【培训】网络安全培训PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
的威胁(此外,防止泄密、进行鉴别等) 安全监测系统用于发现和补救存在的危
险
.
12
威胁从何而来?
安全的模糊性 网络的开放性 产品的垄断性 技术的公开性 人类的天性
.
13
安全的模糊性
安全是相对的,不易明确安全的目标 安全是复杂的,不易认清存在的问题 安全是广泛的,不易普及安全的知识
.
14
网络的开放性
.
32
划分内部的安全政策域
例如某公司可以划为:
服务器
开发
用户上网域、服务器域、 开发域等
服务器
禁止
开发 禁止(允许FTP)
WWW、SMTP
内部开发区
Internet
专用技术的细节通常受到有关厂家的保 护,因而缺乏广泛的安全讨论,容易出 现安全缺陷,例如Active X允许进行控 件下载,又缺乏对控件的运行约束。
.
16
技术的公开性
如果不能集思广益,自由地发表对系统 的建议,则会增加系统潜在的弱点被忽 视的危险,因此Internet要求对网络安全 问题进行坦率公开地讨论。
例如(可以不用书面定义,可以包括所采用的 技术手段的种类):
在边界使用防火墙,允许内部注册用户的对外访问,禁止随意的对 内部访问等
内部开发网段使用SSH作为数据安全手段 鉴别采用口令认证的方式
.
31
在边界建立符合安全政策的防
火墙体系
Internet
WWW、SMTP 防火墙
内部用户
路由器
DMZ Proxy
基于上述原则,高水平的网络安全资料 与工具在Internet中可自由获得。
.
17
人类的天性
好奇心、显示心 惰性和依赖心理 家丑不可外扬
.
18
安全管理制度
木桶原则:木桶盛水的高度等于其最短 的木板的长度 安全链条:链条的强度等于其最弱一环 的强度
“人”是最短的木板和最弱的一 环!!!
.
19
网络边界安全
网络安全培训
.
1
主要内容
网络安全的概念 安全的网络 常见网络攻击的介绍 常见主机攻击介绍 安全的主机 网络监测 事故处理 案例分析
FAQ
.
2
计算机安全简介
.
3
安全?
什么是计算机安全?谁定义计算机安全?
计算机安全(公安部定义1994):
计算机系统的硬件、软件和数据受到保护,不因 偶然或恶意的原因而遭到破坏、更改、显露, 系统不能连续正常运行。
.
27
构建安全的网络
.
28
构建安全的网络
明确安全需求 制定安全政策 在边界建立符合安全政策的防火墙体系 划分内部的安全政策域 对特定的主机节点进行加固 使用合理的访问控制政策、鉴别机制和
数据安全体制 建立有效的可承受的监测体制
.
29
明确安全需求
不同的网络安全需求是不同的 安全需求是建立安全政策的基础 例如校园网可以有:
保证网络的可用:路由器不瘫痪、邮件发送正常等等 保证网络用户使用的可管理 防止出现异常的流量导致异常的费用 防止对核心服务器的攻击,以保护学校的声望 对学校某学生的机器不特别关心,除非他报案
.
30
制定安全政策
根据安全需求制定安全政策
安全政策可以是形式化的,也可以是口语化 的
安全政策表示的是什么是允许的什么是不允 许的
.
25
网络安全
传输安全:数据保密,内容完整; 访问安全:身份认证,访问控制; 运行安全:基础设施的可靠性,安全监
测。
.
26
访问控制
用于限定对网络的使用,包括对某个用户进行 访问控制;和对某个资源进行访问控制。
端系统访问控制
自主访问控制 强制访问控制 基于角色的访问控制政策
网络的访问控制:防火墙技术
应用级防火墙 (如Proxy、分裂的DNS,Sendmail、
WEB过滤的Gaunlet防火墙)
体系
堡垒主机、多协议过滤器 (如checkpoint防火墙)
IP Packet Filter (如路由器中的access list)
.
23
信息安全与网络安全
.
24
数据安全
数据保密:密码体制。 内容完整:数字签名,信息摘录。 无否认:公证机制,审计功能,数字签 名。
计算机安全的含义(1991):
避免窃取和破坏硬件 避免窃取和破坏信息 避免破坏服务
.
