网络运维技术培训教材

平安运维雅电集团信息科李科目录：一.网络平安态势二.平安运维根底技术三.网络攻击介绍四.平安运维防御措施网络安全表现特点网络安全威胁来源网络安全威胁因素在政府相关部门、互联网效劳机构努力下，我国互联网网络平安状况继续保持平稳状态，政府网站平安事件显著减少，未发生造成大范围影响的重大网络平安事件。根据国家互联网应急中心的统计，主要表现为以下六大特点：2.政府网站页面被篡改事件频发，信息泄露引发关注网络安全表现特点相关的信息平安漏洞数量较多。据国家信息平安漏洞共享平台〔〕收录的漏洞统计，2021年发现涉及电信运营企业网络设备〔如路由器、交换机等〕的漏洞203个，其中高危漏洞73个。发现域名解析系统零日漏洞23个,其中9漏洞7个。涉及电信运营企业的攻击形势严峻网络安全表现特点2021年境内被篡改网站数量为36612个，较2021年增加5.1%；2021年底，、天涯等网站发生用户信息泄露事件引起社会广泛关注，严重威胁了互联网用户的合法权益和互联网平安。2.政府网站页面被篡改事件频发，信息泄露引发关注网络安全表现特点我境内受控主机数量大幅增长，由2021年的近500万增加至近890万。美国以9528个地址控制着我国境内近885万台主机，控制我国境内主机数高居榜首。网络安全表现特点2021年，全年共发现近890万余个境内主机地址感染了木马或僵尸程序，较2021年大幅增加78.5%。其中，感染窃密类木马的境内主机地址为5.6万余个，国家、企业以及网民的信息平安面临严重威胁。网络安全表现特点2021年，公开发布信息平安漏洞5547个，较2021年大幅增加60.9%。其中，高危漏洞有2164个，较2021年增加约2.3倍。在所有漏洞中，涉及各种应用程序的最多，占62.6%，涉及各类网站系统的漏洞位居第二，占22.7%，而涉及各种操作系统的漏洞那么排到第三位，占8.8%。网络安全表现特点我国境内日均发生攻击总流量超过1G的较大规模的攻击事件365起。其中，和等常见虚假源地址攻击事件约占70%，对其溯源和处置难度较大。

6.拒绝效劳攻击事件频发网络安全表现特点网络内部、外部泄密拒绝效劳攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丧失、篡改、销毁后门、隐蔽通道蠕虫网络安全威胁来源信息系统自身安全的脆弱性操作系统与应用程序漏洞安全管理问题黑客攻击网络犯罪网络安全威胁因素信息系统自身安全的脆弱性信息系统脆弱性指信息系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使系统处于异常状态，甚至崩溃瘫痪等的根源和起因。这里我们从以下三个层面分别进行分析：硬件组件软件组件网络和通信协议信息系统自身安全的脆弱性信息系统硬件组件平安隐患多源于设计，主要表现为物理平安方面的问题。硬件组件的平安隐患除在管理上强化人工弥补措施外，采用软件程序的方法见效不大。——在设计、选购硬件时，应尽可能减少或消除硬件组件的平安隐患硬件组件的平安隐患信息系统自身安全的脆弱性软件组件的平安隐患来源于设计和软件工程实施中遗留问题：软件设计中的疏忽软件设计中不必要的功能冗余、软件过长过大软件设计部按信息系统平安等级要求进行模块化设计软件工程实现中造成的软件系统内部逻辑混乱软件组件的平安隐患信息系统自身安全的脆弱性网络和通信协议的平安隐患协议：指计算机通信的共同语言，是通信双方约定好的彼此遵循的一定规那么。协议簇是目前使用最广泛的协议，但其已经暴露出许多平安问题。序列列猜测路由协议缺陷数据传输加密问题其它应用层协议问题操作系统与应用程序漏洞操作系统系统是用户和硬件设备的中间层，操作系统一般都自带一些应用程序或者安装一些其它厂商的软件工具。应用软件在程序实现时的错误，往往就会给系统带来漏洞。漏洞也叫脆弱性〔〕，是计算机系统在硬件、软件、协议的具体实现或系统平安策略上存在的缺陷和缺乏。漏洞一旦被发现，就可以被攻击者用来在未授权的情况下访问或破坏系统，从而导致危害计算机系统平安的行为。安全管理问题管理策略不够完善，管理人员素质低下，用户平安意识淡薄，有关的法律规定不够健全。管理上权责不分，缺乏培训意识，管理不够严格。缺乏保密意识，系统密码随意传播，出现问题时相互推卸责任。黑客〔〕，源于英语动词，意为“劈，砍〞，引申为“干了一件非常漂亮的工作〞。