網(wǎng)絡(luò)安全基礎(chǔ)培訓(xùn)(共66頁).ppt

1、2022-2-27平安培訓(xùn)之一 -網(wǎng)絡(luò)平安根底主講：陳翔主講：陳翔網(wǎng)安科技網(wǎng)安科技2022-2-27大大 綱綱n網(wǎng)絡(luò)平安背景分析網(wǎng)絡(luò)平安背景分析n平安根本理論平安根本理論n教育系統(tǒng)拓?fù)浣逃到y(tǒng)拓?fù)鋘安防體系安防體系2022-2-27校園網(wǎng)特點(diǎn) 現(xiàn)在地域：地域： 高校合并、新校區(qū)擴(kuò)建高校合并、新校區(qū)擴(kuò)建應(yīng)用：網(wǎng)上游戲、網(wǎng)上視頻、應(yīng)用：網(wǎng)上游戲、網(wǎng)上視頻、BT/emuleBT/emule、學(xué)術(shù)研究、學(xué)術(shù)研究 QoSQoS：不同應(yīng)用需要不同的時(shí)延、帶寬：不同應(yīng)用需要不同的時(shí)延、帶寬平安：病毒頻繁爆發(fā)、工具軟件、學(xué)生特點(diǎn)平安：病毒頻繁爆發(fā)、工具軟件、學(xué)生特點(diǎn)由由IPv4IPv4向向IPv6IPv6進(jìn)行

2、逐步過渡進(jìn)行逐步過渡2022-2-27現(xiàn)在需要現(xiàn)在需要過去過去從無到有從無到有校園辦公網(wǎng)校園辦公網(wǎng)宿舍網(wǎng)宿舍網(wǎng)互聯(lián)網(wǎng)出口互聯(lián)網(wǎng)出口網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)絡(luò)業(yè)務(wù)業(yè)務(wù)驅(qū)動業(yè)務(wù)驅(qū)動可運(yùn)營可運(yùn)營可用可用可管理可管理平安平安易維護(hù)易維護(hù)準(zhǔn)確靈活計(jì)費(fèi)準(zhǔn)確靈活計(jì)費(fèi)有效的業(yè)務(wù)支撐有效的業(yè)務(wù)支撐校園網(wǎng)建設(shè)的轉(zhuǎn)變2022-2-27學(xué)校網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用n教學(xué)局域網(wǎng)：可由計(jì)算機(jī)中心、多校園網(wǎng)教學(xué)局域網(wǎng)：可由計(jì)算機(jī)中心、多校園網(wǎng)一般由兩局部構(gòu)成。一局部是內(nèi)部網(wǎng)稱一般由兩局部構(gòu)成。一局部是內(nèi)部網(wǎng)稱校園網(wǎng)內(nèi)部網(wǎng)，包含教學(xué)局域網(wǎng)、圖書校園網(wǎng)內(nèi)部網(wǎng)，包含教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等幾個(gè)物理館局域網(wǎng)、辦公自動化局域網(wǎng)等幾個(gè)

3、物理隔離網(wǎng)絡(luò)；另一局部是外部網(wǎng)稱校園網(wǎng)隔離網(wǎng)絡(luò)；另一局部是外部網(wǎng)稱校園網(wǎng)外部網(wǎng)，包括一些公開效勞器，并負(fù)責(zé)外部網(wǎng)，包括一些公開效勞器，并負(fù)責(zé)與中國教育和科研網(wǎng)和與中國教育和科研網(wǎng)和INTERNET的連接的連接以及遠(yuǎn)程移動辦公用戶等的接入等以及遠(yuǎn)程移動辦公用戶等的接入等 2022-2-27n媒體教室、語音教室、各系班計(jì)算機(jī)房等構(gòu)成，媒體教室、語音教室、各系班計(jì)算機(jī)房等構(gòu)成，保證正常教學(xué)和學(xué)生上機(jī)。使教學(xué)人員能夠利用保證正常教學(xué)和學(xué)生上機(jī)。使教學(xué)人員能夠利用計(jì)算機(jī)備課，制作多媒體課件并開展教學(xué)。計(jì)算機(jī)備課，制作多媒體課件并開展教學(xué)。圖書館局域網(wǎng)：一般由效勞器和客戶機(jī)構(gòu)成，以圖書館局域網(wǎng)：一般由效勞

