网络安全培训课程（PPT76页)

LOGO重庆网安计算机技术服务中心网络安全培训课程Page2目录认识信息安全等级保护1了解网络基础及安全防护2学习网络故障排查-实例3Page3信息安全等级保护简介我国《计算机信息系统安全保护等级划分细则》于1999年9月13日经国家质量技术监督局审查通过并正式批准发布，根据细则将计算机信息系统安全保护能力划分为五个安全保护等级：第一级：用户自主保护级。用户自主保护级通过身份鉴别，自主访问控制机制，要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。第二级：系统审计保护级。在用户自主保护级的基础上，重点强调系统的审计功能，要求通过审计、资源隔离等安全机帛，使每一个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。第三级：安全标记保护级。在系统审计保护的基础上，从安全功能的设置和安全强度的要求方面均有明显的提高。首先，增加了标记和强制访问控制功能。同时，对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记，确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。第四级：结构化保护级。在安全标记保护级的基础上，重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。第五级：访问控制保护级。访问验证保护级重点强调”访问“监控器本身的可验证性，也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。Page4信息安全等级保护Page5信息安全系统定级定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。Page6系统定级一般流程信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。Page7系统定级一般流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象Page8信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结。信息安全等级保护工作的重要意义开展信息安全等级保护工作：有利于同步建设；有利于指导和服务；有利于保障重点；有利于明确责任；有利于产业发展。Page9网络基础及安全防护网络基础与OSI模型1TCP-IP编址23交换原理和VLANPage10网络基础与OSI模型计算机网络定义：通过通信线路和通信设备将不同地理位置上的计算机系统互连起来的一个计算机系统的集合，通过运行特定的操作系统和通信协议来实现数据通信和资源共享。计算机网络组成：通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。计算机网络类型：局域网、广域网。Page11计算机网络组成Page12计算机网络类型运行在有限的地理区域；允许网络设备同时访问高带宽的介质；通过局部管理控制网络的权限；提供全时的局部服务；连接物理上相邻的设备。通常指几公里以内的，可以通过某种介质互联的计算机、打印机或其它设备的集合。目前,大多数网络都使用某些形式的以太网。距离短、延迟小、数据速率高、传输可靠Page13计算机网络类型运行在广阔的地理区域；通过低速串行链路进行访问；网络控制服从公共服务的规则；提供全时的或部分时间的连接；连接物理上分离的、遥远的、甚至全球的设备在大范围区域内提供数据通信服务，主要用于互连局域网。公用电话网：PSTN综合业务数字网：ISDN数字数据网：专线帧中继：FrameRelay异步传输模式：ATMPage14OSI七层参考模型OSI模型：1984年由国际标准化组织ISO国际标准化组织提出。目的：提供一个大家共同遵守的标准，解决不同网络之间的兼容性和互操作性问题。分层标准：依据功能来划分。OSI七层参考模型的优点：促进标准化工作,允许各个供应商进行开发.各层间相互独立,把网络操作分成低复杂性单元.灵活性好,某一层变化不会影响到别层.各层间通过一个接口在相邻层上下通信.Page15OSI分层结构数据流层传输层数据链路层网络层物理层应用层(高)会话层表示层应用层负责主机之间的数据传输负责网络数据传输Page16OSI分层结构规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输，网络接口卡和网络连接等.没有智能性，只能对bit流进行简单的处理。如传输，放大，复制等。网线：bit流的传输.中继器：信号的放大.集线器：信号的放大和复制.Page17OSI分层结构在相邻节点之间建立链路，传送数据帧。工作在同一个网段。主要涉及介质访问控制、连接控制、流量控制和差错控制等。定义物理地址，标识节点。将bit流组合成数据帧。交换机：能识别数据帧中的MAC地址信息，在同一网段转发数据。有智能，进行定向转发。Page18OSI分层结构是一座桥梁，将不同规范的网络互连起来。在不同网段路由数据包。定义IP地址，由32bit的二进制数组成，点分十进制表示。路由转发，通过路由表实现三层寻址.MAC地址（二层）物理地址平面结构身份IP地址（三层）逻辑地址层次结构位置Page19OSI分层结构实现终端用户到终端用户之间的连接。可以实现流量控制、负载均衡。