網(wǎng)絡安全概述二

2023/6/1512023/6/151內容安排1.4黑客1.5網(wǎng)絡攻擊過程1.6常用的防護措施1.7網(wǎng)絡安全策略及制訂原則1.8網(wǎng)絡安全體系設計1.9小結當前第1頁\共有92頁\編于星期二\13點2023/6/1522.1黑客黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術高明的惡作劇。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。網(wǎng)絡黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術、電子郵件攻擊、通過一個節(jié)點攻擊另一節(jié)點、網(wǎng)絡監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權等。當前第2頁\共有92頁\編于星期二\13點2023/6/153黑客起源起源地：美國精神支柱：對技術的渴求對自由的渴求歷史背景：越戰(zhàn)與反戰(zhàn)活動馬丁·路德金與自由嬉皮士與非主流文化電話飛客與計算機革命中國黑客發(fā)展歷史1998年印尼事件1999年南聯(lián)盟事件綠色兵團南北分拆事件中美五一黑客大戰(zhàn)事件當前第3頁\共有92頁\編于星期二\13點“頭號電腦黑客”--凱文·米特尼克

1964年出生的KevinDavidMitnick，被稱之為世界上“頭號電腦黑客”。他在15歲時就成功破解北美空中防務指揮系統(tǒng)，翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料。不久之后，他又進入了美國著名的“太平洋電話公司”的通信網(wǎng)絡系統(tǒng)。更改了這家公司的電腦用戶，包括一些知名人士的號碼和通訊地址。導致太平洋公司不得不作出賠償。而太平洋電腦公司經(jīng)過相當長時間才明白自己的系統(tǒng)被入侵了。隨后他開始攻擊聯(lián)邦調查局的網(wǎng)絡系統(tǒng)，并成功的進入其中。發(fā)現(xiàn)聯(lián)邦調查局正在調查一名”黑客”，而這個“黑客“正是他自己，但他并未重視。在其后的活動中多次被計算機信息跟蹤機跟蹤，并在16歲時被第一次逮捕，成為全球第一名網(wǎng)絡少年犯。Mitnick隨后并未收手，先后成功入侵了諾基亞、摩托羅拉、升陽以及富士通等公司的計算機，盜取企業(yè)重要資料，給這些公司造成高達4億美元的損失。1994年，Mitnick向圣地亞哥超級計算機中心進行入侵攻擊，并戲弄了聯(lián)邦調查局聘請而來專為緝拿他的被稱為“美國最出色的電腦安全專家”的日裔美籍計算機專家下村勉，并于1995年再次被捕。2001年釋放，2002年徹底自由，開始作為為美國互聯(lián)網(wǎng)雜志專欄作家，以安全專家的身份出現(xiàn)。

當前第4頁\共有92頁\編于星期二\13點2023/6/1552023/6/155黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機為人民服務漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設計新系統(tǒng)打破常規(guī)精研技術勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由當前第5頁\共有92頁\編于星期二\13點2023/6/156常見的黑客攻擊及入侵技術的發(fā)展

19801985199019952000密碼猜測可自動復制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡管理DDOS攻擊2005高當前第6頁\共有92頁\編于星期二\13點2023/6/1572023/6/157攻擊案例：對日網(wǎng)絡攻擊從2003年7月31日晚間開始，國內一批黑客組織按約定對日本政府機關、公司和民間機構網(wǎng)站展開攻擊本次攻擊歷時五天，以宣揚“愛國”精神和發(fā)泄對日不滿情緒為主要目的，通過篡改主頁等技術手段，在一定程度上達到了預期目的，對日本網(wǎng)站造成了某些破壞期間有十幾家日本網(wǎng)站（包括可能是被誤攻擊的韓國、臺灣網(wǎng)站）被攻擊成功，頁面被修改當前第7頁\共有92頁\編于星期二\13點2023/6/158對日網(wǎng)絡攻擊的調查序號攻擊者受害者地址受害者單位備注1云中子www.npa.go.jp日本警察廳官方網(wǎng)站，已于7月31日23點恢復2中國黑鷹聯(lián)盟6SKYNETCorporation日本民間公司3Squall5臺灣中華電信數(shù)據(jù)通信分公司不是日本目標4Skywalker4大王（DAIO）制紙株式會社日本民間公司5中國黑鷹聯(lián)盟49韓國大宇(DAEWOO)INFORMATIONSYSTEMBRENIC不是日本目標6中國菜鳥聯(lián)盟6同2SKYNETCorporation日本民間公司當前第8頁\共有92頁\編于星期二\13點2023/6/159對日網(wǎng)絡攻擊的調查（續(xù)）7雙子情劍49USTK0002-082broadgate日本目標8雪落無聲

