【正文】 maries to convey status * Scheduled, safe assessments* Minimal impact to work and performance* Unobtrusive to end users* Highest levels of confidence in accuracy * View work from external perspective* Periodic checks to understand “hacker’s” view* Quick turn around time on scans* Often can include more “outofthebox” checks* Ease of implementation and use* Test critical work devices that do not run hostsoftware like routers, switches, firewalls? 防火墻技術(shù)? 入侵檢測技術(shù)? 網(wǎng)絡(luò)安全評估系統(tǒng)? 虛擬專用網(wǎng) VPN技術(shù)? IPSec? 安全備份和系統(tǒng)災(zāi)難恢復(fù)網(wǎng)絡(luò)安全技術(shù)虛擬專用網(wǎng) VPN技術(shù)? VPN介紹? VPN目標? VPN關(guān)鍵技術(shù)? VPN實施VPN介紹? 什么是 VPN？– 是指在公共網(wǎng)絡(luò)上通過遂道和 /或加密技術(shù)，為企業(yè)所建立的邏輯上的專用網(wǎng)絡(luò) ? 它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時才建立。如同企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。252。一般指由電信提供商提供 VPN和 VPDN服務(wù)。按隧道位置分類? Intra VPN Intra VPN即企業(yè)內(nèi)部網(wǎng)或內(nèi)聯(lián)網(wǎng)。在這個網(wǎng)絡(luò)內(nèi)，屬于某一個管理者的用戶站點，由于業(yè)務(wù)的需求要與多個屬于其他管理者的用戶站點進行有限制的連接。VPN關(guān)鍵技術(shù)? 密碼技術(shù)? 安全隧道技術(shù)? 身份認證技術(shù)? 訪問控制技術(shù)密碼技術(shù)? 對稱密碼算法 ： DES、 3DES、 國家專用算法? 非對稱密碼算法 ： RSA、 DSA、 橢圓曲線? 摘要算法 ： MD SHA? 摘要簽名算法 ： HMACMD HMACSHA、 國家專用算法? 隧道是在公用 IP網(wǎng)中建立邏輯點到點連接的一種方法，是一個疊加在 IP網(wǎng)上的傳送通道。乘客協(xié)議 —— 被封裝的協(xié)議，如 PPP、 SLIP； 252。應(yīng)用層代理252。有些廠商會將使用者身份辨識與既有的身份辨識服務(wù) (RADIUS)連在一起。 ? 易管理：專屬 VPN設(shè)備架構(gòu)必須更改現(xiàn)有網(wǎng)路組態(tài)，大部份的 VPN設(shè)備都支援 SNMP管理，如真的發(fā)生問題時您可透過網(wǎng)管軟體來控制。 第三種是 ISP和企業(yè)共同建設(shè)。IP是 TCP/IP協(xié)議族中至關(guān)重要的組成部分 , 但它提供的是一種不可靠、無連接的的數(shù)據(jù)報傳輸服務(wù)?無連接（ connectionless)： IP并不維護關(guān)于連續(xù)發(fā)送的數(shù)據(jù)報的任何狀態(tài)信息。? 1995年 8月公布了一系列關(guān)于 IPSec的建議標準? 1996年， IETF公布下一代 IP的標準 IPv6 ， 把鑒別 和加密作為必要的特征， IPSec成為其必要的組成 部分? 幸運的是， IPv4也可以實現(xiàn)這些安全特性 。– 與合作伙伴建立 extra與 intra的互連。 ?端到端（ endend):主機到主機的安全通信 ?端到路由（ endrouter):主機到路由設(shè)備之間的 安全通信 ?路由到路由（ routerrouter):路由設(shè)備之間的 安全通信，常用于在兩個網(wǎng)絡(luò)之間建立虛擬專用 網(wǎng) (VPN)IPSec的應(yīng)用方式 IPSec的好處? 在防火墻或路由器中實現(xiàn)時，可以對所有跨越周界的流量實施強安全性。不必改變用戶或服務(wù)器系統(tǒng)上的軟件。? 彌補 IPv4在協(xié)議設(shè)計時缺乏安全性考慮的不足體系結(jié)構(gòu)ESP協(xié)議 AH協(xié)議加密算法 加密算法DOI密鑰管理IPSec 體 系 結(jié) 構(gòu)對上述特征的支持在 IPv6中是強制的，在 IPv4中是可選的。