网络与信息安全基本概念介绍.ppt

1、.,网络与信息安全概述,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,“网络与信息安全”动态发展的概念,1991,1989,X.800,ISO 7498-2,“安全” 是指将资产或资源的脆弱性降到最低限度。,ISO 15408,1999,当对信息进行正确的控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能. “IT安全”用于概括防御和缓解这些及类似的冒险。,2000,ISO 17799:2000,2005,ISO 17799:2005,信息安全是要在很大的范围内保护信息免受各种威胁，从

2、而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。特指保护保密性、完整性和可用性。,信息安全保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性.,ISO TR 13335-2:1997,1997,2004,ISO 13335-1:2004,定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。,安全的相关属性,安全的相关属性,通俗地说,安全就是,进不来,拿不走,改不了,跑不了,看不懂,面向人的威胁,网络与信息安全的重要性,网络与信息安全是国家安全的需要 威胁国家安全 直接经济损失 网络与信息安全是组织持续发展的需要 名誉、信

3、誉受损 正常工作中断或受到干扰 效率下降 网络与信息安全是保护个人隐私与财产的需要 威胁信息私秘性 直接影响对信息交互的信任度,网络与信息安全的基本特征,没有绝对安全的系统,新的漏洞与攻击方法不断被发现,日常管理中的不同配置会引入新的问题,新的系统组件会引入新的问题(安全评测只能证明特定环境与特定配置下的安全),攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性,信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等,相对性,实效性,相关性,不确定性,复杂性,网络与信息安全的目标,“Information securi

4、ty protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”,国际标准化组织ISO发布的信息安全管理标准 ISO/IEC 17799:2005 Code of practice for information security management （信息安全管理实用规则） 中做了如下定义：,网络

5、与信息安全的思考,威胁永远不会消失！,漏洞/脆弱性客观存在！,客观上无法避免的因素 技术发展的局限，系统在设计之初不能认识到所有问题，如Tcp/ip协议 人类的能力有限，失误和考虑不周在所难免，如在编码会引入Bug 主观上没有避免的因素 采用了默认配置而未定制和安全优化 新的漏洞补丁跟踪、使用不及时 组织、管理和技术体系不完善 技术发展和环境变化的动态性,国家间的竞争与敌对势力永远不会消失 企业间谍、攻击者、欺诈与偷窃 内部系统的误用、滥用问题长期存在 新的威胁不断出现使原有防护措施失效或新的威胁产生 ,随着信息化建设，信息资产的价值在迅速增长 资产的无形价值，如商业情报、声誉、品牌等等已远远

6、超过了购买价格 ,资产价值多样化增长！,目录,安全基本概念 安全工作范畴 安全事件分类分级 安全事件监控和处理流程 安全事件案例 安全监控工作思路,恶意软件类：指蓄意制造、传播恶意软件，或是因受到恶意软件的影响而导致的告警事件。包括计算机病毒、木马和蠕虫等。 网络攻击类：包括拒绝服务攻击，是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件，漏洞攻击等子类。 信息破坏类 ：是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的安全告警 ，包括网页篡改，钓鱼网站等子类。 信

7、息内容安全类：是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容而导致的安全告警，包括垃圾邮件等子类。 安全设备故障类：是指由于安全设备自身故障或外围保障设施故障而导致的安全告警，包括硬件告警和软件告警子类，也可以归入通信网元类告警事件。,安全事件告警分类,安全告警的级别可参考下列三个要素：系统的重要程度、系统损失和社会影响指蓄意,安全事件告警级别定义,安全告警的分级需要考虑的因素包括：安全告警的原始告警级别、资产的重要等级以及实际安全告警本身相关的信息要素如（告警源和目的IP、事件发生的频率、事件的实际影响程度等等）。 实际安全告警级别设定，需要在此基础上，结合实际的网络情况和

8、告警信息相关要素综合考虑，对安全事件重要等级进行相应调整。 具体级别调整可以根据（但不局限）下列几个条件进行： 安全告警发生的频度 告警事件本身的影响和破坏程度 时间敏感型的安全事件 ,安全事件告警级别调整,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全事件案例 安全监控工作思路 信息安全基础知识,安全事件监控：负责本省通信网、业务系统和网管系统的安全告警监控，及时发现安全事件并上报，并派单和督促解决。 安全投诉受理：负责本省范围的安全投诉的受理，及时受理并派单和督促解决，及时反馈处理省内处理结果。,安全监控工作,安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控

9、、分析、协调、处理、保护资产安全属性的活动 。 一般包括6个阶段（PDCERF）：准备、检测、抑制、根除、恢复和跟进。,安全事件应急响应流程（1）,准备阶段：即在事件真正发生前为事件响应做好准备，如应急预案的准备和监控人员和手段的准备。 检测阶段：检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。 抑制阶段：抑制阶段是事件响应的第三个阶段，它的目的是限制攻击/破坏所波及的

