網(wǎng)絡(luò)安全整體項目解決課件

1、網(wǎng)絡(luò)安全整體解決方案神州數(shù)碼DCN產(chǎn)品規(guī)劃部王景輝網(wǎng)絡(luò)安全建設(shè)原則網(wǎng)絡(luò)安全體系結(jié)構(gòu)P2DR模型網(wǎng)絡(luò)安全技術(shù)不同行業(yè)中應(yīng)用的安全技術(shù)主要內(nèi)容網(wǎng)絡(luò)安全的建設(shè)原則需求、風險、代價平衡的原則綜合性、整體性原則一致性原則易操作性原則適應(yīng)性、靈活性原則多重保護原則可評價性原則安全體系結(jié)構(gòu)可用性審計管理不可抵賴數(shù)據(jù)完整數(shù)據(jù)保密訪問控制身份鑒別應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層信息處理單元通信網(wǎng)絡(luò)三維安全體系結(jié)構(gòu)框架物理環(huán)境安全管理結(jié)構(gòu)層次安全特性系統(tǒng)單元P2DR模型的組成部分 Protection（保護） Detection（檢測） Response（響應(yīng)） Policy（安全策略）P2DR模型的應(yīng)

2、用MPDRR模型PMRRDManagement 安全管理Protect 安全保護Reaction安全響應(yīng)Recovery安全恢復(fù)安全模型MPDRR訪問控制機制入侵檢測機制安全響應(yīng)機制備份與恢復(fù)機制網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀潛在的安全風險安全需求與目標安全體系安全解決方案分析后得出提出依照風險制定出進行安全集成 / 應(yīng)用開發(fā)安全服務(wù)安全方案設(shè)計建立相應(yīng)的安全風險分析物理層安全風險分析網(wǎng)絡(luò)層安全風險分析應(yīng)用層安全風險分析管理安全風險分析物理層安全風險網(wǎng)絡(luò)的物理安全風險主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,而造成網(wǎng)絡(luò)系統(tǒng)的不可用。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。如：設(shè)備被盜、被毀壞鏈路老化或被有意

3、或者無意的破壞因電子輻射造成信息泄露設(shè)備意外故障、停電地震、火災(zāi)、水災(zāi)等自然災(zāi)害網(wǎng)絡(luò)層安全風險分析數(shù)據(jù)傳輸安全網(wǎng)絡(luò)邊界安全網(wǎng)絡(luò)設(shè)備安全數(shù)據(jù)傳輸安全由于在同級局域網(wǎng)和上下級網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。 由于目前尚無安全的數(shù)據(jù)庫及個人終端安全保護措施，還不能抵御來自網(wǎng)絡(luò)上的各種對數(shù)據(jù)庫及個人終端的攻擊。同時一旦不法分子針對網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴重的影響和損失。 網(wǎng)絡(luò)邊界安全嚴格的說網(wǎng)絡(luò)上的任何一個節(jié)點，其它所有網(wǎng)絡(luò)節(jié)點都是不可信任域，都可能對

4、該系統(tǒng)造成一定的安全威脅。 網(wǎng)絡(luò)設(shè)備的安全網(wǎng)絡(luò)設(shè)備可能存在系統(tǒng)漏洞網(wǎng)絡(luò)設(shè)備可能存錯誤的配置網(wǎng)絡(luò)設(shè)備的安全風險以CISCO為例說明：對于網(wǎng)絡(luò)設(shè)備本身訪問認證的攻擊對于網(wǎng)絡(luò)設(shè)備運行的專有操作系統(tǒng)攻擊對于網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊不必要的IOS服務(wù)或潛在的安全問題Multiple Vendor SNMP World Writeable Community Vulnerability:對于已知的缺省SNMP社區(qū)，任何用戶都可以進行寫入或讀取操作。Cisco IOS HTTP % Vulnerability:當正在利用Web接口時，如果在普通的URL上加上特定的字符串時，將陷入DoS狀態(tài)。Cisco Rou

5、ter Online Help Vulnerability:在線幫助中顯示不應(yīng)泄漏的信息。系統(tǒng)層安全風險分析操作系統(tǒng)安全漏洞數(shù)據(jù)庫系統(tǒng)安全漏洞操作系統(tǒng)(如Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)、服務(wù)器(如DOMINO)、數(shù)據(jù)庫(如SYBASE)等產(chǎn)品可能會因為設(shè)計、編碼的原因存在各種各樣的安全漏洞(有已知的、未知的)，還可能留有隱蔽通道或后門。操作系統(tǒng)(如NT、UNIX)、服務(wù)器(如DOMINO)、數(shù)據(jù)庫(如SQL、SYBASE、ORACLE)等商用產(chǎn)品本身安全

