网络系统安全基础知识.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络系统安全基础,主讲人：刘恒,年10月,体系/技术/产品,网络系统安全基础知识,第1页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第2页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第3页,什么是安全？,Security is the reduction of risk,安全就是降低风险，并使之到达“可接收”程度,网络系统安全基础知识,第4页,安全策略,安全管理,安全评定,整体安全,技术原因全方面服务确保,网络基础结构,网络安全,物理安全,操作系统平台安全性,应用平台安全性,应用 数据安全,信息安全体系组成,网络系统安全基础知识,第5页,传统网络安全防御体系,网络系统安全基础知识,第6页,动态防御体系,在,防护,检测,响应(PDR),模型基础上动态防御体系,因为其优异自适应、自控制、自反馈特征,已经在国际上得到了广泛接收和采纳.,网络系统安全基础知识,第7页,安全系统应该满足,P(t)防护时间D(t)检测时间+R(t)响应时间,防护成本取决于风险造成损失,风险大小和时,间高度正相关,防御体系建立必须围绕实时性和应急机制来充分提升其性能价格比,PDR安全实用性模型,网络系统安全基础知识,第8页,动态防御体系,网络系统安全基础知识,第9页,新型安全体系,网络系统安全基础知识,第10页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第11页,安全处理方案模型,安全策略,安全组织管理,安全运作管理,安全技术框架,访问控制,内容安全,审计响应,冗余恢复,判别认证,网络系统安全基础知识,第12页,网络安全协议/功效模型,体系与技术对应关系,网络系统安全基础知识,第13页,防护主要技术,访问控制:ACL,VLAN,防火墙,加密机,VPN,认证,CA,检测主要技术,入侵检测系统,漏洞扫描系统,病毒防护,响应主要技术,报警、统计、阻断、联动、还击,PDR主要技术,网络系统安全基础知识,第14页,静态与动态安全技术,静态防护：,被动，滞后防御,动态防护：,主动、实时防御,网络系统安全基础知识,第15页,综合防御,防火墙及相关网络防护体系第一道防线，阻止入侵,入侵监测第二道防线，发觉入侵,攻击反应第三道防线，打不跨,自动恢复第四道防线，起死回生,网络系统安全基础知识,第16页,安全处理方案,防病毒,制订最高安全方针,落实项目安全审核工作,明确安全领导小组工作职责,策略有效公布和执行,策略体系开发和建立,安全培训与资质认证,落实安全责任文件,安全组织建设,资产判别和分类项目,制订全员网络安全教育计划,第三方安全管理,策略定时审查和修订,BS7799认证项目,网络安全域隔离和划分,统一时钟服务,防火墙和网络隔离,紧急响应体系,动态口令系统,入侵监测系统,主机安全,业务连续性管理,聘请专业企业或者教授作为顾问,周期性风险评定服务项目,日志监控系统,冗余、备份和恢复,可信信道,数据源判别,网络设备安全,安全管理中心和网络安全平台,PKI体系可行性分析,基础项目,优先项目,非优先项目,长久项目,技术类项目,管理类项目,表示支持或支撑作用,网络系统安全基础知识,第17页,IT安全框架,资产,威胁,防护办法,策略框架,组织框架,运作框架,技术框架,判别和认证I&A,访问和控制AC,审计跟踪AT,恢复和冗余R&R,内容安全CS,体系到处理方案,风险评定服务,顾问服务,顾问服务,CA/RSA,基于系统,AC功效,漏洞扫描,IDS,网络架构,安全分析,网络架构,安全分析,防火墙,系统,冗余设计,防病毒,安全管理,平台,加密/完整检验,网络系统安全基础知识,第18页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第19页,防火墙功效,防火墙就是一个位于计算机和它所,连接网络之间硬件或软件。