《网络空间安全导论》 课件 15-网络安全

网络安全基础01

网络安全概述理解安全威胁与防护措施的概念，熟悉典型的安全威胁熟悉OSI安全体系结构及其定义的各类安全服务、安全机制教学目标网络安全威胁与防护措施开放系统互连模型安全体系结构目录基本概念安全威胁：某人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。所谓的“攻击”就是某个安全威胁的具体实施。防护措施：保护资源免受威胁的一些控制、机制、策略和过程。脆弱性：在实施防护措施中或缺少防护措施时系统所具有的弱点。风险：对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。当某个脆弱的资源价值越高且成功攻击的概率越大时，风险就越高。网络安全威胁与防护措施实例：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。用风险评估的观点来描述这个案例：资源=100块钱威胁=小偷脆弱性=打瞌睡风险=钱被偷走，晚上没饭吃防护措施=口袋网络安全威胁与防护措施实例：某证券公司的数据库服务器因为存在RPCDCOM漏洞，可能会遭到入侵者远程攻击，造成重要数据丢失。用风险评估的观点来描述这个案例：资源=数据库服务器威胁=远程攻击脆弱性=RPCDCOM漏洞风险=重要数据丢失防护措施=？网络安全威胁与防护措施典型安全威胁信息泄露：信息被泄露或透露给某个非授权的实体。完整性破坏：数据被非授权地进行增删、修改或破坏而受到损失。网络安全威胁与防护措施拒绝服务：对信息或其他资源的合法访问被无条件地阻止。非法使用（非授权访问）：某一资源被某个非授权的人，或以非授权的方式使用。典型安全威胁窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。网络安全威胁与防护措施流量分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。典型安全威胁特洛伊木马：软件中含有一个觉察不出的有害的程序段，当它被执行时，会破坏用户的安全。旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。网络安全威胁与防护措施授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。陷阱门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略。抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。典型安全威胁媒体废弃物：信息被从废弃的磁碟或打印过的存储介质中获得。计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序。人员疏忽：一个授权的人为了某种利益或由于粗心，将信息泄露给一个非授权的人。网络安全威胁与防护措施重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送。物理侵入：侵入者绕过物理控制而获得对系统的访问。服务欺骗：某一伪造系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。安全防护措施物理安全：包括门锁或其他物理访问控制措施、敏感设备的防篡改和环境控制等。人员安全：包括对工作岗位敏感性的划分、雇员的筛选，同时也包括对人员的安全性培训，以增强其安全意识。管理安全：包括对进口软件和硬件设备的控制，负责调查安全泄露事件，对犯罪分子进行审计跟踪，并追查安全责任。媒体安全：包括对受保护的信息进行存储，控制敏感信息的记录、再生和销毁，确保废弃的纸张或含有敏感信息的磁性介质被安全销毁；同时，对所用媒体进行扫描，以便发现病毒。辐射安全：对射频及其他电磁辐射进行控制。生命周期控制：包括对可信系统进行系统设计、工程实施、安全评估及提供担保，并对程序的设计标准和日志记录进行控制。网络安全威胁与防护措施网络安全威胁与防护措施开放系统互连模型安全体系结构目录开放系统互连模型（OSI）开放系统互连参考（OpenSystemInterconnect，简称OSI）模型是国际标准化组织（ISO）和国际电报电话咨询委员会（CCITT）联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。ISO自从1946年成立以来，已经提出了多个标准，而1983年提出的ISO/IEC7498，这个关于网络体系结构的标准定义了网络互连的基本参考模型。任何遵循OSI标准的系统，只要物理上连接起来，它们之间都可以互相通信。开放系统互连模型与安全体系结构物理层数据链路层网络层传输层会话层表示层应用层OSI模型开放系统互连模型（OSI）安全体系结构国际标准化组织ISO于1988年发布了ISO7498-2标准（即OSI安全体系结构），作为OSI基本参考模型的新补充。OSI安全体系结构定义了必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。1990年，国际电信联盟（ITU）决定采用ISO7498-2作为其X.800推荐标准，因此X.800和ISO7498-2标准基本相同。我国的国家标准《信息处理系统开放系统互连基本参考模型——第二部分：安全体系结构》（GB/T9387.2-1995）（等同于ISO7498-2）和《Internet安全体系结构》（RFC2401）中提到的安全体系结构是两个普遍适用的安全体系结构，用于保证在开放系统中进程与进程之间远距离安全交换信息。