第七章：局域網(wǎng)安全與管理

局域網(wǎng)技術(shù)與組網(wǎng)工程第七章局域網(wǎng)安全與管理主要內(nèi)容7.1網(wǎng)絡(luò)安全概述7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品7.3安全管理7.4局域網(wǎng)安全解決方案7.5本章小結(jié)7.6習題與實踐@2010，ZZTIAllRightReserved本章學習目標掌握網(wǎng)絡(luò)安全的概念、技術(shù)特征了解網(wǎng)絡(luò)安全防范體系、安全技術(shù)評估標準了解常見網(wǎng)絡(luò)安全技術(shù)和相關(guān)產(chǎn)品了解網(wǎng)絡(luò)安全管理的概念、實現(xiàn)了解局域網(wǎng)安全解決方案的設(shè)計@2010，ZZTIAllRightReserved網(wǎng)絡(luò)安全問題日益嚴峻網(wǎng)絡(luò)遭受攻擊的可能情況@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的概念計算機網(wǎng)絡(luò)安全（ComputerNetworkSecurity），簡稱網(wǎng)絡(luò)安全，泛指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全的內(nèi)涵在網(wǎng)絡(luò)出現(xiàn)以前，信息安全指對信息的機密性、完整性和可獲性的保護，即面向數(shù)據(jù)的安全。互聯(lián)網(wǎng)出現(xiàn)以后，信息安全除了上述概念以外，其內(nèi)涵又擴展到面向用戶的安全。網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)實體安全主要指計算機機房的物理條件、物理環(huán)境及設(shè)施的安全標準；計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等。軟件安全主要是保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入、系統(tǒng)軟件與應(yīng)用軟件不被非法復制、篡改等。數(shù)據(jù)安全即保護數(shù)據(jù)不被非法存取，確保其完整性、一致性、機密性等。安全管理是要保證運行時突發(fā)事件的安全處理等。@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.2網(wǎng)絡(luò)安全技術(shù)特征網(wǎng)絡(luò)安全具有五大特征，這些特征反映了網(wǎng)絡(luò)安全的基本屬性、要素與技術(shù)方面的重要特征。1．保密性（confidentiality）2．完整性（integrity）3．可用性（availability）4．可控性（controllability）5．不可否認性（Non-repudiation）@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.3網(wǎng)絡(luò)安全防范體系1．物理層安全（物理環(huán)境的安全性）通信線路的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)）物理設(shè)備的安全軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障等等。機房的安全2．系統(tǒng)層安全（操作系統(tǒng)的安全性）網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，主要表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。3．網(wǎng)絡(luò)層安全（網(wǎng)絡(luò)的安全性）該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的手段和網(wǎng)絡(luò)設(shè)施防病毒等。4．應(yīng)用層安全（應(yīng)用的安全性）該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生5．管理層安全（管理的安全性）安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標準1．TCSEC標準2．歐洲ITSEC標準3．加拿大CTCPEC評價標準4．美國聯(lián)邦準則FC5．聯(lián)合公共準則CC標準6．BS7799標準7．我國有關(guān)網(wǎng)絡(luò)信息安全的相關(guān)標準@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標準1．TCSEC標準橘皮書(TrustedComputerSystemEvaluationCriteria—TCSEC)計算機系統(tǒng)安全評估的第一個正式標準，具有劃時代的意義1970年，美國國防科學委員會提出，1985年由美國國防部公布TCSEC將計算機系統(tǒng)的安全劃分為四個等級、七個安全級別(從低到高依次為D、C1、C2、B1、B2、B3和A級)每級包括它下級的所有特性，從最簡單的系統(tǒng)安全特性直到最高級的計算機安全模型技術(shù)，不同計算機信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密程度的不同標準。D級和A級暫時不分子級。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

