《网络安全技术》

网络平安技术编辑ppt主要内容1网络平安威胁2访问控制技术3防火墙技术4信息平安检测：IDS5隐患扫描技术6VPN技术7病毒防范技术编辑ppt平安层次平安的密码算法平安协议网络平安系统平安应用平安编辑ppt1.网络平安威胁网络通信平安模型编辑ppt威胁类型网络平安包括数据平安和系统平安数据平安受到四个方面的威胁设信息是从源地址流向目的地址，那么正常的信息流向是：信息源信息目的地编辑ppt网络平安的四种威胁中断威胁:使在用信息系统毁坏或不能使用的攻击，

破坏可用性。如硬盘等一般硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。信息源信息目的地伪造威胁:一个非授权方将伪造的客体插入系统中的攻击

破坏真实性。包括网络中插入假信件，或者在文件中追加记录等。信息源信息目的地编辑ppt网络平安的四种威胁修改威胁:一个非授权方不仅介入系统而且在系统中‘瞎捣乱’的攻击，破坏完整性。包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。侦听威胁:一个非授权方介入系统的攻击，破坏保密性。非授权方可以是一个人，一个程序，一台微机。包括搭线窃听，文件或程序的不正当拷贝等。信息源信息目的地信息源信息目的地编辑ppt四种主要的攻击冒充攻击：一个实体假装成另外一个实体。在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得局部特权。重放攻击：获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变，那么容易被第三者获取，并用于冒名重放。修改攻击：信件被改变，延时，重排，以至产生非授权效果。如信件“允许张三读机密帐簿〞可被修改成“允许李四读机密帐簿〞编辑ppt四种主要的攻击拒绝效劳攻击：破坏设备的正常运行和管理。这种攻击往往有针对性或特定目标。一个实体抑制发往特定地址(如发往审计效劳器)的所有信件。或将整个网络扰乱，扰乱的方法是发送大量垃圾信件使网络过载，以降低系统性能。编辑ppt2.访问控制技术网络平安门户是访问控制与防火墙技术。访问控制技术过去主要用于单机状态，随着网络开展，该项技术得到长足的进步。访问控制是网络平安防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络平安最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。编辑ppt1).入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到效劳器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证;用户口令的识别与验证;为保证口令的平安性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密。用户还可采用一次性用户口令，也可用便携式验证器〔如智能卡〕来验证用户的身份。用户账号的缺省限制检查。编辑ppt网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。

用户口令应是每用户访问网络所必须提交的“证件〞、用户可以修改自己的口令，但系统管理员应该可以控制口令的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费〞用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果屡次输入口令那么认为是不正确，非法用户的入侵，应给出报警信息。编辑ppt2).网络权限控制针对网络非法操作所提出的一种平安保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。两种实现：受托者指派;控制用户和用户组如何使用网络效劳器的目录、文件和设备继承权限屏蔽〔irm〕.相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。编辑ppt用户分类可以根据访问权限将用户分为：特殊用户(系统管理员)；一般用户：系统管理员根据他们的实际需要为他们分配操作权限；审计用户：负责网络的平安控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。编辑ppt3).目录级平安控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限、读权限、写权限、创立权限、删除权限、修改权限、文件查找权限、访问控制权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对效劳器的访问。8种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对效劳器资源的访问

，从而加强了网络和效劳器的平安性。编辑ppt4).属性平安控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性平安在权限平安的根底上提供更进一步的平安性。网络上的资源都应预先标出一组平安属性。用户对网络资源的访问权限对应一张访问控制表，用以说明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