开放系统互连模型与安全体系结构X.800定义的安全服务安全服务：为了保证系统或数据传输有足够的的安全性，开放系统通信协议所提供的服务。可以理解成“一种由系统提供的对资源进行特殊保护的进程或通信服务”。X.800将安全服务分为了认证、访问控制、数据保密性、数据完整性、不可否认性共5类、14个特定服务。开放系统互连模型与安全体系结构X.800定义的安全服务认证服务：确保通信实体就是它所声称的实体对等实体认证：用于在连接建立或数据传输阶段，为该连接中的实体的身份提供可信性保障。该服务提供这样的保证：一个实体不能实现伪装成另一个实体对上次连接的消息进行非授权重发的企图。数据源认证：在无连接传输时，保证收到的信息来源是所声称的来源。该服务为数据的来源提供确认，但对数据的复制或修改不提供保护。例如，该服务支持电子邮件这种类型的应用。在这种应用下，通信实体之间没有任何预先的交互。开放系统互连模型与安全体系结构X.800定义的安全服务访问控制服务：对资源的访问进行限制和控制在网络安全中，访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用资源能力的手段。这种保护服务可应用于对资源的各种不同类型的访问。例如，这些访问包括使用资源、读写或删除资源、处理资源等操作。为此，每个试图获得访问控制权限的实体必须在经过认证或识别后，才能获取其相应的访问权限。开放系统互连模型与安全体系结构X.800定义的安全服务数据保密性服务：保护数据，使之不被非授权地泄露连接保密性：保护一次连接中所有的用户数据。无连接保密性：保护单个数据单元里的所有用户数据。选择域保密性：对一次连接或单个数据单元里选定的数据部分提供保密性保护。流量保密性：保护哪些可以通过观察流量而获得的信息。开放系统互连模型与安全体系结构X.800定义的安全服务数据完整性服务：保证接收到的数据确实是授权实体发出的数据，即没有被修改、插入、删除或重发具有恢复功能的连接完整性：提供一次连接中所有用户数据的完整性，检测整个数据序列内存在修改、插入、删除或重发，且试图将其恢复。无恢复功能的连接完整性：同具有恢复功能的连接完整性基本一致，但仅提供检测，无恢复功能。选择域连接完整性：提供一次连接中传输的单个数据单元中选定部分的数据完整性，并判断选型域是否有修改、插入、删除或重发。无连接完整性：为单个无连接数据单元提供完整性保护，判断选定域是否被修改。开放系统互连模型与安全体系结构X.800定义的安全服务不可否认性服务：防止整个或部分通信过程中，任意一个通信实体进行否认的行为源点的不可否认性：证明消息由特定的一方发出。信宿的不可否认性：证明消息被特定方收到。开放系统互连模型与安全体系结构X.800定义的安全服务可用性服务：根据系统的性能说明，能够按照系统所授权的实体的要求对系统或资源进行访问。X.800将可用性看作是与其他安全服务相关的性质，但对可用性服务进行单独说明很有意义。可用性服务能够确保系统的可用性，能够对付由拒绝服务攻击引起的安全问题。开放系统互连模型与安全体系结构X.800定义的安全机制安全机制：用来实施安全服务的机制（措施）。X.800将安全机制分为了两类：一类在特定的协议层实现，称为特定安全机制，共有8种；另一类不属于任何的协议层或安全服务，称为普遍安全机制，共有5种。开放系统互连模型与安全体系结构X.800定义的安全机制特定安全机制：可以嵌入合适的协议层以提供一些OSI安全服务，共有8种：加密：运用数学算法将数据转换成不可知的形式。数据的变换和复原依赖于算法和一个或多个加密密钥。数字签名：附加于数据单元之后的数据，它是对数据单元的密码变换，可使接收方证明数据的来源和完整性，并防止伪造。访问控制：对资源实施访问控制的各种机制。数据完整性：用于保证数据单元或数据流的完整性的各种机制。认证交换：通过信息交换来保证实体身份的各种机制。流量填充：在数据流空隙中插入若干位以阻止流量分析。路由控制：能够为某些数据动态地或预定地选取路由，确保只使用物理上安全的子网络、中继站或链路。公证：利用可信的第三方来保证数据交换的某些性质。开放系统互连模型与安全体系结构X.800定义的安全机制普遍安全机制：不局限于任何OSI安全服务或协议层的机制，共有5种：可信功能度：根据某些标准（如安全策略所设立的标准）被认为是正确的，就是可信的。安全标志：资源（可能是数据元）的标志，以指明该资源的属性。事件检测：检测与安全相关的事件。安全审计跟踪：收集潜在可用于安全审计的数据，以便对系统的记录和活动进行独立地观察和检查。安全恢复：处理来自诸如事件处置与管理功能等安全机制的请求，并采取恢复措施。开放系统互连模型与安全体系结构安全服务与安全机制的关系开放系统互连模型与安全体系结构加密数字签名访问控制数据完整性认证交换流量填充路由控制公证对等实体认证√√√数据源认证√√访问控制√保密性√√流量保密性√√√数据完整性√√√不可否认性√√√可用性√√安全机制安全服务安全服务与协议层之间的关系开放系统互连模型与安全体系结构安全服务1234567对等实体认证√√√数据源点认证√√√访问控制√√√连接保密性√√√√√√无连接保密性√√√√√选择域保密性√流量保密性√√具有恢复功能的连接完整性√√√不具有恢复功能的连接完整性√√选择域连接完整性√√√无连接完整性√选择域无连接完整性√√√源点的不可否认性√信宿的不可否认性√协议层网络安全威胁与防护措施开放系统互连模型安全体系结构总结网络安全基础02