andHvTB4KnowledgeNetWorksCo.,Inc.日本目標9雪落無聲78DreamTrainInternetInc.日本目標10網(wǎng)絡失足男孩85NECCorporation日本民間公司11雪落無聲0AIKYUCo.,Ltd日本民間公司12Skywalker4大王（DAIO）制紙株式會社日本民間公司13星火網(wǎng)絡96MatsumuraBussanCorporation日本民間公司當前第9頁\共有92頁\編于星期二\13點2023/6/1510對日網(wǎng)絡攻擊的調查（續(xù)）當前第10頁\共有92頁\編于星期二\13點2023/6/1511攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件2007年11月3日，部分用戶在訪問騰訊迷你首頁網(wǎng)站(http:///)時，會被惡意代碼感染，系統(tǒng)會自動從惡意網(wǎng)站上下載并運行惡意程序。由于該站點為QQ軟件啟動時默認自動彈出，具有極高的訪問量。攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網(wǎng)”主頁域名傳播17種32個計算機木馬病毒，使全國數(shù)百萬網(wǎng)民在訪問“迷你網(wǎng)”主頁，玩?zhèn)髌?、魔獸等網(wǎng)絡游戲時，游戲帳號和密碼被秘密發(fā)送到木馬程序設置的遠程接收服務器上，該團伙迅速盜取帳號和密碼，在網(wǎng)上銷贓套現(xiàn)，銷贓所得按“貢獻”大小分成。不到兩個月時間，馬志松等人就盜竊數(shù)十萬網(wǎng)上用戶的游戲帳號和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網(wǎng)”因停止服務，造成直接損失20余萬元。當前第11頁\共有92頁\編于星期二\13點2023/6/1512攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件（續(xù)）2007年11月19日，無錫市公安局網(wǎng)警支隊接報：當月5日至19日期間，全國部分地區(qū)的互聯(lián)網(wǎng)用戶在訪問深圳市騰訊計算機系統(tǒng)有限公司迷你網(wǎng)主頁時，被錯誤指向到位于無錫市的病毒服務器，造成上百萬網(wǎng)民的電腦受病毒感染，騰訊公司被迫停止網(wǎng)站服務，造成重大經(jīng)濟損失。警方立即開展偵查，于同年12月，分別在四川成都、江蘇張家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。江蘇省公安廳信息網(wǎng)絡安全監(jiān)察部門在馬志松等人使用的電腦硬盤中發(fā)現(xiàn)了用于攻擊網(wǎng)站的破壞性程序。經(jīng)審查，2007年9月底至11月中旬，這一團伙在成都市使用編譯好的劫持程序對上海、重慶、揚州等10余個城市共計27臺域名服務器實施攻擊劫持，借機盜取網(wǎng)絡游戲賬號。法院審理認為，6名被告違反國家規(guī)定，對計算機信息系統(tǒng)功能進行干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重，均已構成破壞計算機信息系統(tǒng)罪。馬志松等6名被告被江蘇無錫濱湖區(qū)法院一審分別判處四年至一年不等有期徒刑。當前第12頁\共有92頁\編于星期二\13點2023/6/15132.2網(wǎng)絡攻擊過程網(wǎng)絡攻擊過程一般可以分為本地入侵和遠程入侵在這里主要介紹遠程攻擊的一般過程：遠程攻擊的準備階段遠程攻擊的實施階段遠程攻擊的善后階段當前第13頁\共有92頁\編于星期二\13點2023/6/1514遠程攻擊的準備階段確定攻擊目標信息收集服務分析系統(tǒng)分析漏洞分析當前第14頁\共有92頁\編于星期二\13點2023/6/1515攻擊準備1—確定攻擊目標攻擊者在進行一次完整的攻擊之前，首先要確定攻擊要達到什么樣的目的，即給受侵者造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標，使之不能正常工作，而不能隨意控制目標上的系統(tǒng)運行。入侵型攻擊——這種攻擊要獲得一定的權限才能達到控制攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因為攻擊者一旦掌握了一定的權限、甚至是管理員權限就可以對目標做任何動作，包括破壞性質的攻擊。當前第15頁\共有92頁\編于星期二\13點2023/6/1516攻擊準備2—信息收集（踩點）利用一切公開的、可利用的信息來調查攻擊目標包括目標的操作系統(tǒng)類型及版本、相關軟件的類型、版本及相關的社會信息包括以下技術低級技術偵察Web搜索Whois數(shù)據(jù)庫域名系統(tǒng)（DNS）偵察當前第16頁\共有92頁\編于星期二\13點低級技術偵察社交工程

