信息安全体系建设课件

信息安全体系建设信息安全体系建设11、信息安全基本要素、信息安全基本要素完整性完整性完整性完整性机密性机密性机密性机密性可可可可审查审查性性性性可用性可用性可用性可用性可控性可控性可控性可控性确保信息不暴露确保信息不暴露给未授未授权的的实体或体或进程程只有得到允只有得到允许的人才能修改数据，并且能的人才能修改数据，并且能够判判别出数据是否已被出数据是否已被篡改改得到授得到授权的的实体在需要体在需要时可可访问数据，数据，即攻即攻击者不能占用所有的者不能占用所有的资源而阻碍源而阻碍授授权者的工作者的工作可以控制授可以控制授权范范围内的信息流内的信息流向及行向及行为方式方式对出出现的的网网络安全安全问题提供提供调查的依的依据和手段据和手段1、信息安全基本要素完整性机密性可审查性可用性可控性确保信息2信息安全的攻与防信息安全的攻与防信息窃取信息窃取信息信息传递信息冒充信息冒充信息信息篡改改信息抵信息抵赖加密技加密技术完整性技完整性技术认证技技术数字数字签名名信息安全的攻与防信息窃取信息传递信息冒充信息篡改信息抵赖加密3一些一些经典的典的结论公理公理1 摩菲定理摩菲定理 所有的程序都有缺陷。所有的程序都有缺陷。定理定理1 大程序定律大程序定律 大程序的缺陷甚至比它包含的内容大程序的缺陷甚至比它包含的内容还多。多。推理推理1-1 一个安全相关程序有安全性缺陷。一个安全相关程序有安全性缺陷。定理定理2 只要不运行只要不运行这个程序，那么个程序，那么这个程序是否有缺陷，个程序是否有缺陷，也无关也无关紧要。要。推理推理2-1 只要不运行只要不运行这个程序，即使个程序，即使这个程序有安全性漏个程序有安全性漏洞，也无关洞，也无关紧要。要。定理定理3 对外暴露的外暴露的计算机，算机，应尽可能少地运行程序，且运尽可能少地运行程序，且运行的程序也行的程序也应尽可能小。尽可能小。推理推理3-1 防火防火墙基本法基本法则大多数主机不大多数主机不满足我足我们的要求：的要求：因因为它它们运行太多太大的程序。因此，唯一的解决运行太多太大的程序。因此，唯一的解决办法是法是将真正希望运行的程序隔离在网将真正希望运行的程序隔离在网络边界的另一界的另一边。一些经典的结论公理1摩菲定理所有的程序都有缺陷。4信息安全策略信息安全策略自上而下地制定安全策略自上而下地制定安全策略密密码技技术与方法与方法不要使用太复不要使用太复杂的方法：的方法：RSA密密码系系统不要使用太昂不要使用太昂贵的的设备采用多防采用多防线技技术不要太不要太过于依于依赖系系统操作：定期操作：定期备份份信息安全策略自上而下地制定安全策略5基本的安全建议1.阻止或禁用所有没有显式允许的行为2.总要设置足够复杂的口令，并经常更改3.认真地使用厂商发布的补丁进行更新4.使用最小的权限授权所有的访问5.有限的信任6.对所有的外部接口（包括拨号接口）心存怀疑7.启用监视、记录、审查和检测功能8.做好事件响应能力和业务连续能力的规划9.技术并不能保护你不受到来自社会的攻击10.开发安全策略，获得管理层的认可并广泛应用11.进行真实的风险评估12.比敌人更了解你的平台和应用程序基本的安全建议阻止或禁用所有没有显式允许的行为6入侵、病毒检测入侵、病毒检测安全通信安全通信访问控制访问控制身份验证身份验证2、信息安全技、信息安全技术体系架构体系架构密码算法入侵、病毒检测安全通信访问控制身份验证2、信息安全技术体系架7信息安全模型（一）信息安全模型（一）PMRRD安全模型安全模型安全模型安全模型MPMP2 2DRRDRR访问控制机制访问控制机制访问控制机制访问控制机制入侵检测机制入侵检测机制入侵检测机制入侵检测机制安全响应机制安全响应机制安全响应机制安全响应机制备份与恢复机制备份与恢复机制备份与恢复机制备份与恢复机制管理管理管理管理P安全策略安全策略安全策略安全策略信息安全模型（一）PMRRD安全模型访问控制机制入侵检测机制8信息安全模型（二）信息安全模型（二）数据安全层数据安全层加密加密访问访问控制控制授权授权应用安全层应用安全层用户安全层用户安全层用户用户/组组管理管理单机登录单机登录身份认证身份认证系统安全层系统安全层反病毒反病毒审计审计分析分析入侵检测入侵检测风险评估风险评估通信安全通信安全防火墙防火墙网络安全层网络安全层信息安全模型（二）数据安全层加密访问授权应用安全层用户安全层9基于基于OSIOSI参考模型的安全技术参考模型的安全技术应用层表示层会晤层传输层网络层数据链路层物理层应用层表示层会晤层传输层网络层数据链路层物理层网络层攻击数据链路攻击应用层攻击SETSSLIPSEC-VPN/防火墙VLAN，L2TP信道加密安全协议基于OSI参考模型的安全技术应用层表示层会晤层传输层网络层数10信息安全信息安全主机安全主机安全 主要考主要考虑保保护合法用合法用户对于授于授权资源的使用，防止非法入侵者源的使用，防止非法入侵者对于系于系统资源的侵源的侵占与破坏占与破坏.其最常用的其最常用的办法是利用操作系法是利用操作系统的功能，的功能，如如UnixUnix的用的用户认证、文件、文件访问权限控制、限控制、记帐审计等。等。网网络安全安全 主要考主要考虑网网络上主机之上主机之间的的访问控控制，防止来自外部网制，防止来自外部网络的入侵，保的入侵，保护数据在网数据在网上上传输时不被泄密和修改不被泄密和修改其最常用的方法是防火其最常用的方法是防火墙、加密等。、加密等。