4、器和客戶機(jī)構(gòu)成，以實(shí)現(xiàn)圖書館自動化管理。保證圖書館內(nèi)部業(yè)務(wù)計(jì)實(shí)現(xiàn)圖書館自動化管理。保證圖書館內(nèi)部業(yè)務(wù)計(jì)算機(jī)網(wǎng)絡(luò)化管理和在校園網(wǎng)上實(shí)現(xiàn)書刊目錄及局算機(jī)網(wǎng)絡(luò)化管理和在校園網(wǎng)上實(shí)現(xiàn)書刊目錄及局部文獻(xiàn)參考全文檢索及瀏覽等應(yīng)用。部文獻(xiàn)參考全文檢索及瀏覽等應(yīng)用。2022-2-27n辦公自動化局域網(wǎng)：包括辦公自動化和教辦公自動化局域網(wǎng)：包括辦公自動化和教學(xué)管理效勞器，客戶機(jī)。通過辦公自動化學(xué)管理效勞器，客戶機(jī)。通過辦公自動化軟件，開展公文管理、會議管理、檔案管軟件，開展公文管理、會議管理、檔案管理和個(gè)人辦公管理的辦公自動化的應(yīng)用。理和個(gè)人辦公管理的辦公自動化的應(yīng)用。實(shí)現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、實(shí)現(xiàn)

5、包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管理、后勤管理等應(yīng)用，形成院校的管理信理、后勤管理等應(yīng)用，形成院校的管理信息系統(tǒng)。息系統(tǒng)。2022-2-27各類應(yīng)用效勞器n域名效勞器域名效勞器DNS：完成主機(jī)名域名與：完成主機(jī)名域名與P地址地址相互解析等任務(wù)。相互解析等任務(wù)。 n 代理效勞器代理效勞器Proxy：其跨越外部網(wǎng)和內(nèi)部網(wǎng)，為：其跨越外部網(wǎng)和內(nèi)部網(wǎng)，為校園網(wǎng)內(nèi)用戶提供代理效勞，并使用緩存校園網(wǎng)內(nèi)用戶提供代理效勞，并使用緩存CACHE技術(shù)，減少信息的重復(fù)調(diào)用，降低出口流量，提高訪技術(shù)，減少信息的重復(fù)調(diào)用，降低出口流量，提高訪問速度

6、，也節(jié)約了通信資費(fèi)。問速度，也節(jié)約了通信資費(fèi)。n WWW效勞器效勞器Web Sever：提供超文本信息查詢：提供超文本信息查詢和瀏覽器效勞器模式應(yīng)用效勞。和瀏覽器效勞器模式應(yīng)用效勞。n 文件傳輸效勞器文件傳輸效勞器FTP Sever：提供遠(yuǎn)程文件透明：提供遠(yuǎn)程文件透明傳輸效勞。傳輸效勞。n 電子郵件效勞器電子郵件效勞器Mai1 Sever：提供電子郵件收、：提供電子郵件收、發(fā)效勞。發(fā)效勞。2022-2-27n外部網(wǎng)一般通過外部網(wǎng)交換機(jī)，連接因特網(wǎng)效勞外部網(wǎng)一般通過外部網(wǎng)交換機(jī)，連接因特網(wǎng)效勞器構(gòu)成一個(gè)獨(dú)立網(wǎng)段。邊界路由器通過器構(gòu)成一個(gè)獨(dú)立網(wǎng)段。邊界路由器通過DDN專線專線與中國教育和科研網(wǎng)或其

7、它網(wǎng)絡(luò)連接，實(shí)現(xiàn)與中國教育和科研網(wǎng)或其它網(wǎng)絡(luò)連接，實(shí)現(xiàn)與因特網(wǎng)互聯(lián)。與因特網(wǎng)互聯(lián)。遠(yuǎn)程訪問效勞器連入公用遠(yuǎn)程訪問效勞器連入公用 網(wǎng)網(wǎng)PSNTGSM，使院外授權(quán)用戶含院內(nèi)職工在宿舍或出差用使院外授權(quán)用戶含院內(nèi)職工在宿舍或出差用拔號方式訪問校園網(wǎng)。拔號方式訪問校園網(wǎng)。 2022-2-27平安產(chǎn)品分布圖平安產(chǎn)品分布圖結(jié)論：防火墻、IDS、防病毒是首選的安全產(chǎn)品使用計(jì)費(fèi)系統(tǒng) 過濾王2022-2-27網(wǎng)絡(luò)平安教育2022-2-27學(xué)校平安問題學(xué)校平安問題n1.網(wǎng)絡(luò)平安方面的投入嚴(yán)重缺乏，沒有系統(tǒng)網(wǎng)絡(luò)平安方面的投入嚴(yán)重缺乏，沒有系統(tǒng)的網(wǎng)絡(luò)平安設(shè)施配備。大多數(shù)高校網(wǎng)絡(luò)建的網(wǎng)絡(luò)平安設(shè)施配備。大多數(shù)高校網(wǎng)絡(luò)建設(shè)

