【文章內(nèi)容簡介】 交流和咨詢。 73 GAO/AIMD 9868 信息安全管理實施指南 Risk Management Cycle風險管理循環(huán) 建立核心管理焦點 識別風險和確定安全需求 安全意識和知識培訓 實施適合的安全策略和控制措施 監(jiān)督并審查安全策略和措施三的有效性 74 信息與網(wǎng)絡安全組件 網(wǎng)絡的整體安全是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網(wǎng)絡監(jiān)控、安全掃描、信息審計、通信加密、災難恢復、網(wǎng)絡反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能 75 防火墻 防火墻通常被比喻為網(wǎng)絡安全的大門，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內(nèi)部網(wǎng)。在應對黑客入侵方面，可以阻止基于 IP包頭的攻擊和非信任地址的訪問。但防火墻無法阻止和檢測基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時也無法控制內(nèi)部網(wǎng)絡之間的違規(guī)行為 76 掃描器 掃描器可以說是入侵檢測的一種，主要用來發(fā)現(xiàn)網(wǎng)絡服務、網(wǎng)絡設(shè)備和主機的漏洞，通過定期的檢測與比較，發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡。當然，掃描器無法發(fā)現(xiàn)正在進行的入侵行為，而且它還有可能成為攻擊者的工具 77 防毒軟件 防毒軟件是最為人熟悉的安全工具，可以檢測、清除各種文件型病毒、宏病毒和郵件病毒等。在應對黑客入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但對于基于網(wǎng)絡的攻擊行為（如掃描、針對漏洞的攻擊）卻無能為力 78 安全審計系統(tǒng) 安全審計系統(tǒng)通過獨立的、對網(wǎng)絡行為和主機操作提供全面與忠實的記錄，方便用戶分析與審查事故原因 79 IDS（ 一） IDS的主要功能包括檢測并分析用戶在網(wǎng)絡中的活動，識別已知的攻擊行為，統(tǒng)計分析異常行為，核查系統(tǒng)配置和漏洞，評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，管理操作系統(tǒng)日志，識別違反安全策略的用戶活動等 IDS 80 IDS（ 二） 主機型入侵檢測系統(tǒng) (Host Intrusion Detection System， HIDS)往往以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段從所在的主機收集信息，并進行分析。 HIDS主要針對其所在的系統(tǒng)進行非法行為的檢測 81 IDS（ 三） 網(wǎng)絡型入侵檢測系統(tǒng) (Network Intrusion Detection System， NIDS)的數(shù)據(jù)源來自網(wǎng)絡上的數(shù)據(jù)包 。 一般地 ， 用戶可將某臺主機網(wǎng)卡設(shè)定為混雜模式 ， 以監(jiān)聽本網(wǎng)段內(nèi)所有數(shù)據(jù)包 ， 判斷其是否合法 。 NIDS擔負著監(jiān)視整個網(wǎng)段的任務 82 IDS（ 四） HIDS的缺點 ? 必須為不同平臺開發(fā)不同的應用程序 ， 增加了網(wǎng)絡系統(tǒng)運行負荷 ， 而且所需安裝的產(chǎn)品數(shù)量眾多 HIDS的優(yōu)點 ? 其內(nèi)在結(jié)構(gòu)不受任何約束 ? 它可利用操作系統(tǒng)本身提供的功能 ， 結(jié)合異常分析 ， 更準確地報告攻擊行為 83 IDS（ 五） NIDS的優(yōu)點主要是使用簡便，不會給運行關(guān)鍵業(yè)務的主機和網(wǎng)絡增加任何負擔。 