《安全审核与风险分析PPT课件》由会员分享,可在线阅读,更多相关《安全审核与风险分析PPT课件(286页珍藏版)》请在金锄头文库上搜索。
1、安全审核与风险分析安全审核与风险分析安全审核与风险分析第一单元第一单元安全审核入门安全审核入门安全审核与风险分析审核人员的工作审核人员的工作制定安全策略制定安全策略-任何一个管理规范的网络都需要任何一个管理规范的网络都需要制定一系列的安全策略制定一系列的安全策略。风险评估风险评估明确你所审核的企业性质明确你所审核的企业性质阅读一份书面的安全策略阅读一份书面的安全策略评价已经存在的管理和控制体系评价已经存在的管理和控制体系实施风险分析实施风险分析将系统按安全等级进行分类,包括数据库、将系统按安全等级进行分类,包括数据库、WebWeb服务器、路服务器、路由器和帐号数据库由器和帐号数据库提交审核报告
2、提交审核报告安全审核与风险分析审核人员的职责和前瞻性审核人员的职责和前瞻性从安全管理者的角度考虑从安全管理者的角度考虑需要从防火墙内部进行监测,关注内部网络服务器和主机是否需要从防火墙内部进行监测,关注内部网络服务器和主机是否有异常情况。有异常情况。安全审核与风险分析 安全管理者还要从防火墙外部进行渗透以查看防火墙的规则安全管理者还要从防火墙外部进行渗透以查看防火墙的规则配置是否有漏洞,判断黑客是否能穿透防火墙进而控制网络配置是否有漏洞,判断黑客是否能穿透防火墙进而控制网络主机。主机。审核人员的职责和前瞻性审核人员的职责和前瞻性安全审核与风险分析从安全顾问的角度考虑从安全顾问的角度考虑从黑客的
3、角度和不知情的审核者的角度对网络进行测试从黑客的角度和不知情的审核者的角度对网络进行测试当黑客想要入侵时,想知道其所在的内部网络区段是否存在可当黑客想要入侵时,想知道其所在的内部网络区段是否存在可以入侵或攻击的对象时,他首先会对所有主机进行扫描侦查,以入侵或攻击的对象时,他首先会对所有主机进行扫描侦查,以查看有哪些系统是正在运行的,有没有未进行修复的弱点和以查看有哪些系统是正在运行的,有没有未进行修复的弱点和漏洞。漏洞。审核人员在防火墙内外对网络进行扫描侦查、渗透测试。进行审核人员在防火墙内外对网络进行扫描侦查、渗透测试。进行此类操作的审核人员称为此类操作的审核人员称为ethical hack
4、erethical hacker或或white hat hackerwhite hat hacker。多使用多使用IBM ethical hacking divisionIBM ethical hacking division和和Axem Tiger TeamAxem Tiger Team提供的审核提供的审核工具。工具。事实证明,利用各种扫描工具与技术侦测目标系统,可以找出事实证明,利用各种扫描工具与技术侦测目标系统,可以找出所有正在运行的系统,并可以侦测出潜在的易受攻击的的攻击所有正在运行的系统,并可以侦测出潜在的易受攻击的的攻击目标。目标。审核人员的职责和前瞻性审核人员的职责和前瞻性安全审
5、核与风险分析从一个内部知情人的角度来评估网络安全从一个内部知情人的角度来评估网络安全实施现场分析,了解网络的拓扑结构、服务等所有网络资源实施现场分析,了解网络的拓扑结构、服务等所有网络资源的具体配置情况。内容包括:的具体配置情况。内容包括:1. 1.网络运作的各项标准网络运作的各项标准 2. 2.可预测的合法网络行为可预测的合法网络行为3. 3.某些特定服务及功能的网络正常流量某些特定服务及功能的网络正常流量4. 4.各种数据报文的特征各种数据报文的特征对网络进行各种漏洞分析、风险分析。对网络进行各种漏洞分析、风险分析。合并两方面测试中得到的信息,作综合评价后进行合并两方面测试中得到的信息,作
6、综合评价后进行更深层次的审核。更深层次的审核。审核人员的职责和前瞻性审核人员的职责和前瞻性安全审核与风险分析内部威胁分析内部威胁分析攻击者并不一定都是黑客和外部人员。攻击者并不一定都是黑客和外部人员。若将存放重要资料的服务器暴露在内部网络的公共区,内部若将存放重要资料的服务器暴露在内部网络的公共区,内部使用者就可能直接对其进行攻击。使用者就可能直接对其进行攻击。使用多层防火墙机制可以很好地解决这个问题。使用多层防火墙机制可以很好地解决这个问题。在内部网络中,另外建立一个防火墙,分割一般使用者和重在内部网络中,另外建立一个防火墙,分割一般使用者和重要资料服务器的网段。严格限制其出入的传输,强化资
7、料存要资料服务器的网段。严格限制其出入的传输,强化资料存取的安全性。取的安全性。审核人员的职责和前瞻性审核人员的职责和前瞻性安全审核与风险分析风险评估风险评估风险评估是指定位网络资源和明确攻击发生的可能风险评估是指定位网络资源和明确攻击发生的可能性。性。风险评估是一种风险评估是一种“差距分析差距分析”,可以显示出安全策,可以显示出安全策略和实际发生攻击之间的差距。略和实际发生攻击之间的差距。信息安全风险评估是指依据有关信息安全技术与管信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安
8、全属性进行评价息的机密性、完整性和可用性等安全属性进行评价的过程。的过程。安全审核与风险分析风险评估的准备风险评估的准备风险评估的准备过程是组织机构进行风险评估的基础,是整风险评估的准备过程是组织机构进行风险评估的基础,是整个风险评估过程有效性的保证。个风险评估过程有效性的保证。确定风险评估的目标确定风险评估的目标确定风险评估的范围确定风险评估的范围建立适当的组织结构建立适当的组织结构建立系统性的风险评估方法建立系统性的风险评估方法获得最高管理者对风险评估计划的批准获得最高管理者对风险评估计划的批准风险评估风险评估安全审核与风险分析风险评估的依据风险评估的依据1 1、政策法规:中办发、政策法规
9、:中办发200320032727号文件和国信办文件号文件和国信办文件2 2、国际标准:如、国际标准:如BS7799-1 BS7799-1 信息安全管理实施细则信息安全管理实施细则、BS7799-BS7799-2 2 信息安全管理体系规范信息安全管理体系规范等等3 3、国家标准或正在审批的讨论稿,如、国家标准或正在审批的讨论稿,如GB 17859-1999 GB 17859-1999 计算机信计算机信息系统安全保护等级划分准则息系统安全保护等级划分准则和和信息安全风险评估指南信息安全风险评估指南等等4 4、行业通用标准等其它标准、行业通用标准等其它标准风险评估风险评估安全审核与风险分析风险评估的
10、原则风险评估的原则1 1、可控性原则、可控性原则人员可控性人员可控性工具可控性工具可控性项目过程可控性项目过程可控性2 2、完整性原则、完整性原则-严格按照评估要求和指定的范围进严格按照评估要求和指定的范围进行全面的评估服务。行全面的评估服务。3 3、最小影响原则、最小影响原则-从项目管理层面和工具技术层面,从项目管理层面和工具技术层面,力求将风险评估对信息系统的正常运行的可能影响力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。降低到最低限度。4 4、保密原则、保密原则-不应暴露敏感信息。不应暴露敏感信息。风险评估风险评估安全审核与风险分析风险结果的判定风险结果的判定风险等级的划分
11、风险等级的划分确定风险数值的大小,明确不同威胁对资产所产生的风险,确确定风险数值的大小,明确不同威胁对资产所产生的风险,确定不同风险的优先次序或等级,风险级别高的资产应被优先分定不同风险的优先次序或等级,风险级别高的资产应被优先分配资源进行保护。配资源进行保护。风险等级从风险等级从1 1到到5 5划分为五级。等级越大,风险越高。划分为五级。等级越大,风险越高。控制措施的选择控制措施的选择对不可接受的风险选择适当的处理方式及控制措施,并形成风对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。险处理计划。 控制措施的选择应兼顾管理与技术。控制措施的选择应兼顾管理与技术。残余风险的评
12、价残余风险的评价对于不可接受范围内的风险,应在选择了适当的控制措施后,对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。为风险管理提供输入。 为确保所选择控制措施的有效性,必要时可进行再评估,以判为确保所选择控制措施的有效性,必要时可进行再评估,以判断实施控制措施后的残余风险是否是可被接受的。断实施控制措施后的残余风险是否是可被接受的。风险评估风险评估安全审核与风险分析风险评估的步骤风险评估的步骤1. 1.仔细检查书面安全策略仔细检查书面安全策略安全专家把书面
13、的安全策略比喻成安全专家把书面的安全策略比喻成“road map”road map”或或“framework”framework”,因为它使网络在扩大规模中仍能保持安全。,因为它使网络在扩大规模中仍能保持安全。安全审核人员应该仔细阅读安全策略并检验雇员对策略的执行情安全审核人员应该仔细阅读安全策略并检验雇员对策略的执行情况。况。2. 2.对资源进行分析、分类和排序对资源进行分析、分类和排序 -找出网络中最重要的资源找出网络中最重要的资源风险评估风险评估问问 题题回回答答什么是受攻击的目什么是受攻击的目标?标? 如果目标是一般用户的操作系统,则风险低;如果目标如果目标是一般用户的操作系统,则风险
14、低;如果目标是人力资源系统,则风险高。是人力资源系统,则风险高。 出现问题的严重性出现问题的严重性? 一旦出现问题,后果有多严重?影响企业还是影响个别一旦出现问题,后果有多严重?影响企业还是影响个别的系统?通常需要对损失的时间和金钱进行评估。的系统?通常需要对损失的时间和金钱进行评估。 发生攻击的可能性发生攻击的可能性? 攻击发生的可能到底有多大?是不太可能发生还是非常攻击发生的可能到底有多大?是不太可能发生还是非常有可能发生。有可能发生。 安全审核与风险分析3. 3.通常遭受攻击的资源通常遭受攻击的资源 了解资源的分布情况:了解资源的分布情况:安全审核与风险分析下表列出了一些通常遭受攻击的网
15、络资源下表列出了一些通常遭受攻击的网络资源 :攻击热点攻击热点 潜在威胁潜在威胁 网络资源网络资源 路由器和交换机路由器和交换机防火墙防火墙网络主机网络主机 服务器资源服务器资源 安全帐号数据库安全帐号数据库信息数据库信息数据库SMTPSMTP服务器服务器HTTPHTTP服务器服务器FTPFTP服务器服务器 安全审核与风险分析对资源进行分类是一个明智的策略对资源进行分类是一个明智的策略 每个部门都有自己的数据库,但人力资源、财务和研发部门的每个部门都有自己的数据库,但人力资源、财务和研发部门的数据通常比其它部门的更重要一些。数据通常比其它部门的更重要一些。安全审核与风险分析4. 4.考虑商业需
16、求考虑商业需求 为企业需求制定安全策略,应当考虑一些特殊的部门和个体。目标是为企业需求制定安全策略,应当考虑一些特殊的部门和个体。目标是提高各部门的工作效率并使他们的数据更安全。提高各部门的工作效率并使他们的数据更安全。安全审核与风险分析5.评估已有的边界和内部安全评估已有的边界和内部安全边界安全指网络间区分彼此的能力,防火墙是定义安全边界的边界安全指网络间区分彼此的能力,防火墙是定义安全边界的第一道屏障。第一道屏障。内部安全是指网络管理员监测和打击未授权的网络活动的能力。内部安全是指网络管理员监测和打击未授权的网络活动的能力。通过对现有安全机制的评估确认网络可以从下列外部攻击中通过对现有安全
17、机制的评估确认网络可以从下列外部攻击中尽快恢复。尽快恢复。消耗带宽攻击:攻击者发送大量欺骗性数据占用网络带宽达到消耗带宽攻击:攻击者发送大量欺骗性数据占用网络带宽达到拒绝服务的目的。拒绝服务的目的。错误的防火墙规则设置:错误的代理服务和包过滤规则的设置错误的防火墙规则设置:错误的代理服务和包过滤规则的设置是网络安全极大的隐患。是网络安全极大的隐患。将系统置于防火墙之外:尽可能将网络资源置于防火墙内部。将系统置于防火墙之外:尽可能将网络资源置于防火墙内部。安全审核与风险分析6.使用已有的管理和控制结构使用已有的管理和控制结构在审核过程中,可以使用网络中已有的管理和控制结构。在审核过程中,可以使用
18、网络中已有的管理和控制结构。基于网络的管理结构基于网络的管理结构基于主机的管理结构基于主机的管理结构两种管理结构各有优劣,可以根据不同的管理任务进行选择。两种管理结构各有优劣,可以根据不同的管理任务进行选择。安全审核与风险分析简单查询体系结构简单查询体系结构安全审核与风险分析用户用户代理体系结构代理体系结构安全审核与风险分析风险评估阶段风险评估阶段黑客在入侵攻击网络系统的过程中不外乎三个步骤:黑客在入侵攻击网络系统的过程中不外乎三个步骤:扫描侦查、渗透和控制网络系统。扫描侦查、渗透和控制网络系统。安全审核人员进行审核时也有三个阶段:侦查阶段、安全审核人员进行审核时也有三个阶段:侦查阶段、渗透阶
19、段、控制阶段。渗透阶段、控制阶段。 安全审核人员不同于黑客:安全审核人员采用一些安全审核人员不同于黑客:安全审核人员采用一些分析手段评估网络,进而提交报告以增强网络的安分析手段评估网络,进而提交报告以增强网络的安全性。虽然所采用的审核方式、方法跟黑客的入侵全性。虽然所采用的审核方式、方法跟黑客的入侵攻击没有区别。攻击没有区别。 安全审核与风险分析侦查阶段侦查阶段-扫描和测试系统的有效安全性扫描和测试系统的有效安全性对网络进行侦查意味着要定位出网络资源的使用的具体情况,对网络进行侦查意味着要定位出网络资源的使用的具体情况,包括包括IP地址、开放端口、网络拓扑等。地址、开放端口、网络拓扑等。实施分
20、析要求对系统逐个检测,下面列出通常的检测项目:实施分析要求对系统逐个检测,下面列出通常的检测项目:已知的服务漏洞已知的服务漏洞缺省安装缺省安装不安全的网络管理不安全的网络管理弱口令弱口令不正确的服务配置不正确的服务配置网络拓扑的缺陷网络拓扑的缺陷安全审核与风险分析信息泄漏信息泄漏未授权的设备和服务未授权的设备和服务可管理的设备可管理的设备未授权的服务未授权的服务加密机制加密机制额外的用户权限额外的用户权限已知的软件版本漏洞已知的软件版本漏洞侦查阶段的分析工作通常需要大量的时间。侦查阶段的分析工作通常需要大量的时间。安全审核与风险分析渗透阶段渗透阶段-渗透测试渗透测试渗透测试是指在获取用户授权后
21、,通过真实模拟黑客使用的渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞,法。这种测试方法可以非常有效地发现最严重的安全漏洞,尤其是与全面的代码审核相比,其使用的时间更短,也更有尤其是与全面的代码审核相比,其使用的时间更短,也更有效率。效率。在渗透测试中,将检查各种系统的漏洞,并试图使下列元素在渗透测试中,将检查各种系统的漏洞,并试图使下列元素无效:无效:加密加密密码密码访问列表访问列表安全审核与风险分析控制阶段控制阶段-控制演示控制演示
22、控制控制-表明一个黑客可以控制网络资源、创建帐号、修改日表明一个黑客可以控制网络资源、创建帐号、修改日志、行使管理员的权限。志、行使管理员的权限。审核人员从不试图控制网络主机,只是通过演示其可以控制审核人员从不试图控制网络主机,只是通过演示其可以控制网络主机来证明现有网络存在的问题。网络主机来证明现有网络存在的问题。在提交报告时,必须提出如何防止黑客获得网络和主机的控在提交报告时,必须提出如何防止黑客获得网络和主机的控制权的建议。制权的建议。安全审核与风险分析差距分析差距分析风险评估中常用的方法有三种:计算系统综合风险,风险评估中常用的方法有三种:计算系统综合风险,差距分析法和量化风险。差距分
23、析法和量化风险。差距分析的方法是风险评估里最常用的一种方法。差距分析的方法是风险评估里最常用的一种方法。差距分析是在风险评估中通过识别、判断和分析目差距分析是在风险评估中通过识别、判断和分析目标系统的安全现状与安全要求之间的差距确定系统标系统的安全现状与安全要求之间的差距确定系统风险的分析方法。风险的分析方法。目标系统的可接受风险和系统残余风险间的差距就目标系统的可接受风险和系统残余风险间的差距就是系统存在的风险。是系统存在的风险。安全审核与风险分析差距分析法模型安全审核与风险分析差距分析法在运用中通常包括五个步骤差距分析法在运用中通常包括五个步骤1. 1.调研目标系统状况调研目标系统状况2.