编辑ppt5).效劳器平安控制网络允许在效劳器控制台上执行一系列操作。用户使用控制台可以装载/卸载模块，可以安装和删除软件等操作。网络效劳器的平安控制包括：设置口令锁定效劳器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定效劳器登录时间限制；非法访问者检测；关闭的时间间隔。编辑ppt3.防火墙技术防火墙技术是网络平安的关键技术之一，只要网络世界存在利益之争，就必须要自立门户--有自己的网络防火墙防火墙技术是建立在现代通信网络技术和信息平安技术根底上的应用性平安技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以Internet网络为最甚〔Internet开展速度惊人，每天都有成千上万的主机连入Internet，它的内在不平安性已受到越来越多的关注〕。防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。编辑pptIntranet防火墙Internet客户机电子邮件服务器Web服务器数据库服务器(1)防火墙示意图在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的平安。编辑ppt防火墙(Firewall)防火墙的根本设计目标对于一个网络来说，所有通过“内部〞和“外部〞的网络流量都要经过防火墙通过一些平安策略，来保证只有经过授权的流量才可以通过防火墙防火墙本身必须建立在平安操作系统的根底上防火墙的控制能力效劳控制，确定哪些效劳可以被访问方向控制，对于特定的效劳，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对效劳的访问行为控制，控制一个特定的效劳的行为编辑ppt防火墙能为我们做什么定义一个必经之点挡住未经授权的访问流量禁止具有脆弱性的效劳带来危害实施保护，以防止各种IP欺骗和路由攻击防火墙提供了一个监视各种平安事件的位置，因此可以在防火墙上实现审计和报警对于有些Internet功能，防火墙也可以是一个理想的平台，比地址转换、Internet日志、审计，甚至计费功能防火墙可以作为IPSec(Internet协议平安性)的实现平台编辑ppt提供平安决策的集中控制点，使所有进出网络的信息都通过这个检查点，形成信息进出网络的一道关口；针对不同用户的不同需求，强制实施平安策略，起到“交通警察〞的作用；对用户的操作和信息进行记录和审计，分析网络侵袭和攻击；防止机密信息的扩散(功能有限如防内部拨号)限制内部用户访问特殊站点屏蔽内部网的结构(2)防火墙的功能编辑ppt(3)防火墙的类型OSI模型防火墙应用层网关级表示层会话层传输层电路级网络层路由器级数据链路层网桥级物理层中继器级包过滤防火墙应用代理防火墙电路级网关按网络体系结构分类按应用技术分类编辑ppt包过滤技术(PacketFilter)：通过在网络连接设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规那么，对通过设备的数据包进行检查，限制数据包进出内部网络.数据包过滤可以在网络层截获数据,使用一些规那么来确定是否转发或丢弃所截获的各个数据包。优点：对用户透明；对网络的规模没有限制。缺点：只能进行初步的平安控制；没有用户的访问记录；设置过滤规那么困难(4)防火墙的实现技术—包过滤技术编辑ppt包过滤路由器根本思想很简单对于每个进来的包，适用一组规那么，然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规那么以IP和传输层的头中的域(字段)为根底，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规那么，根据IP包是否匹配规那么中指定的条件来作出决定。如果匹配到一条规那么，那么根据此规那么决定转发或者丢弃如果所有规那么都不匹配，那么根据缺省策略编辑ppt平安缺省策略两种根本策略，或缺省策略没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规那么没有被允许的流量都要拒绝比较保守根据需要，逐渐开放编辑ppt包过滤路由器示意图网络层链路层物理层外部网络内部网络编辑ppt包过滤防火墙的特点在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点：实现简单对用户透明效率高缺点：正确制定规那么并不容易不可能引入认证机制编辑ppt针对包过滤防火墙的攻击IP地址欺骗，如假冒内部的IP地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由对策：禁止这样的选项小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙如利用ftp协议对内部进行探查编辑ppt(4)防火墙的实现技术—电路级网关工作在传输层。它在两个主机首次建立TCP连接时创立一个电子屏障，建立两个TCP连接。一旦两个连接建立起来，网关从一个连接向另一个连接转发数据包，而不检查内容。也称为通用代理〔统一的代理应用程序〕，各协议可透明地通过通用代理防火墙。电路级网关实现的典型例子是SOCKS(防火墙平安会话转换协议软件包)。编辑pptSOCKS系统编辑ppt电路层网关编辑ppt电路层网关的优缺点优点效率高精细控制，可以在应用层上授权为一般的应用提供了一个框架缺点客户程序需要修改动态链接库编辑ppt应用代理是运行于防火墙主机上的一种应用程序，它取代用户和外部网络的直接通信。优点：详细记录所有的访问情况；完全阻断了内部网络与外部网络的直接联系；可节约时间和网络资源缺点：会使访问速度变慢；需要为每种效劳专门开发代理效劳软件(4)防火墙的实现技术—应用代理效劳技术编辑ppt应用层网关也称为代理效劳器特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常平安，但是开销比较大编辑ppt应用层网关的结构示意图编辑ppt应用层网关的协议栈结构HTTPFTPTelnetSmtp传输层网络层链路层编辑ppt应用层网关的优缺点优点允许用户“直接〞访问Internet易于记录日志缺点新的效劳不能及时地被代理每个被代理的效劳都要求专门的代理软件客户软件需要修改，重新编译或者配置有些效劳要求建立直接连接，无法使用代理如聊天效劳、或者即时消息效劳代理效劳不能防止协议本身的缺陷或者限制编辑ppt应用层网关实现编写代理软件代理软件一方面是效劳器软件但是它所提供的效劳可以是简单的转发功能另一方面也是客户软件对于外面真正的效劳器来说，是客户软件针对每一个效劳都需要编写模块或者单独的程序实现一个标准的框架，以容纳各种不同类型的效劳软件实现的可扩展性和可重用性客户软件软件需要定制或者改写对于最终用户的透明性协议对于应用层网关的处理协议设计时考虑到中间代理的存在，特别是在考虑平安性〔如数据完整性〕的时候编辑ppt三种防火墙技术的平安功能比较

