1、Version 2.0計(jì)算機(jī)安全防護(hù)計(jì)算機(jī)安全防護(hù)2第一學(xué)期課程目標(biāo)示意圖第一學(xué)期課程目標(biāo)示意圖InternetVlan trunk單臂路由單臂路由RIP v2 路由路由接入互聯(lián)網(wǎng)接入互聯(lián)網(wǎng)VLANVLANVLANVLAN DCPrintsrvProxyVlan trunkVlan trunk3課程目標(biāo)課程目標(biāo)vWindows系統(tǒng)安全性維護(hù)能力系統(tǒng)安全性維護(hù)能力 部署部署Symantec企業(yè)防病毒系統(tǒng)，保障企業(yè)服務(wù)器與客企業(yè)防病毒系統(tǒng)，保障企業(yè)服務(wù)器與客戶機(jī)能夠正常工作戶機(jī)能夠正常工作 利用手工方式或軟件方式清除系統(tǒng)中的木馬程序利用手工方式或軟件方式清除系統(tǒng)中的木馬程序 vWindows系統(tǒng)可

2、靠性維護(hù)能力系統(tǒng)可靠性維護(hù)能力 帳戶管理帳戶管理 權(quán)限管理權(quán)限管理 文件夾文件管理文件夾文件管理 日志管理日志管理 磁盤與數(shù)據(jù)管理磁盤與數(shù)據(jù)管理 4課程結(jié)構(gòu)圖課程結(jié)構(gòu)圖計(jì)算機(jī)安全計(jì)算機(jī)安全網(wǎng)絡(luò)防毒網(wǎng)絡(luò)防毒木馬查殺及注冊表木馬查殺及注冊表使用使用計(jì)算機(jī)安全的基本計(jì)算機(jī)安全的基本定義，影響計(jì)算機(jī)安定義，影響計(jì)算機(jī)安全的因素，如人為、全的因素，如人為、計(jì)算機(jī)硬件、系統(tǒng)等，計(jì)算機(jī)硬件、系統(tǒng)等，計(jì)算機(jī)安全防護(hù)體系計(jì)算機(jī)安全防護(hù)體系以及防護(hù)策略以及防護(hù)策略Windows環(huán)境環(huán)境下，部署企業(yè)防病下，部署企業(yè)防病毒軟件以及防病毒毒軟件以及防病毒策略實(shí)施策略實(shí)施常見木馬的識(shí)別和常見木馬的識(shí)別和清除方法以及清除方

3、法以及Windows注冊表的使注冊表的使用用 第第1章章 第第2章章 第第3章章Version 2.0安全使用計(jì)算機(jī)安全使用計(jì)算機(jī)第第1章章6本章目標(biāo)本章目標(biāo)v掌握安全的基本定義掌握安全的基本定義v了解計(jì)算機(jī)安全體系了解計(jì)算機(jī)安全體系v掌握計(jì)算機(jī)自身安全防護(hù)的方法掌握計(jì)算機(jī)自身安全防護(hù)的方法 7本章結(jié)構(gòu)本章結(jié)構(gòu)安全概述安全概述計(jì)算機(jī)安全計(jì)算機(jī)安全安全的基本概念安全的基本概念計(jì)算機(jī)面臨風(fēng)險(xiǎn)計(jì)算機(jī)面臨風(fēng)險(xiǎn)計(jì)算機(jī)安全體系計(jì)算機(jī)安全體系防止有害程序威脅防止有害程序威脅解決方案解決方案服務(wù)安全服務(wù)安全 文件防護(hù)文件防護(hù)操作系統(tǒng)安全操作系統(tǒng)安全應(yīng)用程序安全應(yīng)用程序安全安全級別安全級別8計(jì)算機(jī)安全概述計(jì)算機(jī)

