【正文】 Javascript,cpm最終用戶安全? 安全訓(xùn)練– 提高安全意識(shí) ,了解網(wǎng)絡(luò)安全策略? 工作站安全– 保護(hù)敏感信息? 備份 ,加密 ,加鎖– 默認(rèn)外來文件都是有害的– 選取合適口令? 瀏覽器選擇及配置– 強(qiáng)加密– Cookie,Java程序– ifconfig,crash? 尋找入侵的痕跡– /var/log/syslog， /var/adm/messages,命令– psfinger與其他操作系統(tǒng)一樣也有 BUG怎樣檢測(cè)系統(tǒng)入侵? 察看登錄用戶和活動(dòng)進(jìn)程– w,syslogd,console,Trap– 系統(tǒng)操作日志： system? 審計(jì)– SNMP//tcpsmallservers:TCPno服務(wù)? 關(guān)閉 tel服務(wù)? 關(guān)閉不必要的 get/etc/*? TFTP/etc/,passwd? 用 crackshutdown? 文件和目錄：讀、寫、執(zhí)行、刪除、改變權(quán)限? 注冊(cè)表的修改Windows 安全管理? 相應(yīng)版本的所有補(bǔ)丁? 賬號(hào)與口令? 關(guān)閉缺省賬號(hào)和口令： lp,restart/log2023自帶– 個(gè)人防火墻? 注冊(cè)表安全– 不顯示上次登錄的用戶名– 對(duì)普通用戶隱藏 shutdown138.UDP139135, 重要文件的備份? 局域網(wǎng)防火墻– 配置防火墻 /路由器，封鎖不必要的端口： TCP服務(wù)190。、 puter 系統(tǒng)分區(qū)的權(quán)限設(shè)置190。I、 CR(Blue…)? IndexServer? 中文輸入法缺陷– 網(wǎng)絡(luò)共享? Nimda等一些蠕蟲和和病毒– IIS? UNICODEhotfix? 病毒防范– 安裝防病毒軟件，及時(shí)更新特征庫– 政策與用戶的教育：如何處理郵件附件、如何使用下載軟件等? 賬號(hào)和口令管理– 口令安全策略 :有效期、最小長度、字符選擇– 賬號(hào)登錄失敗 n次鎖定– 關(guān)閉缺省賬號(hào)， guest,和 Pack。IP掃描端口掃描漏洞掃描補(bǔ)丁掃描病毒掃描安全設(shè)備運(yùn)行監(jiān)控設(shè)備有效性監(jiān)控設(shè)備配置監(jiān)控日志分析突發(fā)事件監(jiān)控遠(yuǎn)程配置和控制事件關(guān)聯(lián)性分析事件追蹤安全決策專家安全建議國家行業(yè)法規(guī) 用戶行為追蹤 行為關(guān)聯(lián)分析 網(wǎng)絡(luò)異常發(fā)現(xiàn) 安全事件告警 策略自動(dòng)分配 可視安全狀態(tài) 人性操作界面 安全事件歷史安全控制分布管理集中管理 異步調(diào)用 跨平臺(tái) 開放接口 加密通信信息采集網(wǎng)絡(luò)運(yùn)行狀況網(wǎng)絡(luò)流量信息 用戶行為數(shù)據(jù) 產(chǎn)品審計(jì)信息 產(chǎn)品更換升級(jí) 策略措施調(diào)整 產(chǎn)品技術(shù)公告攻擊技術(shù)公告信息安全管理的地位人管理技術(shù)預(yù)警W反擊C恢復(fù)P保護(hù)P檢測(cè)D反應(yīng)R安全策略策略建立和審核過程人員策略決定需要保護(hù)什么決定哪些損失是可以接受的 列出所有潛在的風(fēng)險(xiǎn)和安全漏洞 獲得安全工具 建立物理災(zāi)難恢復(fù) ,機(jī)房安防環(huán)境（防盜、防改 …)物理運(yùn)行環(huán)境（溫度、濕度 …)活動(dòng)帳號(hào)管理物理安全檢查人員行為管理特征升級(jí)漏洞跟蹤授權(quán)管理流量管理日志管理運(yùn)行管理端口管理拓?fù)涔芾矸欠〒芴?hào)上網(wǎng)管理節(jié)省維護(hù)開支技術(shù)管理的目標(biāo)和內(nèi)容網(wǎng)絡(luò)管理減少故障時(shí)間行政管理是策略和方法，通過技術(shù)措施實(shí)現(xiàn)目標(biāo)。