网络基础上ppt课件

网络安全技术基础（上）,趋势科技 Tech Academy “空中课堂”,主讲人：Mike Ma 2007-9-20,2,本讲概要,本讲介绍信息安全的定义、安全网络的基本特征以及计算机网络面临的威胁。本讲内容包含以下几部分：,信息安全的现状 信息安全的定义 信息安全的CIA模型 信息安全的体系结构 网络攻击形式与防御方法,3,本讲学习目标,通过本章的学习，学员应能够了解：,了解信息安全的现状 了解信息安全面临威胁 了解安全的计算机及网络的基本特征 了解黑客攻击的一般形式与防范方法,4,在我们的生活中，经常可以听到下面的报道：,XX网站受到黑客攻击 XX计算机系统受到攻击，造成客户数据丢失 目前又出现XX计算机病毒，已扩散到各大洲 ,网络安全的背景,计算机网络在带给我们便利的同时已经体现出了它的脆弱性,5,6,网络攻击数量与日俱增,/stats/cert_stats.html,Incidents reported to CERT/CC in recent years,Year,7,网络病毒全球范围内高速扩散,8,企业内部的破坏更加危险,尽管企业外部的攻击可以对企业网络造成巨大威胁，企业内部员工的不正确使用和恶意破坏是一种更加危险的因素。,摘自ICSA/FBI,2001,统计显示：来自企业内部的网络破坏更加危险。,员工的不正常使用也是企业内网的一个重要不安全因素。,9,黑客攻击与网络病毒日趋融合,10,攻击者需要的技能日趋下降,攻击工具复杂性,攻击者所需技能,11,国际信息安全事件大事记,Gary McKinnon于 2002年11月间在英国被指控非法侵入美国军方90多个电脑系统,年仅15岁的MafiaBoy在2000年2月6日到2月14日情人节期间成功侵入包括eBay，Amazon 和Yahoo在内的大型网站服务器，他成功阻止了服务器向用户提供服务。,12,2005年6月18日，为万事达、维萨和美国运通卡等主要信用卡服务的一个数据处理中心网络被黑客程序侵入，约万账户的号码和有效期信息已被恶意黑客截获。 江苏省徐州市某银行软件维护员孙某，只存入10元，却先后取出33.8万元，因为他写了一个自动增加存款余额的程序。 英国一特工在火车上睡着，丢失了机密公文包。 。,安全事故案例,13,我国信息化状况,计世咨询 2004 2003-04六大行业信息化状况 ,单位：亿元,CNNIC发布第十七次中国互联网络发展状况统计报告，截至2005年12月31日，我国网民人数达到1.11亿 2007年行业信息化IT投入将达到4236亿 今年来我国几大行业IT投入情况：,14,我国当前信息安全的现状,1.计算机系统遭受病毒感染和破坏的情况相当严重。,15,我国当前信息安全的现状,总部,下属机构,黑客,信息泄密 信息被篡改,Internet,2.电脑黑客活动已形成重要威胁。,16,我国当前信息安全的现状,3.信息基础设施面临网络安全的挑战。,非法用户,非法登录,合法用户,越权访问,计算机网络,信息被越权访问 信息被非授权访问,17,我国当前信息安全的现状,4.网络政治颠覆活动频繁。,18,什么是信息,通过在数据上施加某些约定而赋予这些数据的特殊含义 （GMITS） 通常我们把信息理解为消息、信号、数据、情报和知识等 信息是无形的，可借助多种介质存储和传递 对现代企业而言，信息是宝贵的资源和资产 信息是一种资产，像其他的业务资产一样对企业具有价值，因此要妥善加以保护 （BS7799）,19,哪些是信息,网络上的数据 纸质文件 软件 物理环境 人员 设备 公司形象和声誉 ,20,信息的分类,按照人、组织结构划分 按照信息媒体划分 按照信息内容划分 按照直接处理系统划分 ,21,信息的处理方式,22,磁盘意外损坏,光盘意外损坏,磁带被意外盗走,导致数据丢失 导致数据无法访问,信息系统的弱点,信息存储的弱点,23,信息系统的弱点,信息传输的弱点,总部,下属机构,黑客,信息泄密 信息被篡改,Internet,24,网络安全面临的威胁,物理风险,系统风险,信息风险,应用风险,其它风险,网络的风险,管理风险,设备防盗，防毁 