全部流,入流出网络通信均要经过此防火墙。,网络系统安全基础知识,第20页,为何要使用防火墙？,防火墙含有很好保护作用。入侵者必须首先穿越防火墙安全防线，才能接触目标计算机。可将防火墙配置成许多不一样保护级别。高级别保护能够禁止一些服务，如视频流，Java，ActiveX，JavaScript脚本等,有时需要将内部网络划分为多个网段，为不一样部门设置不一样访问级别,网络系统安全基础知识,第21页,防火墙五大基本功效,过滤进、出网络数据，是网络安全屏障,管理进、出网络访问行为，预防内部信息外泄,封堵一些禁止业务，对网络存取和访问进行控制,统计经过防火墙信息内容和活动,对网络攻击检测和告警，强化网络安全策略,网络系统安全基础知识,第22页,防火墙分类,按,逻辑功效,包过滤式防火墙：天融信，联想,应用代理式防火墙：TIS,状态检测防火墙,按,体系结构,硬件防火墙：Netscreen,Nokia,Cisco Pix,软件防火墙：Checkpoint,ISA Server,软硬结合,按操作模式,网桥模式,路由模式,NAT,按,性能,百兆,千兆,按布署方式,边界(企业)防火墙,个人（主机）防火墙,网络系统安全基础知识,第23页,防火墙中主要技术,封包过滤,（Packet Fileter）,状态检测,（Stateful,inspection）,网络地址转换NAT,（Network Address Transform）,代理技术,（Proxy）,网络系统安全基础知识,第24页,封包过滤,封包过滤（Packet Fileter）：作用在网络层和传,输层，它依据分组包头源地址，目标地址和端口,号、协议类型等标志确定是否允许数据包经过。,只有满足过滤逻辑数据包才被转发到对应目,地出口端，其余数据包则被从数据流中丢弃。,网络系统安全基础知识,第25页,状态检测,状态检测（Stateful inspection）：其工作原理是检测每一个有效连接状态，并依据这些状态信息决定网络数据包是否能够经过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，而且将当前数据包及其状态信息和其前一时刻数据包及其状态信息进行比较，从而得到该数据包控制信息，以到达提升效率、保护网络安全目标。,状态检测,将数据包分成4种连接状态：New,Established，Related，Invalid,网络系统安全基础知识,第26页,使用NAT原因,处理IP地址空间担心问题,共享 modem 拨号上网,多重服务器（负载分担load-sharing）,网络系统安全基础知识,第27页,代理技术,代理技术（Proxy）：也叫应用网关（Application Gateway）,作用在应用层，其特点是完全“阻隔”网络通信流，经过对每种应用服务(如http,ftp,smtp)编制专门代理程序，实现监视和控制应用层通信流作用。实际中应用网关通常由专用工作站实现。,网络系统安全基础知识,第28页,防火墙经典布署,防火墙,网络系统安全基础知识,第29页,代理式防火墙布署示意图,网络系统安全基础知识,第30页,主要防火墙品牌,中网,川大能士,方正数码,海信数码,华堂,华依科技,联想,龙马卫士通,三星防火墙,四川迈普,亿阳信通,中软华泰,中网通讯,天融信,东软,青鸟环宇,交大捷普,重庆银都天网,清华得实,中科安胜,华为,广州科达,广东海微,CheckPoint,Netscreen,Cisco,Nokia,三星,网络系统安全基础知识,第31页,怎样选择防火墙？