计算机网络与信息安全技术讲座

1、计算机网络与信息安全技术讲座美资深黑客令ATM当场吐钞 2010.7.31Barnaby Jack在2010.7黑帽大会上的演示 按下一个按钮，现场一个ATM提款机就喷涌出现金用USB口用调制解调器口计算机网络安全是个系统工程！应用数学密码学信息论计算机技术操作系统网络编程语言系统测试通信网络编码监听和侦查社会学社交用户行为用户习惯。提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介计算机网络和信息安全攻击主机安全保护技术网络安全保护技术计算机网络和信息安全研究问题数据的保密性加密和解密算法公钥加密和解密私钥加密和解密数据的完整性信息摘要数据没有经过篡改 数据源

2、的确定性确认通信双方服务的可用性保证服务是可用的数据不可否认不能否认发送过数据如何保障计算机网络和信息安全？重视政府，公司领导，技术人员，普通用户教育懂得安全的基本问题，攻击手段， 防范措施规划制定公司信息安全的总体要求和具体规划规范技术措施， 行为规范，使用控制，权限管理实施安全评估，技术手段， 产品选型提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介计算机网络和信息安全攻击主机安全保护技术网络安全保护技术公安部信息系统安全保护5级划分第一级为自主保护级，主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会

3、秩序、经济建设和公共利益。第二级为指导保护级，主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级为监督保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。公安部信息系统安全保护5级划分第四级为强制保护级，主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级，主要对象为涉及国家安全、社会秩序、经济建设和

4、公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。信息安全等级保护颁布2007年7月，四部委联合会签并下发了关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号） 定级范围：电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度

5、、管理、办公等重要信息系统。市（地）级以上党政机关的重要网站和办公信息系统。涉及国家秘密的信息系统。整体保护能力威胁分类自然、环境威胁技术故障人员错误恶意攻击安全技术要求物理安全网络安全主机安全应用安全数据安全安全管理要求安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理物理层网络层系统层应用层管理层安全管理制度业务处理流程 业务应用，后台处理 数据库 身份鉴别，访问控制。防病毒，防侵入防火墙， 入侵保护防内容泄露物理设备安全环境安全信息安全体系信息系统安全体系结构等级保护基本要求：技术（二、三级） 物理安全：位置选择、访问控制、防盗和防破坏、防雷、防火、防水、防潮、防静电、电力保障

6、、电磁防护 网络安全：结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络入侵防范、网络设备防护、恶意代码防范 主机系统安全：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制 应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制 数据安全：数据完整性、数据保密性、数据备份与恢复等级保护基本要求：管理（二、三级） 安全管理机构：岗位设置、人员配置、授权与审批、沟通与合作、审核与检查 安全管理制度：管理制度、制定与发布、评审与修订 人员安全管理：人员录用、人员离

7、岗、人员考核、安全意识教育与培训、第三方人员管理 系统建设管理：系统定级、系统备案、安全方案设计、产品采购、自行软件研发、外包软件开发、工程实施、工程验收 系统运维管理：环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介计算机网络和信息安全攻击主机安全保护技术网络安全保护技术安全管理人员人员录用专业技术水平和安全管理知识，背景调查，技能考核，保密和安全协议，关键岗位内部选拔和定期审查人员离岗终止权限，取回各

8、种身份证件、钥匙、徽章等以及软硬件设备，承诺保密人员考核安全审查，技能和认知考核，惩戒安全意识教育和培训意识教育，责任和惩戒措施，培训计划第三方人员管理安全责任合同书或保密协议，区域访问控制和记录系统建设管理系统定级安全风险评估安全方案设计产品采购自行开发设计外包开发设计工程实施测试验收系统交付安全测评系统备案安全服务商选择系统运维管理环境管理资产管理介质管理设备使用管理运行维护和监控管理网络安全管理系统安全管理恶意代码防护管理密码管理变更管理备份和恢复管理安全事件处置应急计划管理提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介网络技术基础计算机网络和信息安全