4
保密性、完整性和服务失效
保密性:防止信息在非授权情况下的泄 漏。
完整性:保护信息使其不致被篡改或破 坏。
服务失效:临时降低系统性能、系统崩 溃而需要人工重新启动、因数据永久性 丢失而导致较大范围的系统崩溃。
.
5
可信系统的评价准则
类别 名称
主要特征
A1 验证设计
形式化的最高级描述和验证,形式化的隐密通 道分析,非形式化的代码一致性证明
B3 安全区域 存取监督器(安全内核),高抗渗透能力
B2 结构化保护 形式化模型,隐密通道约束,面向安全的体系
结构,较好的抗渗透能力
B1 有标识的安全 强制存取控制,安全标识,删去安全相关的缺
保护
陷
C2 受控存取保护 单独的可说明性,广泛的审核,附加软件包
C1 任意安全保护 任意存取控制,在共同工作的用户中防止事故
D 低级保护 不分等级
.源自文库
6
计算机安全的内容
计算机实体安全 软件安全 数据安全 运行安全 环境安全
.
7
网络安全概述
.
8
网络安全概述
什么是网络安全?谁定义网络安全?
体系是网络安全的重要特性
安全需求和安全政策
.
9
主要的网络安全体系
安全管理制度 安全域边界管理 数据安全体制 安全监测分析系统 病毒防护? 自动安全管理系统?
……
.
10
网络安全体系示意
.
11
不同体系所面对的威胁
不同体系面对不同来源的威胁 管理制度面对人的威胁 边界管理面对来自网络外部的威胁 数据安全体制主要针对内部或外部信道
.
20
网络边界安全
使用防火墙!? 什么是防火墙!?
☺机房里用防火砖砌的墙??? 不同的人对防火墙有不同的定义!!! 一种定义:防火墙是允许或不允许特 定信息通过网络的某一关键路径的访 问控制政策
.
21
防火墙和关键路径
关键路径可以是物理 的也可以是逻辑的
.
22
参考
模OS型I防火墙体系
的近 似防 火墙 分层
互联机制提供了广泛的可访问性 Client-Server模式提供了明确的攻击目标 开放的网络协议和操作系统为入侵提供
了线索 用户的匿名性为攻击提供了机会
.
15
产品的垄断性
工业界试图将专用技术引入Internet以获 得垄断地位,从而将开放式的环境演变 为商品化的环境,如Active X。
险
.
12
威胁从何而来?
安全的模糊性 网络的开放性 产品的垄断性 技术的公开性 人类的天性
.
13
安全的模糊性
安全是相对的,不易明确安全的目标 安全是复杂的,不易认清存在的问题 安全是广泛的,不易普及安全的知识
.
14
网络的开放性
.
32
划分内部的安全政策域
例如某公司可以划为:
服务器
开发
用户上网域、服务器域、 开发域等
服务器
禁止
开发 禁止(允许FTP)
WWW、SMTP
内部开发区
Internet
专用技术的细节通常受到有关厂家的保 护,因而缺乏广泛的安全讨论,容易出 现安全缺陷,例如Active X允许进行控 件下载,又缺乏对控件的运行约束。
.
16
技术的公开性
如果不能集思广益,自由地发表对系统 的建议,则会增加系统潜在的弱点被忽 视的危险,因此Internet要求对网络安全 问题进行坦率公开地讨论。
例如(可以不用书面定义,可以包括所采用的 技术手段的种类):
在边界使用防火墙,允许内部注册用户的对外访问,禁止随意的对 内部访问等
内部开发网段使用SSH作为数据安全手段 鉴别采用口令认证的方式
.
31
在边界建立符合安全政策的防
火墙体系
Internet
WWW、SMTP 防火墙
内部用户
路由器
DMZ Proxy
基于上述原则,高水平的网络安全资料 与工具在Internet中可自由获得。
.
17
人类的天性
好奇心、显示心 惰性和依赖心理 家丑不可外扬
.
18
安全管理制度
木桶原则:木桶盛水的高度等于其最短 的木板的长度 安全链条:链条的强度等于其最弱一环 的强度
“人”是最短的木板和最弱的一 环!!!
.
19
网络边界安全
网络安全培训
.
1
主要内容
网络安全的概念 安全的网络 常见网络攻击的介绍 常见主机攻击介绍 安全的主机 网络监测 事故处理 案例分析
FAQ
.
2
计算机安全简介
.
3
安全?
什么是计算机安全?谁定义计算机安全?
