【正文】 ,Unixntpserviceshutdown等? shadow? 基于主機的訪問控制– WindowsportII)Windows 安全管理? 文件系統(tǒng)與共享190。AdministratorWindows 安全管理? Windows服務管理– Terminal事件響應及意外事故計 提供安全認知和實踐培訓系統(tǒng)安全增強新的系統(tǒng)總是充滿了各種安全漏洞? 打上最新軟件補丁和更新– 總是到系統(tǒng)供應商處檢查更新– 從可信站點下載 ,使用 MD5或數(shù)字簽名 (PGP)檢查? 加強口令保護? 設置系統(tǒng)審計功能? 增強文件系統(tǒng)安全– 文件系統(tǒng)監(jiān)控– 文件自動恢復? 安全配置各種網(wǎng)絡服務? 其他安全考慮Windows 安全管理? 操作系統(tǒng)更新政策– 安裝最新版本的補丁 Service人員變更管理病毒管理安全檢查和評估需要需要管理手段缺省配置為系統(tǒng)留下安全隱患，需要管理隱蔽信道的防范。數(shù)據(jù)完整性： 考慮存儲、傳輸和使用中不被篡改和泄密。? 方案與實施? 安全標準及安全管理? 安全標準與規(guī)范? 安全管理與檢查安全評估標準國標主要安全指標國家安全標準主要考核指標有 ：? 對外避免主機被入侵後危及內部網(wǎng)路? 對內可管制稽核內部人員存取主機FirewallOpen SubInter內部網(wǎng)路DMZfor serversDMZDDN/加密機過濾型防火墻路由器 路由器PSTN移動用戶外部 mail服務器外部 DNS普通客戶密鑰管理中心復合型防火墻安全客戶端一般服務器1一般服務器2一般服務器3一般服務器n重要服務器1重要服務器 2重要服務器 3重要服務器 n接入/認證服務器 訪問代理漏洞掃描 /入侵檢測典型安全方案拓撲圖? 外層防火墻– 隔離 Inter和 DMZ(非軍事化區(qū)， Demilitarized?– 訪問控制– 連接完整性– 數(shù)據(jù)源認證– 拒絕重放數(shù)據(jù)包– 保密性（加密）– 有限信息流保密性AH ESP(僅加密） ESP(加密 +認證 )? 機制；ESP： 包括總體概念，安全需求，定義，以及定義 IPSec技術的這兩種情況下都是采用在主 IP報頭后面接續(xù)擴展報頭的方法實現(xiàn)的。而公司內部或工作組不必招致與安全相關處理的負擔。IPSec的應用? IPSec提供對跨越 LAN/WAN， Inter的通訊提供安全性– 分支辦公機構通過 Inter互連。不可靠（ unreliable)： 不能保證一個 IP數(shù)據(jù)報成功地到達其目的地。 ? VPN的建立有三種方式：252。地址轉換（ NAT）252。? 一個隧道的基本要素：252。 Intra內所有的用戶站點通過隧道適當互連，這些站點同屬于一個單一的管理部門。 P 即 Private， 表示特定企業(yè)或用戶群體可以像使用傳統(tǒng)專用網(wǎng)一樣來使用這個網(wǎng)絡資源，即這種網(wǎng)絡具有很強的私有性，具體可以表現(xiàn)在下面兩個方面：v網(wǎng)絡資源的專用性，即 VPN網(wǎng)絡資源（如信道和帶寬）在企業(yè)需要時可以被為企業(yè)所專門使用，當企業(yè)不需要時又可以被其它 VPN用戶所使用，企業(yè)用戶可以獲得像傳統(tǒng)專用網(wǎng)一樣的服務質量；v網(wǎng)絡的安全性，指 VPN用戶的信息不會流出 VPN的范圍之外，用戶信息受到 VPN網(wǎng)絡的保護，可以實現(xiàn)用戶信息在公共網(wǎng)絡傳輸中隱蔽性；252。? 它是利用公眾網(wǎng)設施構成的專用網(wǎng) ,Impactrate)alarm(2)接近實時的檢測和應答5 一個完備的入侵檢測系統(tǒng) IDS一定是基于主機和基于網(wǎng)絡兩種方式兼?zhèn)涞姆植际较到y(tǒng)? 基于主機– 安全操作系統(tǒng)必須具備一定的審計功能，并記錄相應的安全性日志? 基于網(wǎng)絡– IDS可以放在防火墻或者網(wǎng)關的后面，以網(wǎng)絡嗅探器的形式捕獲所有的對內對外的數(shù)據(jù)包基于網(wǎng)絡的 IDS? 基于網(wǎng)絡的 IDS使用原始的網(wǎng)絡分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡適配器來實時監(jiān)視和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ?。