《网络安全问题及其防范措施》由会员分享,可在线阅读,更多相关《网络安全问题及其防范措施(119页珍藏版)》请在金锄头文库上搜索。
1、1网络安全问题及其防范措施网络安全问题及其防范措施网络安全问题及其防范措施网络安全问题及其防范措施国家计算机网络应急技术处理协调中心2序:责任和目标共同的责任:维护网络与信息系统的正常运行;使网络和信息技术真正为我们带来用处本期培训的目标:对上级领导:能够使其认识到安全的威胁,从而能够得到安全保障系统必要的和正确的投入与支持;对用户:能够规范用户的使用,增强用户的安全意识,降低风险;普及安全知识,保护用户利益;对自己:相对全面地了解安全涉及的问题,掌握相关的知识基础,为将来进一步提高实践能力做好准备;具备实现上述两个目标的基本能力;建立联系,了解信息获取和技术交流的渠道3主要内容概念和基础对安
2、全问题的理解安全问题的分类及其对应的技术手段当前安全威胁的特点和趋势关于应急响应应急响应的概念应急响应服务及其发展状况应急响应组织和体系事例介绍行业网络安全保障问题关于入侵监测系统的若干问题一些基本原则和安全措施4问题1:“安全”的本质是什么?木桥和铁桥哪个更安全?结论:安全的一个必要条件是和用户利益相关联推论1:安全保护不能“一视同仁”投资的限制人员的限制精力的限制推论2:信息资产的评估应该是设计安全方案的第一步工作一个遗留问题:如何进行信息资产评估5问题2:怎样算是“安全的”?保护金库的方案安全保障的一般环节:PPDRR结论:响应时间和抗攻击时间的关系 Rt Pt推论:安全保障的各个环节不
3、应该是相互孤立的;安全是相对的,具体要求各不相同投资多、设备好不一定安全级别就高6问题3:安全中应该考虑的第一要素是什么人的因素来自用户的威胁试图获得更高的权限不经意的泄漏口令为了方便而采取违反安全管理规定的行为将帐号交给他人使用将口令存放在不可信赖的地方离开工作现场而不加保护被当作跳板进入其他信任区域带领非授权人员进入工作现场等7人的因素(续)来自管理员的威胁不恰当的权限管理不合理的口令未清理的过期帐户工作现场的问题滥用的好奇心社会工程学泄漏更多的案例来自内部,很多损失源自内部员工的报复性攻击8现状:网络中密布陷阱和危险网络的隐蔽使很多人的内心阴暗面得到激发垃圾邮件中的病毒、木马、色情内容、
4、政治谣言、商业广告等页面中嵌入的恶意程序无时不在的漏洞和随处可见的工具互动娱乐中充满陷阱、欺骗和堕落“网络痴迷症”带来的负面影响随时面临触犯法律甚至犯罪的危险9中华人民共和国刑法第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处
5、罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。10安全涉及到各个层面的问题通讯线路/设备主机设备基础协议实现应用系统数据/信息个人用户群体用户传统网络概念物理设备系统实现数据集合用户集合11因特网的安全涉及哪些因素?系统安全系统安全系统安全系统安全信息安全信息安全信息安全信息安全文文化化安安全全物理安全物理安全物理安全物理安全又称实体安全又称实体安全又称运行安全又称运行安全又称数据安全又称数据安全又称内容安全又称内容安全12关于
6、物理安全作作用用点点:对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。外外显显行行为为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。防防范范措措施施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。13对物理安全产生威胁的几个手段芯片嵌入(Chipping)芯片级的特洛伊木马。微机械与微生物可损害计算机系统的硬件部分。电子干扰(Electronic jamming)用假信息来淹没信道。HERF枪,EMP炸弹干扰电子电路,破坏通信与计算机系统。视像窃换(Video Morphing)篡改事实上的表现形式,破坏真实信息。14关于系统安全
7、作作用用点点:对计算机网络与计算机系统可用性与系统访问控制方面进行攻击。外外显显行行为为:网络被阻塞,黑客行为,计算机病毒、非法使用资源等,使得依赖于信息系统的管理或控制体系陷于瘫痪。防防范范措措施施:防止入侵,检测入侵,抵抗入侵,系统恢复。15网络安全威胁国家基础设施因特网因特网网网络对国民国民经济的影响在加的影响在加强安全漏洞危害在增大信息信息对抗的威抗的威胁在增加在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力力交通交通通通讯控制控制广播广播工工业金融金融医医疗研究攻防技研究攻防技术以阻之以阻之苍蝇不叮无缝的苍蝇不叮无缝的蛋蛋16拒绝服务类协议漏洞致使系统停机一对一式攻击致使系
