网络安全基础知识(shang)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,培训专用,网络安全基础知识,课程模块,Module 1:,网络安全概述,Module 2:,我们眼中的网络安全,Module 1:,网络安全概述,什么是安全？,安全,一种能够识别和消除不安全因素的能力,安全是一个持续的过程,网络安全是网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断,一,),非授权访问,没有经过同意，就使用网络或计算机资源。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。,或擅自扩大权限，越权访问信息。,形式,:,假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。,安全威胁,二,),信息泄露,敏感数据在有意或无意中被泄漏出去,。,信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。）,2.,信息在存储介质中丢失或泄漏。通过建立隐蔽隧道等窃取敏感信息等。,安全威胁,三,),破坏数据完整性,以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；,恶意添加，修改数据，以干扰用户的正常使用。,安全威胁,四,),拒绝服务攻击,不断对网络服务系统进行干扰，改变其正常的作业流程。,执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,安全威胁,五,),利用网络传播病毒,通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。,六,),假冒,假冒合法身份破坏正常工作，北大同宿舍同学邮件假冒案。,七,),抵赖,否认接收过或发送过信息。,安全威胁,为什么我们不能杜绝攻击事件的发生,日趋精密的攻击以及以,INTERNET,为基础的技术快速发展,专业的,IT,技术人员和资金的缺乏而不能获得更多的资源,没有对被保护的系统做充分的保护部署,没有绝对的安全,开放最少服务提供最小权限原则,安全需求平衡,过分繁杂的安全政策将导致比没有安全政策还要低效的安全。,需要考虑一下安全政策给合法用户带来的影响。,在很多情况下如果用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全有效性。,建立一个有效的安全矩阵,安全距阵,一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。,安全矩阵系统最主要的几个方面,允许访问控制,容易使用,合理的花费,灵活性和伸缩性,完整的警报和报告,保护资源,终端用户资源,The workstations used by employees,威胁,:,Viruses,trojans,Active X,applet,网络资源,Routers,switches,wiring closets,telephony,威胁,:IP spoofing,system snooping,服务器资源,DNS,WEB,Email,FTP,等服务器,威胁,:Unauthorized entry,D.O.S,trojans,信息存储资源,Human resources and e-commerce databases,威胁,:Obtaining trade secrets,customer data,安全策略,建立一个有效的安全策略,为你的系统分类,指定危险因数,确定每个系统的安全优先级,定义可接受和不可接受的活动,决定在安全问题上如何教育所有员工,确定谁管理你的政策,加密类型,1.,对称加密,2.,非对称加密,3.Hash,加密,加密,认证方法,1.,证明你知道什么,2.,出示你拥有的,3.,证明你是谁,4.,鉴别你在哪里,认证,Kerberos,Kerberos,系统是美国麻省理工学院为,Athena,工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法,One-time,passwords(OPT,),为了解决固定口令的诸多问题，安全专家提出了一次性口令的密码体制，以保护关键的计算资源,特殊的认证技术,访问控制列表,(ACL),每个用户或组都被分配一个访问级别，并根据这个数据库所包含的内容定义这些用户或组能够执行什么。一个通过认证的用户仍必须通过,ACL,来取得相应的权限。,执行控制列表,(ECL),一个,ECL,允许操作系统限制一些特定程序的活动。,UNIX,系统包含了一些对于,rexec,rlogin,和,rshell,程序的执行控制列表版本。这些程序都使用执行控制列表来确定在主机,A,上的哪些用户可以不登陆的情况下在,B,主机上执行程序。但是这种形式的执行控制列表只能在远程系统上工作。