计算机安全(公安部定义1994):
计算机系统的硬件、软件和数据受到保护,不因 偶然或恶意的原因而遭到破坏、更改、显露, 系统不能连续正常运行。
.
27
构建安全的网络
.
28
构建安全的网络
明确安全需求 制定安全政策 在边界建立符合安全政策的防火墙体系 划分内部的安全政策域 对特定的主机节点进行加固 使用合理的访问控制政策、鉴别机制和
数据安全体制 建立有效的可承受的监测体制
.
29
明确安全需求
不同的网络安全需求是不同的 安全需求是建立安全政策的基础 例如校园网可以有:
保证网络的可用:路由器不瘫痪、邮件发送正常等等 保证网络用户使用的可管理 防止出现异常的流量导致异常的费用 防止对核心服务器的攻击,以保护学校的声望 对学校某学生的机器不特别关心,除非他报案
.
30
制定安全政策
根据安全需求制定安全政策
安全政策可以是形式化的,也可以是口语化 的
安全政策表示的是什么是允许的什么是不允 许的
.
25
网络安全
传输安全:数据保密,内容完整; 访问安全:身份认证,访问控制; 运行安全:基础设施的可靠性,安全监
测。
.
26
访问控制
用于限定对网络的使用,包括对某个用户进行 访问控制;和对某个资源进行访问控制。
端系统访问控制
自主访问控制 强制访问控制 基于角色的访问控制政策
网络的访问控制:防火墙技术
应用级防火墙 (如Proxy、分裂的DNS,Sendmail、
WEB过滤的Gaunlet防火墙)
体系
堡垒主机、多协议过滤器 (如checkpoint防火墙)
IP Packet Filter (如路由器中的access list)
.
23
信息安全与网络安全
.
24
数据安全
数据保密:密码体制。 内容完整:数字签名,信息摘录。 无否认:公证机制,审计功能,数字签 名。
计算机安全的含义(1991):
避免窃取和破坏硬件 避免窃取和破坏信息 避免破坏服务
.
4
保密性、完整性和服务失效
保密性:防止信息在非授权情况下的泄 漏。
完整性:保护信息使其不致被篡改或破 坏。
服务失效:临时降低系统性能、系统崩 溃而需要人工重新启动、因数据永久性 丢失而导致较大范围的系统崩溃。
.
5
可信系统的评价准则
类别 名称
主要特征
A1 验证设计
形式化的最高级描述和验证,形式化的隐密通 道分析,非形式化的代码一致性证明
B3 安全区域 存取监督器(安全内核),高抗渗透能力
B2 结构化保护 形式化模型,隐密通道约束,面向安全的体系
结构,较好的抗渗透能力
B1 有标识的安全 强制存取控制,安全标识,删去安全相关的缺
保护
陷
C2 受控存取保护 单独的可说明性,广泛的审核,附加软件包
C1 任意安全保护 任意存取控制,在共同工作的用户中防止事故
D 低级保护 不分等级
.源自文库
6
计算机安全的内容
计算机实体安全 软件安全 数据安全 运行安全 环境安全
.
7
网络安全概述
.
8
网络安全概述
什么是网络安全?谁定义网络安全?
体系是网络安全的重要特性
安全需求和安全政策
.
9
主要的网络安全体系
安全管理制度 安全域边界管理 数据安全体制 安全监测分析系统 病毒防护? 自动安全管理系统?
……
.
10
网络安全体系示意
.
11
不同体系所面对的威胁
不同体系面对不同来源的威胁 管理制度面对人的威胁 边界管理面对来自网络外部的威胁 数据安全体制主要针对内部或外部信道
.
20
网络边界安全
使用防火墙!? 什么是防火墙!?
☺机房里用防火砖砌的墙??? 不同的人对防火墙有不同的定义!!! 一种定义:防火墙是允许或不允许特 定信息通过网络的某一关键路径的访 问控制政策
.
21
防火墙和关键路径
关键路径可以是物理 的也可以是逻辑的
.
22
参考
模OS型I防火墙体系
的近 似防 火墙 分层
互联机制提供了广泛的可访问性 Client-Server模式提供了明确的攻击目标 开放的网络协议和操作系统为入侵提供
了线索 用户的匿名性为攻击提供了机会
.
15
产品的垄断性
工业界试图将专用技术引入Internet以获 得垄断地位,从而将开放式的环境演变 为商品化的环境,如Active X。