网络安全基础知识培训-天融信

网络安全基础知识北京天融信公司

CISP刘建威电话件：liu_jianwei@网址：课程模块Module1:网络安全概述Module2:我们眼中的网络安全Module3:网络安全技术产品及功能介绍Module1:

网络安全概述什么是安全？安全一种能够识别和消除不安全因素的能力安全是一个持续的过程网络安全是网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断一)非授权访问没有经过同意，就使用网络或计算机资源。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。2.或擅自扩大权限，越权访问信息。形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。安全威胁二)信息泄露敏感数据在有意或无意中被泄漏出去。信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。）2.信息在存储介质中丢失或泄漏。通过建立隐蔽通道等窃取敏感信息等。安全威胁三)破坏数据完整性以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；

恶意添加，修改数据，以干扰用户的正常使用。安全威胁四)拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的作业流程。

执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。安全威胁五)利用网络传播病毒通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。六)假冒假冒合法身份破坏正常工作。七)抵赖否认接收过或发送过信息。安全威胁为什么我们不能杜绝攻击事件的发生日趋精密的攻击以及以INTERNET为基础的技术快速发展符合的IT技术人员和资金的缺乏而不能获得更多的资源没有对被保护的系统大量的充分的快速的部署没有绝对的安全开放最少服务提供最小权限原则安全需求平衡过分繁杂的安全政策将导致比没有安全政策还要低效的安全。需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全有效性。建立一个有效的安全矩阵安全距阵一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。安全矩阵系统最主要的几个方面允许访问控制容易使用合理的花费灵活性和伸缩性优秀的警报和报告保护资源终端用户资源Theworkstationsusedbyemployees威胁:Viruses,trojans,ActiveX,applet网络资源Routers,switches,wiringclosets,telephony威胁:IPspoofing,systemsnooping服务器资源DNS,WEB,Email,FTP等服务器威胁:Unauthorizedentry,D.O.S,trojans信息存储资源Humanresourcesande-commercedatabases威胁:Obtainingtradesecrets,customerdata黑客的分类偶然的破坏者坚定的破坏者间谍安全基本元素审计管理加密访问控制用户验证安全策略安全策略建立一个有效的安全策略为你的系统分类指定危险因数确定每个系统的安全优先级定义可接受和不可接受的活动决定在安全问题上如何教育所有员工确定谁管理你的政策加密类型1.对称加密2.非对称加密3.Hash加密加密认证方法1.证明你知道什么2.出示你拥有的3.证明你是谁4.鉴别你在哪里认证KerberosKerberos系统是美国麻省理工学院为Athena工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法One-timepasswords(OPT)

为了解决固定口令的诸多问题，安全专家提出了一次性口令的密码体制，以保护关键的计算资源特殊的认证技术访问控制列表(ACL)执行控制列表(ECL)访问控制被动式审计主动式审计

1.结束一个登陆会话

2.拒绝某些主机的访问

3.跟踪非法活动的源位置审计增加了复杂性不得不培训用户如何使用你需要的安全机制降低了系统响应时间认证，审计和加密机制会降低系统性能安全的权衡考虑和缺点网络安全问题增长趋势Internet技术飞速发展有组织的网络攻击企业内部安全隐患有限的安全资源和管理专家

财政损失知识产权损失时间消耗由错误使用导致的生产力消耗责任感下降内部争执网络攻击后果可见的网络攻击影响利润攻击发生(财政影响)Q1Q2Q3Q4网络安全风险安全需求和实际操作脱离

内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异针对网络通讯层的攻击通讯&服务层TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企业网络生产部工程部市场部人事部路由Internet中继调制解调器通讯&服务层弱点超过1000个TCP/IP服务安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.

错误的路由配置

TCP/IP中不健全的安全连接检查机制

缺省路由帐户

反向服务攻击

隐蔽ModemDMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对操作系统的攻击操作系统

UNIXWindowsLinux

FreebsdMacintoshNovell操作系统的安全隐患

1000个以上的商用操作系统安全漏洞

没有及时添加安全补丁病毒程序的传播

文件/用户权限设置错误默认安装的不安全设置

缺省用户的权限和密码口令

用户设置过于简单密码使用

特洛依木马DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对应用服务的攻击应用服务程序

Web服务器

数据库系统

内部办公系统

网络浏览器

ERP系统

办公文件程序

FTPSMTPPOP3SAPR/3Oracle应用程序服务的攻击弱点Web服务器:

