信息安全基础知识讲座.ppt

1、1,guangxi lzq,网络安全基础知识,2,安全知识 攻击简介 安全措施,提纲,3,一、安全知识,4,什么是安全？,国际标准化组织（ISO）引用ISO74982文献中对安全的定义是这样的，安全就是最大程度地减少数据和资源被攻击的可能性。 对于我们而言，安全的关键，或者说一个安全计划的目的是保护公司的财产。,5,安全的基本原则,可用性（availability） 保证经过认证的用户能够对数据和资源进行适时和可靠的访问。（如DOS攻击） 完整性（integrity） 是指保证信息和系统的准确性和可靠性，并禁止对数据的非授权的修改。（如用户硬盘满了，不小心删除了重要的文件。财务录入数据错误，工

2、资3000写成30000！） 机密性（confidentiality） 提供了保证在每一个数据处理和防止未经授权的信息泄漏的交叉点上都能够加强必要的安全级别的能力。（网络监控、肩窥、社交工程等）,6,安全的基本原则,可用性 防止服务和工作能力的崩溃。 完整性 防止对系统和信息进行未经授权的修改。 机密性 防止未经授权而透露某些敏感信息。 简称AIC安全三原则:可用性（availability）、完整性（integrity）和机密性（confidentiality）,7,AIC安全三原则,安全对象,可用性,完整性,机密性,8,安全要素,脆弱性 威胁 风险 暴露 对策（或安全措施）,9,安全要素定

3、义（1）,脆弱性（vulnerability） 是一种软件、硬件或是过程缺陷，这种缺陷也许会给攻击者提供他正在寻找的方便之门，这样他就能够进入某台计算机或某个网络，并在这个系统中对资源进行未经授权的访问。 存在脆弱性说明缺少了安全应该使用的安全措施，或者安全措施比较脆弱。如，防火墙上的某个开放端口，由于警卫的松懈使得任何人都可以进入服务器室，或者是服务器和工作站上没有加强管理的密码。,10,安全要素定义（2）,威胁（threat） 是对信息或系统任何潜在的威胁。威胁就是某人或某事，将确定一个特定的弱点，并用它来危害公司或个人。 利用脆弱点的实体被称为威胁因素。 威胁因素可能是通过防火墙上端口访

4、问网络的闯入者，违反安全策略进行数据访问的过程，毁坏了设施的强台风，或是某个雇员，他犯了一个不经意的错误，从而可能泄漏保密信息或是破坏文件的完整性。,11,安全要素定义（3）,风险（risk） 是威胁因素利用脆弱性进行攻击的可能性。或者说，风险是威胁因素利用脆弱性所造成的损失的潜能或是可能性。 如果一个防火墙有几个开放端口，那么入侵者利用其中的一个端口对网络进行非授权访问的可能性就会增大。如果网络没有安装入侵检测系统，那么攻击在不引人注意的情形下进行直到发现晚矣的可能性就大。降低脆弱性或者是降低威胁因素就可以降低风险。,12,安全要素定义（4）,暴露（exposure） 是因威胁因素而遭受损失

5、的一个案例。 脆弱性可能导致一个组织遭受可能的损失。如果密码管理非常随便松懈，密码规则也没有得到加强，那么公司用户密码就有可能被盗取并在没有授权的情况下被使用。如果一个公司的规章制度没有得到监管，不预先采取措施于防火警，那么它就有可能会遭受潜在的毁坏性的火灾。,13,安全要素定义（5）,对策（countermeasure），或者安全措施，可以减轻潜在的风险。 一项对策可以是一个软件配置、硬件或者是程序，它能够消除脆弱性或减小威胁因素利用脆弱性的风险。对策可以是强有力的密码管理措施，一个安全警卫，操作系统内部的访问控制机制，安装防火墙进行访问控制，还有员工安全意识培训等。,14,各个安全要素之间

6、的关系,引起,利用,导致,可以破坏,并引起一个,能够被预防，通过,15,自顶向下的方法,安全策略是公司安全计划的蓝图，为上层建筑提供了必要的基础。如果安全计划以一个坚实的基础开头，并且随着时间的推移向着预定的目标发展，那么公司就不必在中间作出大的改动。,16,风险分析,风险分析（实际上是一种风险管理工具）是识别风险及其可能造成的损失，从而调整安全防卫措施的方法。风险是威胁因素利用脆弱性损害系统或环境的可能性。风险分析用来保证安全措施是划算的，并能适当而适时地对威胁作出反应。 风险分析有4个主要目标： 1. 标识财产和它们面临的威胁; 2. 量化潜在威胁的商业影响; 3. 计算风险; 4. 以及

