构建信息安全技术防御体系(6月17日上午远程教育视频培训课件)

构建信息安全防护体系中国信息安全测评中心CISP运营中心沈传宁安全防护体系建设病毒木马误操作断电硬件故障内部人员泄密应用问题软件故障漏洞网络故障口令破解协议缺陷防火墙、入侵检测、防病毒软件、身份认证、备份、漏洞扫描、安全审计……4安全防护体系模型信息保障技术框架（IATF）保护计算环境安全保护网络边界安全保护网络和基础设施支撑性基础设施建设5信息安全防护体系参考模型一信息保障技术框架（InformationAssuranceTechnicalFramework，IATF）美国国家安全局（NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF的代表理论为“深度防御（Defense-in-Depth）”。在关于实现信息保障目标的过程和方法上，IATF论述了系统工程、系统采购、风险管理、认证和鉴定以及生命周期支持等过程，指出了一条较为清晰的建设信息保障体系的路子4信息保障技术框架（IATF）5SuccessfulOrganizationFunctionsInformationAssuranceDefenseInDepthStrategyDefendtheNetwork&InfrastructureDefendtheComputingEnvironmentSupportingInfrastructuresDefendtheEnclaveBoundaryDetect&RespondKMI/PKIOverlappingApproaches&LayersofProtectionTechnologyTechnologyOperationsOperationsPeoplePeoplePeopleExecutingOperationsSupportedbyTechnology成功的组织功能信息保障深度防御战略网络基础设施安全边界安全计算环境安全安全基础设施检测与响应KMI/PKI层叠的方法与保护层次技术技术操作操作人员人员技术技术操作操作人员人员人员依靠技术进行操作人（People）：信息保障体系的核心，是第一位的要素，同时也是最脆弱的。基于这样的认识，安全管理在安全保障体系中愈显重要，包括：意识培训、组织管理、技术管理、操作管理……技术（Technology）：技术是实现信息保障的重要手段。动态的技术体系：防护、检测、响应、恢复操作（Operation）：也叫运行，构成安全保障的主动防御体系。是将各方面技术紧密结合在一起的主动的过程，包括风险评估、安全监控、安全审计跟踪告警、入侵检测、响应恢复……IATF的三要素6IATF的核心思想人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标，这就是IATF最核心的理念之一7IATF关注的技术领域关注的四个主要的技术领域计算环境区域边界网络和基础设施支撑性基础设施。四个领域构成了完整的信息保障体系所涉及的范围，每个范围领域内描述特有安全需求和相应可供选择的技术措施8

边界区域

计算环境

网络和基础设施支撑性基础设施目标：使用信息保障技术确保数据在进人、离开或驻留客户机和服务器时具有保密性、完整性和可用性。方法：使用安全的操作系统,使用安全的应用程序安全消息传递、安全浏览、文件保护等主机入侵检测防病毒系统主机脆弱性扫描文件完整性保护保护计算环境9保护区域边界什么是边界？“域”指由单一授权通过专用或物理安全措施所控制的环境，包括物理环境和逻辑环境。区域的网络设备与其它网络设备的接入点被称为“区域边界”。目标：对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视。方法：病毒、恶意代码防御防火墙人侵检测边界护卫远程访问多级别安全10保护网络和基础设施目标：网络和支持它的基础设施必须防止数据非法泄露防止受到拒绝服务的攻击防止受到保护的信息在发送过程中的时延、误传或未发送。方法：骨干网可用性无线网络安全框架系统高度互联和虚拟专用网。11支撑性基础设施建设目标：为安全保障服务提供一套相互关联的活动与基础设施,包括：密钥管理功能检测和响应功能方法：密钥管理优先权管理证书管理入侵检测、审计、配置信息调查、收集12安全防护体系模型信息保障技术框架（IATF）保护计算环境安全保护网络边界安全保护网络和基础设施支撑性基础设施建设5骨干网络保护网络边界保护网络和基础设施保护计算环境系统安全是信息系统纵深防御中的最后环节IATF“保护计算环境”的主要内容14保护计算环境-操作系统安全实践-Windows系统安全安全安装系统选择分区选择优化安装补丁及备份安全配置账户安全访问控制（共享、防火墙、远程终端）服务安全日志安全安全策略（本地安全策略、组策略）62账号安全配置默认账户安全更名及安全的口令其他账户安全安全的口令账户策略密码策略账户锁定策略16安全的口令好的口令特征自己容易记住，别人不好猜案例：“安全”的弱口令：zaq12wsxZAQ!@WSX其他口令管理策略密码信封A、B角64访问控制远程连接安全远程终端防火墙共享风险控制关闭共享空会话连接限制18系统用户列表用户信息共享列表……空会话连接系统服务安全关闭不必要的服务（手工、禁用）MessageTaskSchedulerRemoteRegistryWindowsTime……服务的权限控制默认服务权限-system降低部分服务的权限，特别是应用程序服务权限19关注互操作服务日志安全配置20默认提供日志系统日志应用程序日志安全日志安装相应服务后提供目录服务日志文件复制日志DNS服务器日志

