信息安全基础与ISEC项目-信息安全基础

1、信息安全基础与ISEC国家信息化安全教育认证管理中心ISEC1授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍2一 信息安全概况安全威胁威胁来源产品和市场研究与开发安全人才3安全威胁政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。4安全威胁2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服

2、务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。中美黑客网上大战时，国内外的上千个门户网站遭到破坏。5安全威胁2003年1月25日，互联网上出现一种新型高危蠕虫病毒“2003蠕虫王” 。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。美欲用电脑赢战争， 网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。6安全威胁中国国内80%网站有安全隐患，20网站有严重安全问题中国的银行过去两年损失1.6亿人民币利用计算机

3、网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%7威胁来源互联网存在的六大问题无主管的自由王国不设防的网络空间法律约束脆弱跨国协调困难民族化和国际化的冲突网络资源紧缺网络和系统的自身缺陷与脆弱性国家、政治、商业和个人利益冲突8020406080100120140160200020012002200320042005年份市场规模（亿美元）00.00.250.3增长率世界网络安全产品市场936.50%31.50%26.00%18.50%11.00%9.00%8.00%5.00%3.00%0.00%5.00%10.00%15.00%20.

4、00%25.00%30.00%35.00%40.00%用户需求无防火墙防病毒入侵检测露洞扫描加密与数字签名VPN授权与认证企业级系统扫描和专家管理系统国内安全产品需求1095.50%45.00%5.00%4.50%4.00%3.50%1.50%1.00%0.00%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%1防病毒防火墙授权和认证VPN入侵检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它国内安全产品使用11年份05000100001500020000250003000035000400002000

5、2001200220032004市场规模（万美元）47.00%48.00%49.00%50.00%51.00%52.00%53.00%54.00%55.00%56.00%57.00%58.00%增长率中国网络安全产品市场12产品和市场中国信息安全产品测评认证中心每年认证的安全产品达十几类，上百种。19982000 安全产品300多个20012002 安全产品600多个几百家国内外厂商，投资金额巨大。13国家安全战略1998年5月22日，克林顿政府颁布对关键基础设施保护的政策：第63号总统令 ，2000年颁布信息系统保护国家计划v1.0 。2002年9月18日和20日，布什政府颁布保护网络空间的

6、国家战略（草案）和美国国家安全战略。 2003年2月14日布什政府颁布保护网络空间的国家战略 和反恐国家战略 。14国家安全战略2002年7月19日“国家信息安全保障体系战略研讨会”在北京科技会堂召开，由中国工程院和国家信息化工作办公室主办，由交大信息安全体系结构研究中心承办。2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办，由信息安全国家重点实验室主办。15学术研究和技术开发国家863信息安全技术主题课题研究所和重点实验室高校的专业方向16安全人才需求国家重点科研项目的需求专业安全产品公司的需求应用行业的管理、应用和维护的需求对网络信息安全人才的需求在今后几年内将超过100

7、万，但专业的网络与信息安全机构在国内却屈指可数。网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明，网络信息安全人才必将成为信息时代最热门的抢手人才。17授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍18网络安全目前存在的威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫19网络入侵技术分类系统弱密码入侵利用CGI/IIS漏洞入侵Buffer Overflow入侵DOS/DDOS攻击IP Spoof入侵网络监听(sniffer)数据库弱密码入侵利用PHP程序漏洞入侵其它

8、20系统弱密码入侵21系统弱密码入侵(续)口令安全可逆与不可逆通常口令的加密方法是不可逆的猜测与穷举口令破解Unix口令通常限制在8位以内，56位密钥加密john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/shNT口令通常限制在14位以内22系统弱密码入侵(续)口令破解的时间Unix口令6位小写字母穷举:36小时8位小写字母穷举:3年NT口令8位小写字母及数字穷举，时间通常不超过30小时23系统弱密码入侵(续)常用工具介绍Jackal 的CrackerJack（用于dos平台）John the Ripper（可用于dos/win95平台）

