【正文】 技術(10).安全備份和系統(tǒng)災難恢復數(shù)據(jù)完整性控制技術? 數(shù)據(jù)完整性控制技術 :是指 能識別有效數(shù)據(jù) 的一部分或全部信息被篡改的技術。數(shù)據(jù)完整性控制技術可發(fā)現(xiàn)數(shù)據(jù)的非法修改，從而使用戶不會被非法數(shù)據(jù)所欺騙。數(shù)據(jù)完整性控制包括 文件系統(tǒng)完整性控制 及 網(wǎng)絡傳輸信息的完整性。? 文件系統(tǒng)完整性控制 :檢測系統(tǒng)關鍵應用程序、重要數(shù)據(jù)的完整性， 以免被非法修改。 TRIPWIRE就是這樣一個文件系統(tǒng)完整性檢查器。 ? 網(wǎng)上傳輸信息的完整性控制 :可通過報文認證和通信完整性控制來實現(xiàn)。報文認證是將報文各字段（域）通過一定的操作組成一個約束值，稱為該報文的完整性檢測向量ICV。將它與數(shù)據(jù)封裝在一起進行加密，接收方收到數(shù)據(jù)后解密并計算 ICV，若與明文中的 ICV字段不同，則認為此報文無效。 常用的安全防護措施(1).數(shù)據(jù)加密技術(2).訪問控制(3).認證技術(4).數(shù)據(jù)完整性控制技術(5).安全漏洞掃描技術(6).防火墻與 VPN技術(7).入侵檢測技術(8).防病毒技術(9).安全審記與日志分析技術(10).安全備份和系統(tǒng)災難恢復安全漏洞掃描技術 (1)l 漏洞 : 是指 任意的允許非法用戶 未經(jīng)授權獲得 訪問 或提高其訪問層次的硬件或 軟件特征 。漏洞就是某種形式的脆弱性 。(1).外部的攻擊者 主要是利用了系統(tǒng)提供的網(wǎng)絡服務中的脆弱性；(2).內(nèi)部的攻擊者 則利用系統(tǒng)內(nèi)部服務及其配置上的脆弱性；(3).拒絕服務攻擊 主要是利用 資源分配 上的脆弱性，長期占用有限資源不釋放，使其它用戶得不到正常的服務，或者是利用服務中的漏洞，使該服務崩潰。安全漏洞掃描技術 (2)l 不存在 完美無缺 的系統(tǒng)，任何東西都是有 漏洞 的。l 漏洞掃描 : 是自動檢測遠端或本地主機安全脆弱點的技術，它通過對系統(tǒng) 當前的狀況 進行掃描、分析，找出系統(tǒng)中存在的 各種脆弱性 ，在此基礎上進一步考慮脆弱性的修補與消除。l 漏洞掃描實際上是進行一次 沒有危害 的攻擊。安全掃描的概念理解? 安全掃描 就是對計算機系統(tǒng)或者其它網(wǎng)絡設備進行安全相關的檢測，以找出安全隱患和可被黑客利用的漏洞。? 安全掃描軟件是把 雙刃劍 ，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。因此，安全掃描是保證系統(tǒng)和網(wǎng)絡安全必不可少的手段，必須仔細研究利用。 利用網(wǎng)絡安全評估系統(tǒng)對網(wǎng)絡進行安全評估DMZ EMail File Transfer HTTPIntra生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼安全弱點掃描通訊通訊 應用服務層應用服務層利用系統(tǒng)安全評估軟件進行可適應性安全弱點監(jiān)測和響應DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡企業(yè)網(wǎng)絡生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼安全弱點掃描操作系統(tǒng)層操作系統(tǒng)層網(wǎng)絡安全評估系統(tǒng)對于 DMZ區(qū)域的檢測DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡企業(yè)網(wǎng)絡生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼應用程序?qū)討贸绦驅(qū)影踩觞c掃描市場部工程部router開發(fā)部ServersFirewall安全掃描的使用正確認識安全掃描軟件? 不能彌補由于 認證機制薄弱 帶來的問題? 不能彌補由于 協(xié)議本身 的問題? 不能處理所有的 數(shù)據(jù)包攻擊 ，當網(wǎng)絡繁忙時它也 分析不了 所有的數(shù)據(jù)流? 當受到攻擊后要 進行調(diào)查 ，離不開安全專家的參與選擇安全掃描產(chǎn)品應注意的問題 ? 升級問題升級問題 ? 可擴充性可擴充性 ? 全面的解決方案全面的解決方案 ? 人員培訓人員培訓常用的安全防護措施(1).數(shù)據(jù)加密技術(2).訪問控制(3).認證技術(4).數(shù)據(jù)完整性控制技術(5).安全漏洞掃描技術(6).防火墻與 VPN技術(7).入侵檢測技術(8).防病毒技術(9).安全審記與日志分析技術(10).安全備份和系統(tǒng)災難恢復防火墻技術l 防火墻 : 是指安裝在內(nèi)部網(wǎng)絡與 Inter之間或者網(wǎng)絡與網(wǎng)絡之間的可以限制相互訪問的一種的安全保護措施。防火墻是在被保護網(wǎng)絡周邊建立的、分隔被保護網(wǎng)絡與外部網(wǎng)絡的系統(tǒng)，它在內(nèi)部網(wǎng)與外部網(wǎng)之間形成了一道安全保護屏障。