網(wǎng)絡(luò)系統(tǒng)安全基礎(chǔ)體系技術(shù)產(chǎn)品課件

1、網(wǎng)絡(luò)系統(tǒng)安全基礎(chǔ)2003年10月 體系/技術(shù)/產(chǎn)品主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)什么是安全？Security is the reduction of risk安全就是降低風(fēng)險(xiǎn)，并使之達(dá)到“可接受”的程度安全策略安全管理安全評估整體安全技術(shù)因素全面服務(wù)保證網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)安全物理安全操作系統(tǒng)平臺的安全性應(yīng)用平臺的安全性應(yīng)用 數(shù)據(jù)安全 信息安全體系的構(gòu)成 傳統(tǒng)網(wǎng)絡(luò)安全防御體系動(dòng)態(tài)防御體系在防護(hù)檢測響應(yīng) (PDR) 模型基礎(chǔ)上的動(dòng)態(tài)防御體系, 因?yàn)槠鋬?yōu)異的

2、自適應(yīng)、 自控制、 自反饋特性, 已經(jīng)在國際上得到了廣泛的接受和采納. 安全的系統(tǒng)應(yīng)當(dāng)滿足P(t)防護(hù)時(shí)間D(t)檢測時(shí)間+ R(t)響應(yīng)時(shí)間防護(hù)的成本取決于風(fēng)險(xiǎn)導(dǎo)致的損失風(fēng)險(xiǎn)的大小和時(shí)間高度正相關(guān)防御體系的建立必須圍繞實(shí)時(shí)性和應(yīng)急機(jī)制來充分提高其性能價(jià)格比 PDR安全實(shí)用性模型動(dòng)態(tài)防御體系新型安全體系主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)安全解決方案模型安全策略安全組織管理安全運(yùn)作管理安全技術(shù)框架訪問控制內(nèi)容安全審計(jì)響應(yīng)冗余恢復(fù)鑒別認(rèn)證網(wǎng)絡(luò)安全協(xié)議/功能模型 體系與技術(shù)的對應(yīng)關(guān)系防護(hù)的主要技術(shù)訪問控制:ACL,VLAN,防火墻加密機(jī),VPN認(rèn)

3、證,CA檢測的主要技術(shù)入侵檢測系統(tǒng)漏洞掃描系統(tǒng)病毒防護(hù)響應(yīng)的主要技術(shù)報(bào)警、記錄、阻斷、聯(lián)動(dòng)、反擊PDR主要技術(shù)靜態(tài)與動(dòng)態(tài)安全技術(shù)靜態(tài)防護(hù)：被動(dòng)的，滯后的防御動(dòng)態(tài)防護(hù)：主動(dòng)的、實(shí)時(shí)的防御綜合防御防火墻及相關(guān)網(wǎng)絡(luò)防護(hù)體系第一道防線，阻止入侵入侵監(jiān)測第二道防線，發(fā)現(xiàn)入侵攻擊反應(yīng)第三道防線，打不跨自動(dòng)恢復(fù)第四道防線，起死回生安全解決方案防病毒制訂最高安全方針落實(shí)項(xiàng)目的安全審核工作明確安全領(lǐng)導(dǎo)小組工作職責(zé)策略的有效發(fā)布和執(zhí)行策略體系開發(fā)和建立安全培訓(xùn)與資質(zhì)認(rèn)證落實(shí)安全責(zé)任文件安全組織建設(shè)資產(chǎn)鑒別和分類項(xiàng)目制訂全員網(wǎng)絡(luò)安全教育計(jì)劃第三方安全管理策略的定期審查和修訂BS7799認(rèn)證項(xiàng)目網(wǎng)絡(luò)安全域隔離和劃分統(tǒng)