24、 2.确定信息系统安全要求确定信息系统安全要求任务任务a a:确定信息系统安全等级:确定信息系统安全等级任务任务b b:确定和规范化描述信息系统的安全要求:确定和规范化描述信息系统的安全要求3. 3.评估信息系统安全现状评估信息系统安全现状任务任务a a:信息系统安全现状评估报告:信息系统安全现状评估报告4. 4.对信息安全风险进行差距分析和风险计算对信息安全风险进行差距分析和风险计算任务任务a a:评估信息系统安全现状对信息系统安全要求的符合程度:评估信息系统安全现状对信息系统安全要求的符合程度任务任务b b:对信息系统安全执行能力进行评估,评估信息系统安全:对信息系统安全执行能力进行评估,
25、评估信息系统安全等级,与要达到目标的安全等级等级,与要达到目标的安全等级5. 5.用户根据安全风险评估的结果进行风险控制,形成满足其信息用户根据安全风险评估的结果进行风险控制,形成满足其信息系统安全要求的信息系统安全保障能力。系统安全要求的信息系统安全保障能力。 安全审核与风险分析划分资产风险等级划分资产风险等级在进行了侦查阶段、渗透阶段和控制阶段后,将根据最在进行了侦查阶段、渗透阶段和控制阶段后,将根据最后的测试结果,并根据国家相关的风险评估标准对各个后的测试结果,并根据国家相关的风险评估标准对各个资产进行风险等级的划分,划分的标准如下表资产进行风险等级的划分,划分的标准如下表:可以采用按照
26、风险数值排序的方法,也可以采用区间划可以采用按照风险数值排序的方法,也可以采用区间划分的方法将风险划分为不同的优先等级,包括将可接受分的方法将风险划分为不同的优先等级,包括将可接受风险与不可接受风险的划分风险与不可接受风险的划分。等等 级级标标 识识风风险险定定 义义5很高很高风险很高,导致系统受到非常严重影响风险很高,导致系统受到非常严重影响 4高高风险高,导致系统受到严重影响风险高,导致系统受到严重影响 3中中风险中,导致系统受到较重影响风险中,导致系统受到较重影响 2低低风险低,导致系统受到一般影响风险低,导致系统受到一般影响 1很低很低风险很低,导致系统受到较小影响风险很低,导致系统受
27、到较小影响 安全审核与风险分析安全审核需注意的事项安全审核需注意的事项安全审核的要素安全审核的要素安全审核涉及四个基本要素安全审核涉及四个基本要素: :1 1控制目标控制目标控制目标是指企业根据具体的计算机应用控制目标是指企业根据具体的计算机应用, ,结合企业实际情况结合企业实际情况制定出的安全控制要求。制定出的安全控制要求。2 2安全漏洞安全漏洞安全漏洞是指系统的安全薄弱环节安全漏洞是指系统的安全薄弱环节, ,容易被干扰或破坏的地方容易被干扰或破坏的地方。安全审核与风险分析3 3控制措施控制措施控制措施是指企业为实现其安全控制目标所制定的安全控制控制措施是指企业为实现其安全控制目标所制定的安
28、全控制技术、配置方法及各种规范制度。技术、配置方法及各种规范制度。4. 4.控制测试控制测试控制测试是将企业的各种安全控制措施与预定的安全标准进控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。对漏洞的防范是否有效,评价企业安全措施的可依赖程度。安全审核与风险分析安全标准安全标准1ISO 7498-2国际标准组织(国际标准组织(ISO)建立了)建立了7498系列标准来帮助网络实施标准系列标准来帮助网络实施标准化。其中第二个文件化。其中
29、第二个文件7498-2描述了如何确保站点安全和实施有描述了如何确保站点安全和实施有效的审核计划。效的审核计划。2英国标准英国标准7799(BS 7799)BS 7799论述了如何确保网络系统安全。其中论述了如何确保网络系统安全。其中BS 7799-1讨论了讨论了确保网络安全所采取的步骤,确保网络安全所采取的步骤,BS 7799-2讨论了在实施信息安全讨论了在实施信息安全管理系统(管理系统(ISMS)时应采取的步骤。)时应采取的步骤。3Common Criteria(CC)Common Criteria提供了网络安全解决方案的全球统一标准。提供了网络安全解决方案的全球统一标准。ISO为了统一区域
30、和国家间的安全标准指定了为了统一区域和国家间的安全标准指定了Common Criteria。安全审核与风险分析获得最高管理者支持获得最高管理者支持任何一个组织,推行任何一套安全管理体系,首先任何一个组织,推行任何一套安全管理体系,首先都必须获得最高管理者的支持。都必须获得最高管理者的支持。在安全审核初期,最高管理者的支持可以表现在以在安全审核初期,最高管理者的支持可以表现在以下方面:下方面:第一,在财务方面提供必要的投资。第一,在财务方面提供必要的投资。第二,配备必要充足的人力资源、分配一定的工作时间于工第二,配备必要充足的人力资源、分配一定的工作时间于工作的推动上。作的推动上。安全审核与风险
31、分析获取客户信息的反馈获取客户信息的反馈来自客户的反馈信息是衡量业绩的重要指标之一,来自客户的反馈信息是衡量业绩的重要指标之一,可以被用来评价网络安全管理体系的总体有效性。可以被用来评价网络安全管理体系的总体有效性。对一个机构进行一次安全审核后要及时地与被审核对一个机构进行一次安全审核后要及时地与被审核机构进行及时的沟通,以了解安全审核的效果。机构进行及时的沟通,以了解安全审核的效果。获得客户反馈的信息,了解到工作中存在哪些不足,获得客户反馈的信息,了解到工作中存在哪些不足,针对不同企业或机构采取不同的审核方式。针对不同企业或机构采取不同的审核方式。安全审核与风险分析 第二单元第二单元审审 核
32、核 过过 程程安全审核与风险分析检查书面安全策略检查书面安全策略通过对各种策略文档进行阅读和分析,获得通过对各种策略文档进行阅读和分析,获得整个策略文档体系的概貌,并评价策略文档整个策略文档体系的概貌,并评价策略文档体系能否满足安全工作的要求。体系能否满足安全工作的要求。查查看是否有看是否有“风险分析风险分析”项目。项目。查看查看ITIT任务陈述。任务陈述。查看是否有如何实施安全策略以及如何处理破查看是否有如何实施安全策略以及如何处理破 坏行为或不正当行为的说明。坏行为或不正当行为的说明。查看是否有全面的查看是否有全面的“备份和恢复备份和恢复”或或“业务连业务连 续性续性”计划。计划。 安全审
33、核与风险分析为什么要有安全策略为什么要有安全策略安全策略的主要目标就是为获取、管理和审查计算机资源提安全策略的主要目标就是为获取、管理和审查计算机资源提供一个准绳。供一个准绳。一个强大的安全策略是合理且成功地应用安全工具的先决条一个强大的安全策略是合理且成功地应用安全工具的先决条件。没有明确的规则和目标,则安装、应用和运行安全工具件。没有明确的规则和目标,则安装、应用和运行安全工具是不可能有效的。是不可能有效的。安全审核与风险分析好的安全策略具有的特征好的安全策略具有的特征安全策略应该简洁明了,一个好的安全策略应具有以安全策略应该简洁明了,一个好的安全策略应具有以下特征:下特征:安全策略不能与
34、法律法规相冲突;安全策略不能与法律法规相冲突;为了正确地使用信息系统,安全策略应当对责任进行合理的为了正确地使用信息系统,安全策略应当对责任进行合理的分配。为机构之中的所有重要人员都确定了一个身份,如:分配。为机构之中的所有重要人员都确定了一个身份,如:系统管理员、系统管理员、ITIT技术人员等。技术人员等。一个好的安全策略应该具有良好的可执行性。一个好的安全策略应该具有良好的可执行性。一个好的安全策略应有与之匹配的安全工具,安全工具应能一个好的安全策略应有与之匹配的安全工具,安全工具应能预防策略被破坏。如果不能预防破坏,则应能检测出并制裁预防策略被破坏。如果不能预防破坏,则应能检测出并制裁违
35、规者。违规者。一个强大的安全策略应能提供突发性处理一个强大的安全策略应能提供突发性处理, , 如一旦检测到侵入如一旦检测到侵入者该如何处理。者该如何处理。安全审核与风险分析公布策略公布策略安全策略要让机构中的每个用户都知道。安全策略要让机构中的每个用户都知道。安全策略公布方式:安全策略公布方式:电子邮件电子邮件MSN消息消息安全简报安全简报安全审核与风险分析让策略发生作用让策略发生作用安全策略不能停留在书面上,要严格贯彻执行。安全策略不能停留在书面上,要严格贯彻执行。安全策略只有在实施后才能发挥作用安全策略只有在实施后才能发挥作用。要确保每个员工都可以获得这份安全策略;要确保每个员工都可以获得
36、这份安全策略;进行员工教育和培训进行员工教育和培训;安全策略的贯彻执行,可以在企业形成良好的安全保护意识,安全策略的贯彻执行,可以在企业形成良好的安全保护意识,营造一种良好的安全环境,这才更符合信息发展网络化的特营造一种良好的安全环境,这才更符合信息发展网络化的特点点。安全审核与风险分析制定一个详细计划来实施安全策略制定一个详细计划来实施安全策略信息安全策略的实施过程是一项较为长期且反复的过程,在信息安全策略的实施过程是一项较为长期且反复的过程,在这一过程中要根据实践的结果对信息安全策略体系和内容进这一过程中要根据实践的结果对信息安全策略体系和内容进行不断调整与完善。行不断调整与完善。详细的实
37、施计划有助于有效地管理开支计划和控制执行时间。详细的实施计划有助于有效地管理开支计划和控制执行时间。获得高层管理层的支持与认可是安全策略得以顺利贯彻落实获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的关键。的关键。安全审核与风险分析信息安全策略实施计划至少应该包含以下步骤:信息安全策略实施计划至少应该包含以下步骤:进行现场勘查,了解每个员工的信息系统的现状;进行现场勘查,了解每个员工的信息系统的现状;与相关人员进行访谈,深入了解组织的业务需求及安全需求;与相关人员进行访谈,深入了解组织的业务需求及安全需求;进行文档审查,掌握组织当前的策略制定及部署情况;进行文档审查,掌握组织当前的策略制
38、定及部署情况;按层次分级制定安全策略;按层次分级制定安全策略;通过召开讨论会议的形式来完善每项安全策略;通过召开讨论会议的形式来完善每项安全策略;公布安全策略,让组织的员工、顾客等获知并理解与其工作有公布安全策略,让组织的员工、顾客等获知并理解与其工作有关的安全策略;关的安全策略;安全审核与风险分析试实行安全策略,可以在整个组织范围内,也可以在特定的部试实行安全策略,可以在整个组织范围内,也可以在特定的部门内进行。要根据安全策略的要求,对系统进行必要的补充,门内进行。要根据安全策略的要求,对系统进行必要的补充,如购买必需的软硬件设备,雇用必需的员工,安装和测试软硬如购买必需的软硬件设备,雇用必
39、需的员工,安装和测试软硬件设备等;件设备等;搜集分析反馈意见,修订和调整安全策略;搜集分析反馈意见,修订和调整安全策略;由管理层批复,发布正式的安全策略,其内容涵盖各种技术标由管理层批复,发布正式的安全策略,其内容涵盖各种技术标准、规范和手册、关键的操作程序和管理方针、与信息安全相准、规范和手册、关键的操作程序和管理方针、与信息安全相关的具体的管理制度等。关的具体的管理制度等。根据安全策略对组织的员工、顾客等进行安全策略方面的培训;根据安全策略对组织的员工、顾客等进行安全策略方面的培训;长期执行并维护安全策略。长期执行并维护安全策略。安全审核与风险分析划分资产等级划分资产等级正确对资产进行分类
40、,划分不同的等级,正确识别正确对资产进行分类,划分不同的等级,正确识别出审核的对象是进行安全审核非常关键的前提条件。出审核的对象是进行安全审核非常关键的前提条件。安全审核与风险分析资产确认资产确认硬件资产:硬件资产:路由器路由器交换机交换机硬件防火墙硬件防火墙入侵检测设备入侵检测设备服务器服务器磁盘驱动器磁盘驱动器电话线、调制解调器等电话线、调制解调器等软件资产:软件资产:操作系统操作系统应用程序应用程序安全软件和诊断程序等安全软件和诊断程序等安全审核与风险分析对私有或保密数据进行分类(从顾客数据库到专用应用程序)。对私有或保密数据进行分类(从顾客数据库到专用应用程序)。对常规数据,包括数据库
41、、文档、备份、系统日志和掉线数对常规数据,包括数据库、文档、备份、系统日志和掉线数据等进行分类。据等进行分类。对机构里的人员要进行确认和分类,对于机构外但与机构有对机构里的人员要进行确认和分类,对于机构外但与机构有往来的也要进行确认和分类。往来的也要进行确认和分类。安全审核与风险分析资产评估资产评估对于大多数的资产可以用货币数量多少的方法对其进行资产对于大多数的资产可以用货币数量多少的方法对其进行资产确定。确定。进行资产评估要考虑下面四种价值:进行资产评估要考虑下面四种价值:所有者的平均期望损失;所有者的平均期望损失;所有者的最大期望损失;所有者的最大期望损失;攻击者的平均获利;攻击者的平均获
42、利;攻击者的最大获利攻击者的最大获利;资产确认和评估是一个复杂的过程。在大型公司中,成立一资产确认和评估是一个复杂的过程。在大型公司中,成立一个工作委员会,从各个部门(也包括个工作委员会,从各个部门(也包括IT部门)召集人员来参部门)召集人员来参加。加。安全审核与风险分析判断危险性判断危险性除了恶意侵入者和内部人员外,对于任何计算机系统还有许除了恶意侵入者和内部人员外,对于任何计算机系统还有许多威胁安全的方面:多威胁安全的方面:从软件缺陷到硬件失效;从软件缺陷到硬件失效;把一杯茶水泼到键盘上;把一杯茶水泼到键盘上;挖掘机切断了上千万根电缆线;挖掘机切断了上千万根电缆线;安全审核与风险分析下面是
43、对计算机危险的部分分类:下面是对计算机危险的部分分类:软硬件故障:软硬件故障:软件失效、硬件失效;软件失效、硬件失效;物理环境威胁:物理环境威胁:火灾、洪水、雷击、龙卷风、地震、爆炸、建筑倒塌、垃圾、火灾、洪水、雷击、龙卷风、地震、爆炸、建筑倒塌、垃圾、灰尘、烟雾、强电磁辐射;灰尘、烟雾、强电磁辐射;人员:人员:无恶意内部人员,恶意内部人员,外部人员攻击;无恶意内部人员,恶意内部人员,外部人员攻击;外部因素:外部因素:信息被盗取或泄露,硬件、软件、磁盘和磁带等被盗,窃听,信息被盗取或泄露,硬件、软件、磁盘和磁带等被盗,窃听,社会工程,黑客;社会工程,黑客;安全审核与风险分析划分资产等级划分资产
44、等级资产的等级表明了资产对系统的重要性程度,安全审核人员资产的等级表明了资产对系统的重要性程度,安全审核人员应根据各个资产的等级确定相应的安全审核策略。应根据各个资产的等级确定相应的安全审核策略。确定保护方法确定保护方法确定了危险性,就要确定保护方法。确定了危险性,就要确定保护方法。基于软件的保护基于软件的保护基于硬件的保护基于硬件的保护与人员相关的保护与人员相关的保护安全审核与风险分析成本成本效益分析效益分析成本、收益分析是评价安全措施的成本和收益。成本、收益分析是评价安全措施的成本和收益。量化风险:量化风险:给出系统面临的风险,它是在给定时间内(如一年)给出系统面临的风险,它是在给定时间内
45、(如一年)每种引起损失的因素的发生概率。每种引起损失的因素的发生概率。量化损失成本:量化损失成本:包括修复和替换设备的成本、系统关机的成本、机构包括修复和替换设备的成本、系统关机的成本、机构声誉的损失以及客户的损失成本等。声誉的损失以及客户的损失成本等。量化预防措施的成本:量化预防措施的成本:预防各种损失的成本。这包括硬件成本,如不间断电预防各种损失的成本。这包括硬件成本,如不间断电源或系统访问卡;软件成本,如商业侵入保护系统;源或系统访问卡;软件成本,如商业侵入保护系统;人员成本,如雇佣和培训等。人员成本,如雇佣和培训等。计算底限:计算底限:对于每种损失,比较风险损失和预防损失所需的成本。对
46、于每种损失,比较风险损失和预防损失所需的成本。安全审核与风险分析权衡安全失败的潜在成本和加强安全的成本是需要技巧的。权衡安全失败的潜在成本和加强安全的成本是需要技巧的。成本效益图成本效益图安全审核与风险分析识别业务焦点只有识别出了企业或单位的业务焦点才能清楚地了只有识别出了企业或单位的业务焦点才能清楚地了解到,对于企业或单位来说最重要的是什么解到,对于企业或单位来说最重要的是什么。安全审核人员应将企业的业务焦点的安全等级置于安全审核人员应将企业的业务焦点的安全等级置于最高,并进行最严格的安全审核。最高,并进行最严格的安全审核。安全审核与风险分析使用已有管理控制结构使用已有管理控制结构单独的安全
47、设备不能解决网络的安全问题,独立的基于网元单独的安全设备不能解决网络的安全问题,独立的基于网元的管理更不能解决日益复杂的安全问题的管理更不能解决日益复杂的安全问题。安全的网络是指能够提供安全连接、安全保证、安全认证、安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务,安全感知和管理,具有自我防御能安全抵御以及安全服务,安全感知和管理,具有自我防御能力的网络系统。力的网络系统。从技术的层面来说,目前业界比较认可的安全网络的主要环从技术的层面来说,目前业界比较认可的安全网络的主要环节包括:节包括:入侵防护;入侵防护;入侵检测;入侵检测;事件响应;事件响应;系统灾难恢复;系统灾
48、难恢复;安全审核与风险分析应急响应将安全网络的各个环节贯穿起来,使得不同的环节应急响应将安全网络的各个环节贯穿起来,使得不同的环节互相配合,共同实现安全网络的最终目标。互相配合,共同实现安全网络的最终目标。应急响应的准备工作包括:应急响应的准备工作包括:风险评估;风险评估;策略制定;策略制定;入侵防护;入侵防护;入侵检测;入侵检测;安全审核与风险分析安全管理在安全网络建设的循环中,起到一个承前启后的作安全管理在安全网络建设的循环中,起到一个承前启后的作用,是实现安全网络的关键。用,是实现安全网络的关键。安全信息管理涵盖的范围非常全面,包括:安全信息管理涵盖的范围非常全面,包括:风险管理;风险管
49、理;策略中心;策略中心;配置管理;配置管理;事件管理;事件管理;响应管理;响应管理;控制系统;控制系统;知识和情报中心;知识和情报中心;专家系统;专家系统;安全审核与风险分析根据信息安全管理的功能和特性,可将其工作流程分成以下根据信息安全管理的功能和特性,可将其工作流程分成以下4个阶段。个阶段。配置管理配置管理Provisioning Provisioning 监控管理监控管理Monitoring Monitoring 分析管理分析管理Analysis Analysis 响应管理响应管理Response Response 每个阶段侧重解决不同的信息安全问题、实现不同的安全目每个阶段侧重解决不同
