网络安全现状与常用的安全方法（PPT218页）.ppt

1、网络安全现状与常用的安全方法,天津理工大学 网络与信息安全系 王春东,目 录,一. 计算机病毒 二. 网络安全现状 三. 信息系统的安全风险 四. 我们眼中的安全 五. 常用的安全方法,计算机病毒,病毒：virus 安全从病毒入手!,1. 时间,地点,一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。,时间：2004年4月29日 地点： 德国北部 罗滕堡镇 沃芬森小村(Waffensen),人口仅920。,2. 人 物,斯万-贾斯查因(Sven Jaschan)，4月29日这一天是他18岁的生日 。,母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服

2、务部 。 几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。,3. 传 播,从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢 。,4. 危 害,这就是全球著名的“震荡波”(Worm.Sasser )蠕虫病毒。 自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。 5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。 微软悬赏25万美元找原凶! “五一”长假

3、后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。 五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到35万个,5. 游戏结束,开始时，报道有俄罗斯人编写了这种病毒! 5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。 为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中

4、，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。 反病毒专家!,6. 病毒表现的特征,病毒是通过微软的最新高危漏洞-LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。,6. 病毒表现的特征(1),(1). 出现系统错误对话框 被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA S

5、hell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。,6. 病毒表现的特征(2),(2). 系统日志中出现相应记录 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如图所示的日志记录，则证明已经中毒.,6. 病毒表现的特征(2),3. 系统资源被大量占用 病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。,6. 病毒表现的特征(2),4. 内存中出现名为avserve的进程 病毒如果攻击成功，会在内存中产生名为 avser

6、ve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。,6. 病毒表现的特征(2),五、系统目录中出现名为avserve.exe的病毒文件 病毒如果攻击成功，会在系统安装目录（默认为C:WINNT）下产生一个名为avserve.exe的病毒文件。 六、注册表中出现病毒键值 病毒如果攻击成功，会在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中建立病毒键值：avserve.exe=%WINDOWS%avserve.exe。,7. 病毒的运行过程

7、(1),该病毒利用了Windows LSASS的一个已知漏洞(MS04-011)，这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。 感染系统：WinNT/Win2000/WinXP/Win2003病毒长度：15872字节 1、生成病毒文件 病毒运行后，在%Windows目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件。例如: c:win.log : IP地址列表 c:WINNTavserve.exe : 蠕虫病毒文件本身 c:WINNTsystem3211113_up.exe : 可能生成的蠕虫文件本身 c:W

8、INNTsystem3216843_up.exe : 可能生成的蠕虫文件本身,8. 病毒的运行过程(2),2、修改注册表项 病毒创建注册表项，使得自身能够在系统启动时自动运行，在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下创建avserve=”c:WINNTavserve.exe” 。 3、通过系统漏洞主动进行传播 病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。 4、危害性 受感染的系统可能死机或者造

9、成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。,9. 清除该病毒的相关建议(1),有了上面的分析之后，我们就可以手动来清除该病毒了。方法如下： 1、安全模式启动重新启动系统同时按下按F8键，进入系统安全模式 2、注册表的恢复点击开始-运行，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ，并删除面板右侧

10、的avserve=c:winntavserve.exe“ 3、删除病毒释放的文件点击开始-查找-文件和文件夹，查找文件avserve.exe和*_up.exe，并将找到的文件删除。,8. 清除该病毒的相关建议(2),4、安装系统补丁程序 到以下微软网站下载安装补丁程序： 或者在浏览器的工具Windows Update升级系统。 5、重新配置防火墙 重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996;,8. 清除该病毒的相关建议(3),4、可用一些补丁和杀毒软件，如瑞星：,8. 清除该病毒的相关建议(4),Microsoft早在4月初就已经给出了 MS04-011, 012, 013

11、等严重漏洞，并且提醒用户打补丁。,小 结,(1). 我们接触信息安全都是从计算机病毒开始的。 (2). 想必大家都类似病毒的侵扰；(如冲击波，震荡波等)。 (3). 其实网络上到处都有安全隐患!,演 示,内容：网络数据包的生成，传输，和到达的过程以及在 这一过程中存在的安全问题。 IP movie,Demo,目 录,一. 计算机病毒 二. 网络安全现状 三. 信息系统的安全风险 四. 我们眼中的安全 五. 常用的安全方法,计算机系统的入侵,我们从计算机系统的入侵就可以看出网络信息安全历史，现状和未来。,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用