9、攻击主机安全保护技术网络安全保护技术ISO/OSI 七层通信协议物理层数据链路层网络层传输层会话层表示层应用层计算机A计算机B物理层数据链路层网络层传输层会话层表示层应用层互联网 （TCP/IP) 层通信协议物理层数据链路层 (Ethernet)网络层 (IP)传输层（TCP/UDP)应用层 (HTTP, FTP)计算机A计算机B物理层数据链路层(Ethernet)网络层 (IP)传输层(TCP/UDP)应用层(HTTP, FTP) Introduction1-22网络体系机构网络终端:应用和终端机器 接入网, 物理媒体: 有线, 无线的数据链路 骨干网: 互联的路由器网络的网络网络终端终端机

10、器(hosts):运行应用程序 如互联网, 电邮在 “网络的边上”client/serverpeer-peer用户端/服务器模型对等网络模型:接入网络和物理媒体Q: 如何把终端接入网络?住户接入网机构接入网 移动接入网考虑: 带宽?独享还是共享?骨干网（网络核心） 路由器通过数据链路形成相联接的网状网根本问题: 数据如何通过网络传送？分组交换互联网结构：顶层网络营运商（Tier 1 ISP）to/from customerspeering to/from backbone.POP: point-of-presence互联网结构: 网络的网络地区性网络运营商 Tier 1 ISPTier 1 I

11、SPTier 1 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISP地区性运营商可直接互联互联网结构: 网络的网络本地网络服务提供商（接入网络， local ISP）Tier 1 ISPTier 1 ISPTier 1 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPlocalISPlocalISPlocalISPlocalISPlocalISPTier 3ISPlocalISPlocalISPlocalISP互联网结构: 网络的网络一个数据包需要经历很多不同的网络!Tier 1

12、ISPTier 1 ISPTier 1 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPlocalISPlocalISPlocalISPlocalISPlocalISPTier 3ISPlocalISPlocalISPlocalISP源机器applicationtransportnetworklinkphysicalHtHnMsegmentHtdatagram终点机器applicationtransportnetworklinkphysicalHtHnHlMHtHnMHtMMnetworklinkphysicallinkphysical

13、HtHnHlMHtHnMHtHnMHtHnHlMrouterswitchmessageMHtMHnframe数据的封装和传输提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介网络技术基础信息安全问题计算机网络和信息安全攻击主机安全保护技术网络安全保护技术网络黑客能干什么？侵入:未经授权进入系统窃听: 拦截消息篡改：主动插入消息到当前活动的联接 伪装: 伪装通信源地址会话绑架: 截取并控制当前活动的联接“ 拒绝服务: 带宽、内存、cpu占用， 利用漏洞瘫痪服务 。信息加密对称钥匙加密算法: 发送端和接收端有相同钥匙公钥加密算法 : 用公共钥匙加密， 用私有钥匙解密

14、原文原文密文KA加密算法解密算法Alices 加密钥匙Bobs 解密钥匙KB对称钥匙加密对称钥匙加密: Bob 和 Alice 共享一个钥匙码 : KQ: Bob 和 Alice 如何同意或确认钥匙码?如何让通信方共享钥匙？ (如果他们不认识而且没有见过”)?原文消息密文KA-B加密算法解密算法KA-B原文消息 mK (m)A-BK (m)A-Bm = K ( ) A-B对称钥匙加密标准算法DES: 数据加密标准（Data Encryption Standard美国加密算法标准 NIST 199356-位对称钥匙, 64-位原文输入安全性?可破解，要怀疑的后门解密算法用三钥匙系列 (3-DES

15、) 增强安全性AES：增强加密标准2001制定取代DES数据128 位钥匙128, 192, 或 256 位更好的安全性DES 一秒破译的话， AES 要1490 000 亿年才能破译 公共钥匙加密算法原文消息 m密文加密算法解密算法Bob的 公共钥匙 key 原文消息K (m)B+K B+Bob 的 私有钥匙 K B-m = K (K (m)B+B-公共钥匙加密算法和对称钥匙加密完全不一样 发送端、接收端不共享钥匙所有人知道公共钥匙只有接收者知道私钥不能由公钥推出私钥RSA公共钥匙加密算法数据完整性保护Bob 收到Alice的消息,必须确认:消息是从Alice来的 消息从Alice送出来后没

