網(wǎng)絡(luò)管理員培訓(xùn)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)管理員培訓(xùn)網(wǎng)絡(luò)安全第1頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全已成為網(wǎng)絡(luò)發(fā)展中一個(gè)重要課題。由于網(wǎng)絡(luò)傳播信息快捷，隱蔽性強(qiáng)，在網(wǎng)絡(luò)上難以識(shí)別用戶(hù)的真實(shí)身份，網(wǎng)絡(luò)犯罪、黑客攻擊、有害信息傳播等方面的問(wèn)題日趨嚴(yán)重。網(wǎng)絡(luò)安全的產(chǎn)生和發(fā)展，標(biāo)志著傳統(tǒng)的通信保密時(shí)代過(guò)渡到了信息安全時(shí)代。第2頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月一、網(wǎng)絡(luò)安全的基本概念

1、網(wǎng)絡(luò)安全的基本要素

機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。

完整性：只有得到允許的人才能修改數(shù)據(jù)，且能判斷出數(shù)據(jù)是否被篡改。

可用性：得到授權(quán)的實(shí)體在需要是可訪(fǎng)問(wèn)數(shù)據(jù)。

可控性：可控制授權(quán)范圍內(nèi)的信息流向及行為方式。

可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。第3頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

２、網(wǎng)絡(luò)安全威脅非授權(quán)訪(fǎng)問(wèn)信息泄露和丟失破壞數(shù)據(jù)的完整性拒絕服務(wù)攻擊(DoS)利用網(wǎng)絡(luò)傳播病毒第4頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

3、網(wǎng)絡(luò)安全控制技術(shù)

防火墻技術(shù)機(jī)密技術(shù)用戶(hù)識(shí)別技術(shù)訪(fǎng)問(wèn)控制技術(shù)網(wǎng)絡(luò)反病毒技術(shù)漏洞掃描技術(shù)入侵檢測(cè)技術(shù)

第5頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月二、可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)

產(chǎn)生問(wèn)題：我們所建立的、管理的、使用的網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)是否是安全的？怎么樣來(lái)評(píng)估系統(tǒng)的安全性？

第6頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

1、計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則綜述

1983年，美國(guó)國(guó)家計(jì)算機(jī)安全中心（NCSC）公布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC，俗稱(chēng)桔皮書(shū)）

90年代西歐四國(guó)（英、法、德、荷）聯(lián)合提出了信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ITSEC，又稱(chēng)歐洲白皮書(shū)）

1993年，加拿大發(fā)布了“加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則”（CTCPEC）1993年同期，美國(guó)發(fā)布了“信息技術(shù)安全評(píng)估聯(lián)邦準(zhǔn)則”（FC）

1996年，6國(guó)7方提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則”（CC）

1995年5月，ISO/IEC通過(guò)了將CC作為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408信息技術(shù)安全評(píng)估準(zhǔn)則的最后文本第7頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

2、可信計(jì)算機(jī)安全評(píng)估準(zhǔn)則（TCSEC）TCSEC將計(jì)算機(jī)系統(tǒng)的安全等級(jí)、7個(gè)級(jí)別

D類(lèi)安全等級(jí)：包括D1一個(gè)級(jí)別

C類(lèi)安全等級(jí)：劃分為C1和C2兩類(lèi)B類(lèi)安全等級(jí)：分為B1、B2、B3三類(lèi)A類(lèi)安全等級(jí)：只包含A1一個(gè)級(jí)別D1、C1、C2、B1、B2、B3、A1安全級(jí)別低高第8頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

3、我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則1999年2月9日,成立了“中國(guó)國(guó)家信息安全評(píng)測(cè)認(rèn)證中心”2001年1月1日,執(zhí)行《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》本準(zhǔn)則規(guī)定了5個(gè)安全等級(jí)：第一級(jí)：對(duì)應(yīng)于TCSEC的C1級(jí)第二級(jí)：對(duì)應(yīng)于TCSEC的C2級(jí)第三級(jí)：對(duì)應(yīng)于TCSEC的B1級(jí)第四級(jí)：對(duì)應(yīng)于TCSEC的B2級(jí)第五級(jí)：對(duì)應(yīng)于TCSEC的B3級(jí)第9頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月三、防火墻1、防火墻的定義簡(jiǎn)單的說(shuō)，防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合防火墻對(duì)不同網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪(fǎng)問(wèn)，以達(dá)到保護(hù)系統(tǒng)安全的目的。功能：

