【正文】 etevalue、 Xp_regenumvalues、Xp_regread、 Xp_regremovemultistring、Xp_regwrite這些擴(kuò)展存儲(chǔ)過程對(duì)注冊(cè)表進(jìn)行的讀寫操作 ? 除 sa外的帳號(hào)被授予 sysadmin、 db_owner和db_securityadmin、 db_backupoperator、db_accessadmin 權(quán)限的操作 DB2數(shù)據(jù)庫(kù)日志審計(jì) ? 建議對(duì)以下項(xiàng)進(jìn)行審計(jì) ? SYSADM、 SYSCTRL 和 SYSMAINT 權(quán)限的授予 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測(cè) 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) 4A認(rèn)證技術(shù) ?4A認(rèn)證技術(shù)包括哪些？ ?為什么需要 4A認(rèn)證技術(shù)？ ?4A認(rèn)證技術(shù)的現(xiàn)狀 4A認(rèn)證包括哪些？ ?賬號(hào)（ Account ）管理 解決的是 “ 你是誰？ ” ?授權(quán)（ Authorization）管理 解決的是 “ 你能做什么？ ” ?認(rèn)證（ Authentication ）管理 解決的是 “ 怎樣管理用戶和資源？ ” ?安全審計(jì)（ Audit） 解決的是 “ 發(fā)生了什么？ ” 4A認(rèn)證邏輯結(jié)構(gòu) 4A認(rèn)證技術(shù)框架架構(gòu) 4A框架架構(gòu) ?賬號(hào)管理是將自然人與其擁有的所有系統(tǒng)賬號(hào)關(guān)聯(lián)，集中進(jìn)行管理，包括按照密碼策略自動(dòng)更改密碼，不同系統(tǒng)間的賬號(hào)同步等 。 ? 對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)的賬號(hào)進(jìn)行集中管理 ?實(shí)例：因人員流動(dòng)要?jiǎng)h除一名員工在所有系統(tǒng)中的賬號(hào)信息。 ? 未采用統(tǒng)一帳號(hào)管理可能存在的風(fēng)險(xiǎn)：因操作失誤導(dǎo)致誤刪除或漏刪除情況的發(fā)生。 ? 采用統(tǒng)一賬號(hào)管理系統(tǒng)可以準(zhǔn)確的刪除相關(guān)賬號(hào)信息，避免操作失誤帶來的損失。 4A認(rèn)證技術(shù) 4A認(rèn)證技術(shù) ?身份認(rèn)證是信息安全的第一道防線，用以實(shí)現(xiàn)支撐系統(tǒng)對(duì)操作者身份的合法性檢查。對(duì)信息統(tǒng)中的各種服務(wù)和應(yīng)用來說，身份認(rèn)證是一個(gè)基本的安全考慮。身份認(rèn)證的方式可以有多種，包括：靜態(tài)口令方式、動(dòng)態(tài)口令方式、基于公鑰證書的認(rèn)證方式以及基于各種生物特征的認(rèn)證方式。 ?實(shí)例：通過暴力破解的方式對(duì)靜態(tài)口令加密的密碼進(jìn)行破解。 ? 通過入侵檢測(cè)系統(tǒng)、 SOC安全管理平臺(tái)的報(bào)警信息進(jìn)行處理 ? 通過采用其他口令方式進(jìn)行身份認(rèn)證 4A認(rèn)證技術(shù) ?授權(quán)是指對(duì)用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理分配的技術(shù)，實(shí)現(xiàn)不同用戶對(duì)系統(tǒng)不同部分資源的訪問 ?審計(jì)是指收集、記錄用戶對(duì)支撐系統(tǒng)資源的使用情況，以便于統(tǒng)計(jì)用戶對(duì)網(wǎng)絡(luò)資源的訪問情況，并且在出現(xiàn)安全事故時(shí)，可以追蹤原因，追究相關(guān)人員的責(zé)任，以減少由于內(nèi)部計(jì)算機(jī)用戶濫用網(wǎng)絡(luò)資源造成的安全危害 4A認(rèn)證技術(shù) ?4A框架下的安全審計(jì)模塊，主要對(duì) 4A框架下其它模塊的安全記錄進(jìn)行審計(jì) ?審計(jì)的主要內(nèi)容包括 ? 對(duì)賬號(hào)分配情況的審計(jì) ? 對(duì)賬號(hào)授權(quán)的審計(jì) ? 對(duì)登錄過程的審計(jì) ? 對(duì)身份認(rèn)證的審計(jì) ? 對(duì)登錄后用戶行為的審計(jì) 4A認(rèn)證技術(shù) ? 集中安全審計(jì)的目的 ? 發(fā)現(xiàn)、阻止私設(shè)賬號(hào)，或賬號(hào)逾期未收回 ? 發(fā)現(xiàn)、阻止賬號(hào)過度授權(quán)，或授權(quán)不足 ? 發(fā)現(xiàn)、阻止利用已經(jīng)作廢或假冒的賬號(hào)進(jìn)行登錄嘗試 ? 發(fā)現(xiàn)、阻止試圖利用合法賬號(hào)訪問未經(jīng)授權(quán)的資源 ? 