【正文】 maries to convey status * Scheduled, safe assessments* Minimal impact to work and performance* Unobtrusive to end users* Highest levels of confidence in accuracy * View work from external perspective* Periodic checks to understand “hacker’s” view* Quick turn around time on scans* Often can include more “outofthebox” checks* Ease of implementation and use* Test critical work devices that do not run hostsoftware like routers, switches, firewalls? 防火墻技術(shù)? 入侵檢測(cè)技術(shù)? 網(wǎng)絡(luò)安全評(píng)估系統(tǒng)? 虛擬專用網(wǎng) VPN技術(shù)? IPSec? 安全備份和系統(tǒng)災(zāi)難恢復(fù)網(wǎng)絡(luò)安全技術(shù)虛擬專用網(wǎng) VPN技術(shù)? VPN介紹? VPN目標(biāo)? VPN關(guān)鍵技術(shù)? VPN實(shí)施VPN介紹? 什么是 VPN？– 是指在公共網(wǎng)絡(luò)上通過遂道和 /或加密技術(shù)，為企業(yè)所建立的邏輯上的專用網(wǎng)絡(luò) ? 它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時(shí)才建立。如同企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。252。一般指由電信提供商提供 VPN和 VPDN服務(wù)。按隧道位置分類? Intra VPN Intra VPN即企業(yè)內(nèi)部網(wǎng)或內(nèi)聯(lián)網(wǎng)。在這個(gè)網(wǎng)絡(luò)內(nèi)，屬于某一個(gè)管理者的用戶站點(diǎn)，由于業(yè)務(wù)的需求要與多個(gè)屬于其他管理者的用戶站點(diǎn)進(jìn)行有限制的連接。VPN關(guān)鍵技術(shù)? 密碼技術(shù)? 安全隧道技術(shù)? 身份認(rèn)證技術(shù)? 訪問控制技術(shù)密碼技術(shù)? 對(duì)稱密碼算法 ： DES、 3DES、 國(guó)家專用算法? 非對(duì)稱密碼算法 ： RSA、 DSA、 橢圓曲線? 摘要算法 ： MD SHA? 摘要簽名算法 ： HMACMD HMACSHA、 國(guó)家專用算法? 隧道是在公用 IP網(wǎng)中建立邏輯點(diǎn)到點(diǎn)連接的一種方法，是一個(gè)疊加在 IP網(wǎng)上的傳送通道。乘客協(xié)議 —— 被封裝的協(xié)議，如 PPP、 SLIP； 252。應(yīng)用層代理252。有些廠商會(huì)將使用者身份辨識(shí)與既有的身份辨識(shí)服務(wù) (RADIUS)連在一起。 ? 易管理：專屬 VPN設(shè)備架構(gòu)必須更改現(xiàn)有網(wǎng)路組態(tài)，大部份的 VPN設(shè)備都支援 SNMP管理，如真的發(fā)生問題時(shí)您可透過網(wǎng)管軟體來控制。 第三種是 ISP和企業(yè)共同建設(shè)。IP是 TCP/IP協(xié)議族中至關(guān)重要的組成部分 , 但它提供的是一種不可靠、無連接的的數(shù)據(jù)報(bào)傳輸服務(wù)?無連接（ connectionless)： IP并不維護(hù)關(guān)于連續(xù)發(fā)送的數(shù)據(jù)報(bào)的任何狀態(tài)信息。? 1995年 8月公布了一系列關(guān)于 IPSec的建議標(biāo)準(zhǔn)? 