局域網(wǎng)組建與維護(hù)-10局域網(wǎng)安全與防護(hù).ppt

1、主講：宋一兵,局域網(wǎng)組建與維護(hù),第10章 局域網(wǎng)安全與防護(hù),10.1 網(wǎng)絡(luò)安全概述,局域網(wǎng)組建與維護(hù),10.2 Windows Server 2003安全管理,10.3 網(wǎng)絡(luò)安全防護(hù),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.4 案例校園網(wǎng)安全防護(hù)體系,10.1 網(wǎng)絡(luò)安全概述,隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)安全問題越來越被關(guān)注。計算機(jī)面臨的安全威脅是多方面的，主要的威脅可分為惡劣環(huán)境的影響、偶然故障和錯誤、人為的攻擊破壞以及計算機(jī)病毒感染4類。對于局域網(wǎng)，由于其自然環(huán)境相對安全和穩(wěn)定，所以對其安全性的研究主要集中在防止惡意用戶、病毒等破壞系統(tǒng)中的信息或干擾系

2、統(tǒng)的正常工作。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會由于偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。,局域網(wǎng)組建與維護(hù),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.1.1 網(wǎng)絡(luò)安全的基本概念,1、網(wǎng)絡(luò)安全的基本內(nèi)容 網(wǎng)絡(luò)安全是一個多層次、全方位的系統(tǒng)工程。根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu)。 物理環(huán)境的安全性（物理層安全）。 操作系統(tǒng)的安全性（系統(tǒng)層安全）。 網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）

3、。 應(yīng)用的安全性（應(yīng)用層安全）。 管理的安全性（管理層安全）。,局域網(wǎng)組建與維護(hù),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.1.1 網(wǎng)絡(luò)安全的基本概念,2、計算機(jī)網(wǎng)絡(luò)安全等級劃分 根據(jù)強(qiáng)制性國家標(biāo)準(zhǔn)計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則的定義，計算機(jī)網(wǎng)絡(luò)安全可以劃分為以下幾級。 第1級：用戶自主保護(hù)級。 第2級：系統(tǒng)審計保護(hù)級。 第3級：安全標(biāo)記保護(hù)級。 第4級：結(jié)構(gòu)化保護(hù)級。 第5級：訪問驗證保護(hù)級。 安全等級越高，所付出的人力、物力資源代價也越高。系統(tǒng)的安全等級會隨著內(nèi)部、外部環(huán)境的變化而變化。,局域網(wǎng)組建與維護(hù),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),

4、10.2節(jié),10.3節(jié),10.4節(jié),10.1.2 網(wǎng)絡(luò)安全威脅,計算機(jī)病毒就是能夠通過某種途徑潛伏在計算機(jī)存儲介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時即被激活的具有對計算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。 1、計算機(jī)病毒的分類。 按傳染方式來分類，可分為引導(dǎo)型病毒、文件型病毒和混合型病毒。 按照計算機(jī)病毒的傳播介質(zhì)來分類，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒的傳播介質(zhì)不再是移動式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強(qiáng)，破壞力更大。,局域網(wǎng)組建與維護(hù),計算機(jī)病毒,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.1.2 網(wǎng)絡(luò)安全威脅,2、計算機(jī)病毒的傳播途徑。

5、 通過不可移動的計算機(jī)硬件設(shè)備進(jìn)行傳播。 通過移動存儲設(shè)備來傳播。這些設(shè)備包括優(yōu)盤、軟盤、磁帶等。大多數(shù)計算機(jī)都是從這類途徑感染病毒的。 通過計算機(jī)網(wǎng)絡(luò)進(jìn)行傳播，這種方式將成為病毒的第一傳播途徑。 通過點對點通信系統(tǒng)和無線通道傳播。預(yù)計在未來的信息時代，這種途徑很可能與網(wǎng)絡(luò)傳播途徑成為病毒擴(kuò)散的兩大“時尚渠道”。,局域網(wǎng)組建與維護(hù),計算機(jī)病毒,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.1.2 網(wǎng)絡(luò)安全威脅,3、計算機(jī)病毒的危害。 病毒激發(fā)對計算機(jī)數(shù)據(jù)信息的直接破壞作用。 占用磁盤空間和對信息的破壞。 搶占系統(tǒng)資源，影響計算機(jī)、網(wǎng)絡(luò)的運行速度。 系統(tǒng)的不

