信息安全管理體系介紹PPT課件

1、14-信息安全體系建設(shè)1、信息安全基本要素完整性機(jī)密性可審查性可用性可控性確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作可以控制授權(quán)范圍內(nèi)的信息流向及行為方式對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段信息安全的攻與防信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名一些經(jīng)典的結(jié)論公理1 摩菲定理 所有的程序都有缺陷。定理1 大程序定律 大程序的缺陷甚至比它包含的內(nèi)容還多。推理1-1 一個(gè)安全相關(guān)程序有安全性缺陷。定理2 只要不運(yùn)行這個(gè)程序，那么這個(gè)

2、程序是否有缺陷，也無(wú)關(guān)緊要。推理2-1 只要不運(yùn)行這個(gè)程序，即使這個(gè)程序有安全性漏洞，也無(wú)關(guān)緊要。定理3 對(duì)外暴露的計(jì)算機(jī)，應(yīng)盡可能少地運(yùn)行程序，且運(yùn)行的程序也應(yīng)盡可能小。推理3-1 防火墻基本法則大多數(shù)主機(jī)不滿足我們的要求：因?yàn)樗鼈冞\(yùn)行太多太大的程序。因此，唯一的解決辦法是將真正希望運(yùn)行的程序隔離在網(wǎng)絡(luò)邊界的另一邊。信息安全策略自上而下地制定安全策略密碼技術(shù)與方法不要使用太復(fù)雜的方法：RSA密碼系統(tǒng)不要使用太昂貴的設(shè)備采用多防線技術(shù)不要太過(guò)于依賴系統(tǒng)操作：定期備份基本的安全建議阻止或禁用所有沒有顯式允許的行為總要設(shè)置足夠復(fù)雜的口令，并經(jīng)常更改認(rèn)真地使用廠商發(fā)布的補(bǔ)丁進(jìn)行更新使用最小的權(quán)限授權(quán)

3、所有的訪問(wèn)有限的信任對(duì)所有的外部接口（包括撥號(hào)接口）心存懷疑啟用監(jiān)視、記錄、審查和檢測(cè)功能做好事件響應(yīng)能力和業(yè)務(wù)連續(xù)能力的規(guī)劃技術(shù)并不能保護(hù)你不受到來(lái)自社會(huì)的攻擊開發(fā)安全策略，獲得管理層的認(rèn)可并廣泛應(yīng)用進(jìn)行真實(shí)的風(fēng)險(xiǎn)評(píng)估比敵人更了解你的平臺(tái)和應(yīng)用程序入侵、病毒檢測(cè)安全通信訪問(wèn)控制身份驗(yàn)證2、信息安全技術(shù)體系架構(gòu)密碼算法信息安全模型（一）PMRRD安全模型MP2DRR訪問(wèn)控制機(jī)制入侵檢測(cè)機(jī)制安全響應(yīng)機(jī)制備份與恢復(fù)機(jī)制管理P安全策略信息安全模型（二）數(shù)據(jù)安全層加密訪問(wèn)控制授權(quán)應(yīng)用安全層用戶安全層用戶/組管理單機(jī)登錄身份認(rèn)證系統(tǒng)安全層反病毒審計(jì)分析入侵檢測(cè)風(fēng)險(xiǎn)評(píng)估通信安全防火墻網(wǎng)絡(luò)安全層基于OSI參

4、考模型的安全技術(shù)應(yīng)用層表示層會(huì)晤層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)晤層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層攻擊數(shù)據(jù)鏈路攻擊應(yīng)用層攻擊SETSSLIPSEC-VPN/防火墻VLAN，L2TP信道加密安全協(xié)議信息安全主機(jī)安全 主要考慮保護(hù)合法用戶對(duì)于授權(quán)資源的使用，防止非法入侵者對(duì)于系統(tǒng)資源的侵占與破壞.其最常用的辦法是利用操作系統(tǒng)的功能，如Unix的用戶認(rèn)證、文件訪問(wèn)權(quán)限控制、記帳審計(jì)等。 網(wǎng)絡(luò)安全 主要考慮網(wǎng)絡(luò)上主機(jī)之間的訪問(wèn)控制，防止來(lái)自外部網(wǎng)絡(luò)的入侵，保護(hù)數(shù)據(jù)在網(wǎng)上傳輸時(shí)不被泄密和修改其最常用的方法是防火墻、加密等。網(wǎng)絡(luò)安全組件網(wǎng)絡(luò)的整體安全是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)

