信息安全培訓(xùn)講義

歡迎大家的到來

信息安全培訓(xùn)講義目錄為什么需要信息安全？1什么是信息安全？2常見安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議4殘酷的現(xiàn)實(shí)2011年2月銀行動(dòng)態(tài)口令升級(jí)群發(fā)短信詐騙2011年3月RSA遭受高級(jí)可持續(xù)攻擊2011年3月僵尸網(wǎng)絡(luò)攻擊韓國10天2011年4月索尼7700萬用戶數(shù)據(jù)被泄露2011年6月花旗銀行36萬客戶資料被竊2011年8月新浪微博爆發(fā)蠕蟲病毒2011年9月多個(gè)開源系統(tǒng)官網(wǎng)被攻擊2011年末天涯、CSDN等26網(wǎng)站被爆庫2012年1月賽門鐵克源代碼泄露2012年6月網(wǎng)絡(luò)戰(zhàn)武器Flame出現(xiàn)2010年下半年教育網(wǎng)掛馬情況數(shù)據(jù)來源：中國教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組/Flame！大小達(dá)20MB已潛伏2年多背景深厚任何傳染方式大量0-day漏洞具備20多個(gè)功能模塊“2.20”公安部督辦專案案發(fā)于廣東“揭陽人事考試網(wǎng)”的每月巡查涉及政府網(wǎng)站185個(gè)3萬多人辦理各類假證涉案金額超過3億元盜賣涉及個(gè)人隱私的資料數(shù)據(jù)300多萬條高考志愿篡改案有關(guān)政策要求《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)）《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB/T17859-1999）《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2010）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（報(bào)批稿）《教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知》（教辦廳函[2011]83號(hào)）《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知》

（教辦廳函[2009]80號(hào)）-8-目錄為什么需要信息安全？1什么是信息安全？2常見安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議4-10-什么是信息（Information）ISO/IEC的IT安全管理指南（GMITS，即ISO/IECTR13335）對(duì)信息（Information）的解釋是：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息可以以多種形式存在：打印或者寫在紙上電子形式存儲(chǔ)與傳遞以多媒體形式存在，如電影、影像、膠片、磁帶、廣播、交談等什么是信息安全？-11-是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。-12-物理安全技術(shù)：環(huán)境安全、設(shè)備安全、介質(zhì)安全；網(wǎng)絡(luò)安全技術(shù)：隔離、訪問控制、VPN、入侵檢測(cè)等；系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性；防病毒技術(shù)：?jiǎn)螜C(jī)防病毒、網(wǎng)絡(luò)防病毒體系；認(rèn)證授權(quán)技術(shù)：口令、令牌、生物特征、數(shù)字證書等；應(yīng)用安全技術(shù)：Web安全、應(yīng)用系統(tǒng)安全；數(shù)據(jù)加密技術(shù)：硬件和軟件加密；災(zāi)難恢復(fù)和備份技術(shù)：數(shù)據(jù)備份。常用信息安全技術(shù)OSI模型-13-OSI各層對(duì)應(yīng)的攻擊-14-物理層的攻擊：該層的攻擊手法是對(duì)網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施進(jìn)行物理破壞。例如:對(duì)一個(gè)機(jī)房的出口線纜進(jìn)行破壞,使得其無法訪問外部網(wǎng)絡(luò)。危害：網(wǎng)絡(luò)中斷、設(shè)備損壞等物理破壞數(shù)據(jù)鏈路層的攻擊：該層次上有兩個(gè)重要的協(xié)議ARP(地址解析協(xié)議)和RARP(反地址解析協(xié)議)。ARP欺騙和偽裝是常見的鏈路層攻擊。危害：數(shù)據(jù)被竊取OSI各層對(duì)應(yīng)的攻擊網(wǎng)絡(luò)層的攻擊：該層次主要的攻擊方法包括IP碎片攻擊、路由欺騙、PingofDeath、IP欺騙與偽造等。危害：網(wǎng)絡(luò)性能降低或中斷、數(shù)據(jù)的竊取等傳輸層的攻擊：主要是各類拒絕服務(wù)攻擊，利用TCP的三次握手機(jī)制，像SYNFlooding攻擊、ACKFlooding攻擊等。危害：導(dǎo)致服務(wù)癱瘓會(huì)話層的攻擊：主要是竊取合法用戶的會(huì)話信息，然后冒充該用戶，以達(dá)到非授權(quán)訪問的目的，或竊取合法用戶的權(quán)限和信息。如盜用Cookies和重放攻擊。危害：用戶信息被竊取，非法侵入等

