基本安全性ppt课件

1、根本平安性家庭和小型企業網路 第八章目標認識和描画各種網路威脅認識各種攻擊方式描画平安規範和應用程式描画防火牆的特點，以及如何應用防火牆防範攻擊内容索引8.1 網路威脅8.2 攻擊方式8.3 平安政策8.4 运用防火牆8.1.1 網路入侵風險電腦網路，不論是有線還是無線網路，都已成為人們日常活動中不可或缺的一部份。個人與組織都依賴於電腦和網路來處理電子郵件、財務、組織和檔案管理之類的任务。不速之客的入侵能够導致代價高昂的網路中斷和任务成果的遺失。針對網路的攻擊有時具有相當的破壞性，能够呵斥重要資訊或資產的損壞或失竊，導致時間上和金錢上的損失。入侵者可透過軟體破绽、硬體攻擊甚至一些不需求高科技的

2、方法例如猜測某人的运用者名稱和密碼來獲得對網路的存取權。透過修正或利用軟體破绽來獲取存取權的入侵者通常被稱為駭客。8.1.1 網路入侵風險一旦駭客获得網路的存取權，能够為網路帶來以下四種威脅：資訊盜竊、身份盜竊、資料遺失/操縱、服務中斷8.1.1 網路入侵風險操作練習8.1.2 網路入侵的來源網路入侵者呵斥的平安威脅能够來自網路內部和外部兩個源頭。外部威脅是由組織外部活動的個人引起的。他們沒有存取組織電腦系統或網路的權限。外部攻擊者主要透過網際網路、無線連結或撥號存取伺服器進入網路。8.1.2 網路入侵的來源內部威脅是由具備授權运用者帳戶的個人，或能夠實際接觸網路設備的人員導致的。內部攻擊者瞭

3、解內部的政策和人員。他們往往清楚的知道，什麼資訊有價值而且易受攻擊，以及如何獲得該資訊。然而，並非一切內部攻擊都是故意的。在某些情況下，一個受信任的員工在公司外部任务時能够會感染上病毒或平安威脅，然後在不知情的情況下將它帶到內部網路中，從而呵斥內部威脅。許多公司都在防禦外部攻擊上花費了大量資源，但大多數威脅其實來自內部。據 FBI 調查顯示，在報告的平安入侵事件中，約有 70% 都是因內部存取和電腦系統帳戶运用不當呵斥的。8.1.3社交工程和網路釣魚對於內外兩個源頭的入侵者而言，要想獲得存取權，最簡單的一種方法就是利用人類行為的弱點。利用人類弱點的常見方法之一便是社交工程(Social Eng

4、ineering) 。社交工程中最常用的三種技術有：冒名申請、網路釣魚和語音網路釣魚。8.1.3社交工程和網路釣魚冒名申請 (Pretexting) 是一種社交工程方式，攻擊者會對受害人編造虛假情景冒名申請，以使受害人洩漏資訊或執行某種操作。通常是透過電話聯絡攻擊目標。要使冒名申請起作用，攻擊者必須能夠與目標人員或受害人建立合理聯絡。為此，攻擊者普通需求預先進行一些瞭解或研讨。例如，假设攻擊者知道攻擊目標的社會保險號碼，他們就會运用該資訊來獲取攻擊目標的信任。那麼攻擊目標便很有能够進一步洩漏資訊。8.1.3社交工程和網路釣魚網路釣魚是一種社交工程方式，網路釣魚者將本人偽裝成外部機構的合法人員。

5、他們通常透過電子郵件聯絡攻擊目標個人網路釣魚受害者。網路釣魚者能够會聲稱，為了防止某些糟糕的後果，要求攻擊目標提供確認資訊例如密碼或运用者名稱 。8.1.3社交工程和網路釣魚語音網路釣魚/電話網路釣魚一種运用 IP 語音 (VoIP) 的新式社交工程被稱為語音網路釣魚(vishing)。在語音網路釣魚攻擊中，运用者會收到一封語音郵件，郵件中指示他們撥打一個看上去像是正規電話銀行服務的電話號碼。隨後，沒有設防的运用者撥打該號碼時，通話會被竊賊截聽。為了進行確認而透過電話輸入的銀行帳戶號碼或密碼便會被攻擊者竊取。8.2.1 病毒、蠕蟲和特洛伊木馬其他類型的攻擊，這些攻擊借助電腦軟體的破绽來執行。此