,主要指标,设计性能（M）：10/100M，1000M,最大并发连接数（万）,接口类型、接口数,操作系统类型,MTBF(平均无故障时间/小时),策略规则许可值,设计性能策略数,管理方式,是否支持与IDS联动,是否支持VPN、是否支持SNMP,是否支持双机热备、负载均衡,网络系统安全基础知识,第32页,防火墙性能指标,吞吐率,网络系统安全基础知识,第33页,千兆防火墙产品比较,网络系统安全基础知识,第34页,百兆防火墙产品比较,网络系统安全基础知识,第35页,东软NetEye与PIX比较,网络系统安全基础知识,第36页,使用防火墙是否足够？,防火墙属于静态防护,防火墙难于防内,防火墙难于管理和配置，易造成安全漏洞,防火墙安全控制主要是基于,IP,地址，难于为用户在防火墙内提供一致安全策略,防火墙只实现了粗粒度访问控制,，,且不能与企业内部使用其它安全机制（如访问控制）集成使用,任何一个系统（尤其是底层系统和应用系统）中可能存在着安全漏洞，造成绕过防火墙攻击,网络系统安全基础知识,第37页,穿透防火墙攻击,Unicode,%255c,策略,80 端口 允许,Del c:inetpubwwwrootdefault.asp,Unicode:%255c,网络系统安全基础知识,第38页,绕过防火墙攻击,拨号上网,遭受攻击,网络系统安全基础知识,第39页,来自防火墙内部攻击,网络系统安全基础知识,第40页,针对防火墙攻击,DOS攻击,Fire Walk,网络系统安全基础知识,第41页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第42页,了解入侵检测系统(IDS),监控室=控制中心,后门,保安=防火墙,摄像机=探测引擎,Card Key,网络系统安全基础知识,第43页,IDS主要功效,监视分析用户和系统行为,审计系统配置和漏洞,评定敏感系统和数据完整性,识别攻击行为并告警,对异常行为进行统计,审计、跟踪、识别违反安全法规行为,网络系统安全基础知识,第44页,IDS分类,基于网络入侵检测系统：侦测速度快，隐蔽性好，视野更宽，较少监测点，攻击者不易转移证据，操作系统无关性，占用资源少,基于主机入侵检测系统：性能价格比高，愈加细腻，视野集中，易于用户剪裁，节约资源，对网络流量不敏感，适合用于被加密以及交换环境，含有已发生事件信息，易于确定攻击是否成功,网络系统安全基础知识,第45页,IDS工作过程,网络数据包获取DMA技术,网络数据包解码协议分析,网络数据包检验模式匹配,网络数据包统计异常检测,网络数据包审查事件生成,网络系统安全基础知识,第46页,IDS新特征,人机界面：,“GIS”显示与IP定位,网络系统安全基础知识,第47页,IDS新特征,人机界面：,拓扑发觉,攻 击 类 型,双击目标,查看详细信息,外 部 IP 地 址,目标节点,用可视化方式显示当前安全状态,用不一样颜色和形状表示关键点。（如外部IP）,网络系统安全基础知识,第48页,IDS新特征,人机界面：,攻击活动显示,网络系统安全基础知识,第49页,IDS新特征,网络系统安全基础知识,第50页,全局技术管理化,建立全局预警体系，做到一点发觉，全网皆知并及时响应,IDS（主控）,IDS（子控）,IDS（子控）,重庆,大连,西安,上海,北京,攻击,报警,预警,预警,预警,网络系统安全基础知识,第51页,IDS作用,IDS功效实质,全方面实时了解网络动态现实状况（而不是仅仅发觉黑客攻击）,大规模布署和多级管理统一监控和全局预警能力,对网络行为进行分析综合和预测,在第一时间对网络中危害做出反应,终止危害,预防损失扩大,使系统恢复到正常工作状态,保留攻击证据,分析入侵行为,追究攻击起源,网络系统安全基础知识,第52页,IDS作用,对建设单位,提升安全理念,系统安全认识,全方面安全布局,深入挖掘本身安全需求，增强投资意识,量化安全投入，有效投入,增强本身免疫力,便于及时在日常中发觉微弱步骤，能够采取多方面办法加强安全；,降低风险,及时发觉风险，快速定位问题,网络系统安全基础知识,第53页,IDS作用,对建设单位,降低损失,出现突发事件时，能够做到全局预警，快速定位，采取办法，使网络整体损失降到最低,对于