信息安全培训讲义

欢迎大家的到来

信息安全培训讲义目录为什么需要信息安全？1什么是信息安全？2常见安全产品原理简介3校园网安全建议4残酷的现实2011年2月银行动态口令升级群发短信诈骗2011年3月RSA遭受高级可持续攻击2011年3月僵尸网络攻击韩国10天2011年4月索尼7700万用户数据被泄露2011年6月花旗银行36万客户资料被窃2011年8月新浪微博爆发蠕虫病毒2011年9月多个开源系统官网被攻击2011年末天涯、CSDN等26网站被爆库2012年1月赛门铁克源代码泄露2012年6月网络战武器Flame出现2010年下半年教育网挂马情况数据来源：中国教育和科研计算机网紧急响应组/Flame！大小达20MB已潜伏2年多背景深厚任何传染方式大量0-day漏洞具备20多个功能模块“2.20”公安部督办专案案发于广东“揭阳人事考试网”的每月巡查涉及政府网站185个3万多人办理各类假证涉案金额超过3亿元盗卖涉及个人隐私的资料数据300多万条高考志愿篡改案有关政策要求《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》（公通字［2007］43号）《计算机信息系统安全等级保护划分准则》（GB/T17859-1999）《信息系统安全等级保护定级指南》（GB/T22240-2008）《信息系统安全等级保护实施指南》（GB/T25058-2010）《信息系统安全等级保护基本要求》（GB/T22239-2008）《信息系统安全等级保护测评要求》（报批稿）《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函[2011]83号）《教育部办公厅关于开展信息系统安全等级保护工作的通知》

（教办厅函[2009]80号）-8-目录为什么需要信息安全？1什么是信息安全？2常见安全产品原理简介3校园网安全建议4-10-什么是信息（Information）ISO/IEC的IT安全管理指南（GMITS，即ISO/IECTR13335）对信息（Information）的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息可以以多种形式存在：打印或者写在纸上电子形式存储与传递以多媒体形式存在，如电影、影像、胶片、磁带、广播、交谈等什么是信息安全？-11-是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。-12-物理安全技术：环境安全、设备安全、介质安全；网络安全技术：隔离、访问控制、VPN、入侵检测等；系统安全技术：操作系统及数据库系统的安全性；防病毒技术：单机防病毒、网络防病毒体系；认证授权技术：口令、令牌、生物特征、数字证书等；应用安全技术：Web安全、应用系统安全；数据加密技术：硬件和软件加密；灾难恢复和备份技术：数据备份。常用信息安全技术OSI模型-13-OSI各层对应的攻击-14-物理层的攻击：该层的攻击手法是对网络硬件和基础设施进行物理破坏。例如:对一个机房的出口线缆进行破坏,使得其无法访问外部网络。危害：网络中断、设备损坏等物理破坏数据链路层的攻击：该层次上有两个重要的协议ARP(地址解析协议)和RARP(反地址解析协议)。ARP欺骗和伪装是常见的链路层攻击。危害：数据被窃取OSI各层对应的攻击网络层的攻击：该层次主要的攻击方法包括IP碎片攻击、路由欺骗、PingofDeath、IP欺骗与伪造等。危害：网络性能降低或中断、数据的窃取等传输层的攻击：主要是各类拒绝服务攻击，利用TCP的三次握手机制，像SYNFlooding攻击、ACKFlooding攻击等。危害：导致服务瘫痪会话层的攻击：主要是窃取合法用户的会话信息，然后冒充该用户，以达到非授权访问的目的，或窃取合法用户的权限和信息。如盗用Cookies和重放攻击。危害：用户信息被窃取，非法侵入等

