网络安全现状与常用的安全方法

网络安全现状与常用的安全方法天津理工大学网络与信息安全系王春东目录一.计算机病毒二.网络安全现状三.信息系统的安全风险四.我们眼中的安全五.常用的安全方法计算机病毒病毒：virus安全从病毒入手!1.时间,地点一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。

时间：2004年4月29日地点：德国北部

罗滕堡镇沃芬森小村(Waffensen),人口仅920。2.人物

斯万-贾斯查因(SvenJaschan)，4月29日这一天是他18岁的生日。母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部。 几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。3.传播从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢。4.危害这就是全球著名的“震荡波”(Worm.Sasser)蠕虫病毒。自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。

5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。微软悬赏25万美元找原凶!“五一”长假后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30％为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。

五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到3．5万个

5.游戏结束开始时，报道有俄罗斯人编写了这种病毒!5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。

反病毒专家!6.病毒表现的特征

病毒是通过微软的最新高危漏洞-LSASS漏洞(微软MS04-011公告)进行传播的，危害性极大，目前WINDOWS2000/XP/Server2003等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。6.病毒表现的特征(1)(1).出现系统错误对话框

被攻击的用户，如果病毒攻击失败，则用户的电脑会出现LSAShell

服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。6.病毒表现的特特征(2)(2).系统日志中出出现相应记录录如果用户无法法确定自己的的电脑是否出出现过上述的的异常框或系系统重启提示示，还可以通通过查看系统统日志的办法法确定是否中中毒。方法是是，运行事件件查看器程序序，查看其中中系统日志，，如果出现如如图所示的日日志记录，则则证明已经中中毒.6.病毒表现的特特征(2)3.系统资源被大大量占用病毒如果攻击击成功，则会会占用大量系系统资源，使使CPU占用率达到100%，出出现电脑运行行异常缓慢的的现象。6.病毒表现的特特征(2)4.内存中出现名名为avserve的进程病毒如果攻击击成功，会在在内存中产生生名为avserve.exe的进程，用户户可以用Ctrl+Shift+Esc的方式调用““任务管理器器”，然后查查看是内存里里是否存在上上述病毒进程程。6.病毒表现的的特征(2)五、系统目录中中出现名为为avserve.exe的病毒文件件病毒如果攻攻击成功，，会在系统统安装目录录（默认为为C:\WINNT））下产生一个个名为avserve.exe的病毒文件件。六、注册表中出出现病毒键键值病毒如果攻攻击成功，，会在注册册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中建立病病毒键值：："avserve.exe"="%WINDOWS%\avserve.exe"。。7.病毒的运行行过程(1)该病毒利用用了WindowsLSASS的一个已知知漏洞(MS04-011)，这是一个缓缓冲溢出漏漏洞，后果果是使远程程攻击者完完全控制受受感染系统统。感染系统：：WinNT/Win2000/WinXP/Win2003病毒长度：：15872字节1、生成病病毒文件病毒毒运运行行后后，，在在%Windows％％目录录下下生生成成自自身身的的拷拷贝贝，，名名称称为为avserve.exe，，文件件长长度度为为15872字字节节，，和和在在%System%目录录下下生生成成其其它它病病毒毒文文件件。例如如:c:\win.log:IP地址址列列表表c:\WINNT\avserve.exe:蠕虫虫病病毒毒文文件件本本身身c:\WINNT\system32\11113_up.exe:可能能生生成成的的蠕蠕虫虫文文件件本本身身c:\WINNT\system32\16843_up.exe:可能能生生成成的的蠕蠕虫虫文文件件本本身身8.病毒毒的的运运行行过过程程(2)2、、修修改改注注册册表表项项病毒毒创创建建注注册册表表项项，，使使得得自自身身能能够够在在系系统统启启动动时时自自动动运运行行，，在在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创创建建"avserve"=””c:\WINNT\avserve.exe””。。3、、通通过过系系统统漏漏洞洞主主动动进进行行传传播播病毒毒主主动动进进行行扫扫描描，，当当发发现现网网络络中中存存在在微微软软SSL安全全漏漏洞洞时时，，进进行行攻攻击击，，然然后后在在受受攻攻击击的的系系统统中中生生成成名名为为cmd.ftp的ftp脚本本程程序序，，通通过过TCP端口口5554下下载载蠕蠕虫虫病病毒毒。。4、、危危害害性性受感感染染的的系系统统可可能能死死机机或或者者造造成成重重新新启启动动，，同同时时由由于于病病毒毒扫扫描描A类或或B类子子网网地地址址，，目目标标端端口口是是TCP445会对对网网络络性性能能有有一一定定影影响响，，尤尤其其局局域域网网可可能能造造成成瘫瘫痪痪。。并并可可以以在在TCP9996端口口创创建建远远程程Shell。。该病病毒毒在在传传播播和和破破坏坏形形式式上上与与““冲冲击击波波””病病毒毒相相类类似似。。9.清除除该该病病毒毒的的相相关关建建议议(1)有了了上上面面的的分分析析之之后后，，我我们们就就可可以以手手动动来来清清除除该该病病毒毒了了。。