在黑客理論中，指利用人性弱點、利用人際交往上的漏洞來非法獲取資料的行為。物理闖入垃圾搜尋你能找出垃圾搜尋的例子嗎？當前第17頁\共有92頁\編于星期二\13點Web搜索搜索一個組織自己的web站點有電話號碼的職員聯(lián)系信息關于公司文化和語言的信息商務伙伴最近的合并和兼并公司正使用的技術使用搜索引擎搜索論壇BBS（電子公告欄）Usenet（新聞組）當前第18頁\共有92頁\編于星期二\13點Whois數(shù)據(jù)庫搜索whois數(shù)據(jù)庫：包括各種關于Internet地址分配、域名和個人聯(lián)系方式的數(shù)據(jù)庫。研究.com,.net,.org域名研究非.com,.net和.org域名國家代碼:教育（.edu):軍事代碼（.mit):政府(.gov):當前第19頁\共有92頁\編于星期二\13點Whois數(shù)據(jù)庫搜索(續(xù))搜索目標域名當前第20頁\共有92頁\編于星期二\13點Whois數(shù)據(jù)庫搜索(續(xù))搜索目標IP美國Internet注冊局：歐洲網(wǎng)絡協(xié)調中心：亞太網(wǎng)絡協(xié)調中心：中國互聯(lián)網(wǎng)絡信息中心：當前第21頁\共有92頁\編于星期二\13點亞太網(wǎng)絡信息中心當前第22頁\共有92頁\編于星期二\13點DNS搜索Nslookup

使用DNS的排錯工具nslookup，你可以利用從whois查詢到的信息偵查更多的網(wǎng)絡情況。例如，使用nslookup命令把你的主機偽裝成secondaryDNS服務器，如果成功便可以要求從主DNS服務器進行區(qū)域傳送。要是傳送成功的話，你將獲得大量有用信息，包括：a)使用此DNS服務器做域名解析到所有主機名和IP地址的映射情況b)公司使用的網(wǎng)絡和子網(wǎng)情況c)主機在網(wǎng)絡中的用途。許多公司使用帶有描述性的主機名，像，和。

當前第23頁\共有92頁\編于星期二\13點DNS搜索使用nslookup實現(xiàn)區(qū)域傳送的過程（1）使用whois命令查詢目標網(wǎng)絡，例如在提示符下輸入whois（2）你會得到目標網(wǎng)絡的primary和slaveDNS服務器的信息。例如，假設主DNS服務器的名字是