16、有受到篡改数据哈希:给定一个消息 m， 产生定长的哈希值, H(m)要求没法找到两个不同的消息 x, y 使得 H(x) = H(y)消息确认码 （MAC）ms(共享秘密)(消息)H(.)H(m+s)公共互联网消息尾mH(m+s)s比较mH(m+s)H(.)H(m+s)(共享秘密)MD5 哈希函数 (RFC 1321) 128-位 MAC 2005 对MD5的攻击 SHA-1 也广泛应用美国 标准 NIST, FIPS PUB 180-1160位 MAC数字签名类似人手写签名功能的加密技术发送方(Bob) 数字签名一个文件, 确认他是文件创建者或文件拥有者 签名可确认，不能仿造: 接收者 (A

17、lice) 能够向别人证明是发送方（ Bob）, 而不是别人 (包括 Alice自己) 对该文件做了签名 不可否认性：发送方不能否认签名数字签名方法对消息m的数字签名:Bob 用私有钥匙 KB, 对消息进行加密 KB(m)Alice 用Bob的共有钥匙解密 m = KB( KB(m)-Dear AliceOh, how I have missed you. I think of you all the time! (blah blah blah)BobBob 的消息, m公共钥匙加密算法Bob的 私有钥匙K B-Bob加密消息 K B-(m)-+ 长消息 MH: 哈希函数H(m)数字签名(加密

18、)Bob 私有钥匙 K B-+Bob 发送签名消息Alice 确认 Bob 的签名和消息的完整性KB(H(m)- 加密的消息 确认码KB(H(m)- 加密的消息 确认码 长消息 MH: 哈希 函数H(m)数字签名(解密)H(m)Bob 的公钥 K B+相等 ?数字签名 签名 MAC安全套接字层 (SSL)提供任何采用TCP 的应用的传输层安全 例如：https，ssh 安全功能: 服务器确认, 数据加密, 用户确认(可选)TCPIPTCP enhanced with SSLTCP socketApplicationTCPIP TCP APISSL sublayerApplicationSSLs

19、ocketSSL: 三步第一步1. 联接建立:建立TCP联接用CA签名的证书确认服务器（Alice）建立、加密（用服务器的公钥）请求者的主密钥并送给服务器 SSL hellocertificateKA+(MS)TCP SYNTCP SYNACKTCP ACKdecrypt using KA- to get MScreate MasterSecret (MS)SSL: 三步第二步2. 钥匙产生:双方用共享密钥 产生四个钥匙:EB: Bob-Alice 数据加密钥匙EA: Alice-Bob数据加密钥匙MB: Bob-Alice MAC keyMA: Alice-Bob MAC key加密和 MA

20、C 算法由双方确认SSL: 三步第三步3. 数据传输H( ).MBb1b2b3 bnddH(d)dH(d)H( ).EBTCP byte streamblock n bytes together compute MAC encrypt d, MAC, SSL seq. #SSL seq. #dH(d)Type Ver LenSSL record formatencrypted using EBunencryptedIPSec: 网络层安全网络层加密 : 发送端加密发送的数据TCP 、UDP 、ICMP 和 SNMP等数据或消息.网络层通信方确认接收端可确认源IP地址两个主要协议（protoco

21、ls）:确认头（authentication header ，AH) 协议没有数据加密功能封装安全数据（encapsulation security payload ，ESP) 协议双方握手:建立网络层逻辑信道-安全关联（security association ，SA)SA 单向.确认头（AH) 协议源确认、数据完整性功能没有加密功能中间路由器把数据包看成普通数据IP headerdata (e.g., TCP, UDP segment)AH header封装安全数据（ESP) 协议源确认、数据完整性功能、加密功能数据 和ESP 尾（trailer）加密 next header field

22、is in ESP trailer.IP headerTCP/UDP segmentESPheaderESPtrailerESPauthent.encryptedauthenticated提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介计算机网络和信息安全攻击主机安全保护技术网络安全保护技术计算机网络和信息安全攻击系统侵入攻击加密算法攻击完整性算法模仿数字签名（攻击数字签名算法）攻击通信方确认机制篡改数据源攻击可用性DOSDDOS计算机系统安全问题的主要原因系统软件配置系统补丁没有及时安装开放一些不必要的服务应用软件配置软件维护软件没有及时更新用户管理弱的用户