开启安全审核！日志安全配置日志属性日志大小上限>

100M日志覆盖时间>30天日志保存路径修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventlogApplication应用程序日志Security安全日志System系统日志21本地安全策略设置用户权限分配创建文件和目录从网络访问此计算机……安全选项当登录时间完成自动注销关机清理虚拟内存页面不显示上次登陆用户名超过登录时间后强制注销用户登录时的消息标题用户登录时的消息文本使用空白密码的账号允许控制台登录……22其他本地安全策略高级安全Windows防火墙网络列表管理器策略公钥策略软件限制策略应用程序控制策略高级审核策略配置23组策略设置24软件设置Windows设置管理模板Windows组件打印机控制面板网络系统所有设置……安全增强软件访问控制主机防火墙主机入侵检测安全防护防病毒影子系统……72保护计算环境安全-恶意代码防护什么是恶意代码恶意代码（UnwantedCode,MaliciousSoftware,Malware,Malicouscode）是指没有作用却会带来危险的代码恶意代码类型二进制代码二进制文件脚本语言宏语言……26典型恶意代码类别病毒编译病毒解释病毒蠕虫木马其他恶意代码逻辑炸弹流氓软件……27编译病毒定义指的是其源代码已经由编译程序转换成操作系统可直接执行格式的病毒。类型感染文件病毒（CIH）感染引导区病毒(DIR2)混合病毒28解释病毒定义非可直接执行代码，由特定应用或服务执行解释执行感染对象Office系统文档：*.doc*.xls*.ppt*.mdb类型脚本病毒：各类脚本语言编写的病毒宏病毒：宏是office中的一项特殊功能，利用VBA编写脚本执行重复性工作。宏病毒是以此功能编写的破坏性脚本。实例VBS脚本病毒：Happytime宏病毒：美丽莎（Macro.Melissa）29蠕虫病毒定义一种具备自复制能力的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中特点有独立的病毒文件体；主动自我复制传播；利用系统漏洞、弱口令、局域网共享等多种方式传播；传播速度极快。实例：莫里斯蠕虫尼姆达30木马病毒定义又称特洛伊木马，名称来源于古代神话特洛伊木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道其他的功能，例如在你不了解的情况下拷贝文件或窃取你的密码。（RFC1244）主要类别远程控制信息收集（密码窃取）其他恶意作用31其他恶意代码逻辑炸弹在特定逻辑条件满足时，实施破坏的计算机程序或代码。流氓软件不会破坏计算机系统和数据，但为了达到某种目的而收集信息或干扰用户的使用体验。32恶意代码的防治人：安全意识教育安全管理制度宣贯安全知识及意识技术：综合病毒防御体系网络基础设施防护网络边界安全防护运行环境安全防护支撑性基础设施管理：完善的制度33切断病毒传播途径人员控制措施—恶意软件的意识教育组织机构IT系统和信息使用行为规范安全意识教育组织机构的信息安全意识教育应包含对恶意软件的意识教育意识教育实践的示例：不要打开来自于未知或已知发送者的可疑的电子邮件或电子邮件附件不要点击可疑的Web浏览器弹出窗口不要访问可能包含恶意内容的网站不要打开可能同恶意软件相关的文件扩展符的文件（例如：.bat，.com，.exe，.pif，.vbs)……

