網(wǎng)絡(luò)安全實(shí)戰(zhàn)詳解

...v.第一章網(wǎng)絡(luò)平安根底1.1網(wǎng)絡(luò)平安的現(xiàn)狀與挑戰(zhàn)1.1.1我國(guó)網(wǎng)絡(luò)平安的現(xiàn)狀〔1〕計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重?！?〕黑客活動(dòng)已形成嚴(yán)重威脅〔3〕平安意識(shí)淡薄是網(wǎng)絡(luò)平安的瓶頸。1.1.2網(wǎng)絡(luò)平安面臨的挑戰(zhàn)1、網(wǎng)絡(luò)部平安的原因〔1〕教育問(wèn)題〔2〕技術(shù)方面〔3〕互聯(lián)網(wǎng)不平安〔4〕系統(tǒng)軟件自身不平安〔5〕網(wǎng)絡(luò)管理問(wèn)題2、威脅的來(lái)源威脅網(wǎng)絡(luò)平安的主要來(lái)源包括內(nèi)部人員〔信息系統(tǒng)的管理者、使用者和決策者、開(kāi)發(fā)者、維護(hù)者等〕、特殊身份的人員〔審計(jì)人員、稽查人員、記者等〕、外部黑客、競(jìng)爭(zhēng)對(duì)手、網(wǎng)絡(luò)恐懼組織、軍事組織或國(guó)家組織等。任何威脅都可能是主機(jī)受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳輸?shù)男畔⒖赡鼙凰烁`聽(tīng)或篡改。3、平安威脅與網(wǎng)絡(luò)攻擊的類(lèi)型多樣化〔1〕竊聽(tīng)〔2〕重傳〔3〕偽造〔4〕篡改〔5〕非授權(quán)〔6〕拒絕效勞攻擊〔7〕行為否認(rèn)〔8〕旁路控制〔9〕電磁/射頻截獲〔10〕人員疏忽1.2網(wǎng)絡(luò)平安的定義從本質(zhì)上講，網(wǎng)絡(luò)平安就是網(wǎng)絡(luò)上信息的平安。網(wǎng)絡(luò)平安是指包含網(wǎng)絡(luò)信息系統(tǒng)中的軟件、硬件級(jí)信息資源，使之免受偶然或者惡意的破壞篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)效勞不中斷。網(wǎng)絡(luò)平安是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息平安技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。從廣義上講，網(wǎng)絡(luò)平安包括網(wǎng)絡(luò)硬件資源和信息資源的平安性。硬件資源包括通信線路、通信設(shè)備〔交換機(jī)、路由器等〕、主機(jī)等，要實(shí)現(xiàn)信息快速平安的交換，一個(gè)可靠的物理網(wǎng)絡(luò)是必不可少的。信息資源包括維持網(wǎng)絡(luò)效勞運(yùn)行的系統(tǒng)軟件和應(yīng)用軟件，以及在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)挠脩粜畔?shù)據(jù)等。1.3典型網(wǎng)絡(luò)平安案例分析1.4網(wǎng)絡(luò)平安技術(shù)1.4.1數(shù)據(jù)加密技術(shù)密碼技術(shù)是保障網(wǎng)絡(luò)平安的最根本、最核心的技術(shù)措施。加密技術(shù)是將資料加密，以防止信息泄露的技術(shù)。就體質(zhì)而言，目前的加密體制可分為：但密鑰加密體制和公鑰加密體制。單密鑰加密體制對(duì)稱(chēng)加密算法、私鑰加密體制。速度快，容易用軟硬件實(shí)現(xiàn)。公鑰加密體制非對(duì)稱(chēng)加密體制，RSA。1.4.2防火墻技術(shù)防火墻是網(wǎng)絡(luò)控制設(shè)備，用于拒絕除了明確允許通過(guò)之外的所有通信數(shù)據(jù)。大多數(shù)防火墻都采用多種功能相結(jié)合的形式來(lái)保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過(guò)濾、動(dòng)態(tài)分組過(guò)濾、狀態(tài)過(guò)濾和代理效勞器技術(shù)。1.4.3認(rèn)證技術(shù)認(rèn)證技術(shù)就是驗(yàn)證一個(gè)用戶、系統(tǒng)或進(jìn)程的身份，當(dāng)這種驗(yàn)證發(fā)生時(shí)，依據(jù)系統(tǒng)管理員制定的參數(shù)而使真正的用戶或系統(tǒng)能夠獲得相應(yīng)的權(quán)限。常用認(rèn)證技術(shù)：身份認(rèn)證報(bào)文認(rèn)證授權(quán)數(shù)字簽名1.4.4殺毒軟件技術(shù)殺毒軟件是最常見(jiàn)、最普通的平安技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來(lái)簡(jiǎn)單?，F(xiàn)在殺毒軟件有預(yù)防木馬和防火墻的作用。1.4.5入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是對(duì)防火墻技術(shù)的一種邏輯補(bǔ)償技術(shù)，是一種積極主動(dòng)的平安防護(hù)技術(shù)，提佛功能了對(duì)內(nèi)部入侵、外部入侵、和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。入侵檢測(cè)技術(shù)三個(gè)開(kāi)展方向:分布式入侵檢測(cè)、智能化入侵檢測(cè)、和全面的平安防御方案。1．4.6控制技術(shù)每個(gè)系統(tǒng)都要確保用戶是有權(quán)限的，這樣才允許他們，這種機(jī)制交控制。每當(dāng)用戶對(duì)系統(tǒng)進(jìn)展時(shí)，參考監(jiān)視器就會(huì)查看授權(quán)數(shù)據(jù)庫(kù)，已確定準(zhǔn)備進(jìn)展操作的用戶是否確實(shí)得到了可進(jìn)展此項(xiàng)操作的許可。1.4.7虛擬專(zhuān)用網(wǎng)VPNVPN是目前解決信息平安最新、最成功的技術(shù)之一。所謂虛擬專(zhuān)用網(wǎng)技術(shù)就是在公網(wǎng)上建立專(zhuān)用網(wǎng)絡(luò)，使數(shù)據(jù)通過(guò)平安的“加密管道〞在公網(wǎng)中傳輸。構(gòu)建VPN有兩種主流機(jī)制：路由過(guò)濾技術(shù)和隧道技術(shù)。目前VPN采用以下4中技術(shù)來(lái)保障平安：隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)、使用者和設(shè)備身份認(rèn)證技術(shù)。1.4.8其他網(wǎng)絡(luò)平安技術(shù)1.智能卡技術(shù)2.平安脆弱性掃描技術(shù)3.網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃目前主流的網(wǎng)絡(luò)平安技術(shù)解決網(wǎng)絡(luò)平安只是相對(duì)的，不可能保證網(wǎng)絡(luò)的萬(wàn)無(wú)一失，任何的網(wǎng)絡(luò)平安和數(shù)據(jù)保護(hù)的防范措施都有一定的限度，還有其他很多因素影響網(wǎng)絡(luò)平安。1．5網(wǎng)絡(luò)平安體系構(gòu)造1.5.1網(wǎng)絡(luò)平安體系構(gòu)造框架一個(gè)三維的網(wǎng)絡(luò)平安體系構(gòu)造框架，反響了信息系統(tǒng)的平安需求和系統(tǒng)構(gòu)造的共性。五大網(wǎng)絡(luò)平安效勞平安效勞是指采用一種或多種平安機(jī)制以抵御平安攻擊、提高機(jī)構(gòu)的數(shù)據(jù)處理系統(tǒng)平安和信息傳輸平安的效勞。在對(duì)威脅進(jìn)展分析的根底上，規(guī)定了五大標(biāo)準(zhǔn)網(wǎng)絡(luò)平安效勞。鑒別效勞身份鑒別是授權(quán)控制的根底。目前一般采用的是基于對(duì)稱(chēng)密鑰加密或公開(kāi)密鑰加密的方法，采用高強(qiáng)度的密碼技術(shù)進(jìn)展身份認(rèn)證。比擬著名的有Kerberos、PGP等方法?？刂菩谟糜诜乐篂槭跈?quán)用戶非法使用系統(tǒng)資源，包括用戶身份認(rèn)證、用戶權(quán)限確認(rèn)。對(duì)控制的要求有：一致性統(tǒng)一性有審計(jì)功能數(shù)據(jù)完整性數(shù)據(jù)完整性是指通過(guò)網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)注重非法實(shí)體對(duì)交換數(shù)據(jù)的修改、插入、刪除、替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。數(shù)據(jù)**效勞為了防止網(wǎng)絡(luò)中各個(gè)系統(tǒng)之間交換的數(shù)據(jù)被截獲的或被非法錯(cuò)去的二造成泄密，提供密碼加密保護(hù)?？沟仲囆诓⒎乐拱l(fā)送發(fā)在發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過(guò)此數(shù)據(jù)，接收方在接收數(shù)據(jù)后否認(rèn)自己受到過(guò)次數(shù)據(jù)或者偽造接收數(shù)據(jù)。一是不得否認(rèn)發(fā)送，二時(shí)不得否認(rèn)接收。電子簽名的主要目的是防止抵賴，防止否認(rèn)，給仲裁提供證據(jù)。八大網(wǎng)絡(luò)平安機(jī)制平安機(jī)制是指涉及用于檢測(cè)、預(yù)防平安攻擊后恢復(fù)系統(tǒng)的機(jī)制。加密機(jī)制加密是提供信息**的核心方法?？刂茩C(jī)制控制是通過(guò)對(duì)者的有關(guān)信息進(jìn)展檢測(cè)來(lái)限制后制止者使用資源的技術(shù)。房屋內(nèi)控制還可以直接支持?jǐn)?shù)據(jù)**性、數(shù)據(jù)完整性、可用性以及合法使用的平安目標(biāo)。數(shù)據(jù)完整性機(jī)制數(shù)字完整性包括數(shù)據(jù)單元完整性和數(shù)據(jù)字段完整性。