安全01--网络安全项目介绍与分析.ppt

安全01--网络安全项目介绍与分析.ppt

《安全01--网络安全项目介绍与分析.ppt》由会员分享，可在线阅读，更多相关《安全01--网络安全项目介绍与分析.ppt（40页珍藏版）》请在冰豆网上搜索。

项目项目项目项目11网络安全项目介绍与分析网络安全项目介绍与分析网络安全项目介绍与分析网络安全项目介绍与分析了解网络安全定义和作用了解网络面临的安全威胁知道网络安全的脆弱性所在知道安全策略的设计原则学会安全性能的分析和保障设置知识目标技能目标能分析具体网络所面临的威胁能独立分析具体网络的脆弱性原因熟练应用安全策略的设计原则能设计正确合理的安全策略能合理规划整体网络安全相关知识点网络安全标准网络安全等级网络安全策略定义和设计原则掌握数字签名技术的概念、工作原理和在电子邮件中的应用。

d蝴蝶设备公司现有员工58人，共有4个部门，分别是人事部门、财务部门、销售部门和科研中心。

为了拓展市场和加速产品销售，同时让生活更方便、更丰富多彩，该公司根据需要构建了一个计算机网络。

课课前前导导入入项目描述d公司的具体需求归纳如下。

cc科研中心科研中心科研中心科研中心是该公司的机密核心部门，b负责新技术的开发和新产品的研发，任何内容都不能被外界所了解。

cc销售部门销售部门销售部门销售部门主管产品销售和技术推广，产品和技术信息需要不断更新，让用户能及时了解更新动态，另外还要能保证网页浏览速度。

cc人事部门人事部门人事部门人事部门主管整个公司员工的招聘和培训，以及保管员工的所有档案资料，包括电子资料和纸质资料。

cc财务部门财务部门财务部门财务部门主管整个公司的薪金和资金流动，除了财务部门和公司董事会以外财务状况不能被别人知道。

c公司需要使用OA办公系统，方便内部各部门之间的信息交流。

c技术文档能够安全地在网上传送。

项目描述d设计拓扑结构。

项目描述d网络安全问题，网络安全问题，考虑如下：

c内部信息要保密内部信息要保密内部信息要保密内部信息要保密，尤其是科研中心的新技术资料和财务部门的财务状况信息。

b怎么保密呢？

主要包括以下两个方面：

a要让外界无法知道内部的信息，即使万一获得了这些信息也无法知道信息的具体含义。

a内部成员没有权限访问这两个部门的信息，或者只得到部分访问权限。

项目描述d网络安全问题，网络安全问题，考虑如下：

c一旦发现问题能够及时处理一旦发现问题能够及时处理一旦发现问题能够及时处理一旦发现问题能够及时处理。

b及时发现外部网络的入侵行为，并希望找到留下的蛛丝马迹，能找到追穷责任的证据。

c需要时刻保持网络畅通需要时刻保持网络畅通需要时刻保持网络畅通需要时刻保持网络畅通，要注意病毒干扰和黑客攻击。

c由于办公的需要，以及移动用户的存在，因此还要考虑无线网络中信息的安全措施无线网络中信息的安全措施无线网络中信息的安全措施无线网络中信息的安全措施。

项目分解d任务一：

脆弱性分析c任务1-1了解网络安全基本要素c任务1-2分析网络脆弱性c任务1-3了解网络面临的主要威胁d任务二：

整体安全规划任务c2-1熟知网络安全标准任务c2-2知道网络安全设计策略c任务2-3规划网络整体安全任务实施过程d任务：

分析网络的脆弱性c本网络的主要工作：

b公司内部进行有权限的工作：

a资源共享a协同工作a传递信息a发送邮件a上传文件a防止文件丢失等等b要求：

防止公司内的机密文件不被泄漏并能完成正常的工作。

那么我们需要了解以下内容。

任务实施过程d任务1-1:

网络安全5要素之一c保密性（Confidentiality）。

b指网络信息不被泄露给非授权的用户不被泄露给非授权的用户不被泄露给非授权的用户不被泄露给非授权的用户、实体或过程，即信息只为授权用户使用只为授权用户使用只为授权用户使用只为授权用户使用。

b保密性是建立在可靠性和可用性可靠性和可用性可靠性和可用性可靠性和可用性基础之上，保障网络信息安全的重要手段。

c常用的保密技术有如下几种。

任务实施过程d任务1-1:

