信息安全基础知识ppt课件

信息安全基础知识信息安全基础知识信息安全基础知识1目目 录录v信息安全概述信息安全概述v信息安全风险信息安全风险v黑客攻击黑客攻击v协议层安全协议层安全v安全体系架构安全体系架构v安全技术和产品安全技术和产品v一些安全建议一些安全建议目录信息安全概述2信息安全概述信息安全概述信息安全概述3信息技术及其应用的发展信息技术及其应用的发展A、通信、通信-电报电报/电话电话 B、计算机、计算机C、网络、网络D、网络化社会的崛起、网络化社会的崛起-社会技术系统社会技术系统 (人人网系统网系统)信息技术及其应用的发展A、通信-电报/电话4什么是信息？什么是信息？ISO17799中的描述中的描述“Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected.”“Information can exist in many forms.It can be printed or written on paper,stored electronically,transmitted by post or using electronic means,shown on films,or spoken in conversation.强调信息：强调信息：是一种资产是一种资产同其它重要的商业资产一样同其它重要的商业资产一样对组织具有价值对组织具有价值 需要适当的保护需要适当的保护以各种形式存在：纸、电子、影片、交谈等以各种形式存在：纸、电子、影片、交谈等什么是信息？ISO17799中的描述5 信息系统是有目的、和谐地处理信息信息系统是有目的、和谐地处理信息的主要工具，它把所有形态（原始数据、的主要工具，它把所有形态（原始数据、已分析的数据、知识和专家经验）和所有已分析的数据、知识和专家经验）和所有形式（文字、视频和声音）的信息进行收形式（文字、视频和声音）的信息进行收集、组织、存储、处理和显示。集、组织、存储、处理和显示。大英百科全书大英百科全书信息系统的概念信息系统的概念信息系统是有目的、和谐地处理信息的主要工具，它把6信息安全的定义信息安全的定义安全的定义安全的定义基本含义：客观上不受威胁；主观上不存在恐惧。基本含义：客观上不受威胁；主观上不存在恐惧。一种能够识别和消除不安全因素的能力，是一个持续的过程。一种能够识别和消除不安全因素的能力，是一个持续的过程。信息安全的定义信息安全的定义狭义：具体的信息技术体系或某一特定信息系统的安全。狭义：具体的信息技术体系或某一特定信息系统的安全。广义：一个国家的社会信息化状态不受外来的威胁和伤害，一个广义：一个国家的社会信息化状态不受外来的威胁和伤害，一个国家的信息技术体系不受外来的威胁和侵害。国家的信息技术体系不受外来的威胁和侵害。ISO的定义：为数据处理系统建立和采取的技术和管理的安全保护，的定义：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和显露。更改和显露。信息安全的定义安全的定义7从历史看信息安全从历史看信息安全通信保密（通信保密（ComSEC）计算机安全（计算机安全（CompSEC）信息安全（信息安全（INFOSEC）信息保障（信息保障（IA）从历史看信息安全通信保密（ComSEC）8第一阶段：通信保密第一阶段：通信保密上世纪上世纪40年代年代70年代年代重点是通过密码技术解决通信保密问题，保证数据的保密重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性性与完整性主要安全威胁是搭线窃听、密码学分析主要安全威胁是搭线窃听、密码学分析主要保护措施是加密主要保护措施是加密重要标志重要标志1949年年Shannon发表的保密系统的通信理论发表的保密系统的通信理论 1977年美国国家标准局公布的数据加密标准（年美国国家标准局公布的数据加密标准（DES）1976年由年由Diffie与与Hellman在在“New Directions in Cryptography”一文中提出了公钥密码体制一文中提出了公钥密码体制第一阶段：通信保密上世纪40年代70年代9第二阶段：计算机安全第二阶段：计算机安全上世纪上世纪7080年代年代重点是确保计算机系统中硬件、软件及正在处理、存重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性储、传输信息的机密性、完整性主要安全威胁扩展到非法访问、恶意代码、脆弱口令主要安全威胁扩展到非法访问、恶意代码、脆弱口令等等主要保护措施是安全操作系统设计技术（主要保护措施是安全操作系统设计技术（TCB）主要标志是主要标志是1985年美国国防部（年美国国防部（DoD）公布的可信计）公布的可信计算机系统评估准则（算机系统评估准则（TCSEC，橘皮书）将操作系统的，橘皮书）将操作系统的安全级别分为四类七个级别（安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充红皮书），后补充红皮书TNI（1987）和紫皮书）和紫皮书TDI（1991）等，构成彩虹（）等，构成彩虹（Rainbow）系列。）系列。第二阶段：计算机安全上世纪7080年代10级别描述D最低的级别。如MS-DOS，没有安全性可言C1灵活的安全保护。系统不需要区分用户。可提供基本的访问控制。如目前常用的各种通用操作系统。C2灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系统级的保护主要存在于资源、数据、文件和操作上。如WindowsNT3.5/4.0、DigitalUNIX、OpenVMS。B1标记安全保护。系统提供更多的保护措施，包括各种的安全级别。如AT&T的SYSTEMV、UNIXwithMLS，以及IBMMVS/ESA。