网络攻击（1）理解网络攻击的基本概念及危害熟悉网络攻击的一般步骤掌握网络信息收集的方法及工具教学目标网络攻击概述网络信息收集目录网络攻击网络攻击（CyberAttacks，也称赛博攻击）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任意计算机的数据，都会被视为于计算机和计算机网络中的攻击。网络攻击概述网络攻击路线图目的：收集信息、找出弱点，为入侵做准备内容：域名及IP分布存在的漏洞目标网络拓扑及操作系统类型开放的端口和提供服务等侦查入侵留后门隐身目的：长期控制目标主机内容：留后门账号留木马线程插入技术等目的：消除入侵痕迹内容：删除应用程序日志删除系统日志借助代理跳板攻击等目的：攻击目标主机，获得管理员权限等内容：欺骗攻击拒绝服务攻击缓冲区溢出攻击SQL注入攻击等网络攻击概述网络攻击概述网络攻击拒绝服务主机网络信息收集网络结构系统和应用业务信息代码利用二进制利用WEB利用应用安全恶意样本信道攻击消息欺骗网络协议欺骗电子邮件应用数据物理攻击安全旁路物理窃取物理破坏硬件攻击硬件完整性恶意固件（BADUSB）GB/T37027-2018《信息安全技术

网络攻击定义及描述规范》常见的网络攻击类型信息收集型攻击：这种攻击并不对目标本身造成危害，但这类攻击常被用来为进一步入侵提供有用的信息。欺骗（假消息）攻击：利用网络用户之间的信任关系以及网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的。利用型攻击：试图直接对目标进行控制的攻击方式。拒绝服务攻击：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使目标的正常服务陷于瘫痪，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。网络攻击概述网络攻击概述网络信息收集目录网络信息资源的特点数量庞大、增长迅速内容丰富、覆盖面广信息质量参差不齐，有序与无序并存网络信息收集信息收集：为更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。“知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆。”

——孙膑《孙子兵法·谋攻篇》对于攻击者先发制人收集目标信息对于防御者后发制人对攻击者实施信息收集，归因溯源网络信息收集收集哪些信息？网络信息收集目标信息系统相关资料域名、网络拓扑、操作系统、应用软件相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息网络信息收集社会工程学社会工程学是使用计谋、假情报或人际关系去获得利益和其他敏感信息的科学攻击对象——人人：秘密信息的保存者，信息安全链中最薄弱的环节利用受害者的本能反应、好奇心、信任、贪婪等心理弱点进行欺骗、伤害网络信息收集公开信息搜索——搜索引擎的利用技巧site指令：搜索结果局限于某个具体网址例如：site:filetype指令：查找某类文件信息例如：“黑客filetype:pdf”inurl指令：搜索的关键字包含在URL链接中例如：inurl:qqintitle指令：搜索的关键字包含在网页标题中例如：intitle:孙杨Linux64Win2K/NT128Windows系列32Unix系列255默认TTL值可在注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters处设置网络信息收集系统及应用信息收集——TCP/IP协议栈检测Ping命令：通过TTL数值判断操作系统类型网络信息收集系统及应用信息收集——网络扫描技术网络扫描能够暴露网络上潜在的脆弱性，确认各种配置的正确性，避免遭受不必要的攻击网络扫描是一柄双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点网络信息收集网络扫描技术分类主机扫描：尽可能多映射目标网络的拓扑结构端口扫描：发现远程主机开放的端口以及服务漏洞扫描：基于局域网或Internet远程检测目标网络或主机的安全性网络信息收集网络设备漏洞扫描器CiscoAuditingTools集成化的漏洞扫描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard专业Web扫描软件IBMappscanAcunetixWebVulnerability数据库漏洞扫描器ISSDatabaseScanneroscannerOracle数据库扫描器metacoretex数据安全审计工具实例1：利用Nmap进行主机扫描网络信息收集实例2：利用Nmap进行端口扫描网络信息收集实例3：利用Nmap进行漏洞扫描网络信息收集网络信息收集系统及应用信息收集——网络监听技术据英国《卫报》和美国《华盛顿邮报》2013年6月报道，美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。棱镜靠什么窥探我们的隐私？网络信息收集棱镜监控的主要有10类信息（1）电邮（2）即时消息（3）视频（4）照片（5）存储数据（6）语音聊天（7）文件传输（8）视频会议（9）登录时间（10）社交网络资料的细节利用监听工具将网络接口设置成混杂模式，将在网络中传播的信息截获或者捕获，从而进行攻击。当信息以明文的形式在网络上传播时，就可以使用监听的方式来进行攻击。只要将网络接口设置为混杂模式，便可以源源不断地将网上传输的信息截获。网络信息收集严防死守！网络信息收集网络信息收集的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面网络攻击概述网络信息收集总结网络安全基础02