1996年， IETF公布下一代 IP的標(biāo)準(zhǔn) IPv6 ， 把鑒別 和加密作為必要的特征， IPSec成為其必要的組成 部分? 幸運(yùn)的是， IPv4也可以實(shí)現(xiàn)這些安全特性 。– 與合作伙伴建立 extra與 intra的互連。 ?端到端（ endend):主機(jī)到主機(jī)的安全通信 ?端到路由（ endrouter):主機(jī)到路由設(shè)備之間的 安全通信 ?路由到路由（ routerrouter):路由設(shè)備之間的 安全通信，常用于在兩個(gè)網(wǎng)絡(luò)之間建立虛擬專用 網(wǎng) (VPN)IPSec的應(yīng)用方式 IPSec的好處? 在防火墻或路由器中實(shí)現(xiàn)時(shí)，可以對(duì)所有跨越周界的流量實(shí)施強(qiáng)安全性。不必改變用戶或服務(wù)器系統(tǒng)上的軟件。? 彌補(bǔ) IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足體系結(jié)構(gòu)ESP協(xié)議 AH協(xié)議加密算法 加密算法DOI密鑰管理IPSec 體 系 結(jié) 構(gòu)對(duì)上述特征的支持在 IPv6中是強(qiáng)制的，在 IPv4中是可選的。header使用 ESP進(jìn)行包加密的報(bào)文包格式和一般性問題，以及，可選的認(rèn)證；AH： 使用 ESP進(jìn)行包加密的報(bào)文包格式和一般性問題；加密算法： 描述密鑰管理模式；DOI(解釋域 ):其它相關(guān)文檔，批準(zhǔn)的加密和認(rèn)證算法標(biāo)識(shí)，以及運(yùn)行參數(shù)等；IPSec提供的服務(wù)? IPSec在 IP層提供安全服務(wù)，使得系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需任何加密密鑰。?? ? ? 方案與實(shí)施? 企業(yè)級(jí)安全 總體規(guī)劃安全 業(yè)務(wù)調(diào)度安全 安全政策法規(guī)功能設(shè)計(jì)安全 職能劃分安全應(yīng)用級(jí)安全 文件安全 目錄安全 數(shù)據(jù)安全 郵件安全 群件安全 事件安全系統(tǒng)級(jí)安全 操作系統(tǒng)安全 用戶管理安全分布系統(tǒng)管理安全 故障診斷 系統(tǒng)監(jiān)控安全 網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)平臺(tái)安全網(wǎng)絡(luò)級(jí)安全 ...信息傳輸安全 路由安全廣域網(wǎng)安全 節(jié)點(diǎn)安全協(xié)議安全鏈路安全物理安全安全層次結(jié)構(gòu)安全設(shè)計(jì)方法安全設(shè)計(jì)方法 邏輯層設(shè)計(jì)邏輯層設(shè)計(jì) 最小實(shí)體保護(hù)最小實(shí)體保護(hù) 產(chǎn)品與技術(shù)分離產(chǎn)品與技術(shù)分離Inter網(wǎng)絡(luò)安全技術(shù) (1)? 安全內(nèi)核技術(shù)– 安全等級(jí)制? 身份鑒別技術(shù)– Kerberos? Web安全技術(shù)– SSL– SHTTP? SOCKS協(xié)議? 網(wǎng)絡(luò)反病毒技術(shù)? 防火墻技術(shù)– 動(dòng)態(tài) IP過濾技術(shù)– IP分片過濾技術(shù)– IP欺騙保護(hù)– 地址轉(zhuǎn)換– 訪問控制? 保密網(wǎng)關(guān)技術(shù)– 面向信息與面向客戶– 綜合安全與保密策略實(shí)現(xiàn)Inter網(wǎng)絡(luò)安全技術(shù) (2)? ISO74982， 信息安全體系結(jié)構(gòu)– ，確立了基于 OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)? 