险。构建平安管理平台从技术上，组成平安管理子网，安装集中统一的平安管理软件，如病毒软件管理系统、网络设备管理系统及网络平安设备管理软件。通过平安管理平台实现全网的平安管理。企业内部应该经常对单位员工进展网络平安防范意识的培训，全面提高员工的整体平安防范意识。〔3〕网络平安技术方案网络平安技术方案总体设计构造示意图如下全面动态的平安策略全面的平安策略包含的要素：网络边界平安、数据传输平安、操作系统平安、应用效劳器的平安和网络防病毒动态的平安策略包含的要素：内部网络入侵检测和操作系统入侵检测实现平安策略的技术和产品：防火墙、加密与认证技术、入侵检测技术、漏洞检测技术和网络防毒产品防火墙与VPN技术防火墙是使用最为广泛的平安技术，是第一道平安防线，可以实现网络边界平安。防火墙提供VPN功能：在两个网关上的防火墙之间建立VPN通道。VNP采用4项技术：隧道技术、加/解密技术、密钥管理技术、身份认证技术选择和设置防火墙的考虑因素：包括平安性、配置便利性、管理的难易性、可靠性、可扩展性。认证和加密技术：包括数字证书提供认证、数字证书的技术原理。解决方案:政府CA入侵检测：IDS对各种攻击行为实时做出反响。IDS工作方式、基于主机的入侵检测、基于网络的入侵检测、IDS能实现动态的平安要素。漏洞检测：模拟黑客的攻击行为对内部网络或主机进展扫描，然后给出平安漏洞报告。网络防毒方案：包括多层病毒防护体系、客户端防病毒系统、效劳器端的防病毒系统、互联网的防病毒系统。〔4〕网络防护体系的实施分步实施。第三章网络平安漏洞扫描系统3.1漏洞扫描系统概述3.1.1漏洞的概念漏洞是可以在攻击中利用的弱点，可以是软件、硬件、程序缺点、功能设计或配置不当等。3.1.2漏洞扫描系统简介1.漏洞扫描系统定义漏洞扫描是一种自动检测计算机平安脆弱点的技术。扫描程序集成了的常用攻击方法，针对系统可能存在的各种脆弱点进展扫描，输出扫描结果，以便人工分析并发现系统存在的漏洞。2.漏洞扫描系统的必要性分析防火墙的局限性：〔1〕防火墙不能防范不经过防火墙的攻击。〔2〕防火墙不能解决来自内部网络的攻击和平安问题。〔3〕防火墙不能防止最新的未设置策略或错误配置引起的平安威胁。〔4〕防火墙布不能防止可接触的人为或自然的破坏。〔5〕防火墙无法解决TCP/IP等协议的漏洞。〔6〕防火墙对效劳器合法开放端口的攻击大多无法阻止。〔7〕防火墙不能阻止受病毒感染的文件的传输。〔8〕防火墙不能防止数据驱动式攻击。〔9〕防火墙不能防止内部的泄密行为。〔10〕防火墙不能防止本身漏洞的威胁。3.漏洞扫描系统组成漏洞扫描系统个组成局部功能说明如下：漏洞数据库模块：用户配置控制台模块扫描引擎模块当前活动的扫描知识库模块结果存储器和报告生成工具3.1.3网络漏洞扫描器1.漏洞扫描器的工作原理扫描工作原理是，首先探测目标系统的活动主机，对活动主机进展端口扫描，确定系统开放的端口，同时根基协议指纹技术识别出主机的操作系统类型。然后扫描器对开放的端口进展网络效劳类型测识别，确定其提供的网络效劳。漏洞扫描器根据目标系统的操作系统平台和提供的网络效劳，调用漏洞资料库中的各种漏洞进展逐一检查，通过对探测响应数据包的分析判断是否存在漏洞。扫描器应有的三项能力：发现一个主机和网络的能力；发现什么效劳正在主机上运行的能力；发现效劳漏洞的能力。2.漏洞扫描技术漏洞扫描主要有4种技术：基于主机的漏洞扫描技术基于应用的漏洞扫描技术基于目标的漏洞扫描技术基于网络的漏洞扫描技术防火墙的防御技术是被动防御，而漏洞扫描技术那么是主动防御。3.漏洞扫描器的选用按照漏洞扫描技术的标准，可以将漏洞扫描器分为两种类型：主机漏洞扫描器和网络漏洞扫描器。主机漏洞扫描器：COPS、tripewire、tiger等网络漏洞扫描器：NSS、ISS等。3.2漏洞扫描系统实施策略一个完善的漏洞系统实施方案应包括6局部：1.平安应用策略2.漏洞预警3.漏洞检测4.漏洞统计分析5.