网络攻击（1）理解网络攻击的基本概念及危害熟悉网络攻击的一般步骤掌握网络信息收集的方法及工具教学目标网络攻击概述网络信息收集目录网络攻击网络攻击（CyberAttacks，也称赛博攻击）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任意计算机的数据，都会被视为于计算机和计算机网络中的攻击。网络攻击概述网络攻击路线图目的：收集信息、找出弱点，为入侵做准备内容：域名及IP分布存在的漏洞目标网络拓扑及操作系统类型开放的端口和提供服务等侦查入侵留后门隐身目的：长期控制目标主机内容：留后门账号留木马线程插入技术等目的：消除入侵痕迹内容：删除应用程序日志删除系统日志借助代理跳板攻击等目的：攻击目标主机，获得管理员权限等内容：欺骗攻击拒绝服务攻击缓冲区溢出攻击SQL注入攻击等网络攻击概述网络攻击概述网络攻击拒绝服务主机网络信息收集网络结构系统和应用业务信息代码利用二进制利用WEB利用应用安全恶意样本信道攻击消息欺骗网络协议欺骗电子邮件应用数据物理攻击安全旁路物理窃取物理破坏硬件攻击硬件完整性恶意固件（BADUSB）GB/T37027-2018《信息安全技术

网络攻击定义及描述规范》常见的网络攻击类型信息收集型攻击：这种攻击并不对目标本身造成危害，但这类攻击常被用来为进一步入侵提供有用的信息。欺骗（假消息）攻击：利用网络用户之间的信任关系以及网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的。利用型攻击：试图直接对目标进行控制的攻击方式。拒绝服务攻击：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使目标的正常服务陷于瘫痪，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。网络攻击概述网络攻击概述网络信息收集目录网络信息资源的特点数量庞大、增长迅速内容丰富、覆盖面广信息质量参差不齐，有序与无序并存网络信息收集信息收集：为更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。“知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆。”

——孙膑《孙子兵法·谋攻篇》对于攻击者先发制人收集目标信息对于防御者后发制人对攻击者实施信息收集，归因溯源网络信息收集收集哪些信息？网络信息收集目标信息系统相关资料域名、网络拓扑、操作系统、应用软件相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息网络信息收集社会工程学社会工程学是使用计谋、假情报或人际关系去获得利益和其他敏感信息的科学攻击对象——人人：秘密信息的保存者，信息安全链中最薄弱的环节利用受害者的本能反应、好奇心、信任、贪婪等心理弱点进行欺骗、伤害网络信息收集公开信息搜索——搜索引擎的利用技巧site指令：搜索结果局限于某个具体网址例如：site:filetype指令：查找某类文件信息例如：“黑客filetype:pdf”inurl指令：搜索的关键字包含在URL链接中例如：inurl:qqintitle指令：搜索的关键字包含在网页标题中例如：intitle:孙杨Linux64Win2K/NT128Windows系列32Unix系列255默认TTL值可在注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters处设置网络信息收集系统及应用信息收集——TCP/IP协议栈检测Ping命令：通过TTL数值判断操作系统类型网络信息收集系统及应用信息收集——网络扫描技术网络扫描能够暴露网络上潜在的脆弱性，确认各种配置的正确性，避免遭受不必要的攻击网络扫描是一柄双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点网络信息收集网络扫描技术分类主机扫描：尽可能多映射目标网络的拓扑结构端口扫描：发现远程主机开放的端口以及服务漏洞扫描：基于局域网或Internet远程检测目标网络或主机的安全性网络信息收集网络设备漏洞扫描器CiscoAuditingTools集成化的漏洞扫描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard专业Web扫描软件IBMappscanAcunetixWebVulnerability数据库漏洞扫描器ISSDatabaseScanneroscannerOracle数据库扫描器metacoretex数据安全审计工具实例1：利用Nmap进行主机扫描网络信息收集实例2：利用Nmap进行端口扫描网络信息收集实例3：利用Nmap进行漏洞扫描网络信息收集网络信息收集系统及应用信息收集——网络监听技术据英国《卫报》和美国《华盛顿邮报》2013年6月报道，美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。棱镜靠什么窥探我们的隐私？网络信息收集棱镜监控的主要有10类信息（1）电邮（2）即时消息（3）视频（4）照片（5）存储数据（6）语音聊天（7）文件传输（8）视频会议（9）登录时间（10）社交网络资料的细节利用监听工具将网络接口设置成混杂模式，将在网络中传播的信息截获或者捕获，从而进行攻击。当信息以明文的形式在网络上传播时，就可以使用监听的方式来进行攻击。只要将网络接口设置为混杂模式，便可以源源不断地将网上传输的信息截获。网络信息收集严防死守！网络信息收集网络信息收集的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面网络攻击概述网络信息收集总结网络安全基础04