1)?D級 D級是最低的安全形式，整個計算機是不信任的，只為文件和用戶提供安全保護。D級系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護的網(wǎng)絡(luò)。擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子，任何人可以自由進出，是完全不可信的。對于硬件來說，是沒有任何保護措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)限制，任何人不需要任何賬戶就可以進入系統(tǒng)，不受任何限制就可以訪問他人的數(shù)據(jù)文件。 屬于這個級別的操作系統(tǒng)有DOS、Windows9x、Apple公司的MacintoshSystem7.1。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

2)?C1級 C1級又稱有選擇地安全保護或稱酌情安全保護(DiscretionnySecurityProtection)系統(tǒng)，它要求系統(tǒng)硬件有一定的安全保護(如硬件有帶鎖裝置，需要鑰匙才能使用計算機)，用戶在使用前必須登記到系統(tǒng)。另外，作為C1級保護的一部分，允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限等。 它描述了一種典型的用在UNIX系統(tǒng)上的安全級別。這種級別的系統(tǒng)對硬件有某種程度的保護，但硬件受到損害的可能性仍然存在。用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是否合法，并決定用戶對信息擁有什么樣的訪問權(quán)。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

C1級保護的不足之處在于用戶可以直接訪問操縱系統(tǒng)的根目錄。C1級不能控制進入系統(tǒng)的用戶的訪問級別，所以用戶可以將系統(tǒng)中的數(shù)據(jù)任意移走，他們可以控制系統(tǒng)配置，獲取比系統(tǒng)管理員所允許的更高權(quán)限，如改變和控制用戶名。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

3)?C2級C2級又稱訪問控制保護，它針對C1級的不足之處增加了幾個特性。C2級引進了訪問控制環(huán)境(用戶權(quán)限級別)的增加特性，該環(huán)境具有進一步限制用戶執(zhí)行某些命令或訪問某些文件的權(quán)限，而且還加入了身份驗證級別。另外，系統(tǒng)對發(fā)生的事情加以審計(Audit)，并寫入日志當中，如什么時候開機，哪個用戶在什么時候從哪里登錄等，這樣通過查看日志，就可以發(fā)現(xiàn)入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想強行闖入系統(tǒng)。審計可以記錄下系統(tǒng)管理員執(zhí)行的活動，審計還加有身份驗證，這樣就可以知道誰在執(zhí)行這些命令。審計的缺點在于它需要額外的處理器時間和磁盤資源。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

使用附加身份認證就可以讓一個C2系統(tǒng)用戶在不是根用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。不要把這些身份認證和應(yīng)用于程序的用戶ID許可(SUID)設(shè)置和同組用戶ID許可(SGID)設(shè)置相混淆，身份認證可以用來確定用戶是否能夠執(zhí)行特定的命令或訪問某些核心表。例如，當用戶無權(quán)瀏覽進程表時，它若執(zhí)行命令就只能看到它們自己的進程。 授權(quán)分級指系統(tǒng)管理員能夠給用戶分組，授予他們訪問某些程序的權(quán)限或訪問分級目錄的權(quán)限。 能夠達到C2級的常見的操作系統(tǒng)有UNIX系統(tǒng)、XENIX、Novell3.x或更高版本、WindowsNT和Windows2000。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

4)?B1級

B級中有三個級別，B1級即標號安全保護(LabeledSecurityProtection)，是支持多級安全(如秘密和絕密)的第一個級別，這個級別說明一個處于強制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。即在這一級別上，對象(如盤區(qū)和文件服務(wù)器目錄)必須在訪問控制之下，不允許擁有者更改它們的權(quán)限。 B1級安全措施的計算機系統(tǒng)，隨著操作系統(tǒng)而定。政府機構(gòu)和系統(tǒng)安全承包商是B1級計算機系統(tǒng)的主要擁有者。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

5)B2級 B2級又叫做結(jié)構(gòu)保護(StructuredProtection)級別，它要求計算機系統(tǒng)中所有的對象都加標簽，而且給設(shè)備(磁盤，磁帶和終端)分配單個或多個安全級別。它提出了較高安全級別的對象與另一個較低安全級別的對象通信的第一個級別。