5、監(jiān)控、安全掃描、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、網(wǎng)絡(luò)反病毒等多個(gè)安全組件共同組成的，每一個(gè)單獨(dú)的組件只能完成其中部分功能，而不能完成全部功能 主機(jī)網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu)信息安全技術(shù)技術(shù)體系信息安全防護(hù)信息安全檢測(cè)信息安全響應(yīng)信息安全恢復(fù)信息安全審計(jì)安全機(jī)制評(píng)估認(rèn)證授權(quán)監(jiān)控審計(jì)應(yīng)急響應(yīng)防護(hù)檢測(cè)恢復(fù)審計(jì)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制作用:及時(shí)發(fā)現(xiàn)安全隱患，便于事前響應(yīng)提供信息安全決策信息信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制組成:信息資產(chǎn)健康檔案庫(kù)漏洞掃描系統(tǒng)安全滲透工具信息安全認(rèn)證授權(quán)機(jī)制信息安全認(rèn)證授權(quán)機(jī)制作用:防止非法者進(jìn)入限制合法者權(quán)限信息安全認(rèn)證授權(quán)機(jī)制組成:身份識(shí)別系統(tǒng)授權(quán)系統(tǒng)密碼管理系統(tǒng)信息安全

6、防護(hù)機(jī)制信息安全防護(hù)機(jī)制作用:防止信息安全攻擊發(fā)生切斷攻擊鏈信息安全防護(hù)機(jī)制組成:防火墻系統(tǒng)網(wǎng)絡(luò)隔離系統(tǒng)病毒防范系統(tǒng)補(bǔ)丁管理系統(tǒng)IPS系統(tǒng)VPN終端安全管理系統(tǒng)信息安全監(jiān)控機(jī)制監(jiān)控機(jī)制作用監(jiān)測(cè)可潛在威脅提供安全狀態(tài)報(bào)告安全預(yù)警減少安全事件造成的影響提高應(yīng)急響應(yīng)的能力 監(jiān)控機(jī)制組成漏洞掃描系統(tǒng)IP定位系統(tǒng)入侵檢測(cè)報(bào)警事件關(guān)聯(lián)分析威脅場(chǎng)景數(shù)據(jù)庫(kù)信息安全審計(jì)機(jī)制審計(jì)機(jī)制用途威懾違法行為安全策略一致性檢查安全取證審計(jì)機(jī)制組成人工登記操作系統(tǒng)審計(jì)數(shù)據(jù)庫(kù)審計(jì)防火墻日志網(wǎng)絡(luò)設(shè)備日志專用審計(jì)設(shè)備應(yīng)急響應(yīng)機(jī)制應(yīng)急響應(yīng)機(jī)制組成: 應(yīng)急管理系統(tǒng)應(yīng)急響應(yīng)預(yù)案應(yīng)急響應(yīng)指揮通信監(jiān)控系統(tǒng)備份系統(tǒng)容災(zāi)系統(tǒng)應(yīng)急響應(yīng)工具應(yīng)急響應(yīng)

7、機(jī)制目標(biāo):安全事件快速處置災(zāi)害恢復(fù)BS7799信息安全管理體系一般建立方法信息安全等級(jí)保護(hù)體系建立方法1.定級(jí)2.安全設(shè)計(jì)和規(guī)劃3.安全實(shí)施4.安全運(yùn)行5.監(jiān)控與改進(jìn)定級(jí)1.系統(tǒng)資產(chǎn)識(shí)別2.系統(tǒng)資產(chǎn)價(jià)值確認(rèn)安全設(shè)計(jì)和規(guī)劃監(jiān)控與改進(jìn)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析企業(yè)網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用分析企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估企業(yè)網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用分析財(cái)務(wù)VLAN工程技術(shù)VLAN項(xiàng)目VLAN對(duì)內(nèi)服務(wù)器VLAN對(duì)外服務(wù)器Internet企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析管理層應(yīng)用層系統(tǒng)層網(wǎng)絡(luò)層物理層物理層安全分析 設(shè)備防盜，防毀 鏈路老化，人為破壞，被動(dòng)物咬斷等 網(wǎng)絡(luò)設(shè)備自身故障 停電導(dǎo)致網(wǎng)絡(luò)設(shè)備無(wú)法工作 機(jī)房電磁輻射 其他網(wǎng)

