方正科技软件有限公司

网络安全基础方正科技软件有限公司2002年3月网络安全现状简介网络攻击分类入侵过程分析网络安全技术和产品网络安全原则主要内容什么是网络安全网络安全的核心是信息安全ISO信息安全定义：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全现状----国际由计算机安全协会（CSI）和联邦调查局（FBI）调查得出美国大公司、金融机构、医疗机构、大学和政府机构中：90％的人员反映遭受过安全破坏！70％经历过比病毒和雇员滥用网络更严重的破坏！42％声称由于计算机攻击而遭受到经济损失，总价值超过2.65亿美元！网络安全现状----国内中国国内80%网站有安全隐患，

20％网站有严重安全问题中国的银行过去两年损失1.6亿人民币利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%世界网络安全产品市场0204060100市场规模（亿美元）801201401602000

2001

2002

2003

2004

2005年份00.050.10.150.20.250.3增长率国内安全产品需求36.50%31.50%26.00%18.50%11.00%9.00%8.00%5.00%3.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%用户需求无防火墙防病毒入侵检测露洞扫描加密与数字签名VPN授权与认证企业级系统扫描和专家管理系统国内安全产品使用45.00%50.00%40.00%30.00%20.00%10.00%0.00%100.00%

95.50%90.00%80.00%70.00%60.00%5.040.%540.%030.%510.%510.%0.%00%1防病毒防火墙授权和认证VPN入侵检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它中国网络安全产品市场2000

2001

2002

2003

2004年份5000020000市场规模（万美元）15000100004000035000300002500052.00%51.00%增长率50.00%49.00%48.00%47.00%58.00%57.00%56.00%55.00%54.00%53.00%网络安全现状简介网络攻击分类入侵过程分析网络安全技术和产品网络安全原则主要内容攻击：欺骗（spoof）攻击：窃听（password

tracking）攻击：数据窃取（Data

stealing）攻击：数据篡改（

packetforging）攻击：拒绝服务（Dos）网络安全现状简介网络攻击分类入侵过程分析网络安全技术和产品网络安全原则主要内容网络安全的风险■Anti-detectionself-replicatingcodepasswordtrackingpasswordguessingknownvulnerabilitiesdisablingauditsbackdoorsstealthdiagnosticshijackingsessionspacket

forging,——从网络的发展看spoofingexploiting攻击工具攻击者需要的技能19801985199019952000需要的技能Web-crawlerattacks网络攻击发展趋势网络黑客特征大多数黑客为16到25岁之间的男性大多数黑客是“机会主义者”高级黑客

＝

安全知识

+ 黑客工具+

耐心

新互联网环境下出现的有明确政治、商业目的的职业黑客典型黑客攻击过程自我隐藏网络刺探和信息收集确认信任的网络组成寻找网络组成的弱点利用弱点实施攻击攻破后的善后工作自我隐藏

典型的黑客使用如下技术来隐藏IP地址

通过telnet在以前攻克的Unix主机上跳转通过终端管理器在windows主机上跳转通过错误配置的proxy主机跳转

更高级的黑客，精通利用电话交换侵入主机网络刺探和信息收集对网络的外部主机进行一些初步的探测试图收集网络结构本身的信息常用手段如下端口及服务扫描浏览web服务器来确定其主机操作系统

通过smtp或finger查找Unix主机上的用户通过IPC得到NT主机上面的用户确认网络组成的弱点利用扫描程序来扫描一些特定的远程弱点TCP/UDP端口扫描IPC的用户输出列表Samba或netbios的共享列表多个finger或Smtp请求来获得缺省帐号CGI弱点扫描

有缺陷版本的守护程序的扫描，包括

Sendmail,IMAP,POP3,RPC

status以及

RPC

mountd.弱口令攻击利用弱点实施攻击选择攻击时段

通常选择管理员没有登陆的时间常用手段如下：

利用服务程序漏洞如Sendmail、ftpd、IIS等

利用网站的CGI、ASP等漏洞猜测、强行计算用户密码攻破后的善后工作

通过该主机试图扩大清除他在记录文件中所留下的痕迹留下后门以便以后能控制该主机

入侵的范围，例如进入局域网内容等案例分析背景：

某公司对外提供Web服务的NT服务器管理员帐号被夺取，另外一台同一网段运行数据库的NT服务器数据被删除。攻击方式：黑客网络扫描发现提供Web服务的NT服务器IP

黑客对IP进行端口扫描发现该服务器为Win

2000，并打开

IIS服务和终端服务

黑客换用一台湾主机对该服务器进行IIS的Unicode漏洞攻击，得到管理员帐号并通过终端服务控制该Web服务器

黑客通过查看Web服务器上的ASP源码，得知数据库服务器地址以及帐号、密码黑客进入数据库服务器删除数据网络攻击的结果数据篡改欺骗数据窃取拒绝服务重要数据丢失敏感信息被窃取主机资源被利用网络瘫痪网络安全现状简介网络攻击分类入侵过程分析网络安全技术和产品网络安全原则主要内容安全是个连续的过程分析阶段：