方方法法如如下下：：1、安全模模式启动动重新启动动系统同同时按下下按F8键，进入入系统安安全模式式2、注册表表的恢复复点击"开始--〉运行"，输入regedit,运行注册册表编辑辑器，依依次双击左侧的的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除面面板右侧侧的"avserve"="c:\winnt\avserve.exe““3、删除病毒毒释放的的文件点击"开始--〉查找--〉文件和和文件夹夹"，查找文文件"avserve.exe"和"*_up.exe"，并将找到到的文件件删除。。8.清除该病病毒的相相关建议议(2)8.清除该病病毒的相相关建议议(3)4、可用用一些补补丁和杀杀毒软件件，如瑞瑞星：8.清除该病病毒的相相关建议议(4)Microsoft早在4月月初就已已经给出出了MS04-011,012,013等严重漏漏洞，并并且提醒醒用户打打补丁。。小结结(1).我们们接触信信息安全全都是从从计算机病病毒开始的。。(2).想必必大家都都类似病病毒的侵侵扰；(如冲击波，震荡波等)。(3).其其实实网络络上到到处都都有安全隐隐患!演示示内容：：网络络数据据包的的生成，传输，和到达的的过程程以及在在这这一过过程中中存在在的安全问问题。IPmovieDemo……目录录一.计计算算机病病毒二.网网络络安全全现状状三.信信息息系统统的安安全风风险四.我我们们眼中中的安安全五.常常用用的安安全方方法计算机机系统统的入入侵我们从从计算算机系系统的的入侵就可以以看出出网络络信息息安全全历史，现状和未来。19801985199019952000密码猜猜测可自动动复制制的代代码密码破破解利用已已知的的漏洞洞破坏审审计系系统后门会话劫劫持擦除痕痕迹嗅探包欺骗骗GUI远程控控制自动探探测扫扫描拒绝服服务工具攻击者者入侵者者水平平攻击手手法半开放放隐蔽蔽扫描描控制台台入侵侵检测网网络管管理DDOS攻击2002高入侵技技术的的发展展挑战战1998年年到2003年年，信信息安安全事事件增增加了了23倍!1998年年:3734次次2003年年:127529次什么是是安全全？安全一种能能够识识别和和消除除不安安全因因素的的能力力安全是是一个个持续续的过过程网络安安全是是网络系系统的的硬件件、软件及其系系统中中的数据受受到保保护，不因因偶然然的或或者恶恶意的的原因因而遭遭到破破坏、、更改改、泄泄露，，系统统连续续可靠靠正常常地运运行，，网络络服务务不中中断。。一)非授权权访问问没有经经过同同意，就使使用网网络或或计算算机资资源。。如有有意避避开系系统访访问控控制机机制，，对网网络设设备及及资源源进行行非正常常使用用。或擅自扩扩大权限，，越权访访问信息。。形式:假冒、、身份攻攻击、非法法用户户进入入网络络系统统进行行违法法操作作、合合法用用户以以未授授权方方式进进行操操作等等。安全威威胁二)信信息息泄露露敏感数数据在有意意或无无意中中被泄漏出出去。信息在在传输输中丢丢失或或泄漏漏（电电磁泄泄漏或或搭线线窃听听；对对信息息流向向、流流量、、通信信频度度和长长度等等参数数的分分析，，推出出有用用信息息；猜猜测用用户口口令、、帐号号等重重要信信息。。2.信信息息在存储介介质中丢失失或泄泄漏。。通过建建立隐隐蔽隧隧道等等窃取取敏感感信息息等。。安全威威胁三)破破坏数数据完完整性性以非法法手段段窃得得对数据的的使用用权，删除、、修改改、插入入或重重发某某些重重要信信息，，以取取得有有益于于攻击击者的的响应应；恶意添添加，修改数数据，以干干扰用用户的的正常常使用用。安全威胁四)拒绝绝服务攻击击不断对网络络服务系统统进行干扰扰，改变其其正常的作作业流程。。执行无关程程序使系统统响应减慢慢甚至瘫痪痪，影响正正常用户的的使用，甚甚至使合法法用户被排排斥而不能能进入计算算机网络系系统或不能能得到相应应的服务。。安全威胁SYNFlood原理正常的三次次握手建立立通讯的过过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方SYNFlood原理SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcpconnect攻击者受害者大量的tcpconnect这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect五)利用用网络传播播病毒通过网络传传播计算机病毒毒，其破坏性性大大高于于单机系统统，而且用用户很难防防范。六)假冒冒假冒合法身身份破坏正常工工作，北大同宿舍舍同学邮件假假冒案。七)抵赖否认接收过过或发送过过信息。安全威胁为什么我们们不能杜绝绝攻击事件件的发生日趋精密的的攻击以及及以INTERNET为基础的技技术快速发发展。合格的IT技术人员和资金的缺缺乏从而不不能获得更更多的资源源。没有对被保护的系统统有大量、充充分、快速速、安全的的部署。没有绝对的的安全开放最少服务提供最小权权限原则安全需求平衡过分繁杂的的安全政策将导致比没没有安全政政策还要低低效的安全全。需要考虑一一下安全政策给合法用户户带来的影影响在很多多情况下如如果你的用用户所感受受到的不方方便大于所所产生的安安全上的提提高，则执执行的安全策略是实际降低低了你公司司的安全有有效性。建立一个有有效的安全全矩阵安全距阵一个安全矩矩阵由单个操作系系统安全特征、、日志服务务和其他的的装备包括括防火墙，，入侵检测测系统，审审查方案构构成。安全矩阵系系统最主要要的几个方方面允许访问控控制容易使用合理的花费费灵活性和伸伸缩性优秀的警报报和报告保护资源终端用户资资源Theworkstationsusedbyemployees威胁:Viruses,trojans,ActiveX,applet网络资源Routers,switches,wiringclosets,telephony威胁:IPspoofing,systemsnooping服务器资源源DNS,WEB,Email,FTP等服务器威胁:Unauthorizedentry,D.O.S,trojans信息存储资资源Humanresourcesande-commercedatabases威胁:Obtainingtradesecrets,customerdata增加了复杂杂性不得不培训用户如何使用你你需要的安安全机制降低了系统统响应时间认证，审计和加密机制会降低系统统性能安全的权衡衡考虑和缺缺点网络安全问问题增长趋趋势Internet技术飞速发发展有组织的网网络攻击企业内部安安全隐患有限的安全全资源和管管理专家复杂程度Internet技术的飞速速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间财政损失知识产权损损失时间消耗由错误使用用导致的生生产力消耗耗责任感下降降内部争执网络攻击后后果可见的网络络攻击影响响利润攻击发生(财政影响)Q1Q2Q3Q4网络安全风风险安全需求和和实际操作作脱离内部的安全隐患患动态的网络络环境有限的防御策略安全策略和和实际执行行之间的巨巨大差异针对网络通通讯层的攻攻击通讯&服务层

