网络安全基础知识(shang).ppt

《网络安全基础知识(shang).ppt》由会员分享，可在线阅读，更多相关《网络安全基础知识(shang).ppt（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 培训专用培训专用 网络安全基础知识网络安全基础知识课程模块课程模块Module 1:网络安全概述网络安全概述Module 2:我们眼中的网络安全我们眼中的网络安全Module 1:网络安全概述网络安全概述什么是安全？什么是安全？安全安全一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力一种能够识别和消除不安全因素的能力安全是一个持续的过程安全是一个持续的过程安全是一个持续的过程安全是一个持续的过程网络安全是网络系统的硬件、软件及其系统中网络安全是网络系统的硬件、软件及其系统中网络安全是网络系统的硬件、软件及其系统中网络安全是网络系统的硬件、

2、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因的数据受到保护，不因偶然的或者恶意的原因的数据受到保护，不因偶然的或者恶意的原因的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常而遭到破坏、更改、泄露，系统连续可靠正常而遭到破坏、更改、泄露，系统连续可靠正常而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断地运行，网络服务不中断地运行，网络服务不中断地运行，网络服务不中断一一)非授权访问非授权访问1.没有经过同意，就使用网络或计算机资源。没有经过同意，就使用网络或计算机资源。如有意避开系统访问控制机制，对网络设备如有意避开系统访问控制机制，对网络

3、设备及资源进行非正常使用。及资源进行非正常使用。2.或擅自扩大权限，越权访问信息。或擅自扩大权限，越权访问信息。形式形式:假冒、身份攻击、非法用户进入网络假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方系统进行违法操作、合法用户以未授权方式进行操作等。式进行操作等。安全威胁安全威胁二二)信息泄露信息泄露1.敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去。信息信息在传输中丢失或泄漏（电磁泄漏或搭线窃在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户等参数的分析，推出

4、有用信息；猜测用户口令、帐号等重要信息。）口令、帐号等重要信息。）2.信息在存储介质中丢失或泄漏。通过建立信息在存储介质中丢失或泄漏。通过建立隐蔽隧道等窃取敏感信息等。隐蔽隧道等窃取敏感信息等。安全威胁安全威胁三三)破坏数据完整性破坏数据完整性1.以非法手段窃得对数据的使用权，删除、以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得修改、插入或重发某些重要信息，以取得有益于攻击者的响应；有益于攻击者的响应；2.恶意添加，修改数据，以干扰用户的正常恶意添加，修改数据，以干扰用户的正常使用。使用。安全威胁安全威胁四四)拒绝服务攻击拒绝服务攻击1.不断对网络服务系统进行干扰，改

5、变其正不断对网络服务系统进行干扰，改变其正常的作业流程。常的作业流程。2.执行无关程序使系统响应减慢甚至瘫痪，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得排斥而不能进入计算机网络系统或不能得到相应的服务。到相应的服务。安全威胁安全威胁五五)利用网络传播病毒利用网络传播病毒 通过网络传播计算机病毒，其破坏性大大通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。高于单机系统，而且用户很难防范。六六)假冒假冒 假冒合法身份破坏正常工作，北大同假冒合法身份破坏正常工作，北大同宿舍同学邮

6、件假冒案。宿舍同学邮件假冒案。七七)抵赖抵赖 否认接收过或发送过信息。否认接收过或发送过信息。安全威胁安全威胁为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生日趋精密的攻击以及以日趋精密的攻击以及以INTERNET为基础为基础的技术快速发展的技术快速发展专业的专业的IT技术人员和资金的缺乏而不能获得技术人员和资金的缺乏而不能获得更多的资源更多的资源没有对被保护的系统做充分的保护部署没有对被保护的系统做充分的保护部署没有绝对的安全没有绝对的安全开放最少服务提供最小权限原则开放最少服务提供最小权限原则安全需求平衡安全需

