安全培训之一 网络安全基础ppt课件.ppt

2022/11/21,安全培训之一 -网络安全基础,主讲：陈翔网安科技,2022/11/21,大 纲,网络安全背景分析安全基本理论教育系统拓扑安防体系,2022/11/21,校园网特点 现在,地域： 高校合并、新校区扩建应用：网上游戏、网上视频、BT/emule、学术研究 QoS：不同应用需要不同的时延、带宽安全：病毒频繁爆发、工具软件、学生特点由IPv4向IPv6进行逐步过渡,2022/11/21,现在需要,过去,业务驱动可运营,可用可管理安全易维护准确灵活计费有效的业务支撑,校园网建设的转变,2022/11/21,学校网络结构和系统应用,教学局域网：可由计算机中心、多校园网一般由两部分构成。一部分是内部网（称校园网内部网），包含教学局域网、图书馆局域网、办公自动化局域网等几个物理隔离网络；另一部分是外部网（称校园网外部网），包括一些公开服务器，并负责与中国教育和科研网和INTERNET的连接以及远程移动办公用户等的接入等,2022/11/21,媒体教室、语音教室、各系班计算机房等构成，保证正常教学和学生上机。使教学人员能够利用计算机备课，制作多媒体课件并开展教学。图书馆局域网：一般由服务器和客户机构成，以实现图书馆自动化管理。保证图书馆内部业务计算机网络化管理和在校园网上实现书刊目录及部分文献参考全文检索及浏览等应用。,2022/11/21,办公自动化局域网：包括办公自动化和教学管理服务器，客户机。通过办公自动化软件，开展公文管理、会议管理、档案管理和个人办公管理的办公自动化的应用。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的管理信息系统。,2022/11/21,各类应用服务器,域名服务器（DNS）：完成主机名（域名）与P地址相互解析等任务。 代理服务器（Proxy）：其跨越外部网和内部网，为校园网内用户提供代理服务，并使用缓存（CACHE）技术，减少信息的重复调用，降低出口流量，提高访问速度，也节约了通信资费。 WWW服务器（Web Sever）：提供超文本信息查询和浏览器服务器模式应用服务。 文件传输服务器（FTP Sever）：提供远程文件透明传输服务。 电子邮件服务器（Mai1 Sever）：提供电子邮件收、发服务。,2022/11/21,外部网一般通过外部网交换机，连接因特网服务器构成一个独立网段。边界路由器通过DDN专线与中国教育和科研网（或其它网络）连接，实现与因特网互联。远程访问服务器连入公用电话网（PSNTGSM），使院外授权用户（含院内职工在宿舍或出差）用拔号方式访问校园网。,2022/11/21,安全产品分布图,结论：防火墙、IDS、防病毒是首选的安全产品,使用计费系统,过滤王,2022/11/21,网络安全教育,2022/11/21,学校安全问题,1.网络安全方面的投入严重不足，没有系统的网络安全设施配备。大多数高校网络建设经费严重不足，有限的经费也主要投在网络设备上，对于网络安全建设一直没有比较系统的投入。校园网还基本处在一个开放的状态，没有任何有效的安全预警手段和防范措施。,2022/11/21,2.学校的上网场所管理较混乱,.,各校园网内有一批直接接入校园网的机房平时提供给学生和教职员工上网、学习。但是，由于缺乏统一的管理软件和监控、日志系统，这些机房的管理基本处在各自为政的状态。绝大多数的机房的登记管理制度存在严重漏洞，上网用户的身份无法唯一识别；另外，由于机房的计算机为了管理上的方便，基本上都投入了大批资金安装了还原卡，计算机关机后启动即恢复到初始状态，但这在安全管理上就形成了很大的漏洞，无法按照安全部门要求保留至少三个月以上的上机和上网日志；更有甚者，个别机房甚至私自接入了互联网，绕开了学校的统一管理和国家相关部门的监管，存在极大的安全隐患。,2022/11/21,3.电子邮件系统极不完善，无任何安全管理和监控的手段,近些时候，通过电子邮件系统散发反动，色情言论和材料以及散步谣言等情况愈发严重。但大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，由于是免费的软件，既不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合公安部门提出的安全邮件系统的要求，出现问题无法及时有效的解决,2022/11/21,4.网络病毒泛滥,网络在提供给大家的方便的同时，也变成了病毒传递的最快捷的途径。随着网络飞速发展、网络病毒的编制者水平的提高以及近几年网络病毒和黑客软件的结合，网络病毒的爆发直接导致用户的隐私和重要数据外泄。同时还极大的消耗了网络资源；造成网络性能急剧下降；从 “红色代码”、“尼姆达”到“爱之门”等网络病毒的爆发中可以看出，网络病毒的防范任务越来越严峻。而病毒防范的措施也不能仅仅靠原来单机的方式，必须是一种集中管理，统一升级，统一监控的针对网络的防病毒体系。,2022/11/21,5.网络安全意识淡薄，没有指定完善的网络安全管理制度,校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，以福建省省网中心之一的大学网络中心做过的统计，该校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因。