错误的Web目录结构

CGI脚本缺陷

Web服务器应用程序缺陷

私人Web站点

未索引的Web页

数据库:

危险的数据库读取删除操作路由器:源端口/源路由

其他应用程序:Oracle,SAP,Peoplesoft

缺省帐户

有缺陷的浏览器DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继额外的不安全因素外部个体外部/组织内部个体内部/组织网络的普及使学习网络进攻变得容易全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够典型的攻击方式及安全规则字典攻击和暴力破解法BUG和后门社会工程和非直接攻击字典攻击和暴力攻击暴力程序攻击所有能够可以被穷举的资源都可以成为暴力破解的目标邮箱密码破解流光4.7Bugs和后门缓冲区溢出BufferOverflow后门Rootkits社会工程和非直接攻击打电话请求密码伪造电子邮件拒绝服务攻击TocrashaserverandmakeitunusableMasqueradetheidentityoftheattackedsystemViruses,bugsandserviceflaws八项安全实施建议成为一个安全的偏执狂完整的安全策略不要采取单独的系统或技术部署公司范围的强制策略八项安全实施建议提供培训终端用户管理员经理根据需要购置安全设备识别安全的商业问题考虑物理安全Module2:

我们眼中的网络安全不安全的安全的安全策略实际安全到达标准安全间隙未知的安全间隙不容忽视DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继部署安全保卫措施防火墙的能力有限外部/个体外部/组织内部/个体内部/组织安全隐患DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继尚不了解实际的危机实际安全问题还有很多外部/个体外部/组织内部/个体内部/组织安全隐患DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继管理分析&实施策略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令添加所有操作系统PatchModem数据文件加密安装认证&授权用户安全培训授权复查入侵检测实时监控进不来拿不走改不了跑不了看不懂信息安全的目的可审查信息

安全体系鉴别加密访问控制安全管理病毒防范数字签名链路加密机IP协议加密机邮件加密文件加密防火墙远程用户鉴别系统防病毒软件防病毒制度密钥管理网络监视审计系统信息检查系统代理服务器远程用户鉴别系统信息系统使命信息系统建模，。。。GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全性评估准则信息安全管理和管理能力成熟度模型将GB18336从产品和产品系统扩展到信息技术系统安全性评估安全工程过程和能力成熟度模型传统C&A信息系统认证认可和实践信息系统相关基础知识组织管理技术保障基础设施产业支撑人材培养环境建设国家信息安全保障体系框架

1994年，《中华人民共和国计算机信息系统安全保护条例》第二章安全保护制部分规定：

“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”《计算机信息系统安全保护等级划分准则》GB17859-1999（技术法规）规定：

国家对信息系统实行五级保护。《国家信息化领导小组关于加强信息安全保障工作的意见》重点强调：

实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。等级化保护的政策依据等级化标准渊源TCSEC1985UKConfidenceLevels1989GERMANCriteriaFRENCHCriteriaCTCPEC1993ITSEC1991FC1993CCV1.01996V2.01998V2.11999ISO/IEC15408-1999GB/T18336-2001GB17859-1999GB17859衍生标准GA/T390计算机信息系统安全等级保护通用技术要求GA/T388计算机信息系统安全等级保护操作系统技术要求GA/T389计算机信息系统安全等级保护数据库管理系统技术要求GA/T387计算机信息系统安全等级保护网络技术要求GA/T391计算机信息系统安全等级保护管理要求……GB/T18336衍生标准GB/T18019包过滤防火墙安全技术要求GB/T18018路由器安全技术要求GB/T18020应用级防火墙安全技术要求GB/T17900网络代理服务器的安全技术要求……等级化衍生标准网络系统现状潜在的安全风险安全需求与目标安全体系安全解决方案分析后得出提出依照风险制定出进行安全集成/应用开发安全服务安全方案设计建立相应的网络安全整体设计流程VPN

虚拟专用网防火墙内容检测防病毒入侵检测Module3:

安全技术产品及功能介绍需要的安全技术产品CA安全身份认证体系防火墙技术/VPN技术防病毒体系入侵检测技术网络安全评估系统安全备份和系统灾难恢复身份鉴别

基于口令、用户名的身份认

基于主体特征的身份认证：如指纹基于IC卡+PIN号码的认证基于CA证书的身份认证其他的认证方式基于口令、用户名的身份认证UsernamePasswordPermissionroot~!@@#4RAdmin3458rRWwebmaste234REdd2342RWEServer