7、在风险影响和对策费用之间达到预算的平衡。,17,风险分析中的三个主要步骤,18,信息和资产的价值,附加于信息之上的价值与其涉及到的集团相关，此外，为开发该信息而付出的代价，为维护该信息而花费的资金，如果该信息丢失或遭到破坏将带来的损失，如果另外一个集团得到该信息能够获取的利益，等等这些都与信息的价值相关。,19,构成价值的成本,数据的实际价值是获取、开发和维护它所需要消耗的费用。该价值是由数据对其所有者、授权用户和非授权用户所具有的价值来决定的。 一项资产价值应该反映这样一种指标：当该资产遭受损害时，将会造成多少可确定的代价。,20,构成价值的成本,在给信息和资产定价的时候，下面的这些问题应该

8、被考虑到： 获取或开发该资产的所需的成本； 维护和保护该资产所需的成本； 该资产对所有者和用户所具有的价值； 该资产对竞争对手所具有的价值； 知识产权的价值； 某人愿意为购买该资产所付出的价格； 在损失的情况下替换该资产所需的费用； 在该资产不可用的情况下损失的运行和工作能力； 该资产贬值时的债务问题； 该资产的用处； 一个非常重要的问题就是，如果该公司不保护这些数据，将会造成多大的损失。,21,识别威胁,威胁和脆弱性之间的关系,22,定量风险分析,风险分析有两种：定量的和定性的。 定量的方法将对策的成本和可能发生的损失大小用具体的数字进行量化。 分析中的每一个要素（资产价值、威胁频率、脆弱性

9、的严重程度、损失影响、安全措施的成本、安全措施的效果、不确定性以及可能性条目）都被量化并输入公式以识别所有的剩余的风险。,23,定量风险分析,暴露因子（EF） 由标识的威胁造成的财产损失百分比。 单次损失期望值（SLE） 财产价值X暴露因子 年发生概率（ARO） 某个威胁一年中发生的估计概率 年损失期望值（ALE） 单次损失期望值X年发生概率,24,定性风险分析,定性的方法将考查各种风险的可能性情况，并将各种威胁的严重程度和财产的敏感程度排列顺序。相反，定性分析将考查各种风险的可能性情况，并将各种威胁的严重程度和财产的敏感程度排列顺序。 定性分析技术包括判断、直觉和经验。定性分析技术的例子有D

10、elphi、调查、问卷、会议等。,25,总风险和剩余风险,一个公司实行安全对策的原因是将整体风险减小到一个可以接受的水平。 没有100%安全的系统和环境，这就意味着我们总是漏掉了一些需要预防的风险。这就称为剩余风险。,26,总风险和剩余风险,剩余风险和总风险不同，总风险指的是某个公司不实行任何安全措施。 这种情形存在的原因是源于成本/分析的结果。如果某个公司的Web服务器发生问题的可能性很小，而提供更高级别的保护将会超过该风险造成的损失，那么该公司就不会选择实行安全措施，因而也就承担了总风险。,27,总风险和剩余风险,威胁X脆弱性X资产价值总风险 （威胁X脆弱性X资产价值）X控制间隙剩余风险

11、控制间隙是控制不能提供的保护。 实行对策总是减小风险的途径。由于没有公司能够消除所有的风险，这就意味着总是存在某种风险。问题是该公司愿意承担多大程度的风险。,28,处理风险,一旦公司了解到所面临的总风险和剩余风险，他们就必须决定如何地处理这些风险。 有4种处理风险的基本方法： 转移 抵制 减小 接受风险,29,处理风险,如果公司觉得总风险或剩余风险太大，承担不起，那么他们就可以买保险，这就是将风险转移给保险公司。 如果公司实行了对策，这就是在减小风险。 如果公司否认并忽视自己的风险，这就是抵制风险。这是非常危险的。 接受风险的意思是公司了解了他们所处的风险水平以及可能有的损失代价，他们决定和风

