網(wǎng)絡(luò)設(shè)備典型故障分析與排查網(wǎng)絡(luò)設(shè)備維護(hù)常用網(wǎng)絡(luò)故障診斷與維護(hù)工具KC09141605o11

廣西大學(xué)邵洪濤2010年3月第七章常用網(wǎng)絡(luò)故障診斷與維護(hù)工具學(xué)習(xí)內(nèi)容：網(wǎng)絡(luò)安全問題安全體系結(jié)構(gòu)安全防范體系及設(shè)計(jì)原則計(jì)算機(jī)病毒的防治網(wǎng)絡(luò)攻擊與防護(hù)防火墻與網(wǎng)絡(luò)邊緣

安全學(xué)習(xí)目標(biāo)：了解：網(wǎng)絡(luò)安全體系的結(jié)構(gòu)理解：安全防范體系機(jī)器設(shè)計(jì)原則掌握：計(jì)算機(jī)病毒的防治內(nèi)網(wǎng)安全防護(hù)策略防火墻的技術(shù)發(fā)展7.1網(wǎng)絡(luò)安全問題7.1.1網(wǎng)絡(luò)安全問題的產(chǎn)生網(wǎng)絡(luò)安全信息安全：信息的完整性、可用性、

保密性和可靠性?？刂瓢踩荷矸菡J(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制互聯(lián)網(wǎng)與生俱來的特性開放性交互性分散性7.1網(wǎng)絡(luò)安全問題7.1.2網(wǎng)絡(luò)安全成為人類共同面臨的挑戰(zhàn)在不到一代人的時(shí)間里，信息革命以及計(jì)算機(jī)進(jìn)入了社會的每一領(lǐng)域，這一現(xiàn)象改變了國家的經(jīng)濟(jì)運(yùn)行和安全運(yùn)作乃至人們的日常生活方式，然而，這種美好的、新的時(shí)代也帶有它自身的風(fēng)險(xiǎn)。所有計(jì)算機(jī)驅(qū)動(dòng)的系統(tǒng)都很容易受到侵犯和破壞。對重要的經(jīng)濟(jì)部門或政府機(jī)構(gòu)的計(jì)算機(jī)進(jìn)行任何有計(jì)劃的攻擊都可能產(chǎn)生災(zāi)難性的后果，這種危險(xiǎn)是客觀存在的。過去敵對力量和恐怖主義分子毫無例外地使用炸彈和子彈，現(xiàn)在他們可以把手提電腦變成有效武器，可以造成非常巨大的危害。如果人們想要繼續(xù)享受信息時(shí)代的種種好處，繼續(xù)使國家安全和經(jīng)濟(jì)繁榮得到保障，就必須保護(hù)計(jì)算機(jī)控制系統(tǒng)，使它們免受攻擊。

克林頓《保護(hù)信息系統(tǒng)國家計(jì)劃》7.1網(wǎng)絡(luò)安全問題7.1.3我國網(wǎng)絡(luò)安全問題日益突出計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重電腦黑客活動(dòng)已形成重要威脅信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁我國網(wǎng)絡(luò)安全問題

日益突出的主要標(biāo)志7.1網(wǎng)絡(luò)安全問題7.1.4制約我國提高網(wǎng)絡(luò)安全方法能力的因素1.缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)和軟件核心技術(shù)2.安全意識淡薄是網(wǎng)絡(luò)安全的瓶頸3.運(yùn)行管理機(jī)制的缺陷和不足制約了安全防范的力度4.缺乏制度化的防范機(jī)制1)網(wǎng)絡(luò)安全管理方面人才匱乏2)安全措施不到位3)缺乏綜合性的解決方案7.2安全體系結(jié)構(gòu)7.2.1網(wǎng)絡(luò)安全的需求和挑戰(zhàn)1)應(yīng)對各類情況，保證系統(tǒng)穩(wěn)定運(yùn)行2)確保意外情況下系統(tǒng)的安全恢復(fù)3)保證重要信息的秘密內(nèi)容不被泄露管理角度技術(shù)管理角度1)做好冗余、備份的規(guī)劃和管理工作2)合理規(guī)劃信息系統(tǒng)管理和使用的各種角色3)管理系統(tǒng)中的權(quán)限4)保證信息存儲的安全5)保證信息傳輸?shù)陌踩?)系統(tǒng)管理和使用活動(dòng)保存與查詢7.2安全體系結(jié)構(gòu)7.2.2安全體系結(jié)構(gòu)身份鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性不可抵賴防病毒審計(jì)管理可用性物理環(huán)境基礎(chǔ)平臺業(yè)務(wù)系統(tǒng)安全管理身份認(rèn)證