技術(shù)管理與行政管理安全標(biāo)準(zhǔn)及安全管理? 安全標(biāo)準(zhǔn)與規(guī)范? 安全管理與檢查技術(shù)管理審 計(jì)： 主要考慮訪問的主體、客體、時(shí)間、成敗情況等。訪 問 控 制： 采用自主訪問控制策略。這些指標(biāo)涵蓋了不同級(jí)別的安全要求。身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問控制、安全標(biāo)記、可信路徑、可信恢復(fù)等。– 同 IDS聯(lián)動(dòng) ,切斷入侵者連接? 入侵檢測(cè)系統(tǒng) (IDS)– 能夠?qū)崟r(shí)準(zhǔn)確捕捉到入侵；– 能夠檢測(cè)出系統(tǒng)管理員及內(nèi)部用戶的誤操作；– 發(fā)現(xiàn)入侵能夠及時(shí)作出響應(yīng)并詳細(xì)記錄審計(jì)日志– 同防火墻聯(lián)動(dòng)，主動(dòng)切斷入侵者連接? 安全掃描系統(tǒng)– 檢查系統(tǒng)中存在的特洛伊木馬及有漏洞程序；– 對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行檢測(cè)，查找可能存在的安全漏洞、配置問題并給出報(bào)告和修改建議；被動(dòng)防御被動(dòng)防御 主動(dòng)防御主動(dòng)防御基本安全基本安全 全面安全全面安全防護(hù)監(jiān)測(cè)防護(hù)監(jiān)測(cè) 誘騙取證誘騙取證可用性可用性 生存性生存性安全發(fā)展趨勢(shì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)概述? ? ? ? 術(shù) – IP包過濾，僅允許從 Inter到 DMZ公共服務(wù)器的訪問和經(jīng)由內(nèi)層防火墻到 Inter訪問的 IP包進(jìn)出；– 實(shí)現(xiàn)地址轉(zhuǎn)換，隱藏 DMZ及內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；– IP地址合法性檢查，防止地址欺騙；– 具備審計(jì)功能。的周邊安全網(wǎng)絡(luò)，用來區(qū)分外網(wǎng)與內(nèi)網(wǎng)）。Zone”Zone)? 作為企業(yè)內(nèi)部網(wǎng)路與外部網(wǎng)路的緩衝區(qū)? 制訂不同的保全政策 DMZ應(yīng)用結(jié)構(gòu)? 根據(jù)安全需求，把網(wǎng)絡(luò)劃分成三部分：外網(wǎng)（ Inter）、DMZ區(qū)（對(duì)外服務(wù)器子網(wǎng)）、內(nèi)網(wǎng)（不對(duì)外的服務(wù)器子網(wǎng)、開發(fā)子網(wǎng)）? DMZ? 方案與實(shí)施? 企業(yè)級(jí)安全 總體規(guī)劃安全 業(yè)務(wù)調(diào)度安全 安全政策法規(guī)功能設(shè)計(jì)安全 職能劃分安全應(yīng)用級(jí)安全 文件安全 目錄安全 數(shù)據(jù)安全 郵件安全 群件安全 事件安全系統(tǒng)級(jí)安全 操作系統(tǒng)安全 用戶管理安全分布系統(tǒng)管理安全 故障診斷 系統(tǒng)監(jiān)控安全 網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)平臺(tái)安全網(wǎng)絡(luò)級(jí)安全 ...信息傳輸安全 路由安全廣域網(wǎng)安全 節(jié)點(diǎn)安全協(xié)議安全鏈路安全物理安全安全層次結(jié)構(gòu)安全設(shè)計(jì)方法安全設(shè)計(jì)方法 邏輯層設(shè)計(jì)邏輯層設(shè)計(jì) 最小實(shí)體保護(hù)最小實(shí)體保護(hù) 產(chǎn)品與技術(shù)分離產(chǎn)品與技術(shù)分離Inter網(wǎng)絡(luò)安全技術(shù) (1)? 安全內(nèi)核技術(shù)– 安全等級(jí)制? 身份鑒別技術(shù)– Kerberos? Web安全技術(shù)– SSL– SHTTP? SOCKS協(xié)議? 