链路老化人为破坏 网络设备自身故障 停电导致无法工作 机房电磁辐射 其他,信息存储安全 信息传输安全 信息访问安全 其他,身份鉴别 访问授权 机密性 完整性 不可否认性 可用性,计算机病毒 外部攻击 内部破坏 其他风险 软件弱点,是否存在管理方面的风险需 有无制定相应的安全制度,安全拓扑 安全路由,Internet,25,国际标准化组织对具体的威胁定义 ：,伪装(pseudonym)： 非法连接(illegal association)： 非授权访问(no-authorized access)： 重放(replay) 拒绝服务(denial of service)： 抵赖(repudiation)： 信息泄露(leakage of information)： 业务流量分析(traffic analysis) 改变信息流(invalid message sequencing) 篡改或破坏数据(data modification or destruction) 推断或演绎信息(deduction of information)： 非法篡改(illegal modification of programs)：,26,非法用户,非法登录,合法用户,越权访问,信息系统的弱点,计算机网络,信息被非法访问,信息被越权访问 信息被非授权访问,27,什么是信息安全,信息安全InfoSec:,信息安全InfoSec(Information Security)的任务，就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。,28,信息安全管理标准,TCSEC / CC (可信赖系统评估准则 / 信息技术安全评估通用标准),29,操作系统安全级别,Unix、Linux和Windows NT都是C2级的产品,Dos、Windows 95/98是D1级的产品。,30,信息安全CIA模型,31,企业安全防护体系的构成,安全防护体系,企业安全防护体系的主要构成因素,人,制度,技术,32,完善的整体防卫技术架构,防火墙,访问控制,防病毒,入侵检测,虚拟专用网,漏洞评估,33,黑客与骇客,“黑客”与“骇客” 今天，人们一谈到“黑客”（Hacker）往往都带着贬斥的意思，但是“黑客”的本来含义却并非如此。一般认为，黑客起源于50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着对计算机网络的最大潜力进行智力上的自由探索，所谓的“黑客”文化也随之产生了。然后并非所有的人都能恪守“黑客”文化的信条专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人称为“骇客”（Cracker），试图区别于“黑客”，同时也诞生了诸多的黑客分类方法，如“白帽子、黑帽子、灰帽子”。,34,黑客分类,灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机 为人民服务 漏洞发现 - Flashsky 软件破解 - 0 Day 工具提供 - Glacier,渴求自由,黑客分类,35,黑客文化,H4x3r 14n9u493 i5 4 diff3r3n7 14n9u493 fr0m 3n91i5h. w3 c4n find 7hi5 14n9u493 in h4x3r5 885, IRC 0r 07h3r Ch477in9 p14c3.,常见替换 A = 4 B = 8 E = 3 G =9 l = 1 O = 0 S = 5 t = 7 Z = 2,常见缩写 CK = x You = u Are = r See = c And = n / & Not = !,黑客文化,36,安全漏洞产生的原因,系统和软件的设计存在缺陷，通信协议不完备；如TCP/IP协议就有很多漏洞。 技术实现不充分；如很多缓存溢出方面的漏洞就是在实现时缺少必要的检查。 配置管理和使用不当也能产生安全漏洞； 如口令过于简单，很容易被黑客猜中。