不能有效防止網(wǎng)絡地址假冒攻擊?通常很容易發(fā)動這種攻擊。將數(shù)據(jù) 隱 藏，使嗅探器無法 發(fā)現(xiàn) 攻擊者一般使用國外服務器，只要發(fā)送一封電子郵件，服務器就可能給被炸用戶發(fā)成千上萬的電子郵件，用戶只好更換新的信箱。A遠程登錄，建立會話，完成認證過程攻擊者 H2? 常見的攻擊過程– 讓被替代的機器 A休眠– 發(fā)現(xiàn)目標機器 B的序列號規(guī)律– 冒充機器 A向機器 B發(fā)出請求，算出機器應該發(fā)來什么序列號，給出機器 B想要的回應。但是基于在 Inter的安全的前題，一個特洛伊程序將要做的是下列兩件事中的一件（或兩者兼有）：? 提供一些功能，這些功能可以泄露一些系統(tǒng)的私有信息給程序的作者或者控制該系統(tǒng)。在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件167。特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。特征碼掃描法一旦發(fā)作的條件成熟 ,這種潛伏性就會立即轉化為破壞性。究其產(chǎn)生的原因不外乎以下幾種： ? 開個玩笑，一個惡作劇。Echo包，有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包，會掛起或者死機? 受影響的系統(tǒng)：許多操作系統(tǒng)受影響? 攻擊做法– 直接利用 ping工具，發(fā)送超大的 ping數(shù)據(jù)包? 防止措施– 打補丁– 防火墻阻止這樣的 ping包防止 DoS? 對于網(wǎng)絡– 路由器和防火墻配置得當，可以減少受 DoS攻擊的危險? 比如，禁止 IP欺騙可以避免許多 DoS攻擊– 入侵檢測系統(tǒng)，檢測異常行為? 對于系統(tǒng)– 升級系統(tǒng)內核，打上必要的補丁，特別是一些簡單的 DoS攻擊，例如 SYNofDOS– 強行對方重啟機器– 惡意的破壞、或者報復– 網(wǎng)絡恐怖主義– ……DoS攻擊的基本過程? 我們可以看出 DoS攻擊的基本過程：首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。6）建議您用專門的郵箱進行私人通信，而用其他郵箱訂閱電子雜志。也可以是發(fā)送給與信件主題不相關的新聞組或者列表服務器的同一信件的重復張貼物。? 方案與實施? 常見的網(wǎng)絡安全問題? 垃圾郵件? 網(wǎng)絡掃描和拒絕服務攻擊– 端口掃描和缺陷掃描– DDOS、 DOS? 入侵和蠕蟲– 蠕蟲： nimda、 CRII– 系統(tǒng)缺陷垃圾郵件危害? 網(wǎng)絡資源的浪費– 歐洲委員會公布的一份報告，垃圾郵件消耗的網(wǎng)絡費用每年高達 100億美元 – UCE （ Unsolicited Commercial Email， 不請自來的商業(yè)電子郵件）– UBE （ Unsolicited Bulk Email， 不請自來的批量電子郵件）? 定義 4：垃圾郵件泛指未經(jīng)請求而發(fā)送的電子郵件，如未經(jīng)發(fā)件人請求而發(fā)送的商業(yè)廣告或非法的電子郵件垃圾郵件定義垃圾郵件特點? 內容：– 商業(yè)廣告– 宗教或個別團體的宣傳資料– 發(fā)財之道 ,連鎖信等 防止收到垃圾郵件掃描技術? Port當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡。Death,Flooding– 關掉不必要的服務和網(wǎng)絡組件– 如果有配額功能的話，正確地設置這些配額– 監(jiān)視系統(tǒng)的運行，避免降低到基線以下– 檢測系統(tǒng)配置信息的變化情況? 保證物理安全? 建立備份和恢復機制網(wǎng)絡安全體系結構概述? ? ? ? 術 ? 產(chǎn)生于個別人的報復心理。?破壞性 這也是機算機病毒的重要特征 ,即降低計算機系統(tǒng)的工作效率 ,占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的 病毒程序。