網絡平安體系結構概述1.平安體系的需求2.常見的網絡平安問題3.網絡攻擊的手段4.網絡平安技術5.平安方案與實施6.平安標準及平安管理EmailWebISP門戶網站E-Commerce電子交易復雜程度時間Internet

變得越來越重要Internet

變得越來越糟糕網絡無處不在的特性使進攻隨時隨地可以發起；網絡本身就蓄積了大量的攻擊技巧〔大概有26萬個站點提供此類知識〕；攻擊軟件層出不窮。網絡平安問題日益突出混合型威脅(CodeRed,Nimda)拒絕服務攻擊(Yahoo!,eBay)發送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網絡入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數量開放的網絡外部環境越來越多的基于網絡的應用企業的業務要求網絡連接的不間斷性來自內部的平安隱患有限的防御措施錯誤的實現、錯誤的平安配置糟糕的管理和培訓黑客的攻擊網絡風險難以消除？網絡攻擊的后果設備、系統損壞效勞不可得財務損失數據喪失信息泄漏遭受篡改的信息造成誤動作集體凝聚力下降、相互信任感受損常見網絡攻擊的分類針對通訊層以下針對OS的攻擊針對通用的效勞協議針對特定的應用程序網絡平安體系結構概述1.平安體系的需求2.常見的網絡平安問題3.網絡攻擊的手段4.網絡平安技術5.平安方案與實施6.平安標準及平安管理常見的網絡平安問題垃圾郵件網絡掃描和拒絕效勞攻擊端口掃描和缺陷掃描DDOS、DOS入侵和蠕蟲蠕蟲：nimda、CRII系統缺陷垃圾郵件危害網絡資源的浪費歐洲委員會公布的一份報告，垃圾郵件消耗的網絡費用每年高達100億美元資源盜用利用他人的效勞器進行垃圾郵件轉發威脅網絡平安DOS、掃描危害占用資源占用大量帶寬效勞器性能下降影響系統和網絡的可用性網絡癱瘓效勞器癱瘓往往與入侵或蠕蟲伴隨缺陷掃描DDOS入侵、蠕蟲造成的危害信息平安機密或個人隱私信息的泄漏信息篡改可信性的破壞系統平安后門的存在資源的喪失信息的暴露網絡平安根底設施的癱瘓垃圾郵件的預防垃圾郵件特點郵件轉發原理配置Sendmail關閉轉發配置Exchange關閉轉發垃圾郵件定義定義1：垃圾郵件就是相同的信息，在互聯網中被復制了無數遍，并且一直試圖著強加給那些不樂意接受它們的人群。定義2：垃圾郵件是一種最令人頭疼而又讓人束手無策的推銷傳單。定義3：垃圾郵件是指與內容無關，而且收件人并沒有明確要求接受該郵件的發送給多個收件人的信件或張貼物。也可以是發送給與信件主題不相關的新聞組或者列表效勞器的同一信件的重復張貼物。UCE〔UnsolicitedCommercialEmail，不請自來的商業電子郵件〕UBE〔UnsolicitedBulkEmail，不請自來的批量電子郵件〕定義4：垃圾郵件泛指未經請求而發送的電子郵件，如未經發件人請求而發送的商業廣告或非法的電子郵件垃圾郵件定義垃圾郵件特點內容：商業廣告宗教或個別團體的宣傳資料發財之道,連鎖信等接收者無因接受被迫接受發送手段信頭或其它說明身份的信息進行了偽裝或篡改通常使用第三方郵件轉發來發送配置Sendmail關閉轉發Sendmail8.9以上版本etc/mail/relay-domains〔控制容許郵件轉發〕/etc/mail/accessSendmail8.8以下版本升級Sendmail其它版本配置Sendmail缺省不允許轉發編輯相應的允許轉發IP列表如何防止收到垃圾郵件？1〕不要把您的郵件地址在INTERNET頁面上到處登記；

2〕不要把您的郵件地址告訴您不太信任的一些人；

3〕不要訂閱一些非正式的不鍵康的電子雜志，以防止被垃圾 郵件收集者收集；

4〕不要在某些收集垃圾郵件的網頁上登記您的郵件地址；

5〕發現收集或出售電子郵件地址的網站或消息，請告訴相應的主頁提供商或主頁管理員，將您刪除，以防止郵件地址被他們利用，賣給許多商業及非法反動用戶；

6〕建議您用專門的郵箱進行私人通信，而用其他郵箱訂閱電子雜志。防止收到垃圾郵件掃描技術Portscanning:找出網絡中開放的效勞基于TCP/IP協議，對各種網絡效勞，無論是主機或者防火墻、路由器都適用端口掃描可以確認各種配置的正確性，防止遭受不必要的攻擊用途，雙刃劍管理員可以用來確保自己系統的平安性黑客用來探查系統的入侵點端口掃描的技術已經非常成熟，目前有大量的商業、非商業的掃描器掃描簡介缺陷掃描目的是發現可用的缺陷Satan、SSCAN效勞掃描目的是為了發現可用的效勞WWWscanftpscanProxyscan掃描器的重要性掃描器能夠暴露網絡上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強系統的平安性它能使得漏洞被及早發現，而漏洞遲早會被發現的掃描器可以滿足很多人的好奇心掃描器除了能掃描端口，往往還能夠發現系統存活情況，以及哪些效勞在運行用的漏洞測試這些系統對一批機器進行測試，簡單的迭代過程有進一步的功能，包括操作系統辨識、應用系統識別拒絕效勞攻擊簡介DoS的英文全稱是DenialofService，也就是“拒絕效勞〞的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的效勞訪問，破壞組織的正常運行，最終它會使你的局部Internet連接和網絡系統失效。DoS的攻擊方式有很多種，最根本的DoS攻擊就是利用合理的效勞請求來占用過多的效勞資源，從而使合法用戶無法得到效勞。