网络安全5要素之一c保密性（Confidentiality）。

c常用的保密技术有如下几种。

b物理保密物理保密物理保密物理保密：

a利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露。

b防窃听防窃听防窃听防窃听：

a使对手侦收不到有用的信息。

b防辐射防辐射防辐射防辐射：

a防止有用信息以各种途径辐射出去。

b信息加密信息加密信息加密信息加密：

a在密钥的控制下，用加密算法对信息进行加密处理加密算法对信息进行加密处理加密算法对信息进行加密处理加密算法对信息进行加密处理。

即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。

任务实施过程d任务1-1:

网络安全的5要素之二c完整性（Integrity）。

b指在传输、存储信息或数据的过程中，确保信传输、存储信息或数据的过程中，确保信传输、存储信息或数据的过程中，确保信传输、存储信息或数据的过程中，确保信息或数据不被非法篡改或在篡改后能够被迅速息或数据不被非法篡改或在篡改后能够被迅速息或数据不被非法篡改或在篡改后能够被迅速息或数据不被非法篡改或在篡改后能够被迅速发现发现发现发现，只有得到授权的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。

任务实施过程d任务1-1:

网络安全的5要素之三c可用性（Availability）。

b是一种以使用者为中心的设计概念以使用者为中心的设计概念以使用者为中心的设计概念以使用者为中心的设计概念，重点在于让产品的设计能够符合使用者的习惯与需求，让得到授权的实体在有效时间内能够访问和使用到所要求的数据和数据服务。

b提供数据可用性保证的方式主要有如下几种。

a性能、质量可靠的软、硬件可靠的软、硬件可靠的软、硬件可靠的软、硬件。

a正确、可靠的参数配置正确、可靠的参数配置正确、可靠的参数配置正确、可靠的参数配置。

a配备专业的系统安装和维护人员配备专业的系统安装和维护人员配备专业的系统安装和维护人员配备专业的系统安装和维护人员。

a网络安全网络安全网络安全网络安全能得到保证，发现系统异常情况时能防止入侵者对系统的攻击。

任务实施过程d任务1-1:

网络安全的5要素之四c可控性（Controllability）。

bb可控性主要指对危害国家信息（包括利用加密可控性主要指对危害国家信息（包括利用加密可控性主要指对危害国家信息（包括利用加密可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计的非法通信活动）的监视审计的非法通信活动）的监视审计的非法通信活动）的监视审计。

b使用授权机制授权机制授权机制授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

任务实施过程d任务1-1:

网络安全的5要素之五c不可否认性（Non-Repudiation）。

bb指对出现的安全问题提供调查的依据和手段指对出现的安全问题提供调查的依据和手段指对出现的安全问题提供调查的依据和手段指对出现的安全问题提供调查的依据和手段。

使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者无法辩解，并提供调查安全问题的依据和手段，实现信息安全的可审查性。

b一般通过数字签名数字签名数字签名数字签名来提供不可否认服务。

任务实施过程d任务1-2分析网络脆弱性c了解现阶段网络安全技术的局限性b目前网络安全技术的3大主流技术有：

aa防火墙技术、防火墙技术、防火墙技术、防火墙技术、aa入侵检测技术入侵检测技术入侵检测技术入侵检测技术aa防病毒技术。

防病毒技术。

防病毒技术。

防病毒技术。

a这3大主流技术为主的安全产品正面临着许多新的问题任务实施过程d任务1-2分析网络脆弱性c存在的问题：

bb从用户角度来看，从用户角度来看，从用户角度来看，从用户角度来看，虽然系统中安装了防火墙，但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务攻击的侵扰。

b未经大规模部署的入侵检测产品在提前预警方面存在着提前预警方面存在着提前预警方面存在着提前预警方面存在着先天的不足先天的不足先天的不足先天的不足，且在精确定位和全局管理方面精确定位和全局管理方面精确定位和全局管理方面精确定位和全局管理方面还有很大的缺陷。

b虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题内网的安全并不仅仅是防病毒的问题内网的安全并不仅仅是防病毒的问题内网的安全并不仅仅是防病毒的问题，还包括安全策略还包括安全策略还包括安全策略还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理的执行、外来非法侵入、补丁管理以及合规管理的执行、外来非法侵入、补丁管理以及合规管理的执行、外来非法侵入、补丁管理以及合规管理（合规是指管理行为符合法律法规行业自律规则、公司内部管理制度及诚实守信的道德准则，如内部网络员工泄密）等方面。

d1-2分析网络脆弱性c网络所面临的威胁主要有：

b开放性的网络环境开放性的网络环境开放性的网络环境开放性的网络环境。

aInternet联系着全球的所有用户，也就意味着网络攻击除了来自本地用户，还有可能来自Internet上的任一个用户。

网络在建立之初，其根本目标就是方便、开放，并没有着重考虑安全性能。

b不完美的通信协议不完美的通信协议不完美的通信协议不完美的通信协议。

a网络通信是需要协议支持的，现在普遍使用的是TCP/IP协议，该协议在设计时就没有考虑安全问题，不能提供通信该协议在设计时就没有考虑安全问题，不能提供通信该协议在设计时就没有考虑安全问题，不能提供通信该协议在设计时就没有考虑安全问题，不能提供通信所需要的安全性和保密性所需要的安全性和保密性所需要的安全性和保密性所需要的安全性和保密性。

a如IPIP是个“Besteffort”的不可靠无连接的协议不可靠无连接的协议不可靠无连接的协议不可靠无连接的协议，其数据包不需要认证，因此攻击者容易用IP欺骗的方式进行攻击d1-2分析网络脆弱性c网络所面临的威胁主要有：

bb存在漏洞的操作系统存在漏洞的操作系统存在漏洞的操作系统存在漏洞的操作系统。

a操作系统漏洞是指计算机操作系统（如WindowsXP）本身所存在的问题或技术缺陷，操作系统的安全性直接影响到整个网络的安全。

ee一方面是因为操作系统本身就是系统软件一方面是因为操作系统本身就是系统软件一方面是因为操作系统本身就是系统软件一方面是因为操作系统本身就是系统软件，是一个计算机程序，任何程序都会存在Bug，因此操作系统也会存在Bug；ee另一方面是操作系统需要用户进行配置另一方面是操作系统需要用户进行配置另一方面是操作系统需要用户进行配置另一方面是操作系统需要用户进行配置，用户配置不完整或不正确都会造成系统的缺陷。

bb人为因素。

人为因素。

人为因素。

人为因素。

aa网络安全机制构建再严格，也需要人去构建和管理网络安全机制构建再严格，也需要人去构建和管理网络安全机制构建再严格，也需要人去构建和管理网络安全机制构建再严格，也需要人去构建和管理，而有些公司或单位的工作人员可能因为安全意识淡薄甚至没有安全意识，导致配置不当甚至错误，这样很容易损坏设备、信息，导致整个网络瘫痪。

d1-2分析网络脆弱性c网络所面临的威胁主要有：

bb人为因素。

人为因素。

人为因素。

人为因素。

a主要表现为：

e保密性不强或不懂保密规则。

e业务不熟练e因规章制度不健全造成人为泄密事故e素质差、缺乏责任心，没有良好的工作态度e熟悉系统的工作人员以超越权限的非法行来获取和篡改信息e利用硬件的故障部位和软件的错误非法访问系统或对系统各部分进行破坏。

任务1-3了解网络面临的主要威胁d步骤1：

了解典型网络面临的主要威胁威威胁胁描描述述窃听窃听网络中传输的敏感信息被窃听网络中传输的敏感信息被窃听重传重传攻击者事先获得部分或全部信息，过段时间后将此信息发送给攻击者事先获得部分或全部信息，过段时间后将此信息发送给接收者接收者伪造伪造攻击者将伪造的信息发送给接收者攻击者将伪造的信息发送给接收者篡改篡改攻击者对合法用户之间的通信信息进行修改、删除、插入，再攻击者对合法用户之间的通信信息进行修改、删除、插入，再发送给接收者发送给接收者非授权访问非授权访问通过假冒、身份攻击、系统漏洞等手段获取系统访问权，从而通过假冒、身份攻击、系统漏洞等手段获取系统访问权，从而使非法用户进入网络系统读取、删除、修改、插入信息等使非法用户进入网络系统读取、