现代网络安全技术-第10章

本文由ｈｅｙａｎ１２１２１贡献

ｐｐｔ１。

第１０章　安全网络系统的构建　章

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１　２　３　４　５

信息系统安全概述

中国网络安全现状

网络攻击行为技术特点分析及应对

网络安全防御系统实现策略

企业网络安全系统整体方案设计

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

本章学习目标

理解信息系统安全概念　理解中国网络安全现状　分析网络攻击行为技术特点及应对　了解网络安全防御系统实现策略　了解企业网络安全系统整体方案设计

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．１　信息系统安全概述

信息安全是确保重要信息系统数据安全和业务连续性，以确保社会经济的　稳定。因此，如何建立一个安全高效的现代信息系统已成为一个日益突出　的问题。所谓“信息安全”是指在客观上确保信息属性的安全性，使信息　所有者在主观上对他们获得的信息的真实性放心。　信息安全有三种基本属性：　（１）完整性（ｉｎｔｅｇｒｉｔｙ）　（２）可用性（ａｖａｌｉａｂｉｌｉｔｙ）　（３）保密性（ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ）

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．２　中国网络安全现状

信息系统处于攻击之下己经几十年了，但安全问题在过去并没有被大多数　人所重视，而在今天却受到越来越多的人的关注。回顾中国的网络安全产　品，我们会发现：　１．需求日益增加，市场潜力巨大　２．国内厂商日益成熟，竞争日趋激烈　３．专业安全服务已经逐渐引起重视　４．网络安全整体方案需求更趋实用　５．国家重大工程成为网络安全市场巨大的推动力

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．３　网络攻击行为技术特点分析及应对

１０．３．１　拒绝服务ＤｏＳ　淹没　Ｓｍｕｒｆｉｎｇ拒绝服务攻击　分片攻击　带外数据包攻击　分布式拒绝服务攻击ＤＤｏＳ

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．３　网络攻击行为技术特点分析及应对

１０．３．２　恶意软件　逻辑炸弹　后门　蠕虫　病毒　特洛伊木马　恶意软件攻击方法小结：　第一，制定一个保护计算机防止被病毒等恶意软件威胁的计划。　第二，安装有效的反病毒等工具。　第三，教育用户预防和识别病毒等恶意软件的技术。　第四，及时更新清除恶意软件的工具。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．３　网络攻击行为技术特点分析及应对

１０．３．３　利用脆弱性　访问权限　蛮力攻击　缓冲区溢出　信息流泄露　利用脆弱性小结　１０．３．４　操纵ＩＰ包　化整为零　盲ＩＰ欺骗　序列号预测

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．３　网络攻击行为技术特点分析及应对

１０．３．５　内部攻击　所谓的“ｆｒｏｍ　ｔｈｅ　ｉｎｓｉｄｅ”有两方面的含义：一方面指内部

人员；另一面　指网络黑客控制了远程网络上某台主机后的所做所为。　１．“后门”守护程序　２．日志修改　３．隐蔽　４．非盲欺骗　１０．３．６　ＣＧＩ攻击　攻击　低级ＣＧＩ攻击　高级ＣＧＩ攻击

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．４　网络安全防御系统实现策略

通过上节的风险分析可以了解系统的薄弱点，从而有针对性地去构建一个网　络安全防御系统，在系统中通过种种安全技术手段保证方案中安全策略的实现，　这些技术手段主要包括以下类型：　（１）防火墙技术　（２）鉴别与授权技术　（３）审计和监控技术　（４）加密技术　（５）安全扫描技术