它在網(wǎng)絡中所處的位置如圖下圖所示： ? 訪問 控制? 認證? NAT?流量管理常用的安全防護措施－防火墻防火墻技術l 當前比較成熟的防火墻實現(xiàn)技術從層次上主要有以下兩種： 包過濾 和 應用層網(wǎng)關。l 包過濾技術 主要在 IP層實現(xiàn)。它根據(jù) 包頭中所含的信息如源地址、目的地址等 來判斷其能否通過?，F(xiàn)在也有可以分析數(shù)據(jù)包內(nèi)容的智能型包過濾器。l 與包過濾相比， 應用層網(wǎng)關 在通信協(xié)議棧的更高層操作，提供更為安全的選項。它通常由兩部分組成： 代理服務器 和 篩選路由器 。 防火墻的體系結(jié)構? 主流防火墻技術：– 狀態(tài)檢測包過濾技術– 應用代理技術? 目前市場上主流產(chǎn)品的形態(tài)：– 集成了狀態(tài)檢測包過濾和應用代理的混合型產(chǎn)品簡單包過濾? PacketFilter 優(yōu)點：? 速度快，性能高? 對應用程序透明? 實現(xiàn)簡單缺點：? 安全性比較差? 伸縮性差? 維護不直觀從 段到 Inter的HTTP訪問？放行 /禁止通行！應用網(wǎng)關（代理）型? Proxy 優(yōu)點：? 安全性非常高? 提供應用層的安全? 提供用戶級的控制缺點：? 性能很差? 只支持有限的應用? 對用戶不透明? 安全性依賴于底層OS? 一般用于代理內(nèi)部網(wǎng) 到外部網(wǎng)的訪問想從內(nèi)部網(wǎng)訪問外部的服務器？我?guī)湍惆l(fā)請求吧。狀態(tài)檢測技術? StatefulInspection防火墻具有以下優(yōu)點：防火墻通過 過濾不安全的服務， 可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險；u它可以提供對系統(tǒng)的 訪問控制， 如允許從外部訪問某些主機，同時禁止訪問另外的主機；u阻止 攻擊者獲取攻擊網(wǎng)絡系統(tǒng) 的有用信息，如 Finger和 DNS；u防火墻可以 記錄和統(tǒng)計通過它的網(wǎng)絡通訊 ，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測；u防火墻 提供制定 和執(zhí)行 網(wǎng)絡安全策略 的手段，它可對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，它定義的安全規(guī)則可運用于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。防火墻具有以下缺點：入侵者可以尋找防火墻背后可能敞開的 后門而繞過防火墻 .? 防火墻完全 不能阻止內(nèi)部攻擊 ,對于企業(yè)內(nèi)部心懷不滿的員工來說防火墻形同虛設 .? 由于性能的限制 ,防火墻通常 不能提供實時的入侵檢測能力 .? 防火墻對于 病毒也束手無策 的 .? 防火墻 無法有效地解決自身 的安全問題 .? 防火墻無法做到 安全與速度 的同步提高 ,一旦考慮到安全因素而對 網(wǎng)絡流量 進行深入的決策和分析 ,那么網(wǎng)絡的運行速度勢必會受到影響 .? 防火墻是一種 靜態(tài)的安全技術 ,需要人工來實施和維護 ,不能主動跟蹤入侵者。VPN的基本技術Inter開放互聯(lián)網(wǎng)絡的帶來的安全風險路由器內(nèi)部網(wǎng)Web、 Mail服務器等因特網(wǎng)入侵者攻擊路由器 進行竊聽分支機構正常的通信流為什么我工資比他少 500他們的標書拿到了又攻破了一個站點內(nèi)部人員使用監(jiān)聽工具竊聽PSTNEDI移動用戶分支機構網(wǎng)站合作伙伴傳統(tǒng)訪問私有公共RAS私有VANFrameRelayVPN最大優(yōu)勢 投資回報? 大幅度減少電信服務費用，尤其針對地域上分散的公司和企業(yè)大幅度減少電信服務費用，尤其針對地域上分散的公司和企業(yè)? 針對遠程撥號上網(wǎng)訪問的用戶，省去了每個月的電信費用針對遠程撥號上網(wǎng)訪問的用戶，省去了每個月的電信費用? 采用采用 VPN, 公司公司 /企業(yè)中當前使用的企業(yè)中當前使用的 Modem Pool將永遠退休將永遠退休到到 2023年，按企業(yè)年，按企業(yè) /組織規(guī)模大小，實施組織規(guī)模大小，實施 VPN比例將達到：比例將達到：57% 大型企業(yè)大型企業(yè)55% 中心企業(yè)中心企業(yè)51% 小型企業(yè)小型企業(yè) 來源 : Infoics Research安全的，統(tǒng)一的通信移動用戶分支機構網(wǎng)站合作伙伴VPNVPN(Virtual Private Network) 它指的是以公用開放的網(wǎng)絡它指的是以公用開放的網(wǎng)絡 (如如Inter)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡流量來保護作為基本傳輸媒體，通過加密和驗證網(wǎng)絡流量來保護在公共網(wǎng)絡上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終在公共網(wǎng)絡上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡用戶提供類似于私有網(wǎng)絡 (Private Network)性能的網(wǎng)絡服務技性能的網(wǎng)絡服務技術。