【正文】 京時間 1月 25日 13時 15分左右，澳大利亞、美國、英國、韓國、泰國、日本、馬來西亞、菲律賓、印度以及中國臺灣地區(qū)等全球范圍的互聯(lián)網(wǎng)絡(luò)受到不同程度的攻擊。 ? 錯誤和冗余 – 安裝和維護(hù)錯誤 – 偵聽 – 竊密 – 邏輯方式 – 自然災(zāi)難 – 病毒 – 蠕蟲 – 制度遺漏 – 安全設(shè)備選型或采購不當(dāng) 網(wǎng)絡(luò)安全現(xiàn)狀三 .DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼部署安全保衛(wèi)措施防火墻的能力有限防火墻的能力有限外部外部 /個體個體 外部外部 /組織組織內(nèi)部內(nèi)部 /個體個體 內(nèi)部內(nèi)部 /組織組織安安 全全 隱隱 患患DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼尚不了解實(shí)際的危機(jī)實(shí)際安全問題還有實(shí)際安全問題還有很多很多外部外部 /個體個體 外部外部 /組織組織內(nèi)部內(nèi)部 /個體個體 內(nèi)部內(nèi)部 /組織組織安安 全全 隱隱 患患DMZ? EMail? File Transfer? HTTPIntra企業(yè)網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼管理分析 網(wǎng)絡(luò)安全現(xiàn)狀三 .兩者從不同的角度、不同的層次實(shí)現(xiàn)了被保護(hù)的網(wǎng)絡(luò)系統(tǒng)的安全 . 安全 :是 指遠(yuǎn)離危險的狀態(tài)或特性 ，為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。216。軟件的安全 是保護(hù)各種軟件及其文檔不被任意篡改、失效和非法復(fù)制， 數(shù)據(jù)安全 是保護(hù)所存貯的數(shù)據(jù)資源不被非法使用和修改， 運(yùn)行安全 是保護(hù)信息系統(tǒng)能連續(xù)正確地運(yùn)行。 計算機(jī)網(wǎng)絡(luò)安全 : 是指利用網(wǎng)絡(luò)管理和控制技術(shù)，保證網(wǎng)絡(luò)系統(tǒng)環(huán)境中信息數(shù)據(jù)的保密性、完整性及可使用性，也就是保護(hù)網(wǎng)上保存和流動的數(shù)據(jù)，不被他人偷看、竊取和修改。(1).網(wǎng)絡(luò)安全管理 ，包括計算機(jī)安全技術(shù)、安全管理、安全審計、事件處理等。 安全的計算機(jī)信息系統(tǒng) 具有以下幾個特征： 也就是說，完整性要求保持系統(tǒng)中數(shù)據(jù)的正確性和一致性?？捎眯裕?Availability）：計算機(jī)資源和系統(tǒng)中的數(shù)據(jù)信息在系統(tǒng)合法用戶需要使用時，必須是可用的?？煽匦裕?Controllability）：可控性是指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式，對信息的訪問、傳播以及具體內(nèi)容具有控制能力。正確性（ Correctness）：系統(tǒng)要盡量減少由于對事件的不正確判斷所引起的虛警（ False傳統(tǒng)的安全模型 (1)216。在 1972年提出了計算機(jī)安全模型，如下圖所示：216。Authentication,傳統(tǒng)的安全模型各模塊的作用如下：(4).第 網(wǎng)絡(luò)安全控制模型 ,如下圖所示：要求網(wǎng)絡(luò)是一個適應(yīng)性開環(huán)式網(wǎng)絡(luò)，即系統(tǒng)具有互連網(wǎng)掃描功能、系統(tǒng)掃描功能、數(shù)據(jù)庫掃描功能 、實(shí)時 入侵監(jiān)控功能 和 系統(tǒng)安全決策功能。 P2DR模型基本思想是： 以 安全策略 為核心，通過一致的檢查、流量統(tǒng)計、異常分析、模式匹配以及應(yīng)用、目標(biāo)、主機(jī)、網(wǎng)絡(luò)入侵檢查等方法進(jìn)行安全漏洞檢測，檢測使系統(tǒng)從靜態(tài)防護(hù)轉(zhuǎn)化為動態(tài)防護(hù)，為系統(tǒng)快速響應(yīng)提供了依據(jù)，當(dāng)發(fā)現(xiàn)系統(tǒng)有異常時，根據(jù)系統(tǒng)安全策略快速作出響應(yīng)，從而達(dá)到了保護(hù)系統(tǒng)安全的目的。