网络安全概述与环境配置第1章

翟光群E-mail:iegqzhai,计算机网络安全,计算机网络安全,第一章网络安全概述与环境配置,内容提要,本章介绍网络安全研究的体系研究网络安全的必要性、研究网络安全社会意义以及目前计算机网络安全的相关法规。介绍了如何评价一个系统或者应用软件的安全等级。为了能顺利的完成本课程介绍的各种实验，介绍了网络实验室的网络实验环境配置。,一、信息安全概述,网络安全是信息安全学科的重要组成部分。信息安全是一门交叉学科，广义上，信息安全涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。信息安全各部分研究内容及相互关系如图,信息安全研究层次,信息安全从总体上可以分成5个层次：安全的密码算法，安全协议，网络安全，系统安全以及应用安全，层次结构如图,信息安全的基本要求,信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性，也有的观点认为是机密性、完整性和可用性，即CIA（ConfidentialityIntegrityAvailability）。,信息安全的基本要求,机密性Confidentiality机密性是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。,信息安全的基本要求,完整性Integrity完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为，同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面：（1）数据完整性：数据没有被未授权篡改或者损坏；（2）系统完整性：系统未被非法操纵，按既定的目标运行。,信息安全的基本要求,可用性Availability可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。,信息安全的基本要求,除了这三方面的要求，信息还要求真实性，即个体身份的认证，适用于用户、进程、系统等；要求可说明性，即确保个体的活动可被跟踪；要求可靠性，即行为和结果的可靠性、一致性。,信息安全的发展,20世纪60年代倡导通信保密措施，到了20世纪60到70年代，逐步推行计算机安全，信息安全概念是20世纪80年代到90年代才被广泛提出的，20世纪90年代以后，开始倡导信息保障（IA，InformationAssurance）。信息保障的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React）和恢复（Restore），结构如图,PDRR保障体系,利用4个单词首字母表示为：PDRR，称之为PDRR保障体系，其中：保护（Protect）指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。检测（Detect）指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。反应（React）指对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。恢复（Restore）指一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。,可信计算概述,在各种信息安全技术措施中，硬件结构的安全和操作系统的安全是基础，密码等其它技术是关键技术。只有从整体上采取措施，特别是从底层采取措施，才能比较有效的解决信息安全问题。只有从芯片、主板等硬件结构和BIOS、操作系统等底层软件作起，综合采取措施，才能比较有效的提高微机系统的安全性。只有这样，绝大多数不安全因素才能从微机源头上得到控制，系统安全才可能真正实现，因此可信计算主要关注的是硬件的安全性和软件安全性的协作。,可信计算概述,1999年10月由Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA(TrustedComputingPlatformAlliance)，发展成员190家，遍布全球各大洲主力厂商。TCPA专注于从计算平台体系结构上增强其安全性，2001年1月发布了TPM主规范（版本1.1），该组织于2003年3月改组为TCG(TrustedComputingGroup，可信计算组织)，并于2003年10月发布了TPM主规范（版本1.2）。TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台（TCP，TrustedComputingPlatform），以提高整体的安全性。,网络安全的攻防研究体系,网络安全（NetworkSecurity）是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,网络安全的攻防体系(p6),攻击技术,如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面：1、网络监听：自己不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。,攻击技术（续）,2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。,攻击技术（续）,4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。,防御技术,防御技术包括四大方面：1、操作系统的安全配置：操作系统的安全是整个网络安全的关键。