网络安全防护技术（1）理解防火墙的概念、部署方式和工作模式了解防火墙的功能和缺陷熟悉防火墙的评价指标理解包过滤技术的基本原理教学目标防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录信任网络防火墙非信任网络定义防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过制定相应的安全策略，可监测、限制、更改跨越防火墙的数据流，来保护信任网络，以防止发生不可预测的、具有潜在破坏性的侵入。防火墙的概念在网络中的位置防火墙一般位于网络数据流的必经节点一般位于路由器后面，交换机前面防火墙与网络一般是串联关系防火墙的概念防火墙之外的网络，一般为Internet，默认为风险区域。为了配置方便，内网中需要向外网提供服务的服务器（如WWW、FTP、DNS等）往往放在内网与Internet之间一个单独的网段，即为DMZ。防火墙之内的网络，一般为局域网，默认为安全区域。安全域的典型划分防火墙的概念如何理解防火墙的概念一种网络安全防护机制用于加强网络间（安全域间）的访问控制防止外部用户非法使用内部网的资源，防止内部网的敏感数据被外部用户窃取能根据网络安全策略控制（允许、拒绝、修改、监测）出入网络的信息流，且本身具有较强的抗攻击能力防火墙的概念基本工作模式路由模式透明（桥接）模式防火墙的概念路由模式防火墙的概念透明（桥接）模式防火墙的概念防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录防火墙的典型功能访问控制传输安全（VPN）路由地址转换服务代理攻击检测和防御防火墙的功能与缺陷访问控制传输安全路由地址转换服务代理攻击检测与防御访问控制访问控制的机制类型自主访问控制（DAC）强制访问控制（MAC）访问控制的对象服务控制：确定哪些服务可以被访问方向控制：对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制：根据用户来控制对服务的访问行为控制：控制一个特定的服务的行为防火墙的功能与缺陷内容监控与过滤应用层防护支持常见协议基于误用的自定义规则大都支持碎片重组URL过滤利用黑名单、白名单、自定义区分URL对网页挂马、钓鱼网站有很好的效果防火墙的功能与缺陷防火墙的缺陷不能防范恶意的内部用户不能防范绕过防火墙的连接不能防范全新的安全威胁不适合防范数据驱动式攻击防火墙的功能与缺陷防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录选购防火墙需要考虑的因素性能指标功能指标价格因素其它指标防火墙的评价指标性能指标吞吐量（Throughput）时延（Latency）丢包率（Packetlossrate）并发连接数防火墙的评价指标功能指标工作模式配置与管理方式接口的数量和类型日志和审计功能可用性参数以及其它参数（内容过滤、入侵检测、用户认证、VPN与加密等主要的附加功能）防火墙的评价指标防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术目录CD数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于协议类型基于出入网口基于时间基于用户灵活制定控制策略包过滤技术包过滤技术简单包过滤防火墙不检查数据区！应用层TCP层IP层网络接口层TCP101010101IP101010101TCPETHTCP101010101IP101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCP101010101只检查报头101001001001010010000011100111101111011101001001001010010000011100111101111011UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource查找对应的控制策略TCP101010101IPETH包过滤工作原理包过滤技术

IP源地址

IP目标地址

协议类型（TCP包、UDP包、ICMP包等）

TCP或UDP包的源端口

TCP或UDP包目的端口ICMP消息类型数据包过滤一般要检查网络层的IP头和传输层头五元组：源/目的地址、源/目的端口、协议类型包过滤规则包过滤技术包过滤默认规则默认禁止：仅放行明确允许的访问行为，其他均禁止默认允许：仅禁止明确禁止的访问行为，其他均允许包过滤技术序号动作源IP目的IP源端口目的端口协议类型1禁止any443TCP2允许/24any443TCP3允许/24443anyTCP如果将第1条规则调整到第3条规则之后，会是什么结果？包过滤规则实例1A网络地址为/24，内部服务器B地址为，如果只拒绝通过HTTPS访问服务器B，而不限制A网络中的其他主机，如何来设置包过滤规则？包过滤规则：1.禁止通过HTTPS访问服务器B2.允许A网络中其他的主机通过HTTPS访问服务器B包过滤技术包过滤规则匹配流程提取数据包的相关信息，按照从头到尾的顺序，与规则表中的规则进行比较。如果符合其中的一条规则，则按照相应的规则处理该数据包（允许或拒绝），终止匹配。规则次序很关键，要把特殊的规则放在前面端，把相对不特殊的规则放在后端。默认规则位于规则列表末尾，用户应该慎重设置默认规则。包过滤技术包过滤技术包过滤规则实例2

已知内部网网络地址为/24，外部网网络地址为/24。现制定以下包过滤规则:1.除了IP地址为的主机，禁止其他外网主机用Telnet登录到内部网；

2.允许IP地址为的内网主机使用Telnet登录到外网主机；

3.允许任何主机使用SMTP往内部网发送电子邮件；

4.只允许内部主机使用FTP访问外部主机，而限制其他的内部主机；

5.允许任何ICMP数据通过；

6.允许内部网任何主机发送WWW数据；

7.默认规则：不允许其他数据包通过。不考虑“回包”的处理，将这些策略写成五元组包过滤规则表的格式。序号动作源地址目的地址源端口目的端口协议类型1允许/24any23TCP2禁止/24/24any23TCP3允许any23TCP4允许any/24any25TCP5允许any21，20TCP6禁止/24any21，20TCP7允许anyanyanyanyICMP8允许/24anyany80TCP9禁止anyanyanyanyany包过滤规则实例2包过滤技术包过滤技术的优缺点优点处理包速度较快对用户和应用透明缺点维护比较难，定义过滤规则比较难不支持有效的用户认证过滤条目多时，防火墙性能下降包过滤技术防火墙的概念防火墙的功能与缺陷防火墙的评价指标包过滤技术总结网络安全基础05

