網(wǎng)絡(luò)安全綜述如何保護你的網(wǎng)絡(luò)和系統(tǒng)

第一頁，共四十六頁。網(wǎng)絡(luò)安全綜述

----如何保護你的網(wǎng)絡(luò)和系統(tǒng)

微軟（中國）有限公司

第二頁，共四十六頁。議程議題1:熱點問題分析議題2:網(wǎng)絡(luò)安全的定義議題3:攻擊和破壞的方式議題4:如何防范議題5:制定企業(yè)的安全策略第三頁，共四十六頁。議題1:熱點問題分析紅色代碼CodeRedIandII尼母達Nimada第四頁，共四十六頁?！凹t色代碼”病毒的工作原理第五頁，共四十六頁。尼母達Nimada的工作原理4種不同的傳播方式IE瀏覽器:利用IE的一個安全漏洞(微軟在2001年3月份已發(fā)布修復程序MS01-020)IIS服務(wù)器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.

(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復程序和解決方案)電子郵件附件:

(已被使用過無數(shù)次的攻擊方式)文件共享:針對所有未做安全限制的共享第六頁，共四十六頁。微軟的應(yīng)對第七頁，共四十六頁。議題2:網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的物理范圍網(wǎng)絡(luò)安全的語義范圍網(wǎng)絡(luò)安全的級別威脅來自哪里第八頁，共四十六頁。

“INTERNET的美妙之處在于你和每個人都能互相連接,INTERNET的可怕之處在于每個人都能和你互相連接”第九頁，共四十六頁。網(wǎng)絡(luò)安全的物理范圍第十頁，共四十六頁。網(wǎng)絡(luò)安全的語義范圍

保密性

完整性可用性可控性

第十一頁，共四十六頁。安全的級別PublicInternalConfidentialSecretWebSite

DataMarketing

DataPayroll

DataTrade

SecretsTypeofDataWhatisatRiskPublicPrestige,Trust,RevenueInternalOperationsConfidentialOperations,InternalTrustSecretIntellectualProperty第十二頁，共四十六頁。威脅來自哪里第十三頁，共四十六頁。議題3:攻擊的方法攻擊的類型攻擊的工具和步驟第十四頁，共四十六頁。成功的攻擊=目的+手段+系統(tǒng)漏洞第十五頁，共四十六頁。常見的攻擊方式社會工程SocialEngineering病毒virus,木馬程序Trojan,蠕蟲Worm拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDosIP地址欺騙和IP包替換IPspoofing,Packetmodification郵件炸彈Mailbombing宏病毒MarcoVirus口令破解Passwordcrack第十六頁，共四十六頁。攻擊的工具和步驟標準的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)第十七頁，共四十六頁。PortScan第十八頁，共四十六頁?！型瑯佣嗟姆椒ê凸ぞ弑Ｗo您的系統(tǒng)PacketFilteringDMZsOperatingSystemConfigurationApplicationSecurityEventMonitoringPKIVPNVirusScanningHotfixesChangeControlGoodOperationalPracticeIPSecSSLISAServer第十九頁，共四十六頁。主題4:如何防范Internet訪問的安全控制Internet上信息發(fā)布的安全遠程用戶和網(wǎng)絡(luò)的安全控制服務(wù)器安全管理郵件系統(tǒng)的安全客戶端的安全微軟發(fā)布的安全工具和安全功能如何檢測攻擊行為第二十頁，共四十六頁。第二十一頁，共四十六頁。Internet訪問的安全控制FirewallInternetDMZInternalNetwork第二十二頁，共四十六頁。遠程用戶和網(wǎng)絡(luò)的安全控制使用ＶＰＮ確保遠程用戶和遠程網(wǎng)絡(luò)的安全Internet遠程客戶端VPN服務(wù)器遠程網(wǎng)絡(luò)防火墻Web服務(wù)器第二十三頁，共四十六頁。防火墻的重要性公網(wǎng)和內(nèi)網(wǎng)的隔離帶公網(wǎng)和內(nèi)網(wǎng)的連接橋梁可以對網(wǎng)絡(luò)行為實行統(tǒng)一的控制但是…第二十四頁，共四十六頁。微軟的ISA服務(wù)器ISA=防火墻+雙向Web緩存+集中管理ISA的安全特性通過ICSA認證支持IP包過濾,進程級過濾和應(yīng)用級過濾支持流媒體和多址廣播報表功能入侵檢測功能SystemHarden集中的安全控制第二十五頁，共四十六頁。Internet上信息發(fā)布的安全安裝所需的ServicePack和Hotfix按照安全配置列表(SecurityChecklist)對服務(wù)器做正確配置