拒絕效勞(DenialofService)回憶信息平安的三個主要需求：保密性、完整性、可用性(availability)DoS是針對可用性發起的攻擊關于DoS技術和原理都非常簡單，并且已經工具化難以防范，有些DoS可以通過管理的手段防止DoS的動機受挫折，無法攻入目標系統，最后一招:DOS強行對方重啟機器惡意的破壞、或者報復網絡恐怖主義……DoS攻擊的根本過程我們可以看出DoS攻擊的根本過程：首先攻擊者向效勞器發送眾多的帶有虛假地址的請求，效勞器發送回復信息后等待回傳信息，由于地址是偽造的，所以效勞器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當效勞器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發送偽地址請求的情況下，效勞器資源最終會被耗盡。DoS的危害使得正常的效勞不能提供案例：1996年9月，一家ISP(PublicAccessNetworks)公司遭受拒絕效勞達一周一上，拒絕對約6000多人和1000家公司提供Internet效勞政府網站美國白宮的網站曾經遭受拒絕效勞攻擊分布式拒絕效勞2000年2月，一批商業性質的Web站點收到了DDoS的攻擊DoS的形式粗略來看，分為三種形式消耗有限的物理資源網絡連接帶寬資源其他資源，如磁盤空間、進程數合法用戶可登錄嘗試的次數有限，攻擊者可以用掉這些嘗試次數修改配置信息造成DoS比方，修改路由器信息，造成不能訪問網絡；修改NT注冊表，也可以關掉某些功能物理部件的移除，或破壞DoS的技術分類從表現形式來看帶寬消耗用足夠的資源消耗掉有限的資源利用網絡上的其他資源(惡意利用Internet共享資源)，到達消耗目標系統或網絡的目的系統資源消耗，針對操作系統中有限的資源，如進程數、磁盤、CPU、內存、文件句柄，等等程序實現上的缺陷，異常行為處理不正確，比方PingofDeath修改(篡改)系統策略，使得它不能提供正常的效勞從攻擊原理來看通用類型的DoS攻擊，這類攻擊往往是與具體系統無關的，比方針對協議設計上的缺陷的攻擊系統相關的攻擊，這類攻擊往往與具體的實現有關說明：最終，所有的攻擊都是系統相關的，因為有些系統可以針對協議的缺陷提供一些補救措施，從而免受此類攻擊DoS的技術歷史早期的Internet蠕蟲病毒消耗網絡資源非法的TCP標志，SYNFlood，等利用系統實現上的缺陷，點對點形式PingofDeath,IP分片重疊分布式DoS(DDoS)攻擊一些典型的DoS攻擊PingofDeath發送異常的(長度超過IP包的最大值)SYNFlood快速發送多個SYN包UDPFloodTeardropIP包的分片裝配Smurf給播送地址發送ICMPEcho包，造成網絡阻塞……PingofDeath原理：直接利用ping包，即ICMPEcho包，有些系統在收到大量比最大包還要長的數據包，會掛起或者死機受影響的系統：許多操作系統受影響攻擊做法直接利用ping工具，發送超大的ping數據包防止措施打補丁防火墻阻止這樣的ping包防止DoS對于網絡路由器和防火墻配置得當，可以減少受DoS攻擊的危險比方，禁止IP欺騙可以防止許多DoS攻擊入侵檢測系統，檢測異常行為對于系統升級系統內核，打上必要的補丁，特別是一些簡單的DoS攻擊，例如SYNFlooding關掉不必要的效勞和網絡組件如果有配額功能的話，正確地設置這些配額監視系統的運行，防止降低到基線以下檢測系統配置信息的變化情況保證物理平安建立備份和恢復機制網絡平安體系結構概述1.平安體系的需求2.常見的網絡平安問題3.網絡攻擊的手段4.網絡平安技術5.平安方案與實施6.平安標準及平安管理網絡攻擊的手段病毒特洛伊木馬口令入侵網絡欺騙郵件炸彈Sniffer(網絡監聽〕入侵攻擊偽裝計算機病毒“為什么叫做病毒。首先，與醫學上的〞病毒“不同，它不是天然存在的，是某些人利用計算機軟、硬件，編制具有特殊功能的程序。由于它與生物醫學上的"病毒"同樣有傳染和破壞的特性，因此這一名詞是由生物醫學上的"病毒"概念引申而來計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒定義

那么究竟它是如何產生的呢？其過程可分為：程序設計--傳播--潛伏--觸發、運行--實行攻擊。究其產生的原因不外乎以下幾種：

開個玩笑，一個惡作劇。產生于個別人的報復心理。用于版權保護。用于特殊目的。

病毒的產生計算機病毒的特點1、傳染性這是計算機病毒的重要特征.計算機病毒進入計算機系統后,就會自動地開始尋找傳染對象,并迅速傳染給它,這里的對象可以是程序、磁盤或網絡中的一個計算機系統。2、隱蔽性病毒程序一般技巧性較高，它可用附加或插入的方法隱蔽在操作系統或可執行文件中，很難被發現.計算機病毒的特點3、潛伏性病毒進入計算機后一般不會立即發作，但在此期間，只要計算機系統工作就可以傳染病毒。一旦發作的條件成熟,這種潛伏性就會立即轉化為破壞性。4、破壞性這也是機算機病毒的重要特征,即降低計算機系統的工作效率,占用系統資源，其具體情況取決于入侵系統的病毒程序。這也是它的最終目的。典型病毒CRII蠕蟲感染主機全球超過30萬臺導致大量網絡設備癱瘓Nimda蠕蟲病毒

即尼姆達病毒，又叫概念(Concept)病毒，是一種通過網絡傳播的計算機病毒，它能利用多種傳播途徑對幾乎所有Windows系統操作系統(包括Windows95/98/ME,NT和2000等)發動攻擊。而且染毒的機器會自動向其他機器發動攻擊和發送帶毒的email，并造成網絡堵塞。特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合那么判斷為染上病毒。該技術實現簡單有效，平安徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；目前廣泛應用的3種病毒防治技術虛擬執行技術

該技術通過虛擬執行方法查殺病毒，可以對付加密、變形、異型及病毒生產機生產的病毒，具有如下特點：在查殺病毒時在機器虛擬內存中模擬出一個“指令執行虛擬機器〞在虛擬機環境中虛擬執行〔不會被實際執行〕可疑帶毒文件在執行過程中，從虛擬機環境內截獲文件數據，如果含有可疑病毒代碼，那么殺毒后將其復原到原文件中，從而實現對各類可執行文件內病毒的查殺文件實時監控技術

