网络时代如何确保信息安全.ppt

网络时代如何确保信息安全 蓝盾网络安全服务中心 张贺勋 目录 网络概况目前常见的攻击技术主要的信息安全防范技术个人遇到的主要信息安全问题判断个人电脑中存在安全问题造成安全问题的根源或不良习惯个人电脑防御网络安全总结 网络概况 攻击 入侵工具和工具包的复杂性在增加 计算机安全入侵的数量在增加 入侵者的效率在增加 入侵方法在广泛传播 具有安全知识和专业的人的数量在增加 但远不及Internet用户数的增长速度 可用安全工具的数量在增加 但远不及软件 系统和网络复杂性的增长速度 入侵者的技术水平在增强 大规模安全事件回顾 SQLSLAMMER蠕虫2003年1月25日爆发 我国境内受感染两万多台口令蠕虫事件2003年3月8日出现 部分大学网络瘫痪红色代码F变种2003年3月11日发作 在我国网络中扩撒超过12万次 冲击波蠕虫事件2003年8月11日发现 至12月31日 150万台以上中招MYDOOM事件1月27日出现 先后出现了多种变种 SCO网站受堵 163等邮件服务器出现问题 国内10 的电脑受感染 震荡波 事件5月1日出现 至今仍有新变种出现 受 冲击波 的影响 没有造成重大危害 大规模安全事件回顾 DDOS安全事件回顾 DDOS事件2003年3月 某亚洲地区业务排名第二的商业网站受攻5月 某市政府信息网络瘫痪8小时5月中旬 某省信息港网站受攻5月下旬 某省广播电视网遭攻7月博客中国遭攻7月底 某政府服务网站受攻 篡改网页事件回顾 广西某市政府网站被篡改5月19日 广西某市的一个政府网站服务器所发布的三十多个网页均被黑客篡改立即通知有关部门进行处理7月6日黑客竞赛7月4日获悉 全球约有2600多个网页遭到篡改 2003年中国有435台主机上的网页遭到篡改 其中包括143个主机上的337个政府网站在内 目前常见的攻击技术 你也许知道一些攻击方法 下面列出了常见的攻击技术 服务拒绝攻击服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务 服务拒绝攻击是最容易实施的攻击行为 主要包括 死亡之ping pingofdeath 泪滴 teardrop UDP洪水 UDPflood SYN洪水 SYNflood Land攻击Smurf攻击Fraggle攻击电子邮件炸弹畸形消息攻击 目前常见的攻击技术 信息收集型攻击信息收集型攻击并不对目标本身造成危害 如名所示这类攻击被用来为进一步入侵提供有用的信息 主要包括 扫描技术 体系结构刺探 利用信息服务扫描技术地址扫描端口扫描反响映射慢速扫描 目前常见的攻击技术 体系结构探测利用信息服务DNS域转换Finger服务LDAP服务 目前常见的攻击技术 恶意程序1 LogicalBomb 炸弹 在特定情况下导致破坏的程序 通常是由于程序编制中的错误 2 Backdoor 这种程序允许远程执行任意命令3 Worm 能够自我繁殖和传播的程序或特洛伊木马4 Virus 存在于现有程序中 能够自我复制的程序或代码5 Trojan 隐藏在程序中的程序 通过它能执行任意命令 目前常见的攻击技术 漏洞攻击1 AccessPermissions 许可访问 利用对系统文件的读写2 BruteForce 弱点 对TELNET POP3认证尝试缺省或弱的登陆名和密码组合3 Overflow 缓冲 在缓冲区的结尾后增加任意的代码 然后执行4 RaceCondition 紊乱 利用执行程序产生的暂时的不安全的条件来获得对敏感数据的访问 目前常见的攻击技术 IP信息包处理1 Portspoofing 端口欺骗 利用20 53 80 1024等端口作为源端口来躲过包过滤规则2 Tinyfragments 小包 利用8比特的信息包来旁路防火墙协议 标志 端口 尺寸检查3 BlindIPspoofing IP欺骗 改变源IP地址来来访问依靠IP检查的服务 如没有密码的UDP服务4 NameserverID snoofing 利用计算出来的ID数把错误的数据放进NS缓存来伪装 目前常见的攻击技术 假消息攻击用于攻击目标配置不正确的消息 主要包括 DNS高速缓存污染伪造电子邮件 所用产品列表安全产品选型 防火墙产品防病毒产品入侵检测产品漏洞扫描产品信息加密产品存储备份产品主页保护产品物理隔离产品身份识别产品 主要的信息安全防范技术 防火墙产品 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 防火墙 