8、經(jīng)費(fèi)嚴(yán)重缺乏，有限的經(jīng)費(fèi)也主要投在設(shè)經(jīng)費(fèi)嚴(yán)重缺乏，有限的經(jīng)費(fèi)也主要投在網(wǎng)絡(luò)設(shè)備上，對于網(wǎng)絡(luò)平安建設(shè)一直沒有網(wǎng)絡(luò)設(shè)備上，對于網(wǎng)絡(luò)平安建設(shè)一直沒有比較系統(tǒng)的投入。校園網(wǎng)還根本處在一個(gè)比較系統(tǒng)的投入。校園網(wǎng)還根本處在一個(gè)開放的狀態(tài)，沒有任何有效的平安預(yù)警手開放的狀態(tài)，沒有任何有效的平安預(yù)警手段和防范措施。段和防范措施。2022-2-272.學(xué)校的上網(wǎng)場所管理較混亂學(xué)校的上網(wǎng)場所管理較混亂.各校園網(wǎng)內(nèi)有一批直接接入校園網(wǎng)的機(jī)房平時(shí)提供給學(xué)生和各校園網(wǎng)內(nèi)有一批直接接入校園網(wǎng)的機(jī)房平時(shí)提供給學(xué)生和教職員工上網(wǎng)、學(xué)習(xí)。但是，由于缺乏統(tǒng)一的管理軟件和監(jiān)教職員工上網(wǎng)、學(xué)習(xí)。但是，由于缺乏統(tǒng)一的管理軟件和監(jiān)控、日

9、志系統(tǒng)，這些機(jī)房的管理根本處在各自為政的狀態(tài)?？亍⑷罩鞠到y(tǒng)，這些機(jī)房的管理根本處在各自為政的狀態(tài)。絕大多數(shù)的機(jī)房的登記管理制度存在嚴(yán)重漏洞，上網(wǎng)用戶的絕大多數(shù)的機(jī)房的登記管理制度存在嚴(yán)重漏洞，上網(wǎng)用戶的身份無法唯一識別；另外，由于機(jī)房的計(jì)算機(jī)為了管理上的身份無法唯一識別；另外，由于機(jī)房的計(jì)算機(jī)為了管理上的方便，根本上都投入了大批資金安裝了復(fù)原卡，計(jì)算機(jī)關(guān)機(jī)方便，根本上都投入了大批資金安裝了復(fù)原卡，計(jì)算機(jī)關(guān)機(jī)后啟動即恢復(fù)到初始狀態(tài)，但這在平安管理上就形成了很大后啟動即恢復(fù)到初始狀態(tài)，但這在平安管理上就形成了很大的漏洞，無法按照平安部門要求保存至少三個(gè)月以上的上機(jī)的漏洞，無法按照平安部門要求保存至

10、少三個(gè)月以上的上機(jī)和上網(wǎng)日志；更有甚者，個(gè)別機(jī)房甚至私自接入了互聯(lián)網(wǎng)，和上網(wǎng)日志；更有甚者，個(gè)別機(jī)房甚至私自接入了互聯(lián)網(wǎng)，繞開了學(xué)校的統(tǒng)一管理和國家相關(guān)部門的監(jiān)管，存在極大的繞開了學(xué)校的統(tǒng)一管理和國家相關(guān)部門的監(jiān)管，存在極大的平安隱患。平安隱患。2022-2-273.電子郵件系統(tǒng)極不完善，無任何平安管理和監(jiān)控的手段n近些時(shí)候，通過電子郵件系統(tǒng)散發(fā)反動，色情近些時(shí)候，通過電子郵件系統(tǒng)散發(fā)反動，色情言論和材料以及散步謠言等情況愈發(fā)嚴(yán)重。言論和材料以及散步謠言等情況愈發(fā)嚴(yán)重。n但大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下但大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費(fèi)版本的郵件系統(tǒng)，由于是免費(fèi)的軟件，載

11、的免費(fèi)版本的郵件系統(tǒng)，由于是免費(fèi)的軟件，既不能提供自身完善的平安防護(hù)，更沒有提供既不能提供自身完善的平安防護(hù)，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合公安部門提出的平安郵件系統(tǒng)段，完全不符合公安部門提出的平安郵件系統(tǒng)的要求，出現(xiàn)問題無法及時(shí)有效的解決的要求，出現(xiàn)問題無法及時(shí)有效的解決2022-2-274.網(wǎng)絡(luò)病毒泛濫網(wǎng)絡(luò)病毒泛濫n網(wǎng)絡(luò)在提供給大家的方便的同時(shí)，也變成了病毒網(wǎng)絡(luò)在提供給大家的方便的同時(shí)，也變成了病毒傳遞的最快捷的途徑。隨著網(wǎng)絡(luò)飛速開展、網(wǎng)絡(luò)傳遞的最快捷的途徑。隨著網(wǎng)絡(luò)飛速開展、網(wǎng)絡(luò)病毒的編制者水平的提高以及近幾年網(wǎng)絡(luò)

