网络系统安全浅谈

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络系,统,统安全,浅,浅谈,Agenda,网络系,统,统的风,险,险与威,胁,胁,网络安,全,全技术,与,与常见,工,工具,基于安,全,全内核,的,的主机,防,防护系,统,统,网络安,全,全的未,来,来图景,网络系,统,统的风,险,险与威,胁,胁,风险无,处,处不在,攻击、,防,防御与,反,反击,攻击的,不,不变性,质,质,数字世,界,界的威,胁,胁是物,理,理世界,威,威胁的,反,反映,攻击的,变,变化性,质,质,自动化,、,、远程,化,化、技,术,术的传,播,播性,威胁与,风,风险分,析,析,(,技术,),计算机,(,网络设,备,备,),安全,访问控,制,制、安,全,全模型,、,、安全,内,内核与,可,可信计,算,算基,(TrustedComputingBase),、隐藏,通,通道和,评,评估准,则,则,连网计,算,算机,(,网络设,备,备,),安全,恶意代,码,码、模,块,块安全,、,、移动,代,代码、,网,网络安,全,全,网络安,全,全,IP,安全、,DNS,安全、,DOS,及,DDOS,攻击,网络系,统,统安全,威胁与,风,风险分,析,析,(,非技术,),社会工,程,程,内部人,员,员作案,错误使,用,用与配,置,置,物理世,界,界攻击,etc.,没有绝,对,对安全,(,无风险,),的系统,！,！,信息安,全,全与网,络,络安全,信息,(,数据,),安全关,注,注的问,题,题,机密性,、,、鉴别,、,、完整,性,性和防,抵,抵赖性,网络,(,系统,),安全关,注,注的问,题,题,访问控,制,制、可,用,用性、,审,审计管,理,理等,当前的,网,网络安,全,全技术,与,与工具,网络安,全,全技术,网络安,全,全工具,防火墙,、,、,IDS,、,、Scanner、VPN,与防病,毒,毒等,特点与,局,局限性,网络安,全,全技术,网络防,御,御,防火墙,，,，,IDS,，,Scanner,，,VPN,和防病,毒,毒等,软件的,可,可靠性,缓冲区,溢,溢出，,Bug,以及,SSE-CMM,硬件安,全,全,PKI,其它,安全管,理,理，法,律,律，,BCP&DRP,等,网络安,全,全工具,防火墙,入侵检,测,测系统,(IDS),Scanner,VPN,防病毒,其它,防火墙(Firewall),概念,门卫,(,边界防,火,火墙，,堡,堡垒主,机,机,),原理与,实,实现模,型,型,包过滤,、,、代理,(,应用网,关,关,),、,StatefulInspection,主流产,品,品介绍,CheckPoint，Cisco PIX，Netscreen,，天融,信,信，东,方,方龙马,，,，东软,IDS,概念,医生,(,在与其,它,它安全,工,工具联,动,动后会,起,起到巡,警,警的作,用,用,),原理与,实,实现模,型,型,数据包,探,探测式,(,类似于,查,查病毒,),、异常,探,探测式,(,类似于,病,病毒实,时,时警报,),网络内,嵌,嵌式,(,在网络,上,上实时,工,工作,),，审计,式,式,(,事后核,查,查,),基于主,机,机的，,基,基于网,络,络的,主流的,产,产品介,绍,绍,RealSecure,，CyberCop,，,Snort,等,Scanner,概念,“Improving theSecurityofYour SitebyBreakingIntoit”,DanFarmer,WietseVenema,主流产,品,品介绍,ISS,nessus,nmap,SATAN,等,VPN(VirtualPrivate