网络安全防护技术（2）理解入侵检测与VPN的作用、原理及部署方式了解计算机病毒的分类及防治技术教学目标入侵检测技术VPN技术计算机病毒防治技术目录入侵检测的概念入侵检测（IntrusionDetection）：对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。入侵检测技术是一种能够及时发现系统中未授权或异常现象，并能根据系统安全规则进行检测和报警的技术，是一种用于检测计算机网络系统中恶意行为的技术。入侵检测系统（IntrusionDetection

System，简称IDS）：一种网络安全设备（机制），通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术入侵检测系统的作用事前警告：在黑客入侵之前，根据网络异常情况发出告警。事中防御：在黑客入侵之时，根据恶意访问特征及时发现入侵行为并采取适当措施。事后审计：在黑客入侵之后，根据恶意访问的各种日志记录，对入侵造成的损失进行审计，为修复系统、加固安全策略提供基本依据。安全策略管理：根据安全策略对入侵行为进行记录和告警，并对各种警告进行输出、存储和查询等。入侵检测技术监控室=控制中心保安=防火墙摄像机=入侵探测系统CardKey入侵检测技术相关术语警报（alert）：当一个入侵正在发生或者试图发生时，IDS将发布一个警报信息通知系统管理员特征（signatures）：一组能确定网络访问或系统行为是入侵行为的字符串、数据、行为模式或符号组合等误报（falsepositive）：实际无害的事件却被IDS检测为攻击事件漏报（falsenegative）：一个攻击事件未被IDS检测到或被分析人员认为是无害的蜜罐（honeypot）：一种资源，其价值在于被攻击或攻陷入侵检测技术通用入侵检测系统模型（CIDF）事件产生器响应单元事件分析器存储机制低级事件高级事件低级事件高级事件来自网络中的数据包入侵检测技术IDS分类根据检测方式和技术分类基于知识的IDS：又称为误用检测技术，通过某种方式预先定义规则（知识库），然后监视系统的运行，从中找出符合预先定义规则的入侵行为。基于行为的IDS：又称为异常检测技术，入侵和滥用行为通常和正常的行为存在严重的差异，检查出这些差异就可以检测出入侵。入侵检测技术IDS分类根据部署位置和工作方式分类HIDS（主机入侵检测系统）：运行于被检测的主机上，通过查询、监听当前系统的各种资源的使用运行状态，检测系统资源被非法使用和修改的事件，进行上报和处理。NIDS（网络入侵检测系统）：通过连接在网络上的“探针”捕获网络上的包，并分析其是否具有已知的攻击模式，以此来判断是否是入侵行为。当该系统发现某些可疑的行为时会产生报警（NIPS同时还可以根据安全策略对该行为进行阻断）。入侵检测技术HIDS部署方式PC1PC2PC3agentagentagentIDSServer交换机防火墙路由器入侵检测技术NIDS部署方式PC1PC2PC3IDS探针（旁路方式部署）交换机IDS管理控制中心防火墙路由器入侵检测技术入侵检测技术VPN技术计算机病毒防治技术目录VPN技术为什么需要VPN问题一：私有IP网络之间无法通过Internet互联，如何解决？问题二：异种网络（IPX、AppleTalk）之间无法通过Internet直接进行通信，如何解决？问题三：对于一个企业，如何保证出差员工、分支机构、合作伙伴能接入自己的内网？VPN（VirtualPrivateNetwork，虚拟专用网）依靠网络服务提供商NSP（NetworkServiceProvider）在公共网络中建立的虚拟专用通信网络。VPN的特点专用（Private）：对于VPN用户，使用VPN与使用传统专网没有区别，VPN与底层承载网络之间保持资源独立，VPN内部信息不受外部侵扰。虚拟（Virtual）：VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。这个公共网络也被称为VPN骨干网（VPNBackbone）。VPN技术VPN的优势安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。VPN技术VPN技术VPN的分类按应用类型分类远程访问VPN（AccessVPN）：面向出差员工，允许出差员工跨越公用网络远程接入公司内部网络。内部VPN（IntranetVPN）：面向分支结构，通过公用网络进行企业内部各个分支网络的互连。扩展VPN（ExtranetVPN）：面向合作伙伴，使不同企业间通过公网来构筑“专线”。