TCP/IPIPXX.25EthernetFDDIRouterConfigurationsHubs/SwitchesDMZ

E-Mail

FileTransferHTTPIntranet

企业网络生产部工程部市场部人事部路由Internet中继调制解调器通讯&服务务层弱点超过1000个TCP/IP服务安全漏漏洞:Sendmail,FTP,NFS,FileSharing,Netbios,NIS,Telnet,Rlogin,等.错误的路由配置置TCP/IP中不健全的的安全连连接检查机制制缺省路由帐户户反向服务务攻击隐蔽ModemDMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对操作作系统的的攻击操作系统

UNIXWindowsLinuxFreebsdMacintoshNovell操作系统统的安全全隐患1000个以上上的商用操作作系统安全漏洞洞没有及时时添加安全补丁丁病毒程序序的传播文件/用用户权限限设置错误误默认安装装的不安全全设置缺省用户户的权限和密码口令用户设置置过于简单密码码使用特洛依木木马DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继针对应用用服务的的攻击应用服务务程序Web服务器数据库系系统内部办公公系统网络浏览览器ERP系统办公文件件程序FTPSMTPPOP3SAPR/3Oracle应用程序服务务的攻击弱点点Web服务器:错误的Web目录结构CGI脚本缺陷Web服务器应用程程序缺陷私人Web站点未索引的Web页数据库:危险的数据库库读取删除除操作路由器:源端口/源路路由其他应用程序序:Oracle,SAP,Peoplesoft缺省帐户有缺陷的浏览器DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继额外的不安全全因素外部个体外部/组织内部个体内部/组织网络的普及使使学习网络进进攻变得容易易全球超过26万个黑客客站点提供系统漏洞和攻击知识越来越多的容容易使用的攻攻击软件的出出现国内法律制裁打击力度不够够混合型、自动动的攻击WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻击:蠕虫WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墙入侵检测风险管理攻击的发展趋趋势攻击的发展趋趋势(1).漏漏洞趋势严重程度中等等或较高的漏洞急剧增加加,新漏洞被利用越来越越容易(大约60%不需或很少需需用代码)(2).混混合型威胁趋势将病毒、蠕虫、、特洛伊木马马和恶意代码的特性与服务器和Internet漏洞结合起来来而发起、传传播和扩散的的攻击,例：红色代码和尼姆达等。攻击的发展趋趋势(1).主主动恶意代码码趋势制造方法：简单并工具化技术特征：智能性、攻击性和多多态性,采用加密、变变换、插入等等技术手段巧巧妙地伪装自身，躲避甚至攻攻击防御检测测软件.表现形式：多种多样,没有了固定的的端口，没有了更多多的连接,甚至发展到可可以在网络的的任何一层生根发芽，复复制传播，难以检测。(2).受受攻击未来领领域即时消息：MSN,Yahoo,ICQ,OICQ等对等程序(P2P)移动设备(手手机安全)网络信息安全全的现状(1)(1).从从攻击的发展可以看到目前前网络信息安安全的现状的的很令人担忧的。(2).主主要原因：技技术发展的不不完善以及人人们对信息安安全的忽视，，造成了信息息系统存在严严重的脆弱性(漏洞)，使信息安安全面临极其其严峻的形势势。网络信息安全全的现状(2)由于互联网在在软硬件方面面存在着“先天”漏洞，全世世界平平均每20秒就有一一起黑黑客袭袭击，，有87%的电电子邮邮件系系统被病毒毒感染染，使使90%以上上的网网站受到攻攻击，，有近近万种不同类类型的的病毒毒在传传播。。据美国国有关关方面面公布布，““黑客客”攻攻击给给美国国造成成的经经济损损失每年至至少100亿美元。。信息安安全的的事实实绝对的的信息息安全全是不存存在的的，每个个网络络环境境都有有一定定程度度的漏洞和风险。这种种程度度是可可以接接受的的。信信息安安全问问题的的解决决只能能通过过一系系列的的规划和措施，把风风险降降低到到可被被接受受的程程度，，同时时采取取适当当的机机制使使风险险保持持在此此程度度之内内。当当信息息系统统发生生变化化时应应当重重新规规划和和实施施来适适应新新的安安全需需求。。信息系系统的的安全全往往往取决决于系系统中中最薄弱弱的环环节-人。人是是信息息安全全中最关键键的因因素，同时时也应应该清清醒的的认识识到人人也是是信息息安全全中最薄弱弱的环节节。八项安安全实实施建建议(1).成成为为一个个安全全的偏偏执狂狂(2).完完整整的安安全策策略(3).不不要要采取取单独独的系系统或或技术术(4).部部署署公司司范围围的强强制策策略八项安安全实实施建建议(5).提提供供培训训终端用用户管管理理员经经理理(6).根根据据需要要购置置安全设设备(7).识识别别安全全的商商业问问题(8).考考虑虑物理安安全当前安安全现现状分分析安全现现状(1)随着金融电电子化化和网络化化的巨大大发展展，传传统的的封闭闭性的的业务务网络络将逐逐渐与与公开开网络络相融融合或或连接接，在在这种种情况况下，，如何何保障障业务务网络络的安安全性性成为为信息息安全全的重重要问问题。。