《信息系统安全》PPT课件 (2).ppt

信息系统安全,信息系统安全,一、 提高信息系统安全意识 二、 提高系统维护效率 三、 网络攻击与防范技术 四、 Windows系统安全加固技术,一、 提高信息系统安全意识,（一）信息系统安全的重要性 （二）破坏信息系统安全的因素 （三）互联网安全威胁现状,（一）信息系统安全的重要性,信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 “黑客”的特征，在近两年已经发生了明显的改变，网络攻击已经从表现特征明显、以炫耀技术为目的转变为有组织的、更加隐秘的、以赚取经济利益为目的。网络犯罪也从全球范围的普遍爆发，转向瞄准具体组织进行敲诈勒索的小范围、更秘密的攻击，更像是“游击战”了。,（二）破坏网络安全的因素,1.物理上的 2.技术上的 3.管理上的 4.用户意识,用户意识,请先试着回答下面几个假设的问题： 1)你的计算机用户名和你的E-mail账户名、QQ昵称、网络游戏ID、论坛昵称等是否有几个是一致的？ 2)以上用户名对应的密码是否有几个是完全一样的？ 3)你常用的密码是否和你的名字拼音、生日或者手机、电话号码有关？ 4)你在网上常用的数字密码是否和你持有的各类银行卡密码亦有关联，甚至一样？,（三）互联网安全威胁现状,病毒木马肉鸡虚拟交易的灰色链条 肉鸡就是被黑客控制的计算机，黑客可以控制该肉鸡对其它服务器进行攻击（肉鸡作为帮凶）。 在中国，有上百万的网民毫无察觉地为网络黑色产业链无偿地“贡献着力量”。,（三）互联网安全威胁现状,僵尸网络： (英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。 目前，中国的互联网世界中，有5个僵尸网络操控的“肉鸡”规模超过10万台，个别僵尸网络能达到30万台的规模。这些僵尸网络可以被租借、买卖，黑客们每年可以有上百万元的收入。,（三）互联网安全威胁现状,黑客产业主要有两种典型模式。 模式一:黑客侵入个人、企业电脑窃取机密资料在互联网上出售获取金钱。 模式二:黑客侵入大型网站，在网站上植入病毒用户浏览后中毒，网游账号和装备被窃取黑客把账号装备拿到网上出售获取金钱。,（三）互联网安全威胁现状,互联网病毒地下交易市场初步形成，获取利益的渠道更为广泛。 黑客产业分工明确 中国每天有数百甚至上千种病毒被制造出来，其中大部分是木马和后门病毒，占到全球该类病毒的三分之一左右。这个产业链每年的整体利润预计高达数亿元。,二、 提高系统维护效率,（一）系统维护 （二）系统备份及还原 （三）硬盘保护卡（还原卡）及还原软件,（一）系统维护,尽量使用正版 品牌机使用OEM版的操作系统 熟练使用Ghost之类的磁盘备份还原软件 维护工具（自启动光盘） 深山红叶PE工具箱V30 /soft/7584.html WinPE (老毛桃最终修改版) V09.11 /soft/8624.html,（二）系统备份及还原,系统备份 品牌机的“一键还原” 兼容机可以安装“一键还原精灵” 一键还原精灵官方网站 建立隐藏分区 开机时按F11键备份、还原系统,（二）系统备份及还原,系统备份 “一键还原精灵”,（一）系统维护,数据备份 /soft/35295.html C盘资料转移器 /downinfo/1837.html C盘个人资料设置和转移器,（一）系统维护,数据备份 /soft/35295.html C盘资料转移器 /downinfo/1837.html C盘个人资料设置和转移器,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网环境简介,计算机网络的分类按作用范围的大小分 广域网（WAN） 也叫远程网。作用范围通常为几十到几千公里，是一种可跨越国家及地区的遍布全球的计算机网络 城域网（MAN） 也叫市域网。它的范围约为几千米到几十千米 局域网（LAN） 也叫局部网。一般将微机通过高速通信线路相连，范围一般在几百米到几千米,局域网环境简介,局域网最主要的特点 覆盖的地理范围较小，几米到几公里 以微机为主要联网对象 通常为某个单位或部门所有 具有较高的数据传输速率、较低的时延和较小的误码率 易于安装、配置和维护简单，造价低 实用性强，已经成为计算机网络中使用最广的形式 局域网一般分为令牌网和以太网两种 令牌网主要用于广域网及大型局域网的主干部分，其操作系统大多是UNIX。组建和管理非常繁琐，需专业人员胜任 以太网是当今世界应用范围最广的一种网络技术，组建较为容易，各设备之间的兼容性较好，Windows和Netware都支持它,局域网的组成,局域网由网络硬件和网络软件两部分组成 网络硬件用于实现局域网的物理连接 为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享 网络软件则主要用于控制 并具体实现信息的传送和网络资源的分配与共享 这两部分互相依赖,共同完成局域网的通信功能,局域网的拓朴结构,最常见的局域网拓朴结构有星型、环型、总线型和树型,集线器,(a) 星型网*,(b) 环型网,(c) 总线网,(d) 树型网,注：图(a)在物理上是一个星型网，但在逻辑上仍是一个总线网,干线耦合器,匹配电阻,按网络使用的传输介质分类,局域网使用的传输介质有双绞线,光纤,同轴电缆,无线电波,微波等 