4、一時(shí)鐘服務(wù)防火墻和網(wǎng)絡(luò)隔離緊急響應(yīng)體系動(dòng)態(tài)口令系統(tǒng)入侵監(jiān)測系統(tǒng)主機(jī)安全業(yè)務(wù)連續(xù)性管理聘請專業(yè)公司或者專家作為顧問周期性風(fēng)險(xiǎn)評估服務(wù)項(xiàng)目日志監(jiān)控系統(tǒng)冗余、備份和恢復(fù)可信信道數(shù)據(jù)源鑒別網(wǎng)絡(luò)設(shè)備安全安全管理中心和網(wǎng)絡(luò)安全平臺PKI體系可行性分析基礎(chǔ)項(xiàng)目優(yōu)先項(xiàng)目非優(yōu)先項(xiàng)目長期項(xiàng)目技術(shù)類項(xiàng)目管理類項(xiàng)目表示支持或支撐作用IT安全框架資產(chǎn)威脅防護(hù)措施策略框架組織框架運(yùn)作框架技術(shù)框架鑒別和認(rèn)證I&A訪問和控制AC審計(jì)跟蹤AT恢復(fù)和冗余R&R內(nèi)容安全CS體系到解決方案風(fēng)險(xiǎn)評估服務(wù)顧問服務(wù)顧問服務(wù)CA/RSA基于系統(tǒng)AC功能漏洞掃描IDS網(wǎng)絡(luò)架構(gòu)安全分析網(wǎng)絡(luò)架構(gòu)安全分析防火墻系統(tǒng)冗余設(shè)計(jì)防病毒安全管理平臺加密/完

5、整檢查主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)防火墻功能 防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的硬件或軟件。所有流入流出的網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。為什么要使用防火墻 ？ 防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)?？蓪⒎阑饓ε渲贸稍S多不同保護(hù)級別。高級別的保護(hù)可以禁止一些服務(wù)，如視頻流，Java，ActiveX，JavaScript腳本等 有時(shí)需要將內(nèi)部網(wǎng)絡(luò)劃分為多個(gè)網(wǎng)段，為不同的部門設(shè)置不同的訪問級別防火墻五大基本功能 過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，是網(wǎng)絡(luò)安全的屏障 管理進(jìn)、出網(wǎng)絡(luò)的訪問行為，防止內(nèi)部信息

6、的外泄封堵某些禁止的業(yè)務(wù)，對網(wǎng)絡(luò)存取和訪問進(jìn)行控制 記錄通過防火墻的信息內(nèi)容和活動(dòng)對網(wǎng)絡(luò)攻擊的檢測和告警，強(qiáng)化網(wǎng)絡(luò)安全策略 防火墻的分類按邏輯功能包過濾式防火墻：天融信，聯(lián)想應(yīng)用代理式防火墻：TIS狀態(tài)檢測防火墻 按體系結(jié)構(gòu)硬件防火墻：Netscreen,Nokia,Cisco Pix軟件防火墻：Checkpoint, ISA Server軟硬結(jié)合 按操作模式網(wǎng)橋模式路由模式NAT按性能百兆千兆按部署方式邊界(企業(yè))防火墻個(gè)人（主機(jī)）防火墻防火墻中的主要技術(shù)封包過濾（Packet ）狀態(tài)檢測（Stateful inspection）網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（Network Address Trans

7、form）代理技術(shù)（Proxy）封包過濾封包過濾（Packet ）：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。狀態(tài)檢測狀態(tài)檢測（Stateful inspection）：其工作原理是檢測每一個(gè)有效連接的狀態(tài)，并根據(jù)這些狀態(tài)信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時(shí)刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，以達(dá)到提高效率、保護(hù)網(wǎng)絡(luò)安全的目的。 狀態(tài)檢測將數(shù)據(jù)包

8、分成4種連接狀態(tài)：New,Established，Related，Invalid 使用NAT的原因解決IP地址空間緊張的問題共享 modem 撥號上網(wǎng) 多重服務(wù)器 （負(fù)載分擔(dān)load-sharing）代理技術(shù)代理技術(shù)（Proxy）： 也叫應(yīng)用網(wǎng)關(guān)（Application Gateway）,作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)(如http,)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。防火墻典型部署防火墻代理式防火墻部署示意圖主要防火墻品牌中網(wǎng)川大能士方正數(shù)碼海信數(shù)碼華堂華依科技聯(lián)想龍馬衛(wèi)士通三星防火墻四川邁普億陽信通中