Network),概念,原理与,实,实现模,型,型,PPTP,，,L2TP,，,IPSec,和其它,专,专用协,议,议,连接同,一,一网络,中,中的不,同,同区域,，,，拨号,用,用户,防病毒(Anti-Virus),概念,原理与,实,实现模,型,型,主流产,品,品介绍,与,与未来,发,发展,其它,蜜罐系,统,统(,Honeypot),网页监,控,控与恢,复,复,E-mail,安全,各类工,具,具的局,限,限性,防火墙,“,一夫当,关,关，万,夫,夫莫开,”,的关口,，,简化了,网,网络的,安,安全管,理,理,入侵者,可,可寻找,防,防火墙,背,背后可,能,能敞开,的,的后门,入侵者,可,可能就,在,在防火,墙,墙内,IDS,实时的,入,入侵检,测,测，很,难,难跟踪,新,新的入,侵,侵模式,Scanner,安全咨,询,询系统,，,，很难,跟,跟踪新,的,的漏洞,网络安,全,全工具,的,的特点,优点,局限性,防火墙,可简化网络管理，产品成熟,无法处理网络内部的攻击,IDS,实时监控网络安全状态,误报警，缓慢攻击，新的攻击模式,Scanner,简单可操作，帮助系统管理员和安全服务人员解决实际问题,并不能真正扫描漏洞,VPN,保护公网上的内部通信,可视为防火墙上的一个漏洞,防病毒,针对文件与邮件，产品成熟,功能单一,基于安,全,全内核,的,的主机,防,防护系,统,统,为什么,需,需要基,于,于安全,内,内核的,网,网络安,全,全产品,防火墙,，,，,IDS,，,VPN,等网络,安,安全产,品,品分别,解,解决了,当,当前网,络,络系统,的,的一些,问,问题，,但,但由于,这,这些安,全,全产品,大,大多独,立,立于用,户,户当前,的,的网络,与,与应用,系,系统之,外,外，同,时,时增加,了,了系统,的,的复杂,度,度和攻,击,击点,防火墙,，,，,IDS,，,VPN,等网络,安,安全产,品,品也可,能,能存在,一,一些安,全,全漏洞,基于安,全,全内核,的,的主机,防,防护系,统,统,特征,基于数,字,字签名,认,认证的,安,安全内,核,核,功能,基于数,字,字签名,进,进行访,问,问控制,对于未,被,被授权,的,的管理,员,员的访,问,问控制,对系统,内,内核的,密,密封,自身内,核,核模块,的,的隐藏,安全,内,内核,结,结构,（,（1,）,）,SecuveKernel,(,安全,内,内核,),subject,Object,X,O,访问,访问,WebGriffin,认证,基于,数,数字,签,签名,认,认证,的,的用,户,户身,份,份验,证,证,程序,文,文件,设,设备,等,等,安全,操,操作,系,系统,（,SecureOS,）,SecuveKernel,数据,库,库,安全,内,内核,结,结构,（,（2,）,）,CurrentKernelProcess,数字,签,签名,及证,书,书,安全,模,模块,Security,Lib.,访问,控,控制,列表,安全,内,内核,数字,签,签名,认证,-,访问,控,控制,用户,级,级,SecurityKernelProcess,黑客,可,可以,通,通过,获,获得,系,系统,管,管理,员,员权,限,限进,入,入文,件,件系,统,统,如果,应,应用,了,了基,于,于数,字,字签,名,名的,安,安全,内,内核,黑,黑客,即,即使,获,获得,了,了系,统,统管,理,理员,权,权限,，,，他,也,也不,能,能够,访,访问,文,文件,系,系统,操作,或,或命,令,令,系统,访,访问,界,界面,内核,-,文件,系,系统,-,过程,控,控制,-,内存,控,控制,-,硬件,界,界面,操作,或,或命,令,令,访问,系,系统,界,界面,内核,-,文件,系,系统,-,过程,控,控制,-,内存,控,控制,-,硬件,界,界面,内核,级,级,内核,级,级,用户,级,级,安全,内,内核,结,结构,(3,),Hardware,Kernel,System Call Interface,ls,rm,vi,vi,cc,df,lp,A,B,C,D,E,用户,(,应用程序,),Kernel,Module,1,vi,Kernel,Module,2,Kernel,Module,N,Kernel,Module,N,Kernel