网络与系统安全基础培训版课件

网络与系统安全基础培训版网络与系统安全基础培训版网络与系统安全基础培训版主讲人：赵高主讲单位：上海快钱支付清算有限公司网络与系统安全基础知识培训1、网络安全概述2、导致网络安全问题的原因3、网络安全特性4、影响网络安全的主要因素5、黑客常用攻击手段分析

6、网络安全工具7、网络安全防护建议8、个人以及操作系统安全培训内容摘 要：通过心理健康教育，研究初中起点农村小学教师公费定向生心理机制，有效地解决他们面临的心理问题，寻找适合他们的心理健康教育的方式和途径，建立他们的心理健康教育模式，向湖南农村输入有良好思想道德素养和健康心理及健全人格的全面发展的社会需要的小学教师。根据中共中央、国务院和教育部的有关文件精神，要求高校把大学生的思想政治教育和心理健康教育有机结合起来，以培养有良好思想道德素养和健康心理及健全人格的全面发展的社会需要的人才。一、研究背景湖南第一师范学院教科系立足于我国国情，根据湖南省农村基础教育的实际情况和农村小学教师师资现状，从2006年开始就以培养初中起点农村小学教师公费定向生为主要工作重心。六年来，心理健康教育都在其中占据非常重要的作用。从现实情况看，近五年来湖南第一师范学院教科系中招生出现的心理问题较多、较复杂，突发心理事件时有发生，危机感颇重，需要心理健康教育发挥其独特的效力。目前我们面临的问题是：①掌握中招生心理机制。总结中招生心理特征和思维模式，建立其心理问题资源库。②探索中招生心理健康教育的方式方法。将心理健康教育的理论基础和现实可行性相结合，开辟中招生心理健康教育的新局面。③构建中招生心理健康教育模式，可以确定模式的操作方式和人员培训方案。二、国内外相关研究国内外学者近年来对于初中起点农村小学教师公费定向生心理健康教育的问题，探讨文献基本没有，大多是从农村小学教师培养模式、小学教师素质教育、大学生心理健康教育等角度进行研究的。国内对于小学教师心理健康教育的研究主要有：贝清华研究认为，我国小学教师队伍存在三个方面的问题之一，就是心理不平衡，队伍不稳定，精力不集中。林崇德教授提出了小学教师健康的身心素质的全新定义：①身体素质，包括强健的身体和健康的心理。②教师的心理素质，包括教师心理健康和拥有小学教师的独特心理特点。有学者提出：心理健康教育要变被动应对矫治型教育为主动引导发展型教育。在国外，早在20世纪50~60年代，美国就在学校设立了心理辅导，心理健康教育的重点从个别有心理问题的学生转移到全体学生身上，特别是注意学生心理的健康教育。三、研究的价值（1）掌握初中起点农村小学教师公费定向生心理健康现状。由于初中起点农村小学教师公费定向生年龄小、家庭背景复杂、成长经历曲折等因素，以及其正值青春期、出生农村、进入城市的冲击等现实情况，显示出不同程度的心理问题，甚至是心理疾病。我们只有科学把握他们的心理动态，反思其心理问题，归纳其心理原因，才能保证校园的稳定和祥和。（2）明确初中起点农村小学教师公费定向生心理健康教育的方法和途径研究。初中起点农村小学教师公费定向生心理健康教育，可以采取直接教育、间接教育和学校家庭互联教育等活动。我们需要系统地将这些活动进行总结并检验其成效，这样才可以真正满足学生的心理需求。（3）初中起点农村小学教师公费定向生心理健康教育模式研究。根据初中起点农村小学教师公费定向生的发展特点和培养方向，建立与其相适应的心理健康教育模式（见下图），并建立一套有效的操作方式和人员培训系统，以便可以将之推广，确保学生身心健康。总之，要做好初中起点农村小学教师公费定向生心理健康的调查研究，切实为湖南农村输入有良好思想道德素养和健康心理及健全人格的全面发展的社会需要的小学教师。1上好第一堂课有一个良好的开端就是向成功迈向了一大步。对于老师来说，如何上第一堂课，或者说如何运用第一堂课，将对以后的教学产生很大的影响。对于第一堂课，老师并不是一定要循规蹈矩、按部就班，而是要想方设法，激发引导学生对新课程的兴趣。如做一些小实验，“碘水写字”、“溶液导电”等，让学生观看这些趣味性很强的实验，能够牢牢地抓住学生的注意力，使他们的内心兴奋、情绪高昂。在这种情况下，学生将产生强烈的好奇心，很容易被这些趣味性的化学实验所吸引，从而产生强烈的好奇心，会对以后的学习好这门课打下坚实的基础。对于一些不具有做实验条件的偏远山村学校，我们可以换一种方法。老师在课堂上可以描述一些生活现象让学生思考，如蜡烛为什么能够燃烧，为什么会打雷下雨，动植物为什么都需要呼吸等等。让学生在课堂上激烈的讨论，对这些日常生活中大家熟悉的事物，每个人都有发言权。在不断讨论的的过程中，学生的兴趣将会很容易激发出来。