12、病毒和病毒的編制者水平的提高以及近幾年網(wǎng)絡(luò)病毒和黑客軟件的結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導(dǎo)致用戶黑客軟件的結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導(dǎo)致用戶的隱私和重要數(shù)據(jù)外泄。同時(shí)還極大的消耗了網(wǎng)的隱私和重要數(shù)據(jù)外泄。同時(shí)還極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能急劇下降；從絡(luò)資源；造成網(wǎng)絡(luò)性能急劇下降；從 “紅色代碼紅色代碼、“尼姆達(dá)到尼姆達(dá)到“愛之門等網(wǎng)絡(luò)病毒的爆發(fā)愛之門等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。而病毒防范的措施也不能僅僅靠原來單機(jī)的方式，而病毒防范的措施也不能僅僅靠原來單機(jī)的方式，必須是一種集中管理，統(tǒng)一升級，統(tǒng)一監(jiān)控的針必須是一種集中管理，

13、統(tǒng)一升級，統(tǒng)一監(jiān)控的針對網(wǎng)絡(luò)的防病毒體系。對網(wǎng)絡(luò)的防病毒體系。2022-2-275.網(wǎng)絡(luò)平安意識淡薄，沒有指定完網(wǎng)絡(luò)平安意識淡薄，沒有指定完善的網(wǎng)絡(luò)平安管理制度善的網(wǎng)絡(luò)平安管理制度n校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，以福建省省網(wǎng)中心之一的屢見不鮮，以福建省省網(wǎng)中心之一的大學(xué)網(wǎng)大學(xué)網(wǎng)絡(luò)中心做過的統(tǒng)計(jì)，該校主要的幾個(gè)應(yīng)用效勞器絡(luò)中心做過的統(tǒng)計(jì)，該校主要的幾個(gè)應(yīng)用效勞器平

14、均一個(gè)星期會經(jīng)受到數(shù)千次甚至上萬次的非常平均一個(gè)星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大局部的非法訪問源自校內(nèi)，訪問嘗試，而其中一大局部的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶平安意識淡?。涣硗?，沒說明校園網(wǎng)絡(luò)上的用戶平安意識淡薄；另外，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)平安制度，各校園網(wǎng)在有制定完善而嚴(yán)格的網(wǎng)絡(luò)平安制度，各校園網(wǎng)在平安管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)平安問平安管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)平安問題泛濫的一個(gè)重要原因。題泛濫的一個(gè)重要原因。2022-2-27解決網(wǎng)絡(luò)平安問題涉及的方面解決網(wǎng)絡(luò)平安問題涉及的方面n法制建設(shè)問題：約束黑客行為等法制建設(shè)問題：約束黑客行為等n組織

15、建設(shè)問題：建立快速響應(yīng)體系組織建設(shè)問題：建立快速響應(yīng)體系n標(biāo)準(zhǔn)資質(zhì)認(rèn)證：產(chǎn)品、效勞標(biāo)準(zhǔn)標(biāo)準(zhǔn)資質(zhì)認(rèn)證：產(chǎn)品、效勞標(biāo)準(zhǔn)n系統(tǒng)評估問題：平安隱患與信息價(jià)值系統(tǒng)評估問題：平安隱患與信息價(jià)值n平臺建設(shè)問題：平臺建設(shè)問題：CERTCERT、反入侵、反病毒等平安中心、反入侵、反病毒等平安中心n科科 研研 支支 撐：專項(xiàng)基金、支持科研及自有力量的科研投入撐：專項(xiàng)基金、支持科研及自有力量的科研投入n人力資源建設(shè)：建立專家隊(duì)伍、開展培訓(xùn)工作人力資源建設(shè)：建立專家隊(duì)伍、開展培訓(xùn)工作2022-2-27網(wǎng)絡(luò)平安的定義網(wǎng)絡(luò)平安的定義n網(wǎng)絡(luò)平安的五要素包括：網(wǎng)絡(luò)平安的五要素包括：n機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程

16、。機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。n完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。判別出數(shù)據(jù)是否已被篡改。 n可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。擊者不能占用所有的資源而阻礙授權(quán)者的工作。 即即效勞不中斷。效勞不中斷。n可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。n可審查性：對出現(xiàn)的網(wǎng)絡(luò)平安問題提供調(diào)查的依據(jù)和可審查性：對出現(xiàn)的網(wǎng)絡(luò)平安問題提供調(diào)查的依據(jù)和手段。手段

17、。2022-2-27網(wǎng)絡(luò)平安的分層防護(hù)體系2022-2-27我們的方案思路網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀平安風(fēng)險(xiǎn)評估平安風(fēng)險(xiǎn)評估平安需求與目標(biāo)平安需求與目標(biāo)平安體系平安體系平安解決方案平安解決方案網(wǎng)絡(luò)平安的實(shí)現(xiàn)網(wǎng)絡(luò)平安的實(shí)現(xiàn)平安效勞平安效勞2022-2-27平安體系 構(gòu)筑網(wǎng)絡(luò)安全體系 風(fēng)險(xiǎn)評估 網(wǎng)絡(luò)安全管理咨詢 應(yīng)用級安全防御 安全管理工作流程 網(wǎng)絡(luò)安全管理規(guī)范 問卷調(diào)研 網(wǎng)絡(luò)級安全防御 數(shù)據(jù)級安全防御 網(wǎng)絡(luò)安全審計(jì) 網(wǎng)絡(luò)安全培訓(xùn) 全面的服務(wù)體系 貫穿整個(gè)網(wǎng)絡(luò)生命周期 系統(tǒng)級安全防御 制定安全政策 建立安全組織 網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì) 2022-2-27 網(wǎng)絡(luò)平安策略是平安管理體系和網(wǎng)絡(luò)平安技術(shù)的綜合。網(wǎng)