对应的局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网 目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合型网络 近年来,无线网络技术发展迅速,它将成为未来局域网的一个重要发展方向,局域网环境简介,无线局域网 Wireless LAN可提供所有无线局域网的功能，而不需要物理线路连接 数据先被调制到射频载波中，然后以大气为载体进行传输 典型速率为11Mbps和54Mbps，但实际应用中得到的速率通常为此速率的一部分 无线局域网的实现可以非常简单，只要在计算机上安装无线网卡即可 如果想和有线网络连接在一起需要添加一个无线接入点AP。AP一般位于无线客户端的中心接入位置,Wireless LAN的优缺点,优点： 移动性 安装 安装的灵活性 减少用户投入 易于扩展 缺点： Wireless LAN和有线局域网相比速率较低 无线网络的硬件投入会高于有线网络,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网安全威胁,局域网技术将网络资源共享的特性体现得淋漓尽致 不仅能提供软件资源、硬件资源共享 还提供Internet连接共享等各种网络共享服务 越来越多的局域网被应用在学校、写字楼，办公区,局域网的安全威胁,目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议 各种黑客工具一样适用于局域网 局域网中的计算机更多体现的是共享和服务 因此局域网的安全隐患较之于Internet更是有过之而无不及,局域网的安全威胁,目前的局域网基本上都采用以广播为技术基础的以太网 任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取 黑客只要接入以太网上的任一节点进行侦听 就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患,安全无内、外之分,长期以来，对于信息安全问题，通常认为安全问题主要源于外面因素，都希望在互联网接入处，把病毒和攻击挡在门外，就可安全无忧 有许多重大的网络安全问题正是由于内部员工引起 一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中 在员工浏览色情网站、利用即时通讯和访问购物网站时 这些恶意软件还会在企业内部网络中进行传播，不仅会产生安全隐患，而且还会影响到网络的使用率 特别值得注意的是，企业的机密资料、客户数据等信息可能会由于恶意软件的存在，不知不觉被盗取,局域网内的安全误区,局域网中无需单机防火墙 没有人会针对我 安装杀毒软件和病毒防火墙就不怕病毒 安装了SP2的Windows XP就安全了,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,以太网协议工作方式,将要发送的数据包发往连接在一起的所有主机 包中包含着应该接收数据包主机的正确地址 只有与数据包中目标地址一致的那台主机才能接收 当主机网卡设置为混杂模式时(监听模式) 经过自己网络接口的那些数据包 无论数据包中的目标地址是什么，主机都将接收（监听）,以太网协议工作方式,现在网络中使用的大部分协议都是很早设计的 许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上 许多信息以明文发送,局域网监听与防范,局域网中采用广播方式 在某个广播域中可以监听到所有的信息包 黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息 很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息 对黑客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息 因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要,网络监听,网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等 当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等,网络监听的应用场景,如果用户的账户名和口令等信息也以明文的方式在网上传输 只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分 黑客或网络攻击者会利用此方法进行网络监听 正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位 在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段,使用sniffer pro进行监听,获取邮箱密码 通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息 