2加强实验教学，在动手中找到兴趣化学是一门用实验解释自然现象的科学，化学是一门用实验分析物质的科学，所以化学是一门以实验为基础的科学，学好化学离不开实验。同时化学实验又充满了未知与新奇，能够很好的激发学生的兴趣。化学实验中各种生动鲜明的化学现象，能给学生以强烈的感观刺激，增强大脑皮层的兴奋性，能激起学习强烈兴趣，许多教学实践事例都可以证明这一点。例如：蜡烛的燃烧，锌与盐酸反应生成氢气的过程，石灰的形成等实验现象使学生感到世界的奇妙。学生在观察这些实验的过程中将会提神静气，产生极强的好奇心。在实验中增强学生的兴趣，最重要的是让学生动手。正所谓，“百见不如一练”。让学生自己亲手做实验，会让他们感受到真实性。当学生只是看着老师做实验的时候，虽然同样会注意力集中，兴趣十足，但却会感觉不真实，感觉老师像是在变魔术。让学生自己动手做实验，将会解决这些问题。学生平时思考的问题将通过自己亲手实验得以证实，会使他们兴奋不已，这种手脑结合的教学方式将极大激发他们的兴趣。同时，做实验会使化学理论更容易理解，并且长久难忘。所以学校要为学生提供实验场所和器材，保证学生基本的实验需要。另外，要定期开放实验室，让因实验课中因操作迟缓而未做完成者或者是实验效果不理想者有一个补做的机会；为学生因做作业中遇到疑难问题想通过实验途径解决提供一个研究平台；学生对自己新的实验方案设计是否合理提供实践检验的场所等，通过开放实验室，更好地释疑，更好地培养学生动手、动脑的习惯和能力，达到更好地保持兴趣，达到“要我学”到“我要学”的境界。3理论联系实际，课堂联系生活化学来源于生活，只有回归生活才能体现学习化学的意义。在教学中要充分利用实际生活中与人们密切相关的化学知识，努力创设兴趣情境，使学生感到化学就在生活中，就在我们身边，许多问题要通过化学方法进行解决，以激发学生对化学产生兴趣而主动学习。如可以结合初三的化学课本介绍：自燃知识与民间所说的“鬼火”；中和反应原理与用熟石灰改良南方的酸性土壤；石墨的性质与用铅笔芯帮助开生锈的锁；木炭的吸附作用与用木炭去除鞋内的臭味，2009年我国南方大雪，用撒食盐的办法除去道路上的积雪等等。这些都是可以学以致用、又易于掌握的化学知识。当选择的实验内容与学生的生活实践紧密结合时，能够极大地激发学生的探究积极性，同时又能提高学生的动手实验能力，当遇到不懂的问题时，他们会带着问题看书，阅读讨论，不断探究，这样就能够使学生的探究稳定、持久的得以发展。4学以致用，增加学生的成就感4.1开展课外活动，让学生在化学知识比赛中得到认可参加化学课外活动，学生多利用课余时间，积极报名参加化学课外兴趣活动小组，做一些有趣的化学实验，看化学教学和科普知识的电影及录像片，参观化工厂，收集整理化学家名人轶事等，这些活动都会使学生感到化学知识是那样的丰富多彩，使学生对化学的学习产生浓厚的兴趣和渴求，促使学生努力学好化学。组织学生参加与化学活动有关的大赛，不仅给化学成绩突出的学生创造施展才能的平台，同时多鼓励化学学习困难的学生积极参加活动，这样一旦学生在竞赛中取得名次，就会激发起更浓得学习兴趣，化学成绩也随之提高。4.2让学生用化学知识服务生活“为什么我们在生活中不用纯铝做门窗，而是用铝合金？为什么不用纯铁制作汤勺，而用不锈钢？”教师可在课堂上让学生联系生活经验回答化学问题。从生活入手，从学生已有的经验出发既符合新课程理念，又体现了知识的应用性，增强学生用化学知识服务生活的意识。化学与人们的生活息息相关,从日常生活中可以积累很多的化学知识,从而加深学生对化学知识的理解,提高学生对化学学习的兴趣。用化学知识去解释生活现象，合理地遵循化学规律，可以美化生活、丰富生活。没有生活便没有化学这门学科，而化学的发展又使生活的品味不断提高。因此，化学教师在课堂教学中将化学知识与生活有机结合是十分必要的。初中化学内容的展开最好从生活中常见而又重要的事物开始，让学生在熟悉的生活情景中感受化学的重要性，了解化学与日常生活的密切关系，逐步学会分析和解决与化学有关的一些简单的生活问题。总之，在我们的生活中，化学无处不在，把生活中的化学知识作为一个能动点渗透在我们的化学教学中，让学生真正做到“从生活走进化学“，从而培养他们的化学意识，对于初中化学知识的学习来说应该是非常值得关注的。网络与系统安全基础培训版网络与系统安全基础培训版网络与系统安网络与系统安全基础培训版课件2网络与系统安全基础培训版课件3网络与系统安全基础培训版课件4网络与系统安全基础培训版课件5导致网络信息安全问题的原因内因：——人们的认识能力和实践能力的局限性（1）设计上的问题：