6)B3級 B3級又稱安全域(SecurityDomain)級別，它使用安裝硬件的方式來加強域。例如，內(nèi)存管理硬件用于保護安全域免遭無授權(quán)訪問或其他安全域?qū)ο蟮男薷摹Ｔ摷墑e也要求用戶通過一條可信任途徑連接到系統(tǒng)上。@2010，ZZTIAllRightReserved網(wǎng)絡(luò)信息安全等級與標準

7)?A級 A級也稱為驗證保護或驗證設(shè)計(VerityDesign)級別，是當前的最高級別，它包括一個嚴格的設(shè)計、控制和驗證過程。與前面提到的各級別一樣，這一級別包含了較低級別的所有特性。設(shè)計必須是從數(shù)學角度上經(jīng)過驗證的，而且必須進行秘密通道和可信任分布的分析?？尚湃畏植?TrustedDistribution)的含義是硬件和軟件在物理傳輸過程中已經(jīng)受到保護，以防止破壞安全系統(tǒng)。 可信計算機安全評價標準主要考慮的安全問題大體上還局限于信息的保密性，隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，對于目前的網(wǎng)絡(luò)安全不能完全適用。@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標準2．國外其他相關(guān)標準歐洲四國（英、法、德、荷）在吸收了TCSEC的成功經(jīng)驗基礎(chǔ)上，于1989年聯(lián)合提出了信息技術(shù)安全評價準則（InformationTechnologySecurityEvaluationCriteria，ITSEC），俗稱歐洲的白皮書，其中，首次提出了信息安全的機密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術(shù)的高度。之后，美國又聯(lián)合以上諸國和加拿大，并會同國際標準化組織（ISO）共同提出通用安全評估準則（CommandCriteriaforITSecurityEvaluation，CC），并于1991年宣布，1995年發(fā)布正式文件。CC已經(jīng)被上述5個國家承認為代替TCSEC的評價安全信息系統(tǒng)的標準，且將發(fā)展成為國際標準。@2010，ZZTIAllRightReserved7.1網(wǎng)絡(luò)安全概述7.1.4安全技術(shù)評估標準3．國內(nèi)安全評估通用準則由公安部主持制定、國家技術(shù)標準局發(fā)布的中華人民共和國國家標準GB17895—1999《計算機信息系統(tǒng)安全保護等級劃分準則》，將計算機安全保護劃分為5個級別：用戶自主保護級。系統(tǒng)審計保護級。安全標記保護級。結(jié)構(gòu)化保護級。訪問驗證保護級。評估準則的制定為我們評估、開發(fā)、研究計算機系統(tǒng)的安全提供了指導準則。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品無法解決網(wǎng)絡(luò)安全的全部問題網(wǎng)絡(luò)安全需要從體系結(jié)構(gòu)的角度，用系統(tǒng)工程的方法，根據(jù)聯(lián)網(wǎng)環(huán)境及其應(yīng)用的實際需要提出綜合的安全解決方案。要實施一個完整的網(wǎng)絡(luò)安全系統(tǒng)，至少應(yīng)該包括三類措施：1．社會的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境。2．技術(shù)方面的措施，如修補和阻止網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)防毒、加密、認證以及防火墻技術(shù)。3．審計和管理措施，這方面措施同時也包含了技術(shù)與社會措施。@2010，ZZTIAllRightReserved上級網(wǎng)絡(luò)網(wǎng)間密碼機防火墻防火墻Web/mail公開服務(wù)器入侵檢測系統(tǒng)

