实现远程访问安全.ppt

实现远程访问安全 赵翔北京中达金桥技术服务有限公司 标题 脆弱的网络 网络本身的脆弱性病毒 蠕虫泛滥攻击时间越来越多攻击方法越来越多网络信息资源的风险人为因素 黑客常用的攻击手段 网络监听数据篡改欺骗中间人攻击密码破解缓冲区溢出 什么是纵深防御 使用分层的方法 增加攻击者被检测到的风险降低攻击者的成功几率 边缘防御的目的和限制 正确配置的防火墙和边界路由器是边缘安全的基础Internet和移动性增加了安全风险VPN使边缘变得脆弱 并与无线联网一起在本质上造成了网络边缘的传统概念的消失传统的数据包筛选防火墙只阻止针对网络端口和计算机地址的攻击现今大多数攻击都发生在应用程序层 企业应用移动化原有的应用系统 移动能力 高效的移动信息平台 设计目标 减轻非授权的使用客户信用资料的威胁减轻不可靠访问装置的威协确保用户在网络检疫期间满足所有远程访问安全的必要条件确保所有要求远程访问联接的装置不受到其它装置访问的威胁 身份认证 信息安全体系的基础 用于解决访问者的物理身份与数字身份一致性问题 给其它安全技术提供权限管理依据根据你所知道的信息来证明身份 Whatyouknow 假设某些信息只有某人知道 比如暗号等 通过询问这个信息就可以确认此人的身份 据你所拥有的物品来证明身份 Whatyouhave 假设某一物品只有某人才有 比如印章等 通过出示该物品也可以确认个人的身份 直接根据你独一无二的身体特征来证明身份 Whoyouare 如指纹 面貌等 单因子认证和双因子认证 安全性的提高防火墙等技术针对数字身份进行权限管理 解决数字身份能干什么的问题 多因子认证 Client Client DomainController Password Single factorAuthentication MultifactorAuthentication SmartCardandPINorBiometricandPassword 多因子认证使用场景 用于多因子认证的装置 可以用于实现多因子身份验证的设备 生态学设备 视网膜指纹声音DNA Tokendevices智能卡存储卡Hardwaretokens RSASecurID 在企业中使用智能卡 了解VPN隔离网络 隔离网络的标准功能包括 诸如限制或阻止获取对内部资源的访问权限的常规功能 提供一个连接级别 以允许临时访问者的计算机能有效地工作 同时又不会对内部网络带来安全性风险 当前仅适用于VPN远程访问解决方案 VPN隔离 避开防火墙检查的通信 由于SSL是加密的 因此可以穿过传统防火墙 这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器VPN通信是加密的 因此无法对其进行检查InstantMessenger IM 通信经常不会受到检查 因此可能会用于传输文件 检查所有通信 使用入侵检测和其他机制在解密了VPN通信后对其进行检查请记住 深层防御使用可以检查SSL通信的防火墙扩展防火墙的检查功能使用防火墙附件来检查IM通信 SSL检查 由于SSL是加密的 因此可以穿过传统防火墙 这就使病毒和蠕虫未经检查即可穿过防火墙并感染内部服务器 ISAServer可以解密并检查SSL通信 可以通过重新加密或明文方式将已检查的通信发送到内部服务器 保护ExchangeServer 最佳做法 使用多因子身份验证使用ISA只允许明确允许的请求的访问规则使用ISAServer的身份验证功能限制和记录Internet访问通过ISAServer发布特定的服务器实现VPN隔离使用SSL检查来检查进入网络的加密数据 使用的产品及技术 WindowsServer2003MicrosoftWindowsXPProfessionalMOM2005VPNIASISA2004StandardEditionRADIUSPKIandCertificateServicesMicrosoftSQLServer2000ConnectionManagerSmartcardtechnologies TechNet是什么 只需轻轻点击 答案就在您的指尖对于IT专业人员来说 TechNet是一个知识的宝库 你可以找到关于如何规划 部署和管理微软产品的的技术资源 每月发放包含最新信息的DVD或者CD这是最权威的资源 可以帮助你评估 配置和维护微软产品 订阅TechNet 可以访问该站点 TechNet网站 两周发放一次的中文电子快报安全更新 新的资源等等 TechNet中文电子快报 有关最新微软