數(shù)據(jù)單元完整性主要用hash函數(shù)生成標(biāo)記。數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制主要解決以下問(wèn)題否認(rèn)偽造冒充篡改數(shù)字簽名機(jī)制具有可證實(shí)性、不可否認(rèn)性、不可為偽造性和不可重用性。交換鑒別機(jī)制交換鑒別機(jī)制是通過(guò)相互交換信息的方式來(lái)確定彼此的身份。用于交換鑒別的技術(shù)有：口令和密碼技術(shù)。公證機(jī)制公證機(jī)制是在兩個(gè)和多個(gè)實(shí)體之間交換數(shù)據(jù)信息時(shí)，用戶保護(hù)各個(gè)實(shí)體平安及糾紛的仲裁。流量填充機(jī)制流量填充機(jī)制提供針對(duì)流量分析的保護(hù)，外部攻擊者有時(shí)能夠根據(jù)數(shù)據(jù)交換的出現(xiàn)，消失、數(shù)量、或頻率而提取有用的信息。路由控制機(jī)制路由控制機(jī)制使得可以指定透過(guò)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑。1.5.2網(wǎng)絡(luò)平安效勞層次模型開(kāi)放系統(tǒng)互連參考模型的層次功能是上層利用下層提供的效勞，下層為上層效勞。在物理層要保證通信線路的可靠，不易被竊聽(tīng)。在數(shù)據(jù)鏈路層可以采用加密技術(shù)，保證通信的平安。在互聯(lián)網(wǎng)和internet環(huán)境中，地域分布很廣，物理層的平安難以保證，鏈路層的加密技術(shù)也不完全適用。在網(wǎng)絡(luò)層，可以采用傳統(tǒng)的防火墻技術(shù)，還可適用ＩＰ加密傳輸信道技術(shù)Ipsec，在兩個(gè)結(jié)點(diǎn)之間建立透明的平安加密信道。在傳輸層可以實(shí)現(xiàn)進(jìn)程到進(jìn)程的平安通信。如現(xiàn)在流行的平安套接字SSL技術(shù)，是在兩個(gè)通信節(jié)點(diǎn)間建立平安的TCP連接。這種技術(shù)實(shí)現(xiàn)了基于進(jìn)程對(duì)進(jìn)程的平安效勞和加密傳輸信道，采用公鑰體系做身份認(rèn)證，具有較高的平安度。但這種技術(shù)對(duì)應(yīng)用層不透明，需要證書(shū)授權(quán)中心，它本身不提供控制。應(yīng)用層針對(duì)特定的應(yīng)用有效。1.5．3網(wǎng)絡(luò)平安層次模型分析分析從網(wǎng)絡(luò)平安層次模型根底上分析網(wǎng)絡(luò)平安風(fēng)險(xiǎn)，可以將網(wǎng)絡(luò)平安分層4個(gè)層次上的平安風(fēng)險(xiǎn)。物理平安網(wǎng)絡(luò)設(shè)備、設(shè)施平安。防盜防火防靜電防雷防電磁泄漏邏輯平安主要表達(dá)在網(wǎng)絡(luò)方面的平安性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的控制、數(shù)據(jù)傳輸?shù)?*與完整性、遠(yuǎn)程接入平安、域名系統(tǒng)的平安、路由系統(tǒng)的平安、入侵檢測(cè)的手段和網(wǎng)絡(luò)設(shè)施的放病毒。操作系統(tǒng)平安主要表達(dá)在3個(gè)方面：一是操作系統(tǒng)本身缺陷帶來(lái)的不平安因素，主要包括身份認(rèn)證、控制、系統(tǒng)漏洞等；二是操作系統(tǒng)平安配置問(wèn)題；三是病毒對(duì)操作系統(tǒng)的威脅。聯(lián)網(wǎng)平安聯(lián)網(wǎng)的平安性通過(guò)兩方面來(lái)到達(dá):控制效勞通信平安效勞1.6網(wǎng)絡(luò)平安評(píng)估準(zhǔn)那么1.6.1網(wǎng)絡(luò)平安評(píng)估準(zhǔn)那么的開(kāi)展1.可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么美國(guó)TCSEC橘皮書(shū)2.信息技術(shù)平安評(píng)估準(zhǔn)那么歐洲ITSEC白皮書(shū)3.加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)個(gè)準(zhǔn)那么CTCSEC4.美國(guó)聯(lián)邦準(zhǔn)那么FC5.通用平安評(píng)估準(zhǔn)那么CC標(biāo)準(zhǔn)第一個(gè)信息技術(shù)平安評(píng)估國(guó)際標(biāo)準(zhǔn)。6.計(jì)算機(jī)信息系統(tǒng)平安等級(jí)劃分標(biāo)準(zhǔn)GB17895-19991.6.2可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)那么7個(gè)級(jí)別，一般操作系統(tǒng)C2級(jí)。1.6.3計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么1.第一級(jí)為用戶自主保護(hù)級(jí)2.第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)3.第三極為平安標(biāo)記保護(hù)級(jí)4.第四級(jí)為構(gòu)造化保護(hù)級(jí)5.第五級(jí)為驗(yàn)證保護(hù)級(jí)1.6.4網(wǎng)絡(luò)平安評(píng)估效勞網(wǎng)絡(luò)平安評(píng)估是一個(gè)比擬泛化的概念，其核心是網(wǎng)絡(luò)平安風(fēng)險(xiǎn)評(píng)估。企業(yè)的平安風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只用動(dòng)態(tài)的信息平安評(píng)估才能發(fā)現(xiàn)和追蹤最新的平安風(fēng)險(xiǎn)。所以企業(yè)的網(wǎng)絡(luò)信息平安評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作，通常每隔1~3年就進(jìn)展一次平安風(fēng)險(xiǎn)評(píng)估。1.6.5網(wǎng)絡(luò)平安管理1.平安管理原那么2.平安管理實(shí)現(xiàn)1.7網(wǎng)絡(luò)平安法律法規(guī)系統(tǒng)第二章網(wǎng)絡(luò)平安的規(guī)劃與設(shè)計(jì)一個(gè)可行的網(wǎng)絡(luò)系統(tǒng)平安規(guī)劃與設(shè)計(jì)方案應(yīng)具備三個(gè)根本特征：既充分滿足應(yīng)用需求、具有較高的性價(jià)比、最大限度保護(hù)用戶投資。2.1網(wǎng)絡(luò)系統(tǒng)平安規(guī)劃設(shè)計(jì)概述2.1.1網(wǎng)絡(luò)系統(tǒng)平安規(guī)劃的意義2.1.2網(wǎng)絡(luò)系統(tǒng)平安規(guī)劃的任務(wù)網(wǎng)絡(luò)系統(tǒng)平安的規(guī)劃是在需求分析的根底上進(jìn)展技術(shù)的論證，把用戶提出的問(wèn)題和要求，用網(wǎng)絡(luò)平安方面的術(shù)語(yǔ)提出來(lái)，經(jīng)過(guò)技術(shù)方面的分析，提出一整套網(wǎng)絡(luò)系統(tǒng)規(guī)劃與設(shè)計(jì)的設(shè)想和方案。網(wǎng)絡(luò)平安的規(guī)劃設(shè)計(jì)要用科學(xué)的方法，對(duì)網(wǎng)絡(luò)上各種數(shù)據(jù)進(jìn)展風(fēng)險(xiǎn)評(píng)估，然后選擇適當(dāng)?shù)木W(wǎng)絡(luò)平安機(jī)制和方法。網(wǎng)絡(luò)平安規(guī)劃和設(shè)計(jì)一般經(jīng)歷以下幾個(gè)過(guò)程：〔1〕問(wèn)題的提出與技術(shù)化分析〔2〕充分調(diào)研，確定網(wǎng)絡(luò)資源，分析網(wǎng)絡(luò)資源的平安性威脅，分析平安性需求和折中方案。〔3〕把總體設(shè)計(jì)具體化，開(kāi)發(fā)平安性方案，定義平安策略?！?〕經(jīng)費(fèi)概算〔5〕開(kāi)發(fā)實(shí)現(xiàn)平安策略，選用適當(dāng)?shù)木W(wǎng)絡(luò)平安技術(shù)措施實(shí)現(xiàn)平安策略〔6〕編寫(xiě)規(guī)劃技術(shù)文檔〔7〕得到用戶認(rèn)可，培訓(xùn)用戶，實(shí)現(xiàn)技術(shù)策略〔8〕測(cè)試平安性，發(fā)現(xiàn)問(wèn)題并改正(9)通過(guò)制定周期的獨(dú)立審計(jì)，閱讀審計(jì)日志，響應(yīng)突發(fā)事件，閱讀最后的文獻(xiàn)，不斷測(cè)試和培訓(xùn)，更新平安方案和策略。2.1.3網(wǎng)絡(luò)系統(tǒng)平安規(guī)劃設(shè)計(jì)的根本原那么網(wǎng)絡(luò)平安的實(shí)質(zhì)是平安立法、平安管理和平安技術(shù)的綜合實(shí)施。這三個(gè)層次表達(dá)了平安策略的限制、監(jiān)視和保障職能。根據(jù)防范平安攻擊的需求、需要到達(dá)的平安目標(biāo)、對(duì)應(yīng)平安機(jī)制所需的平安效勞等因素，參照SSE-CMM〔系統(tǒng)平安工程能力成熟度模型〕和ISO17799〔信息平安管理標(biāo)準(zhǔn)〕等國(guó)際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性，可管理性、和擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，子啊網(wǎng)絡(luò)平安方案整體規(guī)劃、設(shè)計(jì)過(guò)程中應(yīng)遵循以下十大原那么。1.整體性原那么三大機(jī)制：平安防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種平安隱患采取相應(yīng)的防護(hù)措施，防止非法攻擊的進(jìn)展。