分段，使数据的大小适合在网络上传递。区分服务，端口号标识上层的通信进程。Page20OSI分层结构在两个应用程序之间建立会话，管理会话，终止会话。一旦建立连接，会话层的任务就是管理会话。主要由操作系统来完成，把不同的应用程序设置内存区间，分配相应的内存，CPU资源，保持不同的应用程序的数据独立性。将数据转换成接收设备可以了解的格式.翻译数据格式，加密，压缩.Page21OSI分层结构为具体的应用程序提供服务，实现各种网络应用（……）。我们说某个应用程序的界面是否友好，就是应用层完成的。应用层为用户和计算机会话提供一个界面。计算机有他的语言，人有人的语言，人要和计算机交流，必须有一个窗口来把信息传递出来。Page22数据的封装与解封装数据要通过网络进行传输，要从高层逐层的向下传送，如果一个主机要传送数据到别的主机，先把数据装到一个特殊协议报头中，这个过程叫封装。上述的逆向过程。Page23封装过程上层数据LLC头+IP+TCP+上层数据IP+TCP+上层数据TCP+上层数据上层数据0101110101001000010传输层数据链路层物理层网络层表示层应用层会话层FCSFCSTCP头LLC头IP头MAC头Page24解封装过程上层数据LLC头+IP+TCP+上层数据IP+TCP+上层数据TCP+上层数据上层数据0101110101001000010传输层数据链路层物理层网络层表示层应用层会话层Page25数据传输过程通信介质应用层表示层会话层传输层网络层数据连路层物理层应用层表示层会话层传输层网络层数据连路层物理层网络层数据连路层物理层通信介质协议端系统A端系统BPage26冲突域和广播域冲突域：一个支持共享介质的网段。广播域：广播帧传输的网络范围，一般是路由器来设定边界（因为router不转发广播）。冲突：在以太网中，当两个节点同时传输数据时，从两个设备发出的帧将会碰撞，在物理介质上相遇，彼此数据都会被破坏。Page27OSI模型的缺陷及意义提供了网络间互连的参考模型。成为实际网络建模、设计的重要参考工具和理论依据。为我们提供了进行网络设计与分析的方法。许多功能在多个层次重复，有冗余感（如流2.3.4层都有，差错控制等，数据链路层有流控）。各层功能分配不均匀（链路、网络层任务重，会话层任务轻）。功能和服务定义复杂，很难产品化。Page28TCP/IP与OSITCP/IP与OSI的比较:TCP/IP分四层，OSI分的是七层。TCP/IP网络实践上的标准，OSI网络理论的标准。TCP/IP定义每一层功能如何实现,OSI定义每一层做什么。TCO/IP的每一层都可以映射到OSI模型中去。Page29TCP/IP与OSI应用层表示层会话层传输层网络层数据链路层物理层应用层传输层网络层网络接口层Page30TCP/IP应用层应用层传输层网络层文件传输-TFTP*-FTP*E-Mail-SMTP远程登陆-Telnet*-SSH*网络管理-SNMP*名称管理-DNS*网络接口层Page31TCP/IP传输层传输控制协议(TCP)面向连接用户数据报协议(UDP)非面向连接应用层传输层网络层网络接口层Page32端口号TCP端口号FTPTELNETDNSSNMPTFTPSMTPUDP应用层2123255369161RIP520传输层Page33端口号作用源端口目标端口…HostA102823…SPDPHostZTelnetZ目标端口=23.端口号标识上层通信进程。小于1024为周知端口、1024-5000为临时端口、大于5000为其他服务预留。Page34TCP确认机制发送方发送1接收1发送ACK2发送2接收2发送ACK3发送3接收3接收ACK4滑动窗口=1接收方Page35TCP三次握手发送SYN(seq=100ctl=SYN)接收SYN发送SYN,ACK(seq=300ack=101ctl=syn,ack)建立会话(seq=101ack=301ctl=ack)HostAHostB123接收SYNTCP连接建立Page36IP地址组成IP地址为32Bit二进制数组成，用点分十进制表示。（例如：192.168.1.1/24）IP地址=网络位+主机位用来标识一个IP地址哪些是网络位,哪些是主机位。用1标识网络为，用0标识主机位。Page37IP地址分类A类（1-126）前8位表示网络位，后24位表示主机位。B类（128-191）前16位表示网络位，后16位表示主机位。C类（192-223）前24位表示网络位，后8位表示主机位。D类（224-239）用于组播地址。E类（240-255）科研使用。Page38特殊IP地址本地回环(loopback)测试地址广播地址代表任何网络0.0.0.0127.0.0.1255.255.255.255主机位全为1:代表该网段的所有主机。Page39私有IP地址C类256个：192.168.0.0/24---192.168.255.0/24A类1个：10.0.0.0/8B类16个：172.16.0.0/16---172.31.0.0/16Page40子网划分的核心思想“借用”主机位来“制造”新的“网络”16网络主机172.16.2.160255.255.255.017220101011001111111110101100000100001111111100010000111111110000001010100000000000000000000000000010子网（借位）网络号128192224240248252254255Page41划分子网方法所选择的子网掩码将会产生多少