9、軟華泰中網(wǎng)通訊天融信東軟青鳥環(huán)宇交大捷普重慶銀都天網(wǎng)清華得實(shí)中科安勝華為廣州科達(dá)廣東海微CheckPointNetscreenCiscoNokia三星如何選擇防火墻？主要指標(biāo)設(shè)計(jì)性能（M）：10/100M，1000M最大并發(fā)連接數(shù)（萬）接口類型、接口數(shù)操作系統(tǒng)類型MTBF (平均無故障時(shí)間/小時(shí))策略規(guī)則許可值設(shè)計(jì)性能策略數(shù) 管理方式是否支持與IDS聯(lián)動(dòng)是否支持VPN、是否支持SNMP是否支持雙機(jī)熱備、負(fù)載均衡防火墻性能指標(biāo)吞吐率 千兆防火墻產(chǎn)品比較百兆防火墻產(chǎn)品比較東軟NetEye與PIX比較使用防火墻是否足夠？防火墻屬于靜態(tài)防護(hù)防火墻難于防內(nèi)防火墻難于管理和配置，易造成安全漏洞 防火墻的安

10、全控制主要是基于IP地址的，難于為用戶在防火墻內(nèi)提供一致的安全策略防火墻只實(shí)現(xiàn)了粗粒度的訪問控制，且不能與企業(yè)內(nèi)部使用的其它安全機(jī)制（如訪問控制）集成使用任何一個(gè)系統(tǒng)（尤其是底層系統(tǒng)和應(yīng)用系統(tǒng)）中可能存在著安全漏洞，造成繞過防火墻的攻擊 穿透防火墻的攻擊Unicode%255c策略80 端口 允許Unicode: %255c繞過防火墻的攻擊撥號上網(wǎng)遭受攻擊來自防火墻內(nèi)部的攻擊針對防火墻的攻擊DOS攻擊Fire Walk主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)理解入侵檢測系統(tǒng)(IDS)監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎Card Key

11、IDS的主要功能監(jiān)視分析用戶和系統(tǒng)的行為 審計(jì)系統(tǒng)配置和漏洞評估敏感系統(tǒng)和數(shù)據(jù)的完整性識別攻擊行為并告警對異常行為進(jìn)行統(tǒng)計(jì)審計(jì)、跟蹤、識別違反安全法規(guī)的行為 IDS的分類基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：偵測速度快，隱蔽性好，視野更寬，較少的監(jiān)測點(diǎn)，攻擊者不易轉(zhuǎn)移證據(jù) ，操作系統(tǒng)無關(guān)性，占用資源少 基于主機(jī)的入侵檢測系統(tǒng)：性能價(jià)格比高，更加細(xì)膩，視野集中，易于用戶剪裁，節(jié)省資源，對網(wǎng)絡(luò)流量不敏感，適用于被加密的以及交換的環(huán)境，含有已發(fā)生事件信息，易于確定攻擊是否成功IDS工作過程網(wǎng)絡(luò)數(shù)據(jù)包的獲取DMA技術(shù)網(wǎng)絡(luò)數(shù)據(jù)包的解碼協(xié)議分析網(wǎng)絡(luò)數(shù)據(jù)包的檢查模式匹配網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)異常檢測網(wǎng)絡(luò)數(shù)據(jù)包的審查事件生成ID