12、已知的漏洞,破坏审计系统,后门,会话劫持,擦除痕迹,嗅探,包欺骗,GUI远程控制,自动探测扫描,拒绝服务,www 攻击,工具,攻击者,入侵者水平,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS 攻击,2002,高,入侵技术的发展,挑 战,1998年到2003年，信息安全事件增加了23倍!,1998年:3734次 2003年: 127529次,什么是安全？,安全 一种能够识别和消除不安全因素的能力 安全是一个持续的过程 网络安全是网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,一) 非授权访问

13、没有经过同意，就使用网络或计算机资源。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。 或擅自扩大权限，越权访问信息。 形式: 假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。,安全威胁,二) 信息泄露 敏感数据在有意或无意中被泄漏出去。信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。 2. 信息在存储介质中丢失或泄漏。 通过建立隐蔽隧道等窃取敏感信息等。,安全威胁,三)破坏数据完整性 以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于

14、攻击者的响应； 恶意添加，修改数据，以干扰用户的正常使用。,安全威胁,四) 拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作业流程。 执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,安全威胁,SYN Flood原理,正常的三次握手建立通讯的过程,SYN Flood原理,连接耗尽,五) 利用网络传播病毒 通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。 六) 假冒 假冒合法身份破坏正常工作，北大同宿舍同学邮件假冒案。 七)抵赖 否认接收过或发送过信息。,安全威胁,为什么我们不能杜绝攻击事件的发

15、生,日趋精密的攻击以及以INTERNET为基础的技术快速发展。 合格的IT技术人员和资金的缺乏从而不能获得更多的资源。 没有对被保护的系统有大量、充分、快速、安全的部署。,没有绝对的安全,开放最少服务提供最小权限原则 安全需求平衡 过分繁杂的安全政策将导致比没有安全政策还要低效的安全。 需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全有效性。,建立一个有效的安全矩阵,安全距阵 一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。 安全矩阵系统最主要的几个

16、方面 允许访问控制 容易使用 合理的花费 灵活性和伸缩性 优秀的警报和报告,保护资源,终端用户资源 The workstations used by employees 威胁 : Viruses,trojans, Active X,applet 网络资源 Routers,switches,wiring closets, telephony 威胁: IP spoofing,system snooping 服务器资源 DNS,WEB, Email, FTP 等服务器 威胁: Unauthorized entry, D.O.S, trojans 信息存储资源 Human resources and

17、e-commerce databases 威胁: Obtaining trade secrets,customer data,增加了复杂性 不得不培训用户如何使用你需要的安全机制 降低了系统响应时间 认证，审计和加密机制会降低系统性能,安全的权衡考虑和缺点,网络安全问题增长趋势,Internet 技术飞速发展 有组织的网络攻击 企业内部安全隐患 有限的安全资源和管理专家,复杂程度,Internet 技术的飞速增长,时间,财政损失 知识产权损失 时间消耗 由错误使用导致的生产力消耗 责任感下降 内部争执,网络攻击后果,可见的网络攻击影响,利润,Q1 Q2 Q3 Q4,网络安全风险,安全需求和实际

18、操作脱离 内部的安全隐患 动态的网络环境 有限的防御策略 安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,通讯 只能采用分散的、不可集中管理的安全产品，而不能采用全面的、集中的安全管理平台。,安全现状(3),管理部门众多，没有统一的标准，人才不够等情况也是整个信息安全产业健康发展的制约因素。建立完善的信息安全体系，既要有适应社会信息化安全管理的配套政策、法律、法规和技术标准，又要有先进实用的技术手段，还要有大量的专门人才。,安全现状(4),兼职的安全管理员 物理安全保护 基本的安全产品 简单的系统升级 机房安全管理制度 资产管理制度 ,安全现状(5),空口令、简单口令、默认口令设置、长

19、期不更换； 点击进入危险的网站或链接； 接收查看危险的电子邮件附件； 系统默认安装，从不进行补丁升级； 拨号上网，给个人以及整个公司建立了后门； 启动了众多的不用的服务； 个人重要数据没有备份； ,安全现状总结（1）,没有有效、独立的安全管理组织，安全管理人员不足，岗位权责不明确，不能有效实施和执行某些安全措施。总部信息技术中心虽专设负责公司的信息安全工作的岗位，但由于公司组织结构和信息网络的庞大性特点，使得安全管理员不能全权、有效地形成对整个组织自上到下的全面安全管理。,安全现状总结（2）,缺乏一套完善、统一的安全策略和安全管理制度，更缺乏对安全制度执行情况的严格管理。公司总部虽然有了一套管

