网络安全和防火墙 第1部分 安全的概念、安全标准和安全组织.ppt

CIW网络安全认证体系 网络安全基础与防火墙 第一单元 什么是安全 学习目标 理解有关安全的定义理解网络安全的必要性识别需要保护的资源识别常见的安全威胁类型了解如何建立有效的安全矩阵 安全的定义 随着计算机网络的发展 保护网络安全也变得更加复杂 对于网络来说 可以定义安全为一个持续的过程 目的是提高识别和消除不安全因素的能力 谷歌扫描器 GoolagScanner 免费下载威胁互联网安全 Google又惹麻烦了 知名的计算机黑客组织CultoftheDeadCow 以下简称CDC 周五表示 该组织计划提供一个软件工具 利用该软件工具 人们可以通过谷歌对其它网站进行扫描 寻找这些网站的安全漏洞 CDC组织称 这个软件工具名为 谷歌扫描器 GoolagScanner 它是一名黑客的杰作 这名黑客使用的名字是 JohnnyIHackStuff 该软件工具可以在其网站上免费下载 想不到吧 用GOOGLE可以进入别人的监视系统哦 打开GOOGLE网站 在地址栏里输入 inurl ViewerFrame Mode 的关键字就会找到2060网络监控摄像头的网址 将近有1 3可以进入观看摄像头拍到的画面 打开时会提示你安装个松下网络摄像头监控插件 装好后就能看了 大部分是国外的 国内的我还没看到 有的画面蛮流畅的 有的是定时更新画面 2007年网络安全热点回顾 熊猫烧香 病毒作者已被逮捕 01月 2006年底 熊猫烧香 开始在我国互联网上肆虐 这是国内制作计算机病毒的第一案 公安部十一局和湖北省公安厅副厅长黄洪对此高度重视 要求湖北网监部门不惜一切代价 拿下此案 熊猫烧香案宣判主犯李俊被判四年 互联网遭受五年以来最大规模黑客袭击 02月 北京时间2月7日消息据国外媒体报道 黑客在周二至少已经控制了管理全球互联网流量的13台根服务器中的3台 这是继2002年以来 互联网根服务器遭到的最严重黑客袭击 有专家称这起非同一般的攻击事件持续了12个小时后 感染了大量无防备的电脑用户 全世界的电脑专家正忙于应付有渗透入网络致命通道危险的大量数据 取代美国中国成 恶意软件 头号基地 04月 赛门铁克指出 现今的全球网络攻击有33 来自美国 恶意网络活动也有31 均居全球之首 而第二位的中国只有10 德国为7 同时全球受木马感染和控制的计算机中有26 位于中国 温柔地 杀 死你诺顿误杀事件专题报道 05月 5月18日 诺顿杀毒软件升级病毒库后 会把WindowsXP系统的关键系统文件当作病毒清除 重启后系统将会瘫痪 安装了诺顿MS06 070补丁的XP系统 如果将诺顿升级最新病毒库 则诺顿杀毒软件会把系统文件netapi32 dll lsasrv dll隔离清除 从而造成系统崩溃 北京警方破获首例DDoS黑客攻击案 组图 07月 今年5月 市公安局网监处接到了网络游戏运营商联众公司的报案 该公司托管在北京 上海 石家庄的多台服务器遭受到200万个不同程度的大流量DDOS拒绝服务攻击包 长达近一个月 公司经济损失达数百万元 由于该公司电脑服务器瘫痪 玩家无法登录网站玩网络游戏 公司工程师曾经试图修改被攻击服务器的IP地址以躲避攻击 但5分钟后攻击随即转向更改IP后的服务器 民警勘察发现这些攻击包 IP来源是伪造的218XXX和219XXX段 黑客入侵中国游戏中心系统盗22亿游戏币 08月 利用木马病毒 3名网络黑客非法侵入了中国游戏中心系统 在3天时间内陆续将22亿个游戏金币转入自己控制的游戏账号中 随后将游戏金币以低价出售 共获利人民币14万元 中国女解码高手十年破译五部顶级密码 