网络安全防范

网络安全防范5/9/20241网络安全防范主要内容网络安全认识网络安全防范技术分类网络安全防范技术网络安全防范体系5/9/20242网络安全防范俗语说……矛盾亡羊补牢树欲静风不止明枪易躲暗箭难防道高一尺魔高一丈千里之堤毁于蚁穴一朝被蛇咬十年怕井绳安全威胁安全防范5/9/20243网络安全防范网络安全认识网络安全防范十分必要并相当迫切不存在绝对安全的网络和信息系统用发展的眼光看待网络安全注重网络安全体系的全面性从需求特点出发部署网络安全设施把握网络安全与投入成本的平衡点5/9/20244网络安全防范【网络安全命题一】从来就没有安全的网络，今后也不会有。5/9/20245网络安全防范【网络安全命题二】不存在为安全而构筑的网络。5/9/20246网络安全防范【网络安全命题三】网络安全无小事。5/9/20247网络安全防范网络安全防范技术分类嵌入式安全防范（EmbeddedDefence）安全协议安全设备主动式安全防范（ActiveDefence）安全措施安全补丁被动式安全防范（PassiveDefence）安全侦查安全防御5/9/20248网络安全防范Subnet子网Sub-networkAutonomousDomain（自治域、自治网络）构造具备特定应用目标的网络体系，自成相对独立体系、可自我管理Intranet和Extranet把内部网络与Internet隔离开，通常使用NAT、Firewall等设备来完成DMZ使用双防火墙机制，将内部网络分为内网和外网两个层次VLAN把局域网划分为不同的虚拟子网，使用二层或三层局域网交换机或路由器完成VPN使用安全协议和数据加密技术，构造安全的访问体系InterconnectionHost采用特殊设计的业务互连主机，将业务网络与其它系统进行互连，只传输指定数据PhysicalIsolation物理隔离子网5/9/20249网络安全防范VLAN概要VLAN的划分基于端口(Port)基于MAC地址基于IP地址VLAN作用把数据交换限制在各个虚拟网的范围内，提高了网络的传输效率；减少整个网络范围内广播包的传输，防止广播风暴（BroadcastStorm）的产生；各虚拟网之间不能直接进行通信，而必须通过路由器转发，起到了隔离端口的作用，为高级安全控制提供了可能，增强了网络的安全性。5/9/202410网络安全防范VLAN的逻辑分组特性传统的LAN子网（物理分隔的冲突域）5/9/202411网络安全防范基于端口的VLAN根据以太网交换机的端口来划分VLAN，可以跨交换机进行。优点是定义VLAN成员时非常简单，只需将所有的端口都设定一遍；缺点是如果VLAN的某个用户离开了原来的端口，连接到了一个新的端口，那么就必须重新定义5/9/202412网络安全防范基于MAC地址的VLAN根据每个主机的MAC地址来划分VLAN，所以也可称为基于用户的VLAN。优点就是当用户物理位置移动时，即使移动到另一个交换机，VLAN也不用重新配置；缺点是初始化时，所有的用户都必须进行配置，如果用户很多，配置的工作量非常大。此外，这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法有效限制广播包。如果网卡可能经常更换，VLAN就必须不停地更新5/9/202413网络安全防范基于协议的VLAN通过第二层报文中的协议字段，判断出上层运行的网络层协议，如IP协议或者是IPX协议。当一个物理网络中存在多种第三层协议运行的时候，可采用这种VLAN的划分方法。但是现有的系统中一般仅有IP协议，所以基于协议的VLAN很少有机会使用5/9/202414网络安全防范基于子网的VLAN根据报文中的IP地址决定报文属于哪个VLAN，同一个IP子网的所有报文属于同一个VLAN。优点是可以针对具体应用的服务来组织用户，用户可以在网络内部自由移动而不用重新配置自己的设备；缺点是效率较低，因为检查每一个报文的IP地址很耗时。同时由于一个端口也可能存在多个VLAN的成员，对广播报文也无法有效抑制5/9/202415网络安全防范VPNVirtualPrivateNetwork虚拟专用网络在“不安全”的网络上建立安全的互连关系VPN主要应用目的用户通过Internet安全接入IntranetIntranet之间通过Internet的安全互连通过Internet构造安全的Extranet通过Internet的对等设备安全互连5/9/202416网络安全防范VPN安全隧道安全隧道（SecureTunnel）5/9/202417网络安全防范Intranet组网5/9/202418网络安全防范Extranet组网5/9/202419网络安全防范VPN安全隧道协议点对点隧道协议（Point-to-PointTunnelProtocol，PPTP）PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中，通过Intranet或Internet相互通信第2层隧道协议（Layer-2TunnelProtocol，L2TP）L2TP协议允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报通信的任意网络发送，如IP、X.25、FrameRelay或ATM安全IP（SecureIP，IPsec）IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过Intranet或Internet相互通信安全套接层（SecureSocketLayer，SSL）使用SSL协议，实现移动用户远程安全接入内部网络。