34技术控制措施-构建综合病毒防御体系远程用户远程用户远程用户远程用户边界保护（隔离器、防火墙等）远程访问保护（VPN，加密等）边界电信运营商公共电话网公共移动网连接至其他边界远程用户专网密级网络PBX公网(Internet)Internet服务供应商电信运营商本地计算环境网络基础设施支撑性基础设施（PKI公钥基础设施、检测和响应基础设施）带密级网络的边界专用网络的边界公共网络的边界35保护计算环境-应用安全应用安全目标合法用户能够通过安全策略合法地访问业务资源非法用户无法访问、篡改任何受保护的资源36技术要求物理安全网络安全主机安全应用安全数据安全应用安全问题构建在网络、系统安全基础上安全问题关注运行环境的安全（网络安全、系统安全）应用系统支撑软件安全应用软件自身安全应用协议安全37常见应用安全威胁网络层面拒绝服务、电子欺骗、嗅探、……系统层面Web服务漏洞、配置错误、……应用层面代码缺陷(SQL注入、XSS……）资源管理……业务层面钓鱼、流程缺陷38网络层面安全防御拒绝服务资源控制（带宽、CPU、内存、连接数）电子欺骗强身份验证嗅探加密的会话（https）39系统层面安全防御Web服务漏洞补丁最小化安装配置错误安全配置标准化配置40应用层面安全防御代码缺陷（SQL注入、XSS等）安全开发管理培训规范化开发……信息泄露安全意识培训审查机制电子欺骗加密会话身份验证41业务层面安全防御钓鱼式攻击用户自主标识用户安全意识教育流程缺陷风险评估渗透流程优化42某域名注册流程缺陷的例子！安全防护体系模型信息保障技术框架（IATF）保护计算环境安全保护网络边界安全保护网络和基础设施支撑性基础设施建设5控制：在网络连接点上建立一个安全控制点，对进出数据进行限制隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护记录：对进出数据进行检查，记录相关信息保护网络边界-防火墙44安全网域一防火墙的实现技术包过滤技术代理网关技术状态检测技术自适应代理技术45防火墙的实现技术-包过滤实现机制：依据数据包的基本标记来控制数据包网络层地址：IP地址（源地址及目的地址）传输层地址：端口（源端口及目的端口）协议：协议类型46安全网域一防火墙的实现技术-包过滤优点:只对数据包的IP地址、TCP/UDP协议和端口进行分析，规则简单，处理速度较快易于配置对用户透明，用户访问时不需要提供额外的密码或使用特殊的命令缺点：检查和过滤器只在网络层，不能识别应用层协议或维持连接状态安全性薄弱，不能防止IP欺骗等47防火墙的实现技术-代理网关每一个内外网络之间的连接都要通过防火墙的介入和转换，加强了控制分类电路级代理应用代理48防火墙的实现技术-电路级代理建立回路，对数据包进行转发优点能提供NAT，为内部地址管理提供灵活性，隐藏内部网络等适用面广缺点仅简单的在两个连接间转发数据，不能识别数据包的内容49防火墙的实现技术-应用代理工作在应用层使用代理技术，对应用层数据包进行检查对应用或内容进行过滤，例如：禁止FTP的“put”命令50防火墙的实现技术-应用代理优点可以检查应用层内容，根据内容进行审核和过滤提供良好的安全性缺点支持的应用数量有限性能表现欠佳51防火墙的实现技术-NAT什么是NAT一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT技术设计初衷增加私有组织的可用地址空间解决现有私有网络接入的IP地址编号问题52防火墙的实现技术-NATNAT实现方式静态地址转换动态地址转换端口转换53安全网域一00054NAT的优缺点优点管理方便并且节约IP地址资源隐藏内部IP地址信息可用于实现网络负载均衡缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。