（3）使用交互查詢方式，缺省情況下nslookup會使用缺省的DNS服務器作域名解析。鍵入命令server定位目標網(wǎng)絡的DNS服務器；（4）列出目標網(wǎng)絡DNS服務器的內容，如ls。此時DNS服務器會把數(shù)據(jù)傳送給你，當然，管理員可以禁止DNS服務器進行區(qū)域傳送，目前很多公司將DNS服務器至于防火墻的保護之下并嚴格設定了只能向某些主機進行區(qū)域傳送。

一旦你從區(qū)域傳送中獲得了有用信息，你便可以對每臺主機實施端口掃描以確定它們提供了那些服務。如果你不能實現(xiàn)區(qū)域傳送，你還可以借助ping和端口掃描工具，當然還有traceroute。當前第24頁\共有92頁\編于星期二\13點2023/6/1525攻擊準備2—信息收集（踩點）收集目標系統(tǒng)相關信息的協(xié)議和工具Ping實用程序TraceRoute、Tracert、X-firewalk程序Whois協(xié)議Finger協(xié)議SNMP協(xié)議當前第25頁\共有92頁\編于星期二\13點2023/6/1526攻擊準備2—信息收集（踩點）在網(wǎng)絡中主機一般以IP地址進行標識。例如選定這臺主機為攻擊目標，使用ping命令可以探測目標主機是否連接在Internet中。在Windows下使用ping命令測試：測試結果如下頁圖所示。說明此主機處于活動狀態(tài)。當前第26頁\共有92頁\編于星期二\13點2023/6/15網(wǎng)絡入侵與防范講義272023/6/15網(wǎng)絡入侵與防范講義27當前第27頁\共有92頁\編于星期二\13點2023/6/1528攻擊準備3－服務分析（掃描查點分析）探測目標主機所提供的服務、相應端口是否開放、各服務所使用的軟件版本類型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等這類工具的端口掃描或服務掃描功能。舉例：Windows下，開始—運行—cmd輸入：telnet5080，然后回車結果如下頁圖所示，說明這臺主機上運行了http服務，Web服務器版本是IIS5.1當前第28頁\共有92頁\編于星期二\13點2023/6/15網(wǎng)絡入侵與防范講義292023/6/15網(wǎng)絡入侵與防范講義29當前第29頁\共有92頁\編于星期二\13點端口掃描端口掃描類型TCP連接掃描：三次握手TCPSYNTCPFINXma：發(fā)送TCPURG、PSH等TCP空掃描TCPACKFTP跳躍UDPICMP工具：nmap當前第30頁\共有92頁\編于星期二\13點2023/6/1531攻擊準備4－系統(tǒng)分析（掃描查點分析）確定目標主機采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint）例如在Windows下安裝Nmapv4.20掃描工具，此工具含OSDetection的功能（使用-O選項）。打開cmd.exe，輸入命令：nmap–，然后[確定]探測結果如下頁圖所示，說明操作系統(tǒng)是Windows2000SP1、SP2或者SP3當前第31頁\共有92頁\編于星期二\13點2023/6/15網(wǎng)絡入侵與防范講義322023/6/15網(wǎng)絡入侵與防范講義32當前第32頁\共有92頁\編于星期二\13點2023/6/1533攻擊準備5－漏洞分析（掃描查點分析）分析確認目標主機中可以被利用的漏洞手動分析：過程復雜、技術含量高、效率較低借助軟件自動分析：需要的人為干預過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測工具、eEye等專用型漏洞檢測工具等。例如在Windows下使用eEyeSasserScanner對目標主機進行系統(tǒng)漏洞分析。探測結果如下頁圖所示，說明目標主機存在震蕩波漏洞。當前第33頁\共有92頁\編于星期二\13點2023/6/1534當前第34頁\共有92頁\編于星期二\13點2023/6/1535遠程攻擊的實施階段作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權限。攻擊的主要階段包括：預攻擊探測：為進一步入侵提供有用信息口令破解與攻擊提升權限實施攻擊：緩沖區(qū)溢出、拒絕服務、后門、木馬、病毒當前第35頁\共有92頁\編于星期二\13點遠程攻擊常用的攻擊方法第一類：使用應用程序和操作系統(tǒng)的攻擊獲得訪問權基于堆棧的緩沖區(qū)溢出堆棧緩沖區(qū)密碼猜測猜測缺省密碼通過登錄腳本猜測密碼密碼破解

