第二讲 信息安全技术之网络安全ppt课件.ppt

,商学院屈维意 博士 讲师,网络安全,第二讲 信息安全技术之,信息安全技术体系,网络服务层,网络安全,什么是网络安全？,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。,网络攻击行为,网络信息安全的含义,网络系统的硬件、软件及其系统中的信息受到保护保护在通信网络中传输、交换和存储的信息的机密性、完整信和真实性对信息的传播及内容具有控制能力不受偶然的或者恶意的原因而遭到破坏、更改、泄露系统连续可靠的运行网络服务不中断,网络安全,互联网上没有人能免于攻击,政府,企业,个人,网络安全,什么让网络不安全?,1、病毒：一种人为蓄意制造的、以破坏为目的的程序，它寄生于其他应用程序或系统的可执行部分，通过部分修改或移动程序，将自我复制加入其中或占据宿主程序的部分而隐藏起来，是计算机系统最直接的安全威胁。Internet是网络病毒滋生和传播的温床。 2、木马（特洛伊木马）：在执行某种功能的同时进行秘密破坏的一种程序。木马可以完成非授权用户无法完成的功能，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。,网络安全,3、黑客：指通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的计算机入侵者或入侵行为 4、系统的漏洞和后门：操作系统和网络软件不可能完全没有漏洞。软件的后门是编程人员为了自便而设置的，一般不为人知。 5、内部威胁和无意破坏：事实上，大部分威胁来自企业内部人员的蓄意攻击；另外，一些无意失误，如丢失密码、疏忽大意和非法操作等都可能对网络造成极大的破坏。这类所占比例高达70%,什么让网络不安全?,网络安全,什么让网络不安全?,6、网络自身的缺陷：因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。 例如：多数底层协议为广播方式，多数应用层协议为明文传输，缺乏保密 与认证机制，因此容易遭到欺骗和窃听,网络安全,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,网络安全威胁归类,网络安全,实施安全威胁的人员,心存不满的员工软硬件测试人员技术爱好者好奇的年青人黑客（Hacker）破坏者（Cracker）以政治或经济利益为目的的间谍,网络安全,网络充满威胁网络不安全的重要原因是：大多数用户的网络安全意识薄弱！巨大的经济利益驱使黑客铤而走险！黑客门槛太低！获取黑客技术和工具太容易！,网络安全整体框架(形象图),虚拟专用网,防火墙,访问控制,防病毒,入侵检测,本讲内容,网络攻击行为,防火墙技术,病毒防范技术,入侵检测与防御技术,本讲内容1,网络攻击行为,网络攻击行为,网络信息安全技术与黑客攻击技术都源于同一技术核心，即网络协议和底层编程技术，不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障，但当被别有用心的人所利用时，就成了黑客工具。,刀，是基本生活用具，但又是杀人凶,网络攻击行为,网络安全威胁,信息被窃取账户被盗用数据被篡改或破坏终端或服务器设备瘫痪网络拥塞欺诈,威胁分类:无意的蓄意的外部的内部的,网络攻击行为,网络攻击发展趋势,Sophistication of hacker tools,Packet forging/ spoofing,1990,1980,Password guessing,Self replicating code,Password cracking,Back doors,Hijacking sessions,Sweepers,Sniffers,Stealth diagnostics,Technical knowledge required,High,Low,2000,Exploiting known vulnerabilities,Disabling audits,网络攻击行为,网络攻击的层次,第一层攻击：第一层攻击基于应用层的操作 ，这些攻击的目的只是为了干扰目标的正常工作。第二层攻击：第二层攻击指本地用户获得不应获得的文件(或目录)读权限 。第三层攻击：在第二层的基础上发展成为使用户获得不应获得的文件(或目录)写权限。第四层攻击：第四层攻击主要指外部用户获得访问内部文件的权利。 第五层攻击：第五层攻击指非授权用户获得特权文件的写权限。 第六层攻击：第六层攻击指非授权用户获得系统管理员的权限或根权限。,网络攻击行为,网络攻击的一般步骤,19,隐藏自身寻找并分析目标获取访问权获取控制权实施攻击消除痕迹,网络攻击行为,常见的攻击类型,数据报嗅探IP脆弱性口令攻击拒绝服务攻击“中间人”攻击应用层的攻击信任机制的利用端口重定向病毒木马,网络攻击行为,数据报嗅探,数据报嗅探是一种协议分析软件，它利用网卡的混杂模式来监听网络中的数据报。