在早期麻省理工学院的校园俚语中，“黑客〞那么有“恶作剧〞之意，尤指手法巧妙、技术高明的恶作剧。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。网络黑客的主要攻击手法有：获取口令、放置木马、欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。黑客攻击黑客攻击黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民效劳漏洞发现-软件破解-0工具提供-白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo-匿名恶渴求自由黑客攻击常见黑客攻击及入侵技术19801985199019952000密码猜测可自动复制的代码密码破解利用的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗远程控制自动探测扫描拒绝效劳攻击工具攻击者入侵者水平攻击手法半开放隐蔽扫描控制台入侵检测网络管理攻击2005高网络犯罪网络数量大规模增长，网民素质参差不齐，而这一领域的各种法律标准未能及时跟进，网络成为一种新型的犯罪工具、犯罪场所和犯罪对象。网络犯罪中最为突出的问题有：网络色情泛滥成灾，严重危害未成年人的身心健康；软件、影视唱片的著作权受到盗版行为的严重侵犯；电子商务备受诈欺困扰；信用卡被盗刷；购置的商品石沉大海，发出商品却收不回货款；更有甚者，侵入他人网站、系统后进行敲诈，制造、贩卖计算机病毒、木马或其它恶意软件，已经挑战计算机和网络几十年之久的黑客仍然是网络的潜在危险。安全运维概念安全运维目标安全运维内容安全运维架构安全运维技术和工具平安运维概念平安运维就是为了保障政府或企事业单位用户电子业务平安、稳定和高效运行而采取的生产组织管理活动，简单来说就是使用各种维护手段保障用户电子业务平安、稳定、高效的运行。如何保证单位网络有效、可靠、平安、经济的运行？对自身网络结构非常清晰对单位业务应用非常了解对日常业务软件的掌握了解常用的网络平安技术熟练掌握单位现有网络设备的配置与操作掌握常用的网络故障诊断技术……平安运维目标通过平安运维提高用户网络运行质量，做到设备资产清晰、网络运行稳定有序、事件处理处置有方、平安措施有效到位，提升网络支撑能力，提高网络管理、平安管理水平，保障信息平台稳定、持续的运行。平安运维内容平安检查平安运维平安监控平安通告补丁管理日志分析漏洞检测渗透测试源代码扫描平安风险评估平安策略加固应急响应平安培训平安运维架构平安运维方案资产管理脆弱性管理威胁管理平安通告补丁管理平安监控平安配置平安加固应急响应平安检查漏洞检测渗透测试源代码扫描平安风险评估平安培训周期性平安运维报告平安运维技术和工具运维内容检查项使用工具网站安全监控安全性监控网页篡改网站防护系统域名劫持网站群警戒服务平台关键词防火墙可用性监控网站连通性网站群警戒服务平台业务功能网站群警戒服务平台系统资源内网监控平台本地安全检查安全设备、、防火墙、交换机等定期巡检服务器操作系统硬件状态如磁盘、、定期巡检服务器系统更新微软更新、应用更新、防病毒更新等定期巡检运维内容检查项使用工具本地安全监控系统日志审计系统日志、应用日志、安全日志等定期巡检服务器安全策略管理员账号、密码策略、用户安全策略定期巡检应用安全检测、等定期巡检系统用户管理身份验证、访问控制、安全审计等定期巡检源代码扫描扫描系统网站漏洞扫描网站数据库安全评估扫描

服务器系统安全评估扫描

主机漏洞扫描网络隐患扫描系统网络漏洞扫描网络隐患扫描系统网站漏洞检测网站群警戒服务平台网站安全加固操作系统优化、升级、加固安全加固数据库优化、升级、加固安全加固网络设备的配置优化、系统加固安全加固安全管理优化安全加固网络体系结构的优化设计安全加固网络攻击过程一般可以分为本地入侵远程入侵在这里主要介绍远程攻击的一般过程：远程攻击的准备阶段远程攻击的实施阶段远程攻击的善后阶段远程攻击的准备阶段确定攻击目标信息收集效劳分析系统分析漏洞分析确定攻击目标攻击者在进行一次完整的攻击之前，首先要确定攻击要到达什么样的目的，即给受侵者造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击——是指只破坏攻击目标，使之不能正常工作，而不能随意控制目标上的系统运行。