技术基础上-p趋势科技TechAcademy空中课堂

本讲概要本讲介绍算机网络的的定义、安全网络的基本特征以及计。本讲内容包含以下几部分：的现状的定义的CIA模型的体系结构形式与防御方法网络2本讲学习目标通过本章的学习，学员应能够了解：的现状了解了解了解安全的计算机及网络的基本特征了解

的一般形式与防范方法3在：的生活中，经常可以听到下面的站受到，造成

丢失，已扩散到各大洲XX计算机系统受到目前又出现XX计算机……的背景计算机网络在带给了它的脆弱性……便利的同时已经体现出4网络 数量与日俱增Incidents

reported

to

CERT/CC

in

recent

years250002000015000100005000090

91

92

93

94

95

96

97

9899

00YearYear2000200120022003Incidents21,75652,65882,094137,5295网络 全球范围内高速扩散6企业 的破坏更加尽管企业外部的

可以对企业网络造成巨大员工的不正确使用和 破坏是一种更加，企业的因素。员工的不正常使用也是企业内网的一个重要不安全因素。摘自ICSA/FBI,2001统计显示：来自企业坏更加

。的网络破7与网络 日趋融合8者需要的技能日趋下降工具复杂性者所需技能9国际事件Gary

McKinnon于2002年11月间在英国被指控侵入军方90多个电脑系统年仅15岁的MafiaBoy在

到2月14日

节期间成功侵入包括eBay，Amazon

和Yahoo在内的大型

服务器，他成功

了服务器向用户提供服务。10，为万事达、维萨和 运通卡等主要服务的一个数据处理中心网络被户的号码和有效期信息已被程序侵入，约４０００万账截获。江苏省徐州市某银行员孙某，只存入10元，却先后取出33.8万元，因为他写了一个自动增加存款余额的程序。在火车上睡着，丢失了 公文包。英国一。。。。。安全事故案例11我国信息化状况教育银行保险交通电力医疗制造2003年34522620712.983.546282432004年40224522814.71005935287计世咨询

2004《2003-04六大行业信息化状况》IC发布《第十七次中国互联网络发展状况统计报告》，截至，我 民人数达到1.11亿2007年行业信息化IT投入将达到4236亿今年来我国几大行业IT投入情况：单位：亿元12我国当前的现状1.计算机系统和破坏的情况相当严重。13我国当前的现状总部下属机构信息泄密信息被篡改Internet2.电脑活动已形成重要。14我国当前的现状3.信息基础设施的。企业网络登录用户计算机网络合法用户越权信息被越权信息被非15我国当前的现状4.网络政治活动频繁。16信息通过在数据上施加某些约定而赋予这些数据的特殊含义

（GMITS）通常 把信息理解为消息、信号、数据、 和知识等信息是无形的，可借助多种介质 和传递对现代企业而言，信息是宝贵的资源和资产信息是一种资产，像其他的业务资产一样对企业具有价值，因此要妥善加以保护

（BS7799）17哪些是信息网络上的数据纸质文件•物理环境•设备公司形象和声誉……18信息的分类按照人、组织结构划分按照信息 划分按照信息内容划分按照直接处理系统划分……19信息的处理方式20磁盘意外损坏光盘意外损坏磁带被意外盗走导致数据丢失导致数据无法信息系统的弱点信息

的弱点21信息系统的弱点信息传输的弱点总部下属机构信息泄密信息被篡改Internet22的物理风险系统风险信息风险应用风险其它风险网络的风险管理风险设备防盗，防毁链路老化人为破坏网络设备自身故障停电导致无法工作机房电磁辐射其他信息

安全信息传输安全信息安全其他鉴别性完整性不可否认性可用性计算机外部破坏其他风险弱点是否存在管理方面的风险需有无制定相应的安全制度安全拓扑安全路由Internet23国际标准化组织对具体的

定义

：(pseudonym)：连接(illegal

association)：非

(no-authorized

access)：重放(replay)服务(denial

ofservice)：抵赖(repudiation)：信息

(leakage

ofinformation)：业务流量分析(traffic

ysis)改变信息流(invalid

message

sequencing)篡改或破坏数据(data

modificationordestruction)推断或演绎信息(deduction

ofinformation)：篡改(illegal

modification

of

programs)：24企业网络登录用户计算机网络合法用户越权信息系统的弱点信息被信息被越权信息被非25InfoSec:InfoSec(Information Security)的任务，就是要采取措施(技术

