信息安全培训讲义

1、信息安全培训讲义信息安全培训讲义2012年8月18日目录目录为什么需要信息安全？为什么需要信息安全？1什么是信息安全？什么是信息安全？2常见安全产品原理简介常见安全产品原理简介3校园网安全建议校园网安全建议4残酷的现实残酷的现实v 2011年2月 银行动态口令升级群发短信诈骗v 2011年3月 RSA遭受高级可持续攻击v 2011年3月 僵尸网络攻击韩国10天v 2011年4月 索尼7700万用户数据被泄露v 2011年6月 花旗银行36万客户资料被窃v 2011年8月 新浪微博爆发蠕虫病毒v 2011年9月 多个开源系统官网被攻击v 2011年末 天涯、CSDN等26网站被爆库v 2012年

2、1月 赛门铁克源代码泄露v 2012年6月网络战武器Flame出现2010年下半年教育网挂马情况年下半年教育网挂马情况数据来源：中国教育和科研计算机网紧急响应组 http:/ 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例v 信息安全等级保护管理办法信息安全等级保护管理办法 （公通字（公通字200743号）号）v 计算机信息系统安全等级保护划分准则计算机信息系统安全等级保护划分准则（ GB/T17859-1999 ）v 信息系统安全等级保护定级指南信息系统安全等级保护定级指南（GB/T 22240-2008）v 信息系统安全等级保护实施指南信息系统安全等级保护

3、实施指南（GB/T25058-2010）v 信息系统安全等级保护基本要求信息系统安全等级保护基本要求（GB/T 22239-2008）v 信息系统安全等级保护测评要求信息系统安全等级保护测评要求（报批稿）（报批稿）v 教育部办公厅关于进一步加强网络信息系统安全保障工作的通知教育部办公厅关于进一步加强网络信息系统安全保障工作的通知（教办厅函（教办厅函201183号）号）v 教育部办公厅关于开展信息系统安全等级保护工作的通知教育部办公厅关于开展信息系统安全等级保护工作的通知 （教办厅函（教办厅函200980号）号）-目录目录为什么需要信息安全？为什么需要信息安全？1什么是信息安全？什么是信息安全？

4、2常见安全产品原理简介常见安全产品原理简介3校园网安全建议校园网安全建议4什么是信息（什么是信息（Information）ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC TR 13335）对信息（Information）的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息可以以多种形式存在： 打印或者写在纸上 电子形式存储与传递 以多媒体形式存在，如电影、影像、胶片、磁带、广播、交谈等什么是信息安全？什么是信息安全？是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。u物

5、理安全技术：环境安全、设备安全、介质安全；u网络安全技术：隔离、访问控制、VPN、入侵检测等；u系统安全技术：操作系统及数据库系统的安全性；u防病毒技术：单机防病毒、网络防病毒体系；u认证授权技术：口令、令牌、生物特征、数字证书等；u应用安全技术：Web 安全、应用系统安全；u数据加密技术：硬件和软件加密；u灾难恢复和备份技术：数据备份。常用信息安全技术常用信息安全技术OSI模型模型OSI各层对应的攻击各层对应的攻击物理层物理层的攻击：的攻击：该层的攻击手法是对网络硬件和基础设施进行物理破坏。例如:对一个机房的出口线缆进行破坏,使得其无法访问外部网络。危害：网络中断、设备损坏等物理破坏数据链路

6、层数据链路层的攻击：的攻击：该层次上有两个重要的协议ARP(地址解析协议)和RARP(反地址解析协议)。ARP欺骗和伪装是常见的链路层攻击。危害：数据被窃取OSI各层对应的攻击各层对应的攻击网络层网络层的攻击的攻击：该层次主要的攻击方法包括IP碎片攻击、路由欺骗、Ping of Death、IP欺骗与伪造等。危害：网络性能降低或中断、数据的窃取等传输传输层的攻击层的攻击：主要是各类拒绝服务攻击，利用TCP的三次握手机制，像SYN Flooding攻击、ACK Flooding攻击等。危害：导致服务瘫痪会话层会话层的攻击的攻击：主要是窃取合法用户的会话信息，然后冒充该用户，以达到非授权访问的目的

7、，或窃取合法用户的权限和信息。如盗用Cookies和重放攻击。危害：用户信息被窃取，非法侵入等OSI各层对应的攻击各层对应的攻击表示层表示层的攻击的攻击：表示层的攻击是针对格式翻译和数据处理来进行的，代表是Unicode攻击以及计算溢出攻击。危害：数据内容被篡改、管理员权限被获取后非法侵入等应用层应用层的攻击的攻击：是针对应用程序的设计漏洞进行的，如对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括SQL注入、跨站攻击、挂马等；危害：以上危害的综合体现解决网络安全的措施解决网络安全的措施物理安全防范物理安全防范物理层安全的主要技术手段：物理层安全的主要技术手段：计算

8、机网络计算机网络通信通信线路的屏蔽线路的屏蔽网络物理隔离网络物理隔离设备设备和线路和线路冗余冗余机房和人员的安全管理机房和人员的安全管理数据容灾数据容灾链路安全防范链路安全防范数据链路层的安全技术手段：数据链路层的安全技术手段：数据链路数据链路加密加密MACMAC地址欺骗防护地址欺骗防护VLANVLAN划分划分MACMAC地址欺骗地址欺骗防护防护lARP(Address Resolution Protocol)l完成IP地址到MAC地址的映射虚拟的虚拟的与硬件无关的与硬件无关的可变的可变的真实的真实的网卡决定的网卡决定的通常不可改变通常不可改变IPIP地址欺骗地址欺骗MACMAC地址欺骗地址欺