Sniffer可以用于嗅探网络中的明文口令信息：TelnetFTPSNMPPOP数据报嗅探工具必须与监听对象在同一个冲突域里面。,Host A,Host B,Router A,Router B,网络攻击行为,网络攻击行为,网络攻击行为,数据报嗅探的防范,主要的防范手段认证使用强认证方式，例如使用一次性口令。 反嗅探工具利用反嗅探工具来发现网络中的嗅探行为。 加密这是最为有效的防范手段。,Host A,Host B,Router A,Router B,网络攻击行为,拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。 分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。,拒绝服务攻击,网络攻击行为,拒绝服务攻击原理,僵尸机,客户端系统,4. 黑客控制大量的代理发起DDOS攻击.,1. 扫描.,3. 在代理上面安装控制端软件.,2. 安装扫描器和攻击代理器.,网络攻击行为,网络攻击行为,拒绝服务典型事件,2010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等这是自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击，网民访问百度时，会被定向到一个位于荷兰的IP地址，百度旗下所有子域名均无法正常访问。,百度,网络攻击行为,韩国,2009年7月7日，韩国遭受有史以来最猛烈的一次攻击。韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站进行了攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开！这是韩国遭遇的有史以来最强的一次黑客攻击,拒绝服务典型事件,网络攻击行为,拒绝服务攻击防范,可以通过下列方法来降低DDOS攻击的影响:防范IP伪装在防火墙和路由器是配置防范IP伪装的策略防范DOS功能在防火墙和路由器是配置防范DOS的策略流量限制,网络攻击行为,口令攻击,常见口令攻击的手段:暴力破解木马窃取IP伪装嗅探,网络攻击行为,口令攻击的防范,不要在多个系统中使用相同的口令.制定口令的锁定策略.不要使用明文口令，在有条件的地方，使用一次性口令系统.制定口令复杂度策略,网络攻击行为,中间人攻击,中间人攻击的条件：攻击者能够“看到”网络数据报。中间人攻击实施网络数据报的嗅探（监听）路由和传输协议中间人攻击的危害:窃取信息会话劫持流量分析DoS篡改数据注入信息,Host A,Host B,Router A,Router B,明文数据,网络攻击行为,中间人攻击防范,有效遏制和消除中间人攻击的方法是加密。,Host A,Host B,Router A,ISP,Router B,中间人攻击只能看到明文信息,IPSec tunnel,网络攻击行为,应用层攻击,应用层攻击的特点:利用众所周知的漏洞, 例如协议漏洞 (for example, sendmail, HTTP, and FTP)通常是访问控制策略允许的服务 (例如，可以攻击防火墙后面的web服务器)可能永远都不能根除，因为每天都有新的漏洞，安全是动态的,网络攻击行为,应用层攻击的防范,常用降低应用层威胁的方法 定期查看和分析系统日志. 订阅系统漏洞信息.安装最新的系统补丁.必要时，在有条件的地方部署IDS,网络攻击行为,美国五角大楼,美国国防部五角大楼长年以来都是电脑黑客攻击的主要目标，五角大楼每天遭受的攻击多达数百起。面对网络防御战的不利景况，五角大楼决定“以毒攻毒”，向美国黑客高手伸出橄榄枝，邀请他们加入，以对付国外势力的网上渗透。,网络不安全事件,网络攻击行为,CIH病毒是由台湾一位名叫陈盈豪的青年编写CIH病毒破坏了主板BIOS的数据，使计算机无法正常开机,并且CIH病毒还破坏硬盘数据。从1999年的4月26日开始，4月26日成为 一个令电脑用户头痛又恐慌的日子，因为在那一天CIH病毒在全球全面发作，据媒体报道，全球有超过600O万台电脑被破坏，随后的2000年4月26日，CIH又在全球大爆发，累计造成的损失超过10亿美元。,网络不安全事件,CIH病毒事件,网络攻击行为,“熊猫烧香”病毒事件,“熊猫烧香”病毒是在2006年底大范围爆发的网络蠕虫病毒，李俊，武汉新洲区人，25 岁，中专水泥工艺专业 ； 终止大量的反病毒软件和防火墙软件进程， 病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。熊猫烧香搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成熊猫烧香图案。