20、理制度，但涉及全部内部员工的条款很少，更不能形成对下级组织的有力约束，安全管理的内容也很少，大部分员工甚至不知道具体内容是什么，也没有对其遵守和执行的情况进行监督的任何措施，因此公司在制度约束方面是安全管理中欠缺比较严重的部分。,安全现状总结（3）,员工缺乏基本的安全意识，特别是下级组织的员工等，没有进行统一的、系统的安全培训和学习的机会。由于员工对发生安全问题后造成的后果不负任何责任，从而也就不能有效的督促员工提高自己的安全意识，最终形成恶性循环，导致员工不能严格遵循公司的安全管理制度，个人电脑的密码设置非常脆弱甚至是空口令，经常上一些危险的网站，接收危险的电子邮件，不能定期升级系统安全补丁

21、，更缺乏一些基本的安全防护意识和发现解决某些常见安全问题的能力。,安全现状总结（4）,缺乏一套有效的安全预警体系。虽然公司在信息系统内安装了防火墙、防病毒系统等安全产品，用于监控和防护内部和外部的不安全活动，但由于最新漏洞被利用的快速性、安全问题出现的偶然性、安全事件处理的复杂性以及产品规则库升级的滞后性，使得安全管理员不可能及时的发现网络系统存在的最新漏洞，也就不可能有效的实现全网的安全预防工作，相反只能事事被动，等问题发生了再去找解决问题的方法，从而给公司带来很多不必要的损失。,安全现状总结（5）,缺乏一套完善的监控体系。网络系统与Internet相连处虽然部署了防火墙等访问控制产品，但对

22、于透过防火墙渗透进来的入侵行为，或者公司内部的恶意入侵行为并没有很好的监控手段，从而使得当有安全事件发生时，不能及时的进行防护。,安全现状总结（6）,缺乏一套充分、完善的应急体系和快速的响应流程。公司并没有建立自己的应急体系，对于各种可能发生的安全事故，没有定义负责处理的人员、相应的最佳解决处理方案、可能造成的风险等。另外，公司也缺乏一套有效、快速地安全问题响应流程，特别是对于托管机房、下级组织业务系统等远程网络的故障，总部不能快速进行本地支持，更缺乏有一个有效的安全事件上报、传递、沟通、响应的通道。历来的各种安全事件发生后，公司都由于缺乏处理某些经常发生事件的能力事事被动，从而延误了事件处理

23、的时间，造成很多不必要的损失。,安全现状总结（7）,缺乏安全产品的集中统一管理。由于网络系统的扩大化，对安全产品的需求也越来越多，但是安全管理岗位数量的有限性，必然导致放松对安全产品的管理，安全管理员不可能实时登录查看各种安全产品的应用状况和报警信息，某些安全产品由于不能与互联网通信、甚至使用周期太长导致不能定期在线更新，使其不能监控和查找最新的安全问题，实现其最佳的安全功效。,我国的信息安全的现状(1),美国国防部将计算机安全按从低到高顺序分为四等八级：D，C1，C2, B1，B2，B，A1，超A1。 我国在C2级：各国黑客要进入中国的网络系统如履平地。,我国的信息安全的现状(2),和发达国

24、家相比，我国的信息安全隐患更加突出。体现在以下两个方面： （一）是认识滞后，思想麻痹。 由于信息技术的发展与应用投资风险小，见效快，因而导致对信息技术发展与应用的投资膨胀。 而信息安全产业投资高，风险大，见效慢，备受冷落，则发展缓慢，甚至许多可以获得的安全技术也没有在计算机及其网络中得到应用。目前我国信息安全产业市场规模仅占全部信息产业市场0.4%的份额，而美欧信息产业发达的国家在这方面的比例已高达1015%。我国如此低下的信息安全投入必将进一步拉大和发达国家的信息安全差距。,我国的信息安全的现状(3),和发达国家相比，我国的信息安全隐患更加突出。体现在以下两个方面： （二）是技术落后，受制于

