信息安全體系培訓(xùn)材料

平安體系知識要點(diǎn)OSI模型及TCP/IP協(xié)議簇；主要網(wǎng)絡(luò)平安協(xié)議和機(jī)制；網(wǎng)絡(luò)平安特性；網(wǎng)絡(luò)體系結(jié)構(gòu)；影響網(wǎng)絡(luò)平安的主要因素；網(wǎng)絡(luò)平安常見防護(hù)措施；主機(jī)平安技術(shù)；數(shù)據(jù)庫平安技術(shù)；應(yīng)用系統(tǒng)平安技術(shù)；大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議某運(yùn)營商充值卡被盜平安小貼士：加強(qiáng)第三方帳號管理典型平安事件回放典型平安事件回放某運(yùn)營商門戶網(wǎng)站被黑08年磁碟機(jī)〔千足蟲〕07年熊貓燒香06年震蕩波05年阻擊波平安事件回放平安小貼士：殺〔防〕毒軟件不可少一個主機(jī)感染SQL

Slammer病毒導(dǎo)致整個網(wǎng)絡(luò)中斷平安事件回放平安小貼士：殺〔防〕毒軟件不可少網(wǎng)銀大盜假工行網(wǎng)站網(wǎng)吧QQ號被竊取廈門網(wǎng)上水貨案平安事件回放平安小貼士：時刻警惕“網(wǎng)絡(luò)釣魚〞AV終結(jié)者M(jìn)SN機(jī)器人平安事件回放平安小貼士：不下載來路不明軟件及程序物理平安相關(guān)平安小貼士：做好災(zāi)備，保證業(yè)務(wù)連續(xù)性；平安事件回放社會工程學(xué)騙取充值滲透測試案例平安小貼士：時刻提高平安意識；平安事件回放系統(tǒng)漏洞導(dǎo)致的損失2004年，Mydoom所造成的經(jīng)濟(jì)損失已經(jīng)到達(dá)261億美元。2005年，Nimda電腦病毒在全球各地侵襲了830萬部電腦，總共造成5億9000萬美元的損失。2006年，美國聯(lián)邦調(diào)查局公布報告估計：“僵尸網(wǎng)絡(luò)〞、蠕蟲、特洛伊木馬等電腦病毒給美國機(jī)構(gòu)每年造成的損失達(dá)119億美元。2007年熊貓燒香造成巨大損失。2021年磁碟機(jī)造成熊貓燒香10倍損失。大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議信息平安現(xiàn)狀信息平安的概述從歷史的角度看平安信息平安背景趨勢什么是信息平安歐共體對信息平安的定義：網(wǎng)絡(luò)與信息平安可被理解為在既定的密級條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危及所存儲或傳輸?shù)竭_(dá)數(shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的效勞的可用性、真實性、完整性和保密性。我國平安保護(hù)條例的平安定義：計算機(jī)信息系統(tǒng)的平安保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施〔含網(wǎng)絡(luò)〕的平安，運(yùn)行環(huán)境的平安，保障信息的平安，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的平安運(yùn)行。◆信息平安的定義CIA？？？信息平安的特征〔CIA〕ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在平安方面三個特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。平安的根本要求完整性：〔Integrity〕擁有的信息是否正確；保證信息從真實的信源發(fā)往真實的信宿，傳輸、存儲、處理中未被刪改、增添、替換。機(jī)密性：〔Confidentiality〕誰能擁有信息，保證國家秘密和敏感信息僅為授權(quán)者享有可用性：〔Availability〕信息和信息系統(tǒng)是否能夠使用保證信息和信息系統(tǒng)隨時可為授權(quán)者提供效勞而不被非授權(quán)者濫用?？煽匦裕骸睠ontrollability〕是否能夠監(jiān)控管理信息和系統(tǒng)保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。不可否認(rèn)性：〔Non-repudiation〕為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。相對性：沒有百分百的平安綜合性：涉及管理及技術(shù)多個層面單一性：網(wǎng)絡(luò)平安產(chǎn)品功能相對單一動態(tài)性：技術(shù)跟進(jìn)和維護(hù)支持的重要性管理難度大平安特征