Internet从一开始就缺乏安全的总体构想和设计，TCP/IP协议是在可信环境下，为网络互联而专门设计的，缺乏安全措施的考虑。（历史造成）

SYNFlood——伪造源地址的半开扫描，DoS（2）实现上的问题:WindowsXP—

3000万行代码，

Windows2003—

8000万行代码

PingofDeath(死亡之ping)—

Ping-t-l65550对方IP

人为的后门和设计中的Bug（3）配置上的问题:默认的服务（4）管理上的问题：弱的口令导致网络信息安全问题的原因内因：——人们的认识能力和实践能6來源:CSI/FBIComputerCrimeSurvey,March2008.21%48%72%89%外国政府竞争对手黑客不满的雇员导致网络信息安全问题的原因（外）來源:CSI/FBIComputerCrime7冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码8国内外黑客组织北京绿色联盟技术公司(nsfocus)中国红客联盟()中国鹰派(chinawill)中国黑客联盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech国内外黑客组织北京绿色联盟技术公司(nsfocus)9常用攻击手段——分别介绍漏洞扫描特洛伊木马网络嗅探（Sniffer）技术拒绝服务（DOS）和分布式拒绝服务口令猜测欺骗技术缓冲区溢出常用攻击手段——分别介绍漏洞扫描特洛伊木马网络嗅探（Snif系统信息收集扫描目的远程操作系统识别网络结构分析其他敏感信息收集漏洞检测错误的配置系统安全漏洞弱口令检测常用攻击手段－漏洞扫描系统信息收集扫描目的远程操作系统识别网络结构分析其他敏感信息11扫描类型－地址扫描PingReplyXXX.XXX.XXX.XXX扫描类型－地址扫描PingReplyXXX.XXX.XXX12主机可使用的端口号为0～65535，前1024个端口是保留端口，这些端口被提供给特定的服务使用。常用的服务都是使用标准的端口，只要扫描到相应的端口开着，就能知道目标主机上运行着什么服务。然后入侵者才能针对这些服务进行相应的攻击。扫描类型－端口扫描主机可使用的端口号为0～65535，前1024个端口是保留端13漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不安全的地方。例如：操作系统漏洞弱口令用户应用程序漏洞配置错误等

扫描类型－漏洞扫描漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫14扫描器SATANSAINTSSSStrobeX-Scan……ISS(安氏)PingerPortscanSuperscan流光扫描器SATANISS(安氏)扫描工具：X-Scan-v3.2扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。扫描器实例：X-Scan扫描工具：X-Scan-v3.2扫描器实例：X-Scan16木马木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成：服务器端和客户端。驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。木马木马是一种可以驻留在对方系统中的一种程序。木马的分类远程访问型特洛伊木马键盘记录型特洛伊木马密码发送型特洛伊木马破坏型特洛伊木马代理木马FTP型特洛伊木马网页型木马……木马的分类远程访问型特洛伊木马手工放置木马的植入方式利用系统漏洞安装电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播手工放置木马的植入方式利用系统漏洞安装电子邮件附件、浏览网页19安装杀毒软件和防火墙检查INI文件查看win.ini中的“run=”、“load=”查看system.ini中的“shell=explorer.exe程序名”后面所加载的程序。