需求分析、漏洞扫描

保护阶段：

防火墙、VPN 、防病毒检测阶段：入侵检测、授权、认证、签名管理阶段：审计系统、访问控制恢复阶段：数据备份、系统恢复对网络攻击的阻挡攻击预警和访问控制被攻破后的分析与补救远程传输的安全安全防护层次立体防护体系局域网立体安全防护体系FirewallVPNIDS

&Access

ControlAudit

Sys

&

ERS对网络攻击的阻隔

从逻辑和物理上分隔不同网络

将网络划成不同的安全等级和可信任等级常用方法物理隔离路由器、交换机防火墙网络隔离：包过滤型防火墙对所有的网络应用都可以防护，检查网络连接底层信息，控制访问的网络地址，规范网络流量。网络隔离：应用型防火墙只为指定的网络应用牵线搭桥，将网络数据与既定的安全策略进行比较。网络入侵检测

在网络上或针对主机寻找网络攻击的相关特征并作出相应反应。入侵检测产品基于网络的入侵检测基于主机检测

对网络系统和服务器进行检查寻找安全漏洞，并评估网络安全风险。安全扫描器产品危险高度危险网络信息审计和访问控制

记录网络上发生的一切活动，监控外路入侵，监视内部人员的违规和破坏活动并根据不同权限进行访问控制。主要产品：入侵检测类产品专用安全审计服务器病毒防护和灾难恢复使用先进的防病毒软件

对外来的文件先杀毒再使用

不要从互联网上下载软件

做好备份工作，使用磁带机并按计划定期备份数据和系统。数据加密和身份认证基本概念明文：■没有加密前的原始数据，可以是一段文字，也可以是一串数字。密文：■将原文通过某种加密方式加密后得到数据。密钥：

加密时采用的密码，随加密方法不同而有不同的要求。对称加密原理：加密和解密使用相同密钥

加密强度基本由其密钥长度决定目前一般至少为128位主要优缺点：加密速度快管理复杂，风险大非对称加密加密技术出现以来最重大的突破原理

有两把成对的密钥，称为公钥和私钥，其中公钥可以对外公

用一把密钥加密的数据只有用配对的另一把密钥才能正确解密特点：密钥易于管理，公钥不怕被窃取

但速度一般比对称加密算法慢很多混和型加密原理：

每次传输时，先用非对称加密算法“握手”，交换一个临时生成的对称加密密钥。

然后用此临时密钥进行主要的数据加解密工作。特点：

结合对称和非对称加密方式，既方便管理又能高速加/解密。身份认证nf1＃4@n6*i9%unW43(e^n公用密钥n12345n67890n12345n67890n私有密钥n加密n解密n认证中心nf1＃4@n6*i9%unW43(e^n传输数据加密和身份认证--主要产品加密VPN安全操作系统

加密软件、加密卡、智能卡、加密机身份认证CA安全方案的设计安全规划首当其冲在网络建设之初就考虑到网络安全，对网络结构进行划分，通过使用防火墙、物理隔离等手段保证办公网络、保密网络不会受到外部冲击。入侵检测和访问控制挑大梁

对网络攻击进行及时的报警和防范。

注意对用户权限的即时管理，更新。

对网络即时使用情况进行跟踪和控制。

根据用户权限进行访问控制，避免网络滥用和机密信息泄漏。建立备份恢复和审计系统

选用备份设备，指定备份制度，对重要数据采取冗余备份。

选用安全审计产品，对网络活动进行追踪，做到对网络操作有据

可查。网络安全现状简介网络攻击分类入侵过程分析网络安全技术和产品网络安全原则主要内容有效的安全计划一个有效的安全计划包括安全意识、防止、检测、管理

和响应以使危险降低到最小！平衡可用性、完整性和机密性机密性可用性完整性信息财