网络安全防范.ppt

2023/3/31,网络安全防范,网络安全防范,网络安全防范,主要内容,网络安全认识网络安全防范技术分类网络安全防范技术网络安全防范体系,网络安全防范,俗语说,矛盾亡羊补牢树欲静风不止明枪易躲暗箭难防道高一尺魔高一丈千里之堤毁于蚁穴一朝被蛇咬十年怕井绳,安全威胁,安全防范,网络安全防范,网络安全认识,网络安全防范十分必要并相当迫切不存在绝对安全的网络和信息系统用发展的眼光看待网络安全注重网络安全体系的全面性从需求特点出发部署网络安全设施把握网络安全与投入成本的平衡点,网络安全防范,【网络安全命题一】,从来就没有安全的网络，今后也不会有。,网络安全防范,【网络安全命题二】,不存在为安全而构筑的网络。,网络安全防范,【网络安全命题三】,网络安全无小事。,网络安全防范,网络安全防范技术分类,嵌入式安全防范（Embedded Defence）安全协议安全设备主动式安全防范（Active Defence）安全措施安全补丁被动式安全防范（Passive Defence）安全侦查安全防御,网络安全防范,Subnet,子网 Sub-networkAutonomousDomain（自治域、自治网络）构造具备特定应用目标的网络体系，自成相对独立体系、可自我管理Intranet和Extranet把内部网络与Internet隔离开，通常使用NAT、Firewall等设备来完成DMZ使用双防火墙机制，将内部网络分为内网和外网两个层次VLAN把局域网划分为不同的虚拟子网，使用二层或三层局域网交换机或路由器完成VPN使用安全协议和数据加密技术，构造安全的访问体系Interconnection Host采用特殊设计的业务互连主机，将业务网络与其它系统进行互连，只传输指定数据Physical Isolation物理隔离子网,网络安全防范,VLAN概要,VLAN的划分基于端口(Port)基于MAC地址基于IP地址VLAN作用把数据交换限制在各个虚拟网的范围内，提高了网络的传输效率；减少整个网络范围内广播包的传输，防止广播风暴（Broadcast Storm）的产生；各虚拟网之间不能直接进行通信，而必须通过路由器转发，起到了隔离端口的作用，为高级安全控制提供了可能，增强了网络的安全性。,网络安全防范,VLAN的逻辑分组特性,传统的LAN子网（物理分隔的冲突域）,网络安全防范,基于端口的VLAN,根据以太网交换机的端口来划分VLAN，可以跨交换机进行。优点是定义VLAN成员时非常简单，只需将所有的端口都设定一遍；缺点是如果VLAN的某个用户离开了原来的端口，连接到了一个新的端口，那么就必须重新定义,网络安全防范,基于MAC地址的VLAN,根据每个主机的MAC地址来划分VLAN，所以也可称为基于用户的VLAN。优点就是当用户物理位置移动时，即使移动到另一个交换机，VLAN也不用重新配置；缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大。此外，这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法有效限制广播包。如果网卡可能经常更换，VLAN就必须不停地更新,网络安全防范,基于协议的VLAN,通过第二层报文中的协议字段，判断出上层运行的网络层协议，如IP协议或者是IPX协议。当一个物理网络中存在多种第三层协议运行的时候，可采用这种VLAN的划分方法。但是现有的系统中一般仅有IP协议，所以基于协议的VLAN很少有机会使用,网络安全防范,基于子网的VLAN,根据报文中的IP地址决定报文属于哪个VLAN，同一个IP子网的所有报文属于同一个VLAN。优点是可以针对具体应用的服务来组织用户，用户可以在网络内部自由移动而不用重新配置自己的设备；缺点是效率较低，因为检查每一个报文的IP地址很耗时。同时由于一个端口也可能存在多个VLAN的成员，对广播报文也无法有效抑制,网络安全防范,VPN,Virtual Private Network 虚拟专用网络在“不安全”的网络上建立安全的互连关系VPN主要应用目的用户通过Internet安全接入IntranetIntranet之间通过Internet的安全互连通过Internet构造安全的Extranet通过Internet的对等设备安全互连,网络安全防范,VPN安全隧道,安全隧道（Secure Tunnel）,网络安全防范,Intranet组网,网络安全防范,Extranet组网,网络安全防范,VPN安全隧道协议,点对点隧道协议（Point-to-Point Tunnel Protocol，PPTP）PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中，通过Intranet或Internet相互通信第2层隧道协议（Layer-2 Tunnel Protocol，L2TP）L2TP协议允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报通信的任意网络发送，如IP、X.25、FrameRelay或ATM安全IP（Secure IP，IPsec）IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过Intranet或Internet相互通信安全套接层（Secure Socket Layer，SSL）使用SSL协议，实现移动用户远程安全接入内部网络。