【正文】 etevalue、 Xp_regenumvalues、Xp_regread、 Xp_regremovemultistring、Xp_regwrite這些擴(kuò)展存儲過程對注冊表進(jìn)行的讀寫操作 ? 除 sa外的帳號被授予 sysadmin、 db_owner和db_securityadmin、 db_backupoperator、db_accessadmin 權(quán)限的操作 DB2數(shù)據(jù)庫日志審計 ? 建議對以下項進(jìn)行審計 ? SYSADM、 SYSCTRL 和 SYSMAINT 權(quán)限的授予 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測 日志審計 AAAA認(rèn)證 VLAN技術(shù) 4A認(rèn)證技術(shù) ?4A認(rèn)證技術(shù)包括哪些？ ?為什么需要 4A認(rèn)證技術(shù)？ ?4A認(rèn)證技術(shù)的現(xiàn)狀 4A認(rèn)證包括哪些？ ?賬號（ Account ）管理 解決的是 “ 你是誰？ ” ?授權(quán)（ Authorization）管理 解決的是 “ 你能做什么？ ” ?認(rèn)證（ Authentication ）管理 解決的是 “ 怎樣管理用戶和資源？ ” ?安全審計（ Audit） 解決的是 “ 發(fā)生了什么？ ” 4A認(rèn)證邏輯結(jié)構(gòu) 4A認(rèn)證技術(shù)框架架構(gòu) 4A框架架構(gòu) ?賬號管理是將自然人與其擁有的所有系統(tǒng)賬號關(guān)聯(lián)，集中進(jìn)行管理，包括按照密碼策略自動更改密碼，不同系統(tǒng)間的賬號同步等 。 ? 對主機(jī)、網(wǎng)絡(luò)設(shè)備及應(yīng)用系統(tǒng)的賬號進(jìn)行集中管理 ?實例：因人員流動要刪除一名員工在所有系統(tǒng)中的賬號信息。 ? 未采用統(tǒng)一帳號管理可能存在的風(fēng)險：因操作失誤導(dǎo)致誤刪除或漏刪除情況的發(fā)生。 ? 采用統(tǒng)一賬號管理系統(tǒng)可以準(zhǔn)確的刪除相關(guān)賬號信息，避免操作失誤帶來的損失。 4A認(rèn)證技術(shù) 4A認(rèn)證技術(shù) ?身份認(rèn)證是信息安全的第一道防線，用以實現(xiàn)支撐系統(tǒng)對操作者身份的合法性檢查。對信息統(tǒng)中的各種服務(wù)和應(yīng)用來說，身份認(rèn)證是一個基本的安全考慮。身份認(rèn)證的方式可以有多種，包括：靜態(tài)口令方式、動態(tài)口令方式、基于公鑰證書的認(rèn)證方式以及基于各種生物特征的認(rèn)證方式。 ?實例：通過暴力破解的方式對靜態(tài)口令加密的密碼進(jìn)行破解。 ? 通過入侵檢測系統(tǒng)、 SOC安全管理平臺的報警信息進(jìn)行處理 ? 通過采用其他口令方式進(jìn)行身份認(rèn)證 4A認(rèn)證技術(shù) ?授權(quán)是指對用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理分配的技術(shù)，實現(xiàn)不同用戶對系統(tǒng)不同部分資源的訪問 ?審計是指收集、記錄用戶對支撐系統(tǒng)資源的使用情況，以便于統(tǒng)計用戶對網(wǎng)絡(luò)資源的訪問情況，并且在出現(xiàn)安全事故時，可以追蹤原因，追究相關(guān)人員的責(zé)任，以減少由于內(nèi)部計算機(jī)用戶濫用網(wǎng)絡(luò)資源造成的安全危害 4A認(rèn)證技術(shù) ?4A框架下的安全審計模塊，主要對 4A框架下其它模塊的安全記錄進(jìn)行審計 ?審計的主要內(nèi)容包括 ? 對賬號分配情況的審計 ? 對賬號授權(quán)的審計 ? 對登錄過程的審計 ? 對身份認(rèn)證的審計 ? 對登錄后用戶行為的審計 4A認(rèn)證技術(shù) ? 集中安全審計的目的 ? 發(fā)現(xiàn)、阻止私設(shè)賬號，或賬號逾期未收回 ? 發(fā)現(xiàn)、阻止賬號過度授權(quán)，或授權(quán)不足 ? 發(fā)現(xiàn)、阻止利用已經(jīng)作廢或假冒的賬號進(jìn)行登錄嘗試 ? 發(fā)現(xiàn)、阻止試圖利用合法賬號訪問未經(jīng)授權(quán)的資源 ? 將檢測到的安全事件提交給上級安全審計系統(tǒng)，輔助完成入侵檢測、故障監(jiān)測等更廣泛的審計功能 4A認(rèn)證技術(shù) ?根據(jù)日志來源分類 ? 主機(jī)系統(tǒng)日志 ? 安全產(chǎn)品日志 ? 