09月 MD5密码算法 运算量达到2的80次方 即使采用现在最快的巨型计算机 也要运算100万年以上才能破解 但王小云和她的研究小组用普通的个人电脑 几分钟内就可以找到有效结果 SHA 1密码算法 由美国专门制定密码算法的标准机构 美国国家标准技术研究院与美国国家安全局设计 早在1994年就被推荐给美国政府和金融系统采用 是美国政府目前应用最广泛的密码算法 2005年初 王小云和她的研究小组宣布 成功破解SHA 1 崩溃 密码学的危机 美国 新科学家 杂志用这样富有惊耸的标题概括王小云里程碑式的成就 因为王小云的出现 美国国家标准与技术研究院宣布 美国政府5年内将不再使用SHA 1 取而代之的是更为先进的新算法 微软 Sun和Atmel等知名公司也纷纷发表各自的应对之策 Google大清洗4万恶意网站被删除 11月 Google于近日清洗了搜索结果中几万个含有恶意软件及代码的网站 这些网站将不再出现在搜索结果中 MSN蠕虫病毒借助 圣诞照片传播 12月 12月18日下午 瑞星全球反病毒监测网截获一个通过MSN快速传播的蠕虫病毒 并命名为 MSN圣诞照片 Backdoor Win32 PBot a 该病毒会大量散发 MyChristmaspictureforyou 等诱惑性消息 中毒机器会向MSN上的所有好友发送名为 photo2007 12 zip 的病毒压缩包 用户运行后就会被感染 MSN病毒截图 病毒的产业链 病毒在进行着一次可怕的演变 它们不再安于破坏你的系统 销毁你的数据 它们更喜欢你的财产 关注你的隐私 2007年上半年仅瑞星一家公司就截获新病毒133717个 其中木马病毒83119个 后门病毒31204个 两者之和超过11万 相当于2006年同期截获的新病毒总和 这两类病毒都以侵入用户电脑 窃取个人资料 银行账号等信息为目的 带有直接的经济利益特征 从统计数据看来 今年上半年的病毒数量比去年同期增加11 9 白热化产品时代 2008年的安全产品竞争将彻底进入白热化阶段 在2007年各厂商打出的免费牌已经让人闻到了硝烟的味道 CA 中国 的淡出更是体现了竞争的激烈程度 2008将是创新的一年 所有的安全厂商不再安于换个版本就上市的简单模式 他们将会用更新的技术 更贴心的服务来最大限度吸纳客户 战国的时代 必然需要和平的使者 主动防御和免费将成为2008年安全产品的关键词 产品的网络化也是大势所趋 如今网民更需要的是一种服务 他们不再满足于一套产品的简单使用 也不会像以前一样做产品的簇拥者 消费观念也随之理性 恶意软件的转型 2008年恶意软件在行为上将有所改观 但在技术手段上会更加 高明 2007年恶意软件在国内的声音越来越小 但据卡巴斯基的调查显示 中国仍然是恶意软件最多的国家 已经占到全球恶意软件总数的三成 Vista的安全模式 2007年 WindowsVista并没有替代WindowsXP成为操作系统的继任者 2008年这一情况将有所改观 随着ServicePack1forWindowsVista的发布也会使更多的用户使用Vista 专业黑客攻击者和恶意软件开发者将会发现此操作系统对他们业务所产生的不利影响 并将探索新的方法以攻克这一难题 Web2 0的威胁论 以博客 论坛为首的Web2 0产品将受到新的安全挑战 在2008年将成为病毒和网络钓鱼的主要攻击目标 2007年 许多全球性的社交网站都遭受到不同程度的攻击 其中包括S和M两大网站 网络罪犯利用从LinkedIn等网站窃取的个人信息发动了数次目标精确的攻击 攻击者通过利用用户共享的个人信息 从而使自己的攻击看起来更加真实可信 