18、絡(luò)平安策略是平安管理體系和網(wǎng)絡(luò)平安技術(shù)的綜合。本章將就企業(yè)范圍的網(wǎng)絡(luò)平安策略進(jìn)行闡述，著重介紹以下幾本章將就企業(yè)范圍的網(wǎng)絡(luò)平安策略進(jìn)行闡述，著重介紹以下幾方面：方面：q 企業(yè)平安防護(hù)體系的構(gòu)成企業(yè)平安防護(hù)體系的構(gòu)成q 建立平安的企業(yè)網(wǎng)絡(luò)建立平安的企業(yè)網(wǎng)絡(luò)q 安防工作是一個(gè)過程安防工作是一個(gè)過程2022-2-27q 先進(jìn)的網(wǎng)絡(luò)平安技術(shù)是企業(yè)網(wǎng)絡(luò)平安的根底先進(jìn)的網(wǎng)絡(luò)平安技術(shù)是企業(yè)網(wǎng)絡(luò)平安的根底q 完善的平安管理體系是網(wǎng)絡(luò)平安的必要條件完善的平安管理體系是網(wǎng)絡(luò)平安的必要條件q 平安防護(hù)工作是一個(gè)周而復(fù)始、循環(huán)上升的平安防護(hù)工作是一個(gè)周而復(fù)始、循環(huán)上升的過程過程2022-2-27人人 制度制度技術(shù)技術(shù)

19、平安防護(hù)體系平安防護(hù)體系q 人人q 制度制度q 技術(shù)技術(shù)2022-2-27q 對平安防護(hù)工作重視的領(lǐng)導(dǎo)是安防工作順利推對平安防護(hù)工作重視的領(lǐng)導(dǎo)是安防工作順利推進(jìn)的主要動力；進(jìn)的主要動力；q 有強(qiáng)烈平安防護(hù)意識的員工是企業(yè)安防體系得有強(qiáng)烈平安防護(hù)意識的員工是企業(yè)安防體系得以切實(shí)落實(shí)的根底；以切實(shí)落實(shí)的根底；q 杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強(qiáng)平安防杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強(qiáng)平安防護(hù)的一項(xiàng)重要工作。護(hù)的一項(xiàng)重要工作。2022-2-27q 啟蒙啟蒙為平安培訓(xùn)工作打根底，端正對企業(yè)為平安培訓(xùn)工作打根底，端正對企業(yè)的態(tài)度，讓他們充分認(rèn)識到安防工作的重要意的態(tài)度，讓他們充分認(rèn)識到安防工作的重要意

20、義及在不重視安防工作的危險(xiǎn)后果。義及在不重視安防工作的危險(xiǎn)后果。q 培訓(xùn)培訓(xùn)傳授平安技巧，使其更好的完成自己傳授平安技巧，使其更好的完成自己的工作。的工作。q 教育教育目標(biāo)是培養(yǎng)目標(biāo)是培養(yǎng)IT安防專業(yè)人才，重點(diǎn)在安防專業(yè)人才，重點(diǎn)在于拓展應(yīng)付處理復(fù)雜多變的攻擊活動的能力和于拓展應(yīng)付處理復(fù)雜多變的攻擊活動的能力和遠(yuǎn)見。遠(yuǎn)見。2022-2-27q 減輕或消除員工和第三方的法律責(zé)任減輕或消除員工和第三方的法律責(zé)任q 對保密信息和無形資產(chǎn)加以保護(hù)對保密信息和無形資產(chǎn)加以保護(hù)q 防止浪費(fèi)企業(yè)的計(jì)算機(jī)資源防止浪費(fèi)企業(yè)的計(jì)算機(jī)資源 安防制度是這樣一份或一套文檔，它從整體上規(guī)安防制度是這樣一份或一套文檔，它從

21、整體上規(guī)劃出在企業(yè)內(nèi)部實(shí)施的各項(xiàng)安防控制措施。劃出在企業(yè)內(nèi)部實(shí)施的各項(xiàng)安防控制措施。 安防制度的作用主要有安防制度的作用主要有：2022-2-27 安防制度的生命周期包括制度的制定、推行和監(jiān)安防制度的生命周期包括制度的制定、推行和監(jiān)督實(shí)施。督實(shí)施。第一階段：規(guī) 章制度的制定。本階段以風(fēng)險(xiǎn)評估工作的結(jié)論為依據(jù)制定出消除、 減輕和轉(zhuǎn)移風(fēng)險(xiǎn)所需要的安防 控制措施。第二階段：企業(yè)發(fā)布執(zhí)行的規(guī)章制度，以及配套的獎懲措施。第三階段：規(guī)章制度的監(jiān)第三階段：規(guī)章制度的監(jiān)督實(shí)施。制度的監(jiān)督實(shí)施督實(shí)施。制度的監(jiān)督實(shí)施應(yīng)常抓不懈、反復(fù)進(jìn)行，應(yīng)常抓不懈、反復(fù)進(jìn)行，保證制度能夠跟上企業(yè)的保證制度能夠跟上企業(yè)的開展和變化

