【正文】 ail服務器外部 DNS普通客戶密鑰管理中心復合型防火墻安全客戶端一般服務器1一般服務器2一般服務器3一般服務器n重要服務器1重要服務器 2重要服務器 3重要服務器 n接入/認證服務器 訪問代理漏洞掃描 /入侵檢測典型安全方案拓撲圖? 外層防火墻– 隔離 Inter和 DMZ(非軍事化區(qū)， DemilitarizedZone”(DMZ)的周邊安全網(wǎng)絡，用來區(qū)分外網(wǎng)與內(nèi)網(wǎng)）。 – IP包過濾，僅允許從 Inter到 DMZ公共服務器的訪問和經(jīng)由內(nèi)層防火墻到 Inter訪問的 IP包進出；– 實現(xiàn)地址轉(zhuǎn)換，隱藏 DMZ及內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)；– IP地址合法性檢查，防止地址欺騙；– 具備審計功能。– 同 IDS聯(lián)動 ,切斷入侵者連接? 內(nèi)層防火墻、代理服務器– 隔離 DMZ和內(nèi)部網(wǎng)；– 實現(xiàn)代理訪問型防火墻功能，支持從內(nèi)部網(wǎng)到 Inter和 DMZ的單向訪問；– 實現(xiàn)身份認證，內(nèi)部網(wǎng)訪問 Inter必須先經(jīng)過認證才能進行；– 能夠?qū)崿F(xiàn)地址轉(zhuǎn)換，隱藏內(nèi)部網(wǎng)絡拓撲結(jié)構(gòu)；– IP地址合法性檢查，防止地址欺騙；– 對網(wǎng)絡訪問進行監(jiān)控審計；– 自身對發(fā)生的攻擊行為能進行審計。– 同 IDS聯(lián)動 ,切斷入侵者連接? 入侵檢測系統(tǒng) (IDS)– 能夠?qū)崟r準確捕捉到入侵；– 能夠檢測出系統(tǒng)管理員及內(nèi)部用戶的誤操作；– 發(fā)現(xiàn)入侵能夠及時作出響應并詳細記錄審計日志– 同防火墻聯(lián)動，主動切斷入侵者連接? 安全掃描系統(tǒng)– 檢查系統(tǒng)中存在的特洛伊木馬及有漏洞程序；– 對系統(tǒng)和網(wǎng)絡進行檢測，查找可能存在的安全漏洞、配置問題并給出報告和修改建議；被動防御被動防御 主動防御主動防御基本安全基本安全 全面安全全面安全防護監(jiān)測防護監(jiān)測 誘騙取證誘騙取證可用性可用性 生存性生存性安全發(fā)展趨勢網(wǎng)絡安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) ? 方案與實施? 安全標準及安全管理? 安全標準與規(guī)范? 安全管理與檢查安全評估標準國標主要安全指標國家安全標準主要考核指標有 ：身份認證、自主訪問控制、數(shù)據(jù)完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、安全標記、可信路徑、可信恢復等。特點：這些指標涵蓋了不同級別的安全要求。信息網(wǎng)絡主要安全指標身 份 認 證： 主要考慮用戶、主機和節(jié)點的身份認證。訪 問 控 制： 采用自主訪問控制策略。數(shù)據(jù)完整性： 考慮存儲、傳輸和使用中不被篡改和泄密。審 計： 主要考慮訪問的主體、客體、時間、成敗情況等。隱 蔽 信 道： 主要考慮采用安全監(jiān)控和安全漏洞檢測來加強對 隱蔽信道的防范。安全標準及安全管理? 安全標準與規(guī)范? 安全管理與檢查技術(shù)管理根據(jù)事物發(fā)展的規(guī)律，采用合理的技術(shù)手段，對所需管理的對象進行合理的計劃、組織和控制，使之依照固有的規(guī)律最有效、最大限度地按預定的目標運行。技術(shù)管理與行政管理技術(shù)管理是基礎(chǔ)和措施，服務于行政管理。行政管理是策略和方法，通過技術(shù)措施實現(xiàn)目標。技術(shù)管理概念技術(shù)管理的必要性三分技術(shù)七分管理安全策略的制定不是技術(shù)問題，而是管理問題 缺省配置為系統(tǒng)留下安全隱患，需要管理系統(tǒng)漏洞與補丁不斷出現(xiàn)，需要管理安全檢查和評估需要需要管理手段安全系統(tǒng)運行監(jiān)控需要管理管理出效益減少故障時間預防安全事件節(jié)省維護開支技術(shù)管理的目標和內(nèi)容網(wǎng)絡管理IP地址管理非法撥號上網(wǎng)管理拓撲管理端口管理運行管理運行基本狀況監(jiān)控日志管理配置管理流量管理病毒管理授權(quán)管理事件關(guān)聯(lián)分析 技術(shù)管理的目標和內(nèi)容漏洞管理漏洞跟蹤補丁檢查特征升級人員管理人員權(quán)限管理人員行為管理人員變更管理活動帳號管理物理安全檢查物理運行環(huán)境（溫度、濕度 …)電磁兼容環(huán)境 (抗干擾、防輻射 … ）機房安防環(huán)境（防盜、防改 …)漏洞掃描檢測IP掃描端口掃描漏洞掃描補丁掃描病毒掃描安全設(shè)備運行監(jiān)控設(shè)備有效性監(jiān)控設(shè)備配置監(jiān)控日志分析突發(fā)事件監(jiān)控遠程配置和控制事件關(guān)聯(lián)性分析事件追蹤安全決策專家安全建議國家行業(yè)法規(guī) 用戶行為追蹤 行為關(guān)聯(lián)分析 網(wǎng)絡異常發(fā)現(xiàn) 安全事件告警 策略自動分配 可視安全狀態(tài) 人性操作界面 安全事件歷史安全控制分布管理集中管理 異步調(diào)用 跨平臺 開放接口 加密通信信息采集網(wǎng)絡運行狀況網(wǎng)絡流量信息 用戶行為數(shù)據(jù) 產(chǎn)品審計信息 產(chǎn)品更換升級 策略措施調(diào)整 產(chǎn)品技術(shù)公告攻擊技術(shù)公告信息安全管理的地位人管理技術(shù)預警W反擊C恢復P保護P檢測D反應R安全策略策略建立和審核過程人員策略決定需要保護什么決定哪些損失是可以接受的 列出所有潛在的風險和安全漏洞 獲得安全工具 建立物理災難恢復 ,事件響應及意外事故計 提供安全認知和實踐培訓系統(tǒng)安全增強新的系統(tǒng)總是充滿了各種安全漏洞? 