B2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIX和HoneywellMULTICS。B3安全域。支持数据隐藏和分层，可以阻止层之间的交互。如HoneywellXTS-200。A校验级设计。需要严格的准确证明系统不会被伤害，而且提供所有低级别的因素。如HoneywellSCOMP。操作系统安全级别操作系统安全级别级别描述D最低的级别。如MS-DOS，没有安全性可言C1灵活11第三阶段：信息安全第三阶段：信息安全上世纪上世纪80-90年代年代重点需要保护信息，确保信息在存储、处理、传输过程中重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性等密性、完整性、可控性、可用性等主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等击等主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、检测、PKI、VPN、安全管理等、安全管理等主要标志是提出了新的安全评估准则主要标志是提出了新的安全评估准则CC（ISO 15408、GB/T 18336）第三阶段：信息安全上世纪80-90年代12信息安全的主要内容信息安全的主要内容安全保障安全保障内容安全 运行安全数据安全 设备安全信息系统安全管理安全管理信息安全的主要内容内容安全运13信息安全的层次框架体系信息安全的层次框架体系层次层面目标安全属性威胁保护手段系统安全设备安全对网络与信息系统的硬件设施的保护。机密性、可用性、完整性、可靠性电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份运行安全对网络与信息系统的运行过程和运行状态的保护。真实性、可控性、可用性、可审查性、可靠性非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份信息安全数据安全在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。机密性、真实性、完整性、不可否认性窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享内容安全对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。机密性、真实性、可控性、可用性、完整性、可靠性可对系统造成威胁的脚本病毒；因无限制扩散而导致消耗用户资源的垃圾类邮件；导致社会不稳定的有害信息，等等密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制信息安全的层次框架体系层次层面目标安全属性威胁保护手段设备对14第四阶段：信息保障第四阶段：信息保障上世纪上世纪90年代后期年代后期“确保信息和信息系统的可用性、完整性、可确保信息和信息系统的可用性、完整性、可认证性、保密性和不可否认性的保护和防范活认证性、保密性和不可否认性的保护和防范活动。它包括了以综合保护、检测、反应能力来动。它包括了以综合保护、检测、反应能力来提供信息系统的恢复。提供信息系统的恢复。”1996年美国国防部（年美国国防部（DoD）国防部令）国防部令S-3600.1典型标志为美国国家安全局制定的信息保障典型标志为美国国家安全局制定的信息保障技术框架（技术框架（IATF）。）。第四阶段：信息保障上世纪90年代后期15保护网络和基础设施主干网络的可用性无线网络安全框架系统互连和虚拟私有网（VPN）信息保障技术框架（信息保障技术框架（IATF）保护网络边界登录保护网络远程访问多级安全保护计算环境终端用户环境系统应用程序的安全支撑性基础设施密钥管理基础设施/公共密钥基础设施（KMI/PKI）检测和响应 保护网络和基础设施信息保障技术框架（IATF）保护网络边界保16本地计算环境本地计算环境本地计算环境viaTSPviaTSP ViaTSPViaTSP有密级的网络专用网电信供应商公共网络INTERNET公共电话网远程访问保护（加密器）边界保护（防火墙等）边界区域支持性基础设施1、检测与响应2、密钥管理基础设施、公钥基础设施通过电信供应商本地计算本地计算本地计算viaviaViaVia有密级的网17深层防御战略的核心因素深层防御战略的核心因素人技术操作深层防御战略的核心因素人技术操作18 深层防御战略的技术模型深层防御战略的技术模型W“PDRR”C 一一一一.对象（两个）对象（两个）对象（两个）对象（两个）信息信息信息信息 信息系统信息系统信息系统信息系统 二二二二.层面（五个）层面（五个）层面（五个）层面（五个）信息内容信息内容信息内容信息内容 应用服务应用服务应用服务应用服务 局域计算环境局域计算环境局域计算环境局域计算环境 边界和外部连接边界和外部连接边界和外部连接边界和外部连接 基础设施基础设施基础设施基础设施 三三三三.信息状态（五个）信息状态（五个）信息状态（五个）信息状态（五个）产生产生产生产生 存储存储存储存储 处理处理处理处理 传输传输传输传输 消亡消亡消亡消亡 四四四四.安全属性（八个安全属性（八个安全属性（八个安全属性（八个+）保密性保密性保密性保密性（ConfidentialityConfidentiality）完整性完整性完整性完整性（IntegrityIntegrity）可用性可用性可用性可用性（AvailabilityAvailability）真实性或可认证性真实性或可认证性真实性或可认证性真实性或可认证性（AuthenticityAuthenticity）不可否认性不可否认性不可否认性不可否认性（Non-Non-repudiationrepudiation）可控性可控性可控性可控性(Controllability)(Controllability)可审查性可审查性可审查性可审查性（AccountabilityAccountability）五五五五.