计算机机产业业的发发展，网络络知识识的普普及特特别是是Internet的广泛泛应用用，为为计算算机网网络和和金融融犯罪罪创造造了更更先进进的技技术条条件，，因此此原有的的安全全设计计已不能能完全全满足足现有有的安安全需需求，，信息息安全全的风风险增增高了了。安全现现状(2)针对互互联网网的应应用目目前还还缺乏乏有效效的安安全措措施和和手段段，影影响了了信息息系统统通过过互联联网对对外提提供服服务的的范围围和种种类。。只重视视单一或几个安安全产产品的部署署，而而忽视视整体体安全全系统统建设设；部分企业信信息系系统的安全全防范范只能能防范范外部部的非非法入入侵者者，不不能监监控内内部的的破坏坏者；；只能消极地地发现现黑客攻攻击的的后果果，而而不能能主动、智能地对黑黑客进进行反反攻击击;只能采采用分散的的、不可集集中管理的的安全全产品品，而而不能能采用用全面面的、、集中中的安安全管管理平平台。。安全现现状(3)管理部部门众众多，，没有统统一的的标准准，人才才不够够等情情况也也是整整个信信息安安全产产业健健康发发展的的制约约因素素。建建立完完善的的信息安安全体体系，既要要有适适应社社会信信息化化安全全管理理的配配套政政策、、法律律、法法规和和技术术标准准，又又要有有先进进实用用的技技术手手段，，还要要有大大量的的专门门人才才。安全全现现状状(4)兼职职的的安全全管管理理员员物理理安安全全保保护护基本本的的安安全全产产品品简单单的的系统统升升级级机房房安安全全管管理理制制度度资产产管管理理制制度度………安全全现现状状(5)空口口令令、、简简单单口口令令、、默默认认口口令令设设置置、、长长期期不不更更换换；；点击进入入危险的网网站或链接；；接收查看看危险的电电子邮件件附件；系统默认安装装，从不进进行补丁丁升级；；拨号上网网，给个个人以及及整个公公司建立立了后门门；启动了众众多的不不用的服服务；个人重要要数据没没有备份份；……安全现状状总结（（1）没有有效效、独立的安安全管理理组织，安全管管理人员员不足，，岗位权责责不明确确，不能有有效实施施和执行行某些安安全措施施。总部部信息技技术中心心虽专设设负责公公司的信信息安全全工作的的岗位，，但由于于公司组组织结构构和信息息网络的的庞大性性特点，，使得安安全管理理员不能能全权、、有效地地形成对对整个组组织自上上到下的的全面安安全管理理。安全现状状总结（（2）缺乏一套套完善、统一的安安全策略略和安全管理理制度，更缺乏乏对安全全制度执执行情况况的严格格管理。。公司总总部虽然然有了一一套管理理制度，，但涉及及全部内内部员工工的条款款很少，，更不能能形成对对下级组组织的有有力约束束，安全全管理的的内容也也很少，，大部分分员工甚甚至不知知道具体体内容是是什么，，也没有有对其遵遵守和执执行的情情况进行行监督的的任何措措施，因因此公司司在制度约束束方面是安安全管理理中欠缺缺比较严严重的部部分。安全现状状总结（（3）员工缺乏乏基本的的安全意意识，特别是是下级组组织的员员工等，，没有进进行统一一的、系系统的安全培训训和学习的机会。。由于员员工对发发生安全全问题后后造成的的后果不不负任何何责任，，从而也也就不能能有效的的督促员员工提高高自己的的安全意意识，最最终形成成恶性循循环，导导致员工工不能严严格遵循循公司的的安全管管理制度度，个人电脑脑的密码码设置非常脆弱弱甚至是是空口令，经常上上一些危危险的网网站，接接收危险险的电子邮件件，不能定定期升级级系统安全补丁丁，更缺乏乏一些基基本的安安全防护护意识和和发现解解决某些些常见安安全问题题的能力力。安全现状状总结（（4）缺乏一套有有效的安全预警体体系。虽然公司司在信息系系统内安装装了防火墙、防病毒系统统等安全产品品，用于监控和防护内部部和外部的的不安全活活动，但由由于最新漏洞被利用的快快速性、安安全问题出出现的偶然然性、安全全事件处理理的复杂性性以及产品品规则库升级的滞滞后性，使得安全全管理员不不可能及时时的发现网网络系统存存在的最新漏洞，也就不可可能有效的的实现全网网的安全预预防工作，，相反只能能事事被动动，等问题题发生了再再去找解决决问题的方方法，从而而给公司带带来很多不不必要的损损失。安全现状总总结（5））缺乏一套完完善的监控体系。网络系统统与Internet相连处虽然然部署了防火墙等访问控制制产品，但但对于透过防火墙墙渗透进来的入侵侵行为，或或者公司内内部的恶意意入侵行为为并没有很很好的监控控手段，从从而使得当当有安全事事件发生时时，不能及及时的进行行防护。安全现状总总结（6））缺乏一套充分、完善善的应急体系系和快速的的响应流程。公司并没没有建立自自己的应急体系，对于各种种可能发生生的安全事事故，没有有定义负责责处理的人人员、相应应的最佳解解决处理方方案、可能能造成的风风险等。另另外，公司司也缺乏一一套有效、、快速地安安全问题响响应流程，，特别是对对于托管机房、下级组织织业务系统统等远程网网络的故障障，总部不不能快速进进行本地支支持，更缺缺乏有一个个有效的安安全事件上上报、传递递、沟通、、响应的通通道。历来来的各种安安全事件发发生后，公公司都由于于缺乏处理理某些经常常发生事件件的能力事事事被动，，从而延误误了事件处处理的时间间，造成很很多不必要要的损失。。