6、穩(wěn)定與不可預(yù)見的危害。 計算機(jī)病毒給用戶造成嚴(yán)重的心理壓力。,局域網(wǎng)組建與維護(hù),計算機(jī)病毒,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.1.2 網(wǎng)絡(luò)安全威脅,一般來說，網(wǎng)絡(luò)安全的基本目標(biāo)是實現(xiàn)信息的機(jī)密性、完整性、可用性和合法性，這也是基本的信息安全目標(biāo)。 從行為的破壞性來說，網(wǎng)絡(luò)攻擊一般分為以下兩大類。 非破壞性攻擊：即破壞系統(tǒng)的正常運行但不進(jìn)入系統(tǒng)，這種攻擊不會得到對方系統(tǒng)內(nèi)的資料。 破壞性攻擊：以侵入他人系統(tǒng)為目的，進(jìn)入系統(tǒng)后得到對方資料或修改資料。 從攻擊的方法來說，網(wǎng)絡(luò)攻擊可分為被動攻擊和主動攻擊兩種。,局域網(wǎng)組建與維護(hù),計算機(jī)網(wǎng)絡(luò)攻擊,第10

7、章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.1.3 常見網(wǎng)絡(luò)攻擊手段,利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊 通過電子郵件進(jìn)行攻擊 解密攻擊 后門軟件攻擊 拒絕服務(wù)攻擊,局域網(wǎng)組建與維護(hù),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),10.2 Windows Server 2003安全管理,事件查看器是服務(wù)器管理中最常使用的一個系統(tǒng)工具，通過對事件日志的查看，可以了解服務(wù)器的運行狀況和安全事件。Windows Server 2003事件日志記錄了以下3個方面的事件。 應(yīng)用程序日志 系統(tǒng)日志 安全日志,局域網(wǎng)組建與維護(hù),10.2.1 事件查看器

8、,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),啟動Windows Server 2003時，事件日志服務(wù)會自動啟動。所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，只有管理員才能訪問安全日志。,局域網(wǎng)組建與維護(hù),10.2.1 事件查看器,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),啟動Windows Server 2003時，事件日志服務(wù)會自動啟動。所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，只有管理員才能訪問安全日志。,局域網(wǎng)組建與維護(hù),10.2.1 事件查看器,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10

9、.4節(jié),任務(wù)管理器提供了有關(guān)計算機(jī)性能、運行的應(yīng)用程序和進(jìn)程的信息?？梢允褂枚噙_(dá)15個參數(shù)評估正在運行的進(jìn)程，還可以查看CPU和內(nèi)存使用情況的圖形和數(shù)據(jù)。,局域網(wǎng)組建與維護(hù),10.2.2 任務(wù)管理器,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),選擇【開始】/【程序】/【管理工具】/【本地安全設(shè)置】命令，打開【本地安全設(shè)置】窗口,局域網(wǎng)組建與維護(hù),10.2.3 本地安全策略,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),設(shè)置計算機(jī)賬戶的密碼策略。,局域網(wǎng)組建與維護(hù),10.2.3 本地安全策略,第10章： 局域網(wǎng)安全與防護(hù),10.1

10、節(jié),10.2節(jié),10.3節(jié),10.4節(jié),修改系統(tǒng)管理員名稱,局域網(wǎng)組建與維護(hù),10.2.3 本地安全策略,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),網(wǎng)絡(luò)安全防護(hù)是一個復(fù)雜的系統(tǒng)工程，需要使用各種軟件工具、硬件設(shè)備和應(yīng)用系統(tǒng)來實現(xiàn)對網(wǎng)絡(luò)的綜合防護(hù)，如防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、防病毒網(wǎng)關(guān)、防信息泄露系統(tǒng)等。,局域網(wǎng)組建與維護(hù),10.3 網(wǎng)絡(luò)安全防護(hù),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),防火墻是一種特殊的網(wǎng)絡(luò)互連設(shè)備，用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外網(wǎng)用戶以非法手段通過外網(wǎng)進(jìn)入內(nèi)網(wǎng)訪問內(nèi)網(wǎng)資源，保

11、護(hù)內(nèi)網(wǎng)操作環(huán)境。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。,局域網(wǎng)組建與維護(hù),10.3.1 防火墻,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),軟件防火墻又分為個人防火墻和系統(tǒng)網(wǎng)絡(luò)防火墻。前者主要服務(wù)于客戶端計算機(jī)，Windows操作系統(tǒng)本身就有自帶的防火墻，其他如金山毒霸、卡巴斯基、瑞星、天網(wǎng)、360安全衛(wèi)士等都是目前較流行的防火墻軟件,局域網(wǎng)組建與維護(hù),10.3.1 防火墻,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),硬件防火墻。相對于軟件