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 防火墙的功能 访问控制附加功能 基于源IP地址基于目的IP地址基于源端口基于目的端口高层协议命令级控制状态检测URL过滤 IP与MAC绑定NAT转换双机热备安全联动DDOS防御技术蜜罐技术AAASNMP技术防蠕虫病毒攻击认证 管理 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 网络反病毒 网关病毒防护工作站病毒防护服务器病毒防护控制台 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 带有病毒的数据包 是否含毒 杀毒 网关病毒防护 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 工作站防毒软件 发现病毒立即采取相应的措施 发现病毒 均为客户端工作站 带有病毒的数据包 工作站病毒防护 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 WWW E MAIL DNS 发现病毒立即采取相应的措施 服务器病毒防护 FTPServer WWWServer MailServer 帧中继 DDN 拨号服务器 Internet FTPServer WWWServer MailServer FTPServer WWWServer MailServer 下属单位 XX中心局域网 分支机构B 分支机构A 网络反病毒配置 作用 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 入侵检测 基于主机的IDS基于网络的IDS分布式IDS 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 基于网络的IDS 入侵检测控制台 入侵检测探测器 来自外部的违规访问或者非授权访问尝试 来自内部的违规访问或者非授权访问尝试 立即通知控制台 入侵检测的作用 对攻击进行实时跟踪 检测 记录 响应为事后调查提供证据 作出相应 攻击主机 受保护主机 IDS主机 IDS控制台 防火墙生成动态规则 防火墙 受到攻击 检测到攻击 向控制台报警 通知防火墙 防火墙阻断攻击 发送响应报文 蓝盾防火墙与BDNIDS联动原理图 IDS在网络中的位置 作用 FTPServer WWWServer MailServer 帧中继 DDN 拨号服务器 Internet FTPServer WWWServer MailServer FTPServer WWWServer MailServer 下属单位 XX中心局域网 分支机构B 分支机构A 控制台 控制台 控制台 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 漏洞扫描 扫描操作系统漏洞扫描数据库的漏洞扫描应用程序的漏洞扫描网络设备的漏洞 扫描整个网络与系统 安全评估软件 扫描整个网络系统的弱点和漏洞并建议采取相应的补救措施提前发现网络系统的弱点和漏洞 防范于未然 扫描对象 对全网的Router Switch FireWall Host等进行安全评估 扫描Switch 扫描Firewall 扫描Server 漏洞扫描控制端 扫描路由器 蓝盾漏洞扫描的位置 作用 漏洞扫引擎 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 加密设备 链路层加密设备网络层加密设备 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 VPN VirtualPrivateNetwork 虚拟专用网络 它指的是以公用开放的网络 如Internet 作为基本传输媒体 通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改 从而向最终用户提供类似于私有网络 PrivateNetwork 性能的网络服务技术 远程访问 Internet VPN在网络中位置 FTPServer WWWServer MailServer 帧中继 DDN 拨号服务器 Internet FTPServer WWWServer MailServer FTPServer WWWServer MailServer 下属单位 XX中心局域网 分支机构B 分支机构A VPN