木马的查杀安装杀毒软件和防火墙木马的查杀20木马的查杀检查注册表：在注册表中，最有可能隐藏木马的地方是HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce木马的查杀检查注册表：在注册表中，最有可能隐藏木马的地方是检查注册表其他可能隐藏木马的注册表项还有：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\windows\LoadHKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\windows\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\ AppInit_DLLs木马的查杀检查注册表木马的查杀22检查服务开始\程序\管理工具\服务检查系统进程系统信息\软件环境\正在运行任务(winXP)Pstools(winnt/2k)检查开放端口

Netstat–an(winXP)、Fport(winnt/2k)监视网络通讯防火墙、网络监视器(win2k)、Sniffer对可疑文件的分析

W32Dasm、IDA、Soft-ice木马的查杀检查服务木马的查杀23定义

嗅探器(Sniffer)是能够从网络设备上捕获网络报文的一种工具Sniffer名称的来由

通用网络公司开发的一个程序－>NAI网络监听/嗅探（Sniffer）定义网络监听/嗅探（Sniffer）24网络监听安全对策规划网络

合理分段，采用交换机、路由器、网桥等设备，相互信任的主机处于同一网段采用加密会话对安全性要求高的数据通讯进行加密传输例如采用目前比较流行的SSL协议以及使用SSH这样的安全产品传送敏感使用一次性口令技术(OTP)为了防止ARP欺骗，使用永久的ARP缓存条目使用检测工具

TripWarAnti-Sniffer（L0pht，notfree）

网络监听安全对策规划网络25拒绝服务攻击的简称是：DoS（DenialofService）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。拒绝服务攻击(DOS)拒绝服务攻击的简称是：DoS（DenialofServi26TCPSYNAttackPingofDeath消耗系统资源(带宽、内存、队列、CPU…)系统宕机……阻止授权用户正常访问网络(慢、不能连接、没有响应……)CPU拒绝服务攻击DOS!!!TCPSYNAttack消耗系统资源(带宽、内存、队列、27为什么要进行Dos攻击放置木马需要重启使用IP欺骗，使冒用主机瘫痪使得被攻击的目标主机的日志系统失效常见DoS攻击种类死亡之Ping,land,teardrop,SYNfloodICMP:smurf拒绝服务攻击为什么要进行Dos攻击拒绝服务攻击28拒绝服务：LAND攻击攻击者InternetCode目标2欺骗性的IP包源地址2Port139目的地址2Port139TCPOpenG.MarkHardy拒绝服务：LAND攻击攻击者InternetCode目标29攻击者InternetCode目标2IP包欺骗源地址2Port139目的地址2Port139包被送回它自己崩溃G.MarkHardy拒绝服务：LAND攻击攻击者InternetCode目标IP包欺骗崩溃G.Ma30LAND攻击防范：代理类的防火墙攻击者InternetCode目标2IP包欺骗源地址2Port139目标地址2Port139TCPOpen防火墙防火墙把有危险的包阻隔在网络外G.MarkHardyLAND攻击防范：代理类的防火墙攻击者InternetCod31以破坏系统或网络的可用性为目标常用的工具：Trin00TFN/TFN2KStacheldraht很难防范伪造源地址，流量加密很难跟踪分布式拒绝服务（DDOS）clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood以破坏系统或网络的可用性为目标分布式拒绝服务（DDOS）cl32DDoSDDoS33分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet分布式拒绝服务攻击步骤1Scanning不安全的计算机Hac34Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻击步骤2Hacker被控制的计算机(代理端)2Internet分布式35Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet分布式拒绝服务攻击步骤3Hacker3被控制计算机（代理端）Maste36Hacker

UsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet分布式拒绝服务攻击步骤4HackerUsingClientprog37InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）分布式拒绝服务攻击步骤5InternetHacker5MasterTarg38TargetedSystemHacker

目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）分布式拒绝服务攻击步骤6TargetedHacker目标系统被无数的伪39DDOS攻击的效果：由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。分布式拒绝服务攻击DDOS攻击的效果：分布式拒绝服务攻击40预防DDOS攻击的措施确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器（filter）或侦测器(sniffer)，在攻击信息到达之前阻挡攻击信息。分布式拒绝服务攻击预防DDOS攻击的措施分布式拒绝服务攻击41对付DDoS攻击的方法1．定期扫描现有的网络主节点，清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用最佳位置，因此对这些主机本身加强主机安全是非常重要的。2．在骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDOS攻击和其它一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样保护真正的主机不被瘫痪。对付DDoS攻击的方法1．定期扫描现有的网络主节点，清查BO、netbusService/Daemon帐户其他后门程序BO、netbus后门程序43禁止/关闭不必要的服务/端口屏蔽敏感信息合理配置防火墙和IDS陷阱技术Honeypot