尤其是对于基于Web的应用访问，SSL-VPN方式有更强的灵活性优势,网络安全防范,IPsec,IP的安全子层（3.5层），包括两部分：AH（Authentication Header）ESP（Encapsulating Security Payload）AH的认证模式：传输模式（Transport Mode）不改变IP地址，插入一个AH隧道模式（Tunnel Mode）生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中,网络安全防范,AH报头,网络安全防范,ESP报头,网络安全防范,VPN应用方式,客户端方式由用户自行配置VPN设备和系统，ISP及Internet只提供普通的IP互连服务（网络透明方式）服务端方式由ISP提供VPN服务，用户端使用普通IP互连设备（用户透明方式）,网络安全防范,NAT,网络地址转换Network Address Translator,网络安全防范,NAT方法,静态翻译（Static Translation）内部和外部地址一一对应（映射）动态翻译（Dynamic Translation）复用外部地址，按需映射端口复用（Port-Multiplexing）IP地址TCP/UDP端口号,网络安全防范,NAT-PAT,端口地址翻译Port Address Translator，PAT,网络安全防范,FW,防火墙 FireWall,网络安全防范,FW功能,网络安全防范,FW抵抗同步攻击原理,攻击者发送SYN，请求会话连接。防火墙检查IP地址的有效性、源地址是否是内网地址等，丢弃可疑的连接请求（可不予以响应，以对抗探测）。结束。响应SYN-ACK，启动超时计时器。（只需匹配极少资源；计时器长度可以依据不同需求进行调整，适当缩短。）若计时器超时而未受到ACK，则释放该连接（同样可以不发送拒绝报文，不占用带宽资源）。结束。若受到ACK，则立即向内网指定计算机（第3步已记录相关连接参数）发送SYN，接收到SYN-ACK后立即响应ACK。连接建立成功。,网络安全防范,FW-ACL,访问控制列表Access Control List黑名单（Black List，Forbid List）白名单（White List，Permission List）灰名单（Grey List）,网络安全防范,双FW与DMZ,非军事区 De-Military Zone,网络安全防范,DMZ应用示例,网络安全防范,防火墙性能评价,漏报率,误报率,优劣,优劣,网络安全防范,FW类型,软件防火墙（Software Firewall）个人防火墙（Personal Firewall）病毒防火墙（Virus Firewall，Virus Scanner/Killer）垃圾邮件防火墙（Spam Firewall，Spam Filter）,各对误报率/漏报率有何要求？,网络安全防范,Proxy,代理 Proxy协助、转换、缓存、隔离、限制,网络安全防范,信息系统访问控制分析（示例）,总裁总监助理部门经理项目经理职员后勤人员,级别,角色,办公 公关 生产 销售 市场 设计 技术 财务 规划,查看 创建 录入 修改 删除 审核 批准,操作,网络安全防范,用户角色权限,谁？可访问什么？做哪些操作？,信息系统A,信息系统B,信息系统C,功能模块A1,功能模块A2,功能模块B1,功能模块B2,功能模块B3,功能模块C1,组,组,组,组,读,读,删,删,改,改,添,读,读,添,改,读,字段,字段,字段,字段,字段,字段,字段,读,读,读,改,读,读,网络安全防范,Password,口令 Password合法身份的认定访问权限的分配可访问资源的URL（或IP地址）可访问资源的类型（Web、Email、FTP等）可访问的应用系统可访问的应用系统的功能（或时段）可访问的应用系统的功能操作方式（R/W，M/A/D）可访问的应用系统的数据表可访问的应用系统的数据表的字段,网络安全防范,OTP,一次性口令 One Time Password添加不确定因子口令序列（S/KEY）挑战/回答（Challenge/Answer，CryptoCard）时间同步（Time Synchronous，SecureID）事件同步（Event Synchronous，SafeWord）辅助工具Token Card（智能卡）Soft Token（软件虚拟卡）IC卡/USB棒,网络安全防范,OTP示例一,Password1Password2Password3passwordN,Client,Server,Password1Password2Password3passwordN,每次一个顺序使用,网络安全防范,OTP示例二,password,Client,Server,salt,time,Hash,password,time,Hash,比较,网络安全防范,OTP示例三,32,74,57,62,14,28,66,13,78,91,37,21,55,17,83,06,49,07,A,B,C,D,E,Z,1,2,n,Client,Server,C2,Password78,网络安全防范,OTP示例四,Client,Server,Password379648,379648,379648,随机数生成算法,379648,比较,网络安全防范,登录方式,统一认证Uniform Authentication单点登录Single-Point Sign-up,网络安全防范,AAA,验证、授权和记账Authentication，Authorization and AccountingRADIUS（Remote Authentication