日程安排安全概念Copyright?2001X-ExploitTeamX-ExploitTeamKansasCityDenverClevelandNewYorkAtlantaHoustonPittsburghMinneapolisColumbusWashingtonPhoenixRaleighTrentonSaltLakeCityWilmingtonDallasNewOrleansLincolnNewHavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUWPacificNorthWestGreatPlainsMRENTexasOneNetDirectlyConnectedParticipantMAGPIPittsburgh(CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahomaCityGigaPopConnectedParticipantAnycolorAccessNodeRouterNodeSacramentoOaklandEugeneLosAngelesAnaheim33TotalAccessPointsServing64MembersSeattle數(shù)據(jù)是怎樣產(chǎn)生、存儲和傳輸?shù)模烤W(wǎng)絡(luò)各部分是怎樣協(xié)同工作的（關(guān)聯(lián)性、依賴性）？它是怎樣滿足每一項工作需要的（應(yīng)用、數(shù)據(jù)）？網(wǎng)絡(luò)是怎樣增長的(建設(shè)、擴展)？網(wǎng)絡(luò)怎樣“平滑”地完成工作？什么樣的資源需要保護？什么是威脅？怎樣盡量減少風(fēng)險對于系統(tǒng)內(nèi)脆弱的威脅？什么是脆弱性？考察網(wǎng)絡(luò)安全的每一個細節(jié)理解安全概念A(yù)uthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity安全策略管理ConnectivityPerformanceEaseofUseManageabilityAvailabilityAccessSecurityMax.安全風(fēng)險投資、效率與可用性Min.Max.理解安全概念…Min.Max.安全曲線…安全性最優(yōu)平衡點安全要素安全實務(wù)通俗的安全“進不來”使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)，“進不來”“拿不走”使用授權(quán)機制，實現(xiàn)對用戶的權(quán)限控制，即不該拿走的，“拿不走”；“看不懂”使用加密機制，確保信息不暴漏給未授權(quán)的實體或進程，即“看不懂”；“改不了”使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”；“走不脫”使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者"走不脫"。物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)內(nèi)部接口外部接口應(yīng)用層應(yīng)用層OSI七層參考模型IPHDRDATAISO7498-2，信息安全體系結(jié)構(gòu)訪問控制服務(wù)鑒別服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)保密服務(wù)信息流安全數(shù)據(jù)源點鑒別數(shù)字簽名機制加密機制數(shù)據(jù)完整性機制訪問控制機制交換鑒別機制路由控制機制流量填充機制公證機制OSI安全管理ISO7498-2到TCP/IP的映射小結(jié)保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運行保證網(wǎng)絡(luò)資源受控合法地使用PublicWWWServerCampus

BackboneHua-TechFirewallIntranetServersGatewaySalesOfficeHeadquartersInternetMainframeCSSSecureCopyright?2001X-ExploitTeamX-ExploitTeam輻射線路竊聽帶寬的增加，威脅逐漸減少AAAKerberosRADIUSTACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAPIdentifyServer統(tǒng)一口令規(guī)則/配置內(nèi)部訪問撥號訪問Internet訪問RADIUS/TACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP包過濾（PacketFilter）地址轉(zhuǎn)換NAT/端口轉(zhuǎn)換PAT地址綁定(Mac)端口映射PMap/地址映射NMap地址過濾/內(nèi)容過濾/時間段控制應(yīng)用代理/傳輸代理日志/審計/響應(yīng)/日志處理VPN/入侵檢測/地址欺騙身份認(rèn)證/OTP流量管理/計費管理/動態(tài)路由TCP/IP/IPX透明接入/非透明接入雙機冷備/雙機熱備/負(fù)載均衡本地管理/遠程管理/集中管理/用戶分權(quán)界面（CLI/GUI/WEB）與IDS的連動/互動連動的風(fēng)險/利弊得失基于弱點漏洞的安全管理（風(fēng)險管理）入侵成功三要素機會/動機/機會黑客的機會=企業(yè)的風(fēng)險風(fēng)險=弱點漏洞+錯誤（不恰當(dāng)）配置/誤操作風(fēng)險識別風(fēng)險度量風(fēng)險控制風(fēng)險管理BUGTRAQ/CVE/ISSBUGTRAQCVEISS零知識測試（黑盒測試）對目標(biāo)環(huán)境的信息毫無了解的前提下進行測試，是提供盡可能現(xiàn)實的模擬測試。

ProbingExploitingVulerabilityMappingIntrudingHoneypot/Honeynet主動防御的主機、僚機網(wǎng)絡(luò)模型

網(wǎng)絡(luò)攻擊的誘騙方法實時追蹤攻擊行為，快速查找定位攻擊源主機與僚機的動態(tài)自動切換僚機對攻擊來源的吸收與反擊模型自動癱瘓攻擊路徑IPSecEncryptedIPHDRIPHDRDATAIPSecHDRDATATransportModeIPHDRDATAIPSecHDRIPHDRNewIPHDRDATATunnelModeEncryptedIPSecModes安全路由器安全操作系統(tǒng)操作系統(tǒng)的安全是網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)級別定義（DOD橘皮書）A級：確定性保護B級：強制性保護C級：自主性保護D級：未經(jīng)安全評估操作系統(tǒng)安全操作系統(tǒng)安全是對安全級別較低的操作系統(tǒng)的一個安全增強或加固接管系統(tǒng)命令/系統(tǒng)調(diào)用Sec-Shell接管ShellSSH安全網(wǎng)關(guān)面向信息的安全網(wǎng)關(guān)面向用戶的安全網(wǎng)關(guān)VPN安全產(chǎn)品Copyright?2001X-ExploitTeamX-ExploitTeam系統(tǒng)安全安全邊界通信安全動態(tài)安全桌面安全安全管理授權(quán)認(rèn)證災(zāi)難恢復(fù)主流產(chǎn)品安全服務(wù)Copyright?2001X-ExploitTeamX-ExploitTeam主流服務(wù)結(jié)束語Copyright?2001X-ExploitTeamX-ExploitTeam關(guān)于X-ExploitTeamCopyright?2001X-Exploi