該技術實現(xiàn)簡單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；目前廣泛應用的 3種 病毒防治 技術216。在執(zhí)行過程中，從虛擬機環(huán)境內截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內病毒的查殺 216。? 隱藏了一些功能，這些功能能夠將系統(tǒng)的私有信息泄露給程序的作者，或者能夠控制該系統(tǒng)。– 這樣就可以利用機器 B對機器 A的信任關系進行攻擊。監(jiān)聽流量3? 給目標電子信箱訂閱大量的郵件廣告。加密 安全問題的趨勢： 混合型攻擊v 整合了病毒和黑客的攻擊技術v 不需要借助社會工程進行傳播和攻擊v 能夠自動發(fā)現(xiàn)并自動感染和攻擊 v 兩個例子： CodeRed 和 Nimdav 傳播速度極快，有可能在 20分鐘之內感染整個 Interv 不需要人工干預，利用軟件漏洞進行自動攻擊v 攻擊程序的破壞性更強依靠單個產(chǎn)品和某一種安全技術都不能進行有效防護！網(wǎng)絡安全體系結構概述? ? ? ? 術 容易受配置不當?shù)挠绊? 包過濾路由器? 應用層網(wǎng)關? 電路層網(wǎng)關防火墻類型? 也稱為代理服務器? 特點– 所有的連接都通過防火墻，防火墻作為網(wǎng)關– 在應用層上實現(xiàn)– 可以監(jiān)視包的內容– 可以實現(xiàn)基于用戶的認證– 所有的應用需要單獨實現(xiàn)– 可以提供理想的日志功能– 非常安全，但是開銷比較大應用層網(wǎng)關應用層網(wǎng)關的結構示意圖應用層網(wǎng)關的優(yōu)缺點? 優(yōu)點– 允許用戶 “直接 ”訪問 Inter– 易于記錄日志? 缺點– 新的服務不能及時地被代理– 每個被代理的服務都要求專門的代理軟件– 客戶軟件需要修改，重新編譯或者配置– 有些服務要求建立直接連接，無法使用代理? 比如聊天服務、或者即時消息服務– 代理服務不能避免協(xié)議本身的缺陷或者限制? 包過濾路由器? 應用層網(wǎng)關? 電路層網(wǎng)關防火墻類型? 本質上，也是一種代理服務器– 有狀態(tài)的包過濾器– 動態(tài)包過濾器? 狀態(tài)– 上下文環(huán)境– 流狀態(tài)? 認證和授權方案? 例子： socks電路層網(wǎng)關電路層網(wǎng)關的優(yōu)缺點? 優(yōu)點– 效率高– 精細控制，可以在應用層上授權– 為一般的應用提供了一個框架? 缺點– 客戶程序需要修改 (要求鏈接到 socks一旦檢測到攻擊， IDS應答模塊通過通知報警以及中斷連接等方式來對攻擊作出反應? 基于網(wǎng)絡的入侵檢測系統(tǒng)的主要優(yōu)點有操作系統(tǒng)獨立。rate)– 把正常事件識別為攻擊并報警– 誤報率與檢出率成正比例關系0Analysis)– 數(shù)據(jù)必須定期備份– 信息系統(tǒng)的根本目的是提供便利的服務– 災難評估– 明確責任人? 防火墻技術? 入侵檢測技術? 網(wǎng)絡安全評估系統(tǒng)? 虛擬專用網(wǎng) VPN技術? IPSec? 安全備份和系統(tǒng)災難恢復網(wǎng)絡安全技術無 法量化的 東 西是 無 法管理的！什么是風險評估 ? “ 我 們 有多安全？ ”v 查找已知的弱 點與 漏洞v 檢 查 制定的 安全策略是否被 執(zhí)行v 檢驗已實施的 安全策略的有效性v 提供有效的建議方案v 自動修復s 評估企業(yè)范圍內的安全風險和漏洞 (包括網(wǎng)絡 )s 檢測違反安全策略的行為s 確保企業(yè)安全策略的一致性s 提供全企業(yè)范圍內的、集成的安全管理構架我們的網(wǎng)絡我們的網(wǎng)絡有多安全有多安全 ?? 如何知道如何知道 ?? 構建在公共網(wǎng)絡上的 N 即 Network， 表示這是一種專門組網(wǎng)技術和服務，企業(yè)為了建立和使用 VPN必須購買和配備相應的網(wǎng)絡設備。目前Intra VPN是 VPN應用最主要的形式。隧道開通器（ TI）252。MAC地址綁定訪問控制技術VPN實施方式n以現(xiàn)有 Router昇級為 VPN Router? 架構簡單：由於 Router昇級在現(xiàn)有 網(wǎng)絡結構 不變下，對 IT管理者來說，可說是最簡單的。 一種是企業(yè)自身建設，對 ISP透明；252。錯