企业网安全高级技术.ppt

1 企业网安全高级技术 郭伟信息安全国家重点实验室 Email Web ISP门户网站 复杂程度 时间 网络变得越来越重要 网络安全的定义 网络安全从其本质上来讲就是网络上的信息安全 从广义来说 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论 都是网络安全所要研究的领域 网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续 可靠 正常地运行 网络服务不中断 我们的课程定位 安全技术和安全管理贯穿网络信息系统各个领域和整个生命周期的全过程 技术不是万能的 信息安全 三分技术 七分管理 含标准 而管理是灵魂 简单地说 安全管理就是花合理的钱使这些事情不会发生 信息化与国家安全 信息战 谁掌握了信息 控制了网络 谁将拥有整个世界 美国著名未来学家阿尔温托尔勒 今后的时代 控制世界的国家将不是靠军事 而是信息能力走在前面的国家 美国前总统克林顿 信息时代的出现 将从根本上改变战争的进行方式 美国前陆军参谋长沙利文上将 美国成立了直属总统的关键基础设施保护委员会负责保护美国的信息安全 俄罗斯则把信息安全提到国家战略的高度予以重视 日本政府成立了 信息安全省厅局长协调会议 发达国家的信息安全策略 一 安全威胁 2003年1月25日 互联网上出现一种新型高危蠕虫病毒 2003蠕虫王 全球25万台计算机遭袭击 全世界范围内损失额最高可达12亿美元 美欲用电脑赢战争 网络特种兵走入无硝烟战场 过去几天来 数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件 正当美国士兵被大量派往海湾之时 美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕 整体安全防范技术水平低下 信息安全法制建设不健全 依法管理力度不够 正在从通讯安全 计算机数据保密向信息安全转变 我国信息安全问题变得日益严峻 我国信息安全现状 1 1 1当前网络面临的主要安全威胁 1 1 1当前网络面临的主要安全威胁 1 网络安全对于生活的重要性 公司对网站的稳定性要求很高 服务器平均一年的宕机时间不能超过一天 为什么 1 影响公司的营业额我们公司大约每天的销售额在6万美金左右 2 影响公司及网站的信誉3 丢失客户的个人信息容易引起法律纠纷服务器7X24小时运转磁盘一般是RAID0或者RAID5出了问题一般是没有重做系统的这一说 基本上都是通过排错 迅速解决问题 企业对从业人员的技术水平要求是很高的 专业全面 2 网络安全对于企业的重要性 第一次 1997 印尼金融危机 排华反华第二次 1999 05 北约轰炸我驻南使馆第三次 1999 07 李提 两国论 第四次 2000 02 日本右翼事件 教科书第五次 2001 2 日航歧视华人事件第六次 2001 5 美机撞毁王伟战机并入侵我领空 3 网络安全对于国家政治的重要性 2001年中美黑客大战 事件背景和经过4 1撞机事件为导火线4月初 以PoizonB0 x pr0phet为代表的美国黑客组织对国内站点进行攻击 约300个左右的站点页面被修改4月下旬 国内红 黑 客组织或个人 开始对美国网站进行小规模的攻击行动 4月26日有人发表了 五一卫国网战 战前声明 宣布将在5月1日至8日 对美国网站进行大规模的攻击行动 各方都得到第三方支援各大媒体纷纷报道 评论 中旬结束大战 PoizonB0 x pr0phet更改的网页 中经网数据有限公司 中国科学院心理研究所 国内某政府网站 国内某大型商业网站 国内黑客组织更改的网站页面 美国劳工部网站 美国某节点网站 美国某大型商业网站 美国某政府网站 1 1 1当前网络面临的主要安全威胁 通过对网络的全面了解 按照安全策略的要求及风险分析的结果 整个INTERNET网络措施应按系统体系建立 具体的安全控制系统的几个方面 物理安全 网络安全 信息安全 安全管理 Internet安全体系结构 一 物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提 主要包括三个方面 环境安全 设备安全 媒体安全 Internet安全体系结构 二 网络安全 防火墙功能过滤进 出网络的数据 管理进 