8、统不能提供服务兑变式攻击致使网络系统瘫痪计算机恶意程序对系统的威胁控制系统类特洛伊木马代码隐藏入侵口令猜测、欺骗系统你能做我也能做你能做我也能做攻击访问控制能力攻击访问控制能力我不能做你也别想做我不能做你也别想做攻击系统可用性攻击系统可用性传染类源码类病毒宏病毒操作系统类病毒引导类病毒文件类病毒繁殖类病毒你有机会我也要有机会你有机会我也要有机会伺机传染与发作伺机传染与发作17保障系统安全的技术手段18策略和管理:保障系统的核心方案是死的,攻击是活的产品是死的,漏洞是活的防守是被动的,攻击是主动的策略和管理是安全保障系统发挥作用的重要条件关于安全管理的基本要求:安全管理人员安全管理的技术规范定期
9、的安全测试与检查安全监控19作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。外显行为:窃取信息,篡改信息,冒充信息,信息抵赖。防范措施:加密,完整性技术,认证,数字签名关于信息安全关于信息安全20信息窃取信息窃取信息信息传递信息冒充信息冒充信息窃取信息窃取信息冒充信息冒充信息信息传递信息信息篡改改信息窃取信息窃取信息冒充信息冒充信息信息篡改改信息信息传递信息抵信息抵赖关于信息安全机密性机密性加密技加密技术完整性完整性完整性技完整性技术合法性合法性认证技技术可信性可信性数字数字签名名21作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。外显行为:淫秽
10、暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围广。防范措施:技术、法律、教育等多方面关于文化安全关于文化安全关于文化安全关于文化安全22更加隐蔽和长远的伤害一些西方国家公开试图利用因特网实现对其他国家的文化同化,对其他国家进行“西化、分化、弱化”一些敌对势力利用因特网散布谣言,制造混乱色情、暴力信息泛滥,对青少年的身心健康带来严重影响典型事例不胜枚举23解决网络安全问题涉及的方面 ?法制建设问题:约束黑客行为等系统评估问题:安全隐患与信息价值科研支撑:专项基金、经费投入的整体规划平台建设问题:CERT、反入侵、反病毒等
11、中心技术装备:加强先进装备的投入,推动市场标准资质认证:产品、服务标准人力资源建设:专家队伍、培训、持证上岗组织建设问题:快速响应体系24我国应急处理体系结构示意图25我国的网络安全形势十分严峻2000山西日报网站被攻击案2000 101远程教学网思茅主页被黑案2000北京医科大学网站被黑案2000蓉城网上超市被入侵案2000当当书店遭黑客攻击案2000 “黑客BOY”大闹鞍山案2000广州利用电脑贪污公款案99信息卡账号口令非法截获案99郑州保险公司数据库被篡改案99上海股票虚假信息操纵案2699上海股票虚假信息操纵案 九九年四月十六日,上海某九九年四月十六日,上海某证券券市市场的的计算机因
12、未算机因未对通用用通用用户设置置密密码而被某而被某证券公司券公司电脑清算清算员赵某入侵,某入侵,“莲花味精花味精”、“兴业房房产”出出现涨停。价停。价值6000万元的万元的500万股股票成交。万股股票成交。2799信用卡账号口令非法截获案 九九年四月,某九九年四月,某时装店将信用卡装店将信用卡刷卡机短接,用于捕刷卡机短接,用于捕获信用卡的信用卡的账号、口令、及身份号、口令、及身份证号号码信息,然信息,然后制作假信用卡并从后制作假信用卡并从ATM中取中取钱。2899郑州保险公司数据库被篡改案 中国人寿保中国人寿保险公司公司郑州分公司州分公司职员王波从王波从1999年年4月至月至6月先后五次非月先
13、后五次非法登法登录公司的公司的电脑系系统,更改和,更改和删除除了多条重要数据。修改后的保了多条重要数据。修改后的保险费是是正确正确值的的1.87倍,保倍,保单现金价金价值为正正确确值的的2.42倍。倍。2920002000 广州利用广州利用电脑贪污电脑贪污公款案公款案 二二零零零零零零年年五五月月二二十十八八日日,广广东韶韶关关市市某某银行行职员沈沈伟彪彪和和电脑维修修员李李建建文文通通过电脑程程序序在在两两人人控控制制的的帐户上上加加大大存存款款数数额,贪污公款公款200多万元。多万元。3020002000 当当当当书书店遭黑客攻店遭黑客攻击击案案 从从二二零零零零零零年年三三月月份份开开始
14、始,黑黑客客对全全国国最最大大网网上上书店店“当当当当”书店店网网站站进行行了了长达达数数周周的的恶意意攻攻击,删除除了了网网站站的的购物物筐筐,破破坏坏页面面,更更改改了了价价格格,致致使使该网网站站处于于瘫痪状状态,有有时甚甚至至造造成成该网站数小网站数小时无法正常运行。无法正常运行。3120002000 蓉城网上超市被入侵案蓉城网上超市被入侵案 二二零零零零零零年年五五月月十十七七日日,“999mall网网上上超超市市”被被黑黑客客入入侵侵。超超市市的的导游游小小姐姐在在线服服务室室出出现了了一一位位说粗粗话,乱乱刷刷屏屏的的“导游游小小姐姐”,致致使使此此超超市市一一片片混混乱。乱。3