通過利用操作系統底層接口技術，對系統中的所有類型文件或指定類型的文件進行實時的行為監控，一旦有病毒傳染或發作時就及時報警。從而實現了對病毒的實時、永久、自動監控。這種技術能夠有效控制病毒的傳播途徑，但是這種技術的實現難度較大，系統資源的占用率也會有所降低。特洛伊程序的由來特洛伊程序是由編程人員創造的。它的作者都有著自己的意圖。這種意圖可以是任意的。但是基于在Internet的平安的前題，一個特洛伊程序將要做的是以下兩件事中的一件〔或兩者兼有〕：提供一些功能，這些功能可以泄露一些系統的私有信息給程序的作者或者控制該系統。隱藏了一些功能，這些功能能夠將系統的私有信息泄露給程序的作者，或者能夠控制該系統。

特洛伊木馬特洛伊木馬特洛伊程序代表哪一級別的危險？特洛伊程序代表了一種很高級別的危險，主要是因為我們已經提到的幾種原因：特洛伊程序很難以被發現在許多情況下，特洛伊程序是在二進制代碼中發現的，它們大多數以無法閱讀的形式存在特洛伊程序可作用于許多機器中

特洛伊木馬程序BackOrifice工作于windows95/98，client/server結構，使被安裝計算機能夠從遠程控制冰河口令入侵口令不會被解開，多數口令加密過程都是單向、不可逆的。但是可以使用仿真工具，利用與原口令程序相同的方法，通過比照分析，用不同的加密口令去取匹配原口令。口令入侵破解的根底-字典該文件是一個單詞明碼正文表典型的對字典的替換規那么大小些交替使用把單詞正向、反向拼寫后，接在一起〔如cannac〕在每個單詞的開頭和結尾加上數字1網絡欺騙IP欺騙假冒他人的IP地址發送信息郵件欺騙假冒他人的email地址發送信息Web欺騙你能相信你所看到的信息嗎？其他欺騙術DNS欺騙非技術性欺騙IP欺騙IP欺騙的動機隱藏自己的IP地址，防止被跟蹤以IP地址作為授權依據穿越防火墻IP欺騙的形式單向IP欺騙：不考慮回傳的數據包雙向IP欺騙：要求看到回傳的數據包更高級的欺騙：TCP會話劫持IP欺騙成功的要訣IP數據包路由原那么：根據目標地址進行路由IP欺騙IP欺騙就是偽造他人的源IP地址。其實質就是讓一臺機器扮演另一臺機器。常見的攻擊過程讓被替代的機器A休眠發現目標機器B的序列號規律冒充機器A向機器B發出請求，算出機器應該發來什么序列號，給出機器B想要的回應。這樣就可以利用機器B對機器A的信任關系進行攻擊。IP欺騙：改變自己的地址用網絡配置工具改變機器的IP地址注意：只能發送數據包收不到回包防火墻可能阻擋在Linux平臺上用ifconfigIP欺騙IP欺騙的保護：主機保護，兩種考慮保護自己的機器不被用來實施IP欺騙物理防護、登錄口令權限控制，不允許修改配置信息保護自己的機器不被成為假冒的對象網絡防護路由器上設置欺騙過濾器入口過濾，外來的包帶有內部IP地址出口過濾，內部的包帶有外部IP地址保護免受源路由攻擊路由器上禁止這樣的數據包電子郵件欺騙的動機隱藏發信人的身份，匿名信挑撥離間，唯恐世界不亂騙取敏感信息……欺騙的形式使用類似的電子郵件地址修改郵件客戶軟件的賬號配置直接連到smtp效勞器上發信電子郵件欺騙成功的要訣與郵局的運作模式比較根本的電子郵件協議不包括簽名機制電子郵件欺騙電子郵件欺騙：使用類似的地址發信人使用被假冒者的名字注冊一個賬號，然后給目標發送一封正常的信我是你的上司XX，請把XXX發送給我我在外面度假，請送到我的個人信箱他(她)能識別嗎？郵件欺騙的保護郵件效勞器的驗證Smtp效勞器驗證發送者的身份，以及發送的郵件地址是否與郵件效勞器屬于相同的域驗證接收方的域名與郵件效勞器的域名是否相同有的也驗證發送者的域名是否有效，通過反向DNS解析不能防止一個內部用戶假冒另一個內部用戶發送郵件審核制度，所有的郵件都有記錄隱私？Web是應用層上提供的效勞，直接面向Internet用戶，欺騙的根源在于由于Internet的開放性，任何人都可以建立自己的Web站點Web站點名字(DNS域名)可以自由注冊，按先后順序并不是每個用戶都清楚Web的運行規那么Web欺騙的動機商業利益，商業競爭政治目的Web欺騙的形式使用相似的域名改寫URL劫持Web會話Web欺騙使用類似的域名注冊一個與目標公司或組織相似的域名，然后建立一個欺騙網站，騙取該公司的用戶的信任，以便得到這些用戶的信息例如，針對ABC公司，用來混淆abc如果客戶提供了敏感信息，那么這種欺騙可能會造成進一步的危害，例如：用戶在假冒的網站上訂購了一些商品，然后出示支付信息，假冒的網站把這些信息記錄下來(并分配一個cookie)，然后提示：現在網站出現故障，請重試一次。當用戶重試的時候，假冒網站發現這個用戶帶有cookie，就把它的請求轉到真正的網站上。用這種方法，假冒網站可以收集到用戶的敏感信息。對于從事商業活動的用戶，應對這種欺騙提高警惕改寫URL一個HTTP頁面從Web效勞器到瀏覽器的傳輸過程中，如果其中的內容被修改了的話，那么欺騙就會發生，其中最重要的是URL改寫URL改寫可以把用戶帶到不該去的地方，例如：<ahref=hackersite>WelcomtoHollywood-Moviesite.</a>有一些更為隱蔽的做法直接指向一些惡意的代碼把url定向放到script代碼中，難以發現改寫頁面的做法入侵Web效勞器，修改頁面設置中間代理在傳輸路徑上截獲頁面并改寫在客戶端裝載后門程序……Web會話劫持HTTP協議不支持會話(無狀態)，Web會話如何實現？Cookie用url記錄會話用表單中的隱藏元素記錄會話Web會話劫持的要點在于，如何獲得或者猜測出會話ID防止Web欺騙使用類似的域名注意觀察URL地址欄的變化不要信任不可靠的URL信息改寫URL查看頁面的源文本可以發現使用SSLWeb會話劫持養成顯式注銷的習慣使用長的會話IDWeb的平安問題很多，我們需要更多的手段來保證Web平安防止Web欺騙使用類似的域名注意觀察URL地址欄的變化不要信任不可靠的URL信息改寫URL查看頁面的源文本可以發現使用SSLWeb會話劫持養成顯式注銷的習慣使用長的會話IDWeb的平安問題很多，我們需要更多的手段來保證Web平安關于欺騙技術從這些欺騙技術，我們可以看到IP協議的脆弱性應用層上也缺乏有效的平安措施在網絡攻擊技術中，欺騙術是比較初級的，技術含量并不高，它是針對Internet中各種不完善的機制而開展起來的非技術性的欺騙比方，實施社會工程畢竟網絡世界與現實世界是緊密相關的防止被欺騙最好的方法是教育、教育、再教育增強每一個Internet用戶的平安意識，網絡管理人員以及軟件開發人員的平安意識更加重要會話(交易)劫持在現實環境中，比方對于銀行一筆交易如果營業員檢查了顧客的身份證和賬戶卡抬起頭來，發現不再是剛剛的顧客他會把錢交給外面的顧客嗎？在網絡上沒有人知道你是一條狗TCP會話劫持欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發送消息，以便到達自己的目的動機Sniffer對于一次性密鑰并沒有用認證協議使得口令不在網絡上傳輸會話劫持分兩種被動劫持，實際上就是藏在后面監聽所有的會話流量。常常用來發現密碼或者其他敏感信息主動劫持，找到當前活動的會話，并且把會話接管過來。迫使一方下線，由劫持者取而代之，危害更大，因為攻擊者接管了一個合法的會話之后，可以做許多危害性更大的事情會話劫持示意圖被劫持者A效勞器B1A遠程登錄，建立會話，完成認證過程攻擊者H2監聽流量3劫持會話4迫使A下線如何防止會話劫持部署共享式網絡，用交換機代替集線器TCP會話加密防火墻配置限制盡可能少量的外部許可連接的IP地址檢測ACK包的數量明顯增加郵件炸彈郵件炸彈是指發送大量的垃圾郵件造成對方收發電子郵件的困難。如果是ISP〔Internet效勞器提供商，例如當地數據通訊局〕的收費信箱，會讓用戶憑空增加不少使用費；如果是Hotmail的信箱就造成用戶賬號被查封；其他的免費信箱可能造成正常郵件的喪失〔因為信箱被垃圾郵件填滿并超出原定容量，效勞器會把該信箱的郵件全部刪除〕郵件炸彈攻擊方法直接轟炸，使用一些發垃圾郵件的專用工具，通過多個SMTP效勞器進行發送。這種方法的特點是速度快，直接見效。使用“電郵卡車〞之類的軟件，通過一些公共效勞的效勞器對信箱進行轟炸。這種轟炸方式很少見，但是危害很大。攻擊者一般使用國外效勞器，只要發送一封電子郵件，效勞器就可能給被炸用戶發成千上萬的電子郵件，用戶只好更換新的信箱。給目標電子信箱訂閱大量的郵件廣告。SinfferSniffer既可以是硬件，也可以是軟件，它用來接收在網絡上傳輸的信息。Sniffer成為一種很大的危險，因為：它們可以截獲口令它們可以截獲秘密的或專有的信息它們可以被用來攻擊相鄰的網絡