8、絡(luò)層安全分析 安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)風(fēng)險(xiǎn) 非法用戶對(duì)服務(wù)器的安全威脅 內(nèi)部局域網(wǎng)帶來(lái)安全威脅操作系統(tǒng)層安全分析 1000個(gè)以上的商用操作系統(tǒng)安全漏洞 沒有及時(shí)添加安全補(bǔ)丁 病毒程序的傳播 文件/用戶權(quán)限設(shè)置錯(cuò)誤 默認(rèn)安裝的不安全設(shè)置 缺省用戶的權(quán)限和密碼口令 用戶設(shè)置過(guò)于簡(jiǎn)單密碼使用 特洛依木馬應(yīng)用層安全分析 網(wǎng)上瀏覽應(yīng)用安全 電子郵件應(yīng)用安全 WWW應(yīng)用的安全 FTP應(yīng)用的安全 Telnet的安全性 網(wǎng)絡(luò)管理協(xié)議(SNMP) 應(yīng)用層的身份識(shí)別管理層安全分析 內(nèi)部人員信息泄漏風(fēng)險(xiǎn)； 機(jī)房沒有任何限制，任何人都可以進(jìn)出； 內(nèi)部工作人員因誤操作而帶來(lái)安全風(fēng)險(xiǎn)； 內(nèi)部員工在未經(jīng)允許在內(nèi)部網(wǎng)上做攻擊測(cè)試；

9、 建立各種網(wǎng)絡(luò)安全規(guī)范。企業(yè)網(wǎng)絡(luò)安全規(guī)劃企業(yè)網(wǎng)絡(luò)安全規(guī)劃的原則企業(yè)網(wǎng)絡(luò)安全規(guī)劃體系企業(yè)網(wǎng)絡(luò)安全解決技術(shù)企業(yè)網(wǎng)絡(luò)安全規(guī)劃的原則 “木桶”原則 “整體性”原則 “有效性與實(shí)用性”原則 “安全性評(píng)價(jià)”原則 “等級(jí)性”原則 “動(dòng)態(tài)化”原則 有的放矢、各取所需原則企業(yè)網(wǎng)絡(luò)安全規(guī)劃體系“防護(hù)檢測(cè)分析響應(yīng)” 的安全防護(hù)體系 信息安全體系建設(shè)典型解決方案統(tǒng)一用戶管理網(wǎng)絡(luò)安全邊界控制網(wǎng)絡(luò)安全集中監(jiān)測(cè)網(wǎng)絡(luò)集中統(tǒng)一防病毒網(wǎng)絡(luò)內(nèi)容安全管理遠(yuǎn)程訪問(wèn)安全補(bǔ)丁統(tǒng)一管理桌面安全管理應(yīng)用系統(tǒng)統(tǒng)一認(rèn)證撥號(hào)用戶 B撥號(hào)用戶 C撥號(hào)用戶 A撥號(hào)用戶 DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全

10、信息丟失未授權(quán)接入非法外聯(lián)監(jiān)控安全事件處理IT 系統(tǒng)運(yùn)維面臨的問(wèn)題現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL（規(guī)則控制）71%*2004 CSI/FBI Computer Crime and Security Survey資料來(lái)源：Computer Security Institute移動(dòng)用戶D廣域網(wǎng)如何進(jìn)行信息系統(tǒng)的等級(jí)化保護(hù)？ 各信息系統(tǒng)依據(jù)重要程度的等級(jí)需要?jiǎng)澐植煌踩珡?qiáng)度的安全域，采取不同的安全控制措施和制定安全策略完成安全設(shè)施的重新部署或響應(yīng)如何從全局角度對(duì)安全狀況分析、評(píng)估與管理獲得全局安全視圖制定安全策略指導(dǎo)或自動(dòng)Internet p用戶如何