Module,Kernel Module,Load/Unload,不可以,(,Kernel Sealing),程序,自,自身,保,保护,功,功能,(,Self-Security),被黑,客,客入,侵,侵时,删,删除,安,安全,功,功能,.,内核,密,密封,功,功能,(,KernelSealing),-,防止,内,内核,模,模块,的,的,Loading/Uploading,阻断,恶,恶意,的,的对,内,内核,的,的攻,击,击,.,内核,隐,隐藏,功,功能,(,KernelStealth),-,隐藏,安,安全,内,内核,降,降低,安,安全,风,风险,-,不显,示,示安,全,全内,核,核程,序,序，,降,降低,风,风险,.,自动,保,保护,安,安全,内,内核程序,目,目录,-,防止,删,删除,安,安全,程,程序,保,保持,持,持续,的,的安,全,全功,能,能,.,国内,唯,唯一,基于,安,安全,内,内核,的,的应,用,用,WebGriffin,主要,对,对文,件,件的,写,写权,限,限进,行,行访,问,问控,制,制,FileGriffin,对文,件,件的,读,读，,写,写，,执,执行,进,进行,访,访问,控,控制,共性,保护,主,主要,daemon,防止,init,下一,代,代的,网,网络,安,安全,安全,是,是一,个,个过,程,程，,而,而不,是,是一,个,个产,品,品,关注,系,系统,风,风险,管,管理,多层,次,次的,立,立体,网,网络,安,安全,防,防护,体,体系,安全,过,过程,与,与系,统,统安,全,全生,命,命周,期,期模,型,型,“安,全,全是,一,一个,过,过程,，,，而,不,不是,一,一个,产,产品,”,”，,BruceSchneier,网络,安,安全,生,生命,周,周期,模,模型,评估,，,，设,计,计，,工,工程,实,实施,、,、开,发,发和,制,制造,，,，布,署,署，,运,运行,、,、管,理,理和,支,支持,，,，终,止,止,关注,系,系统,风,风险,基于,时,时间,的,的,PDR,模型,防护,(Prevention),、检,测,测,(Detection),和反,应,应,(Response),PD+R,，即,Te,是系,统,统暴,露,露给,攻,攻击,者,者的,时,时间,Td,是检,测,测到,攻,攻击,行,行为,所,所需,的,的时,间,间,Tr,是对,攻,攻击,响,响应,和,和阻,击,击的,时,时间,当,P=0,时，,E=D+R,，即,系,系统,最,最大,的,的风,险,险为,对,对攻,击,击检,测,测和,作,作出,反,反应,的,的时,间,间之,和,和,关注系统,风,风险,风险,威,威胁,漏洞,影,响,响,威胁随着,暴,暴露增加,漏洞与系,统,统复杂度,成,成正比,影响与资,产,产价值成,正,正比,可推导出,，,，影响,=,资产价值*,(Td+Tr-Tp),Tp,是攻击者,突,突破系统,需,需要的时,间,间，即防,护,护安全可,提,提供的时,间,间,Td,是检测到,攻,攻击行为,所,所需的时,间,间,Tr,是对攻击,响,响应和阻,击,击的时间,因此，降低系统,风,风险的方,法,法是进行,深,深度防御,多层次的,立,立体网络,安,安全防护,体,体系,深度防护,原,原则,根据保护,对,对象的重,要,要性制定,安,安全方案,防火墙，,IDS，Scanner，,主机保护,系,系统，防,病,病毒，,VPN,等产品一,起,起组成多,层,层次的立,体,体网络安,全,全防护体,系,系,整体方案,与,与安全管,理,理,安全工具,的,的合理配,置,置，仅靠,安,安全工具,不,不能解决,所,所有安全,问,问题。需,要,要正确使,用,用工具，,合,合理搭配,重点是安,全,全管理，,需,需要建立,安,安全规章,制,制度和管,理,理,演讲完毕,，,，谢谢观,看,看！,