15、220002000 “ “黑客黑客BOYBOY” ”大大闹闹鞍山案鞍山案 2000年年 11月月8日日海海城城南南台台镇一一家家电脑培培训中中心心负责人人严某某成成功功猜猜测登登录海海城城科科技技电脑公公司司的的公公司司BBS,并并留留下下狂狂言言:要要“黑黑”遍遍鞍鞍山山,海海城城所所有有公公司司的的主主页。11月月9日日,严某某又又成成功功登登录鞍鞍山山希望希望电脑公司和新公司和新视窗网吧的主窗网吧的主页。332000山西日报网站被攻击案 二零零零年三月八日,山西日二零零零年三月八日,山西日报国国际互互联网站遭到黑客数次攻网站遭到黑客数次攻击,被,被迫关机,迫关机,这在国内省在国内省级党党
16、报中属首中属首例被黑客攻例被黑客攻击事件。事件。3420002000 101 101远远程教学网思茅主程教学网思茅主页页被黑案被黑案 二二零零零零零零年年五五月月,吴吴某某用用从从互互联网网上上下下载的的一一个个可可对计算算机机文文件件在在线修修改改的的“黑黑客客”软件件对101远程程教教学学网网站站思思茅茅分分中中心心进行行攻攻击,主主页上上很很多多内内容容被被非法修改。非法修改。35其它案例2000年二月事件2001年五月事件2001年8月的红色代码事件2001年9月尼姆达事件2002年“银联”网上欺骗事件2003年1月SQL杀手事件2003年3月口令蠕虫和红色代码-F事件2004年重大网
17、络安全事件启发和进步36四月份对中国网站的攻击(443次)37四月份对中国网站的攻击(443次)38五月1-7日对中国网站的攻击(147次)39五月1-7日对中国网站的攻击来源40中国147个被攻击的网站所使用的操作系统的分布情况41红色代码病毒事件8月的红色代码病毒实际上是集网络蠕虫和黑客程序于一身的恶性网络攻击程序,其攻击模式是划时代的。428月22日-27日的数据发现感染数目超过18000个大陆一侧确定位置的主机数目12605个439月2日-9月9日的数据发现感染服务器48,414个,其中仅2,000余个和8月22-27日的数据重复发现攻击1,024,013次,实际攻击次数估计为该数据的
18、数百倍。449月2日-9月9日的数据459月2日-9月9日的数据46红色代码病毒对不同地区的影响程度47尼姆达攻击事件:空前恐怖9月18日出现的Nimda病毒,借助红色代码病毒泛滥的机会,以更加恶劣的方式对互联网造成更大的冲击以各种手段感染几乎微软的各种平台服务器漏洞直接传播;电子邮件;局域网共享目录;可执行文件;网页;感染Windows9x/me/xp/NT/2000危害严重:共享被感染计算机的硬盘不断发送带毒邮件489月14日-9月20日的数据49一些原则和基本的防范措施50对用户的要求注意权限的分配严格口令管理必要时限定使用位置和时间异常情况的及时通报51对管理员的要求关闭不必要的服务定
19、时检查各系统的状态定时检查各种有关日志保持各有关系统和数据的更新关注新的安全通报信息建立技术支持和服务的渠道向上级说明升级或者购买的必要性52对方案的要求在切实分析用户的特定需求的基础上形成方案方案的各项指标设计合理,配有详细说明方案具有一定的可扩充性和灵活性使用符合规定的产品53对方案提供者的要求向用户说明方案是如何针对用户的特殊情形设计的向用户说明方案具备的能力帮助用户制定响应策略和管理策略及规范提供持续的技术支持减轻管理员的压力替用户严格保密54对服务供应商的要求严格替用户保密满足用户的响应要求能够提供本地化服务有严格标准的服务程序和技术规范55讨论:关于垃圾邮件垃圾邮件的定义垃圾邮件的
20、危害垃圾邮件的过滤技术手段非技术手段存在的问题56讨论:关于网络防病毒防病毒已经成为第一压力怎样选择产品服务同样重要网络防病毒的优点57Q&A怎么知道我的系统被攻击了怎么划分子网58谢 谢 大 家欢 迎 指 正国家计算机网络应急技术处理协调中心2004年6月3日59防火墙防火墙防止攻击的主要屏障防止攻击的主要屏障 防火墙是作为Intranet的第一道防线,是把内部网和公共网分隔的特殊网络互连设备,可以用于网络用户访问控制、认证服务、数据过滤等。在逻辑上,防火墙是过滤器、限制器和分析器。60防火墙之报文过滤网关防火墙之报文过滤网关一般是基于路由器来实现。路由器通常都在不同程度上支持诸如基于TCP
21、/IP协议集的分组的源、目地址进出路由器的过滤,即让某些地址发出的分组穿越路由器到达目的地。非特定IP地址190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.