VPN VPN VRC 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 数据机密性保护数据完整性保护数据源身份认证 VPN作用 数据机密性保护 内部工作子网 下属机构 DDN FRX 25专线 密文传输 明文传输 明文传输 数据完整性保护 内部工作子网 下属机构 DDN FRX 25专线 原始数据包 对原始数据包进行Hash Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较 验证数据的完整性 数据源身份认证 内部工作子网 下属机构 DDN FRX 25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 DSS 解密 相等吗 验证通过 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 存储与备份 磁盘热备双机热备份专业备份软件灾难恢复 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 双机热备份 公共网络 主服务器 磁盘阵列 心跳线 备份服务器 请求服务 响应服务 你工作正常吗 我有问题 请立即接管我的服务 请求服务 响应服务 备份示意图 主备份服务器 不管是什么样的平台 专业备份软件能使用统一的数据格式进行备份 邮件代理 数据库代理forSQL UNIX代理 Macintosh代理 UnicenterTNGFramework数据库 NT代理 管理 察看 监测远在千里之外的备份任务 Win31 95 98代理 Netware代理 磁带机或磁带库1 下达备份指令 执行指令 备份数据流 备份数据流写入磁带2 Win31 95 98代理 远程备份 下达备份指令 执行指令 备份数据流写入磁带1 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 在系统正常时用DisasterRecoveryOptionforARCserveIT制作灾难恢复引导盘 在系统崩溃时请按照如下步骤操作 首先插入灾难恢复引导盘引导机器 一切OK 灾难恢复示意图 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 页面恢复 专用软件 安装网页保护器的WWW 网页保护器检测到页面被修改 受攻击前的页面 欢迎你访问某某公司信息服务器 黑客发起攻击 遭遇攻击 网页保护器立即将页面恢复到被篡改前的状态 受攻击后的页面 我是黑客 你的网站已被黑掉 哈 受攻击前的页面 欢迎你访问某某公司信息服务器 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 隔离设备 隔离HUB隔离网卡物理隔离器 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 内网 双布线配置 双硬盘双系统切换重启 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 PKI CA PKI PublicKeyInfrastructure 公钥基础设施是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系 该体系建立在统一的安全认证标准和规范基础上 PKI从技术上解决网上身份认证 信息完整性 抗抵赖等安全问题 为网络应用 如 电子交易 电子邮件 提供可靠的安全保障 目录 电子邮件应用 电子商务应用 路由器或防火墙 Web应用 企业应用 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 用户甲拥有两个对应的密钥用其中一个加密 只有另一个能够解密用户甲将其中一个私下保存 私钥 另一个公开发布 公钥 如果乙想送秘密信息给甲乙获得甲的公钥乙使用该公钥加密信息发送给甲甲使用自己的私钥解密信息 公开密钥体系 甲 乙 私钥 公钥 CA CertificationAuthority 认证中心是值得信赖的第三方机构 来确认公钥拥有人的身份 就象公安局发放的身份证一样 该机构发放数字证书来验证用户的身份 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 证书包含的内容用户的公钥用户的姓名 地址等个人信息证书的有效期和序列号证书签发者的姓名等等 