2、加密技术：为了防止被监听和盗取数据，将所有的数据进行加密。,防御技术,3、防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。4、入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。,网络安全的攻防体系,为了保证网络的安全，在软件方面可以有两种选择，一种是使用已经成熟的工具，比如抓数据包软件Sniffer，网络扫描工具X-Scan等等，另一种是自己编制程序，目前网络安全编程常用的计算机语言为C、C+或者Perl语言。,网络安全的攻防体系,为了使用工具和编制程序，必须熟悉两方面的知识一方面是两大主流的操作系统：UNIX家族和Window系列操作系统，另一方面是网络协议，常见的网络协议包括：TCP（TransmissionControlProtocol，传输控制协议）IP（InternetProtocol，网络协议）UDP（UserDatagramProtocol，用户数据报协议）SMTP（SimpleMailTransferProtocol，简单邮件传输协议）POP（PostOfficeProtocol，邮局协议）FTP（FileTransferProtocol，文件传输协议）等等。,网络安全的层次体系,从层次体系上，可以将网络安全分成四个层次上的安全：1、物理安全；2、逻辑安全；3、操作系统安全；4、联网安全。,物理安全,物理安全主要包括五个方面：1、防盗；2、防火；3、防静电；4、防雷击；5、防电磁泄漏。1、防盗：像其他的物体一样，计算机也是偷窃者的目标，例如盗走软硬盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值，因此必须采取严格的防范措施，以确保计算机设备不会丢失。,1偷窃网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。,我将整台计算机偷走，并及时通过监视器读取计算机中的信息。,物理安全,2、防火：计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。人为事故是指由于操作人员不慎，吸烟、乱扔烟头等，使存在易燃物质（如纸片、磁带、胶片等）的机房起火，当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。,物理安全,3、防静电：静电是由物体间的相互摩擦、接触而产生的，计算机显示器也会产生很强的静电。静电产生后，由于未能释放而保留在物体内，会有很高的电位（能量不大），从而产生静电放电火花，造成火灾。还可能使大规模集成电器损坏，这种损坏可能是不知不觉造成的。,物理安全,4、防雷击；利用引雷机理的传统避雷针防雷，不但增加雷击概率，而且产生感应雷，而感应雷是电子信息设备被损坏的主要杀手，也是易燃易爆品被引燃起爆的主要原因。雷击防范的主要措施是，根据电气、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护；根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。,物理安全,5、防电磁泄漏电子计算机和其他电子设备一样，工作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。,5防辐射,俄罗斯国防部队秘密用于信息收集的雷达站（外墙是防电磁辐射或电磁泄露的特殊金属墙）。,逻辑安全,计算机的逻辑安全需要用口令、文件许可等方法来实现。可以限制登录的次数或对试探操作加上时间限制；可以用软件来保护存储在计算机文件中的信息；限制存取的另一种方式是通过硬件完成，在接收到存取要求后，先询问并校核口令，然后访问列于目录中的授权用户标志号。此外，有一些安全软件包也可以跟踪可疑的、未授权的存取企图，例如，多次登录或请求别人的文件。,操作系统安全,操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以便于防止相互干扰。一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。,联网安全,联网的安全性通过两方面的安全服务来达到：1、访问控制服务：用来保护计算机和联网资源不被非授权使用。2、通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。,研究网络安全的必要性,网络需要与外界联系，受到许多方面的威胁物理威胁系统漏洞造成的威胁身份鉴别威胁线缆连接威胁有害程序等方面威胁。,物理威胁,物理威胁包括四个方面：除以前讲的偷窃外，还有废物搜寻，间谍行为和身份识别错误。1、废物搜寻就是在废物（如一些打印出来的材料或废弃的软盘）中搜寻所需要的信息。在微机上，废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料。,物理威胁,2、间谍行为是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。3、身份识别错误非法建立文件或记录，企图把他们作为有效的、正式生产的文件或记录，如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造，属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。,系统漏洞威胁,系统漏洞造成的威胁包括三个方面：乘虚而入、不安全服务和配置和初始化错误。