Enduser

Username=rootPassword=~!@##$发起访问请求基于口令、用户名的简单身份鉴别验证用户名与口令回应访问请求，允许访问验证通过基于主体特征的身份认证UsernameFeaturePermissionRootSdffRAdmin8990RWWeb8668REftp8965RWEServer

Workstation

传送特征信息发起访问请求基于主体特征的身份鉴别验证用户特征信息回应访问请求，允许访问验证通过指纹识别器读取特征信息获得特征信息基于IC卡+PIN号码的认证UsernameInformationPermissionAdmin1234RRitt8990RWRoot8668REweb8965RWEServer

Workstation

传送身份验证信息发起访问请求基于IC卡+PIN号码的身份鉴别验证用户身份回应访问请求，允许访问验证通过读卡器输入PIN号码插入IC卡读取用户信息获得用户信息基于CA证书的身份认证基于CA证书的身份鉴别CA中心证书发布服务器用户证书服务器证书用户证书传送证书给对方用于身份认证服务器证书传送证书给对方用于身份认证开始数字证书的签名验证开始数字证书的签名验证查找共同可信的CA查询黑名单验证都通过查找共同可信的CA查询黑名单验证通过开始安全通讯需要的安全技术产品CA安全身份认证体系防火墙技术/VPN技术防病毒体系入侵检测技术网络安全评估系统安全备份和系统灾难恢复VPN的基本技术Internet开放互联网络的带来的安全风险路由器内部网Web、Mail服务器等因特网入侵者攻击路由器进行窃听分支机构正常的通信流为什么我工资比他少500他们的标书拿到了又攻破了一个站点内部人员使用监听工具窃听VPN最大优势----投资回报大幅度减少电信服务费用，尤其针对地域上分散的公司和企业针对远程拨号上网访问的用户，省去了每个月的电信费用采用VPN,公司/企业中当前使用的ModemPool将永远退休到2002年，按企业/组织规模大小，实施VPN比例将达到：57%----大型企业55%----中心企业51%----小型企业

来源:InfoneticsResearch安全的，统一的通信移动用户分支机构网站合作伙伴VPNVPN(VirtualPrivateNetwork)它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。远程访问Internet内部网分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴数据机密性保护数据完整性保护数据源身份认证VPN作用数据机密性保护拨号服务器PSTN

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线DMZ区域WWWMailDNS密文传输明文传输明文传输内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据完整性保护数据源身份认证内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过远程访问VPN提供通过Internet访问公司网络内部资源的方法降低了长途、大型ModemPool和技术支持的费用公司总部站点Internet远程或移动用户端到端VPN利用Internet安全连接多个分支机构减少对帧中继和租用线路的依靠公司总部站点Internet分支机构站点内部网VPN向商业合作伙伴提供对内部重要数据的访问

(销售信息、工具软件等等)减少了事务处理和操作中的费用公司总部站点Internet合作伙伴站点VPN的组成加密消息认证实体认证密钥管理Point-to-PointTunnelingProtocol第二层隧道协议提供PPTP客户机和PPTP服务器之间的加密通信Point-to-PointProtocol(PPP)协议的扩展允许封装多种协议：TCP/IP、IPX等使用RSA公司的RC4加密方法，但不进行隧道验证用户需要在客户端配置PPTPInternetRemotePPTPClientISPRemoteAccessSwitchPPTPRASServerCorporateNetworkLayer2TunnelingProtocol(L2TP)第二层隧道协议结合并扩展了PPTP和L2F(Ciscosupportedprotocol)对隧道进行验证，但对传输中的数据不加密没有包括数据包的验证、数据完整性和密钥管理InternetRemoteL2TPClientISPL2TPConcentratorL2TPServerCorporateNetworkInternetProtocolSecurity(IPSec)第三层隧道协议（远程访问、内部网络和ExtranetVPN）InternetVPN标准一个协议包（AH、ESP及密钥管理协议）提供灵活的加密、消息验证和数据完整的技术包括密钥管理IPSecVPN的组成加密消息认证实体认证密钥交换