安全现状总总结（7））缺乏安全产产品的集中中统一管理理。由于网络络系统的扩扩大化，对对安全产品的的需求也越来越多多，但是安安全管理岗位数数量的有限性，，必然导致致放松对安安全产品的的管理，安安全管理员员不可能实实时登录查查看各种安安全产品的的应用状况况和报警信信息，某些些安全产品品由于不能能与互联网网通信、甚甚至使用周周期太长导导致不能定定期在线更更新，使其其不能监控控和查找最最新的安全全问题，实实现其最佳佳的安全功功效。我国的信息息安全的现现状(1)美国国防部部将计算机机安全按从从低到高顺顺序分为四四等八级：：D，C1，，C2,B1，，B2，B，A1，，超A1。我国在C2级：各国黑黑客要进入入中国的网网络系统如如履平地。。我国的信息息安全的现现状(2)和发达国家家相比，我我国的信息息安全隐患患更加突出出。体现在在以下两个个方面：（一）是认识滞后后，思想麻麻痹。由于信息技术的发展与应应用投资风险小小，见效快，因而导致致对信息技技术发展与与应用的投资膨胀。而信息安全产产业投资高，风险大，见效慢，备受冷落，则发展缓缓慢，甚至至许多可以获得的的安全技术术也没有在计计算机及其其网络中得得到应用。。目前我国国信息安全全产业市场场规模仅占占全部信息产产业市场0.4%的份额，而而美欧信息产业发达的的国家在这这方面的比比例已高达10～15%。我国如此此低下的信信息安全投投入必将进进一步拉大和发达国家家的信息安安全差距。。我国的信息息安全的现现状(3)和发达国家家相比，我我国的信息息安全隐患患更加突出出。体现在在以下两个个方面：（二）是技术落后后，受制于于人。至今我国使使用的处理理器和操作作系统等重重要软硬件件依然靠国国外进口，，有的发达达国家出于于种种目的的，在软硬硬件上留下下缺口或者者“后门””，给我国国信息安全全留下了巨巨大的隐患患。据报道，曾曾上市的奔腾三处理理器中设置了用用以识别用户身份的的序列码，每一台机机器只有唯一的序列列码且永久不变变，电脑用用户在网络络或互联网网上所做的的每一件事都会留下痕痕迹，或处处于别人的监视视之下。而此前上市市的操作系统Windows98则会根据用用户的计算算机硬件配配置情况生生成一串用户名名字、相关地址代代码等全球唯一一的识别码，然后通过过电子注册程程序在用户不知道的情况下传传送到微软软的网站上上。奔腾三处理理器和微软公司的的Windows98一方面带来来更高性能和更快速度，但另一方方面有可能能成为随时时会泄密的的“定时炸弹”。我国的信息息安全的现现状(4)目前，我国国的网络信信息安全技技术还不高高，抵御网网络攻击的的能力较差。其中主要要有三方面面的原因：：(1).过过去我们忽忽视了从国防角度思考安全问问题，而用用国外的高技技术产品来保证自己己的安全。。据可靠消息息，美国向向中国出口口的密钥芯片都为美国政政府相关机机构留下了了随时出入入的方便之“门门”。也就是说说，用来保保证安全的的手段恰恰是是最危险的，而只有有美国才能能生产高质质量的芯片，我们非用用它不可。。我国的信息息安全的现现状(5)其中主要有有三方面的的原因：(2).用用于信息加密技术中，最最高为128位，但但美国禁止止超过40位的密码码产品出口口，其中出出口中国的的计算机系系统的安全全等级只有C2级，排名倒数数第三，因因而各国黑黑客要进入入中国的网网络系统如如履平地。。我国的信息息安全的现现状(6)其中主要有有三方面的的原因：(3).计计算机病毒隐患严重。。网络对抗技技术发展带带来的破坏坏力不亚于于核技术，CIH病毒在一年的时时间里就能能让中国的的计算机企企业损失几十亿元。目录录一.计算算机病毒二.网络络安全现状状三.信息息系统的安安全风险四.我们们眼中的安安全五.常用用的安全方方法面临的威胁胁合法用户的的威胁：是指拥有有合法授权权的用户因因在系统管管理方面的的错误或疏疏忽造成系系统破坏的的可能性。。滥用授权错误操作操作行为抵抵赖面临的威胁胁非法用户的的威胁：是指非授授权用户或或低权限用用户越权对对系统造成成破坏的可可能性。内部员工的的越权访问问外部攻击者者的恶意入入侵数据的窃听听和破坏恶意代码的的破坏物理破坏面临的威胁胁系统组件的的威胁：是指信息息系统的硬硬件或软件件发生意外外故障的可可能性。系统设备意意外故障通讯中断软件意外失失效物理环境的的威胁：是指由于于环境因素素造成系统统破坏的可可能性。电源中断灾难安全事件一一：数据资资产的窃取取2001年12月，烟台市人民检检察院依法对涉嫌伪造有有价票证的犯犯罪嫌疑人乔乔XX批准逮捕，乔乔XX利用到某电信公司维护护通信设施之之机，通过修改数数据库伪造200电话卡卡10000张，给电信信公司造成20余万元的的经济损失。。2002年，，中国公安部曾经破获一起起不法分子利利用黑客手段段在银行的网银服务器中植入“木马马”程序，窃窃取了多家银银行和证券客户的账账号、密码信息进行诈骗的案案件，涉案金金额达80多多万元。2003年2月，美国一一名电脑黑客客攻破了一家家负责代表商商家处理Visa和万事达卡交易业务的企企业计算机系系统，掌握了了220万个顾顾客的信用卡号在日本，黑客客利用安装在网吧中的特殊软件件非法窃取用用户网上银行的密码，使1600万日日元不翼而飞飞。安全事件二：：病毒蠕虫破破坏红色代码2001年6月18日，，微软发布安安全公告：MicrosoftIIS.IDA/.IDQISAPI扩展远程缓冲区溢溢出漏洞。