網(wǎng)絡(luò)設(shè)備日志 ? 應(yīng)用系統(tǒng)日志 ?根據(jù)日志內(nèi)容分類 ? 訪問日志 ? 活動日志 ? 備份日志 4A認(rèn)證技術(shù) 日志系統(tǒng)安全產(chǎn)品日志 網(wǎng)絡(luò)設(shè)備日志 應(yīng)用系統(tǒng)日志主機(jī)（操作系統(tǒng)）日志W(wǎng)indows 2023其他U n i x客服計費結(jié)算決策分析Windows NTSolaris防火墻防病毒入侵監(jiān)測系統(tǒng)交換機(jī)路由器網(wǎng)管4A認(rèn)證技術(shù) ?4A一起確保合法用戶安全、方便使用特定資源。這樣既有效地保障了合法用戶的權(quán)益，又能有效地保障支撐系統(tǒng)安全可靠地運行。 為什么需要 4A認(rèn)證技術(shù) ?隨著各大電信運營商的業(yè)務(wù)網(wǎng)發(fā)展，其內(nèi)部用戶數(shù)量持續(xù)增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，安全問題不斷出現(xiàn)。而每個業(yè)務(wù)網(wǎng)系統(tǒng)分別維護(hù)一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號和口令，孤立的以日志形式審計操作者在系統(tǒng)內(nèi)的操作行為。現(xiàn)有的這種賬號口令管理、訪問控制及審計措施已遠(yuǎn)遠(yuǎn)不能滿足自身業(yè)務(wù)發(fā)展需求，及與國際業(yè)務(wù)接軌的需求。 表現(xiàn)出的問題 大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分屬不同的部門或業(yè)務(wù)系統(tǒng)，認(rèn)證、授權(quán)和審計方式?jīng)]有統(tǒng)一，當(dāng)需要同時對多個系統(tǒng)進(jìn)行操作時，工作復(fù)雜度成倍增加 一些設(shè)備和業(yè)務(wù)系統(tǒng)由廠商代維，因缺乏統(tǒng)一監(jiān)管，安全狀況不得而知 各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，缺乏統(tǒng)一的訪問控制平臺，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障 表現(xiàn)出的問題 個別賬號多人共用，擴(kuò)散范圍難以控制，發(fā)生安全事故時更難以確定實際使用者 隨著系統(tǒng)增多，用戶經(jīng)常需要在各系統(tǒng)間切換，而每次切換都需要輸入該系統(tǒng)的用戶名和口令，為不影響工作效率，用戶往往會采用簡單口令或?qū)⒍鄠€系統(tǒng)的口令設(shè)置成相同的，造成對系統(tǒng)安全性的威脅 對各個系統(tǒng)缺乏集中統(tǒng)一的訪問審計，無法進(jìn)行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為 4A認(rèn)證技術(shù)的現(xiàn)狀 早期以及現(xiàn)在絕大部分的支撐系統(tǒng)，都使用簡單的用戶名 /密碼方式來進(jìn)行訪問控制保護(hù)，這種方式主要存在以下幾方面的不足： 安全強(qiáng)度較低，難以真正保證系統(tǒng)的安全； 隨著用戶名 /密碼對的增多，用戶勢必采取一些不安全的輔助手段來記憶，從而造成這種保護(hù)形同虛設(shè)，極大降低了安全強(qiáng)度； 難以實現(xiàn)企業(yè)安全策略，造成安全保護(hù)鏈中具有眾多的薄弱環(huán)節(jié)； 極差的可伸縮性 (scalability)； 對信息資源的共享也造成了極大障礙，等等。 4A認(rèn)證技術(shù)現(xiàn)狀 ?第一個類似于現(xiàn)在所提的 4A框架的應(yīng)該算 Radius系統(tǒng) 。 ?該系統(tǒng)由 Livingston Enterprises(Lucent 的前身 )于 1992年所提出并實現(xiàn)，其核心包括了后來所提出的 AAA(Authentication, Authorization, Accounting)協(xié)議，主要用于電信行業(yè) ISP及其分銷商為用戶提供網(wǎng)絡(luò)服務(wù)，主要對網(wǎng)絡(luò)設(shè)備的有效使用進(jìn)行管理 4A認(rèn)證技術(shù) ?中國移動是我國特大型電信運營商之一，有三十多家分公司，其網(wǎng)絡(luò)規(guī)模龐大，應(yīng)用系統(tǒng)種類眾多、復(fù)雜。