對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行過(guò)濾，濾掉不安全的服務(wù)和非法用戶(hù)監(jiān)視因特網(wǎng)安全，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和警報(bào)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)控制對(duì)特殊站點(diǎn)的訪(fǎng)問(wèn)，封堵某些禁止的訪(fǎng)問(wèn)行為第10頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月2、防火墻的相關(guān)概念非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)

DMZ

可信主機(jī)非可信主機(jī)公網(wǎng)IP地址保留IP地址包過(guò)濾地址轉(zhuǎn)換第11頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月3、防火墻的基本分類(lèi)及實(shí)現(xiàn)原理包過(guò)濾防火墻（靜態(tài)包過(guò)濾防火墻）應(yīng)用層網(wǎng)關(guān)防火墻（代理防火墻）狀態(tài)檢測(cè)防火墻（動(dòng)態(tài)包過(guò)濾防火墻）

第12頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月靜態(tài)包過(guò)濾防火墻這種類(lèi)型的防火墻根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類(lèi)型等。包過(guò)濾類(lèi)型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過(guò)的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。

第13頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月應(yīng)用層網(wǎng)關(guān)防火墻（代理防火墻）代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）防火墻。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò)安全專(zhuān)家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。第14頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月?tīng)顟B(tài)檢測(cè)防火墻（動(dòng)態(tài)包過(guò)濾防火墻）這種類(lèi)型的防火墻采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或刪減。第15頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月四、入侵檢測(cè)系統(tǒng)（IDS）

傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)一般采用防火墻作為安全的第一道防線(xiàn)。但是攻擊者的技術(shù)手段越來(lái)越高明，單純的防火墻策略已無(wú)法滿(mǎn)足對(duì)安全高度敏感的部門(mén)的需要。與此，網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜，各種設(shè)備需要不斷的升級(jí)、補(bǔ)漏，這使得網(wǎng)絡(luò)管理員的工作不斷加重，稍有疏忽可能造成安全隱患。在這種情況下，入侵檢測(cè)系統(tǒng)成為了安全市場(chǎng)上新的熱點(diǎn)。它是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，作為防火墻的合理補(bǔ)充，能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。第16頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月1、入侵檢測(cè)系統(tǒng)的功能監(jiān)測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)；檢查系統(tǒng)配置的漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日常管理，并識(shí)別違反安全策略的用戶(hù)活動(dòng)。第17頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月2、入侵檢測(cè)系統(tǒng)的分類(lèi)可分為主機(jī)型和網(wǎng)絡(luò)型。實(shí)際使用時(shí)，也可將二者結(jié)合使用。主機(jī)型IDS以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，也可通過(guò)其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在主機(jī)收集信息并進(jìn)行分析。

優(yōu)點(diǎn)：系統(tǒng)的內(nèi)在結(jié)構(gòu)沒(méi)有任何束縛，同時(shí)可以利用操作系統(tǒng)本身提供的功能、并結(jié)合異常分析，更準(zhǔn)確的報(bào)告攻擊行為。

缺點(diǎn)：必須為不同的系統(tǒng)開(kāi)發(fā)不同的程序，增加了系統(tǒng)的負(fù)荷。網(wǎng)絡(luò)型IDS的數(shù)據(jù)源則是網(wǎng)上的數(shù)據(jù)包。

優(yōu)點(diǎn)：簡(jiǎn)便，一個(gè)網(wǎng)段上只需安裝一個(gè)或幾個(gè)系統(tǒng)，便可以監(jiān)測(cè)整個(gè)網(wǎng)段的情況。使用單獨(dú)的計(jì)算機(jī)做這種應(yīng)用，不會(huì)增加主機(jī)的負(fù)載。

缺點(diǎn)：由于現(xiàn)在的網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，以及高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)顯示出其局限性。