7、求平衡过分繁杂的安全政策将导致比没有安全过分繁杂的安全政策将导致比没有安全政策还要低效的安全。政策还要低效的安全。需要考虑一下安全政策给合法用户带来需要考虑一下安全政策给合法用户带来的影响。的影响。在很多情况下如果用户所感受到的不方在很多情况下如果用户所感受到的不方便大于所产生的安全上的提高，则执行便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全的安全策略是实际降低了你公司的安全有效性。有效性。建立一个有效的安全矩阵建立一个有效的安全矩阵建立一个有效的安全矩阵建立一个有效的安全矩阵安全距阵安全距阵一个安全矩阵由单个操作系统安全特征、一个安全矩阵由单个操作系统安全特征、一个安

8、全矩阵由单个操作系统安全特征、一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵日志服务和其他的装备包括防火墙，入侵日志服务和其他的装备包括防火墙，入侵日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。检测系统，审查方案构成。检测系统，审查方案构成。检测系统，审查方案构成。安全矩阵系统最主要的几个方面安全矩阵系统最主要的几个方面 允许访问控制允许访问控制允许访问控制允许访问控制容易使用容易使用容易使用容易使用合理的花费合理的花费合理的花费合理的花费灵活性和伸缩性灵活性和伸缩性灵活性和伸缩性灵活性和伸缩性完整的警报和报告完整的警报和报告完整的警报和报告完整的警报和

9、报告保护资源保护资源终端用户资源终端用户资源终端用户资源终端用户资源 The workstations used by employeesThe workstations used by employees 威胁威胁威胁威胁 :Viruses,trojansViruses,trojans,Active X,applet,Active X,applet网络资源网络资源网络资源网络资源 Routers,switches,wiring closets,telephonyRouters,switches,wiring closets,telephony 威胁威胁威胁威胁:IP spoofing,sys

10、tem snooping:IP spoofing,system snooping服务器资源服务器资源服务器资源服务器资源 DNS,WEB,Email,FTP DNS,WEB,Email,FTP 等服务器等服务器等服务器等服务器 威胁威胁威胁威胁:Unauthorized entry,D.O.S,:Unauthorized entry,D.O.S,trojanstrojans信息存储资源信息存储资源信息存储资源信息存储资源 Human resources and e-commerce databasesHuman resources and e-commerce databases 威胁威胁威胁

11、威胁:Obtaining trade secrets,customer data:Obtaining trade secrets,customer data安全策略安全策略建立一个有效的安全策略建立一个有效的安全策略为你的系统分类为你的系统分类 指定危险因数指定危险因数 确定每个系统的安全优先级确定每个系统的安全优先级 定义可接受和不可接受的活动定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工决定在安全问题上如何教育所有员工 确定谁管理你的政策确定谁管理你的政策 加密类型加密类型 1.对称加密对称加密2.非对称加密非对称加密3.Hash加密加密加密加密认证方法认证方法1.证明你知道

12、什么证明你知道什么2.出示你拥有的出示你拥有的3.证明你是谁证明你是谁4.鉴别你在哪里鉴别你在哪里认证认证Kerberos Kerberos系统是美国麻省理工学院为系统是美国麻省理工学院为Athena工程而设计的，为分布式计算环境提工程而设计的，为分布式计算环境提供一种对用户双方进行验证的认证方法供一种对用户双方进行验证的认证方法One-time passwords(OPT)为了解决固定口令的诸多问题，安全专家为了解决固定口令的诸多问题，安全专家提出了一次性口令的密码体制，以保护关键的提出了一次性口令的密码体制，以保护关键的计算资源计算资源特殊的认证技术特殊的认证技术访问控制列表访问控制列表(

13、ACL)每个用户或组都被分配一个访问级别，并根据这个数据库所包含的内每个用户或组都被分配一个访问级别，并根据这个数据库所包含的内每个用户或组都被分配一个访问级别，并根据这个数据库所包含的内每个用户或组都被分配一个访问级别，并根据这个数据库所包含的内容定义这些用户或组能够执行什么。一个通过认证的用户仍必须通过容定义这些用户或组能够执行什么。一个通过认证的用户仍必须通过容定义这些用户或组能够执行什么。一个通过认证的用户仍必须通过容定义这些用户或组能够执行什么。一个通过认证的用户仍必须通过ACLACL来取得相应的权限。来取得相应的权限。来取得相应的权限。来取得相应的权限。执行控制列表执行控制列表(E