漏洞修补6.漏洞审计跟踪3.3.2漏洞扫描系统常用工具1.网络平安扫描器NSS2.超级优化TCP端口检测程序Strobe3.平安管理员的网络分析工具SATAN为Unix设计的。4.X-scanWindows免安装3.3Windows系统漏洞的检测与修补3.3.1Windows系统常见漏洞1.Windows2000〔1〕登录输入法漏洞MS00-069〔2〕系统崩溃特性〔3〕系统管理权限漏洞〔4〕IIS5.0/5.1验证漏洞2.Windows2003〔1〕自动保存隐患调用应用程序错误的调试信息会自动保存。修改方法：1.Regedit中HKLM\Software\Microsoft\WindosNT\CurrentVersion\AeDebug分支中Auto的键值改为0；2.删掉DocumentandSetting\AllUsers\SharedDocumets\DrWatson\Drwatson中的User.dmp和Drwtsn32.log文件；3.重启系统〔2〕资源共享隐患修改方法:1.网络中“本地连接〞属性中取消“Microsoft网络的文件和打印机共享〞〔3〕远程隐患远程通信登录密码是明文传输。加固方法：“我的电脑〞属性中远程，取消“允许远程用户连接到这台计算机〞〔4〕用户切换隐患加固方法：在用户账户中取消“使用快速用户切换〞〔5〕页面交换隐患加固方法：1.regedit中HKLM\system\currentControlSet\Control\SessionManager\MemoryManagerment的ClearPapeFileAtShutdown的键值改为1。2.reboot。3.WindowsXP3.3.2Windows系统漏洞的检测1.微软基准平安分析器MBSA免费的漏洞检测评估软件。2.使用病毒防火墙自带的系统漏洞扫描工具3.利用网络系统平安工具自带的系统漏洞扫描工具4.在线漏洞扫描工具软件3.4操作系统更新3.4.1系统补丁部署原那么所安装的补丁不能与所使用的应用软件冲突根据实际需要平安补丁在部署补丁前，应做好以下工作在运行补丁前要阅读说明文档，充分了解补丁的功能、用法、对应用的漏洞情况，对安装补丁后发生的后果要做到心中有数在平安补丁前，最好将相应文件进展备份注意补丁程序对应的操作系统和应用软件的版本。注意补丁来源要平安选择十适当的安装模式。在线；下载安装3.4.2操作系统补丁更新实战1.手动安装windows补丁程序2.windows系统补丁自动更新Update效劳3.WSUS系统自动更新效劳Windowsserverupdateservices是微软公司提供的一款免费软件，提供局部windows操作系统关键更新的分发。3.5网络漏洞扫描系统在企业网络平安实施中的应用实战根据现代企业网络现状及开展趋势，对主要平安措施从以下几个方面进展考虑：网络传输保护，主要是数据加密保护网络平安隔离，主要措施是采用防火墙技术网络病毒防护，主要是采用网络防病毒系统广域网接入局部的入侵检测，采用入侵检测系统网络平安漏洞分析，采用漏洞扫描分析设备定期平安审计，主要包括两局部：内容审计和网络通信审计重要数据的备份，重要信息点的防电磁泄漏网络平安构造的可伸缩性，包括平安设备的可伸缩性，即根据用户的需要随时进展规模、功能扩展。网络防雷措施第四章网络控制技术网络控制技术是网络平安防范和保护的主要核心策略，他的主要任务是保证网络资源不被非法使用和。控制规定了主体对客体的限制，并在身份标识的根底上，根据身份对提出资源的请求加以控制。4.1网络控制概述4.1.1控制的概念控制是策略和机制的集合，它允许对限定资源的授权。控制3要素,即主体、客体和控制策略。4.1.2控制的策略1.入网控制策略2.操作权限控制策略3.目录平安控制策略4.属性平安控制策略5.网络效劳器平安控制策略6.网络监测和锁定控制策略7.网络端口和节点的平安控制策略8.防火墙控制策略4.1.3控制策略管理1.