SinfferSniffer代表著什么級別的危險Sniffer可以截獲的不僅僅是用戶的ID和口令。它可以截獲敏感的經濟數據〔如信用卡號〕、秘密的信息〔E-mail〕和專有信息。基于入侵者可利用的資源，一個Sniffer可能截獲網絡上所有的信息。

Sinffer檢測和消滅嗅探器

會話加密

將數據隱藏，使嗅探器無法發現

加密

你最關心的可能是傳輸一些比較敏感的數據，如用戶ID或口令等等。有些數據是沒有經過處理的，一旦被sniffer，就能獲得這些信息。解決這些問題的方法是加密〔例如SSL)。

社會工程有時軟件并非是系統中最薄弱的環節；有時周圍根底結構是系統的最薄弱環節。例如，請考慮社會工程，因為這是攻擊者使用社會工作環節來闖入系統的時機。通常，效勞中心將接到一個來自聽起來挺誠摯的用戶的，該用戶會說服效勞專業人員給出本不該泄露的密碼，或一些其它應該保密的信息，通過這些信息來發動攻擊。通常很容易發動這種攻擊。平安問題的趨勢：混合型攻擊整合了病毒和黑客的攻擊技術不需要借助社會工程進行傳播和攻擊能夠自動發現并自動感染和攻擊兩個例子：CodeRed和Nimda傳播速度極快，有可能在20分鐘之內感染整個Internet不需要人工干預，利用軟件漏洞進行自動攻擊攻擊程序的破壞性更強依靠單個產品和某一種平安技術都不能進行有效防護！網絡平安體系結構概述1.平安體系的需求2.常見的網絡平安問題3.網絡攻擊的手段4.網絡平安技術5.平安方案與實施6.平安標準及平安管理網絡平安技術防火墻技術入侵檢測技術網絡平安評估系統虛擬專用網VPN技術IPSec平安備份和系統災難恢復防火墻技術防火墻是位于兩個或多個網絡間，實施網間訪問控制的計算機和網絡設備的集合，它滿足以下條件：內部和外部之間的所有網絡數據流必須經過防火墻只有符合平安政策的數據流才能通過防火墻防火墻的作用強化平安策略有效地記錄Internet上的活動隔離不同網絡，限制平安問題擴散是一個平安策略的檢查站公共效勞器區因特網防火墻根本概念內部網防火墻技術防火墻的根本設計目標對于一個網絡來說，所有通過“內部〞和“外部〞的網絡流量都要經過防火墻通過一些平安策略，來保證只有經過授權的流量才可以通過防火墻防火墻本身必須建立在平安操作系統的根底上防火墻的控制能力效勞控制，確定哪些效勞可以被訪問方向控制，對于特定的效勞，可以確定允許哪個方向能夠通過防火墻用戶控制，根據用戶來控制對效勞的訪問行為控制，控制一個特定的效勞的行為防火墻的功能定義一個必經之點擋住未經授權的訪問流量禁止具有脆弱性的效勞帶來危害實施保護，以防止各種IP欺騙和路由攻擊防火墻提供了一個監視各種平安事件的位置，所以，可以在防火墻上實現審計和報警對于有些Internet功能來說，防火墻也可以是一個理想的平臺，比方地址轉換，Internet日志、審計，甚至計費功能防火墻可以作為IPSec的實現平臺防火墻操作層次防火墻類型包過濾路由器應用層網關電路層網關包過濾路由器根本的思想很簡單對于每個進來的包，適用一組規那么，然后決定轉發或者丟棄該包往往配置成雙向的如何過濾過濾的規那么以IP和傳輸層的頭中的域(字段)為根底，包括源和目標IP地址、IP協議域、源和目標端口號過濾器往往建立一組規那么，根據IP包是否匹配規那么中指定的條件來作出決定。如果匹配到一條規那么，那么根據此規那么決定轉發或者丟棄如果所有規那么都不匹配，那么根據缺省策略平安缺省策略兩種根本策略，或缺省策略沒有被拒絕的流量都可以通過管理員必須針對每一種新出現的攻擊，制定新的規那么沒有被允許的流量都要拒絕比較保守根據需要，逐漸開放網絡層鏈路層物理層外部網絡內部網絡包過濾路由器示意圖包過濾防火墻的優點速度快靈活可以封鎖拒絕效勞及相關攻擊實現簡單，對用戶透明是置于與不可信網絡相連的最外邊界之理想設備包過濾防火墻的缺點不能阻止利用具體應用的弱點或功能的攻擊正確制定規那么并不容易不支持高級用戶鑒別方案不能有效防止網絡地址假冒攻擊容易受配置不當的影響包過濾路由器應用層網關電路層網關防火墻類型