信息平安現(xiàn)狀信息平安的概述從歷史的角度看平安信息平安背景趨勢第一階段：通信保密上世紀(jì)40年代－70年代重點(diǎn)是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的保密性與完整性主要平安威脅是搭線竊聽、密碼學(xué)分析主要保護(hù)措施是加密第二階段：計算機(jī)平安上世紀(jì)70－80年代重點(diǎn)是確保計算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸?shù)男畔⒌臋C(jī)密性、完整性和可控性主要平安威脅擴(kuò)展到非法訪問、惡意代碼、脆弱口令等主要保護(hù)措施是平安操作系統(tǒng)設(shè)計技術(shù)〔TCB〕第三階段：信息系統(tǒng)平安上世紀(jì)90年代以來重點(diǎn)需要保護(hù)信息，確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性。主要平安威脅開展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等VPN虛擬專用網(wǎng)防火墻內(nèi)容檢測防病毒入侵檢測第四階段：信息平安保障人，借助技術(shù)的支持，實施一系列的操作過程，最終實現(xiàn)信息保障目標(biāo)。信息平安現(xiàn)狀信息平安的概述從歷史的角度看平安信息平安背景趨勢系統(tǒng)漏洞多，容易被攻擊，被攻擊時很難發(fā)現(xiàn)；有組織有方案的入侵無論在數(shù)量上還是在質(zhì)量上都呈現(xiàn)快速增長趨勢；病毒蠕蟲泛濫。攻擊工具化。有制度、措施、標(biāo)準(zhǔn)，大局部流于形式，缺乏平安宣傳教育?！粜畔⑾到y(tǒng)平安領(lǐng)域存在的挑戰(zhàn)信息平安背景趨勢新一代惡意代碼〔蠕蟲、木馬〕2002信息平安背景趨勢◆黑客攻擊技術(shù)多種攻擊技術(shù)的融合

攻擊工具體系化信息平安背景趨勢信息平安背景趨勢

黑客大聚會信息平安背景趨勢

攻擊經(jīng)驗切磋誰會攻擊我們？信息平安面臨威脅分析國家由政府主導(dǎo)，有很好的組織和充足的財力；利用國外的服務(wù)引擎來收集來自被認(rèn)為是敵對國的信息黑客攻擊網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)在運(yùn)行系統(tǒng)中的弱點(diǎn)或其它錯誤的一些個人恐怖分子/計算機(jī)恐怖分子代表使用暴力或威脅使用暴力以迫使政府或社會同意其條件的恐怖分子或團(tuán)伙有組織的犯罪有協(xié)調(diào)的犯罪行為，包括賭博、詐騙、販毒和許多其它的行為其它犯罪團(tuán)體犯罪社團(tuán)之一，一般沒有好的組織或財力。通常只有很少的幾個人，甚至完全是個人的行為國際媒體向紙業(yè)和娛樂業(yè)的媒體收集并散發(fā)——有時是非授權(quán)的——新聞的組織。包括收集任何時間關(guān)于任何一個人的任意一件新聞工業(yè)競爭者在市場競爭中運(yùn)行的國內(nèi)或國際企業(yè)常以企業(yè)間諜的形式致力于非授權(quán)收集關(guān)于競爭對手或外國政府的信息有怨言的員工懷有危害局域網(wǎng)絡(luò)或系統(tǒng)想法的氣憤、不滿的員工粗心或未受到良好訓(xùn)練的員工那些或因缺乏訓(xùn)練，或因缺乏考慮，或因缺乏警惕的人給信息系統(tǒng)帶來的威脅。這是內(nèi)部威脅與敵人的另一個例子。