,网络不安全事件,网络攻击行为,网络攻击行为,网页篡改,网络不安全事件,网络攻击行为,网络钓鱼,网络攻击行为,网络钓鱼常用手段,通过电子邮件，以虚假信息引诱用户中圈套建立假冒网上银行、网上证券网站，骗取用户账号密码利用虚假的电子商务进行诈骗(超低价、免税、走私货、慈善义卖)利用木马和黑客技术等手段窃取用户信息利用用户弱口令等漏洞破解、猜测用户账号和密码,网络攻击行为,网络攻击行为,网络安全整体设计流程,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,依照风险制定出,进行,安全集成 / 应用开发,安全服务,设计,安全方案设计,建立相应的,网络安全关键技术,防火墙,病毒防护,入侵检测,网络防火墙,Intranet,外部WWW客户,防火墙是由软件系统和硬件设备组合而成、在内外部之间的保护系统。,数据库,客户机,Email服务器,Web服务器,全方位病毒防护,网关级防毒,企业內部网络,STOP!,服务器端防毒,客户端防毒,防毒集中管理器,STOP!,STOP!,Mail Server,STOP!,STOP!,Meb Server,File Server,STOP!,入侵检测,监控室=控制中心,监控前门和保安,监控屋内人员,监控后门,监控楼外,网络安全关键技术,防火墙,病毒防护,入侵检测,本讲内容2,防火墙技术,防火墙技术,防火墙概念防火墙功能防火墙类型防火墙体系结构防火墙关键技术,防火墙技术,防火墙,如果把Internet比喻成为现实生活中的大街，Intranet比喻成一所房子，数据比喻成为来往于大街和房子之间形形色色的人们，那么防火墙则为守护这所房子忠实的保安。他会从进出房子的人们中识别出哪些是房子的主人（正常进出网络的数据）；哪些是企图进入房子的不法分子（恶意的数据包），允许房子的主人进入房子，拒绝不法分子进入房子，从而保证了房子中的物品安全。,防火墙是位于两个(或多个)网络间，实施网络间访问控制的一组组件的集合。防火墙的英文名为“FireWall”，它是最重要的网络防护设备之一。,防火墙技术,防火墙技术,防火墙技术,网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。,(1)不同安全级别的网络或安全域之间的唯一通道,防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。,防火墙,防火墙技术,(2)只有被防火墙策略明确授权的通信才可以通过,防火墙技术,防火墙的总体功能,1）限定内部用户访问特殊站点。 2）防止未授权用户访问内部网络。 3）允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。 4）记录通过防火墙的信息内容和活动。 5）对网络攻击进行监测和报警。,防火墙技术,防火墙的基本功能：访问控制,基于源MAC地址 基于目的MAC地址 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口,基于方向 基于时间 基于用户 基于流量 基于内容,防火墙技术,路由功能NAT功能（地址转换）VPN功能用户认证,防火墙的扩展功能：,带宽控制日志审计流量分析,防火墙技术,安装防火墙以前的网络,防火墙技术,安装防火墙后的网络,防火墙技术,防火墙并不能为网络防范一切，也不应该把它作为对所有安全问题的一个最终解决方案，所以懂得哪些工作是防火墙能做的非常重要： （1）实现安全策略 （2）创建一个阻塞点 （3）记录网络活动 （4）限制网络暴露,防火墙能做什么,防火墙技术,（1）实现安全策略,安全策略对哪些人和哪些行为被允许做出规定。如一个常见的安全策略是允许任何人访问公司服务器上的Web站点，但是不允许telnet登陆到服务器上。,防火墙能做什么,防火墙技术,防火墙可以使用的两种基本的安全策略： 一切未被允许的都是被禁止的 一切未被禁止的都是被允许的 从安全的角度考虑，第一种策略更安全可取，而从灵活性和使用方便性的角度考虑，第二种策略更适合。,（1）实现安全策略,防火墙能做什么,防火墙技术,（2）创建一个阻塞点,防火墙在一个公司私有网络和分网间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。在该检查点防火墙设备就可以监视，过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。,没有防火墙，分散管理，效率低下 使用防火墙，集中管理，高效率,防火墙能做什么,防火墙技术,（3）记录网络活动,防火墙还能够监视并记录网络活动，并且提供警报功能。通过防火墙记录的数据，管理员可以发现网络中的各种问题。,例如，通过查看安全日志，管理员可以找到非法入侵的相关纪录，从而可以做出相应的措施。,防火墙能做什么,防火墙技术,（4）限制网络暴露,防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。,例如，防火墙的NAT功能可以隐藏内部的IP地址；代理服务器防火墙可以隐藏内部主机信息。