涉密服務(wù)器園區(qū)網(wǎng)服務(wù)器www/ftp/vod用戶安裝防病毒軟件漏洞掃描

初識網(wǎng)絡(luò)安全組件某網(wǎng)絡(luò)信息中心和園區(qū)網(wǎng)安全系統(tǒng)示意圖網(wǎng)絡(luò)安全解決方案概述1在接入路由器內(nèi)側(cè)加裝防火墻形成第一道安全屏障;在防火墻內(nèi)側(cè)關(guān)鍵點部署入侵檢測系統(tǒng)，防護內(nèi)、外網(wǎng)絡(luò)攻擊，構(gòu)成第二道安全閘門；設(shè)置防病毒服務(wù)器，全網(wǎng)各主機安裝防病毒系統(tǒng)；配置漏洞掃描系統(tǒng)，對全網(wǎng)內(nèi)主機不定期進行漏洞掃描，堵塞入侵漏洞；用第二防火墻、涉密服務(wù)器隔離和控制對保密系統(tǒng)子網(wǎng)的訪問；如有必要，可在接入路由器內(nèi)/外側(cè)加裝密碼機；安全管理：兩級機構(gòu)＋規(guī)章制度。cisco3560cisco2800cisco2960DMZMBSA保密系統(tǒng)@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.1密碼與加密技術(shù)1.密碼技術(shù)的基本概念加密和解密過程共同組成加密系統(tǒng)原始數(shù)據(jù)（也稱為明文，plaintext）經(jīng)過加密變換后而產(chǎn)生的數(shù)據(jù)稱為密文（ciphertext）由明文變?yōu)槊芪牡倪^程稱為加密（Encryption），通常由加密算法來實現(xiàn)。將密文還原為原始明文的過程稱為解密（Decryption），它是加密的反向處理，通常由解密算法來實現(xiàn)。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

2.常用加密技術(shù)1）對稱加密技術(shù)2）非對稱加密技術(shù)3）單向加密技術(shù)4）實用綜合加密方法5）無線網(wǎng)絡(luò)加密技術(shù)

@2010，ZZTIAllRightReserved數(shù)據(jù)機密性保護撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸@2010，ZZTIAllRightReserved數(shù)據(jù)完整性保護內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進行比較，驗證數(shù)據(jù)的完整性@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

3.實用加密方法及協(xié)議（1）PGP（PrettyGoodPrivacy）：PGP是一種對電子郵件和文件進行加密與數(shù)字簽名的方法

（2）S/MIME：郵件加密兩把鎖：PGP和S/MIME（SecureMultipurposeInternetMailExtensions，多用途網(wǎng)際郵件擴充協(xié)議）。主要功能就是身份的認證和傳輸數(shù)據(jù)的加密（3）SSL：SSL是Netscape公司所提出的安全保密協(xié)議，在瀏覽器和Web服務(wù)器之間構(gòu)造安全通道來進行數(shù)據(jù)傳輸

（4）HTTPS：HTTPS（SecureHypertextTransferProtocol）安全超文本傳輸協(xié)議，由Netscape開發(fā)并內(nèi)置于其瀏覽器中，用于對數(shù)據(jù)進行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果

（5）SET：應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進行在線交易的安全標準，這就是“安全電子交易”（SecureElectronicTransaction，簡稱SET）。它采用公鑰密碼體制和X.509數(shù)字證書標準，主要應(yīng)用于保障網(wǎng)上購物信息的安全性。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)防火墻是位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，實現(xiàn)網(wǎng)絡(luò)和信息安全的訪問控制。

防火墻的主要目的：判斷IP，只讓安全的IP數(shù)據(jù)通過；防止外部網(wǎng)絡(luò)的危險在內(nèi)部網(wǎng)絡(luò)蔓延。防火墻的定義防火墻是指設(shè)置在被保護網(wǎng)絡(luò)（內(nèi)聯(lián)子網(wǎng)或局域網(wǎng)）與公共網(wǎng)絡(luò)（如因特網(wǎng)）或其他網(wǎng)絡(luò)之間并位于被保護網(wǎng)絡(luò)邊界的、對進出被保護網(wǎng)絡(luò)信息實施“通過／阻斷／丟失”控制的硬件