-15-OSI各层对应的攻击表示层的攻击：表示层的攻击是针对格式翻译和数据处理来进行的，代表是Unicode攻击以及计算溢出攻击。危害：数据内容被篡改、管理员权限被获取后非法侵入等应用层的攻击：是针对应用程序的设计漏洞进行的，如对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括SQL注入、跨站攻击、挂马等；危害：以上危害的综合体现-16-解决网络安全的措施-17-物理安全防范-18-物理层安全的主要技术手段：计算机网络通信线路的屏蔽网络物理隔离设备和线路冗余机房和人员的安全管理数据容灾链路安全防范-19-数据链路层的安全技术手段：数据链路加密MAC地址欺骗防护VLAN划分MAC地址欺骗防护-20-ARP(AddressResolutionProtocol)完成IP地址到MAC地址的映射虚拟的与硬件无关的可变的真实的网卡决定的通常不可改变IP地址欺骗MAC地址欺骗ARP高速缓存-21-每台主机都要维护一个IP地址到MAC的转换表，称为ARP缓存ARPCache。存放着最近用到的一系列跟它通信的同一子网的计算机的IP地址和MAC地址的映射。减少局域网广播加快访问速度MAC地址欺骗原理-22-我是谁是布什？我是新来的布什网络安全防范-23-网络层的安全技术手段：防火墙（ACL）负载均衡流量控制防拒绝服务攻击应用安全防范-24-应用层的安全技术手段：IPS/IDS防病毒身份认证系统终端安全管理/漏洞扫描WEB防火墙目录为什么需要信息安全？1什么是信息安全？2常见安全产品原理简介3校园网安全建议4防火墙简介用作网络边界的访问控制被称为逻辑隔离目前主流产品采用状态检测技术主要处理IP包头，也可具有内容检测功能选购时参考吞吐量、并发连接数、接口主要品牌：启明星辰、天融信推荐开源软件pfSense

-26-防火墙典型部署-27-部署在不同安全级别的网络安全域之间，根据不同的安全级别对不同的安全域开启不同的安全防护策略。负载均衡设备简介分为链路负载和服务器负载均衡两类链路负载均衡用于跨运营商链路的自动优化并实现带宽资源的充分利用服务器负载均衡保障服务器集群的响应时间和服务能力主要品牌：F5、Radware推荐开源软件Nginx

-28-负载均衡典型部署-29-IPS/IDS简介IDS（入侵检测系统）接受镜像流量并分析报警IPS（入侵防御系统）串行在链路中分析入侵阻断基于特征库工作，需要定期更新选购时主要参考误报率/误杀率、吞吐量和并发数主要品牌：绿盟、启明星辰推荐开源软件Snort

-30-IPS/IDS典型部署-31-流量控制系统简介串联在网络边界处对流量进行处理可以识别数据包中的协议类型针对不同的IP地址和协议进行带宽分配用来保护关键用户和协议应用选购时主要考虑流量、并发数和接口主要品牌：深信服、网康推荐开源软件Panabit/-32-流量控制系统典型部署-33-防病毒网关简介串联在网络边界对网络流量进行恶意代码查杀一般和网络防病毒软件选择不同特征库产品经常与防火墙合并为UTM产品进行销售选购时需注意吞吐量和接口主要品牌：Mcafee、安启华推荐开源软件Untangle-34-防病毒网关部署-35-上网行为管理简介根据《互联网安全保护技术措施规定》（公安部82号令）要求上网记录必须留存60天，可串联可并联记录用户访问的网页，可对协议类型进行识别可对部分聊天工具进行监控选购时主要参考吞吐量、接口和并发连接数主要品牌：深信服、网康-36-上网行为管理部署-37-漏洞扫描系统简介可检测网络设备、安全设备和主机的安全漏洞可扫描操作系统的漏洞、弱口令、空口令并探测存活的服务类型保持路由可达即可执行扫描定期扫描可准确了解网络的安全状态选购时主要参考并发扫描数、分析报告的可读性主要品牌：绿盟、启明星辰推荐开源软件Nessus-38-漏洞扫描部署-39-终端安全管理简介主要功能包括资产管理、终端保护、进程监控和外设管理等可检查安全状况实现准入控制、限制移动存储设备使用、监控资产变化、推送补丁、监控进程需要在终端上安装Agent选购时主要考虑功能和准入方式主要品牌：赛门铁克、Landisk-40-终端安全管理部署-41-安全管理平台简介对分散的安全日志和事件进行集中，实现统一安全事件展现和管理获取网络设备的SNMPTRAP消息、安全设备的SYSLOG日志和主机设备的安全日志主机上需安装Agent或配置支持WMI的日志采集套件属于项目化的安全产品，定制程度高-42-安全管理平台部署-43-目录为什么需要信息安全？1什么是信息安全？2常见安全产品原理简介3校园网安全建议4校园网特点规模大、节点分散网络流量大且时段集中新旧设备混杂，维护不便学生好奇心强，进行各种破坏网站一般采用虚拟主机或托管方式-45-案例一某天，某校报告网络速度缓慢通过网络管理软件进行流量分析确认某主机流量异常将该设备断开网络后速度恢复正常查杀病毒后接入网络无异常案例二某天，某校报告大部分终端不能访问网络查看该校上行链路正常查看该校核心设备部分端口流量异常在某办公室发现无线路由器造成环路