五大類安全服務(wù) (鑒別、訪問控制、保密性、完整性、抗否認(rèn)）? 八類安全機(jī)制 (加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制、公證）? OSI安全管理安全方案設(shè)計(jì)要素明確的需求分析 合理的設(shè)計(jì)原則可信的安全等級(jí) 良好的指導(dǎo)方法全面的理論模型 正確的技術(shù)選擇可靠的支撐產(chǎn)品 實(shí)用的功能性能可行的評(píng)價(jià)措施 完善的管理手段長(zhǎng)遠(yuǎn)的維護(hù)升級(jí) 防火墻入侵檢測(cè)漏洞掃描管理中心測(cè)評(píng)工具反病毒安全信息產(chǎn)品目前的安全狀況 產(chǎn)品分布總產(chǎn)值： 26億（ 2023年）Zone)? 作為企業(yè)內(nèi)部網(wǎng)路與外部網(wǎng)路的緩衝區(qū)? 制訂不同的保全政策 的周邊安全網(wǎng)絡(luò)，用來區(qū)分外網(wǎng)與內(nèi)網(wǎng)）。– 同 IDS聯(lián)動(dòng) ,切斷入侵者連接? 入侵檢測(cè)系統(tǒng) (IDS)– 能夠?qū)崟r(shí)準(zhǔn)確捕捉到入侵；– 能夠檢測(cè)出系統(tǒng)管理員及內(nèi)部用戶的誤操作；– 發(fā)現(xiàn)入侵能夠及時(shí)作出響應(yīng)并詳細(xì)記錄審計(jì)日志– 同防火墻聯(lián)動(dòng)，主動(dòng)切斷入侵者連接? 安全掃描系統(tǒng)– 檢查系統(tǒng)中存在的特洛伊木馬及有漏洞程序；– 對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行檢測(cè)，查找可能存在的安全漏洞、配置問題并給出報(bào)告和修改建議；被動(dòng)防御被動(dòng)防御 主動(dòng)防御主動(dòng)防御基本安全基本安全 全面安全全面安全防護(hù)監(jiān)測(cè)防護(hù)監(jiān)測(cè) 誘騙取證誘騙取證可用性可用性 生存性生存性安全發(fā)展趨勢(shì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) 訪 問 控 制： 采用自主訪問控制策略。技術(shù)管理與行政管理節(jié)省維護(hù)開支技術(shù)管理的目標(biāo)和內(nèi)容網(wǎng)絡(luò)管理非法撥號(hào)上網(wǎng)管理端口管理運(yùn)行管理流量管理漏洞跟蹤活動(dòng)帳號(hào)管理物理安全檢查IP掃描端口掃描漏洞掃描補(bǔ)丁掃描病毒掃描安全設(shè)備運(yùn)行監(jiān)控設(shè)備有效性監(jiān)控設(shè)備配置監(jiān)控日志分析突發(fā)事件監(jiān)控遠(yuǎn)程配置和控制事件關(guān)聯(lián)性分析事件追蹤安全決策專家安全建議國(guó)家行業(yè)法規(guī) 用戶行為追蹤 行為關(guān)聯(lián)分析 網(wǎng)絡(luò)異常發(fā)現(xiàn) 安全事件告警 策略自動(dòng)分配 可視安全狀態(tài) 人性操作界面 安全事件歷史安全控制分布管理集中管理 異步調(diào)用 跨平臺(tái) 開放接口 加密通信信息采集網(wǎng)絡(luò)運(yùn)行狀況網(wǎng)絡(luò)流量信息 用戶行為數(shù)據(jù) 產(chǎn)品審計(jì)信息 產(chǎn)品更換升級(jí) 策略措施調(diào)整 產(chǎn)品技術(shù)公告攻擊技術(shù)公告信息安全管理的地位人管理技術(shù)預(yù)警W反擊C恢復(fù)P保護(hù)P檢測(cè)D反應(yīng)R安全策略策略建立和審核過程人員策略決定需要保護(hù)什么決定哪些損失是可以接受的 列出所有潛在的風(fēng)險(xiǎn)和安全漏洞 獲得安全工具 建立物理災(zāi)難恢復(fù) ,hotfix? 病毒防范– 安裝防病毒軟件，及時(shí)更新特征庫(kù)– 政策與用戶的教育：如何處理郵件附件、如何使用下載軟件等? 