安全培訓之一

-網(wǎng)絡(luò)安全基礎(chǔ)主講：陳翔網(wǎng)安科技12/31/2022安全培訓之一

-網(wǎng)絡(luò)安全基礎(chǔ)主講：陳翔121大綱網(wǎng)絡(luò)安全背景分析安全基本理論教育系統(tǒng)拓撲安防體系12/31/2022大綱網(wǎng)絡(luò)安全背景分析12/23/20222校園網(wǎng)特點－－－現(xiàn)在地域：高校合并、新校區(qū)擴建應(yīng)用：網(wǎng)上游戲、網(wǎng)上視頻、BT/emule、學術(shù)研究…

QoS：不同應(yīng)用需要不同的時延、帶寬安全：病毒頻繁爆發(fā)、工具軟件、學生特點…由IPv4向IPv6進行逐步過渡12/31/2022校園網(wǎng)特點－－－現(xiàn)在地域：高校合并、新校區(qū)擴建12/23現(xiàn)在需要過去從無到有校園辦公網(wǎng)宿舍網(wǎng)互聯(lián)網(wǎng)出口網(wǎng)絡(luò)業(yè)務(wù)業(yè)務(wù)驅(qū)動可運營可用可管理安全易維護準確靈活計費有效的業(yè)務(wù)支撐校園網(wǎng)建設(shè)的轉(zhuǎn)變12/31/2022現(xiàn)在需要過去校園辦公網(wǎng)業(yè)務(wù)驅(qū)動可用校園網(wǎng)建設(shè)的轉(zhuǎn)變12/234學校網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用教學局域網(wǎng)：可由計算機中心、多校園網(wǎng)一般由兩部分構(gòu)成。一部分是內(nèi)部網(wǎng)（稱校園網(wǎng)內(nèi)部網(wǎng)），包含教學局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等幾個物理隔離網(wǎng)絡(luò)；另一部分是外部網(wǎng)（稱校園網(wǎng)外部網(wǎng)），包括一些公開服務(wù)器，并負責與中國教育和科研網(wǎng)和INTERNET的連接以及遠程移動辦公用戶等的接入等12/31/2022學校網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用教學局域網(wǎng)：可由計算機中心、多校園網(wǎng)一5媒體教室、語音教室、各系班計算機房等構(gòu)成，保證正常教學和學生上機。使教學人員能夠利用計算機備課，制作多媒體課件并開展教學。

圖書館局域網(wǎng)：一般由服務(wù)器和客戶機構(gòu)成，以實現(xiàn)圖書館自動化管理。保證圖書館內(nèi)部業(yè)務(wù)計算機網(wǎng)絡(luò)化管理和在校園網(wǎng)上實現(xiàn)書刊目錄及部分文獻參考全文檢索及瀏覽等應(yīng)用。

12/31/2022媒體教室、語音教室、各系班計算機房等構(gòu)成，保證正常教學和學生6辦公自動化局域網(wǎng)：包括辦公自動化和教學管理服務(wù)器，客戶機。通過辦公自動化軟件，開展公文管理、會議管理、檔案管理和個人辦公管理的辦公自動化的應(yīng)用。實現(xiàn)包括教學管理、科研管理、學員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財務(wù)管理、后勤管理等應(yīng)用，形成院校的管理信息系統(tǒng)。

12/31/2022辦公自動化局域網(wǎng)：包括辦公自動化和教學管理服務(wù)器，客戶機。通7各類應(yīng)用服務(wù)器12/31/2022各類應(yīng)用服務(wù)器12/23/20228外部網(wǎng)一般通過外部網(wǎng)交換機，連接因特網(wǎng)服務(wù)器構(gòu)成一個獨立網(wǎng)段。邊界路由器通過DDN專線與中國教育和科研網(wǎng)（或其它網(wǎng)絡(luò)）連接，實現(xiàn)與因特網(wǎng)互聯(lián)。

遠程訪問服務(wù)器連入公用電話網(wǎng)（PSNT／GSM），使院外授權(quán)用戶（含院內(nèi)職工在宿舍或出差）用拔號方式訪問校園網(wǎng)。

12/31/2022外部網(wǎng)一般通過外部網(wǎng)交換機，連接因特網(wǎng)服務(wù)器構(gòu)成一個獨立網(wǎng)段9安全產(chǎn)品分布圖結(jié)論：防火墻、IDS、防病毒是首選的安全產(chǎn)品使用計費系統(tǒng)過濾王12/31/2022安全產(chǎn)品分布圖結(jié)論：防火使用計費系統(tǒng)過濾王12/2310網(wǎng)絡(luò)安全－教育12/31/2022網(wǎng)絡(luò)安全－教育12/23/202211學校安全問題1.網(wǎng)絡(luò)安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備。大多數(shù)高校網(wǎng)絡(luò)建設(shè)經(jīng)費嚴重不足，有限的經(jīng)費也主要投在網(wǎng)絡(luò)設(shè)備上，對于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入。校園網(wǎng)還基本處在一個開放的狀態(tài)，沒有任何有效的安全預(yù)警手段和防范措施。12/31/2022學校安全問題1.網(wǎng)絡(luò)安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安122.學校的上網(wǎng)場所管理較混亂

.各校園網(wǎng)內(nèi)有一批直接接入校園網(wǎng)的機房平時提供給學生和教職員工上網(wǎng)、學習。但是，由于缺乏統(tǒng)一的管理軟件和監(jiān)控、日志系統(tǒng)，這些機房的管理基本處在各自為政的狀態(tài)。絕大多數(shù)的機房的登記管理制度存在嚴重漏洞，上網(wǎng)用戶的身份無法唯一識別；另外，由于機房的計算機為了管理上的方便，基本上都投入了大批資金安裝了還原卡，計算機關(guān)機后啟動即恢復到初始狀態(tài)，但這在安全管理上就形成了很大的漏洞，無法按照安全部門要求保留至少三個月以上的上機和上網(wǎng)日志；更有甚者，個別機房甚至私自接入了互聯(lián)網(wǎng)，繞開了學校的統(tǒng)一管理和國家相關(guān)部門的監(jiān)管，存在極大的安全隱患。12/31/20222.學校的上網(wǎng)場所管理較混亂