84 安全策略的制定與實施 安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分，即威嚴的法律、先進的技術(shù)、嚴格的管理 85 安全策略參考 安全策略參考 網(wǎng)絡規(guī)劃安全策略 網(wǎng)絡管理員安全策略 訪問服務網(wǎng)絡安全策略 遠程訪問服務安全策略 系統(tǒng)用戶的安全策略 上網(wǎng)用戶的安全策略 遠程訪問用戶的安全策略 直接風險控制安全策略 自適應網(wǎng)絡安全策略 智能網(wǎng)絡系統(tǒng)安全策略 適應性原則 動態(tài)性原則 簡單性原則 系統(tǒng)性原則 最小授權(quán)原則 安全策略的制定與實施 86 安全策略的實施（一） 重要的商務信息和軟件的備份應當存儲在受保護、限制訪問且距離源地點足夠遠的地方，這樣備份數(shù)據(jù)就能逃脫本地的災害 需要給網(wǎng)絡外圍設(shè)置打上最新的補丁 87 安全策略的實施（二） 安裝入侵檢測系統(tǒng)并實施監(jiān)視 啟動最小級別的系統(tǒng)事件日志 88 安全服務、機制與技術(shù) 安全服務的實現(xiàn)需要一定的安全機制予以支撐和規(guī)范，而安全機制離不開具體的安全技術(shù)，安全技術(shù)的應用就可以實現(xiàn)安全服務 89 安全服務、機制與技術(shù) 安全服務包括 數(shù)據(jù)機密性服務 訪問控制服務 數(shù)據(jù)完整性服務 對象認證服務 防抵賴服務 安全服務 90 安全服務、機制與技術(shù) 安全機制包括 安全機制 加密機制 認證交換機制 數(shù)字簽名機制 防業(yè)務流分析機制 路由控制機制 訪問控制機制 91 安全服務、機制與技術(shù) 安全技術(shù)包括 安全技術(shù) 加密技術(shù) 防火墻技術(shù) 鑒別技術(shù) 病毒防治技術(shù) 審計監(jiān)控技術(shù) 數(shù)字簽名技術(shù) 92 安全工作目的（一） 安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導下，通過采用合適的安全技術(shù)與安全管理措施，完成以下任務 ? 使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡，即 “ 進不來 ” ，從而保證網(wǎng)絡系統(tǒng)的可用性 ? 使用授權(quán)機制，實現(xiàn)對用戶的權(quán)限控制，即不該拿走的 “ 拿不走 ” ，同時結(jié)合內(nèi)容審計機制，實現(xiàn)對網(wǎng)絡資源及信息的可控性 93 安全工作目的（二） ? 使用加密機制，確保信息不暴漏給未授權(quán)的實體或進程，即 看不懂 ，從而實現(xiàn)信息的保密性 ? 使用數(shù)據(jù)完整性鑒別機制 ， 保證只有得到允許的人才能修改數(shù)據(jù) ， 而其它人 “ 改不了 ” ， 從而確保信息的完整性 ? 使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者 “ 走不脫 ” ，并進一步對網(wǎng)絡出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性 94 小結(jié) 從概念角度了解了什么是信息安全；信息安全的標準化、管理和一些安全策略 95 高級 TCP/IP分析 1 TCP/IP協(xié)議棧 2 物理層的安全威脅 3 網(wǎng)絡層的安全威脅 4 傳輸層的安全威脅 5 應用層的安全威脅 6 IPSec協(xié)議 96 TCP/IP協(xié)議棧 TCP/IP協(xié)議的起源和發(fā)展 TCP/IP協(xié)議集 TCP/IP的體系結(jié)構(gòu)和特點 VLSM和 CIDR技術(shù) 97 協(xié)議 協(xié)議是為了在兩臺計算機之間交換數(shù)據(jù)而預先規(guī)定的標準。 TCP/IP并不是一個協(xié)議，而是許多協(xié)議，而 TCP和 IP只是其中兩個基本協(xié)議而已 ? 