平安檢測(cè)機(jī)制是檢測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)展的各種攻擊。平安恢復(fù)機(jī)制是在平安防護(hù)機(jī)制失效的情況下，進(jìn)展應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，降低破壞程度。2.均衡性原那么平安系統(tǒng)設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到平安與可用性相融，使其更易執(zhí)行。這就要求在設(shè)計(jì)平安策略是，要全面地評(píng)估企業(yè)的實(shí)際平安需求等級(jí)及企業(yè)的實(shí)際經(jīng)濟(jì)能力，尋找平安風(fēng)險(xiǎn)與實(shí)際需求之間的一個(gè)均衡點(diǎn)。3.有效性和實(shí)用性原那么不能影響系統(tǒng)正常的運(yùn)行和合法用戶的操作。在進(jìn)展網(wǎng)絡(luò)平安策略設(shè)計(jì)時(shí)，一定要結(jié)合實(shí)際平安等級(jí)需求與經(jīng)濟(jì)承受能力來(lái)綜合考慮。4.等級(jí)性原那么平安層次和平安級(jí)別。好的信息平安系統(tǒng)必然是分為不同的等級(jí)的，包括對(duì)信息**程度分級(jí)，對(duì)網(wǎng)絡(luò)平安程度分級(jí)〔平安域和平安子網(wǎng)〕，對(duì)系統(tǒng)是實(shí)現(xiàn)構(gòu)造分級(jí)，針對(duì)不同的級(jí)別的對(duì)象，保護(hù)措施不同。5.易操作性原那么6.技術(shù)與原理相結(jié)合原那么7.統(tǒng)籌規(guī)劃，分布實(shí)施原那么8.動(dòng)態(tài)化原那么9.可評(píng)價(jià)性原那么10.多重保護(hù)原那么縱深防御2.2網(wǎng)絡(luò)系統(tǒng)平安需求與平安目標(biāo)分析網(wǎng)絡(luò)資源的共享與網(wǎng)絡(luò)的平安性是一對(duì)矛盾體。2.2.1平安需求分析具體表現(xiàn)：1.物理上的平安需求電磁泄漏；設(shè)備冗余；系統(tǒng)冗余；線路通信平安。2.控制需求〔1〕阻止外部攻擊行為〔2〕防止內(nèi)部員工合法用戶非授權(quán)〔3〕防范假冒合法用戶非法3.加密傳輸需求4.入侵檢測(cè)系統(tǒng)需求5.平安風(fēng)險(xiǎn)評(píng)估系統(tǒng)需求網(wǎng)絡(luò)平安掃描系統(tǒng)檢測(cè)網(wǎng)絡(luò)中存在的平安漏洞，并修補(bǔ)。6.防病毒系統(tǒng)需求7.平安管理體制需求2.2.2網(wǎng)絡(luò)平安目標(biāo)1.可靠性2.可控性3.抗抵賴性4.**性5.完整性6.有效性基于以上目標(biāo)分析，在局域網(wǎng)中網(wǎng)絡(luò)系統(tǒng)平安應(yīng)該實(shí)行以下目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)平安與網(wǎng)絡(luò)管理策略將內(nèi)部網(wǎng)絡(luò)、公開(kāi)效勞器網(wǎng)絡(luò)和外網(wǎng)進(jìn)展有效隔離，防止與外部網(wǎng)絡(luò)的直接通信建立各主機(jī)和效勞器的平安保護(hù)措施，保證網(wǎng)絡(luò)系統(tǒng)平安對(duì)網(wǎng)上效勞請(qǐng)求內(nèi)容進(jìn)展控制，使非法在到達(dá)主機(jī)前被拒絕加強(qiáng)合法用戶的認(rèn)證，同時(shí)將用戶的權(quán)限控制在最低限度全面監(jiān)視對(duì)公開(kāi)效勞器的，及時(shí)發(fā)現(xiàn)和拒絕不平安的操作和黑客攻擊行為加強(qiáng)對(duì)各種的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公開(kāi)效勞器的行為，形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù):強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)。2.3網(wǎng)絡(luò)平安規(guī)劃設(shè)計(jì)與實(shí)施步驟網(wǎng)絡(luò)平安規(guī)劃設(shè)計(jì)與實(shí)施應(yīng)考慮以下5個(gè)問(wèn)題：2.3.1確定面臨的各種攻擊和風(fēng)險(xiǎn)并分析平安需求網(wǎng)絡(luò)平安規(guī)劃設(shè)計(jì)與實(shí)施必須根據(jù)具體的網(wǎng)絡(luò)系統(tǒng)和環(huán)境，考察、分析、評(píng)估、檢測(cè)和確定系統(tǒng)存在的平安漏洞和平安威脅。分析網(wǎng)絡(luò)中可能存在的薄弱環(huán)節(jié)，分析這些環(huán)節(jié)可能造成的危害，分析這些危害可能造成的后果和損失。2.3.2明確網(wǎng)絡(luò)系統(tǒng)平安策略網(wǎng)絡(luò)平安最重要的一個(gè)任務(wù)就是制定一個(gè)平安策略。平安策略是指在一個(gè)特定的環(huán)境中，為保證提供一定級(jí)別的平安保護(hù)所必須遵守的規(guī)那么。網(wǎng)絡(luò)平安策略是保障機(jī)構(gòu)網(wǎng)絡(luò)平安的指導(dǎo)文件，平安策略的目的是決定一個(gè)組織機(jī)構(gòu)怎樣來(lái)保護(hù)自己。一般來(lái)說(shuō)網(wǎng)絡(luò)平安策略包括總體平安策略和具體平安管理實(shí)施規(guī)那么。1.制定組織機(jī)構(gòu)的整體平安策略領(lǐng)導(dǎo)主持2.制定和系統(tǒng)相關(guān)的平安策略網(wǎng)絡(luò)平安策略主要確定以下幾方面內(nèi)容：平安策略的制定是為了保證信息的**性、完整性和可用性，應(yīng)具有普遍的指導(dǎo)意義。平安策略要確定用戶的權(quán)利和責(zé)任，包括賬戶管理、資源權(quán)限、口令應(yīng)用以及建立備份等。平安策略還應(yīng)提出一般性的平安防護(hù)措施:存取控制、認(rèn)證、密碼技術(shù)、防火墻技術(shù)、操作系統(tǒng)平安、數(shù)據(jù)庫(kù)平安、計(jì)算機(jī)病毒防護(hù)、審計(jì)和監(jiān)控等方面。在平安運(yùn)維方面，還應(yīng)注意應(yīng)急處理策略和制度。制定平安策略的依據(jù)：對(duì)資源進(jìn)展評(píng)估，包括硬件、軟件、數(shù)據(jù)、文檔、等分出平安等級(jí)。對(duì)可能的威脅進(jìn)展分析，包括非授權(quán)、信息泄露和內(nèi)部缺陷等。2.3.3建立網(wǎng)絡(luò)平安模型模型的建立可以使復(fù)雜的問(wèn)題簡(jiǎn)單化，更好的解決和平安策略有關(guān)的問(wèn)題。網(wǎng)絡(luò)平安的建立主要參看P2DR模型。Policy策略，Protection防護(hù)，Detection檢測(cè)，Response響應(yīng)，這4個(gè)局部構(gòu)成了一個(gè)動(dòng)態(tài)的信息平安周期。P2DR模型的根本思想是：一個(gè)系統(tǒng)的平安應(yīng)在一個(gè)統(tǒng)一的平安策略的控制和指導(dǎo)下，綜合運(yùn)用各種平安技術(shù)〔如防火墻技術(shù)、操作系統(tǒng)身份認(rèn)證和加密等手段〕對(duì)系統(tǒng)進(jìn)展保護(hù)，同時(shí)，利用檢測(cè)工具來(lái)監(jiān)視和評(píng)估系統(tǒng)〔漏洞評(píng)估和入侵檢測(cè)系統(tǒng)〕的平安狀態(tài)，并通過(guò)適當(dāng)?shù)捻憫?yīng)機(jī)制來(lái)講系統(tǒng)調(diào)整到性對(duì)“更平安〞和“風(fēng)險(xiǎn)更低〞的狀態(tài)。1.Policy策略策略是網(wǎng)絡(luò)平安模型的核心，所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)平安策略實(shí)施的。2.Protection防護(hù)缺陷掃描、控制及防火墻、防病毒軟件如個(gè)人防火墻、數(shù)據(jù)加密、鑒別技術(shù)等3.Detection檢測(cè)IDS4.Response響應(yīng)總之，防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)組成了一個(gè)完整的、動(dòng)態(tài)的平安循環(huán)，在平安策略的指導(dǎo)保障信息系統(tǒng)的平安。平安=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測(cè)+實(shí)施響應(yīng)2.3.4選擇并實(shí)施平安策略網(wǎng)絡(luò)平安策略的實(shí)施是具體平安技術(shù)機(jī)制和方法是實(shí)現(xiàn)?！?〕物理層平安策略設(shè)備和通信鏈路，環(huán)境。電磁泄漏?！?〕數(shù)據(jù)鏈路層平安策略保障通過(guò)鏈路傳輸?shù)臄?shù)據(jù)不被竊聽(tīng)，Vlan和加密〔3〕網(wǎng)絡(luò)層平安策略保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的效勞，保證網(wǎng)絡(luò)路由正確，防止攔截或監(jiān)聽(tīng)。防火墻和VPN〔4〕系統(tǒng)平安策略操作系統(tǒng)和業(yè)務(wù)系統(tǒng)〔5〕應(yīng)用系統(tǒng)平安策略〔6〕網(wǎng)絡(luò)平安管理策略2.3.5平安產(chǎn)品選型測(cè)試要求：一是平安產(chǎn)品必須符合國(guó)家有關(guān)平安管理部門(mén)的政策要求；二是平安產(chǎn)品的功能與性能要求。2.4典型的企業(yè)網(wǎng)絡(luò)平安規(guī)劃設(shè)計(jì)案例2.4.1某小型企業(yè)網(wǎng)絡(luò)平安規(guī)劃設(shè)計(jì)方案1.