也稱為代理效勞器特點所有的連接都通過防火墻，防火墻作為網關在應用層上實現可以監視包的內容可以實現基于用戶的認證所有的應用需要單獨實現可以提供理想的日志功能非常平安，但是開銷比較大應用層網關應用層網關的結構示意圖應用層網關的優缺點優點允許用戶“直接〞訪問Internet易于記錄日志缺點新的效勞不能及時地被代理每個被代理的效勞都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些效勞要求建立直接連接，無法使用代理比方聊天效勞、或者即時消息效勞代理效勞不能防止協議本身的缺陷或者限制包過濾路由器應用層網關電路層網關防火墻類型

本質上，也是一種代理效勞器有狀態的包過濾器動態包過濾器狀態上下文環境流狀態認證和授權方案例子：socks電路層網關電路層網關的優缺點優點效率高精細控制，可以在應用層上授權為一般的應用提供了一個框架缺點客戶程序需要修改(要求鏈接到sockslibrary)防火墻本身的一些局限性對于繞過防火墻的攻擊，它無能為力，例如，在防火墻內部通過撥號出去防火墻不能防止內部的攻擊，以及內部人員與外部人員的聯合攻擊(比方，通過tunnel進入)防火墻不能防止被病毒感染的程序或者文件、郵件等網絡平安技術防火墻技術入侵檢測技術網絡平安評估系統虛擬專用網VPN技術IPSec平安備份和系統災難恢復IDS:IntrusionDetectionSystem入侵檢測系統介紹入侵檢測系統分類入侵檢測系統用到的一些技術入侵檢測系統的研究和開展入侵檢測(IDS)防火墻和IDS是網絡平安中互為補充的兩項工具實時監控網絡流量檢查審計信息,尋找入侵活動當發現入侵特征后,告警IDS通常很昂貴,會產生相當多的誤報IDS的功能IDS通常執行以下任務監視分析用戶及系統活動系統構造和弱點的審計識別反映進攻的活動模式并報警異常行為模式的統計分析評估重要系統和數據文件的完整性操作系統的審計跟蹤管理并識別用戶違反平安策略的行為防火墻不能：抵擋來自內部的攻擊防止“社會工程〞防范繞過防火墻的攻擊。內部提供撥號效勞病毒威脅掃描器：好與壞提供行動方案和依據需要資源修復漏洞修復漏洞的同時又出現其他漏洞無法確定與某一特定應用相關的為什么需要入侵檢測IDS的用途攻擊工具攻擊命令攻擊機制目標網絡網絡漏洞目標系統系統漏洞攻擊者漏洞掃描評估加固攻擊過程實時入侵檢測

入侵檢測系統的實現過程信息收集，來源：網絡流量系統日志文件系統目錄和文件的異常變化程序執行中的異常行為信息分析模式匹配統計分析完整性分析，往往用于事后分析入侵檢測系統的通用模型數據源模式匹配器系統輪廓分析引擎數據庫入侵模式庫異常檢測器響應和恢復機制入侵檢測系統的分類IDS一般從實現方式上分為兩種基于主機的IDS和基于網絡的IDS，一個完備的入侵檢測系統IDS一定是基于主機和基于網絡兩種方式兼備的分布式系統基于主機平安操作系統必須具備一定的審計功能，并記錄相應的平安性日志基于網絡IDS可以放在防火墻或者網關的后面，以網絡嗅探器的形式捕獲所有的對內對外的數據包基于網絡的IDS基于網絡的IDS使用原始的網絡分組數據包作為進行攻擊分析的數據源，一般利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信。一旦檢測到攻擊，IDS應答模塊通過通知報警以及中斷連接等方式來對攻擊作出反響基于網絡的入侵檢測系統的主要優點有1本錢低2攻擊者轉移證據很困難3實時檢測和應答。一旦發生惡意訪問或攻擊基于網絡的IDS檢測可以隨時發現它們因此能夠更快地作出反響從而將入侵活動對系統的破壞減到最低4能夠檢測未成功的攻擊企圖5操作系統獨立。基于網絡的IDS并不依賴主機的操作系統作為檢測資源。而基于主機的系統需要特定的操作系統才能發揮作用基于主機的IDS基于主機的IDS一般監視WindowsNT上的系統、事件、平安日志以及UNIX環境中的syslog文件。一旦發現這些文件發生任何變化IDS將比較新的日志記錄與攻擊簽名以發現它們是否匹配。如果匹配的話檢測系統就向管理員發出入侵報警并且發出采取相應的行動基于主機的IDS的主要優勢有(1)非常適用于加密和交換環境(2)接近實時的檢測和應答(3)不需要額外的硬件異常檢測(anomalydetection)也稱為基于行為的檢測首先建立起用戶的正常使用模式，即知識庫標識出不符合正常模式的行為活動難點正常模式的知識庫難以建立難以明確劃分正常模式和異常模式誤用檢測(misusedetection)也稱為基于特征的檢測建立起攻擊的知識庫判別當前行為活動是否符合的攻擊模式難點：如何做到動態更新，自適應IDS的技術IDS的兩個指標漏報率指攻擊事件沒有被IDS檢測到誤報率(falsealarmrate)把正常事件識別為攻擊并報警誤報率與檢出率成正比例關系0檢出率(detectionrate)100%100%誤報率IDS與響應和恢復技術IDS屬于檢測的環節，一旦檢測到入侵或者攻擊，必須盡快地做出響應，以保證信息系統的平安IDS的響應機制，可以從根本的管理角度來考慮，也可以從技術角度來實施，包括與其他防護系統的互操作，比方防火墻對于一個企業而言，IDS與DRP(DisasterRecoveryPlanning)需要一起來制訂和實施DRP包括業務影響分析(BIA,BusinessImpactAnalysis)數據必須定期備份信息系統的根本目的是提供便利的效勞災難評估明確責任人防火墻技術入侵檢測技術網絡平安評估系統虛擬專用網VPN技術IPSec平安備份和系統災難恢復網絡平安技術無法量化的東西是無法管理的！什么是風險評估?“我們有多平安？〞

