网络安全管理员实训课技能鉴定培训湖南

网络通信安全管理员职业技能鉴定培训----操作部分安全概述网络安全计算机病毒防火墙主机与数据库安全WEB安全提纲安全概述简介本节将有助于你了解安全的基本概念，提高安全意识，掌握基本的安全事件防范技能，了解黑客相关的基本知识和安全常识。目标了解安全的定义了解安全的威胁掌握黑客相关知识掌握相关的基础知识典型的网络安全事件安全之信息泄漏过亿数据泄露，网易提醒用户：尽快修改密码

10月19日下午消息，网易163/126邮箱过亿数据泄漏，涉及邮箱账号、密码、用户密保等。社保用户信息或遭泄露多省市存管理漏洞目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万。以上列举的信息泄漏事件，只是冰山一角，信息泄漏事件的背后，意味着互联网地下黑色信息产业链正日益壮大。典型的网络安全事件安全之电信诈骗电信诈骗盯上美国一知名公司被骗320万美元2015年5月3日，一名“老外”和一中国籍男子来向温州警方报案，称有320万美元被骗，钱被汇到温州银行。经记者核实，有骗子冒充他们公司新上任的CEO，骗走了320万美元，这笔钱是从美国汇到温州银行的。电话诈骗分子聪明反被聪明误，诈骗不成反倒贴502015年1月11日下午，哈尔滨市民王大哥接到陌生号码的来电，对方声称“你的银行账户涉及违法资金，要被冻结……”，他很快判断出这是个骗子的圈套，急中生智与对方周旋，最终以自己手机欠费为由拒绝转账，诈骗分子则为其交了50元花费。典型的网络安全事件安全之电信诈骗伪基站诈骗屡禁不止男子开电动车发诈骗短信2015年11月26日，警方捣毁三台伪基站，伪基站基本以散发诈骗信息和小广告为主。网上诈骗手段不断翻新广东股民被骗102万5月14日15时许，广州市民万某报警称，5月12日他在互联网上看到能够提供股票内幕信息的广告，被对方以保证收益为名骗取人民币共计102万余元。

电信诈骗事件越来越高发，说明很多不法分子掌握了高技术含量的信息诈骗手段，在不确定信息真假的情况下要核实信息真实性。典型的网络安全事件安全之网络漏洞Android曝严重安全漏洞95%设备存安全隐患2015年7月27日晚间，网络安全公司Zimperium研究人员爆料，他们在Android设备中发现了一处安全漏洞，允许黑客在用户全然不知的情况下远程访问Android设备。手机网络安全漏洞调查10086短信暗藏病毒链接只因为点击了显示为“10086”发来的“积分兑换现金”的链接，浙江省湖州市民钱先生的银行卡里近8000元就被盗取了。类似情况在我国已发生多起，这种通过短信等多种方式植入手机的木马程序和钓鱼链接，正威胁着用户的个人隐私和财产安全。典型的网络安全事件安全之手机流量疯跑多款品牌手机会偷跑流量苹果手机偷跑最多上海市消保委用10款品牌手机当试验样品，验证在手机待机的情况下，流量“偷跑”的问题，实验发现即使是在待机状态下，手机“偷跑”流量的情况也非常明显，有多达9款手机都在此过程中“偷跑”了流量。而在这10款手机里，“偷跑”流量最多的是苹果手机。曝手机流量疯跑50G安全防护需重视据报道，武汉一女子手机一夜流量疯跑50G，是通信运营商搞得鬼还是自己不小心造成?专家提醒，避免手机异常流量产生，用户不要下载不明来源软件，警惕防范手机病毒。典型的网络安全事件信息安全之网站被黑世预赛国足出线渺茫足协官网或被黑2015年11月17日，中国国家队客场与中国香港0:0战平，2018年世界杯出线机会渺茫。赛后，中国足协官网疑似被极度失望的球迷黑客攻击，升级成了网络安全事件。国外婚外恋网站被黑拥有3700多万注册用户的全球知名婚外恋在线约会网站“AshleyMadison”于7月被黑，共计3300多万用户的个人资料统统被黑客窃取并被公布在网上。信息不仅包括很多国际名人，中国也未能幸免。典型的网络安全事件HackingTeam泄露事件—简介HackingTeam是一家以协助政府监视公民而“闻名于世”的意大利公司，是为数不多的几家向全世界执法机构出售监控工具的公司之一。他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。曾因强大的监控软件系统RemoteCodeSystem(RCS)及媒体监控工具达芬奇（DaVinci）而出名，却在2015年马失前蹄。典型的网络安全事件HackingTeam泄露事件—过程2015年7月5日，HackingTeam遭遇了大型数据攻击泄漏事件。HackingTeam的官方推特被黑，官方主页面的banner更名为“HackedTeam”，随后更新的推文展示了已经被窃的数据，包括公司创始人兼CEOVincentVincenzetti的邮件。原因：系统管理员疏忽大意导致个人电脑被入侵，系统缺少严格的身份认证授权使得攻击者顺藤摸瓜进入内网，不使用数据加密技术导致所有敏感数据都是明文存放军火库被端，至少400G的文件被窃取，失窃的“弹药”中，包括各种平台的木马程序（含源代码）、未公开漏洞（0day）、大量电子邮件与各种商业合同、HackingTeam内部部分员工的个人资料和密码。典型的网络安全事件HackingTeam泄露事件—影响原本只掌握在极少数顶尖黑客手中漏洞和后门代码全部公开在互联网上，任何人等可以直接下载获取而因为这些工具的攻击性较强，只要有相关知识的人都可以加以利用，这等于数万吨TNT炸药让恐怖分子随意领取。首当其冲的是普通用户，本次泄露包括了Flashplayer、Windows字体、IE、Chrome、Word、PPT、Excel、Android的未公开漏洞，覆盖了大部分的桌面电脑和超过一半的智能手机。这些漏洞很可能会被人利用来进行病毒蠕虫传播或者挂马盗号。上述的漏洞可以用于恶意网站，用户一旦使用IE或者Chrome访问恶意网站，很有可能被植入木马。而OfficeWord、PPT、Excel则会被用于邮件钓鱼，用户一旦打开邮件的附件，就有可能被植入木马。典型的网络安全事件HackingTeam泄露事件—影响本次泄露的各平台的木马后门程序，会把整个灰色产业链的平均技术水平提高一个档次。例如全平台的监控能力，以及对微信、whatsapp、skype的监控功能等等。在此次事件之前，灰色产业链的软件工程能力并不高，木马以隐藏为主，但是界面友好程度和易用性都还有很大的差距，但是本次事件后，任意一个木马编写者都可以轻易地掌握这些技术能力。典型的网络安全事件HackingTeam泄露事件—防护企业和个人不要随意打开陌生人发来的邮件和任何文件，也不要从陌生的网站下载来历不明的文件;及时更新安全软件，全面检测和防御此次HackingTeam公开的漏洞攻击;企业应密切关注各大软件和系统服务商的安全更新，及时下载安装漏洞补丁。典型的网络安全事件XcodeGhost后门事件9月14日，国家互联网应急中心报告显示，“开发者使用非苹果公司官方渠道的工具Xcode开发苹果应用程序（苹果APP）时，会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在APPStore正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。与以往的病毒嵌入思路不同，XcodeGhost直接把病毒代码嵌入了开发工具源头，这种另类的传播方式直接让其在初期的传播广度上获得了非常好的效果，而由于在于国内AppStore连接速度太慢，许多程序员为了提高效率，方便下载，会直接从各大论坛和网盘上找第三方资源，因此导致网易云音乐、中国联通手机营业厅、滴滴出行等热门app纷纷中招。典型的网络安全事件XcodeGhost后门事件它们会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息。从病毒样本的分析看，这些泄露信息其实并不涉及太多的隐私问题。值得注意的是，病毒拥有更多的权限，它们在iPhone/iPad上弹出钓鱼网站页面，可能骗取iCloud帐号密码，或者其他关键信息。典型的网络安全事件典型的网络安全事件携程网大面积瘫痪事件2015年5月28日上午11：09，携程官网和App客户端大面积瘫痪，多项功能无法使用，携程方面对此回应称服务器遭到不明攻击。直至晚上22时45分，携程官方才确认除个别业务外，携程网站及APP恢复正常，包括预定数据在内的所以数据均没有丢失。5月29日，携程发布官方情况说明称，此次事件是由于员工错误操作，删除了生产服务器上的执行代码导致。