僚机策略……反扫描对策禁止/关闭不必要的服务/端口反扫描对策44网络安全的特征（1）保密性confidentiality：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性integrity：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性availability：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性controllability：对信息的传播及内容具有控制能力。（5）可审查性：出现的安全问题时提供依据与手段网络安全的特征（1）保密性confidentiality：信45TCP/IP网络的体系结构TCP/IP技术的发展设计目标——实现异种网的网际互连是最早出现的系统化的网络体系结构之一顺应了技术发展网络互连的应用需求采用了开放策略与最流行的UNIX操作系统相结合TCP/IP的成功主要应该归功于其开放性，使得最广泛的厂商和研究者能够不断地寻找和开发满足市场需求的网络应用和业务。

鱼与熊掌总是不能兼得，也正是其体系结构得开放性，导致了TCP/IP网络的安全性隐患！TCP/IP网络的体系结构TCP/IP技术的发展46TCP/IP的网络互连网际互连是通过IP网关（gateway）实现的网关提供网络与网络之间物理和逻辑上的连通功能网关是一种特殊的计算机，同时属于多个网络G1网络1网络3G1网络2TCP/IP的网络互连网际互连是通过IP网关（gate47TCP/IP与OSI参考模型TCP/IP协议和OSI模型的对应关系应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等

ICMPARPRARPOSI参考模型Internet协议簇物理层TCP/IP与OSI参考模型TCP/IP协议和OSI模型的对48网络安全防护模型－PDRR

目前业界共识：“安全不是技术或产品，而是一个过程”。为了保障网络安全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。网络安全防护模型－PDRR 目前业界共识：“安全不是技术49网络安全防护模型－PDRR（续）保护(PROTECT)

传统安全概念的继承，包括信息加密技术、访问控制技术等等。检测(DETECT)

从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢复等方面的支持，使安全防护从单纯的被动防护演进到积极的主动防御。网络安全防护模型－PDRR（续）保护(PROTECT50网络安全防护模型－PDRR（续）响应(RESPONSE)

在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。恢复(RECOVER)

评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等。网络安全防护模型－PDRR（续）响应(RESPONSE51安全技术选择--根据协议层次 物理层：物理隔离

链路层:链路加密技术、PPTP/L2TP网络层:IPSec协议（VPN）、防火墙TCP层:SSL协议、基于公钥的认证和对称钥加密技术应用层:SHTTP、PGP、S/MIME、SSH(Secureshell)、开发专用协议（SET）安全技术选择--根据协议层次 物理层：物理隔离52网络安全工具物理隔离设备交换机/路由器安全模块防火墙(Firewall)漏洞扫描器入侵检测系统IDS、入侵防御系统IPS、安全审计系统、日志审计系统绿盟远程安全评估系统虚拟专用网（VPN）、上网行为管理系统病毒防护（防病毒软件、防毒墙、防木马软件等）网络加速，负载均衡、流量控制……网络安全工具物理隔离设备53物理隔离主要分两种：双网隔离计算机物理隔离网闸物理隔离主要分两种：54物理隔离实现基本原理（1）物理隔离实现基本原理（1）55物理隔离实现基本原理（2）内外网模块连接相应网络实现数据的接收及预处理等操作；交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换，保证任意时刻内外网间没有链路层连接；数据只能以专用数据块方式静态地在内外网间通过网闸进行“摆渡”，传送到网闸另一侧；集成多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换。物理隔离实现基本原理（2）内外网模块连接相应网络实现数据的接56物理隔离技术的应用涉密网和非涉密网之间物理隔离技术的应用涉密网和非涉密网之间57物理隔离技术的优缺点优点：

中断直接连接

强大的检查机制

最高的安全性缺点：

对协议不透明，对每一种协议都要一种具体的实现 效率低物理隔离技术的优缺点优点：

58交换机安全模块MAC绑定QOS设置多VLAN划分日志其他…交换机安全模块MAC绑定59路由器安全功能访问控制链表基于源地址/目标地址/协议端口号路径的完整性防止IP假冒和拒绝服务（Anti-spoofing/DDOS）检查源地址：ipverifyunicastreverse-path

