信息安全技术发展状况简.pptVIP

信息网络安全技术发展状况 安全技术架构 密码技术 系统安全技术 网络安全技术 安全协议-网络层 安全协议- 传输层 安全协议- 应用层 SSL Record Protocol 具体操作 SSL握手协议的消息传递 国标主要安全指标 信息网络主要安全指标 其他标准 安全实践结构 安全策略 策略建立和审核过程 人员策略 决定需要保护什么 决定哪些损失是可以接受的 列出所有潜在的风险和安全漏洞 获得安全工具 建立物理灾难恢复, 事件响应及意外事故计 提供安全认知和实践培训 系统安全增强 新的系统总是充满了各种安全漏洞 打上最新软件补丁和更新 总是到系统供应商处检查更新 从可信站点下载,使用MD5或数字签名(PGP)检查 加强口令保护 设置系统审计功能 增强文件系统安全 文件系统监控 文件自动恢复 安全配置各种网络服务 其他安全考虑 网络基础设施 为避免网络窃听,应使用交换式HUB,而不用共享式HUB 许多支持SNMP的设备中, SNMP agent的默认口令“public” 未作更改 路由器 关闭源路由,以避免IP欺骗 在路由器上,禁止TCP和UDP端口137 138,139 以及其他不会用到的TCP/UDP端口,禁止不需要的协议 路由器只是原始的网络安全设备 它不跟踪TCP连接状态 它也没有日志机制来检测入侵企图 包过滤规则难以设置 安全防护实践 安全策略 系统安全增强 网络安全 最终用户安全 其他 防火墙 防火墙是位于两个或多个网络间，实施网间访问控制的计算机和网络设备的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙的作用 强化安全策略 有效地记录Internet上的活动 隔离不同网络，限制安全问题扩散 是一个安全策略的检查站 防火墙相关技术 静态包过滤 动态包过滤 应用程序网关(代理服务器) 电路级网关 网络地址翻译 虚拟专用网 防火墙体系结构 双宿/多宿主机模式 (dual-homed/multi-homed) 屏蔽主机模式 屏蔽子网模式 双宿主机模式 屏蔽主机模式 屏蔽子网模式 安全扫描 手工地或使用特定的自动软件工具——安全扫描器，对系统威胁进行评估，寻找可能对系统造成损害的安全漏洞。 本地扫描器或系统扫描器： 扫描器和待检查系统运行于同一结点，执行自身检查 远程扫描器或网络扫描器： 扫描器和待检查系统运行于不同结点，通过网络远程探测目标结点，寻找安全漏洞。 入侵检测 (IDS) 防火墙和IDS是网络安全中互为补充的两项工具 IDS完成以下功能 实时监控网络流量 检查审计信息,寻找入侵活动 当发现入侵特征后,告警 IDS有两大种类 基于主机 基于网络 IDS通常很昂贵,会产生相当多的误报 最终用户安全 安全训练 提高安全意识,了解网络安全策略 工作站安全 保护敏感信息 备份,加密,加锁 默认外来文件都是有害的 选取合适口令 浏览器选择及配置 强加密 Cookie,Java Applet, Javascript, ActiveX等的使用 正确处理电子邮件 加密,数字签名 安全技术架构 外层防火墙 隔离Internet和DMZ； IP包过滤，仅允许从Internet到DMZ公共服务器的访问和经由内层防火墙到Internet访问的IP包进出； 实现地址转换，隐藏DMZ及内部网络拓扑结构； IP地址合法性检查，防止地址欺骗； 具备审计功能。 同IDS联动,切断入侵者连接 内层防火墙、代理服务器 隔离DMZ和内部网； 实现代理访问型防火墙功能，支持从内部网到Internet和DMZ的单向访问； 实现身份认证，内部网访问Internet必须先经过认证才能进行； 能够实现地址转换，隐藏内部网络拓扑结构； IP地址合法性检查，防止地址欺骗； 对网络访问进行监控审计； 自身对发生的攻击行为能进行审计。 同IDS联动,切断入侵者连接 入侵检测系统(IDS) 能够实时准确捕捉到入侵； 能够检测出系统管理员及内部用户的误操作； 发现入侵能够及时作出响应并详细记录审计日志 同防火墙联动，主动切断入侵者连接 安全扫描系统 检查系统中存在的特洛伊木马及有漏洞程序； 对系统和网络进行检测，查找可能存在的安全漏洞、配置问题并给出报告和修改建议； DMZ DDN/X.25/FR 无线网 加密机 防火墙 路由器 路由器 PSTN 移动用户 外部mail服务器 外部WWW服务器 外部DNS 普通客户 密钥管理中心 防火墙 安全客户端 一般服务器1 一般服务器2 一般服务器3 一般服务器n 重要服务器1 重要服务器2 重要服务器3 重要服务器n 接入/认证服务器 访问代理 漏洞扫描/入侵检测 安全方案拓扑总图 代理服