23、密码规则弱的权限管理缺乏必要的安全软件恶性软件安装老一代的黑客(2000 前)Profile:计算机迷14 到34 岁不用照顾家庭不为钱Source: Raimund Genes新一代黑客高中未毕业生“most of these people I infect are so stupid they really aint got no business being on the Internet in the first place.“技能用攻击工具少量计算机知识工作时间: 2-10 分钟管理 Botnet收入: 平均 $6,800 /月每天工作: 网上闲逛, 网上聊天 botnets 自动挣

24、钱控制 13,000 以上的计算机, 分布在世界各地 不断地感染新的 Bot PCs, 下载广告软件和恶性软件到受感染的机器 窃取敏感数据帐号, 密码, 电邮, 社会安全号,信用卡号, 银行帐号等出售服务和非法数据给各种公司TopC, GammaC, Loudcash, or 180Solutions.Washington Post: Invasion of the Computer Snatchers网络安全问题有多大?/stats/CERT 漏洞报告恶性软件(Malware) 分类Virus(病毒)Worm(蠕虫)Trojan(木马)Bot and Botnet (僵尸和僵尸网)Spywa

25、re (间谍软件)Backdoor (后门)Downloader (下载软件）Ransomware（敲诈软件）Adware （广告软件）Rootkit （根权限软件）常见的网络攻击分类2006 MITRE CVE stats: 21.5% of CVEs 是跨位置脚本攻击 （XSS） 14% 对数据库插入的攻击 （SQL injection） 9.5% 网页 php includes“ 7.9% 缓存溢出（buffer overflow）2005 年前, buffer overflows 是最常见2005 年后, Cross-Site Scripting (XSS) 最常见56安全漏洞： 网页

26、漏洞占了主流Source: MITRE CVE trends网络程序的漏洞已经超过操作系统的漏洞网络攻击实例: SilentBankerProxy intercepts request and adds fieldsBank sends login page needed to log inWhen user submits information, also sent to attackerCredit: Zulfikar Ramzan网络安全黑市RankLast Goods and servicesCurrentPreviousPrices12银行账号22%21%$10-100021信用卡

27、13%22%$0.40-$2037身份证信息9%6%$1-154N/R网上拍卖账号7%N/A$1-858骗子邮件7%6%$2.50/wk - $50/wk (hosting); $25 design64垃圾邮件6%8%$1-1075电子邮件信息5%6%$0.83-$10/MB83电子邮件密码5%8%$4-30Credit: Zulfikar Ramzan为什么有这么多安全漏洞？有漏洞的程序.不安全代码重视一些原因较少的网络安全课程编程课本不重视安全较少的安全检查 编程语言（如C语言）本身不安全传统的软件模块有安全问题用户和运营商通常不够重视安全安全花费较高而不能立刻看到效果 安全漏洞的根源计算

28、机操作系统 Microsoft OSLinux通信协议设计的漏洞通常是协议设计和制定的问题TCP syn-to-death也有可能程序设计造成问题应用程序的漏洞Http Word蠕 虫 病 毒蠕虫病毒是能够通过计算机网络自我复制的恶性软件 利用普及的计算机网络服务或者应用的设计漏洞 绿霸软件通常造成巨大的损害 发动分布式拒接服务攻击（ DDOS ）, 安装僵尸网络 获取敏感数据破坏敏感数据造成信息混乱蠕虫病毒渗透方式 (Source S21sec)65% 利用浏览器的漏洞浏览器的安全错误13%电子邮件的附件垃圾电邮和来源不明的电邮11%操作系统的漏洞 9% 互联网下载其他 (2%)蠕虫病毒造成

29、的损害Morris蠕虫病毒, 1988感染了大概 6,000 计算机10% 连接到互联网的计算机 损害： 一千万美元 Code Red 蠕虫病毒, 2001年7月16日Morris蠕虫病毒 的衍生感染超过50万台服务器损害： $26 亿美元Love Bug 蠕虫病毒:损害 88 亿美元Code Red （2001） 蠕虫病毒感染速度Slammer 蠕虫病毒传播速度发作：01/25/2003漏洞发现：2002.6.25UDP 包 : 380字节ATM 服务中断电话网络阻塞 ( 911服务中断)5 DNS 根服务器不能提供服务飞机航班延迟Slammer 蠕虫病毒对服务器的影响僵尸网络是个很大的安全