源地址目的地址用户身份数据内容包过滤YYNN电路级网关YYYN应用代理YYYY编辑ppt防火墙不能防范网络内部的攻击。如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。主要是基于IP控制而不是用户身份。防火墙不能防止传送己感染病毒的软件或文件。不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。难于管理和配置。易造成平安漏洞(5)防火墙的局限性存在一些防火墙不能防范的平安威胁，如防火墙不能防范不经过防火墙的攻击〔如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接〕。编辑ppt(6)防火墙的配置几个概念双宿主主机(dual-homedhost)：至少有两个网络接口的通用计算机系统堡垒主机(BastionHost)：对外部网络暴露，同时也是内部网络用户的主要连接点非军事区DMZ(DemilitarizedZone)或者停火区：在内部网络和外部网络之间增加的一个子网编辑ppt防火墙的典型配置方案双宿主主机方案屏蔽主机方案单宿主堡垒主机双宿主堡垒主机屏蔽子网方案编辑ppt配置方案一：双宿主主机方案核心是具有双宿主功能的主机充当路由器。至少有两个网络接口。所有的流量都通过主机优点：简单编辑ppt双宿主主机结构防火墙不允许两网之间的直接发送功能。仅仅能通过代理，或让用户直接登录到双宿主主机来提供效劳。提供高级别的平安控制。问题：用户账号本身会带来明显的平安问题，会允许某种不平安的效劳；通过登录来使用因特网太麻烦。编辑ppt配置方案二：单宿主堡垒主机屏蔽主机方案只允许堡垒主机与外界直接通讯优点：两层保护：包过滤+应用层网关；灵活配置缺点：一旦包过滤路由器被攻破，那么内部网络被暴露编辑ppt配置方案三：双宿主堡垒主机屏蔽主机方案从物理上把内部网络和Internet隔开，必须通过两层屏障优点：两层保护：包过滤+应用层网关；配置灵活编辑ppt屏蔽主机防火墙主要的平安机制由屏蔽路由器来提供。堡垒主机位于内部网络上，是外部能访问的惟一的内部网络主机。堡垒主机需要保持更高的平安等级。问题如果路由器被破坏，整个网络对侵袭者是开放的。如堡垒主机被侵，内部网络的主机失去任何的平安保护。编辑ppt配置方案四：屏蔽子网防火墙优点：三层防护，用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机编辑ppt屏蔽子网防火墙添加额外的平安层：周边网，将内部网与因特网进一步隔开。周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听〔sniffer〕内部网的通信〔窃取密码〕，不会损伤内部网的完整性。周边网上的主机主要通过主机平安来保证其平安性。屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了平安性。两个屏蔽路由器的规那么设置的侧重点不同。外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。编辑ppt4.信息平安检测：IDS入侵Intrusion:企图进入或滥用计算机系统的行为。入侵检测IntrusionDetection：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统IDS〔IntrusionDetectionSystem〕 进行入侵检测的软件与硬件的组合。编辑ppt为什么需要入侵检测系统防火墙和操作系统加固技术等都是静态平安防御技术，对网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的平安性。IDS能使系统对入侵事件和过程做出实时响应。入侵检测是系统动态平安的核心技术之一。入侵检测是防火墙的合理补充。IDS帮助系统对付网络攻击，扩展了系统管理员的平安管理能力，提高了信息平安根底结构的完整性。编辑ppt入侵监测系统的设计要求健壮性可配置性可扩展性可升级性自适应性全局分析有效性编辑ppt(1)IDS的种类根据收集的待分析信息来源，IDS可以分为三大类：

〔1〕基于网络的IDS；将IDS放置于网络之上，靠近被检测的系统，用以监测网络流量并判断是否正常。

〔2〕基于主机的IDS；将IDS运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。〔3〕基于应用的IDS。这种IDS监控一个应用内发生的事件，通常通过分析应用的日志文件检测攻击。编辑ppt(2)IDS的模型Dennying于1987年提出一个通用的IDS模型：主体活动规那么集处理引擎异常记录活动概要定时器审计记录规那么设计与修改创立提取规那么学习新的活动概要历史概要更新IDS模型包括2个功能部件：1．提供事件记录流的信息源

