匯報(bào)人：XXX匯報(bào)日期：XXX模塊六01網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全重要性在信息社會(huì)中，信息具有和能源同等的價(jià)值，甚至更高。企業(yè)機(jī)密泄漏會(huì)給企業(yè)甚至國(guó)家造成嚴(yán)重經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全需從網(wǎng)絡(luò)系統(tǒng)安全、局域網(wǎng)安全、Internet互連安全和數(shù)據(jù)安全等方面考慮。010204030102利用型攻擊利用型攻擊是一類(lèi)試圖直接對(duì)機(jī)器進(jìn)行控制的攻擊，如特洛伊木馬。防御方法是避免下載可疑程序并拒絕執(zhí)行可疑程序，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽(tīng)TCP服務(wù)。信息收集型攻擊信息收集型攻擊并不對(duì)目標(biāo)本身造成危害，這類(lèi)攻擊被用來(lái)為進(jìn)一步入侵提供有用的信息，如地址掃描。防御方法是在防火墻上過(guò)濾掉ICMP應(yīng)答消息。假消息攻擊假消息攻擊用于攻擊目標(biāo)配置不正確的消息，如偽造電子郵件。防御方法是使用PGP等安全工具并安裝電子郵件證書(shū)。服務(wù)拒絕攻擊服務(wù)拒絕攻擊企圖通過(guò)使服務(wù)計(jì)算機(jī)崩潰來(lái)阻止向用戶(hù)提供服務(wù)，如電子郵件炸彈。防御方法是對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)過(guò)量或重復(fù)的消息。網(wǎng)絡(luò)攻擊類(lèi)型02數(shù)據(jù)加密與數(shù)字簽名數(shù)據(jù)加密加密是將計(jì)算機(jī)中的信息進(jìn)行一組可逆的數(shù)學(xué)變換的過(guò)程。明文是信息的原始形式，密文是明文經(jīng)過(guò)加密后的形式，解密是授權(quán)的接收者接收到密文后，進(jìn)行與加密相逆的變換去掉密文的偽裝，恢復(fù)明文的過(guò)程。加密基本概念傳統(tǒng)加密算法包括替代密碼和換位密碼。私鑰密碼體制如DES，其加密和解密時(shí)所用的密鑰是相同或者相似的。公鑰密碼體制需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作，如RSA。加密算法分類(lèi)數(shù)字簽名數(shù)字簽名概念數(shù)字簽名是把Hash函數(shù)和公鑰算法結(jié)合起來(lái)，在提供數(shù)據(jù)完整性的同時(shí)來(lái)保證數(shù)據(jù)的真實(shí)性。它模擬手寫(xiě)簽名，為電子商務(wù)提供不可否認(rèn)服務(wù)。數(shù)字簽名過(guò)程創(chuàng)建數(shù)字簽名包括兩個(gè)步驟：首先創(chuàng)建一個(gè)消息的散列值，然后創(chuàng)建簽名，即利用簽名者的私有密鑰對(duì)該散列值進(jìn)行加密。驗(yàn)證數(shù)字簽名需要同時(shí)獲得原始消息和數(shù)字簽名，通過(guò)比較散列值來(lái)驗(yàn)證。03防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻基本概念防火墻定義防火墻在邏輯上是一個(gè)分離器、一個(gè)限制器，也是一個(gè)分析器。它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保障了內(nèi)部網(wǎng)絡(luò)的安全。防火墻作用包過(guò)濾防火墻可以用一臺(tái)屏蔽路由器來(lái)實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做出允許或拒絕的決定。它根據(jù)包頭信息中的IP源地址、IP目的地址、內(nèi)裝協(xié)議等信息來(lái)判斷數(shù)據(jù)包是否符合過(guò)濾規(guī)則。包過(guò)濾防火墻屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。它通過(guò)過(guò)濾路由器把所有外部到內(nèi)部的連接都路由到堡壘主機(jī)上。屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻在本質(zhì)上和屏蔽主機(jī)是一樣的，但增加了一層保護(hù)體系——周邊網(wǎng)絡(luò)。周邊網(wǎng)絡(luò)處于Internet和內(nèi)部網(wǎng)絡(luò)之間，網(wǎng)絡(luò)管理員可以將堡壘主機(jī)、信息服務(wù)器等放在其中。屏蔽子網(wǎng)防火墻防火墻體系結(jié)構(gòu)123防火墻配置原則配置防火墻的基本原則有3個(gè)：簡(jiǎn)單實(shí)用、全面深入、內(nèi)外兼顧。