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 本地产生公钥 私钥 证书申请过程 基于CA证书的身份认证 CA中心 证书发布服务器 证书签发服务器 用户证书 服务器证书 开始数字证书的签名验证 开始数字证书的签名验证 开始安全通讯 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 SUM 专业服务内容 防火墙网络反病毒入侵检测漏洞扫描加密设备存储与备份页面恢复隔离设备PKI CA专业服务 专业服务 安全评估服务安全顾问服务安全加固服务紧急响应服务安全信息服务安全培训 为什么要专业安全服务 安全是动态的跟进难专业性要求越来越高响应更加及时 蓝盾安全实验室 目前安全服务发展概况 国际安全服务准则 ISO7498 2 安全体系结构 ISO15408 信息技术安全性评估准则 ISO17799 信息安全管理实施准则 SSE CMM 系统安全工程成熟度模型国内安全服务准则 计算机等级保护 安全保障工程BDNS 安全服务方法论PAREMCE 蓝盾专业安全服务内容 安全评估服务安全顾问服务安全加固服务紧急响应服务安全信息服务安全培训 蓝盾专业安全服务内容 1 安全评估服务安全机制评估网络构架评估网络设备评估操作平台评估应用平台评估应用系统评估 蓝盾安全实验室 蓝盾专业安全服务内容 2 安全加固服务安全机制加固网络构架加固网络设备加固操作平台加固应用平台加固应用系统加固 蓝盾安全实验室 蓝盾专业服务流程 蓝盾专业服务流程 蓝盾专业安全服务内容 3 安全顾问服务安全策略制定安全解决方案设计模拟入侵测试 蓝盾安全实验室 蓝盾专业安全服务内容 4 紧急响应服务紧急事件响应包括应急事件处理 灾难恢复 入侵调查和分析 蓝盾安全评估服务中心 蓝盾专业安全服务内容 5 安全信息服务最新漏洞 补丁通报技术行业动态周报安全周刊 蓝盾安全评估服务中心 蓝盾专业安全服务内容 6 安全培训网络安全是动态发展的 黑客攻击手段在不断更新 新的病毒程序也不断产生 蓝盾的安全培训 帮助您及时掌握最新的安全技术 我们依靠雄厚的安全技术力量 时刻走在网络安全技术的最前沿 我们提供的安全技术培训 使您在安全防范的职责中信心倍增 蓝盾安全评估服务中心 安全服务模式 安全服务广东省公安厅八处安全整体外包服务 产品 服务 广州市天河区教育局广东省水利厅 蓝盾安全实验室 个人遇到的主要信息安全问题 感染病毒 蠕虫病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 引导区病毒感染了引导区病毒的硬盘或软盘启动文件型病毒宏病毒 个人遇到的主要信息安全问题 蠕虫蠕虫是一种通过网络传播的恶性病毒 不利用文件寄生 有的只存在于内存中 对网络造成拒绝服务 以及和黑客技术相结合等等 在产生的破坏性上 蠕虫病毒也不是普通病毒所能比拟的 网络的发展使得蠕虫可以在短短的时间内蔓延整个网络 造成网络瘫痪 冲击波 病毒病毒MyDoomSQL蠕虫王 被植入木马程序原理 就是将有破坏能力和监控能力的黑客工具隐藏在你觉得 很有用 的软件里面让你下载 例子 A 木马SUBSEVEN 例子B木马冰河 国产木马 有G Client exe G server exe二个文件 客户端界面 个人遇到的主要信息安全问题 个人遇到的主要信息安全问题 个人遇到的主要信息安全问题 帐号 口令攻击帐号口令攻击是自己的邮件 系统 QQ等帐号 密码给黑客通过非法方式所劫持 黑客的主要手段有 网络监听暴力破解漏洞 个人遇到的主要信息安全问题 ARP欺骗ARP地址解析协议ARP协议定义了两类基本的消息 1 请求信息 包含自己的IP地址 硬件地址和请求解析的IP地址 2 应答信息 包含发来的IP地址和对应的硬件地址 原理 蓝盾安全实验室 个人遇到的主要信息安全问题 个人遇到的主要信息安全问题 WWW的欺骗技术在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问 如阅读新闻组 咨询产品价格 订阅报纸 电子商务等 然而一般的用户恐怕不会想到有这些问题存在 正在访问的网页已经被黑客篡改过 网页上的信息是虚假的 个人遇到的主要信息安全问题 电子邮件攻击电子邮件攻击主要表现为两种方式 电子邮件轰炸用伪造的IP地址和电子邮件地址向同一信箱发送数以千计 万计甚至无穷多次的内容相同的垃圾邮件 致使受害人邮箱被 炸 电子邮件欺骗攻击者佯称自己为系统管理员 