將檢測(cè)到的安全事件提交給上級(jí)安全審計(jì)系統(tǒng)，輔助完成入侵檢測(cè)、故障監(jiān)測(cè)等更廣泛的審計(jì)功能 4A認(rèn)證技術(shù) ?根據(jù)日志來源分類 ? 主機(jī)系統(tǒng)日志 ? 安全產(chǎn)品日志 ? 網(wǎng)絡(luò)設(shè)備日志 ? 應(yīng)用系統(tǒng)日志 ?根據(jù)日志內(nèi)容分類 ? 訪問日志 ? 活動(dòng)日志 ? 備份日志 4A認(rèn)證技術(shù) 日志系統(tǒng)安全產(chǎn)品日志 網(wǎng)絡(luò)設(shè)備日志 應(yīng)用系統(tǒng)日志主機(jī)（操作系統(tǒng)）日志W(wǎng)indows 2023其他U n i x客服計(jì)費(fèi)結(jié)算決策分析Windows NTSolaris防火墻防病毒入侵監(jiān)測(cè)系統(tǒng)交換機(jī)路由器網(wǎng)管4A認(rèn)證技術(shù) ?4A一起確保合法用戶安全、方便使用特定資源。這樣既有效地保障了合法用戶的權(quán)益，又能有效地保障支撐系統(tǒng)安全可靠地運(yùn)行。 為什么需要 4A認(rèn)證技術(shù) ?隨著各大電信運(yùn)營(yíng)商的業(yè)務(wù)網(wǎng)發(fā)展，其內(nèi)部用戶數(shù)量持續(xù)增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，安全問題不斷出現(xiàn)。而每個(gè)業(yè)務(wù)網(wǎng)系統(tǒng)分別維護(hù)一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號(hào)和口令，孤立的以日志形式審計(jì)操作者在系統(tǒng)內(nèi)的操作行為。現(xiàn)有的這種賬號(hào)口令管理、訪問控制及審計(jì)措施已遠(yuǎn)遠(yuǎn)不能滿足自身業(yè)務(wù)發(fā)展需求，及與國(guó)際業(yè)務(wù)接軌的需求。 表現(xiàn)出的問題 大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分屬不同的部門或業(yè)務(wù)系統(tǒng)，認(rèn)證、授權(quán)和審計(jì)方式?jīng)]有統(tǒng)一，當(dāng)需要同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行操作時(shí)，工作復(fù)雜度成倍增加 一些設(shè)備和業(yè)務(wù)系統(tǒng)由廠商代維，因缺乏統(tǒng)一監(jiān)管，安全狀況不得而知 各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，缺乏統(tǒng)一的訪問控制平臺(tái)，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障 表現(xiàn)出的問題 個(gè)別賬號(hào)多人共用，擴(kuò)散范圍難以控制，發(fā)生安全事故時(shí)更難以確定實(shí)際使用者 隨著系統(tǒng)增多，用戶經(jīng)常需要在各系統(tǒng)間切換，而每次切換都需要輸入該系統(tǒng)的用戶名和口令，為不影響工作效率，用戶往往會(huì)采用簡(jiǎn)單口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的，造成對(duì)系統(tǒng)安全性的威脅 對(duì)各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問審計(jì)，無法進(jìn)行綜合分析，因此不能及時(shí)發(fā)現(xiàn)入侵行為 4A認(rèn)證技術(shù)的現(xiàn)狀 早期以及現(xiàn)在絕大部分的支撐系統(tǒng)，都使用簡(jiǎn)單的用戶名 /密碼方式來進(jìn)行訪問控制保護(hù)，這種方式主要存在以下幾方面的不足： 安全強(qiáng)度較低，難以真正保證系統(tǒng)的安全； 隨著用戶名 /密碼對(duì)的增多，用戶勢(shì)必采取一些不安全的輔助手段來記憶，從而造成這種保護(hù)形同虛設(shè)，極大降低了安全強(qiáng)度； 難以實(shí)現(xiàn)企業(yè)安全策略，造成安全保護(hù)鏈中具有眾多的薄弱環(huán)節(jié)； 極差的可伸縮性 (scalability)； 對(duì)信息資源的共享也造成了極大障礙，等等。 4A認(rèn)證技術(shù)現(xiàn)狀 ?第一個(gè)類似于現(xiàn)在所提的 4A框架的應(yīng)該算 Radius系統(tǒng) 。 ?該系統(tǒng)由 Livingston Enterprises(Lucent 的前身 )于 1992年所提出并實(shí)現(xiàn)，其核心包括了后來所提出的 AAA(Authentication, Authorization, Accounting)協(xié)議，主要用于電信行業(yè) ISP及其分銷商為用戶提供網(wǎng)絡(luò)服務(wù)，主要對(duì)網(wǎng)絡(luò)設(shè)備的有效使用進(jìn)行管理 4A認(rèn)證技術(shù) ?