安全运维技术培训PPT-网络运维技术培训PPT.pptx

安全运维-技术部分,LOGO,上海XX信息技术有限公司 上海市浦东新区龙东大道 邮编： 电话： 传真：,www.XX.,目录：,一. 网络安全态势,二. 安全运维基础技术,三. 网络攻击介绍,四. 安全运维防御措施,www.XX.,一.网络安全态势,www.XX.,一.网络安全态势,2011年，在政府相关部门、互联网服务机构努力下，我国互联网网络安全状况继续保持平稳状态，政府网站安全事件显著减少，未发生造成大范围影响的重大网络安全事件。根据国家互联网应急中心的统计，主要表现为以下六大特点 ：,1.基础网络安全防护能力不足 2.政府网站页面被篡改事件频发，信息泄露引发关注 3.我国遭受境外网络攻击增多 4.木马和僵尸网络活动越发猖獗 5.应用软件漏洞呈现增长趋势 6.拒绝服务攻击事件频发,网络安全表现特点,www.XX.,一.网络安全态势,1.基础网络安全防护能力不足,相关的信息安全漏洞数量较多。据国家信息安全漏洞共享平台（CNVD）收录的漏洞统计，2011年发现涉及电信运营企业网络设备（如路由器、交换机等）的漏洞203个，其中高危漏洞73个。发现域名解析系统零日漏洞23个, 其中Bind9漏洞7个。 涉及电信运营企业的攻击形势严峻,网络安全表现特点,2011年境内被篡改网站数量为36612个，较2010年增加5.1%； 2011年底， CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注，严重威胁了互联网用户的合法权益和互联网安全 。,www.XX.,一.网络安全态势,2.政府网站页面被篡改事件频发，信息泄露引发关注,网络安全表现特点,我境内受控主机数量大幅增长，由2010年的近500万增加至近890万。美国以9528个IP地址控制着我国境内近885万台主机，控制我国境内主机数高居榜首。,www.XX.,一.网络安全态势,3.我国遭受境外网络攻击增多,网络安全表现特点,2011年，CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序，较2010年大幅增加78.5%。其中，感染窃密类APT木马的境内主机IP地址为5.6万余个，国家、企业以及网民的信息安全面临严重威胁。,一.网络安全态势,4.木马和僵尸网络活动越发猖獗,www.XX.,网络安全表现特点,2011年，CNVD公开发布信息安全漏洞5547个，较2010年大幅增加60.9%。其中，高危漏洞有2164个，较2010年增加约2.3倍。 在所有漏洞中，涉及各种应用程序的最多，占62.6%，涉及各类网站系统的漏洞位居第二，占22.7%，而涉及各种操作系统的漏洞则排到第三位，占8.8%。,一.网络安全态势,5.应用软件漏洞呈现增长趋势,www.XX.,网络安全表现特点,我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%，对其溯源和处置难度较大。,一.网络安全态势,6. 拒绝服务攻击事件频发,www.XX.,网络安全表现特点,一.网络安全态势,www.XX.,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,网络安全威胁来源,一.网络安全态势,网络安全威胁因素,www.XX.,信息系统自身安全的脆弱性,信息系统脆弱性指信息系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使系统处于异常状态，甚至崩溃瘫痪等的根源和起因。 这里我们从以下三个层面分别进行分析： 硬件组件 软件组件 网络和通信协议,一.网络安全态势,www.XX.,信息系统自身安全的脆弱性,信息系统硬件组件安全隐患多源于设计，主要表现为物理安全方面的问题。 硬件组件的安全隐患除在管理上强化人工弥补措施外，采用软件程序的方法见效不大。 在设计、选购硬件时，应尽可能减少或消除硬件 组件的安全隐患,硬件组件的安全隐患,一.网络安全态势,www.XX.,信息系统自身安全的脆弱性,软件组件的安全隐患来源于设计和软件工程实施中遗留问题： 软件设计中的疏忽 软件设计中不必要的功能冗余、软件过长过大 软件设计部按信息系统安全等级要求进行模块化设计 软件工程实现中造成的软件系统内部逻辑混乱,软件组件的安全隐患,一.网络安全态势,www.XX.,信息系统自身安全的脆弱性,网络和通信协议的安全隐患,协议：指计算机通信的共同语言，是通信双方约定好的彼此遵循的一定规则。 TCP/IP协议簇是目前使用最广泛的协议，但其已经暴露出许多安全问题。 TCP序列列猜测 路由协议缺陷 数据传输加密问题 其它应用层协议问题,一.网络安全态势,www.XX.,操作系统与应用程序漏洞,操作系统系统是用户和硬件设备的中间层，操作系统一般都自带一些应用程序或者安装一些其它厂商的软件工具。 应用软件在程序实现时的错误，往往就会给系统带来漏洞。漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。 