网络安全技术 技术白皮书 目录 第一部分公司简介. 第二部分网络安全的背景 第一章 网络安全的定义 第二章产生网络安全问题的几个方面.. 2．1信息安全特性概述. 2．2信息网络安全技术的发展滞后于信息网络技术。 b 2．3TCP/IP协议未考虑安全性． 6 2.．4操作系统本身的安全性， 2.5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/Activex 控件进行有效控制. 6 2．6忽略了来自内部网用户的安全威逼. 2．7缺乏有效的手段监视、评估网络系统的安全性 2．8使用者缺乏安全意识，许多应用服务系统在拜访控制及安全通信方面考虑较少， 并且，如果系统设置错误，很容易造成缺失. 第三章网络与信息安全防范体系模型以及对安全的应对措施 3.1信息与网络系统的安全治理模型. 3.2网络与信息安全防范体系设计. 3.2.1网络与信息安全防范体系模型. 3.2.1.1 安全治理， 3.2.1.2预警 3.2.1.3攻击防范. 3.2.1.4 攻击检测. 3.2.1.5应急响应. 3.2.1.6 复原. 3.2.2网络与信息安全防范体系模型流程 9 3.2.3网络与信息安全防范体系模型各子部分介绍. 11 3.2.3.1安全服务器， 11 3.2.3.2预警. 11 3.2.3.3网络防火墙. 11 3.2.3.4系统漏洞检测与安全评估软件. 12 3.2.3.5 病毒防范. 12 3. 2. 3. 6 VPN. . 13 2. 3. 7 PKI. 13 3.2.3.8入侵检测 13 3.2.3.9日志取证系统. 14 3.2.3.10应急响应与事故复原. 14 3.2.4各子部分之间的关系及接口 14 第三部分相关网络安全产品和功能 16 第一章防 火 墙 16 1.1防火墙的概念及作用 16 1.2防火墙的任务 17 1.3防火墙术语 18 1.4用户在选购防火墙的会注意的问题： 20 1.5防火墙的一些参数指标. 1.6防火墙功能指标详解. 1.7防火墙的局限性 26 1.8防火墙技术发展方向. 26 病 毒 软 第二章防 件 30 2．1 病毒是什么 30 2．2 病毒的特点 31 2.3 病毒术语. 32 2．4 病毒的发展的趋势 34 2．5病毒入侵渠道 .35 2．6 防病毒软件的重要指标 36 2．7 防病毒软件的选购 37 侵 检 第三章入 测 系 统 IDS ( ) 38 3.1入侵检测含义 38 3.2入侵检测的处理步骤 39 3.3入侵检测功能， 42 3.4入侵检测系统分类 43 3.5入侵检测系统技术发展经历了四个阶段 43 3.6入侵检测系统的缺点和发展方向 44 虚 第四章VPN ( 拟 专 用 网 ) 系 统 44 4.1VPN基本概念 44 4.2 VPN产生的背景 45 4.3VPN的优点和缺点 45 第五章安 全 串 计 系 统 45 5.1、安全审计的概念 45 5.2：安全审计的重要性， 46 5.3、审计系统的功能特点. 46 第六章 漏洞扫描系统. 47 6.1网络漏洞扫描评估系统的作用. 47 6.2 网络漏洞扫描系统选购的注意事项： 1、是否通过国家的各种认证 目前 国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息 安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。 2、 漏洞数量和升级速度 漏洞数量是考查漏洞扫描器的重要指标，最新漏洞的数量、 漏洞更新和升级的方法以及升级方法是否能够被非专业人员把握，使得漏洞库升级的频 率显得更为重要。比如RJ-iTop网络隐患扫描系统每周一次，漏洞数量达1502之多（截 止到2004年7月9日）。 3、产品本身的安全性 扫描产品运行的操作系统平 台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。比如 RJ-iTop网络隐患扫描系统采用软硬结合、专门优化的linux系统，关闭了不必要的端 口和服务，并且传输的数据加密。 4、是否支持 CVE 国际标准 其目的是给所 有已知的漏洞和安全泄露提供一个标准化的命名。给企业提供更好的覆盖、更容易的协 同和加强的安全。 5、是否支持分布式扫描 产品具有灵活、携带方便、穿透 防火墙的特性。因为现在不再有没有划分VLAN的单一网络存在；扫描器发出的数据包 有些会被路由器、防火墙过滤，降低扫描的准确性。 在网络内进行防火墙与 IDS 的设置，并不意味着我们的网络就绝对安全，但是设置得当的防火墙和IDS，至少会使 我们的网络更为坚固一些，并且能提供更多的攻击信息供我们分析。防火墙、防病毒、 入侵检测、漏洞扫描分别属于PDR和P2DR模型中的防护和检测环节。这几种安全技术 环绕安全策略有序地组织在一起，相互协同，相互作用，构成一个动态自适应的防范体 48 第七章身份认证系统(PKI 系统). 