狀態(tài)包過濾和應(yīng)用代理技術(shù)仍然是局域網(wǎng)防火墻市場的主流技術(shù)，但這兩種技術(shù)正在融合。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)部署防火墻企業(yè)網(wǎng)絡(luò)拓撲圖@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)（1）以防火墻的軟硬件形式分類軟件防火墻：Checkpoint系列等

硬件防火墻：NetScreen、FortiNet和Cisco等

芯片級防火墻

（2）以防火墻技術(shù)分類包過濾型應(yīng)用代理型（3）以防火墻的體系結(jié)構(gòu)分類單一主機防火墻路由器集成式防火墻分布式防火墻（4）以防火墻的性能分類百兆級防火墻千兆級防火墻

防火墻分類@2010，ZZTIAllRightReserved

防火墻的不足

防火墻性能有限：1．防火墻不能防止內(nèi)部攻擊；2．防火墻不能防止未經(jīng)過防火墻的攻擊；3．防火墻不能完全防止有病毒的軟件的傳送；

4．防火墻不易防止數(shù)據(jù)驅(qū)動型（木馬）攻擊。7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.2防火墻技術(shù)@2010，ZZTIAllRightReserved設(shè)：某企業(yè)的局域網(wǎng)有127臺計算機，其地址范圍為：–27,其中地址為–的主機為服務(wù)器，現(xiàn)要求作如下設(shè)置：地址為和的為內(nèi)部服務(wù)器，不允許外網(wǎng)訪問，而其余服務(wù)器均可以對外服務(wù)。但地址為的服務(wù)器又允許企業(yè)在外地的分公司訪問，外地分公司的主機地址范圍為–5.

序號方向源地址子網(wǎng)掩碼源端口目標地址子網(wǎng)掩碼目標端口操作1內(nèi)-外280000Y2外-內(nèi)480550Y3外-內(nèi)000550N4外-內(nèi)000550N5外-內(nèi)000480Y@2010，ZZTIAllRightReserved身份認證的概念身份認證（IdentityandAuthenticationManagement）是計算機網(wǎng)絡(luò)系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認證與訪問控制認證和訪問控制模型@2010，ZZTIAllRightReserved身份認證技術(shù)方法（1）用戶名/密碼方式

（2）IC卡認證

（3）動態(tài)口令

（4）生物特征認證

（5）USBKey認證

（6）CA認證

7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認證與訪問控制@2010，ZZTIAllRightReserved訪問控制技術(shù)（1）概念：訪問控制（AccessControl）指對網(wǎng)絡(luò)中的某些資源訪問進行的控制，是在保障授權(quán)用戶能夠獲得所需資源的同時拒絕非授權(quán)用戶的安全機制

（2）訪問控制三要素主體客體控制策略（3）訪問控制的內(nèi)容

認證

控制策略實現(xiàn)安全審計（4）訪問控制策略

7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認證與訪問控制@2010，ZZTIAllRightReserved訪問控制技術(shù)（4）訪問控制策略

入網(wǎng)訪問控制網(wǎng)絡(luò)權(quán)限控制目錄級安全控制屬性安全控制網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)監(jiān)測和鎖定控制策略防火墻控制策略

7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.3身份認證與訪問控制@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)漏洞掃描器部署圖

@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)

1．漏洞概念與分類漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

入侵者可利用的漏洞大致分為三類：

（1）網(wǎng)絡(luò)傳輸和協(xié)議的漏洞。攻擊者利用網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸?shù)穆┒催M入系統(tǒng)。（2）系統(tǒng)的漏洞。攻擊者可以利用系統(tǒng)內(nèi)部或服務(wù)進程的BUG和配置錯誤進行攻擊。（3）管理的漏洞。攻擊者可以利用各種方式從系統(tǒng)管理員和用戶那里誘騙或套取可用于非法進入的系統(tǒng)信息，包括口令、用戶名等。

@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)