威脅來源〔NSA的觀點(diǎn)〕平安威脅分析信息平安的相對性平安沒有100%完美的健康狀態(tài)永遠(yuǎn)也不能到達(dá)；平安工作的目標(biāo)：將風(fēng)險降到最低大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議信息平安建設(shè)的重要性業(yè)務(wù)需求合規(guī)性要求平安影響個人績效大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議結(jié)構(gòu)性平安脆弱性永遠(yuǎn)存在，突破任何防御只是時間問題注重結(jié)構(gòu)平安的動態(tài)信息平安模型，Pt>Dt+Rt〔防護(hù)的時間>檢測的時間＋響應(yīng)的時間〕一個結(jié)構(gòu)性平安的例子：銀行金庫的防護(hù)Pt時間DtRt靜態(tài)脆弱性平安相對被動，而動態(tài)的結(jié)構(gòu)性平安防患未然信息平安技術(shù)防病毒和惡意代碼技術(shù)防火墻技術(shù)與VPN技術(shù)防非法訪問行為技術(shù)密碼技術(shù)和PKI技術(shù)平安域間的訪問控制入侵檢測技術(shù)漏洞掃描技術(shù)平安審計跟蹤技術(shù)防火墻技術(shù)具有阻斷功能的所有技術(shù)災(zāi)難備份恢復(fù)技術(shù)還擊技術(shù)大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議網(wǎng)絡(luò)小組組長a病毒防護(hù)人員IP和機(jī)房管理入侵檢測人員FW管理人員系統(tǒng)小組組長b漏洞彌補(bǔ)人員服務(wù)開關(guān)管理系統(tǒng)運(yùn)行管理設(shè)備進(jìn)出網(wǎng)絡(luò)開發(fā)小組組長c分析設(shè)計文檔編碼測試聯(lián)調(diào)應(yīng)用部署維護(hù)安全設(shè)計文檔CSO經(jīng)理一人與副經(jīng)理制定策略；協(xié)調(diào)本部門的工作；協(xié)調(diào)各職能部門的工作副經(jīng)理二人：審計檢查；實施策略安全專員X人：網(wǎng)絡(luò)小組二人，組長a;系統(tǒng)小組二人，組長b;開發(fā)小組二人，組長c;信息安全部職能部門安全專員X人：每個職能部門一人，如總裁辦、投資銀行等各有一人。職責(zé)：1、在本部門推行、檢察安全策略和制度的執(zhí)行；2、本部門征求并反映本部門建議和意見；3、給出本部門每個員工的安全分?jǐn)?shù)作為獎懲依據(jù)。組織機(jī)構(gòu)示意圖信息平安管理內(nèi)容1.風(fēng)險評估2.平安策略3.物理平安4.設(shè)備管理運(yùn)行管理軟件平安管理7.信息平安管理8.人員平安管理9.應(yīng)用系統(tǒng)平安管理10.操作平安管理11.技術(shù)文檔平安管理12.災(zāi)難恢復(fù)方案13.平安應(yīng)急響應(yīng)信息平安管理的制度IP地址管理制度防火墻管理制度病毒和惡意代碼防護(hù)制度效勞器上線及日常管理制度口令管理制度開發(fā)平安管理制度應(yīng)急響應(yīng)制度制度運(yùn)行監(jiān)督

。。。。。。PDCA循環(huán)：Plan—Do—Check—Act方案實施檢查改進(jìn)PDAC

信息平安管理原那么領(lǐng)導(dǎo)重視√指明方向和目標(biāo)√權(quán)威√預(yù)算保障，提供所需的資源√監(jiān)督檢查√組織保障信息平安管理原那么

全員參與√信息平安不僅僅是IT部門的事；√讓每個員工明白隨時都有信息平安問題；√每個員工都應(yīng)具備相應(yīng)的平安意識和能力；√讓每個員工都明確自己承擔(dān)的信息平安責(zé)任；信息平安管理原那么

文件化√文件的作用：有章可循，有據(jù)可查√文件的類型：手冊、標(biāo)準(zhǔn)、指南、記錄信息平安管理原那么

溝通意圖，統(tǒng)一行動重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查持續(xù)改進(jìn)√信息安全是動態(tài)的，時間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實現(xiàn)信息安全目標(biāo)的循環(huán)活動信息平安管理原那么信息平安工作的目的進(jìn)不來拿不走改不了跑不了看不懂大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議IATF：信息保障技術(shù)框架信息平安相關(guān)標(biāo)準(zhǔn)ISO17799/ISO27001CCSCCISO17799/ISO27001是目前最廣為接受的信息平安管理標(biāo)準(zhǔn)ISO17799:2005〔BS7799-1:1999〕CodeofPracticeforInformationSecurityManagement信息平安管理實施指南 (指導(dǎo)如何進(jìn)行平安管理實踐)ISO27001:2005〔BS7799-2:2002〕SpecificationforInformationSecurityManagementSystem信息平安管理體系標(biāo)準(zhǔn) (建立的信息平安管理體系必須符合的要求)評估標(biāo)準(zhǔn)CC信息產(chǎn)品通用測評準(zhǔn)那么CC(CommonCriteria)/ISO15408ISO/IEC15408旨在支持IT產(chǎn)品和系統(tǒng)中IT平安特征的技術(shù)性評估CC還可以用于描述用戶對平安性的技術(shù)需求CC囊括了平安產(chǎn)品的生命周期〔設(shè)計、生產(chǎn)、使用〕SCC〔信息系統(tǒng)平安評估準(zhǔn)那么〕標(biāo)準(zhǔn)標(biāo)準(zhǔn)共包括四個局部第一局部：簡介和一般模型第二局部：技術(shù)準(zhǔn)那么第三局部：管理準(zhǔn)那么第四局部：工程準(zhǔn)那么第一部分簡介和一般模型第二部分技術(shù)準(zhǔn)則技術(shù)組件技術(shù)架構(gòu)能力級第三部分管理準(zhǔn)則管理組件管理能力級第四部分工程準(zhǔn)則工程組件工程能力級大綱平安事件回放信息平安現(xiàn)狀信息平安建設(shè)的重要性信息平安技術(shù)體系信息平安管理體系信息平安保障體系信息平安防護(hù)措施日常平安習(xí)慣建議TCP/IP簡介TCP/IP代表傳輸控制協(xié)議和網(wǎng)際協(xié)議，除了這兩個重要協(xié)議外，還有許多相關(guān)的協(xié)議和工具，它們組合在一起共同構(gòu)成了TCP/IP協(xié)議集〔協(xié)議?！?。網(wǎng)絡(luò)體系架構(gòu)ISO/OSI參考模型