.各校園網(wǎng)內(nèi)有一批直接接入校園133.電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段

近些時候，通過電子郵件系統(tǒng)散發(fā)反動，色情言論和材料以及散步謠言等情況愈發(fā)嚴重。但大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費版本的郵件系統(tǒng)，由于是免費的軟件，既不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合公安部門提出的安全郵件系統(tǒng)的要求，出現(xiàn)問題無法及時有效的解決12/31/20223.電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段

近些時144.網(wǎng)絡(luò)病毒泛濫網(wǎng)絡(luò)在提供給大家的方便的同時，也變成了病毒傳遞的最快捷的途徑。隨著網(wǎng)絡(luò)飛速發(fā)展、網(wǎng)絡(luò)病毒的編制者水平的提高以及近幾年網(wǎng)絡(luò)病毒和黑客軟件的結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導致用戶的隱私和重要數(shù)據(jù)外泄。同時還極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能急劇下降；從“紅色代碼”、“尼姆達”到“愛之門”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。而病毒防范的措施也不能僅僅靠原來單機的方式，必須是一種集中管理，統(tǒng)一升級，統(tǒng)一監(jiān)控的針對網(wǎng)絡(luò)的防病毒體系。12/31/20224.網(wǎng)絡(luò)病毒泛濫網(wǎng)絡(luò)在提供給大家的方便的同時，也變成了病毒傳155.網(wǎng)絡(luò)安全意識淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度校園網(wǎng)絡(luò)上的攻擊、侵入他人機器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，以福建省省網(wǎng)中心之一的××大學網(wǎng)絡(luò)中心做過的統(tǒng)計，該校主要的幾個應(yīng)用服務(wù)器平均一個星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識淡??；另外，沒有制定完善而嚴格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標準，這也是網(wǎng)絡(luò)安全問題泛濫的一個重要原因。12/31/20225.網(wǎng)絡(luò)安全意識淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度校園網(wǎng)絡(luò)16解決網(wǎng)絡(luò)安全問題涉及的方面法制建設(shè)問題：約束黑客行為等組織建設(shè)問題：建立快速響應(yīng)體系標準資質(zhì)認證：產(chǎn)品、服務(wù)標準系統(tǒng)評估問題：安全隱患與信息價值平臺建設(shè)問題：CERT、反入侵、反病毒等安全中心科研支撐：專項基金、支持科研及自有力量的科研投入人力資源建設(shè)：建立專家隊伍、開展培訓工作12/31/2022解決網(wǎng)絡(luò)安全問題涉及的方面法制建設(shè)問題：約束黑客行為等12/17網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的五要素包括：機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。

可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。

即服務(wù)不中斷?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。12/31/2022網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的五要素包括：12/23/202218網(wǎng)絡(luò)安全的分層防護體系12/31/2022網(wǎng)絡(luò)安全的分層防護體系12/23/202219我們的方案思路網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀安全風險評估安全需求與目標安全體系安全解決方案網(wǎng)絡(luò)安全的實現(xiàn)安全服務(wù)12/31/2022我們的方案思路網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀安全風險評估安全需求與目標安全體系20安全體系12/31/2022安全體系12/23/202221教育網(wǎng)絡(luò)安全防護策略本章概要

網(wǎng)絡(luò)安全策略是安全管理體系和網(wǎng)絡(luò)安全技術(shù)的綜合。本章將就企業(yè)范圍的網(wǎng)絡(luò)安全策略進行闡述，著重介紹以下幾方面：企業(yè)安全防護體系的構(gòu)成建立安全的企業(yè)網(wǎng)絡(luò)安防工作是一個過程12/31/2022教育網(wǎng)絡(luò)安全防護策略本章概要 網(wǎng)絡(luò)安22教育網(wǎng)絡(luò)安全防護策略先進的網(wǎng)絡(luò)安全技術(shù)是企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)完善的安全管理體系是網(wǎng)絡(luò)安全的必要條件安全防護工作是一個周而復始、循環(huán)上升的過程12/31/2022教育網(wǎng)絡(luò)安全防護策略先進的網(wǎng)絡(luò)安全技術(shù)是企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)123教育安全防護體系的構(gòu)成人

制度技術(shù)安全防護體系教育安全防護體系的主要構(gòu)成因素人制度技術(shù)12/31/2022教育安全防護體系的構(gòu)成人制度技術(shù)安全防護體系教24人：安防體系的根本動力人是安防體系中的最薄弱環(huán)節(jié)對安全防護工作重視的領(lǐng)導是安防工作順利推進的主要動力；有強烈安全防護意識的員工是企業(yè)安防體系得以切實落實的基礎(chǔ)；杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強安全防護的一項重要工作。12/31/2022人：安防體系的根本動力人是安防體系中的最薄弱環(huán)節(jié)對安全防護工25人：安防體系的根本動力加強安全教育、提高網(wǎng)絡(luò)安全意識啟蒙——為安全培訓工作打基礎(chǔ)，端正對企業(yè)的態(tài)度，讓他們充分認識到安防工作的重要意義及在不重視安防工作的危險后果。培訓——傳授安全技巧，使其更好的完成自己的工作。教育——目標是培養(yǎng)IT安防專業(yè)人才，重點在于拓展應(yīng)付處理復雜多變的攻擊活動的能力和遠見。12/31/2022人：安防體系的根本動力加強安全教育、提高網(wǎng)絡(luò)安全意識啟蒙——26制度：安防體系的基礎(chǔ)減輕或消除員工和第三方的法律責任對保密信息和無形資產(chǎn)加以保護防止浪費企業(yè)的計算機資源安防制度的定義和作用