,2022/11/21,解决网络安全问题涉及的方面,法制建设问题：约束黑客行为等组织建设问题：建立快速响应体系标准资质认证：产品、服务标准系统评估问题：安全隐患与信息价值平台建设问题：CERT、反入侵、反病毒等安全中心科 研 支 撑：专项基金、支持科研及自有力量的科研投入人力资源建设：建立专家队伍、开展培训工作,2022/11/21,网络安全的定义,网络安全的五要素包括：机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。 即服务不中断。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。,2022/11/21,网络安全的分层防护体系,2022/11/21,我们的方案思路,网络系统现状,安全风险评估,安全需求与目标,安全体系,安全解决方案,网络安全的实现,安全服务,2022/11/21,安全体系,2022/11/21,教育网络安全防护策略,本 章 概 要,网络安全策略是安全管理体系和网络安全技术的综合。本章将就企业范围的网络安全策略进行阐述，着重介绍以下几方面：,企业安全防护体系的构成建立安全的企业网络安防工作是一个过程,2022/11/21,教育网络安全防护策略,先进的网络安全技术是企业网络安全的基础完善的安全管理体系是网络安全的必要条件安全防护工作是一个周而复始、循环上升的过程,2022/11/21,教育安全防护体系的构成,安全防护体系,教育安全防护体系的主要构成因素,人,制度,技术,2022/11/21,人：安防体系的根本动力,人是安防体系中的最薄弱环节,对安全防护工作重视的领导是安防工作顺利推进的主要动力；有强烈安全防护意识的员工是企业安防体系得以切实落实的基础；杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。,2022/11/21,人：安防体系的根本动力,加强安全教育、提高网络安全意识,启蒙为安全培训工作打基础，端正对企业的态度，让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。培训传授安全技巧，使其更好的完成自己的工作。教育目标是培养IT安防专业人才，重点在于拓展应付处理复杂多变的攻击活动的能力和远见。,2022/11/21,制度：安防体系的基础,减轻或消除员工和第三方的法律责任对保密信息和无形资产加以保护防止浪费企业的计算机资源,安防制度的定义和作用,安防制度是这样一份或一套文档，它从整体上规划出在企业内部实施的各项安防控制措施。 安防制度的作用主要有：,2022/11/21,制度：安防体系的基础,安防制度的生命周期,安防制度的生命周期包括制度的制定、推行和监督实施。,第一阶段：规 章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、 减轻和转移风险所需要的安防 控制措施。,第二阶段：企业发布执行的规章制度，以及配套的奖惩措施。,第三阶段：规章制度的监督实施。制度的监督实施应常抓不懈、反复进行，保证制度能够跟上企业的发展和变化,制度的监督实施,制度的制定,制度的推行,2022/11/21,制度：安防体系的基础,计算机上机管理制度用户账户管理制度远程访问管理制度信息保护管理制度防火墙管理制度特殊访问权限管理制度网络连接设备管理制度商业伙伴管理制度顾客管理制度,安防制度的主要组成部分,2022/11/21,技术：安防体系的基本保证,信息加密技术身份鉴别技术资源使用授权技术访问审计技术备份与恢复技术防病毒技术,网络安防需要先进的信息安全技术,2022/11/21,技术：安防体系的基本保证,网络防火墙VPN设备入侵检测设备漏洞评估产品网络防病毒产品,网络安防需要先进的安全产品,2022/11/21,技术：安防体系的基本保证,单一的安全保护往往效果不理想目前的趋势应用和实施一个基于多层次安全系统的全面信息安全策略,网络安防需要采用多层防护策略,在各个层次上部署相关的网络安全产品分层的安全防护成倍地增加了黑客攻击的成本和难度从而卓有成效地降低被攻击的危险，达到安全防护的目标。,2022/11/21,1 防火墙技术,2022/11/21,防火墙的基本概念,防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,防火墙,2022/11/21,防火墙的主要技术,包过滤技术 (Packet Filtering)应用层代理技术 (Application Proxy)状态包过滤技术 (Stateful Packet Filtering),应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,2022/11/21,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,分组过滤判断信息,数据包,包过滤技术的基本原理,数据包,2022/11/21,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,应用层代理技术的基本原理,数据包,分组过滤判断信息,应用代理判断信息,控制策略,2022/11/21,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,状态检测包过滤技术的基本原理,数据包,分组过滤判断信息,状态检测,控制策略,2022/11/21,防火墙的用途,位于Internet与Intranet之间的系统，避免内部网络直接暴露在外面防止Internet上非法访问防止内部使用者不当的使用Internet有效的记录及监控企业与互联网活动强化企业安全策略,2022/11/21,防火墙不能完全防止受病毒感染的文件或软件的传输防火墙对不通过它的连接无能为力防火墙不能防备内部人员的攻击防火墙可能导致传输延迟、网络瓶颈及单点失效防火墙不能防备新的网络安全问题,防火墙的弱点,2022/11/21,2 