Windows：L0phtCrackunix:： JohntheRipper關鍵：如何獲得密碼文件？當前第36頁\共有92頁\編于星期二\13點遠程攻擊常用的攻擊方法第一類：使用應用程序和操作系統(tǒng)的攻擊獲得訪問權網(wǎng)絡應用程序攻擊收集帳號破壞web應用程序的會話跟蹤猜測會話ID，通過獲取HTML頁面修改后重放修改cookies如果會話ID不能手工修改：Web代理工具AchillesSQLPiggybacking

當前第37頁\共有92頁\編于星期二\13點遠程攻擊常用的攻擊方法第二類：使用網(wǎng)絡攻擊獲得訪問權嗅探IP地址欺騙會話劫持多功能網(wǎng)絡工具攻擊：NetCat當前第38頁\共有92頁\編于星期二\13點遠程攻擊常用的攻擊方法第三類：拒絕服務攻擊殺死進程重新配置系統(tǒng)使進程崩潰填充進程表填充整個文件系統(tǒng)惡意數(shù)據(jù)包攻擊（如Land攻擊，Teardrop攻擊）數(shù)據(jù)包泛洪（SYN泛洪，Smurf，DDoS）本地網(wǎng)絡停止服務消耗資源當前第39頁\共有92頁\編于星期二\13點2023/6/1540遠程攻擊的善后階段入侵成功后，攻擊者為了能長時間地保留和鞏固他對系統(tǒng)的控制權，一般會留下后門。此外，攻擊者為了自身的隱蔽性，須進行相應的善后工作——隱藏蹤跡：攻擊者在獲得系統(tǒng)最高管理員權限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對日志文件中有關自己的那部分作修改，關于修改方法的細節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別，網(wǎng)絡上有許多此類功能的程序。當前第40頁\共有92頁\編于星期二\13點維護訪問權木馬（TrojanHorse）.......后門（Backdoor）RootKits:修改系統(tǒng)命令甚至內核dufindlsIfconfignetstatps當前第41頁\共有92頁\編于星期二\13點掩蓋蹤跡和隱藏安裝RootKits或者backdoor修改事件日志W(wǎng)indows：*.evt工具：winzapper,ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog當前第42頁\共有92頁\編于星期二\13點掩蓋蹤跡和隱藏（續(xù)）利用秘密通道技術來隱藏證據(jù)隧道技術loki：ICMP隧道VanHauser：HTTP隧道隱蔽通道（CovertChannel）利用IP或者利用tcp頭IPidentifierTCPSequencenumberTCPacknumber工具：Covert_TCP當前第43頁\共有92頁\編于星期二\13點2023/6/1544入侵系統(tǒng)的常用步驟

采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權限提升為最高權限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的當前第44頁\共有92頁\編于星期二\13點2023/6/1545較高明的入侵步驟

端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途當前第45頁\共有92頁\編于星期二\13點2.2網(wǎng)絡攻擊過程黑客入侵的一般完整模式為：

