内容安全与安全审计.ppt

1、内容安全与安全审计,郑州翔龙,Page 2,2、常见解决方案介绍,1、内容安全的范畴？,主题,Page 3,2004全国信息网络安全状况分析,Page 4,公安部公布2005年全国信息网络安全状况,83%的单位感染了计算机病毒、蠕虫和木马程序， 36%的单位受到垃圾电子邮件干扰和影响 59%的单位发生网络端口扫描、拒绝服务攻击和网页篡改等安全事件,Page 5,经验教训,网络安全不是信息安全的全部问题，内容安全是相当重要的部分，未来，内容安全的重要性要大于网络安全。,Page 6,内容安全的范畴,严格意义上讲，垃圾邮件、病毒、木马、间谍软件和网络钓鱼，系统中传输和存储的数据（信息）的保护防止泄

2、露或被篡改等都属于内容安全的范畴。,Page 7,2、常见解决方案介绍,1、内容安全的范畴？,主题,Page 8,案例：某公司办公网络,Page 9,病毒 恶意代码、木马 垃圾邮件 系统漏洞 数据泄露、网络嗅探 。,系统漏洞 应用缺陷 恶意代码、木马 。,Page 10,企图从网络上解决内容安全的问题，要么破坏了网络的可用性，要么无法保证网络内容的可控性。 如果你不接受邮件，邮件垃圾也就没有了 。 如果你接受正常的邮件，由于无法准确判断，垃圾邮件和正常邮件都会接收,Page 11,1、建立防病毒系统,集中管理、监控 定时下发病毒库 定时自动扫描,Page 12,部署示意,Firewall,Fi

3、le Server,VirusScan Client,Internet Gateway,VirusScan Server,Mail Server,Page 13,2、主机系统加固,定期安全评估、加固 新设备入网前加固,Page 14,系统加固内容,系统补丁 端口与服务 系统参数 网络配置参数 用户管理 访问控制 审计,Page 15,3、桌面终端保护,定时更新最新的安全补丁 只允许安装特定的软件 间谍程序、木马检测 可计划的任务分发,Page 16,部署示意,Firewall,File Server,Client,Internet Gateway,VirusScan Server,桌面管理 C

4、ontrol,Mail Server,Page 17,4、反垃圾邮件,电子邮件是互联网上最常用的应用之一，但由于历史的原因，也是最易被滥用。统计表明，高达70%的电子邮件属于垃圾邮件，而处理垃圾邮件以及其相应带来的危害所造成的损失更是数以亿计。,Page 18,垃圾邮件已成为互联网的一大公害 堵塞邮件服务器的出口 大量处理导致邮件服务器拒绝服务 利用图片作为反动信息的主要传播源 附件中携带大量危险病毒文件 利用邮件中的超级连接弹射黄色站点等,Page 19,反垃圾邮件系统的部署,Page 20,5、数据完整性保护,一般部署在要监控的服务器。根据策略文件对服务器重要数据生成基线数据库，并监控和报

5、告数据的变化，确保信息数据的完整性和安全性。,Page 21,功能与应用,黑客入侵检测 主机安全保护 建立系统文件配置基准 文件系统完整性 业务连续性保证 系统变化审计和恢复 服务器病毒和木马检测 法律罪证收集 安全系统的安全保证,Page 22,监控属性,WINDWOS： 文件增加，删除，修改。 文件标记（归档，只读，隐藏，临时，系统，专向） 时间（最近访问时间、最近写时间、创建时间） 文件大小 MS-DOS 8.3名称。 NTFS压缩标记NTFS SACL。 安全描述符控制及安全描述符大小。 可变的数据流数目。 HASH检查 注册表内容变化、时间变化、权限变化,Page 23,监控属性,U

6、NIX系统 文件增加，删除，修改。 文件访问许可属性。 iNode及Link数量。 Uid及Gid。 文件类型和大小。 iNode存储的磁盘设备号。 iNode指向的设备的设备号（适用于设备文件） 分配的区块。 修改时间戳。 访问时间戳。 HASH检查。,Page 24,部署示意,Firewall,File Server,Client,Internet Gateway,VirusScan Server,文件摘要 Control,Mail Server,Page 25,6、数据加密,常见加密算法： MD5 RSA DES 3DES SSF33,Page 26,MD5,MD5的全称是Message

7、-Digest Algorithm 5（信息-摘要算法），在90年代初发展而来。它的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”成一种保密的格式（就是把一 个任意长度的字节串变换成一定长的大整数）。 MD5广泛用于信息摘要以及加密和解密技术上,Page 27,RSA,RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法 。提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。,Page 28,DES,最著名的保密密钥或对称密钥加密算法DES(Data Encryption Standard)

8、是由IBM公司在70年代发展起来的，DES对64位的明文分组进行操作，通过一个初始置换，将明文分成左半部分和右半部分，然后进行16轮完全相同的运算，最后经过一个末置换便得到64位密文。 目前在国内，DES算法在POS、ATM、磁卡及智能卡（IC卡）、加 油站、高速公路收费站等领域被广泛应用，以此来实现关键数据的保密，如信用卡持卡人的PIN的加密传输，IC卡与POS间的双向认证、金融交易数据包的 MAC校验等，均用到DES算法。,Page 29,3DES,DES算法的主要问题是密钥太短，但三重DES增加了密钥长度，由56位增加到112或168位 。 1. 用密钥K1进行DEA加密。 2. 用K2