安防制度是這樣一份或一套文檔，它從整體上規(guī)劃出在企業(yè)內(nèi)部實施的各項安防控制措施。安防制度的作用主要有：12/31/2022制度：安防體系的基礎(chǔ)減輕或消除員工和第三方的法律責任安防制度27制度：安防體系的基礎(chǔ)安防制度的生命周期

安防制度的生命周期包括制度的制定、推行和監(jiān)督實施。第一階段：規(guī)章制度的制定。本階段以風險評估工作的結(jié)論為依據(jù)制定出消除、減輕和轉(zhuǎn)移風險所需要的安防控制措施。第二階段：企業(yè)發(fā)布執(zhí)行的規(guī)章制度，以及配套的獎懲措施。第三階段：規(guī)章制度的監(jiān)督實施。制度的監(jiān)督實施應(yīng)常抓不懈、反復進行，保證制度能夠跟上企業(yè)的發(fā)展和變化制度的監(jiān)督實施制度的制定制度的推行12/31/2022制度：安防體系的基礎(chǔ)安防制度的生命周期 安28制度：安防體系的基礎(chǔ)計算機上機管理制度用戶賬戶管理制度遠程訪問管理制度信息保護管理制度防火墻管理制度特殊訪問權(quán)限管理制度網(wǎng)絡(luò)連接設(shè)備管理制度商業(yè)伙伴管理制度顧客管理制度安防制度的主要組成部分12/31/2022制度：安防體系的基礎(chǔ)計算機上機管理制度安防制度的主要組成部分29技術(shù)：安防體系的基本保證信息加密技術(shù)身份鑒別技術(shù)資源使用授權(quán)技術(shù)訪問審計技術(shù)備份與恢復技術(shù)防病毒技術(shù)網(wǎng)絡(luò)安防需要先進的信息安全技術(shù)12/31/2022技術(shù)：安防體系的基本保證信息加密技術(shù)網(wǎng)絡(luò)安防需要先進的信息安30技術(shù)：安防體系的基本保證網(wǎng)絡(luò)防火墻VPN設(shè)備入侵檢測設(shè)備漏洞評估產(chǎn)品網(wǎng)絡(luò)防病毒產(chǎn)品網(wǎng)絡(luò)安防需要先進的安全產(chǎn)品12/31/2022技術(shù)：安防體系的基本保證網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)安防需要先進的安全產(chǎn)品31技術(shù)：安防體系的基本保證單一的安全保護往往效果不理想目前的趨勢——應(yīng)用和實施一個基于多層次安全系統(tǒng)的全面信息安全策略網(wǎng)絡(luò)安防需要采用多層防護策略在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品分層的安全防護成倍地增加了黑客攻擊的成本和難度從而卓有成效地降低被攻擊的危險，達到安全防護的目標。12/31/2022技術(shù)：安防體系的基本保證單一的安全保護往往效果不理想網(wǎng)絡(luò)安防321防火墻技術(shù)12/31/20221防火墻技術(shù)12/23/202233防火墻的基本概念

防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶DMZ防火墻12/31/2022防火墻的基本概念防火墻是一種高級訪問控制設(shè)備，34防火墻的主要技術(shù)包過濾技術(shù)(PacketFiltering)應(yīng)用層代理技術(shù)(ApplicationProxy)狀態(tài)包過濾技術(shù)(StatefulPacketFiltering)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層12/31/2022防火墻的主要技術(shù)包過濾技術(shù)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)35數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包包過濾技術(shù)的基本原理數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略12/31/2022數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理36數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)

