网络安全员培训-1安全基础课件

网网 络络 安安 全全网络安全员培训网络安全员培训-1-1安全基础课件安全基础课件第第 一一 章章 安安 全全 基基 础础第第 一一 章章 安安 全全 基基 础础课程内容程内容l安全定义（网络安全）安全定义（网络安全）lTCP/IPTCP/IP安全性分析安全性分析l通用攻击技术通用攻击技术l安全防御体系简述安全防御体系简述l信息安全管理简述信息安全管理简述课程内容安全定义（网络安全）课程内容安全定义（网络安全）网网络安全概述安全概述安全定义安全定义安全是一个过程，而不单纯是一项产品或技术，这体现了与时俱进的安全是一个过程，而不单纯是一项产品或技术，这体现了与时俱进的动态性与自适应性。动态性与自适应性。网络安全网络安全网络安全是指网络系统的硬件、软件及其中数据受到保护，不受偶然网络安全是指网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露，保证系统连续可靠地运行，网络服的或者恶意的破坏、更改、泄露，保证系统连续可靠地运行，网络服务不中断的措施。网络安全从其本质上来讲就是网络上的信息安全。务不中断的措施。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性/可可靠性、真实性和可控性的相关技术和理论都是网络安全的研究领域。靠性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全概述安全定义网络安全概述安全定义网网络类型型 局域网局域网 城域网城域网 广域网广域网网络类型网络类型 局域网局域网局域网（局域网（LANLAN）局域网（局域网（Loxal Area NetworkLoxal Area Network，LANLAN）是指范围在几百米到十几公里）是指范围在几百米到十几公里内办公楼群或校园内的计算机相互连接所构成的计算机网络内办公楼群或校园内的计算机相互连接所构成的计算机网络。1、在有限的地理范围内运行、在有限的地理范围内运行 2、许多个用户同时接入高带宽介质、许多个用户同时接入高带宽介质3、提供全时的本地连接服务、提供全时的本地连接服务 4、互联物理上相邻的设备、互联物理上相邻的设备局域网（局域网（LAN LAN）局域网（）局域网（Loxal Area NetworkLoxal Area Network城域网（城域网（MANMAN）城域网（城域网（Metropolitan Area NetworkMetropolitan Area Network，MANMAN）所采用的技术基本上与）所采用的技术基本上与局域网相类似，只是规模上要大一些。城域网既可以覆盖相距不远的局域网相类似，只是规模上要大一些。城域网既可以覆盖相距不远的几栋办公楼，也可以覆盖一个城市；几栋办公楼，也可以覆盖一个城市；城域网（城域网（MAN MAN）城域网（）城域网（Metropolitan Area Metropolitan Area 广域网（广域网（WANWAN）广域网（广域网（Wide Area NetworkWide Area Network，WANWAN）一种用来实现不同地区的局域网）一种用来实现不同地区的局域网或城域网的互连，可提供不同地区、城市和国家之间的计算机通信的或城域网的互连，可提供不同地区、城市和国家之间的计算机通信的远程计算机网。远程计算机网。1、在很大的地理上分隔的区域之间运作、在很大的地理上分隔的区域之间运作 2、允许用户之间进行实时通信、允许用户之间进行实时通信3、提供全时或部分时间的连接服务、提供全时或部分时间的连接服务 4、网络控制服从公共服务规则、网络控制服从公共服务规则广域网（广域网（WAN WAN）广域网（）广域网（Wide Area NetworkWide Area Network，网网络安全的重要性安全的重要性l存储和处理国家，单位机构、重要机密数据及个人敏感存储和处理国家，单位机构、重要机密数据及个人敏感信息信息l网络、软件的设计缺陷、失误与飞速发展的矛盾网络、软件的设计缺陷、失误与飞速发展的矛盾l计算机广泛应用和普及和涉及领域计算机广泛应用和普及和涉及领域l操作人员、编程人员和系统分析人员的失误或缺乏经验操作人员、编程人员和系统分析人员的失误或缺乏经验l对网络安全的重视不够对网络安全的重视不够网络安全的重要性存储和处理国家，单位机构、重要机密数据及个人网络安全的重要性存储和处理国家，单位机构、重要机密数据及个人网网络安全威安全威胁来源来源l内部人员（信息系统的管理者、使用者和决策者）内部人员（信息系统的管理者、使用者和决策者）l准内部人员（包括信息系统的开发者、维护者等）准内部人员（包括信息系统的开发者、维护者等）l特殊身份人员（审计人员、稽查人员、记者等）特殊身份人员（审计人员、稽查人员、记者等）l外部黑客或小组外部黑客或小组l竞争对手竞争对手l网络恐怖组织网络恐怖组织l军事组织或国家组织等军事组织或国家组织等l设备设备l天灾天灾网络安全威胁来源内部人员（信息系统的管理者、使用者和决策者）网络安全威胁来源内部人员（信息系统的管理者、使用者和决策者）网络安全的目标网络安全的目标l 身份真实性身份真实性l 信息机密性信息机密性l 信息完整性信息完整性l 服务可用性服务可用性l 不可否认性不可否认性l 系统可控性系统可控性l 系统易用性系统易用性l 可审查性可审查性网络安全的目标网络安全的目标 身份真实性身份真实性OSIOSI七七层参考模型参考模型ApplicationPresentationSessionTransportNetworkData LinkPhysicalData