1、乘虚而入例如，用户A停止了与某个系统的通信，但由于某种原因仍使该系统上的一个端口处于激活状态，这时，用户B通过这个端口开始与这个系统通信，这样就不必通过任何申请使用端口的安全检查了。,系统漏洞威胁,2、不安全服务有时操作系统的一些服务程序可以绕过机器的安全系统，互联网蠕虫就利用了UNIX系统中三个可绕过的机制。3、配置和初始化错误如果不得不关掉一台服务器以维修它的某个子系统，几天后当重启动服务器时，可能会招致用户的抱怨，说他们的文件丢失了或被篡改了，这就有可能是在系统重新初始化时，安全系统没有正确的初始化，从而留下了安全漏洞让人利用，类似的问题在木马程序修改了系统的安全配置文件时也会发生。,身份鉴别威胁,身份鉴别造成威胁包括四个面：口令圈套、口令破解、算法考虑不周和编辑口令。1、口令圈套口令圈套是网络安全的一种诡计，与冒名顶替有关。常用的口令圈套通过一个编译代码模块实现，它运行起来和登录屏幕一模一样，被插入到正常有登录过程之前，最终用户看到的只是先后两个登录屏幕，第一次登录失败了，所以用户被要求再输入用户名和口令。实际上，第一次登录并没有失败，它将登录数据，如用户名和口令写入到这个数据文件中，留待使用。,身份鉴别威胁,2、口令破解破解口令就像是猜测自行车密码锁的数字组合一样，在该领域中已形成许多能提高成功率的技巧。3、算法考虑不周口令输入过程必须在满足一定条件下才能正常地工作，这个过程通过某些算法实现。在一些攻击入侵案例中，入侵者采用超长的字符串破坏了口令算法，成功地进入了系统。4、编辑口令编辑口令需要依靠操作系统漏洞，如果公司内部的人建立了一个虚设的账户或修改了一个隐含账户的口令，这样，任何知道那个账户的用户名和口令的人便可以访问该机器了。,线缆连接威胁,线缆连接造成的威胁包括三个方面：窃听、拨号进入和冒名顶替。1、窃听对通信过程进行窃听可达到收集信息的目的，这种电子窃听不一定需要窃听设备一定安装在电缆上，可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号，为了使机构内部的通信有一定的保密性，可以使用加密手段来防止信息被解密。,线缆连接威胁,2、拨号进入拥有一个调制解调器和一个电话号码，每个人都可以试图通过远程拨号访问网络，尤其是拥有所期望攻击的网络的用户账户时，就会对网络造成很大的威胁。3、冒名顶替通过使用别人的密码和账号时，获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易，而且一般需要有机构内部的、了解网络和操作过程的人参与。,有害程序威胁,有害程序造成的威胁包括三个方面：病毒、代码炸弹和特洛伊木马。1、病毒病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制，并随着它所附着的程序在机器之间传播。,有害程序威胁,2、代码炸弹代码炸弹是一种具有杀伤力的代码，其原理是一旦到达设定的日期或钟点，或在机器中发生了某种操作，代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播，程序员将代码炸弹写入软件中，使其产生了一个不能轻易地找到的安全漏洞，一旦该代码炸弹被触发后，这个程序员便会被请回来修正这个错误，并赚一笔钱，这种高技术的敲诈的受害者甚至不知道他们被敲诈了，即便他们有疑心也无法证实自己的猜测。,有害程序威胁,3、特洛伊木马特洛伊木马程序一旦被安装到机器上，便可按编制者的意图行事。特洛伊木马能够摧毁数据，有时伪装成系统上已有的程序，有时创建新的用户名和口令。,3特洛伊木马,研究网络安全的社会意义,目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的经济、军事等领域。,网络安全与政治,目前政府上网已经大规模的发展起来，电子政务工程已经在全国启动并在北京试点。政府网络的安全直接代表了国家的形象。1999年到2001年，一些政府网站，遭受了四次大的黑客攻击事件。第一次在99年1月份左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织，有组织地对我们国家的政府网站进行了攻击。,网络安全与政治,第二次，99年7月份，当台湾李登辉提出了两国论的时候。第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次是在2001年4月到5月，美机撞毁王伟战机侵入我海南机场。,中国黑客攻击美国网站(1),中国黑客攻击美国网站(2),中国黑客攻击美国网站(3),中国被黑网站一览表,http:/www.guizhou-中国青少年发展基金会(放有不良图片，现已被中国黑客删除)福建外贸信息网http:/www.gll-桂林图书馆中国:http:/www.beijing-中国科学院心理研究所,国内外黑客组织,北京绿色联盟技术公司()中国红客联盟()中国鹰派()中国黑客联盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech,网络安全与经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起，涉及的金额几个亿。,网络安全与经济,2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录。,网络安全与社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。,网络安全与社会稳定,99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提了十多亿。