必威体育官网网址安全与密码技术.ppt

必威体育官网网址安全与密码技术 主要内容 全网安全 安全观念应该包括三部分： 全网安全 动态安全 运行安全 在政府网站系统中，综合考虑技术、管理、规范、行业法规等各个环节和因素，在网络运行的各个阶段，分析网络的参考点和安全的各个层次，采取适当的安全技术和安全管理手段，从整个网络的安全需求出发，构建全方位多层次的安全架构 简单而言，应在积极利用这个安全按技术和产品的同时，建立配套的管理制度，两者相辅相成，实施于政府网站系统的各个阶段，使人、业务过程和安全技术高度协调 动态安全 安全不是一成不变的或者静态的，而是“动态”的安全 网络结构会随着业务需求的变化而变化，计算机技术不停地改进，攻击手段也越来越高超；而当网络发生变化，或者出现新的安全技术和攻击手段，或者在安全事件发生之后，安全体系必须能够包容新的情况，及时做出联动反应，把安全风险维持在所允许的范围之内 安全体系应该采用“以动制动”的机制 如何达到动态安全 采用自顶向下的方法，将整个网络系统划分为子系统，对单个系统直至系统中的部件进行详尽的风险分析 定期或不定期对网络进行安全检查，检查时应按上次评估的结果及管理阶层所能接受的风险程度，以不同深度进行 依据已有技术修补发现的新漏洞 将评估和检查作为是必需的日常工作 相对安全 对于不同性质的政府网站，对于安全的要求是不同的。不能将安全问题绝对化，不是“越安全越好” 安全保护是有成本的，目的并在于让系统毫无缝隙、滴水不漏，而是让非法用户觉得攻击此系统的代价远比他能获得的利益高，这样的绝大部分非法用户就不愿意做这种事情 在设计系统安全措施的时候，必须根据系统的实际应用情况，综合考虑安全、成本、效率三者的权重，并求得适度的平衡，实现“恰到好处”的安全 主要内容 网络安全主要威胁来源 典型的网络安全威胁 信息安全、计算机安全和网络安全的关系 信息、计算机和网络是三位一体、不可分割的整体。信息的采集、加工、存储是以计算机为载体的，而信息的共享、传输、发布则依赖于网络系统。 如果能够保障并实现网络信息的安全，就可以保障和实现计算机系统的安全和信息安全。因此，网络信息安全的内容也就包含了计算机安全和信息安全的内容。 信息安全均指网络信息安全。 网络安全漏洞大量存在 Windows十大安全隐患 Web服务器和服务 工作站服务 Windows远程访问服务 微软SQL服务器 Windows认证 Web浏览器　　 文件共享 LSAS Exposures 电子邮件客户端 即时信息 漏洞的概念 漏洞的类型 管理漏洞-如两台服务器用同一个用户/密码，则入侵了A服务器后，B服务器也不能幸免。 软件漏洞-很多程序只要接收到一些异常或者超长的数据和参数，就会导致缓冲区溢出。 结构漏洞-比如在某个重要网段由于交换机、集线器设置不合理，造成黑客可以监听网络通信流的数据；又如防火墙等安全产品部署不合理，有关安全机制不能发挥作用，麻痹技术管理人员而酿成黑客入侵事故。 信任漏洞-比如本系统过分信任某个外来合作伙伴的机器，一旦这台合作伙伴的机器被黑客入侵，则本系统的安全受严重威胁。 20个最危险的安全漏洞 2002年5月发布（） 三类安全漏洞： 影响所有系统的七个漏洞（G1~G7） 影响Windows系统的六个漏洞（W1~W6) 影响Unix系统的七个漏洞（U1~U7） G1-操作系统和应用软件的缺省安装 软件开发商的逻辑是最好先激活还不需要的功能，而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便，但却产生了很多危险的安全漏洞，因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装了什么，很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序。 应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。卸载不必要的软件，关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。 G2 - 没有口令或使用弱口令的帐号 易猜的口令或缺省口令是个严重的问题，更严重的是有的帐号根本没有口令。应进行以下操作： 审计你系统上的帐号，建立一个使用者列表。 制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。 经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。 对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。 G3 - 没有备份或者备份不完整 从事故中恢复要求及时的备份和可靠的数据存储方式。应列出一份紧要系统的列表。制定备份方式和策略。重要问题： 系统是否有备份？ 备份间隔是可接受的吗？ 系统是按规定进行备份的吗？ 是否确认备份介质正确的保存了数据？ 备份介质是否在室内得到了正确的保护？ 是否在另一处