數(shù)據(jù)包應(yīng)用層代理技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應(yīng)用代理判斷信息控制策略12/31/2022數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理37數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包狀態(tài)檢測包過濾技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判斷信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測控制策略12/31/2022數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理38防火墻的用途位于Internet與Intranet之間的系統(tǒng)，避免內(nèi)部網(wǎng)絡(luò)直接暴露在外面防止Internet上非法訪問防止內(nèi)部使用者不當?shù)氖褂肐nternet有效的記錄及監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動強化企業(yè)安全策略12/31/2022防火墻的用途位于Internet與Intranet之間的系統(tǒng)39防火墻不能完全防止受病毒感染的文件或軟件的傳輸防火墻對不通過它的連接無能為力防火墻不能防備內(nèi)部人員的攻擊防火墻可能導致傳輸延遲、網(wǎng)絡(luò)瓶頸及單點失效防火墻不能防備新的網(wǎng)絡(luò)安全問題防火墻的弱點12/31/2022防火墻不能完全防止受病毒感染的文件或軟件的傳輸防火墻的弱點1402入侵檢測技術(shù)12/31/20222入侵檢測技術(shù)12/23/202241入侵檢測系統(tǒng)的概念防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；入侵檢測系統(tǒng)(IDS：Intrusiondetectionsystem)用于監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)被入侵或濫用的征兆；IDS系統(tǒng)以后臺進程的形式運行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員；IDS是監(jiān)控和識別攻擊的標準解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。12/31/2022入侵檢測系統(tǒng)的概念防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；12/242內(nèi)部用戶可能對網(wǎng)絡(luò)服務(wù)器進行攻擊，竊取資料，破壞服務(wù)器上的重要數(shù)據(jù)信息，令網(wǎng)絡(luò)癱瘓；有的用戶擅自接入互聯(lián)網(wǎng)，感染木馬程序和網(wǎng)絡(luò)病毒，將導致內(nèi)部重要數(shù)據(jù)外泄；用戶可能通過內(nèi)部網(wǎng)絡(luò)向外進行非法攻擊，造成重大破壞，而從外界追查只能知道攻擊來自該網(wǎng)絡(luò)；外來用戶可以通過外接一臺計算機連入內(nèi)部網(wǎng)絡(luò)，竊取內(nèi)部資料或進行破壞活動。使用入侵檢測系統(tǒng)的意義：12/31/2022內(nèi)部用戶可能對網(wǎng)絡(luò)服務(wù)器進行攻擊，竊取資料，破壞服務(wù)器上的重43不需要人工干預(yù)即可不間斷運行有容錯功能不需要占用大量的系統(tǒng)資源能夠發(fā)現(xiàn)異于正常行為的操作能夠適應(yīng)系統(tǒng)行為的長期變化判斷準確靈活定制保持領(lǐng)先入侵檢測系統(tǒng)應(yīng)有的功能12/31/2022不需要人工干預(yù)即可不間斷運行入侵檢測系統(tǒng)應(yīng)有的功能12/2344入侵檢測系統(tǒng)的主要類型主機入侵檢測系統(tǒng)HostIntrusionDetectionSystem網(wǎng)絡(luò)入侵檢測系統(tǒng)NetworkIntrusionDetectionSystem12/31/2022入侵檢測系統(tǒng)的主要類型主機入侵檢測系統(tǒng)12/23/202245入侵檢測系統(tǒng)的優(yōu)點和不足能夠使現(xiàn)有的安防體系更完善；能夠更好地掌握系統(tǒng)的情況；能夠追蹤攻擊者的攻擊線路；界面友好，便于建立安防體系；能夠抓住肇事者。12/31/2022入侵檢測系統(tǒng)的優(yōu)點和不足能夠使現(xiàn)有的安防體系更完善；12/246不能在沒有用戶參與的情況下對攻擊行為展開調(diào)查；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服設(shè)計原理方面的缺陷；存在漏報與誤報。入侵檢測系統(tǒng)不是萬能的，也存在許多不足：12/31/2022不能在沒有用戶參與的情況下對攻擊行為展開調(diào)查；47含入侵檢測系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)InternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機帶主機IDS感應(yīng)器的服務(wù)器服務(wù)器12/31/2022含入侵檢測系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)InternetIDS1IDS483防病毒技術(shù)12/31/20223防病毒技術(shù)12/23/202249病毒的演化趨勢

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC,2002郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1981物理介質(zhì)Brain19861998CIH病毒演化趨勢速客一號200312/31/2022病毒的演化趨勢攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒50網(wǎng)絡(luò)防病毒技術(shù)發(fā)展趨勢反黑與反病毒相結(jié)合從入口攔截病毒全面解決方案客戶化定制區(qū)域化到國際化12/31/2022網(wǎng)絡(luò)防病毒技術(shù)發(fā)展趨勢反黑與反病毒51企業(yè)防病毒策略

—多層次病毒防護體系在企業(yè)每臺臺式機上安裝客戶端防病毒軟件在服務(wù)器上安裝基于服務(wù)器的防病毒軟件在網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的防病毒產(chǎn)品這一防護體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不受病毒的危害與其亡羊補牢不如未雨綢繆12/31/2022企業(yè)防病毒策略

—多層次病毒52選擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓撲契合性；企業(yè)應(yīng)選用網(wǎng)絡(luò)版的防病毒軟件應(yīng)選用單一品牌防毒軟件產(chǎn)品慎選防病毒軟件的供應(yīng)商防病毒產(chǎn)品的選擇原則12/31/2022選擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓撲契合性；防病毒產(chǎn)品的選擇53病毒查殺能力對新病毒的反應(yīng)能力病毒實時檢測能力快速、方便的升級智能安裝、遠程識別管理方便，易于操作對現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價格軟件商的企業(yè)實力防病毒產(chǎn)品選擇應(yīng)考慮的具體因素12/31/2022病毒查殺能力防病毒產(chǎn)品選擇應(yīng)考慮的具體因素12/23/202545VPN技術(shù)12/31/20225VPN技術(shù)12/23/202255虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。VPN的基本概念I(lǐng)nternetVPN通道VPN網(wǎng)關(guān)移動用戶VPN網(wǎng)關(guān)12/31/2022虛擬專用網(wǎng)VPN（VirtualPrivate56VPN的功能保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動態(tài)密鑰交換功能，提供密鑰中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。提供安全防護措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制（AccessControl）12/31/2022VPN的功能保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權(quán)的，要有57內(nèi)部網(wǎng)VPN——用VPN連接公司總部和其分支機構(gòu).遠程訪問VPN——用VPN連接遠程用戶.外聯(lián)網(wǎng)VPN——用VPN連接其業(yè)務(wù)伙伴.VPN的分類及用途子公司LAN合作伙伴LAN遠程用戶Internet12/31/2022內(nèi)部網(wǎng)VPN——用VPN連接公司總部和其分支58InternetVPN服務(wù)器VPN服務(wù)器路由器路由器加密信道加密認證VPN總部LAN子公司LAN一個安全的VPN服務(wù)，應(yīng)該為子公司的不同用戶指定不同的訪問權(quán)限。內(nèi)部網(wǎng)VPN12/31/2022InternetVPN服務(wù)器VPN服務(wù)器路由器路由器加密信道59InternetVPN服務(wù)器加密信道總部LANVPN的功能：1、訪問控制管理。2、用戶身份認證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計記錄。5、密鑰和數(shù)字簽名管理。PC機移動用戶公共服務(wù)器遠程訪問VPN12/31/2022InternetVPN服務(wù)器加密信道總部LANVPN的功能：60InternetVPN服務(wù)器VPN服務(wù)器加密信道加密認證VPN公司內(nèi)聯(lián)網(wǎng)合作公司內(nèi)聯(lián)網(wǎng)1、VPN服務(wù)應(yīng)有詳細的訪問控制。2、與防火墻/協(xié)議兼容。FTP服務(wù)器外聯(lián)網(wǎng)VPN12/31/2022InternetVPN服務(wù)器VPN服務(wù)器加密信道加密認證VP61VPN采用的相關(guān)技術(shù)Tunneling隧道Encryption加密Authentication身份認證12/31/2022VPN采用的相關(guān)技術(shù)Tunneling隧道12/23/62VPN常用協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會話層傳輸層會話層代理網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TPVPN常用的協(xié)議有IPSec、PPTP以及L2TP等。這些協(xié)議對應(yīng)的OSI層次結(jié)構(gòu)如下：12/31/2022VPN常用協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層應(yīng)用代理會63$dollars$dollars$dollarsDetection入侵檢測Protect安全保護Reaction安全響應(yīng)Recovery安全備份Management安全管理統(tǒng)一管理、協(xié)調(diào)PDRR之間的行動安全方案設(shè)計建立安全模型(MDPRR)12/31/2022$dollars$dollars$dollarsDetect64電話：0597—2281620廈門(龍巖)網(wǎng)安科技有限公司地址：龍巖市中山路綠世界廣場5F12/31/2022電話：0597—2281620廈門(龍巖)網(wǎng)安科技有限公司地65謝謝大家！12/31/2022謝謝大家！12/23/202266演講完畢，謝謝觀看！演講完畢，謝謝觀看！67安全培訓之一