已知事件，能够快速响应，对于未知事件，进行高质量防护,带来技术与管理高度统一,安全是人操作技术，安全不但仅是产品投入，应该还有流程、制度,网络系统安全基础知识,第54页,IDS作用,对主管领导,第一时间了解网络安全形势,把握安全趋势,明确安全责任,网络系统安全基础知识,第55页,IDS作用,对一线技术人员,及时发觉安全事件,快速定位安全问题,更加好地利用网络安全设备,网络系统安全基础知识,第56页,IDS放置方式,IDS检测器放在防火墙之外,IDS检测器放在防火墙之内,防火墙内外都有IDS检测器,网络系统安全基础知识,第57页,IDS布署示例,MAIL虚拟映射,DMZ区,防火墙内网,防火墙外网,Internet,MAIL服务器,WWW服务器,DNS服务器,PROXY服务器,路由器,IDS控制中心,网络安全控制平台,IDS探测引擎,网络系统安全基础知识,第58页,分布式入侵检测系统,Internet,内网,DMZ区域,MAIL服务器,WWW服务器,IDS控制中心,主机入,侵检测,WIN平台,Solaris平台,SQL Server,网络入侵检测,网络系统安全基础知识,第59页,网络系统安全基础知识,第60页,主要IDS品牌,启明星辰(天阗),中联绿盟(,冰之眼,),金诺,中科网威(,天眼,),北方计算中心NISDetector,安氏,ISS(RealSecure),NFR,网络系统安全基础知识,第61页,主流IDS产品及指标,网络系统安全基础知识,第62页,应急响应目标,终止危害,预防损失扩大,使系统恢复到正常工作状态,保留攻击证据,分析入侵行为,追究攻击起源,网络系统安全基础知识,第63页,应急响应,日常安全服务,安全监控服务,安全通告服务,日志分析服务,系统评定服务,边界设备优化服务,系统加固服务,网络系统安全基础知识,第64页,应急响应流程（1）,重大安全事件,影响骨干网正常运转安全事件,对众多桌面系统有危害安全事件,需要在入侵检测系统上进行监控事件,有可能大规模暴发网络病毒，如sql server蠕虫、弱口令蠕虫、codered F等,协调组组员,总协调人：副总,协调组组员：相关安全/技术责任人,网络系统安全基础知识,第65页,接收初步资料,作为应急响应统一入口，总协调人接收安全事件初步资料，包含起源、性质、大约情况等。并依据情况，通知协调组组员，做好应急准备。,应急响应流程（2）,网络系统安全基础知识,第66页,查明原因及找出事件特征,在入侵检测系统找采样点进行采样,依据接到资料，在网络或现场查明原因，进行详细分析，总结出事件特征，派人到入侵检测系统维护现场，在采样点进行数据采样，并将采样情况及时汇报给总协调人。,开启紧急信息快递，及时将情况通报给相关客户，做好准备工作。,确定是否为大规模安全事件,总协调人依据采样数据和其它渠道信息，与安全管理中心人员一起确定是否为大规模安全事件。,入侵检测系统全方面监控,利用入侵检测系统，对该事件进行全方面监控，并按时提供各种分析汇报。,应急响应流程（3）,网络系统安全基础知识,第67页,数据验证,假如从入侵检测系统上得到数据需要验证，,进行验证后，提供给入侵检测系统维护人员，,整理后再提供给安全管理中心,应急响应流程（4）,网络系统安全基础知识,第68页,提供该事件公告原稿,提供该事件公告原稿给总协调人。,应急响应流程（5）,网络系统安全基础知识,第69页,审核公告原稿,审核经过后，总协调人通知应急响应小组将修改后稿件，公布到应急响应网站。,应急响应流程（6）,网络系统安全基础知识,第70页,事件库升级或程序升级,公布到企业网站,依据事件情况修改入侵检测事件库，公布到网站,紧急信息快递通知,本流程中,共有2次紧急信息快递:第一次是在安全事件查明原因时,及时通知相关客户知道有安全事件,并做好准备;第二次是事件库或程序公布到网站后,通知客户详细处理办法.,及时跟踪并处理客户在整个过程所碰到问题。