網(wǎng)絡(luò)應(yīng)用概述該企業(yè)的網(wǎng)絡(luò)系統(tǒng)是典型的intranet系統(tǒng)，總部的主網(wǎng)絡(luò)系統(tǒng)通過(guò)DDN專(zhuān)線與互聯(lián)網(wǎng)相連，企業(yè)有效勞器系統(tǒng)、效勞器系統(tǒng)和intranet效勞器和內(nèi)部效勞器，分別用于發(fā)布公司的、構(gòu)建公司的Email系統(tǒng)及實(shí)現(xiàn)本地和遠(yuǎn)程網(wǎng)絡(luò)化辦公，其中總部的主網(wǎng)絡(luò)系統(tǒng)和分支機(jī)構(gòu)的子網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)通信是通過(guò)互聯(lián)網(wǎng)公網(wǎng)來(lái)完成的。此外，公司的研發(fā)中心等重要部門(mén)設(shè)置在總部。企業(yè)網(wǎng)絡(luò)構(gòu)造示意圖如下:2.平安需求分析為確保公司的整個(gè)網(wǎng)絡(luò)系統(tǒng)能夠平安穩(wěn)定運(yùn)行，需要對(duì)重要效勞器、重要子網(wǎng)進(jìn)展平安保護(hù)，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)展加密，對(duì)用戶的身份進(jìn)展鑒別等，必須主要解決以下方面的平安問(wèn)題：〔1〕效勞器系統(tǒng)的平安：包括效勞器、效勞器、內(nèi)部效勞器等〔2〕公司總部和分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)平安：防范來(lái)自互聯(lián)網(wǎng)的攻擊，如病毒、木馬、黑客等〔3〕用戶的身份確定：包括公司員工、訪客和網(wǎng)絡(luò)會(huì)員?！?〕數(shù)據(jù)傳輸平安：包括總部和分支機(jī)構(gòu)之間、內(nèi)部網(wǎng)用戶到效勞器、移動(dòng)用戶和家庭用戶到效勞器〔5〕保護(hù)重要部門(mén)：研發(fā)中心等有產(chǎn)品源代碼3.平安策略制定〔1〕物理平安策略：如機(jī)房環(huán)境、門(mén)禁系統(tǒng)、設(shè)備鎖、數(shù)據(jù)備份、CMOS平安設(shè)置等?！?〕控制策略：為公司總部?jī)?nèi)部網(wǎng)與互聯(lián)網(wǎng)之間、公司總部與分支機(jī)構(gòu)之間、互聯(lián)網(wǎng)用戶與公司網(wǎng)絡(luò)之間等需要進(jìn)展互聯(lián)的網(wǎng)絡(luò)制定控制規(guī)那么?！?〕平安配置及更新策略：對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、平安產(chǎn)品等進(jìn)展升級(jí)更新，設(shè)置用戶權(quán)限及信任關(guān)系等?！?〕管理員和用戶策略：制定機(jī)房出入管理制度，實(shí)行平安責(zé)任制等〔5〕平安管理策略：平安規(guī)劃設(shè)置、平安審計(jì)、日志分析、漏洞檢測(cè)及修等。〔6〕密碼平安策略：密碼復(fù)雜度、密碼更改周期、密碼有效期等〔7〕緊急事件策略：針對(duì)打擊和入侵可能導(dǎo)致的結(jié)果制定應(yīng)急處理流程和災(zāi)難恢復(fù)方案。4.產(chǎn)品選擇及部署使用平安產(chǎn)品是貫徹平安策略的有效手段，能夠解決大多數(shù)的平安問(wèn)題。但這并不代表使用了平安產(chǎn)品就一定平安了，往往需要把平安產(chǎn)品與平安管理和效勞有機(jī)地結(jié)合起來(lái)，才能到達(dá)較高的平安水平?！?〕交換機(jī)：劃分Vlan進(jìn)展子網(wǎng)隔離，抵抗嗅探類(lèi)程序，提高網(wǎng)絡(luò)傳輸效率〔2〕防火墻：解決內(nèi)外網(wǎng)隔離及效勞器平安防范等問(wèn)題，主要部署在網(wǎng)絡(luò)的互聯(lián)網(wǎng)接點(diǎn)和重要部門(mén)的子網(wǎng)與其他內(nèi)部子網(wǎng)之間，其中個(gè)人防火墻系統(tǒng)安裝在客戶端?！?〕VPN：解決網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)钠桨?*，主要部署在需要平安**的線路兩端的接點(diǎn)處，如防火墻和客戶端?！?〕身份認(rèn)證：解決用戶身份鑒別問(wèn)題，主要部署在專(zhuān)用認(rèn)證效勞器或需要認(rèn)證的效勞器系統(tǒng)中?！?〕反病毒：防范病毒、木馬、蠕蟲(chóng)等有害程序的感染和傳播，主要部署在效勞器系統(tǒng)和客戶端系統(tǒng)上〔6〕入侵檢測(cè)系統(tǒng)：平安監(jiān)控和黑客入侵實(shí)時(shí)報(bào)警攔截，主要部署在需要保護(hù)的效勞器主機(jī)和需要保護(hù)的子網(wǎng)上。5.平安教育培訓(xùn)在網(wǎng)絡(luò)平安方案中，平安教育也是比擬重要的一個(gè)環(huán)節(jié)，平安教育能使用戶掌握根本的平安知識(shí)，有利于平安意識(shí)的提高，能夠及時(shí)制止或防止有可能發(fā)生的平安事件的發(fā)生，能夠是平安產(chǎn)品能夠更好的發(fā)揮其作用，也方便了平安管理和效勞的實(shí)施。一般來(lái)說(shuō)，主要是對(duì)一般網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理員及信息主管等對(duì)象實(shí)施平安培訓(xùn)，內(nèi)容至少要包含以下一些方面：〔1〕根本網(wǎng)絡(luò)知識(shí)〔2〕OSI7層網(wǎng)絡(luò)模型及TCP/IP協(xié)議〔3〕計(jì)算機(jī)病毒及防治技術(shù)〔4〕常見(jiàn)網(wǎng)絡(luò)入侵手段的分析和防范〔5〕操作系統(tǒng)及其應(yīng)用的平安設(shè)置〔6〕平安產(chǎn)品的平安和配置〔7〕企業(yè)網(wǎng)絡(luò)系他的平安管理和維護(hù)〔8〕數(shù)據(jù)備份與恢復(fù)2.4.2大型企業(yè)網(wǎng)絡(luò)平安規(guī)劃設(shè)計(jì)1.工程概況〔1〕工程背景某大型企業(yè)有6個(gè)子公司，各子公司的因?yàn)橥ㄟ^(guò)一個(gè)信息平臺(tái)進(jìn)展統(tǒng)一管理、協(xié)調(diào)處理〔2〕建立目標(biāo)實(shí)現(xiàn)現(xiàn)代化網(wǎng)絡(luò)辦公，提供信息共享和交流的環(huán)境，提高協(xié)同工作的能力，保證公司業(yè)務(wù)有序進(jìn)展，產(chǎn)生增值效應(yīng)?！?〕系統(tǒng)平安建立的意義滿足業(yè)務(wù)應(yīng)用需要，根本上解決企業(yè)平安問(wèn)題，營(yíng)造一個(gè)平安的企業(yè)網(wǎng)絡(luò)環(huán)境，提供整體平安實(shí)施策略。2.需求分析〔1〕網(wǎng)絡(luò)系統(tǒng)根本需求包括：多業(yè)務(wù)的承載能力和可靠的網(wǎng)絡(luò)性能先進(jìn)的流量管理能力和合理分配網(wǎng)絡(luò)資源靈活的組網(wǎng)能力和合效勞質(zhì)量保證能夠提供各種網(wǎng)絡(luò)接入方式網(wǎng)絡(luò)擴(kuò)展性好，能夠方便的進(jìn)展網(wǎng)絡(luò)擴(kuò)容和優(yōu)化支持多種網(wǎng)絡(luò)平安策略，在保證網(wǎng)絡(luò)系統(tǒng)具有高度**性的同時(shí)，確保網(wǎng)絡(luò)的互聯(lián)互通性對(duì)平臺(tái)的傳輸通道加密和對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)展加密實(shí)現(xiàn)靈活的控制功能和完備的平安審計(jì)功能統(tǒng)一的網(wǎng)絡(luò)管理，使網(wǎng)絡(luò)系統(tǒng)能更加有效的運(yùn)行保證企業(yè)網(wǎng)絡(luò)平臺(tái)穩(wěn)定有效地運(yùn)行，能快速解決出現(xiàn)的故障，確保該系統(tǒng)的運(yùn)行，節(jié)約運(yùn)營(yíng)資金?！?〕平安保障體系要求包括：建立完備的備份、恢復(fù)機(jī)制合理劃分平安域，控制用戶的區(qū)域與權(quán)限提供多種數(shù)據(jù)傳輸模式，優(yōu)先使用國(guó)產(chǎn)設(shè)備和軟件建立計(jì)算機(jī)病毒防護(hù)體系，建立統(tǒng)一的身份認(rèn)證機(jī)制加強(qiáng)對(duì)平安事件的檢測(cè)與審計(jì)，建立完善的平安保證組織機(jī)構(gòu)，建立完善的平安管理機(jī)制，建立完善的平安管理咨詢、評(píng)估、規(guī)劃、實(shí)施及培訓(xùn)制度3.設(shè)計(jì)方案〔1〕平安體系構(gòu)造分析物理平安網(wǎng)絡(luò)的物理平安主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障，認(rèn)為操作失誤或錯(cuò)誤，設(shè)備被盜、被毀；電磁干擾，線路截獲，以及高可用性的硬件、雙機(jī)多冗余設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、平安意識(shí)等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)平安的前提，在這個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)，由于網(wǎng)絡(luò)的物理跨度大，只制定健全的平安管理制度是不能完全防止的，還要做好備份，并加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理。網(wǎng)絡(luò)平安指在數(shù)據(jù)傳輸和網(wǎng)絡(luò)連接方面存在平安隱患。涉及的方面包括：數(shù)據(jù)傳輸平安和網(wǎng)絡(luò)邊界平安。