尤其是对于基于Web的应用访问，SSL-VPN方式有更强的灵活性优势5/9/202420网络安全防范IPsecIP的安全子层（3.5层），包括两部分：AH（AuthenticationHeader）ESP（EncapsulatingSecurityPayload）AH的认证模式：传输模式（TransportMode）不改变IP地址，插入一个AH隧道模式（TunnelMode）生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中5/9/202421网络安全防范AH报头5/9/202422网络安全防范ESP报头5/9/202423网络安全防范VPN应用方式客户端方式由用户自行配置VPN设备和系统，ISP及Internet只提供普通的IP互连服务（网络透明方式）服务端方式由ISP提供VPN服务，用户端使用普通IP互连设备（用户透明方式）5/9/202424网络安全防范NAT网络地址转换NetworkAddressTranslator5/9/202425网络安全防范NAT方法静态翻译（StaticTranslation）内部和外部地址一一对应（映射）动态翻译（DynamicTranslation）复用外部地址，按需映射端口复用（Port-Multiplexing）IP地址＋TCP/UDP端口号5/9/202426网络安全防范NAT-PAT端口地址翻译PortAddressTranslator，PAT5/9/202427网络安全防范FW防火墙FireWall5/9/202428网络安全防范FW功能功能层次过滤代理网络层过滤IP地址过滤广播过滤探测报文过滤无效报文报文重组NATDoS攻击运输层过滤端口号SYN攻击其它DoS攻击应用层过滤内容策略应用病毒扫描木马探测其它过滤连接发起人Cache身份认证计费5/9/202429网络安全防范FW抵抗同步攻击原理攻击者发送SYN，请求会话连接。防火墙检查IP地址的有效性、源地址是否是内网地址等，丢弃可疑的连接请求（可不予以响应，以对抗探测）。结束。响应SYN-ACK，启动超时计时器。（只需匹配极少资源；计时器长度可以依据不同需求进行调整，适当缩短。）若计时器超时而未受到ACK，则释放该连接（同样可以不发送拒绝报文，不占用带宽资源）。结束。若受到ACK，则立即向内网指定计算机（第3步已记录相关连接参数）发送SYN，接收到SYN-ACK后立即响应ACK。连接建立成功。5/9/202430网络安全防范FW-ACL访问控制列表AccessControlList黑名单（BlackList，ForbidList）白名单（WhiteList，PermissionList）灰名单（GreyList）5/9/202431网络安全防范双FW与DMZ非军事区De-MilitaryZone5/9/202432网络安全防范DMZ应用示例5/9/202433网络安全防范防火墙性能评价误报率漏报率误报率优劣优劣5/9/202434网络安全防范FW类型软件防火墙（SoftwareFirewall）个人防火墙（PersonalFirewall）病毒防火墙（VirusFirewall，VirusScanner/Killer）垃圾邮件防火墙（SpamFirewall，SpamFilter）

各对误报率/漏报率有何要求？5/9/202435网络安全防范Proxy代理Proxy协助、转换、缓存、隔离、限制5/9/202436网络安全防范信息系统访问控制分析（示例）总裁总监助理部门经理项目经理职员后勤人员级别角色办公公关生产销售市场设计技术财务规划查看创建录入修改删除审核批准操作5/9/202437网络安全防范用户－角色－权限谁？可访问什么？做哪些操作？信息系统A信息系统B信息系统C功能模块A1功能模块A2功能模块B1功能模块B2功能模块B3功能模块C1组组组组读读删删改改添读读添改读字段字段字段字段字段字段字段读读读改读读5/9/202438网络安全防范Password口令Password合法身份的认定访问权限的分配可访问资源的URL（或IP地址）可访问资源的类型（Web、Email、FTP等）可访问的应用系统可访问的应用系统的功能（或时段）可访问的应用系统的功能操作方式（R/W，M/A/D）可访问的应用系统的数据表可访问的应用系统的数据表的字段5/9/202439网络安全防范OTP一次性口令OneTimePassword添加不确定因子口令序列（S/KEY）挑战/回答（Challenge/Answer，CryptoCard）时间同步（TimeSynchronous，SecureID）事件同步（EventSynchronous，SafeWord）辅助工具TokenCard（智能卡）SoftToken（软件虚拟卡）IC卡/USB棒5/9/202440网络安全防范OTP示例一Password1Password2Password3···passwordNClientServerPassword1Password2Password3···passwordN每次一个顺序使用5/9/202441网络安全防范OTP示例二passwordClientServersalttimeHashpasswordtimeHash比较5/9/202442网络安全防范OTP示例三3274576214…286613789137…21…5517830649…07ABCDE…Z12…nClientServerC2Password＋785/9/202443网络安全防范OTP示例四ClientServerPassword＋379648379648379648随机数生成算法379648比较5/9/202444网络安全防范登录方式统一认证 