分布式策略管理2.集中式策略管理4.1.4控制的模型控制一般是基于平安策略和平安模型的。1.Bell-LaPadula模型**模型。上读：不可读高级别的数据下写：不可写低级别的数据2.Lattice模型3.Biba模型完整性下读属性：不能读低级别数据上写属性：不能写入高级别数据4.2控制分类常用控制类型：4.2.1自主控制DAC4.2.2强制控制MAC4.2.3基于角色的控制RBAC4.2.4基于任务的控制TBAC4.2.5基于对象的控制OBAC4.3控制应用类型控制主要应用一下3个方面：4.3.1网络控制机制1.防火墙的网络控制机制2.路由器的网络控制机制4.3.2主机-操作系统控制机制4.3.3应用程序控制机制4.4企业网络的控制实施过程1.构建企业网络平安体系一般来说，网络的平安控制体系分为企业内部网络的控制体系和企业外部网络的控制体系这两大局部。从技术角度而言。主要采用虚拟局域网技术、路由器控制列表、TACACA+或RADIUS认证效劳和防火墙技术等。构建企业网络平安体系，需要注意如下方面：〔1〕明确网络资源〔2〕确定网络点〔3〕限制用户范围(4)明确平安设想〔5〕充分考虑人的因素〔6〕实现深层次平安2.企业内部的平安控制企业内部平安问题主要在于：如何控制网络不同部门之间的相互如何对不断变更的用户进展有效的管理如何防止网络风暴影响系统关键业务的正常运行，甚至导致系统崩溃。如何加强远程拨号用户的平安认证管理一般企业内部系统采用的平安技术如下：〔1〕VLAN技术〔2〕路由器控制列表〔3〕加强内部拨号用户的平安认证管理一般常采用TACACS+或RADIUS协议，能够支持鉴别、授权和记账功能。3.企业外部平安控制一般用防火墙技术，防火墙分三类：包过滤防火墙、应用级网关和状态监视器第五章防火墙技术5.1防火墙技术根底5.1.1防火墙的概述防火墙是在内部网与外部网之间实施平安防范的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。5.1.2防火墙的功能一般防火墙有如下功能：1.防火墙是网络平安的屏障2.防火墙可以强化网络平安策略3.对网络存储和进展监控审计4.防止内部信息外泄5.防御功能支持防病毒功能、支持内容过滤功能6.管理功能5.1.3防火墙的优缺点1.防火墙优点〔1〕防火墙能强化平安策略〔2〕保护易受攻击的效劳〔3〕防火墙能有效地记录Internet上的活动〔4〕增强的**性〔5〕防火墙是一个平安策略的检查站2.防火墙的缺点〔1〕防火墙防内不防外的策略限制〔2〕不能防范IP地址欺骗〔3〕无法检测加密的web流量〔4〕防火墙不能防范病毒5.1.4防火墙开展史五个开展阶段1.第一代防火墙与路由器同时出现，包过滤技术2.第二三代防火墙二代：电路层防火墙；三代：应用层防火墙〔代理防火墙〕3.第四代防火墙动态包过滤技术，状态监视技术4.第五代防火墙自适应代理技术，智能防火墙5.2网络防火墙技术5.2.1防火墙的分类1.从防火墙产品形态分3类：软件防火墙；硬件防火墙；芯片级防火墙2.从防火墙采用的技术分3类：包过滤型防火墙；代理型防火墙；检测型防火墙3.从网络体系构造分4类：网络级防火墙；应用级网关；电路级网关；规那么检查防火墙4.从应用部署位置分3类：边界防火墙；个人防火墙；混合式防火墙、分布式防火墙、嵌入式防火墙5.2.2防火墙的技术防火墙所采用的技术主要有：1.包过滤技术对数据包实施有选择的通过的技术。优点：一个过滤路由器协助防护整个网络；数据包过滤对用户透明；速度快效率高缺点：平安性相对不高；配置繁琐2.应用代理技术也叫应用层网关技术，在应用层实现，针对每一个特定的应用进展检测。代理技术的优点：易于配置；能生成各项记录；灵活；能过滤数据内容缺点：代理速度比路由慢；代理对用户不透明；对于每个效劳，代理可能要求不同的效劳器；代理效劳通常要求对客户或过程进展限制；代理效劳器受协议弱点的限制；代理不能改良低层协议的平安性。