11、管理現(xiàn)有安全資源并執(zhí)行策略機(jī)制？補(bǔ)丁服務(wù)器p打補(bǔ)丁了嗎？更新補(bǔ)丁了嗎？ppppppppppp困境無(wú)法知道哪些機(jī)器沒有安裝漏洞補(bǔ)丁知道哪些機(jī)器但是找不到機(jī)器在哪里機(jī)器太多不知如何做起系統(tǒng)安全漏洞微軟每周都有數(shù)個(gè)修正檔需要更新2003年Windows 2000 Server有50個(gè)漏洞補(bǔ)丁Internet 用戶如何防止內(nèi)部信息的泄露？未經(jīng)安全檢查與過(guò)濾，違規(guī)接入內(nèi)部網(wǎng)絡(luò)私自撥號(hào)上網(wǎng)Internet 用戶如何實(shí)現(xiàn)積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實(shí)時(shí)監(jiān)控病毒 與攻擊語(yǔ)音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段教學(xué)網(wǎng)段1網(wǎng)站OA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)

12、段校園網(wǎng)服務(wù)器群Internet保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全1、網(wǎng)絡(luò)設(shè)備2、通訊設(shè)備3、通訊線路4、可用性5、機(jī)密性6、完整性7、可管理性保護(hù)邊界與外部連接邊界進(jìn)出數(shù)據(jù)流的有效控制與監(jiān)視保護(hù)計(jì)算環(huán)境操作系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)終端保護(hù)應(yīng)用業(yè)務(wù)系統(tǒng)辦公自動(dòng)化系統(tǒng)其他應(yīng)用系統(tǒng).網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)需求教學(xué)網(wǎng)段5內(nèi)部辦公NIntranet 2邊界處的訪問(wèn)控制4邊界處的病毒與惡意代碼防護(hù)5邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號(hào)監(jiān)控3邊界處的網(wǎng)絡(luò)入侵檢測(cè)1邊界處的認(rèn)證與授權(quán)網(wǎng)絡(luò)邊界與外部連接的保護(hù)需求6邊界處的垃圾郵件和內(nèi)容過(guò)濾計(jì)算環(huán)境的保護(hù)需求1基于主機(jī)的入侵檢測(cè)2基于主機(jī)的惡意代碼和病毒檢測(cè)3主機(jī)脆弱性掃描4主機(jī)系統(tǒng)加固5主機(jī)文件

13、完整性檢查6主機(jī)用戶認(rèn)證與授權(quán)7主機(jī)數(shù)據(jù)存儲(chǔ)安全8主機(jī)訪問(wèn)控制DMZ? E-Mail? File Transfer? HTTPIntranet學(xué)校網(wǎng)絡(luò)教學(xué)區(qū)教務(wù)區(qū)財(cái)務(wù)部人事部路由Internet中繼管理分析 & 實(shí)施策略安 全 隱 患外部/個(gè)體外部/組織內(nèi)部/個(gè)體內(nèi)部/組織關(guān)閉安全維護(hù)“后門”更改缺省的系統(tǒng)口令Modem用戶安全培訓(xùn)授權(quán)復(fù)查入侵檢測(cè)實(shí)時(shí)監(jiān)控安裝認(rèn)證 & 授權(quán)數(shù)據(jù)文件加密添加所有操作系統(tǒng)Patch看不懂進(jìn)不來(lái)拿不走改不了跑不了可審查信息安全的目的打不垮采取的解決辦法一對(duì)于非法訪問(wèn)及攻擊類 -在非可信網(wǎng)絡(luò)接口處安裝訪問(wèn)控制防火墻、蠕蟲墻、Dos/DDos墻、IPsec VPN、SS

14、L VPN、內(nèi)容過(guò)濾系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段Internet防火墻、IPSEC VPN、SSL VPN、內(nèi)容過(guò)濾等防DOS/DDOS設(shè)備個(gè)人安全套件語(yǔ)音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法二對(duì)于病毒、蠕蟲、木馬類 -實(shí)施全網(wǎng)絡(luò)防病毒系統(tǒng)對(duì)于垃圾郵件類 -在網(wǎng)關(guān)處實(shí)施防垃圾郵件系統(tǒng)Internet郵件過(guò)濾網(wǎng)關(guān)、反垃圾郵件系統(tǒng)在MAIL系統(tǒng)中郵件病毒過(guò)濾系統(tǒng)、反垃圾郵件系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段語(yǔ)音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)