12、险共处。当成本/收益之比表明对策的成本超过了风险的代价的时候，许多公司就不会实行对策，而是接受风险。,30,安全计划,一个安全计划包含为公司提供全面保护和长远安全策略所必须的所有条款。 一个安全计划应该具有安全策略、规程、标准、方针、基线、安全意识培训、意外处理以及遵守程序。,31,安全策略,安全策略 是高级管理层（或是选定的委员会）决定的一个全面的声明，它规定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。 安全策略可以是一个组织策略、针对专门问题的策略或是针对系统的策略。,32,组织安全标准,组织安全标准 规定如何使用硬件和软件产品。它们也可以用于指明期望的用户行为。它们提供了一

13、种方法，保证在整个机构中、特定的技术、应用程序、参数和规程都被执行。 组织的标准可能会要求所有雇员都必须时刻带着公司的工作证，保密信息必须进行加密。在公司内部，这些规定通常都是强制的，如果公司想活得成功，就必须执行这些规定。,33,基线和方针,基线 提供对整个机构来说必须具有的最低安全水平。基线是标准的抽象，是最低的安全标准。 方针 是在某个标准不适用的情况下，向用户、IT人员、运营人员以及其他人员提供的建议性的行动和操作指导。方针处理的是保护计算机及其软件的方法。标准是特定的强制性的活动，而方针是为不可遇见的情况提供必要的适应性的一般方法。,34,规程,规程 是完成任务的详细具体步骤。（如，

14、如何分配计算机权限、如何进行审计、事故报告等等） 规程被看成是安全策略链中的最低级，因为它离计算机和用户最近并提供有关配置和安装问题的详细步骤。,35,安全策略,强制标准,推荐方针,详细规程,战略性,战术性,标准、方针和规程是战术目标，用来支持和达成安全策略中的指令，而安全策略本身就是战略目标。,36,安全策略、规程、标准和方针协同工作,37,信息分级,公开 内部 秘密 机密 绝密,38,组织内部的安全角色,高级管理人员 最终负责安全及其财产的保护。 安全问题专家 负责安全的功能问题并执行高级管理人员的指示。 数据拥有者 确定组织内部信息的数据安全分级。 数据管理员 维护数据，保持并保护数据的

15、机密性、完整性和可用性。 用户 在数据处理任务中使用数据。 审计员 检查机构内部的安全措施和机制。,39,二、攻击简介,40,无论现在工作在何种领域，都不可能没有注意到Internet对当今社会造成的巨大冲击。它为人们展现了一个宽广的机遇和市场。 对于Internet而言，就像任何一种其他的新技术一样，它都是有利弊两个方面。积极的方面它提供了巨大的机遇，消极的一面是它给许多公司造成了安全上的隐患。,41,什么是攻击行为？,基本上任何一种危及到一台机器安全的行为都可以认为是一种攻击行为。 危及包括以下几个方面： 可以访问 使访问简单化 使一个系统脱机 使敏感信息的敏感度降低,42,什么是攻击行为

16、？,对攻击的定义：一种攻击行为是“一个安全漏洞或一个安全漏洞的一种情况”。 上面指出了非常重要的一点：如果有攻击行为，那就必须存在能威胁的弱点。如果没有薄弱环节，那就没有什么好攻击的。所以大多数人说真正安全的系统是没有联网的机器。,43,攻击的步骤,1）被动的侦察 2）主动的侦察 3）入侵系统 4）上传程序 5）下载数据 6）保持访问 7）隐藏踪迹 （注意并不是每一步都会执行）,44,我们从攻击者的观点来简要执行一下每一步。当攻击者有了关于这个系统的任何一般信息后就开始窥视系统。这些信息包括域名和公司服务器和系统。当所有的被动信息收集到后，主动侦察就开始了。攻击者会努力找到关于这个系统的更多的

17、信息而不至于引起过多的警告。于是，他收集一些信息如IP地址、开放端口、操作系统和版本号等。在初始信息收集到后，攻击者会步入每一个攻击领域：操作系统、应用程序、教本和配置错误的系统。在每一阶段，黑客都会努力去攻击，如果不成功，他会收集关于这个部件的更多的信息。这个阶段的所有信息都收集到后，他会转向下一步。攻击成功和访问成功后，攻击者就上传必要的程序，通过安装特洛伊木马保存路径，并且清除痕迹以隐藏攻击。,45,被动的侦察,去攻击一个系统，攻击者就必须有一些基本信息，否则他不知道怎样去攻击。专业的夜贼不会随机地去抢劫人家，相反他会找一个目标，如小李，他会暗地里侦察小李的家住哪里和其他一些基本信息。