9、L0pht （用于破解NT密码)24利用CGI/IIS漏洞入侵微软的IIS系统存在大量的安全隐患目前大量服务器采用IIS发布网站25堆栈溢出技术堆栈溢出原理什么是堆栈堆栈溢出在长字符串中嵌入一段代码，并将过程的返回地址覆盖为这段代码的地址，这样当过程返回时，程序就转而开始执行这段自编的代码了. 26堆栈实例void function(int a, int b, int c) char buffer15; char buffer210;void main() function(1,2,3);27调用时堆栈情况Buffer2Buffer1SfpRetABC内存低地址内存高地址堆栈顶部堆栈底部28堆

10、栈溢出程序实例void function(char *str) char buffer16; strcpy(buffer,str);void main() char large_string256; int i; for( i = 0; i 255; i+) large_stringi = A; function(large_string);29调用函数时堆栈情况内存低地址内存高地址堆栈顶部堆栈底部30存在堆栈溢出的服务UnixWu-FTPDSendmailApache httpdNTIIS第三方服务程序31IP Spoof入侵技术电子欺骗技术冒充信任主机IP地址32标准TCP建立过程SYN

11、1415531521YN 1823083521: 1823083521Ackck 1823083522客户机服务器33IP Spoof状态下TCP建立过程SYN 1415531521改源地址为信任主机IPSYN 1823083521: 1823083521Ackck 通过算法算出SEQ值+1信任主机服务器34DOS/DDOSDOS拒绝服务攻击DDOS分布式拒绝服务攻击利用TCP/IP缺陷35常见DOS工具Bonk通过发送大量伪造的UDP数据包导致系统重启动 TearDrop通过发送重叠的IP

12、碎片导致系统的TCP/IP栈崩溃 SynFlood通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动 Bloop 通过发送大量的ICMP数据包导致系统变慢甚至凝固 Jolt 通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动 36实例：SynFlood现象攻击者伪造源地址，发出Syn请求服务器端性能变慢，以及死机服务器上所以服务都不能正常使用37SynFlood原理Syn 伪造源地址()IP:(TCP连接无法建立，造成TCP等待超时）Ack 大量的伪造数据包发向服务器端38DDOS攻击黑客控制了多台服务器，然后每一台服务器都集中向一台服务器进行DOS攻击39分布式拒绝服务攻

13、击美国几个著名的商业网站（例如Yahoo、eBay、CNN、Amazon、等）遭受黑客大规模的攻击，造成这些高性能的商业网站长达数小时的瘫痪。而据统计在这整个行动中美国经济共损失了十多亿美元。这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。40DDOS攻击示意图41分布式拒绝服务攻击42分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet43分布式拒绝服务攻击步骤2Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sni

14、ffer或守护程序甚至是客户程序。2Internet44分布式拒绝服务攻击步骤3Hacker 黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。 3被控制计算机（代理端）MasterServerInternet45Hacker Using Client program, 黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet分布式拒绝服务攻击步骤446Targeted SystemHacker 主机发送攻击信号给被控制计算机开始对目标系统发起攻击

15、。5MasterServerInternet被控制计算机（代理端）分布式拒绝服务攻击步骤547分布式拒绝服务攻击步骤6TargetedSystemHacker 目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequest DeniedInternet被控制计算机（代理端）48分布式拒绝服务攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码

16、。49DDOS攻击的预防确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。50网络监听技术Sniffer监视网络状态、数据流动、传输信息截获用户的口令黑客扩大战果的有效手段51窃听器窃听原理局域网中的广播式通信常用端口http80pop3110telnet23常用窃听器SnifferNetXRay52Database弱密码入侵默认安装的SQL Server的管理员Sa的密码为空如果管理员没有修改过Sa密码黑客远程连接上数据库53数据库被远程连接的危害性如果黑客连接到了S

17、QL Server，那么可以使用XP_cmdshell过程执行本地命令。如果连接的帐号不是数据库管理员身份，那么可以通过SQL Server漏洞进行越权处理。54Sql Injection入侵技术Structured Query Language影响平台使用网站系统：Apache、IIS、Domino、Netscape使用程序：ASP、PHP、JSP可被破坏数据库:MS-SQL、MySQL、Oracle、Sybase、DB255Sql Injection实例网站登陆界面56Sql Injection实例(cont.)User: admin(任意名字)Pass: aor1=157利用PHP程序漏