14、CL)一个一个一个一个ECLECL允许操作系统限制一些特定程序的活动。允许操作系统限制一些特定程序的活动。允许操作系统限制一些特定程序的活动。允许操作系统限制一些特定程序的活动。UNIXUNIX系统包含了一系统包含了一系统包含了一系统包含了一些对于些对于些对于些对于rexecrexec,rlogin,rlogin和和和和rshellrshell程序的执行控制列表版本。这些程序都使用执程序的执行控制列表版本。这些程序都使用执程序的执行控制列表版本。这些程序都使用执程序的执行控制列表版本。这些程序都使用执行控制列表来确定在主机行控制列表来确定在主机行控制列表来确定在主机行控制列表来确定在主机A A

15、上的哪些用户可以不登陆的情况下在上的哪些用户可以不登陆的情况下在上的哪些用户可以不登陆的情况下在上的哪些用户可以不登陆的情况下在B B主机上执主机上执主机上执主机上执行程序。但是这种形式的执行控制列表只能在远程系统上工作。行程序。但是这种形式的执行控制列表只能在远程系统上工作。行程序。但是这种形式的执行控制列表只能在远程系统上工作。行程序。但是这种形式的执行控制列表只能在远程系统上工作。访问控制访问控制被动式审计被动式审计主动式审计主动式审计 1.结束一个登陆会话结束一个登陆会话 2.拒绝某些主机的访问拒绝某些主机的访问 3.跟踪非法活动的源位置跟踪非法活动的源位置审计审计增加了复杂性增加了复

16、杂性 不得不培训用户如何使用你需要的安全机制不得不培训用户如何使用你需要的安全机制降低了系统响应时间降低了系统响应时间 认证，审计和加密机制会降低系统性能认证，审计和加密机制会降低系统性能安全的权衡考虑和缺点安全的权衡考虑和缺点网络安全问题增长趋势网络安全问题增长趋势Internet 技术飞速发展技术飞速发展有组织的网络攻击有组织的网络攻击企业内部安全隐患企业内部安全隐患有限的安全资源和管理专有限的安全资源和管理专家家 财政损失财政损失知识产权损失知识产权损失时间消耗时间消耗由错误使用导致的生由错误使用导致的生产力消耗产力消耗责任感下降责任感下降内部争执内部争执网络攻击后果网络攻击后果可见的网

17、络攻击影响可见的网络攻击影响可见的网络攻击影响可见的网络攻击影响利润利润利润利润攻击发生攻击发生攻击发生攻击发生(财政影响财政影响财政影响财政影响)Q1 Q2 Q3 Q4网络安全风险网络安全风险安全需求和实际操作脱离安全需求和实际操作脱离 内部的安全隐患内部的安全隐患动态的网络环境动态的网络环境有限的防御策略有限的防御策略安全策略和实际执行之间的巨大差异安全策略和实际执行之间的巨大差异针对网络通讯层的攻击针对网络通讯层的攻击通讯通讯&服务层服务层 TCP/IP TCP/IP IPX IPX X.25 X.25 Ethernet Ethernet FDDI FDDI Router Configu

18、rations Router Configurations Hubs/Switches Hubs/SwitchesDMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet 企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继调制解调器调制解调器通讯&服务层弱点超过超过1000个个TCP/IP服务安全漏洞服务安全漏洞:Sendmail,FTP,NFS,File Sharing,Netbios,NIS,Telnet,Rlogin,等等.错误的路由配置

19、错误的路由配置 TCP/IP中不健全的安全连接检查机制中不健全的安全连接检查机制 缺省路由帐户缺省路由帐户 反向服务攻击反向服务攻击 隐蔽隐蔽 ModemDMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部生产部生产部工程部工程部工程部工程部市场部市场部市场部市场部人事部人事部人事部人事部路由路由路由路由InternetInternet中继中继针对操作系统的攻击针对操作系统的攻击操作系统操作系统 UNIXUNIX Windows Windows Linux Linux F