入侵检测技术,2022/11/21,入侵检测系统的概念,防火墙不能彻底消除网络入侵的威胁；入侵检测系统(IDS：Intrusion detection system)用于监控网络和计算机系统被入侵或滥用的征兆；IDS系统以后台进程的形式运行，发现可疑情况，立即通知有关人员；IDS是监控和识别攻击的标准解决方案，是安防体系的重要组成部分；假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。,2022/11/21,内部用户可能对网络服务器进行攻击，窃取资料，破坏服务器上的重要数据信息，令网络瘫痪；有的用户擅自接入互联网，感染木马程序和网络病毒，将导致内部重要数据外泄；用户可能通过内部网络向外进行非法攻击，造成重大破坏，而从外界追查只能知道攻击来自该网络；外来用户可以通过外接一台计算机连入内部网络，窃取内部资料或进行破坏活动。,使用入侵检测系统的意义：,2022/11/21,不需要人工干预即可不间断运行有容错功能不需要占用大量的系统资源能够发现异于正常行为的操作能够适应系统行为的长期变化判断准确灵活定制保持领先,入侵检测系统应有的功能,2022/11/21,入侵检测系统的主要类型,主机入侵检测系统Host Intrusion Detection System网络入侵检测系统Network Intrusion Detection System,2022/11/21,入侵检测系统的优点和不足,能够使现有的安防体系更完善；能够更好地掌握系统的情况；能够追踪攻击者的攻击线路；界面友好，便于建立安防体系；能够抓住肇事者。,2022/11/21,不能在没有用户参与的情况下对攻击行为展开调查；不能克服网络协议方面的缺陷；不能克服设计原理方面的缺陷；存在漏报与误报。,入侵检测系统不是万能的，也存在许多不足：,2022/11/21,含入侵检测系统的网络体系结构,2022/11/21,3 防病毒技术,2022/11/21,病毒的演化趋势,攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战,IDC, 2002,邮件/互联网,Code RedNimda,funloveKlez,2001,2002,病毒演化趋势,速客一号,2003,2022/11/21,网络防病毒技术发展趋势,反黑与反病毒相结合从入口拦截病毒全面解决方案 客户化定制区域化到国际化,2022/11/21,企业防病毒策略 多层次病毒防护体系,在企业每台台式机上安装客户端防病毒软件在服务器上安装基于服务器的防病毒软件在网关上安装基于Internet网关的防病毒产品这一防护体系能极大程度地保证企业网络不受病毒的危害,与其亡羊补牢不如未雨绸缪,2022/11/21,选择的防病毒产品应与现有网络具有拓扑契合性；企业应选用网络版的防病毒软件 应选用单一品牌防毒软件产品慎选防病毒软件的供应商,防病毒产品的选择原则,2022/11/21,病毒查杀能力对新病毒的反应能力病毒实时检测能力快速、方便的升级智能安装、远程识别管理方便，易于操作对现有资源的占用情况系统兼容性软件的价格软件商的企业实力,防病毒产品选择应考虑的具体因素,2022/11/21,5 VPN技术,2022/11/21,虚拟专用网VPN（Virtual Private Network）技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。,VPN的基本概念,2022/11/21,VPN的功能,保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）,2022/11/21,内 部 网VPN用VPN连接公司总部和其分支机构. 远程访问VPN用VPN连接远程用户. 外 联 网VPN用VPN连接其业务伙伴.,VPN的分类及用途,2022/11/21,Internet,VPN服务器,VPN服务器,路由器,路由器,加密信道,加密,认证,VPN,总部LAN,子公司LAN,一个安全的VPN服务，应该为子公司的不同用户指定不同的访问权限。,内部网VPN,2022/11/21,远程访问VPN,2022/11/21,外联网VPN,2022/11/21,VPN 采用的相关技术,Tunneling 隧道Encryption 加密Authentication 身份认证,2022/11/21,VPN常用协议,VPN常用的协议有IPSec、PPTP以及L2TP等。这些协议对应的OSI层次结构如下：,2022/11/21,Detection 入侵检测,Protect 安全保护,Reaction 安全响应,Recovery 安全备份,Management 安全管理,统一管理、协调PDRR之间的行动,安全方案设计,建立安全模型(MDPRR),2022/11/21,电话：05972281620,网址：,厦门(龙岩)网安科技有限公司,地址：龙岩市中山路绿世界广场5F,2022/11/21,谢谢大家！,