2．漏洞掃描技術(shù)分類（1）基于應(yīng)用的檢測技術(shù)（2）基于主機的檢測技術(shù)（3）基于目標的漏洞檢測技術(shù)（4）基于網(wǎng)絡(luò)的檢測技術(shù)（5）綜合檢測技術(shù)@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.4漏洞掃描技術(shù)

3．常用的漏洞掃描工具網(wǎng)絡(luò)掃描器端口掃描器

Web應(yīng)用程序掃描程序@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)入侵檢測系統(tǒng)部署拓撲圖

@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

1．入侵檢測系統(tǒng)概念及功能入侵檢測系統(tǒng)（Intrusion-DetectionSystem，下稱“IDS”）

IDS最早出現(xiàn)在1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》的技術(shù)報告中提出了IDS的概念。

入侵檢測系統(tǒng)概念：入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的軟件與硬件的組合系統(tǒng)。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動的安全防護技術(shù)

@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

2．入侵檢測系統(tǒng)分類（1）根據(jù)采用的技術(shù)和檢測原理分類異常檢測（AnormalyDetection）誤用檢測（MisuseDetection）特征檢測（2）按照數(shù)據(jù)源分類基于主機（Host-based）的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)（Netwok-based）的入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)（3）按照工作方式分類離線檢測系統(tǒng)在線檢測系統(tǒng)@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

3．常用的入侵檢測工具

Cisco公司的NetRanger

NetwokAssociates公司的CyberCopInternetSecuritySystem公司的RealSecure

以及我國啟明星晨產(chǎn)品和北方計算中心的NIDSdetector等在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，有多個久負盛名的開放源碼軟件，它們是Snort、NFR、Shadow等，其中Snort的社區(qū)（http://）非常活躍，其入侵特征更新速度與研發(fā)的進展已超過了大部分商品化產(chǎn)品。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.5入侵檢測技術(shù)

4．選擇入侵檢測系統(tǒng)的要點

（1）系統(tǒng)的價格（2）特征庫升級與維護的費用（3）對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，最大可處理流量（包/秒PPS）是多少。（4）產(chǎn)品效能及響應(yīng)（5）產(chǎn)品的可伸縮性（6）運行與維護系統(tǒng)的開銷（7）產(chǎn)品支持的入侵特征數(shù)（8）產(chǎn)品有哪些響應(yīng)方法（9）是否通過了國家權(quán)威機構(gòu)的評測@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

1．病毒的概念計算機病毒，英文名字ComputerViruses，簡稱CV

目前對于計算機病毒最流行的定義是：一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。計算機病毒可以從不同的角度分類

按其表現(xiàn)性質(zhì)可分為良性的和惡性的按激活的時間可分為定時的和隨機的按其入侵方式可分操作系統(tǒng)型病毒、原碼病毒、外殼病毒、入侵病毒按其是否有傳染性又可分為不可傳染性和可傳染性病毒按傳染方式可分磁盤引導區(qū)傳染的計算機病毒、操作系統(tǒng)傳染的計算機病毒和一般應(yīng)用程序傳染的計算機病毒按其病毒攻擊的機種分類，攻擊微型計算機的，攻擊小型機的，攻擊工作站的。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

2．單機環(huán)境下的網(wǎng)絡(luò)病毒防治技術(shù)（1）用防毒軟件保護電腦，及時升級防毒軟件（2）不要打開不明來源的郵件（3）使用比較復雜的密碼（4）使用防火墻，防止電腦受到來自互聯(lián)網(wǎng)的攻擊（5）不要讓陌生用戶連接到用戶個人的計算機上（6）不使用互聯(lián)網(wǎng)時及時斷開連接（7）備份電腦數(shù)據(jù)（8）定期下載安全更新補?。?）定期檢查計算機（10）進行主要的防護工作。關(guān)注在線安全、了解和掌握計算機病毒的發(fā)作時間，并事先采取措施。@2010，ZZTIAllRightReserved7.2網(wǎng)絡(luò)系統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品

7.2.6網(wǎng)絡(luò)病毒防治技術(shù)

3.網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)病