18、被动信息的收集不是常常有用的，但它是必要的一步，因为这些信息是其他步骤的先决条件。 嗅探sniffing是最常见的一种被动攻击。,46,主动的侦察,攻击者积极的探查或扫描站点。在这个阶段，攻击者得到的信息越多，当他攻击系统时就越容易。 下面是攻击者尽力去发现的一些关键信息： 可以访问的主机； 路由器和防火墙的位置； 关键部件上运行的操作系统； 开放的端口； 运行的服务； 运行的应用程序的版本号；,47,入侵系统,大多数人提到入侵时只会想到能够对目标系统进行访问，但还有其他两个方面：提升权限和拒绝服务。,48,上传程序,当攻击者可以访问目标时，通常会在服务器上做一系列的工作，上传一些程序到这个系

19、统。这些程序可以用来提高访问能力，在网络生危机其他系统的安全，或上传可以破坏其他系统的的工具。,49,下载数据,攻击者在目标系统寻找信息，这些信息包括的数据有最新的研究、开放的产品、客户的列表，或是公司的未来趋势。如果这些数据被下载，且我们没有发现时，我们也有没有机会阻止这次攻击。,50,保持访问,大多时候，攻击者入侵了一个系统之后，他会建立一个后门以便以后能随时访问。 如，通过特洛伊木马程序在这个系统上增加帐户或开放一些端口。,51,隐藏踪迹,当攻击者闯进了机器并创建了后门之后，最后一件事情就是保证他不被发现。因此攻击者最后一步就是隐藏他的踪迹。 隐藏踪迹最基本的事情就是清除日志文件。攻击者

20、找到日志文件的位置后删去关于他的攻击的记录。,52,信息收集,在攻击者能够攻击之前，他们需要了解要攻击的环境，这需要收集关于机器数目、类型、操作系统等等预备信息。 信息收集的步骤： 1 找到初始信息 2 找到网络的地址信息 3 找到活动的机器 4 找到开放的端口 5 弄清操作系统 6 弄清每个端口运行的是那种服务 7 画出网络图,53,欺骗,如果攻击者能让计算机或者网络相信他是别人（信任方），他可能能够获得正常情况下不能得到的信息。 欺骗的类型： IP欺骗 公司使用其他计算机的IP地址来获得信息或者得到特权。 电子邮件欺骗 电子邮件发送方地址的欺骗。 Web欺骗 假冒Web网站。如假工商银行网

21、站。 非技术欺骗 这些类型的攻击把精力集中在攻击公司的人力资源上。如社会工程。,54,会话劫持,会话劫持就是接管一个现存的动态会话过程。劫持会话最主要的原因之一就是通过授权过程可以获得进入系统的机会，因为就会话劫持而言，此时用户已经通过提供用户ID和密码，在授权的情况下登录到服务器上。在用户通过了身份验证并获得进入服务器的权利后，只要他与服务器动态连接着，就不再需要重新通过验证。黑客门可以使用各种方式使用户下线然后再代替这个用户，此时他不再需要任何登录行为就可以进入系统了。,55,会话劫持,小李,攻击者,服务器,服务器验证小李,小李登录服务器,Die！,你好，我是小李,56,拒绝服务攻击DOS

22、,DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。 最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。,57,分布式拒绝服务攻击DDOS,分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台

23、，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。 通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。,58,分布式拒绝服务攻击DDOS,攻击者,受害者,傀儡机,远程控制,发起攻击,59,拒绝服务攻击类型,Ping of Death SSPing Land Smurf Syn Flood CPU Hog Win Nuke RPC Locator Jolt2,60

24、,Ping of Death：一种依靠向目的主机发送大量ping数据包的拒绝服务攻击。攻击者向受害者的机器发送大量ping数据包，因为大多数操作系统不知道如何处理比最大包大的数据包，从而导致操作系统死机。 SSPing：一种发送一系列高度碎片化的过大的ICMP数据包的拒绝服务攻击。,61,Land：程序通过发送一个TCP SYN数据包使得源地址与目的地址相同，源端口与目的端口相同，从而产生拒绝服务攻击。 Smurf：一种向广播地址发送伪造的ICMP数据包的攻击方式。攻击者使用经过欺骗的受害者的IP地址向一个广播地址发送ICMP回响请求（ping）通信。在一个多层访问的广播网络上，这会造成潜在的