2014.3月份安全支付日志泄露，导致大量用户银行卡信息泄露（包括持卡人姓名、银行卡号、CVV、pin码等）典型的网络安全事件携程网大面积瘫痪事件影响：若按携程一季度营收3.37亿美元估算，“宕机”一小时的平均损失为106.48万美元，从瘫痪到修复，携程“宕机”近12小时，算下来总损失超过1200万美元，折合人民币7400多万。受此影响，携程股价盘前暴跌11.67%，报72美元。5月28日，在纳斯达克挂牌交易的携程股价开盘跌了3.32%。典型的网络安全事件主营安防产品的海康威视其生产的监控设备被曝严重的安全隐患，部分设备已被境外IP地址控制，成为僵尸网络肉机向外发起网络攻击。成因是管理后台弱口令和WEB登陆弱口令漏洞安全概述安全定义从安全所涉及层面的角度进行描述，计算机安全定义为，保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全。从安全所涉及的安全属性的角度进行描述，计算机安全定义为，安全涉及到数据的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。安全概述安全的基本要求真实性机密性完整性可用性抗抵赖性可控制性可审查性信息安全概述安全的影响因素计算机信息系统的使用与管理人员。包括普通用户、数据库管理员、网络管理员、系统管理员，其中各级管理员对系统安全承担重大的责任。系统的硬件部分。包括服务器、网络通信设备、终端设备、通信线路和个人使用的计算机等。系统的软件部分。主要包括计算机操作系统、数据库系统和应用软件。信息安全概述安全的威胁黑客常识什么是黑客黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。早期的黑客通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。但后期黑客队伍的结构有所改变，其中有些人已成为信息安全的主要威胁。现在把威胁计算机信息系统安全的人员通称为黑客。黑客常识黑客术语肉鸡：不是吃的那种，是中了木马，或者被留了后门，可以被远程操控的机器，现在许多人把有WEBSHELL权限的机器也叫肉鸡。木马：特洛伊木马，有盗号专用的木马，也有远程控制专用的木马，如：魔兽木马生成器、冰河、灰鸽子等。病毒：具有破坏性，传播性，隐秘性，潜伏性的恶意程序。端口：是计算机与外界通讯交流的出口，不同的端口开放了不同的服务。黑客常识黑客术语后门：这个就是入侵后为方便下次进入肉鸡所留下的东西，亲切的称为后门。CRACK：接触过软件破解的人一定了解这个词，CRACKER就是软件破解者的意思(注意这里有多了个ER)，许多共享软件就是CRACKER来完成破解的，就是现在俗称的XX软件破解版。漏洞：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。黑客常识黑客存在的意义黑客存在的意义就是使网络变的日益安全完善，然而，也可能让网络遭受到前所未有的威胁！哪些人是黑客？31KevinMutnikMutnik’sAdvice他在一次转机的间隙，写下了以下十条经验与大家分享。●备份资料。记住你的系统永远不会是无懈可击的，灾难性的数据损失会发生在你身上———只需一条蠕虫或一只木马就已足够。●选择很难猜的密码。不要没有脑子地填上几个与你有关的数字，在任何情况下，都要及时修改默认密码。●安装杀毒软件，并让它每天更新升级。●及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。●不用电脑时候千万别忘了断开网线和电源。●在IE或其它浏览器中会出现一些黑客钓鱼，对此要保持清醒，拒绝点击，同时将电子邮件客户端的自动脚本功能关闭。●在发送敏感邮件时使用加密软件，也可用加密软件保护你的硬盘上的数据。Mutnik’sAdvice●安装一个或几个反间谍程序，并且要经常运行检查。●使用个人防火墙并正确设置它，阻止其它计算机、网络和网址与你的计算机建立连接，指定哪些程序可以自动连接到网络。●关闭所有你不使用的系统服务，特别是那些可以让别人远程控制你的计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。●保证无线连接的安全。在家里，可以使用无线保护接入WPA和至少20个字符的密码。正确设置你的笔记本电脑，不要加入任何网络，除非它使用WPA。