22、開展和變化制度的監(jiān)督實(shí)施制度的監(jiān)督實(shí)施制度的制定制度的制定制度的推行制度的推行2022-2-27q 計(jì)算機(jī)上機(jī)管理制度計(jì)算機(jī)上機(jī)管理制度q 用戶賬戶管理制度用戶賬戶管理制度q 遠(yuǎn)程訪問管理制度遠(yuǎn)程訪問管理制度q 信息保護(hù)管理制度信息保護(hù)管理制度q 防火墻管理制度防火墻管理制度q 特殊訪問權(quán)限管理制度特殊訪問權(quán)限管理制度q 網(wǎng)絡(luò)連接設(shè)備管理制度網(wǎng)絡(luò)連接設(shè)備管理制度q 商業(yè)伙伴管理制度商業(yè)伙伴管理制度q 顧客管理制度顧客管理制度2022-2-27q 信息加密技術(shù)信息加密技術(shù)q 身份鑒別技術(shù)身份鑒別技術(shù)q 資源使用授權(quán)技術(shù)資源使用授權(quán)技術(shù)q 訪問審計(jì)技術(shù)訪問審計(jì)技術(shù)q 備份與恢復(fù)技術(shù)備份與恢復(fù)技術(shù)q

23、 防病毒技術(shù)防病毒技術(shù)2022-2-27q 網(wǎng)絡(luò)防火墻q VPN設(shè)備q 入侵檢測設(shè)備q 漏洞評估產(chǎn)品q 網(wǎng)絡(luò)防病毒產(chǎn)品2022-2-27q 單一的平安保護(hù)往往效果不理想單一的平安保護(hù)往往效果不理想q 目前的趨勢目前的趨勢應(yīng)用和實(shí)施一個(gè)基于多層應(yīng)用和實(shí)施一個(gè)基于多層次平安系統(tǒng)的全面信息平安策略次平安系統(tǒng)的全面信息平安策略在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)平安產(chǎn)品在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)平安產(chǎn)品分層的平安防護(hù)成倍地增加了黑客攻擊的分層的平安防護(hù)成倍地增加了黑客攻擊的本錢和難度本錢和難度從而卓有成效地降低被攻擊的危險(xiǎn)，到達(dá)從而卓有成效地降低被攻擊的危險(xiǎn)，到達(dá)平安防護(hù)的目標(biāo)。平安防護(hù)的目標(biāo)。2022-2-2

24、71 防火墻技術(shù)防火墻技術(shù)2022-2-27 防火墻是一種高級訪問控制設(shè)備，是置于不防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)平安域之間的一系列部件的組合，是不同同網(wǎng)絡(luò)平安域之間的一系列部件的組合，是不同網(wǎng)絡(luò)平安域間通信流的唯一通道，能根據(jù)企業(yè)有網(wǎng)絡(luò)平安域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)平安政策控制關(guān)平安政策控制(允許、拒絕、監(jiān)視、記錄允許、拒絕、監(jiān)視、記錄)進(jìn)出進(jìn)出網(wǎng)絡(luò)的訪問行為。網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶 DMZ 防火墻防火墻2022-2-27q包過濾技術(shù) (Packet Filt

25、ering)q應(yīng)用層代理技術(shù) (Application Proxy)q狀態(tài)包過濾技術(shù) (Stateful Packet Filtering)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層2022-2-27數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)查找對應(yīng)的控制策的控制策略略拆開數(shù)據(jù)包拆開數(shù)據(jù)包根據(jù)策略決定如根據(jù)策略決定如何處理該數(shù)據(jù)包何處理該數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制策略2022-2-27數(shù)據(jù)包數(shù)據(jù)包

26、數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)查找對應(yīng)的控制策的控制策略略拆開數(shù)據(jù)包拆開數(shù)據(jù)包根據(jù)策略決定如根據(jù)策略決定如何處理該數(shù)據(jù)包何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng) 數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息應(yīng)用代理判斷信息控制策略控制策略2022-2-27數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)查找對應(yīng)的控制策的控制策略略拆開數(shù)據(jù)包拆開數(shù)據(jù)包根據(jù)策略決定如根據(jù)策略決定如何處理該數(shù)據(jù)包何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)3TCP報(bào)頭IP報(bào)頭分組過濾判斷信息數(shù)據(jù)2TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭數(shù)據(jù)狀態(tài)檢測控制策略控制策略2022-2-27q位