安全保障能力来源（三个）安全保障能力来源（三个）安全保障能力来源（三个）安全保障能力来源（三个）技术技术技术技术 管理管理管理管理 人人人人 六六六六.信息保障的环节（六个）信息保障的环节（六个）信息保障的环节（六个）信息保障的环节（六个）预警（预警（预警（预警（WarningWarningWarningWarning）保护（保护（保护（保护（ProtectProtectProtectProtect）检测（检测（检测（检测（DetectDetectDetectDetect）响应（响应（响应（响应（ReactReactReactReact）恢复（恢复（恢复（恢复（RestoreRestoreRestoreRestore）反击（反击（反击（反击（CounterattackCounterattackCounterattackCounterattack）可靠可靠深层防御战略的技术模型W“PDRR”C 一.对象（19信息安全属性信息安全属性基本属性基本属性保密性保密性-保证机密信息不会泄露给非授权的人或实体，保证机密信息不会泄露给非授权的人或实体，或供其使用；或供其使用；完整性完整性-防止信息被未经授权的篡改，保证真实的信防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿；息从真实的信源无失真地到达真实的信宿；可用性可用性-保证信息及信息系统确实为授权使用者所用，保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能。和规定的时间内完成规定的功能。信息安全属性基本属性20信息安全属性信息安全属性其他属性其他属性真实性真实性-能对通讯实体身份的真实性进行鉴别；能对通讯实体身份的真实性进行鉴别；可控性可控性-保证信息行为和过程均在信息主体的掌握和保证信息行为和过程均在信息主体的掌握和控制之下依照信息主体的意愿进行；控制之下依照信息主体的意愿进行；可靠性可靠性-保证所传输的信息不属于无用信息；保证所传输的信息不属于无用信息；不可否认性不可否认性-建立有效的责任机制，防止实体否认其建立有效的责任机制，防止实体否认其行为；行为；可审查性可审查性-对出现的网络安全问题提供调查的依据和对出现的网络安全问题提供调查的依据和手段并可追踪到唯一的行为实体；手段并可追踪到唯一的行为实体；信息安全属性其他属性21信息保障技术环节信息保障技术环节预警（预警（Warning）：）：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。的攻击和危害。保护（保护（Protect）：）：采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。可否认性。检测（检测（Detect）：）：利用高技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、利用高技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。病毒泛滥脆弱性。反应（反应（React）：）：对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。蔓延扩大，力求系统尚能提供正常服务。恢复（恢复（Restore）：）：一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。反击（反击（Counterattack）：）：利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。络恐怖主义分子。信息保障技术环节预警（Warning）：22实施安全保障的原则实施安全保障的原则没有绝对的安全没有绝对的安全开放最少服务提供最小权限原则。开放最少服务提供最小权限原则。安全需求平衡安全需求平衡信息安全保障的问题就是安全的效用问题，在解决或预防信信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从经济、技术、管理的可行性和有效性上息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。做出权衡和取舍。防防范范不不足足会会造造成成直直接接的的损损失失；防防范范过过多多又又会会造造成成间间接接的的损损失失。必须根据安全目标审查安全手段。必须根据安全目标审查安全手段。过过分分繁繁杂杂的的安安全全政政策策将将导导致致比比没没有有安安全全政政策策还还要要低低效效的的安安全全。需需要要考考虑虑一一下下安安全全政政策策给给合合法法用用户户带带来来的的影影响响，在在很很多多情情况况下下如如果果用用户户所所感感受受到到的的不不方方便便大大于于所所产产生生的的安安全全上上的的提提高高，则执行的安全策略是实际降低了企业的安全有效性。则执行的安全策略是实际降低了企业的安全有效性。实施安全保障的原则没有绝对的安全23信息安全的目的信息安全的目的打不跨打不跨打不跨打不跨看不懂看不懂看不懂看不懂进不来进不来进不来进不来拿不走拿不走拿不走拿不走改不了改不了改不了改不了跑不了跑不了跑不了跑不了可审查可审查可审查可审查信息安全的目的打不跨看不懂进不来拿不走改不了跑不了可审查24信息安全的基础：风险管理信息安全的基础：风险管理风风险险管管理理：基基于于可可接接受受的的成成本本，对对影影响响信信息息系系统统的的安安全风险进行识别、控制、减小或消除的过程全风险进行识别、控制、减小或消除的过程。信信息息安安全全对对策策必必须须以以风风险险管管理理为为基基础础：安安全全不不必必是是完完美无缺、面面俱到的。但风险必须是能够管理的。美无缺、面面俱到的。但风险必须是能够管理的。最最适适宜宜的的信信息息安安全全策策略略就就是是最最优优的的风风险险管管理理对对策策，这这是一个在有限资源前提下的最优选择问题。