2．发现入侵迹象的分析引擎

编辑ppt(3)常用的入侵检测技术统计分析技术；活动与具有“正常活动〞的特征原型比较。预测模式生成技术；根据已发生事件预测未来事件。基于神经网络的检测技术；神经网络用已出现的用户特征去预测和匹配实际的用户行为和操作。状态转移分析技术；根据当前系统状态、网络状态和链路状态的变化情况区分入侵行为。模式匹配技术；数据挖掘技术；针对分布式入侵的检测技术。编辑ppt信息收集:入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的巩固性，能够防止被篡改而收集到错误的信息数据分析:是入侵检测系统的核心，它的效率上下直接决定了整个入侵检测系统的性能,有异常入侵检测与误用入侵检测两类。响应:1、将分析结果记录在日志文件中，并产生相应的报告。2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。(4)入侵检测的步骤编辑ppt信息收集技术基于网络的实时入侵检测系统：原始数据来源丰富，实时性、适应性、可扩展性方面具有其独特的优势；容易受到基于网络的拒绝效劳等恶意攻击，在高层信息的获取上更为困难。基于主机的实时入侵检测系统：能获取高层信息，理解动作的含义；环境适应性、可移植性方面问题较多。通过分析应用的日志文件检测攻击通过分析应用的日志文件检测攻击。编辑ppt信息分析技术基于误用(Anomaly-based)的分析方法试图在网络或主机的数据流中发现的攻击模式〔pattern〕；可以直接识别攻击过程，误报率低；只能检测的攻击，对新的攻击模式无能为力，需要不断地更新模式库〔PatternDatabase〕；状态分析、模式匹配、一致性分析。基于异常(Misuse-based)的分析方法首先统计和标准网络和用户的正常行为模式(ActivityProfile)，当网络和用户的行为模式偏离了其正常行为模式时，就认为是异常；行为异常通常意味着某种攻击行为的发生；能够检测出新出现的攻击模式；对正常行为模式的描述比较困难、误报率高；统计分析。编辑ppt模式匹配是当前应用中最根本、最有效的检测方法；以攻击行为数据流中的特征字符串作为检测的关键字，其攻击行为模式数据库中记录各种攻击行为的特征串；检查数据流中是否有与模式数据库中特征串相匹配的内容，的每种攻击行为产生中，一般都有特定的；不需保存状态信息，速度快，但只能检测过程较简单的攻击。状态分析将攻击行为的过程以状态转移图的形式记录在模式数据库中，状态转移的条件是网络或系统中的一些特征事件；检测软件记录所有可能攻击行为的状态，并从数据流中提取特征事件进行状态转移，当转移到达某个特定状态时，就被认为是检测到了一次攻击行为；用于检测过程较复杂的攻击过程〔如分布式攻击〕。主要信息分析技术(1)编辑ppt统计分析基于异常的检测方式；通过统计方式总结系统的正常行为模式；利用假设干统计变量来刻画当前系统的状态，通过统计变量与正常行为模式的偏差来检测可能的入侵行为。应用数据挖掘技术使用一定的数据挖掘算法进行挖掘，推导出系统的正常行为模式和入侵的行为模式；需要提出一种真正自适应的、无须预标识的数据挖掘的方式。主要信息分析技术(2)编辑ppt预测模式生成技术试图基于已经发生的事件来预测未来事件，如果一个与预测统计概率偏差较大的事件发生，那么被标志为攻击。比方规那么：E1—>E2—>(E3=80%，E4=15%，E5=5%)，即假定事件E1和E2已经发生，E3随后发生的概率是80%，E4随后发生的概率是15%，E5随后发生的概率是5%，假设E1、E2发生了，接着E3发生，那么为正常的概率很大，假设E5发生，那么为异常的概率很大，假设E3、E4、E5都没有发生，而是发生了模式中没有描述到的E5，那么可以认为发生了攻击。