術。遠程訪問Internet內(nèi)部網(wǎng)分支機構虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴常用的安全防護措施(1).數(shù)據(jù)加密技術(2).訪問控制(3).認證技術(4).數(shù)據(jù)完整性控制技術(5).安全漏洞掃描技術(6).防火墻與 VPN技術(7).入侵檢測技術(8).防病毒技術(9).安全審記與日志分析技術(10).安全備份和系統(tǒng)災難恢復什么是入侵檢測? 對入侵 行為 的發(fā)覺，通過對計算機網(wǎng) 絡或計算機系統(tǒng)中得若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違 反安全策略的行為和被攻擊的跡象。入侵檢測的主要功能? 監(jiān)測并 分析用戶和系統(tǒng) 的活動；? 核查系統(tǒng) 配置和漏洞 ；? 評估系統(tǒng) 關鍵資源 和 數(shù)據(jù)文件 的完整性；? 識別已知的 攻擊行為 ；? 統(tǒng)計分析 異常行為 ；? 操作系統(tǒng) 日志管理 ，并識別違反安全策略的用戶活動。 入侵檢測的分類? 基于網(wǎng)絡的入侵檢測基于網(wǎng)絡的入侵檢測系統(tǒng)使用原始網(wǎng)絡包作為數(shù)據(jù)源 。基于網(wǎng)絡的 IDS通常利用一個運行在隨機模式下的網(wǎng)絡適配器來實時監(jiān)視并分析通過網(wǎng)絡的所有通信業(yè)務。 ? 基于主機的入侵檢測往往以系統(tǒng)日志、 應用程序日志 等作為數(shù)據(jù)源，當然也可以通過其他手 段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信 息進行分析。主機型入侵檢測系統(tǒng)保護的一般是 所在的系統(tǒng)。 檢測方式的介紹? 異常檢測 ：異常檢測的假設是入侵者活動異常于正常主體的活動，建立正?；顒拥?“活動簡檔 ”，當前主體的活動違反其統(tǒng)計規(guī)律時，認為可能是 “入侵 ”行為。 ? 特征檢測 ：特征檢測假設入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。 網(wǎng)絡入侵檢測產(chǎn)品的架構? 傳感器 (Sensor)傳感器負責采集數(shù)據(jù) (網(wǎng)絡包、系統(tǒng)日志等 )、分析數(shù)據(jù)并生成安全事件。? 控制臺 (Console)?？刂婆_主要起到中央管理的作用，商品化的產(chǎn)品通常提供圖形界面的控制臺，這些控制臺基本上都支持WindowsNT平臺。利用入侵檢測保護網(wǎng)絡應用DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡企業(yè)網(wǎng)絡生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼外部攻擊外部攻擊警告警告 !記錄攻擊外部攻擊外部攻擊終止連接利用入侵檢測保護網(wǎng)絡應用DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡企業(yè)網(wǎng)絡生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼內(nèi)部攻擊行為內(nèi)部攻擊行為警告警告 !啟動事件日志 ,發(fā)送消息利用入侵檢測保護網(wǎng)絡應用DMZ EMail File Transfer HTTPIntra企業(yè)網(wǎng)絡企業(yè)網(wǎng)絡生產(chǎn)部生產(chǎn)部工程部工程部市場部市場部人事部人事部路由路由Inter中繼中繼外部攻擊外部攻擊商務伙伴警告警告 !記錄進攻 ,發(fā)送消息 ,終止連接外部攻擊外部攻擊中止連接重新配置重新配置路由或防火墻以便隱藏 IP地址IDS系統(tǒng)的目的? 防范透過防火墻的入侵– 利用應用系統(tǒng)漏洞及后門實施的入侵– 利用防火墻配置失誤實施的入侵? 防范來自內(nèi)部網(wǎng)的入侵– 內(nèi)部網(wǎng)的攻擊占總的攻擊事件的 80%– 沒有監(jiān)測的內(nèi)部網(wǎng)是內(nèi)部人員的 “自由王國 ”? 對網(wǎng)絡行為的審計，防范無法自動識別的惡意破壞入侵檢測系統(tǒng) FirewallServersDMZIDS AgentIntra監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDS Agent入侵檢測系統(tǒng)的作用? 實時檢測– 實時地監(jiān)視、分析網(wǎng)絡 中所有的數(shù)據(jù)報文– 發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文? 安全審計– 對 系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析– 發(fā)現(xiàn) 異?，F(xiàn)象– 得出 系統(tǒng)的安全狀態(tài)