18、洞入侵PHP Hypertext Preprocessor全局变量附值安全隐患包含文件安全隐患文件上传安全隐患Session安全隐患58其它入侵技术利用EmailEmail炸弹传播木马、病毒聊天室、聊天程序利用浏览器社会工程59攻击的一般步骤没有100%的安全收集信息确定目标（硬件、软件、操作系统、应用程序）；使用扫描工具；考虑攻击方法猜口令；利用漏洞（缓冲区溢出、unicode漏洞等等）；入侵系统安放后门删除记录60授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍61安全涉及的因素网络安全信息安全文化安全物理安全62网络安全因特网网络对国民

19、经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制广播工业金融医疗研究攻防技术以阻之63信息安全信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名64ISO信息安全定义为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。65信息安全属性保密性完整性真实性可用性可控性66文化安全因特网用户信息传送自由有害信息泛滥信息来源不确定.打击目标机动性强.主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获隐患措施67物理安全容灾集群备份环境温度电磁湿度68安全是过程

20、安全存在于过程安全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏，而是网络管理人员、企业经理人和用户对安全知识的忽视。69分析阶段：管理阶段：检测阶段：恢复阶段：保护阶段：需求分析、漏洞扫描防火墙、VPN 、防病毒入侵检测、授权、认证、签名审计系统、访问控制数据备份、系统恢复安全是个连续的过程70安全层次体系结构防火墙安全网关VPN网络安全层反病毒风险评估入侵检测审计分析系统安全层用户/组管理单机登录身份认证用户安全层访问控制授权应用安全层加密数据安全层存储备份物理安全层71安全防护体系结构边界

21、防护区域防护核心防护节点防护安全策略远程支持咨询服务顾问服务紧急响应723分边界防护2.5分核心防护2分区域防护2.5分节点防护安全防护比例整体防护10分73安全实施体系明确系统中的安全漏洞，了解可能的相应攻击方式。进行系统安全风险分析。制定系统安全策略。系统安全策略的实施。74授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍75安全管理技术网络信息安全的关键技术安全集成技术防病毒技术防火墙技术VPN技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术76安全产品类型密钥管理产品高性能加密芯片产品

22、密码加密产品数字 签名产品安全授权认证产品信息保密产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统77常用的安全技术手段加密技术身份认证技术防火墙技术病毒防治技术入侵检测技术VPN技术78加密技术消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。明文用M（消息）或P（明文）表示，密文用C表示。加密函数E（M）=C

23、；解密函数D（C）=M；D（E（M）=M79对称密码非对称密码加密技术80原理：加密和解密使用相同密钥加密强度基本由其密钥长度决定目前一般至少为128位主要优缺点：加密速度快管理复杂，风险大对称加密81加密技术出现以来最重大的突破原理有两把成对的密钥，称为公钥和私钥，其中公钥可以对外公布用一把密钥加密的数据只有用配对的另一把密钥才能正确解密特点：密钥易于管理，公钥不怕被窃取但速度一般比对称加密算法慢很多非对称加密82身份鉴别身份鉴别的过程身份证实（Identity Verification）“你是否是你所声称的你？”身份识别（Identity Recognition）“我是否知道你是谁？”身份

24、认证的方式动态口令83EP动态口令举例login: Smithchallenge: 6729330response:开启认证卡电源6040输入 PIN 来启动认证卡EP你现在已认证成功 !输入 Challenge输入 response 84防火墙的概念信任网络防火墙非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。 85互聯网非法获取内部数据防火墙的作用示意图86防火墙的基本功能数据包过滤（Packet Filtering） 网络地址转换（Network Ad

25、dress Translation） 应用级代理（Proxy Service） 身份认证（Authentication） 虚拟专用网（Virtual Private Network87防火墙的不足防火墙并非万能，防火墙不能完成的工作：源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒88入侵检测的概念和作用 入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。89入侵检测的主要功能 实时入侵检测