30、问题僵尸机器用户没有察觉的安装在用户机器里的小恶意程序大部分用户没有觉察到僵尸软件安装普通用户是网络安全的最薄弱环节需要加强对普通用户的安全教育， 减少僵尸网络的传播和危害 成亿用户受到感染每天有53000新机器受到感染 (2007)僵尸网络受僵尸软件感染的机器联成网络由 命令和控制服务器管理 可用来做 DDOS, 信息战, 个人信息窃取, 发送垃圾邮件, 钓鱼邮件僵尸网路在世各地广泛危害 中, 美, 德, 西班牙, 法 是五个最多受感染机器的 僵尸网络工作原理C & CBotBotBotBot中央控制僵尸网络Centralized分布控制僵尸网络2008年 僵尸网络数僵尸网络在世界的分布情况

31、计算机网络攻击基本步骤搜集信息 实施入侵 上传程序、下载数据 利用一些方法来保持访问，如后门、特洛伊木马 隐藏踪迹 攻击协调和并发分布式拒绝服务攻击Botnets, P2P 攻击计算机网络攻击-搜集信息 了解将要攻击的环境搜集汇总各种与目标系统相关的信息，机器数目、类型、操作系统开放的服务（端口和入口点 ）安装的软件画出网络图计算机网络攻击漏洞查找和恶性软件安装 漏洞获取依据漏洞库查找匹配操作系统版本、开放服务、安装软件版本找出相关漏洞 专业漏洞测试和挖掘采用特定的反向思维方法分析运行程序的反编码利用专业的漏洞挖掘工具攻击恶性软件设计和使用现有的依据漏洞的恶性程序操作系统版本、开放服务、安装软

32、件版本找出相关漏洞自主开发的恶性程序Shellcode攻击机器后获得超级用户密码下载加密后的密码文件并试图解密计算机网络攻击入侵成功后的行为 安装恶意软件获取超级用户密码下载用户账号/密码文件并试图离线解密安装后门软件获取或破坏敏感数据下载加密后的密码文件并试图解密安装扩大攻击的工具网络扫描软件网路嗅包程序攻击脚本文件修改日志以掩盖攻击准备协调攻击网页安全：典型网站结构Web ApplicationFirewallLoadBalancerDBWS1WS2WS3FirewallAuthorization andAccess ManagementNetegrity (CA)Oblix (Oracl

33、e)AppServersFirewallIPS网页漏洞SQL 插入利用网页服务器应用中的数据库层的安全漏洞、插入攻击代码 浏览器或用户端发送恶性输入给服务器 不正确的用户输入检查造成恶性的 SQL 操作XSS 跨位置脚本攻击 攻击者插入用户端的脚本到网页中而网页被别的用户显示 恶性网站发送恶性脚本给无辜用户，让无辜用户到良性网站窃取信息CSRF 跨位置请求伪造 其他问题HTTP response splitting, site redirects, SQL 插入 基本原理80Victim ServerVictim SQL DBAttackerpost malicious formuninten

34、ded queryValuable data12381SQL 插入PHP 例子$recipient = $_POSTrecipient; $sql = SELECT PersonID FROM Person WHERE Username=$recipient; $rs = $db-executeQuery($sql);问题 recipient 有可能用恶性的字符串$recipient = a or t=t $sql = SELECT PersonID FROM Person WHERE Username=a OR t=t 跨位置脚本攻击 （XSS）Attack ServerVictim Ser

35、ver Victim clientvisit web sitereceive malicious pageclick on linkecho user input123send valuable data54Compromised Server0提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介计算机网络和信息安全攻击主机安全保护技术网络安全保护技术信息安全总体评估安全总体规划和安全评估方法制定IT 资源分类和安全要求分析IT工作流程和和策略风险评估及风险确认部门业务和IT总体评估漏洞确认威胁评估和详细分析威胁解除或减轻措施威胁解决或减轻的回访计算机和信息安全措