对一些明码传输的邮箱用户名和口令可以直接显示出来,网络监听的相关软件,密码监听器(01) /html/010722005083001.html 用于监听网页的密码，包括网页上的邮箱、论坛、聊天室等 只需在一台电脑上运行，就可以监听整个局域网内任意一台电脑登录的账号和密码，并将密码显示、保存，或发送到用户指定的邮箱,如何检测并防范网络监听,网络监听是很难被发现的，特点 隐蔽性强 运行网络监听的主机只是被动地接收在局域局上传输的信息 不主动的与其他主机交换信息，也没有修改在网上传输的数据包 手段灵活 网络监听可以在网上的任何位置实施 可以是网上的一台主机、路由器，也可以是调制解调器 网络监听效果最好的地方是在网络中某些具有战略意义的位置 如网关、路由器、防火墙之类的设备或重要网段；而使用最方便的地方是在网中的一台主机上,对可能存在的网络监听的检测,1) 对于怀疑运行监听程序的主机，可用正确的IP地址和错误的物理地址去探测(如Ping)，运行监听程序的主机会有响应 这是因为正常的机器不接收错误的物理地址 处理监听状态的机器能接收 如果他的IP stack不再次反向检查的话，就会响应,对可能存在的网络监听的检测,2) 可向网上发送大量目的地址根本不存在的数据包 由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降 通过比较前后该机器性能加以判断 这种方法难度比较大 3) 使用反监听工具如antisniffer等进行检测,对网络监听的检测,当前，有两个比较可行的办法 搜索网上所有主机运行的进程 网络管理员使用UNIX或Windows NT的主机，可以很容易地得到当前进程的清单 确定是否有一个进程被从管理员主机上启动 搜查监听程序 现在监听程序只有有限的几种，管理员可以检查目录，找出监听程序,对网络监听的检测,还有两个方法比较有效，缺点也是难度较大 检查被怀疑主机中是否有一个随时间不断增长的文件存在 因为网络监听输出的文件通常很大，且随时间不断增长 通过运行ipconfig命令，检查网卡是否被设置成了监听模式 或使用Ifstatus工具，定期检测网络接口是否处于监听状态 当网络接口处于监听状态时，可能是入侵者侵入了系统，并正在运行一个监听程序，就要有所注意,对网络监听的防范措施,从逻辑或物理上对网络分段 以交换式集线器代替共享式集线器 控制单播包而无法控制广播包和多播包 使用加密技术 划分VLAN 运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,ARP协议,Address Resolution Protocol (地址解析协议) 在局域网中，网络中实际传输的是“帧” 帧里面是有目标主机的MAC地址的 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址 但这个目标MAC地址是如何获得的呢 通过地址解析协议获得,ARP协议原理,所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 的 ARP协议对网络安全具有重要的意义 通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞,局域网内部的ARP攻击,ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行 基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包 数据包内包含有与当前设备重复的Mac地址 使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信,受ARP攻击可能出现的现象,1) 不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框 2) 计算机不能正常上网，出现网络中断的症状 因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截 普通的防火墙很难抵挡这种攻击,ARP 病毒攻击症状,现在局域网中感染ARP 病毒的情况比较多 清理和防范都比较困难，给不少的网络管理员造成了很多的困扰 症状 有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误 局域网内的ARP 包爆增 使用Arp 查询的时候会发现不正常的Mac地址，或错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况也会有出现,ARP 攻击的原理,ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警 以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配 ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库MAC/IP 不匹配,ARP 攻击的原理,这些统统第一时间报警 查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道哪台机器在发起攻击了 