网络安全基础

网络安全

信息安全管理基础、1.1信息安全概述信息安全管理基础1.1.1信息安全面临的主要问题1、人员问题：信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等2、技术问题：病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作3、法律方面网络滥用：员工发表政治言论、访问非法网站法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）1.1.2信息安全的相对性安全没有100%，完美的健康状态永远也不能达到。安全工作的目标：将风险降到最低。第2章计算机病毒及防范技术2.1计算机病毒介绍2.1.1计算机病毒定义什么是病毒？医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。什么是计算机病毒？计算机病毒通常是指可以自我复制，以及向其他文件传播的程序2.1.2计算机病毒起源和发展史计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的青春》中提出1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。、1991年在“海湾战争”中，美军第一次将计算机病毒用于实战1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。2.1.3传统计算机病毒分类传统计算机病毒分为：引导型病毒DOS病毒»Windows病毒宏病毒脚本病毒2.1.4现代计算机病毒介绍特洛伊木马：特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。玩笑程序：玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。病毒或恶意程序Droppers:病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序，在病毒或恶意程序植入后，可以感染文件和对系统造成破坏。后门程序：后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略。DDos攻击程序：DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务。如下图所示：图：。。。，攻击示意图2.1.5网络病毒介绍网络病毒的概念：利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害：破坏性强、传播性强、针对性强、扩散面广、传染方式多网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。网络攻击的程序可以通过病毒经由多种渠道广泛传播，攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统。2.2计算机病毒分析与防护2.2.1病毒的常见症状及传播途径（一）病毒的常见症状•电脑运行比平常迟钝•程序载入时间比平常久•对一个简单的工作，磁盘似乎花了比预期长的时间•不寻常的错误信息出现•硬盘的指示灯无缘无故的亮了•系统内存容量忽然大量减少•可执行程序的大小改变了•内存内增加来路不明的常驻程序•文件奇怪的消失•文件的内容被加上一些奇怪的资料•文件名称，扩展名，日期，属性被更改过（二）病毒的常见传播途径•文件传输介质：例如CIH病毒，通过复制感染程序传播•电子邮件：例如梅丽莎病毒，第一个通过电子邮件传播的病毒•网络共享：例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播•文件共享软件：例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播2.2.2病毒传播或感染途径病毒感染的常见过程：通过某种途径传播，进入目标系统，自我复制，并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。打开后门等待连接发起。。0,攻击进行键盘记录除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。1、利用电子邮件感染病毒：邮件附件为病毒压缩文件，HTML正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快2、利用网络共享感染病毒：病毒会搜索本地网络中存在的共享，如ADMIN$,IPC$,E$,D$,C$通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表将自身复制到网络共享文件夹中，通常以游戏,CDKEY等相关名字命名利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT等病毒3、利用P2P共享软件感染病毒：将自身复制到P2P共享文件夹，通常以游戏,CDKEY等相关名字命名通过P2P软件共享给网络用户利用社会工程学进行伪装，诱使用户下载WORM_PEERCOPY.A等病毒4、利用系统漏洞感染病毒：由于操作系统固有的一些设计缺陷，导致恶意用户可以通过畸形的方式利用这些缺陷，达到在目标机器上执行任意代码的目的，这就是系统漏洞。病毒往往利用系统漏洞进入系统，达到快速传播的目的。常被利用的漏洞：RPC-DCOM缓冲区溢出(MS03-026)WebDAV(MS03-007)LSASS(MS04-011)2.2.3病毒自启动方式•修改系统-修改注册表启动项文件关联项系统服务项BHO项-将自身添加为服务-将自身添加到启动文件夹-修改系统配置文件自动加载-服务和进程一病毒程序直接运行嵌入系统正常进程一DLL文件和OCX文件等驱动一SYS文件注册表项目之注册表启动项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下:RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下:RunRunOnceRunServices以上这些键一般用于在系统启动时执行特定程序。注册表项目之文件关联项：HKEY_CLASSES_ROOT下：exefile\shell\open\command]@=""%1”%*”comfile\shell\open\command]@=""%1”%*"batfile\shell\open\command]@=""%1”%*"htafile\Shell\Open\Command]@=""%1"%*"piffile\shell\open\command]@=""%1”%*"……病毒将"%1%*"改为“virus.exe%1%*"virus.exe将在打开或运行相应类型的文件时被执行注册表项目之系统服务项：在如下键值下面添加子键即可将自身注册为服务，随系统启动而启动:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项目之BH。