36、施及技术良好的总体安全规划：终端层、网络层、运营商层终端安全及时对操作系统打补丁， 获得计算机更新IT 部门需对补丁测试：有效性、副作用、漏洞严重程度IT部门制定强制打补丁措施区分不同严重程度，制定打补丁的要求安装防病毒软件和反间谍软件及时更新病毒的识别文件打开杀毒软件的实时监视功能安装单机防火墙软件网络层网络防火墙、网络入侵保护系统、网络防内容泄露系统、网闸运营商层提供解决信息安全必须的体系机构和解决范例终端计算机安全：使用规范(1)办公桌面系统必须安装防病毒软件启动病毒监控在线自动更新功能。(2)防止客户机在浏览互联网时，被含有恶意代码的程序所感染将浏览器的安全级别调整为“中”将隐私级别设

37、置为“中高”(3)安装操作系统最新的补丁软件包弥补操作系统本身存在的安全漏洞防止被攻击者或者计算机病毒所利用终端计算机安全：使用规范(4)启动操作系统的自动更新服务或设定企业内部系统自动更新服务定期自动升级并安装最新的补丁程序强制执行(5)密码管理政策减少登录密码泄露或被破解的可能性按照一定的规则设置桌面系统的登录密码要求定期修改采用一次性密码和固定密码组合方式依据岗位定权限 （Role-Based Access Control)(6)定时清除IE浏览器的临时文件夹防止部分敏感内容的泄露。终端计算机安全：使用规范(7) 定期备份重要的文件防止意外情况造成文件损失保管好存储备份文件的介质可通过网

38、络统一管理备份(8) 防止恶意代码植入系统预防计算机病毒感染收到来历不明的电子邮件时，不要随意打开邮件，并立即予以删除不随便点不认识的网络链接不下载未验证的软件(9)禁止在未经授权的情况下，私自修改系统的计算机命名标识和网络配置。终端计算机安全：使用规范(10)禁止任何联入办公网络的桌面系统使用调制解调器拨号上网。(11)禁止在未经授权的情况下，私自安装任何应用软件，在获得授权后，只允许安装与工作有关的正版应用软件。(12) 及时安装应用软件的补丁(13) 禁止访问互联网上与工作无关或来历不明的站点，禁止从互联网下载与工作无关的文件。(14) 关闭不必要服务补丁的管理 部署简便的补丁解决方案与

39、微软内网WSUS服务器协作，实时检测补丁列表，按组织机构设定补丁安装策略，对未在规定时间内安装补丁的客户机进行报警，支持补丁安装情况的查询。与微软补丁服务相比，拥有以下特点： 部署简便 减少信息获取延时 明确补丁安装情况 灵活配置安装策略终端机器补丁管理解决方案终端计算机安全：主机安全审计覆盖到服务器和客户端上的每个操作系统用户和数据库用户；记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用；事件记录包括日期和时间、类型、主体标识、客体标识、事件的结果等；根据记录数据进行分析，并生成审计报表；对特定事件，提供指定方式的实时报警；审计进程应受到保护避免受到未预

40、期的中断；审计记录应受到保护避免受到未预期的删除、修改或覆盖等。提 纲网络和信息安全基本问题公安部信息系统安全保护等级安全管理体制信息安全技术简介计算机网络和信息安全攻击主机安全保护技术网络安全保护技术安全隔离与信息交换系统（网闸）提供安全隔离和信息交换的服务专用硬件进行数据交换仲裁机负责完成安全保密检查在安全隔离的基础上，实现内外网之间有效、安全、受控的数据交换。网络准入控制(NAC)系统 为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护将防病毒、安全和管理解决方案结合在一起防御网络安全威胁 NAC的优势分析并控制试图访问网络的所有设备仅允许遵守安全

41、策略的可信终端设备(PC、服务器及PDA等)访问网络控制不符合策略或不可管理的设备访问网络。确保每个终端设备都符合企业安全策略最相关的、最先进的安全保护措施网络防火墙 放在内网和外网之间的软件和硬件屏障系统 进入内部网络（LAN）的第一关卡监控进出网络的通信信息并阻断有害信息依据设计或设置规则允许或截断数据流源 IP地址/端口, 终点 IP地址/端口, 服务类型, 协议, 源或者终点服务领域, 等.有状态的防火墙依据会话状态而不仅是数据包本身决定数据是否通过 防火墙的演变从数据包过滤器到基于会话状态的新一代防火墙随着威胁的变化而演变防火墙/安全互联网 虚拟私有网络（VPN ） 保护远程安全登录