15、段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法三對(duì)于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類 -在各網(wǎng)絡(luò)中安裝IDS系統(tǒng) -在系統(tǒng)中安裝安全隱患掃描系統(tǒng) -在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng) -在主機(jī)中安裝資源管理系統(tǒng) -在主機(jī)中安裝防火墻系統(tǒng) -在重要主機(jī)中安裝內(nèi)容過(guò)濾系統(tǒng) -在重要主機(jī)中安裝VPN系統(tǒng)人事商務(wù)網(wǎng)段Internet領(lǐng)導(dǎo)網(wǎng)段語(yǔ)音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5采取的解決辦法四對(duì)于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng) -在網(wǎng)絡(luò)中配置管理系統(tǒng) -在網(wǎng)絡(luò)中配置信息審計(jì)系統(tǒng) -在網(wǎng)絡(luò)中配置日志審計(jì)系

16、統(tǒng) -在網(wǎng)絡(luò)中補(bǔ)丁分發(fā)系統(tǒng) -在網(wǎng)絡(luò)中配置安全管理中心銷售體系網(wǎng)段NInternet安全審計(jì)中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100領(lǐng)導(dǎo)網(wǎng)段語(yǔ)音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5安全管理中心專家?guī)霫nternet領(lǐng)導(dǎo)網(wǎng)段語(yǔ)音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3安服網(wǎng)段教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園

17、網(wǎng)服務(wù)器群教學(xué)網(wǎng)段5網(wǎng)絡(luò)安全接入與認(rèn)證802.1x協(xié)議及工作機(jī)制 基于RADIUS的認(rèn)證計(jì)費(fèi) 基于802.1x的認(rèn)證計(jì)費(fèi) 幾種認(rèn)證方式比較 防止IP地址盜用 802.1x+RADIUS的應(yīng)用案例 802.1x協(xié)議及工作機(jī)制802.1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議（Port Based Network Access Control Protocol），該協(xié)議的核心內(nèi)容如下圖所示。靠近用戶一側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP（Extensible Authentication Protocol，可擴(kuò)展的認(rèn)證協(xié)議）代理，用戶PC機(jī)運(yùn)行EAPoE（EAP over Ethernet）的客戶端軟件與交換

18、機(jī)通信。802.1x協(xié)議包括三個(gè)重要部分：客戶端請(qǐng)求系統(tǒng)（Supplicant System）認(rèn)證系統(tǒng)（Authenticator System）認(rèn)證服務(wù)器（Authentication Server System）802.1x協(xié)議及工作機(jī)制上圖描述了三者之間的關(guān)系以及互相之間的通信?？蛻魴C(jī)安裝一個(gè)EAPoE客戶端軟件，該軟件支持交換機(jī)端口的接入控制，用戶通過(guò)啟動(dòng)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過(guò)程。認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機(jī)。該交換機(jī)有兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPoE協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端

19、口只有在認(rèn)證通過(guò)之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息。如果用戶未通過(guò)認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境?；赗ADIUS的認(rèn)證計(jì)費(fèi)衡量RADIUS的標(biāo)準(zhǔn) RADIUS的性能是用戶該關(guān)注的地方，比如，能接受多少請(qǐng)求以及能處理多少事務(wù)。同時(shí)遵循標(biāo)準(zhǔn)，并具備良好的與接入控制設(shè)備的互操作性是RADIUS服務(wù)器好壞的重要指標(biāo)。安全性也是關(guān)注的重點(diǎn)，服務(wù)器在和網(wǎng)絡(luò)接入服務(wù)器（NAS，Network Access Servers）通信的過(guò)程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實(shí)現(xiàn)諸多管理安全特性和策略是非

20、常重要的一環(huán)。是否支持強(qiáng)制時(shí)間配額，這種功能使網(wǎng)絡(luò)管理員可以限制用戶或用戶組能夠通過(guò)RADIUS服務(wù)器接入網(wǎng)絡(luò)多長(zhǎng)時(shí)間。RADIUS服務(wù)器是否都通過(guò)ODBC或JDBC，利用SQL Server數(shù)據(jù)庫(kù)保存和訪問(wèn)用戶配置文件。 RADIUS認(rèn)證系統(tǒng)的組成RADIUS是一種C/S結(jié)構(gòu)的協(xié)議。Radius Client一般是指與NAS通信的、處理用戶上網(wǎng)驗(yàn)證的軟件；Radius Server一般是指認(rèn)證服務(wù)器上的計(jì)費(fèi)和用戶驗(yàn)證軟件。Server與Client通信進(jìn)行認(rèn)證處理，這兩個(gè)軟件都是遵循RFC相關(guān)Radius協(xié)議設(shè)計(jì)的。RADIUS的客戶端最初就是NAS，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算