9、对步骤1的结果进行DES解密。 3. 用步骤2的结果使用密钥K1进行DES加密。 这种方法的缺点，是要花费原来三倍时间。,Page 30,SSF33,SSF33 算法, 是由国家密码管理委员会办公室推行的一种对称加密算法,其内部实现方法是保密的,对外只提供算法芯片以及算法调用接口。,Page 31,7、数据加密通信,新应用尽量选择支持加密的连接 如:Web（登录） -https 已有应用可考虑建立加密通道保护 如：WINDWOS远程桌面,Page 32,建立加密通道,加密网络数据的TCP连接，它采用Client/Server模式，将Client端的网络数据采用SSL(Secure Socket

10、s Layer)加密后，安全的传输到指定的Server端再进行解密还原，然后再发送到访问的服务器。,Page 33,加密通道的好处,防止窃听 避免被篡改 身份认证的增强 在加密传输过程中，可充分确保数据的安全性，我们只要把Server端程序安装在局域网外面的一台服务器上，即可保证传输的数据在局域网内是安全的,Page 34,下图所示为常见的网络传输情况，在这种情况下，数据在网络中的传输没有经过任何保护，当网络在遭受黑客攻击或黑客入侵时，重要数据很容易被窃取。,Page 35,为了使我们局域网传输的重要数据都是安全的，我们可以利用Stunnel工具对数据进行加密。,Page 36,2、SNMP协

11、议介绍,1、系统日志获取,主题,Page 37,系统日志获取,UNIX系统 - Syslog Windows系统 ntsyslog 网络设备 - syslog,Page 38,Unix系统syslog,配置文件：/etc/syslog.conf 输出到文件 输出到打印机 输出到其它主机,Page 39,syslog.conf的格式如下, 设备.行为级别 ；设备.行为级别 记录行为 注意各栏之间用Tab来分隔，用空格是无效的。 例如： mail.* /var/log/maillog *.info;mail.none;authpriv.none;cron.none/var/log/messages

12、,Page 40,第一栏：设备分类,auth认证系统，即询问用户名和口令 cron 系统定时系统执行定时任务时发出的信息 daemon某些系统的守护程序的syslog,如由in.ftpd产生的log kern 内核的syslog信息 lpr 打印机的syslog信息 mail 邮件系统的syslog信息 mark 定时发送消息的时标程序 news 新闻系统的syslog信息 user本地用户应用程序的syslog信息 uucp uucp子系统的syslog信息 local0.7 种本地类型的syslog信息,这些信息可以由用户来定义 *:代表以上各种设备,Page 41,第二栏：行为级别 描述

13、（危险程度递加）,debug 程序的调试信息 info 信息消息 notice 要注意的消息 warning 警告 err 一般性错误 crit 严重情况 alert 应该立即被纠正的情况 emerg紧急情况 none 指定的服务程序未给所选择的,Page 42,第二栏：记录行为,记录到文件 /var/log/maillog 远程主机 发送到主机上的UDP514端口 日志输出到打印机 把打印机连接到终端端口/dev/ttya上，在/etc/syslog.conf中加入配置语句. Auth.notice /dev/ttya,Page 43,Windows

14、系统 ntsyslog,一款免费软件：ntsyslog 收集Windows系统日志并可以发送到指定服务器,Page 44,安装ntsyslog服务 ：NTsyslog install 卸载ntsyslog服务 ：NTsyslog -remove,Page 45,Ntsyslog配置,NTSyslogCtrl.exe,Page 46,Page 47,网络设备log,Cisco交换机 DB3750-1(config)#logging on DB3750-1(config)#logging ,Page 48,PIX防火墙 SHPIX01(config)# logging on S

15、HPIX01(config)#logging trap severity_level 4 SHPIX01(config)#logging host inside ,Page 49,Syslog服务器,Unix服务器 syslogd r Windows服务器 一款免费软件 Kiwi Syslog Daemon ,Page 50,2、SNMP协议介绍,1、系统日志获取,主题,Page 51,简单网络管理协议(Simple Network Management Protocol)是一种应用层协议，是TCP/IP协议族的一部分，它使网络设备间能方便地交换管理信息。SNMP能够让网络

16、管理员管理网络的性能，发现和解决网络问题及进行网络的扩充。 一个SNMP网络包含三个重要的部分：被管理的设备(Managed device)，代理(Agent)和网络管理系统(Network-management systems , NMSs),Page 52,SNMP基本的命令,1) 用read命令去监视被管理的设备，这是通过NMS检查被管理设备上的一些变量所实现的。2) 用write命令去控制被管理的设备，NMS可以改变存在于被管理设备上的一些关键变量的值。3) 被管理的设备用trap命令非同步地向NMS报告事件，当一定类型的事件发生，被管理的设备就向NMS发trap命令。4) trave

17、rsal命令是NMS所使用的用来决定被管理的设备支持哪些变量，以及顺序收集关于变量表的信息，例如路由表。,Page 53,SNMP管理信息库(MIB),管理信息库是由代理者维护的一个信息数据库，信息库里的内容可供管理者查询或设置其中变量的值。MIB被分成几个不同的组，有system，interface，at 等，MRTG维护一个信息库，并利用snmp命令查询相关信息，Linux下标准snmp命令snmpget 可以获得系统中的有关snmp变量 snmpget cuirf public system.sysDescr.0 获得关于系统的描述,Page 54,Snmp安全配置,限制访问的IP 具有复杂度的口令 尽量不开启Set权限,Page 55,Unix系统,配置文件Snmpd.conf 不安全的配置： com2sec notConfigUser default public 安全的配置： com2sec notConfigUser /32 QW#￥%128！,Page 56,Windows系统,进入“管理员工具” -”服务” 选中“SNMP Service”服务并双击,Page 57,Page 58,Page 59,网络设备,CISCO交换机 Switch(config)#snmp-