10、范围，如对蠕虫病毒传播端口的封堵。 根除阶段：即在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者再次使用相同手段攻击系统，引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果，如病毒的根除。 恢复阶段：将事件的根源根除后，将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。 跟进阶段：最后一个阶段是跟进阶段，其目标是回顾并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的，如总结如何防范事件的发生等。,安全事件应急响应流程（2）,安全事件监控的流程举例如下，应通过电子工单流转并形成闭环 。,安全事件监控

11、流程,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,2007年，总部组织全网开展了以“风险管理”为核心的安全监控。 按照网络与信息安全“风险管理”的本质，对风险进行有效的控制，要着眼损失和影响，首要保护高价值的资产，关注危害较高的威胁。 围绕“重要资产，重要告警，重点监控”的工作目标，以安全告警和资产的关联为重点开展工作。 整理资产基础信息，列出资产的重要程度，包括IP地址等信息。制定资产信息收集和更新的流程。 制定告警预处理手册、安全事件处理及上报流程、安全监控作业计划，优化安全系统的告警配置。将安全告警分类分级，手册标准化。

12、 将告警信息与资产信息进行关联，实现对重要系统，重要告警的重点监控。 实现了具备安全监控手段的一干和省网重要系统58小时的重点安全监控，有效提升了全网安全监控能力。,安全监控工作思路（1）,目前，多数省还存在以下问题： 大多数省份由维护人员分别对自己负责维护的网络和系统的进行安全监控，或者由1名安全专业技术人员负责监控，未实现由网管中心监控室实施集中安全监控。 上述方式下，各省做到了58小时的安全监控，但大多数难以开展724小时的安全监控； 各类安全监控手段较为分散，未实现安全监控手段的集中化。 2008年为奥运之年，网络工作会上，公司领导对奥运期间安全监控工作的要求为： “网络安全的攻防人员

13、要建立起来，特别是奥运期间有24小时值班，要保证我们的网络处在可以管理、可以监控的情况下。” 按照上述要求，2008年在全网推行集中化的724小时安全监控的工作势在必行。,安全监控工作思路（2）,总部正组织各省开展集中化的724小时网络与信息安全监控工作。 对具备基础安全监控手段的一干和省网重要系统实现集中化的724小时安全监控，重要系统中实现集中化安全监控的比例要达到80%，保证网络在可管、可控的情况下安全运营。 奥运期间加强安全监控，重点监控奥运产品和奥运专项网络保障所涉及的网络和系统发生的重要事件，及时处理安全问题。 制定标准化的集中化安全监控工作流程，操作手册，针对奥运保障完善预处理手

14、册，制定7*24小时安全监控作业计划，安全告警派单的模板。 对于不具备集中化安全监控手段的省公司，应采用将各类基础安全监控手段的操作终端集中、分别查看各终端安全事件的过度方式，开展集中化安全监控；省公司应通过集中化安全监控手段开展集中安全监控，实现高效的一站式安全监控。 各省公司也要组织必要的培训，确保安全监控岗位人员具备安全监控技能，熟悉掌握监控工作手册，并可熟练执行安全监控作业。,安全监控工作思路（3）,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,防火墙,防火墙是在不同安全区域之间进行访问控制的一种措施。,什么是防火墙,防

15、火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。,防火墙工作原理,对IP地址和某些端口进行过滤,防火墙不是万能的,防火墙仅仅是网络安全体系的一个组件 防火墙通常是抵御攻击的第一道防线，经常被有经验的入侵者绕过 防火墙中的“开

16、放”策略通常被利用 防火墙不能安全过滤应用层的非法攻击，如unicode攻击； 防火墙对不通过它的连接无能为力，如内网攻击等； 防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击。,入侵检测系统,入侵检测（Intrusion Detection），顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统。 （Intrusion Detection System,简称IDS）。 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系

17、统。,IDS工作流程示意,数据采集,数据过滤,事件报警/响应,攻击检测/分析,主机,网络,数据采集：网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS)利用处于混杂模式的网卡来获得通过网络的数据，采集必要的数据用于入侵分析。 数据过滤：根据预定义的设置，进行必要的数据过滤，从而提高检测、分析的效率。 攻击检测/分析：根据定义的安全策略，来实时监测并分析通过网络的所有通信业务，使用采集的网络包作为数据源进行攻击辨别，通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。 事件报警/响应：当IDS一旦检测到了攻击行为，IDS的响应模

18、块就提供多种选项以通知、报警并对攻击采取相应的反应，通常都包括通知管理员、记录在数据库。,IDS部署,传感器可以被放置在业 网络中的任何可能存安 全隐患的网段。 在这些网段中，根据络 流量和监控数据的需来 决定部署不同型号的传 感器。,防火墙与IDS协同工作,00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,0000000000000000000000