防火墙实现技术--状态检测数据链路层物理层网络层表示层会话层传输层检测引擎应用层动态状态表动态状态表动态状态表在数据链路层和网络层之间对数据包进行检测创建状态表用于维护连接上下文应用层表示层会话层传输层数据链路层物理层网络层应用层表示层会话层传输层数据链路层物理层网络层55防火墙实现技术--状态检测状态检测技术的特点安全性高，可根据通信和应用程序状态确定是否允许包的通行性能高，在数据包进入防火墙时就进行识别和判断适应性好对用户、应用程序透明56防火墙实现技术-自适应代理技术特点根据用户定义安全规则动态“适应”传输中的分组流量高安全要求：在应用层进行检查明确会话安全细则：链路层数据包转发兼有高安全性和高效率57防火墙技术--防火墙的工作模式路由模式透明模式混合模式内部网络/24GW:54外部网络/24GW:防火墙InternetIntranet/2454/24防火墙的典型部署区域划分：可信网络、不可信网络、DMZ区59可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防护墙的策略设置没有明确允许的就是禁止先阻止所有数据包需要的给予开放没有明确禁止的就是允许对明确禁止的设置策略60防火墙的策略设置可信网络可向DMZ区和不可信网络发起连接请求61可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的策略设置DMZ区可接受可信网络和不可信网络的连接请求DMZ区不可向可信网络发起连接请求DMZ区与不可信网络的连接请求根据业务需要确定62可信网络不可信的网络防火墙路由器InternetIntranetDMZ非军事化区防火墙的不足和局限性无法发现和阻止对合法服务的攻击；无法发现和阻止源自其它入口的攻击；无法发现和阻止来自内部网络的攻击；无法发现和阻止应用层的攻击；防火墙本身也会出现问题和受到攻击。63网络边界防护-入侵检测为什么需要入侵检测系统防火墙的重要补充构建网络安全防御体系重要环节克服传统防御机制的限制入侵检测系统能做什么检测对网络和系统的攻击行为对攻击行为作出响应64入侵检测系统的典型部署65可信网络不可信的网络防火墙InternetIntranet旁路的方式接入部署位置防火墙外核心交换机关键位置HIDSNIDSNIDSNIDS数据采集技术嗅探技术交换环境下的数据采集镜像口1对1镜像多对1镜像661234复制一份将端口4镜像到端口1数据检测技术误用检测技术建立入侵行为模型(攻击特征)；假设可以识别和表示所有可能的特征；基于系统和基于用户的误用；异常检测技术设定“正常”的行为模式；假设所有的入侵行为是异常的；基于系统和基于用户的异常；67误用检测68优点准确率高；算法简单。关键问题有所有的攻击特征，建立完备的特征库；特征库要不断更新；无法检测新的入侵。异常检测69误报率、漏报率较高优点可检测未知攻击自适应、自学习能力关键问题“正常”行为特征的选择统计算法、统计点的选择其他网络安全设备70整合型边界安全防护设备入侵防御系统（IPS）统一威胁管理系统（UTM）边界防病毒网关等数据交换管理设备安全隔离与信息交换系统（网闸）流量管理、上网行为管理安全管理设备安全管理平台（Soc）网络准入控制（NAC）……安全防护体系模型信息保障技术框架（IATF）保护计算环境安全保护网络边界安全保护网络和基础设施支撑性基础设施建设5保护网络和基础设施-协议安全72应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层安全损坏干扰电磁泄漏搭线窃听欺骗73拒绝服务嗅探网络接口层安全损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏搭线窃听：物理搭线欺骗：ARP欺骗嗅探：常见二层协议是明文通信的（以太、arp等）拒绝服务：macflooding，arpflooding等74互联网络层体系结构75应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP协议族中最为核心的协议IP协议的特点不可靠（unreliable）通信无连接（connectionless）通信IP协议简介76IP层安全拒绝服务欺骗窃听伪造77互联网络层安全拒绝服务：分片攻击（teardrop）/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造78传输层体系结构79应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPTCP:传输控制协议作用：TCP提供一种面向连接的、可靠的字节流服务功能数据包分块发送接收确认超时重发数据校验数据包排序控制流量……TCP协议8016位源端口号16位目的端口号32位序号32位确认序号偏移量保留UAP