系統(tǒng)平安指企業(yè)網(wǎng)絡(luò)所采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)及相關(guān)商用軟件產(chǎn)品的平安漏洞和計(jì)算機(jī)病毒對(duì)應(yīng)用系統(tǒng)造成的威脅。涉及的方面包括：系統(tǒng)漏洞風(fēng)險(xiǎn)、病毒入侵和非法入侵風(fēng)險(xiǎn)。應(yīng)用平安指角色及用戶管理、身份認(rèn)證、權(quán)限管理和數(shù)據(jù)傳輸?shù)确矫娴耐{。涉及的方面包括：角色管理、用戶管理、授權(quán)管理、用戶認(rèn)證和數(shù)據(jù)平安網(wǎng)絡(luò)管理平安涉及的方面包括：組織管理、制度管理、人員管理和平安審計(jì)系統(tǒng)〔2〕平安方案設(shè)計(jì)整體方案企業(yè)網(wǎng)絡(luò)的管理信息平臺(tái)分為內(nèi)部和外部。其中內(nèi)部為數(shù)據(jù)中心，外部為信息平臺(tái)的使用者和工程參與方。如圖平安管理方案制定健全的平安管理體制將使網(wǎng)絡(luò)平安得意實(shí)現(xiàn)的重要保證。企業(yè)網(wǎng)絡(luò)根據(jù)自身的實(shí)際情況，制定如平安操作流程、平安事故獎(jiǎng)罰制度，以及平安管理人員的考察等。構(gòu)建平安管理平臺(tái)將會(huì)減低很多因?yàn)闊o(wú)意的人為因素而造成的風(fēng)險(xiǎn)。構(gòu)建平安管理平臺(tái)從技術(shù)上，組成平安管理子網(wǎng)，安裝集中統(tǒng)一的平安管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)及網(wǎng)絡(luò)平安設(shè)備管理軟件。通過(guò)平安管理平臺(tái)實(shí)現(xiàn)全網(wǎng)的平安管理。企業(yè)內(nèi)部應(yīng)該經(jīng)常對(duì)單位員工進(jìn)展網(wǎng)絡(luò)平安防范意識(shí)的培訓(xùn)，全面提高員工的整體平安防范意識(shí)。〔3〕網(wǎng)絡(luò)平安技術(shù)方案網(wǎng)絡(luò)平安技術(shù)方案總體設(shè)計(jì)構(gòu)造示意圖如下全面動(dòng)態(tài)的平安策略全面的平安策略包含的要素：網(wǎng)絡(luò)邊界平安、數(shù)據(jù)傳輸平安、操作系統(tǒng)平安、應(yīng)用效勞器的平安和網(wǎng)絡(luò)防病毒動(dòng)態(tài)的平安策略包含的要素：內(nèi)部網(wǎng)絡(luò)入侵檢測(cè)和操作系統(tǒng)入侵檢測(cè)實(shí)現(xiàn)平安策略的技術(shù)和產(chǎn)品：防火墻、加密與認(rèn)證技術(shù)、入侵檢測(cè)技術(shù)、漏洞檢測(cè)技術(shù)和網(wǎng)絡(luò)防毒產(chǎn)品防火墻與VPN技術(shù)防火墻是使用最為廣泛的平安技術(shù)，是第一道平安防線，可以實(shí)現(xiàn)網(wǎng)絡(luò)邊界平安。防火墻提供VPN功能：在兩個(gè)網(wǎng)關(guān)上的防火墻之間建立VPN通道。VNP采用4項(xiàng)技術(shù)：隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)選擇和設(shè)置防火墻的考慮因素：包括平安性、配置便利性、管理的難易性、可靠性、可擴(kuò)展性。認(rèn)證和加密技術(shù)：包括數(shù)字證書(shū)提供認(rèn)證、數(shù)字證書(shū)的技術(shù)原理。解決方案:政府CA入侵檢測(cè)：IDS對(duì)各種攻擊行為實(shí)時(shí)做出反響。IDS工作方式、基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)、IDS能實(shí)現(xiàn)動(dòng)態(tài)的平安要素。漏洞檢測(cè)：模擬黑客的攻擊行為對(duì)內(nèi)部網(wǎng)絡(luò)或主機(jī)進(jìn)展掃描，然后給出平安漏洞報(bào)告。網(wǎng)絡(luò)防毒方案：包括多層病毒防護(hù)體系、客戶端防病毒系統(tǒng)、效勞器端的防病毒系統(tǒng)、互聯(lián)網(wǎng)的防病毒系統(tǒng)。〔4〕網(wǎng)絡(luò)防護(hù)體系的實(shí)施分步實(shí)施。第三章網(wǎng)絡(luò)平安漏洞掃描系統(tǒng)3.1漏洞掃描系統(tǒng)概述3.1.1漏洞的概念漏洞是可以在攻擊中利用的弱點(diǎn)，可以是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或配置不當(dāng)?shù)取?.1.2漏洞掃描系統(tǒng)簡(jiǎn)介1.漏洞掃描系統(tǒng)定義漏洞掃描是一種自動(dòng)檢測(cè)計(jì)算機(jī)平安脆弱點(diǎn)的技術(shù)。掃描程序集成了的常用攻擊方法，針對(duì)系統(tǒng)可能存在的各種脆弱點(diǎn)進(jìn)展掃描，輸出掃描結(jié)果，以便人工分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。2.漏洞掃描系統(tǒng)的必要性分析防火墻的局限性：〔1〕防火墻不能防范不經(jīng)過(guò)防火墻的攻擊?！?〕防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和平安問(wèn)題?！?〕防火墻不能防止最新的未設(shè)置策略或錯(cuò)誤配置引起的平安威脅?！?〕防火墻布不能防止可接觸的人為或自然的破壞?！?〕防火墻無(wú)法解決TCP/IP等協(xié)議的漏洞?！?〕防火墻對(duì)效勞器合法開(kāi)放端口的攻擊大多無(wú)法阻止。〔7〕防火墻不能阻止受病毒感染的文件的傳輸。〔8〕防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。〔9〕防火墻不能防止內(nèi)部的泄密行為?！?0〕防火墻不能防止本身漏洞的威脅。3.漏洞掃描系統(tǒng)組成漏洞掃描系統(tǒng)個(gè)組成局部功能說(shuō)明如下：漏洞數(shù)據(jù)庫(kù)模塊：用戶配置控制臺(tái)模塊掃描引擎模塊當(dāng)前活動(dòng)的掃描知識(shí)庫(kù)模塊結(jié)果存儲(chǔ)器和報(bào)告生成工具3.1.3網(wǎng)絡(luò)漏洞掃描器1.漏洞掃描器的工作原理掃描工作原理是，首先探測(cè)目標(biāo)系統(tǒng)的活動(dòng)主機(jī)，對(duì)活動(dòng)主機(jī)進(jìn)展端口掃描，確定系統(tǒng)開(kāi)放的端口，同時(shí)根基協(xié)議指紋技術(shù)識(shí)別出主機(jī)的操作系統(tǒng)類(lèi)型。然后掃描器對(duì)開(kāi)放的端口進(jìn)展網(wǎng)絡(luò)效勞類(lèi)型測(cè)識(shí)別，確定其提供的網(wǎng)絡(luò)效勞。漏洞掃描器根據(jù)目標(biāo)系統(tǒng)的操作系統(tǒng)平臺(tái)和提供的網(wǎng)絡(luò)效勞，調(diào)用漏洞資料庫(kù)中的各種漏洞進(jìn)展逐一檢查，通過(guò)對(duì)探測(cè)響應(yīng)數(shù)據(jù)包的分析判斷是否存在漏洞。掃描器應(yīng)有的三項(xiàng)能力：發(fā)現(xiàn)一個(gè)主機(jī)和網(wǎng)絡(luò)的能力；發(fā)現(xiàn)什么效勞正在主機(jī)上運(yùn)行的能力；發(fā)現(xiàn)效勞漏洞的能力。2.漏洞掃描技術(shù)漏洞掃描主要有4種技術(shù)：基于主機(jī)的漏洞掃描技術(shù)基于應(yīng)用的漏洞掃描技術(shù)基于目標(biāo)的漏洞掃描技術(shù)基于網(wǎng)絡(luò)的漏洞掃描技術(shù)防火墻的防御技術(shù)是被動(dòng)防御，而漏洞掃描技術(shù)那么是主動(dòng)防御。3.漏洞掃描器的選用按照漏洞掃描技術(shù)的標(biāo)準(zhǔn)，可以將漏洞掃描器分為兩種類(lèi)型：主機(jī)漏洞掃描器和網(wǎng)絡(luò)漏洞掃描器。主機(jī)漏洞掃描器：COPS、tripewire、tiger等網(wǎng)絡(luò)漏洞掃描器：NSS、ISS等。3.2漏洞掃描系統(tǒng)實(shí)施策略一個(gè)完善的漏洞系統(tǒng)實(shí)施方案應(yīng)包括6局部：1.平安應(yīng)用策略2.漏洞預(yù)警3.漏洞檢測(cè)4.漏洞統(tǒng)計(jì)分析5.漏洞修補(bǔ)6.漏洞審計(jì)跟蹤3.3.2漏洞掃描系統(tǒng)常用工具1.網(wǎng)絡(luò)平安掃描器NSS2.超級(jí)優(yōu)化TCP端口檢測(cè)程序Strobe3.平安管理員的網(wǎng)絡(luò)分析工具SATAN為Unix設(shè)計(jì)的。4.X-scanWindows免安裝3.3Windows系統(tǒng)漏洞的檢測(cè)與修補(bǔ)3.3.1Windows系統(tǒng)常見(jiàn)漏洞1.Windows2000〔1〕登錄輸入法漏洞MS00-069〔2〕系統(tǒng)崩潰特性〔3〕系統(tǒng)管理權(quán)限漏洞〔4〕IIS5.0/5.1驗(yàn)證漏洞2.Windows2003〔1〕自動(dòng)保存隱患調(diào)用應(yīng)用程序錯(cuò)誤的調(diào)試信息會(huì)自動(dòng)保存。修改方法：1.Regedit中HKLM\Software\Microsoft\WindosNT\CurrentVersion\AeDebug分支中Auto的鍵值改為0；2.刪掉DocumentandSetting\AllUsers\SharedDocumets\DrWatson\Drwatson中的User.dmp和Drwtsn32.log文件；3.重啟系統(tǒng)〔2〕資源共享隱患修改方法:1.網(wǎng)絡(luò)中“本地連接〞屬性中取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享〞〔3〕遠(yuǎn)程隱患遠(yuǎn)程通信登錄密碼是明文傳輸。