20、reebsdFreebsd Macintosh Macintosh Novell Novell操作系统的安全隐患操作系统的安全隐患 1000个以上的商用操作系统安全漏洞个以上的商用操作系统安全漏洞 没有及时添加安全补丁没有及时添加安全补丁 病毒程序的传播病毒程序的传播 文件文件/用户权限设置错误用户权限设置错误 默认安装的不安全设置默认安装的不安全设置 缺省用户的权限和密码口令缺省用户的权限和密码口令 用户设置过于简单密码使用用户设置过于简单密码使用 特洛依木马特洛依木马DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntr

21、anetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继针对应用服务的攻击针对应用服务的攻击应用服务程序应用服务程序 WebWeb服务器服务器服务器服务器 数据库系统数据库系统数据库系统数据库系统 内部办公系统内部办公系统内部办公系统内部办公系统 网络浏览器网络浏览器网络浏览器网络浏览器 ERP ERP 系统系统系统系统 办公文件程序办公文件程序办公文件程序办公文件程序 FTP SMTP POP3FTP SMTP POP3SAP R/3SAP R/3OracleOracle应用程序服务的攻击弱点Web 服务器服务器

22、:错误的错误的Web目录结目录结构构 CGI脚本缺陷脚本缺陷 Web服务器应用程服务器应用程序缺陷序缺陷 私人私人Web站点站点 未索引的未索引的Web页页 数据库数据库:危险的数据库读取危险的数据库读取删删 除操作除操作路由器路由器:源端口源端口/源路由源路由 其他应用程序其他应用程序:Oracle,SAP,Peoplesoft 缺省缺省帐户帐户 有缺陷的浏览器有缺陷的浏览器DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由

23、InternetInternet中继中继额外的不安全因素额外的不安全因素外部个体外部个体外部外部/组织组织内部个体内部个体内部内部/组织组织网络的普及使学习网络进攻变得容易网络的普及使学习网络进攻变得容易全球超过全球超过26万个黑客站点提供系统漏洞和万个黑客站点提供系统漏洞和攻击知识攻击知识越来越多的容易使用的攻击软件的出现越来越多的容易使用的攻击软件的出现国内法律制裁打击力度不够国内法律制裁打击力度不够典型的攻击方式及安全规则典型的攻击方式及安全规则字典攻击和暴力破解法字典攻击和暴力破解法BUG和后门和后门社会工程和非直接攻击社会工程和非直接攻击字典攻击和暴力攻击字典攻击和暴力攻击暴力程序攻

24、击暴力程序攻击所有能够可以被穷举的资源都可以成为所有能够可以被穷举的资源都可以成为暴力破解的目标暴力破解的目标邮箱密码破解邮箱密码破解流光流光4.7Bugs 和后门和后门缓冲区溢出缓冲区溢出(Buffer Overflow)(Buffer Overflow)缓冲区缓冲区缓冲区缓冲区(堆栈堆栈堆栈堆栈)溢出指的是一种系统攻击的手段，溢出指的是一种系统攻击的手段，溢出指的是一种系统攻击的手段，溢出指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造通过往程序的缓冲区写超出其长度的内容，造通过往程序的缓冲区写超出其长度的内容，造通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从

25、而破坏程序的堆栈，使程成缓冲区的溢出，从而破坏程序的堆栈，使程成缓冲区的溢出，从而破坏程序的堆栈，使程成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。序转而执行其它指令，以达到攻击的目的。序转而执行其它指令，以达到攻击的目的。序转而执行其它指令，以达到攻击的目的。后门后门Root kits社会工程和非直接攻击社会工程和非直接攻击打电话请求密码打电话请求密码伪造电子邮件伪造电子邮件拒绝服务攻击拒绝服务攻击To crash a server and make it unusableMasquerade the identity of the attacked syst

26、em Viruses,bugs and service flaws八项安全实施建议八项安全实施建议成为一个安全的偏执狂成为一个安全的偏执狂完整的安全策略完整的安全策略不要采取单独的系统或技术不要采取单独的系统或技术部署公司范围的强制策略部署公司范围的强制策略八项安全实施建议八项安全实施建议提供培训提供培训终端用户终端用户 管理员管理员 经理经理根据需要购置安全设备根据需要购置安全设备识别安全的商业问题识别安全的商业问题考虑物理安全考虑物理安全Module 2:我们眼中的网络安全我们眼中的网络安全不安全的不安全的安全的安全的安全策略安全策略安全策略安全策略实际安全到达标准实际安全到达标准安全间隙