在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。216。:需要大量的人工來實(shí)施和維護(hù)，而且需要系統(tǒng)管理員具有很高的網(wǎng)絡(luò)安全技術(shù)能力，不能主動跟蹤網(wǎng)絡(luò)入侵。216。“主動性 ”數(shù)據(jù)加密技術(shù)(2).安全漏洞掃描技術(shù)(6).安全審記與日志分析技術(shù)(10).3類。但此類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，使用成本較高，安全性能也不易保證。由于不對稱算法擁有兩個密鑰，因此特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密。不對稱加密的另一用法稱為 “數(shù)字簽名 ”，即數(shù)據(jù)源使用其密鑰對數(shù)據(jù)進(jìn)行校驗(yàn)和對其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密，數(shù)據(jù)接收方則用相應(yīng)的公用密鑰解讀 “數(shù)字簽名 ”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗(yàn)。不可逆加密 (4)不可逆加密 :特征是加密過程不需要密鑰，且經(jīng)過加密的數(shù)據(jù)無法被解密，只有同樣的輸入數(shù)據(jù)，經(jīng)過同樣的不可逆加密算法 才能得到相同的加密數(shù)據(jù)。數(shù)據(jù)加密技術(shù)(2).安全漏洞掃描技術(shù)(6).安全審記與日志分析技術(shù)? 訪問控制的概念 是針對 越權(quán) 使用資源的防御措施 。非法用戶進(jìn)入系統(tǒng) 。按照 事先確定的規(guī)則 決定主體對客體的訪問是否合法。認(rèn)證技術(shù)(4).入侵檢測技術(shù)(8).認(rèn)證 :使用實(shí)體的特征或?qū)嶓w所有的物件：比如 指紋、身份卡 。(3).密碼技術(shù)： 將交換的數(shù)據(jù)加密，只有合法的用戶才能解密，得到有意義的明文。Edd 2342 RuserEftp 8965 RWRoot 8668 RWorkstation認(rèn)證技術(shù)(4).入侵檢測技術(shù)(8).安全備份和系統(tǒng)災(zāi)難恢復(fù)數(shù)據(jù)完整性控制技術(shù)? 數(shù)據(jù)完整性控制技術(shù) :? 文件系統(tǒng)完整性控制 :? 網(wǎng)上傳輸信息的完整性控制 : 認(rèn)證技術(shù)(4).入侵檢測技術(shù)(8).漏洞就是某種形式的脆弱性 。拒絕服務(wù)攻擊 主要是利用 資源分配 上的脆弱性，長期占用有限資源不釋放，使其它用戶得不到正常的服務(wù)，或者是利用服務(wù)中的漏洞，使該服務(wù)崩潰。安全掃描的概念理解? 安全掃描 就是對計算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞。? 升級問題升級問題 ? 可擴(kuò)充性可擴(kuò)充性 ? 全面的解決方案全面的解決方案 ? 人員培訓(xùn)人員培訓(xùn)常用的安全防護(hù)措施(1).數(shù)據(jù)完整性控制技術(shù)(5).防病毒技術(shù)(9).它在網(wǎng)絡(luò)中所處的位置如圖下圖所示： 現(xiàn)在也有可以分析數(shù)據(jù)包內(nèi)容的智能型包過濾器。防火墻的體系結(jié)構(gòu)? 主流防火墻技術(shù)：– 狀態(tài)檢測包過濾技術(shù)– 應(yīng)用代理技術(shù)? 目前市場上主流產(chǎn)品的形態(tài)：– 集成了狀態(tài)檢測包過濾和應(yīng)用代理的混合型產(chǎn)品簡單包過濾? PacketFinger和 防火墻通常 不能提供實(shí)時的入侵檢測能力 .? 防火墻對于 病毒也束手無策 的 .? 防火墻 無法有效地解決自身 的安全問題 .? 防火墻是一種 靜態(tài)的安全技術(shù) ,最大優(yōu)勢 遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴常用的安全防護(hù)措施(1).