-網(wǎng)絡(luò)安全基礎(chǔ)主講：陳翔網(wǎng)安科技12/31/2022安全培訓之一

-網(wǎng)絡(luò)安全基礎(chǔ)主講：陳翔1268大綱網(wǎng)絡(luò)安全背景分析安全基本理論教育系統(tǒng)拓撲安防體系12/31/2022大綱網(wǎng)絡(luò)安全背景分析12/23/202269校園網(wǎng)特點－－－現(xiàn)在地域：高校合并、新校區(qū)擴建應(yīng)用：網(wǎng)上游戲、網(wǎng)上視頻、BT/emule、學術(shù)研究…

QoS：不同應(yīng)用需要不同的時延、帶寬安全：病毒頻繁爆發(fā)、工具軟件、學生特點…由IPv4向IPv6進行逐步過渡12/31/2022校園網(wǎng)特點－－－現(xiàn)在地域：高校合并、新校區(qū)擴建12/270現(xiàn)在需要過去從無到有校園辦公網(wǎng)宿舍網(wǎng)互聯(lián)網(wǎng)出口網(wǎng)絡(luò)業(yè)務(wù)業(yè)務(wù)驅(qū)動可運營可用可管理安全易維護準確靈活計費有效的業(yè)務(wù)支撐校園網(wǎng)建設(shè)的轉(zhuǎn)變12/31/2022現(xiàn)在需要過去校園辦公網(wǎng)業(yè)務(wù)驅(qū)動可用校園網(wǎng)建設(shè)的轉(zhuǎn)變12/2371學校網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用教學局域網(wǎng)：可由計算機中心、多校園網(wǎng)一般由兩部分構(gòu)成。一部分是內(nèi)部網(wǎng)（稱校園網(wǎng)內(nèi)部網(wǎng)），包含教學局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等幾個物理隔離網(wǎng)絡(luò)；另一部分是外部網(wǎng)（稱校園網(wǎng)外部網(wǎng)），包括一些公開服務(wù)器，并負責與中國教育和科研網(wǎng)和INTERNET的連接以及遠程移動辦公用戶等的接入等12/31/2022學校網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用教學局域網(wǎng)：可由計算機中心、多校園網(wǎng)一72媒體教室、語音教室、各系班計算機房等構(gòu)成，保證正常教學和學生上機。使教學人員能夠利用計算機備課，制作多媒體課件并開展教學。

圖書館局域網(wǎng)：一般由服務(wù)器和客戶機構(gòu)成，以實現(xiàn)圖書館自動化管理。保證圖書館內(nèi)部業(yè)務(wù)計算機網(wǎng)絡(luò)化管理和在校園網(wǎng)上實現(xiàn)書刊目錄及部分文獻參考全文檢索及瀏覽等應(yīng)用。

12/31/2022媒體教室、語音教室、各系班計算機房等構(gòu)成，保證正常教學和學生73辦公自動化局域網(wǎng)：包括辦公自動化和教學管理服務(wù)器，客戶機。通過辦公自動化軟件，開展公文管理、會議管理、檔案管理和個人辦公管理的辦公自動化的應(yīng)用。實現(xiàn)包括教學管理、科研管理、學員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財務(wù)管理、后勤管理等應(yīng)用，形成院校的管理信息系統(tǒng)。

12/31/2022辦公自動化局域網(wǎng)：包括辦公自動化和教學管理服務(wù)器，客戶機。通74各類應(yīng)用服務(wù)器12/31/2022各類應(yīng)用服務(wù)器12/23/202275外部網(wǎng)一般通過外部網(wǎng)交換機，連接因特網(wǎng)服務(wù)器構(gòu)成一個獨立網(wǎng)段。邊界路由器通過DDN專線與中國教育和科研網(wǎng)（或其它網(wǎng)絡(luò)）連接，實現(xiàn)與因特網(wǎng)互聯(lián)。

遠程訪問服務(wù)器連入公用電話網(wǎng)（PSNT／GSM），使院外授權(quán)用戶（含院內(nèi)職工在宿舍或出差）用拔號方式訪問校園網(wǎng)。