信息安全主机安全主要考虑保护合法用户对于授权资源的使用，防11网络安全组件网络安全组件网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能 网络安全组件网络的整体安全是由安全操作系统、应用系统、防火12主机网主机网络安全系安全系统体系体系结构构主机网络安全系统体系结构13信息安全技术信息安全技术技术体系技术体系信息安全防护信息安全防护信息安全检测信息安全检测信息安全响应信息安全响应信息安全恢复信息安全恢复信息安全审计信息安全审计安全机制安全机制评估评估认证认证授权授权监控监控审计审计应急应急响应响应防护防护检测检测恢复恢复审计审计信息安全技术技术体系14信息安全信息安全风险评估机制估机制信息安全信息安全风险评估机制作用估机制作用:及及时发现安全安全隐患，便于事前响患，便于事前响应提供信息安全决策信息提供信息安全决策信息信息安全信息安全风险评估机制估机制组成成:信息资产健康档案库漏洞扫描系统安全渗透工具信息安全风险评估机制信息安全风险评估机制作用:15信息安全信息安全认证授授权机制机制信息安全信息安全认证授授权机制作用机制作用:防止非法者进入限制合法者权限信息安全信息安全认证授授权机制机制组成成:身份识别系统授权系统密码管理系统信息安全认证授权机制信息安全认证授权机制作用:16信息安全防信息安全防护机制机制信息安全防信息安全防护机制作用机制作用:防止信息安全攻击发生切断攻击链信息安全防信息安全防护机制机制组成成:防火墙系统网络隔离系统病毒防范系统补丁管理系统IPS系统VPN终端安全管理系统信息安全防护机制信息安全防护机制作用:17信息安全信息安全监控机制控机制监控机制作用控机制作用监测可潜在威胁提供安全安全状态报告安全预警减少安全事件造成的影响提高应急响应的能力监控机制控机制组成成漏洞扫描系统IP定位系统入侵检测报警事件关联分析威胁场景数据库信息安全监控机制监控机制作用18信息安全信息安全审计机制机制审计机制用途机制用途威慑违法行为安全策略一致性检查安全取证审计机制机制组成成人工登记操作系统审计数据库审计防火墙日志网络设备日志专用审计设备信息安全审计机制审计机制用途19应急响急响应机制机制应急响急响应机制机制组成成:应急管理系统应急响应预案应急响应指挥通信监控系统备份系统容灾系统应急响应工具应急响急响应机制目机制目标:安全事件快速处置灾害恢复应急响应机制应急响应机制组成:20BS7799BS7799BS7799BS7799信息安全管理体系一般建立方法信息安全管理体系一般建立方法信息安全管理体系一般建立方法信息安全管理体系一般建立方法BS7799信息安全管理体系一般建立方法21信息安全等级保护体系建立方法信息安全等级保护体系建立方法1.1.定级定级2.2.安全设计和规划安全设计和规划3.3.安全实施安全实施4.4.安全运行安全运行5.5.监控与改进监控与改进信息安全等级保护体系建立方法1.定级22定级定级1.系统资产识别2.系统资产价值确认定级1.系统资产识别23安全设计和规划安全设计和规划安全设计和规划24监控与改进监控与改进监控与改进25企企业网网络安全安全风险分析分析企业网络拓扑和应用分析企业网络安全风险分析企业网络安全的风险评估企业网络安全风险分析企业网络拓扑和应用分析26企业网络拓扑和应用分析企业网络拓扑和应用分析财务财务VLAN工程技术工程技术VLAN项目项目VLAN对内服务器对内服务器VLAN对外服务器对外服务器Internet企业网络拓扑和应用分析财务VLAN工程技术VLAN项目VLA27企业网络安全风险分析企业网络安全风险分析管理层管理层应用层应用层系统层系统层网络层网络层物理层物理层企业网络安全风险分析管理层应用层系统层网络层物理层28物理物理层安全分析安全分析设备防盗，防毁设备防盗，防毁 链路老化，人为破坏，被动物咬断等链路老化，人为破坏，被动物咬断等 网络设备自身故障网络设备自身故障 停电导致网络设备无法工作停电导致网络设备无法工作 机房电磁辐射机房电磁辐射 其他其他物理层安全分析29网网络层安全分析安全分析安全的网络拓扑结构风险非法用户对服务器的安全威胁内部局域网带来安全威胁网络层安全分析30操作系操作系统层安全分析安全分析1000个以上的商用操作系统安全漏洞没有及时添加安全补丁病毒程序的传播文件/用户权限设置错误默认安装的不安全设置缺省用户的权限和密码口令用户设置过于简单密码使用特洛依木马操作系统层安全分析1000个以上的商用操作系统安全漏洞31应用用层安全分析安全分析 网上浏览应用安全网上浏览应用安全 电子邮件应用安全电子邮件应用安全 WWW应用的安全应用的安全 FTP应用的安全应用的安全 Telnet的安全性的安全性 网络管理协议网络管理协议(SNMP)应用层的身份识别应用层的身份识别应用层安全分析网上浏览应用安全32管理管理层安全分析安全分析 内部人员信息泄漏风险；内部人员信息泄漏风险；机房没有任何限制，任何人都可以进出；机房没有任何限制，任何人都可以进出；内部工作人员因误操作而带来安全风险；内部工作人员因误操作而带来安全风险；内部员工在未经允许在内部网上做攻击测试；内部员工在未经允许在内部网上做攻击测试；建立各种网络安全规范。建立各种网络安全规范。管理层安全分析内部人员信息泄漏风险；33企企业网网络安全安全规划划企业网络安全规划的原则企业网络安全规划体系企业网络安全解决技术企业网络安全规划企业网络安全规划的原则34企企业网网络安全安全规划的原划的原则“木桶木桶”原则原则“整体性整体性”原则原则“有效性与实用性有效性与实用性”原则原则“安全性评价安全性评价”原则原则“等级性等级性”原则原则“动态化动态化”原则原则 有的放矢、各取所需原则有的放矢、各取所需原则企业网络安全规划的原则“木桶”原则35企企业网网络安全安全规划体系划体系“防护防护检测检测分析分析响应响应”的安全防护体系的安全防护体系 企业网络安全规划体系“防护检测分析响应”的安全防护体36信息安全体系建设典型解决方案信息安全体系建设典型解决方案1.1.统一用一用户管理管理2.2.网网络安全安全边界控制界控制3.3.网网络安全集中安全集中监测4.4.