4、安全概述v安全的基本概念安全的基本概念v計(jì)算機(jī)面臨的風(fēng)險(xiǎn)計(jì)算機(jī)面臨的風(fēng)險(xiǎn)v計(jì)算機(jī)安全體系計(jì)算機(jī)安全體系9計(jì)算機(jī)安全計(jì)算機(jī)安全v什么是計(jì)算機(jī)安全什么是計(jì)算機(jī)安全 保護(hù)計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)，不因偶然和惡意的保護(hù)計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常地運(yùn)行原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常地運(yùn)行 安全問題 邏輯安全 物理安全10計(jì)算機(jī)面臨的風(fēng)險(xiǎn)計(jì)算機(jī)面臨的風(fēng)險(xiǎn)v用戶的誤操作、誤刪除用戶的誤操作、誤刪除v停電、雷擊停電、雷擊v操作系統(tǒng)的漏洞操作系統(tǒng)的漏洞v垃圾郵件垃圾郵件v病毒病毒11計(jì)算機(jī)安全體系計(jì)算機(jī)安全體系管理者與用戶管理者與用戶物理設(shè)備的安

5、全物理設(shè)備的安全操作系統(tǒng)安全防護(hù)操作系統(tǒng)安全防護(hù)郵件、郵件、Web安全安全12人為因素人為因素v計(jì)算機(jī)的實(shí)施主體是人，安全設(shè)備與安全策略最計(jì)算機(jī)的實(shí)施主體是人，安全設(shè)備與安全策略最終要依靠人才能應(yīng)用與貫徹終要依靠人才能應(yīng)用與貫徹 預(yù)防為主預(yù)防為主 開展計(jì)算機(jī)安全培訓(xùn)開展計(jì)算機(jī)安全培訓(xùn) 不使用來歷不明的不使用來歷不明的U盤、光盤盤、光盤13物理安全物理安全v火災(zāi)火災(zāi)v盜竊盜竊v靜電靜電v雷擊雷擊v電磁輻射電磁輻射14操作系統(tǒng)安全操作系統(tǒng)安全訪問控制訪問控制數(shù)據(jù)保密數(shù)據(jù)保密數(shù)據(jù)完整數(shù)據(jù)完整15應(yīng)用程序安全應(yīng)用程序安全vWeb服務(wù)器的安全服務(wù)器的安全v數(shù)據(jù)庫安全數(shù)據(jù)庫安全 確認(rèn)已經(jīng)安裝了確認(rèn)已經(jīng)安裝

6、了SQL Server的最新補(bǔ)丁程序的最新補(bǔ)丁程序 設(shè)定強(qiáng)壯的密碼設(shè)定強(qiáng)壯的密碼 使用一個(gè)低特權(quán)用戶作為使用一個(gè)低特權(quán)用戶作為 SQL 服務(wù)器服務(wù)的查詢操作賬戶，服務(wù)器服務(wù)的查詢操作賬戶，不要用不要用 LocalSystem 或或sa16階段總結(jié)階段總結(jié)了解計(jì)算機(jī)安全的基本概念了解計(jì)算機(jī)安全的基本概念了解計(jì)算機(jī)安全的體系了解計(jì)算機(jī)安全的體系用戶安全用戶安全物理設(shè)備安全物理設(shè)備安全操作系統(tǒng)安全操作系統(tǒng)安全應(yīng)用程序安全應(yīng)用程序安全 17階段練習(xí)階段練習(xí)J計(jì)算機(jī)安全體系分別是哪幾個(gè)方面計(jì)算機(jī)安全體系分別是哪幾個(gè)方面J每個(gè)方面的具體應(yīng)用請舉例說明每個(gè)方面的具體應(yīng)用請舉例說明18操作系統(tǒng)安全操作系統(tǒng)安全

7、v操作系統(tǒng)安全級別操作系統(tǒng)安全級別 “桔皮書桔皮書”標(biāo)準(zhǔn)標(biāo)準(zhǔn)v搭建安全操作系統(tǒng)搭建安全操作系統(tǒng) 系統(tǒng)漏洞系統(tǒng)漏洞 身份驗(yàn)證身份驗(yàn)證 帳戶管理帳戶管理 權(quán)限管理權(quán)限管理 日志管理日志管理19D 級級C1 級級C2 級級B1 級級B2 級級B3 級級A 級級操作系統(tǒng)安全級別操作系統(tǒng)安全級別沒有安全性可言，例如沒有安全性可言，例如MS DOS不區(qū)分用戶，基本的訪問控制不區(qū)分用戶，基本的訪問控制有自主的訪問安全性，區(qū)分用戶有自主的訪問安全性，區(qū)分用戶標(biāo)記安全保護(hù)，如標(biāo)記安全保護(hù)，如System V等等結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)安全域，數(shù)據(jù)隱藏與分層、屏蔽安全域，數(shù)據(jù)隱藏與