预测模式生成技术的问题在于未被这些规那么描述的入侵脚本将不会被标志为入侵。此类系统较容易发现在系统学习期间试图训练系统的用户。主要信息分析技术(3)编辑ppt分布式入侵检测针对分布式攻击的入侵检测技术。入侵检测系统采用分布式计算技术。主要难点：各部件间的协作；平安攻击的相关性分析。主要信息分析技术(4)编辑ppt一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法网络和计算机的访问漏报:对入侵行为没有报警特征库的更新速度:基于网络的的IDS难网络以跟上网络速度的开展(5)入侵检测系统面临的挑战编辑ppt(6)入侵检测的开展趋势随着对网络系统的攻击越来越普遍，攻击手法日趋复杂。IDS也随着网络技术和相关学科的开展而日趋成熟，其未来开展的趋势主要表现在以下方面：宽带高速实时的检测技术；大规模分布式的检测技术；数据挖掘技术；更先进的检测算法；如计算机免疫技术、神经网络技术、遗传算法等。入侵响应技术。从系统保护〔事件警告〕、动态策略到攻击对抗。总之IDS只有在根底理论研究和工程工程开发多个层面上同时开展，才能全面提高整体检测效率。编辑ppt5、隐患扫描技术网络平安一直无法落实的主要原因是不知道漏洞的存在，甚至不去实时修补漏洞。漏洞扫描：对网络平安性进行风险评估的一项重要技术，也是网络平安防御中关键技术。其原理是：采用模拟黑客攻击的形式对目标可能存在的平安漏洞和弱点进行逐项扫描和检查，向系统管理员提供周密可靠的平安性分析报告。目标可以是工作站、效劳器、交换机、数据库应用等各种对象。平安防护最弱的局部容易被入侵者利用，给网络带来灾难。找到弱点并加以保护是保护网络平安的重要使命之一。这需要有高效的漏洞扫描工具，来自动发现网络系统的弱点，以便管理员能够迅速有效地采取相应的措施。编辑ppt(1)漏洞扫描的根本实现方法现有的漏洞扫描技术采用的根本实现方法：基于单机系统的平安评估系统；早期采用的一种平安评估软件，平安检测人员针对每台机器运行评估软件进行独立的检测。基于客户的平安评估系统；平安检测人员在一台客户机上执行评估软件，对网络中的所有资源进行检测。采用网络探测方式的平安评估系统；模拟入侵者所采用的行为，从系统的外围进行扫描试图发现网络的漏洞采用管理者/代理方式的平安评估系统。平安管理员通过一台管理器来控制和管理大型系统中的平安隐患扫描编辑ppt(2)漏洞扫描系统的内容一个功能完善、可不断扩展的漏洞扫描系统包括：平安漏洞数据库；通过对平安性漏洞和扫描手段的分析，形成一个平安漏洞数据库。平安漏洞扫描引擎；利用漏洞数据库实现平安漏洞扫描的扫描器。结果分析和报表生成；平安扫描工具管理器。扫描工具管理器提供良好的用户界面，实现扫描管理和配置。编辑ppt平安漏洞数据库平安性漏洞原理描述、及危害程度、所在的系统和环境等信息；采用的入侵方式、入侵的攻击过程、漏洞的检测方式；发现漏洞后建议采用的防范措施。平安漏洞扫描引擎与平安漏洞数据库相对独立，可对数据库中记录的各种漏洞进行扫描；支持多种OS，以代理性试运行于系统中不同探测点，受到管理器的控制；实现多个扫描过程的调度，保证迅速准确地完成扫描检测，减少资源占用；有准确、清晰的扫描结果输出，便于分析和后续处理。隐患扫描系统的组成〔1〕编辑ppt结果分析和报表生成目标网络中存在的平安性弱点的总结；对目的网络系统的平安性进行详细描述，为用户确保网络平安提供依据；向用户提供修补这些弱点的建议和可选择的措施；能就用户系统平安策略的制定提供建议，以最大限度地帮助用户实现信息系统的平安。