,防火墙能做什么,防火墙技术,除了懂得防火墙能保护什么非常重要外，懂得防火墙不能保护什么也是同等重要： 1.病毒与特洛伊木马 2.不当配置和内部攻击,防火墙不能做什么,例如，员工接收了一封包含木马的邮件，木马是以普通程序的形式放在了附件里，防火墙不能避免该情况的发生。,防火墙技术,防火墙的局限性,没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限： （1）防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。 （2）防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。 （3）防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,防火墙技术,根据防火墙所采用的技术不同，可以将它分为三 种基本类型：,包过滤型状态检测包过滤型应用代理型全状态检测型,防火墙的类型,防火墙技术,包过滤型防火墙,应用数据包过滤（packet filtering）技术在网络层对数据包进行选择，只有通过检查的IP包才能正常转发出去。其选择的依据是访问控制表ACL（Access Control List），通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或通过检查它们的组合来决定是否允许该数据包通过。,防火墙技术,外网,防火墙,内网,数据包,包过滤引擎,因为系统对应用层信息无感知，所以可能被黑客所攻破。,包过滤防火墙,防火墙技术,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量,可以灵活的制定的控制策略,包过滤,防火墙技术,IP 包,检测包头,检查路由,安全策略：过滤规则,路由表,包过滤防火墙,丢弃,IP包源地址IP包目的地址TCP/UDP端口,防火墙技术,包过滤型防火墙的优点,成本较低对上层服务协议透明处理速度相对较快，尤其是在一些专用防火墙设备上可以保证用户的接入速度。,防火墙技术,包过滤型防火墙缺点,配置困难，需要系统管理员具有较丰富的TCP/IP网络管理的经验；当过滤策略较多的时候，不容易掌握，并且会降低数据包转发效率工作在网络层，只能检测有限的信息，不能检测应用层的内容，不能控制基于上层服务的攻击；,防火墙技术,外网,防火墙,内网,数据包,应用代理型防火墙,防火墙技术,应用代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。,防火墙技术,应用层代理服务器的优点,（1）代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。（2）可以实现访问的身份认证（3）可以在应用层控制服务的等级、权限,Application,Presentation,Session,Transport,Network,Data Link,Physical,防火墙技术,应用层代理服务器的缺点,（1）最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈（2）防火墙需要为不同的网络服务建立专门的代理（3）大多是基于主机的，价格比较贵，安装和使用比数据包过滤的防火墙复杂。,Application,Presentation,Session,Transport,Network,Data Link,Physical,防火墙技术,状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。状态检测防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。,状态检测型防火墙,防火墙技术,状态检测包过滤防火墙,外网,防火墙,内网,状态检测引擎,防火墙技术,IP 包,检测包头,下一步处理,安全策略：过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,丢弃,IP包源地址/目的地址TCP/UDP源端口TCP会话连接状态,防火墙技术,状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只要是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。,状态检测型防火墙,防火墙技术,1. 状态检测包过滤技术,2. 