50、的信息安全问题、实现不同的安全目标:标:安全审核与风险分析1.配置管理配置管理配置阶段的管理目标主要是实现对安全产品的:配置阶段的管理目标主要是实现对安全产品的:安全策略的制定安全策略的制定 安全配置的部署安全配置的部署 检查配置是否遵循安全策略检查配置是否遵循安全策略 网络安全管理配置软件根据其处理对象的不同,分成网元管理网络安全管理配置软件根据其处理对象的不同,分成网元管理配置软件和网络管理配置软件。配置软件和网络管理配置软件。网元管理软件只管理单独的网元网元管理软件只管理单独的网元( (网络设备网络设备) )网络管理软件的管理目标为一个网络网络管理软件的管理目标为一个网络安全审核与风险分
51、析2.2.监控管理监控管理监控阶段的管理目标主要是实现对安全产品的:监控阶段的管理目标主要是实现对安全产品的:安全状况报告的查看,校对,产生安全状况报告的查看,校对,产生 安全威胁信息的可视化安全威胁信息的可视化 保存记录以便以后进行审核保存记录以便以后进行审核网络管理员日常工作中,除了对经常增加的业务进行配置之网络管理员日常工作中,除了对经常增加的业务进行配置之外,另外一个主要的工作就是监控网络流量正常与否。外,另外一个主要的工作就是监控网络流量正常与否。合适的网络安全管理监控软件,将有助于帮助网络管理员快合适的网络安全管理监控软件,将有助于帮助网络管理员快速,有效地监控网络流量。速,有效地
52、监控网络流量。安全审核与风险分析3.分析管理分析管理分析阶段的管理目标主要是实现:分析阶段的管理目标主要是实现:将离散的数据智能地翻译成可检测的信息将离散的数据智能地翻译成可检测的信息显示推荐的排除安全威胁的配置信息显示推荐的排除安全威胁的配置信息安全审核安全审核安全评估审核分成安全评估审核分成2类:类:对网络设备本身的配置进行检查审核,将设备本身安全加固的配置对网络设备本身的配置进行检查审核,将设备本身安全加固的配置和预定的最佳配置相比较,看是否有不足;和预定的最佳配置相比较,看是否有不足;对整个网络系统,包括对主机系统的安全漏洞进行评估审核;对整个网络系统,包括对主机系统的安全漏洞进行评估
53、审核;安全审核与风险分析4.响应管理响应管理基于获取的大量安全事件,分析整个系统的安全状态和安全基于获取的大量安全事件,分析整个系统的安全状态和安全趋势,对危害严重的安全事件及时做出响应。趋势,对危害严重的安全事件及时做出响应。主要目标是:主要目标是:通过各种事件的关联准确定位安全事件通过各种事件的关联准确定位安全事件确定攻击源头、描绘攻击路径确定攻击源头、描绘攻击路径自动产生排除安全威胁的操作自动产生排除安全威胁的操作和其他部署系统一起协同作业和其他部署系统一起协同作业安全审核与风险分析配置基于网络和主机的漏洞扫描分析软件配置基于网络和主机的漏洞扫描分析软件漏洞扫描系统是用来自动检测远程或本
54、地主机安全漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的系统。漏洞的系统。漏洞扫描的结果实际上就是系统安全性能的一个评漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的。它能够有效地预估,它指出了哪些攻击是可能的。它能够有效地预先评估和分析系统中的安全问题。先评估和分析系统中的安全问题。漏洞扫描可以分为:漏洞扫描可以分为:基于网络的扫描基于网络的扫描基于主机的扫描基于主机的扫描安全审核与风险分析基于网络的漏洞扫描和分析软件基于网络的漏洞扫描和分析软件通过网络来扫描远程计算机中的漏洞。通过网络来扫描远程计算机中的漏洞。一种漏洞信息收集工具。一种漏洞信息收集工具。工作原理
55、:工作原理:根据不同漏洞的特性,构造网络数据包,发给网络中的一根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。个或多个目标服务器,以判断某个特定的漏洞是否存在。安全审核与风险分析基于主机的漏洞扫描和分析软件基于主机的漏洞扫描和分析软件基于主机的漏洞扫描器与基于网络的漏洞扫描器的扫描原理基于主机的漏洞扫描器与基于网络的漏洞扫描器的扫描原理类似,两者的体系结构不一样。类似,两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个代理基于主机的漏洞扫描器通常在目标系统上安装了一个代理(Agent)或者是服务()或者是服务(Service
56、s),以便能够访问所有的),以便能够访问所有的文件与进程。文件与进程。基于主机的漏洞扫描器能够扫描更多的漏洞。基于主机的漏洞扫描器能够扫描更多的漏洞。安全审核与风险分析对比基于网络和基于主机的漏洞扫描和分析软件对比基于网络和基于主机的漏洞扫描和分析软件基于网络的漏洞扫描的优点:基于网络的漏洞扫描的优点:价格较低;价格较低;可以随时对目标系统进行检测;可以随时对目标系统进行检测;基于网络的漏洞扫描器维护简便;基于网络的漏洞扫描器维护简便;基于网络的漏洞扫描的缺点:基于网络的漏洞扫描的缺点:基于网络的漏洞扫描器与文件系统相关的一些漏洞无法检测到;基于网络的漏洞扫描器与文件系统相关的一些漏洞无法检测
57、到;基于网络的漏洞扫描器不能穿过防火墙;基于网络的漏洞扫描器不能穿过防火墙;扫描服务器与目标主机之间的通讯通讯数据是没有经过加密的;扫描服务器与目标主机之间的通讯通讯数据是没有经过加密的;安全审核与风险分析基于主机的漏洞扫描的优点:基于主机的漏洞扫描的优点:能够访问所有的文件与进程,扫描出的漏洞比较全面。能够访问所有的文件与进程,扫描出的漏洞比较全面。扫描服务器集中化管理模式,使得基于主机的漏洞扫描器的部扫描服务器集中化管理模式,使得基于主机的漏洞扫描器的部署上能够快速实现。署上能够快速实现。减少了网络的流量负载。减少了网络的流量负载。所有的通讯过程中的数据包,都经过加密。所有的通讯过程中的数
58、据包,都经过加密。可以穿透防火墙进行扫描。可以穿透防火墙进行扫描。基于主机的漏洞扫描的缺点:基于主机的漏洞扫描的缺点:与基于网络的漏洞扫描器相比,价格较高。与基于网络的漏洞扫描器相比,价格较高。基于主机的漏洞扫描工具,需要在目标主机上安装一个代理或基于主机的漏洞扫描工具,需要在目标主机上安装一个代理或服务。服务。部署周期较长。部署周期较长。安全审核与风险分析考虑路由器和防火墙的安全配置考虑路由器和防火墙的安全配置路由器安全配置路由器安全配置路由器访问控制的安全配置:路由器访问控制的安全配置:路由器网络服务安全配置:路由器网络服务安全配置:路由器路由协议安全配置:路由器路由协议安全配置:路由器其
59、他安全配置路由器其他安全配置:安全审核与风险分析防火墙安全配置防火墙安全配置最低的权限原则最低的权限原则(Least privilege););彻底防御原则(彻底防御原则(Defense in depth););最少信息原则(最少信息原则(Minimal information););保持最短及最简单原则(保持最短及最简单原则(Keep It Short and Simple););身分确认及认证原则(身分确认及认证原则(Identification and Authentication);安全审核与风险分析确定电话服务系统或集成系统的安全等级确定电话服务系统或集成系统的安全等级通过对系统现有
60、安全现状的审核,并参考国内外信通过对系统现有安全现状的审核,并参考国内外信息系统安全等级划分标准,确定现有信息系统的等息系统安全等级划分标准,确定现有信息系统的等级。级。国际信息系统等级划分标准:国际信息系统等级划分标准:可信计算机系统评估准则可信计算机系统评估准则TCSEC通用准则通用准则CCBS7799、ISO17799 安全审核与风险分析中国信息系统等级划分标准:中国信息系统等级划分标准:信息系统安全等级保护实施指南(送审稿);信息系统安全等级保护实施指南(送审稿);信息系统安全等级保护测评准则(送审稿);信息系统安全等级保护测评准则(送审稿);信息系统安全等级保护基本要求(试用稿);信
61、息系统安全等级保护基本要求(试用稿);信息系统安全等级保护定级指南(试用稿);信息系统安全等级保护定级指南(试用稿);计算机信息系统安全保护划分准则(计算机信息系统安全保护划分准则(GB17859-1999);GA/T 387-2002; GA 388-2002 ; GA/T 389-2002;GA/T 390-2002;GA 391-2002 ;安全审核与风险分析评估现有备份机制的执行效率评估现有备份机制的执行效率在实施安全审核的过程中,可以从以下几个方面对在实施安全审核的过程中,可以从以下几个方面对系统现有的备份机制的运行状态进行评估:系统现有的备份机制的运行状态进行评估:备份的对象:备份
62、的对象:数据服务器,关键业务应用,关键设备的双机备份;数据服务器,关键业务应用,关键设备的双机备份;系统的备份方式:系统的备份方式:本地异机备份,异地备份,完全备份,增量备份,差异备本地异机备份,异地备份,完全备份,增量备份,差异备份等;份等;系统备份策略:系统备份策略:实时在线备份,定时离线备份,建立备份中心。实时在线备份,定时离线备份,建立备份中心。安全审核与风险分析安全审核阶段安全审核阶段依据依据BS7799标准,安全审核过程包含以下四个阶标准,安全审核过程包含以下四个阶段:段:制定审核计划,确定审核目标、范围、背景资料;制定审核计划,确定审核目标、范围、背景资料;检查和评价信息,现场审
63、核阶段;检查和评价信息,现场审核阶段;传递审核结果;传递审核结果;后续跟踪;后续跟踪;安全审核与风险分析 第三单元第三单元系统资源侦查系统资源侦查安全审核与风险分析侦查方法侦查方法黑客攻击系统之前,必须要知道攻击目标的一些相黑客攻击系统之前,必须要知道攻击目标的一些相关信息,这就需要事先侦查。通过侦查可以获得大关信息,这就需要事先侦查。通过侦查可以获得大量的目标系统的基本信息。量的目标系统的基本信息。两种侦查方式:两种侦查方式:被动侦查被动侦查主动侦查主动侦查安全审核与风险分析被动侦查被动侦查被动侦查收集的信息可以是公司的域名、公司的服务器和系被动侦查收集的信息可以是公司的域名、公司的服务器和
64、系统等。统等。被动信息的收集并不是常常有用的,但却很必要,因为这些被动信息的收集并不是常常有用的,但却很必要,因为这些信息是其他步骤的先决条件。信息是其他步骤的先决条件。被动侦查有两类:被动侦查有两类:嗅探(嗅探(sniffing)信息收集信息收集(information gathering)安全审核与风险分析主动侦查主动侦查主动侦查是指攻击者已经有了足够的信息再去探查或扫描站主动侦查是指攻击者已经有了足够的信息再去探查或扫描站点。点。主动侦查的相关信息包括:主动侦查的相关信息包括:可以访问的主机可以访问的主机路由器和防火墙的位置路由器和防火墙的位置关键部件上运行的操作系统关键部件上运行的操作
65、系统开放的端口开放的端口运行的服务运行的服务运行的应用程序的版本号运行的应用程序的版本号安全审核与风险分析 安全扫描安全扫描安全扫描以各种各样的方式进行。安全扫描以各种各样的方式进行。DNS工具,如:工具,如:whois、nslookup、host和和dig 标准的运用程序,包括标准的运用程序,包括ping, traceroute, telnet和和SNMPping,端口扫描仪和共享扫描仪,端口扫描仪和共享扫描仪网络运用程序及共享侦查程序,包括网络运用程序及共享侦查程序,包括NMAP和和Red Button包含了上述各方法的企业级的漏洞扫描仪。包含了上述各方法的企业级的漏洞扫描仪。安全审核与风
66、险分析DNS工具工具1.whois命令命令whois (类似于类似于finger)是一种是一种Internet的目录服务,的目录服务,whois提供了在提供了在Internet上一台主机或某个域的所有者的信息。上一台主机或某个域的所有者的信息。2. nslookup 使用使用DNS的排错工具的排错工具nslookup,你可以从,你可以从whois查询到的信息查询到的信息侦查更多的网络情况。侦查更多的网络情况。3.host命令命令用用host命令可实现以下功能:命令可实现以下功能:实现区域传送实现区域传送获得名称解析信息获得名称解析信息得知域中邮件服务器的信息得知域中邮件服务器的信息4.dig命
67、令命令dig命令相对于命令相对于host命令提供了更多的信息。命令提供了更多的信息。安全审核与风险分析ping扫描及扫描及traceroute ping扫描作用扫描作用使用命令使用命令ping一个公司的一个公司的Web服务器可获得该公司所使用的服务器可获得该公司所使用的IP地址范围,一旦得知地址范围,一旦得知HTTP服务器的服务器的IP地址,可以使用地址,可以使用ping扫描扫描工具工具ping该子网的所有该子网的所有IP地址,可以得到该网络的地址图。地址,可以得到该网络的地址图。安全审核与风险分析ping扫描分析扫描分析安全审核与风险分析ping扫描软件扫描软件在在Windows系统的命令行
68、中可以执行系统的命令行中可以执行ping命令命令WS_PingProPack工具包中集成有工具包中集成有ping扫描程序扫描程序Rhino9 Pinger是比较流行的程序是比较流行的程序Traceroute(tracert) 使用使用traceroute,你可以推测出网络的物理布局,包括该网,你可以推测出网络的物理布局,包括该网络连接络连接Internet所使用的路由器所使用的路由器安全审核与风险分析端口扫描及相应软件工具端口扫描及相应软件工具端口扫描与端口扫描与ping扫描相似,不同的是端口扫描不仅可以返回扫描相似,不同的是端口扫描不仅可以返回IP地址,还可以发现目标系统上活动的地址,还可以
69、发现目标系统上活动的UDP和和TCP端口端口安全审核与风险分析端口扫描分析端口扫描分析安全审核与风险分析网络侦查和服务器侦查程序网络侦查和服务器侦查程序服务扫描服务扫描RedButton可以从开启了可以从开启了server服务的服务的Windows 2000/NT服务服务器获取信息。器获取信息。堆栈指纹堆栈指纹堆栈指纹技术可以用堆栈指纹技术可以用TCPIP来识别不同的操作系统和服务。来识别不同的操作系统和服务。堆栈指纹程序和部分特征堆栈指纹程序和部分特征ICMP错误信息抑制错误信息抑制服务类型值服务类型值(TOS) TCPIP选项选项对对SYNFLOOD的抵抗力的抵抗力TCP初始窗口:初始窗口
70、:强大的网络侦查工具强大的网络侦查工具NMAP非常灵活的非常灵活的TCPIP堆栈指纹引擎堆栈指纹引擎穿透网络边缘的安全设备穿透网络边缘的安全设备安全审核与风险分析共享扫描的工作示意图共享扫描共享扫描安全审核与风险分析共享扫描软件共享扫描软件PingPro 扫描扫描Windows网络共享网络共享Red Button 扫描共享名称及相应密码扫描共享名称及相应密码缺省配置和补丁级扫描缺省配置和补丁级扫描使用使用Telnet 利用利用Telnet客户端程序连接到其它端口客户端程序连接到其它端口使用使用SNMP 从网络主机上查询相关的数据从网络主机上查询相关的数据SetRequst命令命令SNMP软件软
71、件HP的的OpenView Windows NT Resource Kit中的中的SNMPUTIL 各种各样的网络附加:工具包,如各种各样的网络附加:工具包,如PingProPack等等安全审核与风险分析TCP/IP服务服务附加的附加的TCP/IP服务服务简单简单TCP/IP服务服务Finger 获取远程服务器上的用户信息获取远程服务器上的用户信息用户名用户名服务器名服务器名E-mail帐号帐号用户当前是否在线用户当前是否在线用户登录时间用户登录时间用户的用户的crond任务任务安全审核与风险分析物理侦查物理闯入物理闯入有效入侵手段有效入侵手段物理闯入常常需要攻击者假冒某种身份才能达到目的。物
72、理闯入常常需要攻击者假冒某种身份才能达到目的。“假冒职员假冒职员”“假冒客户假冒客户”“维修工人维修工人”“行政人员行政人员”物理闯入的危害物理闯入的危害如何防范物理闯入如何防范物理闯入安全审核与风险分析垃圾搜寻垃圾搜寻对垃圾进行分析有可能获得下面的信息:对垃圾进行分析有可能获得下面的信息:没有意义的数字与字母:用户名,口令没有意义的数字与字母:用户名,口令人事部的职员清单:用户名人事部的职员清单:用户名,口令口令(名字,生日,电话名字,生日,电话) 防火墙配置文件防火墙配置文件网络结构图网络结构图情书:用户名、口令情书:用户名、口令(名字名字,昵称昵称) 合同:合作商名称合同:合作商名称(信
73、任欺骗信任欺骗)垃圾搜寻的危害垃圾搜寻的危害如何防范垃圾搜寻如何防范垃圾搜寻安全审核与风险分析采访面谈采访面谈通过访谈,初步确定出受审核网络的哪些目标是最通过访谈,初步确定出受审核网络的哪些目标是最有价值的,哪些目标是最容易受到攻击的。有价值的,哪些目标是最容易受到攻击的。安全审核与风险分析企业级审核工具企业级审核工具支持的协议支持的协议支持的协议和操作系统支持的协议和操作系统所有商业用网络扫描工具支持所有商业用网络扫描工具支持TCP/IP协议,其中许多还支持诸协议,其中许多还支持诸如如IPX/SPX、NetBEUI和和AppleTalk,DECnet等协议。等协议。要根据所使用的协议,使用不
74、同的版本。要根据所使用的协议,使用不同的版本。漏洞数据库漏洞数据库要经常升级漏洞数据库。要经常升级漏洞数据库。安全审核与风险分析扫描等级扫描等级企业级的扫描器允许你选择安全扫描的等级。企业级的扫描器允许你选择安全扫描的等级。大多数的网络扫描器将风险分成低、中、高三个等级。大多数的网络扫描器将风险分成低、中、高三个等级。企业级的扫描程序具有细致的报告功能,可以用很多种格式企业级的扫描程序具有细致的报告功能,可以用很多种格式输出信息。输出信息。安全审核与风险分析企业级审核工具企业级审核工具Symantec NetRecon Network Associates CyberCop Scanner W
75、eb Trends Security Analyzer ISS Internet Scanner ISS Security Scanner eEye Retina Security DynamicsKaneSecurity Analyst NetectHackerShield 安全审核与风险分析社会工程社会工程社会工程(社会工程(social engineering)陷阱,通常是利)陷阱,通常是利用大众的疏于防范的小诡计让受害者掉入陷阱。用大众的疏于防范的小诡计让受害者掉入陷阱。交谈交谈欺骗欺骗假冒假冒口语用字口语用字安全审核与风险分析流行社会工程学侦查方法流行社会工程学侦查方法使用电话进行的