2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成了几百万的用户无法正常的联络。网上不良信息腐蚀人们灵魂，色情资讯业日益猖獗。1997年5月去过色情网站浏览过的美国人，占了美国网民的28.2%。河南郑州刚刚大专毕业的杨某和何某，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站、100多部小说和小电影。不到54天的时间，访问他的人到了30万。,网络安全与军事,在第二次世界大战中，美国破译了日本人的密码，将山本的舰队几乎全歼，重创了日本海军。目前的军事战争更是信息化战争，下面是美国三位知名人士对目前网络的描述。美国著名未来学家阿尔温托尔勒说过“谁掌握了信息，控制了网络，谁将拥有整个世界。,网络安全与军事,美国前总统克林顿说过“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现，将从根本上改变战争的进行方式”。,信息时代面临的问题,DNA杂志及印度全国软件合服务企业协会(Nasscom)与孟买警方开展互联网安全周活动时，回顾了历史上的著名黑客事件即使被认为固若金汤的系统在黑客攻击面前也显得不堪一击信息安全恐怖事件并非危言耸听,著名黑客事件,1990早期，KevinMitnick，世界范围内的举重若轻的黑客。世界上最强大的科技和电信公司：Nokia，Fujitsu，Motorola等的电脑系统都被其侵入。1995年被FBI逮捕，2000年获得假释2002年11月，伦敦人GaryMcKinnon在英国被指控非法侵入美国军方90多个电脑系统,著名黑客事件,1995年，俄罗斯VladimirLevin在互联网上“偷天换日”。侵入美国花旗银行并盗走1000万美圆。是历史上第一个通过入侵银行电脑系统来获利的黑客。1995年在英国被国际刑警逮捕,著名黑客事件,1990年，为了获得洛杉矶地区某电台第102个呼入者的奖励保时捷944S2跑车，KevinPoulsen控制了整个地区的电话系统，以确保他是第102个呼入者。最终，如愿以偿获得跑车，并为此入狱3年1983年，KevinPoulsen还是学生，利用ARPANET的漏洞，成功入侵ARPANET，能够暂时控制美国地区的ARPANET,著名黑客事件,1996年，美国黑客TimothyLloyd将一个6行代码的恶意软件放在了雇主Omega工程公司(美国航天局和美国海军最大的供应商)的网络上。该恶意软件删除了Omega公司所有负责生产的软件。导致Omega公司损失1000万美圆,著名黑客事件,Melissa病毒是世界上首个具有全球破坏力的病毒。1999年，30岁的DavidSmith编写了此病毒。Melissa病毒使世界上300多家公司的电脑系统崩溃，病毒造成的损失接近4亿美圆。DavidSmith被判处5年徒刑2000年，15岁的MafiaBoy(化名)在2000年2月6日14日，成功侵入eBay,Amazon和Yahoo等大型网络服务器，成功组织了某服务器向用户提供服务。2000年被捕,著名黑客事件,1988年，23岁的Cornell大学学生RobertMorris在Internet上释放了世界上首个“蠕虫”程序。仅仅是把这个99行的程序放在互联网上进行实验，结果使得自己的机器被感染并迅速在互联网上蔓延开，美国等地接入互联网的电脑受到影响。1990年被判入狱1993年，一个自称为骗局大师(MOD)的组织，将目标锁定在美国电话系统上。该组织成功入侵了美国国家安全局(NSA)，AT2)攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，邮件内容分析也难以奏效;3)还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;,APT攻击特征,4)初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;5)在攻击者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可疑连接的分析能力;6)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;,APT攻击特征,7)还有的企业部署了内网审计系统，日志分析系统，甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。8)受害人的防范意识还需要进一步提高。攻击者往往不是直接攻击最终目标人，而是透过攻击外围人员层层渗透。例如先攻击HR的人，或者首轮受害人的网络好友，再以HR受害人的身份去欺骗(攻击)某个接近最终目标人的过渡目标，再透过过渡目标人去攻击最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。,APT攻击特征,APT攻击往往是通过多个步骤，多个间接目标和多种辅助手段最终实现对特定目标的攻击，经常结合各种社会工程学手段APT攻击是一种比较专业的互联网间谍行为，攻击者往往带有商业、军事或政治目的，而被攻击的目标，也大多为商业企业，军事机构或各国政府。某些APT攻击会持续数年，直到被发现时才终止。综合分析以上典型的APT攻击，可以发现对内网终端进行隐蔽性的未知恶意程序和僵尸网络感染，后门木马植入和0day漏洞利用是APT获得成功的关键,APT攻击的普遍性,任何规模的公司，只要员工可以访问网站、使用电子邮件（尤其是HTML邮件）、传输文件等，就有可能受到APT威胁，这些活动可以被利用来传输APT组件，例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击，例如通过内部接入被感染的可移动驱动器（U盘、闪存卡）、其他地方被感染的笔记本电脑等。