第18頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月3、入侵檢測(cè)系統(tǒng)的基本原理（1）信息收集入侵檢測(cè)的基礎(chǔ)是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。入侵檢測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性。信息來(lái)源：系統(tǒng)和日志文件目錄和文件中的不期望的改變程序執(zhí)行中的不期望行為物理形式的入侵信息

第19頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月（2）信號(hào)分析入侵檢測(cè)的核心是信號(hào)分析，針對(duì)收集到的信息，采用三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析，和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。模式匹配：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。統(tǒng)計(jì)分析：首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪(fǎng)問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。完整性分析：主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，利用?qiáng)有力的加密機(jī)制，稱(chēng)為消息摘要函數(shù)，能識(shí)別微小的變化。第20頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月五、漏洞掃描網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。系統(tǒng)設(shè)置的不斷更改，Hacker的技術(shù)的不斷提高，網(wǎng)絡(luò)系統(tǒng)的安全性是一個(gè)動(dòng)態(tài)的過(guò)程。最有效的方式就是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并查找漏洞并進(jìn)行修改。漏洞掃描系統(tǒng)是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。通過(guò)使用漏洞掃描系統(tǒng)，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的WEB服務(wù)器的各種TCP端口的分配、提供的服務(wù)、WEB服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在因特網(wǎng)上的安全漏洞。漏洞掃描技術(shù)是檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。第21頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月漏洞掃描系統(tǒng)的基本原理當(dāng)用戶(hù)通過(guò)控制平臺(tái)發(fā)出了掃描命令之后，控制平臺(tái)即向掃描模塊發(fā)出相應(yīng)的掃描請(qǐng)求，掃描模塊在接到請(qǐng)求之后立即啟動(dòng)相應(yīng)的子功能模塊，對(duì)被掃描的主機(jī)進(jìn)行掃描。通過(guò)對(duì)從被掃描主機(jī)返回的信息進(jìn)行分析判斷，掃描模塊將掃描結(jié)果返回到控制平臺(tái)，再由控制平臺(tái)最終呈現(xiàn)給用戶(hù)。網(wǎng)絡(luò)漏洞掃描系統(tǒng)通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)，記錄目標(biāo)給予的回答。在獲得目標(biāo)主機(jī)TCP/IP端口和其對(duì)應(yīng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)的相關(guān)信息后，與漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，如滿(mǎn)足匹配條件，則視為漏洞存在。此外，通過(guò)模擬黑客攻擊的方法，如模擬攻擊成功則視為漏洞存在。第22頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月六、網(wǎng)絡(luò)防病毒系統(tǒng)（一）網(wǎng)絡(luò)病毒簡(jiǎn)介

因特網(wǎng)的開(kāi)放性為計(jì)算機(jī)病毒廣泛傳播提供了有利的環(huán)境，而因特網(wǎng)本身存在的漏洞也為培育新一代病毒提供了良好的條件。ActiveX技術(shù)和Java技術(shù)的應(yīng)用，也讓病毒制造者也有可乘之機(jī)，他們利用這種技術(shù)，把病毒滲透到計(jì)算機(jī)中，這就是近兩年興起的第二代病毒，既所謂的“網(wǎng)絡(luò)病毒”。第23頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月網(wǎng)絡(luò)病毒相對(duì)于傳統(tǒng)的計(jì)算機(jī)病毒，其特點(diǎn)和危害性主要表現(xiàn)在以下方面：破壞性強(qiáng)。直接影響網(wǎng)絡(luò)工作，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)癱瘓。傳播性強(qiáng)。普遍具有較強(qiáng)的再生機(jī)制，一接觸就可通過(guò)網(wǎng)絡(luò)擴(kuò)散與傳染。具有潛伏性和可激發(fā)性。針對(duì)性更強(qiáng)。擴(kuò)散面廣。傳播速度快。難以徹底清除。網(wǎng)絡(luò)大都采用C/S模式，這就需要從服務(wù)器和客戶(hù)機(jī)兩個(gè)方面采取防病毒措施。第24頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月（二）基于網(wǎng)絡(luò)的防病毒系統(tǒng)