22、12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33特定源IP地址202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68禁止202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68
23、202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68特定目的IP地址202.118.224.100190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33禁止190.11.12.33190.11.12.3
24、3190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33禁止禁止202.118.228.68202.118.228.68禁止禁止190.11.12.33190.11.12.3361防火墙之应用级网关防火墙之应用级网关应用级网关是为专门的应用设计专用代码,用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码
25、更安全些。例如使用这类软件可以对进入防火墙的telnet进行个人身份认证。Web服服务器器访问访问http合法合法访问telnet非法非法访问telnet访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http访问访问http合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问t
26、elnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet认认证证合合法法合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet合法合法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telne
27、t非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet认证非法非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问telnet非法非法访问t
28、elnet非法非法访问telnet非法非法访问telnet非法非法访问telnet62状态监测防火墙数据包在数据链路层和网络层操作系统核心中被检查创建通信状态表保存每一连接状态内容既可以检查一定程度上的应用层信息,也可以检查底层数据包63防火墙的功能防火墙是阻塞点。强迫所有进出信息通过唯一的检查点,以便进行集中的安全策略实施防火墙可以实行强制安全策略。允许某些服务通过,某些服务禁止通过,以便防止入侵者利用存在严重安全缺陷的服务防火墙可以记录网上的活动情况,以便管理人员通过阅读日志来跟踪和发现入侵者防火墙可以用来进行内部隔离,防止一个网段的问题向另一个网段传播64防火墙选型和设置选型价格因素带宽
29、支持连接数支持速度和稳定性安全策略安放位置有可能和外界通信的每一个通路需要不同安全策略的网段65防火墙的安全策略(一)网络服务访问策略允许从内部站点访问外界,不允许从外界访问内部只允许从外部访问内部特定系统策略的制定必须具有现实性和完整性现实性:在降低风险和为用户提供合理资源之间取得平衡完整性:防止其他途径;取得用户和管理层的理解和支持66防火墙的安全策略(二)防火墙设计策略除非明确不允许,否则允许某种服务(宽松型)除非明确允许,否则禁止某种服务(限制型)宽松型策略给入侵者更多绕过防火墙的机会限制性策略虽然更安全,但是更难于执行,并且对用户的约束存在重复安全性和灵活性需要综合考虑67防火墙的安
30、全策略(三)通常需要考虑的问题:需要什么服务在哪里使用这些服务是否应当支持拨号入网和加密等服务提供这些服务的风险是什么若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值得付出这种代价和可用性相比,公司把安全性放在什么位置68防火墙的物理实现方式防火墙通常由主计算机、路由器等一组硬件设备构成,实现方式主要有:软件实现形式NT, Unix硬件实现方式工业标准服务器实现方式*采用可扩展式工业标准服务器防火墙产品内置操作系统69防火墙的其他话题防火墙的局限性社会工程攻击内部攻击“协议嵌套”式攻击个人防火墙针对个人主机的加强防护更加灵活、更符合用户个人的安全策略需求对用户个