是一个在有限资源前提下的最优选择问题。风险管理体系风险管理体系ISO17799：信息安全管理实施细则：信息安全管理实施细则AS/NZS4360 AS/NZS4360：风险管理标准：风险管理标准GAO/AIMD 98-68：信息安全管理实施指南：信息安全管理实施指南信息安全的基础：风险管理风险管理：基于可接受的成本，对影响信25信息安全风险信息安全风险信息安全风险26信息安全风险的定义信息安全风险的定义风险风险遭受损害或损失的可能性。遭受损害或损失的可能性。安全风险安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。（的资产损失或损害的可能性。（ISO/IEC TR 13335-1:1996）信息安全风险信息安全风险是指信息资产的保密性、完整性和可用性等安全属性是指信息资产的保密性、完整性和可用性等安全属性遭到破坏的可能性。遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险的定义风险27风险的四要素风险的四要素资产及其价值资产及其价值威胁威胁脆弱性脆弱性现有的和计划现有的和计划的控制措施的控制措施价值ISO13335 以风险为核心的安全模型以风险为核心的安全模型风险的四要素资产及其价值价值ISO13335以风险为核心的28资产资产资产是任何对组织有价值资产是任何对组织有价值的东西。的东西。信息也是一种资产，对组织具有价值。信息也是一种资产，对组织具有价值。资产的分类资产的分类电子信息资产电子信息资产 纸介资产纸介资产 软件资产软件资产 物理资产物理资产 人员人员 服务性资产服务性资产 公司形象和名誉公司形象和名誉资产资产是任何对组织有价值的东西。29主要的信息资产主要的信息资产终端资源：终端资源：v员工工作站员工工作站v威胁威胁:病毒病毒,木马木马,X Active,applet,X Active,applet网络资源：网络资源：v路由器路由器,交换机交换机,线缆线缆v威胁威胁:IP spoofing,system snooping:IP spoofing,system snooping服务器资源服务器资源：vDNS,WEB,Email,FTP server etcDNS,WEB,Email,FTP server etcv威胁威胁:非授权访问非授权访问,服务中断服务中断,木马木马信息存储资源：信息存储资源：v人力资源和电子商务数据库人力资源和电子商务数据库v威胁威胁:获取商业机密或用户数据获取商业机密或用户数据主要的信息资产终端资源：30威胁威胁威胁是可能导致信息安全事故和组织信息资产损失的活动。威胁是可能导致信息安全事故和组织信息资产损失的活动。威胁是利用脆弱性来造成后果。威胁是利用脆弱性来造成后果。威胁举例威胁举例黑客入侵和攻击黑客入侵和攻击病毒和其他恶意程序病毒和其他恶意程序软硬件故障软硬件故障人为误操作人为误操作自然灾害如：地震、火灾、爆炸等自然灾害如：地震、火灾、爆炸等盗窃盗窃网络监听网络监听供电故障供电故障未授权访问未授权访问威胁威胁是可能导致信息安全事故和组织信息资产损失的活动。31脆弱性脆弱性是与信息资产有关的弱点或安全隐患。是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。足时，脆弱性会被威胁加以利用来对信息资产造成危害。举例（技术性和非技术性的）：举例（技术性和非技术性的）：系统漏洞系统漏洞程序程序Bug后门后门系统没有进行安全配置系统没有进行安全配置缺少审计缺少审计物理环境不安全物理环境不安全缺乏安全意识缺乏安全意识缺乏专业人员缺乏专业人员不良习惯不良习惯脆弱性是与信息资产有关的弱点或安全隐患。32安全威胁安全威胁物理层面：物理层面：机房、设备间等的设备防盗，防毁机房、设备间等的设备防盗，防毁 机房、设备间的环境保障机房、设备间的环境保障 链路老化，人为破坏，被动物咬断等链路老化，人为破坏，被动物咬断等 网络设备自身故障网络设备自身故障 停电导致网络设备无法工作停电导致网络设备无法工作 电磁干扰和泄漏电磁干扰和泄漏 其他其他安全威胁物理层面：33基本威胁：基本威胁：一）非授权访问：一）非授权访问：一）非授权访问：一）非授权访问：1.1.没有经过同意，就使用网络或计算机资源。没有经过同意，就使用网络或计算机资源。没有经过同意，就使用网络或计算机资源。没有经过同意，就使用网络或计算机资源。2.2.如有意避开系统访问控制机制，对网络设备及资源进行如有意避开系统访问控制机制，对网络设备及资源进行如有意避开系统访问控制机制，对网络设备及资源进行如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。非正常使用。非正常使用。非正常使用。3.3.2.2.擅自扩大权限，越权访问信息。擅自扩大权限，越权访问信息。擅自扩大权限，越权访问信息。擅自扩大权限，越权访问信息。4.4.如假冒、身份攻击、非法用户进入网络系统进行违法操如假冒、身份攻击、非法用户进入网络系统进行违法操如假冒、身份攻击、非法用户进入网络系统进行违法操如假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。作、合法用户以未授权方式进行操作等。作、合法用户以未授权方式进行操作等。作、合法用户以未授权方式进行操作等。安全威胁安全威胁基本威胁：安全威胁34基本威胁：基本威胁：二）信息泄露：二）信息泄露：二）信息泄露：二）信息泄露：1.1.敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去敏感数据在有意或无意中被泄漏出去。2.2.如如如如信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推对信息流向、流量、通信频度和长度等参数的分析，推对信息流向、流量、通信频度和长度等参数的分析，推对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。）