6、級別較低。操作人員對系統(tǒng)功能、系統(tǒng)服務(wù)、數(shù)據(jù)庫管理系統(tǒng)和Web服務(wù)器等的誤操作或者配置，不可避免會給信息網(wǎng)系統(tǒng)帶來一定的安全風險。網(wǎng)絡(luò)管理人員和用戶的終端極易感染病毒（如外來文件的拷貝，盜版軟件，從外部站點下載的文件或應(yīng)用軟件的非法安裝等），而一旦感染病毒，就有可能造成整個系統(tǒng)感染病毒。電子郵件系統(tǒng)的郵件收發(fā)，極易感染惡意病毒程序。病毒可肆意進行刪除、篡改和拷貝操作，從而導(dǎo)致巨大的危害。 應(yīng)用層安全風險身份認證漏洞DNS服務(wù)威脅WWW服務(wù)漏洞電子郵件系統(tǒng)漏洞身份認證漏洞網(wǎng)絡(luò)服務(wù)系統(tǒng)登錄和主機登錄使用的是靜態(tài)口令，口令在一定時間內(nèi)是不變的，且在數(shù)據(jù)庫中有存儲記錄，可重復(fù)使用。這樣非法用戶通過網(wǎng)絡(luò)

7、竊聽，非法數(shù)據(jù)庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對業(yè)務(wù)系統(tǒng)和OA系統(tǒng)中的資源非法訪問和越權(quán)操作。DNS服務(wù)威脅Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。例如，新發(fā)現(xiàn)的針對BIND-DNS實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預(yù)測的查詢ID可欺騙域名服務(wù)器給出錯誤的主機名-IP對應(yīng)關(guān)系。 WWW服務(wù)漏

8、洞Web Server經(jīng)常成為Internet用戶訪問企業(yè)內(nèi)部資源的通道之一，如Web server通過中間件訪問主機系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。為了防止Web服務(wù)器成為攻擊的犧牲品或成為進入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心。電子郵件系統(tǒng)漏洞電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可夠通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、蠕蟲等）、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者

9、提供機會，給系統(tǒng)帶來不安全因至素。 安全管理再安全的網(wǎng)絡(luò)設(shè)備也離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認真的分析管理所帶來的安全風險，并采取相應(yīng)的安全措施。OSI七層參考模型物理層安全技術(shù)網(wǎng)絡(luò)層安全技術(shù)應(yīng)用層安全技術(shù)系統(tǒng)層安全技術(shù)安全管理物理層安全技術(shù)GAP技術(shù)（物理隔離）物理設(shè)備的冗余和備份防電磁輻射、抗靜電等等物理隔離技術(shù)雙機雙網(wǎng)雙硬盤隔離卡單硬盤隔離卡安全網(wǎng)閘網(wǎng)絡(luò)層安全技術(shù)防火墻技術(shù)VPN技術(shù)網(wǎng)絡(luò)入侵檢測技術(shù)網(wǎng)絡(luò)設(shè)備的安全性增強技術(shù)防火墻分類ApplicationPresentat

10、ionSessionTransportNetworkData LinkPhysicalApplication Layer Gateway (Proxy)Application LevelPacket FilteringNetwork LevelStateful InspectionBefore Network LevelPacket Filtering（包過濾防火墻的優(yōu)點）ProsInexpensiveApplication TransparencyQuicker than application layer gatewaysApplicationPresentationSessionTran

11、sportNetworkData LinkPhysicalPacket Filtering（包過濾防火墻的缺點）ConsLow SecurityLimited access to packet headerLimited screening above network layerLimited ability to manipulate informationDifficult to configureInadequate loggingSubject to IP SpoofingApplicationPresentationSessionTransportNetworkData LinkPh

12、ysicalApplication Layer Gateway的優(yōu)點ProsGood SecurityFull application-layer awarenessApplicationPresentationSessionTransportNetworkData LinkPhysicalApplication Layer Gateway的缺點ConsState information partial.Poor ScalabilityDetrimental PerformanceProxies cannot provide for UDPMost proxies non-transparen

13、tVulnerable to OSOverlooks lower level infoExpensive performance costApplicationPresentationSessionTransportNetworkData LinkPhysicalStateful Inspection的特點Good SecurityFull Application-layer awarenessHigh PerformanceScalabilityExtensibleTransparencyApplicationPresentationSessionTransportNetworkData L