3.一种改良的防火墙技术〔复合型防火墙技术〕由于过滤型防火墙平安性不高，代理型防火墙速度慢。因而出现了一种综合两种技术优点的改良型防火墙技术。5.3防火墙平安设计谋略5.3.1防火墙的体系构造3种1.双宿主主机体系构造双宿主机、堡垒主机，是一台至少配有两个网卡的主机，充当路由器用2.被屏蔽主机体系构造需要一台堡垒主机和一个有屏蔽功能的路由器3.被屏蔽子网体系构造需两个路由器，构建一个DMZ区5.3.2防火墙平安设计谋略及要求1.如何解决防火墙效率和平安之间的矛盾为了解决效率和平安间的矛盾，防火墙采用如下平安策略：〔1〕除非明确允许否那么制止；常用〔2〕除非明确制止，否那么允许2.如何正确选用、合理配置防火墙应遵循4个步骤：〔1〕风险分析〔2〕需求分析〔3〕确立平安政策〔4〕选择正确的防护手段，并使之与平安政策保持一致3.需要正确评估防火墙的实效状态4.防火墙必须进展动态维护5.如何对防火墙进展测试验证5.4防火墙常见应用方案5.4.1边界防火墙1.边界防火墙的应用方案边界防火墙具体可以实现的任务如下：2.边界防火墙系统设计规那么规那么如下：5.4.2内部防火墙系统1.网络体系构造分为：边界网络、外围网络、内部网络2.内部防火墙的应用方案内部防火墙具体应用方案可以实现如下功能：5.5常见防火墙的选购5.5.1常见防火墙产品厂家1.国外防火墙厂家思科〔CiscoPIX〕、CheckPoint、NetScreen等2.国内一线厂家东软、天融信、联想、方正、安氏、华为、绿盟等3.国内二线厂家亿阳、东方龙马、中网、天网、网威、得实等4.国内三鲜厂家其他5.5.2如何选购适宜的防火墙产品1.防火墙自身平安性2.系统的稳定性3.高效性4.可靠性5.功能灵活性6.配置和管理方便性7.是否可以抵抗拒绝效劳攻击8.是否可以针对用户身份过滤9.是否可扩展、可升级5.5.3防火墙产品功能指标详解1.LAN口接口类型、数量2.协议支持3.加密支持4.认证支持5.技术支持6.防御功能支持病毒扫描；支持内容过滤；能防御DoS攻击类型；阻止ActiveX、Java、Cookies、JavaScript入侵7.平安特性支持ICMP；提供入侵实时报警；防止IP欺骗8.管理功能9.记录和报表功能5.6典型防火墙安装与设置5.7网络平安隔离技术3中解决方案划分子网VLAN技术网络隔离技术5.7.1划分子网5.7.2Vlan技术在物理拓扑构造根底上建立逻辑网络。1.VLAN技术的特性〔1〕简化终端的删除移动和改动〔2〕控制通信活动〔3〕增强网络平安性〔4〕隔离网络播送风暴〔5〕简化网络管理和维护，提高网络性能2.VALN划分方式〔1〕基于端口的划分〔2〕基于MAC地址的划分〔3〕基于网络层的VLAN基于网络层协议或IP地址〔4〕基于组播的VLAN3.VLAN技术的应用5.7.3网络隔离技术网络隔离网卡、集线器、网闸5.8VPN技术与解决方案5.8.1VPN技术根底1.VPN的概念在公网上实现专网的效果。2.VPN的平安技术4项：隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。3.VPN的类型〔1〕远程虚拟网AccessVPN〔2〕企业内部虚拟网IntranetVPN〔3〕企业扩展虚拟网ExtranetVPN4.VPN的优点与缺乏〔1〕优点VPN致力于为网络提供整体的平安性，是性价比拟高的平安方式。VPN可以透明配置管理性能好提高业务质量减低陈本〔2〕缺乏5.8.2VPN技术解决方案第六章网络病毒的防治技术6.1网络计算机冰毒的概述6.1.1网络计算机病毒的定义计算机病毒是一段附着在其他程序上的可以实现自我复制的程序代码。6.1.2计算机病毒的开展6.1.3计算机病毒的分类6.1.4计算机病毒的特点1.主动通过网络和电子系统传播2.传播速度快3.危害性大4.变种多5.难于控制6.去除难度大7.