现在有网络管理工具 比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问 也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能 同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关敏感信息,ARP攻击软件,WinArpAttacker ARP攻击器 01/down?cid=FFD08C9FD517C57D9C9F162AC1C35DA8D72CDE1F&t=2&fmt=- ARP机器列表扫描 基于ARP的各种攻击方法 定时IP冲突/IP冲突洪水/禁止上网/禁止与其他机器通讯/监听与网关和其他机器的通讯数据/ARP代理 ARP攻击检测/主机状态检测/本地ARP表变化检测 检测到其他机器的ARP监听攻击后可进行防护，自动恢复正确的ARP表 把ARP数据包保存到文件 可发送手工定制ARP包,ARP 攻击的处理方法,先保证网络正常运行 找到感染ARP 病毒的机器 采取一定的预防措施,先保证网络正常运行,在能上网时，进入MS-DOS窗口，输入命令 arp a 查看网关IP对应的正确MAC地址，将其记录下来 如果已经不能上网，则先运行一次命令arp d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话） 一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp a,先保证网络正常运行,如果已经有网关的正确MAC地址 在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响 手工绑定可在MS-DOS窗口下运行以下命令： arp s 网关IP 网关MAC 例如：假设计算机所处网段的网关为54，本机地址为在计算机上运行arp a后输出如下： C:Documents and Settingsarp a Interface: - 0x2 Internet Address Physical Address Type 54 00-01-02-03-04-05 dynamic,先保证网络正常运行,被攻击后，再用该命令查看 会发现该MAC已经被替换成攻击机器的MAC 如果希望能找出攻击机器，彻底根除攻击 可以在此时将该MAC记录下来, 为以后查找做准备 手工绑定的命令为： arp s 54 00-01-02-03-04-05 绑定完，可再用arp a查看arp缓存 C:Documents and Settingsarp a Interface: - 0x2 Internet Address Physical Address Type 54 00-01-02-03-04-05 static,先保证网络正常运行,需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定 所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决 找出病毒计算机的方法： 如果已有病毒计算机的MAC地址，可使用软件NBTSCAN找出网段内与该MAC地址对应的IP 即病毒计算机的IP地址，然后可报告校网络中心对其进行查封,先保证网络正常运行,1) 编辑个*.bat 文件 echo off arp d arp -s 54 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可 将这个批处理软件拖到“Windows-开始-程序-启动”中,先保证网络正常运行,2) 编辑一个注册表文件，键值如下： Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun “mac”=“arp -s 网关IP 地址网关Mac 地址“ 然后保存成Reg 文件以后在每个客户端上点击导入注册表,找到感染ARP 病毒的机器,在电脑上ping 一下网关的IP 地址 使用ARP a 的命令看得到的网关对应 的MAC 地址是否与实际情况相符 如不符，可去查找与该MAC 地址对应的电脑 使用抓包工具，分析所得到的ARP 数据报 有些ARP 病毒是会把通往网关的路径指向自己 有些是发出虚假ARP 回应包来混淆网络通信 使用mac 地址扫描工具，nbtscan 扫描全网段IP 地址和MAC 地址对应表 有助判断感染ARP 病毒对应MAC 地址和IP 地址,ARP攻击防护软件,ARP防火墙 金山arp防火墙 /download/index.shtml#fhq 360ARP防火墙 /down/soft_down11.html,预防措施,及时升级客户端的操作系统和应用程式补丁 安装和更新杀毒软件 如果网络规模较少，尽量使用手动指定IP 设置，而不是使用DHCP 来分配IP 地址 如果交换机支持，在交换机上绑定MAC 地址与IP 地址,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网病毒入侵,计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染 