12、防火墻來說，硬件防火墻更具有客觀可見性，就是可以見得到摸得著的硬件產(chǎn)品。硬件防火墻有多種，其中路由器可以起到防火墻的作用，代理服務(wù)器同樣也具有防火墻的功能。,局域網(wǎng)組建與維護(hù),10.3.1 防火墻,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),芯片級防火墻。其基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。生產(chǎn)這類防火墻較有名的廠商有NetScreen和FortiNet等 。,局域網(wǎng)組建與維護(hù),10.3.1 防火墻,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),防火墻

13、所用的技術(shù) 包過濾（Packet Filtering）型。 應(yīng)用代理（Application Proxy）型。 網(wǎng)絡(luò)地址轉(zhuǎn)換。 監(jiān)測型。,局域網(wǎng)組建與維護(hù),10.3.1 防火墻,第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),入侵檢測系統(tǒng)（IntrusionDetection System，IDS）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)控，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于IDS是一種積極主動的安全防護(hù)技術(shù)。,局域網(wǎng)組建與維護(hù),10.3.2 入侵檢測系統(tǒng),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3

14、節(jié),10.4節(jié),計算機(jī)病毒具有傳染性、隱蔽性、潛伏性、破壞性、針對性、衍生性、寄生性及未知性等基本特點。 計算機(jī)病毒的分類。 文件型病毒 引導(dǎo)區(qū)病毒 宏病毒 目錄鏈接型病毒,局域網(wǎng)組建與維護(hù),10.3.3 網(wǎng)絡(luò)防病毒系統(tǒng),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),網(wǎng)絡(luò)病毒的傳播方式和特點。 局域網(wǎng)中大量共享資源的“數(shù)據(jù)開放性”，造就了病毒感染的直接性。 如果局域網(wǎng)中其中一臺電腦感染病毒，又通過服務(wù)器來進(jìn)行信息傳遞，就會感染服務(wù)器。 一旦服務(wù)器感染病毒，所有需要經(jīng)過服務(wù)器的數(shù)據(jù)也會被順帶感染，進(jìn)而造成整個網(wǎng)絡(luò)感染病毒的情況。 局域網(wǎng)內(nèi)計算機(jī)的數(shù)據(jù)快速、便捷地傳

15、遞，如果其中一臺計算機(jī)感染病毒，任何與該電腦數(shù)據(jù)傳遞都會感染病毒。 網(wǎng)絡(luò)使用者對病毒的安全意識不強(qiáng)，因此會造成經(jīng)常性的病毒感染。,局域網(wǎng)組建與維護(hù),10.3.3 網(wǎng)絡(luò)防病毒系統(tǒng),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),網(wǎng)絡(luò)病毒防護(hù)策略。 一定要實現(xiàn)全方位、多層次防毒。 網(wǎng)管防毒是整體防病毒的首要防線。 沒有管理的防毒系統(tǒng)是無效防毒系統(tǒng)。 服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。,局域網(wǎng)組建與維護(hù),10.3.3 網(wǎng)絡(luò)防病毒系統(tǒng),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),網(wǎng)絡(luò)防病毒系統(tǒng)的基本要求 在局域網(wǎng)中，為了保證防病毒系統(tǒng)的

16、一致性、完整性和自升級能力，必須有一個完善的病毒防護(hù)管理體系，負(fù)責(zé)病毒軟件的自動分發(fā)、自動升級、集中配置和管理、統(tǒng)一事件和告警處理、保證整個企業(yè)范圍內(nèi)病毒防護(hù)體系的一致性和完整性。 完整的產(chǎn)品體系和高的病毒檢測率。 功能完善的防病毒軟件控制臺。 減少通過廣域網(wǎng)進(jìn)行管理的流量。 方便易用的報表功能。 對計算機(jī)病毒的實時防范能力。 快速及時的病毒特征碼升級。,局域網(wǎng)組建與維護(hù),10.3.3 網(wǎng)絡(luò)防病毒系統(tǒng),第10章： 局域網(wǎng)安全與防護(hù),10.1節(jié),10.2節(jié),10.3節(jié),10.4節(jié),堅持主動防御、動態(tài)防御、立體防御的原則，從預(yù)防、保護(hù)、響應(yīng)和管理方面入手，采取整體方案設(shè)計、分步實施的步驟，從邊界防御、漏洞掃描、病毒查殺、行為審計、網(wǎng)絡(luò)