具有病毒、蠕虫和后门程序的功能6.1.5网络计算机病毒的破坏行为6.1.6网络病毒的生命周期与命名1.网络病毒的生命周期〔1〕隐藏阶段〔2〕传播阶段〔3〕触发阶段〔4〕执行阶段2.网络病毒的命名命名方式：病毒前缀.病毒名.病毒后缀前缀是病毒的类型；病毒名是一个病毒家族的特征；后缀是变种特征。6.1.7现代网络计算机病毒的流行特征1.病毒与黑客程序相结合2.蠕虫病毒更加泛滥3.病毒破坏性大4.制作病毒方法更简单5.病毒传播速度开，传播渠道更多6.病毒实时监测更困难7.网关防毒已成趋势6.2网络计算机病毒防范及查杀6.3常见的网络病毒防治产品6.3.1计算机防病毒软件的功能1.产品体系完整、检测率高2.软件控制台功能完善3.病毒库可自动更新4.报表功能方便易用5.实时扫描6.随着系统启动而自动防护6.3.2流行的防病毒软件产品1.国外防病毒软件Kaspersky卡巴斯基、McAfee、NortonAntiVirus赛门铁克、Trend趋势科技、熊猫卫士、NOD322.国内防病毒软件瑞星、360、江民、金山、冠群金辰、6.4网络病毒防治技术6.4.1单机环境下的网络病毒防治技术1.单机环境下的网络病毒防治技巧〔1〕安装杀毒软件，及时更新软件〔2〕不要翻开不明来源的〔3〕使用比拟复杂的密码〔4〕使用防火墙，防止电脑受到来自互联网攻击〔5〕不要上陌生用户连接到个人计算机上〔6〕不使用互联网时及时断开连接〔7〕备份电脑数据〔8〕定期下载平安更新补丁〔9〕定期检查计算机〔10〕主要防护工作检查BIOS设置，将引导次序改为硬盘优先在word中将“宏病毒防护翻开〞，并翻开“提示保存Normal模板〞，退出word，然后将Normal.dot文件的属性改为只读。在excel和powerpoint中将“宏病毒防护〞翻开假设使用outlook，应关闭信件预览功能在IE等浏览器中设置适合的Internet平安级别，防范来自ActiveX和JavaScript的恶意代码对外来的U盘、光盘和网上下载的软件等应先查杀病毒再使用启用病毒软件的实时监控功能2.单机版防病毒软件的安装设置6.4.2网络环境下的网络病毒防止技术2.企业网络防病毒系统的主要功能需求〔1〕贯彻“层层设防、集中管控、以防为主、防治结合〞的企业防毒策略。〔2〕应用先进的实时监控技术〔3〕智能安装、远程识别〔4〕对新病毒的反响能力〔5〕对现用资源的占用情况3.企业中安装和设置防病毒效劳器6.5企业网络防病毒系统解决方案6.5.1企业网络防病毒系统方案概述企业防病毒系统应贯彻如下4点根本思想防病毒系统一定要实现全方位、多层次防病毒。网关防病毒是整体防病毒的首要防线没有集中管理的防病毒系统是无效的防病毒系统效劳是整体防病毒系统中极为重要的一环第七章入侵检测系统与入侵防护系统7.1入侵检测系统概述部署防火墙可以可以提高网络通过能力并阻挡一般性的攻击行为。而采用IDS入侵检测系统，那么可以对越过防火墙的攻击行为以及来自网络内部的违规操作进展检测和响应。7.1.1入侵检测系统的根本概念3.入侵检测系统入侵检测系统〔IDSIntrusionDetectiveSystem〕是从计算机网络系统中的假设干关键点收集信息，并分析这些信息，检查网络中是否有违反平安策略的行为和遭到攻击的迹象。5.入侵检测系统的通用模型一个入侵检测系统分为以下组件：〔1〕事件产生器〔2〕事件分析器〔3〕响应单元〔4〕事件数据库6.入侵检测系统的主要功能〔1〕监视用户和系统的运行状况，查找非法用户和合法用户的越权操作〔2〕检测系统配置的正确性和平安漏洞〔3〕对用户的正常活动进展统计分析〔4〕检查系统程序和数据的一致性与正确性〔5〕检测和记录网络中的平安违规行为〔6〕评估系统关键资源和数据文件的完整性〔7〕识别的攻击行为和统计分析异常行为〔8〕操作系统日志管理，并识别违反平安策略的用户活动7.1.2入侵检测系统的体系构造主要分为三种：集中式、层次式和分布式。