过滤RFC1918

地址空间的所有IP包；关闭源路由：noipsource-route路由协议的过滤与认证Flood管理日志其他抗攻击功能路由器安全功能访问控制链表60VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网提供高性能、低价位的因特网接入VPN是企业网在公共网络上的延伸VPN简介VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户61网上数据泄漏的风险Internet内部网恶意修改通道终点到：假冒网关外部段（公共因特网）ISP接入设备原始终点为：安全网关数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送恶意的ISP可以修改通道的终点到一台假冒的网关远程访问搭线监听攻击者ISPISP窃听正确通道网上数据泄漏的风险Internet内部网恶意修改通道终点到：62VPN功能

数据机密性保护数据完整性保护数据源身份认证重放攻击保护VPN功能数据机密性保护63远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网上的延伸VPN的典型应用远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟64现有的VPN解决方案基于IPSec的VPN解决方案基于第二层的VPN解决方案非IPSec的网络层VPN解决方案非IPSec的应用层解决方案现有的VPN解决方案基于IPSec的VPN解决方案65基于IPSec的VPN解决方案在通信协议分层中，网络层是可能实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。

该方案能解决的问题：数据源身份认证：证实数据报文是所声称的发送者发出的。数据完整性：证实数据报文的内容在传输过程中没被修改过，无论是被故意改动或是由于发生了随机的传输错误。数据保密：隐藏明文的消息，通常靠加密来实现。重放攻击保护：保证攻击者不能截获数据报文，且稍后某个时间再发放数据报文，而不会被检测到。自动的密钥管理和安全关联管理：保证只需少量或根本不需要手工配置，就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针基于IPSec的VPN解决方案在通信协议分层中，网络层是66

AH协议（头部认证）

ESP协议（IPsec封装安全负载）ISAKMP/Oakley协议基于IPSec的VPN解决方案需要用到如下的协议：IPSec框架的构成AH协议（头部认证）基于IPSec的VPN解决方67基于第二层的VPN解决方案

公司内部网拨号连接因特网L2TP通道用于该层的协议主要有：

L2TP：Lay2TunnelingProtocol

PPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。没有针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击：发送假冒的控制信息，导致L2TP通道或者底层PPP连接的关闭。虽然PPP报文的数据可以加密，但PPP协议不支持密密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。L2TP通道基于第二层的VPN解决方案公司内部网拨号连接因特网L268非IPSec的网络层VPN解决方案

网络地址转换由于AH协议需要对整个数据包做认证，因此使用AH协议后不能使用NAT包过滤由于使用ESP协议将对数据包的全部或部分信息加密，因此基于报头或者数据区内容进行控制过滤的设备将不能使用服务质量由于AH协议将IP协议中的TOS位当作可变字段来处理，因此，可以使用TOS位来控制服务质量非IPSec的网络层VPN解决方案网络地址转换69非IPSec的应用层VPN解决方案

SOCKS位于OSI模型的会话层，在SOCKS协议中，客户程序通常先连接到防火墙1080端口，然后由Firewall建立到目的主机的单独会话，效率低，但会话控制灵活性大SSL（安全套接层协议）属于高层安全机制，广泛用于WebBrowseandWebServer，提供对等的身份认证和应用数据的加密。在SSL中，身份认证是基于证书的，属于端到端协议，不需要中间设备如：路由器、防火墙的支持S-HTTP提供身份认证、数据加密，比SSL灵活，但应用很少，因SSL易于管理S-MIME一个特殊的类似于SSL的协议，属于应用层安全体系，但应用仅限于保护电子邮件系统，通过加密和数字签名来保障邮件的安全，这些安全都是基于公钥技术的，双方身份靠X.509证书来标识，不需要FirewallandRouter的支持非IPSec的应用层VPN解决方案SOCKS70NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S—MIMEKerberosProxiesSETIPSec(ISAKMP)

SOCKSSSL,TLS

IPSec(AH,ESP)PacketFilteringTunnelingProtocols

CHAP,PAP,MS-CHAP

TCP/IP协议栈与对应的VPN协议ApplicationNetworkInterfaceIPTCP/UDPS—M71现有的VPN解决方案－－小结

网络层对所有的上层数据提供透明方式的保护，但无法为应用提供足够细的控制粒度数据到了目的主机，基于网络层的安全技术就无法继续提供保护，因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据，但在传递过程中，无法抵抗常用的网络层攻击手段，如源地址、目的地址欺骗应用层安全几乎更加智能，但更复杂且效率低因此可以在具体应用中采用多种安全技术，取长补短现有的VPN解决方案－－小结网络层对所有的上层数据提供72防火墙的主要功能监控并限制访问 针对黑客攻击的不安全因素，防火墙采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。控制协议和服务 针对网络先天缺陷的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。防火墙的主要功能监控并限制访问73防火墙的主要功能（续）保护网络内部 针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制；防火墙还可以屏蔽受保护网络的相关信息，使黑客无从下手。日志记录与审计