76、社会工程学攻击使用电话进行的社会工程学攻击最流行的社会工程学手最流行的社会工程学手段段。进入垃圾堆进入垃圾堆翻垃圾是一种常用的社会工程学手段。翻垃圾是一种常用的社会工程学手段。在线的社会工程学在线的社会工程学说服说服反向社会工程学反向社会工程学暗中破坏暗中破坏自我推销自我推销进行帮助进行帮助安全审核与风险分析你能获得什么信息?你能获得什么信息?网络级别的信息网络级别的信息主机级别的信息主机级别的信息合法和非法的网络工具合法和非法的网络工具黑客工具和审核工具并没有本质上的区别黑客工具和审核工具并没有本质上的区别安全审核与风险分析网络级别信息列表网络级别信息列表 信息信息描描述述 网络拓扑网络拓扑
77、 安全审核人员首先应当搞清楚网络的类别安全审核人员首先应当搞清楚网络的类别(以太网,令牌环以太网,令牌环等等等等),IP地址范围,子网和其它网络信息。配线架的位置地址范围,子网和其它网络信息。配线架的位置也很重要。作为安全管理人员,你的目标是用防火墙、代理也很重要。作为安全管理人员,你的目标是用防火墙、代理服务器等设备保护这些信息。服务器等设备保护这些信息。 路由器和交换机路由器和交换机 掌握路由器和交换机的种类对分析网络安全十分重要,你可掌握路由器和交换机的种类对分析网络安全十分重要,你可以使路由器泄漏信息。以使路由器泄漏信息。 防火墙种类防火墙种类 大多数的网络都有防火墙。如果你能够访问防
78、火墙,便可以大多数的网络都有防火墙。如果你能够访问防火墙,便可以侦查它并寻找相应的漏洞。侦查它并寻找相应的漏洞。 IP服务服务 最基本的服务包括最基本的服务包括DHCP,BOOTP,WINS,SAMBA,和,和DNS。DNS 服务特别容易遭受缓冲区溢出的攻击。服务特别容易遭受缓冲区溢出的攻击。 Modem池池 也许最流行的绕过防火墙做法是通过也许最流行的绕过防火墙做法是通过modem连接再附以连接再附以Man-in-the-middle攻击和包捕获。攻击和包捕获。War dialer是在是在Internet上寻找网络连接的重要的审核工具。上寻找网络连接的重要的审核工具。 安全审核与风险分析主机
79、级别信息列表主机级别信息列表 信信 息息描描述述 活动端口活动端口 你应该了解服务器上有哪些端口是活动的。你应该了解服务器上有哪些端口是活动的。HTTP和和FTP服服务是最容易遭受端口扫描的服务,而且黑客会进一步实施务是最容易遭受端口扫描的服务,而且黑客会进一步实施缓冲区溢出攻击。缓冲区溢出攻击。 数据库数据库 数据库类型数据库类型(例如例如Oracle, Microsoft SQLServer 和和IBMDB2),物理位置和应用协议都很有价值。,物理位置和应用协议都很有价值。 服务器服务器 服务器类型是非常有价值的信息。一旦你确定了服务器的服务器类型是非常有价值的信息。一旦你确定了服务器的种
80、类是种类是Microsoft或或UNIX,便可以有针对性地用系统的缺,便可以有针对性地用系统的缺省设置和补丁侦查登录帐户名称,弱口令和低的补丁等级。省设置和补丁侦查登录帐户名称,弱口令和低的补丁等级。 安全审核与风险分析 第四单元第四单元审核服务器渗透和攻击技术审核服务器渗透和攻击技术安全审核与风险分析网络渗透技术网络渗透技术一旦黑客准确定位你的网络,会选定一个目标进行一旦黑客准确定位你的网络,会选定一个目标进行渗透,通常这个目标会是安全漏洞最多或是他拥有渗透,通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。最多攻击工具的主机。安全审核与风险分析攻击特征和审核攻击特征和审核攻击特征是
81、攻击的特定指纹。攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。别和防范攻击的。安全审核与风险分析常见的攻击方法常见的攻击方法字典攻击:黑客利用一些自动执行的程序猜测用户名和密码,字典攻击:黑客利用一些自动执行的程序猜测用户名和密码,审核这类攻击通常需要做全面的日志记录和入侵监测系统审核这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。Man-in-the-middle攻击:黑客从合法的传输过程中获取到密攻击:黑客从合法的传输过程中获取到密码和信息。防范这类攻击的有效方法是应用复杂的加密。码和信息。防范这
82、类攻击的有效方法是应用复杂的加密。劫持攻击:在双方进行会话时被第三方劫持攻击:在双方进行会话时被第三方(黑客黑客)入侵,黑客黑掉入侵,黑客黑掉其中一方,并冒充继续与另一方进行会话。虽然不是彻底的其中一方,并冒充继续与另一方进行会话。虽然不是彻底的解决方案,但有效的验证方法将有助于防范这种攻击。解决方案,但有效的验证方法将有助于防范这种攻击。安全审核与风险分析病毒攻击:病毒是能够自我复制和传播的小程序,它将消耗病毒攻击:病毒是能够自我复制和传播的小程序,它将消耗系统资源。在审核过程中,你应当安装最新的反病毒程序,系统资源。在审核过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。并对用户
83、进行防病毒教育。非法服务:非法服务是任何未经同意便运行在你的操作系统非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。上的进程或服务。拒绝服务攻击:利用各种程序拒绝服务攻击:利用各种程序(包括病毒和包发生器包括病毒和包发生器)使系统崩使系统崩溃或消耗带宽。溃或消耗带宽。安全审核与风险分析危及安全的服务危及安全的服务在审核任何一个互联网系统时,有下面三种方法:在审核任何一个互联网系统时,有下面三种方法:用字典攻击或暴力破解攻击对机器的密码数据库进行破解。用字典攻击或暴力破解攻击对机器的密码数据库进行破解。不考虑密码数据库,寻找一个漏洞进行攻击,如缓冲区溢出不考虑密码数据库,寻找
84、一个漏洞进行攻击,如缓冲区溢出或后门。或后门。用社会工程学的方法进行攻击。用社会工程学的方法进行攻击。安全审核与风险分析易受攻击的目标易受攻击的目标最常遭受攻击的目标包括路由器、数据库、最常遭受攻击的目标包括路由器、数据库、Web和和FTP服务器及与协议相关服务器及与协议相关的服务,如的服务,如DNS、WINS和和SMB。安全审核与风险分析路由器路由器路由器是内部网络与外界的一个通信出口,它在一个网络中路由器是内部网络与外界的一个通信出口,它在一个网络中充当着平衡带宽和转换充当着平衡带宽和转换IP地址的作用,实现通过少量外部地址的作用,实现通过少量外部IP地址让内部多台电脑同时访问外网。地址让
85、内部多台电脑同时访问外网。连接公网的路由器由于被暴露在外,通常成为被攻击的对象。连接公网的路由器由于被暴露在外,通常成为被攻击的对象。路由器被拒绝服务攻击,将造成内部网络不能访问外网,甚路由器被拒绝服务攻击,将造成内部网络不能访问外网,甚至造成网络瘫痪。至造成网络瘫痪。路由器的物理安全同样需要予以关注。路由器的物理安全同样需要予以关注。安全审核与风险分析常见的通过路由器的攻击方式常见的通过路由器的攻击方式所有的网络攻击都要经过路由器所有的网络攻击都要经过路由器对路由器直接进行攻击的方式有:对路由器直接进行攻击的方式有:发送虚假路由信息,使路由器路由混乱从而导致网络瘫痪。发送虚假路由信息,使路由
86、器路由混乱从而导致网络瘫痪。攻击者通过改变自己的攻击者通过改变自己的IP地址来伪装成内部网用户或可信地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输。据传输。伪造一些可接受的路由报文来更改路由信息,以窃取信息。伪造一些可接受的路由报文来更改路由信息,以窃取信息。将自制路由器放在网络上,完全改变原有路由表的功能,将自制路由器放在网络上,完全改变原有路由表的功能,造成报文无序路由。造成报文无序路由。端口扫描攻击方式,攻击者通过探测防火墙在侦听的端口端口扫描攻击方式,攻击者通过探测防火墙在侦听的端口来发现系统的漏洞
87、;然后利用这些漏洞对路由器进行攻击,来发现系统的漏洞;然后利用这些漏洞对路由器进行攻击,使得整个路由器关闭或无法正常运行。使得整个路由器关闭或无法正常运行。安全审核与风险分析路由器和消耗带宽攻击路由器和消耗带宽攻击路由器最大的威胁是拒绝服务攻击所造成的带宽消耗路由器最大的威胁是拒绝服务攻击所造成的带宽消耗分布式拒绝服务攻击工具分布式拒绝服务攻击工具Tribal Flood Network (TFN) Tribal Flood Network (TFN2K) Stacheldraht (TFN的一个变种的一个变种) Trinoo对路由器进行配置是减小消耗带宽攻击危害的一种有效方法。对路由器进行配
88、置是减小消耗带宽攻击危害的一种有效方法。安全审核与风险分析数据库数据库黑客最想得到的是公司或部门的数据库。黑客最想得到的是公司或部门的数据库。数据库中会包括以下敏感信息:数据库中会包括以下敏感信息:雇员数据,如个人信息和薪金情况雇员数据,如个人信息和薪金情况市场和销售情况市场和销售情况重要的研发信息重要的研发信息货运情况货运情况对于有特别敏感数据的服务器,审核时应特别注意对于有特别敏感数据的服务器,审核时应特别注意检查有无危险漏洞存在。检查有无危险漏洞存在。安全审核与风险分析Web服务器和服务器和FTP服务器服务器WEB和和FTP服务器置于服务器置于DMZ。极易遭到攻击。极易遭到攻击。Web和
89、和FTP服务通常存在的问题包括:服务通常存在的问题包括:用户通过公网发送未加密的信息用户通过公网发送未加密的信息操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统坏系统在操作系统中以在操作系统中以root权限初始运行的服务,一旦被黑客破坏,权限初始运行的服务,一旦被黑客破坏,入侵者便可以在产生的命令解释器中运行任意的代码入侵者便可以在产生的命令解释器中运行任意的代码安全审核与风险分析FTP bounce攻击攻击FTP服务器很容易受到服务器很容易受到“FTP bounce”攻击。攻击。这种攻击方法也可用来绕过防火墙。这种攻击方法也可用来
90、绕过防火墙。FTP bounce攻击的危害攻击的危害端口扫描端口扫描突破常规防火墙突破常规防火墙从限制源从限制源IP站点下载敏感信息站点下载敏感信息与与java applet结合突破动态防火墙结合突破动态防火墙防范防范FTP bounce攻击攻击拒绝源端口为拒绝源端口为tcp/20的链接请求的链接请求限制限制PORT命令,指定控制流上的命令,指定控制流上的client ip对对PORT命令做两种设置,命令做两种设置,缺省设置缺省设置自定义设置自定义设置限制匿名限制匿名FTP帐号的权限帐号的权限谨慎选用谨慎选用Firewall并仔细配置并仔细配置安全审核与风险分析Web页面篡改页面篡改许多企业、
91、政府和公司都遭受过类似的攻击,有时这种攻击许多企业、政府和公司都遭受过类似的攻击,有时这种攻击甚至是出于政治目的。甚至是出于政治目的。Web页面的涂改意味着存在着入侵的漏洞。页面的涂改意味着存在着入侵的漏洞。安全审核与风险分析防网页篡改系统防网页篡改系统外挂轮询技术外挂轮询技术外挂轮询技术是利用一个网页检测程序,以轮询方式读出要监外挂轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。于被篡改的网页进行报警和恢复。核心内嵌技术核心内嵌技术核心内嵌技术是将篡改检
92、测模块内嵌在核心内嵌技术是将篡改检测模块内嵌在Web服务器软件里,它服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。时访问阻断,并予以报警和恢复。事件触发技术事件触发技术事件触发技术是利用操作系统的文件系统接口,在网页文件的事件触发技术是利用操作系统的文件系统接口,在网页文件的被修改时进行合法性检查,对于非法操作进行报警和恢复。被修改时进行合法性检查,对于非法操作进行报警和恢复。安全审核与风险分析电子邮件服务器电子邮件服务器网络入侵(网络入侵(Network Intrusion)服务破坏(
93、服务破坏(Denial of Service)对于网络入侵的防范,主要依赖于软件编程时的严谨程度,对于网络入侵的防范,主要依赖于软件编程时的严谨程度,一般选型时很难从外部衡量。一般选型时很难从外部衡量。对于服务破坏的防范,则可以分成以下几个方面:对于服务破坏的防范,则可以分成以下几个方面:防止来自外部网络的攻击;防止来自外部网络的攻击;防止来自内部网络的攻击;防止来自内部网络的攻击;防止中继攻击;防止中继攻击;邮件服务器应有专门的编程接口;邮件服务器应有专门的编程接口;安全审核与风险分析与邮件服务相关的问题包括:与邮件服务相关的问题包括:用字典和暴力攻击用字典和暴力攻击POP3的的login
94、shell在一些版本中在一些版本中sendmail存在缓冲区溢出和其它漏洞存在缓冲区溢出和其它漏洞用用E-mail的转发功能转发大量的垃圾信件的转发功能转发大量的垃圾信件安全审核与风险分析名称服务名称服务大部分攻击都会针对大部分攻击都会针对DNS服务。服务。DNS攻击包括:攻击包括:未授权的区域传输:未授权的区域传输:DNS“毒药毒药”:拒绝服务攻击:拒绝服务攻击:其它攻击:其它攻击:WINS通过拒绝服务攻击来攻击没有打补丁的通过拒绝服务攻击来攻击没有打补丁的NT系统。系统。SMB服务服务(包括包括Windows的的SMB和和UNIX的的Samba)这些服务易这些服务易遭受遭受Man-in-t
95、he-middle攻击。攻击。NFS和和NIS服务。这些服务通常会遭受服务。这些服务通常会遭受Man-in-the-middle方式方式的攻击。的攻击。在审核各种各样的服务时,请考虑升级提供这些服务的进程。在审核各种各样的服务时,请考虑升级提供这些服务的进程。安全审核与风险分析审核系统审核系统BUG 清楚操作系统产生的漏洞清楚操作系统产生的漏洞清楚漏洞修补程序清楚漏洞修补程序熟悉软件的漏洞和熟悉软件的漏洞和bug及时升级及时升级安全审核与风险分析审核审核TrapDoor和和RootKitRootkit是用木马替代合法程序。是用木马替代合法程序。TrapDoor是系统上的是系统上的bug,当执行
96、合法程序时却产,当执行合法程序时却产生了非预期的结果。生了非预期的结果。在对系统进行审核时,可以通过校验分析和扫描开在对系统进行审核时,可以通过校验分析和扫描开放端口的方式来检测是否存在放端口的方式来检测是否存在rootkit等问题。等问题。安全审核与风险分析审核审核bugs和后门程序和后门程序在服务器上运行的操作系统和程序都存在代码上的漏洞。攻在服务器上运行的操作系统和程序都存在代码上的漏洞。攻击者通常知道这些漏洞并加以利用。击者通常知道这些漏洞并加以利用。后门后门(backdoor)也指在操作系统或程序中未记录的入口,程也指在操作系统或程序中未记录的入口,程序设计人员为了便于快速进行产品支
97、持有意在系统或程序中序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。留下入口。后门不同于后门不同于bug,这是由设计者有意留下的。,这是由设计者有意留下的。在进行审核时,仔细记录任何你不了解它的由来和历史的程在进行审核时,仔细记录任何你不了解它的由来和历史的程序。序。安全审核与风险分析缓冲区溢出缓冲区溢出缓冲区溢出是指在程序重写内存块时出现的问题。缓冲区溢出是指在程序重写内存块时出现的问题。一个低质量的程序会不经检查就重写被其它程序占用的内存,一个低质量的程序会不经检查就重写被其它程序占用的内存,而造成程序或整个系统死掉,而留下的而造成程序或整个系统死掉,而留下的shell有较高
98、的权限,有较高的权限,易被黑客利用运行任意代码。易被黑客利用运行任意代码。缓冲区溢出是当前最紧迫的安全问题之一。缓冲区溢出是当前最紧迫的安全问题之一。安全审核与风险分析防范缓冲区溢出攻击防范缓冲区溢出攻击关闭端口或服务:关闭端口或服务:安装厂商的补丁:安装厂商的补丁:在防火墙上过滤特殊通信在防火墙上过滤特殊通信检查关键程序:检查关键程序:以需要的最少权限运行软件:以需要的最少权限运行软件:安全审核与风险分析审核拒绝服务攻击审核拒绝服务攻击防范拒绝服务攻击(防范拒绝服务攻击(DoS)有效完善的设计:有效完善的设计:带宽限制:带宽限制:及时给系统安装补丁:及时给系统安装补丁:运行尽可能少的服务:运
99、行尽可能少的服务:只允许必要的通信:只允许必要的通信:封锁敌意封锁敌意IP地址:地址:防范分布式拒绝服务攻击(防范分布式拒绝服务攻击(DDoS)保持网络安全:保持网络安全:安装入侵检测系统:安装入侵检测系统:使用扫描工具:使用扫描工具:安全审核与风险分析审核非法服务、特洛伊木马和蠕虫审核非法服务、特洛伊木马和蠕虫非法服务开启一个秘密的端口,提供未经许可的服务,常见非法服务开启一个秘密的端口,提供未经许可的服务,常见的非法服务包括:的非法服务包括:NetBus BackOrifice和和BackOrifice2000 Girlfriend 冰河冰河2X 秘密的建立共享的程序秘密的建立共享的程序非
100、法服务是如何安装的非法服务是如何安装的通过社会工程可以安装非法服务。通过社会工程可以安装非法服务。一个终端用户或系统管理员打开了一个附件或者他们认为是一个终端用户或系统管理员打开了一个附件或者他们认为是安全的文件,也有可能安装了非法服务。安全的文件,也有可能安装了非法服务。蠕虫通过与一个特定的网络服务相结合也可以安装非法服务。蠕虫通过与一个特定的网络服务相结合也可以安装非法服务。安全审核与风险分析特洛伊木马特洛伊木马特洛伊木马是在执行看似正常的程序时还同时运行了未被察特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者
101、,攻击者可以把任木马通常能够将重要的信息传送给攻击者,攻击者可以把任意数量的程序植入木马。意数量的程序植入木马。审核木马审核木马扫描开放的端口是审核木马攻击的途径之一。扫描开放的端口是审核木马攻击的途径之一。蠕虫蠕虫蠕虫靠特定的软件传播。蠕虫靠特定的软件传播。在审核系统时,需要配置防火墙来排除特殊的活动。在防火在审核系统时,需要配置防火墙来排除特殊的活动。在防火墙上过滤从不信任的网络来的数据包和端口。墙上过滤从不信任的网络来的数据包和端口。安全审核与风险分析结合所有攻击制定审核策略结合所有攻击制定审核策略渗透策略渗透策略物理接触物理接触 让黑客物理上接触目标,一切机制都将失效。让黑客物理上接触
102、目标,一切机制都将失效。操作系统策略操作系统策略弱口令策略弱口令策略较弱的系统策略较弱的系统策略审核文件系统漏洞审核文件系统漏洞不论采取何种文件系统不论采取何种文件系统(FAT,NTFS或或NFS),每种系统都有它,每种系统都有它的缺陷。的缺陷。安全审核与风险分析IP欺骗和劫持:多种攻击策略的实例欺骗和劫持:多种攻击策略的实例Non-Blind Spoofing,Blind Spoofing和和Connection HijackingNon-Blind Spoofing(非显性数据欺骗):当攻击者与(非显性数据欺骗):当攻击者与其目标(可以其目标(可以“看到看到”数据包序列和确认)处在同一子网
