网络安全综述

网络安全综述,河南中医学院信息技术学院许玉龙,提纲,网络安全定义保护资源网络安全风险安全技术产品病毒与特洛伊木马,网络安全定义,网络安全的定义,通常感觉：“网络安全就是避免危险”科学的安全定义防止未授权的用户访问信息防止未授权而试图破坏与修改信息从风险的角度：在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全就是一个系统地保护信息和资源相应的机密性和完整性的能力,安全领域,网络安全问题的复杂程度,复杂程度,Web浏览,安全威胁:网络为什么不安全,网络发展迅速,较少考虑安全问题管理人员的缺乏及对安全知识和意识的不足网络技术处于不断发展和进化中全球超过26万个黑客站点提供系统漏洞和攻击手段及工具等方面的知识容易使用的攻击软件和黑客教程比比皆是,成为一名“黑客”变的越来越简单,直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果,安全威胁:安全事故的后果,相关数据,美国FBI调查，每年因网络安全造成的损失高达170亿美金；CERT组织2000年数据，平均每五个站点就有一个遭受不同程度地攻击中国公安部资料表明网络犯罪每年以30的惊人速度递增。1986年中国电脑网络犯罪发案仅9起，到2002年已经突破4500起，且保持迅速增长的势头。,100%安全的神话,建立有效的安全矩阵,安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成；包括软件和硬件设备功能是有效的可持续的是灵活的可扩展的拥有很高级的预警和报告功能,保护资源,保护资源,终端用户资源（普通员工使用的工作站）网络资源（路由器、交换机、电话系统）服务器资源（DNS、Web、FTP、E-mail等）信息存储资源（人力资源和电子商务数据库等）,终端用户资源,操作系统Win98WindowsNTWorkstationWindows2000professional威胁错误下载ActiveX文件和Java小程序错误下载病毒和特洛伊木马（Trojans）错误操作导致系统崩溃,网络资源,硬件设备路由器交换机机柜配线架威胁物理安全,服务器资源,常见的服务器WebFTPEMAILDNS威胁字典攻击系统和服务自身的漏洞拒绝服务攻击病毒攻击,信息存储资源,信息存储资源更多的是指数据库系统威胁泄露商业机密破坏或伪造交易行为消费者的重要数据,网络安全风险,网络安全风险,安全需求和实际操作脱离内部的安全隐患动态的网络环境有限的防御策略安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,通讯&服务层弱点,超过1000个TCP/IP服务安全漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.错误的路由配置TCP/IP中不健全的安全连接检查机制缺省路由帐户反向服务攻击隐蔽Modem,针对操作系统的攻击,操作系统的安全隐患,1000个以上的商用操作系统安全漏洞没有及时添加安全补丁病毒程序的传播文件/用户权限设置错误默认安装的不安全设置缺省用户的权限和密码口令用户设置过于简单密码使用特洛依木马,针对应用服务的攻击,应用服务程序,Web服务器数据库系统内部办公系统网络浏览器ERP系统办公文件程序FTPSMTPPOP3,Oracle,应用程序,Web服务器:错误的Web目录结构CGI脚本缺陷Web服务器应用程序缺陷私人Web站点未索引的Web页防火墙:防火墙的错误配置会导致漏洞:冒名IP,SYNfloodingDenialofserviceattacks,路由器:源端口/源路由其他应用程序:Oracle,SAP,Peoplesoft缺省帐户有缺陷的浏览器,额外的不安全因素,内部个体,内部/组织,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现,未知的安全间隙,我们眼中的网络安全,网络安全隐患无处不在，常见漏洞目前有1000余种。,管理分析&实施策略,Modem,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,依照风险制定出,进行,安全集成/应用开发,安全服务,安全方案设计,建立相应的,网络安全整体设计流程,VPN虚拟专用网,防火墙,内容检测,防病毒,入侵探测,安全技术产品,需要的安全技术产品,CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系,身份鉴别,基于口令、用户名的身份认证基于主体特征的身份认证：如指纹基于IC卡+PIN号码的认证基于CA证书的身份认证其他的认证方式,基于CA证书的身份认证,基于CA证书的身份鉴别,CA中心,证书发布服务器,用户证书,服务器证书,开始数字证书的签名验证,开始数字证书的签名验证,开始安全通讯,需要的安全技术产品,CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系,防火墙定义,防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的发展历经三代：简单包过滤、应用代理、状态检测（状态包过滤）防火墙,防火墙主要功能,过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警,HostC,HostD,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量,可以灵活的制定的控制策略,包过滤,IP与MAC绑定,Internet,HostB,,HostC,,HostD,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BindTo00-50-04-BB-71-A6,BindTo00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网,防火墙允许HostA上网,信息审计&日志,Internet,,,写入日志,写入日志,一旦出现安全事故可以查询此日志,需要的安全技术产品,CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系,入侵检测的主要功能,监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。