TCP/IP參考模型應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層TCP/IP協(xié)議棧

HTTPSMTPTELNETDNSSNMPTCPUDPICMPIPIGMPARPRARP應(yīng)用層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層用戶數(shù)據(jù)經(jīng)過協(xié)議棧的封裝過程IP協(xié)議IP:是TCP/IP協(xié)議族中至關(guān)重要的組成局部,但它提供的是一種不可靠、無連接的的數(shù)據(jù)報傳輸效勞。不可靠〔unreliable)：不能保證一個IP數(shù)據(jù)報成功地到達(dá)其目的地。錯誤處理方法：扔掉該數(shù)據(jù)報，向其發(fā)送者傳送一個ICMP消息。無連接〔connectionless)：IP并不維護(hù)關(guān)于連續(xù)發(fā)送的數(shù)據(jù)報的任何狀態(tài)信息。每個數(shù)據(jù)報單獨(dú)處理，在傳送過程中可能出現(xiàn)錯序。MTU鏈路層封裝的幀都有一個大小上的限度,即最大傳輸單元MTU.取自RFC1191的一些典型的MTU,如果IP數(shù)據(jù)報大于鏈路層的MTU,將執(zhí)行分段操作IP地址在互聯(lián)網(wǎng)中，通過IP層軟件提供一種通用的地址格式，在統(tǒng)一管理下進(jìn)行分配，確保一個地址對應(yīng)一臺主機(jī)。通稱IP層所用的地址為互聯(lián)網(wǎng)地址或IP地址。IPV4規(guī)定地址總長32比特，分為5類。特殊意義的IP地址?保存地址，只用于內(nèi)部通信