“要想在一个充满敌意的因特网世界里保护自己，的确是一件不容易的事。你要时刻想着，在地球另一端的某个角落里，一个或一些毫无道德的人正在刺探你的系统漏洞，并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。”黑客常识著名黑客事件1983年，凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网，并通过该网进入了美国五角大楼的的电脑，而被判在加州的青年管教所管教了6个月。1995年，来自俄罗斯的黑客弗拉季米尔·列宁在互联网上上演了精彩的偷天换日，他是历史上第一个通过入侵银行电脑系统来获利的黑客，1995年，他侵入美国花旗银行并盗走一千万，他于1995年在英国被国际刑警逮捕，之后，他把帐户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。黑客常识著名黑客事件2000年，年仅15岁，绰号黑手党男孩的黑客在本年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于2000年被捕。2010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等，范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。这次攻击百度的黑客疑似来自境外，利用了DNS记录篡改的方式。今天的网络犯罪产业链36黑客常识黑客常用手段网络扫描网络嗅探拒绝服务欺骗用户特洛伊木马缓冲器溢出口令破译社交工程黑客常识—常用入侵步骤采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取替换信息作为其他用途渗透测试什么是渗透测试？渗透测试是受信任的第三方进行的一种评估网络安全的活动，它通过对企业网络进行各种手段的攻击来找出系统存在的漏洞，从而给出网络系统存在安全风险的一种实践活动。通过模拟现实的网络攻击，渗透测试证实恶意攻击者有可能获取或破坏企业的数据资产。渗透测试渗透测试与黑客入侵的区别：渗透测试为模拟黑客攻击测试，但两者也有区别，渗透测试是“面”的测试，黑客攻击是“深度”测试。前者讲究广泛度，后者讲究破坏性。渗透测试渗透测试必要性：1、发现企业的安全缺陷，协助企业有效的了解目前降低风险的初始任务。2、一份齐全有效的测试报告可以协助IT管理者了解目前的安全现状，增强信息安全的认知度，提高安全意识。3、信息安全是一个整体工程，渗透测试有助于组织中所有成员安全意识加强，有助于内部安全提升。渗透测试渗透测试方法分类：1、黑盒测试(Black-box)：渗透测试人员不具备公司网络的任何信息。2、白盒测试(White-box)：渗透测试人员已经具备内部网络完整信息。3、灰盒测试(Gray-box)：测试人员模拟内部雇员，有一个内部网络的账户，并拥有了访问网络的标准方法。渗透测试渗透测试的五个阶段：1、侦察：收集目标网络信息的最初阶段;2、扫描：查询活动系统，抓取网络共享、用户、用户组及特定应用程序信息;3、获取访问：实际渗透过程;4、维持访问：系统口令截获及破解,后门程序放置到目标系统中，方便以后使用;5、擦除日志：删除日志文件、系统后门、提权工具等，恢复渗透之前的系统状态。网络安全简介本课程主要讲述有关于网络安全的一些知识。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。学习目标通过对本节的学习：对网络安全的基本概念、基本理论和基本应用有全面的理解。了解网络安全中遇到的威胁和潜在的风险。了解常见的网络攻击方法和手段。理解和掌握一些针对网络攻击的防范手段。了解安全防护产品网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。网络安全概述网络安全目标：可靠性网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可用性网络信息可被授权实体访问并按需求使用的特性。保密性网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。网络安全概述完整性网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。不可抵赖性网络信息系统的信息交互过程中，确信参与者的真实同一性。可控性可控性是对网络信息的传播及内容具有控制能力的特性。网络安全概述实际效果进不来拿不走改不了跑不了看不懂可审查面临的风险和威胁存在的风险和威胁自然灾害人为行为内部泄密信息丢失网络自身缺陷病毒、恶意代码有目的攻击行为面临的风险和威胁自然灾害网络中存储或传输信息的设备及线路等。会遭受到不可抗力的自然力量的破坏。火灾、水灾、风暴、雷电等对网络的破坏，以及环境（温度、湿度、震动、冲击、污染）对网络状况的影响。面临的风险和威胁人为行为人为的操作失误，人员安全意识差等对网络构成的威胁。管理员的配置操作失误，配置项冲突，配置项失效等对网络构成的威胁。人员滥用网络资源，越权使用资源，不遵行相关安全管理制度。安全策略执行不到位。