隱藏自己→踩點→掃描→查點→分析并入侵→獲取權限→擴大范圍→安裝后門→清除日志并隱身

黑客入侵行為可以用模型圖表示如下：當前第46頁\共有92頁\編于星期二\13點黑客入侵的一般流程當前第47頁\共有92頁\編于星期二\13點CaseStudySourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當前第48頁\共有92頁\編于星期二\13點CaseStudyStep1：尋找跳離點跳離點（前蘇聯(lián)）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當前第49頁\共有92頁\編于星期二\13點CaseStudy跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當前第50頁\共有92頁\編于星期二\13點CaseStudyStep2：搜索MonstrousSoftware跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware當前第51頁\共有92頁\編于星期二\13點CaseStudyStep3：發(fā)送帶病毒的、有吸引人的垃圾郵件SourceCodeDB跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公MonstrousSoftwareSPAM當前第52頁\共有92頁\編于星期二\13點CaseStudyStep3：發(fā)送帶病毒的、有吸引人的垃圾郵件跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware下載電子郵件VPN當前第53頁\共有92頁\編于星期二\13點CaseStudyStep4：下載病毒代碼跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware下載木馬后門當前第54頁\共有92頁\編于星期二\13點CaseStudyStep5：木馬后門利用VPN搜索windows共享跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門VPN當前第55頁\共有92頁\編于星期二\13點CaseStudyStep6：上傳病毒代碼，并替換為notepad等程序跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門VPN木馬后門木馬后門當前第56頁\共有92頁\編于星期二\13點CaseStudyStep7：回傳口令信息跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門NetcatL0phCrackNetcat木馬后門木馬后門當前第57頁\共有92頁\編于星期二\13點CaseStudyStep8：利用隱蔽信道傳送命令和解密口令SourceCodeDB跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公MonstrousSoftware木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務網(wǎng)站Netcat木馬后門木馬后門當前第58頁\共有92頁\編于星期二\13點CaseStudyStep9：利用破解后的口令建立VPN連接，并掃描網(wǎng)絡SourceCodeDBMonstrousSoftware跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務網(wǎng)站NetcatVPN木馬后門木馬后門當前第59頁\共有92頁\編于星期二\13點CaseStudyStep10：回傳源代碼SourceCodeDBMonstrousSoftware跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務網(wǎng)站NetcatVPN木馬后門木馬后門源代碼Main(){....}當前第60頁\共有92頁\編于星期二\13點2023/6/15612023/6/15612.3常用的防護措施我們怎么辦？當前第61頁\共有92頁\編于星期二\13點2023/6/15622023/6/1562個人用戶防護措施

加密重要文件防火墻定期升級補丁殺毒軟件定期升級和殺毒定期備份系統(tǒng)或重要文件防護措施當前第62頁\共有92頁\編于星期二\13點2023/6/15632023/6/1563防止黑客入侵關閉不常用端口關閉不常用程序和服務及時升級系統(tǒng)和軟件補丁發(fā)現(xiàn)系統(tǒng)異常立刻檢查當前第63頁\共有92頁\編于星期二\13點2023/6/1564常用的防護措施完善安全管理制度采用訪問控制措施運行數(shù)據(jù)加密措施數(shù)據(jù)備份與恢復當前第64頁\共有92頁\編于星期二\13點世界第一黑客提出的個人計算機安全十大建議

●備份資料。記住你的系統(tǒng)永遠不會是無懈可擊的，災難性的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蠕蟲或一只木馬就已足夠?！襁x擇很難猜的密碼。不要沒有腦子地填上幾個與你有關的數(shù)字，在任何情況下，都要及時修改默認密碼。●安裝殺毒軟件，并讓它每天更新升級。●及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補丁，并及時安裝應用?！癫挥秒娔X時候千萬別忘了斷開網(wǎng)線和電源。當前第65頁\共有92頁\編于星期二\13點世界第一黑客提出的個人計算機安全十大建議