及有效管理)让这些信息资产免遭将

带来的 降到最低程度，以此

组织的正常，或者。26管理标准TCSEC

/

CC

(赖系统评估准则

/安全评估通用标准)类别评估标准等级评估准则概要范例高可信賴性低A具有经认可之系统保护措施A1具有经认可之系统安全设计最高防护

例：国家安全B强制系统保护措施B3独立系统安全模组，须具备进入

表之功能特级防护例： 管理系统B2结构化系统保护设计特别防护例：银行B1强制进入 及资料安全表示正规防护

例：电子公文C使用者可自行决定资料保护措施C2依需求系统管理者的对使用者实行稽核追踪一般防护

例：电子邮件C1可由使用者自行決定其所需之資料保護措施最少防护

例：个人使用D无保护措施D无保护措施无防护27操作系统安全级别Unix、Linux

和WindowsNT都是C

2

级的产品Dos、Windows

95/98是D1级的产品。28CIA模型29企业安全防护体系的构成人制度技术安全防护体系企业安全防护体系的主要构成因素人30制度技术31完善的整体防卫技术架构控制防检测虚拟网评估与骇客“”与“骇客”今天，人们一谈到“”（Hacker）往往都带着贬斥的意思，但是“ ”的本来含义却并非如此。一般认为，黑客 于50年代 著名高校的 中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。60、70年代，“ ”一词甚至于极富褒义，从事黑客活动意味着对计算机网络的最大潜力进行智力上的

探索，所谓的“ ”文化也随之产生了。然后并非所有的人都能恪守“

”文化的信条专注于技术的探索，

的计

算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分 上有 企图的人称为“骇客”（Cracker），试图区别于“ ”，同时也诞生了诸多的 分类方法，如“ 子、黑帽子、灰帽子”。32分类灰帽子者•已有系统发现问题/突破极限/禁制展现自我计算机为务发现

-Flashsky-

0

Day工具提供

-Glacier子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS

-Bill

GatesGNU

-R.StallmanLinux

-Linus善黑帽子破坏者随意使用资源•破坏散播蠕虫商业人不为己，天诛地灭者-K.CIH

-Yahoo者-恶渴求分类33文化常见替换– A

=4– B

=

8– E

=

3– G

=9– l

=1– O

=0– S

=

5– t

=

7– Z

=

2常见缩写CK =xYou

=uAre =rSee =cAnd=

n/&Not =!文化34安全 产生的原因系统和

的设计存在缺陷，通信协议不完备；如TCP/IP协议就有很多

。技术实现不充分；如很多缓存溢出方面的

就是在实现时缺少必要的检查。配置管理和使用不当也能产生安全

；

如口令过于简单，很容易被

猜中。35基于协议的 分类TCP/IP协议是计算机网络的基础协议，但遗憾的是TCP/IP协议本身却具有很多的安全容易被加以利用，这是因为TCP/IP协议在设计之初主要是围绕如何共享计算机网络资源而研究的并没有考虑到现在，虽然对TCP/IP协议的完善和改进从未间断，但网络上如此多的都无可避免。ARP协议ICMP协议TCP协议各种协议明文传输36思路一般步骤信息收集扫描利用阶段后

阶段37一般步骤信息收集从一些社会信息入手：找到网络地址范围找到关键的机器地址找到开放端口和

点找到系统的制造商和版本A社会工程学:1。通过一些公开的信息，如、管理员生日、姓、家庭。2。如果以上尝试失败，可能会通过各种

途径获得管理员以及

的信任，例如网络聊天，然后发送加壳木马 或者键盘记录工具。如果管理员已经系统打了补丁，MS04-028

无法利用。通过协助其解决技术问题，帮助其测试

，交朋友等名义，能够直接有机会进入网络机房。用Lc4工具直接破SAM库(DEMO)B技术

信息收集:Whois/

DNS/ &

Traceroute38一般步骤扫描知道基本IP网段、服务器系统等信息之后，可以针对性的扫描。扫描工具：扫描 有SSS（ShadowSecurityScanner），Nmap、Xsan、Superscan,以及国产流光等

。扫描目的：通过扫描得到开放的端口，通过端口判断主机开放哪些服务，并且扫出

可利用之处。利用1。有些扫描 自带利用工具，如流光等。2。有些不带，如SSS,根据扫描结果描述，到搜索,Baidu或者一些

的引”去寻找相关 技术文档或者工具，另外通擎去搜索“ 关键字符”+“利用”或“过已知的的一些操作系统、服务、应用程序的特征关键字，去搜索的目标机器。39阶段1.

如 通过扫描得到系统存在IDQ

，那么 通过搜索“IDQ溢出”，就能搜索到IDQ

over这样的工具。具体过程见3。2节的“ida&idq缓冲区溢出”

实现，，然后通过Net

use增加管理员帐户。如没有继续考虑其他系统漏通过溢出得到S洞。如无明显利用 ，可以考虑NAT（NetBIOS

Auditing

Tool）进行强行口令

。继续考虑注入、上传，如都没有

，考虑XSS。根据源文件meta的包括信息，以及冷僻关键字，试图找出源码。考虑站我外提交，NC提交。如所以 都无功， 可能会进行Dos

。一般步骤40后

阶段（Demo)如获得管理员帐户或者Webs

,1、添加隐藏的管理员帐户。2、Copy后门到目标机器3、启动后门4、修补常见 ，避免可能会有以下后续行为：进入系统。5、将此服务器作为 服务器或者进一步6、安装一些 木马(记录银行帐户，与此机有信任关系的网络。），或者在Web服务器index里加入隐藏木马，达到其他目的（安装工具条，发起DDos,投放AD).7、删除登陆以及操作日志（%WinDir%\System32\LogFiles

）