有效的安全矩阵 一个合理有效的安全矩阵应该具有如下特点 允许访问控制容易使用合理的花费灵活性和伸缩性优秀的警报和报告 安全投资回报 安全投资作为一种特殊投资形式 其目的是降低信息安全风险 投资回报主要来自于风险损失的降低 保护什么 划分需要保护的资源 可以将资产划分为4个资源组 终端用户资源网络资源服务器资源信息存储资源 终端用户资源 许多损害是来自于公司内部 用户操作失误或是缺乏安全意识往往会带来严重的安全问题 网络资源 作为公司主要的通信媒介 网络联系着公司的各方面 若黑客侵入了网络 则黑客也可能随意地访问到各种资源 甚至进行各种极具危害的操作 服务器资源 用于存储重要资料或是负责安全管理的服务器是最吸引黑客攻击的 而服务器遭受攻击造成的损失往往也是最大的 信息存储资源 发现信息并获得信息可以认为是黑客行为的最终目的 黑客通过各种手段侵入网络 也是为了通过网络来得到他们所要的信息 各种资源易受的攻击 潜在的威胁 信息泄密信息被篡改传输非法信息流网络资源的错误使用非法使用网络资源计算机病毒 网络中存在的不安全因素 自然灾害 水灾 火灾 地震等人为灾害 战争 纵火 盗窃设备等系统物理故障 硬件故障 软件故障 网络故障等人为的无意失误 程序设计错误 误操作 无意中损坏和无意中泄密等人为的恶意攻击 主动攻击 被动攻击 存在百分之百的安全吗 尽管不可能实现绝对安全 但是仍可以达到某种水平 使得几乎所有最熟练的和最坚定的黑客也不能登录到系统 一个有效的安全策略能够使不安全因素最小化 安全就是在动态环境中寻求平衡的过程 在安全实施的过程中 安全人员所要做的工作就是在易用性和安全性之间寻求平衡 赋予用户能完成所有工作的最小权限 以使安全最大化 网络安全的目标 身份真实性 能对通讯实体身份的真实性进行鉴别 信息机密性 保证机密信息不会泄露给非授权的人或实体 信息完整性 保证数据的一致性 防止数据被非授权用户或实体建立 修改和破坏 服务可用性 保证合法用户对信息和资源的使用不会被不正当地拒绝 不可否认性 建立有效的责任机制 防止实体否认其行为 系统可控性 能够控制使用资源的人或实体的使用方式 系统易用性 在满足安全要求的条件下 系统应当操作简单 维护方便 可审查性 对出现的网络安全问题提供调查的依据和手段 第二单元 安全标准及组织概况 学习目标 了解安全标准的意义ISO17799 ISO27001的主要内容了解公共准则熟悉主要的网络安全组织 国际标准化组织 国际标准化组织 简称ISO 是一个全球性的非政府组织 是国际标准化领域中一个十分重要的组织 其任务是促进全球范围内的标准化及其有关活动 ISO定义的安全服务 认证 提供身份验证的过程 访问控制 访问控制确定用户能做些什么 数据保密性 保护数据不被未授权的暴露 数据完整性 通过检查或维护信息的一致性来防止主动的威胁 不可否定性 是防止参与交易的全部或部分的抵赖 不可否定性可以防止来自源端的欺骗 安全机制 安全机制是一种技术 一些软件或实施一个或多个安全服务的过程 特殊安全机制 加密数字签名机制访问控制数据完整性身份验证流量填充 普通的机制 信任功能安全标签审核跟踪安全恢复 ISO17799 BS7799 1 1999被ISO委员会评审 讨论通过 成为信息安全领域的国际标准ISO IEC17799 2000 于2005年6月15日发布了ISO IEC17799 2005版 全称为信息技术 安全技术 信息安全管理实践规范 1995 1998 1999 04 2000 12 2002 2005 6 2005 10 BS7799 2 1998信息安全管理体系规范 BS7799 