12/31/2022外部網(wǎng)一般通過外部網(wǎng)交換機，連接因特網(wǎng)服務(wù)器構(gòu)成一個獨立網(wǎng)段76安全產(chǎn)品分布圖結(jié)論：防火墻、IDS、防病毒是首選的安全產(chǎn)品使用計費系統(tǒng)過濾王12/31/2022安全產(chǎn)品分布圖結(jié)論：防火使用計費系統(tǒng)過濾王12/2377網(wǎng)絡(luò)安全－教育12/31/2022網(wǎng)絡(luò)安全－教育12/23/202278學校安全問題1.網(wǎng)絡(luò)安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備。大多數(shù)高校網(wǎng)絡(luò)建設(shè)經(jīng)費嚴重不足，有限的經(jīng)費也主要投在網(wǎng)絡(luò)設(shè)備上，對于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入。校園網(wǎng)還基本處在一個開放的狀態(tài)，沒有任何有效的安全預(yù)警手段和防范措施。12/31/2022學校安全問題1.網(wǎng)絡(luò)安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安792.學校的上網(wǎng)場所管理較混亂

.各校園網(wǎng)內(nèi)有一批直接接入校園網(wǎng)的機房平時提供給學生和教職員工上網(wǎng)、學習。但是，由于缺乏統(tǒng)一的管理軟件和監(jiān)控、日志系統(tǒng)，這些機房的管理基本處在各自為政的狀態(tài)。絕大多數(shù)的機房的登記管理制度存在嚴重漏洞，上網(wǎng)用戶的身份無法唯一識別；另外，由于機房的計算機為了管理上的方便，基本上都投入了大批資金安裝了還原卡，計算機關(guān)機后啟動即恢復到初始狀態(tài)，但這在安全管理上就形成了很大的漏洞，無法按照安全部門要求保留至少三個月以上的上機和上網(wǎng)日志；更有甚者，個別機房甚至私自接入了互聯(lián)網(wǎng)，繞開了學校的統(tǒng)一管理和國家相關(guān)部門的監(jiān)管，存在極大的安全隱患。12/31/20222.學校的上網(wǎng)場所管理較混亂

.各校園網(wǎng)內(nèi)有一批直接接入校園803.電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段

近些時候，通過電子郵件系統(tǒng)散發(fā)反動，色情言論和材料以及散步謠言等情況愈發(fā)嚴重。但大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費版本的郵件系統(tǒng)，由于是免費的軟件，既不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合公安部門提出的安全郵件系統(tǒng)的要求，出現(xiàn)問題無法及時有效的解決12/31/20223.電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段

近些時814.網(wǎng)絡(luò)病毒泛濫網(wǎng)絡(luò)在提供給大家的方便的同時，也變成了病毒傳遞的最快捷的途徑。隨著網(wǎng)絡(luò)飛速發(fā)展、網(wǎng)絡(luò)病毒的編制者水平的提高以及近幾年網(wǎng)絡(luò)病毒和黑客軟件的結(jié)合，網(wǎng)絡(luò)病毒的爆發(fā)直接導致用戶的隱私和重要數(shù)據(jù)外泄。同時還極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能急劇下降；從“紅色代碼”、“尼姆達”到“愛之門”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出，網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴峻。而病毒防范的措施也不能僅僅靠原來單機的方式，必須是一種集中管理，統(tǒng)一升級，統(tǒng)一監(jiān)控的針對網(wǎng)絡(luò)的防病毒體系。12/31/20224.網(wǎng)絡(luò)病毒泛濫網(wǎng)絡(luò)在提供給大家的方便的同時，也變成了病毒傳825.網(wǎng)絡(luò)安全意識淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度校園網(wǎng)絡(luò)上的攻擊、侵入他人機器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，以福建省省網(wǎng)中心之一的××大學網(wǎng)絡(luò)中心做過的統(tǒng)計，該校主要的幾個應(yīng)用服務(wù)器平均一個星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識淡薄；另外，沒有制定完善而嚴格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標準，這也是網(wǎng)絡(luò)安全問題泛濫的一個重要原因。12/31/20225.網(wǎng)絡(luò)安全意識淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度校園網(wǎng)絡(luò)83解決網(wǎng)絡(luò)安全問題涉及的方面法制建設(shè)問題：約束黑客行為等組織建設(shè)問題：建立快速響應(yīng)體系標準資質(zhì)認證：產(chǎn)品、服務(wù)標準系統(tǒng)評估問題：安全隱患與信息價值平臺建設(shè)問題：CERT、反入侵、反病毒等安全中心科研支撐：專項基金、支持科研及自有力量的科研投入人力資源建設(shè)：建立專家隊伍、開展培訓工作12/31/2022解決網(wǎng)絡(luò)安全問題涉及的方面法制建設(shè)問題：約束黑客行為等12/84網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的五要素包括：機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。

可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。

即服務(wù)不中斷?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。12/31/2022網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的五要素包括：12/23/202285網(wǎng)絡(luò)安全的分層防護體系12/31/2022網(wǎng)絡(luò)安全的分層防護體系12/23/202286我們的方案思路網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀安全風險評估安全需求與目標安全體系安全解決方案網(wǎng)絡(luò)安全的實現(xiàn)安全服務(wù)12/31/2022我們的方案思路網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀安全風險評估安全需求與目標安全體系87安全體系12/31/2022安全體系12/23/202288教育網(wǎng)絡(luò)安全防護策略本章概要

