指导教师:杨建国第8章网络系统安全部署第8章网络系统安全部署8.1网络安全威胁与对策网络的组成元素导致这些问题的原因是什么？第一代 引导性病毒攻击和威胁转移到服务器和网关，对防毒体系提出新的挑战1990引导区病毒Internet网络病毒的特征 通过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作，可能会引起严重的网络负载 如果攻击属于常规的应用，例如SQL,IIS等就可能穿过防火墙木马程序等间谍软件成为网络与信息安全保密的重要隐患. 在现在的工作中发现,越来越多的木马程序植入到我国重要 信息系统中,根据保守估计,国内80%的网络系统,都存在木 马程序和间谍软件问题 中国地区危害最为严重的十种木马病毒，分别是：QQ木 马、网银木马、MSN木马、传奇木马、剑网木马、BOT系 列木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马 系统漏洞就像给了木马病毒一把钥匙，使它能够很轻易在 电脑中埋伏下来，而木马病毒又会欺骗用户伪装成“好 人”，达到其偷取隐私信息的险恶目的木马病毒有可能洗劫用户网上银行存款、造成网络游戏 玩家装备丢失、被黑客利用执行不法行为等。如今，针 对以上各种现象的危害越来越多，木马病毒已成为威胁 数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲，木马病毒又分 为以下五大类别：针对网游的木马病毒、针对网上银行 的木马病毒、针对即时通讯工具的木马病毒、给计算机 开后门的木马病毒、推广广告的木马病毒垃圾邮件的发展速度和趋势完成安全设施的重新部署或响应InternetInternet我DMZ ?E-Mail?FileTransfer ?HTTP看不懂对于非法访问及攻击类 -----在非可信网络接口处安装访问控制防火墙、蠕虫 墙、Dos/DDos墙、IPsecVPN、SSLVPN、内容过滤系统对于病毒、蠕虫、木马类 -----实施全网络防病毒系统 对于垃圾邮件类 -----在网关处实施防垃圾邮件系统对于内部信息泄露、非法外联、内部攻击类 -----在各网络中安装IDS系统 -----在系统中安装安全隐患扫描系统 -----在系统中安装事件分析响应系统 -----在主机中安装资源管理系统 -----在主机中安装防火墙系统 -----在重要主机中安装内容过滤系统 -----在重要主机中安装VPN系统对于系统统一管理、信息分析、事件分析响应 -----在网络中配置管理系统 -----在网络中配置信息审计系统 -----在网络中配置日志审计系统 -----在网络中补丁分发系统 -----在网络中配置安全管理中心8.2.1802.1x协议及工作机制802.1x协议包括三个重要部分： 客户端请求系统（SupplicantSystem） 认证系统（AuthenticatorSystem） 认证服务器（AuthenticationServerSystem）下图描述了三者之间的关系以及互相之间的通信 客户机安装一个EAPoE客户端软件，该软件支持交换机端 口的接入控制，用户通过启动客户端软件发起802.1x协议 的认证过程认证系统通常为支持802.1x协议的交换机 该交换机有两个逻辑端口：受控端口和非受控端口 非受控端口始终处于双向连通状态，主要用来传递EAPoE 协议帧，保证客户端始终可以发出或接受认证 受控端口只有在认证通过之后才导通，用于传递网络信息 如果用户未通过认证，受控端口处于非导通状态，则用户 无法访问网络信息 受控端口可配置为双向受控和仅输入受控两种方式，以适 应不同的应用环境另外，RADIUS是否能够让管理员实现诸多管理安全特性和 策略是非常重要的一环 是否支持强制时间配额，这种功能使网络管理员可以限制 用户或用户组能够通过RADIUS服务器接入网络多长时间 RADIUS服务器是否都通过ODBC或JDBC，利用SQL Server数据库保存和访问用户配置文件RADIUS认证系统的组成 RADIUS是一种C/S结构的协议 RadiusClient一般是指与NAS通信的、处理用户上网验证的 软件；RadiusServer一般是指认证服务器上的计费和用户 验证软件 Server与Client通信进行认证处理，这两个软件都是遵循 RFC相关Radius协议设计的RADIUS的客户端最初就是NAS，现在任何运行RADIUS客 户端软件的计算机都可以成为RADIUS的客户端 如下图RADIUS的工作原理 用户接入NAS，NAS向RADIUS服务器使用Access-Require 数据包提交用户信息，包括用户名、口令等相关信息 其中用户口令是经过MD5加密的，双方使用共享密钥，这 个密钥不经过网络传播 RADIUS服务器对用户名和密码的合法性进行检验，必要时 可以提出一个Challenge，要