8、分層、屏蔽校驗(yàn)級保護(hù)，并提供校驗(yàn)級保護(hù)，并提供B3級安全手段級安全手段操作系統(tǒng)操作系統(tǒng) 安全級別安全級別 SCO OpenServe C2 Linux C2 Windows Server 2003/2000 C2Saloris C2DOS DUnixWare 2.1/ES B2 20系統(tǒng)漏洞系統(tǒng)漏洞v不安全服務(wù)不安全服務(wù) Remote Registry Service Messengerv共享漏洞共享漏洞 IPC$ 、ADMIN$、C$ Net use IPipc$ “” /user:” Net view IP 21系統(tǒng)漏洞修補(bǔ)系統(tǒng)漏洞修補(bǔ)v 刪除不必要的共享刪除不必要的共享v Windows

9、 Updatev Windows基準(zhǔn)安全基準(zhǔn)安全分析器（分析器（MBSA）22身份驗(yàn)證身份驗(yàn)證v交互式登錄交互式登錄 使用域帳號使用域帳號 使用本地計(jì)算機(jī)帳戶使用本地計(jì)算機(jī)帳戶v 網(wǎng)絡(luò)身份驗(yàn)證網(wǎng)絡(luò)身份驗(yàn)證 Kerberos V5 NTLM驗(yàn)證驗(yàn)證 安全套接字層安全套接字層/傳輸層安全（傳輸層安全（SSL/TLS）登錄名、口令？登錄名、口令？驗(yàn)證通過，傳驗(yàn)證通過，傳送數(shù)據(jù)送數(shù)據(jù)23帳戶管理帳戶管理2-1v為用戶設(shè)置口令為用戶設(shè)置口令 建議至少使用建議至少使用8個(gè)字符個(gè)字符 建議不要使用生日日期或者電話號碼等建議不要使用生日日期或者電話號碼等 建議不要使用普通的名字或呢稱建議不要使用普通的名字或呢

10、稱 混合大小寫字母、數(shù)字、字符，如標(biāo)點(diǎn)符號等混合大小寫字母、數(shù)字、字符，如標(biāo)點(diǎn)符號等 24帳戶管理帳戶管理2-2v 密碼策略密碼策略 密碼復(fù)雜性要求啟密碼復(fù)雜性要求啟用用 密碼長度最小值密碼長度最小值 8位位 強(qiáng)制密碼歷史強(qiáng)制密碼歷史 5次次 最長存留期最長存留期 30天天v 帳戶鎖定策略帳戶鎖定策略 賬戶鎖定賬戶鎖定 3次錯(cuò)誤次錯(cuò)誤登錄登錄 鎖定時(shí)間鎖定時(shí)間 20分鐘分鐘 復(fù)位鎖定計(jì)數(shù)復(fù)位鎖定計(jì)數(shù) 20分鐘分鐘設(shè)置密設(shè)置密碼策略碼策略設(shè)置帳設(shè)置帳戶鎖定戶鎖定25權(quán)限管理權(quán)限管理vNTFS權(quán)限權(quán)限v文件夾與文件權(quán)限文件夾與文件權(quán)限標(biāo)準(zhǔn)權(quán)限標(biāo)準(zhǔn)權(quán)限基于目錄基于目錄基于文件基于文件不可訪問不可訪問

11、無無無無列出列出RX不適用不適用讀取讀取 RX RX 添加添加 WX 不適用不適用 讀取和運(yùn)行讀取和運(yùn)行 RWX RX 更改更改 RWXD RWXD 完全控制完全控制 ALL ALL 26日志管理日志管理2-1v日志作用日志作用 記錄系統(tǒng)運(yùn)行狀態(tài)記錄系統(tǒng)運(yùn)行狀態(tài) 記錄用戶操作過程的信息記錄用戶操作過程的信息 了解系統(tǒng)運(yùn)行狀態(tài)了解系統(tǒng)運(yùn)行狀態(tài) 系統(tǒng)遭受攻擊后查看信息的工具系統(tǒng)遭受攻擊后查看信息的工具27日志管理日志管理2-2v日志分類日志分類 系統(tǒng)日志系統(tǒng)日志 應(yīng)用日志應(yīng)用日志 安全日志安全日志28應(yīng)用程序安全應(yīng)用程序安全v數(shù)據(jù)文件防護(hù)數(shù)據(jù)文件防護(hù)v服務(wù)安全服務(wù)安全v防止有害程序的危害防止有害程