应用代理技术,全状态检测型防火墙,防火墙技术,全状态检测型防火墙,Application,Presentation,Session,Transport,DataLink,Physical,DataLink,Physical,Application,Presentation,Session,Transport,DataLink,Physical,Network,Network,Network,Presentation,Session,Transport,Engine,INSPECT,Application,Dynamic State Tables,防火墙技术,包过滤（Packet filtering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。应用代理（Application Proxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。状态检测（Stateful Inspection）：工作在24层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。完全内容检测（Compelete Content Inspection）：工作在27层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。,防火墙的检测与过滤技术,网络层,IP层,传输层,应用层,Data,Segment,Packet,Frame,Bit Flow,防火墙技术,防火墙的结构,Intranet,外部WWW客户,防火墙是由软件系统和硬件设备组合而成、在内外部之间的保护系统。,数据库,客户机,Email服务器,Web服务器,防火墙技术,防火墙的体系结构,防火墙的体系结构一般有以下几种:,1）双重宿主主机体系结构。2）屏蔽主机体系结构。3）屏蔽子网体系结构。,防火墙技术,1） 双宿/多宿主机体系结构,双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能,防火墙技术,2）屏蔽主机体系结构,专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连,防火墙技术,3） 屏蔽子网体系结构,本质上同屏蔽主机防火墙一样，但增加了一层保护体系非军事区(DMZ)。堡垒主机位于非军事区上，非军事区和内部网络被内部屏蔽路由器分开,防火墙技术,防火墙系统设计,防火墙技术,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能：1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,防火墙技术,内部工作子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,防火墙在此处的功能：1、DMZ网段与工作子网的物理隔离2、访问控制3、日志记录,发起访问请求,防火墙技术,拨号用户对内部子网的访问控制,拨号服务器Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,防火墙在此处的功能：1、对拨号用户进行一次性口令认证2、控制拨号用户对内网的访问权限3、对拨号用户的访问做日志和审计,将访问记录写进日志文件,用户拨号,防火墙技术,下属机构对总部的访问控制,下属机构,DDN/FRX.25专线,FW+VPN,FW+VPN,进行规则检查,将访问记录写进日志文件,防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计,防火墙技术,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,防火墙技术,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,防火墙技术,流量控制,Host C,Host D,Host B,Host A,受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,防火墙技术,信息审计&日志,Internet,202.102.1.2,202.102.1.3,写入日志,写入日志,一旦出现安全事故可以查询此日志,防火墙技术,身份鉴别,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,asdasdf,验证通过则允许访问,root,123,Yes,admin,883,No,用户身份认证 根据用户控制访问,防火墙技术,安全远程管理,Internet,管理员,黑客,如何实现安全管理呢,采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,本讲内容3,病毒防范技术,病毒防范技术,网络病毒防护,病毒概念,病毒防范技术,病毒一词的由来： 由生物医学上的“病毒”一词借用而来。 与生物医学的“病毒”的异同： 同：都具有传染性、流行性、针对性 异：不是天生的，而是认为编写的具有特殊破坏功能的程序。