Dial-In User Service）PPP协议包含：PAP（Password Authentication Protocol）CHAP（Challenge Handshake Authentication Protocol）,网络安全防范,PAP,用户以明文的形式传递用户名和口令服务端把用户名和加密过的口令传递给RADIUS服务器，根据返回结果决定是否允许用户访问,网络安全防范,CHAP,当用户请求访问时，服务端产生一个16字节随机码给用户用户端得到这个包后使用专用的设备或软件对相关信息进行加密，生成响应回传给服务端服务端将这些数据传递给RADIUS服务器进行同样的运算并比较，如果相同表明验证通过，如果不相同表明验证失败,网络安全防范,LDAP,轻量目录访问协议Lightweight Directory Access Protocol,网络安全防范,SimAttack,模拟攻击（Simulating Attack）又称仿真攻击、攻击演练，是指采用网络安全攻击的工具，对网络系统实施攻击行为，然后分析攻击结果，用以指导安全防范措施的应用。由于安全攻击过程存在一定技术风险，所以应该采用经过改造的工具（类似于“病毒疫苗”），并在严密监控下进行安全测评（Security Evaluation）安全测评即安全风险评估、安全等级评定，可以采用专业安全评测工具，在相关国际、国家、行业或企业标准指导下进行，也可以聘请专业的安全测评机构来完成,网络安全防范,Pack,安全补丁 Pack对系统安全性的修补（升级）包具有公开性，对攻击者是一种变相“提示”，对未安装相关补丁的系统是灾难,网络安全防范,Log,系统日志 Log系统事件记录事后侦查和追踪的依据事件分析（潜在问题挖掘）,网络安全防范,IDS,入侵检测系统Intrusion Detection System异常发现技术假定所有入侵行为都是与正常行为有差异的模式发现技术假定所有入侵行为和手段（变种）都能表达为一种模式或特征,网络安全防范,IDS分类,基于主机的IDS基于网络的IDS,网络安全防范,SAS,安全审计系统Security Audit System对日志、系统文件等海量的数据进行分析除了采用模式匹配方法外，还可以采用数理统计分析、数据完整性分析等技术手段可进行“回顾”性分析，使用最新的分析模型对原有的“干净”记录进行安全隐患挖掘分析：系统对象（如用户、文件、目录和设备等）测量属性（如访问次数、失败次数、流量、延时等）,网络安全防范,攻击陷阱,攻击陷阱（Attacking Trap）吸引和诱导网络安全攻击保护系统和数据安全通过定向监测及时（容易）发现攻击行为如：“看上去比其它服务器更像核心服务器的服务器”“具有通用的管理员账户名称的虚假管理员账户”“明显是很有价值的用户信息列表文件”等,网络安全防范,网络安全防范体系,网络安全防范,第一层：实体安全（Entity Safety）,或称物理安全，是信息系统安全的基础 机房安全场地安全环境：温/湿度、电磁、噪声、防尘、静电、振动建筑：防火、防雷、围墙、门禁设施安全设备可靠性通信线路安全性辐射控制与防泄露动力、电源、空调灾难预防与恢复,网络安全防范,第二层：平台安全（Platform Safety）,操作系统和通用基础服务安全，用于防范骇客攻击 操作系统漏洞检测与修复（Unix/Linux系统、Windows系统）网络协议栈网络基础设施漏洞检测与修复路由器、交换机、防火墙通用基础应用程序漏洞检测与修复数据库Web、FTP、Email、DNS及其它各种网络应用系统守护进程信息安全产品部署（FW、IDS/SAS、脆弱性扫描和防病毒）整体网络系统平台（安全综合测试、模拟入侵与安全优化）,网络安全防范,第三层：数据安全（Data Safety）,防止数据丢失、崩溃和被非法访问介质与载体安全保护数据访问控制、系统数据访问控制检查标识与鉴别数据完整性数据可用性数据监控和审计数据存储与备份安全,网络安全防范,第四层：通信安全（Communication Safety）,保障系统间通信和互连的安全通信线路和网络基础设施安全性测试与优化安装网络加密设施设置通信加密机制设置身份鉴别机制设置并测试安全通道（隧道）测试各个层次网络协议机漏洞,网络安全防范,第五层：应用安全（Application Safety）,保障相关业务在计算机网络系统上安全运行业务软件的程序安全性测试（BUG分析）业务交往的防抵赖测试业务资源的访问控制验证测试业务实体的身份鉴别检测业务现场的备份与恢复机制检查业务数据的唯一性、一致性、防冲突检测业务数据的保密性测试业务系统的可靠性测试业务系统的可用性测试测试实施后，应有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范,网络安全防范,第六层：运行安全（Performance Safety）,保障系统安全性的稳定，在较长时间内控制计算机网络系统的安全性保持在一定范围内应急处置机制和配套服务网络系统安全性监测信息安全产品运行监测定期检查和评估系统升级和补丁安装跟踪最新安全漏洞及通报灾难恢复机制与预防系统改造管理接受信息安全专业技术咨询,网络安全防范,第七层：管理安全（Management Safety）,对以上各个层次的安全性提供管理机制人员管理、培训管理应用系统管理软件管理、设备管理文档管理、数据管理操作管理、运行管理机房管理工作日志管理应急预案管理通过管理安全实施，为安全防范体系各个方面建立安全策略，形成安全制度，并通过培训和促进措施，保障各项管理制度落到实处,