6、類攻擊技術包括：病毒、蠕蟲和特洛伊木馬。一切這些都是侵入主機的惡意軟體。它們會損壞系統、破壞資料以及拒絕對網路、系統或服務的存取。它們還可將資料和個人詳細資訊從沒有設防的 PC 运用者轉送到犯罪者手中。在許多情況下，它們會本身複製，然後傳播至連接到該網路的其他主機。8.2.1病毒、蠕蟲和特洛伊木馬病毒是透過修正其他程式或檔案來執行和傳播的一種程式。病毒無法自行啟動，而需求被啟動。有的病毒一旦啟動，便會迅速自我複製並四處傳播，但不會執行其他操作。這類病毒雖然很簡單，但依然非常危險，因為它們會迅速佔用一切可用記憶體，導致系統停機。編寫的更為惡毒的病毒能够會在傳播前刪除或破壞特定的檔案。病毒可透過電

7、子郵件附件、下載的檔案、即時訊息或磁片、CD 或 USB 裝置傳送。觀看動畫8.2.1病毒、蠕蟲和特洛伊木馬蠕蟲類似於病毒，與病毒不同的是它無需將本身附加到現有的程式中。蠕蟲运用網路將本人的副本傳送到所連接的一切主機中。蠕蟲可獨立執行並迅速傳播，它並不一定需求啟動或人為干預才會發作。自我傳播的網路蠕蟲所呵斥的影響能够比單個病毒更為嚴重，而且可迅速呵斥網際網路大面積感染。特洛伊木馬是一種非自我複製型程式，它以合法程式的容颜出現，但實質上卻是一種攻擊工具。特洛伊木馬依賴於其合法的外表來欺騙受害人啟動該程式。它的危害性能够相對較低，但也能够包含可損壞電腦硬碟內容的程式碼。特洛伊木馬還可為系統建立後門

8、，從而使駭客獲得存取權。8.2.1 阻斷服務和暴力攻擊阻斷服務 (DoS)DoS 攻擊是針對單個電腦或一組電腦執行的一種侵略性攻擊，目的是拒絕為特定运用者提供服務。DoS 攻擊可針對运用者系統、伺服器、路由器和網路連結發起。兩種常見的 DoS 攻擊為：SYN併發氾濫攻擊 向伺服器傳送大量請求用戶端連接的封包。這些封包中包含無效的來源 IP 位址。伺服器會因為試圖回應這些虛假請求而變得極為忙錄，導致無法回應合法請求。死亡之 ping：向裝置傳送超過 IP 所允許的最大值65,535 位元組的封包。這可導致接纳系統異常。8.2.1 阻斷服務和暴力攻擊8.2.1 阻斷服務和暴力攻擊分散式阻斷服務(D

9、DoS)DDoS 是一種更為狡猾且更具破壞性的 DoS 攻擊方式，其目的是运用無用的資料淹沒網路連結。DDoS 的執行規模遠比 DoS 攻擊更大，通常會有成百上千個攻擊點試圖同時淹沒攻擊目標。攻擊點能够是之前沒有設防而感染了 DDoS 程式碼的電腦。感染 DDoS 程式碼的系統會在被呼叫時攻擊目標站台。暴力攻擊在暴力攻擊中，攻擊者运用執行速度很快的電腦來嘗試猜測密碼或破解加密金鑰。攻擊者會在短時間內嘗試大量能够的密碼來獲取存取權或破解金鑰。暴力攻擊可引起針對特定資源的流量過大或运用者帳戶鎖定，從而導致阻斷服務。8.2.3 間諜軟體、追蹤Cookie、廣告軟體和快顯許多威脅的目的是搜集运用者的相

10、關資訊以用於廣告、行銷和研讨目的。儘管它們能够不會損壞電腦，但仍會进犯隱私，而且非常招人反感。間諜軟體是一種程式，用於在未得到运用者認可或运用者不知情的情況下從電腦中搜集個人資訊。然後，這些個人資訊會傳送至網際網路上的廣告商或第三方，其中能够包含密碼和帳戶號碼。間諜軟體通常是在下載檔案、安裝其他程式或按一下快顯時暗中安裝。它會降低電腦速度，變更內部設定，導致更多的破绽暴露給其他威脅。此外，間諜軟體也難以刪除。追蹤Cookie： Cookie 是間諜軟體的一種方式，但也有一些 Cookie 起到積極的作用。Cookie 用於在網際網路运用者存取網站時記錄运用者的資訊。由於它允許個性化定制以及其他

11、一些節省時間的方法，所以能够相當有用並受人歡迎。許多網站都要求运用者啟用 cookie 後才干進行連接。8.2.3 間諜軟體、追蹤Cookie、廣告軟體和快顯廣告軟體是另一種方式的間諜軟體，它透過运用者存取的網站搜集运用者資訊。這些資訊之後會被利用進行針對性的廣告宣傳。快顯和背顯式廣告是运用者在瀏覽網站時顯示的附加廣告宣傳視窗。與廣告軟體不同，快顯和背顯式廣告並不搜集關於运用者的資訊，而且通常只與所存取的網站關聯。快顯：在目前瀏覽器視窗的前端開啟。背顯式廣告：在目前瀏覽器視窗的後端開啟。8.2.3 間諜軟體、追蹤Cookie、廣告軟體和快顯8.2.4 渣滓郵件渣滓郵件是非常嚴重的網路威脅，可導