网网络集中集中统一防病毒一防病毒5.5.网网络内容安全管理内容安全管理6.6.远程程访问安全安全7.7.补丁丁统一管理一管理8.8.桌面安全管理桌面安全管理9.9.应用系用系统统一一认证信息安全体系建设典型解决方案统一用户管理37拨号用户拨号用户拨号用户拨号用户 B B拨号用户拨号用户拨号用户拨号用户 C C拨号用户拨号用户拨号用户拨号用户 A A拨号用户拨号用户拨号用户拨号用户 D DInternetInternet垃圾邮件垃圾邮件垃圾邮件垃圾邮件病毒破坏病毒破坏病毒破坏病毒破坏黑客攻击黑客攻击黑客攻击黑客攻击资源滥用资源滥用资源滥用资源滥用信息泄密信息泄密信息泄密信息泄密DOSDOS攻击攻击攻击攻击不良信息不良信息不良信息不良信息终端安全终端安全终端安全终端安全信息丢失信息丢失信息丢失信息丢失未授权未授权未授权未授权接入接入接入接入非法外非法外非法外非法外联监控联监控联监控联监控安全事安全事安全事安全事件处理件处理件处理件处理IT系统运维面临的问题系统运维面临的问题拨号用户B拨号用户C拨号用户A拨号用户DIntern38现有网络安全现有网络安全防御体制防御体制现有网有网络安全体制安全体制IDS68%杀毒杀毒软件软件99%防火墙防火墙98%ACL（规（规则控制）则控制）71%*2004 CSI/FBI Computer Crime and Security Survey资料来源：资料来源：Computer Security Institute现有网络安全现有网络安全体制IDS杀毒软件防火墙ACL（规则39移动用户移动用户移动用户移动用户D D广域网广域网广域网广域网如何如何进行信息系行信息系统的等的等级化保化保护？各信息系各信息系统依据重要程度的等依据重要程度的等级需要划需要划分不同安全分不同安全强度的安全域，采取不同的安度的安全域，采取不同的安全控制措施和制定安全策略全控制措施和制定安全策略移动用户D广域网如何进行信息系统的等级化保护？各信40完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图获得全局安全视图制定安全策略指导或自动Internet Internet p用用户如何管理如何管理现有安全有安全资源并源并执行策略机制？行策略机制？补丁服务器补丁服务器补丁服务器补丁服务器p打补丁了吗？打补丁了吗？打补丁了吗？打补丁了吗？更新补丁了吗？更新补丁了吗？更新补丁了吗？更新补丁了吗？p p p p p p p p p p p困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起系统安全漏洞微软每周都有数个修正档需要更新2003年Windows 2000 Server有50个漏洞补丁完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评41Internet Internet 用用户如何防止内部信息的泄露？如何防止内部信息的泄露？未经安全检查与过滤，未经安全检查与过滤，未经安全检查与过滤，未经安全检查与过滤，违规接入内部网络违规接入内部网络违规接入内部网络违规接入内部网络私自拨号上网私自拨号上网私自拨号上网私自拨号上网Internet用户如何防止内部信息的泄露？未经安全检查与42Internet Internet 用用户如何如何实现积极防御和极防御和综合防范？合防范？怎样定位病毒源怎样定位病毒源或者攻击源，怎或者攻击源，怎样实时监控病毒样实时监控病毒与攻击与攻击Internet用户如何实现积极防御和综合防范？怎样定位病43语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段教学网段教学网段1网站网站OA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群网络基础设施保护需求网络基础设施保护需求教学网段教学网段5内部办公内部办公N语音教室网段财务网段多媒体教室网段内部办公数字图书馆网段教学44Intranet 2边界处的访问控制边界处的访问控制边界处的访问控制边界处的访问控制4边界处的病毒与恶意代码防护边界处的病毒与恶意代码防护边界处的病毒与恶意代码防护边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控边界内部的网络扫描与拨号监控边界内部的网络扫描与拨号监控边界内部的网络扫描与拨号监控3边界处的网络入侵检测边界处的网络入侵检测边界处的网络入侵检测边界处的网络入侵检测1边界处的认证与授权边界处的认证与授权边界处的认证与授权边界处的认证与授权网络边界与外部连接的保护需求网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤边界处的垃圾邮件和内容过滤边界处的垃圾邮件和内容过滤边界处的垃圾邮件和内容过滤Intranet2边界处的访问控制4边界处的病毒与恶意代码45计算环境的保护需求计算环境的保护需求1基于主机的入侵检测基于主机的入侵检测基于主机的入侵检测基于主机的入侵检测2基于主机的恶意代码和病毒检测基于主机的恶意代码和病毒检测基于主机的恶意代码和病毒检测基于主机的恶意代码和病毒检测3主机脆弱性扫描主机脆弱性扫描主机脆弱性扫描主机脆弱性扫描4主机系统加固主机系统加固主机系统加固主机系统加固5主机文件完整性检查主机文件完整性检查主机文件完整性检查主机文件完整性检查6主机用户认证与授权主机用户认证与授权主机用户认证与授权主机用户认证与授权7主机数据存储安全主机数据存储安全主机数据存储安全主机数据存储安全8主机访问控制主机访问控制主机访问控制主机访问控制计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和46DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet学校网络学校网络教学区教学区教务区教务区财务部财务部人事部人事部路由路由InternetInternet中继中继管理分析管理分析&实施策略施策略安安安安 