,权威法律的定义： 1994年2月18日我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中定义了计算机病毒的概念。计算机病毒是：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 ”。,病毒防范技术,寄生性 计算机病毒是一种特殊的程序，它一般不是以独立的文件形式存在的，它寄生在合法的程序中。 . 传染性 计算机病毒会通过各种渠道从已被感染的计算扩散到没有被感染的计算机。 是病毒的基本特征，是否具有传染性是判断一个计算机程序是否为计算机病毒的首要条件。3隐蔽性 计算机病毒在传染之前，必须将自身很好地隐藏起来，不被用户发现，这样才能实现进入进入计算机系统、进行广泛传播的目的。,计算机病毒特征,病毒防范技术,4潜伏性 计算机病毒为了达到广泛传播并破坏系统的目的，一般不会在传染某一程序后立刻发作，否则就暴露了自身。 潜伏性越好，其在系统中存在的时间就越长，其传染的范围就越广泛。 5可触发性 因某个特征或数值的出现，诱使病毒实施感染或攻击的特性。 6破坏性 共同的危害：降底系统的工作效率，占用系统的资源（具体情况取决于入侵系统的计算机病毒程序） 病毒的破坏性主要取决于计算机病毒设计者的目的。,计算机病毒特征,病毒防范技术, 网络计算机病毒除了具有可传播性、可执行性、破坏性和可触发性等计算机病毒的共性外，还具有一些新的特点： （1）感染速度快。在单机环境下，计算机病毒只能通过软盘（移动存储设备）等移动存储设备从一台计算机传染到另一台， 而在网络中则可以通过网络通信机制进行迅速扩散。根据测定，针对一个计算机网络在正常使用情况下，只要有一台工作站有计算机病毒，就可在几十分钟内将网上的数百台计算机全部感感染。 （2）扩散面广。由于计算机病毒在网络中扩散得非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将计算机病毒在一瞬间传播到千里之外。,网络计算机病毒特征,病毒防范技术,计算机病毒的直接危害,1.破坏数据 2.占用存储空间3.抢占系统计算资源4.影响计算机运行速度 5.破坏操作系统和硬件,病毒防范技术,计算机病毒的间接危害,1.计算机病毒给用户造成严重的心理压力2.造成业务上的损失3.信息系统受损造成的间接破坏，电力、金融等,病毒防范技术,计算机病毒的产生原因 计算机病毒的产生原因主要有5个方面： （1） 恶作剧型 （2） 报复心理型 （3） 版权保护型 （保护知识产权） （4） 获取利益型（窃取保密信息） （5） 特殊目的型（竞争、黑客战争）,病毒防范技术,病毒的发展趋势,病毒更新换代向多元化发展网络成为计算机病毒传播的主要载体攻击途径多样（邮件，网页，局域网等）利用系统漏洞成为病毒有力的传播方式病毒与黑客技术相融合,病毒防范技术,网络病毒防护,病毒防治,病毒防范技术,防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重多层次防御：病毒检测、数据保护、实时监控,网络环境下的病毒防治原则与策略,病毒防范技术,病毒的防范,提高计算机病毒的防范意识加强计算机病毒的防范管理规范计算机的使用方法 构建反病毒技术体系,病毒防范技术,提高计算机病毒的防范意识 （1）安装有效的病毒防护软件，并有效运行，定期对自己的电脑进行全面的查杀 （2）防毒重于杀毒，防病毒软件不是万能的，不要以为装上了防病毒软件就可以高枕无忧了 （3）提高风险意识，控制上网时间，不上网时断开网络连接。论坛、QQ聊天、MSN聊天、雅虎聊天、UC等聊天软件不要长时间挂网，以免长时间暴露自己的IP地址，招惹不必要的麻烦。 （4）养成良好的网络使用习惯。下载软件到官方网页，或者到自己熟悉的网站下载，不要浏览不健康网站，不要随意打开陌生人的邮箱、网址链接等。 （5） 不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征.,病毒防范技术,加强计算机病毒的防范管理尊重知识产权采取必要的病毒检测、监控措施，制定完善的管理规则建立计算机系统使用登记制度, 及时追查、清除病毒加强教育和宣传工作建立有效的计算机病毒防护体系建立、完善各种法律制度，保障计算机系统的安全性,病毒防范技术,网关级防毒,企业內部网络,STOP!,服务器端防毒,客户端防毒,防毒集中管理器,STOP!,STOP!,Mail Server,STOP!,STOP!,Meb Server,File Server,STOP!,全方位的网络病毒防护体系,病毒防范技术,反病毒技术计算机病毒检测技术计算机病毒清除计算机病毒免疫计算机病毒预防 除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展,病毒防范技术,病毒诊断技术,计算机病毒比较法诊断原理计算机病毒校验法诊断原理计算机病毒扫描法诊断原理计算机病毒行为监测法诊断原理计算机病毒行为感染试验法诊断原理计算机病毒行为软件模拟法诊断原理计算机病毒分析法诊断的原理,病毒防范技术,病毒诊断技术计算机病毒比较法,病毒防范技术,病毒诊断技术计算机病毒比较法,病毒防范技术,病毒诊断技术计算机病毒比较法,病毒防范技术,病毒诊断技术计算机病毒比较法,病毒防范技术,病毒诊断技术计算机病毒比较法,病毒防范技术,病毒诊断技术计算机病毒扫描法,扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。