平安扫描工具管理器提供良好的用户界面，实现扫描管理和配置。隐患扫描系统的组成〔2〕编辑ppt6.VPN技术虚拟专用网VPN(VirtualPrivateNetwork)是利用现有的不平安的公共网络环境，构建的具有平安性、独占性、自成一体的虚拟网络。VPN是指利用公共网络的一局部来发送专用信息，形成逻辑上的专用网络。它实际上是一个在互联网等公用网络上的一些节点的集合。这些节点之间采用了专用加密和认证技术来相互通信，好似用专线连接起来一样。虚拟专用网可以在两个异地子网之间建立平安的通道。编辑ppt(1)VPN的根本概念采用加密和认证技术，利用公共通信网络设施的一局部来发送专用信息，为相互通信的节点建立一个相对封闭、逻辑的专用网络；通常用于大型组织跨地域的各个机构之间的联网信息交换，或流开工作人员与总部之间的通信；只允许特定利益集团内建立对等连接，保证在网络中传输的数据的保密性和平安性。其中“虚拟〞指网络不是物理上独立存在的，而是利用效劳商〔如ISP〕提供的公共网络来实现远程的广域连接；“专用〞指用户可以为自己定制一个符合自己需求的网络，使网内业务独立于网外的业务流，且具有独立的寻址空间和路由空间，使用户获得等同于专用网络的通信体验。编辑ppt(2)VPN的好处VPN提供了平安、可靠的Internet访问通道，为企业进一步开展提供了可靠的技术保障。实现了网络平安：以多种方式增强了网络的智能与平安性；简化网络设计和管理：替代租用线路来实现分支机构的连接；降低本钱：只需付短途费，却收到长途通信的效果；局域网互联费降低20%~40%，远程接入费减少60%~80%；容易扩展，适应性强；可随意与合作伙伴联网；完全控制主动权：自己负责用户的查验、访问权、网络地址、平安性和网络变化管理等重要工作；支持新兴应用。编辑ppt(3)VPN的工作流程内部网主机发送明文信息到连接公共网络的VPN设备。VPN设备根据网络管理员设置的规那么，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备在网络IP层对整个IP数据包进行加密和附上数字签名。VPN设备重新封装加密后数据〔加上新的数据报头，包括目的地VPN设备所需的平安信息和一些初始化参数〕，然后将其通过虚拟通道在公共网络上传输。当数据包到达目标VPN设备时，数据包被解除封装，数字签名被核对无误后数据包被解密复原。编辑ppt访问控制报文加密报文鉴别IP封装源VPN设备访问控制报文加密报文鉴别IP封装目的VPN设备发送者接收者明文明文LAN1LAN2公共网络IP隧道编辑ppt(4)VPN的主要技术隧道技术〔Tunneling〕加解密技术〔Encryption&Decryption〕密钥管理技术〔KeyManagement〕使用者与设备身份鉴别技术〔Authentication〕编辑ppt建立点对点的连接，数据包在公网上的隧道内传输。隧道技术利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。涉及了三种网络协议：网络隧道协议；隧道协议下面的承载协议；隧道协议所承载的被承载协议。有两种类型的隧道协议：二层隧道协议：如L2F、PPTP、L2TP等；三层隧道协议：如GRE协议、IPsec协议等。编辑ppt隧道的根本组成一个隧道的根本组成：〔1〕一个路由网络〔Internet〕；〔2〕一个隧道终结器；〔3〕一个隧道启动器。编辑ppt通用路由封装GRE协议