加固方法：“我的電腦〞屬性中遠(yuǎn)程，取消“允許遠(yuǎn)程用戶連接到這臺(tái)計(jì)算機(jī)〞〔4〕用戶切換隱患加固方法：在用戶賬戶中取消“使用快速用戶切換〞〔5〕頁(yè)面交換隱患加固方法：1.regedit中HKLM\system\currentControlSet\Control\SessionManager\MemoryManagerment的ClearPapeFileAtShutdown的鍵值改為1。2.reboot。3.WindowsXP3.3.2Windows系統(tǒng)漏洞的檢測(cè)1.微軟基準(zhǔn)平安分析器MBSA免費(fèi)的漏洞檢測(cè)評(píng)估軟件。2.使用病毒防火墻自帶的系統(tǒng)漏洞掃描工具3.利用網(wǎng)絡(luò)系統(tǒng)平安工具自帶的系統(tǒng)漏洞掃描工具4.在線漏洞掃描工具軟件3.4操作系統(tǒng)更新3.4.1系統(tǒng)補(bǔ)丁部署原那么所安裝的補(bǔ)丁不能與所使用的應(yīng)用軟件沖突根據(jù)實(shí)際需要平安補(bǔ)丁在部署補(bǔ)丁前，應(yīng)做好以下工作在運(yùn)行補(bǔ)丁前要閱讀說(shuō)明文檔，充分了解補(bǔ)丁的功能、用法、對(duì)應(yīng)用的漏洞情況，對(duì)安裝補(bǔ)丁后發(fā)生的后果要做到心中有數(shù)在平安補(bǔ)丁前，最好將相應(yīng)文件進(jìn)展備份注意補(bǔ)丁程序?qū)?yīng)的操作系統(tǒng)和應(yīng)用軟件的版本。注意補(bǔ)丁來(lái)源要平安選擇十適當(dāng)?shù)陌惭b模式。在線；下載安裝3.4.2操作系統(tǒng)補(bǔ)丁更新實(shí)戰(zhàn)1.手動(dòng)安裝windows補(bǔ)丁程序2.windows系統(tǒng)補(bǔ)丁自動(dòng)更新Update效勞3.WSUS系統(tǒng)自動(dòng)更新效勞Windowsserverupdateservices是微軟公司提供的一款免費(fèi)軟件，提供局部windows操作系統(tǒng)關(guān)鍵更新的分發(fā)。3.5網(wǎng)絡(luò)漏洞掃描系統(tǒng)在企業(yè)網(wǎng)絡(luò)平安實(shí)施中的應(yīng)用實(shí)戰(zhàn)根據(jù)現(xiàn)代企業(yè)網(wǎng)絡(luò)現(xiàn)狀及開(kāi)展趨勢(shì)，對(duì)主要平安措施從以下幾個(gè)方面進(jìn)展考慮：網(wǎng)絡(luò)傳輸保護(hù)，主要是數(shù)據(jù)加密保護(hù)網(wǎng)絡(luò)平安隔離，主要措施是采用防火墻技術(shù)網(wǎng)絡(luò)病毒防護(hù)，主要是采用網(wǎng)絡(luò)防病毒系統(tǒng)廣域網(wǎng)接入局部的入侵檢測(cè)，采用入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)平安漏洞分析，采用漏洞掃描分析設(shè)備定期平安審計(jì)，主要包括兩局部：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)重要數(shù)據(jù)的備份，重要信息點(diǎn)的防電磁泄漏網(wǎng)絡(luò)平安構(gòu)造的可伸縮性，包括平安設(shè)備的可伸縮性，即根據(jù)用戶的需要隨時(shí)進(jìn)展規(guī)模、功能擴(kuò)展。網(wǎng)絡(luò)防雷措施第四章網(wǎng)絡(luò)控制技術(shù)網(wǎng)絡(luò)控制技術(shù)是網(wǎng)絡(luò)平安防范和保護(hù)的主要核心策略，他的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和?？刂埔?guī)定了主體對(duì)客體的限制，并在身份標(biāo)識(shí)的根底上，根據(jù)身份對(duì)提出資源的請(qǐng)求加以控制。4.1網(wǎng)絡(luò)控制概述4.1.1控制的概念控制是策略和機(jī)制的集合，它允許對(duì)限定資源的授權(quán)?？刂?要素,即主體、客體和控制策略。4.1.2控制的策略1.入網(wǎng)控制策略2.操作權(quán)限控制策略3.目錄平安控制策略4.屬性平安控制策略5.網(wǎng)絡(luò)效勞器平安控制策略6.網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制策略7.網(wǎng)絡(luò)端口和節(jié)點(diǎn)的平安控制策略8.防火墻控制策略4.1.3控制策略管理1.分布式策略管理2.集中式策略管理4.1.4控制的模型控制一般是基于平安策略和平安模型的。1.Bell-LaPadula模型**模型。上讀：不可讀高級(jí)別的數(shù)據(jù)下寫(xiě)：不可寫(xiě)低級(jí)別的數(shù)據(jù)2.Lattice模型3.Biba模型完整性下讀屬性：不能讀低級(jí)別數(shù)據(jù)上寫(xiě)屬性：不能寫(xiě)入高級(jí)別數(shù)據(jù)4.2控制分類(lèi)常用控制類(lèi)型：4.2.1自主控制DAC4.2.2強(qiáng)制控制MAC4.2.3基于角色的控制RBAC4.2.4基于任務(wù)的控制TBAC4.2.5基于對(duì)象的控制OBAC4.3控制應(yīng)用類(lèi)型控制主要應(yīng)用一下3個(gè)方面：4.3.1網(wǎng)絡(luò)控制機(jī)制1.防火墻的網(wǎng)絡(luò)控制機(jī)制2.路由器的網(wǎng)絡(luò)控制機(jī)制4.3.2主機(jī)-操作系統(tǒng)控制機(jī)制4.3.3應(yīng)用程序控制機(jī)制4.4企業(yè)網(wǎng)絡(luò)的控制實(shí)施過(guò)程1.構(gòu)建企業(yè)網(wǎng)絡(luò)平安體系一般來(lái)說(shuō)，網(wǎng)絡(luò)的平安控制體系分為企業(yè)內(nèi)部網(wǎng)絡(luò)的控制體系和企業(yè)外部網(wǎng)絡(luò)的控制體系這兩大局部。從技術(shù)角度而言。主要采用虛擬局域網(wǎng)技術(shù)、路由器控制列表、TACACA+或RADIUS認(rèn)證效勞和防火墻技術(shù)等。構(gòu)建企業(yè)網(wǎng)絡(luò)平安體系，需要注意如下方面：〔1〕明確網(wǎng)絡(luò)資源〔2〕確定網(wǎng)絡(luò)點(diǎn)〔3〕限制用戶范圍(4)明確平安設(shè)想〔5〕充分考慮人的因素〔6〕實(shí)現(xiàn)深層次平安2.企業(yè)內(nèi)部的平安控制企業(yè)內(nèi)部平安問(wèn)題主要在于：如何控制網(wǎng)絡(luò)不同部門(mén)之間的相互如何對(duì)不斷變更的用戶進(jìn)展有效的管理如何防止網(wǎng)絡(luò)風(fēng)暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運(yùn)行，甚至導(dǎo)致系統(tǒng)崩潰。如何加強(qiáng)遠(yuǎn)程撥號(hào)用戶的平安認(rèn)證管理一般企業(yè)內(nèi)部系統(tǒng)采用的平安技術(shù)如下：〔1〕VLAN技術(shù)〔2〕路由器控制列表〔3〕加強(qiáng)內(nèi)部撥號(hào)用戶的平安認(rèn)證管理一般常采用TACACS+或RADIUS協(xié)議，能夠支持鑒別、授權(quán)和記賬功能。3.企業(yè)外部平安控制一般用防火墻技術(shù)，防火墻分三類(lèi)：包過(guò)濾防火墻、應(yīng)用級(jí)網(wǎng)關(guān)和狀態(tài)監(jiān)視器第五章防火墻技術(shù)5.1防火墻技術(shù)根底5.1.1防火墻的概述防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施平安防范的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。5.1.2防火墻的功能一般防火墻有如下功能：1.防火墻是網(wǎng)絡(luò)平安的屏障2.防火墻可以強(qiáng)化網(wǎng)絡(luò)平安策略3.對(duì)網(wǎng)絡(luò)存儲(chǔ)和進(jìn)展監(jiān)控審計(jì)4.防止內(nèi)部信息外泄5.防御功能支持防病毒功能、支持內(nèi)容過(guò)濾功能6.管理功能5.1.3防火墻的優(yōu)缺點(diǎn)1.防火墻優(yōu)點(diǎn)〔1〕防火墻能強(qiáng)化平安策略〔2〕保護(hù)易受攻擊的效勞〔3〕防火墻能有效地記錄Internet上的活動(dòng)〔4〕增強(qiáng)的**性〔5〕防火墻是一個(gè)平安策略的檢查站2.防火墻的缺點(diǎn)〔1〕防火墻防內(nèi)不防外的策略限制〔2〕不能防范IP地址欺騙〔3〕無(wú)法檢測(cè)加密的web流量〔4〕防火墻不能防范病毒5.1.4防火墻開(kāi)展史五個(gè)開(kāi)展階段1.第一代防火墻與路由器同時(shí)出現(xiàn)，包過(guò)濾技術(shù)2.第二三代防火墻二代：電路層防火墻；三代：應(yīng)用層防火墻〔代理防火墻〕3.第四代防火墻動(dòng)態(tài)包過(guò)濾技術(shù)，狀態(tài)監(jiān)視技術(shù)4.第五代防火墻自適應(yīng)代理技術(shù)，智能防火墻5.2網(wǎng)絡(luò)防火墻技術(shù)5.2.1防火墻的分類(lèi)1.從防火墻產(chǎn)品形態(tài)分3類(lèi)：軟件防火墻；硬件防火墻；芯片級(jí)防火墻2.從防火墻采用的技術(shù)分3類(lèi)：包過(guò)濾型防火墻；代理型防火墻；檢測(cè)型防火墻3.從網(wǎng)絡(luò)體系構(gòu)造分4類(lèi)：網(wǎng)絡(luò)級(jí)防火墻；應(yīng)用級(jí)網(wǎng)關(guān)；電路級(jí)網(wǎng)關(guān)；規(guī)那么檢查防火墻4.從應(yīng)用部署位置分3類(lèi)：邊界防火墻；個(gè)人防火墻；混合式防火墻、分布式防火墻、嵌入式防火墻5.2.2防火墻的技術(shù)防火墻所采用的技術(shù)主要有：1.包過(guò)濾技術(shù)對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)的技術(shù)。優(yōu)點(diǎn)：一個(gè)過(guò)濾路由器協(xié)助防護(hù)整個(gè)網(wǎng)絡(luò)；數(shù)據(jù)包過(guò)濾對(duì)用戶透明；速度快效率高缺點(diǎn)：平安性相對(duì)不高；配置繁瑣2.