网络安全培训课程提纲

精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料南京市国家保密局培训课程提纲一.网络安全与防火墙技术1.网络安全概述随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之，Internet网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的大事情。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说，它在下个世纪里完全可以与核武器对一个国家的重要性相提并论。这个问题解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。去年的印尼排华浪潮导致中国黑客对印尼站点的大规模攻击，也招致了印尼黑客的报复；科索沃危机引发南黑客对美国军方站点的报复性攻击；今年台独势力的猖獗引发了大陆黑客对台湾官方站点和台独党派站点的攻击，海峡两岸以及美国各种媒体沸沸扬扬，纷纷长篇累犊地报导。可以说，网络战争已经在另外一个维度上成为政治的延续。从网络运行者的角度来看，三月份，宁夏169网主页被修改；四月份，辽宁电信网站被入侵导致停机两次；六月份，中国商务网（）被自称inS的黑客更改主页；七月份以来国内多个网站遭到台湾黑客报复性攻击。这些攻击伤害了网络运行者的信誉和形象，同时也使企业蒙受了经济上的损失。美国政府对网络安全的研究起步很早。1985年，美国国防部基于军事计算机系统的保密需要，制订了可信计算机系统安全评价准则（TCSEC），随后又制订了关于网络系统、数据库等方面的系列安全建议，形成了安全信息系统体系结构的最早原则。美国政府将网络安全产品当作战略武器，严格限制出口的种类。并且，从新闻报导分析来看，它有意容忍黑客组织的活动，目的是使黑客的攻击置于一定的控制之下，并且通过这一渠道获得防范攻击的实战经验。目前我国对计算机网络安全产品的认证研究刚开始起步，尚没有对计算机安全发布权威性的标准方案。新刑法中关于计算机网络犯罪的条款也没有解决法律上的问题。例如，去年上海热线杨威入侵案的审理过程说明了新刑法在新兴的计算机犯罪的定罪和量刑上的模糊不清。所以，不管在设计网络安全方案时，还是在确认事故、攻击、入侵等级时都显得无所适从。对于企业来说，尤其是大的ISP，等待国家去研究发布相应的标准是不恰当的。应当尽快组织自己的IT部门或购买其它公司的相应服务来确立自己企业网的安全策略，并且下决心去实施，并且定期地检查实际情况与安全策略的差距。应该说，Internet技术是一把双刃剑，它在为我国国民经济建设、人民的物质文化生活带来促进和丰富的同时，也对传统的国家安全体系提出了严峻的挑战，使得国家机密、金融信息等面临巨大的威胁。但是，正确的态度应该是辨证的态度。一方面不能因噎废食，拒绝先进的网络技术和文化，但另一方面一定要对网络威胁给予充分的重视。曙光公司总裁李国杰院士表示：国家标准是一种主权。中国工程院院士沈昌祥说：构筑信息与网络安全防线―事关重大、刻不容缓。精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料2.网络的安全威胁网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素：可能是有意的，也可能是无意的；可能是来源于企业外部的，也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。总结起来，大致有下面几种主要威胁：(1)非人为、自然力造成的数据丢失、设备失效、线路阻断(2)人为但属于操作人员无意的失误造成的数据丢失(3)来自外部和内部人员的恶意攻击和入侵前面两种的预防与传统电信网络基本相同，不在本文讨论范围之内。最后一种是当前Internet网络所面临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。2.1网络攻击的定义对网络安全管理员来说，可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击，也可以说攻击是指谋取超越目标网络安全策略所限定的服务（入侵）或者使目标网络服务受到影响甚至停止（攻击）的所有行为。攻击行为从攻击者开始在接触目标机的那个时刻起可以说就已经开始了。2.2攻击的动机招致网络攻击的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心（这方面主要是孩子们）等，当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看，多数网络犯罪者都很年轻，它们表示原来并不知道这样做是犯罪。另外，目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够，意识淡漠，建设中或建设后在没有采取足够的安全防护措施的情况下，将网络接入因特网上，也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻，在满足自己好奇心的同时，触犯了国家法律。根据美国联邦调查局1998年的统计数据，网络攻击主要包括四种来源，它们分别是国外政府、竞争对手、黑客和不满的雇员。值得注意的是当前出于政治目的和商业竞争目的的网络攻击日益增多。