GRE隧道建立于源路由器和目的路由器之间。封装形式〔IP环境〕。GRE只提供了数据包的封装，它并没有加密功能,在实际环境中它常和IPsec在一起使用。隧道必须手工配置，每次隧道终点改变，都需要重新配置。编辑ppt点到点隧道协议〔PPTP〕是由Microsoft和Ascend在PPP协议的根底上开发的。隧道的加密认证协议使用专用验证协议PAP或通用交接验证协议CHAP〔RFC1994〕。编辑ppt通过拨号连接的PPTP协议栈编辑pptPPTP协议的优越性

通过PPTP，远程用户可经由因特网访问企业的网络和应用，而不再需要直接拨号至企业的网络。PPTP在IP网络中支持非IP协议，PPTP隧道将IP、IPX、AppleTalk等协议封装在IP包中，使用户能够运行基于特定网络协议的应用程序。其隧道机制采用现有的平安检测和鉴别策略，还允许管理员和用户对现有数据进行加密，使数据更平安。提供了灵活的地址管理。编辑pptPPTP与IPSec的比较在平安性方面PPTP工作在第二层，可以发送IP之外的数据包，如IPX或NetBEUI数据包；IPSec在第三层运行，只能提供IP包的隧道传输；从加密强度和数据集成方面来说，一般认为IPSec优于PPTP；PPTP无鉴别功能。安装和维护方面从简单性的角度看，PPTP在安装部署和维护上要容易些。编辑ppt第二层隧道协议〔L2TP〕综合了PPTP和L2F两者的特点：隧道控制沿用了PPTP的协议；认证过程沿袭了L2F协议；模块化采用了独立的L2TP报头。L2TP利用控制报文进行隧道维护，使用UDP/PPP通过隧道来传输数据报文。编辑pptPPTP与L2TP的比较PPTP是主动隧道模式拨号用户有权在初始PPP协商之后选择PPTP隧道的目的端。其隧道对于ISP来说是透明的，ISP不需保存PPTP效劳器地址，只需象传送其他IP数据一样传送PPTP数据。PPTP的模型是一个单独的端用户，所建立的VPN结构是端到端隧道〔由客户端到PPTP效劳器〕。L2TP是被动隧道模式ISP控制PPP会话的终节点。这在用户需要通过ISP拨入到ICP时很有作用。L2TP的模型有大量已配置的用户，使VPN很像普通的拨号访问系统。其隧道始于NAS，止于L2TP效劳器。编辑ppt加解密技术：传输保密性，VPN可直接利用现有技术；密钥管理技术：在公网中平安地传递密钥，如Deffie-Hellman密钥分配方法；SKIP〔SimpleKeyManagementforIP〕是由SUN公司开发的一种技术，主要是利用Diffie-Hellmail算法IPSec中的ISAKMP/Oakley身份鉴别技术：使属于本单位或授权者与设备能相互通信，且未授权者无法进入通信系统。使用者身份鉴别：通常采用远程身份验证拨入用户效劳RADIUS。最常用的是使用者名称与密码或卡片式认证等方式。设备身份鉴别：通常采用证书〔Certificate〕。VPN的其他平安技术编辑ppt(5)VPN效劳分类拨号VPN；企业员工或小分支通过公网远程拨号的方式构筑的虚拟网。采用二层隧道协议，实现二层网络协议传输。适用于公司内部经常有流动人员的远程办公。内部网VPN〔IntranetVPN〕；进行企业内部各分支机构的互联。采用三层隧道协议，实现三层网络协议传输。外联网VPN〔ExtranetVPN〕。企业与客户、合作伙伴的互联。既可以向客户、合作伙伴提供有效的信息效劳，又可以保证自身的内部网络平安。采用三层隧道协议，实现三层网络协议传输。编辑ppt拨号VPN拨号VPN通过一个拥有与专用网络相同策略的共享根底设施，提供对企业内部网或外部网的远程访问。拨号VPN能使用户随时、随地以其所需的方式访问企业资源。包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够平安地连接移动用户、远程工作者或分支机构。出差员工利用当地ISP提供的VPN效劳，就可以和公司的VPN网关建立私有的隧道连接。RADIUS效劳器可对员工进行验证和授权，保证连接的平安，同时负担的费用大大降低。编辑ppt拨号VPN的特点如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的平安访问效劳，就可以考虑使用AccessVPN。减少用于相关的调制解调器和终端效劳设备的资金及费用，简化网络；实现本地拨号接入的功能来取代远距离接入或800接入，这样能显著降低远距离通信的费用；极大的可扩展性，简便地对参加网络的新用户进行调度；远端验证拨入用户效劳〔RADIUS〕基于标准，基于策略功能的平安效劳；将工作重心从管理和保存运作拨号网络的工作人员转到公司的核心业务上来。编辑ppt内部网VPN〔IntranetVPN〕越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上平安传输。IntranetVPN通过一个使用专用连接的共享根底设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括平安、效劳质量(QoS)、可管理性和可靠性。编辑pptIntranetVPN的特点如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。减少WAN带宽的费用；能使用灵活的拓扑结构，包括全网络连接；新的站点能更快、更容易地被连接；通过设备供给商WAN的连接冗余，可以延长网络的可用时间。编辑ppt外联网VPN〔ExtranetVPN〕随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息效劳，通过各种方式了解客户的需要，同时企业间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种开展趋势提供了良好的根底，而如何利用Internet进行有效的信息管理，是企业开展中不可防止的一个关键问题。利用VPN技术可以组建平安的Extranet，既可以向客户、合作伙伴提供有效的信息效劳，又可以保证内部网络的平安。ExtranetVPN通过一个使用专用连接的共享根底设施，将客户、供给商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括平安、效劳质量(QoS)、可管理性和可靠性。编辑pptExtranetVPN的特点如果是提供B2B之间的平安访问效劳，那么可以考虑ExtranetVPN。能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次时机连接到其合作人的网络。编辑ppt7.病毒防范技术病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，并自我复制的一组计算机指令或程序代码。特点：(1)传染性；(2)非授权性；(3)隐蔽性；