项在如下键值下面添加子键（ClSID键）即可将自身注册为BHO,随IE浏览器启动而启动：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects将自身添加到启动文件夹：当前用户的启动文件夹可以通过如下注册表键获得：Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp项公共的启动文件夹可以通过如下注册表键获得：Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的CommonStartUp项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。2.2.4病毒的隐性行为下载特性-自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种后门特性开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控信息收集特性-收集私人信息，特别是帐号密码等信息，自动发送•自身隐藏特性使用Rootkit技术隐藏自身的文件和进程文件感染特性-感染系统中部分/所有的可执行文件，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。典型•PE_LOOKED维京PE_FUJACKS熊猫烧香•网络攻击特性针对微软操作系统或其他程序存在的漏洞进行攻击修改计算机的网络设置-向网络中其它计算机发送大量数据包以阻塞网络典型震荡波ARP攻击2.2.5计算机病毒防御网络预警系统对叶期进点的蛔进缶仔誓网藏台倍统终端防护悉意程序旺炉.鸯甘管理网关防护/断叶晋对内都的改仍度客户端防护安全左泸，降低负枝，寸勘］由安云产生的宝全JS网络预警系统对叶期进点的蛔进缶仔誓网藏台倍统终端防护悉意程序旺炉.鸯甘管理网关防护/断叶晋对内都的改仍度客户端防护安全左泸，降低负枝，寸勘］由安云产生的宝全JS侦虚拟化系统防护利成寸化系纹祀应而程序进行改百Ettf.旅.安兰岌制灵童痉也垣，择室虚同刖;密废,服务器防护而席髭童我攻击.强意住税邮夏安全空桎亩彳图：计算机病毒防御体系图例（一）计算机病毒手工处理重装系统?系统还原？Ghost还原？大多数情况下，可以直接根据经验来迅速清除各种病毒木马病毒和后门程序间谍软件、广告软件和灰色软件-蠕虫病毒-文件型病毒母体处理过程包括-修复病毒修改的注册表/文件内容-删除病毒文件病毒处理建议步骤：处理病毒问题时，若病毒进程在系统中运行，则可能会出现无法删除文件、无法删除注册表主键/键值的情况，也可能出现删除注册表键值或文件后，被删除的内容会再次出现的情况。✓最好在安全模式下操作✓终止所有可疑进程和不必要的进程✓关闭系统还原（二）检查注册表中常见的病毒自动加载项检查启动项：-删除不必要的启动项键值，如发现指向不正常或不认识的程序的键值，可将该键值删除。-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run检查服务：-在［控制面板］-［管理工具］-［服务］中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件（文件检查方法稍后会介绍）。对于不正常的服务，可直接在注册表中删除该服务的主键。-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\检查Winlogon加载项在注册表中检查Winlogon才相关加载项：-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonShell=Explorer.exe（默认）Userinit二C:\WINDOWS\system32\userinit.exe,（默认）以上Shell和Userinit键值为默认，若发现被修改，可直接将其修改为默认键值。检查Winlogon加载项在注册表中检查WinlogonNotify相关加载项：-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify在Notify下会有多个主键（目录），每个主键中的DllName键值将指向一个DLL文件。若发现有指向可疑的DLL文件时，请先确认其指向的DLL是否正常。若不正常，可直接删除这个主键。-检查其他加载项在注册表中检查以下注册表加载项键值：-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows-AppInit_DLLs="”-HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows-Load="”-该键值默认为空。若键值被修改，可直接将键值内容清空。（三）检查注册表中的BHO项,检查BrowserHelpObject（BHO）项-BHO项在注册表中包含以下主键的内容：-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects-HKEY_CLASSES_ROOT\CLSID\可以在HKEY_CLASSES_ROOT\CLSID、下的InprocServer32主键中查看BHO项所指向的文件。当发现指向了可疑文件时，可直接删除以上注册表路径下所有包含了该CLSID的主键。使用Hijackthis工具可以迅速有效的分析系统中的BHO项。（四）查看系统中的可疑文件如何判断文件是否可疑？-查看文件版本信息-Google之所有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息或版本信息异常，则可判断为可疑文件。如何迅速查找这些可疑文件?%SystemRoot%\-%SystemRoot%\System32\%SystemRoot%\System32\drivers\-对于这些目录下的文件，按照修改日期排序，检查修改日期为最近一段时间的文件：可执行文件.EXE，.COM，.SCR，.PIF-DLL文件和OCX文件-LOG文件——有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。病毒文件被隐藏，如何查找？工具->文件夹选项-选择"显示所有文件"取消“隐藏受保护的系统文件”仍然无法显示隐藏文件-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDENCheckedValue=2DefaultValue=2✓HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue=1DefaultValue=2（五）检查并修复host文件修复被病毒修改的host文件-一些病毒会修改系统的host文件，使用户无法访问某些网站，或在用户访问某些网站时，重定向到某些恶意站点。检查文件：-%SystemRoot%\System32\drivers\etc\host使用文本编辑工具打开该文件检查。