42、和数据通信综合威胁管理（UTM） 防病毒（AV）, 防垃圾邮件（antispam）, 网址过滤（URL filtering）, 深度数据包检测和网络数据包检测（DI/IPS）。把大量的安全功能放在同一个安全系统中 应用软件/新一代网关从网络外围到网络核心体系解决演化的网络功能设计 多个网络进入口伙伴软件接口, 远程连接, 无线接入, 等网络分段功能 网络分区对用户角色和责任的确保 HSS BU 防火墙工作方法 拒绝没有特别允许的任何事情。 假定防火墙应该阻塞所有的信息 每一种所期望的服务或应用都是实现在case- by-case的基础上。 允许没有特别拒绝的任何事情。 转发所有的信息 可能存在

43、危害的服务都应在case-by-case的 基础上关掉。防火墙的功能控制计算机网络不同信任程度区域间传送的数据流网络安全的屏障提高一个内部网络的安全性过滤不安全的服务而降低风险强化网络安全策略防火墙为中心的安全方案配置实现所有安全软件（如口令、加密、身份认证、审计等）网络存取和访问进行监控审计记录下网络访问并产生日志记录提供网络使用情况的统计数据防止内部信息的外泄VPNNetscreen 5400 防火墙基本参数接口数量 ：8个mini-GBIC（SX、LX或TX）接口，或者2个XFP 万兆接口（SR或LR）最大吞吐量：30 Gbps FW，15 Gbps 3DES VPN最大会话数量：2,0

44、00,000最大VPN隧道数量 ：25,000最大策略数量 ：40,000最大虚拟系统数量：默认0个，可升级到500个最大虚拟局域网数量 ：4094最大安全区数量 ：默认16个，可升级到1,016个最大虚拟路由器数量：默认3个，可升级到503个支持的路由协议： OSPF, BGP, RIPv1/v2支持的高可用性模式 主/备， 主/主， 主/主全网状IPS（深层检测防火墙） 集成/重定向Web过滤 防火墙产品应用案例防火墙的使用演变ENTERPRISE NETWORKAppsDataFinanceVideoFirewallWork StationsUn-trust ZoneTrust Zone

45、Web ServerEmail ServerRouter分支机构合作伙伴远程工作点无线接入伙伴接入系统数据中心移动家/ 远程登录数据中心INTERNET防火墙的使用演变Mega Data Centers(thousands)Clients(billions)Global High-Performance NetworkCampusBranchHomeMobile工作人员全球化数据、应用综合化分布式企业体系结构防火墙现状专用高速防火墙/虚拟网络（ FW/VPN）高性能从2 Gbps 到 120 Gbps 吞吐量 加强网络各层功能虚拟化管理 VLANs, 虚拟路由器（Virtual Routers

46、）, 安全区（Security Zones）等.虚拟私有网络和安全互联网（IPSec VPN）多种功能动态路由, NAT, 质量保障（QoS）, IPS, ALGs, HA, 。网络安全审计系统 采用旁路或在线方式网络安全：审计和防内容泄露网络设备运行状况、网络流量、用户行为等全面的监测和记录；事件审计记录：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；根据记录数据进行分析，生成审计报表；对特定事件，提供指定方式的实时报警；审计记录应保护，避免受到未预期的删除、修改或覆盖等。对网络中流动的数据进行审计分析监控到内部网络中的外网访问行为邮件、MSN/QQ聊天、Web访问

47、、网络游戏、文件传输、在线电影频道行为基于业务的带宽分配、流量限制等防内容泄露保护实时阻断重要文件外传产生报警信息， 生成事件日志审计和防内容泄露：边界完整性检测检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为）对非授权设备私自联到网络的行为进行检查，定位，阻断网络入侵保护 （IPS）和内容审核系统3G/4G 移动子网路由器IP网 3G/4G 移动子网3G /4G移动子网路由器移动 数据中心/服务器系统防火墙内容审核系统反入侵系统内容审核系统网络入侵保护系统的优点Dropped from the network优点攻击实时阻断，避免影响网络减少攻击调查时间 适用