,37,基于协议的漏洞分类,TCP/IP协议是计算机网络的基础协议，但遗憾的是TCP/IP协议本身却具有很多的安全漏洞容易被黑客加以利用，这是因为TCP/IP协议在设计之初主要是围绕如何共享计算机网络资源而研究的并没有考虑到现在网络上如此多的威胁，虽然对TCP/IP协议的完善和改进从未间断，但漏洞都无可避免。 ARP协议漏洞 ICMP协议漏洞 TCP协议漏洞 各种协议明文传输,38,黑客入侵思路,信息收集 漏洞扫描 漏洞利用 攻击阶段 后攻击阶段,黑客攻击一般步骤,39,黑客黑客攻击一般步骤,信息收集 从一些社会信息入手： 找到网络地址范围 找到关键的机器地址 找到开放端口和入口点 找到系统的制造商和版本 A社会工程学: 1。通过一些公开的信息，如办公室 电话号码、管理员生日、姓、家庭电话 。 2。如果以上尝试失败，可能会通过各种 途径获得管理员以及内部人员的信任，例如 网络聊天，然后发送加壳木马软件 或者键盘 记录工具。 3如果管理员已经系统打了补丁，MS04-028漏洞无法利用。 通过协助其解决技术问题，帮助其测试软件，交朋友等名义， 能够直接有机会进入网络机房。 用Lc4工具直接破SAM库(DEMO) B技术手段信息收集: Whois/ DNS/Ping & Traceroute,40,黑客攻击一般步骤,漏洞扫描 知道基本IP网段、服务器系统等信息之后，可以针对性的扫描。 扫描工具： 扫描软件有SSS（Shadow Security Scanner），Nmap、Xsan、Superscan,以及国产流光等 。 扫描目的： 通过扫描得到开放的端口，通过端口判断主机开放哪些服务，并且扫出漏洞可利用之处。 漏洞利用 1。有些扫描软件自带利用工具，如流光等。 2。有些不带，如SSS,根据扫描结果描述，到搜索Google,Baidu或者一些黑客网站的漏洞引擎去搜索“漏洞关键字符”+“利用”或“攻击”去寻找相关入侵技术文档或者工具，另外通过已知的漏洞的一些操作系统、服务、应用程序的特征关键字，去搜索更多的目标机器。,41,攻击阶段 1. 如我们通过扫描得到系统存在IDQ漏洞，那么我们通过搜索“IDQ溢出 下载”，就能搜索到IDQ over这样的工具。具体过程见3。2节的“ida&idq缓冲区溢出漏洞”攻击实现，通过溢出得到Shell，然后通过Net use增加管理员帐户。如没有继续考虑其他系统漏洞。 2. 如无明显利用漏洞，可以考虑NAT（NetBIOS Auditing Tool）进行强行口令破解。 3. 继续考虑注入、上传，如都没有漏洞，考虑XSS。 4. 根据源文件meta的包括信息，以及冷僻关键字，试图找出源码。考虑站我外提交，NC提交。 5. 如所以攻击都无功，黑客可能会进行Dos攻击。,黑客攻击一般步骤,42,后攻击阶段（Demo) 如获得管理员帐户或者Webshell,黑客可能会有以下后续行为： 1、添加隐藏的管理员帐户。 2、Copy后门到目标机器 3、启动后门 4、修补常见漏洞，避免更多黑客进入系统。 5、将此服务器作为代理服务器或者进一步入侵与此机有信任关系的网络。 6、安装一些监控木马(记录银行帐户，QQ密码），或者在Web服务器index里加入隐藏木马，达到其他目的（安装工具条，发起DDos,投放AD). 7、删除登陆以及操作日志（%WinDir%System32LogFiles ）,黑客攻击一般步骤,43,防范黑客的一般方法,windows安全基本策略 Windows NT（New Technology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows 2000）和NT6.0（Windows 2003）等众多版本，并逐步占据了广大中小网络操作系统的市场。我们主要讲针对Windows的安全，以下是一些基本的安全措施。 物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。 关闭不必要的端口、开启审核策略 操作系统安全策略、关闭不