- 1、本文档共48页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防范体系与架构 威胁分类 物理环境:自然灾害 ,电源故障、设备被盗 通信链路:安装窃听装置或对通信链路进行干扰 网络系统:互联网的开放性、国际性 操作系统:系统软件或硬件芯片中的植入威胁 应用系统:木马、陷阱门、逻辑炸弹 管理系统:管理上杜绝安全漏洞 * “安全是相对的,不安全才是绝对的” 防范体系与架构 * 完整性 机密性 可审查性 可用性 可控性 确保信息不暴露给未授权的实体或进程 只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改 得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作 可以控制授权范围内的信息流向及行为方式 对出现的网络安全问题提供调查的依据和手段 防范体系与架构 使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性。 使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。 使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性。 使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不懂”,从而实现信息的必威体育官网网址性。 使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性 防范体系与架构 防护技术分类 主动防御保护技术:数据加密、身份鉴别、存取控制、权限设置、虚拟专用网(VPN)技术。 被动防御保护技术:防火墙、入侵检测系统、安全扫描器、口令验证、 审计跟踪、物理保护与安全管理 重点技术 防火墙技术:控制两个安全策略不同的域之间的互访行为 入侵监测技术:提取和分析网络信息流,发现非正常访问 安全扫描技术:对安全隐患的扫描检查、修补加固 * 防范体系与架构 典型攻击剖析:DoS(Deny of Server 拒绝服务) Dos攻击是使用大量的数据包攻击系统,使系统无法接受正常用户的请求,或者主机挂起不能提供正常的工作。 主要攻击类型: Flood攻击, 利用协议栈漏洞的攻击. 攻击的目的: 阻止合法用户访问资源或路由器。 正常服务请求能够快速响应 正常用户 服务器 Hello, 我想要… 这是你要的,给你。 正常用户 服务器 Hello, 我想要… Hello,我想要 … 多谢, 收到了… Hello,我想要… 那么多人在排队, 靠边站! 没时间理你 正常的请求没有办法得到响应 防范体系与架构 典型攻击剖析:DDoS,分布式拒绝服务攻击 受害者 攻击者 主控端 主控端 代理端 主控端 代理端 代理端 代理端 代理端 代理端 僵尸军团 黑客通过主控端把相应的DDoS程序上传到代理端 黑客远程控制控制主控端发布攻击命令,主控自动通知所有代理 代理端对受害者发起攻击 消耗系统资源(带宽、内存、队列、CPU) 导致目标主机宕机 阻止授权用户正常访问服务(慢、不能连接、没有响应) 防范体系与架构 分类 堆栈突破型:利用主机/设备漏洞 远程溢出拒绝服务攻击 利用协议栈漏洞 流量型:利用 TCP/IP 协议缺陷 SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood 典型攻击剖析:DDoS,分布式拒绝服务攻击 特定 易实施: 各种工具可以随意下载,并且易操作; 多样性:Flood攻击可以用任意数据包(包头和携带的内容可以是任意); 大流量:大量的数据包造成目标瘫痪, 网络拥塞; 分布式:傀儡机可以分散于各个地方,流量小很难发现; 资源多:安全性低的网络主机很多; IP伪造:可以使用伪造的IP地址,避免傀儡机和攻击者暴漏; 危害大,难恢复: 清洗中心 监控中心 router1 骨干网 安全管理系统 E8000 TELNET 防范体系与架构 典型攻击剖析:DDoS,分布式拒绝服务攻击 安全管理系统控制router1的策略路由, 到受攻击的目的地址流量被策略到清洗中心进行清洗, 28 1 检测到某些目标正受攻击,通告给安全管理系统 3 清洗后的流量可以直接回注到同一台设备; 也可回注到下级路由设备。 流量清洗 防范体系与架构 建立一个有效的安全策略 为你的系统分类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工 确定谁管理你的政策 防范体系与架构 安全基本元素 审计 管理 加密 访问控制 用户验证 安全策略 防范体系与架构 DMZ E-MailFTP HTTP 内网 企业网络 投资部
您可能关注的文档
最近下载
- 2024年北京市公安局顺义分局勤务辅警、流动人口管理员招聘考试题库(含答案).pdf VIP
- GB_T 9441—2021《球墨铸铁金相检验》标准解读.pdf VIP
- 精编人教版五年级上册数学第一单元试卷(含解析).docx VIP
- 英语时态专项练习.doc
- Pierce交联磁珠式免疫沉淀免疫共沉淀试剂盒.PDF
- (11)免疫调节——2024年九省联考+2023年四省联考+2021年八省联考生物专项精编.docx VIP
- GB/T 19812.6-2022塑料节水灌溉器材 第6部分:输水用聚乙烯(PE)管材.pdf
- 低空经济装备制造产业园项目可行性报告(模板范文).docx
- 2023年成人本科学位英语考前真题及答案.docx
- 2018年新国家开放大学报名登记表系统表.pdf VIP
文档评论(0)