21、機(jī)都可以成為RADIUS的客戶端。如下圖。 RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、口令等相關(guān)信息。其中用戶口令是經(jīng)過(guò)MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播。RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問(wèn)。如果允許訪問(wèn)，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Accou

22、nt-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作?；?02.1x的認(rèn)證計(jì)費(fèi)（1）用戶開始上網(wǎng)時(shí)，啟動(dòng)802.1x客戶端軟件。該軟件查詢網(wǎng)絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機(jī)。當(dāng)支持802.1x協(xié)議的交換機(jī)接收到EAPoE數(shù)據(jù)包時(shí)，就會(huì)向請(qǐng)求者發(fā)送響應(yīng)的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機(jī)的響應(yīng)后，提供身份標(biāo)識(shí)給認(rèn)證服務(wù)器。由于此時(shí)客戶端還未經(jīng)過(guò)驗(yàn)證，因此認(rèn)證流只能從交換機(jī)未受控邏輯端口經(jīng)過(guò)。交換機(jī)通過(guò)EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。（3）如果認(rèn)證通過(guò)，則認(rèn)證系統(tǒng)的交換機(jī)的受控邏輯端口打

23、開。（4）客戶端軟件發(fā)起DHCP請(qǐng)求，經(jīng)認(rèn)證交換機(jī)轉(zhuǎn)發(fā)到DHCP Server。（5）DHCP Server為用戶分配IP地址。（6）DHCP Server分配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù)器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP地址等信息，并建立動(dòng)態(tài)的ACL訪問(wèn)列表，以限制用戶的權(quán)限。（7）當(dāng)認(rèn)證交換機(jī)檢測(cè)到用戶的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開始對(duì)用戶計(jì)費(fèi)。（8）當(dāng)用戶退出網(wǎng)絡(luò)時(shí)間，可用鼠標(biāo)點(diǎn)擊客戶端軟件（在用戶上網(wǎng)期間，該軟件處于運(yùn)行狀態(tài)）的“退出”按鈕。認(rèn)證系統(tǒng)檢測(cè)到該數(shù)據(jù)包后，會(huì)通知AAA（Authentication，Authorization，Accoun

24、ting）服務(wù)器停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（如MAC和IP地址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài)。（9）如果上網(wǎng)的PC機(jī)異常死機(jī)，當(dāng)驗(yàn)證設(shè)備檢測(cè)不到PC機(jī)在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息。幾種認(rèn)證方式比較 PPPoE： PPPoE的本質(zhì)就是在以太網(wǎng)上運(yùn)行PPP協(xié)議。由于PPP協(xié)議認(rèn)證過(guò)程的第一階段是發(fā)現(xiàn)階段，廣播只能在二層網(wǎng)絡(luò)，才能發(fā)現(xiàn)寬帶接入服務(wù)器。因此，也就決定了在客戶機(jī)和服務(wù)器之間，不能有路由器或三層交換機(jī)。另外，由于PPPoE點(diǎn)對(duì)點(diǎn)的本質(zhì)，在客戶機(jī)和服務(wù)器之間，限制了組播協(xié)議存在。這樣，將會(huì)在一定程度上，影響視頻業(yè)務(wù)的開展。除此之外，PPP協(xié)議

25、需要再次封裝到以太網(wǎng)中，所以效率較低。 WebDHCP：采用旁路方式網(wǎng)絡(luò)架構(gòu)時(shí)，不能對(duì)用戶進(jìn)行類似帶寬管理。另外，DHCP是動(dòng)態(tài)分配IP地址，但其本身的成熟度加上設(shè)備對(duì)這種方式支持力度還較小，故在防止用戶盜用IP地址等方面，還需要額外的手段來(lái)控制。除此之外，用戶連接性差，易用性不夠好。802.1x：802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入交換機(jī)無(wú)須支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上，用戶通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒有特殊要求。在認(rèn)證過(guò)程中，802.1x不用封裝幀到以太網(wǎng)中，效率相