27、于位于Internet與與Intranet之間的系統(tǒng)，之間的系統(tǒng)，防止內(nèi)部網(wǎng)絡(luò)直接暴露在外面防止內(nèi)部網(wǎng)絡(luò)直接暴露在外面q防止防止Internet上非法訪問上非法訪問q防止內(nèi)部使用者不當(dāng)?shù)氖褂梅乐箖?nèi)部使用者不當(dāng)?shù)氖褂肐nternetq有效的記錄及監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動有效的記錄及監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動q強(qiáng)化企業(yè)平安策略強(qiáng)化企業(yè)平安策略2022-2-27q防火墻不能完全防止受病毒感染的文防火墻不能完全防止受病毒感染的文件或軟件的傳輸件或軟件的傳輸q防火墻對不通過它的連接無能為力防火墻對不通過它的連接無能為力q防火墻不能防范內(nèi)部人員的攻擊防火墻不能防范內(nèi)部人員的攻擊q防火墻可能導(dǎo)致傳輸延遲、網(wǎng)絡(luò)瓶頸防火

28、墻可能導(dǎo)致傳輸延遲、網(wǎng)絡(luò)瓶頸及單點(diǎn)失效及單點(diǎn)失效q防火墻不能防范新的網(wǎng)絡(luò)平安問題防火墻不能防范新的網(wǎng)絡(luò)平安問題2022-2-272 入侵檢測技術(shù)入侵檢測技術(shù)2022-2-27q 防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；q 入侵檢測系統(tǒng)入侵檢測系統(tǒng)(IDS(IDS：Intrusion detection Intrusion detection system)system)用于監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)被入侵用于監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)被入侵或?yàn)E用的征兆；或?yàn)E用的征兆；q IDSIDS系統(tǒng)以后臺進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可疑系統(tǒng)以后臺進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員；情況

29、，立即通知有關(guān)人員；q IDSIDS是監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，是是監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，是安防體系的重要組成局部；安防體系的重要組成局部；q 假設(shè)說防火墻是一幢大樓的門鎖，那入侵假設(shè)說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。2022-2-27n內(nèi)部用戶可能對網(wǎng)絡(luò)效勞器進(jìn)行攻擊，竊內(nèi)部用戶可能對網(wǎng)絡(luò)效勞器進(jìn)行攻擊，竊取資料，破壞效勞器上的重要數(shù)據(jù)信息，取資料，破壞效勞器上的重要數(shù)據(jù)信息，令網(wǎng)絡(luò)癱瘓；令網(wǎng)絡(luò)癱瘓；n有的用戶擅自接入互聯(lián)網(wǎng)，感染木馬程序有的用戶擅自接入互聯(lián)網(wǎng)，感染木馬程序和網(wǎng)絡(luò)病毒，將導(dǎo)致內(nèi)部重要數(shù)據(jù)外泄；和網(wǎng)絡(luò)

30、病毒，將導(dǎo)致內(nèi)部重要數(shù)據(jù)外泄；n用戶可能通過內(nèi)部網(wǎng)絡(luò)向外進(jìn)行非法攻擊，用戶可能通過內(nèi)部網(wǎng)絡(luò)向外進(jìn)行非法攻擊，造成重大破壞，而從外界追查只能知道攻造成重大破壞，而從外界追查只能知道攻擊來自該網(wǎng)絡(luò)；擊來自該網(wǎng)絡(luò)；n外來用戶可以通過外接一臺計(jì)算機(jī)連入內(nèi)外來用戶可以通過外接一臺計(jì)算機(jī)連入內(nèi)部網(wǎng)絡(luò)，竊取內(nèi)部資料或進(jìn)行破壞活動。部網(wǎng)絡(luò)，竊取內(nèi)部資料或進(jìn)行破壞活動。使用入侵檢測系統(tǒng)的意義：使用入侵檢測系統(tǒng)的意義：2022-2-27q 不需要人工干預(yù)即可不間斷運(yùn)行不需要人工干預(yù)即可不間斷運(yùn)行q 有容錯功能有容錯功能q 不需要占用大量的系統(tǒng)資源不需要占用大量的系統(tǒng)資源q 能夠發(fā)現(xiàn)異于正常行為的操作能夠發(fā)現(xiàn)異于正

31、常行為的操作q 能夠適應(yīng)系統(tǒng)行為的長期變化能夠適應(yīng)系統(tǒng)行為的長期變化q 判斷準(zhǔn)確判斷準(zhǔn)確q 靈活定制靈活定制q 保持領(lǐng)先保持領(lǐng)先2022-2-27q 主機(jī)入侵檢測系統(tǒng)主機(jī)入侵檢測系統(tǒng)Host Intrusion Detection SystemHost Intrusion Detection Systemq 網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)Network Intrusion Detection SystemNetwork Intrusion Detection System2022-2-27q 能夠使現(xiàn)有的安防體系更完善；能夠使現(xiàn)有的安防體系更完善；q 能夠更好地掌握系統(tǒng)的情況；能夠更好地掌握