103、数据包序列和确认)处在同一子网中时,容易发生这种攻击。中时,容易发生这种攻击。Blind Spoofing(显性数据欺骗):当不能从外部获得(显性数据欺骗):当不能从外部获得序列号和确认号时,容易发生这种攻击。序列号和确认号时,容易发生这种攻击。Connection Hijacking(会话劫持):攻击者从中截取(会话劫持):攻击者从中截取两个主机之间的合法通信信息,并在双方不知道的情况下,两个主机之间的合法通信信息,并在双方不知道的情况下,删除或更改由一方发送给另一方的信息内容。删除或更改由一方发送给另一方的信息内容。攻击者进行攻击者进行non-blind IP spoofing通常要与会话
104、劫通常要与会话劫持相结合。用到的工具:持相结合。用到的工具:一个包嗅探器一个包嗅探器一个能够同时终止一个能够同时终止TCP连接、产生另一个连接、产生另一个TCP连接、进行连接、进行IP伪装的程序伪装的程序安全审核与风险分析拒绝服务和拒绝服务和TCP/IP堆栈堆栈TCP/IP 堆栈负责处理传入和传出的堆栈负责处理传入和传出的IP 数据包,并数据包,并将数据包中的数据路由到要处理它们的应用程序。将数据包中的数据路由到要处理它们的应用程序。在在TCP/IP堆栈中存在许多漏洞,如:堆栈中存在许多漏洞,如:允许碎片包允许碎片包大数据包大数据包IP路由选择路由选择半开半开TCP连接连接数据包数据包floo
105、d等等等等成功地审核系统,需要理解每种攻击的特征。成功地审核系统,需要理解每种攻击的特征。安全审核与风险分析SYN flood攻击攻击这种拒绝服务攻击利用了这种拒绝服务攻击利用了TCP建立连接时三次握手的弱点。攻建立连接时三次握手的弱点。攻击者可以建立很多半开连接。击者可以建立很多半开连接。Smurf和和Fraggle攻击攻击Smurf攻击是利用攻击是利用ping程序中使用的程序中使用的ICMP协议。协议。Teardrop/Teardrop2 Teardrop攻击是利用在攻击是利用在TCP/IP堆栈中实现信任堆栈中实现信任IP碎片中的包的碎片中的包的标题头所包含的信息来实现自己的攻击。标题头所
106、包含的信息来实现自己的攻击。Ping of death这种攻击通过发送大于这种攻击通过发送大于65536字节的字节的ICMP包使操作系统崩溃。包使操作系统崩溃。安全审核与风险分析Land attack这种攻击是指攻击者发送这种攻击是指攻击者发送IP和端口和端口(source和和destination)相同相同的包,导致被攻击目标由于系统崩溃或性能下降而拒绝服务。的包,导致被攻击目标由于系统崩溃或性能下降而拒绝服务。SSPing这种攻击是攻击者向目标机发送一系列高度碎片化的过大的这种攻击是攻击者向目标机发送一系列高度碎片化的过大的ICMP数据包。数据包。CPU Hog这种攻击是通过在耗尽系统资源
107、使运行这种攻击是通过在耗尽系统资源使运行NT的计算机瘫痪的拒绝的计算机瘫痪的拒绝服务攻击。服务攻击。Win NukeWin Nuke是一种以拒绝目标主机服务为目标的网络层次的攻击。是一种以拒绝目标主机服务为目标的网络层次的攻击。安全审核与风险分析 第五单元第五单元控制阶段的安全审核控制阶段的安全审核安全审核与风险分析网络控制网络控制攻击者可以在服务器和网络上建立控制攻击者可以在服务器和网络上建立控制熟悉成功获得网络控制权的规则、工具和手段。熟悉成功获得网络控制权的规则、工具和手段。审查典型的控制手段将有助于发现弱点和漏洞。审查典型的控制手段将有助于发现弱点和漏洞。安全审核与风险分析控制阶段的目
108、标控制阶段的目标获得获得root的权限的权限创建额外帐号创建额外帐号收集特定信息收集特定信息开启新的安全漏洞开启新的安全漏洞进行端口重定向进行端口重定向擦除渗透痕迹擦除渗透痕迹安全审核与风险分析获得获得root的权限的权限Root权限是控制的前提,因为它有权建立更多的帐号,操纵权限是控制的前提,因为它有权建立更多的帐号,操纵服务和对系统持续进行控制。服务和对系统持续进行控制。非法服务和后门(非法服务和后门(trap doors)允许攻击者使用合法的帐号)允许攻击者使用合法的帐号来升级访问权限。来升级访问权限。安全审核与风险分析创建额外帐号创建额外帐号攻击者在获得攻击者在获得root权限后创建额
109、外的帐号。权限后创建额外的帐号。使用批处理文件是创建额外帐号的一种手段。使用批处理文件是创建额外帐号的一种手段。审核这种控制手段的方法是查看那些没有填写完整的用户帐审核这种控制手段的方法是查看那些没有填写完整的用户帐号。号。安全审核与风险分析 获得信息获得信息与入侵前期的扫描活动比较类似,但它实际上是入侵渗透的与入侵前期的扫描活动比较类似,但它实际上是入侵渗透的一部分。一部分。信息获取比侦查阶段的更具有针对性,该信息只会导致重要信息获取比侦查阶段的更具有针对性,该信息只会导致重要的文件和信息的泄漏。的文件和信息的泄漏。攻击者获得信息的一种方法是操纵远程用户的攻击者获得信息的一种方法是操纵远程用
110、户的Web浏览器。浏览器。安全审核与风险分析审核审核UNIX文件系统文件系统UNIX文件系统的一个安全威胁是文件系统的一个安全威胁是rootkit。rootkit是一种木马。是一种木马。rootkit可以用各种各样的侦查和记录密码的程序替代了合法可以用各种各样的侦查和记录密码的程序替代了合法的程序如的程序如ls,su和和ps。审核审核UNIX系统时,注意程序有无运行异常的情况存在系统时,注意程序有无运行异常的情况存在。安全审核与风险分析L0phtCrack工具工具L0phtCrack工具工具进行目录攻击和暴力攻击十分有效的进行目录攻击和暴力攻击十分有效的工具。工具。字典攻击字典攻击暴力攻击。暴
111、力攻击。L0phtCrack工作方式:工作方式:指定指定IP地址来攻击地址来攻击Windows NT系统。系统。对对SAM数据库文件进行攻击。数据库文件进行攻击。配置运行配置运行L0pht的计算机嗅探到的密码。的计算机嗅探到的密码。安全审核与风险分析UNIX系统密码安全系统密码安全UNIX下的密码文件通常存放于下的密码文件通常存放于etcpasswd下。下。etcpasswd文件是冒号分隔的文本文件,文件是冒号分隔的文本文件,例如:例如:test:x:501:501:testuser James:hometest:binbash 用户名:用户名:test ;UID号是号是501;GID号是号是
112、501;全名是;全名是testuser james;宿主目录是宿主目录是hometest;和登录;和登录shell是是binbash的用户。的用户。Password文件必须能够被所有用户读取,但是不能被除文件必须能够被所有用户读取,但是不能被除root外外的任何用户写入,而且的任何用户写入,而且etc目录只能被目录只能被root写入。写入。安全审核与风险分析映像密码文件映像密码文件为了防止密码文件的泄漏,为了防止密码文件的泄漏,UNIX系统采用了映像密码系统采用了映像密码(shadow password)技术。)技术。在在/etc/passwd 文件中存放密码的位置只存放一个文件中存放密码的位
113、置只存放一个“x”,而,而经过加密的密码存放于经过加密的密码存放于/etc/shadow 文件中。文件中。为为user用户更改密码,使用下列语法命令:用户更改密码,使用下列语法命令:host#passwd user Password:hidden Re-type:hidden安全审核与风险分析John the Ripper 和和CrackJohn the Ripper和和Crack是在基于是在基于UNIX的操作系统上常见的操作系统上常见的暴力破解密码的程序。的暴力破解密码的程序。John the Ripper和和Crack是最常见的从是最常见的从shadow和和passwd文件中获得密码的程序
114、。文件中获得密码的程序。要使用要使用L0pht和和John the Ripper来实施审核工作。来实施审核工作。安全审核与风险分析信息重定向信息重定向攻击者控制系统后进行程序和端口转向。攻击者控制系统后进行程序和端口转向。禁止禁止FTP的服务,然后把的服务,然后把FTP的端口指向另一台计算机。的端口指向另一台计算机。重定向重定向SMTP端口,可以获得所有使用端口,可以获得所有使用SMTP来传送来传送E-mail帐号帐号的电子商务服务器的信息。的电子商务服务器的信息。安全审核与风险分析创建新的访问点创建新的访问点如果系统管理员关闭了系统默认的一些访问点,那么黑客就如果系统管理员关闭了系统默认的一
115、些访问点,那么黑客就会通过安装后门的方法来开启另外的一些访问点。会通过安装后门的方法来开启另外的一些访问点。通常开启后门的方法在系统上安装木马程序。通常开启后门的方法在系统上安装木马程序。安全审核与风险分析自动创建帐号和使用木马自动创建帐号和使用木马黑客通常都是利用已有的帐号进入系统的。黑客通常都是利用已有的帐号进入系统的。使用计划任务来自动创建帐号或更改用户访问权限。使用计划任务来自动创建帐号或更改用户访问权限。cron 和和at来添加帐号或更改系统配置。来添加帐号或更改系统配置。NetBus 和和BackOrifice 2000 后门程序后门程序安全审核与风险分析清除入侵痕迹清除入侵痕迹破
116、坏系统日志是清除入侵痕迹的最好办法。破坏系统日志是清除入侵痕迹的最好办法。日志文件通常包括:日志文件通常包括:Web服务器、防火墙;服务器、防火墙;SMTP、HTTP和和FTP服务器;服务器;数据库服务器。数据库服务器。在在Windows2000系统中日志文件包括:系统中日志文件包括:事件(系统)日志事件(系统)日志应用程序日志应用程序日志安全性日志。安全性日志。防止删除系统日志的最好办法是做好系统日志的备份,将日防止删除系统日志的最好办法是做好系统日志的备份,将日志存储到远程系统上。志存储到远程系统上。安全审核与风险分析并发连接和端口重定向并发连接和端口重定向使用并发的使用并发的Telnet
117、或或FTP会话来隐藏活动痕迹。会话来隐藏活动痕迹。建立的连接链路越多,追踪花费的时间越多。建立的连接链路越多,追踪花费的时间越多。要正确的追踪到使用端口重定向进行连接的黑客是非常困难的。要正确的追踪到使用端口重定向进行连接的黑客是非常困难的。安全审核与风险分析控制方法控制方法系统的升级不可避免的会开启新的安全漏洞系统的升级不可避免的会开启新的安全漏洞黑客不断开发出新的工具黑客不断开发出新的工具安全审核与风险分析系统缺省设置系统缺省设置缺省设置是指计算机软硬件缺省设置是指计算机软硬件“Out-of-the-box”的配置,便于的配置,便于厂商技术支持。厂商技术支持。攻击者可以缺省攻击设置来完全控
118、制系统。攻击者可以缺省攻击设置来完全控制系统。改变缺省设置可以极大地增强操作系统的安全性。改变缺省设置可以极大地增强操作系统的安全性。安全审核与风险分析合法服务,守护进程和可装载模块合法服务,守护进程和可装载模块以下守护进程可以被用来破坏操作系统的安全架构:以下守护进程可以被用来破坏操作系统的安全架构:Windows 2000运行服务运行服务UNIX运行守护进程运行守护进程Novell操作系统运行可装载的模块操作系统运行可装载的模块安全审核与风险分析非法服务,守护进程和可装载模块非法服务,守护进程和可装载模块建立破坏安全的守护进程。建立破坏安全的守护进程。捕获密码,通过邮件发送给远方攻击者。捕
119、获密码,通过邮件发送给远方攻击者。root kits绕过安全帐号数据库,进而完全控制系统。绕过安全帐号数据库,进而完全控制系统。有两个经典工具有两个经典工具NetBus和和BackOrifice。绝大多数流行的反病毒程序都可以检测出所有版本的绝大多数流行的反病毒程序都可以检测出所有版本的NetBus。安全审核与风险分析NetBus的功能:的功能:运行程序运行程序注销用户,强迫重启系统注销用户,强迫重启系统控制控制Web浏览器,包括指向特定的浏览器,包括指向特定的URL 对应用程序进行远程控制对应用程序进行远程控制捕捉击键记录捕捉击键记录重定向端口和程序重定向端口和程序获得关于当前会话的信息,包
120、含本地服务器、登录用户名和连获得关于当前会话的信息,包含本地服务器、登录用户名和连接到服务器的客户端数量等接到服务器的客户端数量等上传、下载和删除文件上传、下载和删除文件控制、升级和定制服务器控制、升级和定制服务器管理密码保护管理密码保护显示、终止远程系统上的程序显示、终止远程系统上的程序安全审核与风险分析使用使用Telnet确定系统中是否有确定系统中是否有Netbus非法服务存在非法服务存在安全审核与风险分析BackOrifice和和BackOrifice2000 获取系统信息,包括当前用户、获取系统信息,包括当前用户、CPU种类、种类、Windows版本号、版本号、内存使用、挂接磁盘的种类
121、和所有驱动的信息。内存使用、挂接磁盘的种类和所有驱动的信息。收集用户名和密码收集用户名和密码(包括屏幕锁定密码包括屏幕锁定密码)和用户缓存的密码和用户缓存的密码(如拨如拨号连接,号连接,Web和网络访问和网络访问)。获得文件的完全访问权限,包括运行程序和进程的权限;写入获得文件的完全访问权限,包括运行程序和进程的权限;写入注册表的权限;列出可访问网络资源的权限;列出、建立和删注册表的权限;列出可访问网络资源的权限;列出、建立和删除网络连接的权限;列出所有共享的资源和密码;建立和删除除网络连接的权限;列出所有共享的资源和密码;建立和删除共享。共享。实施端口和程序的重定向。实施端口和程序的重定向。
122、通过通过HTTP从浏览器上传和下载文件。从浏览器上传和下载文件。安全审核与风险分析击键记录器击键记录器keyloggers作为一个应用程序安装在受害者的计算机上,并作为一个应用程序安装在受害者的计算机上,并且在用户完全不知情的前提下驻留在系统内存中。且在用户完全不知情的前提下驻留在系统内存中。收集用户所有的击键信息并将其保存在一个文件中,目的就收集用户所有的击键信息并将其保存在一个文件中,目的就是为了捕获诸如用户密码之类的机密数据。是为了捕获诸如用户密码之类的机密数据。keyloggers获得的数据将通过获得的数据将通过FTP、e-mail 或是隐秘的共享或是隐秘的共享传递给安装传递给安装ke
123、yloggers程序的人。程序的人。安全审核与风险分析渗透到其他系统渗透到其他系统以渗透的系统为跳板继续渗透其他的系统以渗透的系统为跳板继续渗透其他的系统在在20世纪世纪70年美国联邦政府制定了第一个安全标准年美国联邦政府制定了第一个安全标准美国美国国防部彩虹系列国防部彩虹系列(Rainbow Series)该系列标准帮助政府确定该系列标准帮助政府确定哪些网络系统能够安全的与政府网络系统连接。哪些网络系统能够安全的与政府网络系统连接。最常被使用的是最常被使用的是Department of Defense Trusted Computer System Evaluation Criteria,被
124、成为,被成为“桔皮书桔皮书(Orange Book)”。安全审核与风险分析“彩虹系列彩虹系列”丛书:丛书:“彩虹系列彩虹系列”丛书是信息系统安全事业丛书是信息系统安全事业的里程碑,对信息系统安全领域具有深远的影响。它不但建的里程碑,对信息系统安全领域具有深远的影响。它不但建立了一个标准,更建立了一套体系。立了一个标准,更建立了一套体系。该丛书以美国国防部该丛书以美国国防部可信计算机系统评测标准可信计算机系统评测标准(TCSEC)为核心,对评测标准进行扩充、提供了关键的为核心,对评测标准进行扩充、提供了关键的背景知识、对关键的概念进行深入解释和分析,并且提出了背景知识、对关键的概念进行深入解释和
125、分析,并且提出了具体的实现方法和措施。该丛书共三十多册。具体的实现方法和措施。该丛书共三十多册。安全审核与风险分析控制阶段的审核控制阶段的审核审核人员应熟练地运用扫描程序,日志文件和其它审核人员应熟练地运用扫描程序,日志文件和其它工具。工具。审核人员必须懂得什么是可疑的流量。审核人员必须懂得什么是可疑的流量。审核人员和攻击者最主要的不同点是审核人员从不审核人员和攻击者最主要的不同点是审核人员从不真正进入控制阶段。真正进入控制阶段。安全审核与风险分析报告潜在控制问题的方法:报告潜在控制问题的方法:列出通过自动执行的扫描程序列出通过自动执行的扫描程序(如如NetRecon,ISS Internet
126、 Scanner或或eTrust Intrusion Detection)获得的信息。获得的信息。产生流量记录在日志中,记录时间,用日志来证明你的活动。产生流量记录在日志中,记录时间,用日志来证明你的活动。显示捕获的报文,这些包包括端口,显示捕获的报文,这些包包括端口,IP地址和其它信息。地址和其它信息。显示你渗透的屏幕快照。显示你渗透的屏幕快照。安全审核与风险分析 第六单元第六单元审核和日志分析审核和日志分析安全审核与风险分析日志分析日志分析在审核过程中,需要投入大量的时间分析日志文件。在审核过程中,需要投入大量的时间分析日志文件。日志分析为你提供了确定何时产生缺陷及如何产生日志分析为你提供
127、了确定何时产生缺陷及如何产生缺陷的方法。缺陷的方法。注意把握日志记录的分寸。注意把握日志记录的分寸。安全审核与风险分析建立基线建立基线建立基线是进行日志分析的开始。建立基线是进行日志分析的开始。基线是网络活动的参考标准。基线是网络活动的参考标准。在建立基线的过程中,应根据用户的活动倾向对日在建立基线的过程中,应根据用户的活动倾向对日志进行检查。志进行检查。大多数公司网络活动最频繁的时间段出现在清晨上班、午餐大多数公司网络活动最频繁的时间段出现在清晨上班、午餐期间和下班时期,然而活动图样会有所不同。期间和下班时期,然而活动图样会有所不同。安全审核与风险分析防火墙路由器日志防火墙路由器日志在分析防
128、火墙和路由器日志时,集中完成下列任务:在分析防火墙和路由器日志时,集中完成下列任务:识别源和目的端口;识别源和目的端口;找到源主机和目的主机;找到源主机和目的主机;跟踪使用迹象:跟踪使用迹象:协议的使用:搜寻与协议的使用:搜寻与Internet直接相关的应用,包括直接相关的应用,包括HTTP流流量,量,RealPlayer,MP3流量,流量,ICQ,及时消息和,及时消息和IRC流量。此流量。此外,还要搜寻外,还要搜寻ICMP,TCP和和UDP连接;连接;搜索可疑端口的连接:例如搜索可疑端口的连接:例如12345(NetBus缺省端口)和缺省端口)和31337端口(端口(BackOrifice2