VPN技术远程访问VPN内部VPN扩展VPNVPN技术VPN的分类按组网类型分类基于VPN的远程访问（主机到网关）基于VPN的网络互连（网关到网关）基于VPN的点对点通信（主机到主机）VPN技术VPN的分类按实现层次分类基于数据链路层的VPN：PPTPVPN、L2FVPN、L2TPVPN基于网络层的VPN：GREVPN、IPSecVPN基于应用层的VPN：SSLVPNVPN的关键技术隧道技术隧道技术是VPN的基本技术，类似于点到点连接技术。它的基本过程就是在数据进入源VPN网关时，将数据“封装”后通过公网传输到目的VPN网关，再对数据“解封装”。“封装/解封装”过程本身就可以为原始报文提供安全防护功能，所以被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。VPN技术VPN的关键技术身份认证技术：通过对用户的身份进行认证，确保接入内部网络的用户是合法用户，而非恶意用户。加密技术：把能读懂的报文变成无法读懂的报文，也就是把明文变成密文。数据验证技术：对收到的报文进行完整性和真实性校验，对于伪造的、被篡改的数据进行丢弃。VPN技术VPN技术GREVPNL2TPVPNIPSecVPNSSLVPN保护范围IP层及以上数据IP层及以上数据IP层及以上数据应用层特定数据适用场景IntranetVPNAccessVPN、ExtranetVPNIntranetVPN、AccessVPNAccessVPN身份认证技术不支持支持，基于PPP的CHAP、PAP、EAP认证支持，采用“IP或ID+口令或证书”进行数据源认证；IKEv2拨号方式采用EAP进行用户身份认证支持，“用户名+口令+证书”对服务器进行认证，也可以进行双向认证加密技术不支持不支持支持支持数据验证技术支持（校验和方式验证、关键字验证）不支持支持支持如何使用GREoverIPSecL2TPoverIPSec单独使用IPSec，或用IPSec保护GRE、L2TPSSLVPN入侵检测技术VPN技术计算机病毒防治技术目录计算机病毒的定义从广义上讲，能够引起计算机故障、破坏计算机数据、影响计算机正常运行的指令或者代码，均统称为计算机病毒（computervirus）。计算机病毒防治技术《中华人民共和国计算机信息系统安全保护条例》（1994年2月18日颁布实施）中第二十八条规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒的特点破坏性：计算机病毒的首要特征，任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，轻者占用系统资源、降低计算机工作效率，重者窃取或破坏数据、破坏正常程序，甚至导致系统崩溃。传染性：计算机病毒与生物病毒一样具有传染性。病毒会通过网络、移动存储介质等各种渠道，从已被感染的计算机扩散到为被感染的计算机中，感染型病毒会直接将自己植入正常文件的方式来进行传播。隐蔽性：计算机病毒通常没有任何可见的界面，为了最大限度提高自己在被攻击系统上的生命周期，会采用隐藏进程、文件等手段，千方百计地隐藏自己的行迹，以防止被发现和删除。计算机病毒防治技术计算机病毒的分类木马型病毒（Trojan）：通过隐藏、伪装等手段，以正常程序的面貌欺骗用户，来达到传播、执行的计算机病毒。感染型病毒（Virus）：将病毒代码附加到被感染的宿主文件（如Windows可执行文件、可运行宏的Office文件等）中的计算机病毒。蠕虫型病毒（Worm）：利用系统的漏洞、邮件、共享目录、可传输文件的软件（如MSN、QQ等）、可移动存储介质（如U盘、移动硬盘）等，进行自我传播的计算机病毒。后门型病毒（Backdoor）：在受感染系统中隐蔽运行，并接收远程命令，可以进行远程控制的计算机病毒。恶意软件（Malware）：具有一定正常功能，但以病毒手段进行传播、隐藏和防删除的软件，也称为“流氓软件”。计算机病毒防治技术计算机病毒检测的基本原理基本原理：通过对文件、代码、行为等进行数据采样，然后将采样结果和基准进行匹配，再根据匹配结果去判定病毒。技术三要素：采样：对检测目标按特定位置进行一定大小的数据采集。采样的位置和大小取决于检测算法与方式。匹配：将采样的数据与规则进行比较，以判别当前目标。匹配的方法既可以是精确的匹配算法，也可以是模糊的、相似度的匹配算法。基准：预先通过对已知病毒样本进行分析处理而制作的病毒特征数据库或病毒样本算法模型，通常称为“病毒库”。病毒库的建立是反病毒软件公司对收集到的未知样本进行分析处理后，按一定方法对判定的病毒样本提取特征或进行算法学习训练而建立的。计算机病毒防治技术计算机病毒的主流检测技术基于特征码的传统检测技术基于行为的动态检测技术基于云的云查杀技术基于大数据处理和人工智能学习算法的智能查杀系统计算机病毒防治技术入侵检测技术VPN技术计算机病毒防治技术总结网络安全基础06