内部人员被攻击者社工。面临的风险和威胁内部泄密内部人员处于利益、人情等原因，将自己所掌握的信息给其他人员。或者为其他人尝试获取相关资料。离职人员处于报复或者其他原因，泄露在职时所掌握的信息。内部资料处理不当。面临的风险和威胁信息丢失由于各类非常规操作或意外事故，造成存储信息的介质丢失。存储信息的介质上信息失效，信息无法正常读取。由于口令丢失或失效，造成的信息孤岛。存储介质残留信息泄露。面临的风险和威胁网络自身缺陷网络协议、软件、各类网络设备、各类应用程序等自身存在的安全缺陷。现阶段无法解决的技术缺陷网络设计错误代码缺陷面临的风险和威胁病毒、恶意代码影响信息系统正常运行，恶意破坏系统正常功能。窃取系统信息。Joker代码程序SQLinjection、XSS、CRSF等面临的风险和威胁有目的的攻击行为DOS及DDOSARP弱口令猜解、口令破解欺骗、嗅探、伪装、社工面临的风险和威胁DOS及DDOSDOS--拒绝服务攻击：是指攻击者通过某种手段，有意地造成信息系统不能向合法用户提供所需要的服务或者使得服务质量降低。DDOS--分布式拒绝服务攻击：处于不同位置的多个攻击者同时向一个或者数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。面临的风险和威胁DDOS之虚假源地址攻击特点：1.攻击隐蔽性：由于攻击报文中没有包含攻击者的真实地址，黑客可以有效的躲避追查。2.攻击便宜性：黑客只需利用少数甚至单台服务器，就可以伪造出数以百万计的攻击IP地址，达到大规模DDoS攻击的效果。由于攻击IP的数量巨大且为随机构造，导致针对攻击源IP的防护手段失去效果。面临的风险和威胁DDOS之虚假源地址攻击特点：3.攻击流量巨大：黑客利用少数放置在IDC机房的肉鸡服务器，利用IDC高带宽资源，发动大流量的DDoS攻击。4.攻击可控性：发起DDoS攻击的服务器大多是黑客自己的服务器或者租用IDC机房服务器，完全受黑客控制，黑客可以随时根据被攻击目标的防护手段变换攻击方式以及攻击流量。面临的风险和威胁DDOS之虚假源地址攻击整治策略：根本是使虚假源地址流量在源头无法发出。目前主要采用的防范策略包括URPF（UnicastReversePathForwarding，单播逆向路径转发）和ACL（AccessControlList，访问控制列表）面临的风险和威胁DDOS之虚假源地址攻击URPF：1.URPF通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应的记录。2.若报文的源地址在转发表中：对于严格型检查，反向查找（以报文源地址为目的地址查找）报文出接口，若至少有一个出接口和报文入接口相匹配，则报文通过检查；否则被拒绝；对于松散型检查，报文被正常转发。3.若报文的源地址不在转发表中，则检查缺省路由和URPF的allow-default-route参数。面临的风险和威胁DDOS之虚假源地址攻击URPF的优点：可以有效阻断该路由器网内发出的虚假源地址流量；可以自适应路由表的变化，不需要人工维护。URPF的缺点：需要设备支持；对于骨干路由器，严格型的URPF可能影响正常业务。面临的风险和威胁DDOS之虚假源地址攻击ACL的优点：配置更灵活，也无需设备支持。ACL的缺点：因为根据内网地址进行配置，一旦网络发生变化，需及时调整指令列表，维护压力较大。面临的风险和威胁DOS之smurf攻击攻击者使用广播地址发送大量的欺骗icmpecho请求，如果路由器执行了三层广播到二层广播转换（定向广播），那么，同一ip网段的大量主机会向该欺骗地址发送icmpecho应答，导致某一主机（具有欺骗地址）收到大量的流量，从而导致了DoS攻击。面临的风险和威胁ARP攻击原理：伪造IP地址和MAC地址进行ARP欺骗，在局域网络中产生大量的ARP通信量使网络阻塞。如果持续不断的发出伪造的ARP响应包，则能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。面临的风险和威胁ARP攻击之中间人攻击攻击者向目标主机和网关同时主动发起ARP回应，告诉对方自己是对方的目标MAC，从而让被欺骗主机和网关发送给对方的数据都在攻击主机处进行一个跳转，使其完成窃取信息的目的。面临的风险和威胁ARP攻击之中断攻击攻击着向被攻击主机主动发起ARP回应，告知对方错误的网关MAC，从而让对方的数据发往错误甚至是不存在的MAC地址处，从而造成网络中断。如果同时对网络中的所有主机进行攻击，则会导致整个局域网全部断网。面临的风险和威胁TCPsynflood攻击攻击者使用虚假地址在短时间内向目标主机发送大量的tcpsyn连接请求，目标主机无法完成tcp三次握手，导致目标主机的连接队列被充满，最终造成目标主机拒绝为合法用户提供tcp服务。面临的风险和威胁TCP会话劫持攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。面临的风险和威胁网络钓鱼攻击之网页钓鱼伪装为合法的或正常的各类正常网页，等待或者诱骗用户输入相关个人信息，个人口令信息。主要有相似URL、伪装URL、URL转向、IDN欺骗等面临的风险和威胁以假乱真，视觉陷阱域名类似