27、安全间隙未知的安全间隙不容忽视未知的安全间隙不容忽视DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继我们眼中的网络安全我们眼中的网络安全网络安全隐患无处不在，常网络安全隐患无处不在，常见漏洞目前有见漏洞目前有1000余种余种。DMZDMZ E-MailE-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络

28、生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继部署安全保卫措施部署安全保卫措施防火墙的能力有限防火墙的能力有限防火墙的能力有限防火墙的能力有限外部外部/个体个体外部外部/组织组织内部内部/个体个体内部内部/组织组织安安安安 全全全全 隐隐隐隐 患患患患DMZDMZ E-Mail E-Mail File Transfer File Transfer HTTP HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继尚不了解实际的危机尚不了解实际的危机实

29、际安全问题还有实际安全问题还有实际安全问题还有实际安全问题还有很多很多很多很多外部外部外部外部/个体个体个体个体外部外部外部外部/组织组织组织组织内部内部内部内部/个体个体个体个体内部内部内部内部/组织组织组织组织安安安安 全全全全 隐隐隐隐 患患患患DMZDMZ?E-Mail?E-Mail?File Transfer?File Transfer?HTTP?HTTPIntranetIntranet企业网络企业网络生产部生产部工程部工程部市场部市场部人事部人事部路由路由InternetInternet中继中继管理分析管理分析&实施策略实施策略安安安安 全全全全 隐隐隐隐 患患患患外部外部/个体个

30、体外部外部/组织组织内部内部/个体个体内部内部/组织组织关闭安全维护关闭安全维护“后门后门”更改缺省的更改缺省的系统口令系统口令添加所有添加所有操作系统操作系统PatchModem数据文件加密数据文件加密安装认证安装认证&授权授权用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控进进进进不不不不来来来来拿拿拿拿不不不不走走走走改改改改不不不不了了了了跑跑跑跑不不不不了了了了看看看看不不不不懂懂懂懂信息安全的目的信息安全的目的可可可可审审审审查查查查信信 息息 安安 全全 体体 系系鉴鉴鉴鉴别别别别加加加加密密密密访访访访问问问问控控控控制制制制安安安安全全全全管管管管理理

31、理理病病病病毒毒毒毒防防防防范范范范数数数数字字字字签签签签名名名名链链链链路路路路加加加加密密密密机机机机IPIPIPIP协协协协议议议议加加加加密密密密机机机机邮邮邮邮件件件件加加加加密密密密文文文文件件件件加加加加密密密密防防防防火火火火墙墙墙墙远远远远程程程程用用用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统防防防防病病病病毒毒毒毒软软软软件件件件防防防防病病病病毒毒毒毒制制制制度度度度密密密密钥钥钥钥管管管管理理理理网网网网络络络络监监监监视视视视审审审审计计计计系系系系统统统统信信信信息息息息检检检检查查查查系系系系统统统统代代代代理理理理服服服服务务务务器器器器远远远远程程程程用用

32、用用户户户户鉴鉴鉴鉴别别别别系系系系统统统统网络系统现状网络系统现状网络系统现状网络系统现状潜在的安全风险潜在的安全风险潜在的安全风险潜在的安全风险安全需求与目标安全需求与目标安全需求与目标安全需求与目标安全体系安全体系安全体系安全体系安全解决方案安全解决方案安全解决方案安全解决方案分析后得出分析后得出分析后得出分析后得出提提出出依 照 风 险 制 定 出依 照 风 险 制 定 出进行进行安全集成安全集成安全集成安全集成 /应用开发应用开发应用开发应用开发安全服务安全方案设计安全方案设计安全方案设计安全方案设计建立相应的网络安全整体设计流程网络安全整体设计流程VPN 虚拟专用网虚拟专用网防火墙防火墙内容检测内容检测防病毒防病毒入侵检测入侵检测问题解答问题解答Q&A课程结束课程结束谢谢大家谢谢大家!