查找的弱點與漏洞

檢查制定的平安策略是否被執行檢驗已實施的平安策略的有效性提供有效的建議方案自動修復評估企業范圍內的平安風險和漏洞(包括網絡)檢測違反平安策略的行為確保企業平安策略的一致性提供全企業范圍內的、集成的平安管理構架我們的網絡有多平安??如何知道??

風險評估的作用

風險評估的類型

1、基于主機〔Host-Based〕2、基于網絡〔Network-Based〕Host-Based評估由內而外的角度在每臺系統上詳細檢查可能的風險可產生整個網絡的平安評估報告調度定期執行，對網絡沖擊極小Host-Based評估些什么？口令強度帳號配置網絡參數NTRAS

ftptelnet其他網絡port與問題文件保護配置Patch等級太舊

特定O/S問題WindowsNTregistryNetWareNDS問題UNIXsuid

文件系統漏洞掃描數據庫漏洞掃描Network-Based評估由外而內的觀點以黑客的角度來檢測網絡無法提供用戶使用不當的風險評估可針對無法部署host軟件的網絡設備進行評估，如：routers,switches,網絡打印機,網絡存儲設備等。網絡漏洞掃描集成基于主機&基于網絡平安評估

Inside-the-systempointofviewEmployeesarecauseof80%ofinfoseccrimeViewsystemsfromlocalprivilegedperspectiveScalabilityHigh-levelsummariestoconveystatusScheduled,safeassessmentsMinimalimpacttonetworkandperformanceUnobtrusivetoendusers