26、對(duì)較高。防止IP地址盜用1. 使用ARP命令（1）使用操作系統(tǒng)的ARP命令進(jìn)入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP s 00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會(huì)出現(xiàn)客戶機(jī)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況發(fā)生。ARP命令僅對(duì)局域網(wǎng)的上網(wǎng)服務(wù)器、客戶機(jī)的靜態(tài)IP地址有效。當(dāng)被綁定IP地址的計(jì)算機(jī)宕機(jī)后，地址幫綁定關(guān)系解除。如果采用Modem撥號(hào)上網(wǎng)或是動(dòng)態(tài)IP地址就不起作用。ARP命令的參數(shù)的功能如下：ARP -s -d -a-s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子

27、。-d：刪除相應(yīng)的IP地址與物理地址的捆綁。-a：通過(guò)查詢ARP協(xié)議表顯示IP地址和對(duì)應(yīng)物理地址的情況。（2）使用交換機(jī)的ARP命令例如，Cisco的二層和三層交換機(jī)。在二層交換機(jī)只能綁定與該交換機(jī)IP地址具有相同網(wǎng)絡(luò)地址的IP地址。在三層交換機(jī)可以綁定該設(shè)備所有VLAN的IP地址。交換機(jī)支持靜態(tài)綁定和動(dòng)態(tài)幫綁定，一般采用靜態(tài)綁定。其綁定操作過(guò)程是：采用Telnet命令或Console口連接交換機(jī)，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入綁定命令：arp 0010.5CAD.72E3 arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：no arp 即可。防止IP地址

28、盜用2. 使用802.1x的安全接入與Radius認(rèn)證（1）采用IP和賬號(hào)綁定，防止靜態(tài)IP沖突 用戶進(jìn)行802.1x認(rèn)證時(shí)，用戶還沒有通過(guò)認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用賬號(hào)密碼試圖通過(guò)認(rèn)證時(shí)，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)和其IP做了綁定，認(rèn)證服務(wù)器對(duì)其不予通過(guò)認(rèn)證，從而同樣不會(huì)造成IP沖突。當(dāng)用戶使用正確的賬號(hào)IP通過(guò)認(rèn)證后，再更改IP時(shí)，Radius客戶端軟件能夠檢測(cè)到IP的更改，即刻剔除用戶下線，從而不會(huì)造成IP沖突。（2）采用客戶IP屬性校驗(yàn)，防止動(dòng)態(tài)IP沖突 用戶進(jìn)行802.1X認(rèn)證前不用動(dòng)態(tài)獲得IP，而是靜態(tài)指定。認(rèn)證前用戶還沒有通過(guò)認(rèn)證，

29、該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用賬號(hào)密碼試圖通過(guò)認(rèn)證，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)的IP屬性是動(dòng)態(tài)IP，認(rèn)證報(bào)文中該用戶的IP屬性確是靜態(tài)IP，則認(rèn)證服務(wù)器對(duì)其不予通過(guò)認(rèn)證，從而同樣不會(huì)造成IP沖突。802.1x+RADIUS的應(yīng)用案例網(wǎng)絡(luò)病毒及防御 瑞星網(wǎng)絡(luò)版的防殺毒系統(tǒng) 保護(hù)網(wǎng)絡(luò)邊界網(wǎng)絡(luò)邊界防火墻和路由器應(yīng)用使用網(wǎng)絡(luò)DMZ構(gòu)建入侵檢測(cè)系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用 防火墻和路由器應(yīng)用 -1邊界安全設(shè)備叫做防火墻。防火墻阻止試圖對(duì)組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入網(wǎng)絡(luò)的活動(dòng)，防止外部進(jìn)行拒絕服務(wù)（DoS，Denial of Service）攻擊，禁止一定范圍內(nèi)黑客

