方正科技软件有限公司2002年3月教学课件.ppt

网络安全基础,方正科技软件有限公司 2002年3月,网络安全现状简介 网络攻击分类 入侵过程分析 网络安全技术和产品 网络安全原则,主要内容,什么是网络安全,ISO信息安全定义： 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。,网络安全的核心是信息安全,网络安全现状-国际,由计算机安全协会（CSI）和联邦调查局（FBI）调查得出美国大公司、金融机构、医疗机构、大学和政府机构中：,70经历过比病毒和雇员滥用网络 更严重的破坏！,42声称由于计算机攻击而遭受 到经济损失，总价值超过2.65亿美元！,90的人员反映遭受过安全破坏！,网络安全现状-国内,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%,中国国内80%网站有安全隐患， 20网站有严重安全问题,中国的银行过去两年损失1.6亿人民币,世界网络安全产品市场,国内安全产品需求,国内安全产品使用,中国网络安全产品市场,网络安全现状简介 网络攻击分类 入侵过程分析 网络安全技术和产品 网络安全原则,主要内容,攻击：欺骗（spoof）,攻击：窃听（password tracking）,攻击：数据窃取（Data stealing）,攻击：数据篡改（ packet forging）,攻击：拒绝服务（Dos）,网络安全现状简介 网络攻击分类 入侵过程分析 网络安全技术和产品 网络安全原则,主要内容,网络安全的风险 从网络的发展看,网络攻击发展趋势,网络黑客特征,大多数黑客为16到25岁之间的男性 大多数黑客是“机会主义者” 高级黑客 安全知识 + 黑客工具 + 耐心 新互联网环境下出现的有明确政治、商业目的的职业黑客,典型黑客攻击过程,自我隐藏 网络刺探和信息收集 确认信任的网络组成 寻找网络组成的弱点 利用弱点实施攻击 攻破后的善后工作,自我隐藏,典型的黑客使用如下技术来隐藏IP地址 通过telnet在以前攻克的Unix主机上跳转 通过终端管理器在windows主机上跳转 通过错误配置的proxy主机跳转 更高级的黑客，精通利用电话交换侵入主机,网络刺探和信息收集,对网络的外部主机进行一些初步的探测 试图收集网络结构本身的信息 常用手段如下 端口及服务扫描 浏览web服务器来确定其主机操作系统 通过smtp或finger查找Unix主机上的用户 通过IPC得到NT主机上面的用户,确认网络组成的弱点,利用扫描程序来扫描一些特定的远程弱点 TCP/UDP端口扫描 IPC的用户输出列表 Samba或netbios的共享列表 多个finger或Smtp请求来获得缺省帐号 CGI弱点扫描 有缺陷版本的守护程序的扫描，包括Sendmail, IMAP, POP3, RPC status 以及RPC mountd. 弱口令攻击,利用弱点实施攻击,选择攻击时段 通常选择管理员没有登陆的时间 常用手段如下： 利用服务程序漏洞如Sendmail、ftpd、IIS等 利用网站的CGI、ASP等漏洞 猜测、强行计算用户密码,攻破后的善后工作,通过该主机试图扩大清除他在记录文件中所留下的痕迹 留下后门以便以后能控制该主机 入侵的范围，例如进入局域网内容等,案例分析,背景： 某公司对外提供Web服务的NT服务器管理员帐号被夺取，另外一台同一网段运行数据库的NT服务器数据被删除。 