header使用 ESP進行包加密的報文包格式和一般性問題，以及，可選的認證；AH： 使用 ESP進行包加密的報文包格式和一般性問題；加密算法： 描述密鑰管理模式；DOI(解釋域 ):其它相關(guān)文檔，批準的加密和認證算法標識，以及運行參數(shù)等；IPSec提供的服務(wù)? IPSec在 IP層提供安全服務(wù)，使得系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需任何加密密鑰。?? ? ? 方案與實施? 企業(yè)級安全 總體規(guī)劃安全 業(yè)務(wù)調(diào)度安全 安全政策法規(guī)功能設(shè)計安全 職能劃分安全應(yīng)用級安全 文件安全 目錄安全 數(shù)據(jù)安全 郵件安全 群件安全 事件安全系統(tǒng)級安全 操作系統(tǒng)安全 用戶管理安全分布系統(tǒng)管理安全 故障診斷 系統(tǒng)監(jiān)控安全 網(wǎng)絡(luò)運行監(jiān)測平臺安全網(wǎng)絡(luò)級安全 ...信息傳輸安全 路由安全廣域網(wǎng)安全 節(jié)點安全協(xié)議安全鏈路安全物理安全安全層次結(jié)構(gòu)安全設(shè)計方法安全設(shè)計方法 邏輯層設(shè)計邏輯層設(shè)計 最小實體保護最小實體保護 產(chǎn)品與技術(shù)分離產(chǎn)品與技術(shù)分離Inter網(wǎng)絡(luò)安全技術(shù) (1)? 安全內(nèi)核技術(shù)– 安全等級制? 身份鑒別技術(shù)– Kerberos? Web安全技術(shù)– SSL– SHTTP? SOCKS協(xié)議? 網(wǎng)絡(luò)反病毒技術(shù)? 防火墻技術(shù)– 動態(tài) IP過濾技術(shù)– IP分片過濾技術(shù)– IP欺騙保護– 地址轉(zhuǎn)換– 訪問控制? 保密網(wǎng)關(guān)技術(shù)– 面向信息與面向客戶– 綜合安全與保密策略實現(xiàn)Inter網(wǎng)絡(luò)安全技術(shù) (2)? ISO74982， 信息安全體系結(jié)構(gòu)– ，確立了基于 OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)? 五大類安全服務(wù) (鑒別、訪問控制、保密性、完整性、抗否認）? 八類安全機制 (加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制、公證）? OSI安全管理安全方案設(shè)計要素明確的需求分析 合理的設(shè)計原則可信的安全等級 良好的指導(dǎo)方法全面的理論模型 正確的技術(shù)選擇可靠的支撐產(chǎn)品 實用的功能性能可行的評價措施 完善的管理手段長遠的維護升級 防火墻入侵檢測漏洞掃描管理中心測評工具反病毒安全信息產(chǎn)品目前的安全狀況 產(chǎn)品分布總產(chǎn)值： 26億（ 2023年）Zone)? 作為企業(yè)內(nèi)部網(wǎng)路與外部網(wǎng)路的緩衝區(qū)? 制訂不同的保全政策 的周邊安全網(wǎng)絡(luò)，用來區(qū)分外網(wǎng)與內(nèi)網(wǎng)）。– 同 IDS聯(lián)動 ,切斷入侵者連接? 入侵檢測系統(tǒng) (IDS)– 能夠?qū)崟r準確捕捉到入侵；– 能夠檢測出系統(tǒng)管理員及內(nèi)部用戶的誤操作；– 發(fā)現(xiàn)入侵能夠及時作出響應(yīng)并詳細記錄審計日志– 同防火墻聯(lián)動，主動切斷入侵者連接? 安全掃描系統(tǒng)– 檢查系統(tǒng)中存在的特洛伊木馬及有漏洞程序；– 對系統(tǒng)和網(wǎng)絡(luò)進行檢測，查找可能存在的安全漏洞、配置問題并給出報告和修改建議；被動防御被動防御 主動防御主動防御基本安全基本安全 全面安全全面安全防護監(jiān)測防護監(jiān)測 誘騙取證誘騙取證可用性可用性 生存性生存性安全發(fā)展趨勢網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) 訪 問 控 制： 采用自主訪問控制策略。