RSF16位窗口大小16位紧急指针16位校验和数据特点：UDP是一个简单的面向数据报的传输层协议不具备接收应答机制不能对数据分组、合并不能重新排序 没有流控制功能协议简单占用资源少，效率高……UDP协议8116位源端口号16位目的端口号16位UDP长度16位UDP校验和数据传输层安全拒绝服务欺骗窃听伪造82传输层安全问题拒绝服务：synflood/udpflood/Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造83应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP……84应用层安全拒绝服务欺骗窃听伪造暴力破解……85应用层协议的安全问题拒绝服务：超长URL链接欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……86应用层协议安全问题-明文用户名：scn密码：scn432187保护网络和基础设施-网络安全规划合理划分网络安全区域规划网络IP地址设计VLAN安全配置路由交换设备网络边界访问控制策略网络冗余配置88网络安全架构需求及设计89网络安全架构需求及设计90无线局域网安全风险

保护网络和基础设施-无线局域网安全91传统无线安全防护措施服务集标识符SSID极易暴露和伪造，没有安全性可言物理地址（MAC）过滤

MAC地址容易伪造，扩展性差有线等效加密（WEP）

IEEE802.11定义的WEP保密机制加密强度不足，在很短的时间内WEP密钥即可被破解WEP机制本身存在安全漏洞，密钥长度增加无法解决问题，目前各种基于WEP的改进措施（WPA）等安全性仍然没有得到根本解决。92保护网络和基础设施-网络准入控制（NAC）通过对连入网络的客户端设备进行授权，以防止病毒和蠕虫等恶意代码对网络安全造成危害。通过NAC，可以只允许合法的、值得信任的端点设备（例如PC、服务器、笔记本、智能手机等）接入网络，而不允许其它设备接入检查设备的“状态”，能确保等待接入网络的设备符合一定级别的安全标准能够防止易损主机接入正常网络，减少病毒和蠕虫对企业网络的干扰93NAC的组成与工作过程组成终端安全检查软件网络接入设备策略/AAA服务器工作过程由终端设备和网络接入设备进行交互通讯将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查当终端及使用者符合策略/AAA服务器上定义的策略后，策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制94NAC的四种准入控制方式802.1x准入控制DHCP准入控制网关型准入控制ARP准入控制95安全防护体系模型信息保障技术框架（IATF）保护计算环境安全保护网络边界安全保护网络和基础设施支撑性基础设施建设5什么是密码学密码学研究什么密码编码学——主要研究对信息进行编码，实现对信息的隐蔽、完整性验证等密码分析学——主要研究加密信息的破译或信息的伪造密码学在信息安全中的地位信息安全的重要基础技术97密码学发展古典密码学（1949年之前）1949年之前，密码学是一门艺术主要特点：数据的安全基于算法的保密近代密码学（1949～1975年）1949～1975年，密码学成为科学主要特点：数据的安全基于密钥而不是算法的保密现代密码学（1976年以后）密码学的新方向—公钥密码学主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能98密码学基本术语明文：被隐蔽的消息被称做明文（PlainText），通常用P或M表示。密文：隐蔽后的消息被称做密文(CipherText)，通常用C表示。发送者：在信息传送过程中，主动提供信息的一方称为发送者。接受者：在信息传送过程中，得到信息的一方称为接收者。加密：将明文变换成密文的过程称为加密(Encryption)。解密：将密文变换成明文的过程称为解密(Decryption)。加密算法：对明文进行加密时所采用的一组规则称为加密算法(EncryptionAlgorithm)。通常用E表示。解密算法：对密文进行解密时所采用的一组规则称为解密算法(DecryptionAlgorithm)。通常用D表示。密钥:加密和解密算法的操作通常都是在一组密钥(Key)的控制下进行的，分别称为加密密钥和解密密钥。通常用Ke和Kd表示。99对称加密算法100DES算法：56bit的密钥强度3DES：三重DES