?主機(jī)號全“0〞全“1〞的地址在TCP/IP協(xié)議中有特殊含義，不能用作一臺主機(jī)的有效地址。 網(wǎng)絡(luò)地址:主機(jī)號所有位都為“０〞的地址表示網(wǎng)絡(luò)本身 回送地址保存做回路loopback)測試，大多數(shù)系統(tǒng)使用ARP?在局域網(wǎng)中，現(xiàn)在用的最多的是以太網(wǎng)協(xié)議。每個以太網(wǎng)卡都有唯一的以太網(wǎng)物理地址。(也叫MAC地址)。ARP解決如何將IP地址翻譯成MAC地址的問題。?ARP地址翻譯通過查地址翻譯表來實現(xiàn)的。ICMP協(xié)議?InternetControlMessageProtocol，本身是IP的一局部 –ICMP報文用于報告在傳輸報文的過程中發(fā)生的各種情況?在IP協(xié)議棧實現(xiàn)TCP數(shù)據(jù)包格式20字節(jié)UDP數(shù)據(jù)包格式TCP連接的三次握手過程TCP的知名端口0保存20FTP-data21FTP-command22SSH23Telnet25SMTP53DNS80WWWHTTP110POP3139NetBIOSUDP的知名端口?0保存?49login?53DNS?69TFTP?80WWWHTTP?110POP3?161SNMP?213IPX?2049NFS信息平安防護(hù)措施常見威脅防護(hù)日常應(yīng)用程序防護(hù)Windows系統(tǒng)防護(hù)數(shù)據(jù)庫平安防護(hù)常見威脅防護(hù)黑客攻擊病毒蠕蟲木馬僵尸網(wǎng)絡(luò)惡意代碼什么是黑客黑客起源的背景起源地：美國精神支柱：對技術(shù)的渴求對自由的渴求歷史背景：越戰(zhàn)與反戰(zhàn)活動馬丁·路德金與自由嬉皮士與非主流文化飛客與計算機(jī)革命平安攻防技術(shù)黑客簡史羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學(xué)生羅伯特·莫里斯制造的這個蠕蟲病毒入侵了大約6000個大學(xué)和軍事機(jī)構(gòu)的計算機(jī)，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆到達(dá)紅色代碼，病毒、蠕蟲的開展愈演愈烈。平安攻防技術(shù)黑客簡史凱文?米特尼克凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是?社會工程學(xué)?的創(chuàng)始人1979年他和他的伙伴侵入了北美空防指揮部。1983年的電影?戰(zhàn)爭游戲?演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn)。平安攻防技術(shù)黑客簡史中國的“黑客文化〞平安攻防技術(shù)黑客簡史中國缺乏歐美撫育黑客文化的土壤缺少龐大的中產(chǎn)階層缺少豐富的技術(shù)積累中國的黑客文化更多帶有“俠〞的色彩俠之大者，為國為民俠之小者，除暴安良中國“黑客〞重要?dú)v史事件1998年印尼事件1999年南聯(lián)盟事件2000年安氏網(wǎng)站被黑事件綠色兵團(tuán)南北分拆事件中美五一黑客大戰(zhàn)事件平安攻防技術(shù)黑客簡史黑客的分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機(jī)為人民效勞漏洞發(fā)現(xiàn)-袁哥等軟件破解-0Day工具提供-Numega白帽子創(chuàng)新者設(shè)計新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳英豪攻擊Yahoo者-匿名惡渴求自由平安攻防技術(shù)黑客簡史2001年中美黑客大戰(zhàn)事件背景和經(jīng)過4.1撞機(jī)事件為導(dǎo)火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內(nèi)站點(diǎn)進(jìn)行攻擊，約300個左右的站點(diǎn)頁面被修改4月下旬，國內(nèi)紅〔黑〕客組織或個人，開始對美國網(wǎng)站進(jìn)行小規(guī)模的攻擊行動，4月26日有人發(fā)表了“五一衛(wèi)國網(wǎng)戰(zhàn)〞戰(zhàn)前聲明，宣布將在5月1日至8日，對美國網(wǎng)站進(jìn)行大規(guī)模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結(jié)束大戰(zhàn)PoizonB0x、pr0phet更改的網(wǎng)頁中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國科學(xué)院心理研究所國內(nèi)某政府網(wǎng)站國內(nèi)某大型商業(yè)網(wǎng)站國內(nèi)黑客組織更改的網(wǎng)站頁面美國勞工部網(wǎng)站美國某節(jié)點(diǎn)網(wǎng)站美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站采用的常用攻擊手法紅客聯(lián)盟負(fù)責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會上對此次攻擊事件的技術(shù)背景說明如下：“我們更多的是一種不滿情緒的發(fā)泄，大家也可以看到被攻破的都是一些小站，大局部都是NT/Win2000系統(tǒng)，這個行動在技術(shù)上是沒有任何炫耀和炒作的價值的。〞主要采用當(dāng)時流行的系統(tǒng)漏洞進(jìn)行攻擊被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼ASP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗證機(jī)制可被繞過Bind遠(yuǎn)程溢出，Lion蠕蟲SUNrpc.sadmind遠(yuǎn)程溢出，sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯誤遠(yuǎn)程平安漏洞拒絕效勞(syn-flood,ping)被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼入侵者利用黑客工具掃描系統(tǒng)用戶獲得用戶名和簡單密碼被利用的典型漏洞Windows2000登錄驗證機(jī)制可被繞過Example采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的入侵系統(tǒng)的常用步驟端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的效勞獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門去除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途較高明的入侵步驟常見的平安攻擊方法直接獲取口令進(jìn)入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽，暴力破解利用系統(tǒng)自身平安漏洞特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶翻開或下載，然后使用戶在無意中激活，導(dǎo)致系統(tǒng)后門被安裝WWW欺騙：誘使用戶訪問纂改正的網(wǎng)頁電子郵件攻擊：郵件炸彈、郵件欺騙網(wǎng)絡(luò)監(jiān)聽：獲取明文傳輸?shù)拿舾行畔⑼ㄟ^一個節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)：攻擊者控制一臺主機(jī)后，經(jīng)常通過IP欺騙或者主機(jī)信任關(guān)系來攻擊其他節(jié)點(diǎn)以隱蔽其入侵路徑和擦除攻擊證據(jù)拒絕效勞攻擊和分布式拒絕效勞攻擊(和)“拒絕效勞攻擊〔DenialofService〕〞的方法，簡稱DoS。它的惡毒之處是通過向效勞器發(fā)送大量的虛假請求，效勞器由于不斷應(yīng)付這些無用信息而最終筋疲力盡，而合法的用戶卻由此無法享受到相應(yīng)效勞，實際上就是遭到效勞器的拒絕效勞。DOS&&DDOSSQL注入攻擊SQLInjection是指SQL指令植入式攻擊，主要是屬于InputValidation〔輸入驗證〕的問題。一個利用寫入特殊SQL程序代碼攻擊應(yīng)用程序的動作。影響的系統(tǒng)包括MSSQL、MySQL、Oracle、Sybase與DB2等。SQLInjection原理select*frommemberwhereUID=‘“&request(〞ID“)&〞’AndPasswd=‘“&request(〞Pwd“)&〞’如果正常使用者帳號是A123456789，密碼1234，那么select*frommemberwhereUID='A123456789'AndPasswd='1234'輸入的帳號與密碼等資料會取代ASP(orPHP、JSP)中的變量，并由兩個單引號('')所包住，即：select*frommemberwhereUID='"&request("ID")&"'AndPaswd='"&request("Pwd")&"'攻擊實例可以輸入用戶名abcdefg(任意輸入)，密碼asdf(任意輸入)'or1=1即后臺的語句為select*frommemberwhereUID='abcdefg'AndPasswd='asdf'or1=1--'，那么攻擊者可以輕易進(jìn)入系統(tǒng)。防止SQLInjection可以過濾輸入條件中可能隱含的sql指令，如INSERT、SELECT、UPDATE等針對輸入條件進(jìn)行標(biāo)準(zhǔn)，如無必要，應(yīng)改為僅可接受大小寫英文字母與數(shù)寫等。針對特殊的查詢參數(shù)進(jìn)行過濾，如--、‘等可利用replace(xx,“’〞,“‘’〞)進(jìn)行替換，在程序編寫時，應(yīng)時常檢查程序是否存在有非預(yù)期輸入資料的漏洞。緩沖區(qū)溢出攻擊緩沖區(qū)溢出技術(shù)原理

