《网络安全知识讲座》由会员分享,可在线阅读,更多相关《网络安全知识讲座(69页珍藏版)》请在金锄头文库上搜索。
1、网络安全知识讲座,提 纲,网络安全定义 保护资源 网络安全风险 安全技术产品 病毒与特洛伊木马,网络安全定义,网络安全的定义,通常感觉:“网络安全就是避免危险”科学的安全定义 防止未授权的用户访问信息 防止未授权而试图破坏与修改信息从风险的角度: 在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。 安全就是一个系统地保护信息和资源相应的机密性和完整性的能力,安全领域,网络安全问题的复杂程度,复杂程度,Web 浏览,安全威胁: 网络为什么不安全,网络发展迅速, 较少考虑安全问题 管理人员的缺乏及对安全知识和意识的不足 网络技术处于不断发展和进化中 全球超过26万个黑客站点提供系统漏洞和
2、攻击手段及工具等方面的知识 容易使用的攻击软件和黑客教程比比皆是,成为一名“黑客”变的越来越简单,直接经济损失 名誉、信誉受损 正常工作中断或受到干扰 效率下降 可靠性降低 其他严重的后果,安全威胁: 安全事故的后果,相关数据,美国FBI调查,每年因网络安全造成的损失高达170亿美金;CERT组织2000年数据,平均每五个站点就有一个遭受不同程度地攻击 中国公安部资料表明网络犯罪每年以30的惊人速度递增。1986年中国电脑网络犯罪发案仅9起,到2002年已经突破4500起,且保持迅速增长的势头。,100%安全的神话,建立有效的安全矩阵,安全矩阵 由单个操作系统安全特征、日志服务和其他的装备包括
3、防火墙,入侵检测系统,审查方案构成 ;包括软件和硬件设备 功能 是有效的可持续的 是灵活的可扩展的 拥有很高级的预警和报告功能,保护资源,保护资源,终端用户资源(普通员工使用的工作站) 网络资源(路由器、交换机、电话系统) 服务器资源(DNS 、Web 、FTP、E-mail等) 信息存储资源(人力资源和电子商务数据库等),终端用户资源,操作系统 Win98 Windows NT Workstation Windows 2000 professional 威胁 错误下载 ActiveX文件和Java小程序 错误下载病毒和特洛伊木马(Trojans) 错误操作导致系统崩溃,网络资源,硬件设备 路
4、由器 交换机 机柜 配线架 威胁 物理安全,服务器资源,常见的服务器 Web FTP EMAIL DNS 威胁 字典攻击 系统和服务自身的漏洞 拒绝服务攻击 病毒攻击,信息存储资源,信息存储资源更多的是指数据库系统 威胁 泄露商业机密 破坏或伪造交易行为 消费者的重要数据,网络安全风险,网络安全风险,安全需求和实际操作脱离 内部的安全隐患 动态的网络环境 有限的防御策略 安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,通讯&服务层弱点,超过1000个TCP/IP服务安全漏洞: Sendmail, FTP, NFS, File Sharing, Netbios, NIS, Telnet,
5、 Rlogin, 等.错误的路由配置TCP/IP中不健全的安全连接检查机制缺省路由帐户反向服务攻击隐蔽 Modem,针对操作系统的攻击,操作系统的安全隐患,1000个以上的商用操作系统安全漏洞没有及时添加安全补丁病毒程序的传播文件/用户权限设置错误默认安装的不安全设置缺省用户的权限和密码口令用户设置过于简单密码使用特洛依木马,针对应用服务的攻击,应用服务程序,Web服务器数据库系统内部办公系统网络浏览器ERP 系统办公文件程序FTP SMTP POP3,Oracle,应 用 程 序,Web 服务器:错误的Web目录结构CGI脚本缺陷Web服务器应用程序缺陷私人Web站点未索引的Web页防火墙:
6、防火墙的错误配置会导致漏洞: 冒名IP, SYN flooding Denial of service attacks,路由器: 源端口/源路由其他应用程序:Oracle, SAP, Peoplesoft 缺省帐户有缺陷的浏览器,额外的不安全因素,内部个体,内部/组织,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现,未知的安全间隙,我们眼中的网络安全,网络安全隐患无处不在,常见 漏洞目前有1000余种。,管理分析 & 实施策略,Modem,网络系统现状,潜在的安全风险,安全需求与目标,安全体系,安全解决方案,分析后得出,提出,
7、依照风险制定出,进行,安全集成 / 应用开发,安全服务,安全方案设计,建立相应的,网络安全整体设计流程,VPN 虚拟专用网,防火墙,内容检测,防病毒,入侵探测,安全技术产品,需要的安全技术产品,CA安全身份认证体系 防火墙技术 入侵检测技术 网络安全评估系统 防病毒体系,身份鉴别,基于口令、用户名的身份认证基于主体特征的身份认证:如指纹基于IC卡+PIN号码的认证基于CA证书的身份认证其他的认证方式,基于CA证书的身份认证,基于CA证书的身份鉴别,CA中心,证书发布服务器,用户证书,服务器证书,开始数字证书的签名验证,开始数字证书的签名验证,开始安全通讯,需要的安全技术产品,CA安全身份认证体
8、系 防火墙技术 入侵检测技术 网络安全评估系统 防病毒体系,防火墙定义,防火墙:是加载于可信网络与不可信网络之间的安全设备,是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。 防火墙可以是软件、硬件和软硬件结合的 发展历经三代:简单包过滤、应用代理、状态检测(状态包过滤)防火墙,防火墙主要功能,过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和报警,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包 进行分析,根据策略决定如何