全全全全 隐隐隐隐 患患患患外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令Modem用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控安装认证安装认证&授权授权数据文件加密数据文件加密添加所有添加所有操作系统操作系统PatchDMZIntranet学校网络教学区教务区财务部人事部路由I47看看看看不不不不懂懂懂懂进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了可可可可审审查查信息安全的目的信息安全的目的打不打不垮看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮48采取的解决办法一采取的解决办法一对于非法访问及攻击类对于非法访问及攻击类-在非可信网络接口处安装在非可信网络接口处安装访问控制防火墙、蠕虫墙、访问控制防火墙、蠕虫墙、Dos/DDos墙、墙、IPsecVPN、SSLVPN、内容过滤系统、内容过滤系统采取的解决办法一对于非法访问及攻击类49领导网段领导网段防火墙、防火墙、IPSECVPN、SSLVPN、内容过滤等、内容过滤等防防DOS/DDOS设备设备个人安全套件个人安全套件语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5领导网段Internet防火墙、IPSECVPN、SSL50采取的解决办法二采取的解决办法二对于病毒、蠕虫、木马类对于病毒、蠕虫、木马类-实施全网络防病毒系统实施全网络防病毒系统对于垃圾邮件类对于垃圾邮件类-在网关处实施防垃圾邮件系统在网关处实施防垃圾邮件系统采取的解决办法二对于病毒、蠕虫、木马类51邮件过滤网关、邮件过滤网关、反垃圾邮件系统反垃圾邮件系统在在MAIL系统中邮件病系统中邮件病毒过滤系统、反垃圾毒过滤系统、反垃圾邮件系统邮件系统领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5Internet邮件过滤网关、反垃圾邮件系统在MAIL系统中52采取的解决办法三采取的解决办法三对于内部信息泄露、非法外联、内部攻击对于内部信息泄露、非法外联、内部攻击类类-在各网络中安装在各网络中安装IDS系统系统-在系统中安装安全隐患扫描系统在系统中安装安全隐患扫描系统-在系统中安装事件分析响应系统在系统中安装事件分析响应系统-在主机中安装资源管理系统在主机中安装资源管理系统-在主机中安装防火墙系统在主机中安装防火墙系统-在重要主机中安装内容过滤系统在重要主机中安装内容过滤系统 -在重要主机中安装在重要主机中安装VPN系统系统采取的解决办法三对于内部信息泄露、非法外联、内部攻击类53人事商务网段人事商务网段领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5人事商务网段Internet领导网段语音教室网段财务网段多媒54采取的解决办法四采取的解决办法四对于系统统一管理、信息分析、事件分析对于系统统一管理、信息分析、事件分析响应响应-在网络中配置管理系统在网络中配置管理系统-在网络中配置信息审计系统在网络中配置信息审计系统-在网络中配置日志审计系统在网络中配置日志审计系统-在网络中补丁分发系统在网络中补丁分发系统-在网络中配置安全管理中心在网络中配置安全管理中心采取的解决办法四对于系统统一管理、信息分析、事件分析响应55销售体系销售体系网段网段N安全审安全审计中心计中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3教学网段教学网段2教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5销售体系Internet安全审计中心01010100010156安全管理中心安全管理中心专家库专家库领导网段领导网段语音教室网段语音教室网段财务网段财务网段多媒体教室网段多媒体教室网段内部办公内部办公网段网段1数字图书馆网段数字图书馆网段内部办公内部办公NOA网段网段教学网段教学网段3安服网段安服网段教学网段教学网段4网管网段网管网段校园网服务器群校园网服务器群教学网段教学网段5安全管理中心专家库Internet领导网段语音教室网段财务网57网网络安全接入与安全接入与认证802.1x协议及工作机制及工作机制 基于基于RADIUS的的认证计费 基于基于802.1x的的认证计费 几种几种认证方式比方式比较 防止防止IP地址盗用地址盗用 802.1x+RADIUS的的应用案例用案例网络安全接入与认证802.1x协议及工作机制58802.1x协议及工作机制及工作机制 802.1x802.1x协议协议称称为为基于端口的基于端口的访问访问控制控制协议协议（PortBasedPortBasedNetworkAccessControlProtocolNetworkAccessControlProtocol），），该协议该协议的核心内容如的核心内容如下下图图所示。靠近用所示。靠近用户户一一侧侧的以太网交的以太网交换换机上放置一个机上放置一个EAPEAP（ExtensibleAuthenticationProtocolExtensibleAuthenticationProtocol，可，可扩扩展的展的认证协认证协议议）代理，用）代理，用户户PCPC机运行机运行EAPoEEAPoE（EAPoverEthernetEAPoverEthernet）的）的客客户户端端软软件与交件与交换换机通信。