25、人。 至今我国使用的处理器和操作系统等重要软硬件依然靠国外进口，有的发达国家出于种种目的，在软硬件上留下缺口或者“后门”，给我国信息安全留下了巨大的隐患。 据报道，曾上市的奔腾三处理器中设置了用以识别用户身份的序列码，每一台机器只有唯一的序列码且永久不变，电脑用户在网络或互联网上所做的每一件事都会留下痕迹，或处于别人的监视之下。 而此前上市的操作系统Windows98则会根据用户的计算机硬件配置情况生成一串用户名字、相关地址代码等全球唯一的识别码，然后通过电子注册程序在用户不知道的情况下传送到微软的网站上。 奔腾三处理器和微软公司的Windows98一方面带来更高性能和更快速度，但另一方面有可

26、能成为随时会泄密的“定时炸弹”。,我国的信息安全的现状(4),目前，我国的网络信息安全技术还不高，抵御网络攻击的能力较差。其中主要有三方面的原因： (1).过去我们忽视了从国防角度思考安全问题，而用国外的高技术产品来保证自己的安全。 据可靠消息，美国向中国出口的密钥芯片都为美国政府相关机构留下了随时出入的方便之“门”。也就是说，用来保证安全的手段恰恰是最危险的，而只有美国才能生产高质量的芯片，我们非用它不可。,我国的信息安全的现状(5),其中主要有三方面的原因： (2).用于信息加密技术中，最高为128位，但美国禁止超过40位的密码产品出口，其中出口中国的计算机系统的安全等级只有C2级，排名倒

27、数第三，因而各国黑客要进入中国的网络系统如履平地。,我国的信息安全的现状(6),其中主要有三方面的原因： (3).计算机病毒隐患严重。 网络对抗技术发展带来的破坏力不亚于核技术，CIH病毒在一年的时间里就能让中国的计算机企业损失几十亿元。,目 录,一. 计算机病毒 二. 网络安全现状 三. 信息系统的安全风险 四. 我们眼中的安全 五. 常用的安全方法,面临的威胁,合法用户的威胁：是指拥有合法授权的用户因在系统管理方面的错误或疏忽造成系统破坏的可能性。 滥用授权 错误操作 操作行为抵赖,面临的威胁,非法用户的威胁：是指非授权用户或低权限用户越权对系统造成破坏的可能性。 内部员工的越权访问 外部

28、攻击者的恶意入侵 数据的窃听和破坏 恶意代码的破坏 物理破坏,面临的威胁,系统组件的威胁：是指信息系统的硬件或软件发生意外故障的可能性。 系统设备意外故障 通讯中断 软件意外失效 物理环境的威胁：是指由于环境因素造成系统破坏的可能性。 电源中断 灾难,安全事件一：数据资产的窃取,2001年12月，烟台市人民检察院依法对涉嫌伪造有价票证的犯罪嫌疑人乔XX批准逮捕，乔XX利用到某电信公司维护通信设施之机，通过修改数据库伪造200电话卡10000张，给电信公司造成20余万元的经济损失。 2002年，中国公安部曾经破获一起不法分子利用黑客手段在银行的网银服务器中植入“木马”程序，窃取了多家银行和证券客

29、户的账号、密码信息进行诈骗的案件，涉案金额达80多万元。 2003年2月，美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业计算机系统，掌握了220万个顾客的信用卡号 在日本，黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码，使1600万日元不翼而飞。,安全事件二：病毒蠕虫破坏,红色代码 2001年6月18日，微软发布安全公告：Microsoft IIS .IDA / .IDQ ISAPI扩展远程缓冲区溢出漏洞。一个月后，利用此安全漏洞原理制造的蠕虫“红色代码”开始出现，一夜之间攻击了国外36万台电脑，到2001年8月6日，针对微软中文版操作系统的“红色代码”开

30、始在国内发作，造成很多运营商和企事业单位网络瘫痪，“红色代码”给全球造成了高达26亿美元的损失。,安全事件二：病毒蠕虫破坏,SQL slammer 2002年7月24日，微软发布安全公告：Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。直到2003年1月25日，足足6个月后，利用此安全漏洞原理制造的蠕虫“SQL Slammer”现身互联网，几天之内给全球造成了12亿美元的损失。它这个系统漏洞，对网络上的SQL数据库进行攻击，连接在网络上的被攻击的系统如同癌细胞那样不断蜕变，生成新的攻击报文向网络释放、扩散，从而逐步鲸吞、消耗网络资源，导致网络访