打上最新軟件補丁和更新– 總是到系統(tǒng)供應商處檢查更新– 從可信站點下載 ,使用 MD5或數(shù)字簽名 (PGP)檢查? 加強口令保護? 設(shè)置系統(tǒng)審計功能? 增強文件系統(tǒng)安全– 文件系統(tǒng)監(jiān)控– 文件自動恢復? 安全配置各種網(wǎng)絡服務? 其他安全考慮Windows 安全管理? 操作系統(tǒng)更新政策– 安裝最新版本的補丁 ServicePack。– 安裝相應版本所有的 hotfixes– 跟蹤最新的 SP和 hotfix? 病毒防范– 安裝防病毒軟件，及時更新特征庫– 政策與用戶的教育：如何處理郵件附件、如何使用下載軟件等? 賬號和口令管理– 口令安全策略 :有效期、最小長度、字符選擇– 賬號登錄失敗 n次鎖定– 關(guān)閉缺省賬號， guest,AdministratorWindows 安全管理? Windows服務管理– TerminalServer? 中文輸入法缺陷– 網(wǎng)絡共享? Nimda等一些蠕蟲和和病毒– IIS? UNICODE(nimda、 CodeBlue…)? IndexService(CRI、 CRII)Windows 安全管理? 文件系統(tǒng)與共享190。 系統(tǒng)分區(qū)的權(quán)限設(shè)置190。 如果不想提供共享服務，關(guān)閉 Server、 puterbrowser服務190。 確保共享的目錄分配了合適的訪問權(quán)限190。 重要文件的備份? 局域網(wǎng)防火墻– 配置防火墻 /路由器，封鎖不必要的端口： TCPport135,137,139andUDPport138.? 基于主機的訪問控制– Windows2023自帶– 個人防火墻? 注冊表安全– 不顯示上次登錄的用戶名– 對普通用戶隱藏 shutdown按鈕– 限制遠程注冊表瀏覽– 限制軟驅(qū)和光驅(qū)的遠程訪問? 審計功能– 三個方面的操作審計，缺省是關(guān)閉的? 用戶： logon/logoff,restart,shutdown? 文件和目錄：讀、寫、執(zhí)行、刪除、改變權(quán)限? 注冊表的修改Windows 安全管理? 相應版本的所有補丁? 賬號與口令? 關(guān)閉缺省賬號和口令： lp,shutdown等? shadowpasswd? 用 crack/john等密碼破解工具猜測口令? （配置一次性口令）? 網(wǎng)絡服務的配置： /etc/,/etc/*? TFTP服務 get/etc/passwd? 匿名 ftp的配置? 關(guān)閉 rsh/rlogin/rexec服務? 關(guān)閉不必要的 rpc服務? 關(guān)閉 telUnix安全管理Unix安全管理? 操作系統(tǒng)更新– Solaris： – Redhat： up2date? 常見安全問題– Solaris? 各種 RPC服務路由器安全管理? 關(guān)閉源路由 ,以避免 IP欺騙? 在路由器上 ,禁止 TCP和 UDP端口 137 138,139 以及其他不會用到的 TCP/UDP端口 ,禁止不需要的協(xié)議? 路由器只是原始的網(wǎng)絡安全設(shè)備– 它不跟蹤 TCP連接狀態(tài)– 它也沒有日志機制來檢測入侵企圖– 包過濾規(guī)則難以設(shè)置路由器安全管理? 關(guān)閉沒有必要的服務– smallTCPnoservicetcpsmallservers:echo/chargen/discard– finger,ntp– 鄰機發(fā)現(xiàn)服務（ cdp） ? 審計– SNMP認證失敗信息，與路由器連接信息： Trap– 系統(tǒng)操作日志： systemlogging:console,Unixsyslogd,– 違反訪問控制鏈表的流量? 操作系統(tǒng)更新– 路由器 IOS與其他操作系統(tǒng)一樣也有 BUG怎樣檢測系統(tǒng)入侵? 察看登錄用戶和活動進程– w,who,finger,last命令– ps,crash? 尋找入侵的痕跡– /var/log/syslog， /var/adm/messages,~/.history– 查找最近被修改的文件 ： find? 檢測 sniffer程序– ifconfig,cpm最終用戶安全? 安全訓練– 提高安全意識 ,了解網(wǎng)絡安全策略? 工作站安全– 保護敏感信息? 備份 ,加密 ,加鎖– 默認外來文件都是有害的– 選取合適口令? 瀏覽器選擇及配置– 強加密– Cookie,JavaApplet,Javascript,ActiveX等的使用? 正確處理電子郵件– 加密 ,數(shù)字簽名演講完畢，謝謝觀看！