安全01网络安全项目介绍与分析PPT课件

1、安全安全01网络安全项目介绍与分析网络安全项目介绍与分析网络安全项目介绍与分析网络安全项目介绍与分析安全安全01网络安全项目介绍与分析网络安全项目介绍与分析 了解网络安全定义和作用 了解网络面临的安全威胁 知道网络安全的脆弱性所在 知道安全策略的设计原则 学会安全性能的分析和保障设置 知识目标安全安全01网络安全项目介绍与分析网络安全项目介绍与分析技能目标 能分析具体网络所面临的威胁 能独立分析具体网络的脆弱性原因 熟练应用安全策略的设计原则 能设计正确合理的安全策略 能合理规划整体网络安全 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析相关知识点网络安全标准网络安全等级网络安全策略

2、定义和设计原则掌握数字签名技术的概念、工作原理和在电子邮件中的应用。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析d 蝴蝶设备公司现有员工58人，共有4个部门，分别是人事部门、财务部门、销售部门和科研中心。为了拓展市场和加速产品销售，同时让生活更方便、更丰富多彩，该公司根据需要构建了一个计算机网络。 课课 前前 导导 入入安全安全01网络安全项目介绍与分析网络安全项目介绍与分析项目描述d 公司的具体需求归纳如下。是该公司的机密核心部门，b 负责新技术的开发和新产品的研发，任何内容都不能被外界所了解。主管产品销售和技术推广，产品和技术信息需要不断更新，让用户能及时了解更新动态，另外还要

3、能保证网页浏览速度。主管整个公司员工的招聘和培训，以及保管员工的所有档案资料，包括电子资料和纸质资料。主管整个公司的薪金和资金流动，除了财务部门和公司董事会以外财务状况不能被别人知道。c 公司需要使用OA办公系统，方便内部各部门之间的信息交流。c 技术文档能够安全地在网上传送。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析项目描述d 设计拓扑结构。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析项目描述考虑如下：，尤其是科研中心的新技术资料和财务部门的财务状况信息。b怎么保密呢？主要包括以下两个方面：a 要让外界无法知道内部的信息，即使万一获得了这些信息也无法知道信息的具体含

4、义。a 内部成员没有权限访问这两个部门的信息，或者只得到部分访问权限。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析项目描述考虑如下：。b及时发现外部网络的入侵行为，并希望找到留下的蛛丝马迹，能找到追穷责任的证据。，要注意病毒干扰和黑客攻击。c 由于办公的需要，以及移动用户的存在，因此还要考虑。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析项目分解d任务一：脆弱性分析c 任务1-1 了解网络安全基本要素c 任务1-2 分析网络脆弱性 c 任务1-3 了解网络面临的主要威胁d任务二：整体安全规划任务c 2-1 熟知网络安全标准任务c 2-2 知道网络安全设计策略 c 任务2-

5、3 规划网络整体安全 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d任务：分析网络的脆弱性c 本网络的主要工作：b公司内部进行有权限的工作：a 资源共享a 协同工作a 传递信息a 发送邮件a 上传文件a 防止文件丢失等等b要求：防止公司内的机密文件不被泄漏并能完成正常的工作。那么我们需要了解以下内容。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d任务1-1:网络安全5要素之一c 保密性（Confidentiality） 。b指网络信息、实体或过程，即信息。b保密性是建立在基础之上，保障网络信息安全的重要手段。 c 常用的保密技术有如下几种。安全安

6、全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d 任务1-1:网络安全5要素之一c 保密性（Confidentiality） 。c 常用的保密技术有如下几种。b ：a 利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露。b ：a 使对手侦收不到有用的信息。b ：a 防止有用信息以各种途径辐射出去。b ：a 在密钥的控制下，用。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d 任务1-1:网络安全的5要素之二c 完整性（Integrity） 。b指在，只有得到授权的人才能修改实体或

7、进程，并且能够判别出实体或进程是否已被修改。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d任务1-1:网络安全的5要素之三c 可用性（Availability） 。b 是一种，重点在于让产品的设计能够符合使用者的习惯与需求，让得到授权的实体在有效时间内能够访问和使用到所要求的数据和数据服务。b提供数据可用性保证的方式主要有如下几种。a 性能、质量。a 。a 。a 能得到保证，发现系统异常情况时能防止入侵者对系统的攻击。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d 任务1-1:网络安全的5要素之四c 可控性（Controllability） 。b