1999BS7799的两个部分进行合并 ISO IEC17799 2000信息技术 信息安全管理实施规则 BS7799 2 2002安全管理体系规范与使用指南 ISO IEC17799 2005信息安全管理体系实施规则 ISO IEC27001 2005信息技术 安全技术 信息安全管理体系要求 BS7799 1 1995信息安全管理实施规则 ISO17799标准的内容 信息安全方针组织安全资产的分类与控制人员安全物理与环境安全通信和运作方式管理访问控制系统开发与维护信息安全事件管理业务持续性管理符合法律 ISO17799标准的作用 ISO IEC17799不是技术性的信息安全操作手册 它讨论的主题很广泛 但对每一项内容的讨论都没有深入下去 也没有提供足够的信息以帮助组织建立信息安全管理体系 还不能满足认证的要求 但是 作为对各类信息安全主题的高级别概述 它有助于人们在管理中理解每一类信息安全主题的基础性问题 ISO27001 BS7799 2 2002 经修订后 于2005年10月15日作为国际标准ISO IEC27001 2005发布 它规定了建立 实施 文件化信息安全管理体系 ISMS 的要求 规定了根据单独组织需要定制安全控制的要求 新标准的正式标题是 BS7799 2 2005 ISO IEC27001 2005 信息技术 安全技术 信息安全管理体系 要求 公共准则 CC 公共准则 CommonCriteria 是一个标准 它统一了各种各样的地区和国家安全准则 CC目前是ISO国际标准 IS 15408 它是ISO的CC2 1版本 CC的两个基本功能 标准化的方法描述安全必要条件 如安全需要 实现这些需要的产品和系统以及分析和测试这些产品和系统 可靠的技术作为评估产品和系统安全特性的基础 CC的重要概念 保护概况 PP 由于IT管理员 用户 产品开发者和其他方创建的文档 定义了一套详细的安全需求 PP文档用于厂商之间进行需求交流 安全目标 ST 来自于厂商的一段综述 描述了IT产品或系统可以提供的安全 包括特定产品的信息 解释了特殊产品或系统如何满足PP的需求 评估目标 TOE IT产品或系统需要评估 必须使用PP和ST文档列出的特殊安全要求来评估产品 产品还必须按照CC的要求 由一个公认的第三方进行分析和测试 桔皮书 可信任计算机标准评估准则 桔皮书 是根据美国国防部开发的计算机安全标准 它规定了一些级别用于 保护硬件 软件和存储的信息免受攻击 它的范围从级别A到级别D 其中A是最高级别 级别A B和C还分数字标明的子级别 例如 级别A有A1 级别B有B1 B2和B3 级别C有C1和C2 联邦信息安全管理法案 联邦信息安全管理法案 FISMA 取代了政府信息安全改革法案 GISRA 并且包含更强的永久性条款 其中包括对信息安全最低强制标准的要求 FISMA确定了安全计划必需的元素 但是没有提供有关如何达到这些要求的安全基准或指导 计算机网络安全事件应急小组 CERT 计算机网络安全应急小组 CSIRT或CERT 是专门从事计算机系统及网络安全技术研究 并接收 检查 处理相关安全事件的服务性组织的通称 是国际上公认的最专业的网络安全保障机构 国际上著名的应急响应组织 美国计算机紧急事件响应小组协调中心事件响应与安全组织论坛亚太地区计算机应急响应组欧洲计算机网络研究教育协会 其它有用的网络安全援助机构 网络110 SANS 美国系统网络安全协会 SANS 系统管理 审核 网络 安全 是信息安全培训和认证最可靠的来源和最大的机构 它也在不断发展壮大 并且是最大的免费提供信息安全各方面研究文献资料的组织 它具