48、任何类型的网络数据 (IP, TCP, UDP, 等)只对有害数据丢包在线激活的安全系统，实时监测网络应用层的攻击并阻断恶性软件的传播UserUserUserServersMailServerWebServerFirewallHTTP TrafficCode red网络入侵保护系统典型应用大企业或网络运营商地区办公室中小企业中型企业综合 FW/IPSIPSIPSIPS数据包处理器网络入侵保护 （IPS）管理系统体系结构数据包处理引擎 数据包输入/输出数据包分片重组数据流管理流量异常检查协议分检器分析和译解各种应用协议安全规则包含各种安全检查、内容审核和内容过滤等规则安全规则和协议分检器可动态安

49、装、更新协议分检器安全/内容审核规则网络日志管理系统措施执行 网络端口网络入侵保护（IPS）管理系统数据包处理引擎IP 数据包分片重组（仅对v4)TCP 数据流重组应用程序 (HTTP,SIP,WAP) 剖析 事件关联分析网络日志 + 抓包数据流匹配查询/建立措施执行 网络端口UDP 数据流网络攻击检测库内容审核规则库攻击匹配(硬件加速）(硬件加速)内容审核/过滤数据准入控制数据准入规则基于签名的攻击检测库基于网络数据流异常的检测库网络攻击检测和防护系统基于网络协议异常的检测库基于用户交互特点的检测库网络入侵保护 （IPS）多种网络攻击检测库数据准入控制数据包措施数据终点黑名单数据流措施数据流

50、黑名单防火墙规则接入控制规则数据优先级处理终端安全遵守绿色通道数据源黑名单网络入侵保护 （IPS）数据准入控制 数据网络入侵保护 （IPS）通信协议异常检查通信协议应该是明确规定的准确描述正常使用状态 移动互联网安全管理系统可以检测到对协议（漏洞）的滥用和非正常使用对新的移动网络协议的保护非常有效提供 0 天攻击保护 对还没有给滥用的漏洞提供保护例如: 各种缓存溢出攻击新的基于WAP协议的攻击基于SIP(新一代移动网络信令系统）的攻击 IPS基于协议状态和特征的攻击检测和防护分析被保护网络设备服务、操作系统和应用跟踪应用协议的关联状态(protocol context)寻找在关联状态下的攻击的

51、模式 避免盲目扫描所有的数据流提高有效性减少错判（false-positives）实时阻断攻击， 产生准入控制规则例如: Code Red 蠕虫病毒利用 HTTP 协议的 GET 请求 攻击只需要对 HTTP 的GET命令的 数据进行特征的攻击检测 网络入侵保护 （IPS）网络流量异常检查识别非正常流量的网络数据对每一类 IP 数据包，维持正常使用的统计数据对每一个会话，依据网络协议，统计相关的数据包情况对每一类应用协议的协议关联的数据包，维持正常使用的统计数据如http协议 的 get, put 等关联状态可检测到基于应用层的网络分布式拒接服务攻击可检测到采用加密数据的分布式攻击网络入侵保护

52、 （IPS）后门、木马程序检查如果系统给开了后门，我们必须检测到分析用户和机器的交互数据，可判断是否有后门连接采用基于用户交互特点的检测库例如: 从网络服务器主动连到外面的数据 （IPS）基于协议状态内容审核和过滤动态更新内容过滤规则跟踪应用协议的关联状态(protocol context)寻找在关联状态下的内容匹配 避免盲目扫描所有的数据流提高有效性减少错判（false-positives）依据过滤规则，产生数据准入规则如网站黑名单网络黑名单终端黑名单对图像和多媒体内容，采用单独加速的模块进行过滤IPS系统工作模式工作模式监控模式（Tap mode）事件日志内容监控和溯源在线模式（Inline mode)实时阻断攻击实时过滤内容1+1保护模式故障连接功能故障长通模式和故障长断模式可由软件控制IPS 规则 idp-policy test rulebase-ips rule 1 match from-zone trust; source-address 0/24; to-zone untrust; destination-address 0/24; application http; atta