簡(jiǎn)單實(shí)用意味著防火墻環(huán)境設(shè)計(jì)越簡(jiǎn)單越好；全面深入體現(xiàn)在防火墻系統(tǒng)的部署和多種安全措施的結(jié)合；內(nèi)外兼顧則強(qiáng)調(diào)要樹(shù)立防內(nèi)的觀念。配置基本原則例如，對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)，可以采用多層次的防火墻部署體系，包括互聯(lián)網(wǎng)邊界防火墻、部門(mén)邊界防火墻和主機(jī)防火墻。同時(shí)，結(jié)合入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施，形成多層安全體系。在配置過(guò)程中，要根據(jù)企業(yè)的安全策略，合理設(shè)置防火墻的規(guī)則，如允許或拒絕特定的流量類(lèi)型。配置實(shí)例010204防黑客攻擊123常見(jiàn)黑客技術(shù)當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行發(fā)起攻擊時(shí)，就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。例如，一種數(shù)據(jù)驅(qū)動(dòng)的攻擊會(huì)造成一臺(tái)主機(jī)修改與安全相關(guān)的文件，從而使入侵者下一次更容易入侵該系統(tǒng)。驅(qū)動(dòng)攻擊操作系統(tǒng)可執(zhí)行文件的目錄可由所有用戶(hù)進(jìn)行訪(fǎng)問(wèn)，攻擊者可以從可執(zhí)行文件中得到其版本號(hào)，從而知道它具有什么樣的漏洞，并針對(duì)這些漏洞發(fā)動(dòng)攻擊。系統(tǒng)漏洞攻擊攻擊者通過(guò)發(fā)送偽造的路由信息，構(gòu)造源主機(jī)和目的主機(jī)的虛假路徑，從而使流向目的主機(jī)的數(shù)據(jù)包均經(jīng)過(guò)攻擊者的主機(jī)，攻擊者可獲取敏感信息和有用的密碼。信息攻擊法常見(jiàn)黑客技術(shù)信息協(xié)議弱點(diǎn)攻擊法IP源路徑選項(xiàng)允許IP數(shù)據(jù)報(bào)自己選擇一條通往目的主機(jī)的路徑。攻擊者可利用此選項(xiàng)，使報(bào)文到達(dá)防火墻后被允許通過(guò)，進(jìn)而到達(dá)本不可到達(dá)的主機(jī)。系統(tǒng)管理員失誤攻擊法網(wǎng)絡(luò)安全的重要因素之一是人，人為的失誤，如WWW服務(wù)器系統(tǒng)的配置差錯(cuò)、普通用戶(hù)使用權(quán)限擴(kuò)大等，會(huì)給黑客造成可乘之機(jī)。防范黑客入侵措施用戶(hù)在設(shè)置口令時(shí)應(yīng)該含有大小寫(xiě)字母、數(shù)字，最好有控制符；不要用admin、生日、電話(huà)號(hào)碼等便于猜測(cè)的字符組作為口令；應(yīng)秘密保存口令并經(jīng)常改變口令。選用安全口令存取控制規(guī)定何種主體對(duì)何種實(shí)體具有何種操作權(quán)力。管理人員應(yīng)管理好用戶(hù)權(quán)限，在不影響用戶(hù)工作的情況下，盡量減小用戶(hù)對(duì)服務(wù)器的權(quán)限。實(shí)施存取控制最好通過(guò)加密算法對(duì)數(shù)據(jù)處理過(guò)程進(jìn)行加密，并采用數(shù)字簽名及認(rèn)證來(lái)確保數(shù)據(jù)的安全。確保數(shù)據(jù)安全123防范黑客入侵措施開(kāi)放的服務(wù)越多，系統(tǒng)被攻破的風(fēng)險(xiǎn)就越大，應(yīng)以盡量少的服務(wù)來(lái)提供最大的功能。謹(jǐn)慎開(kāi)放端口1一般黑客在攻擊系統(tǒng)之前會(huì)進(jìn)行掃描，管理人員可以通過(guò)記錄進(jìn)行預(yù)測(cè)，做好應(yīng)對(duì)準(zhǔn)備。定期分析系統(tǒng)日志2很多服務(wù)器系統(tǒng)會(huì)被發(fā)現(xiàn)有不少漏洞，服務(wù)商會(huì)不斷地在網(wǎng)上發(fā)布系統(tǒng)的修復(fù)程序。為了保證系統(tǒng)的安全性，應(yīng)隨時(shí)關(guān)注這些信息，及時(shí)完善自己的系統(tǒng)。升級(jí)系統(tǒng)安全性能3動(dòng)態(tài)站點(diǎn)監(jiān)控應(yīng)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)遭受攻擊情況并加以追蹤和防范，避免對(duì)網(wǎng)絡(luò)造成更大損失。測(cè)試網(wǎng)絡(luò)安全的最好方法是自己定期地嘗試進(jìn)攻自己的系統(tǒng)，最好能在入侵者發(fā)現(xiàn)安全漏洞之前先發(fā)現(xiàn)，并對(duì)其進(jìn)行修復(fù)。做好數(shù)據(jù)備份這是非常關(guān)鍵的一個(gè)步驟，有了完整的數(shù)據(jù)備份，當(dāng)遭