31、问速度下降，甚至瘫痪。此蠕虫攻击的主要受害对象是网络，而不是个人计算机。据了解，此次攻击始于北京时间1月25日13时15分左右，澳大利亚、美国、英国、韩国、泰国、日本、马来西亚、菲律宾、印度以及中国台湾地区等全球范围的互联网络受到不同程度的攻击。据新华社报道，全球估计至少有2.2万个网络服务器遭到了病毒攻击，其中受影响最严重的地区是欧洲北部、美国东部和亚洲的一些国家。美国美洲银行称1.3万台自动取款机瘫痪，大量银行客户无法使用取款机取款。韩国互联网络曾经一度瘫痪，只有10的网络可以勉强使用，韩国情报通信部为此宣布进入紧急状态。,安全事件三：身份假冒,今年6月初，一名黑客盗用了工商银行网站的公开

32、邮箱，以“网络银行系统升级”的名义，给网上银行注册客户发送邮件，索要注册客户的用户名(登录卡号)和密码。工行发言人表示，网站已经向用户发出重要提示，并采取紧急应对措施。 2001年，一名上海黑客侵入上海交易所某席位，盗卖了2.6亿元的股票，成为中国最大的一次电脑入侵事故。,Telnet,SMTP,DNS,FTP,UDP,TCP,IP,以太网,无线网络,SATNET,ARPNET,应用程序攻击,监听，拒绝服务,系统漏洞利用,硬件设备破坏 电磁监听,Windows,*nix,*BSD,Linux,每个层次都存在风险,信息系统面临的风险,系统建设的缺陷和安全隐患 缺陷或漏洞 后门 自然老化 错误和冗

33、余 操作失误 传输错误 存储错误 安装和维护错误 冗余,信息系统面临的风险,欺骗和窃密 窃听 侦听 截包 电子欺骗 窃密 伪造 蓄意破坏 物理方式 逻辑方式,信息系统面临的风险,物理和环境的支持能力下降或丧失 电力供应 自然灾难 静电 强磁场 恶意代码 病毒 特洛伊木马 逻辑炸弹 时间炸弹 蠕虫 其他有害程序,信息系统面临的风险,管理不当或失控 口令及密钥丢失和泄露 制度遗漏 安全岗位与职责不全或混乱 人事管理漏洞 审计不力或无审计 安全设备选型或采购不当 其他风险,可能造成的影响,资产破坏，直接的经济损失； 造成可用性的破坏，使得必要情况时用户无法使用网络或系统，甚至造成系统崩溃； 保存商业

34、数据或银行帐号等的文件服务器、存有个人隐私的PC机遭受破坏，可能有人修改数据或个人资料进行诈骗或破坏，也可能被竞争者所利用； Web服务器遭受攻击，篡改Web网站的页面； 商业信誉降低，特别是当公司保存的重要客户信息被公开时，还要负一定责任。,目 录,一. 计算机病毒 二. 网络安全现状 三. 信息系统的安全风险 四. 我们眼中的安全 五. 常用的安全方法,未知的安全间隙不容忽视,我们眼中的网络安全,网络安全隐患无处不在，常见漏洞目前有1000余种。,部署安全保卫措施,防火墙的能力有限,安 全 隐 患,尚不了解实际的危机,实际安全问题还有 很多,安 全 隐 患,管理分析 非法用户进入系统;合法

35、用户对系统资源的非法使用。,访问控制,IDC统计，目前网络80%的越权访问和入侵行为都是来自于企业内部网。 访问控制技术: 按照事先确定的规则决定主体对客体的访问是否合法。 实现：访问控制技术的实现一般有四种策略： 程序权限限制、用户权限限制、文件属性限制、留痕技术。,访问控制与其他安全措施的关系模型,引用监视器,鉴别,访问控制,授权数据库,用户,目标,目标,目标,目标,目标,审 计,安全管理员,常用的安全防护措施,(1). 数据加密技术 (2). 访问控制 (3). 认证技术 (4). 数据完整性控制技术 (5). 安全漏洞扫描技术 (6). 防火墙与VPN技术 (7). 入侵检测技术 (8

36、). 防病毒 (8). 防病毒技术 (9). 安全审记与日志分析技术,认证技术,认证: 就是将特定实体从任意实体的集合中识别出来的行为。它以交换信息的方式来确认实体的身份。 用于认证的技术如下4点： (1). 使用实体的特征或实体所有的物件：比如指纹、身份卡。 (2). 口令技术：口令技术是一种简单有效的资格审查技术，它以口令作为鉴别依据，通过核对口令来真实用户身份。一般来说，口令由访问者提供，由被访问者检测验证。 (3). 安全协议技术：收发双方根据事先的约定，按照约定的协议进行鉴别交换。VPN技术。 (4). 密码技术：将交换的数据加密，只有合法的用户才能解密，得到有意义的明文。,身份鉴别

