企业培训_信息安全培训讲义

信息安全培训讲义 2012年8月18日 目录 残酷的现实 2011年2月银行动态口令升级群发短信诈骗2011年3月RSA遭受高级可持续攻击2011年3月僵尸网络攻击韩国10天2011年4月索尼7700万用户数据被泄露2011年6月花旗银行36万客户资料被窃2011年8月新浪微博爆发蠕虫病毒2011年9月多个开源系统官网被攻击2011年末天涯 CSDN等26网站被爆库2012年1月赛门铁克源代码泄露2012年6月网络战武器Flame出现 2010年下半年教育网挂马情况 数据来源 中国教育和科研计算机网紧急响应组 Flame 大小达20MB已潜伏2年多背景深厚任何传染方式大量0 day漏洞具备20多个功能模块 2 20 公安部督办专案 案发于广东 揭阳人事考试网 的每月巡查涉及政府网站185个3万多人办理各类假证涉案金额超过3亿元盗卖涉及个人隐私的资料数据300多万条 高考志愿篡改案 8 有关政策要求 中华人民共和国计算机信息系统安全保护条例 信息安全等级保护管理办法 公通字 2007 43号 计算机信息系统安全等级保护划分准则 GB T17859 1999 信息系统安全等级保护定级指南 GB T22240 2008 信息系统安全等级保护实施指南 GB T25058 2010 信息系统安全等级保护基本要求 GB T22239 2008 信息系统安全等级保护测评要求 报批稿 教育部办公厅关于进一步加强网络信息系统安全保障工作的通知 教办厅函 2011 83号 教育部办公厅关于开展信息系统安全等级保护工作的通知 教办厅函 2009 80号 目录 10 什么是信息 Information ISO IEC的IT安全管理指南 GMITS 即ISO IECTR13335 对信息 Information 的解释是 信息是通过在数据上施加某些约定而赋予这些数据的特殊含义 信息可以以多种形式存在 打印或者写在纸上电子形式存储与传递以多媒体形式存在 如电影 影像 胶片 磁带 广播 交谈等 11 什么是信息安全 是指信息网络的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 信息服务不中断 12 物理安全技术 环境安全 设备安全 介质安全 网络安全技术 隔离 访问控制 VPN 入侵检测等 系统安全技术 操作系统及数据库系统的安全性 防病毒技术 单机防病毒 网络防病毒体系 认证授权技术 口令 令牌 生物特征 数字证书等 应用安全技术 Web安全 应用系统安全 数据加密技术 硬件和软件加密 灾难恢复和备份技术 数据备份 常用信息安全技术 13 OSI模型 14 OSI各层对应的攻击 物理层的攻击 该层的攻击手法是对网络硬件和基础设施进行物理破坏 例如 对一个机房的出口线缆进行破坏 使得其无法访问外部网络 危害 网络中断 设备损坏等物理破坏数据链路层的攻击 该层次上有两个重要的协议ARP 地址解析协议 和RARP 反地址解析协议 ARP欺骗和伪装是常见的链路层攻击 危害 数据被窃取 15 OSI各层对应的攻击 网络层的攻击 该层次主要的攻击方法包括IP碎片攻击 路由欺骗 PingofDeath IP欺骗与伪造等 危害 网络性能降低或中断 数据的窃取等传输层的攻击 主要是各类拒绝服务攻击 利用TCP的三次握手机制 像SYNFlooding攻击 ACKFlooding攻击等 危害 导致服务瘫痪会话层的攻击 主要是窃取合法用户的会话信息 然后冒充该用户 以达到非授权访问的目的 或窃取合法用户的权限和信息 如盗用Cookies和重放攻击 危害 用户信息被窃取 非法侵入等 16 OSI各层对应的攻击 表示层的攻击 表示层的攻击是针对格式翻译和数据处理来进行的 代表是Unicode攻击以及计算溢出攻击 危害 数据内容被篡改 管理员权限被获取后非法侵入等应用层的攻击 是针对应用程序的设计漏洞进行的 如对应用协议漏洞的攻击 对应用数据的攻击 对应用操作系统平台的攻击等 其方法包括SQL注入 跨站攻击 挂马等 危害 以上危害的综合体现 17 解决网络安全的措施 18 物理安全防范 物理层安全的主要技术手段 计算机网络通信线路的屏蔽网络物理隔离设备和线路冗余机房和人员的安全管理数据容灾 19 链路安全防范 数据链路层的安全技术手段 数据链路加密MAC地址欺骗防护VLAN划分 20 MAC地址欺骗防护 ARP AddressResolutionProtocol 完成IP地址到MAC地址的映射 