网络安全培训.ppt

网络安全培训 华东（北）地区网络中心 芮苏英 2002/10/28 主要内容 网络安全的概念 安全的网络 常见网络攻击的介绍 常见主机攻击介绍 安全的主机 网络监测 事故处理 案例分析 FAQ 计算机安全简介 安全？ 什么是计算机安全？谁定义计算机安全？ 计算机安全(公安部定义1994)： 计算机系统的硬件、软件和数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、显露，系统不能连续正常运行。 计算机安全的含义(1991)： 避免窃取和破坏硬件 避免窃取和破坏信息 避免破坏服务 必威体育官网网址性、完整性和服务失效 必威体育官网网址性：防止信息在非授权情况下的泄漏。 完整性：保护信息使其不致被篡改或破坏。 服务失效：临时降低系统性能、系统崩溃而需要人工重新启动、因数据永久性丢失而导致较大范围的系统崩溃。 可信系统的评价准则 计算机安全的内容 计算机实体安全 软件安全 数据安全 运行安全 环境安全 网络安全概述 网络安全概述 什么是网络安全？谁定义网络安全？ 体系是网络安全的重要特性 安全需求和安全政策 主要的网络安全体系 安全管理制度 安全域边界管理 数据安全体制 安全监测分析系统 病毒防护？ 自动安全管理系统？ …… 网络安全体系示意 不同体系所面对的威胁 不同体系面对不同来源的威胁 管理制度面对人的威胁 边界管理面对来自网络外部的威胁 数据安全体制主要针对内部或外部信道的威胁(此外，防止泄密、进行鉴别等) 安全监测系统用于发现和补救存在的危险 威胁从何而来？ 安全的模糊性 网络的开放性 产品的垄断性 技术的公开性 人类的天性 安全的模糊性 安全是相对的，不易明确安全的目标 安全是复杂的，不易认清存在的问题 安全是广泛的，不易普及安全的知识 网络的开放性 互联机制提供了广泛的可访问性 Client-Server模式提供了明确的攻击目标 开放的网络协议和操作系统为入侵提供了线索 用户的匿名性为攻击提供了机会 产品的垄断性 工业界试图将专用技术引入Internet以获得垄断地位，从而将开放式的环境演变为商品化的环境，如Active X。 专用技术的细节通常受到有关厂家的保护，因而缺乏广泛的安全讨论，容易出现安全缺陷，例如Active X允许进行控件下载，又缺乏对控件的运行约束。 技术的公开性 如果不能集思广益，自由地发表对系统的建议，则会增加系统潜在的弱点被忽视的危险，因此Internet要求对网络安全问题进行坦率公开地讨论。 基于上述原则，高水平的网络安全资料与工具在Internet中可自由获得。 人类的天性 好奇心、显示心 惰性和依赖心理 家丑不可外扬 安全管理制度 木桶原则：木桶盛水的高度等于其最短的木板的长度 安全链条：链条的强度等于其最弱一环的强度 “人”是最短的木板和最弱的一环!!! 网络边界安全 网络边界安全 使用防火墙!? 什么是防火墙!？ 机房里用防火砖砌的墙??? 不同的人对防火墙有不同的定义!!! 一种定义：防火墙是允许或不允许特定信息通过网络的某一关键路径的访问控制政策 防火墙和关键路径 防火墙体系 信息安全与网络安全 数据安全 数据必威体育官网网址：密码体制。 内容完整：数字签名，信息摘录。 无否认：公证机制，审计功能，数字签名。 网络安全 传输安全：数据必威体育官网网址，内容完整； 访问安全：身份认证，访问控制； 运行安全：基础设施的可靠性，安全监测。 访问控制 用于限定对网络的使用，包括对某个用户进行访问控制；和对某个资源进行访问控制。 端系统访问控制 自主访问控制 强制访问控制 基于角色的访问控制政策 网络的访问控制：防火墙技术 构建安全的网络 构建安全的网络 明确安全需求 制定安全政策 在边界建立符合安全政策的防火墙体系 划分内部的安全政策域 对特定的主机节点进行加固 使用合理的访问控制政策、鉴别机制和数据安全体制 建立有效的可承受的监测体制 明确安全需求 不同的网络安全需求是不同的 安全需求是建立安全政策的基础 例如校园网可以有： 保证网络的可用：路由器不瘫痪、邮件发送正常等等 保证网络用户使用的可管理 防止出现异常的流量导致异常的费用 防止对核心服务器的攻击，以保护学校的声望 对学校某学生的机器不特别关心，除非他报案 制定安全政策 根据安全需求制定安全政策 安全政策可以是形式化的，也可以是口语化的 安全政策表示的是什么是允许的什么是不允许的 例如(可以不用书面定义，可以包括所采用的技术手段的种类)： 在边界使用防火墙，允许内部注册用户的对外访问，禁止随意的对内部访问等 内部开发网段使用SSH作为数据安全手段 鉴别采用口令认证的方式 在边界建立符合安全政策的防火墙体系 划分内部的安全政策域 例如某公司可以划为：用户上网域、服务器域、开发域等 对特定的主机节点进行加固 对特殊位置的主机必须进行加固 如上例 WWW