信息安全管理3.ppt

1、信息安全管理（三）,第二章、信息安全管理基础,信息安全性质：信息技术以网络化的方式应用于社会生活各方面时，对国家、社会、个人安全利益的侵害与保护 信息安全关键点： 安全利益：国家、社会、个人的生存和发展的利益 信息技术：对信息、信息系统（网络化）以及信息和信息系统关联的主体（国家、社会、个人）的特定安全利益的侵害与保护 信息安全核心问题： 信息技术：特性和过程结果可侵害或保护国家、社会、个人的安全利益,信息安全是指在信息传递的过程中，数据被破坏、偷窃或丢失的风险性。,信息安全管理体系ISMS：是组织在整体或特定范围内建立信息安全的方针和目标，以及完成这些目标所用的方法的体系。包括建立、实施、操

2、作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。 ISO27001是建立和维护信息安全管理体系的标准，是信息安全管理领域的权威标准。 信息安全管理的基本原则 主要领导负责 规范定级 一人为本 适度安全,信息安全管理体系,党的十五届五中全会和第九届人大第六次会议决定建立国家信息安全保障体系 性质：国家以国家意志和国家行为的方式，在信息技术方面所形成的用于保护其安全利益的资源和能力，这种资源和能力体现为特定形态和过程的技术结构、社会结构和人才结构 内容 技术资源 管理资源 人力资源,信息安全管理

3、的层次与内容,宏观管理（政府） 方针 政策 法规 标准 微观管理（信息安全机构） 规章 制度 策略 措施,信息安全管理的发展,历史发展阶段 管人 管密码 管密钥 管口令 管配置 管产品测评 管产品采购 管系统安全 管等级划分,管理基础 安全产品分类编码 信息技术安全管理指南（ISO/IEC TR 13335） 信息安全管理(ISO/IEC TR 17799) 系统管理 安全报警报告功能（GB 17143.7-1997 idt 10164.7-1992） 安全审计跟踪功能（GB 17143.8-1997 idt 10164.8-1993） 访问控制对象和属性（GB 17143.9-1997 id

4、t 10164.9-1993 风险管理 测评认证 信息技术安全性评估准则（ISO/IEC 15408:1999）（CC） 计算机信息系统安全保护等级划分准则(GB 17859：1999) 通用测评方法(SC27 N2722|CEM) 系统安全工程能力成熟模型(SSE-CMM),二、信息安全管理标准,英国标准协会（BSI）于1995年制定BS7799信息安全管理体系标准，1999年修订改版： 77991 ： 信息安全管理操作规则 77992 ： 信息安全管理系统规范 77991已经在2000年末被采纳为国际标准，即：ISO/TEC17799信息安全管理操作规则，香港、台湾等都采用BS7799标准

5、。,信息安全管理基础： BS7799,ISO/IEC 17799（ BS7799-1 ）,划分为11个主要方面： 1、安全策略 2、组织信息安全 3、资产分级与控制 4、人员安全 5、物理和环境安全 6、通信和运行管理 7、访问控制 8、信息系统获取、开发和维护 9、信息安全事件管理 10、业务连续性管理 11、符合性,BS 7799-2,BS 7799-2第1版出版于1998年 BS 7799-2第2版出版于2002年 评估一个组织全面或部分信息安全管理体系的基础， 也可以作为一个正式认证方案的基础。,BS 7799-2,建立信息管理体系的要求 总则 建立管理框架 实施 文档化 文档控制 记

6、录,BS 7799-2,控制细则 安全策略 安全组织 资产分级和控制 人员安全 物理和环境安全 通信和运行管理 访问控制 系统开发和维护 商业连续性管理 符合性等10项要求,通用准则（CC ）,国际标准化组织统一现有多种准则的努力结果； 1993年开始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408； 主要思想和框架取自ITSEC和FC； 充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分； 是目前最全面的评价准则,CC的结构以及目标读者,安全管理指南：ISO/IEC TR 13335,信息技术

7、安全的概念和模型 信息技术安全的管理和规划 信息技术安全的管理技术 信息技术安全措施的安全 网络安全性的管理指导,SSE-CMM项目,1993年4月开始酝量，1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 1999年4月出版了第二版。 正在申报国际标准ISO/IEC 21827。,NIST SP 800 (Special Publication 800-series) SP 800-12, 计算机安全手册（Computer Security Handbook) SP 800-14, 公认【安全】原则与操作（Generally Accepted