48 7.1PKI 的体系结构 48 第一部分 公司简介 第二部分网络安全的背景 第一章 网络安全的定义 ） 我国自已提出的定义是：“运算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的 原因而遭到破坏、更换、显露，系统能连续正常运行。”因此，所谓网络安全就是指基于网 络的互联互通和运作而涉及的物理线路和连接的安全，网络系统的安全，操作系统的安全， 应用服务的安全和人员治理的安全等几个方面。但总的说来，运算机网络的安全性，是由数 据的安全性、通信的安全性和治理人员的安全意识三部分组成。 随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发 展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、 测（检测）、控（控制）、管（治理）、评（评估）”等多方面的基础理论和实施技术。传 统的信息安全技术都集中在系统本身的加固和防护上，如采用安全级别高的操作系统与数据 库，在网络的出口处配置防火墙，在信息传输和储备方面采用加密技术，使用集中的身份认 证产品等。传统的信息系统安全模型是针对单机系统环境而制定的，对网络环境安全并不能 很好描述，并且对动态的安全威逼、系统的脆弱性没有应对措施，传统的安全模型是静态安 全模型。但随着网络的深入发展，它已无法完全反应动态变化的互联网安全问题。 第二章‧产生网络安全问题的几个方面 2．1 信息安全特性概述 教育培训 稽核检查 实施监理 系统安全 目标 范围 原则 网络安全 工程实施 应用安全 全面性 风险分析 物理安全 安全产品 层次性 需求分析 生命周期性 安全体系 安全策 动态性 标准规范 过程性 相对性 2．2 信息网络安全技术的发展滞后于信息网络技术。 网络技术的发展可以说是日新月异，新技术、新产品层出不穷，世界各国及一些大的跨 国公司都在这方面投入了不少心力，可对产品本身的安全性来说，进展不大，有的还在延续 第一代产品的安全技术，以Cisco 公司为例，其低端路由产品从cisco 2500系列到7500 系列，其密码加密算法基本一致。而其他功能，特别是数据吞吐能力及数据交换速率提高之 大，令人膛目。在我国，许多大的应用系统也是建立在国外大型操作系统的基础之上。如果 我们的网络安全产品也从国外引进，会使我们的运算机信息系统完全暴露在外。后果堪忧。 其次，网络应用的设计往往在应用方面考虑的比较多，这就是应用永远高于安全，因为 一个系统的设计最终的目的是为了应用、其次才是安全。互联网的发展也一样，互联网上的 应用系统的发展速度和规模远远大于安全系统的发展速度和规模。 2．3TCP/IP协议未考虑安全性 在TCP/IP协议设计之处，主要考虑的是互联和应用方便，所以TCP/IP协议是一个开放 的互联网协议，它从一开始就是一种松散的、无连接的、不可靠的方式，这一特点造成在网 上传送的信息很容易被拦截、偷窥和改。TCP/IP协议的两个创始人Vinton GCerf和Robert E.Kahn没有为这个协议的发明去申请专利，而是公布了源代码，这为互联网的飞速发展奠 定了基础，也为网络安全留下了很多的隐患。我们的网络哨兵其实也是这个安全漏洞的产物， 我们的抓包程序能获取到HUB或交换机中的数据包、然后进行分析处理，这本身就是TCP/IP 协议的漏洞之一。TCP/IP协议中的数据是以明文形式发送的，这为安全留下了隐患。 2．4 操作系统本身的安全性 入系统。 2.5未能对来自 Internet 的邮件夹带的病毒及 Web 浏览可能存在的恶意 Java/ActiveX 控 件进行有效控制 2．6忽略了来自内部网用户的安全威逼 来自内部用户的安全威逼远大于外部网用户的安全威逼，特别是一些安装了防火墙的网 络系统，对内部网用户来说一点作用也不起， 2．7缺乏有效的手段监视、评估网络系统的安全性 完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安 全防护性能作出科学、准确的分析评估，并保证将要实施的安全策略技术上的可实现性、经 济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查，查找其中是否 有可被黑客利用的漏洞，对系统安全状况进行评估、分析，并对发觉的问题提出建议从而提 高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。 2．8使用者缺乏安全意识，许多应用服务系统在拜访控制及安全通信方面考虑较少，并且， 如果系统设置错误，很容易造成缺失 在一个安全设计充分的网络中，人为因素造成的安全漏洞无疑是整个网络安全性的最大 隐患。网络治理员或网络用户都拥有相应的权限，利用这些权限破坏网络安全的隐患也是存 在的。如操作口令的泄漏，磁盘上的秘密文件被