漏洞一旦被发现，就可以被攻击者用来在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全的行为。,一.网络安全态势,www.XX.,安全管理问题,一.网络安全态势,管理策略不够完善，管理人员素质低下，用户安全意识淡薄，有关的法律规定不够健全。 管理上权责不分，缺乏培训意识，管理不够严格。 缺乏保密意识，系统密码随意传播，出现问题时相互推卸责任。,www.XX.,一.网络安全态势,www.XX.,黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。 他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。 网络黑客的主要攻击手法有：获取口令、放置木马、web欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。,黑客攻击,一.网络安全态势,www.XX.,黑客攻击,黑客分类,灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机 为人民服务 漏洞发现 - Flashsky 软件破解 - 0 Day 工具提供 - Glacier,渴求自由,一.网络安全态势,www.XX.,黑客攻击,常见黑客攻击及入侵技术,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2005,高,一.网络安全态势,www.XX.,网络犯罪,网络数量大规模增长，网民素质参差不齐，而这一领域的各种法律规范未能及时跟进，网络成为一种新型的犯罪工具、犯罪场所和犯罪对象。 网络犯罪中最为突出的问题有：网络色情泛滥成灾，严重危害未成年人的身心健康；软件、影视唱片的著作权受到盗版行为的严重侵犯；电子商务备受诈欺困扰；信用卡被盗刷；购买的商品石沉大海，发出商品却收不回货款；更有甚者，侵入他人网站、系统后进行敲诈，制造、贩卖计算机病毒、木马或其它恶意软件，已经挑战计算机和网络几十年之久的黑客仍然是网络的潜在危险。,二.安全运维基础技术,www.XX.,二.安全运维基础技术,安全运维概念,安全运维就是为了保障政府或企事业单位用户电子业务安全、稳定和高效运行而采取的生产组织管理活动，简单来说就是使用各种IT维护手段保障用户电子业务安全、稳定、高效的运行。,www.XX.,二.安全运维基础技术,如何保证单位网络有效、可靠、安全、经济的运行？,对自身网络结构非常清晰 对单位业务应用非常了解 对日常业务软件的掌握 了解常用的网络安全技术 熟练掌握单位现有网络设备的配置与操作 掌握常用的网络故障诊断技术 ,www.XX.,二.安全运维基础技术,www.XX.,安全运维目标,通过安全运维提高用户网络运行质量，做到设备资产清晰、网络运行稳定有序、事件处理处置有方、安全措施有效到位，提升网络支撑能力，提高网络管理、安全管理水平，保障信息平台稳定、持续的运行。,www.XX.,二.安全运维基础技术,安全运维内容,安全检查,安全运维,安全监控,安全通告,补丁管理,日志分析,漏洞检测,渗透测试,源代码扫描,安全风险评估,安全策略加固,应急响应,安全培训,二.安全运维基础技术,安全运维架构,安全运维计划,资产管理,脆弱性管理,威胁管理,安全通告,补丁管理,安全监控,安全配置,安全加固,应急响应,安全检查,漏洞检测,渗透测试,源代码扫描,安全风险评估,安全培训,周期性安全运维报告,www.XX.,二.安全运维基础技术,安全运维技术和工具,www.XX.,www.XX.,二.安全运维基础技术,三.网络攻击介绍,网络攻击过程一般可以分为,在这里主要介绍远程攻击的一般过程： 远程攻击的准备阶段 远程攻击的实施阶段 远程攻击的善后阶段,www.XX.,三.网络攻击介绍,远程攻击的准备阶段,确定攻击目标,信息收集,服务分析,系统分析,漏洞分析,www.XX.,三.网络攻击介绍,确定攻击目标,攻击者在进行一次完整的攻击之前，首先要确定攻击要达到什么样的目的，即给受侵者造成什么样的后果。 常见的攻击目的有破坏型和入侵型两种。 破坏型攻击是指只破坏攻击目标，使之不能正常工作，而不能随意控制目标上的系统运行。 入侵型攻击这种攻击要获得一定的权限才能达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作，包括破坏性质的攻击。,远程攻击的准备阶段,www.XX.,三.网络攻击介绍,信息收集,包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息 收集目标系统相关信息的协议和工具 Ping实用程序 TraceRoute、Tracert、X-firewalk程序 Whois协议 Finger协议 SNMP协议,远程攻击的准备阶段,www.XX.,三.网络攻击介绍,信息收集,举例： 在网络中主机一般以IP地址进行标识。 例如选定50这台主机为攻击目标，使用ping命 令可以探测目标主机是否连接在Internet中。 在Windows下使用ping命令测试： ping 50 测试结果如下页图所示。 说明此主机处于活动状态。