1-计算机网络安全基础.ppt

安全远程管理 安全网域 Host C Host D Internet 管理员 黑客 如何实现 安全管理呢 采用一次性口令认证来实现安全管理 用户名，口令 用户名，口令 数据机密性保护 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 DMZ区域 WWW Mail DNS 密文传输 明文传输 明文传输 数据完整性保护 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 数据源身份验证 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 原始数据包 DSS 原始数据包 DSS DSS 解密 相等吗？ 验证通过 IDS IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 监控室=控制中心 后门 保安=防火墙 摄像机=探测引擎 Card Key 形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。 入侵检测系统 Firewall Servers DMZ IDS Agent Intranet 监控中心 router 攻击者 发现攻击 发现攻击 发现攻击 报警 报警 IDS Agent 入侵检测系统的作用 实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据 主动响应 主动切断连接或与防火墙联动，调用其他程序处理 典型部署－企业内部安装 Intranet IDS Agent IDS Agent Firewall Servers DMZ IDS Agent 监控中心 router 典型部署－广域网应用 监控中心（辅） IDS Agent IDS Agent IDS Agent IDS Agent IDS Agent IDS Agent 监控中心（主） 病毒新概念 病毒感染不仅是一个文件，而是一个系统 病毒文件会替换操作系统文件 不是所有病毒都可以修复的！ 杀蠕虫和特洛伊木马的方法就是删除整个文件 完整的防毒规划七大要素 多层次、全方位、跨平台的技术及強大功能 简易快速的网络安装 集中管理 警报和报表系统 自动化服务机制 合理的预算规划 对企业用户的服务与支持 防毒产品的剖析 选购防毒产品的考虑 防毒解毒能力－最重要的基本能力 管理能力 针对中国用户的病毒库升级服务 选择的标准 厂商提供的比较表－最不可靠 单一产品評比－仅在當发有效(产品版本不断更新) 专业防毒认证－具公信力，需要持续送测 主要认证单位 ICSA (基本认证) Check-Mark (Level 2 确保修复能力) Virus Bulletin (最严格) 计算机安全产品认证 Data source: ICSA – International Computer Security Association CheckMark 认证： Level 1、Level 2 Level Trojan ICSA 认证： http://www.ICSA.net On-Demand/On-Access, Cleaning Internet Internet Email 网关 防火墙 网关级 群件服务器 - Notes and Exchange NetWare Server NT Server 服务器级 Macintosh Windows