身份伪装

admin@?改写URL&item=q20299@/pub/msk/Q20299.asp编码http://3633633987DNS劫持+Phishing面临的风险和威胁网络钓鱼攻击之邮件钓鱼伪装为合法的或正常的客服邮件、系统邮件、调查邮件、回访邮件，诱骗用户输入相关个人信息，个人口令信息。或者利用用户的好奇心理，不劳而获心理，诱骗用户点击构造的恶意连接。面临的风险和威胁嗅探、暴力破解攻击者通过直接嗅探的方式，获取同网段其他用户的信息。针对采用口令认证的设备或应用，进行穷举尝试、字典尝试、常用口令尝试等暴力破解。面临的风险和威胁伪造无线接入点攻击者伪造无线接入点。诱骗用户接入该AP，进行中间人攻击、信息窃取等攻击行为。面临的风险和威胁破解无线接入口令攻击者尝试破解无线加入口令。达到接入无线网络，控制无线接入点，渗透内网的目的。面临的风险和威胁破解无线接入口令WEP口令破解WPA/WPA2口令破解面临的风险和威胁破解无线接入口令PIN码破解穷举PIN码计算某些存在缺陷的设备的PIN码面临的风险和威胁破解无线接入口令认证绕过方式3A+portal认证绕过设备登录认证绕过检查、加固检查漏洞扫描。通过扫描软件或者硬件扫描器，发现现有网络中存在的问题。例如：主机存在哪些漏洞，存在哪些弱口令等。策略检查。通过脚本执行或者登机检查，检查常用安全策略配置情况。检查、加固加固在网络信息系统建设规划时，将安全纳入到方案规划之中。对网络管理及员工进行安全培训，增强安全意识。建立完善的安全管理流程，制度严格的规章制度。重要数据参考备份策略，进行定期备份。检查、加固加固严格的人员安全管理，例如保密协议，权限申请，变更。人员离职权限资料交接。配置策略或者使用设备，控制内网资源访问。配置多层次的安全策略，定期检查。周期性、常态化的进行安全扫描和加固。检查、加固加固之DOS攻击在路由器和防火墙部署防ip源地址欺骗在路由器和防火墙启用防御DoS安全特性路由器tcp拦截、常用ACL策略防火墙tcp连接监控部署网络和主机IDS/IPS检测和防御DoS攻击检查、加固加固之smurf攻击关闭路由器或三层交换机的定向广播功能。检查、加固加固之ARP攻击终端和网关双绑定安装使用ARP防火墙划分VLAN和交换机端口绑定检查、加固加固之无线安全关闭DHCP服务在无线网络中，很多情况下，开启了DHCP服务，任何用户均可以获取到合法的IP地址。关闭DHCP服务，设置本网段的IP地址为非常用IP段，这样可以让非法接入的无线用户无法获取到正确的IP地址，从而无法正常使用网络资源。检查、加固加固之无线安全隐藏服务集标识符(SSID)如果配置AP向外广播其SSID，则所有客户端均可以搜寻到该接入点。通过对无线接入点AP(AccessPoint)设置隐藏SSID，并要求接入方设置正确的SSID才能连接无线网络，此时可以认为SSID是一个简单的口令，从而提供一定的安全。检查、加固加固之无线安全修改默认SSID或设置中文SSID在无线网络中，很多情况下，无线网络管理员开启无线网络后不会修改默认SSID。虽然看上去没有什么安全威胁，但是默认SSID为攻击者提供了很多方面的便利，例如，获知设备的型号，针对无线网络接入口令的破解。检查、加固加固之无线安全MAC地址过滤由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方法的劣势是AP中的MAC地址列表必需随时更新，可扩展性差。而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模网络安全防护产品防火墙在网络间（内部/外部网络、不同信息级别）提供安全连接的设备。用于实现和执行网络之间通信的安全策略。网络安全防护产品防火墙防火墙分为是软件防火墙、硬件防火墙和软硬件结合的硬件防火墙根据采用的技术不同，可分为：简单包过滤、应用代理、状态检测（状态包过滤）防火墙、复合型防火墙网络安全防护产品IDS（入侵检测系统）自动检测入侵行为；监视网络流量（NetworkIDS)和主机(HostIDS)中的操作；分析入侵行为：基于特征基于异常行为按预定的规则做出响应：阻止指定的行为。监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey网络安全防护产品网络安全防护产品IDS的分类按检测方法异常检测基于规则统计分析神经网络特征检测基于规则模式匹配状态转换分析神经网络网络安全防护产品IDS的分类按检测范围基于主机以代理软件的形式安装在每台主机或服务器上基于网络接入网络，感应器部署在网络的关键位置基于网络节点安装在网络节点的主机中网络安全防护产品IDS的部署方式共享模式和交换模式：从HUB上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。隐蔽模式：在其他模式的基础上将探测器的探测口IP地址去除，使得IDS在对外界不可见的情况下正常工作。Tap模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息，使得与防火墙联动或发送Reset包更加容易。In-line模式：直接将IDS串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击。混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。网络安全防护产品入侵检测系统与防火墙的区别所在的位置不同防火墙是安装在网关上，将可信任区域和非可信任区域分开，对进出网络的数据包进行检测，实现访问控制。一个网段只需要部署一个防火墙。而NIDS是可以装在局域网内的任何机器上，一个网段内可以装上数台NIDS引擎，由一个总控中心来控制。防范的方向不同防火墙主要是实现对外部网络和内部网络通讯的访问控制，防止外部网络对内部网络的可能存在的攻击。网络入侵检测系统在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护，防止内外部的恶意攻击和网络资源滥用。检测的细粒度不同防火墙为了实现快速的网络包转换，故只能对网络包的IP和端口进行一些防黑检测，比如端口扫描。可是对通过IIS漏洞及Nimda病毒之类的网络入侵，防火墙是毫无办法。而网络入侵检测系统则可以拥有更多特征的入侵数据特征库，可以对整个网络包进行检查过滤。网络安全防护产品IPS（入侵防御系统）IPS是一种集入侵检测和防御于一体的安全产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。IPS=防火墙+入侵检测系统。网络安全防护产品IPS（入侵防御系统）IPS采取主动式的防御机制，以透明模式串联于网络中，能够实时阻断攻击；部署在网络关键点上；过滤阻断的是攻击包而非攻击源。采用多种检测技术，准确度高：特征分析；协议异常分析；行为异常分析。采用硬件加速技术，处理性能高，不影响网络的正常运行。网络安全防护产品网闸网闸是在两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。在信息摆渡的过程中内外网（上下游）从未发生物理连接，所以“网闸产品”必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。网闸主要用于在两个物理隔离的网络之间进行安全的数据交换。网络安全防护产品网闸网闸的工作原理是：切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。网络安全防护产品网闸与防火墙的区别网闸采用双主机系统，内端机与需要保护的内部网络连接，外端机与外网连接。这种双系统模式彻底将内网保护起来，即使外网被黑客攻击，甚至瘫痪，也无法对内网造成伤害。防火墙是单主机系统；网闸采用自身定义的私有通讯协议，避免了通用协议存在的漏洞。防火墙采用通用通讯协议即TCP/IP协议；网闸采用专用硬件控制技术保证内外网之间没有实时连接。而防火墙必须保证实时连接；计算机病毒病毒的概念能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性和权威性。病毒的特征1)传染性。这是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。2)隐蔽性。病毒为了保护自己，一般体积很小，放置位置隐蔽，经过加密和加壳处理。3)潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，悄悄地繁殖和扩散。4)破坏性(表现性)。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响，或占用系统资源，或破坏数据甚至硬件。表现和破坏是病毒的最终目的。5)不可预见性。从对病毒的检测方面来看，病毒有不可预见性。6)触发性。满足触发条件时，病毒会实施传染、破坏操作。7)针对性。有一定的环境要求，并不一定对任何系统都能感染。8)依附性。病毒依附在合法的可执行程序上。举例：飞客病毒（confickerorkido）“飞客”是一种针对Windows操作系统的蠕虫病毒，最早在2008年11月21日出现。“飞客”利用WindowsPRC远程连接调用服务存在的高危漏洞（MS08-067）入侵互联网上未进行有效防护的主机，通过局域网、U盘等方式快速传播，并且会停用感染主机的一系列Windows服务，包括WindowsAutomaticUpdate、WindowsSecurityCenter、WindowsDefener及WindowsErrorReporting。举例：飞客病毒（confickerorkido）经过长达4年的传播，“飞客”病毒衍生了多个变种，构建了一个包含数千万被控主机的攻击平台，不仅能够被利用用于大范围的网络欺诈和信息窃取，而且能够被利用发动无法阻挡的大规模拒绝服务攻击，甚至可能成为有力的网络战工具。2012年，全球互联网月均有超过2800万个主机IP感染飞客病毒，其中中国占14.3%，为349万个。