8、Security Principles 即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。 例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞,3.端口监听技术（原多见于木马程序） Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。 振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，并进行攻击。,4.多线程扫描技术 现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。 如I-Worm.Sasser.e（振荡波.e）开辟1

9、28个线程扫描网络 ，传播病毒。,主动通过网络和邮件系统传播 传播速度极快 扩散面广 变种多、快,网络时代病毒的新特性：,使用传统手段难于根治、容易引起多次疫情 具有病毒、蠕虫和后门（黑客）程序的多种特性 病毒向能对抗反病毒软件和有特定目的的方向发展,目前存在病毒的传播途径,网络病毒攻击图,工作站,工作站,网站服务器,网站服务器,邮件中恶意附件,攻破多个网站服务器,以前攻破的网站服务器,浏览器进攻,文件共享,Internet,路由器,有防护的办公网络中的病毒传播,病毒传入途径： 终端漏洞导致病毒传播； 邮件接收导致病毒传播； 外部带有病毒的介质直接接入网络导致病毒传播； 内部用户绕过边界防护措

10、施，直接接入因特网导致病毒被引入； 网页中的恶意代码传入；,大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？,系统漏洞传播； 系统邮件传播； 储存介质传播； 共享目录传播；,病毒在此类网络内的传播途径,目前网络防病毒可能需要面临的问题：,难以确定网络内设备的用户联网状况; 无法快速准确定位病毒源; 了解病毒源后，无法方便的对病毒源进行阻断。 难以监控系统安全补丁安装情况; 缺乏有效的技术手段保证管理制度的贯彻。,防病毒管理机构组成图,建立有效的病毒防范管理机制,防病毒需求分析：只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，正确的安全分析

11、需求是保证网络系统的安全的根源。 防病毒风险管理：风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估，以可以接受的投资，进行最大限度的病毒防范工作。,防病毒管理机制的制定和完善,制定防病毒策略:根据组织和部门的防病毒需求和风险评估的结论，制定切实可行的计算机网络防病毒策略。 定期防病毒审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络防病毒是一个动态的过程，防病毒的需求可能会发生变化；为了在防病毒需求发生变化时，策略和控制措施能够及时反映这种变化，必须进行定期安全审核。,病毒特征码识别技术 自动解压技术 实时监视技术 启发式查毒技术 带毒杀毒技术 病毒队列技

12、术,目前主要的防病毒技术概述,防病毒软件的结构,扫描应用,扫描引擎,病毒定义库,防病毒软件的3个组成部分,防病毒软件,扫描应用 用户接口 日志文件 报警功能 扫描引擎 搜索病毒的逻辑算法 CPU仿真器 精密编程逻辑 病毒定义库：内有病毒的特征码,防病毒网关,由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出入口处和网络中重要设备前配置防病毒网关，以防止病毒进入内部网络。,防病毒网关按照功能上分有两种: 保护网络入口的防病毒网关 保护邮件器的防病毒网关,防病毒网关按照部署形式分为： 透明网关 代理网关,透明网关,代理网关,邮件服务器的防病毒保护,对邮件服务器系

13、统自身加固 邮件防病毒网关,邮件防病毒,由于目前的病毒大部分均是通过邮件传播的，所以对于邮件服务器的保护是十分重要的。,客户端防病毒,引导安全 系统安装安全 系统日常加固 日常使用安全,服务器防病毒,服务器防病毒时，除了注意主机还应注意防病毒应该注意的问题外，还应该注意到服务器的可用性和稳定性，也需要注意对重要数据经常备份等问题。,补丁加固是今年来网络面临的新问题，对于大型机关和企业网络，靠有限的人力人工去进行终端的安全加固是不现实的。为此，微软提出了两个解决方案：,SMS：Microsoft System Management SUS：Software Update Services,补丁加

14、固,SMS技术是基于主域控制技术，通过域控制器对管辖的计算机的安全补丁进行统一的升级和管理。此方法存在的问题是国内一般不使用主域控制形式进行网络管理,另外，对于终端使用多操作系统的网络使用此技术升级所需的工作量也比较大。,SMS技术,SUS技术,此技术应用了当前微软Windows Update的技术，即客户端可通过内网建立的SUS Server自动下载升级补丁。采用此方法的优点是简单方便，但是此系统也有不易实施的缺点。,病毒预警技术一般是采用分布式的结构，进行集中管理报警，分散控制。 病毒预警的具体可采用“数据流分析”、“病毒诱捕”等技术。,新一代病毒预警技术,提供网络数据流量的侦测模块，通过