Highestlevelsofconfidenceinaccuracy

ViewnetworkfromexternalperspectivePeriodiccheckstounderstand“hacker’s〞viewQuickturnaroundtimeonscansOftencanincludemore“out-of-the-box〞checksEaseofimplementationanduseTestcriticalnetworkdevicesthatdonotrunhostsoftwarelikerouters,switches,firewalls防火墻技術入侵檢測技術網絡平安評估系統虛擬專用網VPN技術IPSec平安備份和系統災難恢復網絡平安技術虛擬專用網VPN技術VPN介紹VPN目標VPN關鍵技術VPN實施VPN介紹什么是VPN？是指在公共網絡上通過遂道和/或加密技術，為企業所建立的邏輯上的專用網絡它是虛擬的網，即沒有固定的物理連接，網路只有用戶需要時才建立。它是利用公眾網設施構成的專用網,構建在公共網絡上的VPN如同企業私有的網絡一樣提供平安性、可靠性和可管理性等。VPN介紹解釋：VirtualPrivateNetwork，即為“虛擬專用網〞。V即Virtual，表示VPN有別于傳統的專用網絡，它并不一種物理的網絡，而是企業利用電信運營商所提供的公有網絡資源和設備，而建立的自己的邏輯專用網絡，這種網絡的好處在于可以降低企業建立使用“專用網絡〞的費用。P即Private，表示特定企業或用戶群體可以像使用傳統專用網一樣來使用這個網絡資源，即這種網絡具有很強的私有性，具體可以表現在下面兩個方面：網絡資源的專用性，即VPN網絡資源〔如信道和帶寬〕在企業需要時可以被為企業所專門使用，當企業不需要時又可以被其它VPN用戶所使用，企業用戶可以獲得像傳統專用網一樣的效勞質量；網絡的平安性，指VPN用戶的信息不會流出VPN的范圍之外，用戶信息受到VPN網絡的保護，可以實現用戶信息在公共網絡傳輸中隱蔽性；N即Network，表示這是一種專門組網技術和效勞，企業為了建立和使用VPN必須購置和配備相應的網絡設備。VPN分類按隧道位置分類按隧道應用分類基于網絡的VPN(NB-VPN:NetworkbasedVPN) 當隧道的兩端為效勞提供商邊緣設備(在Internet環境下，也稱ISP邊緣路由器)時，IP隧道采用節點之間以全連接或局部連接形式構成IPVPN的主干網。 一般指由電信提供商提供VPN和VPDN效勞。基于用戶邊緣設備的VPN(CE-VPN:CustomerEquipmentVPN) 當隧道的兩端為CE設備(在Internet環境下，稱為用戶前端設備路由器)時，隧道對CE采用全連接或局部連接就構成基于CE的VPN。其中，CE可通過ATMVCC、幀中繼電路、DDN專線等接入效勞提供商網絡。 一般指由企業用戶自由地選擇相關VPN設備來實現。按隧道位置分類IntranetVPN IntranetVPN即企業內部網或內聯網。Intranet內所有的用戶站點通過隧道適當互連，這些站點同屬于一個單一的管理部門。目前IntranetVPN是VPN應用最主要的形式。ExtranetVPN ExtranetVPN即外聯網。在這個網絡內，屬于某一個管理者的用戶站點，由于業務的需求要與多個屬于其他管理者的用戶站點進行有限制的連接。有限制的連接主要指可以進行互訪問的有關協作數據是限制的，并不是所有數據都可以放開互訪。撥號VPN(VPDN) VPN用戶通過PSTN或ISDN撥號線路接入VPN網絡，它具有接入范圍廣，建設VPN投資少，建設周期短，運行費用低等優點。按隧道應用分類VPN目標可靠確實定通信參與實體〔包括用戶、網絡設備〕的身份；保護傳輸數據的機密性，免遭未授權的暴露或泄露；保護傳輸數據的完整性，免遭未授權的篡改；提供一定的邊界訪問控制和用戶訪問授權。VPN關鍵技術密碼技術平安隧道技術身份認證技術訪問控制技術密碼技術對稱密碼算法：DES、3DES、國家專用算法非對稱密碼算法：RSA、DSA、橢圓曲線摘要算法：MD5、SHA摘要簽名算法：HMAC-MD5、HMAC-SHA、國家專用算法隧道是在公用IP網中建立邏輯點到點連接的一種方法，是一個疊加在IP網上的傳送通道。一個隧道的根本要素：隧道開通器〔TI〕隧道終止器〔TT〕一個隧道協議通常包括以下幾個方面：乘客協議——被封裝的協議，如PPP、SLIP；封裝協議——隧道的建立、維持和斷開，如L2TP、IPSec等；承載協議——承載經過封裝后的數據包的協議，如IP和ATM等平安隧道技術防火墻技術包過濾應用層代理地址轉換〔NAT〕MAC地址綁定訪問控制技術VPN實施方式以現有Router昇級為VPNRouter架構簡單：由於Router昇級在現有網絡結構不變下，對IT管理者來說，可說是最簡單的。一般都會包括防火牆、加密以及通道(Tunneling)等功能。有些廠商會將使用者身份辨識與既有的身份辨識服務(RADIUS)連在一起。效率不佳：由於防火牆、加密以及通道均以軟體方式達成，在Router流量大時，非常消耗CPU資源。尤其在需大量運算如Triple-DES等的應用時將使CPU的資源更雪上加霜。在效勞器與FireWall中加裝VPN軟件專用VPN設備優點：專用VPN設備最大的優勢在於高效率；在高階產品中可同時支援多個通道連線，且在使用專用VPN設備時，並不會影響網絡上其它設備的效率如Router、Server、Fire-Wall等。易管理：專屬VPN設備架構必須更改現有網路組態，大部份的VPN設備都支援SNMP管理，如真的發生問題時您可透過網管軟體來控制。VPN的建立有三種方式：一種是企業自身建設，對ISP透明；第二種是ISP建設，對企業透明；第三種是ISP和企業共同建設。平安VPN建設：建議由企業自身建設，采用隧道技術和密碼技術相結合的VPN網絡設備，同時應該建立完善的管理系統。平安VPN實施建設防火墻技術入侵檢測技術網絡平安評估系統虛擬專用網VPN技術IPSec平安備份和系統災難恢復網絡平安技術?IP是TCP/IP協議族中至關重要的組成局部,但它提供的是一種不可靠、無連接的的數據報傳輸效勞?不可靠〔unreliable)：不能保證一個IP數據報成功地到達其目的地。錯誤處理方法：扔掉該數據報，向其發送著傳送一個ICMP消息。?無連接〔connectionless)：IP并不維護關于連續發送的數據報的任何狀態信息。每個數據報單獨處理，在傳送過程中可能出現錯序。IP協議?缺乏對通信雙方身份真實性的鑒別能力?缺乏對傳輸數據的完整性和機密性保護的機制?由于IP地址可軟件配置以及基于源IP地址的鑒別機制，IP層存在：業務流被監聽和捕獲、IP地址欺騙、信息泄露和數據項篡改等攻擊

IPv4的缺陷

IPSec的起源

?1994年IETF專門成立IP平安協議工作組，來制定和推動一套稱為Ipsec的IP平安協議標準。

?1995年8月公布了一系列關于IPSec的建議標準

?1996年，IETF公布下一代IP的標準IPv6，把鑒別和加密作為必要的特征，IPSec成為其必要的組成局部

?幸運的是，IPv4也可以實現這些平安特性。IPSec的應用IPSec提供對跨越LAN/WAN，Internet的通訊提供平安性分支辦公機構通過Internet互連。(SecureVPN)通過Internet的遠程訪問。與合作伙伴建立extranet與intranet的互連。增強電子商務平安性。IPSec的主要特征是可以支持IP級所有流量的加密和/或認證。因此可以增強所有分布式應用的平安性。?端到端〔end-end):主機到主機的平安通信

?端到路由〔end-router):主機到路由設備之間的

平安通信

?路由到路由〔router-router):路由設備之間的平安通信，常用于在兩個網絡之間建立虛擬專用網(VPN)IPSec的應用方式

IPSec的好處在防火墻或路由器中實現時，可以對所有跨越周界的流量實施強平安性。而公司內部或工作組不必招致與平安相關處理的負擔。在防火墻中實現IPSec可以防止IP旁路。IPSec是在傳輸層(TCP,UDP)之下，因此對應用透明。不必改變用戶或效勞器系統上的軟件。IPSec可以對最終用戶透明。無須訓練用戶。需要時IPSec可以提供個人平安性。彌補IPv4在協議設計時缺乏平安性考慮的缺乏體系結構ESP協議AH協議加密算法加密算法DOI密鑰管理IPSec體系結構對上述特征的支持在IPv6中是強制的，在IPv4中是可選的。這兩種情況下都是采用在主IP報頭后面接續擴展報頭的方法實現的。

認證的擴展報頭稱為AH(AuthenticationHeader)加密的擴展報頭稱為ESPheader(EncapsulatingSecurityPayload)體系結構：包括總體概念，平安需求，定義，以及定義IPSec技術的 機制；ESP：使用ESP進行包加密的報文包格式和一般性問題，以及， 可選的認證；AH：使用ESP進行包加密的報文包格式和一般性問題；加密算法：描述將各種不同加密算法用于ESP的文檔；認證算法：描述將各種不同加密算法用于AH以及ESP認證選項的文檔；密鑰管理：描述密鑰管理模式；DOI(解釋域):其它相關文檔，批準的加密和認證算法標識，以及運行參數 等；IPSec提供的效勞IPSec在IP層提供平安效勞，使得系統可以選擇所需要的平安協議，確定該效勞所用的算法，并提供平安效勞所需任何加密密鑰。訪問控制連接完整性數據源認證拒絕重放數據包保密性〔加密〕有限信息流保密性AH ESP(僅加密〕 ESP(加密+認證)