26、与响应 警报信息分类、查询功能 引擎集中管理功能 策略管理功能 警报信息的统计和报表功能 分级用户管理功能90入侵检测系统工作原理：实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 使用方式：作为防火墙后的第二道防线。 91利用RealSecure进行可适应性攻击检测和响应DMZ? E-Mail? ? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接入侵检测工具举例92DMZ? E-Mail? ? HTTPIntranet企业网络生产部工程部市场部人事部路由Inter

27、net中继内部攻击警告!启动事件日志,发送消息利用RealSecure进行可适应性攻击检测和响应入侵检测工具举例93利用RealSecure进行可适应性攻击检测和响应DMZ? E-Mail? ? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址入侵检测工具举例94安全评估系统的发展历程简单的扫描程序功能较为强大的商业化扫描程序安全评估专家系统 最早出现的是专门为UNIX系统编写的一些只具有简单功能的小程序，多数由黑客在业余时间编写。特点是功能单一，通常只能进行端

28、口或CGI扫描等等；使用复杂，通常只有黑客才能够熟练使用；源代码开放。Nmap即是其代表作品。 99年以前，出现的功能较为强大的商业化产品，特点是测试项数目较多，使用简单。但是通常只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析处理。对结果的评估分析、报告功能很弱。这时期的产品，主要功能还是扫描。CyberCop和ISS Scanner是其中的代表。 近两年，主要商业化产品均运行Windows操作系统平台上，充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由安全扫描程序到安全评估专家系统的过渡。不但使用简单方便，能够将对单个主机的扫描结果整

29、理，形成报表，能够并对具体漏洞提出一些解决方法。 但目前产品对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决方案。95安全评估系统分类基于网络的安全评估产品对关键网络及设备进行安全评估 基于主机的安全评估产品对关键主机进行安全评估 专用安全评估产品如数据库安全评估产品96安全评估系统工作原理远程扫描分析目标设备1、发送带有明显攻击特征的数据包2、等待目的主机或设备的响应3、分析回来的数据包的特征4、判断是否具有该脆弱性或漏洞97安全评估主要功能网络安全评估功能 评估分析结果报表 服务检查功能 隔离检查的功能 实用工具 98传统联网方式合作伙伴/客户公司总部办事处/SOHO公共网络DDN

30、99传统VPN联网方式公司总部办事处/SOHO公共网络VPN通道VPN设备VPN设备VPN设备VPN client100VPN虚拟的网：即没有固定的物理连接，网络只有用户需要时才建立；利用公众网络设施构成。101Internet台式机Web 服务器Internet连接拨号用户笔记本电脑服务器Modem池网络客户工作站企业的完整安全防护G. Mark Hardy102授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍103国家信息化安全教育认证 ISEC项目介绍和定位 ISEC项目运行模式及机构设置 ISEC项目课程及类别 ISEC项目目标及特色

31、104ISEC项目介绍 国家信息化安全教育认证项目（ISEC）为信息产业部批准设立，中国电子商务协会监督和管理的信息安全领域国家级的认证体系。由ISEC国家信息化安全教育认证管理中心统一管理、实施。105ISEC项目定位国家信息化安全教育认证作为“政府推出，市场运作，行业协会监督指导”的重点项目，主要突出以下两大特点：以行业为基础，在国家信息技术应用单位普及信息安全意识与知识，使各行业、机关有能力评估、设计、建设、维护自己的信息安全系统。以应用为核心，向全社会普及信息安全意识与知识，使全民从技术、法规等多层面了解信息安全，从而配合我国的信息安全建设。106ISEC项目运行模式及机构设置107ISEC专家顾问委员会曲成义 国家信息化专家咨询委员会委员曹元大 北京理工大学软件学院院长刘正风 公安部金盾工程办公室副主任、 安全组组长谭晓准 公安部科技局副局长祁 金 公安部公共网络信息安全监察局108ISEC主要课程信息安全基础 防火墙技术入侵检测技术操作系统安全网络病毒防治PKI技术 标准规范与政策法规安全策略制定 安全响应团队的构建与管理109国家信息化安全教育认证领导关心的问题国家对网络信息安全提出了哪些要求网络与信息安全涉及哪些内容如何指导、评估信息安全保障体系的建设110国家信息化安全教育认证技术