出有用信息；猜测用户口令、帐号等重要信息。）出有用信息；猜测用户口令、帐号等重要信息。）出有用信息；猜测用户口令、帐号等重要信息。）2.2.信息在存储介质中丢失或泄漏。信息在存储介质中丢失或泄漏。信息在存储介质中丢失或泄漏。信息在存储介质中丢失或泄漏。如通过建立隐蔽隧道等窃取敏感信息等。如通过建立隐蔽隧道等窃取敏感信息等。如通过建立隐蔽隧道等窃取敏感信息等。如通过建立隐蔽隧道等窃取敏感信息等。安全威胁安全威胁基本威胁：安全威胁35基本威胁：基本威胁：三）破坏数据完整性：三）破坏数据完整性：三）破坏数据完整性：三）破坏数据完整性：1.1.以非法手段窃得对数据的使用权，删除、修改、插入或重以非法手段窃得对数据的使用权，删除、修改、插入或重以非法手段窃得对数据的使用权，删除、修改、插入或重以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应。发某些重要信息，以取得有益于攻击者的响应。发某些重要信息，以取得有益于攻击者的响应。发某些重要信息，以取得有益于攻击者的响应。2.2.恶意添加，修改数据，以干扰用户的正常使用。恶意添加，修改数据，以干扰用户的正常使用。恶意添加，修改数据，以干扰用户的正常使用。恶意添加，修改数据，以干扰用户的正常使用。安全威胁安全威胁基本威胁：安全威胁36基本威胁：基本威胁：四）拒绝服务攻击四）拒绝服务攻击四）拒绝服务攻击四）拒绝服务攻击1.1.不断对网络服务系统进行干扰，改变其正常的作业流程。不断对网络服务系统进行干扰，改变其正常的作业流程。不断对网络服务系统进行干扰，改变其正常的作业流程。不断对网络服务系统进行干扰，改变其正常的作业流程。2.2.执行无关程序使系统响应减慢甚至瘫痪，影响正常用户执行无关程序使系统响应减慢甚至瘫痪，影响正常用户执行无关程序使系统响应减慢甚至瘫痪，影响正常用户执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络的使用，甚至使合法用户被排斥而不能进入计算机网络的使用，甚至使合法用户被排斥而不能进入计算机网络的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。系统或不能得到相应的服务。系统或不能得到相应的服务。系统或不能得到相应的服务。安全威胁安全威胁基本威胁：安全威胁37主要可实现的威胁：主要可实现的威胁：假冒假冒假冒假冒 某个实体（人或系统）假装成另外一个不同的实体。这是渗入某个安全防某个实体（人或系统）假装成另外一个不同的实体。这是渗入某个安全防某个实体（人或系统）假装成另外一个不同的实体。这是渗入某个安全防某个实体（人或系统）假装成另外一个不同的实体。这是渗入某个安全防线的最为通用的方法。线的最为通用的方法。线的最为通用的方法。线的最为通用的方法。旁路控制旁路控制旁路控制旁路控制 为了获得未授权的权利和特权，某个攻击者会发掘系统的缺陷或安全上的为了获得未授权的权利和特权，某个攻击者会发掘系统的缺陷或安全上的为了获得未授权的权利和特权，某个攻击者会发掘系统的缺陷或安全上的为了获得未授权的权利和特权，某个攻击者会发掘系统的缺陷或安全上的脆弱之处。脆弱之处。脆弱之处。脆弱之处。授权侵犯授权侵犯授权侵犯授权侵犯 被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它未被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它未被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它未被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它未授权目的，也称作授权目的，也称作授权目的，也称作授权目的，也称作“内部威胁内部威胁内部威胁内部威胁”。特洛伊木马特洛伊木马特洛伊木马特洛伊木马 软件中含有一个觉察不出的或无害的程序段，当它被执行时，会破坏用户软件中含有一个觉察不出的或无害的程序段，当它被执行时，会破坏用户软件中含有一个觉察不出的或无害的程序段，当它被执行时，会破坏用户软件中含有一个觉察不出的或无害的程序段，当它被执行时，会破坏用户的安全性。的安全性。的安全性。的安全性。陷门陷门陷门陷门 在某个系统或某个文件中设置的在某个系统或某个文件中设置的在某个系统或某个文件中设置的在某个系统或某个文件中设置的“机关机关机关机关”，使得当提供特定的输入数据时，使得当提供特定的输入数据时，使得当提供特定的输入数据时，使得当提供特定的输入数据时，允许违反安全策略。允许违反安全策略。允许违反安全策略。允许违反安全策略。安全威胁安全威胁主要可实现的威胁：安全威胁38安全威胁安全威胁潜在的威胁潜在的威胁如果在某个给定环境对任何一种基本威胁或者主要的如果在某个给定环境对任何一种基本威胁或者主要的可实现威胁进行分析，我们就能够发现某些特定的潜可实现威胁进行分析，我们就能够发现某些特定的潜在威胁，而任意一种潜在威胁都可能导致一些更基本在威胁，而任意一种潜在威胁都可能导致一些更基本的威胁的发生。的威胁的发生。举例举例 窃听：窃听：信息从被监视的通信过程中泄露出去信息从被监视的通信过程中泄露出去 业务流分析：业务流分析：通过对通信业务流模式（有，无，数量，方向，频率）通过对通信业务流模式（有，无，数量，方向，频率）的分析来将信息泄露给非授权个体的一种情报信息窃取方法；的分析来将信息泄露给非授权个体的一种情报信息窃取方法；人员疏忽：人员疏忽：作为主体的人因为疏忽大意而导致的信息泄露事件；作为主体的人因为疏忽大意而导致的信息泄露事件；媒体清理：媒体清理：通过对数据所依赖的媒体的分析而获得信息。通过对数据所依赖的媒体的分析而获得信息。