第十一章网络系统安全技术及

第十一章网络系统安全技术及方案设计.网络系统安全技术概况.访问控制技术.网络防火墙技术.网络防病毒技术.网络安全系统方案设计11.1网络系统安全技术概览国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。11.1.1网络系统所面临的主要安全问题网络系统安全问题是整个计算机系统安全问题的一个重要方面。计算机系统安全包括的内容相当广泛，包括计算机系统的环境安全、防电磁泄漏，操作系统安全、应用软件系统安全、数据库系统安全、网络系统安全及病毒防范等若千方面。网络技术飞速发展，人们对网络的依赖程度不断提高的同时，我们也正在受到来自网络方面的日益严重的安全威胁，这种威胁主要表现在病毒泛滥、黑客侵袭、数据失窃等方面。全面深入地研究网络安全技术，在系统集成方案设计和实施中有针对性地解决网络安全问题，成为当前系统集成和系统集成工程师的主要任务之一。一．网络病毒的泛滥性传播计算机病毒本身就具有感染性、流行性、欺骗性、隐蔽性和顽固性等对我们来说非常棘手的特性，加之计算机网络的广泛使用和大范围互联，病毒便更加疯狂地蔓延，如今通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。二．非法访问和破坏不断升级全球平均每20秒钟应有一个网站遭到黑客的攻击。三.对于网络安全缺乏重视和相应的手段首先是重视问题，国内的许多网络系统用户单位对于网络安全缺乏基本的认识和相应的重视，把安全问题简化为病毒的防范，没有花费应有的精力和财力解决网络安全问题。四、计算机网络面临的安全性威胁1.截获：当甲通过网络与乙通信时，如果不采取任何保密措施，那么其他人(如丙)，就有可能偷听到他们的通信内容。2.中断：当用户正在通信时，有意的破坏者可设法中断他们的通信。3.篡改：乙给甲发了如下一份报文：“请给丁汇一百元钱，乙”。报文在转发过程中经过丙，丙把“丁”改为“丙”。这就是报文被篡改。4.伪造：用计算机通信时，若甲的屏幕上显示出“我是乙”时，甲如何确信这是乙而不是别人呢?拨号用户B拨号用户C拨号用户A拨号用户DInternet垃圾邮件病毒破坏黑客攻击资源滥用信息泄密DOS攻击不良信息终端安全信息丢失未授权接入非法外联监控安全事件处理IT系统运维面临的问题导致这些问题的原因是什么？病毒泛滥：计算机病毒的感染率比例非常高，高达89.73%软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。移动用户越来越多：网络用户往往跨越多个工作区域现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL（规则控制）71%*2004CSI/FBIComputerCrimeandSecuritySurvey资料来源：ComputerSecurityInstitute网络安全的演化第一代•引导性病毒第二代•宏病毒•DOS•电子邮件•有限的黑客攻击第三代•网络DOS攻击•混合威胁（蠕虫+病毒+特洛伊）•广泛的系统黑客攻击下一代•网络基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快病毒的演化趋势攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战IDC,2004邮件/互联网CodeRedNimdafunloveKlez20012002邮件Melissa19992000LoveLetter1969物理介质Brain19861998CIHSQLSlammer20032004冲击波震荡波病毒发展史1831,0005,00010,00018,00038,00048,00060,00073,00077,000+0100002000030000400005000060000700008000090000病毒数目增长趋势图(1990-04/2003)1990199119941996199819992000200120022003主流病毒行态木马、蠕虫病毒发展史（续1）引导区病毒台式电脑第1代第2代第3代第4代台式电脑台式电脑台式电脑台式电脑LAN服务器基于文件的病毒邮件群发病毒互联网防毒墙电子邮件服务器墙台式电脑笔记本电脑网络病毒互联网防毒墙服务器服务器服务器服务器台式电脑台式电脑台式电脑笔记本电脑已打补丁的机器网络拥堵Internet攻击模式WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染不被感染被感染被感染不被感染不被感染病毒出现越来越快冲击波2003年8月11日补丁：MS03-0262003年7月16日补丁：MS02-0392002年7月24日蠕虫王2003年1月25日时间间隔26天185天336天尼姆达补丁：MS00-0782000年10月17日2001年9月18日震荡波2004年5月1日补丁：MS04-0112004年4月13日18天网络病毒的特征通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作，可能会引起严重的网络负载如果攻击是属于常规的应用，例如SQL,IIS等就可能穿过防火墙木马程序等间谍软件成为网络与信息安全保密的重要隐患.在现在的工作中发现,越来越多的木马程序植入到我国重要信息系统中,根据保守估计,国内80%的网络系统,都存在木马程序和间谍软件问题.