LinkNetworkTransportSessionPresentationApplicationPhysical比特流帧帧（Frame）包包（Packet）分段分段（Segment）会话流会话流代码流代码流数据数据OSI OSI 七层参考模型七层参考模型ApplicationPresentatApplicationPresentatTCP/IPTCP/IP协议栈传输层传输层数据连路层数据连路层 网络层网络层物理层物理层应用层应用层会话层会话层表示层表示层应用层应用层传输层传输层网络层网络层接入层接入层HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等等TCP和和UDPIP、ICMP、IGMP、ARP、RARP等等Ethernet、ATM、FDDI、X.25、ISDN等等内容分发内容分发负载均衡负载均衡路由器路由器交换机交换机TCP/IPTCP/IP协议栈传输层数据连路层协议栈传输层数据连路层 网络层物理层应用层会话层网络层物理层应用层会话层TCPTCP建立建立连接接SYN received主机主机A：客户端：客户端主机主机 B：服务端：服务端发送发送TCP SYN分段分段(seq=100 ctl=SYN)1发送发送TCP SYN&ACK分段分段(seq=300 ack=101 ctl=syn,ack)SYN received2Established(seq=101 ack=301 ctl=ack)3TCP TCP建立连接建立连接SYN receivedSYN received主机主机A A：客户端主机：客户端主机 B BTCPTCP终止止连接接主机主机B：服务端：服务端主机主机 A：客户端：客户端1发送发送TCP FIN分段分段2发送发送TCP ACK分段分段3发送发送TCP FIN分段分段4发送发送TCP ACK分段分段关闭关闭A到到B的连接的连接关闭关闭A到到B的连接的连接TCP TCP终止连接主机终止连接主机B B：服务端主机：服务端主机 A A：客户端：客户端1 1发送发送TCP FTCP Fl 被动攻击被动攻击l 主动攻击主动攻击l 物理临近攻击物理临近攻击l 内部人员攻击内部人员攻击l 软硬件装配分发攻击软硬件装配分发攻击通用攻通用攻击技技术分分类 被动攻击通用攻击技术分类被动攻击通用攻击技术分类l 隐藏自身隐藏自身l 预攻击探测预攻击探测l 进行攻击进行攻击l 清除痕迹清除痕迹攻攻击一般流程一般流程 隐藏自身攻击一般流程隐藏自身攻击一般流程攻击的技术方法（攻击的技术方法（1）远程信息探测远程信息探测 系统版本扫描系统版本扫描 端口扫描端口扫描远程缓冲区溢出远程缓冲区溢出根据程序软件漏统，黑客通过在缓冲区中放入他自己的执行代码或者此根据程序软件漏统，黑客通过在缓冲区中放入他自己的执行代码或者此代码比缓冲区定义大小大时，这时就会造成缓冲区溢出。代码比缓冲区定义大小大时，这时就会造成缓冲区溢出。操作系统操作系统 应用程序应用程序攻击的技术方法（攻击的技术方法（1 1）远程信息探测）远程信息探测攻击的技术方法（攻击的技术方法（2）CGICGI（Common Gateway InterfaceCommon Gateway Interface）攻击）攻击通用网关接口，提供通用网关接口，提供WEBWEB的双向交互能力，提供的双向交互能力，提供WEBWEB服务器可以接受客户服务器可以接受客户端的数据端的数据拒绝服务器攻击拒绝服务器攻击DOSDOS攻击：拒绝服务器攻击，非法连接占用过多的带宽攻击：拒绝服务器攻击，非法连接占用过多的带宽,会话会话,服务器性能服务器性能,从而使得从而使得internetinternet正常连接访问失效正常连接访问失效攻击的技术方法（攻击的技术方法（2 2）CGI CGI（Common Gateway ICommon Gateway I攻击的技术方法（攻击的技术方法（3）口令攻击口令攻击 暴力破解暴力破解(穷举法穷举法)，监听等。，监听等。木马攻击木马攻击 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。控制器程序。服务器程序用于监听被侵入主机的端口或监视用户服务器程序用于监听被侵入主机的端口或监视用户活动，控制器端程序则用于接收服务器程序返回的信息并可控制远活动，控制器端程序则用于接收服务器程序返回的信息并可控制远程主机。程主机。木马常入侵途径，网站，捆绑等木马常入侵途径，网站，捆绑等攻击的技术方法（攻击的技术方法（3 3）口令攻击）口令攻击攻击的技术方法（攻击的技术方法（4）欺骗攻击欺骗攻击l 域名欺骗域名欺骗/IP/IP地址欺骗地址欺骗l URLURL欺骗欺骗恶意代码攻击恶意代码攻击l病毒，蠕虫，后门等病毒，蠕虫，后门等社会工程学社会工程学攻击的技术方法（攻击的技术方法（4 4）欺骗攻击）欺骗攻击安全防御体系安全防御体系 动态防御模型（动态防御模型（PDR)PDR)安全防御体系安全防御体系l身份鉴别身份鉴别l访问控制访问控制l密码密码l防火墙防火墙l安全审计安全审计l入侵检测入侵检测安全防御体系安全防御体系 动态防御模型（动态防御模型（PDR)PDR)信息安全管理概述信息安全管理概述PDCAPDCA原则（戴明环）原则（戴明环）lP P：计划（：计划（PlanPlan）lD D：实施（：实施（DoDo）lC C：检查（：检查（CheckCheck）lA A：行动（：行动（ActionAction）文件化文件化领导重视领导重视全员参与全员参与信息安全管理概述信息安全管理概述PDCAPDCA原则（戴明环）原则（戴明环）