感染飞客病毒以后的症状：禁用部分系统服务，如windows系统更新，windows安全中心、windowsDefender、后台智能传输服务（BITS）和windows错误报告。病毒体驻留windows活动进程中，如svchost.exe，explorer.exe和services.exe。创建一个Http服务器并打开一个1024到10000之间的随机端口，用于向其他被感染主机提供病毒副本下载服务。被感染主机帐户锁定政策被自动复位。系统网络变得异常缓慢，可以从检测的网络流量图和windows任务管理器中看出和杀毒软件、Windows系统更新有关的网站无法访问举例：飞客病毒（confickerorkido）防火墙防火墙的概念防火墙是一个或一组实施访问控制策略的系统。是内部系统和外部网之间加强访问控制的系统。本质上是一种保护装置。其基本手段是隔离。当用户决定需要使用某种水平的连接时，就由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。防火墙的设计目标防火墙的特征是和其设计目标密切相关的，下面列出了一些防火墙的主要设计目标：内部网和外部网之间的所有通信都必须经过防火墙，物理阻塞所有不经过防火墙的网络访问通道。只有被认可的网络通信量，并在本地安全策略中进行定义后，才允许通过防火墙。防火墙对渗透应是免疫的(理想之一)。这一点除了针对防火墙自身的安全性能外，还暗示了防火墙的运行平台也应是安全的。防火墙使用的通用技术防火墙用来控制访问和执行站点安全策略的通用技术：服务控制：确定允许访问的Internet服务的类型，分为入站或出站两类。防火墙可以根据IP地址和端口号对通信量进行过滤；也可以通过代理软件在传递每个服务请求之前进行过滤。方向控制：确定特定的服务请求可以发起并允许通过防火墙流动的方向。用户控制：根据赋予某个用户访问服务的权限来控制特定服务的访问。该特征可应用于防火墙边界以内的用户(本地用户)，也可以应用于来自外部用户的进入通信量。行为控制：控制如何使用特定的服务。如防火墙可以过滤电子邮件来消除垃圾邮件，或者可以控制外部主机对本地www服务器信息的访问范围。防火墙的主要功能定义了单个安全检查点。单个检查点的使用简化了安全管理。提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。是一些与安全无关的Internet功能的自然集成平台。这些功能包括网络地址转换、审计和记录Internet使用日志等网络管理功能。可以作为IPSec的平台。防火墙可以被用来实现虚拟专用网。防火墙的局限性防火墙不能抵抗最新的未设置策略的攻击漏洞。防火墙的并发连接数限制容易导致拥塞或者溢出。防火墙对服务器合法开放的端口的攻击大多无法阻止。防火墙对待内部主动发起连接的攻击一般无法阻止。防火墙本身也会出现问题和受到攻击。防火墙体系结构任何防火墙都能够为与互联网相连的私有网络提供安全防护，但防护的等级却不尽相同，它和防火墙所选用的体系结构直接相关。大多数可得到的商品化防火墙都使用了如下防火墙体系结构中的一种或多种：

静态包过滤(staticpacketfilter)

动态包过滤(statefulinspection)

电路级网关(circuitlevelgateway)

应用级网关(applicationlevelgateway)所有的防火墙都是通过检查协议运行所产生的信息来实现安全防护的，因此了解防火墙所工作的OSI层次是理解不同类型防火墙体系结构的关键之一。1静态包过滤包过滤防火墙是最早的防火墙体系结构之一，静态包过滤器工作在网络层，通过检查IP首部和运输层首部中的特殊字段来决定包的转发。包括源和目的IP地址、协议字段(定义了运输层协议)和TCP或UDP端口号。转发包之前，防火墙将IP首部、传输层首部与用户预先定义的规则表进行比较，表中的规则告诉防火墙允许或拒绝包的通过，表中规则被按序扫描直到找出一条相匹配的规则。如果在表中没有发现与该包相匹配的规则，则使用缺省规则。缺省规则典型情况是指示防火墙丢弃不满足任何规则的包。两种处理策略：拒绝允许对于静态包过滤防火墙，管理员可以:根据IP首部的地址信息制定规则，拒绝或转发去往和来自某个IP地址或某个IP地址范围的数据包。根据传输层首部信息制定规则，拒绝或转发去往与特定服务相关的端口的数据包。根据IP首部的协议信息制定规则。配置包过滤规则配置的难点是要特别注意过滤规则进入规则库的顺序，因为以后对包的过滤是根据规则库中规则排列的先后顺序进行的。尽管管理员可以按照适当的优先级顺序创建有效的过滤规则，但静态包过滤器有一些固有的缺陷：静态包过滤器仅根据IP分组首部和TCP包首部检查数据，它并不知道真实地址和伪造地址间区别。静态包过滤器只检查数据包的源-目的地址和源-目的端口号，黑客可以将攻击命令或数据隐藏在包中不被检查的部分中。这种攻击方法称为秘密通道攻击。静态包过滤器不了解协议的运行状态(notstateaware)。静态包过滤结构的优点：对网络性能的影响低；成本低，目前许多操作系统都已具有这种功能。静态包过滤结构的缺点：由于工作在网络层和传输层，所以仅检查IP分组首部和TCP包首部，无法了解数据包的载荷；缺乏状态感知能力；创建规则表有一定难度；只能提供低等级的安全防护。2动态包过滤动态包过滤器是由静态包过滤器演化而来，它继承了许多静态包过滤器的局限性，但有一个重要的区别：状态感知能力。典型的动态包过滤器工作在网络层，有些先进的动态包过滤器可以在运输层运行。通常，接收或拒绝一个包是依据对包的IP首部和运输层首部的检查，检查的内容有：源IP地址；目的IP地址；应用或协议；源端口；目的端口。典型的动态包过滤器“知道”新连接和已建立连接之间的区别。一旦一个连接被建立，该连接便被记入表中(此表驻留内存)，随后到来的包都与内存中的这张表进行比较，如果包属于一个现存的连接，就放行而不必进行其他检查。比较过程通常是由运行在操作系统核心级的软件来完成。动态包过滤器的性能要优于静态包过滤器。动态包过滤结构的优点：当支持SMP时，对网络性能的影响是所有结构中最低的；成本低；具有状态感知能力。动态包过滤结构的缺点：由于工作在网络层和传输层，所以仅检查IP分组首部和TCP包首部，无法了解数据包的载荷；创建规则表有一定难度；只能提供低等级的安全防护；易受IP欺骗攻击；如果不按照RFC建议的三次握手过程确定连接的建立，将引入附加的风险。3电路级网关电路级网关工作在会话层(OSI模型的第5层)，在许多方面，电路级网关是包过滤器的简单扩充。除了进行基本的包过滤操作外，电路级网关在连接建立过程中要验证握手标志和包序号的合法性。在开放一个通过防火墙的连接(或电路)之前，电路级网关检查和验证TCP和UDP会话。因此，电路级网关进行判断时所依赖的数据比静态或动态包过滤器要多。通常，接收或拒绝一个包是依据对包的IP首部和运输层首部的检查，检查的内容有：源IP地址；目的IP地址；应用或协议；源端口；目的端口；握手标志和包序号与包过滤器类似，在转发某个包之前，电路级网关将该包的IP首部和运输层首部与用户预先定义的规则表进行比较，表中的规则指示防火墙是否应该让包通过。然后，电路级网关将确定请求会话的合法性，仅当TCP握手过程所包括的SYN标志、ACK标志和包序号是合法的，这个在可信客户与不可信主机之间的会话才是合法的。电路级网关不允许端到端的TCP连接，因此，网关建立了两个TCP连接，一个是防火墙本身到内部可信任主机上某个TCP用户的连接，另个是网关到外部不可信主机上某个TCP用户的连接。一旦两个连接都已建立，网关典型地从一个连接向另一个连接转发TCP报文段，而不检查其内容。安全功能体现在决定哪些连接是允许建立的。电路级网关的优点：对网络性能的影响小到适中；不允许端到端的直接连接；比动态包过滤的安全性要高。电路级网关的缺点：允许任何数据不经检查地通过已建立的连接；所提供的安全防护能力仍然较低。4应用级网关应用级网关也称为代理服务器(proxyserver)，它担任应用级通信量的中继。用户使用TCP/IP应用程序(如：Telnet或FTP)与网关通信，网关询问用户想要访问的远程主机的名字。当用户回答并提供了一个合法的用户ID和认证信息后，网关联系远程主机上的应用程序，并在两个端点之间转送包含了应用数据的TCP报文段。如果网关没有为特定的应用程序实现代理代码，服务就不被支持，就不能通过防火墙递送。例如：一个运行FTP和HTTP代理的应用级网关，只允许由这两个服务产生的数据包通过，其他服务则被禁止。应用级网关的优点：支持SMP的应用级网关对网络性能的影响适中；不允许端到端的直接连接；可以对整个数据包的所有内容进行检查，是目前安全性最好的防火墙结构。应用级网关的缺点：实现不理想的应用级网关对网络性能的影响很大；使用的透明性会有些问题；有可能遭受缓冲区溢出攻击；对新出现的应用层协议必须添加新的代理。WEB应用防火墙当WEB应用越来越为丰富的同时，WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。