,APT对传统检测技术形成的挑战,正如其名称所体现出来的含义，APT为传统检测技术带来了两大难题：A（Advanced）难题：即高级入侵手段带来的难题。相比传统攻击手法，APT攻击具有单点隐蔽能力强、攻击空间路径不确定、攻击渠道不确定等特点，使得传统的基于特征匹配的边界防御技术难以施效。P（Persistent）难题：即持续性攻击带来的难题。典型的APT在攻击时间上具有长持续性，一旦入侵成功则长期潜伏，寻找合适的机会外传敏感信息，而在单个时间点上却无明显异常，使得基于单个时间点的实时检测技术难以应对。,当前业内APT检测方案对比,沙箱方案：为解决特征匹配对新型攻击的滞后性而产生的解决方案。其原理是将实时流量先引入虚拟机或沙箱，通过对沙箱的文件系统、进程、注册表、网络行为实施监控，判断流量中是否包含恶意代码。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，但其难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发，造成漏报。,当前业内APT检测方案对比,异常检测方案：为解决特征匹配和实时检测不足而产生的解决方案。其原理是通过对网络中的正常行为模式建模而识别异常。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击，但检测效率依赖于背景流量中的业务模式，如果业务模式发生偏差，则会导致较高的漏报与误报。,当前业内APT检测方案对比,全流量审计方案：同样是为解决传统特征匹配不足而产生的解决方案。其原理是对链路中的流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，回溯分析相关流量，例如可将包含的http访问、下载的文件、及时通信信息进行还原，协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力，是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的完整解决方案。,防范APT威胁的必要措施,1)控制用户并增强安全意识一条通用法则是：你不能阻止愚蠢行为发生，但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险，这是一项需要长期坚持的措施。2)对行为进行信誉评级传统安全解决方案采用的是判断行为好或坏、进而允许或拦截之类的策略。不过，随着高级攻击日益增多，这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。由于攻击者的目标是先混入系统，因此，需要对行为进行跟踪，并对行为进行信誉评级，以确定其是否合法。,防范APT威胁的必要措施,3)重视传出流量传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑，这对于截获某些攻击还是有效的，而对于APT，传出流量则更具危险性。如果意在拦截数据和信息的外泄，监控传出流量是检测异常行为的有效途径。4)了解不断变化的威胁对于您不了解的东西很难做到真正有效的防范。因此，有效防范的唯一途径是对攻击威胁有深入了解，做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩，将不能做到根据威胁状况有效调整防范措施。,防范APT威胁的必要措施,5)管理终端攻击者可能只是将侵入网络作为一个切入点，他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险，控制和锁定终端将是一项长期有效的机构安全保护措施。如今的威胁更加高级、更具持续性、更加隐匿，同时主要以数据为目标，因此，机构必须部署有效的防护措施加以应对。,基于记忆的智能检测系统,对于APT这种攻击模式，传统的检测技术难以应对，我们的对抗策略是以时间对抗时间，对长时间、全流量数据进行深度分析，以解决传统的特征匹配与实时检测的不足。全流量存储与现有检测技术相结合，形成了新一代基于记忆的智能检测系统，这使得我们可在长时间窗口上对流量进行回溯分析，提升对APT攻击的检测能力。,值得深思的几个问题,网络安全的全局性战略黑客工具的公开化对策网络安全的预警体系应急反应队伍的建设,传统安全观念受到挑战网络是变化的、风险是动态的传统安全观侧重策略的技术实现现代安全观强调安全的整体性，安全被看成一个与环境相互作用的动态循环过程,网络安全策略,网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，网络系统安全策略就是基于这种技术集成而提出的，主要有三种：1直接风险控制策略（静态防御）安全=风险分析+安全规则+直接的技术防御体系+安全监控攻击手段是不断进步的，安全漏洞也是动态出现的，因此静态防御下的该模型存在着本质的缺陷。2自适应网络安全策略（动态性）安全=风险分析+执行策略+系统实施+漏洞分析+实时响应该策略强调系统安全管理的动态性，主张通过安全性检测、漏洞监测，自适应地填充“安全间隙”，从而提高网络系统的安全性。完善的网络安全体系，必须合理协调法律、技术和管理三种因素，集成防护、监控和恢复三种技术，力求增强网络系统的健壮性与免疫力。局限性在于：只考虑增强系统的健壮性，仅综合了技术和管理因素，仅采用了技术防护。