網(wǎng)絡(luò)反病毒技術(shù)? 防火墻技術(shù)– 動(dòng)態(tài) IP過濾技術(shù)– IP分片過濾技術(shù)– IP欺騙保護(hù)– 地址轉(zhuǎn)換– 訪問控制? 保密網(wǎng)關(guān)技術(shù)– 面向信息與面向客戶– 綜合安全與保密策略實(shí)現(xiàn)Inter網(wǎng)絡(luò)安全技術(shù) (2)? ISO74982， 信息安全體系結(jié)構(gòu)– ，確立了基于 OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)? 五大類安全服務(wù) (鑒別、訪問控制、保密性、完整性、抗否認(rèn)）? 八類安全機(jī)制 (加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制、公證）? OSI安全管理安全方案設(shè)計(jì)要素明確的需求分析 合理的設(shè)計(jì)原則可信的安全等級(jí) 良好的指導(dǎo)方法全面的理論模型 正確的技術(shù)選擇可靠的支撐產(chǎn)品 實(shí)用的功能性能可行的評(píng)價(jià)措施 完善的管理手段長遠(yuǎn)的維護(hù)升級(jí) 防火墻入侵檢測(cè)漏洞掃描管理中心測(cè)評(píng)工具反病毒安全信息產(chǎn)品目前的安全狀況 產(chǎn)品分布總產(chǎn)值： 26億（ 2023年）? ? ? ?? ? 等；IPSec提供的服務(wù)? IPSec在 IP層提供安全服務(wù)，使得系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需任何加密密鑰。描述密鑰管理模式；DOI(解釋域 ):其它相關(guān)文檔，批準(zhǔn)的加密和認(rèn)證算法標(biāo)識(shí)，以及運(yùn)行參數(shù)描述將各種不同加密算法用于 ESP的文檔；認(rèn)證算法： 使用 ESP進(jìn)行包加密的報(bào)文包格式和一般性問題；加密算法： 可選的認(rèn)證；AH： 使用 ESP進(jìn)行包加密的報(bào)文包格式和一般性問題，以及，Securityheader認(rèn)證的擴(kuò)展報(bào)頭稱為 AH(Authentication? 彌補(bǔ) IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足體系結(jié)構(gòu)ESP協(xié)議 AH協(xié)議加密算法 加密算法DOI密鑰管理IPSec 體 系 結(jié) 構(gòu)對(duì)上述特征的支持在 IPv6中是強(qiáng)制的，在 IPv4中是可選的。無須訓(xùn)練用戶。不必改變用戶或服務(wù)器系統(tǒng)上的軟件。? 在防火墻中實(shí)現(xiàn) IPSec可以防止 IP旁路。 ?端到端（ endend):主機(jī)到主機(jī)的安全通信 ?端到路由（ endrouter):主機(jī)到路由設(shè)備之間的 安全通信 ?路由到路由（ routerrouter):路由設(shè)備之間的 安全通信，常用于在兩個(gè)網(wǎng)絡(luò)之間建立虛擬專用 網(wǎng) (VPN)IPSec的應(yīng)用方式 IPSec的好處? 在防火墻或路由器中實(shí)現(xiàn)時(shí)，可以對(duì)所有跨越周界的流量實(shí)施強(qiáng)安全性。? IPSec的主要特征是可以支持 IP級(jí)所有 流量的加密和 /或認(rèn)證。– 與合作伙伴建立 extra與 intra的互連。 (Secure? 1995年 8月公布了一系列關(guān)于 IPSec的建議標(biāo)準(zhǔn)? 1996年， IETF公布下一代 IP的標(biāo)準(zhǔn) IPv6 ， 把鑒別 和加密作為必要的特征， IPSec成為其必要的組成 部分? 幸運(yùn)的是， IPv4也可以實(shí)現(xiàn)這些安全特性 。IP協(xié)議? 缺乏對(duì)通信雙方身份真實(shí)性的鑒別能力? 