網(wǎng)絡(luò)安全策略是安全管理體系和網(wǎng)絡(luò)安全技術(shù)的綜合。本章將就企業(yè)范圍的網(wǎng)絡(luò)安全策略進行闡述，著重介紹以下幾方面：企業(yè)安全防護體系的構(gòu)成建立安全的企業(yè)網(wǎng)絡(luò)安防工作是一個過程12/31/2022教育網(wǎng)絡(luò)安全防護策略本章概要 網(wǎng)絡(luò)安89教育網(wǎng)絡(luò)安全防護策略先進的網(wǎng)絡(luò)安全技術(shù)是企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)完善的安全管理體系是網(wǎng)絡(luò)安全的必要條件安全防護工作是一個周而復始、循環(huán)上升的過程12/31/2022教育網(wǎng)絡(luò)安全防護策略先進的網(wǎng)絡(luò)安全技術(shù)是企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)190教育安全防護體系的構(gòu)成人

制度技術(shù)安全防護體系教育安全防護體系的主要構(gòu)成因素人制度技術(shù)12/31/2022教育安全防護體系的構(gòu)成人制度技術(shù)安全防護體系教91人：安防體系的根本動力人是安防體系中的最薄弱環(huán)節(jié)對安全防護工作重視的領(lǐng)導是安防工作順利推進的主要動力；有強烈安全防護意識的員工是企業(yè)安防體系得以切實落實的基礎(chǔ)；杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強安全防護的一項重要工作。12/31/2022人：安防體系的根本動力人是安防體系中的最薄弱環(huán)節(jié)對安全防護工92人：安防體系的根本動力加強安全教育、提高網(wǎng)絡(luò)安全意識啟蒙——為安全培訓工作打基礎(chǔ)，端正對企業(yè)的態(tài)度，讓他們充分認識到安防工作的重要意義及在不重視安防工作的危險后果。培訓——傳授安全技巧，使其更好的完成自己的工作。教育——目標是培養(yǎng)IT安防專業(yè)人才，重點在于拓展應(yīng)付處理復雜多變的攻擊活動的能力和遠見。12/31/2022人：安防體系的根本動力加強安全教育、提高網(wǎng)絡(luò)安全意識啟蒙——93制度：安防體系的基礎(chǔ)減輕或消除員工和第三方的法律責任對保密信息和無形資產(chǎn)加以保護防止浪費企業(yè)的計算機資源安防制度的定義和作用

安防制度是這樣一份或一套文檔，它從整體上規(guī)劃出在企業(yè)內(nèi)部實施的各項安防控制措施。安防制度的作用主要有：12/31/2022制度：安防體系的基礎(chǔ)減輕或消除員工和第三方的法律責任安防制度94制度：安防體系的基礎(chǔ)安防制度的生命周期

安防制度的生命周期包括制度的制定、推行和監(jiān)督實施。第一階段：規(guī)章制度的制定。本階段以風險評估工作的結(jié)論為依據(jù)制定出消除、減輕和轉(zhuǎn)移風險所需要的安防控制措施。第二階段：企業(yè)發(fā)布執(zhí)行的規(guī)章制度，以及配套的獎懲措施。第三階段：規(guī)章制度的監(jiān)督實施。制度的監(jiān)督實施應(yīng)常抓不懈、反復進行，保證制度能夠跟上企業(yè)的發(fā)展和變化制度的監(jiān)督實施制度的制定制度的推行12/31/2022制度：安防體系的基礎(chǔ)安防制度的生命周期 安95制度：安防體系的基礎(chǔ)計算機上機管理制度用戶賬戶管理制度遠程訪問管理制度信息保護管理制度防火墻管理制度特殊訪問權(quán)限管理制度網(wǎng)絡(luò)連接設(shè)備管理制度商業(yè)伙伴管理制度顧客管理制度安防制度的主要組成部分12/31/2022制度：安防體系的基礎(chǔ)計算機上機管理制度安防制度的主要組成部分96技術(shù)：安防體系的基本保證信息加密技術(shù)身份鑒別技術(shù)資源使用授權(quán)技術(shù)訪問審計技術(shù)備份與恢復技術(shù)防病毒技術(shù)網(wǎng)絡(luò)安防需要先進的信息安全技術(shù)12/31/2022技術(shù)：安防體系的基本保證信息加密技術(shù)網(wǎng)絡(luò)安防需要先進的信息安97技術(shù)：安防體系的基本保證網(wǎng)絡(luò)防火墻VPN設(shè)備入侵檢測設(shè)備漏洞評估產(chǎn)品網(wǎng)絡(luò)防病毒產(chǎn)品網(wǎng)絡(luò)安防需要先進的安全產(chǎn)品12/31/2022技術(shù)：安防體系的基本保證網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)安防需要先進的安全產(chǎn)品98技術(shù)：安防體系的基本保證單一的安全保護往往效果不理想目前的趨勢——應(yīng)用和實施一個基于多層次安全系統(tǒng)的全面信息安全策略網(wǎng)絡(luò)安防需要采用多層防護策略在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品分層的安全防護成倍地增加了黑客攻擊的成本和難度從而卓有成效地降低被攻擊的危險，達到安全防護的目標。12/31/2022技術(shù)：安防體系的基本保證單一的安全保護往往效果不理想網(wǎng)絡(luò)安防991防火墻技術(shù)12/31/20221防火墻技術(shù)12/23/2022100防火墻的基本概念

防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶DMZ防火墻12/31/2022防火墻的基本概念防火墻是一種高級訪問控制設(shè)備，101防火墻的主要技術(shù)包過濾技術(shù)(PacketFiltering)應(yīng)用層代理技術(shù)(ApplicationProxy)狀態(tài)包過濾技術(shù)(StatefulPacketFiltering)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層12/31/2022防火墻的主要技術(shù)包過濾技術(shù)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)102數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包包過濾技術(shù)的基本原理數(shù)據(jù)包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略12/31/2022數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理103數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)