通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以到達(dá)攻擊的目的。ARP工作原理主機(jī)A主機(jī)D

主機(jī)B網(wǎng)關(guān)

網(wǎng)關(guān)C

ARP攻擊手法本地ARP攻擊

利用ARP的應(yīng)答包無檢驗的缺陷

ARP欺騙攻擊的核心就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP與MAC間的映射對，并以此更新目標(biāo)主機(jī)緩存。ARP攻擊防范MAC地址綁定:繁瑣但是有效劃分VLAN：限制攻擊的范圍靜態(tài)ARP:效果不明顯AntiARPSniffer:對ARP欺騙進(jìn)行監(jiān)聽社會工程學(xué)攻擊

社交工程是使用計策和假情報去獲得密碼和其他敏感信息的科學(xué)，研究一個站點(diǎn)的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。舉個例子：一組高中學(xué)生曾經(jīng)想要進(jìn)入一個當(dāng)?shù)氐墓镜挠嬎銠C(jī)網(wǎng)絡(luò)，他們擬定了一個表格，調(diào)查看上去顯得是無害的個人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字，這些從學(xué)生轉(zhuǎn)變成的黑客說這種簡單的調(diào)查是他們社會研究工作的一局部。利用這份表格這些學(xué)生能夠快速的進(jìn)入系統(tǒng)，因為網(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。社會工程學(xué)攻擊目前社會工程學(xué)攻擊主要包括兩種方式：打請求密碼和偽造Email1、打請求密碼盡管不像前面討論的策略那樣聰明，打?qū)柮艽a也經(jīng)常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，經(jīng)常通過這種簡單的方法重新獲得密碼。2、偽造Email使用telnet一個黑客可以截取任何一個身份證發(fā)送Email的全部信息，這樣的Email消息是真的，因為它發(fā)自于一個合法的用戶。在這種情形下這些信息顯得是絕對的真實。黑客可以偽造這些。一個冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息，黑客就能實施他們的惡意陰謀。物理攻擊與防范