一个月后，，利用此安全全漏洞原理制制造的蠕虫““红色代码”开始出现，，一夜之间攻攻击了国外36万台电脑脑，到2001年8月6日，针对微微软中文版操操作系统的““红色代码ⅡⅡ”开始在国国内发作，造造成很多运营营商和企事业业单位网络瘫瘫痪，“红色色代码”给全全球造成了高高达26亿美美元的损失。。安全事件二：：病毒蠕虫破破坏SQLslammer2002年7月24日日，微软发布布安全公告：：MicrosoftSQLServer2000Resolution服务远程栈缓缓冲区溢出漏漏洞。直到2003年1月25日，足足足6个月后，，利用此安全全漏洞原理制制造的蠕虫““SQLSlammer”现身互联网，，几天之内给给全球造成了了12亿美元的的损失。它这个系统统漏洞，对网网络上的SQL数据库进行攻攻击，连接在在网络上的被被攻击的系统统如同癌细胞胞那样不断蜕蜕变，生成新新的攻击报文文向网络释放放、扩散，从从而逐步鲸吞吞、消耗网络络资源，导致致网络访问速速度下降，甚甚至瘫痪。此此蠕虫攻击的的主要受害对对象是网络，，而不是个人人计算机。据据了解，此次次攻击始于北北京时间1月月25日13时15分左左右，澳大利利亚、美国、、英国、韩国国、泰国、日日本、马来西西亚、菲律宾宾、印度以及及中国台湾地地区等全球范范围的互联网网络受到不同同程度的攻击击。据新华社社报道，全球球估计至少有有2.2万个个网络服务器器遭到了病毒毒攻击，其中中受影响最严严重的地区是是欧洲北部、、美国东部和和亚洲的一些些国家。美国国美洲银行称称1.3万台台自动取款机机瘫痪，大量量银行客户无无法使用取款款机取款。韩韩国互联网络络曾经一度瘫瘫痪，只有10％的网络络可以勉强使使用，韩国情情报通信部为为此宣布进入入紧急状态。。安全全事事件件三三：：身身份份假假冒冒今年年6月月初初，，一一名名黑黑客客盗盗用用了了工商商银银行行网网站站的公公开开邮邮箱箱，，以以““网络络银银行行系系统统升升级级”的的名名义义，，给给网网上上银银行行注注册册客客户户发发送送邮邮件件，，索索要要注注册册客客户户的的用户户名名(登登录录卡卡号号)和和密密码码。工工行行发发言言人人表表示示，，网网站站已已经经向向用用户户发发出出重重要要提提示示，，并并采采取取紧紧急急应应对对措措施施。。2001年年，，一一名名上上海海黑黑客客侵侵入入上海海交交易易所所某席席位位，，盗盗卖卖了了2.6亿亿元元的的股股票票，，成成为为中中国国最最大大的的一一次次电电脑脑入入侵侵事事故故。。TelnetSMTPDNSFTPUDPTCPIP以太太网网无线线网网络络SATNETARPNET应用用程程序序攻攻击击监听听，，拒拒绝绝服服务务系统统漏漏洞洞利利用用硬件件设设备备破破坏坏电磁磁监监听听Windows*nix*BSDLinux每个个层层次次都都存存在在风风险险信息系系统统面面临临的的风风险险系统统建建设设的的缺缺陷陷和和安安全全隐隐患患缺陷陷或或漏漏洞洞后门门自然然老老化化错误误和和冗冗余余操作作失失误误传输输错错误误存储储错错误误安装装和和维维护护错错误误冗余余信息系系统统面面临临的的风风险险欺骗骗和和窃窃密密窃听听侦听听截包包电子子欺欺骗骗窃密密伪造造蓄意意破破坏坏物理理方方式式逻辑辑方方式式信息系系统统面面临临的的风风险险物理理和和环环境境的的支支持持能能力力下下降降或或丧丧失失电力力供供应应自然然灾灾难难静电电强磁磁场场恶意意代代码码病毒毒特洛洛伊伊木木马马逻辑辑炸炸弹弹时间间炸炸弹弹蠕虫虫其他他有有害害程程序序信息系系统统面面临临的的风风险险管理理不不当当或或失失控控口令令及及密密钥钥丢丢失失和和泄泄露露制度度遗遗漏漏安全全岗岗位位与与职职责责不不全全或或混混乱乱人事管理理漏洞审计不力力或无审审计安全设备备选型或或采购不不当其他风险险可能造成成的影响响资产破坏坏，直接的的经济损损失；造成可用用性的破破坏，使使得必要要情况时时用户无无法使用用网络或或系统，，甚至造造成系统统崩溃；；保存商业业数据或或银行帐帐号等的文件件服务器器、存有有个人隐隐私的PC机遭受破破坏，可可能有人人修改数数据或个个人资料料进行诈诈骗或破破坏，也也可能被被竞争者者所利用用；Web服务器遭遭受攻击击，篡改Web网站的的页面面；商业信信誉降降低，，特别别是当当公司司保存存的重重要客客户信信息被被公开开时，，还要要负一一定责责任。。目录录一.计计算算机病病毒二.网网络络安全全现状状三.信信息息系统统的安安全风风险四.我我们们眼中中的安安全五.常常用用的安安全方方法不安全的安全的安全策略实际安全到达标准安全间隙未知的的安全全间隙隙不容容忽视视DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继我们眼眼中的的网络络安全全网络安安全隐隐患无无处不不在，，常见见漏洞洞目前前有1000余余种。。DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继部署安安全保保卫措措施防火墙墙的能能力有有限外部/个体外部/组织内部/个体内部/组织安全全隐隐患患DMZE-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继尚不了了解实实际的的危机机实际安安全问问题还还有很多外部/个体外部/组织内部/个体内部/组织安全全隐隐患患DMZ?E-Mail