出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击的检测和告警 Internet安全体系结构 防火墙的局限性 防火墙不能防止通向站点的后门 防火墙一般不提供对内部的保护 防火墙无法防范数据驱动型的攻击 防火墙本身的防攻击能力不够 容易成为被攻击的首要目标 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略 网络安全 网络安全检测网络安全检测工具通常是一个网络安全性评估分析软件 其功能是用实践性的方法扫描分析网络系统 检查报告系统存在的弱点和漏洞 建议补救措施和安全策略 达到增强网络安全性的目的 Internet安全体系结构 网络安全 审计与监控审计是记录用户使用计算机网络系统进行所有活动的过程 它是提高安全性的重要工具 能够更迅速和系统地识别问题 并且它是后面阶段事故处理的重要依据 Internet安全体系结构 网络安全 网络反病毒计算机病毒的防范是网络安全性建设中重要的一环 包括三种技术 预防病毒技术 检测病毒技术 分析病毒技术 Internet安全体系结构 网络安全 网络备份系统目的 尽可能快地全盘恢复运行计算机系统所需的数据和系统信息 备份机制有 场地内高速度 大容量数据的自动存储 备份与恢复 场地外的数据存储 备份与恢复 对系统设备的备份 Internet安全体系结构 安全管理除完善系统的安全保密措施外 还必须花大力气加强网络的安全管理 安全管理主要基于三个原则 多人负责原则 任期有限原则 职责分离原则 Internet安全体系结构 PDRR安全模型 保护 检测 恢复 响应 信息保障 采用一切手段 主要指静态防护手段 保护信息系统的五大特性 及时恢复系统 使其尽快正常对外提供服务 是降低网络攻击造成损失的有效途径 对危及网络安全的事件和行为做出反应 阻止对信息系统的进一步破坏并使损失降到最低 检测本地网络的安全漏洞和存在的非法信息流 从而有效阻止网络攻击 1 1 2信息 网络 安全的内涵 PDRR模型此模型的诞生 标志着信息安全保障时代的到来 黑客攻击网络的难易程度 黑客工具的复杂性 包伪造 欺骗 1990 1980 密码猜测 自我复制代码 密码破解 利用已知的弱点 禁用审核 后门 Sniffers 高 低 2000 DDOS 互联网蠕虫病毒 攻击手段 95 50 45 00 5 00 4 50 4 00 3 50 1 50 1 00 0 00 0 00 10 00 20 00 30 00 40 00 50 00 60 00 70 00 80 00 90 00 100 00 1 国内安全产品使用 安全管理技术 网络信息安全的关键技术 安全集成技术 1 1 3案例分析 MS纵深防御模型 玩笑开大了病毒让法国空军战斗机变烧鸡 疏于管理 据IDGnewsservice的报道 法国海军已因网络内蠕虫传播而被迫切断网络 阻止蠕虫在内部网络内中肆虐 海军发言人JeromeErulin告诉法国报纸Ouest France时说 网络内的Web与电邮系统已经中断 一些用户已不得不使用电话 传真 或邮政系统等更加传统的通讯方式 报道指出本次蠕虫的感染 很可能是有人在工作时使用带病毒的USB驱动器而导致蠕虫传播进入网络 Conficker蠕虫的一个重要传播途径就是通过闪盘和数码相机等外置存储介质传播 该蠕虫同时还善于通过本地网络广为传播 但通常通过使用防火墙 可以阻止其在各网络间穿行 从而抑制其广泛肆虐虽然不是很清楚法国空军最近在忙什么 但在刚刚过去的几个星期里 法国空军的战斗机都未能正常起飞 因为尽管微软一再警告问题的严重性 军队都没有采取有效措施来控制Conflicker病毒的蔓延 据某知情人士透露 法国空军的 飓风 战斗机因感染Conflicker病毒而导致武器系统瘫痪 同时 军队内部的网络也存在严重的安全问题 法国当地媒体报道 该病毒的危害蔓延到了整个法国海军内部计算机网络 海军战机因无法 下载飞行指令 上月15日和16日停飞 如果这是战争时期 估计敌人几发炮弹 这些战斗机全都得变成烤鸡 不过法国海军发言人埃吕兰称 病毒影响交换信息 但没有信息丢失 他表示海军已切断了所有能够传播病毒的链接 目前99 的网络是安全的 1 2 8用户意识与社会工程攻击 网络钓鱼国内四大商业银行无一幸免 网络钓鱼 phishing 钓鱼 式攻击依然肆虐 僵尸网络 