物理平安是保護(hù)一些比較重要的設(shè)備不被接觸。物理平安比較難防，因為攻擊往往來自能夠接觸到物理設(shè)備的用戶。暴力攻擊暴力攻擊的一個具體例子是，一個黑客試圖使用計算機(jī)和信息去破解一個密碼。一個黑客需要破解—段單一的被用非對稱密鑰加密的信息，為了破解這種算法，一個黑客需要求助于非常精密復(fù)雜的方法，它使用120個工作站，兩個超級計算機(jī)利用從三個主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時間去破解加密算法，實際上破解加密過程八天已是非常短暫的時間了。TCP/IP的每個層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNET應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞電磁監(jiān)聽混合型、自動的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墻入侵檢測風(fēng)險管理攻擊的開展趨勢漏洞趨勢嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越來越容易(大約60%不需或很少需用代碼)混合型威脅趨勢將病毒、蠕蟲、特洛伊木馬和惡意代碼的特性與效勞器和Internet漏洞結(jié)合起來而發(fā)起、傳播和擴(kuò)散的攻擊,例：紅色代碼和尼姆達(dá)等。攻擊的開展趨勢主動惡意代碼趨勢制造方法：簡單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性,采用加密、變換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻擊防御檢測軟件.表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更多的連接,甚至開展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測。受攻擊未來領(lǐng)域即時消息：MSN,Yahoo,ICQ,OICQ等對等程序(P2P)移動設(shè)備攻擊的開展趨勢如何應(yīng)對攻擊比較完善的信息平安保障體系？健全法制加強(qiáng)管理完善技術(shù)培養(yǎng)人才常見威脅防護(hù)黑客攻擊病毒蠕蟲木馬僵尸網(wǎng)絡(luò)惡意代碼病毒病毒的流行在衰退？病毒的特點(diǎn)：不能作為獨(dú)立的可執(zhí)行程序執(zhí)行具有自動產(chǎn)生和自身拷貝的能力能夠產(chǎn)生有害的或惡意的動作感染的機(jī)制和目標(biāo)感染可執(zhí)行文件COM文件EXE文件DLL、OCX、SYS病毒的傳播機(jī)制移動存儲〔U盤病毒〕電子郵件及其下載〔梅利莎…〕共享目錄〔熊貓燒香〕熊貓燒香又稱“武漢男生〞，感染型的蠕蟲病毒。發(fā)作現(xiàn)象：感染文件類型：exe，com，pif，src，html，asp等。中止大量的反病毒軟件進(jìn)程；刪除擴(kuò)展名為gho的文件；被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。病毒的防御–人裝防病毒軟件不要隨意關(guān)閉防病毒軟件不要隨意運(yùn)行軟件不要下載和安裝來自于外部資源的程序不要隨意將個人設(shè)備連接到公司的網(wǎng)絡(luò)中要學(xué)習(xí)識別病毒感染的跡象中病毒后可能的跡象運(yùn)行緩慢系統(tǒng)崩潰電子郵件被退回反病毒軟件報警系統(tǒng)文件或其他文件的屬性或大小變化應(yīng)用程序執(zhí)行異常。。。。常見威脅防護(hù)黑客攻擊病毒蠕蟲木馬僵尸網(wǎng)絡(luò)惡意代碼蠕蟲蠕蟲是一種可以自我復(fù)制的代碼，通過網(wǎng)絡(luò)傳播，通常無需人為干預(yù)就能傳播蠕蟲的組成侵占目標(biāo)系統(tǒng)緩沖區(qū)溢出攻擊文件共享攻擊電子郵件其他錯誤配置傳播引擎〔文件傳輸協(xié)議等〕目標(biāo)選擇算法掃描引擎有效載荷〔后門、代理、應(yīng)用計算等〕蠕蟲案例-Nimda2001年9月18日爆發(fā)多種不同的探測技術(shù)IISWeb目錄穿越漏洞具有IE漏洞的瀏覽器訪問被感染頁面Outlook電子郵件客戶端傳播Windows文件共享傳播Nimda掃描網(wǎng)絡(luò)中感染了CodeRedII和Sadmind蠕蟲的主機(jī)的后門，并去除之蠕蟲的防御以蟲治蟲反病毒軟件需要和其他手段相配合及時安裝補(bǔ)丁并配置好系統(tǒng)阻斷任意的輸出連接建立時間響應(yīng)機(jī)制千萬不要擺弄蠕蟲等類似的惡意代碼常見威脅防護(hù)黑客攻擊病毒蠕蟲木馬僵尸網(wǎng)絡(luò)惡意代碼木馬木馬由兩個程序組成，一個是客戶端，一個效勞器端〔被攻擊的機(jī)器上運(yùn)行〕，通過在宿主機(jī)器上運(yùn)行效勞器端程序，在用戶毫無覺察的情況下，可以通過客戶端程序控制攻擊者機(jī)器、刪除其文件、監(jiān)控其操作等。