?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继管理分分析&实实施施策略略安全隐患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令添加所有操作系统PatchModem数据文件加密安装认证&授权用户安全培训授权复查入侵检测实时监控进不来来拿不走走改不了了跑不了了看不懂懂信息安安全的的目的的可审查查信息息安安全全体体系系鉴别加密访问控制安全管理病毒防范数字签名链路加密机IP协议加密机邮件加密文件加密防火墙远程用户鉴别系统防病毒软件防病毒制度密钥管理网络监视审计系统信息检查系统代理服务器远程用户鉴别系统网络系系统现现状潜在的的安全全风险险安全需需求与与目标标安全体体系安全解解决方方案分析后后得出出提出依照风风险制制定出出进行安全集集成/应应用用开发发安全服服务安全方方案设设计建立相相应的的网络安安全整整体设设计流流程VPN虚拟专专用网网防火墙墙内容检检测防病毒毒入侵检检测目录录一.计计算算机病病毒二.网网络络安全全现状状三.信信息息系统统的安安全风风险四.我我们们眼中中的安安全五.常常用用的安安全方方法概述述健全的的网络络信息息系统统安全全方案案应该该包括括如下下方面面的内内容:安全效效用检检验、、安全全审记记、安安全技技术、、安全全教育育与培培训、、安全全结构构与程程序、、安全全规则则等.常用的的安全全技术术有防火墙墙、防防病毒毒软件件、加加密技技术、、用户户认证证、入入侵检检测系系统等.防火墙墙和入侵检检测是两种种重要要的、、可以以互为为补充充的安安全技技术.两者从从不同同的角角度、、不同同的层层次实实现了了被保保护的的网络络系统统的安安全.入侵检检测（（核心心内容容）被认为为是防防火墙墙之后后的第二道道安全全闸门门，它在在不影影响网网络性性能的的情况况下对对网络络进行行监测测，从从而提提供对对内部部攻击击、外外部攻攻击和和误操操作的的实时时保护护.安全的的含义义与目目标、传统统的安安全模模型与与技术术,使我们们对网网络安安全的的体系系与结结构有有一个个大概概的了了解.第1.1节安安全的的含义义及目目标(1)安全:是指远离离危险险的状状态或或特性性，为防防范间间谍活活动或或蓄意意破坏坏、犯犯罪、、攻击击或逃逃跑而而采取取的措措施。。计算机机安全全:是指为为数据处处理系系统建建立和和采取取的技技术和和管理理的安安全保保护，保护护计算算机硬硬件、、软件件和数数据不不因偶偶然和和恶意意的原原因而而遭到到破坏坏、更更改和和泄漏漏。第1.1节安安全的的含义义及目目标(2)计算机机安全全的内容容:包括物理安安全和逻辑安安全两方面面。物理安安全指系统统设备备及相相关设设施受受到物物理保保护，，免于于破坏坏、丢丢失等等。逻辑安安全指计算算机中中信息息和数数据的的安全全，它它存在在于信信息系系统中中从信信息的的产生生、信信息的的传输输、信信息的的存贮贮直至至信息息的应应用这这一全全部过过程，，主要要包括括软件的安全全、数据的的安全和运行的安全全。软件的的安全是保护各种种软件及其其文档不被被任意篡改改、失效和和非法复制制，数据安全是保护所存存贮的数据据资源不被被非法使用用和修改，，运行安全是保护信息息系统能连连续正确地地运行。第1.1节安全的的含义及目目标(3)计算机网络络安全:是指利用网网络管理和和控制技术术，保证网网络系统环环境中信息息数据的保保密性、完完整性及可可使用性，，也就是保保护网上保保存和流动动的数据，，不被他人人偷看、窃窃取和修改改。网络安安全问题的的内容主要要分两大类类：一是网络系统的的安全，二是网络信息的的安全和保保密性。可以分为以以下四个方方面：(1).网络实体安安全，如计算机机房的环境境、各种硬硬件设备及及传输线路路的安全保保障；(2).软件安全，如网络系系统不被非非法侵入、、应用、复复制、修改改以及不受受病毒侵害害；(3).网络中的数数据安全，即保护网网络中的数数据不被非非法存取，，使其保持持完整；(4).网络安全管管理，包括计算算机安全技技术、安全全管理、安安全审计、、事件处理理等。