建設(shè) 4A框架，保證安全、高效的利用好這些網(wǎng)絡(luò)和應(yīng)用資源，提高企業(yè)的核心競爭力，是一個非常重要的課題。 目 錄 網(wǎng)絡(luò)基礎(chǔ)概念 TCP/IP協(xié)議介紹 TCP/IP協(xié)議族脆弱性分析 常見網(wǎng)絡(luò)設(shè)備及安全技術(shù) 路由器 交換機(jī) 防火墻 入侵檢測 日志審計 AAAA認(rèn)證 VLAN技術(shù) VLAN概要 ?什么是 Vlan ?Vlan的優(yōu)點 ?Vlan的分類 什么是 Vlan ?VLAN，是英文 Virtual Local Area Network的縮寫，中文名為 “ 虛擬局域網(wǎng) ” ， VLAN是一種將局域網(wǎng)（ LAN）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個個網(wǎng)段（或者說是更小的局域網(wǎng) LAN），從而實現(xiàn)虛擬工作組（單元） 的數(shù)據(jù)交換技術(shù)。 ?一方面， VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上， ?另一方面， VLAN是局域交換網(wǎng)的靈魂。 這是因為通過 VLAN用戶能方便的在網(wǎng)路中移動和快捷的組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。 VLAN示意圖 Vlan概要 ?VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征 高速、靈活、管理簡便和擴(kuò)展容易四大特點。 ?VLAN也可以不局限于某一網(wǎng)絡(luò)或物理范圍， VLAN中的用戶可以位于一個園區(qū)的任意位置，甚至是不同的國家。 Vlan的優(yōu)點 ?控制網(wǎng)絡(luò)的廣播風(fēng)暴 ?確保網(wǎng)絡(luò)安全 ?簡化網(wǎng)絡(luò)管理 Vlan分類 ?基于端口的 VLAN ?基于 MAC地址的 VLAN ?基于第三層的 VLAN ?基于 IP組播的 VLAN ?基于用戶定義、非用戶授權(quán)的 VLAN ?基于策略的 VLAN 基于端口的 VLAN 基于端口的 VLAN是劃分虛擬局域網(wǎng)最簡單也是最有效的方法，這實際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備 。 基于 MAC地址的 VLAN 由于只有網(wǎng)卡才分配有 MAC地址，因此按 MAC地址來劃分 VLAN實際上是將某些工作站和服務(wù)器劃屬于某個 VLAN。事實上，該 VLAN是一些 MAC地址的 集合。當(dāng)設(shè)備移動時， VLAN能夠自動識別。網(wǎng)絡(luò)管理需要管理和配置設(shè)備的 MAC地址，顯然當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時，會給管理帶來難度。 基于第三層的 VLAN 基于第 3層的 VLAN是采用在路由器中常用的方法：IP子網(wǎng)和 IPX網(wǎng)絡(luò)號等。其中，局域網(wǎng)交換機(jī)允許一個子網(wǎng)擴(kuò)展到多個局域網(wǎng)交換端口，甚至允許一個端口對應(yīng)于多個子網(wǎng)。 基于 IP組播的 VLAN IP組播實際上也是一種 VLAN的定義，即認(rèn)為一個IP組播組就是一個 VLAN。這種劃分的方法將 VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而 且也很容易通過路由器進(jìn)行擴(kuò)展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個VLAN，不適合局域網(wǎng)，主要是效率不高。 基于用戶定義、非用戶授權(quán)的 VLAN 基于用戶定義、非用戶授權(quán)來劃分 VLAN，是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計 VLAN，而且可以讓非 VLAN群體用戶訪問 VLAN，但是需要提供用戶密碼，在得到 VLAN管理的認(rèn)證后才可以加入一個 VLAN。 基于策略的 VLAN 基于策略的 VLAN是一種比較靈活有效的 VLAN劃分方法。該方法的核心是采用什么樣的策略？目前，常用的策略有（與廠商設(shè)備的支持有關(guān)）： 按 MAC地址 按 IP地址 按以太網(wǎng)協(xié)議類型 按網(wǎng)絡(luò)的應(yīng)用等 演講完畢，謝謝觀看！