12、S新的特性人機(jī)界面：“GIS”顯示與IP定位IDS新的特性人機(jī)界面：拓?fù)浒l(fā)現(xiàn)攻 擊 類 型雙擊目標(biāo)查看詳細(xì)信息外 部 IP 地 址目標(biāo)節(jié)點(diǎn)用可視化的方式顯示當(dāng)前安全狀態(tài)用不同的顏色和形狀表示關(guān)鍵點(diǎn)。（如外部IP）IDS新的特性人機(jī)界面：攻擊活動(dòng)顯示 IDS新的特性全局的技術(shù)管理化建立全局預(yù)警體系，做到一點(diǎn)發(fā)現(xiàn)，全網(wǎng)皆知并及時(shí)響應(yīng)IDS（主控）IDS（子控）IDS（子控）重慶大連西安上海北京攻擊報(bào)警預(yù)警預(yù)警預(yù)警IDS的作用IDS的功能實(shí)質(zhì)全面實(shí)時(shí)了解網(wǎng)絡(luò)動(dòng)態(tài)現(xiàn)狀（而不是僅僅發(fā)現(xiàn)黑客的攻擊）大規(guī)模部署和多級管理的統(tǒng)一監(jiān)控和全局預(yù)警能力對網(wǎng)絡(luò)行為進(jìn)行分析綜合和預(yù)測在第一時(shí)間對網(wǎng)絡(luò)中的危害做出反應(yīng)終止

13、危害,防止損失擴(kuò)大使系統(tǒng)恢復(fù)到正常的工作狀態(tài)保存攻擊證據(jù)分析入侵行為追究攻擊來源IDS的作用對建設(shè)單位提升安全理念系統(tǒng)的安全認(rèn)識全面的安全布局深入挖掘自身安全需求，增強(qiáng)投資意識量化安全投入，有效投入增強(qiáng)自身的免疫力便于及時(shí)在日常中發(fā)現(xiàn)薄弱環(huán)節(jié)，可以采用多方面的措施加強(qiáng)安全；降低風(fēng)險(xiǎn)及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，快速定位問題IDS的作用對建設(shè)單位減少損失出現(xiàn)突發(fā)事件時(shí)，可以做到全局預(yù)警，迅速定位，采取措施，使網(wǎng)絡(luò)整體的損失降到最低對于已知事件，能夠快速響應(yīng)，對于未知事件，進(jìn)行高質(zhì)量的防護(hù)帶來技術(shù)與管理的高度統(tǒng)一安全是人操作技術(shù)，安全不僅僅是產(chǎn)品的投入，應(yīng)該還有流程、制度IDS的作用對主管領(lǐng)導(dǎo)第一時(shí)間了解網(wǎng)絡(luò)的安

14、全形勢把握安全趨勢明確安全責(zé)任IDS的作用對一線技術(shù)人員及時(shí)發(fā)現(xiàn)安全事件快速定位安全問題更好地利用網(wǎng)絡(luò)安全設(shè)備IDS的放置方式IDS檢測器放在防火墻之外 IDS檢測器放在防火墻之內(nèi)防火墻內(nèi)外都有IDS檢測器 IDS部署示例MAIL虛擬映射DMZ區(qū)防火墻內(nèi)網(wǎng)防火墻外網(wǎng)InternetMAIL服務(wù)器DNS服務(wù)器PROXY服務(wù)器路由器IDS控制中心網(wǎng)絡(luò)安全控制平臺IDS探測引擎分布式入侵檢測系統(tǒng)Internet內(nèi)網(wǎng)DMZ區(qū)域MAIL服務(wù)器IDS控制中心主機(jī)入侵檢測WIN平臺Solaris平臺SQL Server網(wǎng)絡(luò)入侵檢測主要IDS品牌啟明星辰(天闐)中聯(lián)綠盟(冰之眼) 金諾中科網(wǎng)威(天眼 )北方計(jì)