,应急响应流程（7）,网络系统安全基础知识,第71页,应急响应示例,网络系统安全基础知识,第72页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第73页,病毒新特点,隐藏型病毒,自加密、多形态及变异病毒,反向病毒,邮件型病毒,JAVA和ActiveX病毒智能化,病毒形式多样化,传输方式多样化,专用病毒生成工具,网络系统安全基础知识,第74页,病毒分类方法,无害型:传染时降低磁盘可用空间外，对系统没有其它影响,无危险型:降低内存、显示图像、发出声音及同类音响,危险型:在计算机系统操作中造成严重错误,非常危险型:删除程序、破坏数据、去除系统内存区和操作系统中主要信息,按传染方式则可分为：引导型病毒、文件型病毒和混合型病毒,网络系统安全基础知识,第75页,病毒制造方法,自动化,VCS（改文字）,VCL（Buggy）,组织化,ARCV小组(VCL、PS-MPCs）,公开化,产生成千上万病毒,网络系统安全基础知识,第76页,病毒技术特征,智能性,躲避/攻击防病毒系统,Tequila to ViruScan,Peach to Central Point,多态性,加密、变换、插入,V2Px,MtE-,TPE-类型,多级反病毒防御,网络系统安全基础知识,第77页,病毒,表现形式,无固定端口，无更多连接,远程控制,扫描+攻击,反向连接,可放置在全部网络层,ICMP,IP,TCP,UDP,HTTP,SMTP,DNS.,难于检测,Secure Communication(Crypto),Covert Channels,Kernel Backdoor,网络系统安全基础知识,第78页,防病毒产品类型,网关防病毒,群件(,邮件)防病毒,服务器防病毒,客户机防病毒,网络系统安全基础知识,第79页,防病毒产品布署,邮件防病毒,Mail,DNS,Intranet,Mail,Mail,DNS,DNS,Intranet,Intranet,网络系统安全基础知识,第80页,防病毒产品主要厂商,NAI(McAfee),赛门铁克Norton,趋势Trend,熊猫Panda,F-secure,Nokia,瑞星,金山毒霸,冠群金辰(Kill),启明星辰(天恒安防),江民（KV）,网络系统安全基础知识,第81页,主流防毒产品及指标,TrendMicro,Norton,McAfee,AVP,升级频率,每七天三,每七天五,一周一次,天天两次,自动更新病毒码、扫描引擎,yes,yes,yes,yes,客户端-服务器端数据流量,通讯时几K，增量更新时200K以上,3M,通讯时9K左右，增量更新时20K-50K，分发策略时100K,通讯时1k，增量更新时3-20K,当前可知清毒数目,50000余种,71,000,72,618以上,清毒方式,忽略，删除，重命名，隔离，去除,删除，去除，忽略，隔离,问询、删除、经过、隔离、去除,问询、删除，重命名，去除，统计到日志，忽略，隔离,CPU利用率,yes（10%-100%）,yes（高、中、低）,网络系统安全基础知识,第82页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第83页,为何要进行安全评定？,风险,=X,风险,X,资产价值,脆弱性,威胁,损失,=,应急响应能力,网络系统安全基础知识,第84页,安全评定内容,网络风险,主机风险,应用风险,安全控制,系统可用性,管理风险,网络系统安全基础知识,第85页,安全评定内容,当前系统和安全轮廓（Control）,描述系统理想情况（target）,希望改进方面（hope）,网络系统安全基础知识,第86页,安全评定内容,定义系统安全等级和主要性,对各等级系统安全现实状况进行描述,制订整体架构和理想目标,制订可行性策略和改进计划,描述系统漏洞,描述系统事件,发觉事件方式是否充分,网络系统安全基础知识,第87页,业务流程,资产分类,弱点分析,威胁分析,网络架构分析,业务流程分析,现有安全办法,风险分析,安全办法提议,安全评定方法,工作形式,文档评定,顾问访谈,系统工具评定,系统人工评定,白客测试,工作对象,策略,管理体系,组织,系统,网络,主机,通用应用,业务应用,网络系统安全基础知识,第88页,漏洞扫描系统,Internet,workstation,评定工具：漏洞扫描系统,网络系统安全基础知识,第89页,漏洞扫描系统检验内容,Web服务,FTP服务,RPC攻击,NetBios类,GGI-BIN,特定强力攻击,NFS/X