,访问控制,被动式审计,主动式审计,1.,结束一个登陆会话,2.,拒绝某些主机的访问,3.,跟踪非法活动的源位置,审计,增加了复杂性,不得不培训用户如何使用你需要的安全机制,降低了系统响应时间,认证，审计和加密机制会降低系统性能,安全的权衡考虑和缺点,网络安全问题增长趋势,Internet,技术飞速发展,有组织的网络攻击,企业内部安全隐患,有限的安全资源和管理专家,财政损失,知识产权损失,时间消耗,由错误使用导致的生产力消耗,责任感下降,内部争执,网络攻击后果,可见的网络攻击影响,利润,攻击发生,(,财政影响,),Q1 Q2 Q3 Q4,网络安全风险,安全需求和实际操作脱离,内部的安全隐患,动态的网络环境,有限的防御策略,安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,通讯,&,服务层,TCP/IP,IPX,X.25,Ethernet,FDDI,Router Configurations,Hubs/Switches,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,调制解调器,通讯,&,服务层弱点,超过,1000,个,TCP/IP,服务安全漏洞,:,Sendmail,FTP,NFS,File Sharing,Netbios,NIS,Telnet,Rlogin,等,.,错误的路由配置,TCP/IP,中不健全的安全连接检查机制,缺省路由帐户,反向服务攻击,隐蔽,Modem,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,针对操作系统的攻击,操作系统,UNIX,Windows,Linux,Freebsd,Macintosh,Novell,操作系统的安全隐患,1000,个以上的商用操作系统安全漏洞,没有及时添加安全补丁,病毒程序的传播,文件,/,用户权限设置错误,默认安装的不安全设置,缺省用户的权限和密码口令,用户设置过于简单密码使用,特洛依木马,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,针对应用服务的攻击,应用服务程序,Web,服务器,数据库系统,内部办公系统,网络浏览器,ERP,系统,办公文件程序,FTP SMTP POP3,SAP R/3,Oracle,应用程序服务的攻击弱点,Web,服务器,:,错误的,Web,目录结构,CGI,脚本缺陷,Web,服务器应用程序缺陷,私人,Web,站点,未索引的,Web,页,数据库,:,危险的数据库读取删 除操作,路由器,:,源端口,/,源路由,其他应用程序,:,Oracle,SAP,Peoplesoft,缺省帐户,有缺陷的浏览器,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,额外的不安全因素,外部个体,外部,/,组织,内部个体,内部,/,组织,网络的普及使学习网络进攻变得容易,全球超过,26,万个黑客站点提供系统漏洞和攻击知识,越来越多的容易使用的攻击软件的出现,国内法律制裁打击力度不够,典型的攻击方式及安全规则,字典攻击和暴力破解法,BUG,和后门,社会工程和非直接攻击,字典攻击和暴力攻击,暴力程序攻击,所有能够可以被穷举的资源都可以成为暴力破解的目标,邮箱密码破解,流光,4.7,Bugs,和后门,缓冲区溢出,(Buffer Overflow),缓冲区,(,堆栈,),溢出指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。,后门,Root kits,社会工程和非直接攻击,打电话请求密码,伪造电子邮件,拒绝服务攻击,To crash a server and make it unusable,Masquerade the identity of the attacked system,Viruses,bugs and service flaws,八项安全实施建议,成为一个安全的偏执狂,完整的安全策略,不要采取单独的系统或技术,部署公司范围的强制策略,八项安全实施建议,提供培训,终端用户 管理员 经理,根据需要购置安全设备,识别安全的商业问题,考虑物理安全,Module 2:,我们眼中的网络安全,不安全的,安全的,安全策略,实际安全到达标准,安全间隙,未知的安全间隙不容忽视,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,我们眼中的网络安全,网络安全隐患无处不在，常见漏洞目前有,1000,余种,。,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,部署安全保卫措施,防火墙的能力有限,外部,/,个体,外部,/,组织,内部,/,个体,内部,/,组织,安 全 隐 患,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,尚不了解实际的危机,实际安全问题还有,很多,外部,/,个体,外部,/,组织,内部,/,个体,内部,/,组织,安 全 隐 患,DMZ,?E-Mail?File Transfer,?HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,管理分析,&,实施策略,安 全 隐 患,外部,/,个体,外部,/,组织,内部,/,个体,内部,/,组织,关闭安全维护,“后门”,更改缺省的,系统口令,添加所有,操作系统,Patch,Modem,数据文件加密,安装认证,&,授权,用户安全培训,授权复查,入侵检测,实时监控,进不来,拿不走,改不了,跑不了,看不懂,信息安全的目的,可审查,信 息,安 全 体 系,鉴,别,加,密,访,问,控,制,安,全,管,理,病,毒,防,范,数,字,签,名,链,路,加,密,机,IP,协,议,加,密,机,邮,件,加,密,文,件,加,密,防,火,墙,远,程,用,户,鉴,别,系,统,防,病,毒,软,件,防,病,毒,制,度,密,钥,管,理,网,络,监,视,审,计,系,统,信,息,检,查,系,统,代,理,服,务,器,远,程,用,户,鉴,别,系,统,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,依照风险制定出,进行,安全集成,/,应用开发,安全服务,安全方案设计,建立相应的,网络安全整体设计流程,VPN,虚拟专用网,防火墙,内容检测,防病毒,入侵检测,问题解答,Q&A,课程结束,谢谢大家,!,