12、致 ISP、電子郵件伺服器和运用者系統不堪重負。傳送渣滓郵件的個人或組織稱為渣滓郵件傳送者。渣滓郵件傳送者通常利用未受平安保護的電子郵件伺服器來轉送電子郵件。渣滓郵件傳送者能够运用駭客技術例如病毒、蠕蟲和特洛伊木馬來控制家用電腦。受控的這些電腦就會被用來在主人毫不知情的情況下傳送渣滓郵件。渣滓郵件可透過電子郵件傳送，如今它們還可透過即時訊息軟體傳送。據估計，網際網路上的每個运用者每年收到的渣滓電子郵件超過 3,000 封。渣滓郵件耗费了大量的網際網路頻寬，此問題的嚴重性已引起了許多國家的重視，各國紛紛出台法律控制渣滓郵件的运用。觀看動畫8.3.1 常用平安措施平安風險無法徹底消除或預防。但是，

13、有效的風險管理和評估可顯著減少現有的平安風險。要將風險降至最低，人們必須認識到一點：沒有任何一件產品可為組織提供絕對的平安保護。要獲得真正的網路平安，需求結合採用多種產品和服務、制定全面的平安政策並嚴格實作該政策。8.3.1 常用平安措施平安政策透過平安程序來實施。這些程序定義了主機和網路裝置的設定、登入、稽核和維護過程。其中包括运用預防性措施來降低風險，以及採用主動措施來處理知平安威脅。可保護網路平安的一些平安工具和應用程式有：軟體修補程式和更新病毒防護間諜軟體防護渣滓郵件攔截器快顯封鎖程式防火牆觀看動畫8.3.2 更新和修補程式駭客用來獲取主機和或網路存取權的最常見方法之一便是利用軟體破绽

14、，因此及時對軟體應用程式應用最新平安性修正程式和更新以阻止威脅極為重要。修補程式是修復特定問題的一小段程式碼。更新則能够包含要新增到套裝軟體中的附加功能以及針對特定問題的修補程式。作業系統例如 Linux、Windows 等和應用程式廠商會不斷提供更新和平安性修補程式，以更正軟體中知的破绽。此外，廠商通常還會發佈修補程式和更新的集合，稱為服務套件。值得慶倖的是，許多作業系統都具有自動更新功能，可在主機上自動下載和安裝作業系統與應用程式更新。8.3.3 防病毒軟體檢測病毒即使作業系統和應用程式安裝了一切最新的修補程式和更新，依然容易遭到攻擊。任何連接到網路的裝置都能够會感染上病毒、蠕蟲和特洛伊木

15、馬。這些攻擊可損壞作業系統程式碼、影響電腦效能、變更應用程式和毀壞資料。感染病毒、蠕蟲或特洛伊木馬後，能够出現的症狀有：電腦行為開始變得不正常。程式不回應滑鼠和按鍵程式自行啟動或關閉電子郵件程式開始外發大量電子郵件。CPU 运用率非常高。有不認識的或大量的程序執行電腦速度顯著下降或崩潰。8.3.3 防病毒軟體防病毒軟體可用作預防工具和反應工具。它可預防感染，並能偵測和刪除病毒、蠕蟲和特洛伊木馬。連接到網路的一切電腦都應安裝防病毒軟體。市面上存在許多防病毒程式。防病毒程式可具有以下功能：電子郵件檢查 掃描傳入和傳出電子郵件，辨識可疑的附件。常駐動態掃描 在存取可執行檔和文件時對它們進行檢查。計畫

16、掃描 可根據計畫按固定的間隔執行病毒掃描以及檢查特定的磁碟機或整個電腦。自動更新 檢查和下載知的病毒特徵碼和樣式，並可設為定期檢查更新。8.3.4反渣滓郵件渣滓郵件不僅惹人討厭，還能够呵斥電子郵件伺服器超載，有時還攜帶有病毒和其他平安威脅。渣滓郵件傳送者還可以透過在主機上植入病毒或特洛伊木馬程式碼來控制主機。讓受控主機在运用者毫不知情的情況下傳送渣滓郵件。遭到這種方式感染的電腦稱為渣滓郵件製造廠反渣滓郵件軟體可鑑別渣滓郵件並執行相應操作例如將其放置到渣滓郵件資料夾或刪除，從而為主機提供保護。此類軟體可在機器本地載入，也可在電子郵件伺服器上載入。此外，許多 ISP 也提供渣滓郵件過濾器。反渣滓郵