机通信。802.1x协议及工作机制802.1x协议称为基于端口的访问59 802.1x802.1x协议协议包括三个重要部分包括三个重要部分包括三个重要部分包括三个重要部分：客客客客户户端端端端请请求系求系求系求系统统（Supplicant SystemSupplicant System）认证认证系系系系统统（Authenticator SystemAuthenticator System）认证认证服服服服务务器（器（器（器（Authentication Server SystemAuthentication Server System）802.1x协议及工作机制及工作机制上图描述了三者之间的关系以及互相之间的通信。客户机安装一个上图描述了三者之间的关系以及互相之间的通信。客户机安装一个上图描述了三者之间的关系以及互相之间的通信。客户机安装一个上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoEEAPoE客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件发起客户端软件发起客户端软件发起客户端软件发起802.1x802.1x协议的认证过程。协议的认证过程。协议的认证过程。协议的认证过程。认证系统通常为支持认证系统通常为支持802.1x802.1x协议的交换机。该交换机有两个逻辑端口：受控端口协议的交换机。该交换机有两个逻辑端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoEEAPoE协议帧，协议帧，保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通，用保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通，用于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。的应用环境。802.1x协议包括三个重要部分：802.1x协议及工作机制60基于基于RADIUS的的认证计费 衡量衡量RADIUSRADIUS的的标标准准 RADIUSRADIUS的性能是用的性能是用户该户该关注的地方，比如，能关注的地方，比如，能接受多少接受多少请请求以及能求以及能处处理多少事理多少事务务。同。同时时遵循遵循标标准，并具准，并具备备良好的与接入控制良好的与接入控制设备设备的互操作性是的互操作性是RADIUSRADIUS服服务务器好器好坏的重要指坏的重要指标标。安全性也是关注的重点，服。安全性也是关注的重点，服务务器在和网器在和网络络接入服接入服务务器（器（NASNAS，NetworkAccessServersNetworkAccessServers）通信的）通信的过过程中是如何保程中是如何保证证安全和完整性的。另外，安全和完整性的。另外，RADIUSRADIUS是否能是否能够让够让管理管理员实现诸员实现诸多管理安全特性和策略是非常重要的一多管理安全特性和策略是非常重要的一环环。是否支持。是否支持强强制制时间时间配配额额，这这种功能使网种功能使网络络管理管理员员可以可以限制用限制用户户或用或用户组户组能能够够通通过过RADIUSRADIUS服服务务器接入网器接入网络络多多长长时间时间。RADIUSRADIUS服服务务器是否都通器是否都通过过ODBCODBC或或JDBCJDBC，利用，利用SQLSQLServerServer数据数据库库保存和保存和访问访问用用户户配置文件。配置文件。RADIUSRADIUS认证系统的组成认证系统的组成RADIUSRADIUS是一种是一种C/SC/S结构的协议。结构的协议。Radius ClientRadius Client一般是指与一般是指与NASNAS通信的、处理用户上网验证的软件；通信的、处理用户上网验证的软件；Radius ServerRadius Server一一般是指认证服务器上的计费和用户验证软件。般是指认证服务器上的计费和用户验证软件。ServerServer与与ClientClient通信进行认证处理，这两个软件都是遵循通信进行认证处理，这两个软件都是遵循RFCRFC相关相关RadiusRadius协议设计的。协议设计的。RADIUSRADIUS的客户端最初就是的客户端最初就是NASNAS，现在，现在任何运行任何运行RADIUSRADIUS客户端软件的计算机都可以成为客户端软件的计算机都可以成为RADIUSRADIUS的客户端。如下图。的客户端。如下图。RADIUSRADIUS的工作原理的工作原理用户接入用户接入NASNAS，NASNAS向向RADIUSRADIUS服务器使用服务器使用Access-RequireAccess-Require数据包提交用户信息，包括用户名、口令等相关信息。其数据包提交用户信息，包括用户名、口令等相关信息。其中用户口令是经过中用户口令是经过MD5MD5加密的，双方使用共享密钥，这个加密的，双方使用共享密钥，这个密钥不经过网络传播。密钥不经过网络传播。RADIUSRADIUS服务器对用户名和密码的服务器对用户名和密码的合法性进行检验，必要时可以提出一个合法性进行检验，必要时可以提出一个ChallengeChallenge，要求进，要求进一步对用户认证，也可以对一步对用户认证，也可以对NASNAS进行类似的认证。如果合进行类似的认证。