15、算中心NISDetector 安氏ISS(RealSecure )NFR主流IDS產(chǎn)品及指標(biāo)應(yīng)急響應(yīng)目標(biāo)終止危害防止損失擴(kuò)大使系統(tǒng)恢復(fù)到正常的工作狀態(tài)保存攻擊證據(jù)分析入侵行為追究攻擊來源應(yīng)急響應(yīng)日常安全服務(wù)安全監(jiān)控服務(wù)安全通告服務(wù)日志分析服務(wù)系統(tǒng)評估服務(wù)邊界設(shè)備優(yōu)化服務(wù)系統(tǒng)加固服務(wù)應(yīng)急響應(yīng)流程（1）重大的安全事件影響骨干網(wǎng)的正常運(yùn)轉(zhuǎn)的安全事件對眾多的桌面系統(tǒng)有危害的安全事件需要在入侵檢測系統(tǒng)上進(jìn)行監(jiān)控的事件有可能大規(guī)模爆發(fā)的網(wǎng)絡(luò)病毒，如sql server蠕蟲、弱口令蠕蟲、codered F等協(xié)調(diào)組成員總協(xié)調(diào)人：副總協(xié)調(diào)組成員：相關(guān)安全/技術(shù)負(fù)責(zé)人接收初步資料作為應(yīng)急響應(yīng)的統(tǒng)一入口，總協(xié)調(diào)人接

16、收安全事件的初步資料，包括來源、性質(zhì)、大概情況等。并根據(jù)情況，通知協(xié)調(diào)組成員，做好應(yīng)急準(zhǔn)備。應(yīng)急響應(yīng)流程（2）查明原因及找出事件特征,在入侵檢測系統(tǒng)找采樣點(diǎn)進(jìn)行采樣根據(jù)接到的資料，在網(wǎng)絡(luò)或現(xiàn)場查明原因，進(jìn)行詳細(xì)分析，總結(jié)出事件特征，派人到入侵檢測系統(tǒng)的維護(hù)現(xiàn)場，在采樣點(diǎn)進(jìn)行數(shù)據(jù)采樣，并將采樣情況及時(shí)匯報(bào)給總協(xié)調(diào)人。啟動(dòng)緊急信息快遞，及時(shí)將情況通報(bào)給相關(guān)客戶，做好準(zhǔn)備工作。確定是否為大規(guī)模安全事件總協(xié)調(diào)人根據(jù)采樣數(shù)據(jù)和其它渠道的信息，與安全管理中心的人員一起確定是否為大規(guī)模安全事件。入侵檢測系統(tǒng)全面監(jiān)控利用入侵檢測系統(tǒng)，對該事件進(jìn)行全面監(jiān)控，并按時(shí)提供多種分析報(bào)告。應(yīng)急響應(yīng)流程（3）數(shù)據(jù)驗(yàn)證如果

17、從入侵檢測系統(tǒng)上得到的數(shù)據(jù)需要驗(yàn)證， 進(jìn)行驗(yàn)證后，提供給入侵檢測系統(tǒng)維護(hù)人員， 整理后再提供給安全管理中心應(yīng)急響應(yīng)流程（4）提供該事件的公告原稿提供該事件的公告原稿給總協(xié)調(diào)人。應(yīng)急響應(yīng)流程（5）審核公告原稿審核通過后，總協(xié)調(diào)人通知應(yīng)急響應(yīng)小組將修改后的稿件，發(fā)布到應(yīng)急響應(yīng)網(wǎng)站。應(yīng)急響應(yīng)流程（6）事件庫升級或程序升級,發(fā)布到公司網(wǎng)站根據(jù)事件情況修改入侵檢測事件庫，發(fā)布到網(wǎng)站緊急信息快遞通知本流程中,共有2次緊急信息快遞:第一次是在安全事件查明原因時(shí),及時(shí)通知相關(guān)客戶知道有安全事件,并做好準(zhǔn)備;第二次是事件庫或程序發(fā)布到網(wǎng)站后,通知客戶具體的解決措施.及時(shí)跟蹤并解決客戶在整個(gè)過程所遇到的問題。應(yīng)急

18、響應(yīng)流程（7）應(yīng)急響應(yīng)示例主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)病毒的新特點(diǎn)隱藏型病毒自加密、多形態(tài)及變異病毒反向病毒郵件型病毒JAVA和ActiveX病毒智能化病毒形式多樣化傳播方式多樣化專用病毒生成工具病毒的分類方法無害型:傳染時(shí)減少磁盤的可用空間外，對系統(tǒng)沒有其他影響 無危險(xiǎn)型:減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響 危險(xiǎn)型:在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤 非常危險(xiǎn)型:刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息 按傳染方式則可分為：引導(dǎo)型病毒、文件型病毒和混合型病毒 病毒制造方法自動(dòng)化VCS（改文字）, VCL（Buggy