7.2入侵检测系统的主要检测技术数据分析技术主要分两大类：异常检测和误用检测7.2.1基于异常的入侵检测技术也称为基于行为的入侵检测技术、特征检测，是目前IDS的主要研究方向。7.2.2基于误用的入侵检测技术7.3入侵检测系统的分类按照检查对象分为3类：基于主机的入侵检测系统基于网络的入侵检测系统混合型入侵检测系统7.4典型入侵检测系统产品的选购与使用1.入侵检测系统的性价比2.特征库升级与维护的费用3.部署入侵检测系统的环境4.入侵检测系统的实际性能5.产品的可伸缩性6.运行与维护系统的开销7.产品的入侵响应方式8.是否通过对了国家权威机构的评测9.入侵检测系统安、配置管理的方便性常见入侵检测系统绿盟的冰之眼入侵检测系统中科网威的天眼网络入侵检测系统启明星辰的天阗入侵检测系统金诺网安的金诺网安入侵检测系统KIDS瑞星的瑞星入侵检测系统RIDS-100McAfee的McAfeeIntruShield4000IDSISS的BlackICE主机入侵检测系统7.4.9入侵检测系统产品应用的部署策略入侵检测系统部署步骤：1.确定入侵检测需求：即网络平安需求分析，给入侵检测系统设置提供信息2.设计入侵检测系统在网络中的拓扑位置：确定入侵检测点3.配置入侵检测系统4.入侵检测系统磨合5.入侵检测系统的使用于自调节7.5入侵防御系统概述IDS只能被动地检测攻击，IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和开展，实时地保护信息系统不受实质性的攻击。简单的理解IPS是IDS加防火墙，但不能替代。7.5.2入侵防御系统工作原理IPS串联于通信线路之内，是既具有IDS的检测功能，用能够实时中止网络入侵行为的新型平安设备。常用IPS**荣腾软件技术**的网核入侵防御系统网核IPS3000第八章数字证书与认证机构8.1信息密码学根底8.1.1密码学开展史1.古代密码学手工2.古典密码学密码算法**3.近代密码学密钥**公钥密码学8.1.2密码学根本概念消息明文密文；密钥；加密算法；解密算法；鉴别；完整性；抗抵赖；密码系统；密码体制8.1.3信息密码技术1.对称密钥密码技术加解密用同一个密钥DES;3DES；RC系列；速度快密钥管理和分发问题；数字签名的困难；双方必须统一密钥才能通信；多方通信时，密钥数大；2.公开密钥密码技术非对称密钥RSA速度慢密钥分发容易；公钥公开；每人一对密钥；实现数字签名8.1.4网络平安认证技术认证指的是证实被认证对象是否属实和是否有效的一个过程。其根本思想是通过验证对象的属性来到达确认被认证对象是否真实有效的目的。一般分为：消息认证：保证消息完整性和抗抵赖性身份认证：鉴别用户身份2.身份认证技术身份认证是指计算机和网络系统确认操作者身份的过程。一般三个要素可以用于认证过程即：用户的知识：口令等用户的物品：IC卡等用户的特征：指纹等常用的身份认证方法：〔1〕基于口令的认证方法〔2〕双因素认证口令+卡〔3〕一次口令机制动态口令技术〔4〕生物特征〔5〕USBKey认证3.消息认证技术MAC消息认证码保证完整性和抗抵赖8.1.5电子签名和数字签名1.电子签名：主要解决电子文件的签字盖章问题，用于标识电子文件签署者的身份，保证文件的完整性，确保文件的真实性和抗抵赖。2.数字签名：确定发信者身份。用摘要算法对消息运算生成数字摘要，用私钥对摘要进展加密生成数字签名。8.2PKI/CA建立8.2.1PKI/CA概述公钥根底设施1.什么是PKI技术PKI技术采用证书管理公钥，通过第三方的可信任机构认证中心CA，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet上验证用户的身份。采用建立在PKI根底上的数字证书，通过把要传输的数据进展加密和签名，保证信息传输的**性、真实性、完整性和不可否认性，从而保证信息的平安传输。PKI把公钥密码和对称