應(yīng)用代理技術(shù)也叫應(yīng)用層網(wǎng)關(guān)技術(shù)，在應(yīng)用層實(shí)現(xiàn)，針對(duì)每一個(gè)特定的應(yīng)用進(jìn)展檢測(cè)。代理技術(shù)的優(yōu)點(diǎn)：易于配置；能生成各項(xiàng)記錄；靈活；能過(guò)濾數(shù)據(jù)內(nèi)容缺點(diǎn)：代理速度比路由慢；代理對(duì)用戶不透明；對(duì)于每個(gè)效勞，代理可能要求不同的效勞器；代理效勞通常要求對(duì)客戶或過(guò)程進(jìn)展限制；代理效勞器受協(xié)議弱點(diǎn)的限制；代理不能改良低層協(xié)議的平安性。3.一種改良的防火墻技術(shù)〔復(fù)合型防火墻技術(shù)〕由于過(guò)濾型防火墻平安性不高，代理型防火墻速度慢。因而出現(xiàn)了一種綜合兩種技術(shù)優(yōu)點(diǎn)的改良型防火墻技術(shù)。5.3防火墻平安設(shè)計(jì)謀略5.3.1防火墻的體系構(gòu)造3種1.雙宿主主機(jī)體系構(gòu)造雙宿主機(jī)、堡壘主機(jī)，是一臺(tái)至少配有兩個(gè)網(wǎng)卡的主機(jī)，充當(dāng)路由器用2.被屏蔽主機(jī)體系構(gòu)造需要一臺(tái)堡壘主機(jī)和一個(gè)有屏蔽功能的路由器3.被屏蔽子網(wǎng)體系構(gòu)造需兩個(gè)路由器，構(gòu)建一個(gè)DMZ區(qū)5.3.2防火墻平安設(shè)計(jì)謀略及要求1.如何解決防火墻效率和平安之間的矛盾為了解決效率和平安間的矛盾，防火墻采用如下平安策略：〔1〕除非明確允許否那么制止；常用〔2〕除非明確制止，否那么允許2.如何正確選用、合理配置防火墻應(yīng)遵循4個(gè)步驟：〔1〕風(fēng)險(xiǎn)分析〔2〕需求分析〔3〕確立平安政策〔4〕選擇正確的防護(hù)手段，并使之與平安政策保持一致3.需要正確評(píng)估防火墻的實(shí)效狀態(tài)4.防火墻必須進(jìn)展動(dòng)態(tài)維護(hù)5.如何對(duì)防火墻進(jìn)展測(cè)試驗(yàn)證5.4防火墻常見(jiàn)應(yīng)用方案5.4.1邊界防火墻1.邊界防火墻的應(yīng)用方案邊界防火墻具體可以實(shí)現(xiàn)的任務(wù)如下：2.邊界防火墻系統(tǒng)設(shè)計(jì)規(guī)那么規(guī)那么如下：5.4.2內(nèi)部防火墻系統(tǒng)1.網(wǎng)絡(luò)體系構(gòu)造分為：邊界網(wǎng)絡(luò)、外圍網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)2.內(nèi)部防火墻的應(yīng)用方案內(nèi)部防火墻具體應(yīng)用方案可以實(shí)現(xiàn)如下功能：5.5常見(jiàn)防火墻的選購(gòu)5.5.1常見(jiàn)防火墻產(chǎn)品廠家1.國(guó)外防火墻廠家思科〔CiscoPIX〕、CheckPoint、NetScreen等2.國(guó)內(nèi)一線廠家東軟、天融信、聯(lián)想、方正、安氏、華為、綠盟等3.國(guó)內(nèi)二線廠家億陽(yáng)、東方龍馬、中網(wǎng)、天網(wǎng)、網(wǎng)威、得實(shí)等4.國(guó)內(nèi)三鮮廠家其他5.5.2如何選購(gòu)適宜的防火墻產(chǎn)品1.防火墻自身平安性2.系統(tǒng)的穩(wěn)定性3.高效性4.可靠性5.功能靈活性6.配置和管理方便性7.是否可以抵抗拒絕效勞攻擊8.是否可以針對(duì)用戶身份過(guò)濾9.是否可擴(kuò)展、可升級(jí)5.5.3防火墻產(chǎn)品功能指標(biāo)詳解1.LAN口接口類(lèi)型、數(shù)量2.協(xié)議支持3.加密支持4.認(rèn)證支持5.技術(shù)支持6.防御功能支持病毒掃描；支持內(nèi)容過(guò)濾；能防御DoS攻擊類(lèi)型；阻止ActiveX、Java、Cookies、JavaScript入侵7.平安特性支持ICMP；提供入侵實(shí)時(shí)報(bào)警；防止IP欺騙8.管理功能9.記錄和報(bào)表功能5.6典型防火墻安裝與設(shè)置5.7網(wǎng)絡(luò)平安隔離技術(shù)3中解決方案劃分子網(wǎng)VLAN技術(shù)網(wǎng)絡(luò)隔離技術(shù)5.7.1劃分子網(wǎng)5.7.2Vlan技術(shù)在物理拓?fù)錁?gòu)造根底上建立邏輯網(wǎng)絡(luò)。1.VLAN技術(shù)的特性〔1〕簡(jiǎn)化終端的刪除移動(dòng)和改動(dòng)〔2〕控制通信活動(dòng)〔3〕增強(qiáng)網(wǎng)絡(luò)平安性〔4〕隔離網(wǎng)絡(luò)播送風(fēng)暴〔5〕簡(jiǎn)化網(wǎng)絡(luò)管理和維護(hù)，提高網(wǎng)絡(luò)性能2.VALN劃分方式〔1〕基于端口的劃分〔2〕基于MAC地址的劃分〔3〕基于網(wǎng)絡(luò)層的VLAN基于網(wǎng)絡(luò)層協(xié)議或IP地址〔4〕基于組播的VLAN3.VLAN技術(shù)的應(yīng)用5.7.3網(wǎng)絡(luò)隔離技術(shù)網(wǎng)絡(luò)隔離網(wǎng)卡、集線器、網(wǎng)閘5.8VPN技術(shù)與解決方案5.8.1VPN技術(shù)根底1.VPN的概念在公網(wǎng)上實(shí)現(xiàn)專(zhuān)網(wǎng)的效果。2.VPN的平安技術(shù)4項(xiàng)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。3.VPN的類(lèi)型〔1〕遠(yuǎn)程虛擬網(wǎng)AccessVPN〔2〕企業(yè)內(nèi)部虛擬網(wǎng)IntranetVPN〔3〕企業(yè)擴(kuò)展虛擬網(wǎng)ExtranetVPN4.VPN的優(yōu)點(diǎn)與缺乏〔1〕優(yōu)點(diǎn)VPN致力于為網(wǎng)絡(luò)提供整體的平安性，是性價(jià)比擬高的平安方式。VPN可以透明配置管理性能好提高業(yè)務(wù)質(zhì)量減低陳本〔2〕缺乏5.8.2VPN技術(shù)解決方案第六章網(wǎng)絡(luò)病毒的防治技術(shù)6.1網(wǎng)絡(luò)計(jì)算機(jī)冰毒的概述6.1.1網(wǎng)絡(luò)計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我復(fù)制的程序代碼。6.1.2計(jì)算機(jī)病毒的開(kāi)展6.1.3計(jì)算機(jī)病毒的分類(lèi)6.1.4計(jì)算機(jī)病毒的特點(diǎn)1.主動(dòng)通過(guò)網(wǎng)絡(luò)和電子系統(tǒng)傳播2.傳播速度快3.危害性大4.變種多5.難于控制6.去除難度大7.具有病毒、蠕蟲(chóng)和后門(mén)程序的功能6.1.5網(wǎng)絡(luò)計(jì)算機(jī)病毒的破壞行為6.1.6網(wǎng)絡(luò)病毒的生命周期與命名1.網(wǎng)絡(luò)病毒的生命周期〔1〕隱藏階段〔2〕傳播階段〔3〕觸發(fā)階段〔4〕執(zhí)行階段2.網(wǎng)絡(luò)病毒的命名命名方式：病毒前綴.病毒名.病毒后綴前綴是病毒的類(lèi)型；病毒名是一個(gè)病毒家族的特征；后綴是變種特征。6.1.7現(xiàn)代網(wǎng)絡(luò)計(jì)算機(jī)病毒的流行特征1.病毒與黑客程序相結(jié)合2.蠕蟲(chóng)病毒更加泛濫3.病毒破壞性大4.制作病毒方法更簡(jiǎn)單5.病毒傳播速度開(kāi)，傳播渠道更多6.病毒實(shí)時(shí)監(jiān)測(cè)更困難7.網(wǎng)關(guān)防毒已成趨勢(shì)6.2網(wǎng)絡(luò)計(jì)算機(jī)病毒防范及查殺6.3常見(jiàn)的網(wǎng)絡(luò)病毒防治產(chǎn)品6.3.1計(jì)算機(jī)防病毒軟件的功能1.產(chǎn)品體系完整、檢測(cè)率高2.軟件控制臺(tái)功能完善3.病毒庫(kù)可自動(dòng)更新4.報(bào)表功能方便易用5.實(shí)時(shí)掃描6.隨著系統(tǒng)啟動(dòng)而自動(dòng)防護(hù)6.3.2流行的防病毒軟件產(chǎn)品1.國(guó)外防病毒軟件Kaspersky卡巴斯基、McAfee、NortonAntiVirus賽門(mén)鐵克、Trend趨勢(shì)科技、熊貓衛(wèi)士、NOD322.國(guó)內(nèi)防病毒軟件瑞星、360、江民、金山、冠群金辰、6.4網(wǎng)絡(luò)病毒防治技術(shù)6.4.1單機(jī)環(huán)境下的網(wǎng)絡(luò)病毒防治技術(shù)1.單機(jī)環(huán)境下的網(wǎng)絡(luò)病毒防治技巧〔1〕安裝殺毒軟件，及時(shí)更新軟件〔2〕不要翻開(kāi)不明來(lái)源的〔3〕使用比擬復(fù)雜的密碼〔4〕使用防火墻，防止電腦受到來(lái)自互聯(lián)網(wǎng)攻擊〔5〕不要上陌生用戶連接到個(gè)人計(jì)算機(jī)上〔6〕不使用互聯(lián)網(wǎng)時(shí)及時(shí)斷開(kāi)連接〔7〕備份電腦數(shù)據(jù)〔8〕定期下載平安更新補(bǔ)丁〔9〕定期檢查計(jì)算機(jī)〔10〕主要防護(hù)工作檢查BIOS設(shè)置，將引導(dǎo)次序改為硬盤(pán)優(yōu)先在word中將“宏病毒防護(hù)翻開(kāi)〞，并翻開(kāi)“提示保存Normal模板〞，退出word，然后將Normal.dot文件的屬性改為只讀。在excel和powerpoint中將“宏病毒防護(hù)〞翻開(kāi)假設(shè)使用outlook，應(yīng)關(guān)閉信件預(yù)覽功能在IE等瀏覽器中設(shè)置適合的Internet平安級(jí)別，防范來(lái)自ActiveX和JavaScript的惡意代碼對(duì)外來(lái)的U盤(pán)、光盤(pán)和網(wǎng)上下載的軟件等應(yīng)先查殺病毒再使用啟用病毒軟件的實(shí)時(shí)監(jiān)控功能2.