安全威胁潜在的威胁39黑客攻击黑客攻击黑客攻击40什么是黑客什么是黑客通过网络通过网络,利用系统中的一些漏洞和缺陷利用系统中的一些漏洞和缺陷,对计算对计算机系统进行入侵的人机系统进行入侵的人hacker与与cracker:Hacker Cracker,但对于大但对于大众众,hacker 即即 cracker可能的攻击者（可能的攻击者（cracker）计算机黑客（计算机黑客（hacker）不满或者被解雇的雇员不满或者被解雇的雇员极端危险的罪犯极端危险的罪犯工业、企业间谍工业、企业间谍对攻击技术好奇的人对攻击技术好奇的人。什么是黑客通过网络,利用系统中的一些漏洞和缺陷,对计算机系41攻击的一般过程攻击的一般过程第一步：信息探测第一步：信息探测寻找目标，获取信息寻找目标，获取信息第二步：进入系统第二步：进入系统获得初始的访问权限获得初始的访问权限 第三步：权限提升第三步：权限提升获得更获得更/最高访问权限最高访问权限第四步：深入攻击第四步：深入攻击攻击其他系统攻击其他系统/擦除痕擦除痕迹迹/留下后门留下后门第五步：拒绝服务第五步：拒绝服务入侵未成功则造成拒入侵未成功则造成拒绝服务绝服务攻击的一般过程第一步：信息探测寻找目标，获取信息42信息探测一般是入侵过程的开始，任何有信息探测一般是入侵过程的开始，任何有头脑的攻击者在尝试获取访问目标系统的头脑的攻击者在尝试获取访问目标系统的特权之前，都要预先进行工作量可能不少特权之前，都要预先进行工作量可能不少的研究，如对网络内部或外部进行有意或的研究，如对网络内部或外部进行有意或无意的可攻击目标的搜寻（踩点、扫描）。无意的可攻击目标的搜寻（踩点、扫描）。信息探测的目的信息探测的目的确定目标的确定目标的确定目标的确定目标的IPIP或域名或域名或域名或域名确定目标操作系统类型和版本确定目标操作系统类型和版本确定目标操作系统类型和版本确定目标操作系统类型和版本确定目标系统提供的服务确定目标系统提供的服务确定目标系统提供的服务确定目标系统提供的服务端口信息端口信息端口信息端口信息攻击的一般过程攻击的一般过程1：信息探测：信息探测信息探测一般是入侵过程的开始，任何有头脑的攻击者在尝试获取访43信息探测的手法信息探测的手法利用公开信息利用公开信息网络拓扑发现（如网络拓扑发现（如ping、traceroute、firewalk）端口扫描（如端口扫描（如nmap）远程操作系统识别（如远程操作系统识别（如banner grab、nmap OS指纹指纹鉴别）鉴别）SNMP 扫描（如扫描（如snmputil）漏洞扫描（如漏洞扫描（如Nessus、商业扫描器）、商业扫描器）手工漏洞挖掘（如手工漏洞挖掘（如SQL注入）注入）社会工程社会工程攻击的一般过程攻击的一般过程1：信息探测：信息探测信息探测的手法攻击的一般过程1：信息探测44tracerouteTraceroute使我们知道数据包由出发点（source）到达目的地(destination)所走的路径。Traceroute通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备Traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称（如有的话）及其IP地址。在UNIX系统下为Traceroute，在Windows系统下为Tracerert。C:T204.71.200.75overamaximumof30hops:1161ms150ms160ms202.99.38.672151ms160ms160ms202.99.38.653151ms160ms150ms202.97.16.1704151ms150ms150ms202.97.17.905151ms150ms150ms202.97.10.56151ms150ms150ms202.97.9.97761ms761ms752msborder7-serial3-0-0.S204.70.122.698751ms751ms*core2-fddi-0.S204.70.164.499762ms771ms751msborder8-fddi-0.S204.70.164.6710721ms*741msglobalcenter.S204.70.123.611*761ms751mspos4-2-155M.cr2.SNV206.132.150.23712771ms*771mspos1-0-2488M.hr8.SNV206.132.254.4113731ms741ms751msbas1r-ge3-0-204.71.200.75Tracecomplete.tracerouteTraceroute使我们知道数据包由出45NMapNMap（NetworkMapper）是Linux下的网络扫描和嗅探工具包。其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。此外还可以将所有探测结果记录到各种格式的日志中，供进一步分析操作。Nmap可用于扫描含有2个节点的LAN，直至500个节点以上的网络。Nmap还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操作可以满足一般需求。示例：适用于内外网的探测，以内网操作为示例(外网参数同)简单端口扫描：nmap-vv-sT(sS、sF、sU、sA)192.168.0.1-D127.0.0.1（-D伪造的地址)OS检测：nmap-vv-sS-O192.168.0.1RPC鉴别：nmap-sS-sR192.168.0.1Linux上的portmap就是一个简单的RPC服务，监听端口为111（默认）Ping扫射：nmap-sP172.16.15.0/24NMapNMap（NetworkMapper）是Linux46snmp扫描SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）是用于管理IP网络上的结点的一种协议。