当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。防火墙的主要功能（续）保护网络内部74防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用2－7层访问控制（集中在3-4层）解决地址不足问题抗网络层、传输层一般攻击不足防外不防内对网络性能有影响对应用层检测能力有限防火墙的优点与不足可屏蔽内部服务，避免相关安全缺陷被利用75入侵检测基本原理：利用sniffer方式获取网络数据，根据已知特征判断是否存在网络攻击优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。不足：准确性：误报率和漏报率有效性：难以及时阻断危险行为入侵检测基本原理：利用sniffer方式获取网络数据，根据已76网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数据中比对，从而发现并阻断病毒传播优点：能有效阻断已知网络病毒的传播不足：只能检查已经局部发作的病毒对网络有一定影响网络防病毒基本功能：串接于网络中，根据网络病毒的特征在网络数77网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞优点：有利于及早发现问题，并从根本上解决安全隐患不足：只能针对已知安全问题进行扫描准确性vs指导性网络扫描器通过模拟网络攻击检查目标主机是否存在已知安全漏洞78访问控制（1）广义的访问控制功能包括鉴别、授权和记账等鉴别（Authentication）：辨别用户是谁的过程。授权（Authorization）对完成认证过程的用户授予相应权限，解决用户能做什么的问题。在一些访问控制的实现中，认证和授权是统一在一起的记账（Accounting）；统计用户做过什么的过程，通常使用消耗的系统时间、接收和发送的数据量来量度。Tacacs、Tacacs+、Radius等技术能实现这三种功能。访问控制（1）广义的访问控制功能包括鉴别、授权和记账等79访问控制（2）RADIUS协议针对远程用户Radius（RemoteAuthenticationDialinUserservice）协议，采用分布式的Client/Server结构完成密码的集中管理和其他访问控制功能；网络用户（Client）通过网络访问服务器（NAS）访问网络，NAS同时作为Radius结构的客户端，认证、授权和计帐的3A功能通过NAS和安全服务器（SecutityServer）或Radius服务器之间的Radius协议过程完成，而用户的控制功能在NAS实现。访问控制（2）RADIUS协议80访问控制（3）TACAS协议

TACACS（TerminalAccessControllerAccessControlSystem--终端访问控制系统）是历史上用于UNIX系统的认证协议，它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。TACACS对数据并不加密，因此它的安全性要差一些，针对这种情况，又设计了TACACS+和RADIUS协议。访问控制（3）TACAS协议81访问控制（4）TACACS+协议

由Cisco公司提出，在此协议中，当用户试图登录时，NAS将询问安全服务做什么，安全服务器通常知NAS输入用户名和密码，然后，发送接受或拒绝响应信息给NAS。用户登录进入之后，对于每一条用户输入的命令，NAS都将提请安全服务器进行授权。访问控制（4）TACACS+协议82访问控制（5）TACACS+协议的应用访问控制（5）TACACS+协议的应用83网络安全防护建议(1)经常关注安全信息发布Microsoft、Sun、hp、ibm等公司的安全公告securityfocus安全焦点xfocus绿盟网站nsfocus网络安全防护建议(1)经常关注安全信息发布84网络安全防护建议(2)经常性检查重要服务器、网络设备是否存在安全漏洞微软安全基线检测工具NmapX-scan流光ISS-SCANNER等其他商业安全工具Windows平台利用Msconfig检查启动项目网络安全防护建议(2)经常性检查重要服务器、网络设备是否存在85网络安全防护建议(3)根据安全公告、扫描结果及时打补丁或升级软件利用签名工具对系统重要文件进行签名，经常检查有无变化，防止木马植入关闭服务器或网络设备上不必要的功能或服务制定切实可行的安全策略，形成制度并强制执行网络安全防护建议(3)根据安全公告、扫描结果及时打补丁或升级86网络安全发展方向－追求实效安全理念主动防御安全工具高性能高安全高可靠安全管理注重制度建设和安全人才培养网络安全发展方向－追求实效安全理念87安全防御措施（个人）平时在桌面上的资料应及时备份至其他盘（非C盘）或者U盘。不在“我的文档”里放文件（因为大部分系统都默认其位置属于C盘）养成经常杀毒和清理插件的习惯，发现系统有问题时及时进行杀毒清理，另外可设置定期杀毒，防患于未然！（相关软件可找网管安装设置）使用U盘时请先杀毒，然后请尽量使用“右键—>打开”的方式打开U盘，因为很多U盘病毒都是通过“双击”来启动的，用右键打开一定程度上可以避免U盘病毒的传播。发现中毒迹象时，应尽可能的先备份文件至其他盘，若是连接内网的机器应立即断开内网（不会操作的直接拔网线）并通知网管，避免祸害局域网内其他电脑及服务器！电脑密码必须尽量复杂化，并不随意透露给任何人，否则后果自负。安全防御措施（个人）平时在桌面上的资料应及时备份至其他盘（非88利用Windows2003的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图所示。可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。操作系统安全策略利用Windows2003的安全配置工具来配置安全策略，微891）禁止建立空连接（IPC＄） 默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。如果使用“2”可能会造成你的一些服务无法启动，如SQLServer