子系統(tǒng)加密

子系統(tǒng)安全防御與

響應(yīng)子系統(tǒng)安全備份與

恢復(fù)子系統(tǒng)監(jiān)控

子系統(tǒng)授權(quán)管理

子系統(tǒng)安全子系統(tǒng)系統(tǒng)單元安全特性安全體系結(jié)構(gòu)7.2安全體系結(jié)構(gòu)7.2.3安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)物理層安全設(shè)計(jì)1.環(huán)境安全2.設(shè)備安全3.線路安全基礎(chǔ)平臺安全設(shè)計(jì)1.平臺自身軟件的安全考慮1.平臺層的病毒問題平臺層網(wǎng)絡(luò)設(shè)計(jì)的重要安全環(huán)節(jié)1.網(wǎng)絡(luò)隔離設(shè)計(jì)2.防火墻與DMZ(非軍事區(qū))的應(yīng)用和設(shè)置3.入侵檢測的應(yīng)用和設(shè)置4.基礎(chǔ)平臺層的管理與安全5.基礎(chǔ)平臺層的安全審計(jì)應(yīng)用層安全設(shè)計(jì)管理層面安全設(shè)計(jì)CA認(rèn)證措施安全管理制度7.2安全體系結(jié)構(gòu)7.2.4總結(jié)一個(gè)成功的信息網(wǎng)絡(luò)系統(tǒng)必須面對以上這些方面進(jìn)行統(tǒng)一考慮處理。忽視了其中某些方面，對于普通網(wǎng)絡(luò)將造成損失，而對于特殊行業(yè)網(wǎng)絡(luò)，將導(dǎo)致災(zāi)難性的后果。7.3安全防范體系及設(shè)計(jì)原則7.3.1OSI安全體系標(biāo)準(zhǔn)OpenSystemInterconnectReferenceModel(OSI)開放式系統(tǒng)互聯(lián)參考模型網(wǎng)絡(luò)安全(NetworkSecurity)安全攻擊(SecurityAttack)安全機(jī)制(SecurityMechanism)安全服務(wù)(SecurityService)是指損害機(jī)構(gòu)所擁有信息的安全的任何行為；是指設(shè)計(jì)用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機(jī)制；是指采用一種或多種安全機(jī)制以抵御安全攻擊、提高機(jī)構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。一種安全服務(wù)可以通過某種安全機(jī)制單獨(dú)提供，也可以通過多種安全機(jī)制聯(lián)合提供，一種安全機(jī)制可用于提供一種或多種安全服務(wù)。安全攻擊、安全機(jī)制、安全服務(wù)之間的關(guān)系釋放消息內(nèi)容流星分析偽裝重放更改消息拒絕服務(wù)安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換流星填充路由控制公證對等實(shí)體認(rèn)證數(shù)據(jù)源認(rèn)證訪問控制機(jī)密性流星機(jī)密性數(shù)據(jù)完整性非否認(rèn)服務(wù)可用性安全攻擊安全機(jī)制7.3安全防范體系及設(shè)計(jì)原則7.3.1OSI安全體系標(biāo)準(zhǔn)1.安全服務(wù)對象認(rèn)證安全服務(wù)訪問控制安全服務(wù)數(shù)據(jù)保密性安全服務(wù)數(shù)據(jù)完整性安全服務(wù)防抵賴性安全服務(wù)2.安全機(jī)制加密機(jī)制數(shù)字簽名訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證交換機(jī)制防業(yè)務(wù)流量分析機(jī)制路由控制機(jī)制公證機(jī)制3.安全管理是對安全服務(wù)和安全機(jī)制進(jìn)行管理，把管理信息分配到有關(guān)的安全服務(wù)和安全機(jī)制中去，并收集與它們的操作有關(guān)的信息。7.3安全防范體系及設(shè)計(jì)原則7.3.2安全防范體系應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層物理層對象實(shí)體認(rèn)證數(shù)據(jù)源認(rèn)證訪問控制機(jī)密性流量機(jī)密性數(shù)據(jù)完整性非否認(rèn)服務(wù)可用性安全服務(wù)通信平臺網(wǎng)絡(luò)平臺系統(tǒng)平臺應(yīng)用平臺物理環(huán)境協(xié)議層次系統(tǒng)單元DISSP安全框架7.3安全防范體系及設(shè)計(jì)原則7.3.3網(wǎng)絡(luò)安全防范體系層次安全管理網(wǎng)絡(luò)層安全系統(tǒng)層安全應(yīng)用層安全物理層安全1.物理環(huán)境的安全性(物理層安全)2.操作系統(tǒng)的安全性(系統(tǒng)層安全)3.網(wǎng)絡(luò)的安全性(網(wǎng)絡(luò)層安全)4.應(yīng)用的安全性(應(yīng)用層安全)5.管理的安全性(管理層安全)7.3安全防范體系及設(shè)計(jì)原則7.3.4網(wǎng)絡(luò)安全防范體系設(shè)計(jì)原則網(wǎng)絡(luò)信息安全木板原則網(wǎng)絡(luò)信息安全整體性原則安全性評價(jià)與平衡原則標(biāo)準(zhǔn)化與一致性原則技術(shù)與管理相結(jié)合原則統(tǒng)籌規(guī)劃，分布實(shí)施原則等級性原則動(dòng)態(tài)發(fā)展原則易操作性原則網(wǎng)絡(luò)