几乎所有的网络设备和网络操作系统都支持SNMP。communitystring（社团字串）是基于SNMP协议信息通信时使用的一种“查询密码”，当使用特殊的客户端应用程序，通过communitystring的验证，将获得对应的权限（只读或读写)对SNMP中管理信息库（MIB）进行访问。而管理信息库（MIB）中则保存了系统所有的重要信息。很多网络设备厂商以及操作系统厂商，在初始状态下，都使用统一的communitystring“public”。Snmputil命令行方式的SNMP扫描工具snmputilwalk对方ippublic.1.3.6.1.2.1.25.4.2.1.2列出系统进程snmputilwalk对方ippublic.1.3.6.1.4.1.77.1.2.25.1.1列系统用户列表snmputilget对方ippublic.1.3.6.1.4.1.77.1.4.1.0列出域名snmputilwalk对方ippublic.1.3.6.1.2.1.25.6.3.1.2列出安装的软件snmputilwalk对方ippublic.1.3.6.1.2.1.1列出系统信息snmp扫描SNMP（SimpleNetworkMana47漏洞扫描漏洞扫描什么是漏洞扫描漏洞扫描是一种自动检测远程或本地主机安全性弱点的操作。通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP/UDP端口的分配、所提供的服务及其软件版本，能够让我们间接的或直观的了解到远程主机所存在的安全问题。Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件，拥有很好的图形操作界面，能够完成超过1200项的远程安全检查，具有强大的报告输出能力，可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告，并且会为每一个发现的安全问题提出解决建议。漏洞扫描什么是漏洞扫描48攻击者在进行信息探测后确定了在其知识范畴内比较容易实现的攻击目标尝试对象，然后开始对目标主机的技术或管理漏洞进行深入分析和验证，试图获得系统的初始访问权。攻击者常用的手段主要是漏洞校验和口令猜解，如：专用的CGI漏洞扫描工具、登录口令破解等等。一般步骤：1.扫描目标主机。2.检查开放的端口，获得服务软件及版本。3.检查服务是否存在漏洞，如果是，利用该漏洞远程进入系统。4.检查服务软件是否存在脆弱帐号或密码，如果是，利用其进入系统。5.服务软件是否泄露系统敏感信息，如果是，检查能否利用。6.扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。攻击的一般过程攻击的一般过程2：进入系统：进入系统攻击者在进行信息探测后确定了在其知识范畴内比较容易实现的攻击49攻击的一般过程攻击的一般过程3：权限提升：权限提升攻击者成功从原先没有权限的系统获取了一个访问权限从而进入系统，但这个权限可能是受限制的，于是攻击者就会采取各种措施，使得当前的权限得到提升，最理想的就是获得最高权限（如Admin或者Root权限），这样攻击者才能进行深入攻击。这个过程就是权限提升。攻击者常用的手段主要是通过缓冲区溢出的攻击方式。一般步骤：1.检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限(unix)。2.检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限。3.检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限。4.检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限。5.检查配置目录中是否存在敏感信息可以利用。6.检查用户目录中是否存在敏感信息可以利用。7.检查其它目录是否存在可以利用的敏感信息。8.重复以上步骤，直到获得root权限或放弃。攻击的一般过程3：权限提升攻击者成功从原先没有权限的系统获取50攻击的一般过程攻击的一般过程4：深入攻击：深入攻击攻击者通过权限提升后，一般是控制了单台主机，从而独立的入侵过程基本完成。但是，攻击者也会考虑如何将留下的入侵痕迹消除，同时开辟一条新的路径便于日后再次进行更深入地攻击，或者以被控制主机为跳板去攻击网络上其他主机。主要技术手段包括木马植入、日志更改或替换、跳板攻击等等。相关日志对守护进程扫描时留下的日志系统登陆产生的日志文件访问产生的日志更改系统设置留下的日志安装黑客工具留下的日志攻击的一般过程4：深入攻击攻击者通过权限提升后，一般是控制了51攻击的一般过程攻击的一般过程5：拒绝服务：拒绝服务如果目标主机的防范措施比较好，前面的攻击过程可能不起效果。作为部分恶意的攻击者还会采用拒绝服务的攻击方式，模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源，使正常的服务变得非常困难，严重的甚至导致目标主机宕机，从而达到攻击的效果。目前，拒绝服务（DoS）成为非常流行的攻击手段，甚至结合木马程序发展成为分布式拒绝服务攻击（DDoS），其攻击威力更大。常见拒绝服务攻击类型SYN溢出Smurf和FragglePingofdeathLandattack攻击的一般过程5：拒绝服务如果目标主机的防范措施比较好，前面52什么是什么是DoS/DDoS攻击？攻击？攻击者利用因特网上成百上千的攻击者利用因特网上成百上千的“Zombie”(“Zombie”(僵尸僵尸)-)-即被利用主机，对攻击目即被利用主机，对攻击目标发出海量数据包造成动威力巨大的拒绝服标发出海量数据包造成动威力巨大的拒绝服务攻击。务攻击。