木馬攻擊效果演示木馬攻擊常見威脅防護(hù)黑客攻擊病毒蠕蟲木馬僵尸網(wǎng)絡(luò)惡意代碼僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段，將大量主機(jī)感染僵尸程序，從而在控制者和被感染主機(jī)之間所形成的一個可一對多控制的網(wǎng)絡(luò)。據(jù)CNCERT報告，2007年抽樣監(jiān)測發(fā)現(xiàn)我國大陸有3624665個IP地址的主機(jī)被植入僵尸程序。僵尸網(wǎng)絡(luò)的傳播途徑主動攻擊漏洞郵件病毒即時通信軟件惡意網(wǎng)站腳本特洛伊木馬僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)的危害發(fā)起拒絕效勞〔DDOS〕攻擊發(fā)送垃圾郵件傳播惡意代碼從僵尸主機(jī)上收集敏感信息在線銀行賬號/密碼，信用卡信息，注冊碼，在線游戲賬號/裝備僵尸網(wǎng)絡(luò)常見威脅防護(hù)黑客攻擊病毒蠕蟲木馬僵尸網(wǎng)絡(luò)惡意代碼惡意軟件惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國法律法規(guī)規(guī)定的計算機(jī)病毒。瀏覽器腳本攻擊〔1〕資源枯竭瀏覽器劫持利用瀏覽器漏洞竊取CookieCookie欺騙跨站腳本攻擊URL惡意腳本網(wǎng)站內(nèi)容惡意腳本歡送訪問，此頁面自動跳轉(zhuǎn)防御惡意代碼的小結(jié)使用非超級用戶帳號密切注意瀏覽器及Email軟件的有關(guān)漏洞和補(bǔ)丁小心來源不明的惡意網(wǎng)站不要點(diǎn)擊郵件中的不明網(wǎng)頁鏈接設(shè)置瀏覽器平安級別防御惡意代碼的其他方法反病毒工具行為監(jiān)控軟件反間諜軟件工具如何預(yù)防上述常見威脅提高計算機(jī)病毒的防范意識，多到反病毒網(wǎng)站上看一看養(yǎng)成使用計算機(jī)的良好習(xí)慣盡可能使用正版軟件不要執(zhí)行來歷不明的軟件或程序不要輕易翻開陌生郵件不要因為對方是你的朋友就輕易執(zhí)行他發(fā)過來的軟件或者程序盡可能少訪問一些小的網(wǎng)站或不良網(wǎng)站如何預(yù)防上述常見威脅不要隨便留下你的個人資料輕易不要使用效勞器上網(wǎng)瀏覽、聊天等有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)使用非超級用戶帳號密切注意瀏覽器及Email軟件的有關(guān)漏洞和補(bǔ)丁取消共享文件夾的寫權(quán)限或?qū)蚕砦募A設(shè)置口令刪除或停用不必要的帳戶，設(shè)置高強(qiáng)度的用戶口令信息平安防護(hù)措施常見威脅防護(hù)日常應(yīng)用程序防護(hù)Windows系統(tǒng)防護(hù)數(shù)據(jù)庫平安防護(hù)日常應(yīng)用程序防護(hù)QQMSNIE諾頓WinRAR登陸時的密碼保護(hù)功能本地信息平安設(shè)置網(wǎng)絡(luò)信息平安設(shè)置通過ＱＱ平安中心設(shè)置日常應(yīng)用程序防護(hù)QQMSNIE諾頓WinRAR不顯示自定義圖釋、閃屏和傳情動漫禁止共享文件夾設(shè)置平安選項卡設(shè)置病毒掃描、文件類型過濾和共享背景日常應(yīng)用程序防護(hù)QQMSNIE諾頓WinRAR設(shè)置區(qū)域平安級別添加受信任的站點(diǎn)日常應(yīng)用程序防護(hù)QQMSNIE平安諾頓WinRAR啟用文件實時保護(hù)功能設(shè)置文件系統(tǒng)保護(hù)高級選項對系統(tǒng)進(jìn)行掃描病毒庫升級日常應(yīng)用程序防護(hù)QQMSNIE平安諾頓WinRARWinRAR加密文件WinRAR加密文件WinRA