DES,3DES,RC5,RC4HMAC-MD5,HMAC-SHA-1,orothersDigitalCertificates,SharedSecrets,HybridModeIKEInternetKeyExchange(IKE),PublicKeyInfrastructure(PKI)加密用于将数据转换成保密代码在不可信的网络上传输加密算法“Thecowjumpedoverthemoon”“4hsd4e3mjvd3sda1d38esdf2w4d”明文加密数据对称密钥加密和解密使用同一把密钥比非对称密钥速度快密钥管理工作量大密钥传递容易泄密SharedSecretKey

在一个非安全的通道上安全地建立一个共享密钥Internet事先双方协商两个公共数值，非常大的素数m和整数g做计算X=gamodm发送X=gamodm产生一个很大的数b产生一个很大的数a做计算Y=gbmodm发送Y=gb

modmKA=Ya

modm=gabmodmKB=Xb

modm=gabmodm两者相等得出共享密钥Key=gabmodmHostAHostBDiffie—Hellman

密钥交换算法非对称密钥加密和解密采用不同密钥(一把公钥,一把私钥)密钥分配简单密钥保存量小，便于管理AlicePublicKeyEncryptAlicePrivateKeyDecryptBobAlice数字证书和

PublicKeyInfrastructure数字证书:包含了一个人的或一个实体的PublicKeys允许安全地分发publickeysIssignedbyaCertificateAuthority’sprivatekeyVerifiesidentitythroughtrustedthirdpartyMyCertificate:Name:BobOrganization:CheckPointPublicKey:lk393l430fksffj398sdf1f594ier933d34w435dCA:xxx.xxx.xxx.xxxandmore…灵活的认证方式共享的密钥最简单的方式两个站点通过电话或E-Mail方式共享密钥PublicKeyInfrastructure提供在较大规模下发布和管理Public/Private密钥的方法InternetKeyExchange(IKE)自动更有效地进行身份认证、协商算法及交换密钥IPSec

会话举例Bob试图连接到公司内部邮件服务器InternetCertificateAuthorityIPSec

会话举例Bob试图连接到公司内部邮件服务器VPNgateway和VPNclient（Bob计算机）使用IKE:通过数字证书验证VPNgateway和Bob身份为通信建立安全关联(密钥和算法）InternetCertificateAuthorityIPSec

会话举例Bob试图连接到公司内部邮件服务器VPNgateway和VPNclient（Bob计算机）使用IKE:通过数字证书验证VPNgateway和Bob身份为通信建立安全联盟(密钥和算法）在Bob和VPNGateway之间建立加密通道InternetCertificateAuthorityIPSec

会话举例Bob试图连接到公司内部邮件服务器VPNgateway和VPNclient（Bob计算机）使用IKE:通过数字证书验证VPNgateway和Bob身份为通信建立安全联盟(密钥和算法）在Bob和VPNGateway之间建立加密通道Bob现在可以接受邮件了InternetCertificateAuthorityVPN设备容易被攻击

例如：denialofservice

（DOS）需要在防火墙上开通VPN流量的通道VPN流量的安全性得不到保证VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同种类的VPN/Firewall结构VPN设备容易被攻击

例如：denialofservice

（DOS）需要在防火墙上开通VPN流量的通道VPN流量的安全性得不到保证VPNInternetFirewallInternetVPNFirewallInternetVPNFirewallInternet不同种类的VPN/Firewall结构只有VPN/firewall集成的解决方案才能实现完全的访问控制和全局一致的安全策略构建安全的内联网总部办事处因特网分公司加密隧道VPN网关内联VPN的特点和优势将各个独立的局域网联接起来，逻辑上总部、分公司、办事处相当于在同一个局域网内部构建各种基于WAN的应用，如ERP、OA、E－Sales、集中的财务监控、库存管理等等。简化网络管理，便于实施集中的安全策略远程访问VPN总部因特网分公司加密隧道VPN网关远程接入VPN的技术特点与优势支持PSTN、ISDN、DSL、电缆（CableModem）或无线方式接入企业网络满足移动和远程用户应用的需求，支持E-mail、文件共享以及数据库访问等。无需配置和维护远程接入交换机（RAS），大大降低了运营、管理、培训、硬件、软件及人工费用等项的成本。方便地扩大企业内部网络的地理覆盖范围，包括低成本的国际接入，并可提供更好的可扩展性，便于增加新用户。外联网VPNInternet企业间互联网客户分销商公司供应商