企业等用户一般采用防火墙作为安全保障体系的第一道防线。但其天生的缺陷并不能满足用户的要求，由此产生了WAF（Web应用防护系统）。Web应用防护系统（WebApplicationFirewall,简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。WEB应用防火墙的功能

Web应用防火墙的具有以下四大个方面的功能：审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。WEB应用防火墙的特点1.异常检测协议：Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。2.增强的输入验证：增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。3.及时补丁：修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。虽然这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。WEB应用防火墙的特点4.基于规则的保护和基于异常的保护：基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。5.状态管理：WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件（比如登陆失败），并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。6.其他防护技术：WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。主机与数据库安全背景简介随着网络技术的发展，以及网络应用的普遍化，网络安全已经成为急待解决的一个重要问题，如何走好网络安全之路，第一步就是对操作系统多下点功夫。操作系统作为用户信息处理的软件环境，如何保证应用程序在一个安全可靠的环境下运行使得系统安全变得重中之重。学习目标通过这节的学习，我们可以了解主机系统存在的风险以及相应的危害了解针对风险相应的检查和加固方法了解主机类安全的相关产品概述实践证明，无论是那种系统，默认安装都是不安全的，实际不管你用Windows也好，Linux，Unix或其他系统，默认安装的都有很多漏洞，那怎么才能成为安全的系统呢？任何系统，尽管经过细心的配置，堵住已知的漏洞，也只可以说这个系统是相对安全的，而并非很多朋友说的那样，安装了系统，配置了防火墙，安装了杀毒软件，那么就安全了。但如果对系统不作任何安全设置，那就等于向黑客敞开大门。本节会由浅入深地介绍主机系统普遍存在的风险，并通过介绍检查和加固方法，方便大家对知识点更好的吸收。最后会给大家列出一些常用的安全工具或安全设备。什么是操作系统安全操作系统安全是指该系统能够控制外部对系统信息的访问，即只有经过授权的用户或进程才能对信息资源进行相应的读、写、创建和删除等操作，以保护合法用户对授权资源的正常使用，防止非法入侵者对系统资源的侵占和破坏。保护主机安全有哪些策略日志监视监视开放的端口和连接监视共享监视进程和系统信息日志监视

在系统中启用安全审核策略后，管理员应经常查看安全日志的记录，否则就失去了及时补救和防御的时机。除了安全日志外，管理员还要注意检查各种服务或应用的日志文件。例如在Windows2003IIS6.0中，其日志功能默认已经启动，并且日志文件存放的路径默认在System32/LogFiles目录下，打开IIS日志文件，可以看到对Web服务器的HTTP请求，IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力助手。监视开放的端口和连接对日志的监视只能发现已经发生的入侵事件，但是它对正在进行的入侵和破坏行为是无能为力的。这时，就需要管理员来掌握一些基本的实时监视技术。通常在系统被黑客或病毒入侵后，就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接，可用“netstat”命令进行会话状态的检查，可以查看已经打开的端口和已经建立的连接。当然也可以采用一些专用的检测程序对端口和连接进行检测。监视共享通过共享来入侵一个系统不失为一种好的手段，最简单的方法就是利用系统隐含的管理共享。因此，只要黑客能够扫描到IP和用户密码，就可以使用netuse命令连接到共享上。另外，当浏览到含有恶意脚本的网页时，计算机的硬盘也可能被共享，因此，监测本机的共享连接是非常重要的。监视进程和系统信息对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的进程查看功能进行进程的查找。例如在安装WindowsServer2003的支持工具（从产品光盘安装）后，就可以获得一个进程查看工具ProcessViewer；通常，隐藏的进程寄宿在其他进程下，因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现，常常它会把自己注册成一个服务，从而避免了在进程列表中现形。因此，还应结合对系统中的其他信息的监视，这样就可对系统信息中的软件环境下的各项进行相应的检查。主机风险本节主要介绍操作系统存在的普遍安全风险和脆弱点。通常管理员因为对系统配置的不当，导致账户口令、服务、补丁成为系统的薄弱点。以下将逐一介绍这些风险点以及风险所带来的威胁。主机风险账户与口令安全主机系统中普遍存在大量的账户，有些账户是不必要的，有些是系统默认自带的。这些不必要的账户，如果没有妥善的安全配置，将程序打开系统大门的一扇窗户。当我们讲到口令的时候，很自然的就会想到admin。这个口令让无数的主机和安全设备形同虚设。由此可见口令安全的重要性。