中國(guó)移動(dòng)是我國(guó)特大型電信運(yùn)營(yíng)商之一，有三十多家分公司，其網(wǎng)絡(luò)規(guī)模龐大，應(yīng)用系統(tǒng)種類眾多、復(fù)雜。建設(shè) 4A框架，保證安全、高效的利用好這些網(wǎng)絡(luò)和應(yīng)用資源，提高企業(yè)的核心競(jìng)爭(zhēng)力，是一個(gè)非常重要的課題。 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測(cè) 日志審計(jì) AAAA認(rèn)證 VLAN技術(shù) VLAN概要 ?什么是 Vlan ?Vlan的優(yōu)點(diǎn) ?Vlan的分類 什么是 Vlan ?VLAN，是英文 Virtual Local Area Network的縮寫，中文名為 “ 虛擬局域網(wǎng) ” ， VLAN是一種將局域網(wǎng)（ LAN）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段（或者說是更小的局域網(wǎng) LAN），從而實(shí)現(xiàn)虛擬工作組（單元） 的數(shù)據(jù)交換技術(shù)。 ?一方面， VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上， ?另一方面， VLAN是局域交換網(wǎng)的靈魂。 這是因?yàn)橥ㄟ^ VLAN用戶能方便的在網(wǎng)路中移動(dòng)和快捷的組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。 VLAN示意圖 Vlan概要 ?VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征 高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易四大特點(diǎn)。 ?VLAN也可以不局限于某一網(wǎng)絡(luò)或物理范圍， VLAN中的用戶可以位于一個(gè)園區(qū)的任意位置，甚至是不同的國(guó)家。 Vlan的優(yōu)點(diǎn) ?控制網(wǎng)絡(luò)的廣播風(fēng)暴 ?確保網(wǎng)絡(luò)安全 ?簡(jiǎn)化網(wǎng)絡(luò)管理 Vlan分類 ?基于端口的 VLAN ?基于 MAC地址的 VLAN ?基于第三層的 VLAN ?基于 IP組播的 VLAN ?基于用戶定義、非用戶授權(quán)的 VLAN ?基于策略的 VLAN 基于端口的 VLAN 基于端口的 VLAN是劃分虛擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法，這實(shí)際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備 。 基于 MAC地址的 VLAN 由于只有網(wǎng)卡才分配有 MAC地址，因此按 MAC地址來劃分 VLAN實(shí)際上是將某些工作站和服務(wù)器劃屬于某個(gè) VLAN。事實(shí)上，該 VLAN是一些 MAC地址的 集合。當(dāng)設(shè)備移動(dòng)時(shí)， VLAN能夠自動(dòng)識(shí)別。網(wǎng)絡(luò)管理需要管理和配置設(shè)備的 MAC地址，顯然當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時(shí)，會(huì)給管理帶來難度。 基于第三層的 VLAN 基于第 3層的 VLAN是采用在路由器中常用的方法：IP子網(wǎng)和 IPX網(wǎng)絡(luò)號(hào)等。其中，局域網(wǎng)交換機(jī)允許一個(gè)子網(wǎng)擴(kuò)展到多個(gè)局域網(wǎng)交換端口，甚至允許一個(gè)端口對(duì)應(yīng)于多個(gè)子網(wǎng)。 基于 IP組播的 VLAN IP組播實(shí)際上也是一種 VLAN的定義，即認(rèn)為一個(gè)IP組播組就是一個(gè) VLAN。這種劃分的方法將 VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而 且也很容易通過路由器進(jìn)行擴(kuò)展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個(gè)VLAN，不適合局域網(wǎng)，主要是效率不高。 基于用戶定義、非用戶授權(quán)的 VLAN 基于用戶定義、非用戶授權(quán)來劃分 VLAN，是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì) VLAN，而且可以讓非 VLAN群體用戶訪問 VLAN，但是需要提供用戶密碼，在得到 VLAN管理的認(rèn)證后才可以加入一個(gè) VLAN。 基于策略的 VLAN 基于策略的 VLAN是一種比較靈活有效的 VLAN劃分方法。該方法的核心是采用什么樣的策略？目前，常用的策略有（與廠商設(shè)備的支持有關(guān)）： 按 MAC地址 按 IP地址 按以太網(wǎng)協(xié)議類型 按網(wǎng)絡(luò)的應(yīng)用等 演講完畢，謝謝觀看！