windows攻击类,共享/DCOM类,电子邮件类,安全区检测,SMTP类,SNMP类,后门检验类,拒绝服务攻击检测,浏览器类,守护进程类,NT组/NT网络类,NT服务类,关键NT问题,NT 用户策略,NT注册表,NT口令类,DNS,NIS,缓冲区溢出,网络系统安全基础知识,第90页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第91页,为何要进行网络审计？,我们网络中到底发生了什么,怎样进行事后追踪,怎样对网络进行有效监控,怎样改进网络安全策略,网络系统安全基础知识,第92页,网络审计主要内容,网络连接审计,协议审计,端口审计,拨号连接审计,个人帐户审计,文件访问审计,数据审计,流量统计审计,数据库审计,WEB服务器审计,安全事件再现审计,键盘审计,屏幕审计,系统统计分析,网络系统安全基础知识,第93页,审计产品布署示例,审计引擎,网络系统安全基础知识,第94页,主要网络审计产品厂商,启明星辰,复旦光华,成都大东网安,汉邦软科,网络系统安全基础知识,第95页,审计产品比较,网络系统安全基础知识,第96页,主要内容,体系,技术,产品,防火墙,入侵检测与应急响应,网络防病毒,安全评定与漏洞扫描,网络审计,CA系统,网络系统安全基础知识,第97页,网络中怎样识别身份？,网络系统安全基础知识,第98页,什么是 PKI？,PKI，Public Key Infrastructure.,PKI正在快速地演进中，从不一样角度出发，有不一样定义.,PKI是一个用公钥概念和技术来实施和提供安全服务含有普适性安全基础设施.,PKI是生成、管理、存放、分发和吊销基于公钥密码学公钥证书所需要硬件、软件、人员、策略和规程总和.,网络系统安全基础知识,第99页,PKI组成,网络系统安全基础知识,第100页,PKI基础,公钥密钥学(Public Key Cryptography),公钥密码学处理关键问题是密钥分发.,目录服务(Directory Services),目录服务目标是建立全局/局部统一命令方案.,数字证书(Digital Certificate),网络系统安全基础知识,第101页,密码学与信息安全,信息私密性(Privacy),对称加密,信息完整性(Integrity),数字署名,信息源发判别(Authentication),数字署名,信息防抵赖性(Non-Reputation),数字署名时间戳,网络系统安全基础知识,第102页,单密钥加密体制,网络系统安全基础知识,第103页,双密钥加密体制,网络系统安全基础知识,第104页,证书存放于什么介质？,硬盘：不安全,软盘：易损坏,IC卡：需要读卡器,USBKey：成本低,CUP卡：成本高,网络系统安全基础知识,第105页,X.509证书应用领域,SSL：,建立SSL/TLS连接时双向身份认证,S/MIME：,实现S/MIME协议下邮件署名和加密,IPSec:,建立VPN连接时完成基于证书身份认证,SET：电子商务协议,建立Kerberos连接时，完成基于证书身份认证,网络系统安全基础知识,第106页,CA结构示意图,网络系统安全基础知识,第107页,国内主要CA厂商,吉大正元JIT-CA,格尔CA,中国电信CTCA,中国金融认证中心CFCA,上海CA,德达创新CA,天威诚信CA,Verisign,Baltimore,网络系统安全基础知识,第108页,