网络安全思路与分析.pptxVIP

网络信息安全思考 网络为什么不安全搭建安全网络的构思提纲网络不安全的原因自身缺陷开放性 黑客攻击常见攻击手段数据驱动攻击口令破解基础设施破坏连接盗用恶意扫描拒绝服务社会工程网络窃听数据篡改地址欺骗常用攻击手段举例电子邮件炸弹特洛伊木马拒绝服务攻击IP地址欺骗口令攻击网络为什么不安全搭建安全网络的构思提纲 网络安全的目标数据完整性数据可用性用户身份认证数据保密性不可否认性网络安全关键技术（1）口令不安全的口令: 姓名、生日、 电话、门牌号、工作证号等安全的口令： 大小写组合、数字字母组合,要有一定长度 网络安全关键技术（2）加密技术对称密钥 技术又叫秘密密钥。加密和解密采用相同的密钥。常见加密标准为DES、IDEA和三重DES(3DES)等。秘密密钥效率高, 主要用于对大数据进行快速加密,一般采用集中管理和分发密钥。非对称密钥技术（或称公钥加密体制）加密和解密使用不同的密码 Kpub, Kpriv。Kpub(公钥)公开，用于加密，Kpriv(私钥)由密钥持有人持有，用于解密。 公钥加密算法有RSA 算法等, 加密强度很高。.网络安全关键技术（3）对称密钥体制 单密钥加密用户甲拥有一个秘密密钥如果乙想送秘密信息给甲甲发送自己的秘密密钥给乙乙用此密钥加密信息发送给甲甲用自己的密钥解密信息问题：甲如何将自己的秘密密钥给乙如果甲、乙、丙、丁之间要互传信息，需要n!个密钥没有解决抗抵赖的要求123加密、解密速度快通信双方需要预先协商一个密钥一旦密钥泄密，安全就不能得到保障网络安全关键技术（4）对称密钥的特点网络安全关键技术（5）非对称密钥（公钥加密）体制 用户甲拥有两个对应的密钥用其中一个加密，只有另一个能够解密，两者一一对应用户甲将其中一个私下保存（私钥），另一个公开发布（公钥）如果乙想送秘密信息给甲乙获得甲的公钥乙使用该公钥加密信息发送给甲甲使用自己的私钥解密信息123适合在网络环境中使用加密、解密速度慢一般用于协商、加密共享密钥，数字签名网络安全关键技术（6）非对称密钥（公钥加密）的特点网络搭建与管理安全-基础篇(1)终端接入安全访问控制 基于MAC地址acl基于MAC和IP的acl端口捆绑 交换机支持PORT-SECURITYAM802.1x 交换机支持配合radius服务（DCSM）网络搭建与管理安全-基础篇(2)远程用户接入安全PPTPL2TPVPN接入内网SSL数据完整性源地址认证数据机密性抗重播IPSec网络搭建与管理安全-基础篇(3)内网服务器安全服务器安全保证防火墙+入侵检测服务器自身加固服务器系统加固入侵检测与防火墙基于地址的访问控制用户权限服务器加固边界设备做特定端口转换基于主机的入侵检测审计加强网络搭建与管理安全-基础篇(4)发布服务器安全Add Your TextAdd Your Text网络搭建与管理安全-加强篇(1)网络设备安全小心设备基于网络的管理权限telnet、ssh、https等方式设备运行的协议安全路由协议（协议认证、非必要网络的噤声）生成树协议（非级联线路的边缘设置）……设备配置文件的安全配置文件的备份设备接线状况的说明文档接入终端相应文档（如网卡MAC地址记录）网络搭建与管理安全-加强篇(2)园区网出口稳定性、带宽保证双出口负载均衡策略路由防火墙支持效果优于路由器服务质量保证、IM、P2P控制基于用户基于地址、服务端口基于应用流量整形设备-DCFS效果优于防火墙和路由器网络搭建与管理安全-加强篇(3)安全保障失效响应客户端染毒危害内网网关与客户端基于ARP协议的认证软件（防火墙）设备辅助解决（交换机）核心、网关等设备的单点故障解决方案生成树（交换机）VRRP（路由器）冷备份谢谢！网络信息安全的理论，涉及的范围很广很杂，有些原理也很深奥。在这里不可能用短短的几十分钟，面面俱到。只从中挑选一些我认为比较重要和典型的内容，和大家一起分享。不到之处，还望大家多多指正。口令破解：攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经通过认证建立起来的连接，从而 假冒被接管方与对方通信拒绝服务：攻击者可直接发动攻击，也可通过控制其它主机发起攻击，使目标瘫痪，如发送大量的数据洪流阻塞目标网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息数据篡改：攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性地址欺骗：攻击者可通过伪装成被信任的IP 地址等方式来骗取目标的信任社会工程：攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞，进而发起攻击基础设施破坏：攻击者可通过破坏DNS 或路由信息等