30、利用Internet來(lái)探測(cè)用戶內(nèi)部網(wǎng)絡(luò)的行為。阻塞和篩選規(guī)則由網(wǎng)管員所在機(jī)構(gòu)的安全策略來(lái)決定。防火墻也可以用來(lái)保護(hù)在Intranet中的資源不會(huì)受到攻擊。不管在網(wǎng)絡(luò)中每一段用的是什么類型的網(wǎng)絡(luò)（公共的或私有的）或系統(tǒng)，防火墻都能把網(wǎng)絡(luò)中的各個(gè)段隔離開并進(jìn)行保護(hù)。 雙防火墻體系結(jié)構(gòu) 防火墻和路由器應(yīng)用 -2防火墻通常與連接兩個(gè)圍繞著防火墻網(wǎng)絡(luò)中的邊界路由器一起協(xié)同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設(shè)置為執(zhí)報(bào)文篩選和NAT，而讓防火墻來(lái)完成特定的端口阻塞和報(bào)文檢查，這樣的配置將整體上提高網(wǎng)絡(luò)的性能。根據(jù)這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置防火墻，最安全也是最簡(jiǎn)單的方法就是：首先阻塞所有

31、的端口號(hào)并且檢查所有的報(bào)文，然后對(duì)需要提供的服務(wù)有選擇地開放其端口號(hào)。通常來(lái)說(shuō)，要想讓一臺(tái)Web服務(wù)器在Internet上僅能夠被匿名訪問(wèn)，只開放80端口（http協(xié)議）或443端口（httpsSSL協(xié)議）即可。使用網(wǎng)絡(luò)DMZ 把Web服務(wù)器放在DMZ中，必須保證Web服務(wù)器與的Intranet處于不同的子網(wǎng)。這樣當(dāng)網(wǎng)絡(luò)流量進(jìn)入路由器時(shí)，連接到Internet上的路由器和防火墻就能對(duì)網(wǎng)絡(luò)流量進(jìn)行篩選和檢查了。這樣，就證實(shí)了DMZ是一種安全性較高的措施；所以除了Web服務(wù)器，還應(yīng)該考慮把E-mail（SMTP/POP）服務(wù)器和FTP服務(wù)器等，也一同放在DMZ中 。構(gòu)建入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)可分

32、為基于網(wǎng)絡(luò)的IDS，基于主機(jī)的IDS、分布式IDS和智能IDS?；诰W(wǎng)絡(luò)的IDS適應(yīng)能力強(qiáng)，其開發(fā)難度略小于其他幾種。根據(jù)CIDF規(guī)范，一般從功能上將入侵檢測(cè)系統(tǒng)劃分為四個(gè)基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)，如下圖所示。構(gòu)建入侵檢測(cè)系統(tǒng)建構(gòu)步驟獲取libpcap和tcpdump審計(jì)蹤跡是IDS的數(shù)據(jù)來(lái)源，而數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ)，否則，入侵檢測(cè)就無(wú)從談起。數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。目前比較流行的做法是：使用libpcap和tcpdump，將網(wǎng)卡置于“混雜”模式，捕獲某個(gè)網(wǎng)段上所有的數(shù)據(jù)

33、流。libpcap和tcpdump在網(wǎng)上廣為流傳，讀者可以到相關(guān)網(wǎng)站下載。 libpcap是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備工具，它是獨(dú)立于系統(tǒng)的API接口，為底層網(wǎng)絡(luò)監(jiān)控提供了一個(gè)可移植的框架，可用于網(wǎng)絡(luò)統(tǒng)計(jì)收集、安全監(jiān)控、網(wǎng)絡(luò)調(diào)試等應(yīng)用。 tcpdump是用于網(wǎng)絡(luò)監(jiān)控的工具，是Unix上常用的sniffer。它的實(shí)現(xiàn)基于libpcap接口，通過(guò)應(yīng)用布爾表達(dá)式進(jìn)行過(guò)濾轉(zhuǎn)換、包獲取和包顯示等功能。tcpdump可以幫助網(wǎng)管員描述系統(tǒng)的正常行為，并最終識(shí)別出那些不正常的行為。當(dāng)然，它只是有益于收集關(guān)于某網(wǎng)段上的數(shù)據(jù)流（網(wǎng)絡(luò)流類型、連接等）信息，至于分析網(wǎng)絡(luò)活動(dòng)是否正常，那是程序員和管理員所要做的工作。 構(gòu)建并配置探測(cè)器，實(shí)現(xiàn)數(shù)據(jù)采集 應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備。如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺(tái)性能較高的機(jī)器。在Linux服務(wù)