网络安全工程与管理理解网络安全等级保护、网络安全管理、网络安全事件处置与灾难恢复的概念，了解相关的技术标准教学目标网络安全等级保护网络安全管理网络安全事件处置与灾难恢复目录等级保护概述《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。该制度的核心是对网络实施分等级保护和分等级监管。等级保护制度体现了风险管理的思想，即安全保护措施应当针对威胁和风险，成本投入应当与收益相符，既不能欠保护，也不能过保护。网络安全等级保护等级保护主要标准GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T22240-2020《信息安全技术网络安全等级保护定级指南》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T28448-2019《信息安全技术网络安全等级保护测评要求》GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》网络安全等级保护等级保护对象基础信息网络云计算平台/系统大数据应用/平台/资源物联网工业控制系统采用移动互联技术的系统……网络安全等级保护基础信息网络云计算平台/系统大数据应用/平台/资源物联网工业控制系统采用移动互联技术的系统等级保护对象……等级保护工作机制等级保护工作的五个基本步骤定级备案建设整改等级测评监督检查网络安全等级保护定级备案建设整改等级测评监督检查等级划分等级划分：根据被保护对象在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，分为五个安全保护等级。网络安全等级保护受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护测评框架网络安全等级保护测评方法访谈核查测试测评对象制度文档各类设备安全配置相关人员基本要求第四级目录信息系统安全保护等级测评规程（步骤）访谈规程（步骤）核查规程（步骤）测试规程（步骤）…规程（步骤）说明测评输入测评输出网络安全等级保护网络安全管理网络安全事件处置与灾难恢复目录网络安全管理概述网络安全管理是网络安全工作中的重要概念，网络安全管理控制措施与网络安全技术控制措施一起构成了网络安全防护措施的全部。网络安全管理是指把分散的网络安全技术和人的因素，通过策略、规则协调整合成为一体，服务于网络安全的目标。网络安全管理网络安全管理体系（ISMS）1995年，英国推出BS7799网络安全管理标准，BS7799于2000年被国际标准化组织批准为国际标准ISO/IEC17799，又于2005年被国际标准化组织重新编号，编入网络安全管理体系标准族，即ISO/IEC27000标准系列。网络安全管理网络安全管理网络安全管理体系（ISMS）ISO/IEC27000系列的两个核心、基础标准是ISO/IEC27001和ISO/IEC27002。ISO/IEC27001是ISMS的规范说明，其重要性在于它提供了认证执行的标准，且包括必要文档的列表。ISO/IEC27001标准基于风险管理的思想，指导组织建立一个系统化、程序化和文件化的管理体系，即ISMS。ISO/IEC27002提出了一系列具体的网络安全控制措施。网络安全管理网络安全管理体系（ISMS）ISMS基于系统、全面、科学的安全风险评估，体现预防控制为主的思想，强调遵守国家有关网络安全的法律法规及其他合同方要求，强调全过程和动态控制，本着控制费用和风险平衡的原则合理选择安全控制方式保护组织所拥有的关键信息资产，使网络安全风险的发生概率和结果降低到可接受的水平，确保信息的保密性、完整性和可用性，保持组织业务运作的持续性。网络安全管理我国的网络安全管理相关标准GB/T19715.1-2005《信息技术IT安全管理指南第1部分：IT安全概念和模型》（等同采用ISO/IECTR13335-1:1996）GB/T19715.2-2005《信息技术IT安全管理指南第2部分：管理和规划IT安全》（等同采用ISO/IECTR13335-2:1997）GB/T20269-2006《信息安全技术信息系统安全管理要求》GB/T28450-2012《信息安全技术信息安全管理体系审核指南》GB/T28453-2012《信息安全技术信息系统安全管理评估要求》GB/T31496-2015《信息技术安全技术信息安全管理体系实施指南》GB/T31497-2015《信息技术安全技术信息安全管理测量》GB/T31722-2015《信息技术安全技术信息安全风险管理》网络安全管理我国的网络安全管理相关标准（续）GB/T22080-2016《信息技术安全技术信息安全管理体系要求》（等同采用ISO/IEC27001:2013）GB/T22081-2016《信息技术安全技术信息安全管理实用规则》（等同采用ISO/IEC27002:2013）GB/Z32916-2016《信息技术安全技术信息安全控制措施审核员指南》GB/T29246-2017《信息技术安全技术信息安全管理体系概述和词汇》（等同采用ISO/IEC27000:2016）GB/T25067-2020《信息技术安全技术信息安全管理体系审核和认证机构要求》网络安全管理网络安全管理控制措施ISO/IEC27002（即我国国家标准GB/T22081）提出的14个方面的管理控制措施：（1）网络安全策略：旨在对组织中成员阐明如何使用组织中的信息系统资源、如何处理敏感信息、如何采用安全技术产品、用户在使用信息时应当承担哪些责任，详细描述员工的安全意识与技能要求，列出被组织禁止的行为。（2）网络安全组织：描述如何建立、运行一个网络安全管理框架来开展安全管理，主要包括内部网络安全组织架构、职能职责分配，以及如何处理与各相关方的关系。（3）人力资源安全：针对人员任用前、任用中以及任用的终止和变更3个阶段进行管理。（4）资产管理：主要包括识别组织资产并定义适当的保护责任、依据对组织的