數(shù)據(jù)完整性控制技術(shù)(5).防病毒技術(shù)(9). 主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是 NT平臺。傳感器負(fù)責(zé)采集數(shù)據(jù) (網(wǎng)絡(luò)包、系統(tǒng)日志等 )、分析數(shù)據(jù)并生成安全事件。 段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源 。安全備份和系統(tǒng)災(zāi)難恢復(fù)什么是入侵檢測? 對入侵 行為 的發(fā)覺，通過對計算機(jī)網(wǎng) 絡(luò)或計算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違 反安全策略的行為和被攻擊的跡象。防火墻與 VPN技術(shù)(7).訪問控制(3).投資回報? 大幅度減少電信服務(wù)費(fèi)用，尤其針對地域上分散的公司和企業(yè)大幅度減少電信服務(wù)費(fèi)用，尤其針對地域上分散的公司和企業(yè)? 針對遠(yuǎn)程撥號上網(wǎng)訪問的用戶，省去了每個月的電信費(fèi)用針對遠(yuǎn)程撥號上網(wǎng)訪問的用戶，省去了每個月的電信費(fèi)用? 采用采用 VPN, 公司公司 /企業(yè)中當(dāng)前使用的企業(yè)中當(dāng)前使用的 Modem Pool將永遠(yuǎn)退休將永遠(yuǎn)退休到到 2023年，按企業(yè)年，按企業(yè) /組織規(guī)模大小，實(shí)施組織規(guī)模大小，實(shí)施 VPN比例將達(dá)到：比例將達(dá)到：57% 大型企業(yè)大型企業(yè)55% 中心企業(yè)中心企業(yè)51% 小型企業(yè)小型企業(yè) 來源 : Infoics Research安全的，統(tǒng)一的通信移動用戶分支機(jī)構(gòu)網(wǎng)站合作伙伴VPNVPN(Virtual Private Network) 它指的是以公用開放的網(wǎng)絡(luò)它指的是以公用開放的網(wǎng)絡(luò) (如如Inter)作為基本傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)作為基本傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)用戶提供類似于私有網(wǎng)絡(luò) (Private Network)性能的網(wǎng)絡(luò)服務(wù)技性能的網(wǎng)絡(luò)服務(wù)技術(shù)。不能主動跟蹤入侵者。一旦考慮到安全因素而對 網(wǎng)絡(luò)流量 進(jìn)行深入的決策和分析 ,防火墻具有以下缺點(diǎn)：入侵者可以尋找防火墻背后可能敞開的 后門而繞過防火墻 .? 防火墻完全 不能阻止內(nèi)部攻擊 ,狀態(tài)檢測技術(shù)? Stateful它通常由兩部分組成： 代理服務(wù)器 和 篩選路由器 。l 包過濾技術(shù) 主要在 IP層實(shí)現(xiàn)。安全備份和系統(tǒng)災(zāi)難恢復(fù)防火墻技術(shù)l 防火墻 : 是指安裝在內(nèi)部網(wǎng)絡(luò)與 Inter之間或者網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的可以限制相互訪問的一種的安全保護(hù)措施。防火墻與 VPN技術(shù)(7).訪問控制(3).因此，安全掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段，必須仔細(xì)研究利用。l 漏洞掃描 : 是自動檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)，它通過對系統(tǒng) 當(dāng)前的狀況 進(jìn)行掃描、分析，找出系統(tǒng)中存在的 各種脆弱性 ，在此基礎(chǔ)上進(jìn)一步考慮脆弱性的修補(bǔ)與消除。外部的攻擊者 主要是利用了系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)中的脆弱性；(2).安全審記與日志分析技術(shù)(10).安全漏洞掃描技術(shù)(6).數(shù)據(jù)加密技術(shù)(2).