19、）組織化ARCV小組(VCL、PS-MPCs）公開化產(chǎn)生成千上萬的病毒病毒技術(shù)特性智能性躲避/攻擊防病毒系統(tǒng)Tequila to ViruScanPeach to Central Point多態(tài)性加密、變換、插入V2Px,MtE-,TPE-類型多級反病毒防御 病毒表現(xiàn)形式無固定端口，無更多連接遠(yuǎn)程控制掃描+攻擊反向連接可放置在所有網(wǎng)絡(luò)層ICMP, IP, TCP, UDP, HTTP, SMTP, DNS . 難于檢測 Secure Communication(Crypto), Covert Channels Kernel Backdoor防病毒產(chǎn)品類型網(wǎng)關(guān)防病毒群件(郵件)防病毒服務(wù)器防病毒

20、客戶機(jī)防病毒防病毒產(chǎn)品部署郵件防病毒MailDNSIntranetMailMailDNSDNSIntranetIntranet防病毒產(chǎn)品主要廠商N(yùn)AI(McAfee)賽門鐵克Norton趨勢Trend熊貓PandaF-secureNokia瑞星金山毒霸冠群金辰(Kill)啟明星辰(天恒安防)江民（KV）主流防毒產(chǎn)品及指標(biāo)TrendMicroNorton McAfee AVP 升級頻率每周三 每周五 一周一次 每天兩次 自動(dòng)更新病毒碼、掃描引擎 yesyesyesyes客戶端-服務(wù)器端數(shù)據(jù)流量 通訊時(shí)幾K，增量更新時(shí)200K以上 3M通訊時(shí)9K左右，增量更新時(shí)20K-50K，分發(fā)策略時(shí)100K通

21、訊時(shí)1k，增量更新時(shí)3-20K 目前可知清毒數(shù)目50000余種 71,000 72,618以上 清毒方式忽略，刪除，重命名，隔離，清除 刪除，清除，忽略，隔離詢問、刪除、通過、隔離、清除 詢問、刪除，重命名，清除，記錄到日志，忽略，隔離 CPU利用率yes（10%-100%） yes（高、中、低） 主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)為什么要進(jìn)行安全評估？風(fēng)險(xiǎn)= X 風(fēng)險(xiǎn)X資產(chǎn)價(jià)值 脆弱性威脅 損失=應(yīng)急響應(yīng)能力安全評估的內(nèi)容網(wǎng)絡(luò)風(fēng)險(xiǎn)主機(jī)風(fēng)險(xiǎn)應(yīng)用風(fēng)險(xiǎn)安全控制系統(tǒng)可用性管理風(fēng)險(xiǎn)安全評估的內(nèi)容目前的系統(tǒng)和安全輪廓（Control）描述系統(tǒng)的理想狀

22、況（target）希望改進(jìn)的方面（hope）安全評估的內(nèi)容定義系統(tǒng)安全等級和重要性對各等級系統(tǒng)的安全現(xiàn)狀進(jìn)行描述制定整體架構(gòu)和理想目標(biāo)制定可行性策略和改進(jìn)計(jì)劃描述系統(tǒng)的漏洞描述系統(tǒng)的事件發(fā)現(xiàn)事件的方式是否充分業(yè)務(wù)流程資產(chǎn)分類弱點(diǎn)分析威脅分析網(wǎng)絡(luò)架構(gòu)分析業(yè)務(wù)流程分析現(xiàn)有安全措施風(fēng)險(xiǎn)分析安全措施建議安全評估方法工作形式文檔評估顧問訪談系統(tǒng)工具評估系統(tǒng)人工評估白客測試工作對象策略管理體系組織系統(tǒng)網(wǎng)絡(luò)主機(jī)通用應(yīng)用業(yè)務(wù)應(yīng)用漏洞掃描系統(tǒng)Internetworkstation評估工具：漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)檢查的內(nèi)容Web服務(wù)FTP服務(wù)RPC攻擊NetBios類GGI-BIN特定的強(qiáng)力攻擊NFS/X wi