129、000的缺省端口)的缺省端口)。安全审核与风险分析操作系统日志操作系统日志UNIX系统日志系统日志Syslogd是记录是记录Linux和和UNIX系统日志的服务。系统日志的服务。UNIX系统分析工具:系统分析工具:last:扫描:扫描varloglastlog文件并报告各种信息;文件并报告各种信息;lastb:提供尝试登录失败的信息;:提供尝试登录失败的信息;lastlog:提供关于所有用户最后一次登录的信息,还有哪些用:提供关于所有用户最后一次登录的信息,还有哪些用户从未登录。户从未登录。还有一些常见的日志如下:还有一些常见的日志如下:access-log:记录:记录HTTPweb的传输;的
130、传输;acet/pacct:记录用户命令;:记录用户命令;安全审核与风险分析aculog:记录记录MODEM的活动;的活动;btmp:记录失败的记录;记录失败的记录;lastlog:记录最近一次成功登录的事件和最后一次不成功记录最近一次成功登录的事件和最后一次不成功的登录;的登录;messages:从:从syslog中记录信息中记录信息(有的链接到有的链接到syslog文件文件);sudolog:记录使用记录使用sudo发出的命令;发出的命令;sulog:记录使用记录使用su命令的使用;命令的使用;syslog:从从syslog中记录信息中记录信息(通常链接到通常链接到messages文文件件
131、);utmp:记录当前登录的每个用户;记录当前登录的每个用户;wtmp:一个用户每次登录进入和退出时间的永久记录;一个用户每次登录进入和退出时间的永久记录;xferlog:记录记录FTP会话。会话。安全审核与风险分析Windows 2000系统日志系统日志Windows 2000将它的日志分为以下四个类别:将它的日志分为以下四个类别:系统日志:记录服务的启动和失败,系统关闭和重启;系统日志:记录服务的启动和失败,系统关闭和重启;安全性日志:记录用户登录,用户权限的使用和变更,对象的安全性日志:记录用户登录,用户权限的使用和变更,对象的访问;访问;应用程序日志:记录与工作系统有关的程序的运行的情
132、况;应用程序日志:记录与工作系统有关的程序的运行的情况;DNS服务日志:如果服务日志:如果DNS服务被安装,日志将包含所有它所发服务被安装,日志将包含所有它所发布的信息。布的信息。安全审核与风险分析开启开启Windows 2000的审核功能的审核功能审核是审核是Windows NT/2000中本地安全策略的一部分,它是一中本地安全策略的一部分,它是一个维护系统安全性的工具。个维护系统安全性的工具。通过审核,我们可以记录下列信息:通过审核,我们可以记录下列信息:哪些用户企图登录到系统中或从系统中注销、登录以及注销的哪些用户企图登录到系统中或从系统中注销、登录以及注销的日期和时间,是否成功等;日期
133、和时间,是否成功等;哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问;哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问;系统的安全选项进行了哪些更改;系统的安全选项进行了哪些更改;用户帐户进行了哪些更改,是否增加或删除了用户等等。用户帐户进行了哪些更改,是否增加或删除了用户等等。安全审核与风险分析根据监控审核结果,可以将计算机资源的非法使用消除或减根据监控审核结果,可以将计算机资源的非法使用消除或减到最小;到最小;通过查看审核信息,能够及时发现系统存在的安全隐患,通通过查看审核信息,能够及时发现系统存在的安全隐患,通过了解指定资源的使用情况来指定资源使用计划;过了解指定资源的使用情
134、况来指定资源使用计划;审核功能在管理工具中的本地安全策略工具进行设置。审核功能在管理工具中的本地安全策略工具进行设置。安全审核与风险分析Windows 2000系统的重要事件系统的重要事件事件号事件号描描述述529登录失败的事件编号登录失败的事件编号(在安全日志中在安全日志中) 6005Windows NT/2000重新启动的事件编号重新启动的事件编号(在系统日志中在系统日志中) 6006系统正常关机的事件编号系统正常关机的事件编号(在系统日志中在系统日志中) 6007因为权限不够的不正常的关机请求因为权限不够的不正常的关机请求(在系统日志中在系统日志中) 6008“ “不正常关机不正常关机”
135、 ”事件:当事件:当Windows NT/2000系统被不正常系统被不正常关机时,该操作被记录下来。关机时,该操作被记录下来。 6009记录工作系统的版本号,修建号,补丁号和系统处理器的记录工作系统的版本号,修建号,补丁号和系统处理器的相关信息。相关信息。(在系统日志中在系统日志中) 安全审核与风险分析确定确定Windows NT/2000系统的补丁等级系统的补丁等级可以使用事件查看器来确定在你系统中安装的补丁可以使用事件查看器来确定在你系统中安装的补丁使用使用winver工具,可以在工具,可以在“开始开始运行运行”中,输入中,输入winver命命令使用该工具令使用该工具安全审核与风险分析确定
136、确定Windows NT/2000系统的启动时间系统的启动时间使用使用uptime.exe工具工具快速确定系统启动了多长时间快速确定系统启动了多长时间获得远程获得远程Windows系统的启动时间系统的启动时间使用使用uptime/?命令可以获得更多的关于命令可以获得更多的关于uptime工具的使用说明工具的使用说明安全审核与风险分析日志过滤日志过滤日志记录文件会变得很大日志记录文件会变得很大过大的日志记录浪费磁盘空间过大的日志记录浪费磁盘空间不易查找日志记录不易查找日志记录对系统进行适当的配置以获得重要事件的日志对系统进行适当的配置以获得重要事件的日志安全审核与风险分析Windows 2000
137、系统日志过滤系统日志过滤使用使用“筛选器筛选器”进行日志的过滤进行日志的过滤要非常谨慎地选择过滤规则要非常谨慎地选择过滤规则符合你所设置的过滤规则的事件才会被记录,而其他不符合符合你所设置的过滤规则的事件才会被记录,而其他不符合规则的活动都不会被记录规则的活动都不会被记录安全审核与风险分析Linux系统日志过滤系统日志过滤使用不带参数的使用不带参数的last和和lastlog命令会提供太多的信息,要带命令会提供太多的信息,要带参数使用。参数使用。last -x:只显示与系统关闭和重启有关的事件;:只显示与系统关闭和重启有关的事件;last -x reboot:显示所有系统重启事件;:显示所有系
138、统重启事件;last -x shutdown:显示所有系统关闭事件;:显示所有系统关闭事件;last -a:将所有主机信息列在最后一列;:将所有主机信息列在最后一列;last -d:显示所有远程登录信息;:显示所有远程登录信息;last -n:允许你定义用:允许你定义用last命令显示多少行信息。例如,命令显示多少行信息。例如,lastn 2显示最后的两条信息。显示最后的两条信息。安全审核与风险分析可以合并命令可以合并命令last -ad将显示远程登录的将显示远程登录的IP和主机名,和主机名,将将last命令与命令与|grep结合起来缩小查找范围。结合起来缩小查找范围。例如,例如,last x
139、 grep Wed grep ftp将只显示发生在星期三的有将只显示发生在星期三的有关关FTP的事件。的事件。lastlog t number_of_days:显示指定天数内的记录。例如,:显示指定天数内的记录。例如,lastlog t 2将列出最近两天内的登录情况。将列出最近两天内的登录情况。lastlog u login-name:显示指定用户的最后一次登录记录。:显示指定用户的最后一次登录记录。安全审核与风险分析操作系统附件和第三方日志记录工具操作系统附件和第三方日志记录工具操作系统附件操作系统附件:Enterprise Reporting ServerWebTrends for Fir
140、ewalls and VPNs 第三方日志记录工具第三方日志记录工具:Symantec IBM 第三方日志记录工具的优缺点:第三方日志记录工具的优缺点:黑客很难篡改日志记录文件,而且对事件的反应速度很快黑客很难篡改日志记录文件,而且对事件的反应速度很快缺点是需要额外费用和人员培训缺点是需要额外费用和人员培训安全审核与风险分析审核可疑活动审核可疑活动“可疑的活动可疑的活动”一个用户两周以来每天半夜二点尝试登录系统,并且没有登一个用户两周以来每天半夜二点尝试登录系统,并且没有登录成功。录成功。主服务器每天早晨自动地重新启动。主服务器每天早晨自动地重新启动。在一天中的特定时间段内系统的性能突然下降。
141、在一天中的特定时间段内系统的性能突然下降。安全审核与风险分析仔细对下列现象进行检查:仔细对下列现象进行检查:异常时段内的合法活动或任何不在基线范围内的用户举动。异常时段内的合法活动或任何不在基线范围内的用户举动。任何失败。尤其是登录失败,文件访问失败和用户权限使用任何失败。尤其是登录失败,文件访问失败和用户权限使用失败。失败。安全审核与风险分析其他类型的日志其他类型的日志事件日志不仅仅包括路由器、防火墙和操作系统的事件日志不仅仅包括路由器、防火墙和操作系统的日志,通常还包括以下一些日志记录:日志,通常还包括以下一些日志记录:入侵检测系统日志;入侵检测系统日志;电话连接(包括语音邮件日志)日志;
142、电话连接(包括语音邮件日志)日志;ISDN或帧中继连接(或帧中继连接(frame relay)日志;)日志;职员访问日志。职员访问日志。安全审核与风险分析日志的存储日志的存储有效地保护日志记录不受破坏有效地保护日志记录不受破坏利用不同的机器存放日志;利用不同的机器存放日志;将日志记录刻成光碟保存;将日志记录刻成光碟保存;使用磁盘备份设备。使用磁盘备份设备。安全审核与风险分析审核对系统性能的影响审核对系统性能的影响审核会对系统的性能造成一些影响。影响系统性能审核会对系统的性能造成一些影响。影响系统性能的因素包括以下几个方面:的因素包括以下几个方面:网络请求的数量,日志对这些请求的记录会造成服务器
143、对请网络请求的数量,日志对这些请求的记录会造成服务器对请求的响应变慢;求的响应变慢;审核系统中需要审核的事件的数量;审核系统中需要审核的事件的数量;硬盘的容量大小;硬盘的容量大小;硬件总线接口的类型(硬件总线接口的类型(SCSI/IDE););CPU的工作频率。的工作频率。安全审核与风险分析实验练习实验练习Windows 2000系统登录事件审核系统登录事件审核按照下表进行审核设置按照下表进行审核设置策策略略本本地地设设置置审核帐户登录事件审核帐户登录事件成功成功,失败失败审核帐户管理审核帐户管理成功成功,失败失败审核登录事件审核登录事件成功成功,失败失败审核策略更改审核策略更改成功成功,失败
144、失败审核特权使用审核特权使用失败失败审核系统事件审核系统事件失败失败安全审核与风险分析 第七单元第七单元 审审 核核 结结 果果安全审核与风险分析建立审核报告建立审核报告安全审核报告中应包含以下元素:安全审核报告中应包含以下元素:对现在的安全等级进行总体评价:报告中应该给出高、中、对现在的安全等级进行总体评价:报告中应该给出高、中、低的结论,包括监视的网络设备或系统的简要评价(如:大低的结论,包括监视的网络设备或系统的简要评价(如:大型机,路由器,型机,路由器,Windows NT/2000系统,系统,UNIX系统等等)。系统等等)。对偶然的、有经验的和专家级的黑客入侵系统分别做出时间对偶然的
145、、有经验的和专家级的黑客入侵系统分别做出时间上的估计。上的估计。简要总结出最重要的建议,并提供相应的支撑材料(如:安简要总结出最重要的建议,并提供相应的支撑材料(如:安全扫描仪的扫描结果、路由器全扫描仪的扫描结果、路由器/防火墙和防火墙和IDS等的日志分析报等的日志分析报告)。告)。安全审核与风险分析详细描述审核过程的步骤详细描述审核过程的步骤对各种网络元素提出整改建议,包括路由器,端口,服务,对各种网络元素提出整改建议,包括路由器,端口,服务,登录帐号等。登录帐号等。对物理安全提出建议。对物理安全提出建议。对安全审核领域内使用的术语进行解释。对安全审核领域内使用的术语进行解释。详细解释系统可
146、能出现的问题的报告方法。详细解释系统可能出现的问题的报告方法。安全审核与风险分析收集客户意见收集客户意见在审核报告中我们要充分考虑客户的意见在审核报告中我们要充分考虑客户的意见审核报告的内容与客户进行沟通审核报告的内容与客户进行沟通要考虑以下几个方面:要考虑以下几个方面:确认审核报告初稿中的内容是否有误确认审核报告初稿中的内容是否有误向客户求证还有疑问的地方向客户求证还有疑问的地方明确客户所关心的问题明确客户所关心的问题确认报告的提交时间确认报告的提交时间安全审核与风险分析制定详细审核报告制定详细审核报告依据审核的结果,以及相应的审核标准并结合客户依据审核的结果,以及相应的审核标准并结合客户的
147、意见,制定详细的审核报告。的意见,制定详细的审核报告。安全审核与风险分析安全审核与风险分析推荐的审核方案推荐的审核方案三个角度来提出三个角度来提出为了能够有效地确定安全策略和实施情况的差距,建议采用为了能够有效地确定安全策略和实施情况的差距,建议采用一些特殊方法继续进行有效的审核。一些特殊方法继续进行有效的审核。抵御和清除病毒、蠕虫和木马,修补系统漏洞。抵御和清除病毒、蠕虫和木马,修补系统漏洞。建议完善和增强如下内容:建议完善和增强如下内容:重新配置路由器或重新规划网络拓扑重新配置路由器或重新规划网络拓扑重新配置和添加防火墙规则重新配置和添加防火墙规则升级操作系统补丁升级操作系统补丁安全审核与
148、风险分析升级旧的或不安全的服务和操作系统升级旧的或不安全的服务和操作系统增强网络审核增强网络审核自动实施和集中管理网络内部和边界安全自动实施和集中管理网络内部和边界安全增设入侵检测产品增设入侵检测产品实施反病毒扫描实施反病毒扫描提高用户级别的加密(如提高用户级别的加密(如PGP/GPG)和网络级别的加密)和网络级别的加密(如(如IPSEC)删除不必要的用户帐号、应用程序和服务删除不必要的用户帐号、应用程序和服务安全审核与风险分析检查可能存在的安全策略的改变。检查可能存在的安全策略的改变。提高物理安全。提高物理安全。建议对建议对IT技术人员和终端用户进行培训。技术人员和终端用户进行培训。告知用户
149、现有的措施能够保障系统很好的工作。告知用户现有的措施能够保障系统很好的工作。安全审核与风险分析网络审核范围网络审核范围安全审核与风险分析网络审核范围的改善建议网络审核范围的改善建议分分类类改改善善防火墙防火墙保证防火墙安全规则的正确设置以及对保证防火墙安全规则的正确设置以及对DMZ区区域内有问题的主机的有效监控。域内有问题的主机的有效监控。入侵检测入侵检测升级入侵监测系统规则升级入侵监测系统规则,识别需要监测的新内容识别需要监测的新内容 主机和个人安全主机和个人安全实施用户级别的加密实施用户级别的加密,在终端上安装在终端上安装“ “个人防火个人防火墙墙” ”来控制端口和减小风险来控制端口和减小
150、风险 强制策略强制策略安装监视软件,如使用安装监视软件,如使用Axent的企业级安全管的企业级安全管理系统对物理安全进行有效的审核理系统对物理安全进行有效的审核 安全审核与风险分析增强一致性增强一致性加强安全和持续审核的步骤:加强安全和持续审核的步骤:定义安全策略。定义安全策略。建立对特定任务负责的内部团队。建立对特定任务负责的内部团队。对网络资源进行分类。对网络资源进行分类。为雇员建立安全指导。为雇员建立安全指导。确保终端和网络系统的物理安全。确保终端和网络系统的物理安全。安全审核与风险分析保障网络主机的服务和操作系统安全。保障网络主机的服务和操作系统安全。增强访问控制机制。增强访问控制机制
151、。建立和维护系统。建立和维护系统。确保网络满足商业目标。确保网络满足商业目标。保持安全策略的一致性。保持安全策略的一致性。许多国际性的公司都要求符合这些需求。许多国际性的公司都要求符合这些需求。安全审核与风险分析安全审核和安全标准安全审核和安全标准ISO 7498-2国际标准组织(国际标准组织(ISO)建立了)建立了7498系列标准来帮助网络实施系列标准来帮助网络实施标准化。标准化。7498-2描述了如何确保站点安全和实施有效的审核计划。描述了如何确保站点安全和实施有效的审核计划。文件的标题文件的标题Information Processing Systems,Open System Inte
152、rconnection,Basic Reference Model,Part 2:security Architecture论述如何系统地实现网络安全。论述如何系统地实现网络安全。安全审核与风险分析英国标准英国标准BS 7799文档标题文档标题A Code of Practice For Information Security Management。论述了如何确保网络系统安全。论述了如何确保网络系统安全。BS 7799系列与系列与ISO 9000系列的文档有关,这些标准保证了系列的文档有关,这些标准保证了公司之间安全的协作。公司之间安全的协作。安全审核与风险分析实施信息安全管理系统(实施信息
153、安全管理系统(ISMS)的目的是确保公司使用的信)的目的是确保公司使用的信息尽可能的安全。息尽可能的安全。完善完善ISMS时,应遵循以下步骤:时,应遵循以下步骤:定义安全策略定义安全策略为目标信息安全管理系统(为目标信息安全管理系统(ISMS)定义范围)定义范围风险评估风险评估对已知的风险进行排序和管理对已知的风险进行排序和管理安全审核与风险分析Common Criteria(CC)公共标准(公共标准(Common Criteria)提供了有助于你选择和发展)提供了有助于你选择和发展网络安全解决方案的全球统一标准。网络安全解决方案的全球统一标准。I CC的目的是统一的目的是统一ITSEC和和T
154、CSEC,但它们还是用来取代,但它们还是用来取代“Orange Book”标准。标准。Common Criteria被称为被称为ISO国际标准国际标准15408(IS 15408),),Common Criteria 2.1等同于等同于IS 15408。安全审核与风险分析CC文件由三个部分组成:文件由三个部分组成:第一部分:定义了如何创建安全目标和需求,还提供了一个术语的第一部分:定义了如何创建安全目标和需求,还提供了一个术语的解释。解释。第二部分:定义了如何建立能够使商业通信更安全的需求列表。第二部分:定义了如何建立能够使商业通信更安全的需求列表。第三部分:提出了如何建立能够达到公司安全需求