17、件軟體無法辨識一切的渣滓郵件，因此開啟電子郵件時仍須非常謹慎。有時候，有用的電子郵件也會被錯誤地當作渣滓郵件處理了。觀看動畫除了运用渣滓郵件攔截器以外，還可运用其他預防措施來防止渣滓郵件傳播，這些措施包括：及時安裝現有的作業系統和應用程式更新。定期執行防病毒程式，並始終坚持最新版本。不要轉送可疑的電子郵件。不要開啟電子郵件附件，尤其是來自陌生人的郵件附件。設定電子郵件規則，刪除繞過反渣滓郵件軟體的渣滓郵件。鑑別渣滓郵件來源，並將其報告給網路管理者以便阻隔該來源。將事件報告給處理渣滓郵件濫用的政府機構。8.3.4反渣滓郵件8.3.5反間諜軟體反間諜軟體和廣告軟體間諜軟體和廣告軟體也會導致類似病毒

18、的症狀。除了搜集未經授權的資訊外，它們還會佔用重要的電腦資源並影響效能。反間諜軟體可偵測和刪除間諜軟體應用程式，並防止這些程式將來再度安裝。許多反間諜軟體應用程式還包括 cookie 及廣告軟體的偵測和刪除功能。某些防病毒套裝軟體具有反間諜軟體功能。快顯封鎖程式可安裝快顯封鎖程式軟體來阻止快顯和背顯式廣告。許多 Web 瀏覽器預設包含快顯封鎖程式的功能。請留意，某些程式和網頁會產生必要和有用的快顯視窗。因此，大多數快顯封鎖程式都具有略過功能即允許某些快顯視窗。8.4.1 什麼是防火牆防火牆是保護內部網路运用者遠離外部威脅的最為有效的平安工具之一。防火牆位於兩個或多個網路之間，控制其間的流量並幫

19、助阻止未授權的存取。防火牆產品运用多種技術來區分應制止和應允許的網路存取。封包過濾 根據 IP 或 MAC 位址阻止或允許存取。應用程式/網站過濾 根據應用程式來阻止或允許存取。網站攔截則透過指定網站 URL 位址或關鍵字來實現。狀態封包偵測 (SPI) 傳入封包必須是對內部主機所發出請求的合法回應。除非得到特別允許，否則未經請求的封包會被攔截。狀態封包偵測還可具有辨識和過濾特定類型攻擊例如 DoS的才干。8.4.1 什麼是防火牆防火牆可援助一個或多個此類過濾功能。此外，防火牆通常會執行網路位址轉換 (NAT)。網路位址轉換將一個內部位址或一組位址轉換為一個公開的外部位址，該位址會透過網路傳送

20、。從而實現了對外部运用者隱藏內部 IP 位址的目的。8.4.1 什麼是防火牆防火牆產品具有各種方式：基於裝置的防火牆 此類防火牆內建在專用的硬體裝置稱為平安裝置中。基於伺服器的防火牆 此類防火牆是在網路作業系統NOS，例如 UNIX、Windows 或 Novell上執行的防火牆應用程式。整合防火牆 此類防火牆透過對現有裝置例如路由器新增防火牆功能來實現。個人防火牆 此類防火牆位於主機電腦中，不是被設計用於 (保護) LAN 實作。它可以由作業系統預設提供，也可以由外部廠商提供安裝。8.4.2 运用防火牆透過在內部網路內部網路和網際網路之間設定防火牆作為邊界裝置，一切往來網際網路的流量都會被監

21、視和控制。如此一來，便在內部和外部網路之間劃分了一條明晰的防禦界線。然而，能够會有一些外部客戶需求存取內部資源。為此，可設定一個非軍事區 (DMZ) 。術語非軍事區借用自軍事用語，它代表兩股勢力之間的一個指定區域，在該區域內不允許執行任何軍事活動。在電腦網路中，非軍事區代表內部和外部运用者都可存取的網路區域。其平安性高於外部網路，低於內部網路。它是由一個或多個防火牆建立的，這些防火牆起到分隔內部、非軍事區和外部網路的作用。用於公開存取的 Web 伺服器通常位於非軍事區中。觀看動畫8.4.2 运用防火牆單防火牆設定單個防火牆包含三個區域，分別用於外部網路、內部網路和非軍事區。來自外部網路的一切流量都被傳送到防火牆。然後防火牆會監控流量，決定哪些流量應傳送到非軍事區，哪些應傳送到內部