37、,基于口令、用户名的身份认 基于主体特征的身份认证：如指纹 基于IC卡+PIN号码的认证 基于CA证书的身份认证 其他的认证方式,基于口令、用户名的身份认证,Server,End user,Username=root Password=!#$ 发起访问请求,基于口令、用户名的简单身份鉴别,验证用户名与口令,回应访问请求，允许访问,验证通过,基于主体特征的身份认证,Server,Workstation,传送特征信息 发起访问请求,基于主体特征的身份鉴别,验证用户特征信息,回应访问请求，允许访问,验证通过,指纹识别器,读取特征信息,获得特征信息,基于IC卡+PIN号码的认证,Server,Work

38、station,传送身份验证信息 发起访问请求,基于IC卡+PIN号码的身份鉴别,验证用户身份,回应访问请求，允许访问,验证通过,读卡器,输入PIN号码,插入IC卡,读取用户信息,获得用户信息,基于CA证书的身份认证,基于CA证书的身份鉴别,CA中心,证书发布服务器,用户证书,服务器证书,开始数字证书的签名验证,开始数字证书的签名验证,开始安全通讯,常用的安全防护措施,(1). 数据加密技术 (2). 访问控制 (3). 认证技术 (4). 数据完整性控制技术 (5). 安全漏洞扫描技术 (6). 防火墙与VPN技术 (7). 入侵检测技术 (8). 防病毒 (8). 防病毒技术 (9). 安

39、全审记与日志分析技术 (10). 安全备份和系统灾难恢复,数据完整性控制技术,数据完整性控制技术: 是指能识别有效数据的一部分或全部信息被篡改的技术。数据完整性控制技术可发现数据的非法修改，从而使用户不会被非法数据所欺骗。数据完整性控制包括文件系统完整性控制及网络传输信息的完整性。 文件系统完整性控制: 检测系统关键应用程序、重要数据的完整性，以免被非法修改。TRIPWIRE就是这样一个文件系统完整性检查器。 网上传输信息的完整性控制: 可通过报文认证和通信完整性控制来实现。报文认证是将报文各字段（域）通过一定的操作组成一个约束值，称为该报文的完整性检测向量ICV。将它与数据封装在一起进行加密

40、，接收方收到数据后解密并计算ICV，若与明文中的ICV字段不同，则认为此报文无效。,常用的安全防护措施,(1). 数据加密技术 (2). 访问控制 (3). 认证技术 (4). 数据完整性控制技术 (5). 安全漏洞扫描技术 (6). 防火墙与VPN技术 (7). 入侵检测技术 (8). 防病毒技术 (9). 安全审记与日志分析技术 (10). 安全备份和系统灾难恢复,安全漏洞扫描技术(1),漏洞: 是指任意的允许非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。漏洞就是某种形式的脆弱性。 (1). 外部的攻击者主要是利用了系统提供的网络服务中的脆弱性； (2). 内部的攻击者则利用系

41、统内部服务及其配置上的脆弱性； (3). 拒绝服务攻击主要是利用资源分配上的脆弱性，长期占用有限资源不释放，使其它用户得不到正常的服务，或者是利用服务中的漏洞，使该服务崩溃。,安全漏洞扫描技术(2),不存在完美无缺的系统，任何东西都是有漏洞的。 漏洞扫描: 是自动检测远端或本地主机安全脆弱点的技术，它通过对系统当前的状况进行扫描、分析，找出系统中存在的各种脆弱性，在此基础上进一步考虑脆弱性的修补与消除。 漏洞扫描实际上是进行一次没有危害的攻击。,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑，黑客利用

42、它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。,利用网络安全评估系统对网络进行安全评估,DMZ E-Mail File Transfer HTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯 & 应用服务层,利用系统安全评估软件进行可适应性安全弱点监测和响应,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,操作系统层,网络安全评估系统对于DMZ区域的检测,DMZ E-Ma

43、il File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,应用程序层,市场部,工程部,router,开发部,Servers,Firewall,安全扫描的使用,正确认识安全扫描软件,不能弥补由于认证机制薄弱带来的问题 不能弥补由于协议本身的问题 不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数据流 当受到攻击后要进行调查，离不开安全专家的参与,选择安全扫描产品应注意的问题,升级问题 可扩充性 全面的解决方案 人员培训,常用的安全防护措施,(1). 数据加密技术 (2). 访问控制 (3). 认证技术 (4).