,利用入侵检测保护网络应用,DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,需要的安全技术产品,CA安全身份认证体系防火墙技术入侵检测技术网络安全评估系统防病毒体系,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。,安全扫描系统具有的功能说明,识别正在受到的攻击减轻系统管理员搜索最近黑客行为的负担使得安全管理可由普通用户来负责为制定安全规则提供依据,利用网络安全评估系统对网络进行安全评估,DMZE-MailFileTransferHTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯&应用服务层,需要的安全技术产品,CA安全身份认证体系防火墙技术技术入侵检测技术网络安全评估系统防病毒体系,全面的病毒防护体系,网关病毒防护工作站病毒防护服务器病毒防护网络中心病毒控制台自动更新升级的维护策略,服务器防病毒软件,工作站防毒软件,网关防病毒软件,防病毒中央控制系统,病毒信息控制信息等,病毒信息控制信息等,实现多方位、多层次，点（单台工作站）、线（服务器）、面（网关）相结合的防病毒解决方案,分发,分发,下载,分发/登录,分发,分发/登录,分发,分发/登录,分发,分发,病毒与特洛伊木马,计算机病毒基本概念,概念：编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码特征：复制、感染、隐蔽、破坏危害：病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。网络环境下，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大防治：以防为主，病原体(病毒库)是病毒防治技术的关键,为了和以前的DOS/Windows系统保持兼容，WIN9X/NT下等32位的EXE文件格式有所不同，其中含有一些空挡，病毒会找适合的地方嵌入进去,这是一个被感染的WindowsPE格式EXEFile,为保证其隐蔽性，病毒会将自己写到一个最“适合”它自己的病毒代码的空间部分。如果覆写的位置超过了“空挡”大小，原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的，因为原始程序文件被感染时可能已被覆写破坏了。（典型的象CIH、FUNLOVE病毒）,EXE文件被感染,VIRUS,病毒的新概念蠕虫（Worm）通过网络连接，将自身复制到其它计算机中，但不感染其它文件。特洛伊木马（Trojanhorse）表面上看起来是无害的程序或数据，实际上内含恶意或有害的代码。窃取用户数据和系统控制权,病毒基本知识,RPC：remoteprocedurecall(远程过程调用)一种消息传递功能，允许分布式应用程序呼叫网络上不同计算机上的可用服务。在计算机的远程管理期间使用。RPC是一个不可缺少的系统级服务，在微软的NT/2000/XP操作系统中都会默认安装此服务。病毒名称：Wrom.MSBlaster（又名“冲击波”）,蠕虫-冲击波病毒,1、添加注册表键值：以使蠕虫可以开机自动运行；2、试探攻击病毒自我生成的IP地址段的主机；3、攻击RPC服务默认端口，建立一个shell为传播自已做准备；4、监听UDP69端口，当有服务请求，就发送Msblast.exe文件5、发送命令到远端计算机(被攻击计算机),以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe；6、如果当前月份大于8月，或当前日期大于15号，对W实施DoS攻击。,冲击波病毒行为分析,恶意蠕虫的典范-尼姆达Nimda,1、概念：一种新型的恶意蠕虫“Nimda”（又称“概念病毒(CV)”）。影响所有未安装补丁的Windows系统，破坏力极大。2、传播途径：通过email邮件传播。通过网络共享传播通过主动扫描并攻击未打补丁的IIS服务器传播通过浏览被篡改网页传播3、危害:产生大量的垃圾邮件用蠕虫副本替换系统文件,可能影响word,frontpage等软件正常工作严重降低系统以及网络性能创建开放共享，大大降低了系统的安全性将Guest帐号赋予管理员权限，降低了系统的安全性,病毒的发展趋势,现代病毒特点,宏病毒泛滥占现有病毒的80%自动传播和主动攻击-蠕虫特洛伊木马后门多种传播方式：邮件、网络共享、利用IIS、IE、SQL的漏洞危害很大的病毒以邮件为载体,爆发速度快、面广有毒的移动编码-来自Internet网页的威胁,现代病毒利用人性的弱点,隐蔽性更强伪装成开玩笑的邮件伪装求职甚至伪装防病毒厂家的技术支持附在图片上很多时候用户被感染不知道,用一些很有吸引力的标题如点击XX站点可以赚钱打开邮件就会得到免费的礼物,特洛伊木马,木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型,Netbus客户端程序,NetBus传输,NetBus使用TCP建立会话。缺省情况下用12345端口进行连接，12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过