Botnet 僵尸网络是指由 肉鸡 组成的部队 黑客集中控制僵尸网络 每天有一万台肉鸡加入 制作金融卡盗取客户的存款 著名的郑金龙利用职务之便 盗取金融卡的资料 并自己制作金融卡偷取客户的存款 这个问题的根本不单是个人遵守的问题 而在于并未确实执行文件存取的规范 让程序设计师有权限阅读到他不该看的资料 法律法规1 中华人民共和国计算机信息系统安全保护条例 1994年2月国务院147号令 2 中华人民共和国计算机信息网络国际联网管理暂行规定 1996年2月国务院第195号令 3 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 1997年12月国务院信息化工作领导小组 4 计算机信息网络国际联网安全保护办法 1997年12月公安部发布 5 关于对中涉及的 有害数据 问题的批复 公安部1996年 6 山东省计算机信息系统安全保护管理办法 1998年6月 7 互联网上网服务营业场所管理办法 2001年4月信息部 公安部 文化部 国家工商局 8 青岛市政府 市公安局有关法规文件规定 黑客介绍 JohnDraper外号 嘎吱上尉 第一个尝试 黑 的人 1970年利用玩具哨子免费打电话 1983年 KevinPoulsen高中时入侵Arpanet Internet前身 1990年 他失手了 他因想获得奖品 一辆跑车 入侵电话控制系统以确保自己获奖而被捕 警方抓到他时 问 一个好消息 一个坏消息 你先听哪个 1984年 第一本黑客杂志出版 2006 黑客季刊 1986年 最早的病毒pakistanibrain第一次感染IBM计算机 1987年 17岁的学生赫尔伯特 齐恩因在某电子公告栏中吹嘘攻击了某政府网络 成为第一个被捕的黑客 1988年 23岁的大学生RobertMorris开发了第一个通过互联网传播的病毒 也成为了蠕虫病毒的雏形 因其才华出众 最终被美检查院判罚3年缓刑 400小时义工和1万美元罚款 1988年 号称地狱黑客的Kevinmitnick 成为第一个成功入侵大型公司而被捕的职业黑客 警方称其只要拥有键盘就会对社会造成危害 1995年 出狱后的他又因入侵诺基亚 富士通 摩托罗拉等跨国集团网络 窃取信息被捕 警方被迫规定其 2003年以前不得使用电脑 1995年 俄罗斯黑客VladimirLevin成为第一个侵入 号称最安全的某银行网络 窃取了大量资金 因此他也成为电影 偷天换日 的原型 1997年 中国最老牌黑客组织 绿色兵团 成立 1998年 黑客有组织的攻击了美国白宫的政府网络 美某军事卫星曾一度被黑客控制 因此美国家安全局震动 FBI实施了为期一年的全球抓捕行动 1999年 黑客组织 死牛崇拜 成员Dildog开发并传播了当时为名显赫的木马BO2K 开启了木马和病毒技术的新篇章 1999年 梅利莎病毒的制造者DavidSmith 成为了第一个成功转型的黑客 他与FBI合作从事网络安全防控 成为了不少黑客的头号对手 Linux之父 LinusTorvalds 微软的噩梦 Unix之父 丹尼斯 利奇 C语言的缔造者 肯 汤普生 自由软件之父 查理德 斯托曼蠕虫的制造者 莫里斯 中国著名黑客小榕 流光的作者 其作品还有乱刀 溺雪 SQL注入工具等Flashsky安全焦点核心成员 Windows编程高手 对缓冲区溢出攻击深有研究 Lion中国红客联盟站长 2001年中美黑客大战 一战成名 Glacer安全焦点核心成员 冰河与X scan作者 Eagle中国鹰派的站长 对Linux颇有研究 Warning3Unix和Linux国内数一数二的高手 Zzzzevazzz幻旅的核心成员 经常出书 如 深入挖掘windows脚本技术 Pjf大名鼎鼎的Icesword的作者 其对Windows系统内核非常有研究 OSI七层安全体系 应用层 表示层 会话层 传输层 数据链路层 物理层 应用层 表示层 会话层 传输层 数据链路层 物理层 网络层 网络层 数据链路层 物理层 网络设计上的问题 先天不足 一 网络设计上的问题 先天不足Arpanet在设计之初是一个专用的 可信的私有网络 TCP IP协议族在设计之初就没有考虑安全性的问题 是造成今天IP网络安全问题的主要根源 TCP IP协议族在设计上的缺陷主要表现在以下几个方面 1 IP协议没有为通信提供良好的数据源认证机制2 