15、网络数据分析工具及时捕获网络设备数据流信息，对于数据流量异常的机器进行报警，以辨别是否为网络病毒、木马、黑客等程序所外发数据包。,数据流分析系统,第一时间提供病毒入侵消息，并自动上报至病毒集中监控中心。,病毒诱捕机,具体操作： 360安全卫士补丁加固 McAfee城域网杀毒软件的分布部署 McAfee邮件防病毒网关的部署,边界安全防护设计,硬件防火墙,QOS带宽管理系统,MCAFEE城域网防护系统及反垃圾/病毒邮件网关,MRTG流量监控24小时监控所有学校及网络骨干接口的流量,IP侦测24小时记录出口数据包的包头信息,交换机（Switch）是集线器的升级换代产品，从外观上来看的话，它与集线器类

16、似都是带有多个端口的长方形盒状体。但是交换机拥有一条很高带宽的背部总线和内部交换矩阵。它的所有的端口都挂接在这条背部总线上。控制电路收到数据包以后，处理端口会查找内存中的MAC地址对照表以确定目的MAC的网卡挂接在哪个端口上，通过内部交换矩阵直接将数据迅速包传送到目的节点，而不是所有节点，目的MAC若不存在才广播到所有的端口。 二层交换机，实现OSI二层交换帧不作任何修改，仅仅查一下交换表，进行转发。 三层交换机是指将交换机的快速交换能力和路由器的路由寻址能力结合起来，所以也称路由交换机，它工作在网络层。通过IP地址来确定是哪个子网的结点，帧可能会发生变化，经路由后变成新的帧。 三层交换机充分

17、利用路由器的三层功能，既保留了二层交换机灵活的虚拟局域网（VLAN）划分和高交换速度的优点，又解决了二层网络无法处理的“广播风暴”问题，三层交换与路由的最大区别在于：路由要对每一个数据包进行路由转发，而三层交换只对每次通讯的握手连接进行路由查找，对真正的用户数据只进行二层转发，速度快了很多。三层交换机能够支持常用的路由协议。,交换机设置,switch: ；ROM状态， 路由器是rommon Setup模式，以对话方式配置hostname ；用户命令模式hostname# ；特权命令模式hostname(config)# ；全局配置模式hostname(config-if)# ；子配置模式接口状

18、态,1、六种工作模式：,？ 查询命令 Tab 补全按键 用户命令模式： Enable 进入特权模式 特权命令模式： Config terminal 进入全局配置模式 Copy 复制命令 Reload 重启设备 Show 显示命令 show running 显示运行配置文件内容 show version 显示版本信息 Exit 返回命令,2、常用CLI命令,全局配置模式： Hostname 设置交换机的主机名 Enable password * 设置特权非密口令 Enable secret 0 * 设置特权加密口令 ip address ip-address netmask 设置交换机IP地址

19、ip default-gateway ip-address 设置交换机网关 Interface ethernet module/number 进入接口模式 子配置模式接口模式 No shudown 激活端口 duplex auto|full|half 设置接口链路模式 speed10|100|auto 设置端口速度,VLAN（Virtual LAN），翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络也就是广播域。 广播域，指的是广播帧所能传递到的范围，亦即能够直接通信的范围。二层交换机只

20、能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。 通过增加子网数目可以构建更多的通路，减轻信息流量拥塞。将网络拆分成多个由交换机、路由器所连接的子网，这样可以划分冲突域和广播数据包，进而提高网络性能。,交换机操作练习： (一)、1、设置Switch的主机名 2、设置一个加密密码 3、启用VLAN1,设置IP地址为54 4、设置默认网关为 (二)、新建一个PC，设置IP 地址为2 在PC上 屏Switch，如果能屏通则说明设置成功,接入交换机安全设置,生成树防环路： spanning-tree inter

21、face range fastEthernet 0/2-47 spanning-tree bpduguard enabled 防DoS攻击： ip deny land ip deny invalid-l4port 路由黑洞 ip route Null 0 ip route Null 0,ACL访问列表 ip access-list extended 1001 deny icmp any any deny tcp any any eq 135 deny tcp any any eq 139 deny tcp

22、any any eq 445 deny tcp any any eq 593 deny tcp any any eq 1433 deny tcp any any eq 4444 deny tcp any any eq 5554 deny tcp any any eq 9996 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss permit ip any any ip access-group 1001 in 网络管理： snmp-server communi