虚拟的与硬件无关的可变的 真实的网卡决定的通常不可改变 IP地址欺骗MAC地址欺骗 21 ARP高速缓存 每台主机都要维护一个IP地址到MAC的转换表 称为ARP缓存ARPCache 存放着最近用到的一系列跟它通信的同一子网的计算机的IP地址和MAC地址的映射 减少局域网广播加快访问速度 22 MAC地址欺骗原理 我是 谁是布什 我是新来的布什 23 网络安全防范 网络层的安全技术手段 防火墙 ACL 负载均衡流量控制防拒绝服务攻击 24 应用安全防范 应用层的安全技术手段 IPS IDS防病毒身份认证系统终端安全管理 漏洞扫描WEB防火墙 目录 26 防火墙简介 用作网络边界的访问控制被称为逻辑隔离目前主流产品采用状态检测技术主要处理IP包头 也可具有内容检测功能选购时参考吞吐量 并发连接数 接口主要品牌 启明星辰 天融信推荐开源软件pfS 27 防火墙典型部署 部署在不同安全级别的网络安全域之间 根据不同的安全级别对不同的安全域开启不同的安全防护策略 28 负载均衡设备简介 分为链路负载和服务器负载均衡两类链路负载均衡用于跨运营商链路的自动优化并实现带宽资源的充分利用服务器负载均衡保障服务器集群的响应时间和服务能力主要品牌 F5 Radware推荐开源软件Nginxhttp nginx org 29 负载均衡典型部署 30 IPS IDS简介 IDS 入侵检测系统 接受镜像流量并分析报警IPS 入侵防御系统 串行在链路中分析入侵阻断基于特征库工作 需要定期更新选购时主要参考误报率 误杀率 吞吐量和并发数主要品牌 绿盟 启明星辰推荐开源软件Snortwww snort org 31 IPS IDS典型部署 32 流量控制系统简介 串联在网络边界处对流量进行处理可以识别数据包中的协议类型针对不同的IP地址和协议进行带宽分配用来保护关键用户和协议应用选购时主要考虑流量 并发数和接口主要品牌 深信服 网康推荐开源软件Panabit 33 流量控制系统典型部署 34 防病毒网关简介 串联在网络边界对网络流量进行恶意代码查杀一般和网络防病毒软件选择不同特征库产品经常与防火墙合并为UTM产品进行销售选购时需注意吞吐量和接口主要品牌 Mcafee 安启华推荐开源软件Untangle 35 防病毒网关部署 36 上网行为管理简介 根据 互联网安全保护技术措施规定 公安部82号令 要求上网记录必须留存60天 可串联可并联记录用户访问的网页 可对协议类型进行识别可对部分聊天工具进行监控选购时主要参考吞吐量 接口和并发连接数主要品牌 深信服 网康 37 上网行为管理部署 38 漏洞扫描系统简介 可检测网络设备 安全设备和主机的安全漏洞可扫描操作系统的漏洞 弱口令 空口令并探测存活的服务类型保持路由可达即可执行扫描定期扫描可准确了解网络的安全状态选购时主要参考并发扫描数 分析报告的可读性主要品牌 绿盟 启明星辰推荐开源软件Nessuswww nessus org 39 漏洞扫描部署 40 终端安全管理简介 主要功能包括资产管理 终端保护 进程监控和外设管理等可检查安全状况实现准入控制 限制移动存储设备使用 监控资产变化 推送补丁 监控进程需要在终端上安装Agent选购时主要考虑功能和准入方式主要品牌 赛门铁克 Landisk 41 终端安全管理部署 42 安全管理平台简介 对分散的安全日志和事件进行集中 实现统一安全事件展现和管理获取网络设备的SNMPTRAP消息 安全设备的SYSLOG日志和主机设备的安全日志主机上需安装Agent或配置支持WMI的日志采集套件属于项目化的安全产品 定制程度高 43 安全管理平台部署 目录 45 校园网特点 规模大 节点分散网络流量大且时段集中新旧设备混杂 维护不便学生好奇心强 进行各种破坏网站一般采用虚拟主机或托管方式 案例一 某天 某校报告网络速度缓慢通过网络管理软件进行流量分析确认某主机流量异常将该设备断开网络后速度恢复正常查杀病毒后接入网络无异常 案例二 某天 某校报告大部分终端不能访问网络查看该校上行链路正常查看该校核心设备部分端口流量异常在某办公室发现无线路由器造成环路拔掉一条网线后网络恢复 案例三 某天 多个学校报告不能访问网络发现上行均使用同一块板卡连接插拔核心6509上的X6724光口模块板问题没有解决替换到备机进行维修维修后问题解决 朝阳区教育网安全防护 50 安全建议 终端管理 移动存储设备管理防病毒补丁管理账号 口令管理网络准入ARP防护 51 安全建议 网络安全管理 网络流量控制关键设备