,网络安全策略（续）,3智能网络系统安全策略（动态免疫力）安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化技术防御体系包括漏洞检测和安全缝隙填充；安全跟踪是为攻击证据记录服务的，系统学习进化是旨在改善系统性能而引入的智能反馈机制。模型中，“风险分析+安全策略”体现了管理因素；“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素；技术因素综合了防护、监控和恢复技术；“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。,网络网络安全防护体系（PDRR）,随着信息网络的飞速发展，信息网络的安全防护技术已逐渐成为一个新兴的重要技术领域，并且受到政府、军队和全社会的高度重视。随着我国政府、金融等重要领域逐步进入信息网络，国家的信息网络已成为继领土、领海、领空之后的又一个安全防卫领域，逐渐成为国家安全的最高价值目标之一。可以说信息网络的安全与国家安全密切相关。,网络网络安全防护体系（PDRR）,最近安全专家提出了信息保障体系的新概念，即：为了保障网络安全，应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术，它强调信息系统整个生命周期的主动防御。美国在信息保障方面的一些举措,如：成立关键信息保障办公室、国家基础设施保护委员会和开展对信息战的研究等等，表明美国正在寻求一种信息系统防御和保护的新概念，这应该引起我们的高度重视。,网络网络安全防护体系（PDRR）,保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面，构成了一个完整的体系，使网络安全建筑在一个更加坚实的基础之上。,网络安全保障体系,安全管理与审计,物理层安全,网络层安全,传输层安全,应用层安全,链路层物理层,网络层,传输层,应用层表示层会话层,审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制点到点链路加密物理信道安全,访问控制数据机密性数据完整性,用户认证防抵赖安全审计,网络安全层次,层次模型,网络安全技术,实现安全目标,用户安全,网络安全工作的目的,三、网络安全立法情况和评价标准,我国立法情况目前网络安全方面的法规已经写入中华人民共和国宪法。于1982年8月23日写入中华人民共和国商标法于1984年3月12日写入中华人民共和国专利法于1988年9月日写入中华人民共和国保守国家秘密法于1993年9月2日写入中华人民共和国反不正当竞争法。,国际立法情况,美国和日本是计算机网络安全比较完善的国家，一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够完善。欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运做，该组织在诸多问题上建立了一系列法律，具体包括：竞争（反托拉斯）法；产品责任、商标和广告规定；知识产权保护；保护软件、数据和多媒体产品及在线版权；数据保护；跨境电子贸易；税收；司法问题等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准。,我国评价标准,在我国根据计算机信息系统安全保护等级划分准则，1999年10月经过国家质量技术监督局批准发布准则将计算机安全保护划分为以下五个级别第一级为用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。第二级为系统审计保护级：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。,我国评价标准（续）,第三级为安全标记保护级：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。第四级为结构化保护级：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力第五级为访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。,国际评价标准,根据美国国防部开发的计算机安全标准可信任计算机标准评价准则（TrustedComputerStandardsEvaluationCriteria：TCSEC），也就是网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，,安全级别,安全级别,D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有：DOS和Windows等。,安全级别,C1是C类的一个安全子级。C1又称选择性安全保护（DiscretionarySecurityProtection）系统，它描述了一个典型的用在Unix系统上安全级别这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。,安全级别,使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有：（1）、Unix系统（2）、Novell3.X或者更高版本（3）、WindowsNT、Windows2000和Windows2003,安全级别,B级中有三个级别，B1级即标志安全保护（LabeledSecurityProtection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。