攻击方式： 黑客网络扫描发现提供Web服务的NT服务器IP 黑客对IP进行端口扫描发现该服务器为Win 2000，并打开IIS服务和终端服务 黑客换用一台湾主机对该服务器进行IIS的Unicode漏洞攻击，得到管理员帐号并通过终端服务控制该Web服务器 黑客通过查看Web服务器上的ASP源码，得知数据库服务器地址以及帐号、密码 黑客进入数据库服务器删除数据,网络攻击的结果,数据篡改,数据窃取,欺骗,拒绝服务,重要数据丢失,敏感信息被窃取,主机资源被利用,网络瘫痪,网络安全现状简介 网络攻击分类 入侵过程分析 网络安全技术和产品 网络安全原则,主要内容,安全是个连续的过程,分析阶段：,管理阶段：,检测阶段：,恢复阶段：,保护阶段：,需求分析、漏洞扫描,防火墙、VPN 、防病毒,入侵检测、授权、认证、签名,审计系统、访问控制,数据备份、系统恢复,对网络攻击的阻挡,攻击预警和访问控制,被攻破后的分析与补救,远程传输的安全,安全防护层次,立体防护体系,局域网立体安全防护体系,VPN,对网络攻击的阻隔,从逻辑和物理上分隔不同网络 将网络划成不同的安全等级和可信任等级 常用方法 物理隔离 路由器、交换机 防火墙,网络隔离：包过滤型防火墙,对所有的网络应用都可以防护，检查网络连接底层信息，控制访问的网络地址，规范网络流量。,网络隔离：应用型防火墙,只为指定的网络应用牵线搭桥，将网络数据与既定的安全策略进行比较。,网络入侵检测,在网络上或针对主机寻找网络攻击的相关特征并作出相应反应。 入侵检测产品 基于网络的入侵检测 基于主机检测 对网络系统和服务器进行检查寻找安全漏洞，并评估网络安全风险。 安全扫描器产品,网络信息审计和访问控制,记录网络上发生的一切活动，监控外路入侵，监视内部人员的违规和破坏活动并根据不同权限进行访问控制。 主要产品： 入侵检测类产品 专用安全审计服务器,病毒防护和灾难恢复,使用先进的防病毒软件 对外来的文件先杀毒再使用 不要从互联网上下载软件 做好备份工作，使用磁带机并按计划定期备份数据和系统。,数据加密和身份认证,基本概念 明文： 没有加密前的原始数据，可以是一段文字，也可以是一串数字。 密文： 将原文通过某种加密方式加密后得到数据。 密钥： 加密时采用的密码，随加密方法不同而有不同的要求。,对称加密,原理： 加密和解密使用相同密钥 加密强度基本由其密钥长度决定 目前一般至少为128位 主要优缺点： 加密速度快 管理复杂，风险大,非对称加密,加密技术出现以来最重大的突破 原理 有两把成对的密钥，称为公钥和私钥，其中公钥可以对外公 用一把密钥加密的数据只有用配对的另一把密钥才能正确解密 特点： 密钥易于管理，公钥不怕被窃取 但速度一般比对称加密算法慢很多,混和型加密,原理： 每次传输时，先用非对称加密算法“握手”，交换一个临时生成的对称加密密钥。 然后用此临时密钥进行主要的数据加解密工作。 特点： 结合对称和非对称加密方式，既方便管理又能高速加/解密。,身份认证,数据加密和身份认证-主要产品,加密 VPN 安全操作系统 加密软件、加密卡、智能卡、加密机 身份认证 CA,安全方案的设计,安全规划首当其冲 在网络建设之初就考虑到网络安全，对网络结构进行划分，通过使用防火墙、物理隔离等手段保证办公网络、保密网络不会受到外部冲击。,入侵检测和访问控制挑大梁,对网络攻击进行及时的报警和防范。 注意对用户权限的即时管理，更新。 对网络即时使用情况进行跟踪和控制。 根据用户权限进行访问控制，避免网络滥用和机密信息泄漏。,建立备份恢复和审计系统,选用备份设备，指定备份制度，对重要数据采取冗余备份。 选用安全审计产品，对网络活动进行追踪，做到对网络操作有据可查。,网络安全现状简介 网络攻击分类 入侵过程分析 网络安全技术和产品 网络安全原则,主要内容,有效的安全计划,一个有效的安全计划包括安全意识、防止、检测、管理和响应以使危险降低到最小！,平衡可用性、完整性和机密性,机密性,可用性,完整性,信息财产,可用性、完整性和机密性,可用性确保了信息和服务在需要的时候 可以被访问并能够工作。,完整性是指要确保信息或软件完整