32、系統(tǒng)的情況；q 能夠追蹤攻擊者的攻擊線路；能夠追蹤攻擊者的攻擊線路；q 界面友好，便于建立安防體系；界面友好，便于建立安防體系；q 能夠抓住肇事者。能夠抓住肇事者。2022-2-27q 不能在沒有用戶參與的情況下對攻擊行不能在沒有用戶參與的情況下對攻擊行為展開調(diào)查；為展開調(diào)查；q 不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；q 不能克服設(shè)計(jì)原理方面的缺陷；不能克服設(shè)計(jì)原理方面的缺陷；q 存在漏報(bào)與誤報(bào)。存在漏報(bào)與誤報(bào)。 入侵檢測系統(tǒng)不是萬能的，也存在許多缺乏：入侵檢測系統(tǒng)不是萬能的，也存在許多缺乏：2022-2-27InternetIDS 1IDS 2IDS 3IDS 4子網(wǎng)子網(wǎng)

33、A子網(wǎng)子網(wǎng) B交換機(jī)交換機(jī)帶主機(jī)帶主機(jī)IDS感應(yīng)感應(yīng)器的服務(wù)器器的服務(wù)器服務(wù)器服務(wù)器2022-2-273 防病毒技術(shù)2022-2-27 攻擊和威脅轉(zhuǎn)移到效勞器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC, 2002郵件郵件/互聯(lián)網(wǎng)互聯(lián)網(wǎng)Code RedNimdafunloveKlez20012002郵件郵件Melissa19992000LoveLetter1981物理介質(zhì)物理介質(zhì)Brain19861998CIH病毒演化趨勢病毒演化趨勢速客一號速客一號20032022-2-27網(wǎng)絡(luò)防病毒技術(shù)開展趨勢網(wǎng)絡(luò)防病毒技術(shù)開展趨勢n反黑與反病毒相結(jié)合反黑與反病毒相結(jié)合n從入口攔截病毒從入口攔截病毒n全面解決方案全

34、面解決方案 n客戶化定制客戶化定制n區(qū)域化到國際化區(qū)域化到國際化2022-2-27q 在企業(yè)每臺臺式機(jī)上安裝客戶端防病毒軟件在企業(yè)每臺臺式機(jī)上安裝客戶端防病毒軟件q 在效勞器上安裝基于效勞器的防病毒軟件在效勞器上安裝基于效勞器的防病毒軟件q 在網(wǎng)關(guān)上安裝基于在網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的防病毒產(chǎn)品網(wǎng)關(guān)的防病毒產(chǎn)品q 這一防護(hù)體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不這一防護(hù)體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不受病毒的危害受病毒的危害與其亡羊補(bǔ)牢不如未雨綢繆與其亡羊補(bǔ)牢不如未雨綢繆2022-2-27q 選擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓?fù)溥x擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓?fù)淦鹾闲裕黄鹾闲?；q 企業(yè)應(yīng)選用網(wǎng)

35、絡(luò)版的防病毒軟件企業(yè)應(yīng)選用網(wǎng)絡(luò)版的防病毒軟件 q 應(yīng)選用單一品牌防毒軟件產(chǎn)品應(yīng)選用單一品牌防毒軟件產(chǎn)品q 慎選防病毒軟件的供給商慎選防病毒軟件的供給商2022-2-27q病毒查殺能力病毒查殺能力q對新病毒的反響能力對新病毒的反響能力q病毒實(shí)時(shí)檢測能力病毒實(shí)時(shí)檢測能力q快速、方便的升級快速、方便的升級q智能安裝、遠(yuǎn)程識別智能安裝、遠(yuǎn)程識別q管理方便，易于操作管理方便，易于操作q對現(xiàn)有資源的占用情況對現(xiàn)有資源的占用情況q系統(tǒng)兼容性系統(tǒng)兼容性q軟件的價(jià)格軟件的價(jià)格q軟件商的企業(yè)實(shí)力軟件商的企業(yè)實(shí)力防病毒產(chǎn)品選擇應(yīng)考慮的具體因素防病毒產(chǎn)品選擇應(yīng)考慮的具體因素2022-2-275 VPN技術(shù)2022-2

36、-27 虛擬專用網(wǎng)虛擬專用網(wǎng)VPNVirtual Private Network技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過平安的平安的“加密管道在公共網(wǎng)絡(luò)中傳播。加密管道在公共網(wǎng)絡(luò)中傳播。InternetVPN通道通道VPN網(wǎng)關(guān)網(wǎng)關(guān)移動用戶移動用戶VPN網(wǎng)關(guān)網(wǎng)關(guān)2022-2-27q 保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過授權(quán)的，保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)要有抵抗地址冒認(rèn)IP Spoofing的能力。的能力。 q 保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。 q 保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須