1、網(wǎng)絡(luò)病毒防護(hù)策略防毒一定要實(shí)現(xiàn)全方位、多層次防毒。網(wǎng)關(guān)防毒是整體防毒的首要防線(xiàn)。沒(méi)有管理系統(tǒng)的防毒是無(wú)效的放毒系統(tǒng)。服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。

第25頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月2、網(wǎng)絡(luò)防病毒系統(tǒng)的組織形式系統(tǒng)中心的統(tǒng)一管理。遠(yuǎn)程安裝升級(jí)。一般客戶(hù)端的防毒。防病毒過(guò)濾網(wǎng)關(guān)。硬件防病毒網(wǎng)關(guān)。特點(diǎn)：高穩(wěn)定性；操作簡(jiǎn)單、管理方便；接入方式簡(jiǎn)單易行；免維護(hù)；容錯(cuò)與集群。

第26頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月新一代網(wǎng)絡(luò)技術(shù)一、IPv6 為了消除IPv4面臨的危機(jī)，IETF于1992年開(kāi)始開(kāi)發(fā)IPv6。IPv6繼承了IPv4的優(yōu)點(diǎn)，并根據(jù)IPv4十幾年來(lái)的運(yùn)用經(jīng)驗(yàn)進(jìn)行了大幅修改和功能擴(kuò)充，其處理性能更加強(qiáng)大、高效。1、地址

IPv4與IPv6地址之間最明顯的差別在于長(zhǎng)度：IPv4地址長(zhǎng)度為32位，而IPv6地址長(zhǎng)度為128位。IPv4地址可以被分為2至3個(gè)不同部分(網(wǎng)絡(luò)標(biāo)識(shí)符、節(jié)點(diǎn)標(biāo)識(shí)符，有時(shí)還有子網(wǎng)標(biāo)識(shí)符)，IPv6地址中擁有更大的地址空間，可以支持更多的字段。

第27頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

1.1地址表達(dá)方式

IPv4地址一般以4部分間點(diǎn)分的方法來(lái)表示，即4個(gè)數(shù)字用點(diǎn)分隔。例如，下面是一些合法的IPv4地址，都用十進(jìn)制整數(shù)表示：10.5.3.1。IPv6地址長(zhǎng)度4倍于IPv4地址，表達(dá)起來(lái)的復(fù)雜程度也是IPv4地址的4倍。IPv6地址的基本表達(dá)方式是X:X:X:X:X:X:X:X，其中X是一個(gè)4位十六進(jìn)制整數(shù)(16位)。每一個(gè)數(shù)字包含4位，每個(gè)整數(shù)包含4個(gè)數(shù)字，每個(gè)地址包括8個(gè)整數(shù)，共計(jì)128位(4×4×8=128)。例如，下面是一些合法的IPv6地址：

CDCD:910A:2222:5498:8475:1111:3900:2020

1030:0:0:0:C9B4:FF12:48AA:1A2B

2000:0:0:0:0:0:0:1

第28頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月

某些IPv6地址中可能包含一長(zhǎng)串的0(就像上面的第二和第三個(gè)例子一樣)。當(dāng)出現(xiàn)這種情況時(shí)，標(biāo)準(zhǔn)中允許用“空隙”來(lái)表示這一長(zhǎng)串的0。換句話(huà)說(shuō)，地址

2000:0:0:0:0:0:0:1

可以被表示為：

2000::1

兩個(gè)冒號(hào)表示該地址可以擴(kuò)展到一個(gè)完整的128位地址。在這種方法中，只有當(dāng)16位組全部為0時(shí)才會(huì)被兩個(gè)冒號(hào)取代，且兩個(gè)冒號(hào)在地址中只能出現(xiàn)一次。

第29頁(yè)，課件共33頁(yè)，創(chuàng)作于2023年2月在IPv4和IPv6的混合環(huán)境中可能有第三種方法。IPv6地址中的最低32位可以用于表示IPv4地址，該地址可以按照一種混合方式表達(dá)，即X:X:X:X:X:X:d.d.d.d，其中X表示一個(gè)16位