8、使用，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d 任务1-1:网络安全的5要素之五c 不可否认性（Non-Repudiation） 。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者无法辩解，并提供调查安全问题的依据和手段，实现信息安全的可审查性。b一般通过来提供不可否认服务。 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d 任务1-2 分析网络脆弱性c 了解现阶段网络安全技术的局限性b目前网络安全技术的3大主流技术有：a 这3大主流技术为主的安全产品正面临

9、着许多新的问题安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务实施过程d任务1-2 分析网络脆弱性c 存在的问题：虽然系统中安装了防火墙，但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务攻击的侵扰。b 未经大规模部署的入侵检测产品在，且在还有很大的缺陷。b 虽然很多用户在单机、终端上都安装了防病毒产品，但是，（合规是指管理行为符合法律法规行业自律规则、公司内部管理制度及诚实守信的道德准则，如内部网络员工泄密）等方面。 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析d1-2分析网络脆弱性c 网络所面临的威胁主要有：b 。a Internet联系着全球的所有用户，也就意

10、味着网络攻击除了来自本地用户，还有可能来自Internet上的任一个用户。网络在建立之初，其根本目标就是方便、开放，并没有着重考虑安全性能。b 。a 网络通信是需要协议支持的，现在普遍使用的是TCP/IP协议，。a 如是个“Best effort”的，其数据包不需要认证，因此攻击者容易用IP欺骗的方式进行攻击任务实施过程安全安全01网络安全项目介绍与分析网络安全项目介绍与分析d1-2分析网络脆弱性c 网络所面临的威胁主要有：。a 操作系统漏洞是指计算机操作系统（如Windows XP）本身所存在的问题或技术缺陷，操作系统的安全性直接影响到整个网络的安全。，是一个计算机程序，任何程序都会存在Bu

11、g，因此操作系统也会存在Bug；，用户配置不完整或不正确都会造成系统的缺陷。，而有些公司或单位的工作人员可能因为安全意识淡薄甚至没有安全意识，导致配置不当甚至错误，这样很容易损坏设备、信息，导致整个网络瘫痪。任务实施过程安全安全01网络安全项目介绍与分析网络安全项目介绍与分析d1-2分析网络脆弱性c 网络所面临的威胁主要有：a 主要表现为：e 保密性不强或不懂保密规则。e 业务不熟练e 因规章制度不健全造成人为泄密事故e 素质差、缺乏责任心，没有良好的工作态度e 熟悉系统的工作人员以超越权限的非法行来获取和篡改信息e 利用硬件的故障部位和软件的错误非法访问系统或对系统各部分进行破坏。任务实施过

12、程安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务1-3 了解网络面临的主要威胁 d 步骤1：了解典型网络面临的主要威胁 威威 胁胁描描 述述窃听窃听网络中传输的敏感信息被窃听网络中传输的敏感信息被窃听重传重传攻击者事先获得部分或全部信息，过段时间后将此信息发送给攻击者事先获得部分或全部信息，过段时间后将此信息发送给接收者接收者伪造伪造攻击者将伪造的信息发送给接收者攻击者将伪造的信息发送给接收者篡改篡改攻击者对合法用户之间的通信信息进行修改、删除、插入，再攻击者对合法用户之间的通信信息进行修改、删除、插入，再发送给接收者发送给接收者非授权访问非授权访问通过假冒、身份攻击、系统漏洞等

13、手段获取系统访问权，从而通过假冒、身份攻击、系统漏洞等手段获取系统访问权，从而使非法用户进入网络系统读取、删除、修改、插入信息等使非法用户进入网络系统读取、删除、修改、插入信息等拒绝服务攻击拒绝服务攻击攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务获得服务行为否认行为否认通信实体否认已经发生的行为通信实体否认已经发生的行为旁路控制旁路控制攻击者发掘系统的缺陷或安全脆弱性攻击者发掘系统的缺陷或安全脆弱性电磁电磁/射频截获射频截获攻击者从电子或机电设备所发出的无线射频或其他电磁辐射中攻击者从电子或机电设备所发出的无线射频或其他电