賬號(hào)和口令管理– 口令安全策略 :有效期、最小長(zhǎng)度、字符選擇– 賬號(hào)登錄失敗 n次鎖定– 關(guān)閉缺省賬號(hào)， guest,Blue…)? IndexI、 CR、 puter 重要文件的備份? 局域網(wǎng)防火墻– 配置防火墻 /路由器，封鎖不必要的端口： TCP139138./logshutdown? 文件和目錄：讀、寫、執(zhí)行、刪除、改變權(quán)限? 注冊(cè)表的修改Windows 安全管理? 相應(yīng)版本的所有補(bǔ)丁? 賬號(hào)與口令? 關(guān)閉缺省賬號(hào)和口令： lp,/etc/,服務(wù)? 關(guān)閉不必要的 TCPno/? 審計(jì)– SNMPconsole,與其他操作系統(tǒng)一樣也有 BUG怎樣檢測(cè)系統(tǒng)入侵? 察看登錄用戶和活動(dòng)進(jìn)程– w,命令– ps程序– ifconfig,Javascript,cpm最終用戶安全? 安全訓(xùn)練– 提高安全意識(shí) ,了解網(wǎng)絡(luò)安全策略? 工作站安全– 保護(hù)敏感信息? 備份 ,加密 ,加鎖– 默認(rèn)外來文件都是有害的– 選取合適口令? 瀏覽器選擇及配置– 強(qiáng)加密– Cookie,Javacrash? 尋找入侵的痕跡– /var/log/syslog， /var/adm/messages,fingersyslogd,Trap– 系統(tǒng)操作日志： system/tcpsmallservers:服務(wù)? 關(guān)閉 telget/etc/*? TFTPpasswd? 用 crackrestart2023自帶– 個(gè)人防火墻? 注冊(cè)表安全– 不顯示上次登錄的用戶名– 對(duì)普通用戶隱藏 shutdownUDP135,服務(wù)190。 系統(tǒng)分區(qū)的權(quán)限設(shè)置190。(Server? 中文輸入法缺陷– 網(wǎng)絡(luò)共享? Nimda等一些蠕蟲和和病毒– IIS? UNICODE和 Pack。機(jī)房安防環(huán)境（防盜、防改 …)物理運(yùn)行環(huán)境（溫度、濕度 …)人員行為管理特征升級(jí)授權(quán)管理日志管理拓?fù)涔芾頊p少故障時(shí)間行政管理是策略和方法，通過技術(shù)措施實(shí)現(xiàn)目標(biāo)。安全標(biāo)準(zhǔn)及安全管理? 安全標(biāo)準(zhǔn)與規(guī)范? 安全管理與檢查技術(shù)管理審 計(jì)： 主要考慮訪問的主體、客體、時(shí)間、成敗情況等。這些指標(biāo)涵蓋了不同級(jí)別的安全要求。身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問控制、安全標(biāo)記、可信路徑、可信恢復(fù)等。– IP包過濾，僅允許從 Inter到 DMZ公共服務(wù)器的訪問和經(jīng)由內(nèi)層防火墻到 Inter訪問的 IP包進(jìn)出；– 實(shí)現(xiàn)地址轉(zhuǎn)換，隱藏 DMZ及內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；– IP地址合法性檢查，防止地址欺騙；– 具備審計(jì)功能。Zone”DMZ應(yīng)用結(jié)構(gòu)? 根據(jù)安全需求，把網(wǎng)絡(luò)劃分成三部分：外網(wǎng)（ Inter）、DMZ區(qū)（對(duì)外服務(wù)器子網(wǎng)）、內(nèi)網(wǎng)（不對(duì)外的服務(wù)器子網(wǎng)、開發(fā)子網(wǎng)）? DMZ? ? ? 描述將各種不同加密算法用于 ESP的文檔；認(rèn)證算法： Security認(rèn)證的擴(kuò)展報(bào)頭稱為 AH(Authentication無須訓(xùn)練用戶。? 在防火墻中實(shí)現(xiàn) IPSec可以防止 IP旁