默认该文件包含一条host记录✓localhost-若有其他可疑的host记录，可以直接删除多余的记录（六）删除所有临时文件病毒经常存在于临时目录中-%SystemRoot%\Temp-C:\Temp-Internet临时文件-C:\DocumentsandSettings\<用户名〉\LocalSettings\Temp•清空所有以上的目录（七）病毒防护常用工具常用病毒查杀工具一览：SIC，HijackThis系统诊断»ProcessExplorer分析进程TCPView分析网络连接»Regmon,InstallRite监视注册表»Filemon,InstallRite监视文件系统»IceSwordNtsdpskill第4章安全评估4.1安全评估概述4.1.1安全评估目的风险评估的目的：了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据组织实现信息安全的必要的、重要的步骤4.1.2安全评估要素风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施1、资产的分类：电子信息资产软件资产物理资产人员公司形象和名誉2、威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门»未授权访问3、脆弱性：是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门✓

旺」L-资产风险_JI图：风险评估要素模型旺」L-资产风险_JI4.1.2安全评估过程•强魅口■独爵引若息•AA•粟魏握你•系统H受现常的尚史■来自信赢皆询剃枸，大众媒体的敝据•吐彻的阿陶洋估/•安全收咨丁作甲柳出为底见■去全要成*宏全刑故果

4.1.4安全评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统（IDS）：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：用于分析主机系统配置的安全性；安全管理评价系统：用于安全访谈，评价安全管理措施；风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具：评估指标库、知识库、漏洞库、算法库、模型库。4.1.5安全评估标准保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。根据国务院27号文件，对信息安全实施分级安全保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO15408，管理体系标准是ISO17799/BS7799。4.2安全扫描安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。安全扫描的检测技术有：基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。安全扫描在部署安全策略中处于重要地位：防火墙，防病毒，用户认证，加密，评估，记录报告和预警，安全管理，物理安全。管理这些设备和技术，是安全扫描系统和入侵侦测软件（入侵侦测软件往往包含在安全扫描系统中）的职责。通过监视事件日志、系统受到攻击后的行为和这些设备的信号，作出反应。安全扫描系统就把这些设备有机地结合在一起。因此，而安全扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位。安全扫描系统具有的功能说明：协调了其它的安全设备之间的关系使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入系统的行为和离开的信息»可以报告和识别文件的改动纠正系统的错误设置识别正在受到的攻击减轻系统管理员搜索最近黑客行为的负担使得安全管理可由普通用户来负责为制定安全规则提供依据正确认识安全扫描软件：不能弥补由于认证机制薄弱带来的问题不能弥补由于协议本身的问题不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数据流当受到攻击后要进行调查，离不开安全专家的参与日志服务器。第6章数据传输安全6.1安全数据传输面临的威胁安全数据传输面临的威胁主要有以下几种:6.2数据传输安全关键技术6.2.1SSL和TLSSL和TLS<供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证（对称和非对称算法都用了）保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI（OpenStandardInterconnect，开放互连）模型的传输层与应用层间。加密特点是：身份验证保密性消息完整性SSL/TLS保护数据安全的方法:6.2.3PPTPPPTP用于LAN、WAN或Internet进行客户端到服务器的安全数据传输，使用拨号连接中的点对点协议（PPP）来在连接中建立终结点，PPTP位于OSI模型的第二层。PPTP的加密特点是：»身份验证（pap、ms-chap、eap）:服务器验证客户»保密性（40位的mppe:即microsoft点对点加密，或128位的RC4）»支持通过mppc（microsoft点对点压缩）数据压缩>不提供消息完整性或数据源身份验证（GFG-微软）PPTP安全流程：>PPTP通过PPTP控制连接来创建、维护、终止一条隧道，并使用通用路由封装GRE（GenericRoutingEncapsulation）对PPP帧进行封装。>封装前，PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。-PPTP控制连接（P217-218）：控制隧道中的会话建立、释放和维护逻辑连接-封装数据：建立控制连接后，PPP数据用GRE协议来封装SMB签名SMB签名(SMB,ServerMessageBlock,也称为CIFS):使用带有密钥的哈希(keyedhash)来保护每个SMB数据包的完整性的数字签名方法，保护网络通信不受中间人攻击和TCP/IP会话劫持攻击，使用消息摘要(MD5)算法对通信进行数字签名。SMB签名的特点是：相互的身份验证消息完整性LDAP签名LDAP签名：确保数据来自已知的来源»数据未被篡改数据不以明文传输加密特点：双向身份验证消息完整性WEPWEP(wiredequivalentprivacy)：802.11委员会为无线网络数据安全传输提出的一个协议，三种密钥长度：40位、128位、256位(RC4)，在工作站和无线路由器(或AP)间提供数据加密。特点：数据加密数据完整性WEP加密过程：客户端启动与无线接入点的连接客户端使用循环冗余校验32(CRC-32,CyclicRedundancyCheck-32)算法创建数据的校验和，并将该值附到数据帧的末尾数据包经过RC4算法加密并在无线网络上传输无线接入点收到数据包并使用密钥将其解密无线接入点验证CRC-32并在LAN上发送数据包WPAWPA（Wi-FiprotectedAceess,Wi-Fi保护访问）：在802.11i中对无线局域网安全性改进的一个协议。才目对WEP来说，WPA通过TKIP（TemporalkeyIntegrityPotocol,临时密钥完整性协议）每发送10K数据就动态改变加密密钥，而WEP没提供安全交换加密密钥的机制，WPA采用Michael算法来生成消息完整性码（MIC,messageintegritycode）来保证数据完整性。特点数据加密数据完整性可防重