14、磁辐射中提取信息提取信息人员疏忽人员疏忽已授权人为了自己的利益或由于粗心将信息泄漏给授权人已授权人为了自己的利益或由于粗心将信息泄漏给授权人安全安全01网络安全项目介绍与分析网络安全项目介绍与分析d 步骤2：分析网络安全威胁的主要原因c 影响计算机网络安全的因素大体可分为两种：b 一是对的威胁；b 一是对的威胁；c 网络安全面临的威胁主要有以下四种：P7任务任务1-3 了解网络面临的主要威胁了解网络面临的主要威胁 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全 d 任务2-1 熟知网络安全标准 d 1.国外标准c 美国TCSEC（橘皮书）可信计算机系统评估准则

15、b 包括：安全策略、可说明性、安全保障、文档四个部分c 欧洲ITSEC b 把保密作为安全的重点，分为7个安全等级c 加拿大CTCPEC b 分为四个层次：机密性、完整性、可靠性、可说明性c 美国联邦准则（FC） b 是TCSEC的升级版，是一个过度标准。c 联合公共准则（CC） c ISO安全体系结构标准 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全d 任务2-1 熟知网络安全标准 d 1.国外标准c 美国TCSEC（橘皮书）可信计算机系统评估准则表表1-41-4可信计算机系统评估准则可信计算机系统评估准则安全性能安全性能类别类别名称名称主要特征主要特征高

16、高A A可验证的安全设计可验证的安全设计B3B3安全域机制安全域机制B2B2结构化安全保护结构化安全保护设计系统时设计系统时，面向安全的体系结构，面向安全的体系结构，遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体提供保护，对系统进行隐蔽通道分析主体和客体提供保护，对系统进行隐蔽通道分析B1B1标号安全保护标号安全保护除了除了C2C2级别的安全需求外，增加安全策略模型，数据标号（安全和级别的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制属性），托管访问控制C2C2受控的访问环境受控的访问环境存取控制以用户

17、为单位实现广泛的审计和验证机制存取控制以用户为单位实现广泛的审计和验证机制C1C1选择的安全保护选择的安全保护有选择的存取控制，用户与数据分离，数据保护以用户为单位有选择的存取控制，用户与数据分离，数据保护以用户为单位低低D D最小保护最小保护保护措施很少，没有安全功能。保护措施很少，没有安全功能。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全d 任务2-1 熟知网络安全标准 d 1.国外标准c 美国TCSEC（橘皮书）可信计算机系统评估准则b D级：DOSWindows 3.xwindow 95(不在工作级方式中）b C1级：要求硬件方面有一定的安全保护，用

18、户在使用计算机系统前必须先登录。a 不足之处：用户可以直接访问操作系统的根。a 例：UNIX系统、Novell3.x或更高、windows NTb C2级：引进了受控访问环境，如文件权限、加入身份验证，并写入日志。a 缺点：审计在于它需要额外的处理时间和磁盘空间a 例： UNIX系统、Novell3.x或更高、windows NT安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全d 任务2-1 熟知网络安全标准 d 1.国外标准c 美国TCSEC（橘皮书）可信计算机系统评估准则b B1级：支持“多级”安全，a 标签：网上的一个对象，该对象在安全防护计划中是可识别且

19、受保护的。a 多级：指这一安全防护安装在不同级别，对敏感信息提供更高级的保护，让每个对象（文件、程序、输出）都有一个敏感标签，而每个用户都有一个许可级别。a 例：政府机构和防御承包商们是B1级安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全d 任务2-1 熟知网络安全标准 d 1.国外标准c 美国TCSEC（橘皮书）可信计算机系统评估准则b B2级：要求计算机系统中所有对像加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。b 例：允许用户访问一台工作站，但不允许访问含有职员工资资料的磁盘子系统。b B3级：要求用户工作站或终端通过可信任途径连接网络系