如果合法，给法，给NASNAS返回返回Access-AcceptAccess-Accept数据包，允许用户进行下一数据包，允许用户进行下一步工作，否则返回步工作，否则返回Access-RejectAccess-Reject数据包，拒绝用户访问。数据包，拒绝用户访问。如果允许访问，如果允许访问，NASNAS向向RADIUSRADIUS服务器提出计费请求服务器提出计费请求Account-RequireAccount-Require，RADIUSRADIUS服务器响应服务器响应Account-AcceptAccount-Accept，对，对用户的计费开始，同时用户可以进行自己的相关操作。用户的计费开始，同时用户可以进行自己的相关操作。基于RADIUS的认证计费衡量RADIUS的标准RA61基于基于802.1x的的认证计费（1 1）用户开始上网时，启动）用户开始上网时，启动802.1x802.1x客户端软件。该软件查询客户端软件。该软件查询网络上能处理网络上能处理EAPoEEAPoE数据包的交换机。当支持数据包的交换机。当支持802.1x802.1x协议的协议的交换机接收到交换机接收到EAPoEEAPoE数据包时，就会向请求者发送响应的包，数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。要求用户输入登录用户名及口令。（2 2）客户端收到交换机的响应后，提供身份标识给认证服）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过换机未受控逻辑端口经过。交换机通过EAPEAP协议将认证流转协议将认证流转发到发到AAAAAA服务器，进行认证。服务器，进行认证。（3 3）如果认证通过，则认证系统的交换机的受控逻辑端口）如果认证通过，则认证系统的交换机的受控逻辑端口打开。打开。（4 4）客户端软件发起）客户端软件发起DHCPDHCP请求，经认证交换机转发到请求，经认证交换机转发到DHCP ServerDHCP Server。（5 5）DHCP ServerDHCP Server为用户分配为用户分配IPIP地址。地址。（6 6）DHCP ServerDHCP Server分配的地址信息返回给认证系统的服务器，分配的地址信息返回给认证系统的服务器，服务器记录用户的相关信息，如用户服务器记录用户的相关信息，如用户IDID，MACMAC，IPIP地址等信息，地址等信息，并建立动态的并建立动态的ACLACL访问列表，以限制用户的权限。访问列表，以限制用户的权限。（7 7）当认证交换机检测到用户的上网流量，就会向认证服务）当认证交换机检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。器发送计费信息，开始对用户计费。（8 8）当用户退出网络时间，可用鼠标点击客户端软件（在用）当用户退出网络时间，可用鼠标点击客户端软件（在用户上网期间，该软件处于运行状态）的户上网期间，该软件处于运行状态）的“退出退出”按钮。认证系按钮。认证系统检测到该数据包后，会通知统检测到该数据包后，会通知AAAAAA（AuthenticationAuthentication，AuthorizationAuthorization，AccountingAccounting）服务器停止计费，并删除用户的相）服务器停止计费，并删除用户的相关信息（如关信息（如MACMAC和和IPIP地址），受控逻辑端口关闭。用户进入再地址），受控逻辑端口关闭。用户进入再认证状态。认证状态。（9 9）如果上网的）如果上网的PCPC机异常死机，当验证设备检测不到机异常死机，当验证设备检测不到PCPC机在机在线状态后，则认为用户已经下线，即向认证服务器发送终止计线状态后，则认为用户已经下线，即向认证服务器发送终止计费的信息。费的信息。基于802.1x的认证计费（1）用户开始上网时，启动802.62几种几种认证方式比方式比较 PPPoE：PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在客户机和服务器之间，不能有路由器或三层交换机。另外，由于PPPoE点对点的本质，在客户机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议需要再次封装到以太网中，所以效率较低。WebDHCP：采用旁路方式网络架构时，不能对用户进行类似带宽管理。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外的手段来控制。除此之外，用户连接性差，易用性不够好。802.1x802.1x：802.1x802.1x协议为二层协议，不需要到达三层，而且接协议为二层协议，不需要到达三层，而且接入交换机无须支持入交换机无须支持802.1q802.1q的的VLANVLAN，对设备的整体，对设备的整体性能要求不高，可以有效降低建网成本。业务报性能要求不高，可以有效降低建网成本。业务报文直接承载在正常的二层报文上，用户通过认证文直接承载在正常的二层报文上，用户通过认证后，业务流和认证流实现分离，对后续的数据包后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。在认证过程中，处理没有特殊要求。在认证过程中，802.1x802.1x不用封不用封装帧到以太网中，效率相对较高。装帧到以太网中，效率相对较高。几种认证方式比较PPPoE：WebDHCP：802.63防止防止IP地址盗用地址盗用1.1.