23、ndows攻擊類共享/DCOM類電子郵件類安全區(qū)檢測SMTP類SNMP類后門檢查類拒絕服務(wù)攻擊檢測瀏覽器類守護(hù)進(jìn)程類NT組/NT網(wǎng)絡(luò)類NT服務(wù)類關(guān)鍵的NT問題NT 用戶策略NT注冊表NT口令類DNSNIS緩沖區(qū)溢出主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)為什么要進(jìn)行網(wǎng)絡(luò)審計(jì)？我們的網(wǎng)絡(luò)中到底發(fā)生了什么如何進(jìn)行事后的追蹤如何對網(wǎng)絡(luò)進(jìn)行有效的監(jiān)控如何改進(jìn)網(wǎng)絡(luò)的安全策略網(wǎng)絡(luò)審計(jì)的主要內(nèi)容網(wǎng)絡(luò)連接審計(jì)協(xié)議審計(jì)端口審計(jì) 撥號連接審計(jì) 個(gè)人帳戶審計(jì) 文件訪問審計(jì) 數(shù)據(jù)審計(jì) 流量統(tǒng)計(jì)審計(jì) 數(shù)據(jù)庫審計(jì) WEB服務(wù)器審計(jì) 安全事件再現(xiàn)審計(jì)鍵盤審計(jì) 屏幕審計(jì) 系統(tǒng)統(tǒng)

24、計(jì)分析 審計(jì)產(chǎn)品部署示例審計(jì)引擎主要網(wǎng)絡(luò)審計(jì)產(chǎn)品廠商啟明星辰復(fù)旦光華成都大東網(wǎng)安漢邦軟科 審計(jì)產(chǎn)品比較主要內(nèi)容體系技術(shù)產(chǎn)品防火墻入侵檢測與應(yīng)急響應(yīng)網(wǎng)絡(luò)防病毒安全評估與漏洞掃描網(wǎng)絡(luò)審計(jì)CA系統(tǒng)網(wǎng)絡(luò)中如何識別身份？ 什么是 PKI？PKI，Public Key Infrastructure.PKI正在快速地演進(jìn)中，從不同的角度出發(fā)，有不同的定義.PKI是一個(gè)用公鑰概念和技術(shù)來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施.PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學(xué)的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和.PKI的組成 PKI基礎(chǔ)公鑰密鑰學(xué)(Public Key Cryptogra

25、phy)公鑰密碼學(xué)解決的核心問題是密鑰分發(fā).目錄服務(wù)(Directory Services)目錄服務(wù)的目的是建立全局/局部統(tǒng)一的命令方案.數(shù)字證書(Digital Certificate)密碼學(xué)與信息安全信息的私密性(Privacy)對稱加密信息的完整性(Integrity)數(shù)字簽名信息的源發(fā)鑒別(Authentication)數(shù)字簽名信息的防抵賴性(Non-Reputation)數(shù)字簽名時(shí)間戳單密鑰加密體制雙密鑰加密體制證書存放于什么介質(zhì)？硬盤：不安全軟盤：易損壞IC卡：需要讀卡器USBKey：成本低CUP卡：成本高X.509證書應(yīng)用領(lǐng)域SSL：建立SSL/TLS連接時(shí)的雙向身份認(rèn)證 S/MIME：實(shí)現(xiàn)S/MIME協(xié)議下的郵件簽名和加密 IPSec:建立VPN連接時(shí)完成基于證書的身份認(rèn)證 SET：電子商務(wù)協(xié)議建立Kerberos連接時(shí)，完成基于證書的身份認(rèn)證 CA結(jié)構(gòu)示意圖國內(nèi)主要的CA廠商吉大正元JIT-CA 格爾CA中國電信CTCA 中國金融認(rèn)證中心CFCA上