计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播,局域网病毒的传播方式,(1) 病毒直接从工作站拷贝到服务器中或通过邮件在网内传播 (2) 病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器 (3) 病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中 (4) 如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中,局域网病毒的传播,一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上 对于无盘工作站来说 由于其并非真的“无盘“（它的盘是网络盘） 当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上 因此无盘工作站也是病毒孽生的温床,局域网病毒的新特点,局域网环境下，病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点 (1) 感染速度快 (2) 扩散面广 (3) 传播的形式复杂多样 (4) 难于彻底清除 (5) 破坏性大 (6) 可激发性 (7) 潜在性,局域网病毒的新特点,U盘病毒 Autorun.inf,局域网病毒防范,以“尼姆达“病毒为例 个人用户感染该病毒后，使用单机版杀毒软件即可清除 然而企业的网络中，一台机器一旦感染“尼姆达“，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户,局域网病毒防范,计算机病毒形式及传播途径日趋多样化 大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单 需要建立多层次的、立体的病毒防护体系 而且要具备完善的管理系统来设置和维护对病毒的防护策略,局域网病毒防范,一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的 应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统 分别设置有针对性的防病毒策略 (1) 增加安全意识 (2) 小心邮件 (3) 挑选网络版杀毒软件,局域网病毒防范方法,从网络的源头开始防范 将路由器带的防火墙打开 过滤一些IP地址，屏蔽一些有危险的端口 使用网络版杀毒软件 最好把整个网络分成几个小网 每个小网接一个主机.那几个主机接一个配置比较高的机器做主机 这样既能很好的分层管理网络.又可以在有病毒入侵的时候.对已经感染病毒的机子很好的隔离 定时全网杀毒，及时打补丁,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,Windows入侵端口,默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑 为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有 TCP 135、139、445、593、1025 端口 UDP 135、137、138、445 端口 一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口) 远程服务访问端口3389,快速关闭端口防止入侵,打开系统运行对话框，在其中输入字符串命令“cmd” 然后输入 secpol.msc,快速关闭端口防止入侵,快速关闭端口防止入侵,快速关闭端口防止入侵,快速关闭端口防止入侵,服务器开放端口的设置,如果有路由器或防火墙设备，需要在路由器或防火墙上开放 如果你的服务器直接连接在外网上，并且使用外网IP,服务器开放端口的设置,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网共享资源,局域网共享资源,局域网共享资源,局域网共享资源,局域网共享资源,共享资源安全防范,在Windows服务器系统中，每当服务器启动成功时，系统的C盘、D盘等都会被自动设置成隐藏共享 通过这些默认共享可以让服务器管理维护起来更方便一些 但在享受方便的同时，这些默认共享常常会被一些非法攻击者利用，从而容易给服务器造成安全威胁 如果你不想让服务器轻易遭受到非法攻击的话，就必须及时切断服务器的默认共享“通道”,共享资源安全防范,功能配置法 cmd msconfig 找到其中的“Server”项目，并检查该项目前面是否有勾号存在 重新启动服务器系统时，服务器的C盘、D盘等就不会被自动设置成默认共享了,功能配置法,功能配置法,Windows 2000服务器系统没有系统配置实用程序功能 可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中 以后就可以在该系统的运行对话框中，直接启动系统配置实用程序功能了 