使用使用ARPARP命令命令（1 1）使用操作系统的）使用操作系统的ARPARP命令命令进入进入“MS-DOSMS-DOS方式方式”或或“命令提示符命令提示符”，在命令提示符下输入命令：，在命令提示符下输入命令：ARP s 202.207.176.3 00-10-5C-AD-72-E3ARP s 202.207.176.3 00-10-5C-AD-72-E3，即可把，即可把MACMAC地址地址00-10-5C-00-10-5C-AD-72-E3AD-72-E3和和IPIP地址地址202.207.176.3202.207.176.3捆绑在一起。这样，就不会出现客户捆绑在一起。这样，就不会出现客户机机IPIP地址被盗用而不能正常使用网络的情况发生。地址被盗用而不能正常使用网络的情况发生。ARPARP命令仅对局域网的上网服务器、客户机的静态命令仅对局域网的上网服务器、客户机的静态IPIP地址有效。当地址有效。当被绑定被绑定IPIP地址的计算机宕机后，地址帮绑定关系解除。如果采用地址的计算机宕机后，地址帮绑定关系解除。如果采用ModemModem拨号上网或是动态拨号上网或是动态IPIP地址就不起作用。地址就不起作用。ARPARP命令的参数的功能如下：命令的参数的功能如下：ARP-s-d-aARP-s-d-a-s-s：将相应的：将相应的IPIP地址与物理地址的捆绑，如以上所举的例子。地址与物理地址的捆绑，如以上所举的例子。-d-d：删除相应的：删除相应的IPIP地址与物理地址的捆绑。地址与物理地址的捆绑。-a-a：通过查询：通过查询ARPARP协议表显示协议表显示IPIP地址和对应物理地址的情况。地址和对应物理地址的情况。（2 2）使用交换机的）使用交换机的ARPARP命令命令例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp 202.207.176.3 0010.5CAD.72E3 arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：no arp 202.207.176.3即可。防止IP地址盗用1.使用ARP命令（2）使用交换机的ARP64防止防止IP地址盗用地址盗用2.2.使用使用802.1x802.1x的安全接入与的安全接入与RadiusRadius认证认证（1 1）采用）采用IPIP和账号绑定，防止静态和账号绑定，防止静态IPIP冲突冲突 用户进行用户进行802.1x802.1x认证时，用户还没有通过认证，该用户认证时，用户还没有通过认证，该用户与网络是隔离的，其指定的与网络是隔离的，其指定的IPIP不会与别的用户不会与别的用户IPIP冲突。当冲突。当用户使用账号密码试图通过认证时，因为认证服务器端该用户使用账号密码试图通过认证时，因为认证服务器端该用户账号和其用户账号和其IPIP做了绑定，认证服务器对其不予通过认证，做了绑定，认证服务器对其不予通过认证，从而同样不会造成从而同样不会造成IPIP冲突。当用户使用正确的账号冲突。当用户使用正确的账号IPIP通过通过认证后，再更改认证后，再更改IPIP时，时，RadiusRadius客户端软件能够检测到客户端软件能够检测到IPIP的的更改，即刻剔除用户下线，从而不会造成更改，即刻剔除用户下线，从而不会造成IPIP冲突。冲突。（2 2）采用客户）采用客户IPIP属性校验，防止动态属性校验，防止动态IPIP冲突冲突 用户进行用户进行802.1X802.1X认证前不用动态获得认证前不用动态获得IPIP，而是静态指定。，而是静态指定。认证前用户还没有通过认证，该用户与网络是隔离的，其认证前用户还没有通过认证，该用户与网络是隔离的，其指定的指定的IPIP不会与别的用户不会与别的用户IPIP冲突。当用户使用账号密码试冲突。当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的图通过认证，因为认证服务器端该用户账号的IPIP属性是动属性是动态态IPIP，认证报文中该用户的，认证报文中该用户的IPIP属性确是静态属性确是静态IPIP，则认证服，则认证服务器对其不予通过认证，从而同样不会造成务器对其不予通过认证，从而同样不会造成IPIP冲突。冲突。防止IP地址盗用2.使用802.1x的安全接入与Radiu65802.1x+RADIUS的的应用案例用案例802.1x+RADIUS的应用案例66网网络病毒及防御病毒及防御 瑞星网络版的防杀毒系统瑞星网络版的防杀毒系统 网络病毒及防御瑞星网络版的防杀毒系统67保护网络边界保护网络边界网络边界防火墙和路由器应用防火墙和路由器应用防火墙和路由器应用防火墙和路由器应用使用网络使用网络使用网络使用网络DMZDMZ构建入侵检测系统构建入侵检测系统构建入侵检测系统构建入侵检测系统路由器认证技术及应用路由器认证技术及应用路由器认证技术及应用路由器认证技术及应用 保护网络边界网络边界防火墙和路由器应用68防火防火墙和路由器和路由器应用用-1边边界界安安全全设设备备叫叫做做防防火火墙墙。防防火火墙墙阻阻止止试试图图对对组组织织内内部部网网络络进进行行扫扫描描，阻阻止止企企图图闯闯入入网网络络的的活活动动，防防止止外外部部进进行行拒拒绝绝服服务务（DoSDoS，Denial Denial of of ServiceService）攻攻击击，禁禁止止一一定定范范围围内内黑黑客客利利用用InternetInternet来来探探测测用用户户内内部部网网络络的的行行为为。阻阻塞塞和和筛筛选选规规则则由由网网管管员员所所在在机机构构的的安安全全策策略略来来决决定定。防防火火墙墙也也可可以以用用来来保保护护在在IntranetIntranet中中的的资资源源不不会会受受到到攻攻击击。不不管管在在网网络络中中每每一一段段用用的的是是什什么么类类型型的的网网络络（公公共共的的或或私私有有的的）或或系系统统，防防火火墙墙都能把网都能把网络络中的各个段隔离开并中的各个段隔离开并进进行保行保护护。