UniformAuthentication单点登录 Single-PointSign-up5/9/202445网络安全防范AAA验证、授权和记账 Authentication，AuthorizationandAccountingRADIUS（RemoteAuthenticationDial-InUserService）PPP协议包含：PAP（PasswordAuthenticationProtocol）CHAP（ChallengeHandshakeAuthenticationProtocol）5/9/202446网络安全防范PAP用户以明文的形式传递用户名和口令服务端把用户名和加密过的口令传递给RADIUS服务器，根据返回结果决定是否允许用户访问5/9/202447网络安全防范CHAP当用户请求访问时，服务端产生一个16字节随机码给用户用户端得到这个包后使用专用的设备或软件对相关信息进行加密，生成响应回传给服务端服务端将这些数据传递给RADIUS服务器进行同样的运算并比较，如果相同表明验证通过，如果不相同表明验证失败5/9/202448网络安全防范LDAP轻量目录访问协议 LightweightDirectoryAccessProtocol公司技术部市场部办公室项目管理室开发室测试室员工1员工2员工n姓名职务电子邮件地址电话号码系统用户名口令加密串5/9/202449网络安全防范SimAttack模拟攻击（SimulatingAttack）又称仿真攻击、攻击演练，是指采用网络安全攻击的工具，对网络系统实施攻击行为，然后分析攻击结果，用以指导安全防范措施的应用。由于安全攻击过程存在一定技术风险，所以应该采用经过改造的工具（类似于“病毒疫苗”），并在严密监控下进行安全测评（SecurityEvaluation）安全测评即安全风险评估、安全等级评定，可以采用专业安全评测工具，在相关国际、国家、行业或企业标准指导下进行，也可以聘请专业的安全测评机构来完成5/9/202450网络安全防范Pack安全补丁Pack对系统安全性的修补（升级）包具有公开性，对攻击者是一种变相“提示”，对未安装相关补丁的系统是灾难5/9/202451网络安全防范Log系统日志Log系统事件记录事后侦查和追踪的依据事件分析（潜在问题挖掘）5/9/202452网络安全防范IDS入侵检测系统IntrusionDetectionSystem异常发现技术假定所有入侵行为都是与正常行为有差异的模式发现技术假定所有入侵行为和手段（变种）都能表达为一种模式或特征主机网络库记录参数分析引擎正常报告/警示告警/拦截5/9/202453网络安全防范IDS分类基于主机的IDS基于网络的IDS5/9/202454网络安全防范SAS安全审计系统SecurityAuditSystem对日志、系统文件等海量的数据进行分析除了采用模式匹配方法外，还可以采用数理统计分析、数据完整性分析等技术手段可进行“回顾”性分析，使用最新的分析模型对原有的“干净”记录进行安全隐患挖掘分析：系统对象（如用户、文件、目录和设备等）测量属性（如访问次数、失败次数、流量、延时等）5/9/202455网络安全防范攻击陷阱攻击陷阱（AttackingTrap）吸引和诱导网络安全攻击保护系统和数据安全通过定向监测及时（容易）发现攻击行为如：“看上去比其它服务器更像核心服务器的服务器”“具有通用的管理员账户名称的虚假管理员账户”“明显是很有价值的用户信息列表文件”等5/9/202456网络安全防范网络安全防范体系5/9/202457网络安全防范第一层：实体安全（EntitySafety）或称物理安全，是信息系统安全的基础机房安全场地安全环境：温/湿度、电磁、噪声、防尘、静电、振动建筑：防火、防雷、围墙、门禁设施安全设备可靠性通信线路安全性辐射控制与防泄露动力、电源、空调灾难预防与恢复5/9/202458网络安全防范第二层：平台安全（PlatformSafety）操作系统和通用基础服务安全，用于防范骇客攻击操作系统漏洞检测与修复（Unix/Linux系统、Windows系统）网络协议栈网络基础设施漏洞检测与修复路由器、交换机、防火墙通用基础应用程序漏洞检测与修复数据库Web、FTP、Email、DNS及其它各种网络应用系统守护进程信息安全产品部署（FW、IDS/SAS、脆弱性扫描和防病毒）整体网络系统平台（安全综合测试、模拟入侵与安全优化）5/9/202459网络安全防范第三层：数据安全（DataSafety）防止数据丢失、崩溃和被非法访问介质与载体安全保护数据访问控制、系统数据访问控制检查标识与鉴别数据完整性数据可用性