缺乏對(duì)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù)的機(jī)制? 由于 IP地址可軟件配置以及基于源 IP地址的鑒 別機(jī)制， IP層存在： 業(yè)務(wù)流被監(jiān)聽和捕獲、 IP地址欺騙、信息泄露 和數(shù)據(jù)項(xiàng)篡改等攻擊無連接（ connectionless)： IP并不維護(hù)關(guān)于連續(xù)發(fā)送的數(shù)據(jù)報(bào)的任何狀態(tài)信息。錯(cuò)誤處理辦法：扔掉該數(shù)據(jù)報(bào)，向其發(fā)送著傳送一個(gè) ICMP消息。IP是 TCP/IP協(xié)議族中至關(guān)重要的組成部分 , 但它提供的是一種不可靠、無連接的的數(shù)據(jù)報(bào)傳輸服務(wù)?? 安全 VPN建設(shè)： 建議由企業(yè)自身建設(shè)，采用隧道技術(shù)和密碼技術(shù)相結(jié)合的 VPN網(wǎng)絡(luò)設(shè)備，同時(shí)應(yīng)該建立完善的管理系統(tǒng)。 第三種是 ISP和企業(yè)共同建設(shè)。 一種是企業(yè)自身建設(shè)，對(duì) ISP透明；252。 ? 易管理：專屬 VPN設(shè)備架構(gòu)必須更改現(xiàn)有網(wǎng)路組態(tài)，大部份的 VPN設(shè)備都支援 SNMP管理，如真的發(fā)生問題時(shí)您可透過網(wǎng)管軟體來控制。尤其在需大量運(yùn)算如 TripleDES等的應(yīng)用時(shí)將使 CPU的資源更雪上加霜。有些廠商會(huì)將使用者身份辨識(shí)與既有的身份辨識(shí)服務(wù) (RADIUS)連在一起。MAC地址綁定訪問控制技術(shù)VPN實(shí)施方式n以現(xiàn)有 Router昇級(jí)為 VPN Router? 架構(gòu)簡單：由於 Router昇級(jí)在現(xiàn)有 網(wǎng)絡(luò)結(jié)構(gòu) 不變下，對(duì) IT管理者來說，可說是最簡單的。應(yīng)用層代理252。承載協(xié)議 —— 承載經(jīng)過封裝后的數(shù)據(jù)包的協(xié)議，如 IP和 ATM等 安全隧道技術(shù)? 防火墻技術(shù)252。乘客協(xié)議 —— 被封裝的協(xié)議，如 PPP、 SLIP； 252。隧道開通器（ TI）252。VPN關(guān)鍵技術(shù)? 密碼技術(shù)? 安全隧道技術(shù)? 身份認(rèn)證技術(shù)? 訪問控制技術(shù)密碼技術(shù)? 對(duì)稱密碼算法 ： DES、 3DES、 國家專用算法? 非對(duì)稱密碼算法 ： RSA、 DSA、 橢圓曲線? 摘要算法 ： MD SHA? 摘要簽名算法 ： HMACMD HMACSHA、 國家專用算法? 隧道是在公用 IP網(wǎng)中建立邏輯點(diǎn)到點(diǎn)連接的一種方法，是一個(gè)疊加在 IP網(wǎng)上的傳送通道。? 撥號(hào) VPN(VPDN)VPN用戶通過 PSTN或 ISDN撥號(hào)線路接入 VPN網(wǎng)絡(luò)，它具有接入范圍廣，建設(shè) VPN投資少，建設(shè)周期短，運(yùn)行費(fèi)用低等優(yōu)點(diǎn)。在這個(gè)網(wǎng)絡(luò)內(nèi)，屬于某一個(gè)管理者的用戶站點(diǎn)，由于業(yè)務(wù)的需求要與多個(gè)屬于其他管理者的用戶站點(diǎn)進(jìn)行有限制的連接。目前Intra VPN是 VPN應(yīng)用最主要的形式。按隧道位置分類? Intra VPN Intra VPN即企業(yè)內(nèi)部網(wǎng)或內(nèi)聯(lián)網(wǎng)。 其中， CE可通過 ATM VCC、 幀中繼電路、 DDN專線等接入服務(wù)提供商網(wǎng)絡(luò)。一般指由電信提供商提供 VPN和 VPDN服務(wù)。 N 即 Network， 表示這是一種專門組網(wǎng)技術(shù)和服務(wù)，企業(yè)為了建立和使用 VPN必須