●在IE或其它瀏覽器中會出現(xiàn)一些黑客釣魚，對此要保持清醒，拒絕點擊，同時將電子郵件客戶端的自動腳本功能關閉?！裨诎l(fā)送敏感郵件時使用加密軟件，也可用加密軟件保護你的硬盤上的數(shù)據(jù)。●安裝一個或幾個反間諜程序，并且要經(jīng)常運行檢查。使用個人防火墻并正確設置它，阻止其它計算機、網(wǎng)絡和網(wǎng)址與你的計算機建立連接，指定哪些程序可以自動連接到網(wǎng)絡。●關閉所有你不使用的系統(tǒng)服務，特別是那些可以讓別人遠程控制你的計算機的服務，如RemoteDesktop、RealVNC和NetBIOS等。●保證無線連接的安全。在家里，可以使用無線保護接入WPA和至少20個字符的密碼。正確設置你的筆記本電腦，不要加入任何網(wǎng)絡，除非它使用WPA。要想在一個充滿敵意的因特網(wǎng)世界里保護自己，的確是一件不容易的事。你要時刻想著，在地球另一端的某個角落里，一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會成為這些網(wǎng)絡入侵者的下一個犧牲品。當前第66頁\共有92頁\編于星期二\13點2023/6/15672023/6/15672.4網(wǎng)絡安全策略及制訂原則安全策略，是針對那些被允許進入某一組織、可以訪問網(wǎng)絡技術資源和信息資源的人所規(guī)定的、必須遵守的規(guī)則。即：網(wǎng)絡管理部門根據(jù)整個計算機網(wǎng)絡所提供的服務內容、網(wǎng)絡運行狀況、網(wǎng)絡安全狀況、安全性需求、易用性、技術實現(xiàn)所付出的代價和風險、社會因素等許多方面因素，所制定的關于網(wǎng)絡安全總體目標、網(wǎng)絡安全操作、網(wǎng)絡安全工具、人事管理等方面的規(guī)定。當前第67頁\共有92頁\編于星期二\13點2023/6/15682023/6/1568制定安全策略的目的決定一個組織機構怎樣保護自己闡明機構安全政策的總體思想讓所有用戶、操作人員和管理員清楚，為了保護技術和信息資源所必須遵守的原則。提供一個可以獲得、能夠配置和檢查的用于確定是否與計算機和網(wǎng)絡系統(tǒng)的策略一致的基準當前第68頁\共有92頁\編于星期二\13點2023/6/15692023/6/1569安全策略的必要性網(wǎng)絡管理員在作安全策略時的依據(jù)在很大程度上取決于網(wǎng)絡運行過程中的安全狀況，網(wǎng)絡所提供的功能以及網(wǎng)絡的易用程度。安全策略應以要實現(xiàn)目標為基礎，而不能簡單地規(guī)定要檢驗什么和施加什么限制。在確定的安全目標下，應該制定如何有效地利用所有安全工具的策略。當前第69頁\共有92頁\編于星期二\13點2023/6/15702023/6/1570安全策略的必要性(2)檢測響應防護PPDR模型檢測響應防護策略強調了策略的核心作用強調了檢測、響應、防護的動態(tài)性檢測、響應、防護必須遵循安全策略進行當前第70頁\共有92頁\編于星期二\13點2023/6/1571制訂安全策略的基本原則適用性原則可行性原則動態(tài)性原則簡單性原則系統(tǒng)性原則當前第71頁\共有92頁\編于星期二\13點2023/6/15722023/6/1572適用性原則安全策略是在一定條件下采取的安全措施，必須與網(wǎng)絡的實際應用環(huán)境相結合。網(wǎng)絡的安全管理是一個系統(tǒng)化的工作，因此在制定安全策略時，應全面考慮網(wǎng)絡上各類用戶、設備等情況，有計劃有準備地采取相應的策略，任何一點疏忽都會造成整個網(wǎng)絡安全性的降低。當前第72頁\共有92頁\編于星期二\13點2023/6/15732023/6/1573可行性原則安全管理策略的制定還要考慮資金的投入量，因為安全產(chǎn)品的性能一般是與其價格成正比的，所以要適合劃分系統(tǒng)中信息的安全級別，并作為選擇安全產(chǎn)品的重要依據(jù)，使制定的安全管理策略達到成本和效益的平衡。當前第73頁\共有92頁\編于星期二\13點2023/6/15742023/6/1574動態(tài)性原則安全管理策略有一定的時限性，不能是一成不變的。