31、人要求较高70入侵检测工作方式:基于主机的入侵检测基于网络的入侵检测实现方式:误用检测:对已知的攻击行为模式进行判定异常检测:对非正常的行为模式进行判定71分布式入侵检测很多现实网络中必须的一种模式需要重点考虑的问题方案设计的合理性位置、配置的选择个数、层次的选择产品选择的合理性指标和目标的一致性管理和使用策略的合理性72计算机系统安全的级别计算机系统安全的级别 1983年8月,美国国防部计算机安全局出版了“可信任的计算机安全评估标准” 一书,被称为“橘黄皮书”。该书为计算机安全的不同级别定义了D、C、B、A四级标准。 C级:自主性保:自主性保护 D级:未:未经安全安全评估估 A级:确定性保:
32、确定性保护 B级:强制性保制性保护 A级:确定性保:确定性保护 B级:强制性保制性保护 C级:自主性保:自主性保护 D级:未:未经安全安全评估估73A A级:确定性保护级:确定性保护 验证保护级。其每一 个安全个体都必须得到信任,包括每一个部件从生产开始就被跟踪;每一个合格的安全个体必须分析并通过一个附加的设计要求。74B B级:强制性保护级:强制性保护B1:带标签的安全保护级,支持多级安全,按用户区分许可级别经过配置的IBM大型机用的MVS操作系统B2:结构化防护级,所有对象(包括外设)均有标签。B3:安全域级,通过可信途径联网。75C C级:自主性保护级:自主性保护C1级:酌情安全保护,设
33、置访问权限,但允许用户访问系统的ROOT,不能控制进入系统的用户的访问权限。UNIX、XENIX、Novell、Windows NTUNIX、XENIX、Novell、Windows NT,VMSC2级:访问控制保护,额外具有审计特性,用户权限级别限制。 76D D级:未经安全评估级:未经安全评估 整个计算机是不可信任的。硬件与操作系统都容易被侵袭。系统对用户没有验证。MSDOS,Windows3x, Windows 9577防毒系统比比较器器通用操作系统类病毒防护系统通用操作系统类病毒防护系统引导引导系统系统病毒病毒病毒执行病毒驻留。病毒防毒系防毒系统病毒体。防毒系统防毒系统。.不同不同。防
34、毒系防毒系统防毒系统比比较器器。相同相同.。引引导正常正常执行行78接接收收客客户程程序序A发来来 的的命命令令运行客运行客户程序程序A来控制机器来控制机器机器被机器被A控制控制活活跃线程程运行客运行客户程序程序A来捕来捕获信息信息机器被机器被A监视杀死指定死指定进程程捕捕获发出信息出信息系统欺骗(后门)系统欺骗(后门)79对任意用任意用户进行行FTP请求求对FANG用用户进行行FTP请求求LOGOUT前前释放放权限限对一般用一般用户正常响正常响应,保持原功能保持原功能识别是用是用户FANG,将之将之赋予予ROOT权限限拥有ROOT权限LOGOUTLOGOUTLOGOUTLOGOUTLOGOU
35、TLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTLOGOUTFANG在退出前注在退出前注销ROOT权限,以免被系限,以免被系统人人员查出出取消取消ROOT权限限信息窃取类信息窃取类攻击系统权限攻击系统权限 Wuarchive FTP Daemon(WFTPD)是有名的是有名的FTP服服务器。是世界上最常用的器。是世界上最常用的FTP服服务器之一。但器之一。但WFTPD2.1f及及2.2版均被人在源版均被
36、人在源码级改改动了,所加入的特了,所加入的特洛伊木洛伊木马的功能的功能为使得任何本地或使得任何本地或远程的用程的用户成成为登登录Unix系系统的的Root。 由于系由于系统软件通常是美国人开件通常是美国人开发的,美国政府有条件决的,美国政府有条件决定所有定所有软件如不件如不设有特洛伊木有特洛伊木马则禁止出口,引爆条件可以禁止出口,引爆条件可以是在是在计算机内出算机内出现了具有了具有“与美国开与美国开战”字字样的文件的文件时,也,也可以考可以考虑由外部触由外部触发,触,触发结果可以是格式化硬果可以是格式化硬盘或向美国或向美国CIA发电子子邮件件Reto E. Haeni80逻辑炸弹潜伏代潜伏代码
37、满足条足条件否?件否?监视满足而足而爆炸爆炸满足而足而爆炸爆炸伊拉克的打印机伊拉克的打印机香港的香港的银行系行系统上海的控制系上海的控制系统KV300BP机触发机触发 .81指指示示输入入帐号号及及口口令令伪造登造登录现场指指示示输入入错误,重重输入入捕捕获口口令退出令退出真真实登登录现场密密码被窃取被窃取采用TSR技术也可达到同样的目的输入入正正确确进进入入系系统统信息窃取类信息窃取类LOGIN特洛伊木马 伪造ATM是典型的欺骗类特洛伊木马案件。82字典字典口令表捕获口令捕获口令 借助字典采用“蛮力”的方法来分析指定用户的口令。加密系统比较成功不同找到找到 40 78秒 48 5小时 56
