1、第一章,概述,本章提要:,计算机网络信息安全的实质就是安全立法、安全管理和安全技术的综合实施。三者结合,构成完整的计算机网络信息安全体系 国内外安全立法概述;安全管理概述;安全技术概述 实现物理安全需要考虑的内容 系统平台的安全风险及安全加固方案,1.1 引言,提到网络的安全问题,人们最先想到的是最近几年给人们的生活带来巨大震荡的一系列事件: 2001年的“尼姆达”,2002年的“求职信”, 2003年的“冲击波”,2004年针对网络银行帐户的“网络钓鱼”, 2005年4月中国电信部分省市的宽带网大面积中断事故等 每一次事件的爆发,带来的后果都是一样的,那就是直接、间接的经济损失。,网络已经改
2、变了我们的生活方式。 然而,网络的危险又是无时不在,无处不在的。,“网络安全”在人们眼中成为一种不可达到的理想状态,即便投入大量资金进行安全建设的企业,依然会因为各种威胁,而蒙受巨大损失。那么,我们能做些什么呢?我们该做些什么呢?我们该怎么做呢?,1.2 计算机网络信息安全体系,计算机网络信息安全的实质就是安全立法、安全管理和安全技术的综合实施。,1.2.1计算机网络信息安全体系,信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。 综合起来说,就是要保障电子信息的有效性。保密
3、性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。可用性就是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统实施安全监控。,1.2.2安全立法概述,1.2.2.1 国外安全立法简介 (1)英国 (2)德国 (3)美国 (4)法国 (5)新加坡 (6)韩国,1.2.2.2 我国计算机网络信息安全立法简介 我国网络信息安全立法体系框架分为三个层面 : 第一层面,法律:是指由全国人民代表大会及其常委会通过的法律规范。 第二层面,行政法规:是指国务院为执行宪法和法律而制定的法律规范。 第三层面,地方性法规、规章、规范性文件:
4、是指国务院各部、委根据法律和国务院行政法规,在本部门的权限范围内制定的法律规范,以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。,1.2.3安全管理概述,“三分技术,七分管理” 据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。 安全管理已成为为计算机网络信息安全保障能力的重要基础。,1.2.3安全管理概述,1.2.3.1 系统安全管理 1.2.3.2 安全服务管理 1.2.3.3 安全机制管理,
5、1.2.4安全技术概述,安全技术包括以下四个方面的内容:物理安全、系统平台安全、应用安全和网络安全。,1.2.4.1 物理安全,物理安全是保护计算机设备、设施(含网络)免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。,1.2.4.2 系统平台安全,系统平台安全主要是保护主机上的操作系统与数据库系统的安全,它们是两类非常成熟的产品,安全功能较为完善。对于保证系统平台安全,总体思路是先通过安全加固解决企业管理方面安全漏洞,然后采用安全技术设备来增强其安全防护能力。,1.2.4.3 网络安全,网络安全最主要的任务是规范其连接方式,加强访问控制,部署安全保护产品,建立相应
6、的管理制度并贯彻实施。,建设网络安全体系应注意以下几个方面: (1)计算机网络边界的保护强度与其内部网中数据、应用的重要程度紧密相关,网络安全等级应根据节点的网络规模、数据重要性和应用重要性进行划分并动态调整。 (2)可以根据不同数据和应用的安全等级以及相互之间的访问关系,将内部网络划分的为不同的区域,建立以防火墙为核心的边界防护体系。 (3)项目规划阶段就要考虑防火墙、漏洞扫描、入侵检测和防病毒等各安全产品之间的互相协作关系,以实现动态防护。,网络安全是一项动态的、整体的系统工程,一个单独的组件是无法确保信息网络的安全性的。,一套的网络安全完整解决方案包括以下一些技术环节:,应用防病毒技术,
7、建立全面的网络防病毒体系;(本书第三章) 应用数据加密技术,保证数据的保密性和完整性;(本书第四章) 应用防火墙技术,控制访问权限,实现网络安全集中管理;(本书第五章) 应用入侵检测技术保护主机资源,防止内外网攻击;(本书第六章) 应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;(本书第七章与第一章) 应用网络实时监控与恢复系统,实现网络安全可靠的运行,防范突发事件;(本书第二章与第八章),1.2.4.4 应用安全,应用安全是保护应用系统的安全、稳定运行,保障企业和企业用户的合法权益。保证应用系统安全,应加强以下几个方面的建设: (1)建立统一的密码基础设施,保证在此