多数协议没有为数据提供强的完整性认证3 多数协议没有为数据提供任何形式的机密性保护协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞 网络设计 方案 是一种折中 平衡 Max Min Max 理解安全理念 这也是一种平衡 信息安全的任务机密性 confidentiality 完整性 integrity 抗否认性 non repudiation 可用性 availability 可控性 controllability 对信息的传播及内容具有控制能力 通俗的安全 安全远程管理 Internet 管理员 黑客 如何实现安全管理呢 采用一次性口令认证来实现安全管理 用户名 口令 用户名 口令 数据机密性保护 拨号服务器 PSTN 内部工作子网 下属机构 DDN FRX 25专线 密文传输 明文传输 明文传输 数据完整性保护 内部工作子网 下属机构 DDN FRX 25专线 原始数据包 对原始数据包进行Hash Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较 验证数据的完整性 数据源身份验证 内部工作子网 下属机构 DDN FRX 25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 DSS 解密 相等吗 验证通过 网络系统安全理念 安全不是纯粹的技术问题 是一项复杂的系统工程安全是策略 技术与管理的综合 安全 七分管理 三分技术 什么是网络攻击 网络攻击 网络攻击者利用目前网络通信协议 如TCP IP协议 自身存在的或因配置不当而产生的安全漏洞 用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等 通过使用网络命令 从Internet上下载的专用软件或者攻击者自己编写的软件 非法进入本地或远程用户主机系统 非法获得 修改 删除用户系统的信息以及在用户系统上添加垃圾 色情或者有害信息 如特洛伊木马 等一系列过程的总称 常见的网络攻击手段 阻塞类攻击控制类攻击探测类攻击欺骗类攻击漏洞类攻击破坏类攻击注意 在一次网络攻击中 并非只使用上述六种攻击手段中的某一种 而是多种攻击手段相综合 取长补短 发挥各自不同的作用 阻塞类攻击 1 2 阻塞类攻击企图通过强制占有信道资源 网络连接资源 存储空间资源 使服务器崩溃或资源耗尽无法对外继续提供服务 拒绝服务攻击 DoS DenialofService 是典型的阻塞类攻击 它是一类个人或多人利用Internet协议组的某些工具 拒绝合法用户对目标系统 如服务器 和信息的合法访问的攻击 常见的方法 TCPSYN洪泛攻击 Land攻击 Smurf攻击 电子邮件炸弹等多种方式 拒绝服务攻击示意图 SYNFlood原理 正常的三次握手建立通讯的过程 SYNFlood原理 连接耗尽 阻塞类攻击 2 2 DoS攻击的后果 使目标系统死机 使端口处于停顿状态 在计算机屏幕上发出杂乱信息 改变文件名称 删除关键的程序文件 扭曲系统的资源状态 使系统的处理速度降低 控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击 最常见的三种 口令攻击 特洛伊木马 缓冲区溢出攻击 口令截获与破解仍然是最有效的口令攻击手段 进一步的发展应该是研制功能更强的口令破解程序 木马技术目前着重研究更新的隐藏技术和秘密信道技术 缓冲区溢出是一种常用的攻击技术 早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击 现在研究制造缓冲区溢出 探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息 为下一步入侵提供帮助 主要包括 扫描技术 体系结构刺探 系统信息服务收集等 目前正在发展更先进的网络无踪迹信息探测技术 网络安全扫描技术 网络安全防御中的一项重要技术 其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查 它既可用于对本地网络进行安全增强 也可被网络攻击者用来进行网络攻击 欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击 前一种通过冒充合法网络主机骗取敏感信息 