DenialDenial of Service(DoS)of Service(DoS)拒绝服务攻击拒绝服务攻击Distributed Denial of Service(DDoSDistributed Denial of Service(DDoS)分布式分布式拒绝服务攻击拒绝服务攻击攻击者利用系统自身漏洞或者协议漏洞，攻击者利用系统自身漏洞或者协议漏洞，耗尽可用资源乃至系统崩溃，而无法对合法耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。用户作出响应。Trinoo、TFN、TFN2K和Stacheldraht。常用攻击工具常用攻击工具什么是DoS/DDoS攻击？攻击者利用因特网上成百上千的“Z53DDoS攻击过程攻击过程主控主机主控主机（中间人handler）合法用户合法用户扫描程序扫描程序黑客黑客Internet非安全主机非安全主机被控主机被控主机（代理agent)应用服务器应用服务器服务请求服务请求服务响应服务响应洪流洪流(ICMP Flood/SYN Flood/UDP Flood)DDoS攻击过程主控主机合法用户扫描程序黑客Internet54协议层安全协议层安全协议层安全55OSI 参考模型和参考模型和TCP/IP协议簇协议簇网络设施网络设施操作系统操作系统应用服务应用服务OSI参考模型和TCP/IP协议簇网络设施操作系统应用服务56TCP/IP 和因特网安全和因特网安全The ARPAnet since 1966Internet起于研究项目起于研究项目,安全不是主要的考虑安全不是主要的考虑少量的用户，多是研究人员少量的用户，多是研究人员,可信的用户群体可信的用户群体可靠性可靠性(可用性可用性)、计费、性能、计费、性能、配置、安全、配置、安全网络协议的开放性与系统的通用性网络协议的开放性与系统的通用性目标可访问性，行为可知性目标可访问性，行为可知性攻击工具易用性攻击工具易用性Internet 和和 TCP/IP v4没有考虑安全因素没有考虑安全因素IP v6的设计中考虑了安全因素的设计中考虑了安全因素Internet 没有集中的管理权威和统一的政策没有集中的管理权威和统一的政策安全政策、计费政策、路由政策安全政策、计费政策、路由政策TCP/IP和因特网安全TheARPAnetsince57识别网络通讯中存在的风险识别网络通讯中存在的风险网络监视网络监视网络监视网络监视数据修改数据修改数据修改数据修改身份欺骗身份欺骗身份欺骗身份欺骗中间人劫持中间人劫持中间人劫持中间人劫持 窃取密码窃取密码窃取密码窃取密码识别网络通讯中存在的风险网络监视数据修改身份欺骗中间人劫持58识别与物理网络相关的风险识别与物理网络相关的风险Hub网段网段 1网段网段 1 网段网段1网段网段 2SnifferSniffer所有连接都可见仅网段2通讯可见Switch截取、捕获数据截取、捕获数据网段网段1网段网段2仅允许网段3访问TelnetTelnet网段网段3RouterRouterTelnet Server非法用户远程登录非法用户远程登录识别与物理网络相关的风险Hub网段1网段1网段1网段59物理层安全问题物理层安全问题v对线缆上传输的信号做文章（Compose the signals transmit over the wire）v威胁:搭线窃听&Snifferv防护:数据加密/流量填充（encryption/data labels/traffic padding）优化网络拓扑（交换、VLAN、防火墙）物理层安全问题对线缆上传输的信号做文章（Composeth60网络层安全问题网络层安全问题v提供逻辑地址和路由vIP,ICMP vInternet Protocol(IP)32-bit,unique,identify host头部(20bytes):信息和控制字段威胁:IP spoofing，Smurf attackv网际控制消息协议(ICMP)在IP层检查错误和其它条件。一般的ICMP信息是非常有用的。威胁:（TFN,利用ICMP协议来消耗网络带宽）（Winnuke 发送畸形的ICMP数据包）v保护:firewall,system patch网络层安全问题提供逻辑地址和路由61传输层安全问题传输层安全问题v控制主机之间信息的传输vTCP,UDP 协议vTCP:面向连接的协议（FTP,HTTP,SMTP）flags:SYN,FIN,ACK,PSH,RST,URGEstablishing/Terminating a TCP connectionvTCP 威胁:SYN floodvUDP:面向无连接的协议(Audio,video,TFTP)v端口(IANA)Web(80),FTP(20,21),DNS(53),SNMP(161,162)保留端口(Wellknown ports):BS7799-2:2002），为建立信息安全管理体系必须符合的要求），为建立信息安全管理体系必须符合的要求安全体系（三）：ISMS信息安全管理体系（Informati80ISO17799一、安全方一、安全方针（Security Policy）（）（1,2）（附注）（附注）二、安全二、安全组织（Security Organization）(3,10)三、三、资产分分类与控制与控制(Asset classification and Control)(2,3)四、人四、人员安全安全(Personnel Security)(3,10)五、物理与五、物理与环境安境安全全(Physic and Environment Security)(3,13)六、通信与运行管六、通信与运行管理理(Communication and Operation Management)(7,24)八、系八、系统开开发与与维护(System develop and maintenance)(5,18)七、七、访问控制控制(Access control)(8,31)九、九、业务持持续性管理性管理(Business continuit