訪問控制連接完整性數據源認證拒絕重放包保密性有限保密性網絡平安體系結構概述1.平安體系的需求2.常見的網絡平安問題3.網絡攻擊的手段4.網絡平安技術5.平安方案與實施6.平安標準及平安管理企業級安全總體規劃安全業務調度安全安全政策法規功能設計安全職能劃分安全應用級安全文件安全目錄安全數據安全郵件安全群件安全事件安全系統級安全操作系統安全用戶管理安全分布系統管理安全故障診斷系統監控安全網絡運行監測平臺安全網絡級安全

...信息傳輸安全路由安全廣域網安全節點安全協議安全鏈路安全物理安全平安層次結構平安設計方法邏輯層設計最小實體保護產品與技術別離Internet網絡平安技術(1)平安內核技術平安等級制身份鑒別技術KerberosWeb平安技術SSLSHTTPSOCKS協議網絡反病毒技術防火墻技術動態IP過濾技術IP分片過濾技術IP欺騙保護地址轉換訪問控制保密網關技術面向信息與面向客戶綜合平安與保密策略實現Internet網絡平安技術(2)ISO7498-2，信息平安體系結構1989.2.15公布，確立了基于OSI參考模型的七層協議之上的信息平安體系結構五大類平安效勞(鑒別、訪問控制、保密性、完整性、抗否認〕八類平安機制(加密、數字簽名、訪問控制、數據完整性、鑒別交換、業務流填充、路由控制、公證〕OSI平安管理平安方案設計要素明確的需求分析合理的設計原那么可信的平安等級良好的指導方法全面的理論模型正確的技術選擇可靠的支撐產品實用的功能性能可行的評價措施完善的管理手段長遠的維護升級防火墻入侵檢測漏洞掃描管理中心測評工具反病毒平安信息產品目前的平安狀況----產品分布總產值：26億〔2001年〕

DMZ應用結構根據平安需求，把網絡劃分成三局部：外網〔Internet〕、DMZ區〔對外效勞器子網〕、內網〔不對外的效勞器子網、開發子網〕DMZ「非軍事區」(De-MilitaryZone)作為企業內部網路與外部網路的緩衝區制訂不同的保全政策對外防止主機被入侵後危及內部網路對內可管制稽核內部人員存取主機FirewallOpenSubnetInternet內部網路DMZforserversDMZDDN/X.25/FR無線網加密機過濾型防火墻路由器路由器PSTN移動用戶外部mail效勞器外部WWW效勞器外部DNS普通客戶密鑰管理中心復合型防火墻平安客戶端一般效勞器1一般效勞器2一般效勞器3一般效勞器n重要效勞器1重要效勞器2重要效勞器3重要效勞器n接入/認證效勞器

訪問代理漏洞掃描/入侵檢測典型平安方案拓撲圖外層防火墻隔離Internet和DMZ(非軍事化區，DemilitarizedZone〞(DMZ)的周邊平安網絡，用來區分外網與內網〕。IP包過濾，僅允許從Internet到DMZ公共效勞器的訪問和經由內層防火墻到Internet訪問的IP包進出；實現地址轉換，隱藏DMZ及內部網絡拓撲結構；IP地址合法性檢查，防止地址欺騙；具備審計功能。同IDS聯動,切斷入侵者連接內層防火墻、代理效勞器隔離DMZ和內部網；實現代理訪問型防火墻功能，支持從內部網到Internet和DMZ的單向訪問；實現身份認證，內部網訪問Internet必須先經過認證才能進行；能夠實現地址轉換，隱藏內部網絡拓撲結構；IP地址合法性檢查，防止地址欺騙；對網絡訪問進行監控審計；自身對發生的攻擊行為能進行審計。同IDS聯動,切斷入侵者連接入侵檢測系統(IDS)能夠實時準確捕捉到入侵；能夠檢測出系統管理員及內部用戶的誤操作；發現入侵能夠及時作出響應并詳細記錄審計日志同防火墻聯動，主動切斷入侵者連接平安掃描系統檢查系統中存在的特洛伊木馬及有漏洞程序；對系統和網絡進行檢測，查找可能存在的平安漏洞、配置問題并給出報告和修改建議；被動防御->主動防御根本平安->全面平安防護監測->誘騙取證可用性->生存性平安開展趨勢網絡平安體系結構概述1.平安體系的需求2.常見的網絡平安問題3.網絡攻擊的手段4.網絡平安技術5.平安方案與實施6.平安標準及平安管理平安標準及平安管理1、平安標準與標準2、平安管理與檢查平安評估標準國標主要平安指標國家平安標準主要考核指標有：身份認證、自主訪問控制、數據完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、平安標記、可信路徑、可信恢復等。特點：這些指標涵蓋了不同級別的平安要求。信息網絡主要平安指標身份認證：主要考慮用戶、主機和節點的身份認證。訪問控制：采用自主訪問控制策略。數據完整性：考慮存儲、傳輸和使用中不被篡改和泄密。審計：主要考慮訪問的主體、客體、時間、成敗情況等。隱蔽信道：主要考慮采用平安監控和平安漏洞檢測來加強對隱蔽信道的防范。平安標準及平安管理1、平安標準與標準2、平安管理與檢查技術管理根據事物開展的規律，采用合理的技術手段，對所需管理的對象進行合理的方案、組織和控制，使之依照固有的規律最有效、最大限度地按預定的目標運行。技術管理與行政管理技術管理是根底和措施，效勞于行政管理。行政管理是策略和方法，通過技術措施實現目標。技術管理概念技術管理的必要性三分技術七分管理平安策略的制定不是技術問題，而是管理問題缺省配置為系統留下平安隱患，需要管理系統漏洞與補丁不斷出現，需要管理平安檢查和評估需要需要管理手段平安系統運行監控需要管理管理出效益減少故障時間預防平安事件節省維護開支技術管理的目標和內容網絡管理

IP地址管理非法撥號上網管理拓撲管理端口管理

運行管理運行根本狀況監控日志管理配置管理流量管理病毒管理授權管