主机的账户中也普遍的存在弱口令和空口令的情况。接下来让我们通过口令破解与口令窃听这一手段来看下弱口令的威胁。

主机风险账户与口令安全（续）有许多专用的软件可以进行口令的自动化猜测，还有一些免费的工具，包括：Brutus，THCHydra，Medusa。Brutus是针对Windows的远程密码破解工具，可以破解HTTP、FTP、POP3、Telnet、SMB等密码。免费、功能强大，使其迅速发展，在密码破解软件中一直给予极高的评价。支持多级验证引擎最大同时支持连接线程为60支持无用户名、单用户和多用户破解模式密码列表，可组合（用户名和密码）列表或自己配置字典暴破独特的代理支持多种代理类型主机风险账户与口令安全（续）THC-HYDRA是一个支持多种网络服务的非常快速的网络登录破解工具。它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是多么容易。主机风险账户与口令安全（续）Medusa支持在linux下运行的口令破解工具。支持多种协议口令的破解。非常经典的破解工具。以下是Medusa支持的破解模块：主机风险账户与口令安全（续）有许多专用的软件可以进行口令的自动化窃听，包括：ettercap，cain。使用最多的就是cain了。它无缝集成了口令嗅探，所有的windows协议的破解功能。口令破解可以是暴力破解、字典攻击和rainbow算法破解。主机风险服务安全服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。

在这当中，有些服务是不必要的，有些是存在大量漏洞的，有些则是恶意的后门程序。对于那些不必要的服务，我们可以选择关闭这些服务；对于存在大量漏洞的服务，我们需要及时更新软件、修补漏洞；接下来我们将介绍一个经典的后门程序。主机风险服务安全（续）

这里介绍一个autoruns的软件，可以帮助我们看到已经启动的进程和系统启动时自动加载的程序，并且对这些程序有详细的介绍。使用autoruns可以直接关闭、禁用服务，修改服务相对应的注册表以及目录文件。

主机风险服务安全之后门程序（续）

这里介绍一个远程控制的后门程序。Pcshare一款计算机远程控制软件，采用HTTP反向通信，屏幕数据线传输，驱动隐藏端口通信过程等技术，达到系统级别的隐藏。类似灰鸽子，由于结合了最新的Rootkit技术，用一般的系统扫描软件无法检测到其木马服务信息。

Pcshare支持远程桌面、远程终端、远程文件管理、远程音频视频控制、远程鼠标键盘控制、键盘记录、远程进程管理、远程注册表管理、远程服务管理，远程窗口管理等等强大功能，支持批量管理。主机风险服务安全之后门程序（续）

主机风险补丁主机系统常常存在需要打补丁的情况。没有打补丁的主机往往非常容易就被入侵者入侵。因此需要常常检查并安全补丁程序。补丁有分系统补丁和应用程序的补丁。在安装补丁的时候，也需要注意补丁程序的提供方。主机风险补丁（续）

如果没有及时打安全补丁，我们的系统将会变得非常不安全。例如微软在其信息安全公告中，确认了一项攻击远程桌面协议的重大安全漏洞，预计黑客将于30天内针对此项漏洞发动攻击，事实上在微软公布编号MS12-020漏洞的几个小时内，即被证实攻击行为已经存在。主机风险补丁（续）

在我们下载更新补丁的时候，也需要注意补丁的更新源。防止有非法的组织通过提供假的更新源向我们的主机注入后门程序。

检查和加固通过之前的学习，我们看到系统中存在风险的这些问题需要我们在使用系统前进行严格的安全配置，在使用中细心留意系统的运行状况并关注安全事件的动态，及时修复已知的漏洞，并定期的对系统做检查和加固。下面我们将针对windows、linux和unix系统，介绍关于用户、口令、进程、服务、日志等方面的安全检查和加固方法。检查和加固Windows基本安全检查和加固基于NT技术的Windows操作系统自身带有强大的安全功能和选项，只要合理的配置它们，Windows操作系统将会是一个比较安全的操作系统。据说，有90％的恶意攻击都是利用Windows操作系统安全配置不当造成的。Windows检查和加固1.检查账户和口令策略检查是否存在非法用户：打开‘管理工具’—‘计算机管理’—‘本地用户和组’—‘用户’，或者在命令提示符中输入‘netuser’，就可以看到当前系统中存在的用户。加固方法：删除不需要的用户。Windows检查和加固1.检查账户和口令策略通过命令提示符可以进行系统账号的添加和删除：netuserxxx123456/addnetuserxxx/del将xxx用户移入（移出）管理员组：netlocalgroupadministratorsxxx/addnetlocalgroupadministratorsxxx/delWindows检查和加固1.检查账户和口令策略（续）检查主机账户策略：打开‘管理工具’—‘本地安全策略’—‘账户锁定策略’，查看是否已经设置了‘账户锁定时间’和‘账户锁定阈值’。加固方法：设置相关的策略，如‘账户锁定时间’和‘账户锁定阈值’。Windows检查和加固1.检查账户和口令策略（续）检查主机口令策略：打开‘管理工具’—‘本地安全策略’—‘密码策略’，查看是否已经启动了‘必须符合密码复杂性要求’。加固方法：设置相关的策略，如密码长度、密码生存期、强制密码历史，开启‘必须符合密码复杂性要求’。Windows检查和加固2.检查正在运行的非法服务和开放的端口检查方法：要获得当前系统所有开放的端口列表，可以使用工具Fport。加固方法：删除非法服务程序，配合防火墙屏蔽不需要的端口。Windows检查和加固3.检查日志检查方法：打开‘管理工具’—‘事件查看器’，就可以看到各类日志。加固方法：调整系统日志的大小和覆盖周期，以便发生安全事件后查看；定期备份日志数据，打开‘事件查看器’—‘操作’—‘另存日志文件’，把备份的日志文件放置在一个安全的地方。162Windows检查和加固4.检查服务器所应用的补丁

检查方法：使用MBSA，检查操作系统和SQLServer更新。

加固方法：开启系统自动更新。163Windows检查和加固5.检查默认共享操作系统安装后，系统会创建一些默认的共享，如共享驱动器、共享文件和共享打印等，这意味着进入网络的用户都可以共享和获得这些资源。

检查方法：在‘命令提示符’中输入‘netshare’，看是否有默认的共享。164Windows检查和加固5.检查默认共享（续）加固方法：

在“运行”中输入“regedit”确定后，找到“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。在“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa”找到“restrictanonymous”

将键值设为1，关闭IPC$共享。Windows检查和加固5.检查默认共享（续）加固方法：利用CMD系统命令关闭默认共享的方法：

运行

netshareadmin$/del

netsharec$/del

netshared$/delWindows检查和加固6.检查屏保密码

检查方法：在桌面上单击右键，点开‘属性’—‘屏幕保护程序’，检查是否开启‘在恢复时使用密码保护’。Windows检查和加固6.检查屏保密码（续）

加固方法：启动‘在恢复时使用密码保护’。