9、处理该数据包,数据包,控制策略,基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间 基于用户基于流量,可以灵活的制定 的控制策略,包过滤,IP与MAC绑定,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,Bind 199.168.1.2 To 00-50-04-BB-71-A6,Bind 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网,防火
10、墙允许Host A上网,信息审计&日志,Internet,202.102.1.2,202.102.1.3,写入日志,写入日志,一旦出现安全事故 可以查询此日志,需要的安全技术产品,CA安全身份认证体系 防火墙技术 入侵检测技术 网络安全评估系统 防病毒体系,入侵检测的主要功能,监测并分析用户和系统的活动; 核查系统配置和漏洞; 评估系统关键资源和数据文件的完整性; 识别已知的攻击行为; 统计分析异常行为; 操作系统日志管理,并识别违反安全策略的用户活动。,利用入侵检测保护网络应用,DMZE-Mail File TransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部
11、,路由,Internet,中继,需要的安全技术产品,CA安全身份认证体系 防火墙技术 入侵检测技术 网络安全评估系统 防病毒体系,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。显然,安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。因此,安全扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。,安全扫描系统具有的功能说明,识别正在受到的攻击 减轻系统管理员搜索最近黑客行为的负担 使得安全管理可由普通用户来负责 为制定安全规则提供依据,利用网络安全评估系统对网络进行安全评估,DM
12、ZE-Mail File TransferHTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯 & 应用服务层,需要的安全技术产品,CA安全身份认证体系 防火墙技术技术 入侵检测技术 网络安全评估系统 防病毒体系,全面的病毒防护体系,网关病毒防护工作站病毒防护服务器病毒防护网络中心病毒控制台自动更新升级的维护策略,服务器防病毒软件,工作站防毒软件,网关防病毒软件,防病毒中央控制系统,病毒信息控制信息等,病毒信息控制信息等,实现多方位、多层次,点(单台工作站)、线(服务器)、面(网关)相结合的防病毒解决方案,分发,分发,下载,分发/登录,分发,分发/登录
13、,分发,分发/登录,分发,分发,病毒与特洛伊木马,计算机病毒基本概念,概念:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码 特征:复制、感染、隐蔽、破坏 危害:病毒运行后能够损坏文件、使系统瘫痪,从而造成各种难以预料的后果。网络环境下,计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大 防治:以防为主,病原体(病毒库)是病毒防治技术的关键,为了和以前的DOS/Windows系统保持兼容,WIN 9X/NT下等32位的EXE文件格式有所不同,其中含有一些空挡,病毒会找适合的地方嵌入进去,这是一个被感染的 Windows
14、PE 格式EXE File,为保证其隐蔽性,病毒会将自己写到一个最“适合”它自己的病毒代码的空间部分。如果覆写的位置超过了“空挡”大小,原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的,因为原始程序文件被感染时可能已被覆写破坏了。(典型的象CIH、FUNLOVE病毒),EXE 文件被感染,VIRUS,病毒的新概念 蠕虫(Worm) 通过网络连接,将自身复制到其它计算机中,但不感染其它文件。 特洛伊木马(Trojan horse) 表面上看起来是无害的程序或数据,实际上内含恶意或有害的代码。窃取用户数据和系统控制权,病毒基本知识,RPC:remote procedu
15、re call(远程过程调用)一种消息传递功能,允许分布式应用程序呼叫网络上不同计算机上的可用服务。在计算机的远程管理期间使用。RPC是一个不可缺少的系统级服务,在微软的NT/2000/XP操作系统中都会默认安装此服务。 病毒名称:Wrom.MSBlaster(又名“冲击波”),蠕虫-冲击波病毒,1、添加注册表键值:以使蠕虫可以开机自动运行;2、试探攻击病毒自我生成的IP地址段的主机; 3、攻击RPC服务默认端口,建立一个shell为传播自已做准备; 4、监听 UDP 69端口,当有服务请求,就发送Msblast.exe文件 5、发送命令到远端计算机(被攻击计算机), 以使其连接被感染计算机(
16、本地计算机)下载并运行Msblast.exe; 6、如果当前月份大于8月,或当前日期大于15号,对“W“实施DoS攻击。,冲击波病毒行为分析,恶意蠕虫的典范-尼姆达Nimda,1、概念: 一种新型的恶意蠕虫“Nimda”(又称“概念病毒(CV)”)。影响所有未安装补丁的Windows系统,破坏力极大。2、传播途径: 通过email邮件传播。 通过网络共享传播 通过主动扫描并攻击未打补丁的IIS服务器传播 通过浏览被篡改网页传播 3、危害: 产生大量的垃圾邮件 用蠕虫副本替换系统文件,可能影响word,frontpage等软件正常工作 严重降低系统以及网络性能 创建开放共享,大大降低了系统的安全性 将Guest帐号赋予管理员权限,降低了系统的安全性,