以寄信為例 ,正確的地址 ,姓名 ,郵政編碼以及正確的格式才可以讓信寄到收信人手中 xxxxxx 北京西城區(qū) xxx號 xxx室 負責人 （收） xxx有限公司 xxxxxx FROM: Room , , Huiyuan International Apartment Anli Road Chaoyang District Beijing, . xxxxxx TO: xxxxxx xxxxxx . 98 TCP/IP協(xié)議起源和發(fā)展 在 TCP/IP協(xié)議成為工業(yè)標準之前，TCP/IP協(xié)議經(jīng)歷了近 12年的實際測試 1980年，高研署在它的網(wǎng)絡上首先采用TCP/IP協(xié)議 99 TCP/IP協(xié)議集 TCP/IP（ 傳輸控制協(xié)議 /網(wǎng)間協(xié)議）是一組網(wǎng)絡通信協(xié)議，它規(guī)范了網(wǎng)絡上的所有通信設(shè)備，尤其是一個主機與另一個主機之間的數(shù)據(jù)往來格式以及傳送方式 ,描述的是計算機之間交換數(shù)據(jù)的過程。 IP TCP UDP 100 TCP/IP體系結(jié)構(gòu)和特點 ISO/OSI網(wǎng)絡的七層結(jié)構(gòu)模型 TCP/IP網(wǎng)絡的四層結(jié)構(gòu)模型 101 OSI七層示意圖 OSI參考模型從上到下共分為七層 , 最上層為用戶面對的應用層 任何一次兩個用戶之間的通信都需要經(jīng)過這七層的數(shù)據(jù)轉(zhuǎn)換 Application Presentation Session Transport Network DataLink Physical End User A Application Presentation Session Transport Network DataLink Physical End User B All People Seem To Need Data Processing. 應用層 表示層 會話層 傳輸層 網(wǎng)絡層 數(shù)據(jù)鏈路層 物理層 102 ISO/OSI參考模型各層的功能 參考模型分層 主要功能 物理層 （ Physical Layer) 提供建立、維護和拆除物理鏈路所需的機械、電氣、功能和規(guī)程特性；通過傳輸介質(zhì)進行數(shù)據(jù)流的物理傳輸，故障檢測和物理層管理。 數(shù)據(jù)鏈路層 (Data Link Layer) 在網(wǎng)絡層實體間提供數(shù)據(jù)傳輸功能和控制；提供數(shù)據(jù)的流量控制；檢測和糾正物理鏈路產(chǎn)生的差錯。 網(wǎng)絡層 (Network Layer) 提供路由選擇、擁塞控制、網(wǎng)絡互連等功能；根據(jù)傳輸層的要求，選擇服務質(zhì)量；向傳輸層指示未恢復的差錯。 傳輸層 (Transport Layer) 提供建立、維護和拆除傳輸連接的功能；監(jiān)控服務質(zhì)量；提供端到端可靠的透明的數(shù)據(jù)傳輸、差錯控制和流量控制。 會話層 (Session Layer) 提供兩個進程之間建立、維護和結(jié)束會話連接的功能；提供會話流量控制和交叉會話功能。 表示層 (Presentation Layer) 提供不同信息格式和編碼之間的轉(zhuǎn)換；提供數(shù)據(jù)表示、數(shù)據(jù)壓縮和數(shù)據(jù)加密功能。 應用層 (Application Layer) 提供網(wǎng)絡服務，例如事務處理程序、文件傳輸程序、網(wǎng)絡管理程序等等。 103 ?我們需要注意的是： OSI參考模型本身不是網(wǎng)絡體系結(jié)構(gòu)的全部內(nèi)容，這是因為它并未描述用于各層的協(xié)議和服務，它僅僅告我們每一層應該做什么。它僅僅是一種網(wǎng)絡教學模型。 104 TCP/IP網(wǎng)絡的四層結(jié)構(gòu)模型 應 用 層表 示 層會 話 層傳 輸 層網(wǎng) 絡 層數(shù) 據(jù) 鏈 路 層物 理 層O S I 參 考 模 型應 用 層傳 輸 層網(wǎng) 絡 層網(wǎng) 絡 接 口物 理 層T C P / I P 模 型OSI參考模型與 TCP/IP模型對比 105 TCP/IP 理解 TCP/IP的三個關(guān)鍵點： 成網(wǎng)際