如果在启动该功能的过程中，遇到有错误提示窗口弹出时，可以不必理会，不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了,共享资源安全防范,“强行”停止法 是借助Windows服务器的计算机管理功能 对已经存在的默认共享文件夹，“强制”停止共享命令，以便让其共享状态取消 同时确保这些文件夹下次不能被自动设置成共享 cmd compmgmt.msc,“强行”停止法,“强行”停止法,共享资源安全防范,逐一删除法 借助Windows服务器内置的“net share”命令 将已经处于共享状态的默认共享文件夹，一个一个地删除掉（当然这里的删除，仅仅表示删除默认共享文件夹的共享状态，而不是删除默认文件夹中的内容） 该方法有一个致命的缺陷，就是无法实现“一劳永逸”的删除效果 只要服务器系统重新启动一下，默认共享文件夹又会自动生成了,逐一删除法,cmd 在DOS命令行中，输入字符串命令“net share c$ /del”，单击回车键后，服务器中C盘分区的共享状态就被自动删除了 如果服务器中还存在D盘分区、E盘分区的话，你可以按照相同的办法，分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态,逐一删除法,对应IPC$、Admin$之类的默认共享文件夹 也可以执行字符串命令 “net share ipc$ /del” “net share admin$ /del” 将它们的隐藏共享状态取消 这样，非法攻击者就无法通过这些隐藏共享“通道”，来随意攻击Windows服务器了,共享资源安全防范,“自动”删除法 如果服务器中包含的隐藏共享文件夹比较多 依次通过“net share”命令来逐一删除它们，将显得非常麻烦 可以自行创建一个批处理文件，来让服务器一次性删除所有默认共享文件夹的共享状态,“自动”删除法,批处理文件的内容 echo off net share C$ /del net share D$ /del net share ipc$ /del net share admin$ /del ,“自动”删除法,完成上面的代码输入操作后，文件保存为“delshare.bat” 设置好具体的保存路径，完成自动删除默认共享文件夹的批处理文件创建工作 以后需要删除这些默认共享文件夹的共享状态时 只要双击“delshare.bat”批处理文件，服务器系统中的所有默认共享“通道”就能被自动切断,“自动”删除法,服务器重新启动后，所有默认的共享文件夹又会“卷土重来” 通过下面的方法，让服务器启动成功后自动运行“delshare.bat”批处理文件，从而实现自动删除默认共享文件夹的目的,“自动”删除法,cmd gpedit.msc 打开服务器系统的组策略编辑窗口 设置组策略,“自动”删除法,最后重新启动一下服务器系统 服务器系统中的默认共享就能被自动取消了,共享资源安全防范,权限分配法 是借助服务器的组策略来进行用户权利指派 让非法用户无法通过网络访问到服务器中的任何内容 默认共享文件夹就不会成为非法用户入侵服务器的“通道”了 cmd gpedit.msc,权限分配法,权限分配法,共享资源安全防范,系统策略法 对于Window 2000 Server系统的服务器 可借助该系统内置的系统策略编辑功能，来切断默认共享“通道” cmd Poledit 打开服务器系统的策略编辑窗口,系统策略法,单击“文件”菜单项，再从下拉菜单中选中“打开注册表”项目 双击“本地计算机”图标 在出现的计算机策略列表框中，用鼠标逐一展开WindowsNT网络、共享分支 在共享分支下面，检查一下“创建隐藏的驱动器共享（服务器）”选项前面是否有勾号存在 如存在，则表示服务器将会自动把系统的C盘、D盘等设置成隐藏共享,系统策略法,此时可以取消“创建隐藏的驱动器共享（服务器）”的选中状态，并单击“确定”按钮 返回到服务器系统的策略编辑窗口，并依次执行菜单栏中的“文件”/“保存”命令，以便将前面的设置操作保存到系统注册表中 以后服务器系统重新启动时，就不会自动生成默认共享了,系统策略法,共享资源安全防范,共享管理法 借助Windows服务器系统中的rundll32.exe命令 快速打开系统的共享文件夹管理器窗口 在该窗口中可逐一地对每个默认隐藏共享文件夹，进行停止共享或者修改属性等管理操作 cmd Rundll32.exe ntlanui.dll, ShareManage 打开共享目录管理器窗口,共享管理法,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,无线局域网的安全威胁,无线局域网（WLAN）因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用 但由于它传送的数据利用无线电波在空中传播，发射的数据可能到达预期之外的接收设备，因而WLAN存在着网络信息容易被窃取的问题,无线局域网嗅探,在网络上窃取数据就叫嗅探 是利用计算机的网络接口截获网络中数据报文的一种技术 嗅探一般工作在网络的底层 在不易被察觉的情况下将网络传输的全部数据记录下来 捕获账号和口令、专用的或机密的信息 甚至可以用来危害网络邻居的安全 