技術(shù)管理與行政管理節(jié)省維護開支技術(shù)管理的目標和內(nèi)容網(wǎng)絡(luò)管理非法撥號上網(wǎng)管理端口管理運行管理流量管理漏洞跟蹤活動帳號管理物理安全檢查IP掃描端口掃描漏洞掃描補丁掃描病毒掃描安全設(shè)備運行監(jiān)控設(shè)備有效性監(jiān)控設(shè)備配置監(jiān)控日志分析突發(fā)事件監(jiān)控遠程配置和控制事件關(guān)聯(lián)性分析事件追蹤安全決策專家安全建議國家行業(yè)法規(guī) 用戶行為追蹤 行為關(guān)聯(lián)分析 網(wǎng)絡(luò)異常發(fā)現(xiàn) 安全事件告警 策略自動分配 可視安全狀態(tài) 人性操作界面 安全事件歷史安全控制分布管理集中管理 異步調(diào)用 跨平臺 開放接口 加密通信信息采集網(wǎng)絡(luò)運行狀況網(wǎng)絡(luò)流量信息 用戶行為數(shù)據(jù) 產(chǎn)品審計信息 產(chǎn)品更換升級 策略措施調(diào)整 產(chǎn)品技術(shù)公告攻擊技術(shù)公告信息安全管理的地位人管理技術(shù)預(yù)警W反擊C恢復(fù)P保護P檢測D反應(yīng)R安全策略策略建立和審核過程人員策略決定需要保護什么決定哪些損失是可以接受的 列出所有潛在的風(fēng)險和安全漏洞 獲得安全工具 建立物理災(zāi)難恢復(fù) ,hotfix? 病毒防范– 安裝防病毒軟件，及時更新特征庫– 政策與用戶的教育：如何處理郵件附件、如何使用下載軟件等? 賬號和口令管理– 口令安全策略 :有效期、最小長度、字符選擇– 賬號登錄失敗 n次鎖定– 關(guān)閉缺省賬號， guest,Blue…)? IndexI、 CR、 puter 重要文件的備份? 局域網(wǎng)防火墻– 配置防火墻 /路由器，封鎖不必要的端口： TCP139138./logshutdown? 文件和目錄：讀、寫、執(zhí)行、刪除、改變權(quán)限? 注冊表的修改Windows 安全管理? 相應(yīng)版本的所有補丁? 賬號與口令? 關(guān)閉缺省賬號和口令： lp,/etc/,服務(wù)? 關(guān)閉不必要的 TCPno/? 審計– SNMPconsole,與其他操作系統(tǒng)一樣也有 BUG怎樣檢測系統(tǒng)入侵? 察看登錄用戶和活動進程– w,命令– ps程序– ifconfig,Javascript,cpm最終用戶安全? 安全訓(xùn)練– 提高安全意識 ,了解網(wǎng)絡(luò)安全策略? 工作站安全– 保護敏感信息? 備份 ,加密 ,加鎖– 默認外來文件都是有害的– 選取合適口令? 瀏覽器選擇及配置– 強加密– Cookie,Javacrash? 尋找入侵的痕跡– /var/log/syslog， /var/adm/messages,fingersyslogd,Trap– 系統(tǒng)操作日志： system/tcpsmallservers:服務(wù)? 關(guān)閉 telget/etc/*? TFTPpasswd? 用 crackrestart2023自帶– 個人防火墻? 注冊表安全– 不顯示上次登錄的用戶名– 對普通用戶隱藏 shutdownUDP135,服務(wù)190。 系統(tǒng)分區(qū)的權(quán)限設(shè)置190。(Server? 中文輸入法缺陷– 網(wǎng)絡(luò)共享? Nimda等一些蠕蟲和和病毒– IIS? UNICODE和 Pack。機房安防環(huán)境（防盜、防改 …)物理運行環(huán)境（溫度、濕度 …)人員行為管理特征升級授權(quán)管理日志管理拓撲管理減少故障時間行政管理是策略和方法，通過技術(shù)措施實現(xiàn)目標。安全標準及安全管理? 安全標準與規(guī)范? 安全管理與檢查技術(shù)管理審 計： 主要考慮訪問的主體、客體、時間、成敗情況等。這些指標涵蓋了不同級別的安全要求。身份認證、自主訪問控制、數(shù)據(jù)完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、安全標記、可信路徑、可信恢復(fù)等。– IP包過濾，僅允許從 Inter到 DMZ公共服務(wù)器的訪問和經(jīng)由內(nèi)層防火墻到 Inter訪問的 IP包進出；– 實現(xiàn)地址轉(zhuǎn)換，隱藏 DMZ及內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)；– IP地址合法性檢查，防止地址欺騙；– 具備審計功能。Zone”DMZ應(yīng)用結(jié)構(gòu)? 根據(jù)安全需求，把網(wǎng)絡(luò)劃分成三部分：外網(wǎng)（ Inter）、DMZ區(qū)（對外服務(wù)器子網(wǎng)）、內(nèi)網(wǎng)（不對外的服務(wù)器子網(wǎng)、開發(fā)子網(wǎng)）? DMZ? ? ? 描述將各種不同加密算法用于 ESP的文檔；認證算法： Security認證的擴展報頭稱為 AH(Authentication無須訓(xùn)練用戶。? 在防火墻中實現(xiàn) IPSec可以防止 IP旁