,安全级别,B2级，又叫结构保护级别（StructuredProtection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。B3级，又叫做安全域级别（SecurityDomain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。,安全级别,A级，又称验证设计级别（VerifiedDesign），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。橙皮书也存在不足。TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。,环境配置,网络安全是一门实践性很强的学科，包括许多试验。良好的实验配置是必须的。网络安全实验配置最少应该有两个独立的操作系统，而且两个操作系统可以通过以太网进行通信。,安装VMware虚拟机,考虑两个方面的因素：1、许多计算机不具有联网的条件。2、网络安全实验对系统具有破坏性。这里介绍在一台计算机上安装一套操作系统，然后利用工具软件再虚拟一套操作为网络安全的攻击对象。首先准备一台计算机，因为需要装两套操作系统，所以内存应该比较大。计算机的基本配置如表1-2所示。,实验设备,实验设备,在计算机上安装Windows2000Server，并且打上相关的布丁，在本书中操作系统是Windows2000Server，IP地址设置为10，根据需要可以设置为其他的IP地址。如图1-2所示。,虚拟机软件VMware,需要安装一个虚拟机软件VMware，虚拟机上的操作系统，可以通过网卡和实际的操作系统进行通信。通信的过程和原理，与真实环境下的两台计算机一样。虚拟机操作系统的界面如图1-3所示。,配置VMware虚拟机,安装完虚拟机以后，就如同组装了一台电脑，这台电脑需要安装操作系统。需要在虚拟机中装操作系统，选择菜单栏“File”下的“New”菜单项，再选择子菜单“NewVirtualMachine”，如图1-8所示。,配置VMware虚拟机,出现新建虚拟机向导，这里有许多设置需要说明，不然虚拟机可能无法和外面系统进行通信。点击向导界面的按钮“下一步”，出现安装选项，如图1-9所示。,配置VMware虚拟机,这里有两种选择，选项“Typical”是典型安装，选项“Custom”是自定义安装，选择“Custom”安装方式。点击按钮“下一步”，进入选择操作系统界面，设置将来要安装的操作系统类型，如图1-10所示。,配置VMware虚拟机,从图1-10中可以看出几乎常见的操作系统在列表中都有。选择“WindowsAdvancedServer”，点击按钮“下一步”进入安装目录选择界面，如图1-11所示。,配置VMware虚拟机,有两个文本框，上面文本框是系统的名字，按照默认值就可以，下面的文本框需要选择虚拟操作系统安装地址。选择好地址以后，点击按钮“下一步”，出现虚拟机内存大小的界面，如图1-12所示。,配置VMware虚拟机,因为安装的是Windows2000AdvancedServer，所以内存不能小于128M，如果计算机内存比较大的话可以分配的多一些，但是不能超过真实内存大小，这里设置为128M，点击按钮“下一步”进入网络连接方式选择界面，如图1-13所示。,配置VMware虚拟机,VMWare的常用的是两种联网方式：（1）UsedBridgednetworking虚拟机操作系统的IP地址可设置成与主机操作系统在同一网段，虚拟机操作系统相当于网络内的一台独立的机器，网络内其他机器可访问虚拟机上的操作系统，虚拟机的操作系统也可访问网络内其他机器。（2）Usernetworkaddresstranslation（NAT）实现主机的操作系统与虚拟机上的操作系统的双向访问。但网络内其他机器不能访问虚拟机上的操作系统，虚拟机可通过主机操作系统的NAT协议访问网络内其他机器。一般来说，Bridged方式最方便好用，因为这种连接方式将使虚拟机就好像是一台独立的计算机一样。,配置VMware虚拟机,选择第一种方式：使用网桥方式联网。点击按钮“下一步”，出现创建磁盘的选择界面，如图1-14所示。,配置VMware虚拟机,有三种选择：1、Createanewvirtualdisk虚拟机将重新建立一个虚拟磁盘，该磁盘在实际计算机操作系统上就是一个文件，而且这个文件还可以随意的拷贝。2、Useanexistingvirtualdisk使用已经建立好的虚拟磁盘。3、Useaphysicaldisk使用实际的磁盘，这样虚拟机可以方便的和主机进行文件交换，但是这样的话，虚拟机上的操作系统受到损害的时候会影响外面的操作系统。,配置VMware虚拟机,因为这里是做网络安全方面的实验，尽量的让虚拟机和外面系统隔离，所以这里选择第一项。点击按钮“下一步”，进入硬盘空间分配界面，如图1-15所示。,配置VMware虚拟机,建立一个虚拟的操作系统，这里按照默认的4G就够了。点击按钮“下一步”进入文件存放路径设置界面，如图1-16所示。,配置VMware虚拟机,整个虚拟机上操作系统就包含在这个文件中，点击按钮“完成”，可以在VMware的主界面看到刚才配置的虚拟机，如图1-17所示。,配置VMware虚拟机,点击绿色的启动按钮来开启虚拟机，如图1-18所示。,配置VMware虚拟机,可以看到VMware的启动界面，相当于是一台独立的计算机，如图1-18所示。,配置VMware虚拟机,在图1-18中可以看到，按下功能键“F2”进入系统设置界面，进入虚拟机的BIOS（BasicInputandOutSystem）设置界面，如图1-19所示。,配置VM