后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击 主要包括 ARP缓存虚构 DNS高速缓存污染 伪造电子邮件等 漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击 伴随新发现的漏洞 攻击手段不断翻新 防不胜防 漏洞 Hole 系统硬件或者软件存在某种形式的安全方面的脆弱性 这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限 要找到某种平台或者某类安全漏洞也是比较简单的 在Internet上的许多站点 不论是公开的还是秘密的 都提供漏洞的归档和索引等 软件漏洞 每周平均发现的新漏洞数 破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击 包括计算机病毒 逻辑炸弹等攻击手段 逻辑炸弹与计算机病毒的主要区别 逻辑炸弹没有感染能力 它不会自动传播到其他软件内 注意 由于我国使用的大多数系统都是国外进口的 其中是否存在逻辑炸弹 应该保持一定的警惕 对于机要部门中的计算机系统 应该以使用自己开发的软件为主 社会工程学攻击 社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学 研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体 因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息 举个例子 一组高中学生曾经想要进入一个当地的公司的计算机网络 他们拟定了一个表格 调查看上去显得是无害的个人信息 例如所有秘书和行政人员和他们的配偶 孩子的名字 这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分 利用这份表格这些学生能够快速的进入系统 因为网络上的大多数人是使用宠物和他们配偶名字作为密码 社会工程学攻击 目前社会工程学攻击主要包括两种方式 打电话请求密码和伪造Email1 打电话请求密码尽管不像前面讨论的策略那样聪明 打电话寻问密码也经常奏效 在社会工程中那些黑客冒充失去密码的合法雇员 经常通过这种简单的方法重新获得密码 2 伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息 这样的Email消息是真的 因为它发自于一个合法的用户 在这种情形下这些信息显得是绝对的真实 黑客可以伪造这些 一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息 黑客就能实施他们的恶意阴谋 1 2 3系统实现上的问题 层出不穷 TCSEC TRUSTEDCOMPUTERSYSTEMEVALUATIONCRITERIA 可信计算机系统评价标准 1983年 美国国防部颁布的历史上第一个计算机安全评价标准 简称TCSEC 又称橙皮书 书皮为橙色 1985年 美国国防部对TCSEC进行了修订 此标准基于保密性原则 主要为军队设计 太严格而不适合商用 TCSEC按安全功能和安全保证共分四个等级 A B C D 八个级别 DC1C2B1B2B3A1A1 D 最小保护等级不符合其它等级的评估要求 如 DOS C 自主访问等级C1和C2 C2即可满足一般商业应用 如WindowsNTSP6 Solaris A为最高等级 要求严格的数学证明 1 2 3系统实现上的问题 层出不穷 CC CommonCriteriaforInformationTechnologySecurityEvaluation 信息技术安全评价共同准则 简称CC 或共同准则 由美 加 英 法 德 荷等国家联合推出 并于1999年7月通过国际标准化组织认可 确立为信息安全评价国际标准 此后 美国不再受理以TCSEC为尺度的评价申请 所有的安全评价都按照CC进行 CC共分七个级别 EAL1至EAL7 安全标准依次增高 当前 EAL4的级别足以满足一般的商业应用要求 如WindowsServer2003SP1 WinowsXPSP2NovellSUSELINUXEnterpriseServer9 SLES9 都满足EAL4 的认证级