數(shù)據(jù)包應(yīng)用層代理技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應(yīng)用代理判斷信息控制策略12/31/2022數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理104數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)數(shù)據(jù)包狀態(tài)檢測包過濾技術(shù)的基本原理數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判斷信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測控制策略12/31/2022數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理105防火墻的用途位于Internet與Intranet之間的系統(tǒng)，避免內(nèi)部網(wǎng)絡(luò)直接暴露在外面防止Internet上非法訪問防止內(nèi)部使用者不當?shù)氖褂肐nternet有效的記錄及監(jiān)控企業(yè)與互聯(lián)網(wǎng)活動強化企業(yè)安全策略12/31/2022防火墻的用途位于Internet與Intranet之間的系統(tǒng)106防火墻不能完全防止受病毒感染的文件或軟件的傳輸防火墻對不通過它的連接無能為力防火墻不能防備內(nèi)部人員的攻擊防火墻可能導致傳輸延遲、網(wǎng)絡(luò)瓶頸及單點失效防火墻不能防備新的網(wǎng)絡(luò)安全問題防火墻的弱點12/31/2022防火墻不能完全防止受病毒感染的文件或軟件的傳輸防火墻的弱點11072入侵檢測技術(shù)12/31/20222入侵檢測技術(shù)12/23/2022108入侵檢測系統(tǒng)的概念防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；入侵檢測系統(tǒng)(IDS：Intrusiondetectionsystem)用于監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)被入侵或濫用的征兆；IDS系統(tǒng)以后臺進程的形式運行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員；IDS是監(jiān)控和識別攻擊的標準解決方案，是安防體系的重要組成部分；假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。12/31/2022入侵檢測系統(tǒng)的概念防火墻不能徹底消除網(wǎng)絡(luò)入侵的威脅；12/2109內(nèi)部用戶可能對網(wǎng)絡(luò)服務(wù)器進行攻擊，竊取資料，破壞服務(wù)器上的重要數(shù)據(jù)信息，令網(wǎng)絡(luò)癱瘓；有的用戶擅自接入互聯(lián)網(wǎng)，感染木馬程序和網(wǎng)絡(luò)病毒，將導致內(nèi)部重要數(shù)據(jù)外泄；用戶可能通過內(nèi)部網(wǎng)絡(luò)向外進行非法攻擊，造成重大破壞，而從外界追查只能知道攻擊來自該網(wǎng)絡(luò)；外來用戶可以通過外接一臺計算機連入內(nèi)部網(wǎng)絡(luò)，竊取內(nèi)部資料或進行破壞活動。使用入侵檢測系統(tǒng)的意義：12/31/2022內(nèi)部用戶可能對網(wǎng)絡(luò)服務(wù)器進行攻擊，竊取資料，破壞服務(wù)器上的重110不需要人工干預(yù)即可不間斷運行有容錯功能不需要占用大量的系統(tǒng)資源能夠發(fā)現(xiàn)異于正常行為的操作能夠適應(yīng)系統(tǒng)行為的長期變化判斷準確靈活定制保持領(lǐng)先入侵檢測系統(tǒng)應(yīng)有的功能12/31/2022不需要人工干預(yù)即可不間斷運行入侵檢測系統(tǒng)應(yīng)有的功能12/23111入侵檢測系統(tǒng)的主要類型主機入侵檢測系統(tǒng)HostIntrusionDetectionSystem網(wǎng)絡(luò)入侵檢測系統(tǒng)NetworkIntrusionDetectionSystem12/31/2022入侵檢測系統(tǒng)的主要類型主機入侵檢測系統(tǒng)12/23/2022112入侵檢測系統(tǒng)的優(yōu)點和不足能夠使現(xiàn)有的安防體系更完善；能夠更好地掌握系統(tǒng)的情況；能夠追蹤攻擊者的攻擊線路；界面友好，便于建立安防體系；能夠抓住肇事者。12/31/2022入侵檢測系統(tǒng)的優(yōu)點和不足能夠使現(xiàn)有的安防體系更完善；12/2113不能在沒有用戶參與的情況下對攻擊行為展開調(diào)查；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服設(shè)計原理方面的缺陷；存在漏報與誤報。入侵檢測系統(tǒng)不是萬能的，也存在許多不足：12/31/2022不能在沒有用戶參與的情況下對攻擊行為展開調(diào)查；114含入侵檢測系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)InternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機帶主機IDS感應(yīng)器的服務(wù)器服務(wù)器12/31/2022含入侵檢測系統(tǒng)的網(wǎng)絡(luò)體系結(jié)構(gòu)InternetIDS1IDS1153防病毒技術(shù)12/31/20223防病毒技術(shù)12/23/2022116病毒的演化趨勢

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒體系提出新的挑戰(zhàn)IDC,2002郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1981物理介質(zhì)Brain19861998CIH病毒演化趨勢速客一號200312/31/2022病毒的演化趨勢攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對防毒117網(wǎng)絡(luò)防病毒技術(shù)發(fā)展趨勢反黑與反病毒相結(jié)合從入口攔截病毒全面解決方案客戶化定制區(qū)域化到國際化12/31/2022網(wǎng)絡(luò)防病毒技術(shù)發(fā)展趨勢反黑與反病毒118企業(yè)防病毒策略

—多層次病毒防護體系在企業(yè)每臺臺式機上安裝客戶端防病毒軟件在服務(wù)器上安裝基于服務(wù)器的防病毒軟件在網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的防病毒產(chǎn)品這一防護體系能極大程度地保證企業(yè)網(wǎng)絡(luò)不受病毒的危害與其亡羊補牢不如未雨綢繆12/31/2022企業(yè)防病毒策略

—多層次病毒119選擇的防病毒產(chǎn)品應(yīng)與現(xiàn)有網(wǎng)絡(luò)具有拓撲契合性；