19、00000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,00000000000000000000000000000000000000000000000 000000000000000

20、00000000000000000000000000000000000000000000000000000000000000000000000000000000000,Firewall 提供访问控制,Deny Traffic,Allow Traffic,Deny Some Attacks,恶意代码,随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁： 病毒 PE 蠕虫 WORM 木马 TROJ 后门 BKDR 间谍软件 SPY 其他 以上统称为恶意代码。,病毒的传播方式,传播方式主要有： 电子邮件 HTML正文可能被嵌入恶意脚本，邮件附件携带病毒压缩文

21、件，利用社会工程学进行伪装，增大病毒传播机会，快捷传播特性 网络共享 病毒会搜索本地网络中存在的共享，如admin$,c$,d$。通过空口令或弱口令猜测，获得完全访问权限；病毒自带口令猜测列表，将自身复制到网络共享文件夹中， 通常以游戏，CDKEY等相关名字命名；利用社会工程学进行伪装，诱使用户执行并感染。 P2P共享 将自身复制到P2P共享文件夹，利用社会工程学进行伪装，诱使用户下载 系统漏洞 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,防止病毒入侵,及时更新windows补丁，修补漏洞 强化密码设置的安全策略，增加密码强度 加强网络共享的管理 增强员

22、工病毒防范意识,病毒自启动方式,注册表启动 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce RunServices 以上这些键一般用于在系统启动时执行特定程序。,病毒自启动方式,文件关联项 HKEY_CLASSES_ROOT下： exefileshellopencommand =%1 %* comfilesh

23、ellopencommand =%1 %* batfileshellopencommand =%1 %* htafileShellOpenCommand =%1 %* piffileshellopencommand =%1 %*“ 病毒将%1 %*改为 “virus.exe %1 %* virus.exe将在打开或运行相应类型的文件时被执行,病毒自启动方式,病毒常修改的配置文件 %windows% wininit.ini中Rename节 NUL=c:windows virus.exe 将c:windows virus.exe设置为NUL, 表示让windows在将virus.exe e运行后删

24、除. Win.ini中的windows节 load= virus.exe run = virus.exe 这两个变量用于自动启动程序。 System.ini 中的boot节 Shell=Explorer.exe virus.exe Shell变量指出了要在系统启动时执行的程序列表。,病毒自启动方式,病毒常修改的Bat文件 %windows%winstart.bat 该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。 Autoexec.bat 在DOS下每次自启动,病毒自启动方式,启动文件夹启动： 当前用户的启动文件夹 可以通过如下注册表键获得: HKL

25、MSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项 公共的启动文件夹 可以通过如下注册表键获得: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项 病毒可以在该文件夹中放入欲执行的程序， 或直接修改其值指向放置有要执行程序的路径。,安全产品协同工作,访问控制,入侵检测,漏洞评估,防火墙,防病毒,SYN FLOOD攻击,使用TCP的三次握手机制，客户端使用假的IP地址，向服务器发出连接请求

26、（第一次握手），服务器应答（第二次握手），由于IP地址是假的，例如1.1.1.1，因此就找不到目的地，服务器会一直等待客户端发来第三次握手的信息。当量足够大的时候，会对服务器产生明显的影响。,SYN,SYN - ACK,ACK,session proceeds,ACK set for remainder of session,SQL Injection,SQL注入是一种常见的WEB攻击方法,攻击者利用SQL语言本身的一些特性调用SQL功能,对服务器或主机实现攻击行为。通常用户名和密码都存储在数据库的一个表中，登录系统时要求输入用户名和密码，系统会将用户输入的信息组成一条SQL语句去数据库里查询

27、，如果返回结果为真，那么就能正常登录。 假设输入的用户名为“abc”，密码为“anythingor x=x”，那么在服务器上执行的命令就是：,Select * from UserTable Where UserName=abc and Password=anything or x=x 该语句执行结果始终为真！,SQL Injection攻击防范,过滤其特殊字符串 例如: - 、exec、execute WEB APPLICATION做参数化查询 限制MS SQL存储过程的使用 xp_cmdshell、sp_addlogin、sp_addsrvrolemember、sp_oacreate等存储过程,Select * from UserTable Where UserName=abc and Password=anything or x=x 改为 Select * from UserTable Where UserName=anything 从数据库中读出密码，而不在SQL语句中直接验证，与输入的密码做比较，这样就可以防范攻击。其它的防范方法还有：,目录,安全基本概念 安全事件分类分级 安全事件监控和处理流程 安全监控工作思路 信息安全基础知识 安全事件案例,网站事件的篡改,2006年9月11日，中国移动门户网站被黑客入侵，门户网站首页被替换。安全事件发生当日，即被