14、inkPhysical防火墻功能訪問控制功能NAT功能PAT功能流量管理功能地址綁定雙機熱備和負載均衡支持入侵檢測支持動態(tài)路由支持身份認證等等動態(tài)防火墻安全模型Policy網(wǎng)絡(luò)訪問控制策略的制訂Protection傳統(tǒng)防火墻，可以定義防火墻允許流過的服務(wù)數(shù)據(jù)，定義基本的訪問控制限制Detection 實時入侵檢測系統(tǒng)，可以動態(tài)地發(fā)現(xiàn)那些透過防火墻的入侵行為Response根據(jù)發(fā)現(xiàn)的安全問題，在統(tǒng)一策略的指導(dǎo)下，動態(tài)地調(diào)整防火墻動態(tài)防火墻安全模型示例Host C 入侵檢測 控制臺 Host B Host A 受保護網(wǎng)絡(luò)IDS主機黑客發(fā)起攻擊驗證報文并采取措施識別出攻擊行為阻斷連接或者報警等Pro

15、tectionDetectionResponsePolicyInternetInternet返回Intranet 省局各地市局各電廠移動辦公用戶防火墻配置方案入侵檢測技術(shù) Intrusion Detection System入侵的定義 破壞系統(tǒng)資源可用性、完整性和保密性的行為入侵檢測系統(tǒng)的定義 檢測侵入系統(tǒng)或非法使用系統(tǒng)資源行為的系統(tǒng)機理：基于某種策略或規(guī)則 推理的方法 知識庫方法 模式匹配方法 自學習的方法響應(yīng)機制：日志、報警、通訊阻斷、事后審計 IDS 的 分 類按數(shù)據(jù)源：基于主機IDS：數(shù)據(jù)源來自單個主機-文件系統(tǒng)、帳戶系統(tǒng)、進程分析分布式IDS：多主機系統(tǒng)基于網(wǎng)絡(luò)IDS：網(wǎng)絡(luò)數(shù)據(jù)-數(shù)據(jù)

16、包分析和嗅探器技術(shù)按數(shù)據(jù)處理方式： 單包分析 與 上下文分析按模型：異常（anomaly)檢測模型-偏離正常的行為檢測違規(guī) (misuse)檢測模型-具有入侵特征或利用系統(tǒng)漏洞的行為檢測IDS 具備的攻擊檢測能力按服務(wù)劃分監(jiān)視E-Mail攻擊監(jiān)視Web攻擊監(jiān)視遠程過程攻擊監(jiān)視NFS攻擊監(jiān)視FTP攻擊監(jiān)視Telnet攻擊監(jiān)視非授權(quán)網(wǎng)絡(luò)傳輸按技術(shù)途徑劃分監(jiān)視口令攻擊監(jiān)視掃描攻擊監(jiān)視特洛伊攻擊監(jiān)視拒絕服務(wù)攻擊監(jiān)視防火墻攻擊監(jiān)視daemon攻擊監(jiān)視非授權(quán)網(wǎng)絡(luò)訪問網(wǎng)絡(luò)入侵檢測示意圖VPN概述 什么是VPN VPN，英文全稱是virtual Private Network，中文名稱一般稱為虛擬專用網(wǎng)或虛擬

17、私有網(wǎng)。它指的是以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡(luò)流量來保護在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(Private Network)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。VPN功能數(shù)據(jù)機密性保護數(shù)據(jù)完整性保護數(shù)據(jù)源身份鑒別數(shù)字簽名數(shù)據(jù)機密性保護撥號服務(wù)器PSTN Internet 區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線SSN區(qū)域WWW Mail DNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)完整性保護內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線

18、原始數(shù)據(jù)包對原始數(shù)據(jù)包進行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進行比較，驗證數(shù)據(jù)的完整性內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對方驗證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗證通過數(shù)據(jù)源身份認證VPN概述 VPN的應(yīng)用示意圖 VPN網(wǎng)關(guān)Internet

19、路由器路由器VPN網(wǎng)關(guān)受保護子網(wǎng)受保護子網(wǎng)Windows客戶端控制中心VPN移動客戶VPN的組成VPN網(wǎng)關(guān)VPN客戶端軟件集中管理軟件或控制中心網(wǎng)絡(luò)設(shè)備的安全性增強從全網(wǎng)角度考慮，在保證全網(wǎng)路由暢通的基礎(chǔ)之上，通過安全配置路由器、交換機等網(wǎng)絡(luò)設(shè)備改進整個網(wǎng)絡(luò)的安全性。 以路由器為例說明Global服務(wù)配置-通過考察骨干節(jié)點上的骨干路由器配置情況，結(jié)合實際需求，打開某些必要的服務(wù)或是關(guān)閉一些不必要的服務(wù)。例如：no service fingerno service pad等Interface服務(wù)配置-根據(jù)制定好的基本配置方案對路由器進行配置檢查，刪去某些不必要ip特性，諸如：no ip redi