12、序的危害29數(shù)據(jù)文件防護(hù)數(shù)據(jù)文件防護(hù)3-1v備份備份 利用利用NTbackup.exe 利用第三方軟件利用第三方軟件30數(shù)據(jù)文件防護(hù)數(shù)據(jù)文件防護(hù)3-2v使用使用NTFS 特殊權(quán)限特殊權(quán)限 所有者控制所有者控制 繼承性繼承性 移動(dòng)移動(dòng)/復(fù)制復(fù)制 共享權(quán)限共享權(quán)限 磁盤配額磁盤配額31數(shù)據(jù)文件防護(hù)數(shù)據(jù)文件防護(hù)3-3v文件加密文件加密EFS 采用單一密鑰技術(shù)采用單一密鑰技術(shù) 核心文件加密技術(shù)僅用于核心文件加密技術(shù)僅用于NTFS，使用戶在本地計(jì)算機(jī)，使用戶在本地計(jì)算機(jī)上安全存儲(chǔ)數(shù)據(jù)上安全存儲(chǔ)數(shù)據(jù) 加密用戶透明使用，拒決其他用戶加密用戶透明使用，拒決其他用戶 不能加密系統(tǒng)文件和已壓縮的文件不能加密系統(tǒng)文

13、件和已壓縮的文件 加密后不能被共享，能被刪除加密后不能被共享，能被刪除32服務(wù)安全服務(wù)安全v系統(tǒng)服務(wù)狀態(tài)系統(tǒng)服務(wù)狀態(tài) 自動(dòng)啟動(dòng)自動(dòng)啟動(dòng) 隨著系統(tǒng)啟動(dòng)過程而自動(dòng)啟動(dòng)隨著系統(tǒng)啟動(dòng)過程而自動(dòng)啟動(dòng) 手工啟動(dòng)手工啟動(dòng) 當(dāng)需要某個(gè)服務(wù)時(shí)當(dāng)需要某個(gè)服務(wù)時(shí) 禁用禁用 禁止使用系統(tǒng)的某些服務(wù)禁止使用系統(tǒng)的某些服務(wù) 服務(wù)啟動(dòng)、查看依存關(guān)系服務(wù)啟動(dòng)、查看依存關(guān)系33防止有害程序威脅防止有害程序威脅v病毒病毒 安裝適合的防病毒軟件安裝適合的防病毒軟件v代碼炸彈代碼炸彈 注意數(shù)據(jù)備份，不運(yùn)行來歷不明的軟件注意數(shù)據(jù)備份，不運(yùn)行來歷不明的軟件v特洛伊木馬特洛伊木馬 不訪問不良網(wǎng)站，小心下載軟件不訪問不良網(wǎng)站，小心下載軟件 34本章總結(jié)本章總結(jié)安全概述安全概述計(jì)算機(jī)安全計(jì)算機(jī)安全安全的基本概念安全的基本概念計(jì)算機(jī)面臨風(fēng)險(xiǎn)計(jì)算機(jī)面臨風(fēng)險(xiǎn)計(jì)算機(jī)安全體系計(jì)算機(jī)安全體系防止有害程序威脅防止有害程序威脅解決方案解決方案服務(wù)安全服務(wù)安全 文件防護(hù)文件防護(hù)操作系統(tǒng)安全操作系統(tǒng)安全應(yīng)用程序安全應(yīng)用程序安全安全級別安全級別人為因素、物理人為因素、物理安全、操作系統(tǒng)安全、操作系統(tǒng)安全及應(yīng)用程序安全及應(yīng)用程序安全安全系統(tǒng)漏洞、身份系統(tǒng)漏洞、身份驗(yàn)證、帳戶管理驗(yàn)證、帳戶管理、權(quán)限管理及日、權(quán)限管理及日志管理志管理35實(shí)驗(yàn)實(shí)驗(yàn)v任務(wù)任務(wù)1 利用利用windows Server 2003的策略增強(qiáng)系