VPN客户端软件VPN网关外联网VPN的特点与优势支持集中的生产管理、订单处理、销售监控、技术支持等应用使企业同它的商业伙伴、客户、甚至供应商之间，实现紧密的网络与应用的联接实现对供应链的精简管理、改善客户服务、并为分销渠道提供更高质量的通讯服务提高生产率、实现竞争优势

VPN基本功能特性Web、Mail服务器等因特网分支机构加密隧道&1%$*)!？？？安全区域划分增强内网安全VPN网关保护内网及信息传输安全……工作站域服务器域VPN网关间建立加密隧道VPN移动客户端保证移动办公安全信息传输安全小型分支机构总部分公司VPN网关VPN网关办事处VPN网关VPN网关VPN移动客户端VPN移动客户端分公司加密隧道，保证信息传输的机密性与不可篡改性VPN网关集中的身份认证总部远程用户1向VPN网关发起连接认证服务器业务主机加密隧道

2VPN网关将认证请求转发给认证服务器4通过加密隧道访问业务主机3认证通过，建立加密隧道1入侵者向VPN网关发起连接2VPN网关将认证请求转发给认证服务器3未通过认证，断开连接4对被拒绝的连接记录源IP、访问时间等详细的日志信息入侵者需要的安全技术产品CA安全身份认证体系防火墙技术/VPN技术防病毒体系入侵检测技术网络安全评估系统安全备份和系统灾难恢复1990199119941996199819992000200120022003主流病毒型态木马、蠕虫

攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战IDC,2004邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1969物理介质Brain19861998CIHSQLSlammer20032004冲击波震荡波

冲击波2003年8月11日补丁：MS03-0262003年7月16日补丁：

MS02-0392002年7月24日蠕虫王2003年1月25日时间间隔26天185天336天尼姆达补丁：

MS00-0782000年10月17日2001年9月18日震荡波2004年5月1日补丁：MS04-011

2004年4月13日18

天

木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。一个企业级的病毒解决方案

一套优秀的防毒软件一个工作勤奋努力的网络管理员+=以往的病毒防护体系不能满足安全需求全面的病毒防护体系网关病毒防护工作站病毒防护服务器病毒防护网络中心病毒控制台自动更新升级的维护策略企业网络网关杀毒在email病毒扩散之前就予以拦截歼灭邮件服务器网关杀毒工作站病毒防护带有病毒的数据包工作站防毒软件发现病毒立即采取相应的措施

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网DMZ区域WWWMailDNS发现病毒均为客户端工作站带有病毒的数据包服务器病毒防护带有病毒的数据包发现病毒立即采取相应的措施

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网DMZ区域WWWMailDNS发现病毒带有病毒的数据包均为NT服务器服务器防病毒软件内部工作子网管理子网一般子网内部WWW重点子网DMZ区域控制台WWW中心病毒控制台服务器防病毒软件工作站防毒软件网关防病毒软件防病毒中央控制系统病毒信息控制信息等病毒信息控制信息等实现多方位、多层次，点（单台工作站）、线（服务器）、面（网关）相结合的防病毒解决方案

Internet区域Internet边界路由器病毒更新站点总部主升级服务器总行客户端分部主升级服务器代理服务器总行服务器客户端服务器总行分部主升级服务器客户端服务器分发分发下载分发/登录分发分发/登录分发分发/登录分发分发需要的安全技术产品CA安全身份认证体系防火墙技术/VPN技术防病毒体系入侵检测技术网络安全评估系统安全备份和系统灾难恢复什么是入侵检测对入侵行为的发觉，通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的主要功能监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。入侵检测的分类基于网络的入侵检测

基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。

基于主机的入侵检测

往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。

检测方式的介绍异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

网络入侵检测产品的架构传感器(Sensor)

传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台(Console)。控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持WindowsNT平台。利用入侵检测保护网络应用DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击行为警告!启动事件日志,发送消息利用入侵检测保护网络应用DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址为什么需要入侵监测系统防范透过防火墙的入侵利用应用系统漏洞实施的入侵利用防火墙配置失误防范来自内部网的入侵内部网的攻击占总的攻击事件的80%没有监测的内部网是内部人员的“自由王国”对网络行为的审计，防范无法自动识别的恶意破坏需要的安全技术产品CA安全身份认证体系防火墙技术/VPN技术防病毒体系入侵检测技术网络安全评估系统安全备份和系统灾难恢复安全扫描的概念理解安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。安全扫描的检测技术基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。安全扫描在部署安全策略中处于重要地位防火墙，反病毒，加强的用户认证，