或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等,嗅探的隐蔽性,WLAN中无线信道的开放性给网络嗅探带来了极大的方便 在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性 运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息 它不会跟其它的主机交换信息，也不修改在网络中传输的信息包 使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现,嗅探的隐蔽性,尽管它没有对网络进行主动攻击和破坏的危害明显 但由它造成的损失也是不可估量的 通过分析网络嗅探的原理与本质 才能更有效地防患于未然 增强无线局域网的安全防护能力,网络嗅探的原理,网络嗅探就是从通信中捕获和解析信息 假设主机B想知道登陆服务器C的FTP口令是什么 捕获主机A播发的数据帧 对数据帧进行解析，依次剥离出以太帧头、IP包头、TCP包头等 然后对报头部分和数据部分进行相应的分析处理，从而得到包含在数据帧中的有用信息,嗅探的实现,先设置用于嗅探的计算机，即在嗅探机上装好无线网卡，并把网卡设置为混杂模式 在混杂模式下，网卡能够接收一切通过它的数据包，进而对数据包解析，实现数据窃听 再实现循环抓取数据包，并将抓到的数据包送入下一步的数据解析模块处理 最后进行数据解析，依次提取出以太帧头、IP包头、TCP包头等，然后对各个报头部分和数据部分进行相应的分析处理,嗅探防范策略,加强网络访问控制 网络设置为封闭系统 采用可靠的协议进行加密 一次性口令技术,三、网络攻击与防范技术,局域网环境简介 局域网的安全威胁 局域网监听与防范 局域网ARP攻击与防范 局域网病毒入侵与防范 快速关闭端口防止入侵 局域网共享资源安全防范 无线局域网嗅探与防范 局域网上网的安全防范与技巧,局域网安全问题,西方有句俗语 堡垒常常从内部被攻破 古人教育我们 外敌易躲，家贼难防 人是这样，信息安全亦然 现况：内网安全 不容乐观,内网安全的重点,相对于来自互联网的威胁，重点是数据和信息的安全 这些数据和信息，才是企业真正有价值的资源 数据安全的风险来自于两个方面 数据本身是否安全，也就是说数据是否加密 是否得到授权的人访问了这些数据和信息 从风险的这两个方面来看，数据加密和身份认证是目前适用于内网安全防范的主要技术手段,安全威胁,三个方面 黑客攻击 计算机病毒 拒绝服务攻击 几种网络攻击类型,Data Diddling-未经授权删除档案，更改其资料（15.5%) Scanner-利用工具寻找暗门漏洞(15.8%) Sniffer-监听加密之封包(11.2%) Denial of Service-使其系统瘫痪（16.2%) IP Spoofing-冒充系统内网络的IP地址(12.4%) Other-其他(13.9%),防范黑客的措施,选用安全的口令 据统计，大约80%的安全隐患是由于口令设置不当引起的 用户口令应包含大小写，最好能加上字符串和数字，一起使用以期达到最好的保密效果 用户口令不要太规则,不要用用户姓名、生日和电话号码作为口令。不要用常用单词作为口令 根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标，口令长度设置时应遵循7位或14位的整数倍原则,防范黑客的措施,选用安全的口令 安装某些系统服务功能模块时有内建帐号，应及时修改操作系统内部帐号口令的缺省设置 应及时取消调离或停止工作的雇员的帐号以及无用的帐号 在通过网络验证口令过程中,不得以明文方式传输，以免被监听截取,防范黑客的措施,选用安全的口令 口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的 口令应定期修改，应避免重复使用旧口令，应采用多套口令的命名规则 建立帐号锁定机制，一旦同一帐号密码校验错误若干次即断开连接并锁定该帐号，至一段时间才解锁再次开放使用,防范黑客的措施,实施存取控制 主要是针对网络操作系统的文件系统的存取控制 存取控制是内部网络安全理论的重要方面,包括 人员权限,数据标识,权限控制,控制类型,风险分析等 确保数据的安全 完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段 常用数字签名和数据加密算法来保证等 请参照几个加密站点 RSA加密专利公司: 等,防范黑客的措施,使用安全的服务器系统 没有一种网络操作系统是绝对安全的 UNIX经过几十年来的发展已相对成熟，以其稳定性和安全性成为关键性应用的首选 谨慎开放缺乏安全保障的应用和端口 很多黑客攻击程序是针对特定服务和特定服务端口的，所以关闭 不必要的服务和服务端口，能大大降低遭受黑客攻击的风险,防范黑客的措施,关闭端口 NT SERVER 将缺省的NWLink IPX/SPX传输协议去掉 在TCP/IP协议属性里，启用安全机制 如果没有特别需求（如ICQ,Real数据流传输等）可将所有UDP端口关闭 具体方法：控制面板协议TCP/IP协议属性高级启用安全机制配置,防范黑客的措施,关闭端口 UNIX 最好关闭UNIX的rServices,如rlogin,rfingerd等 用户不提供r Services,最好将/etc/hosts.equiv和rhosts文件删除 修改/etc/services和/etc/inetd.conf文件，将不必要的服务去除,防范黑客的措施,定期分析系统日志 日志文件不仅在调查网络入侵时十分重要的，它们也是用少的代价来阻止攻击的办法之一 比较有用的日志文件分析工具 NestWatch 能从所有主web服务器和许多防火墙中导入日志文件 运行在Windows NT 机器上，能够以HTML格式输出报告，并将它们分发到选定的服务器上。