信息發(fā)布過程的安全管理權(quán)限管理流程管理Web應(yīng)用程序設(shè)計的安全數(shù)據(jù)庫連接第二十六頁，共四十六頁。IIS的安全配置工具IIS安全檢查列表(SecurityChecklist)BaselineChecklistFullversionChecklistIIS安全配置文件(Hisecuweb.inf)IISLockdownTool第二十七頁，共四十六頁。服務(wù)器安全管理安裝和配置管理ServicePack和Hotfix只安裝必要的服務(wù),記錄和備份當前配置使用NTFS文件系統(tǒng)帳號管理口令管理–長度,復雜度,壽命,嘗試次數(shù)登錄控制–終端鎖定的時間,登錄名顯示特權(quán)帳號管理–administrator,SA,guest…身份驗證方式NTLM,Kerberos,智能卡,生物識別技術(shù)第二十八頁，共四十六頁。服務(wù)器安全管理安全審計和性能監(jiān)控EventViewerPerformanceMonitor網(wǎng)絡(luò)連接和傳輸過程的安全PortFilterIPSec使用負載平衡和容錯技術(shù)NLBCluster部署防病毒系統(tǒng)第二十九頁，共四十六頁。郵件系統(tǒng)的安全ServicePackandHotfix拒絕服務(wù)式攻擊將服務(wù)分布于多臺服務(wù)器限制傳入郵件的大小嚴格控制郵件附件關(guān)閉RelayHost選項通過郵件傳播病毒部署服務(wù)器端和客戶端的防病毒軟件在防火墻使用郵件過濾技術(shù)在Outlook客戶端使用安全限制第三十頁，共四十六頁。郵件系統(tǒng)的安全在郵件傳輸過程中竊取信息S/MIMESSL假冒身份發(fā)送郵件數(shù)字簽名第三十一頁，共四十六頁?？蛻舳税踩芾砥胀ㄓ脩羧狈Π踩庾R是最大的安全問題認為安全是系統(tǒng)管理員的事隨意下載機密信息到本地共享信息時不做任何安全限制隨意讓他人使用自己的機器隨意執(zhí)行不清楚用途的應(yīng)用程序隨意的口令管理…利用Win2000中的組策略實現(xiàn)對桌面系統(tǒng)的控制和自動的軟件分發(fā)利用SMS或其它網(wǎng)管軟件第三十二頁，共四十六頁。微軟產(chǎn)品提供的安全功能Windows2000VPN(PPTP,L2TP),PKI,GrouppolicyIPSec,EFS,SmartCardSupportWindowsXPICFISA服務(wù)器企業(yè)級的防火墻和代理服務(wù)器MOM

統(tǒng)一的網(wǎng)絡(luò)監(jiān)控SMS

網(wǎng)絡(luò)監(jiān)控和軟件分發(fā)第三十三頁，共四十六頁。微軟新近發(fā)布的安全工具HFNetChkURLScanIISLockdownToolMicrosoftPersonalSecurityAdvisor(MPSA)累加的Hotfix和QChain第三十四頁，共四十六頁。IISLockdownTooland

HFNetChk第三十五頁，共四十六頁。如何檢測攻擊行為使用任務(wù)管理器和性能監(jiān)測器發(fā)現(xiàn)服務(wù)器異常使用TCP/IP工具和網(wǎng)絡(luò)監(jiān)視器檢查網(wǎng)絡(luò)通信使用事件察看器檢查異常的帳號活動利用Web服務(wù)器或防火墻日志找出攻擊來源利用第三方工具Symantec第三十六頁，共四十六頁。安全防護體系防火墻入侵檢測系統(tǒng)主機加固容錯和自動恢復功能:阻止入侵工具:ISAServer功能:檢測入侵工具:第三方產(chǎn)品Eventlog,IISlog,Networkmonitor…功能:抵抗入侵工具:Checklist,lockdowntool,passprop…功能:自動恢復工具:NLB,receptionmonitor,crs…第三十七頁，共四十六頁。題目4:制訂安全策略第三十八頁，共四十六頁?！拔覀兞D保護的是些什么資源?”“計算機系統(tǒng)必須防范誰?”“我們需要什么級別的安全?”

第三十九頁，共四十六頁。制訂安全策略確定安全需求確定安全需求的范圍評估面臨的風險制訂可實現(xiàn)的安全目標制訂安全規(guī)劃本地網(wǎng)絡(luò):帳戶,文件,郵件…遠程網(wǎng)絡(luò):遠程用戶,遠程分支機構(gòu)…Internet:瀏覽,文件傳輸…

制訂系統(tǒng)的日常維護計劃第四十頁，共四十六頁。制訂安全策略–案例分析一家軟件公司,為保護它的日常工作,軟件財產(chǎn)和客戶利益需要制定一個安全策略…

安全需求:確保它的源代碼不會丟失,不會泄密,并讓開發(fā)人員隨時可以得到…

安全目標:所有超過1天以上的開發(fā)工作的結(jié)果都應(yīng)被保存;嚴格的權(quán)限控制,確保只有開發(fā)部門具有修改權(quán)限,其它部門只有讀權(quán)限;每年服務(wù)器宕機時間不超過24小時…

安全計劃:使用VSS控制開發(fā)過程;在服務(wù)器端設(shè)定不同用戶的權(quán)限;使用服務(wù)器容錯技術(shù);建立異地的備份中心…

維護計劃:確定備份方案,災難恢復計劃和針對安全策略第四十一頁，共四十六頁。常用的安全規(guī)范和安全評估機構(gòu)TCSEC(美國1985)ITSEC(歐洲1991)CTCPEC(加拿大1993)FC(美國1992)CC(歐美1999)CNISTEC(中國1998)第四十二頁，共四十六頁。資源列表第四十三頁，共四十六頁。微軟企業(yè)技術(shù)支持服務(wù)

咨詢服務(wù)

技術(shù)培訓現(xiàn)場支持服務(wù)客戶專案管理

專業(yè)開發(fā)支持

協(xié)助構(gòu)建解決方案技術(shù)資料和信息軟件問題修復第四十四頁，共四十六頁。Question?第四十五頁，共四十六頁。內(nèi)容總結(jié)網(wǎng)絡(luò)安全綜述

----如何保護你的網(wǎng)絡(luò)和系統(tǒng)

微軟（中國）有限公司。網(wǎng)絡(luò)安全綜述

----如何保護你的網(wǎng)絡(luò)和系統(tǒng)

微