(4)破坏性；(5)不可预见性

编辑ppt(1)计算机网络病毒的类型常见的计算机网络病毒有：〔1〕蠕虫：能够进行自我复制的程序段，并最终导致系统崩溃；〔2〕核心大战〔Zombie〕：能秘密接管其他依附在Internet上的计算机，并使该计算机发动攻击的一种程序。〔3〕逻辑炸弹：嵌在合法程序中，只有当特定的事件出现时才会进行破坏的一组程序代码；〔4〕特洛伊木马：外表上具有某种有用功能的程序，它的内部含有隐蔽代码，当其被调用时会产生意想不到的后果；〔5〕陷阱〔后门〕：程序的一个秘密入口，用户通过它可以不按照通常的访问步骤就能获得访问权；编辑ppt(2)网络反病毒技术〔1〕预防病毒技术：在第一时间阻止病毒进入系统。一般来说不可能实现。〔2〕病毒检测技术：一旦系统被感染，就立即断定病毒的存在并对其进行定位。〔3〕病毒鉴别技术：对病毒进行检测后，区分该病毒的类型。〔4〕病毒消除技术：在确定病毒的类型后，从受染文件中删除所有病毒并恢复程序正常状态。去除被感染系统中的所有病毒，目的是阻止病毒的进一步传染。如果对病毒检测成功但鉴别或去除失败，那么必须删除受染文件并重新装入无毒文件的备份。编辑ppt防范病毒的措施：(1)安装防病毒软件，及时更新病毒库；(2)加强数据备份和恢复措施；(3)对敏感的设备和数据要建立必要的物理或逻辑

隔离措施；(4)不轻易翻开不明的电子邮件及其附件；(5)防止在无防毒软件的机器上使用可移动磁盘(6)关闭不必要的端口(3)计算机病毒的防范措施编辑ppt优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一小结----网络平安工具的特点编辑ppt最后一招积极备份编辑ppt在实际应用中，综合运用上述技术，可以为网络系统提供动态平安。首先需要根据网络的拓扑结构、应用类型及平安要求选择配置适当类型的防火墙，或采用适宜的协议建立虚拟专用网，对系统进行保护〔防护〕，同时运用入侵检测技术对网络系统的假设干关键点实时监控，在发现入侵行为以后通过系统管理员或设置的平安策略自动对系统进行调整〔如通知防火墙关闭某类应用，或阻塞某个地址等〕。此外还要定期对系统进行隐患扫描，以便及时发现由于改动配置、安装新软件等带来的漏洞并加以修补。编辑ppt4企业信息平安解决方案Internet的强劲旋风以惊人的速度渗透到各行各业。企业上网，既可以开展网上的交易业务，又可以宣传自身的效劳，吸引更多的客户；同时，还可以发布实时的产品信息，开展网上进存销业务，实现电子商务战略。总之，电子商务为企业提供了更为广泛的信息来源空间，为员工提供了更为广阔的施展才能的舞台，为市场提供了一种更为灵活的交易方式。伴随网络的普及，平安问题日益成为影响网络效能的瓶颈，而企业的网络平安存在漏洞的状况也是众所周知的，多位信息平安领域的专家也对企业网络的平安问题提出了锋利的批评，不少企业的平安现状已不能适应电子商务迅速开展的要求。近几年，不断有大型企业的网络被“黑客〞入侵，造成重大经济损失和恶劣影响的消息见诸报端。企业的网络平安已经成为企业信息化进程中首先要考虑的事情之一。编辑ppt确定企业网络平安等级企业由于其应用不同，对平安的等级需求也不一样；在企业内部，不同的部门平安等级需求也不一样。平安级别越高，所需要的资金投入就越多，同时对企业网络的性能和企业资源使用的方便性的影响就越大。编辑ppt(1)平安风险企业信息系统的平安风险主要来自网络设施物理特性的平安、网络系统平台的平安、网上交易的平安、数据存储的平安。包括：1.物理平安风险2.系统平安风险：网络系统、操作系统和应用系统3.网上交易的平安风险4.数据的平安风险5.平安策略传统的平安策略停留在局部、静态的层面上，仅仅依靠几项平安技术和手段到达整个系统的平安目的，现代的平安策略应当紧跟平安行业的开展趋势，在进行平安方案设计、规划时，遵循以下原那么：体系性，系统性，层次性，综合性，动态性。编辑ppt(2)解决方案企业网络的平安体系涉及到网络物理平安和系统平安的各个层面。通常应该从网络平安、操作系统、应用系统、交易平安、数据平安、平安效劳和平安目标等方面寻求解决方案，并从以下3个方面进行综合考虑：平安体系:按照平安策略的要求及风险分析的结果，整个企业网络安全措施应根据不同的行业特点，按照网络平安的整体设想来建立。物理平安：保证计算机信息系统各种设备的物理平安是整个计算机信息系统平安的前提。系统平安：系统平安主要关注网络系统、操作系统和应用系统三个层次。编辑ppt(2)解