23、ty public ro 镜像端口 monitor session 1 destination interface fastEthernet 0/48 monitor session 1 source interface fastEthernet 0/1 both,网络故障排查,一、故障分层排查法 1、了解故障现象，收集信息，判断是用户的使用问题还是网络连接问题 2、根据现象给故障分层，到底属于网络层还是应用层问题， 3、根据分层查找故障原因，可以使用对应的命令或网管工具来检测。 4、制定执行排障计划，对较大的排障过程一定要作记录，以便作故障分析和对可能产生的新故障的原因分析,故障案例分析 1

24、、网卡指示灯亮，但托盘区显示网络电缆没有插好 网卡灯亮说明网卡硬件安装正常，但托盘区显示网络电缆没有插好，基本上可以判断是线路连接问题，首先重插网线两端水晶头，如果网卡另一指示灯闪烁，说明链路已连通，托盘区提示会自动消失。 如果重插后另一指示灯仍旧不亮，可换一根网线或换一个上联接口。 另外如果在检查中发现网卡两个指示灯始终长亮，没有闪烁，则可以判断为网卡故障。,2、网络连接正常，仍然无法上网 首先使用ipconfig命令查看本机网络配置是否正确，如果ipconfig命令无效，则可能是本机TCP/IP协议出错或系统故障 其次在本机ping同网段主机和网关地址，如果能拼通同网段主机，说明本机网络正

25、常，如果能拼通网关，说明网段正常 最后拼网络域名，如果能解析出域名对应IP，说明网络完全正常，不能上网是IE浏览器故障或网管控制造成的。如果无法解析出IP，则说明是DNS服务故障。可通过IP地址打开网页，如。,3、交换机指示灯观察普通交换机每个端口有3个指示灯 第一个灯亮显示链路连通 第二个灯亮表示百兆状态 第三个灯闪烁表示数据在传输 路由交换机端口只有一个指示灯，亮表示连通，闪烁表示数据传输 如果开机后所有指示灯始终长亮，说明交换机自检未通过，判断为硬件或电源故障 如自检通过，但所有指示灯无规律快速闪动，网络无法连通，判断为网络中有回路或蠕虫病毒发作引起。,数据包分析

26、,一、网络嗅探器SnifferPro Sniffer Pro是美国Network Associates公司出品的一种网络分析软件，可用于网络故障检修与性能管理，在网络应用界应用非常广泛，现已占到网络分析软件市场的76% 。其网络分析器的强大功能和特征，能解决各种网络问题。Sniffer支持的协议丰富，可以运行在各种Windows平台上。由于软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这是它的一个缺点。 1、安装并运行程序,2、软件介绍 Sniffer主菜单分为监控、捕获、显示、工具、数据库、窗口等多个功能菜单 在工具栏中则有仪表盘、主机表单、矩阵、应用程序响应时间、历史、协议分布

27、、整体网络使用和警报等功能按钮,网络监视功能网络流量表 Dashboard,主机列表Host table,3、数据包的捕获和分析,捕获局域网所有数据的方法 1、利用Hub广播出口数据包 将网络出口链路连接到一台Hub上，然后从Hub上连出2根线，一根连接上联端口，保证网络畅通，另一根接入安装Sniffer的主机 2、利用交换机镜像口复制出口数据包 将网络出口端口镜像到一个普通端口，然后将这个镜像口连接到安装Sniffer的主机,捕获报文查看,解码分析模式,设置捕获条件,蠕虫攻击数据包,ARP攻击实例,流量监控,MRTG(Multi Router Traffic Grapher)，通常讲是一个监控网络链路流量负载的开源软件，它可以从所有运行SNMP协议的设备上（包括服务器、路由器、交换机等）抓取信息。事实上它不仅可以监控网络设备，任何其它的支持SNMP协议的设备都可以做为MRTG的监控对象，并自动生成包含PNG图形格式的HTML文档，通过HTTP方式显示给用户。,MRTG是一个有效的网络管理和安全检测工具。因为扫描与破坏后都能生成一些异常的网络流量，这在一般情况下是意识不到的。但是MRTG却能通过图形化的形式给管理员提供入侵的信息。并可以查出数周之前的入侵信息，以备管理员参考。 当一种蠕虫出现，某一个特定的协议的流量会增长。 蠕虫通过傀儡主机，攻击其他