某集成商的演示系统在开标前夕突然失去服务，而该系统之前从未出现类似问题。竞争对手出于竞争目的，为打击对手的商业信誉可能会发动攻击行为。从前言的叙述中，我们也看到了网络攻击和入侵对于获取其它目标国家或机构的机密信息是一种非常重要的手段。3.防火墙技术古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。自然,这种墙因此而得名“防火墙”。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”,或“防火墙系统”。简言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。在使用防火墙的决定背后,潜藏着这样的推理:假如没有防火墙,一个网络就暴露在不那么安全的Internet诸协议和设施面前,面临来自Internet其他主机的探测和攻击的危险。在一个没有防火墙的环境里,网络的安全性只能体现为每一个主机的功能,在某种意义上,所有主机必须通力合作,才能达到较高程度的安全性。网络越大,这种较高程度的安全性越难管理。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。实现防火墙的技术包括两大类型：包过滤(PF)、应用级防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。1.包过滤型防火墙检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包括源地址、目的地址、传输协议、目的端口等。还可以根据TCP序列号、TCP连接的握手序列（如SYN、ACK）的逻辑分析等进行判断，较为有效地抵御类似IPSpoofing、Syncflooding等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合需要将路由和包过滤两种功能分开，也就是说有必要单独购买专门防火墙。访问控制表（ACL）定义了各种规则来表明是否同意或拒绝包的通过，表一是典型ACL示例。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果规则都不符合，则缺省操作为丢弃该包。包过滤型防火墙配置简洁、速度快、费用较低，并且对用户透明，但是对应用层的信息无法控制，对内网的保护有限。表一访问控制列表（ACL）示例源IP源端口目的IP目的端口协议动作记录备注1intra_ipanyanyAnyudp/tcpDeny防止外部IPspoof2anyany允许精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料3anyanyMail_ip25TcpPermitlog允许Mail服务4anyanyDns_ip53UdpPermit允许DNS服务5anyanyDns_ip53TcpPermitlog允许DNS转发6anyanyanyAnyudp/tcpDeny禁止其他服务注:在上面配置建议中，各个地址含义如下：服务器地址：服务器地址：mail_ipDNS服务器地址：dns_ip外部地址网段：inter_ip内部地址网段：intra_ip2.应用级防火墙应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制，并做精细的注册和稽核。根据是否允许两侧通信主机直接建立链路，又可以分为网关和代理两种。前者允许两侧建立直接连接，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包。而后者通过特定的代理程序在两侧主机间复制传递数据，不允许建立直接连接。每一种应用需要相应的代理软件，使用时防火墙负载较大，效率不如前者。目前在市场上流行的防火墙大多属于应用级防火墙。3.天网防火墙简介天网防火墙在总体上采用软硬件一体化的结构，通过与硬件系统的深层结合，比基于任何传统的软件防火墙都更加高效，安全，而且更加实时化。天网防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则（SecurityRules）把守企业网络，提供强大的访问控制、身份认证、应用选通、网络地址转换（NetworkAddressTranslation）、信息过滤、虚拟专网（VPN）、流量控制、虚拟网桥等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。它采用了WBM(WebBaseManagement)管理界面，通过直观、易用的界面管理强大、复杂的系统功能。系统采用中国化的设计，不单是界面全中文化，还提供了符合中国国情的全文过滤系统。系统具有以下特点：特点简要说明1硬件集成设计系统与硬件紧密结合，发挥硬件最高效能，提高系统自身安全性。2高性能系统核心系统采用专用的网络操作系统SNOS（SkyNetOS）系统，防精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料火墙与系统内核融为一体，加上汇编级的网络底层驱动，3完善的访问控制管理员可以根据系统提供的完善选项，设定对网络地址段、网络地址与网络端口服务访问控制政策。系统还可以支持针对网络物理(MAC)地址绑定的功能，令到IP地址不会被盗用。4虚拟网桥设备系统支持透明多个网桥设备，系统可以将任意的网络端口加入网桥