-15-OSI各層對(duì)應(yīng)的攻擊表示層的攻擊：表示層的攻擊是針對(duì)格式翻譯和數(shù)據(jù)處理來進(jìn)行的，代表是Unicode攻擊以及計(jì)算溢出攻擊。危害：數(shù)據(jù)內(nèi)容被篡改、管理員權(quán)限被獲取后非法侵入等應(yīng)用層的攻擊：是針對(duì)應(yīng)用程序的設(shè)計(jì)漏洞進(jìn)行的，如對(duì)應(yīng)用協(xié)議漏洞的攻擊、對(duì)應(yīng)用數(shù)據(jù)的攻擊、對(duì)應(yīng)用操作系統(tǒng)平臺(tái)的攻擊等。其方法包括SQL注入、跨站攻擊、掛馬等；危害：以上危害的綜合體現(xiàn)-16-解決網(wǎng)絡(luò)安全的措施-17-物理安全防范-18-物理層安全的主要技術(shù)手段：計(jì)算機(jī)網(wǎng)絡(luò)通信線路的屏蔽網(wǎng)絡(luò)物理隔離設(shè)備和線路冗余機(jī)房和人員的安全管理數(shù)據(jù)容災(zāi)鏈路安全防范-19-數(shù)據(jù)鏈路層的安全技術(shù)手段：數(shù)據(jù)鏈路加密MAC地址欺騙防護(hù)VLAN劃分MAC地址欺騙防護(hù)-20-ARP(AddressResolutionProtocol)完成IP地址到MAC地址的映射虛擬的與硬件無關(guān)的可變的真實(shí)的網(wǎng)卡決定的通常不可改變IP地址欺騙MAC地址欺騙ARP高速緩存-21-每臺(tái)主機(jī)都要維護(hù)一個(gè)IP地址到MAC的轉(zhuǎn)換表，稱為ARP緩存ARPCache。存放著最近用到的一系列跟它通信的同一子網(wǎng)的計(jì)算機(jī)的IP地址和MAC地址的映射。減少局域網(wǎng)廣播加快訪問速度MAC地址欺騙原理-22-我是誰是布什？我是新來的布什網(wǎng)絡(luò)安全防范-23-網(wǎng)絡(luò)層的安全技術(shù)手段：防火墻（ACL）負(fù)載均衡流量控制防拒絕服務(wù)攻擊應(yīng)用安全防范-24-應(yīng)用層的安全技術(shù)手段：IPS/IDS防病毒身份認(rèn)證系統(tǒng)終端安全管理/漏洞掃描WEB防火墻目錄為什么需要信息安全？1什么是信息安全？2常見安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議4防火墻簡(jiǎn)介用作網(wǎng)絡(luò)邊界的訪問控制被稱為邏輯隔離目前主流產(chǎn)品采用狀態(tài)檢測(cè)技術(shù)主要處理IP包頭，也可具有內(nèi)容檢測(cè)功能選購時(shí)參考吞吐量、并發(fā)連接數(shù)、接口主要品牌：?jiǎn)⒚餍浅?、天融信推薦開源軟件pfSense

-26-防火墻典型部署-27-部署在不同安全級(jí)別的網(wǎng)絡(luò)安全域之間，根據(jù)不同的安全級(jí)別對(duì)不同的安全域開啟不同的安全防護(hù)策略。負(fù)載均衡設(shè)備簡(jiǎn)介分為鏈路負(fù)載和服務(wù)器負(fù)載均衡兩類鏈路負(fù)載均衡用于跨運(yùn)營商鏈路的自動(dòng)優(yōu)化并實(shí)現(xiàn)帶寬資源的充分利用服務(wù)器負(fù)載均衡保障服務(wù)器集群的響應(yīng)時(shí)間和服務(wù)能力主要品牌：F5、Radware推薦開源軟件Nginx

-28-負(fù)載均衡典型部署-29-IPS/IDS簡(jiǎn)介IDS（入侵檢測(cè)系統(tǒng)）接受鏡像流量并分析報(bào)警IPS（入侵防御系統(tǒng)）串行在鏈路中分析入侵阻斷基于特征庫工作，需要定期更新選購時(shí)主要參考誤報(bào)率/誤殺率、吞吐量和并發(fā)數(shù)主要品牌：綠盟、啟明星辰推薦開源軟件Snort