報文認(rèn)證是將報文各字段（域）通過一定的操作組成一個約束值，稱為該報文的完整性檢測向量ICV。 TRIPWIRE就是這樣一個文件系統(tǒng)完整性檢查器。數(shù)據(jù)完整性控制技術(shù)可發(fā)現(xiàn)數(shù)據(jù)的非法修改，從而使用戶不會被非法數(shù)據(jù)所欺騙。防病毒技術(shù)(9).安全漏洞掃描技術(shù)(6).數(shù)據(jù)加密技術(shù)(2).W傳送特征信息 發(fā)起訪問請求基于主體特征的身份鑒別驗(yàn)證用戶特征信息回應(yīng)訪問請求，允許訪問驗(yàn)證通過指紋識別器讀取特征信息獲得特征信息基于 IC卡 +PIN號碼的認(rèn)證Username InformationEServerUsername=rootPassword=~!$ 發(fā)起訪問請求基于口令、用戶名的簡單身份鑒別驗(yàn)證用戶名與口令回應(yīng)訪問請求，允許訪問驗(yàn)證通過基于主體特征的身份認(rèn)證Username Feature PermissionRoot Sdff RAdmin 8990 REServer基于口令、用戶名的身份認(rèn)? 基于主體特征的身份認(rèn)證：如指紋? 基于 IC卡 +PIN號碼的認(rèn)證? 基于 CA證書的身份認(rèn)證? 其他的認(rèn)證方式基于口令、用戶名的身份認(rèn)證Username Password Permissionroot ~!4 RAdmin 3458r R VPN技術(shù)。口令技術(shù)： 口令技術(shù)是一種簡單有效的資格審查技術(shù)，它以口令作為鑒別依據(jù)，通過核對口令來 真實(shí)用戶身份 。它以交換信息的方式來確認(rèn) 實(shí)體的身份 。防病毒技術(shù)(9).安全漏洞掃描技術(shù)(6).數(shù)據(jù)加密技術(shù)(2). 訪問控制l IDC統(tǒng)計，目前 網(wǎng)絡(luò) 80%的越權(quán)訪問和入侵行為都是來自于企業(yè)內(nèi)部網(wǎng)。 從而使計算機(jī)系統(tǒng)在 合法 范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。入侵檢測技術(shù)(8).認(rèn)證技術(shù)(4). 這類算法的代表是 RSA算法 和 DSA算法 。l 是指將一個信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。入侵檢測技術(shù)(8).認(rèn)證技術(shù)(4). )216。傳統(tǒng)的安全技術(shù) (2)動態(tài)安全技術(shù) 與靜態(tài)安全技術(shù)相比，大大改善了對入侵的 主動檢測 能力。 傳統(tǒng)的安全技術(shù) (1)216。216。第 只有動態(tài)的網(wǎng)絡(luò)才是一個安全性高的網(wǎng)絡(luò)。傳統(tǒng)的安全模型 (4)216。 安全控制模型 (網(wǎng)絡(luò) ) (Access(2).Authorization第 Control,. 216。216。216。 (2). (1).第 軟件安全 ，如網(wǎng)絡(luò)系統(tǒng)不被非法侵入、應(yīng)用、復(fù)制、修改以及不受病毒侵害；(3).216。第 216。安全的含義及目標(biāo) (2)216。 計算機(jī)安全 :是指為 數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù) ，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏。第 安全效用檢驗(yàn)、安全審記、安全技術(shù)、安全教育與培訓(xùn)、安全結(jié)構(gòu)與程序、安全規(guī)則 等 .u常用的安全技術(shù)有 防火墻、防病毒軟件、加密技術(shù)、用戶認(rèn)證、入侵檢測系統(tǒng) 等 .我們眼中的安全五 . 常用的安全方法　 概 錄一 .實(shí)施策略安安 全全 隱隱 患患外部外部 /個體個體 外部外部 /組織組織內(nèi)部內(nèi)部 /個體個體 內(nèi)部內(nèi)部 /組織組織關(guān)閉安全維護(hù)“后門 ”更改缺省的系統(tǒng)口令添加所有操作系統(tǒng) PatchModem數(shù)據(jù)文件加密安