（URL：/nestwatch.html）,防范黑客的措施,比较有用的日志文件分析工具 LogSurfer 一个综合日志分析工具 根据它发现的内容，它能执行各种动作，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理 ftp:/ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz要求 有C编译器,防范黑客的措施,不断完善服务器系统的安全性能 无论是UNIX还是Windows的操作系统都存在安全漏洞，他们的站点会不定期发布系统补丁 系统管理员应定期下载补丁，及时堵住系统漏洞。(微软/) 排除人为因素 再完善的安全体制,没有足够的安全意识和技术人员经常维护,安全性将大打折扣 要制定一整套完整的网络安全管理操作规范,防范黑客的措施,进行动态站点监控 利用网络管理软件对整个局域网进行监控，发现问题及时防范 扫描、攻击自己的站点 网络上有许多扫描软件（例如satan），适用于各种平台，它们是把双刃剑 在网络管理员手里可以成为简化安审计工作的利器，在cracker手里却可成为网络攻击工具 请第三方评估机构或专家来完成安全评估 一般能较系统地检查局域网的各项安全指标,但花费较贵,防范黑客的措施,谨慎利用共享软件 不应随意下载使用共享软件，有些程序员为了调测软件的方便都设有后门，这往往成为最好的攻击后门 做好数据的备份工作 这是非常关键的一个步骤,有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统,防范黑客的措施,使用防火墙 防火墙是防止从网络外部访问本地网络的所有设备，它们防止外部攻击提供了重要的安全保障 但防火墙只是所有安全体系结构中的一个部件，故不能完全依耐防火墙 防火墙分为网络级防火墙和应用网关防火墙,防范黑客的措施,网络级防火墙 一般是具有很强报文过滤能力的路由器 可以改变参数来允许或拒绝外部环境对站点的访问 但对欺骗性攻击的防护很脆弱 应用代理防火墙（应用网关） 优势是它们能阻止IP报文无限制地进入网络 缺点是它们的开销比较大且影响内部网络的工作 代理必须为一个网络应用进行配置，包括HTTP、FTP、TELNET、电子邮件、新闻组等,一个有趣的技巧防范局域网攻击,几乎大部分局域网的攻击是基于一个叫WinPcap的网络底层程序 这个程序除了监控网络以外几乎没什么作用，所以只要禁止安装winpcap就可以瓦解局域网的攻击 winpcap安装后会在系统里面生成许多文件，包括system32里面的packet.dll 在system32下建立一个名为packet.dll文件夹，就可以有效的迫使wincpcap无法安装 不安装winpcap将会使得许多基于winpcap的网络监控软件无法运行,对电脑硬盘进行加密保护,可以降低信息被非授权者利用的风险 采用业界公认的加密算法（例如AES 256位长度密钥），对硬盘进行高强度保护 目前的这种保护强度，不会被攻破 在没有经过授权的情况下，硬盘会处于加密保护状态，即使将其连接到其他系统中也无法读取或存储硬盘数据，唯一处理的方式就是将硬盘格式化 采用加密技术硬盘上的所有数据被保护起来，大大降低了机密数据泄露的风险,组策略设置,cmd gpedit.msc 打开服务器系统的组策略编辑窗口 设置组策略 关闭自动播放 不要运行指定的Windows应用程序 ,组策略设置,组策略设置,四、Windows系统安全加固,使用Windows update安装最新补丁； 使用WSUS(Windows Server Update Services)建立一个内部Update服务器 更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全； 停止不需要开放的服务； 限制特定执行文件的权限； 设置主机审核策略； 调整事件日志的大小、覆盖策略； 禁止匿名用户连接； 删除主机管理共享； 限制Guest用户权限； 安装防病毒软件、及时更新病毒代码库； 安装个人防火墙。,四、Windows系统安全加固,使用Windows update安装最新补丁； 使用WSUS(Windows Server Update Services)建立一个内部Update服务器 让内网中的计算机直接到这台Update服务器上下载补丁，以缩短用户打补丁的时间，及时提高计算机和网络的安全性。没有连接Internet的计算机只要在内网中能顺利访问Update服务器，也可实现随时打补丁，有效地防止漏洞型病毒在内网传播。,四、Windows系统安全加固,软件全称:Windows Server Update Service