信息与网络安全技术与产品

日程安排安全概念Copyrightã2001X-ExploitTeamX-ExploitTeamKansasCityDenverClevelandNewYorkAtlantaHoustonPittsburghMinneapolisColumbusWashingtonPhoenixRaleighTrentonSaltLakeCityWilmingtonDallasNewOrleansLincolnNewHavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUWPacificNorthWestGreatPlainsMRENTexasOneNetDirectlyConnectedParticipantMAGPIPittsburgh(CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahomaCityGigaPopConnectedParticipantAnycolorAccessNodeRouterNodeSacramentoOaklandEugeneLosAngelesAnaheim33TotalAccessPointsServing64MembersSeattle数据是怎样产生、存储和传输的？网络各部分是怎样协同工作的（关联性、依赖性）？它是怎样满足每一项工作需要的（应用、数据）？网络是怎样增长的(建设、扩展)？网络怎样“平滑”地完成工作？什么样的资源需要保护？什么是威胁？怎样尽量减少风险对于系统内脆弱的威胁？什么是脆弱性？考察网络安全的每一个细节理解安全概念AuthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity安全策略管理ConnectivityPerformanceEaseofUseManageabilityAvailabilityAccessSecurityMax.安全风险投资、效率与可用性Min.Max.理解安全概念…Min.Max.安全曲线…安全性最优平衡点安全要素安全实务通俗的安全“进不来”使用访问控制机制，阻止非授权用户进入网络，“进不来”“拿不走”使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走”；“看不懂”使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”；“改不了”使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”；“走不脱”使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者"走不脱"。物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络内部接口外部接口应用层应用层OSI七层参考模型IPHDRDATAISO7498-2，信息安全体系结构访问控制服务鉴别服务数据完整性服务数据保密服务信息流安全数据源点鉴别数字签名机制加密机制数据完整性机制访问控制机制交换鉴别机制路由控制机制流量填充机制公证机制OSI安全管理ISO7498-2到TCP/IP的映射小结保障信息与网络系统稳定可靠地运行保证网络资源受控合法地使用PublicWWWServerCampus

BackboneHua-TechFirewallIntranetServersGatewaySalesOfficeHeadquartersInternetMainframeCSSSecureCopyrightã2001X-ExploitTeamX-ExploitTeam辐射线路窃听带宽的增加，威胁逐渐减少AAAKerberosRADIUSTACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAPIdentifyServer统一口令规则/配置内部访问拨号访问Internet访问RADIUS/TACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP包过滤（PacketFilter）地址转换NAT/端口转换PAT地址绑定(Mac)端口映射PMap/地址映射NMap地址过滤/内容过滤/时间段控制应用代理/传输代理日志/审计/响应/日志处理VPN/入侵检测/地址欺骗身份认证/OTP流量管理/计费管理/动态路由TCP/IP/IPX透明接入/非透明接入双机冷备/双机热备/负载均衡本地管理/远程管理/集中管理/用户分权界面（CLI/GUI/WEB）与IDS的连动/互动连动的风险/利弊得失基于弱点漏洞的安全管理（风险管理）入侵成功三要素机会/动机/机会黑客的机会=企业的风险风险=弱点漏洞+错误（不恰当）配置/误操作风险识别风险度量风险控制风险管理BUGTRAQ/CVE/ISSBUGTRAQCVEISS零知识测试（黑盒测试）对目标环境的信息毫无了解的前提下进行测试，是提供尽可能现实的模拟测试。

ProbingExploitingVulerabilityMappingIntrudingHoneypot/Honeynet主动防御的主机、僚机网络模型

网络攻击的诱骗方法实时追踪攻击行为，快速查找定位攻击源主机与僚机的动态自动切换僚机对攻击来源的吸收与反击模型自动瘫痪攻击路径IPSecEncryptedIPHDRIPHDRDATAIPSecHDRDATATransportModeIPHDRDATAIPSecHDRIPHDRNewIPHDRDATATunnelModeEncryptedIPSecModes安全路由器安全操作系统操作系统的安全是网络系统安全的基础级别定义（DOD橘皮书）A级：确定性保护B级：强制性保护C级：自主性保护D级：未经安全评估操作系统安全操作系统安全是对安全级别较低的操作系统的一个安全增强或加固接管系统命令/系统调用Sec-Shell接管ShellSSH安全网关面向信息的安全网关面向用户的安全网关VPN安全产品Copyrightã2001X-ExploitTeamX-ExploitTeam系统安全安全边界通信安全动态安全桌面安全安全管理授权认证灾难恢复主流产品安全服务Copyrightã2001X-ExploitTeamX-ExploitTeam主流服务结束语Copyrightã2001X-ExploitTeamX-ExploitTeam关于X-ExploitTeamCopyrightã2001X-Exploi