入侵型攻击——这种攻击要获得一定的权限才能到达控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管理员权限就可以对目标做任何动作，包括破坏性质的攻击。远程攻击的准备阶段信息收集包括目标的操作系统类型及版本、相关软件的类型、版本及相关的社会信息收集目标系统相关信息的协议和工具实用程序、、程序协议:用来查询域名是否已经被注册协议:显示有关运行效劳或的指定远程计算机〔通常是运行的计算机〕上用户的信息协议:简单网络管理协议远程攻击的准备阶段信息收集举例：在网络中主机一般以地址进行标识。例如选定192.168.1.250这台主机为攻击目标，使用命令可以探测目标主机是否连接在中。在下使用命令测试：测试结果如下页图所示。说明此主机处于活动状态。远程攻击的准备阶段信息收集远程攻击的准备阶段效劳分析探测目标主机所提供的效劳、相应端口是否开放、各效劳所使用的软件版本类型：如利用、等工具，或借助、等这类工具的端口扫描或效劳扫描功能。举例：下，开始—运行—输入：192.168.1.25080，然后回车远程攻击的准备阶段效劳分析远程攻击的准备阶段远程攻击的准备阶段系统分析确定目标主机采用何种操作系统举例：在下安装v4.20扫描工具，此工具含的功能〔使用选项〕。翻开，输入命令：–O192.168.1.250，然后[确定]探测结果如下页图所示，说明操作系统是20001、2或者3远程攻击的准备阶段系统分析远程攻击的准备阶段漏洞分析分析确认目标主机中可以被利用的漏洞手动分析：过程复杂、技术含量高、效率较低借助软件自动分析：需要的人为干预过程少，效率高。如、等综合型漏洞检测工具、等专用型漏洞检测工具等。举例：在下使用对目标主机192.168.1.18进行系统漏洞分析。探测结果如下页图所示，说明目标主机存在震荡波漏洞。远程攻击的准备阶段漏洞分析远程攻击的实施阶段作为破坏性攻击，可以利用工具发动攻击即可。作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取尽可能高的权限。攻击的主要阶段包括：预攻击探测：为进一步入侵提供有用信息口令破解与攻击提升权限实施攻击：缓冲区溢出、拒绝效劳、后门、木马、病毒远程攻击的善后阶段入侵成功后，攻击者为了能长时间地保存和稳固他对系统的控制权，一般会留下后门。此外，攻击者为了自身的隐蔽性，须进行相应的善后工作——隐藏踪迹：攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了，所以一般黑客如果想隐匿自己的踪迹，最简单的方法就是删除日志文件但这也明确无误地告诉了管理员系统已经被入侵了。更常用的方法是只对日志文件中有关自己的那局部作修改，关于修改方法的细节根据不同的操作系统有所区别，网络上有许多此类功能的程序。入侵系统的常用步骤采用漏洞扫描工具选择会用的方式入侵获取系统一定权限提升为最高权限安装系统后门获取敏感信息或者其他攻击目的较高明的入侵步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的效劳获取系统一定权限提升为最高权限安装多个系统后门去除入侵脚印攻击其他系统获取敏感信息作为其他用途针对网络攻击我们怎么办？个人用户防护措施加密重要文件防火墙定期升级补丁杀毒软件定期升级和杀毒定期备份系统或重要文件防护措施防止黑客入侵关闭不常用端口关闭不常用程序和效劳及时升级系统和软件补丁发现系统异常立刻检查查看翻开端口：–关闭常用入侵端口：常用的防护措施完善平安管理制度采用访问控制措施运行数据加密措施数据备份与恢复风险管理风险管理的概念识别风险、评估风险、采取步骤降低风险到可接受范围风险管理的目的 防止或降低破坏行为发生的可能性 降低或限制系统破坏后的后续威胁风险管理—案例网络平安事件应对措施对于非法访问及攻击类对于病毒、蠕虫、木马类对于内部信息泄露、非法外联、内部攻击类对于系统统一管理、信息分析、事件分析响应对于非法访问及攻击类在非可信网络接口处安装访问控制防火墙、蠕虫墙、墙、、、内容过滤系统Internet防火墙、、、内容过滤等防设备语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公N网段教学网段3教学网段2教学网段4网管网段校园网效劳器群