特征代码扫描法特征字扫描法,病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。,病毒防范技术,病毒诊断技术行为监测法诊断原理,检测的行为包括：占用INT 13H修改DOS系统数据区的内存总量以COM和EXE文件做写入动作病毒程序与宿主程序的切换,病毒防范技术,病毒诊断技术行为感染试验法,行为感染试验法 感染实验是一种简单实用的检测病毒方法。当病毒检测工具不能发现病毒时，使用感染实验法。可以检测出病毒检测工具不认识的新病毒，摆脱对检测工具的依赖，检测可疑新病毒,病毒防范技术,病毒诊断技术计算机病毒分析法,计算机病毒分析法确认磁盘引导区和程序中是否含有病毒确认病毒的类型和种类，判定是否是新病毒搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字详细分析病毒代码，为制定相应的反病毒措施制定方案,病毒防范技术,病毒诊断技术计算机病毒分析法,病毒防范技术,病毒诊断技术计算机病毒分析法,反病毒软件的构成,病毒防范技术,计算机病毒的预防行之有效的措施:,安装防病毒软件定期升级防病毒软件不随便打开不明来源的邮件附件尽量减少其他人使用你的计算机及时打系统补丁（360会自动提醒）从网络获取数据、下载软件要先检察建立系统恢复盘定期备份文件,病毒防范技术,杀毒软件功能 预防，预防病毒对系统的感染、对可执行文件（.COM 和.EXE）的改变并在文件分配表或引导扇区被改变或硬盘将被重新格式化时发出声音警告。 检测，在磁盘和系统的其它部分寻找病毒。包括将文件与预先设定的算法或特征进行对比，或计算每个文件的检查摘要。 消除，包括将病毒代码从文件和磁盘上清除出去。 免疫，在可执行文件（.COM 和.EXE）中加入特殊的代码，在程序运行时检查特征的改变或其它的不正常情况。破坏控制，减少病毒导致的破坏。,病毒防范技术,常用防杀毒软件,病毒防范技术,2014年4月国内知名IT调研机构赛迪顾问发布了首份中国企业杀毒软件产品市场调研报告，报告显示，受“棱镜门”事件影响，越来越多的企业选择国产杀毒软件。其中，360成为企业占有率最高的杀毒软件，赛门铁克、瑞星、Mcafee、金山、卡巴斯基、趋势科技紧随其后。 报告对2013企业杀毒软件应用统计分析显示，360企业杀毒软件的占比最大，达到42% 。在对技术敏感性较强的IT行业，360以75%占有率站占据了绝对主导地位 随着中央网络与信息安全小组的成立，以360为代表的企业国产杀毒软件将迎来新一轮普及潮。,360杀毒软件的优点,病毒防范技术,360 杀毒是 360 安全中心出品的一款免费的云安全杀毒软件,查杀效率高,可与其他杀毒软件共存,资源占用少,升级迅速,360杀毒,病毒防范技术,1、无需购买、续费、激活。一次性安装，永久使用。2、独创的“五核引擎”杀毒技术，查杀、清除病毒能力远超同类软件。3、一键式下载、安装，方便快捷。4、是目前最“轻巧”的杀毒软件，监控时内存占用仅为6M左右。比一般软件都要低5、界面清爽，设置、操作简单，是菜鸟用户的最爱。6、创新的“游戏防打扰模式”，让玩家安全、流畅的运行游戏。7、应用“云安全白名单”技术，防范误报、误杀正常文件8、为国内用户量身打造的“嵌入式杀毒技术”，方便高效的保护QQ、MSN上的传输的文件，以及U盘、移动硬盘上的文件，不被病毒入侵。9、“云查杀”技术可以快速定位用户机器内的未知可疑文件，分析、处理仅需10分钟，可以防范“新木马”入侵。10、每日升级数十次，让用户第一时间获得安全更新。服务质量不输于同类收费软件。,360杀毒软件的优点,病毒防范技术,360创立于2005年12月，是中国领先的互联网安全公司，曾先后获得过鼎晖创投、红杉资本、高原资本、红点投资、Matrix、IDG等风险投资商总额高达数千万美元的联合投资。面对互联网时代木马、病毒、流氓软件、钓鱼欺诈网页等多元化的安全威胁，360坚持以互联网的思路解决网络安全问题。第一，以免费的方式推动基础安全服务普及，让网民无条件、无门槛地武装安全软件；第二，发展云安全体系。依靠云查杀引擎等创新技术和海量用户的云安全网络，360系列产品能够最快、最全地发现新型木马病毒以及钓鱼、挂马恶意网页，全方位保护用户的上网安全。,病毒防范技术,电脑出现故障，一些有时很普遍（弹出窗口，首页被改，运行很慢等），有时很特别（很少遇到且道不出原因的未知