中国地区危害最为严重的十种木马病毒，分别是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马系统漏洞就像给了木马病毒一把钥匙，使它能够很轻易在电脑中埋伏下来，而木马病毒又会欺骗用户伪装成“好人”，达到其偷取隐私信息的险恶目的木马程序木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。木马程序黑客攻击愈加猖獗据国家计算机应急处理协调中心（CNCERT/CC）统计：2003年，我国互联网内共有272万台主机受到攻击，造成的损失数以亿计；1126329222111109965444020406080100120北京浙江四川甘肃天津河北新疆北京上海浙江黑龙江四川云南甘肃辽宁天津河南河北内蒙古新疆未知攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流垃圾邮件成为公害据中国互联网中心统计，现在，我国用户平均每周受到的垃圾邮件数超过邮件总数的60%，部分企业每年为此投入上百万元的设备和人力，垃圾邮件泛滥造成严重后果它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容垃圾邮件的发展速度和趋势数据来源：Radicati，2004.6应用安全设计阶段开发阶段实施阶段使用阶段管理制度监督机制使用方法在应用安全问题中,在Windows平台上利用Windows系统新漏洞的攻击占70%左右,30%的安全问题与Linux相关移动用户D广域网如何进行信息系统的等级化保护？各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图制定安全策略指导或自动Internetp用户如何管理现有安全资源并执行策略机制？补丁服务器p打补丁了吗？更新补丁了吗？ppppppppppp困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起系统安全漏洞微软每周都有数个修正档需要更新2003年Windows2000Server有50个漏洞补丁Internet用户如何防止内部信息的泄露？未经安全检查与过滤，违规接入内部网络私自拨号上网Internet用户如何实现积极防御和综合防范？怎样定位病毒源或者攻击源，怎样实时监控病毒与攻击语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段教学网段1网站OA网段教学网段3教学网段2教学网段4网管网段校园网服务器群网络基础设施保护需求教学网段5内部办公NIntranet2边界处的访问控制4边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控3边界处的网络入侵检测1边界处的认证与授权网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和病毒检测3主机脆弱性扫描4主机系统加固5主机文件完整性检查6主机用户认证与授权7主机数据存储安全8主机访问控制DMZ?E-Mail?FileTransfer?HTTPIntranet学校网络教学区教务区财务部人事部路由Internet中继管理分析&实施策略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令Modem用户安全培训授权复查入侵检测实时监控安装认证&授权数据文件加密添加所有操作系统Patch看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮采取的解决办法一对于非法访问及攻击类-----在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsecVPN、SSLVPN、内容过滤系统领导网段防火墙、IPSECVPN、SSLVPN、内容过滤等防DOS/DDOS设备个人安全套件语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法二对于病毒、蠕虫、木马类-----实施全网络防病毒系统对于垃圾邮件类-----在网关处实施防垃圾邮件系统邮件过滤网关、反垃圾邮件系统在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法三对于内部信息泄露、非法外联、内部攻击类-----在各网络中安装IDS系统-----在系统中安装安全隐患扫描系统-----在系统中安装事件分析响应系统-----在主机中安装资源管理系统-----在主机中安装防火墙系统-----在重要主机中安装内容过滤系统-----在重要主机中安装VPN系统人事商务网段领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法四对于系统统一管理、信息分析、事件分析响应-----在网络中配置管理系统-----在网络中配置信息审计系统-----在网络中配置日志审计系统-----在网络中补丁分发系统-----在网络中配置安全管理中心销售体系网段N安全审计中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5安全管理中心专家库领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3安服网段教学网段4网管网段校园网服务器群教学网段511．1．2网络系统安全的主要技术.物理隔离技术物理隔离的指导思想是：要绝对保证安全，不安全就不连网；而逻辑隔离的思路是：在保证网络正常使用的情况F