,远程攻击的准备阶段,www.XX.,三.网络攻击介绍,信息收集,远程攻击的准备阶段,www.XX.,三.网络攻击介绍,服务分析,探测目标主机所提供的服务、相应端口是否开放、各服务所使用的软件版本类型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等这类工具的端口扫描或服务扫描功能。 举例： Windows下，开始运行cmd 输入：telnet 50 80，然后回车 结果如下页图所示，说明50这台主机上运行了http服务，Web服务器版本是IIS 5.1,远程攻击的准备阶段,www.XX.,三.网络攻击介绍,服务分析,远程攻击的准备阶段,www.XX.,三.网络攻击介绍,远程攻击的准备阶段,资料分享,15年资深项目经理项目实战资料分享！ 关注更多此类文章，请点击/IIJCdK,www.XX.,三.网络攻击介绍,远程攻击的准备阶段,系统分析,确定目标主机采用何种操作系统 举例： 在Windows下安装Nmap v4.20扫描工具，此工具含OS Detection的功能（使用-O选项）。 打开cmd.exe，输入命令：nmap O 50，然后确定 探测结果如下页图所示，说明操作系统是Windows 2000 SP1、SP2或者SP3,www.XX.,三.网络攻击介绍,远程攻击的准备阶段,系统分析,www.XX.,三.网络攻击介绍,远程攻击的准备阶段,漏洞分析,分析确认目标主机中可以被利用的漏洞 手动分析：过程复杂、技术含量高、效率较低 借助软件自动分析：需要的人为干预过程少，效率高。如Nessus、X-Scan等综合型漏洞检测工具、eEye等专用型漏洞检测工具等。 举例： 在Windows下使用eEye Sasser Scanner对目标主机8进行系统漏洞分析。探测结果如下页图所示，说明目标主机存在震荡波漏洞。,www.XX.,三.网络攻击介绍,远程攻击的准备阶段,漏洞分析,www.XX.,远程攻击的实施阶段,三.网络攻击介绍,作为破坏性攻击，可以利用工具发动攻击即可。 作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取尽可能高的权限。 攻击的主要阶段包括： 预攻击探测：为进一步入侵提供有用信息 口令破解与攻击提升权限 实施攻击：缓冲区溢出、拒绝服务、后门、木马、病毒,www.XX.,远程攻击的善后阶段,三.网络攻击介绍,入侵成功后，攻击者为了能长时间地保留和巩固他对系统的控制权，一般会留下后门。 此外，攻击者为了自身的隐蔽性，须进行相应的善后工作隐藏踪迹： 攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了，所以一般黑客如果想隐匿自己的踪迹，最简单的方法就是删除日志文件 但这也明确无误地告诉了管理员系统已经被入侵了。更常用的办法是只对日志文件中有关自己的那部分作修改，关于修改方法的细节根据不同的操作系统有所区别，网络上有许多此类功能的程序。,www.XX.,入侵系统的常用步骤,三.网络攻击介绍,采用 漏洞 扫描 工具,选择 会用 的 方式 入侵,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 系统 后门,获取敏感信息 或者 其他攻击目的,www.XX.,较高明的入侵步骤,三.网络攻击介绍,端口 判断,判断 系统,选择 最简 方式 入侵,分析 可能 有漏 洞的 服务,获取 系统 一定 权限,提 升 为 最 高 权 限,安装 多个 系统 后门,清除 入侵 脚印,攻击其 他系统,获取敏 感信息,作为其 他用途,www.XX.,针对网络攻击我们怎么办？,www.XX.,四.安全运维防御措施,个人用户防护措施,加密重要文件,www.XX.,四.安全运维防御措施,防止黑客入侵,关闭不常用端口,关闭不常用程序和服务,及时升级系统和软件补丁,发现系统异常立刻检查,www.XX.,四.安全运维防御措施,常用的防护措施,完善安全管理制度,采用访问控制措施,运行数据加密措施,数据备份与恢复,www.XX.,四.安全运维防御措施,风险管理,风险管理的概念 识别风险、评估风险、采取步骤降低风险到可接受范围 风险管理的目的 防止或降低破坏行为发生的可能性 降低或限制系统破坏后的后续威胁,www.XX.,四.安全运维防御措施,风险管理案例,www.XX.,四.安全运维防御措施,网络安全事件应对措施,www.XX.,四.安全运维防御措施,对于非法访问及攻击类,-在非可信网络接口处安装 访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL VPN、内容过滤系统,www.XX.,四.安全运维防御措施,Internet,防火墙、IPSEC VPN、SSL VPN、内容过滤等,防DOS/DDOS设备,语音教室网段,财务网段,多媒体教室网段,内部办公 网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,www.XX.,四.安全运维防御措施,对于病毒、蠕虫、木马类,-实施全网络防病毒系统 对于垃圾邮件类 -在网关处实施防垃圾