155、的第三部分:提出了如何建立能够达到公司安全需求的“保险内容保险内容”的过程,还讨论了七个日益广泛使用的严格的的过程,还讨论了七个日益广泛使用的严格的Evaluation Assurance Levels(EAL)。)。安全审核与风险分析Evaluation assurance levels(EAL)提供了描述和预测特)提供了描述和预测特别的操作系统和网络的安全行为的通用方法。别的操作系统和网络的安全行为的通用方法。等级数越高,则要求得越严格。等级数越高,则要求得越严格。EAL 1需要由需要由TOE厂商做出声明的证明,厂商做出声明的证明,EAL 7需要核实和记录需要核实和记录下实施过程的每一个步
156、骤。下实施过程的每一个步骤。EAL 1只要求检查产品的文件,而只要求检查产品的文件,而EAL 7要求对系统进行完全的要求对系统进行完全的记录完整的独立的分析。记录完整的独立的分析。EAL 1需要产品至少声明能够提供对攻击的有效防范;而需要产品至少声明能够提供对攻击的有效防范;而EAL 7需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务式的需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务式的攻击。攻击。安全审核与风险分析安全审核人员有关的概念和术语安全审核人员有关的概念和术语术术语语描描述述 Protection Profile(PP)需要的网络服务和元素的详细列表,包括安需要的网络服务和元
157、素的详细列表,包括安全目标。全目标。Security Objectives列出如何提出特别的弱点的书面叙述,这是列出如何提出特别的弱点的书面叙述,这是一种总体的陈述。一种总体的陈述。 Security Target(ST)由生产厂商提供的描述安全工具的用处的一由生产厂商提供的描述安全工具的用处的一组声明,与安全目标和安全需求不同。组声明,与安全目标和安全需求不同。Target of Evaluation(TOE)将要审核的某个操作系统,网络,分布式的将要审核的某个操作系统,网络,分布式的程序或软件。程序或软件。Packages任何允许任何允许IT专家达到安全目标和要求的可以专家达到安全目标和要
158、求的可以重复使用的内容。重复使用的内容。Evaluation Assurance Level (EAL)七个事先定义好的七个事先定义好的packages,用来帮助,用来帮助IT专家评价规划的和已经存在的网络和系统。专家评价规划的和已经存在的网络和系统。 安全审核与风险分析EAL的七个类别的七个类别类类 别别描描述述 1功能上的测试:分析产品的声明,和实施功能上的测试:分析产品的声明,和实施TOE的基本测试。的基本测试。2结构上的测试:需要选择结构上的测试:需要选择TOE的重要元素来经受具有权威资格的重要元素来经受具有权威资格的测试,例如程序开发者。的测试,例如程序开发者。 3系统的测试和检查:
159、进行测试的要求非常严格,在有限的基础系统的测试和检查:进行测试的要求非常严格,在有限的基础上,操作系统的所有元素都必须独立地检验。上,操作系统的所有元素都必须独立地检验。 4系统地设计,测试和回顾:这一级别的保证是允许已经完成的系统地设计,测试和回顾:这一级别的保证是允许已经完成的程序和以前实施的系统进行更改的最高保证。这一级别还需要程序和以前实施的系统进行更改的最高保证。这一级别还需要操作系统通过抵御低级别的攻击的测试。操作系统通过抵御低级别的攻击的测试。 5半正式的设计和测试:操作系统必须可以经受适度的,比较复半正式的设计和测试:操作系统必须可以经受适度的,比较复杂的攻击。杂的攻击。6半正
160、式地验证设计和测试:与半正式地验证设计和测试:与EAL 5相同,但是需要第三方的相同,但是需要第三方的TOE设计核实。设计核实。 7操作系统必须经完整地回顾和被证明能够抵御灵活的攻击。操作系统必须经完整地回顾和被证明能够抵御灵活的攻击。安全审核与风险分析增强路由器安全增强路由器安全增强路由器安全的一般方法包括:增强路由器安全的一般方法包括:严格控制路由器的物理访问权限。严格控制路由器的物理访问权限。及时获取最新的操作系统(包括及时获取最新的操作系统(包括NT系统做路由和专门的路由系统做路由和专门的路由器操作系统,例如器操作系统,例如Cisco IOS)。)。确保路由器不受拒绝服务攻击的影响。确
161、保路由器不受拒绝服务攻击的影响。确保不让路由器在不知情的情况下成为拒绝服务攻击的帮凶。确保不让路由器在不知情的情况下成为拒绝服务攻击的帮凶。安全审核与风险分析确保路由器不受拒绝服务攻击确保路由器不受拒绝服务攻击过过程程描描述述入口和出口过滤入口和出口过滤配置你的路由器只对那些具有合法的内部配置你的路由器只对那些具有合法的内部IP地址的地址的数据包进行路由。你的路由器应当丢弃任何不具有数据包进行路由。你的路由器应当丢弃任何不具有合法的内部合法的内部IP地址的包。这些设置有助于网络不成地址的包。这些设置有助于网络不成为发送虚假为发送虚假IP包的源头。要获得更多的信息请查看包的源头。要获得更多的信息
162、请查看Internet Draft ietf-grip-isp-07(ISP的安全展望)的安全展望) 禁止广播过滤禁止广播过滤 许多拒绝服务攻击,包括许多拒绝服务攻击,包括Smurf攻击,都是攻击者攻击,都是攻击者利用路由器在配置上允许直接广播的漏洞。最简单利用路由器在配置上允许直接广播的漏洞。最简单的确定路由器是否配置成回应这些地址的方法是的确定路由器是否配置成回应这些地址的方法是ping该网络地址(例如该网络地址(例如192.168.4.0)或该网络广播)或该网络广播地址(例如地址(例如192.168.4.255) 安全审核与风险分析入口和出口过滤中应当考虑的入口和出口过滤中应当考虑的IP
163、 地址地址分分类类地地址址Historical Low EndBroadcast0.0.0.0/8 Limited broadcast255.255.255.255/32 RFC 1918 私有网络私有网络10.0.0.0/8 RFC 1918 私有网络私有网络172.16.0.0/12 RFC 1918 私有网络私有网络192.168.0.0/16 本机回环地址本机回环地址127.0.0.0/8 连接本地网络连接本地网络169.254.0.0/16 D类地址类地址224.0.0.0/4 E类保留地址类保留地址240.0.0.0/5 未分配地址未分配地址248.0.0.0/5 安全审核与风险分
164、析实施主动检测实施主动检测主动检测是指使用黑客的策略和手法来对付黑客,主动检测是指使用黑客的策略和手法来对付黑客,而不是简单地停止攻击。而不是简单地停止攻击。一个有效的检测策略通常包括审核一个有效的检测策略通常包括审核安全审核与风险分析扫描检测、蜜罐和网络陷阱扫描检测、蜜罐和网络陷阱用于反击的系统通常包括建立一台服务器作为目标,同时也用于反击的系统通常包括建立一台服务器作为目标,同时也还可以包括下列内容:还可以包括下列内容:混杂模式扫描混杂模式扫描虚假的数据库虚假的数据库虚假的帐号文件虚假的帐号文件虚拟文件虚拟文件虚假的管理员帐号虚假的管理员帐号自动将攻击者引入虚拟网络中的防火墙配置自动将攻击
165、者引入虚拟网络中的防火墙配置报警或惩罚黑客行为的报警或惩罚黑客行为的Tripwire帐号帐号物理线路追踪(试图确定黑客使用的端口或电话线路)物理线路追踪(试图确定黑客使用的端口或电话线路)数据包追踪(试图了解包的起源)数据包追踪(试图了解包的起源)安全审核与风险分析检测工作在混杂模式的网卡检测工作在混杂模式的网卡检测网卡是否工作于混杂模式:检测网卡是否工作于混杂模式:检测网卡电子方面的变化来确定网卡的工作模式。检测网卡电子方面的变化来确定网卡的工作模式。发送各种包(发送各种包(ARP请求,请求,ICMP包,包,DNS请求,请求,TCP SYN floods,等等)。如果从某台主机返回的包等待了
166、一段不正常,等等)。如果从某台主机返回的包等待了一段不正常的时间,而且没有被主机处理过的迹象,则程序便推断出该主的时间,而且没有被主机处理过的迹象,则程序便推断出该主机的网卡可能处于混杂模式。机的网卡可能处于混杂模式。将错误的将错误的ICMP请求包含在无效的以太网地址里,所有没有工作请求包含在无效的以太网地址里,所有没有工作在混杂模式的系统将忽略这些请求,而那些回复错误的在混杂模式的系统将忽略这些请求,而那些回复错误的ICMP请请求的主机将有可能出于混杂模式。求的主机将有可能出于混杂模式。安全审核与风险分析主机审核解决方案主机审核解决方案在对主机进行审核时,针对不同的商业目的需要提在对主机进行
167、审核时,针对不同的商业目的需要提供不同的解决方案。供不同的解决方案。实施本机审核:本地系统所自带的审核程序通常是审核过程实施本机审核:本地系统所自带的审核程序通常是审核过程中所需工具的一个不错的选择。中所需工具的一个不错的选择。安装监视软件:例如安装监视软件:例如Symantecs Enterprise Security Manager(ESM),可以通过中央控制系统的统一控制,明确,可以通过中央控制系统的统一控制,明确哪些系统低于预先规定策略的限度之下。哪些系统低于预先规定策略的限度之下。安全审核与风险分析清除安装工作中的临时文件:自动安装程序通常在临时文件清除安装工作中的临时文件:自动安装
168、程序通常在临时文件中留下重要的数据(如:密码等)。中留下重要的数据(如:密码等)。修复和清理被损坏的系统:可以清除非法的服务像修复和清理被损坏的系统:可以清除非法的服务像NetBus,Tribal Flood和和BackOrifice等。等。替代服务:例如,可以用安全的替代服务:例如,可以用安全的SSH服务来替代服务来替代Telnet,SSH使用公钥加密来保证登录会话的安全。使用公钥加密来保证登录会话的安全。安装操作系统附件:如个人防火墙和加密服务等。安装操作系统附件:如个人防火墙和加密服务等。安全审核与风险分析清除清除“感染感染”使用使用TCP/IP排错工具,例如排错工具,例如netstat
169、系列命令系列命令使用使用Telnet命令对怀疑的端口进行连接测试命令对怀疑的端口进行连接测试运行反病毒程序和升级病毒库运行反病毒程序和升级病毒库安全审核与风险分析个人防火墙软件个人防火墙软件可以提供以下四个主要功能:可以提供以下四个主要功能:端口阻塞端口阻塞连接追踪,锁定特殊的连接追踪,锁定特殊的IP地址地址报警提示信息报警提示信息电子邮件扫描电子邮件扫描安全审核与风险分析流行的个人防火墙软件包括:流行的个人防火墙软件包括:Network Ices Black Ice和和Black Ice Defender (, or )McAffees ConSeal ()Zone LabsZone Ala
170、rm()个人防火墙软件不适合做服务器的安全解决方案。个人防火墙软件不适合做服务器的安全解决方案。安全审核与风险分析IPSec和个人加密和个人加密使用使用IP Sec和个人加密措施可以有效的防范内部的攻击。和个人加密措施可以有效的防范内部的攻击。PGP程序是简单地应用程序是简单地应用IP Sec来帮助建立有效的局域网和广来帮助建立有效的局域网和广域网级别的域网级别的VPN解决方案的有效系统。解决方案的有效系统。个人加密产品有助于公司确保文件,目录等的保密性。个人加密产品有助于公司确保文件,目录等的保密性。需要建立需要建立Key escrow系统来统一管理加密和解密。系统来统一管理加密和解密。安全
171、审核与风险分析本地审核服务本地审核服务操作系统级别实施审核操作系统级别实施审核资源级别实施审核资源级别实施审核修护系统漏洞修护系统漏洞操作系统的操作系统的hot fixes和和service packsTCP/IP堆栈堆栈安全审核与风险分析IPv6 IPv6让地球上每一粒沙子都有一个地址让地球上每一粒沙子都有一个地址IPv6使用了加密和验证机制使用了加密和验证机制,对隔离的局域网使用,对隔离的局域网使用IPv6会达会达到更高的安全效果。到更高的安全效果。IPv6提供了下列的安全特性:提供了下列的安全特性:加强的验证机制(通过验证扩展头)减小了被加强的验证机制(通过验证扩展头)减小了被spoof
172、ing和和hijacking攻击的可能性。攻击的可能性。数据加密(通过数据加密(通过Encrypted Security Payload扩展头)减小了扩展头)减小了被嗅探攻击的可能性。被嗅探攻击的可能性。安全审核与风险分析升级和替代服务升级和替代服务研究新的产品,确认是否适合网络或是商业情况。研究新的产品,确认是否适合网络或是商业情况。确定需要多少时间来实施这些整改。确定需要多少时间来实施这些整改。在将所有升级或是替代程序应用到现有服务之前,应当在一在将所有升级或是替代程序应用到现有服务之前,应当在一个独立的子网上对进行彻底的测试。个独立的子网上对进行彻底的测试。考虑替代和升级活动可能会对其他
173、服务造成什么样的影响。考虑替代和升级活动可能会对其他服务造成什么样的影响。确定是否有必要对终端用户进行相关的培训。确定是否有必要对终端用户进行相关的培训。安装新应用程序时,检查是否有完整的数字签名或是安装新应用程序时,检查是否有完整的数字签名或是HASH值。值。安全审核与风险分析Secure Shell(SSH)Secure Shell(SSH)是最常见的替代这些服务的方法。)是最常见的替代这些服务的方法。SSH分为两部分:客户端部分和服务端部分。分为两部分:客户端部分和服务端部分。安全审核与风险分析SSH提供的安全服务提供的安全服务SSH提供两项基本的服务:提供两项基本的服务:数据保密:由于
174、服务器首先发送它的公钥给客户端,所以数据数据保密:由于服务器首先发送它的公钥给客户端,所以数据通道是加密的。然后客户端使用服务器的公钥对所有信息加密。通道是加密的。然后客户端使用服务器的公钥对所有信息加密。当服务器收到加密的信息后,使用自己的私钥对信息进行解密。当服务器收到加密的信息后,使用自己的私钥对信息进行解密。验证:使用上面谈到的公钥,两个用户交换彼此的公钥然后使验证:使用上面谈到的公钥,两个用户交换彼此的公钥然后使用公钥进行验证,这种机制的好处是在网络上不会传输用户名用公钥进行验证,这种机制的好处是在网络上不会传输用户名和密码的信息。和密码的信息。安全审核与风险分析SSH中的加密和验证
175、中的加密和验证加密的过程从服务器自动把公钥发送给客户端开始,加密的过程从服务器自动把公钥发送给客户端开始,然后客户端使用公钥加密信息,服务器用自己的私然后客户端使用公钥加密信息,服务器用自己的私钥对信息解密,随后系统间的所有传输都要加密。钥对信息解密,随后系统间的所有传输都要加密。SSH用公钥进行验证,这些公钥存储在每个用户的用公钥进行验证,这些公钥存储在每个用户的$HOME/.ssh2目录下。目录下。安全审核与风险分析使用使用SSH 可以从各种途径获得可以从各种途径获得SSH 使用客户端使用客户端/服务器产品时,必须首先配置服务器和客户端彼服务器产品时,必须首先配置服务器和客户端彼此通信。此
176、通信。必须要有一个正确配置并正常工作的必须要有一个正确配置并正常工作的DNS服务来支持服务来支持SSH服服务,一个正确配置的务,一个正确配置的DNS应该包括所有正向和反向的查询。应该包括所有正向和反向的查询。如果没有一个正常工作的如果没有一个正常工作的DNS服务,服务,SSh将会出现认证或其将会出现认证或其它不可预知的错误。它不可预知的错误。安全审核与风险分析 第八单元第八单元入入 侵侵 检检 测测安全审核与风险分析入侵检测系统的概念入侵检测系统的概念入侵检测入侵检测-通过对网络行为、安全日志或审核数通过对网络行为、安全日志或审核数据或其它网络上可以获得的信息进行操作和分析,据或其它网络上可以
177、获得的信息进行操作和分析,检测到对系统的闯入或闯入的企图检测到对系统的闯入或闯入的企图入侵检测系统入侵检测系统IDS与扫描器与扫描器system scanne区别区别 安全审核与风险分析system scannersystem scanner(系统扫描器)是根据攻击特征数据库来扫(系统扫描器)是根据攻击特征数据库来扫描系统漏洞的。描系统漏洞的。system scannersystem scanner更关注配置上的漏洞而不是当前进出主机的更关注配置上的漏洞而不是当前进出主机的流量,有点类似杀毒软件,需要对已有漏洞分析后找到检测流量,有点类似杀毒软件,需要对已有漏洞分析后找到检测方法并编写检测规则
178、方法并编写检测规则入侵检测系统入侵检测系统IDS扫描当前网络的活动,监视和记录网络的流扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时警报。提供实时警报。入侵检测系统入侵检测系统IDS是对现有系统进行的动态检测是对现有系统进行的动态检测安全审核与风险分析入侵检测的主要功能入侵检测的主要功能检测并分析用户和系统的活动;检测并分析用户和系统的活动;提供报警和预防;提供报警和预防;防范黑客入侵;防范黑客入侵;核查系统配置和漏洞核查系统配置和漏洞;安全审核与风险分析评估系统关键资源和数据文件的完整性;
179、评估系统关键资源和数据文件的完整性;识别已知的攻击行为;识别已知的攻击行为;统计分析异常行为;统计分析异常行为;记录各种网络活动和事件;记录各种网络活动和事件;操作系统日志管理,并识别违反安全策略的用户活动。操作系统日志管理,并识别违反安全策略的用户活动。安全审核与风险分析入侵检测的分类入侵检测的分类从检测时间上划分从检测时间上划分实时入侵检测实时入侵检测事后入侵检测事后入侵检测从检测技术上划分从检测技术上划分基于签名基于签名基于异常情况基于异常情况按照检测对象划分按照检测对象划分基于主机基于主机基于网络基于网络混合型混合型安全审核与风险分析网络级入侵检测系统网络级入侵检测系统这种入侵检测系统
180、往往将一台计算机的网卡设于混杂模式,监这种入侵检测系统往往将一台计算机的网卡设于混杂模式,监听所有网段内的数据包并进行判断听所有网段内的数据包并进行判断主机级入侵检测系统主机级入侵检测系统以系统日志、应用程序日志等作为数据源,当然也可以通过其以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析他手段(如监督系统调用)从所在的主机收集信息进行分析安全审核与风险分析管理者与代理的通信安全审核与风险分析在应用任何主机级在应用任何主机级IDS之前,需要一个隔离的网段之前,需要一个隔离的网段进行测试。进行测试。这种测试可以确定这种测试可以确定Mana