44、数据完整性控制技术 (5). 安全漏洞扫描技术 (6). 防火墙与VPN技术 (7). 入侵检测技术 (8). 防病毒技术 (9). 安全审记与日志分析技术 (10). 安全备份和系统灾难恢复,防火墙技术,防火墙: 是指安装在内部网络与Internet之间或者网络与网络之间的可以限制相互访问的一种的安全保护措施。防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统，它在内部网与外部网之间形成了一道安全保护屏障。它在网络中所处的位置如图下图所示：,常用的安全防护措施防火墙,防火墙技术,当前比较成熟的防火墙实现技术从层次上主要有以下两种：包过滤和应用层网关。 包过滤技术主要在IP层实现。

45、它根据包头中所含的信息如源地址、目的地址等来判断其能否通过。现在也有可以分析数据包内容的智能型包过滤器。 与包过滤相比，应用层网关在通信协议栈的更高层操作，提供更为安全的选项。它通常由两部分组成：代理服务器和筛选路由器。,防火墙的体系结构,主流防火墙技术： 状态检测包过滤技术 应用代理技术 目前市场上主流产品的形态： 集成了状态检测包过滤和应用代理的混合型产品,简单包过滤,Packet Filter,优点： 速度快，性能高 对应用程序透明 实现简单,缺点： 安全性比较差 伸缩性差 维护不直观,从网段到Internet的HTTP访问？ 放行/禁止通行！,应用网关（代理）型,

46、Proxy,优点： 安全性非常高 提供应用层的安全 提供用户级的控制,缺点： 性能很差 只支持有限的应用 对用户不透明 安全性依赖于底层OS 一般用于代理内部网 到外部网的访问,想从内部网访问外部的服务器？我帮你发请求吧。,状态检测技术,Stateful Inspection,防火墙具有以下优点：,防火墙通过过滤不安全的服务，可以极大地提高网络安全和减少子网中主机的风险； 它可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机； 阻止攻击者获取攻击网络系统的有用信息，如 Finger和 DNS； 防火墙可以记录和统计通过它的网络通讯，提供关于网络使用的统计数据，根据统计数

47、据来判断可能的攻击和探测； 防火墙提供制定和执行网络安全策略的手段，它可对企业内部网实现集中的安全管理，它定义的安全规则可运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。,防火墙具有以下缺点：,入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙. 防火墙完全不能阻止内部攻击, 对于企业内部心怀不满的员工来说防火墙形同虚设. 由于性能的限制, 防火墙通常不能提供实时的入侵检测能力. 防火墙对于病毒也束手无策的. 防火墙无法有效地解决自身的安全问题. 防火墙无法做到安全与速度的同步提高, 一旦考虑到安全因素而对网络流量进行深入的决策和分析, 那么网络的运行速度势必会受到影响. 防

48、火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者。,VPN的基本技术,Internet,开放互联网络的带来的安全风险,PSTN,EDI,移动用户,分支机构,网站,合作伙伴,传统访问,私有,公共,RAS,私有,Frame Relay,VPN 最大优势 - 投资回报,大幅度减少电信服务费用，尤其针对地域上分散的公司和企业 针对远程拨号上网访问的用户，省去了每个月的电信费用 采用VPN, 公司/企业中当前使用的Modem Pool将永远退休,安全的，统一的通信,移动用户,分支机构,网站,合作伙伴,VPN,VPN(Virtual Private Network) 它指的是以公用开

49、放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。,常用的安全防护措施,(1). 数据加密技术 (2). 访问控制 (3). 认证技术 (4). 数据完整性控制技术 (5). 安全漏洞扫描技术 (6). 防火墙与VPN技术 (7). 入侵检测技术 (8). 防病毒技术 (9). 安全审记与日志分析技术 (10). 安全备份和系统灾难恢复,什么是入侵检测,对入侵行为的发觉，通过对计算机网 络或计算机系统中得若干关键点收集信息并对其进行分析，从