给用户发送邮件要求用户修改口令 口令可能为指定字符串 或在貌似正常的附件中加载病毒或其他木马程序 这类欺骗只要用户提高警惕 一般危害性不是太大 判断个人电脑中存在安全问题 检查临时用户帐号和组信息在启动 用户管理器 程序 或者在命令行状态下执行 netuser netgroup 和 netlocalgroup 命令 查看当前用户和组清单 确保内置GUEST帐号被禁止使用 判断个人电脑中存在安全问题 对所有组进行检查看看是否有非法组成员存在 默认安装后的组都具有特殊权限 例如 Administrators组成员有权对本地系统做任何事情 Backupoperators组成员有权读取系统中的所有文件 PowerUsers组成员有权创建共享 不要让一些不合适的用户隐藏在这些组中 判断个人电脑中存在安全问题 检查是否有非授权的应用程序正在运行攻击者为了启动后门程序 通常将启动选项存放在启动文件夹 注册表 或者ini文件中 要检查的位置包括 判断个人电脑中存在安全问题 启动文件夹一共存在2个启动文件夹 当前用户的和所有用户的 当用户登录时 位于这2个启动文件夹中的所有程序都会执行 当前用户的启动文件夹路径是 C DocumentsandSettings username 开始 菜单 程序 启动 所有用户的启动文件夹路径是 C DocumentsandSettings AllUsers WINNT 开始 菜单 判断个人电脑中存在安全问题 注册表注册表中有许多地方是恶意程序栖息之处 它们是 KnownDLLs RunOnce RunOnceEx RunServices Windows run line Run等值 判断个人电脑中存在安全问题 HKEY LOCAL MACHINE System CurrentControlSet Control SessionManager KnownDLLsHKEY LOCAL MACHINE System ControlSet001 Control SessionManager KnownDLLsHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceExHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesHKEY LOCAL MACHINE Software Microsoft WindowsNT CurrentVersion Windows run line 判断个人电脑中存在安全问题 检查是否存在不合法的服务一些后门程序会以系统服务形式存在 当系统启动时 就激活了 所以 要检查确认自动启动的服务是否为合法程序 请看下面的批处理文件 它可以帮助我们从WinNT注册表中方便地收集系统中运行的服务信息 输出内容包括服务的注册表键值 启动数值以及执行文件名 判断个人电脑中存在安全问题 对系统中的重要二进制文件进行检查看看文件的大小和时间标记是否与原始备份的信息相同 针对有些特洛伊木马程序能够创建与合法文件一样大小和时间标记的恶意程序 我们还需要使用MD5 Tripwire以及其他密码校验和程序来检测重要文件的变化 而且 我们还可以考虑使用如PGP的工具为由MD5或Tripwire产生的输出内容加标记 当然 使用反病毒软件经常检查计算机病毒 后门程序以及特洛伊木马也非常重要 判断个人电脑中存在安全问题 检查系统和网络配置中是否存在非授权信息主要有WINS配置 DNS配置以及IPforwarding配置 可以在命令行状态下执行 ipconfig all 快速获得这些信息 判断个人电脑中存在安全问题 执行 netstat an 检查来自其他机器的端口监听连接信息 判断个人电脑中存在安全问题 检查是否存在非授权的共享要从窗口界面检查系统中都共享了哪些资源 是件很烦琐的事情 很可能造成遗漏 执行命令行程序 netshare 是个简便的方法 它可以很快很完整地显示出系统中的所有共享资源 判断个人电脑中存在安全问题 检查定时任务中是否存在可疑程序攻击者可以让后门程序定时运行 以便将来重新入侵 更进一步地 要准确核对定时任务所对应的实际程序名是否合法 在命令行状态下执行 at 命令可以很方便地看到这些信息 判断个人电脑中存在安全问题 检查是否存在临时进程要获取这些信息 可以借助任务管理器 也可以在命令行执行pulist exe和tlist exe pulist可以查看每个进程由谁启动 mport exe可以查看开通的端口和端口