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．４　网络安全防御系统实现策略

１０．４．１　网络安全

安全网络拓扑　防火墙　实时入侵检测　审计与监控　１０．４．２　数据安全

完整性　保密性　可用性及可靠性

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．４　网络安全防御系统实现策略

１０．４．３　系统安全　鉴别认证机制　安全操作系统　周期性的安全扫描　本节通过安全技术手段保证方案中安全策略的实现。　本节通过安全技术手段保证方案中安全策略的实现。在整个网络防御系统中使用　了多种安全技术手段，通过以上的网络、　了多种安全技术手段，通过以上的网络、数据以及系统三方面的种种安全技术　手段，结合安全产品，为客户提供了一个完整的网络安全防御系统的解决方案，　手段，结合安全产品，为客户提供了一个完整的网络安全防御系统的解决方案，　协助客户达到保护自己的网络信息系统安全性的目的。　协助客户达到保护自己的网络信息系统安全性的目的。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．１　背景

目前，ＸＸＸＸ厂的机房建设与网络建设已经竣工。厂内局域网覆盖行政楼、技术中　目前，　厂的机房建设与网络建设已经竣工。厂内局域网覆盖行政楼、　厂的机房建设与网络建设已经竣工　制造中心、成品库、材料库、备件库等，均采用光纤通道进行互连，　心、制造中心、成品库、材料库、备件库等，均采用光纤通道进行互连，部门　内部使用了超五类双绞线作为布线标准。广域网包括ＸＸＸＸ厂本部、ＸＸ物流公　厂本部、　物流公　内部使用了超五类双绞线作为布线标准。广域网包括　厂本部　司和ＸＸＸＸＸ总公司，它们之间也采用光纤通道进行通讯。此外，ＸＸＸＸ厂还建　总公司，　司和　总公司　它们之间也采用光纤通道进行通讯。此外，　厂还建　设了互联网站点，包括业务系统、企业邮局系统、办公自动化ＯＡ系统等　系统等。　设了互联网站点，包括业务系统、企业邮局系统、办公自动化　系统等。　１０．５．２　网络系统与安全现状

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．３　网络安全威胁分析　根据ＸＸＸＸ厂计算机网络系统的实际运行情况，本文对ＸＸＸＸ厂面临的网络安全威　胁进行了深入的分析，主要包括以下。　１．网络病毒问题　２．来自外部的入侵　３．来自内部人员的威胁　４．非授权访问　５．扰乱系统的正常运行　６．安全管理比较薄弱

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．４　设计目标与原则　在分析了ＸＸＸＸ厂面临的网络安全威胁的基础上，本节提