50、中发现网络或系统中是否有违 反安全策略的行为和被攻击的迹象。,入侵检测的主要功能,监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。,入侵检测的分类,基于网络的入侵检测 基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。 基于主机的入侵检测 往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手 段（如监督系统调用）从所在的主机收集信 息进行分析。主机型入侵检测系统

51、保护的一般是 所在的系统。,检测方式的介绍,异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。 特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。,网络入侵检测产品的架构,传感器(Sensor) 传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。 控制台(Console)。 控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。,利用入侵检测保护网络应用,DMZ E-Mail Fi

52、le Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,利用入侵检测保护网络应用,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,内部攻击行为,警告! 启动事件日志, 发送消息,利用入侵检测保护网络应用,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,IDS系统的目的,防范透过防火墙的入侵 利用应用系统漏洞及后门实施的入侵 利

53、用防火墙配置失误实施的入侵 防范来自内部网的入侵 内部网的攻击占总的攻击事件的80% 没有监测的内部网是内部人员的“自由王国” 对网络行为的审计，防范无法自动识别的恶意破坏,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,入侵检测系统的作用,实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据 主动响应 主动切断连接或与防火墙联动，调用其他程序处理,防火墙与IDS联动,时间,Dt-检测时间,Pt-防护时间

54、,Rt-响应时间,Pt-防护时间 ,+,常用的安全防护措施,(1). 数据加密技术 (2). 访问控制 (3). 认证技术 (4). 数据完整性控制技术 (5). 安全漏洞扫描技术 (6). 防火墙与VPN技术 (7). 入侵检测技术 (8). 防病毒技术 (9). 安全审记与日志分析技术 (10). 安全备份和系统灾难恢复,认识安全从病毒开始,（1）计算机病毒的定义,计算机病毒，是指隐藏在计算机系统中的、利用系统数据资源进行繁殖并生存、能影响计算机系统正常运行并通过系统数据共享途径进行感染的程序。,计算机病毒的特征,破坏性 传染性 隐蔽性 寄生性 触发性,计算机病毒的历史渊源(1),DOS时

55、代的AIDS病毒,Windows95/98时代大名鼎鼎的CIH病毒(2),CIH作者陈盈豪,Windows NT时代的白雪公主病毒,巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！,席卷全球的NIMDA病毒,人类为防治病毒所做出的努力及结论,网络安全 网络版 单机版 防病毒卡,结论：人类将与病毒长期共存。,目前常用防治病毒的方法,(1). 特征码扫描法(或叫模式匹配方法) 特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。 优点：该技术实现简单有效，安全彻底； 缺点：但查杀病毒滞后，并且庞大的特征码库会

56、造成查毒速度下降；（系统资源占用的多）,目前常用防治病毒的方法,(2).虚拟执行技术 该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，,目前常用防治病毒的方法,(3).文件实时监控技术 通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。 优点：这种技术能够有效控制病毒的传播途径； 缺点：但是这种技术的实现难度较大，系统资源的占用率也会有所降低。,病毒利用应用层服务进入内网传播,文件共享服务器,邮件服务器,Client,网关,防火墙,現今email病毒都

57、具有利用电子邮件系统自动快速散播的特性，迅速造成重大损失,企業網路,Email病毒的可怕,邮件服务器,一傳十、十傳百,造成 email当机 网络瘫痪！,一个企业级的病毒解决方案,一套优秀的防毒软件,一个工作勤奋努力的网络管理员,+,=,以往的病毒防护体系不能满足安全需求,全面的病毒防护体系,网关病毒防护 工作站病毒防护 服务器病毒防护 网络中心病毒控制台 自动更新升级的维护策略,企业网络,网关杀毒,在email病毒扩散之前就予以拦截歼灭,邮件服务器,网关杀毒,工作站病毒防护,带有病毒的数据包,工作站防毒软件,发现病毒立即采取相应的措施,发现病毒,均为客户端工作站,带有病毒的数据包,服务器病毒防护,带有病毒的数据包,发现病毒立即采取相应的措施,发现病毒,带有病毒的数据包,均为NT服务器,服务器防病毒软件,中心病毒控制台,服务器防病毒软件,工作站防毒软件,网关防病毒软件,防病毒中央控制系统,病毒信息控制信息等,病毒信息控制信息等,实现多方位、多层次，点（单台工作站）、线（服务器）、面（网关）相结合的防病毒解决方案,分发,分发,下载,分发/登录,分发,分发/登录,分发,分发/登录,分发,分发,常用的安全防护措施,(1).