-30-IPS/IDS典型部署-31-流量控制系統(tǒng)簡(jiǎn)介串聯(lián)在網(wǎng)絡(luò)邊界處對(duì)流量進(jìn)行處理可以識(shí)別數(shù)據(jù)包中的協(xié)議類型針對(duì)不同的IP地址和協(xié)議進(jìn)行帶寬分配用來保護(hù)關(guān)鍵用戶和協(xié)議應(yīng)用選購時(shí)主要考慮流量、并發(fā)數(shù)和接口主要品牌：深信服、網(wǎng)康推薦開源軟件Panabit/-32-流量控制系統(tǒng)典型部署-33-防病毒網(wǎng)關(guān)簡(jiǎn)介串聯(lián)在網(wǎng)絡(luò)邊界對(duì)網(wǎng)絡(luò)流量進(jìn)行惡意代碼查殺一般和網(wǎng)絡(luò)防病毒軟件選擇不同特征庫產(chǎn)品經(jīng)常與防火墻合并為UTM產(chǎn)品進(jìn)行銷售選購時(shí)需注意吞吐量和接口主要品牌：Mcafee、安啟華推薦開源軟件Untangle-34-防病毒網(wǎng)關(guān)部署-35-上網(wǎng)行為管理簡(jiǎn)介根據(jù)《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部82號(hào)令）要求上網(wǎng)記錄必須留存60天，可串聯(lián)可并聯(lián)記錄用戶訪問的網(wǎng)頁，可對(duì)協(xié)議類型進(jìn)行識(shí)別可對(duì)部分聊天工具進(jìn)行監(jiān)控選購時(shí)主要參考吞吐量、接口和并發(fā)連接數(shù)主要品牌：深信服、網(wǎng)康-36-上網(wǎng)行為管理部署-37-漏洞掃描系統(tǒng)簡(jiǎn)介可檢測(cè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)的安全漏洞可掃描操作系統(tǒng)的漏洞、弱口令、空口令并探測(cè)存活的服務(wù)類型保持路由可達(dá)即可執(zhí)行掃描定期掃描可準(zhǔn)確了解網(wǎng)絡(luò)的安全狀態(tài)選購時(shí)主要參考并發(fā)掃描數(shù)、分析報(bào)告的可讀性主要品牌：綠盟、啟明星辰推薦開源軟件Nessus-38-漏洞掃描部署-39-終端安全管理簡(jiǎn)介主要功能包括資產(chǎn)管理、終端保護(hù)、進(jìn)程監(jiān)控和外設(shè)管理等可檢查安全狀況實(shí)現(xiàn)準(zhǔn)入控制、限制移動(dòng)存儲(chǔ)設(shè)備使用、監(jiān)控資產(chǎn)變化、推送補(bǔ)丁、監(jiān)控進(jìn)程需要在終端上安裝Agent選購時(shí)主要考慮功能和準(zhǔn)入方式主要品牌：賽門鐵克、Landisk-40-終端安全管理部署-41-安全管理平臺(tái)簡(jiǎn)介對(duì)分散的安全日志和事件進(jìn)行集中，實(shí)現(xiàn)統(tǒng)一安全事件展現(xiàn)和管理獲取網(wǎng)絡(luò)設(shè)備的SNMPTRAP消息、安全設(shè)備的SYSLOG日志和主機(jī)設(shè)備的安全日志主機(jī)上需安裝Agent或配置支持WMI的日志采集套件屬于項(xiàng)目化的安全產(chǎn)品，定制程度高-42-安全管理平臺(tái)部署-43-目錄為什么需要信息安全？1什么是信息安全？2常見安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議4校園網(wǎng)特點(diǎn)規(guī)模大、節(jié)點(diǎn)分散網(wǎng)絡(luò)流量大且時(shí)段集中新舊設(shè)備混雜，維護(hù)不便學(xué)生好奇心強(qiáng)，進(jìn)行各種破壞網(wǎng)站一般采用虛擬主機(jī)或托管方式-45-案例一某天，某校報(bào)告網(wǎng)絡(luò)速度緩慢通過網(wǎng)絡(luò)管理軟件進(jìn)行流量分析確認(rèn)某主機(jī)流量異常將該設(shè)備斷開網(wǎng)絡(luò)后速度恢復(fù)正常查殺病毒后接入網(wǎng)絡(luò)無異常案例二某天，某校報(bào)告大部分終端不能訪問網(wǎng)絡(luò)查看該校上行鏈路正常查看該校核心設(shè)備部分端口流量異常在某辦公室發(fā)現(xiàn)無線路由器造成環(huán)路