25、数以千计的计算机对每个ping信号作出响应。,62,Syn Flood：是一种蓄意侵入三次握手并打开大量半开TCP/IP连接而进行的攻击。大连的半连接使受害者服务器系统的半连接数据结构最终被填满，系统也就不能再接收进来的新连接，直到数据表被清空。 CPU Hog：一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击。其工作原理是攻击Windows NT进程执行的排序方式的漏洞。,63,Win Nuke：是一种以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139，即NetBIOS发送超大量的数据。因为这些数据并不是目的主机所需要的，所以会导致目的主机死机。 RPC Loca

26、tor：攻击者通过telnet连接到受害者机器的端口135上，发送大量数据，导致CPU资源完全耗尽。,64,Jolt2：是远程用户可以通过不同的网络向多种操作系统发送碎片驱动的拒绝服务攻击。当CPU试图处理这些非法的IP数据包时，系统就会因CPU耗尽资源而死机。,65,缓冲区溢出攻击,攻击者试图在一个不够大的接受器里存储过量的信息就是一次缓冲区溢出攻击。例如，如果一个程序只能接受50个字符，而用户却输入了100个字符，这样由于过多的数据输入到了一个不够大的接受器，该程序将不能控制它，多出部分将写入内存。,66,缓冲区溢出攻击,内存 底部,内存 顶部,填充方向,返回指针,函数调用的参数,内存 底

27、部,内存 顶部,填充方向,返回指针,函数调用的参数,缓冲1空间 被覆盖,返回指针 被覆盖,正常情况,缓冲区溢出,67,三、安全措施,68,一般安全措施,防火墙 入侵检测 安全评估 网络安全审计 数据库安全审计 身份认证 VPN 防病毒 安全管理平台,69,防火墙,防火墙是在两个网络之间执行控制策略的系统，目的是不被非法用户侵入。 防火墙是内部与外部网连接中的第一道屏障。 在内部网络和外部网络之间合理有效地使用防火墙是网络安全的关键。,70,防火墙,Internet,WWW,DNS,Mail,Proxyl,File Server,71,入侵检测,发生以下情况: * 当来自网络外部的攻击穿透防火墙

28、进入内部网时。 * 当攻击来自网络内部时。 防火墙的保护功能已经不复存在，无法对攻击进行响应或阻断。 如果上述情况发生就需要采用入侵检测系统来加强网络安全保障。,72,入侵检测,入侵检测系统是实时的网络违规自动识别和响应系统。 当发现网络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全策略作出反应并报警。,73,入侵检测的类型,基于主机的入侵检测 -包括Administrator,Manager,Agent. -每台主机安装1个Agent. 基于网络的入侵检测 -包括Console,Manager,Agent. -每个网段中安装1个Agent.,74,基于主机的入侵检测,Inte

29、rnet,WWW,DNS,Mail,Proxyl,Agent,Agent,Agent,Agent,Manager & Agent,Administrator & Evenet viewer,File Server,75,基于网络的入侵检测,Internet,WWW,DNS,Mail,Proxyl,Agent,Console,Agent,SPAN port,Manager & Agent,File Server,76,安全评估（漏洞扫描）,操作系统潜在安全漏洞 软件漏洞 硬件设备安全缺陷 其他未发现潜在安全漏洞,77,安全评估,安全漏洞扫描和风险评估工具，主要用于评估多种操作系统平台的系统安全性

30、和应用安全 。 检测现有安全策略的有效性，发现存在安全漏洞，根据具体情况制定相应的安全策略。,78,安全评估的类型,基于主机的安全评估 -包括Console,Manager,Agent. -每台主机安装1个Agent. 基于网络的安全评估 -包括Console,Scanner. -安装1个Scanner（扫描器）.,79,基于主机的安全评估,Internet,WWW,DNS,Mail,Proxyl,Agent,Agent,Agent,Agent,Manager & Agent,Console,File Server,80,基于网络的安全评估,Internet,WWW,DNS,Mail,Proxyl,Scanner,Console,File Server,81,网络安全审计,网络中的“黑匣子” -对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。,82,网络安全审计,Internet,WWW,DNS,Mail,Proxyl,审计中心 & 审计管理,SPAN port,网探,网探