181、ger-to-agent的通信是否的通信是否安全,以及对网络带宽的影响安全,以及对网络带宽的影响。安全审核与风险分析主机级入侵检测系统主机级入侵检测系统管理者管理者Managers代理代理理想的代理布局理想的代理布局管理者和代理的通信管理者和代理的通信审核管理者和代理的通信审核管理者和代理的通信安全审核与风险分析混合入侵检测系统混合入侵检测系统单纯使用一类产品会造成主动防御体系不全面。单纯使用一类产品会造成主动防御体系不全面。综合基于网络和基于主机两种结构特点的入侵检测系统,既综合基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可以从系统日志中发现异常情可发现网络中的
182、攻击信息,也可以从系统日志中发现异常情况况安全审核与风险分析建立一个有效的入侵检测体系建立一个有效的入侵检测体系安装安装IDS需注意的问题需注意的问题使用使用IDS应注意的问题应注意的问题充分发挥和利用充分发挥和利用IDS 定制定制监控监控反应反应改正改正安全审核与风险分析创建和配置创建和配置IDS规则规则必须为必须为IDS建立规则建立规则编辑已有的规则并增加新的规则来为网络提供最佳的保护。编辑已有的规则并增加新的规则来为网络提供最佳的保护。规则只有两大类:规则只有两大类:网络异常网络异常网络误用网络误用企业级的企业级的IDS通常可以实施上百条规则通常可以实施上百条规则安全审核与风险分析IDS
183、的动作与行为的动作与行为定义规则的元素定义规则的元素需要保护的主机需要保护的主机需要做日志记录和禁止的主机需要做日志记录和禁止的主机实施策略的时间段实施策略的时间段事件的描述事件的描述对发生的事件如何反应对发生的事件如何反应安全审核与风险分析IDS主动审核和被动审核主动审核和被动审核审核分被动型和主动型。审核分被动型和主动型。主动审核主动审核-包含对非授权访问攻击的积极响应,包括结束入包含对非授权访问攻击的积极响应,包括结束入侵者的登录过程,阻塞对特定主机的存取或反向跟踪非授权侵者的登录过程,阻塞对特定主机的存取或反向跟踪非授权访问活动的起点访问活动的起点被动审核被动审核-是指是指IDS被动的
184、记录各种行为和活动,不能采取被动的记录各种行为和活动,不能采取任何阻止或是防范的行为,只是做日志记录而已,需要管理任何阻止或是防范的行为,只是做日志记录而已,需要管理员登录系统,查看日志并阅读其所包含的信息。它的原理是员登录系统,查看日志并阅读其所包含的信息。它的原理是没有采取前瞻性或抢先性的行动没有采取前瞻性或抢先性的行动安全审核与风险分析入侵检测系统常用的检测方法入侵检测系统常用的检测方法入侵检测系统常用的检测方法有:入侵检测系统常用的检测方法有:特征检测特征检测统计检测统计检测专家系统专家系统安全审核与风险分析特征检测特征检测特征检测对已知的攻击或入侵的方式做出正确性的描述,形特征检测对
185、已知的攻击或入侵的方式做出正确性的描述,形成相应的事件模式成相应的事件模式检测方法上与计算机病毒的检测方式类似检测方法上与计算机病毒的检测方式类似应用广泛应用广泛预报检测的准确率较高预报检测的准确率较高安全审核与风险分析统计检测统计检测统计模型常为异常检测统计模型常为异常检测在统计模型中常用的测量参数包括:在统计模型中常用的测量参数包括:审核事件的数量审核事件的数量间隔时间间隔时间资源消耗情况资源消耗情况常用的入侵检测常用的入侵检测5种统计模型为:种统计模型为:操作模型操作模型方差方差多元模型多元模型马尔柯夫过程模型马尔柯夫过程模型时间序列分析时间序列分析安全审核与风险分析专家系统专家系统专家
186、系统是基于一套由专家经验事先定义的规则的推理系统。专家系统是基于一套由专家经验事先定义的规则的推理系统。专家系统的建立依赖于知识库的完备性,知识库的完备性又专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审核记录的完备性和实时性。取决于审核记录的完备性和实时性。专家系统对系统的适应性比较强,可以较灵活地适应广谱的专家系统对系统的适应性比较强,可以较灵活地适应广谱的安全策略和检测需求。安全策略和检测需求。安全审核与风险分析文件完整性检查文件完整性检查文件完整性检查是指系统检查计算机中自上次检查后文件变文件完整性检查是指系统检查计算机中自上次检查后文件变化的情况化的情况文件完整性检查系统
187、的优点文件完整性检查系统的优点文件完整性检查系统的弱点文件完整性检查系统的弱点安全审核与风险分析基于内核的入侵检测系统(基于内核的入侵检测系统(LIDS)什么是什么是LIDSLIDS基于基于LinuxLinux内核的入侵检测和预防系统内核的入侵检测和预防系统 LIDSLIDS的三点特性的三点特性入侵防护入侵防护入侵监测入侵监测入侵响应入侵响应安全审核与风险分析LIDSLIDS文档工程文档工程安装安装LIDS下载、安装和配置下载、安装和配置LIDS补丁和相关正式的补丁和相关正式的Linux内核内核在在Linux系统上安装系统上安装LIDS和系统管理工具和系统管理工具配置配置LIDS系统系统安全审
188、核与风险分析入侵检测技术发展方向入侵检测技术发展方向入侵技术的发展与演变入侵技术的发展与演变入侵或攻击的综合化与复杂化入侵或攻击的综合化与复杂化入侵主体对象的间接化入侵主体对象的间接化入侵或攻击的规模扩大入侵或攻击的规模扩大入侵或攻击技术的分布化入侵或攻击技术的分布化攻击对象的转移攻击对象的转移安全审核与风险分析入侵检测技术的发展方向入侵检测技术的发展方向分布式入侵检测分布式入侵检测智能化入侵检测智能化入侵检测全面的安全防御方案全面的安全防御方案安全审核与风险分析知名的入侵检测系统软件知名的入侵检测系统软件金诺网安入侵检测系统金诺网安入侵检测系统Cisco SecureCisco Secure
189、入侵检测统入侵检测统清华得实清华得实NetDT(r)2000NetDT(r)2000东软东软Net Eye IDSNet Eye IDS安全审核与风险分析东软东软IDS安全审核与风险分析中科网威中科网威“天眼天眼”入侵侦测系统入侵侦测系统安全审核与风险分析汉邦入侵检测系统汉邦入侵检测系统HBIDS 安全审核与风险分析安氏领信安氏领信IDS 安全审核与风险分析中联绿盟中联绿盟“冰之眼冰之眼”瑞星瑞星RIDS-100安全审核与风险分析如何选择入侵检测产品如何选择入侵检测产品系统的价格系统的价格特征库升级与维护的费用特征库升级与维护的费用对于网络入侵检测系统,最大可处理流量(包对于网络入侵检测系统,
190、最大可处理流量(包/秒秒PPS)是多少)是多少该产品容易被躲避吗该产品容易被躲避吗产品的可伸缩性产品的可伸缩性安全审核与风险分析运行与维护系统的开销运行与维护系统的开销产品支持的入侵特征数产品支持的入侵特征数产品有哪些响应方法产品有哪些响应方法是否通过了国家授权的机构的评测是否通过了国家授权的机构的评测安全审核与风险分析 第九单元第九单元早期预警与事件响应早期预警与事件响应安全审核与风险分析为不可避免的状况做准备为不可避免的状况做准备网络攻击的危害性网络攻击的危害性黑客盗用帐户黑客盗用帐户病毒病毒木马窃取用户信息木马窃取用户信息补救的措施补救的措施安装升级补丁安装升级补丁备份数据备份数据安全审
191、核与风险分析问题的根源问题的根源被动防御被动防御-防火墙、杀毒、入侵检测防火墙、杀毒、入侵检测“老三样老三样的的防御对病毒和黑客的作用已经不大防御对病毒和黑客的作用已经不大主动防御主动防御-较为全方位的体系,在这个体系中包较为全方位的体系,在这个体系中包含着一系列的主动安全技术、安全管理策略和安全含着一系列的主动安全技术、安全管理策略和安全管理的理念管理的理念安全审核与风险分析蜜网蜜网蜜网项目组蜜网项目组-是一个自发的,非营利的研究组织,该组织是一个自发的,非营利的研究组织,该组织专注于对黑客界所使用的各种攻击工具、策略及动机进行研究,专注于对黑客界所使用的各种攻击工具、策略及动机进行研究,并
192、且分享学到的经验。并且分享学到的经验。收集这些信息的基本工具就是蜜网收集这些信息的基本工具就是蜜网下面是蜜网项目组的网页下面是蜜网项目组的网页(http:/www.honeynet.org)安全审核与风险分析蜜网的概述蜜网的概述蜜网蜜网-是一种体系结构,这种体系结构创建了一个高度可控的是一种体系结构,这种体系结构创建了一个高度可控的网络,你可以控制和监视其中的所有活动网络,你可以控制和监视其中的所有活动蜜网技术蜜网技术改变传统信息安全的局面改变传统信息安全的局面收集潜在威胁的信息,发现新的工具收集潜在威胁的信息,发现新的工具是一种高交互的用来获取广泛的威胁信息的蜜罐是一种高交互的用来获取广泛的
193、威胁信息的蜜罐安全审核与风险分析第二代蜜网技术框架图安全审核与风险分析蜜网技术如何部署蜜网技术如何部署蜜网技术的最重要的挑战是如何部署。蜜网技术的最重要的挑战是如何部署。蜜网的部署方式将会决定你能捕获的攻击者(攻击活动)的蜜网的部署方式将会决定你能捕获的攻击者(攻击活动)的类型类型。迄今为止,极少有蜜网能够捕获到高级攻击者的活动。迄今为止,极少有蜜网能够捕获到高级攻击者的活动。安全审核与风险分析体系结构需求体系结构需求蜜网只是一个体系结构,为了成功的部署一个蜜网环境,你蜜网只是一个体系结构,为了成功的部署一个蜜网环境,你必须正确的部署它的体系结构必须正确的部署它的体系结构。所有的蜜网部署方式都
194、要满足以下两个需求:所有的蜜网部署方式都要满足以下两个需求:数据控制数据控制数据捕获数据捕获数据控制定义了怎样将攻击者的活动限制在蜜网中而同时不数据控制定义了怎样将攻击者的活动限制在蜜网中而同时不让攻击者察觉。让攻击者察觉。数据捕获则是在攻击者不知情的情况下捕获其所有攻击活动。数据捕获则是在攻击者不知情的情况下捕获其所有攻击活动。数据控制总是比数据捕获的优先级要高。数据控制总是比数据捕获的优先级要高。安全审核与风险分析成功部署蜜网的要求成功部署蜜网的要求数据控制数据控制限制攻击者活动的机制,降低安全风险限制攻击者活动的机制,降低安全风险数据捕获数据捕获监控和记录所有攻击者在蜜网内部的活动监控和
195、记录所有攻击者在蜜网内部的活动数据收集数据收集只针对于拥有分布式蜜网环境的组织只针对于拥有分布式蜜网环境的组织蜜网是一个强有力的工具。能够收集到详细的有关各种安全蜜网是一个强有力的工具。能够收集到详细的有关各种安全威胁的信息威胁的信息安全审核与风险分析风险风险使用蜜网付出的代价就是风险。使用蜜网付出的代价就是风险。风险对不同的组织来说意义不同风险对不同的组织来说意义不同我们将涉及以下四种主要的安全风险:我们将涉及以下四种主要的安全风险:危害(危害(harm )侦测(侦测(detection )失效(失效(disabling )滥用(滥用(violation )减轻风险方法:减轻风险方法:人工监
196、控人工监控定制定制安全审核与风险分析Tar Pit Tar Pitting -故意向与垃圾邮件或其他不需要的故意向与垃圾邮件或其他不需要的通信相关的某些通信相关的某些SMTP 通信中插入一定的延迟通信中插入一定的延迟收件人筛选收件人筛选使用收件人筛选使用收件人筛选,发件人将无法向您发送发往无效收,发件人将无法向您发送发往无效收件人或件人或已筛选收件人的邮件已筛选收件人的邮件不使用收件人筛选不使用收件人筛选,发送到,发送到Exchange 组织中无效电子邮件组织中无效电子邮件地址的邮件将被接受并由地址的邮件将被接受并由Exchange 服务器处理。服务器处理。安全审核与风险分析配置问题配置问题一
197、些无意的行为一些无意的行为丢失口令丢失口令非法操作非法操作资源访问控制不合理资源访问控制不合理管理员安全配置不当以及疏忽大意允许不应进入网络的人上管理员安全配置不当以及疏忽大意允许不应进入网络的人上网网安全审核与风险分析做好响应计划做好响应计划制定一个特定的响应策略制定一个特定的响应策略当发生了安全破坏活动时,需要有一个事先的计划来与黑客当发生了安全破坏活动时,需要有一个事先的计划来与黑客进行周旋,同时还要有一个良好的策略来说明怎样、何时报进行周旋,同时还要有一个良好的策略来说明怎样、何时报告安全事件,以及怎样通知相关组织和个人告安全事件,以及怎样通知相关组织和个人安全审核与风险分析建立响应策
198、略建立响应策略制订符合你所在组织情况的响应策略制订符合你所在组织情况的响应策略将所制订的响应策略写入文档,文档将用于说明怎样执行步将所制订的响应策略写入文档,文档将用于说明怎样执行步骤。骤。指导员工在遇到攻击时按文档中所述步骤来执行,除非有特指导员工在遇到攻击时按文档中所述步骤来执行,除非有特殊合理的理由,否则必须严格执行响应策略。殊合理的理由,否则必须严格执行响应策略。安全审核与风险分析提前做决定提前做决定预先制订良好的安全策略,别在出现紧急情况后才预先制订良好的安全策略,别在出现紧急情况后才来决定要制订响应策略来决定要制订响应策略在紧急情况下作出的决定往往不能很好的应对威胁在紧急情况下作出
199、的决定往往不能很好的应对威胁安全审核与风险分析保持镇定保持镇定出现紧急情况或是发生安全攻击时不要慌乱。出现紧急情况或是发生安全攻击时不要慌乱。如果系统管理员或应急响应小组出现慌乱,可能会如果系统管理员或应急响应小组出现慌乱,可能会在匆忙中作出与当前状况不适应的判断。在匆忙中作出与当前状况不适应的判断。安全审核与风险分析做出正确的反应做出正确的反应在面对黑客攻击时,需要做出正确的反应。在面对黑客攻击时,需要做出正确的反应。保持镇定保持镇定依照安全响应策略制订的步骤实施依照安全响应策略制订的步骤实施安全审核与风险分析记录下所有的事件记录下所有的事件系统日志和服务日志系统日志和服务日志-审核日志往往
200、能记录下黑审核日志往往能记录下黑客入侵到系统的活动客入侵到系统的活动一份记录报告必须包含下列信息一份记录报告必须包含下列信息发生攻击的日期和时间发生攻击的日期和时间攻击的类型,受影响的系统,使用的通信方式攻击的类型,受影响的系统,使用的通信方式(TCP,UDP,ICMP)相关的服务器和服务相关的服务器和服务在响应攻击过程中联系过的公司员工的名字(主管,在响应攻击过程中联系过的公司员工的名字(主管,IT人员人员等)等)响应过程中所用到的应用程序响应过程中所用到的应用程序安全审核与风险分析分析攻击的形式分析攻击的形式分析攻击分析攻击需要确定是否真正发生了安全攻击需要确定是否真正发生了安全攻击常常是
201、有一些用户的不恰当的行为被怀疑成黑客行为常常是有一些用户的不恰当的行为被怀疑成黑客行为即使有用户进行了攻击,也不能就认定该用户是黑客,这个用即使有用户进行了攻击,也不能就认定该用户是黑客,这个用户可能已经被侵入而成为另一个真正意上的攻击的一部分户可能已经被侵入而成为另一个真正意上的攻击的一部分提高警觉提高警觉安全审核与风险分析确定攻击的范围确定攻击的范围确定黑客的攻击后采取的步骤确定黑客的攻击后采取的步骤确定哪些帐号受到影响。确定哪些帐号受到影响。鉴别哪些文档被读取、修改或替代。鉴别哪些文档被读取、修改或替代。在系统中跟踪黑客的活动情况。在系统中跟踪黑客的活动情况。查询审核日志。查询审核日志。
202、确定是否有权限被修改确定是否有权限被修改。安全审核与风险分析制止和牵制黑客活动制止和牵制黑客活动根据安全策略的计划以及当前的具体情况,找出所根据安全策略的计划以及当前的具体情况,找出所有发生攻击的连接并牵制黑客活动有发生攻击的连接并牵制黑客活动安全审核与风险分析实施响应计划实施响应计划响应计划响应计划的步骤的步骤通知受到影响的相关人员。通知受到影响的相关人员。中断连接或建立一个中断连接或建立一个“监狱监狱”。通知警方。通知警方。联系黑客。联系黑客。追踪连接并运用其它检测方法追踪连接并运用其它检测方法,以进一步掌握黑客其它活动。以进一步掌握黑客其它活动。重新配置防火墙。重新配置防火墙。通知受到影
203、响的人员通知受到影响的人员通知通知Internet代理商代理商安全审核与风险分析计算机应急响应小组(计算机应急响应小组(CERT)每年都会接到数千个求助邮件)每年都会接到数千个求助邮件或电话。或电话。CERT的网站:的网站:www.cert.org。安全审核与风险分析分析和学习分析和学习为了能更好的分析响应措施,可以参考下列问题:为了能更好的分析响应措施,可以参考下列问题:黑客是如何绕过安全策略的?是贿赂内部员工?社会工黑客是如何绕过安全策略的?是贿赂内部员工?社会工程程?暴力攻击?修改路由表?还是穿过了不严格的防火墙?暴力攻击?修改路由表?还是穿过了不严格的防火墙?对攻击所做出的有效响应是什
204、么?有待提高的是什么?以后对攻击所做出的有效响应是什么?有待提高的是什么?以后要采取什么不同的方法?要采取什么不同的方法?哪些人或哪些软件能帮助你抵御攻击?哪些人或哪些软件能帮助你抵御攻击?安全审核与风险分析建立容灾备份计划建立容灾备份计划在限定时间内成功的灾难恢复是企业安全策略中的在限定时间内成功的灾难恢复是企业安全策略中的一个关键组成部分,而要实现这一目标,很重要的一个关键组成部分,而要实现这一目标,很重要的措施是要建立容灾备份计划。措施是要建立容灾备份计划。安全审核与风险分析常用容灾备份技术常用容灾备份技术利用磁带拷贝进行数据备份和恢复利用磁带拷贝进行数据备份和恢复实现过程复杂,恢复效率
205、低实现过程复杂,恢复效率低远程数据库复制技术远程数据库复制技术由数据库系统软件来实现数据库的远程复制和同步由数据库系统软件来实现数据库的远程复制和同步安全审核与风险分析远程数据库复制的示意图远程数据库复制的示意图安全审核与风险分析基于智能存储系统的远程数据复制技术基于智能存储系统的远程数据复制技术由智能存储系统自身实现数据的远程复制和同步由智能存储系统自身实现数据的远程复制和同步智能存储系统将对本系统中的存储器智能存储系统将对本系统中的存储器I/O操作请求复制到远端操作请求复制到远端的存储系统中并执行,保证数据的一致性的存储系统中并执行,保证数据的一致性安全审核与风险分析IBM的的PPRC解决方案示意图解决方案示意图安全审核与风险分析基于逻辑磁盘卷的远程数据复制技术基于逻辑磁盘卷的远程数据复制技术基于逻辑磁盘卷的远程数据复制是指根据需要将一基于逻辑磁盘卷的远程数据复制是指根据需要将一个或多个卷进行远程同步(或者异步)复制。个或多个卷进行远程同步(或者异步)复制。该方案通常通过软件来实现,基本配置包括卷管理该方案通常通过软件来实现,基本配置包括卷管理软件和远程复制控制管理软件软件和远程复制控制管理软件安全审核与风险分析Veritas的远程磁盘卷复制方案的图示的远程磁盘卷复制方案的图示安全审核与风险分析安全审核与风险分析