9、骗ARPARP高速缓存高速缓存l 每台主机都要维护一个IP地址到MAC的转换表，称为ARP缓存ARP Cache。l 存放着最近用到的一系列跟它通信的同一子网的计算机的IP地址和MAC地址的映射。减少局域网广播减少局域网广播加快访问速度加快访问速度MACMAC地址欺骗原理地址欺骗原理我是谁是布什？谁是布什？我是新来的布什布什网络安全防范网络安全防范网络层的安全技术手段：网络层的安全技术手段：防火墙（防火墙（ACLACL）负载均衡负载均衡流量控制流量控制防拒绝服务攻击防拒绝服务攻击应用安全防范应用安全防范应用应用层的安全技术手段：层的安全技术手段：IPS/IDSIPS/IDS防病毒防病毒身份认证

10、系统身份认证系统终端安全管理终端安全管理/ /漏洞扫描漏洞扫描WEBWEB防火墙防火墙目录目录为什么需要信息安全？为什么需要信息安全？1什么是信息安全？什么是信息安全？2常见安全产品原理简介常见安全产品原理简介3校园网安全建议校园网安全建议4防火墙防火墙简介简介v用作网络边界的访问控制v被称为逻辑隔离v目前主流产品采用状态检测技术v主要处理IP包头，也可具有内容检测功能v选购时参考吞吐量、并发连接数、接口v主要品牌：启明星辰、天融信v推荐开源软件pfSense 防火墙典型部署防火墙典型部署部署在不同安全级别的网络安全域之间，根据不同的安全级别对不同的安全域开启不同的安全防护策略。负载均衡设备简

11、介负载均衡设备简介v分为链路负载和服务器负载均衡两类v链路负载均衡用于跨运营商链路的自动优化并实现带宽资源的充分利用v服务器负载均衡保障服务器集群的响应时间和服务能力v主要品牌：F5、Radwarev推荐开源软件Nginx 负载均衡典型部署负载均衡典型部署IPS/IDS简介简介vIDS（入侵检测系统）接受镜像流量并分析报警vIPS（入侵防御系统）串行在链路中分析入侵阻断v基于特征库工作，需要定期更新v选购时主要参考误报率/误杀率、吞吐量和并发数v主要品牌：绿盟、启明星辰v推荐开源软件Snort IPS/IDS典型部署典型部署流量控制系统流

12、量控制系统简介简介v串联在网络边界处对流量进行处理v可以识别数据包中的协议类型v针对不同的IP地址和协议进行带宽分配v用来保护关键用户和协议应用v选购时主要考虑流量、并发数和接口v主要品牌：深信服、网康v推荐开源软件Panabit http:/ http:/防防病毒网关病毒网关部署部署上网行为管理上网行为管理简介简介v 根据互联网安全保护技术措施规定（公安部82号令）要求上网记录必须留存60天，v 可串联可并联v 记录用户访问的网页，可对协议类型进行识别v 可对部分聊天工具进行监控v 选购时主要参考吞吐量、接口和并发连接数v 主要品牌：深信服、网康上网行为上网行为管理管理部署部署漏洞漏洞扫描系

13、统简介扫描系统简介v可检测网络设备、安全设备和主机的安全漏洞v可扫描操作系统的漏洞、弱口令、空口令并探测存活的服务类型v保持路由可达即可执行扫描v定期扫描可准确了解网络的安全状态v选购时主要参考并发扫描数、分析报告的可读性v主要品牌：绿盟、启明星辰v推荐开源软件Nessus 漏洞漏洞扫描扫描部署部署终端终端安全管理安全管理简介简介v主要功能包括资产管理、终端保护、进程监控和外设管理等v可检查安全状况实现准入控制、限制移动存储设备使用、监控资产变化、推送补丁、监控进程v需要在终端上安装Agentv选购时主要考虑功能和准入方式v主要品牌：赛门铁克、Landisk终端安全

14、管理部署终端安全管理部署安全管理平台简介安全管理平台简介v对分散的安全日志和事件进行集中，实现统一安全事件展现和管理v获取网络设备的SNMP TRAP消息、安全设备的SYSLOG日志和主机设备的安全日志v主机上需安装Agent或配置支持WMI的日志采集套件v属于项目化的安全产品，定制程度高安全管理安全管理平台平台部署部署目录目录为什么需要信息安全？为什么需要信息安全？1什么是信息安全？什么是信息安全？2常见安全产品原理简介常见安全产品原理简介3校园网安全建议校园网安全建议4校园网特点校园网特点v规模大、节点分散v网络流量大且时段集中v新旧设备混杂，维护不便v学生好奇心强，进行各种破坏v网站一般

15、采用虚拟主机或托管方式案例一案例一v某天，某校报告网络速度缓慢v通过网络管理软件进行流量分析v确认某主机流量异常v将该设备断开网络后速度恢复正常v查杀病毒后接入网络无异常案例二案例二v某天，某校报告大部分终端不能访问网络v查看该校上行链路正常v查看该校核心设备部分端口流量异常v在某办公室发现无线路由器造成环路v拔掉一条网线后网络恢复案例三案例三v某天，多个学校报告不能访问网络v发现上行均使用同一块板卡连接v插拔核心6509上的X6724光口模块板v问题没有解决v替换到备机进行维修v维修后问题解决朝阳区教育网安全防护朝阳区教育网安全防护安全建议：终端管理安全建议：终端管理v移动存储设备管理v防病毒v补丁管理v账号、口令管理v网络准入vARP防护安全建议：网络安全管理安全建议：网络安全