。1）禁止建立空连接（IPC＄）902）禁止管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。(关闭server服务)

2）禁止管理共享913)、停止不必要的服务服务开的太多也不是个好事，将没有必要的服务通通关掉吧！特别是连管理员都不知道是干什么的服务，还开着干什么！关掉！免得给系统带来灾难。另外，管理员如果不外出，不需要远程管理你的计算机的话，最好将一切的远程网络登录功能都关掉。

注意，除非特别需要，否则禁用“TaskScheduler”、“RunAsService”服务！关闭一项服务的方法很简单，运行cmd.exe之后，直接netstopservername即可。

3)、停止不必要的服务92Windows2003可禁用的服务服务名说明ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件Windows2003可禁用的服务服务名说明Compute6)、设置生存时间以禁止黑客判断主机类型HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机操作系统。

4)、使用组策略，IP策略gpedit.mscmmc.exe5)、防范SYN攻击（见后面的专题）6)、设置生存时间以禁止黑客判断主机类型4)、使用组策略，I941）制定详细的安全策略。2）安装防火墙。3）加强主机安全。4）采用加密和认证技术。5）加强入侵检测。6）安装备份恢复与审计报警系统。保护网络安全的常用手段1）制定详细的安全策略。保护网络安全的常用手段951.在入侵者正在行动时，捉住入侵者。例如，当管理员正在工作时，发现有人使用超级用户的户头通过拨号终端登录。而超级用户口令只有管理员本人知道。

2.根据系统发生的一些改变推断系统已被入侵。例如，管理员可能发现在/etc/passwd文件中突然多出了一个户头，或者收到从入侵者那里发来的一封嘲弄的电子邮件。一些系统中，操作一些文件失败时，会有一封邮件通知该用户。如果入侵者取得了超级用户权限，又操作文件失败，那么，系统会自动将操作失败的补救办法用邮件通知该用户，在这种情况下就发给了系统管理员用户。因而管理员便会知道系统已被入侵。

3.从其他站点的管理员那里收到邮件，称从本站点有人对“他”的站点大肆活动。

4.系统中一些奇怪的现象，例如，系统崩溃，突然的磁盘存取活动，或者系统突然便得非常缓慢。

5.在系统中，有许多命令可以让人们发现系统是否被入侵。一些优秀的软件，例如Tiger，Tripwire可以帮助发现入侵。怎样才能发现入侵者1.在入侵者正在行动时，捉住入侵者。例如，当管理员正96思考以下问题：系统是否真的发生了安全事件？在一些时候看起来是一次入侵者的行为，其实是由于人的错误，或者软件的错误导致的。系统是否真的遭到了破坏？在许多入侵事件中，入侵者虽然进行了没有被许可的访问。但是并没有访问敏感信息，或者修改文件的内容。是否有必要保留一些证据，以备以后进行调查。使系统尽快回到正常状态是否很重要？是否准备检查文件已被改变或者移动？如果没有采取行动，是否能够入侵者修改了文件？如果这次入侵被本组织内部的人听到，会有什么的麻烦？如果被本单位以外的人听到又怎样？入侵是否会再次发生？发现入侵后应遵循的原则一：不要惊慌

思考以下问题：发现入侵后应遵循的原则一：不要惊慌97开始进行记录。在本子上记录下来所发现的一切，甚至包括日期和时间。如果是检查文本文件，将结果打印下来，然后写上相关信息和日期，如果系统中有足够的空间，对重要文件进行复制，这一点对以后的追踪和修复系统非常重要。发现入侵后应遵循的原则二：作好记录

开始进行记录。在本子上记录下来所发现的一切，甚至包括日期和时98