8、统一的基础上实现各项安全技术。 (2)实施合适的安全技术,如身份鉴别、访问控制、审计、数据保密性与完整性保护、备份与恢复等。,1.3物理安全,物理安全是整个计算机网络信息安全的前提。如果物理安全得不到保证,则整个计算机网络信息系统的安全也就不可能实现。 各国针对物理安全防范需求,制定了详细的技术标准,我国出台了以下一些技术规范: GB50173-93电子计算机机房设计规范 计算机站场地技术条件 GB9361-88计算机站场安全要求 计算机信息系统安全通用技术规范,1.4系统平台安全,系统平台是指网络操作系统平台。 目前,较流行的网络操作系统有Windows 9X系列、Windows NT/20
9、00/XP系列、UNIX系列、Linux系列、NetWare系列。,实施系统平台安全应注意以下几个方面:,(1)加强主机操作系统、数据库系统的账户与口令管理,其中:系统建设过程中可能遗留有无用账户、缺省账户和缺省口令应注意清查并及时删除;如无法确认,必须修改缺省口令;账户口令要符合设置要求,对重要设备的系统级(ROOT)账户口令每个月至少要变更一次,重要操作后要及时变更口令。 (2)要建立操作系统、数据库和应用系统的相关应用和端口的对应关系,关闭主机系统上与应用服务无关的端口。 (3)企业应用系统对不间断运行的要求较高,如采用打补丁的方式进行加固,风险大,工作量大,即便是表面看起来很普通的补丁
10、也可能造成整个系统瘫痪。因此,打补丁的最佳时机是在应用系统上线投产前的安装调试阶段;应用上线后,尽量不要采用打补丁加固的方法,如要确实要打补丁,事先要经过严格的测试并做好数据备份和回退措施。 (4)如果系统平台中存在较大安全漏洞而无法打补丁加固的,可利用安全保护措施的互补性,在网络边界处采取合适安全保护措施,并加强对主机系统的审计与管理,以弥补该问题遗留的安全隐患。 (5)对于企业外公司开发的应用系统,如需要开发公司工程师远程登入查找故障,应贯彻最小授权原则,开放的账户只能给予满足要求的最小权限,并对远程登入时间、操作完成时、操作事项进行记录,及时关闭开放的用户;有条件的,可打开系统平台自带的
11、审计工具,或配备第三方的监控、审计和身份认证工具。,1.4.1系统平台的安全风险,风险是威胁和漏洞的组合。如果没有漏洞,也就没有风险。每个平台,无论是硬件还是软件,都存在着漏洞。作为网络安全的基础,网络操作系统也不例外。 从某种意义上说,系统平台的风险大小取决于网络操作系统漏洞的多少及严重程度。尽管众多的操作系统厂商和安全服务提供商花费大量人力财力来发现系统漏洞、修补漏洞,但是漏洞仍不断被发现出来,甚至有愈演愈烈的态势。,1.4.1.1 Windows 系统平台的安全风险,(1)windows口令 (2)Windows恶意代码 (3)Windows应用软件漏洞 (4)Windows系统程序的漏
12、洞 (5)Windows注册表安全 (6)Windows文件共享安全,1.4.1.2 Unix/Linux系统平台的安全风险,(1)Unix/Linux系统的口令/账号安全 (2)Unix/Linux可信主机文件安全 (3)Unix/Linux应用软件漏洞 (4)Unix/Linux的SUID文件安全 (5)Unix/Linux的恶意代码 (6)Unix/Linux文件系统安全 (7)Unix/Linux网络服务安全 (8)Unix/Linux系统程序漏洞,1.4.2系统平台的安全加固,系统平台安全加固的内容包括:系统补丁、系统升级、系统配置安全加固、系统登陆权限安全加固、关闭无用端口、系统管
13、理安全加固等多个方面。,1.4.2.1 系统平台的加固方案,尽管加固系统平台的具体方案是依据系统平台的不同而定的,但总体指导思想是一致的,具体如下: 减少无用软件、服务和进程的数目。 在持续提供对资源的访问的同时,要使所有软件、服务以及进程配置处于最安全的状态。 尽可能避免系统对其身份、服务以及功能等信息的泄漏。,为达到成功加固系统平台的目的,应采取如下步骤: 第一步:确定目标系统的用途。 第二步:评定系统是否符合最初要求。 第三步:根据目标系统需求,制定安全策略。 第四步:实施系统平台加固。,1.4.2.1 系统平台的加固的主要内容,安装系统补丁、进行系统升级 系统登陆权限安全加固 关闭无用
14、进程及端口 系统配置安全加固,注:Windows 2000/XP 系统一些基本的系统进程,注:如何查看和管理当前系统的进程,方式一:利用系统本身自带的工具。按Ctrl+Alt+Del,打开“Windows任务管理器”,在“进程”选项卡中,可以直接查看或停止某一进程。 方式二:利用第三方工具查看系统进程。如利用“Windows优化大师”软件附带的“进程管理”功能即可以完成查看和管理进程的工作。,注:查看打开端口的情况,方式一:MS-DOS下输入“netstat na”命令。 方式二:利用第三方的工具查看。如“Windows优化大师”软件的端口分析查看功能。用FPort或Active Ports等工具也可很方便地查看到打开端口的情况。,1.5主要产品及应用实例,1.5.1系统平台加固工具 加固工具是一种自动高效地帮助人们确定系统平台的漏洞,并辅助人们加固系统平台的工具。目前,常用的加固工具有以下几种: 1.5.1.1 nessus 1.5.1.2 HardenNT,1.5.2系统平台加固实例,我们用一张表对比介绍两个系统平台的一简单加固操作。,本章结束,谢谢!,