由于網(wǎng)絡用戶在不斷地變化，網(wǎng)絡規(guī)模在不斷擴大，網(wǎng)絡技術本身的發(fā)展變化也很快，而安全措施是防范性的，所以安全措施也必須隨著網(wǎng)絡發(fā)展和環(huán)境的變化而變化。當前第74頁\共有92頁\編于星期二\13點2023/6/15752023/6/1575簡單性原則網(wǎng)絡用戶越多，網(wǎng)絡管理人員越多，網(wǎng)絡拓撲越復雜，采用網(wǎng)絡設備種類和軟件種類越多，網(wǎng)絡提供的服務和捆綁越多，出現(xiàn)安全漏洞的可能性就越大。因此制定的安全管理策略越簡單越好，如簡化授權用戶的注冊過程等。當前第75頁\共有92頁\編于星期二\13點2023/6/15762023/6/1576系統(tǒng)性原則網(wǎng)絡的安全管理是一個系統(tǒng)化的工作，因此在制定安全管理策略時，應全面考慮網(wǎng)絡上各類用戶，各種設備，各種情況，有計劃有準備地采取相應的策略，任何一點疏忽都會造成整個網(wǎng)絡安全性的降低。當前第76頁\共有92頁\編于星期二\13點2023/6/15772023/6/1577安全策略的特點所有有效的安全策略都至少具備以下特點：發(fā)布——必須通過系統(tǒng)正常管理程序，采用合適的標準出版物或其他適當?shù)姆绞絹戆l(fā)布。強制執(zhí)行——在適當?shù)那闆r下，必須能夠通過安全工具來實現(xiàn)其強制實施，并在技術確定不能滿足要求的情況下強迫執(zhí)行。人員責任規(guī)定——必須明確規(guī)定用戶、系統(tǒng)管理員和公司管理人員等各類人員的職責范圍和權限。當前第77頁\共有92頁\編于星期二\13點2023/6/15782.5網(wǎng)絡安全體系設計2.5.1網(wǎng)絡安全體系層次2.5.2網(wǎng)絡安全體系設計準則當前第78頁\共有92頁\編于星期二\13點2023/6/15792.5.1網(wǎng)絡安全體系層次作為全方位的、整體的網(wǎng)絡安全防范體系也是分層次的，不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡的應用現(xiàn)狀情況和網(wǎng)絡的結構，安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全和安全管理。當前第79頁\共有92頁\編于星期二\13點2023/6/1580物理層安全物理環(huán)境的安全性。包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質），軟硬件設備安全性（替換設備、拆卸設備、增加設備），設備的備份，防災害能力、防干擾能力，設備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。當前第80頁\共有92頁\編于星期二\13點2023/6/1581系統(tǒng)層安全該層次的安全問題來自網(wǎng)絡內使用的操作系統(tǒng)的安全，如WindowsNT，Windows2000等。主要表現(xiàn)在三方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等。二是對操作系統(tǒng)的安全配置問題。三是病毒對操作系統(tǒng)的威脅。當前第81頁\共有92頁\編于星期二\13點2023/6/1582網(wǎng)絡層安全該層次的安全問題主要體現(xiàn)在網(wǎng)絡方面的安全性，包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡設施防病毒等。當前第82頁\共有92頁\編于星期二\13點2023/6/1583應用層安全該層次的安全問題主要由提供服務所采用的應用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對系統(tǒng)的威脅。當前第83頁\共有92頁\編于星期二\13點2023/6/1584管理層安全安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度