安全

防范

體系

設(shè)計(jì)

原則7.4計(jì)算機(jī)病毒的防治7.4.1病毒的定義病毒(Virus)：不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)、影響計(jì)算機(jī)使用并能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。7.4計(jì)算機(jī)病毒的防治7.4.2病毒的特征病毒的特征傳染性隱蔽性破壞性可激發(fā)性潛伏性7.4計(jì)算機(jī)病毒的防治7.4.3病毒的分類1.根據(jù)計(jì)算機(jī)病毒攻擊的系統(tǒng)分類

DOS病毒/WINDOWS病毒/

UNIX病毒/OS/2病毒/

LINUX病毒2.按照計(jì)算機(jī)病毒的鏈結(jié)方式分類 源碼型病毒/嵌入型病毒 外殼型病毒 操作系統(tǒng)型病毒3.按照計(jì)算機(jī)病毒的破壞情況分類 良性病毒/

惡性病毒4.按照計(jì)算機(jī)病毒的寄生部位或傳染對象分類 磁盤引導(dǎo)區(qū)病毒 操作系統(tǒng)病毒 可執(zhí)行程序病毒5.按照計(jì)算機(jī)病毒激活時(shí)間分類6.按傳播媒介分類

單機(jī)病毒/網(wǎng)絡(luò)病毒7.4計(jì)算機(jī)病毒的防治7.4.4防治1.病毒預(yù)防技術(shù)2.病毒檢測技術(shù)3.病毒消除技術(shù)4.病毒免疫技術(shù)5.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)管理7.5網(wǎng)絡(luò)攻擊與防護(hù)7.5.1攻擊技術(shù)分類探測攻擊隱藏踩點(diǎn)掃描查點(diǎn)日志清理安裝后門內(nèi)核套件竊聽欺騙拒絕服務(wù)數(shù)據(jù)驅(qū)動(dòng)攻擊獲取口令惡意代碼網(wǎng)絡(luò)欺騙導(dǎo)致異常型資源耗盡型欺騙型鍵擊記錄網(wǎng)絡(luò)監(jiān)聽非法訪問數(shù)據(jù)攫取密碼文件緩沖區(qū)溢出格式化字符串攻擊輸入驗(yàn)證攻擊同步漏洞攻擊信任漏洞攻擊攻擊者傀儡主機(jī)傀儡主機(jī)傀儡主機(jī)攻擊目標(biāo)Flood攻擊DDoS守護(hù)進(jìn)程…

攻擊指令DDoS攻擊原理與病毒技術(shù)結(jié)合的攻擊1993…1996…199819992000200019991998…1995…19872004黑客攻擊技術(shù)病毒技術(shù)融合新一代惡意代碼(蠕蟲、木馬)嗅探IP欺騙劫持攻擊自動(dòng)掃描攻擊拒絕服務(wù)攻擊高級掃描工具Windows木馬攻擊Melissa分布式拒絕服務(wù)分布式攻擊工具廣泛傳播的