双防火墙体系结构双防火墙体系结构双防火墙体系结构双防火墙体系结构 防火墙和路由器应用-1边界安全设备叫做防火墙。防火墙阻止试69防火防火墙和路由器和路由器应用用-2 防防火火墙墙通通常常与与连连接接两两个个围围绕绕着着防防火火墙墙网网络络中中的的边边界界路路由由器器一一起起协协同同工工作作（下下图图），边边界界路路由由器器是是安安全全的的第第一一道道屏屏障障。通通常常的的做做法法是是，将将路路由由器器设设置置为为执执报报文文筛筛选选和和NATNAT，而而让让防防火火墙墙来来完完成成特特定定的的端端口口阻阻塞塞和和报报文文检检查查，这这样样的的配配置将整体上提高网置将整体上提高网络络的性能的性能。根根据据这这个个网网络络结结构构设设置置防防火火墙墙，最最安安全全也也是是最最简简单单的的方方法法就就是是：首首先先阻阻塞塞所所有有的的端端口口号号并并且且检检查查所所有有的的报报文文，然然后后对对需需要要提提供供的的服服务务有有选选择择地地开开放放其其端端口口号号。通通常常来来说说，要要想想让让一一台台WebWeb服服务务器器在在InternetInternet上上仅仅能能够够被被匿匿名名访访问问，只开放只开放8080端口（端口（httphttp协议协议）或）或443443端口（端口（httpshttps SSLSSL协议协议）即可。）即可。防火墙和路由器应用-2防火墙通常与连接两个围绕着防火墙网络70使用网使用网络DMZ 把把WebWeb服务器放在服务器放在DMZDMZ中，必须保证中，必须保证WebWeb服务器与的服务器与的IntranetIntranet处于不同的子网。这样当网络流量进入路由器时，连接到处于不同的子网。这样当网络流量进入路由器时，连接到InternetInternet上的路由器和防火墙就能对网络流量进行筛选和检上的路由器和防火墙就能对网络流量进行筛选和检查了。这样，就证实了查了。这样，就证实了DMZDMZ是一种安全性较高的措施；所以除是一种安全性较高的措施；所以除了了WebWeb服务器，还应该考虑把服务器，还应该考虑把E-mailE-mail（SMTP/POPSMTP/POP）服务器和）服务器和FTPFTP服务器等，也一同放在服务器等，也一同放在DMZDMZ中中。使用网络DMZ把Web服务器放在DMZ中，必须保证Web71构建入侵构建入侵检测系系统入侵检测系统可分为基于网络的入侵检测系统可分为基于网络的IDSIDS，基于主机的，基于主机的IDSIDS、分布、分布式式IDSIDS和智能和智能IDSIDS。基于网络的。基于网络的IDSIDS适应能力强，其开发难度适应能力强，其开发难度略小于其他几种。根据略小于其他几种。根据CIDFCIDF规范，一般从功能上将入侵检测规范，一般从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如下图所示。统、控制台子系统、数据库管理子系统，如下图所示。构建入侵检测系统入侵检测系统可分为基于网络的IDS，基于主机72构建入侵构建入侵检测系系统建构步建构步骤获取获取libpcaplibpcap和和tcpdumptcpdump审计踪迹是审计踪迹是IDSIDS的数据来源，而数据采集机制是实现的数据来源，而数据采集机制是实现IDSIDS的基础，否则，的基础，否则，入侵检测就无从谈起。数据采集子系统位于入侵检测就无从谈起。数据采集子系统位于IDSIDS的最底层，其主要目的的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用法是：使用libpcaplibpcap和和tcpdumptcpdump，将网卡置于，将网卡置于“混杂混杂”模式，捕获某个网段模式，捕获某个网段上所有的数据流。上所有的数据流。libpcaplibpcap和和tcpdumptcpdump在网上广为流传，读者可以到相关网在网上广为流传，读者可以到相关网站下载。站下载。libpcaplibpcap是是UnixUnix或或LinuxLinux从内核捕获网络数据包的必备工具，它是独立于从内核捕获网络数据包的必备工具，它是独立于系统的系统的APIAPI接口，为底层网络监控提供了一个可移植的框架，可用于网接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。络统计收集、安全监控、网络调试等应用。tcpdumptcpdump是用于网络监控的工具，是是用于网络监控的工具，是UnixUnix上常用的上常用的sniffersniffer。它的实现基。它的实现基于于libpcaplibpcap接口，通过应用布尔表达式进行过滤转换、包获取和包显示等接口，通过应用布尔表达式进行过滤转换、包获取和包显示等功能。功能。tcpdumptcpdump可以帮助网管员描述系统的正常行为，并最终识别出那些可以帮助网管员描述系统的正常行为，并最终识别出那些不正常的行为。当然，它只是有益于收集关于某网段上的数据流（网络不正常的行为。当然，它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。理员所要做的工作。构建并配置探测器，实现数据采集构建并配置探测器，实现数据采集 应根据自己网络的具体情况，选用合适的软件及硬件设备。应根据自己网络的具体情况，选用合适的软件及硬件设备。如果网络数据流量很小，用一般的如果网络数据流量很小，用一般的PCPC机安装机安装LinuxLinux即可，如果所即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。在监控的网络流量非常大，则需要用一台性能较高的机器。在LinuxLinux服务器上开出一个日志分区，用于采集数据的存储。服务器上开出一个日志