38、59天 64 41年 72 10696年 80 2,738,199年8398上海热线服务器被攻案 九八年六月十五日,上海九八年六月十五日,上海热线发现被黑客攻被黑客攻击,攻,攻击者复旦大者复旦大学学生学学生杨威通威通过猜口令等方法攻猜口令等方法攻入一台机器后随即攻入一台机器后随即攻击了其他几了其他几台机器,控制了两台服台机器,控制了两台服务器。破器。破译了了 五百余个用五百余个用户口令。口令。84返回出口缓冲区溢出的黑网站方法缓冲区溢出的黑网站方法程序区数据区堆栈区Shell 程序Shell入口Shell 程序Shell 程序Shell 程序Shell 程序Shell 程序Shell 程序Sh
39、ell 程序Shell 程序Shell 程序Shell 程序Shell 程序Shell 程序Shell 程序Shell入口缓冲区溢出进入操作系统获得系统权限转SHELL入口指定地址 通过造成缓冲区溢出并用指定地址覆盖返回地址而进入指定程序的方式来获得系统权限。黑客黑客结果果实例例85攻击协议漏洞的网络炸弹攻击协议漏洞的网络炸弹IP协议处理死机假长度攻击用Telnet向80口发也可摧毁Windows NT向139端口发0字节也可摧毁Windows95/NT86对对MAILMAIL服务器的攻击服务器的攻击服务阻塞攻击MAIL服务处理停止服务大量的Mail请求阻碍服务器.大量的Mail请求阻碍服务器
40、872000新浪网电子邮件被阻塞案 二零零零年二月八日,新浪二零零零年二月八日,新浪网北京网站被黑客网北京网站被黑客袭击,电子子邮件服件服务器器瘫痪18小小时。88同步风暴攻击同步风暴攻击合理的合理的访问请求得不到响求得不到响应大量的大量的链接接请求阻碍信道求阻碍信道.大量的大量的链接接请求阻碍信道求阻碍信道阻塞这类攻攻击通常都通常都设置假置假IP地址地址 在在TCP包中通包中通过将同步位将同步位设为1的方式来的方式来请求求连接,如果得到接,如果得到连接接确确认后不予理会,而是后不予理会,而是继续发出申出申请,将有可能耗尽服,将有可能耗尽服务器端的有限器端的有限的响的响应连接的接的资源源892
41、000广州163接入服务器被攻案 二零零零年三月八日:黑客二零零零年三月八日:黑客攻攻击拥有有200万用万用户的广州的广州163,系,系统无法正常登无法正常登录。90蠕虫蠕虫著名的莫利斯事件著名的莫利斯事件让Sendmail接收并执行查通信簿向外发送从通信簿中找地址向外发送从通信簿中找地址向外发送查通信簿向外发送查通信簿向外发送.缓冲溢出向外攻击向外寻找地址尝试攻击向外寻找地址尝试攻击缓冲溢出向外攻击缓冲溢出向外攻击利用利用Finger的漏洞获得控制权的漏洞获得控制权91操作系统类病毒的机理操作系统类病毒的机理系统引导区系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。病毒引引导系系统病毒体
42、。92空闲区。内存空间计算机病毒的激活过程计算机病毒的激活过程int8int21int2Fint4A时钟中断处理DOS中断处理外设处理中断实时时种警报中断空闲区带病毒程序空闲区空闲区空闲区空闲区正常程序正常程序病病 毒毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空闲区空闲区正常程序正常程序正常程序正常程序。正常程序正常程序正常程序正常程序int8 是,破坏!int8是是2626日?日?9399信用卡账号口令非法截获案 九九年四月,某九九年四月,某时装店将信装店将信用卡刷卡机短接,用于捕用卡刷卡机短接,用于捕获信
43、信用卡的用卡的账号、口令、及身份号、口令、及身份证号号码信息,然后制作假信用卡信息,然后制作假信用卡并从并从ATM中取中取钱。94数据加密数据加密防信息窃取防信息窃取技术技术 数据加密理数据加密理论上可以有零密上可以有零密钥、单密密钥及双密及双密钥三种。三种。加密的原因是假加密的原因是假设传输过程中是程中是不安全的。不安全的。 安全的加密方法是指安全的加密方法是指对手找不手找不到更好的攻到更好的攻击方法,只能通方法,只能通过穷举密密钥的手段的手段进行解密,即解密的行解密,即解密的难度与度与密密钥空空间成正比。成正比。 95零密钥加密技术零密钥加密技术ABCDE发送方加密pzru接收方加密 AM
44、BBBAMBBB发送方解密puztr接收方解密 ABCDEABCDEABCDEABCDEABCDEABCDEABCDEpzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzru发送方发送方接收方接收方pzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzrupzruAMBBBAMBB
45、BAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBAMBBBpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuzt
46、rpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrpuztrABCDEABCDEABCDEABCDEABCDEABCDEABCDEABCDE发送给接收方发送给接收方交还给接收方交还给接收方再次发送给接收方再次发送给接收方 一个箱子两把锁,箱子运来一个箱子两把锁,箱子运
47、来运去都带锁,相互各自锁上并打运去都带锁,相互各自锁上并打开自己的锁,无需交换钥匙。开自己的锁,无需交换钥匙。96单密钥加密技术单密钥加密技术密钥原文ABCD原文ABCD密文%#%¥密钥生成与分发密钥互连网络密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥原文ABCD原文ABCD密文%#%¥密文%#%¥原文ABCD密文%#%¥ 一个箱子一把锁,箱子运输锁上锁,关锁与开锁用一个箱子一把锁,箱子运
48、输锁上锁,关锁与开锁用一把钥匙,交换钥匙是关键,如何让钥匙不被窃取?一把钥匙,交换钥匙是关键,如何让钥匙不被窃取?97双钥匙加密技术双钥匙加密技术公钥(m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%¥公钥(m,n=pq)乱文乱文;互连网络互连网络密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%
49、¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;密文%#%¥乱文乱文;原文ABCD原文ABCD密文%#%¥密文%#%¥原文ABCD密文%#%¥ 一个箱子一把锁,两把钥匙对付锁,一把关锁一把一个箱子一把锁,两把钥匙对付锁,一把关锁一把开锁,关锁的不能开锁,开锁的不能关锁,接收者提供开锁,关锁的不能开锁,开锁的不能关锁,接收者提供钥匙,把关锁钥匙交给对
50、方,开锁钥匙留给自己。钥匙,把关锁钥匙交给对方,开锁钥匙留给自己。98信息欺骗信息欺骗正常期望的正常期望的访问请求求事事实上的上的请求求欺欺骗者者关机关机不响不响应 用拒绝服务压制住真正响应用拒绝服务压制住真正响应方,然后冒充接收方来欺骗连接方,然后冒充接收方来欺骗连接请求者,是黑客常用的手段。请求者,是黑客常用的手段。9998扬州工商银行冒存、领存款案 九八年九月二十二日,九八年九月二十二日,扬州州工商行被郝景文、郝景工商行被郝景文、郝景龙兄弟兄弟俩以服以服务器欺器欺骗的方式入侵的方式入侵计算机系算机系统,假冒存款,假冒存款72万元,万元,提出提出26万元。万元。100正常期望的正常期望的访
51、问请求求信息欺骗的防范信息欺骗的防范事事实上的上的请求求欺欺骗者者关机关机不响不响应认证认证不通过不通过关机关机不响不响应101完整性技术任何一段信息都有其基本特征,抽出其特征就是这段信息的完整性标识。上述一段话有11个词组、30个文字、2个符号、251个笔划、38个撇、53个竖、86个横、12个横折、7个竖勾、27个点、4个捺勾、5个提、将完整性标识用私钥加密,使之不能被篡改。接收方生成完整性标识,并用公钥解密所携带的完整性标识,两者进行比较,如果不同则表示正文被篡改。102数字签名技术数字签名技术公钥(m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%¥公钥(m,n=pq)
52、互互连网网络密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD
53、原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD密文%#%¥原文ABCD原文ABCD密文%#%¥密文%#%¥原文ABCD原文ABCD密文%#%¥ 一个箱子一把锁,两把钥匙对付锁,一把关锁一把一个箱子一把锁,两把钥匙对付锁,一把关锁一把开锁,关锁的不能开锁,开锁的不能关锁,发送者提供开锁,关锁的不能开锁,开锁的不能关锁,发送者提供钥匙,把开锁钥匙交给对方,关锁钥匙留给自己。钥匙,把开锁钥匙交给对方,关锁钥匙留给自己。公证方公证方103互联网向外访问分类的分布情况104部分有关法律法规全国人大关于维护网络与信息安全的决定两部互
54、联网登载新闻管理办法国务院互联网内容服务管理办法中华人民共和国电信条例信息产业部电子公告服务管理办法10599上海股票虚假信息操纵案 九九年四月十六日,上海某九九年四月十六日,上海某证券市券市场的的计算机因未算机因未对通用用通用用户设置密置密码而被某而被某证券公司券公司电脑清清算算员赵某入侵,某入侵,“莲花味精花味精”、“兴业房房产”出出现涨停。价停。价值6000万元的万元的500万股股票成交。万股股票成交。10699信用卡账号口令非法截获案 九九年四月,某九九年四月,某时装店将信装店将信用卡刷卡机短接,用于捕用卡刷卡机短接,用于捕获信信用卡的用卡的账号、口令、及身份号、口令、及身份证号号码信
