网络安全综述如何保护你的网络和系统

InsightsandAnswersforITProfessionals网络安全综述----如何保护你的网络和系统微软（中国）有限公司议程议题1:热点问题分析议题2:网络安全的定义议题3:攻击和破坏的方式议题4:如何防范议题5:制定企业的安全策略议题1:热点问题分析红色代码CodeRedIandII尼母达Nimada“红色代码”病毒的工作原理1.病毒利用IIS的.ida漏洞进入系统并获得SYSTEM权限(微软在2001年6月份已发布修复程序MS01-033)1.病毒产生100个新的线程1.99个线程用于感染其它的服务器2.第100个线程用于检查本机,并修改当前首页2.在7/20/01时所有被感染的机器回参与对白宫网站的工作原理4种不同的传播方式IE浏览器:利用IE的一个安全漏洞(微软在2001年3月份已发布修复程序MS01-020)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序.(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)电子邮件附件:(已被使用过无数次的攻击方式)文件共享:针对所有未做安全限制的共享微软的应对发布对应的清除工具和清除方法发布新的安全工具STPP计划议题2:网络安全的定义网络安全的物理范围网络安全的语义范围网络安全的级别威胁来自哪里“INTERNET的美妙之处在于你和每个人都能互相连接,INTERNET的可怕之处在于每个人都能和你互相连接”网络安全的物理范围网络安全的语义范围保密性完整性可用性可控性安全的级别PublicInternalConfidentialSecretWebSiteDataMarketingDataPayrollDataTradeSecretsTypeofDataWhatisatRiskPublicPrestige,Trust,RevenueInternalOperationsConfidentialOperations,InternalTrustSecretIntellectualProperty威胁来自哪里议题3:攻击的方法攻击的类型攻击的工具和步骤成功的攻击=目的+手段+系统漏洞常见的攻击方式社会工程SocialEngineering病毒virus,木马程序Trojan,蠕虫Worm拒绝服务和分布式拒绝服务攻击Dos&DDosIP地址欺骗和IP包替换IPspoofing,Packetmodification邮件炸弹Mailbombing宏病毒MarcoVirus口令破解Passwordcrack攻击的工具和步骤标准的TCP/IP工具(ping,telnet…)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,protscanner…)网络包分析仪(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木马(BO2k,冰河,…)PortScan…有同样多的方法和工具保护您的系统PacketFilteringDMZsOperatingSystemConfigurationApplicationSecurityEventMonitoringPKIVPNVirusScanningHotfixesChangeControlGoodOperationalPracticeIPSecSSLISAServer主题4:如何防范Internet访问的安全控制Internet上信息发布的安全远程用户和网络的安全控制服务器安全管理邮件系统的安全客户端的安全微软发布的安全工具和安全功能如何检测攻击行为从这里开始：安全问题公告安全工具安全操作指南安全白皮书可订阅的安全警告信息…Internet访问的安全控制FirewallInternetDMZInternalNetwork远程用户和网络的安全控制使用ＶＰＮ确保远程用户和远程网络的安全Internet远程客户端VPN服务器远程网络防火墙Web服务器防火墙的重要性公网和内网的隔离带公网和内网的连接桥梁可以对网络行为实行统一的控制但是…微软的ISA服务器ISA=防火墙+双向Web缓存+集中管理ISA的安全特性通过ICSA认证支持IP包过滤,进程级过滤和应用级过滤支持流媒体和多址广播报表功能入侵检测功能SystemHarden集中的安全控制Internet上信息发布的安全安装所需的ServicePack和Hotfix按照安全配置列表(SecurityChecklist)对服务器做正确配置信息发布过程的安全管理权限管理流程管理Web应用程序设计的安全数据库连接IIS的安全配置工具IIS安全检查列表(SecurityChecklist)BaselineChecklistFullversionChecklistIIS安全配置文件(Hisecuweb.inf)IISLockdownTool服务器安全管理安装和配置管理ServicePack和Hotfix只安装必要的服务,记录和备份当前配置使用NTFS文件系统帐号管理口令管理–长度,复杂度,寿命,尝试次数登录控制–终端锁定的时间,登录名显示特权帐号管理–administrator,SA,guest…身份验证方式NTLM,Kerberos,智能卡,生物识别技术服务器安全管理安全审计和性能监控EventViewerPerformanceMonitor网络连接和传输过程的安全PortFilterIPSec使用负载平衡和容错技术NLBCluster部署防病毒系统邮件系统的安全ServicePackandHotfix拒绝服务式攻击将服务分布于多台服务器限制传入邮件的大小严格控制邮件附件关闭RelayHost选项通过邮件传播病毒部署服务器端和客户端的防病毒软件在防火墙使用邮件过滤技术在Outlook客户端使用安全限制邮件系统的安全在邮件传输过程中窃取信息S/MIMESSL假冒身份发送邮件数字签名客户端安全管理普通用户缺乏安全意识是最大的安全问题认为安全是系统管理员的事随意下载机密信息到本地共享信息时不做任何安全限制随意让他人使用自己的机器随意执行不清楚用途的应用程序随意的口令管理…利用Win2000中的组策略实现对桌面系统的控制和自动的软件分发利用SMS或其它网管软件微软产品提供的安全功能Windows2000VPN(PPTP,L2TP),PKI,GrouppolicyIPSec,EFS,SmartCardSupportWindowsXPICFISA服务器企业级的防火墙和代理服务器MOM统一的网络监控SMS网络监控和软件分发微软新近发布的安全工具HFNetChkURLScanIISLockdownToolMicrosoftPersonalSecurityAdvisor(MPSA)累加的Hotfix和QChainIISLockdownToolandHFNetChk如何检测攻击行为使用任务管理器和性能监测器发现服务器异常使用TCP/IP工具和网络监视器检查网络通信使用事件察看器检查异常的帐号活动利用Web服务器或防火墙日志找出攻击来源利用第三方工具Symantec安全防护体系防火墙入侵检测系统主机加固容错和自动恢复功能:阻止入侵工具:ISAServer功能:检测入侵工具:第三方产品Eventlog,IISlog,Networkmonitor…功能:抵抗入侵工具:Checklist,lockdowntool,passprop…功能:自动恢复工具:NLB,receptionmonitor,crs…题目4:制订安全策略“我们力图保护的是些什么资源?”“计算机系统必须防范谁?”“我们需要什么级别的安全?”制订安全策略确定安全需求确定安全需求的范围评估面临的风险制订可实现的安全目标制订安全规划本地网络:帐户,文件,邮件…远程网络:远程用户,远程分支机构…Internet:浏览,文件传输…制订系统的日常维护计划制订安全策略–案例分析一家软件公司,为保护它的日常工作,软件财产和客户利益需要制定一个安全策略…安全需求:确保它的源代码不会丢失,不会泄密,并让开发人员随时可以得到…安全目标:所有超过1天以上的开发工作的结果都应被保存;严格的权限控制,确保只有开发部门具有修改权限,其它部门只有读权限;每年服务器宕机时间不超过24小时…安全计划:使用VSS控制开发过程;在服务器端设定不同用户的权限;使用服务器容错技术;建立异地的备份中心…维护计划:确定备份方案,灾难恢复计划和针对安全策略常用的安全规范和安全评估机构TCSEC(美国1985)ITSEC(欧洲1991)CTCPEC(加拿大1993)FC(美国1992)CC(欧美1999)CNISTEC(中国1998)资源列表微软:://其他:://://微软企业技术支持服务•咨询服务•技术培训•现场支持服务•客户专案管理•专业开发支持•协助构建解决方案•技术资料和信息•软件问题修复Question?