20、统，用采用硬件来保护安全系统的存储区。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全d 任务2-1 熟知网络安全标准 d 1.国外标准c 美国TCSEC（橘皮书）可信计算机系统评估准则b A级：最高级别，也称验证设计，它包含了一个严格的设计、控制和验证过程。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析d 2.国内标准c 该准则将信息系统安全分为5个等级，分别是： 任务二 规划网络整体安全 安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全 d 2.国内标准指标指标指标含义含义举例举例通过标识和鉴别用户的身份，防止攻击者

21、假冒合法用户获通过标识和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限取访问权限金融信息网络主要考虑用户、主机和金融信息网络主要考虑用户、主机和节点的身份认证节点的身份认证根据主体和客体之间访问授权关系，对访问过程做出限制，根据主体和客体之间访问授权关系，对访问过程做出限制，可分为自主访问控制和强制访问控制。可分为自主访问控制和强制访问控制。金融信息网络应采用自主访问控制策金融信息网络应采用自主访问控制策略略指信息在存储、传输和使用中不被篡改和泄密指信息在存储、传输和使用中不被篡改和泄密金融信息网络对传输、存储和使用的金融信息网络对传输、存储和使用的完整性要求很高，需保障数据的高度完整性要

22、求很高，需保障数据的高度传输安全，以防篡改和泄密传输安全，以防篡改和泄密通过对网络上发生的各种访问情况记录日志，并对日志进通过对网络上发生的各种访问情况记录日志，并对日志进行统计分析，从而对资源使用情况进行事后分析的有效手行统计分析，从而对资源使用情况进行事后分析的有效手段，也是发现和追踪事件的常用措施。在存储和使用安全段，也是发现和追踪事件的常用措施。在存储和使用安全建设中，审计的主要对象为用户，主机和节点，主要内容建设中，审计的主要对象为用户，主机和节点，主要内容为访问的主体、客体、时间和成败情况。为访问的主体、客体、时间和成败情况。查看痕迹进行追踪和记录日志查看痕迹进行追踪和记录日志是指

23、以危害网络安全策略的方式传输信息的通信信道。是指以危害网络安全策略的方式传输信息的通信信道。主要采用安全监督和安全漏洞检测来主要采用安全监督和安全漏洞检测来加强对隐蔽信道的防范。在必要的网加强对隐蔽信道的防范。在必要的网络接口安装安全监控系统，同时定期络接口安装安全监控系统，同时定期对网络进行安全扫描和检测。对网络进行安全扫描和检测。安全安全01网络安全项目介绍与分析网络安全项目介绍与分析任务二 规划网络整体安全 d 任务2-2 知道网络安全设计策略c 步骤1：熟悉安全策略设计原则 b 适应性原则 b 木桶原则 b 动态性原则 b 系统性原则 b 需求、代价、风险平衡分析原则 b 一致性原则

24、b 整体性原则 b 最小授权原则 b 技术与管理相结合原则 b 易操作性原则 d 适应性原则c 安全策略是在一定条件下采取的安全措施，必须是和网络的实际应用环境相结合的。d 木桶原则c “木桶的最大容积取决于最短的一块木板”：。c 攻击者使用“最易渗透原则”，必然。c 安全机制和安全服务设计的，其d 动态性原则c 安全策略是在一定时期采取的安全措施。c 制定的安全措施网络动态性的特点，用户不断增加，网络规模不断扩大，网络技术不断更新，各种漏洞和隐患不断发现。d 需求、代价、风险平衡分析原则c 绝对安全的网络是不存在的，也是不必要的。c 应从网络的实际需求出发，在需求、代价和风险间寻求一个平衡点

25、，在此基础上制定规范和措施，确定系统的安全措施。d 系统性原则c 网络安全管理是一个系统化的工作，必须考虑到整个网络的方方面面。c 应全面考虑网络上各类用户、各种设备、软件、数据以及各种情况，有计划有准备地采取相应的策略。d 一致性原则c 指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络安全需要相一致。c 在网络系统设计及实施计划、网络验证、验收、运行等等网络生命周期的各个阶段，都要制定相应的安全策略。d 整体性原则c 要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。c 信息安全系统应该包括。：根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。：检测系统的运行情况，及时发现和制止对系统进行各种攻击。d 最小授权原则c 指网络中帐号设置、服务配置、主机间信任关系配置等应该