55、息,然后制作假信用卡信息,然后制作假信用卡并从并从ATM中取中取钱。10799郑州保险公司数据库被篡改案 中国人寿保中国人寿保险公司公司郑州分州分公司公司职员王波从王波从1999年年4月至月至6月先后五次非法登月先后五次非法登录公司的公司的电脑系系统,更改和,更改和删除了多条重除了多条重要数据。修改后的保要数据。修改后的保险费是正是正确确值的的1.87倍,保倍,保单现金价金价值为正确正确值的的2.42倍。倍。10820002000 广州利用广州利用电脑贪污电脑贪污公款案公款案 二二零零零零零零年年五五月月二二十十八八日日,广广东韶韶关关市市某某银行行职员沈沈伟彪彪和和电脑维修修员李李建建文文通
56、通过电脑程程序序在在两两人人控控制制的的帐户上上加加大大存款数存款数额,贪污公款公款200多万元。多万元。10920002000 当当当当书书店遭黑客攻店遭黑客攻击击案案 从从二二零零零零零零年年三三月月份份开开始始,黑黑客客对全全国国最最大大网网上上书店店“当当当当”书店店网网站站进行行了了长达达数数周周的的恶意意攻攻击,删除除了了网网站站的的购物物筐筐,破破坏坏页面面,更更改改了了价价格格,致致使使该网网站站处于于瘫痪状状态,有有时甚甚至至造造成成该网站数小网站数小时无法正常运行。无法正常运行。11020002000 蓉城网上超市被入侵案蓉城网上超市被入侵案 二二零零零零零零年年五五月月十
57、十七七日日,“999mall网网上上超超市市”被被黑黑客客入入侵侵。超超市市的的导游游小小姐姐在在线服服务室室出出现了了一一位位说粗粗话,乱乱刷刷屏屏的的“导游游小小姐姐”,致致使使此此超超市市一片混乱。一片混乱。11120002000 “ “黑客黑客BOYBOY” ”大大闹闹鞍山案鞍山案 2000年年 11月月8日日海海城城南南台台镇一一家家电脑培培训中中心心负责人人严某某成成功功猜猜测登登录海海城城科科技技电脑公公司司的的公公司司BBS,并并留留下下狂狂言言:要要“黑黑”遍遍鞍鞍山山,海海城城所所有有公公司司的的主主页。11月月9日日,严某某又又成成功功登登录鞍鞍山山希希望望电脑公司和新公
58、司和新视窗网吧的主窗网吧的主页。1122000北京医科大学网站被黑案 二零零零年二月二十七日,二零零零年二月二十七日,北京医科大学网站被黑,停用北京医科大学网站被黑,停用达两天。达两天。1132000山西日报网站被攻击案 二零零零年三月八日,山西二零零零年三月八日,山西日日报国国际互互联网站遭到黑客数网站遭到黑客数次攻次攻击,被迫关机,被迫关机,这在国内在国内省省级党党报中属首例被黑客攻中属首例被黑客攻击事件。事件。11420002000 101 101远远程教学网思茅主程教学网思茅主页页被黑案被黑案 二二零零零零零零年年五五月月,吴吴某某用用从从互互联网网上上下下载的的一一个个可可对计算算机
59、机文文件件在在线修修改改的的“黑黑客客”软件件对101远程程教教学学网网站站思思茅茅分分中中心心进行行攻攻击,主,主页上很多内容被非法修改。上很多内容被非法修改。115风险评估目的:在人力和物力有限的情况下,希望在安全上的投资可以得到一个好的汇报,投入应该和所承担的风险相称考虑的因素:信息的价值:很难准确估价处理事故的花费:无形损失逐渐增大导致逐渐不显得重要可见性可见性敏感性敏感性法规要求法规要求116可见性系统对外界的开放程度和受威胁的程度不同机构的性质不同,引起黑客的兴趣也不同(一般而言)威胁要转化为危害,必须利用安全系统的弱点,并且系统对外界(因特网)是可见的可见性用来衡量一个系统对入侵
60、者的吸引程度和系统可利用资源的多少系统的可见性决定黑客入侵并造成危害的可能性随着更多的系统联入公众网,更多的应用依赖于公众网,系统的可见性逐渐增强117敏感性保护单位对潜在事故的敏感程度同样的事故,对不同机构的影响程度是不同的,因为损失不仅可能是金钱上的,也可能是名誉上的对于一些机构来说,无形的信誉损失可能更加致命118法规、规章的要求对于一些系统来说,具有明确的法律、法规或者规章制度对其做出要求,可以作为评估的依据119风险评估矩阵结果(风险程度)=危险等级X可见性等级+结果等级X敏感性等级危险等级可见性等级结果等级敏感性等级危险等级评估 可见性等级评估危险不属于活跃性的,而且暴露于危险中的机会不是很多1很低的可见性,没有提供任何公共信息服务,如WWW,FTP,Telnet等1危险并不明确,而且危险是多重的3间断性地提供公共信息服务3危险是非常活跃的,而且危险时多重的5持续提供公共信息服务5结果等级评估 敏感性等级评估没有任何影响和损失;在损失预算之内;风险可以转移1损失可以接受;对组织或公司无较大影响,如名誉上的损害1内部的正常运行受到影响;超出了损失预算3对机构的运转有不可接受的影响3外部生意受到影响;对机构财政有致命影响5对机构的管理有不可接受的影响;对外生意往来受到影响5