特洛伊木馬電子郵件傳播的

惡意代碼MelissaWindows木馬攻擊宏病毒StoneMichelangelo?Brain7.5網(wǎng)絡(luò)攻擊與防護(hù)7.5.2網(wǎng)絡(luò)攻擊的趨勢1.自動(dòng)化程度和攻擊速度提高2.攻擊工具越來越復(fù)雜3.發(fā)現(xiàn)安全漏洞越來越快4.越來越高的防火墻滲透率5.越來越不對稱的威脅6.對基礎(chǔ)設(shè)施形成越來越打的威脅7.5網(wǎng)絡(luò)攻擊與防護(hù)7.5.3網(wǎng)絡(luò)防護(hù)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)原則：統(tǒng)一的安全策略管理網(wǎng)絡(luò)整體防御實(shí)時(shí)威脅檢測威脅主動(dòng)隔離內(nèi)網(wǎng)安全防護(hù)策略：為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)；注意內(nèi)網(wǎng)安全與網(wǎng)路邊界安全的不同；限制VPN的訪問；自動(dòng)跟蹤的安全策略；關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器；首先保護(hù)重要資源；創(chuàng)建虛擬邊界防護(hù)；可靠的安全決策；內(nèi)部網(wǎng)7.6防火墻與網(wǎng)絡(luò)邊緣技術(shù)7.6.1基本概念DMZ區(qū)防火墻(FireWall)是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合；有時(shí)也特指位于企業(yè)和組織內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)直接，按照一定的安全策略建立起來的硬件(或)軟件的有機(jī)組成體，以防止黑客的攻擊，限制網(wǎng)絡(luò)互訪，以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。DMZ(DemilitarizedZone)

(隔離區(qū)/非軍事區(qū))是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)直接的緩沖區(qū)。INTERNET用戶服務(wù)器服務(wù)器路由器防火墻7.6防火墻與網(wǎng)絡(luò)邊緣技術(shù)7.6.2防火墻的基本特征內(nèi)部網(wǎng)用戶路由器防火墻INTERNET服務(wù)器

【基本特征】內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力典型的防火墻結(jié)構(gòu)防火墻的過濾功能應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層Permit?外部報(bào)文報(bào)文允許通過防火墻的過濾功能7.6防火墻與網(wǎng)絡(luò)邊緣技術(shù)7.6.3防火墻的技術(shù)發(fā)展包過濾技術(shù)代理技術(shù)狀態(tài)監(jiān)視技術(shù)處理速度快易于配置不能防范黑客攻擊不支持應(yīng)用層協(xié)議不能處理新的安全威脅可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征對數(shù)據(jù)包的檢測能力比較強(qiáng)難于配置處理速度非常慢支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充可以監(jiān)視RPC(遠(yuǎn)程過程調(diào)用)和UDP(用戶數(shù)據(jù)報(bào))端口信息7.6防火墻與網(wǎng)絡(luò)邊緣技術(shù)7.6.3防火墻的類型1)軟件防火墻2)硬件防火墻3)芯片級防火墻1)單一主機(jī)防火墻2)路由器集成式防火墻3)分布式防火墻1)邊界防火墻2)個(gè)人防火墻3)混合防火墻從軟、硬件

形式上劃分從防火墻

結(jié)構(gòu)劃分按防火墻應(yīng)用

部署位置劃分本章小結(jié)1.為了滿足安全計(jì)算機(jī)網(wǎng)絡(luò)的需求，規(guī)避信息安全風(fēng)險(xiǎn)，可在以下4個(gè)層次上建立相應(yīng)的安全體系：物理層安全、基礎(chǔ)平臺層安全、應(yīng)用層安全、管理層安全。2.網(wǎng)絡(luò)安全構(gòu)成劃分為6個(gè)子系統(tǒng)：身份認(rèn)證子系統(tǒng)、加密子系統(tǒng)、安全防御與響應(yīng)子系統(tǒng)、安全備份與恢復(fù)子系統(tǒng)、監(jiān)控子系統(tǒng)、授權(quán)子系統(tǒng)。3.一種安全服務(wù)可以通過某種安全機(jī)制單獨(dú)提供，也可以通過多種安全機(jī)制聯(lián)合提供。一種安全機(jī)制可用于提供一種或多種安全服務(wù)。4.計(jì)算機(jī)病毒是某些人利用計(jì)算機(jī)軟、硬件所固