第1.1节安安全全的的含含义义及及目目标标(4)安全全的的计计算算机机信信息息系系统统具有有以以下下几几个个特特征征：：(1).机密密性性（（confidentiality）：：机机密密性性是是指指数数据据不不会会泄泄漏漏给给非非授授权权的的用用户户、、实实体体，，也也不不会会被被非非授授权权用用户户使使用用，，只只有有合合法法的的授授权权用用户户才才能能对对机机密密的的或或受受限限的的数数据据进进行行存存取取。。(2).完整整性性（（Integrity）：：完完整整性性是是指指数数据据未未经经授授权权不不能能被被改改变变。。也也就就是是说说，，完完整整性性要要求求保保持持系系统统中中数数据据的的正正确确性性和和一一致致性性。。(3).可用性（Availability）：计算机资资源和系统中中的数据信息息在系统合法法用户需要使使用时，必须须是可用的。。(4).可控性性（Controllability）：可可控性性是指指可以以控制制授权权范围围内的的信息息流向向及行行为方方式，，对信信息的的访问问、传传播以以及具具体内内容具具有控控制能能力。。(5).正确性性（Correctness）：系系统要要尽量量减少少由于于对事事件的的不正正确判判断所所引起起的虚虚警（（FalseAlarms）现象象，要要有较较高的的可靠靠性。。基中最最重要要的三三要素素员工和客户访问资源可用性客户和业务信息的保护机密性客户和业务信息的可信赖性完整性Confidentiality：阻止未未经授授权的的用户户读取取数据据Integrity：阻止未未经授授权的的用户户修改改或删删除数数据Availability：：保证授授权实实体在在需要要时可可以正正常地地使用用系统统第1.2节传传统的的安全全模型型(1)传统统的的安安全全模模型型(单机机版版)：定定义义了了实实体体与与实实体体之之间间交交互互和和参参考考的的规规则则.Anderson在1972年提提出出了了计计算算机机安安全全模模型型，，如如下下图图所所示示：：三A技术术：：AccessControl,Authentication,Authorization第1.2节传传统统的的安安全全模模型型(2)传统统的的安安全全模模型型各各模模块块的的作作用用如如下下：：(1).安全全参参考考监监视视器器控控制制主主体体能能否否访访问问对对象象。。(2).(Authorization)授权权数数据据库库并不不是是安安全全参参考考监监视视器器的的一一部部分分，，但但是是安安全全参参考考监监视视器器要要完完成成控控制制功功能能需需要要授授权权数数据据库库的的帮帮助助。。(3).(AccessControl)识别与认认证系统统识别主主体和对对象。(4).(Authentication)审计系统统用来记录系统的活活动信息。第1.2节传统的安安全模型(3)安全控制模型型(网络)J.BryanLyles和ChristophL.Schuba给出了一个网网络安全控制制模型,如下图所示：：第1.2节传统的安安全模型(4)随着网络黑客客恶意攻击技技法的不断更更新和提高，，要求安全产产品技术向更更高层次发展展。要求网络络是一个适应应性开环式网网络，即系统统具有互连连网网扫扫描描功功能能、、系系统统扫扫描描功功能能、、数数据据库库扫扫描描功功能能、实实时时入侵侵监监控控功功能能和系统统安安全全决决策策功功能能。。只有有动动态态的的网网络络才才是是一一个个安安全全性性高高的的网网络络。。在在这这种种情情况况下下，，出出现现了了一一种种新新的的网网络络安安全全模模型型———P2DR模型型:第1.2节传传统统的的安安全全模模型型(5)P2DR模型型基基本本思思想想是是：：以安全全策策略略为核心心，通通过一一致的的检查查、流流量统统计、、异常常分析析、模模式匹匹配以以及应应用、、目标标、主主机、、网络络入侵侵检查查等方方法进进行安安全漏漏洞检检测，，检测测使系系统从从静态态防护护转化化为动动态防防护，，为系系统快快速响响应提提供了了依据据，当当发现现系统统有异异常时时，根根据系系统安安全策策略快快速作作出