出了ＸＸＸＸ厂计算机信息系统　安全建设的总体目标。　１．短期目标：针对病毒泛滥，黑客攻击等安全威胁提出系统的解决方案，保证计　算机信息系统网络层的安全，做到网络层面上的可防、可控与可查。　２．长期目标：在基本解决网络层安全问题的基础上对整个计算机信息系统进行全　面的安全风险评估，针对系统层与应用层提出全面、合理的解决方案，保证业务系　统的正常运行。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（１）安全边界的划分　ＸＸＸＸ厂的网络结构比较复杂，应首先确定外部网络和内部网络的界限及明确在　不同界限范围内的保护目标。根据ＸＸＸＸ厂的网络拓扑结构，本文采用如图１０３所示表示其网络安全边界，其中Ｉ区表示高风险边界，ＩＩ区表示中风险边界，　ＩＩＩ区表示低风险。　。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（２）异构防火墙系统的部署　目前，ＸＸＸＸ厂的计算机网络中已经部署了一台ＰＩＸ５２５防火墙，把内部网划分为　三个网段，在一定程度上保证了网络的安全。但是，这种单点部署的防火墙存　在单点失效的问题。这主要是因为防火墙把不同的网段所需要的安全强度等同　对待，而实际上核心层和接入层网络的安全强度要求与提供Ｉｎｔｅｒｎｅｔ网络服务　的ＤＭＺ２区的安全强度要求肯定是不同的。虽然通过防火墙的配置可以对不同　的网段实施不同级别的安全防护，但是一旦该防火墙被黑客攻陷，那么整个内　部网就暴露在黑客的火力之下，它们的安全强度降为同一个级别。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（３）分布式入侵检测系统的部署　在网络安全防护技术中，仅仅部署防火墙系统是不够的，因为防火墙系统无法抵御　来自内部网络的恶意侵袭。在实际运行中，ＸＸＸＸ厂的网络系统曾遇到多次由　内部员工及外来人员使用内部网络客户机去攻击服务器的情况，并造成了不小　的损失。入侵检测也是网络系统安全的重要组成部分，它从计算机网络系统中　的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的　行为和遭到袭击的迹象。在不影响网络性能的情况下对网络进行监测，从而提　供对内部攻击、外部攻击和误操作的实时保护。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（４）基于ＲＳＡ身份认证系统的部署　ＸＸＸＸ厂的网络系统中存在大量的网络设备，对于这些网络设备的保护至关重要。　如果非法用户获得网管员的帐号后，对网络设备进行恶意修改，将可能导致整　个网络系统的瘫痪，因此必须对网络系统中配置网络设备的人员进行认证。此　外，对于整个网络系统来说，有许多可以从互联网进入企业内部网络的接口，　如拨号服务器、防火墙和ＶＰＮ网关，然而互联网却是非常不安全的。如果黑客　获得了合法人员的口令，就可以冒充合法人员进入企业内部网络，盗取关键的　业务数据，对网络进行恶意破坏，这将给企业造成非常严重的后果。对于哪些　被盗取口令的用户可能始终未能发觉。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（４）基于ＲＳＡ身份认证系统的部署　ＸＸＸＸ厂的网络系统中存在大量的网络设备，对于这些网络设备的保护至关重要。　如果非法用户获得网管员的帐号后，对网络设备进行恶意修改，将可能导致整　个网络系统的瘫痪，因此必须对网络系统中配置网络设备的人员进行认证。此　外，对于整个网络系统来说，有许多可以从互联网进入企业内部网络的接口，　如拨号服务器、防火墙和ＶＰＮ网关，然而互联网却是非常不安全的。如果黑客　获得了合法人员的口令，就可以冒充合法人员进入企业

内部网络，盗取关键的　业务数据，对网络进行恶意破坏，这将给企业造成非常严重的后果。对于哪些　被盗取口令的用户可能始终未能发觉。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（５）网络病毒防杀系统的部署　网络化的环境需要网络化的病毒查杀方法，我们采用网络病毒监测、用户端智能杀　毒软件、网络病毒查杀管理中心来实现网络病毒的查杀。　网络化病毒防杀系统的部署与网络架构关系密切，基本原则是：　全网范围内部署一个网络病毒查杀管理中心。　在每个相对独立的网段中，都需要部署网络病毒监测。　用户端智能杀毒软件的部署要覆盖网络中的每个桌面机。 ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（５）网络病毒防杀系统的部署　网络化的环境需要网络化的病毒查杀方法，我们采用网络病毒监测、用户端智能杀　毒软件、网络病毒查杀管理中心来实现网络病毒的查杀。　网络化病毒防杀系统的部署与网络架构关系密切，基本原则是：　全网范围内部署一个网络病毒查杀管理中心。　在每个相对独立的网段中，都需要部署网络病毒监测。　用户端智能杀毒软件的部署要覆盖网络中的每个桌面机。 ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．５　企业网络安全系统整体方案设计

１０．５．５　方案的设计　（６）安全审计响应系统的部署　网络安全审计响应系统可以记录用户使用计算机网络系统进行所有与安全相关的活　动的过程，不仅能够识别谁访问了系统，还能指出系统正被怎样地使用，对于　确定是否有网络攻击及攻击源很重要。系统事件的记录还能够迅速和系统地识　别问题，为后面阶段事故处理提供重要依据。

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

第１０章　安全网络系统的构建　章

１０．６　疑难问题解析

简要分析Ｓｍｕｒｆｉｎｇ攻击的原理，如图１０－８所示。　攻击的原理，如图　所示。　简要分析　攻击的原理　所示

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ

ｃｈｉｎａ＿５４＠ｔｏｍ．ｃｏｍ