單機(jī)版防病毒軟件的安裝設(shè)置6.4.2網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)病毒防止技術(shù)2.企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)的主要功能需求〔1〕貫徹“層層設(shè)防、集中管控、以防為主、防治結(jié)合〞的企業(yè)防毒策略。〔2〕應(yīng)用先進(jìn)的實(shí)時(shí)監(jiān)控技術(shù)〔3〕智能安裝、遠(yuǎn)程識(shí)別〔4〕對(duì)新病毒的反響能力〔5〕對(duì)現(xiàn)用資源的占用情況3.企業(yè)中安裝和設(shè)置防病毒效勞器6.5企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)解決方案6.5.1企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)方案概述企業(yè)防病毒系統(tǒng)應(yīng)貫徹如下4點(diǎn)根本思想防病毒系統(tǒng)一定要實(shí)現(xiàn)全方位、多層次防病毒。網(wǎng)關(guān)防病毒是整體防病毒的首要防線沒(méi)有集中管理的防病毒系統(tǒng)是無(wú)效的防病毒系統(tǒng)效勞是整體防病毒系統(tǒng)中極為重要的一環(huán)第七章入侵檢測(cè)系統(tǒng)與入侵防護(hù)系統(tǒng)7.1入侵檢測(cè)系統(tǒng)概述部署防火墻可以可以提高網(wǎng)絡(luò)通過(guò)能力并阻擋一般性的攻擊行為。而采用IDS入侵檢測(cè)系統(tǒng)，那么可以對(duì)越過(guò)防火墻的攻擊行為以及來(lái)自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)展檢測(cè)和響應(yīng)。7.1.1入侵檢測(cè)系統(tǒng)的根本概念3.入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)〔IDSIntrusionDetectiveSystem〕是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反平安策略的行為和遭到攻擊的跡象。5.入侵檢測(cè)系統(tǒng)的通用模型一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：〔1〕事件產(chǎn)生器〔2〕事件分析器〔3〕響應(yīng)單元〔4〕事件數(shù)據(jù)庫(kù)6.入侵檢測(cè)系統(tǒng)的主要功能〔1〕監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作〔2〕檢測(cè)系統(tǒng)配置的正確性和平安漏洞〔3〕對(duì)用戶的正?；顒?dòng)進(jìn)展統(tǒng)計(jì)分析〔4〕檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性〔5〕檢測(cè)和記錄網(wǎng)絡(luò)中的平安違規(guī)行為〔6〕評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性〔7〕識(shí)別的攻擊行為和統(tǒng)計(jì)分析異常行為〔8〕操作系統(tǒng)日志管理，并識(shí)別違反平安策略的用戶活動(dòng)7.1.2入侵檢測(cè)系統(tǒng)的體系構(gòu)造主要分為三種：集中式、層次式和分布式。7.2入侵檢測(cè)系統(tǒng)的主要檢測(cè)技術(shù)數(shù)據(jù)分析技術(shù)主要分兩大類(lèi)：異常檢測(cè)和誤用檢測(cè)7.2.1基于異常的入侵檢測(cè)技術(shù)也稱(chēng)為基于行為的入侵檢測(cè)技術(shù)、特征檢測(cè)，是目前IDS的主要研究方向。7.2.2基于誤用的入侵檢測(cè)技術(shù)7.3入侵檢測(cè)系統(tǒng)的分類(lèi)按照檢查對(duì)象分為3類(lèi)：基于主機(jī)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)混合型入侵檢測(cè)系統(tǒng)7.4典型入侵檢測(cè)系統(tǒng)產(chǎn)品的選購(gòu)與使用1.入侵檢測(cè)系統(tǒng)的性價(jià)比2.特征庫(kù)升級(jí)與維護(hù)的費(fèi)用3.部署入侵檢測(cè)系統(tǒng)的環(huán)境4.入侵檢測(cè)系統(tǒng)的實(shí)際性能5.產(chǎn)品的可伸縮性6.運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)7.產(chǎn)品的入侵響應(yīng)方式8.是否通過(guò)對(duì)了國(guó)家權(quán)威機(jī)構(gòu)的評(píng)測(cè)9.入侵檢測(cè)系統(tǒng)安、配置管理的方便性常見(jiàn)入侵檢測(cè)系統(tǒng)綠盟的冰之眼入侵檢測(cè)系統(tǒng)中科網(wǎng)威的天眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)啟明星辰的天闐入侵檢測(cè)系統(tǒng)金諾網(wǎng)安的金諾網(wǎng)安入侵檢測(cè)系統(tǒng)KIDS瑞星的瑞星入侵檢測(cè)系統(tǒng)RIDS-100McAfee的McAfeeIntruShield4000IDSISS的BlackICE主機(jī)入侵檢測(cè)系統(tǒng)7.4.9入侵檢測(cè)系統(tǒng)產(chǎn)品應(yīng)用的部署策略入侵檢測(cè)系統(tǒng)部署步驟：1.確定入侵檢測(cè)需求：即網(wǎng)絡(luò)平安需求分析，給入侵檢測(cè)系統(tǒng)設(shè)置提供信息2.設(shè)計(jì)入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的拓?fù)湮恢茫捍_定入侵檢測(cè)點(diǎn)3.配置入侵檢測(cè)系統(tǒng)4.入侵檢測(cè)系統(tǒng)磨合5.入侵檢測(cè)系統(tǒng)的使用于自調(diào)節(jié)7.5入侵防御系統(tǒng)概述IDS只能被動(dòng)地檢測(cè)攻擊，IPS是一種智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和開(kāi)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。簡(jiǎn)單的理解IPS是IDS加防火墻，但不能替代。7.5.2入侵防御系統(tǒng)工作原理IPS串聯(lián)于通信線路之內(nèi)，是既具有IDS的檢測(cè)功能，用能夠?qū)崟r(shí)中止網(wǎng)絡(luò)入侵行為的新型平安設(shè)備。常用IPS**榮騰軟件技術(shù)**的網(wǎng)核入侵防御系統(tǒng)網(wǎng)核IPS3000第八章數(shù)字證書(shū)與認(rèn)證機(jī)構(gòu)8.1信息密碼學(xué)根底8.1.1密碼學(xué)開(kāi)展史1.古代密碼學(xué)手工2.古典密碼學(xué)密碼算法**3.近代密碼學(xué)密鑰**公鑰密碼學(xué)8.1.2密碼學(xué)根本概念消息明文密文；密鑰；加密算法；解密算法；鑒別；完整性；抗抵賴；密碼系統(tǒng)；密碼體制8.1.3信息密碼技術(shù)1.對(duì)稱(chēng)密鑰密碼技術(shù)加解密用同一個(gè)密鑰DES;3DES；RC系列；速度快密鑰管理和分發(fā)問(wèn)題；數(shù)字簽名的困難；雙方必須統(tǒng)一密鑰才能通信；多方通信時(shí)，密鑰數(shù)大；2.公開(kāi)密鑰密碼技術(shù)非對(duì)稱(chēng)密鑰RSA速度慢密鑰分發(fā)容易；公鑰公開(kāi)；每人一對(duì)密鑰；實(shí)現(xiàn)數(shù)字簽名8.1.4網(wǎng)絡(luò)平安認(rèn)證技術(shù)認(rèn)證指的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過(guò)程。其根本思想是通過(guò)驗(yàn)證對(duì)象的屬性來(lái)到達(dá)確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。一般分為：消息認(rèn)證：保證消息完整性和抗抵賴性身份認(rèn)證：鑒別用戶身份2.身份認(rèn)證技術(shù)身份認(rèn)證是指計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。一般三個(gè)要素可以用于認(rèn)證過(guò)程即：用戶的知識(shí)：口令等用戶的物品：IC卡等用戶的特征：指紋等常用的身份認(rèn)證方法：〔1〕基于口令的認(rèn)證方法〔2〕雙因素認(rèn)證口令+卡〔3〕一次口令機(jī)制動(dòng)態(tài)口令技術(shù)〔4〕生物特征〔5〕USBKey認(rèn)證3.消息認(rèn)證技術(shù)MAC消息認(rèn)證碼保證完整性和抗抵賴8.1.5電子簽名和數(shù)字簽名1.電子簽名：主要解決電子文件的簽字蓋章問(wèn)題，用于標(biāo)識(shí)電子文件簽署者的身份，保證文件的完整性，確保文件的真實(shí)性和抗抵賴。2.數(shù)字簽名：確定發(fā)信者身份。用摘要算法對(duì)消息運(yùn)算生成數(shù)字摘要，用私鑰對(duì)摘要進(jìn)展加密生成數(shù)字簽名。8.2PKI/CA建立8.2.1PKI/CA概述公鑰根底設(shè)施1.什么是PKI技術(shù)PKI技術(shù)采用證書(shū)管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)認(rèn)證中心CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，在Internet上驗(yàn)證用戶的身份。采用建立在PKI根底上的數(shù)字證書(shū)，通過(guò)把要傳輸?shù)臄?shù)據(jù)進(jìn)展加密和簽名，保證信息傳輸?shù)?*性、真實(shí)性、完整性和不可否認(rèn)性，從而保證信息的平安傳輸。PKI把公鑰密碼和對(duì)稱(chēng)