20、rectsno ip drected-broadcastCDP配置根據(jù)ISP網(wǎng)絡(luò)的特點，以及制定好的方案，配置路由器的CDP。Login Banner配置修改login banner，隱藏路由器系統(tǒng)真實信息。Enable secret配置使用enable secret來加密secret口令。等等系統(tǒng)層的安全技術(shù)操作系統(tǒng)的安全性增強技術(shù)數(shù)據(jù)庫系統(tǒng)的安全性增強技術(shù)基于主機的入侵檢測技術(shù)漏洞掃描技術(shù)（針對操作系統(tǒng)和數(shù)據(jù)庫）基于主機的入侵檢測基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查、非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視，如Web服務(wù)器應(yīng)用。主機入侵檢測基于

21、這樣一個原理：計算機系統(tǒng)上的攻擊和正常的系統(tǒng)活動有著顯著的不同。一個系統(tǒng)入侵者所表現(xiàn)出的行為模式不同于合法用戶的正常行為。入侵檢測的工作就是通過分析現(xiàn)有系統(tǒng)提供的眾多信息來檢測那些異常模式?；谥鳈C的入侵檢測示意圖漏洞掃描技術(shù)從原理上講，網(wǎng)絡(luò)漏洞檢測就是模擬攻擊者的角度、攻擊的方法和手段并結(jié)合漏洞知識庫進行掃描和檢測，也就是說網(wǎng)絡(luò)漏洞檢測是通過掃描工具發(fā)出模擬攻擊檢測包，然后偵聽檢測目標響應(yīng)來收集信息和判斷網(wǎng)絡(luò)中是否存在漏洞。檢測范圍包括所有的網(wǎng)絡(luò)系統(tǒng)設(shè)備：服務(wù)器、防火墻、交換機、路由器等網(wǎng)絡(luò)中所有設(shè)備及主機。漏洞掃描示意圖漏洞掃描產(chǎn)品的功能對所有網(wǎng)絡(luò)中的附屬設(shè)備進行掃描，檢查來自通訊、服務(wù)、

22、防火墻、WEB應(yīng)用等的漏洞；其掃描對網(wǎng)絡(luò)不會做任何修改和造成任何危害；生成針對企業(yè)決策人、部門管理人員以及技術(shù)人員等不同管理對象的報告，報告中詳細說明了每個漏洞的危害及補救辦法；網(wǎng)絡(luò)的漏洞掃描可以按安全級別實施，評估安全級別越高，達到的安全程度越高。應(yīng)用層安全技術(shù)身份認證技術(shù)防病毒技術(shù)應(yīng)用服務(wù)器的安全增強技術(shù)PKI的引入PKI組成框圖PKI應(yīng)用證書機構(gòu)CA注冊機構(gòu)RA證書發(fā)布系統(tǒng)PKI策略軟硬件系統(tǒng)基礎(chǔ)服務(wù)實體典型CA框架圖一個典型的CA系統(tǒng)包括安全服務(wù)器、注冊機構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫服務(wù)器等。 CA系統(tǒng)構(gòu)成CAServer認證中心CA本地數(shù)據(jù)庫服務(wù)器CA證書庫（目錄服

23、務(wù)器）（可選件）RAServer注冊中心（可選件）RA本地數(shù)據(jù)庫服務(wù)器LRA（Local RA）注冊終端（可選件）CATerminal個人管理器（可選件） CABrowser公眾申請/下載服務(wù)器（可選件）CA主要功能根CA管理證書管理密鑰管理CRL管理目錄管理審計管理 證書的申請、簽發(fā)流程HOMERA/CAAdmin新用戶目錄服務(wù)器CA身份證明策略規(guī)定的方法用戶申請創(chuàng)建用戶DNLDAP參考號授權(quán)碼參考號和授權(quán)碼證書下載流程最終用戶CAAdminCALDAP填寫得到的Ref#和AuthCode并通過驗證用戶本地產(chǎn)生密鑰對用戶將公鑰傳送給CACA簽證將用戶證書發(fā)布到目錄服務(wù)器CA下傳用戶證書和根CA證書HOMECATerminalCABrowser防病毒產(chǎn)品組成網(wǎng)關(guān)防毒FTP/HTTP/SMTP服務(wù)器防病毒郵件或群件防毒EXCHANGESendmailLotus Notes客戶機防病毒病毒控制中心互聯(lián)網(wǎng)proxyftp serverwww serverMail server病毒控制中心防火墻防毒產(chǎn)品構(gòu)架服務(wù)器防毒：ServerProtect Information Server服務(wù)器防毒：ServerProtectNormal Server 群件防