信息安全基础培训

信息安全基础培训

---安全普及知识提纲信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项提纲信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项美国近年来日益重视网络安全奥巴马公布的网络安全报告认为：美国主要建立在互联网基础上的数字基础设施目前并不安全,现状"不可接受“把确保网络安全列为国家安全战略最重要的组成部分之一安全事件回放空军一号事件运营商泄密事件车险公积金安全事件回放数据泄露事件“大小姐”盗号木马案

某运营商充值卡被盗运营商典型安全事件回放运营商典型安全事件回放某运营商门户网站被黑运营商典型安全事件回放2007年重庆大雨水淹移动营业厅11预攻击内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：收集信息，进行进一步攻击决策黑客入侵的一般过程攻击内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：进行攻击，获得系统的一定权限后攻击内容：删除日志修补明显的漏洞植入后门木马进一步渗透扩展目的：消除痕迹，长期维持一定的权限12常见黑客攻击手段隐藏自身扫描探测社会工程预攻击阶段暴力猜解SQLinjection攻击拒绝服务攻击缓冲区溢出攻击网络嗅探攻击网络欺骗攻击特洛伊木马消灭踪迹攻击阶段后攻击阶段13以已经取得控制权的主机为跳板攻击其他主机隐藏自身常见黑客攻击手段14相关命令获取手工获取banner漏洞扫描技术预攻击探测常见黑客攻击手段15SQLInjection木马缓冲区溢出攻击DDOS攻击XSS（跨站攻击）Cookie中毒常见攻击简介SQL注入什么是SQL注入程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。入侵者可以通过恶意SQL命令的执行，获得想得知的数据SQl注入过程本质：入侵后台服务器攻击后果攻击者拥有Web的最高权限，可以篡改页面、数据，在网页中添加恶意代码攻击者Internet缺少对输入的合法性判断构建特殊数据库查询语句WEB服务器数据库动态查询数据库返回数据库信息获得数据库信息入侵和破坏篡改界面修改数据。。。后台管理员利用SQL语句猜解管理员信息登陆管理员后台17SQLInjection漏洞原理漏洞原理：在数据库应用的编程过程中，由于程序员没有对用户输入数据进行规范检查，导致攻击者能够通过构造恶意输入数据，操作数据库执行，甚至能直接攻击操作系统SQLInjection（SQL注入），就是利用某些数据库的外部应用把特定的数据命令插入到实际的数据库操作语言当中，从而达到入侵数据库乃至操作系统的目的。18防范SQLInjection从根本上避免出现SQLInjection漏洞，必须提高WEB程序员的安全意识和安全编程技能来解决程序本身的漏洞；代码中必须对所有用户输入进行严格的过滤，对单引号、双引号以及“--”等符号、非指定的数据类型及数据长度进行过滤；合理设置数据库应用程序的权限；对数据库系统进行必要的安全配置。跨站脚本(XSS)攻击什么是跨站脚本攻击通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被执行，从而获得访问者机密信息，如果访问者是管理人员则可以控制整个网站攻击危害窃取网页访问者保存在终端的各种帐号、网站管理员帐号，破坏网页访问者终端数据“跨站脚本攻击是到目前为止最受关注的、威胁最高的攻击手段”

攻击者1、通过E-mail或HTTP将B的链接发给用户2、用户将嵌入的脚本当作数据发送3、浏览器执行脚本后，返回数据4、在用户毫不之情的情况下，脚本将用户的cookie和session信息发送出去5、攻击者使用偷来的session信息伪装成该用户用户BWeb服务器20木马木马由两个程序组成，一个是客户端，一个服务器端（被攻击的机器上运行），通过在宿主机器上运行服务器端程序，在用户毫无察觉的情况下，可以通过客户端程序控制攻击者机器、删除其文件、监控其操作等。21木马攻击安全背景趋势控制我国计算机境外ip分布信息安全背景趋势攻击工具体系化

黑客网站

螃蟹集团社会工程学安全，难啊潜在性复杂性模糊性动态性提纲信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项什么是信息？ISO27001中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、交谈等信息安全的特征（CIA）ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。什么是信息安全欧共体对信息安全的定义：

网络与信息安全可被理解为在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输达到数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和保密性。我国安全保护条例的安全定义：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。◆信息安全的定义第一阶段：通信保密上世纪40年代－70年代重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密第二阶段：计算机安全上世纪70－80年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输的信息的机密性、完整性和可控性主要安全威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是安全操作系统设计技术（TCB）第三阶段：信息系统安全上世纪90年代以来重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，强调信息的保密性、完整性、可控性、可用性。主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等第四阶段：信息安全保障人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标。进不来拿不走改不了跑不了看不懂可审查信息安全的目的信息安全的相对性安全没有100%完美的健康状态永远也不能达到；安全工作的目标：将风险降到最低提纲信息安全的严峻形势信息安全概述如何提升我们的信息安全水平合规性要求日常工作中我们需要注意的事项如何提升我们的信息安全水平技术方面管理方面小问题：你们公司的Knowledge都在哪里？信息在哪里？结构性安全脆弱性永远存在，突破任何防御只是时间问题注重结构安全的动态信息安全模型，P.D.RPt>Dt+Rt（防护的时间>检测的时间＋响应的时间）一个结构性安全的例子：银行金库的防护静态脆弱性安全相对被动，而动态的结构性安全防患未然Pt时间DtRt缓冲的观点基于时间的安全，其时间难于计算看两个实际的安全保障的例子2008年奥运网络安全保障2009年2月胡锦涛主席在线回答网民问题缓冲包括冗余、重复、纵深、延缓…预警、抑制、丢车保帅、局部和整体…响应、恢复、反击……缓冲思想的基本立足点就是原理上攻击是可以成功的，在实际中是可以解决的信息安全技术防病毒和恶意代码技术防火墙技术与VPN技术防非法访问行为技术密码技术和PKI技术安全域间的访问控制入侵检测技术漏洞扫描技术安全审计跟踪技术防火墙技术具有阻断功能的所有技术灾难备份恢复技术反击技术一种解决方案VPN

虚拟专用网防火墙内容检测安全评估防病毒安全审计入侵探测防火墙技术定义

一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙的作用：1、过滤进出网络的数据包2、封堵某些禁止的访问行为3、记录通过防火墙的信息内容和活动4、对网络攻击进行检测和告警◆防火墙技术防火墙的体系结构主流防火墙技术：简单包过滤技术状态检测包过滤技术应用网关技术目前市场上主流产品的形态：集成了状态检测包过滤和应用代理的混合型产品入侵检测技术入侵是对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行非法访问。入侵检测系统是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。◆入侵检测系统（IDS）为什么需要IDS防范透过防火墙的入侵利用应用系统漏洞实施的入侵利用防火墙配置失误实施的入侵防范来自内部网的入侵内部网的攻击占总的攻击事件的70%没有监测的内部网是内部人员的“自由王国”对网络行为的审计，防范无法自动识别的恶意破坏入侵很容易入侵教程随处可见各种工具唾手可得安全漏洞日益暴露入侵检测系统的架构基于网络的NIDS基于主机的HIDS管理中心客户端代理客户端代理和管理中心之间的通信加密IDS规则网络异常检测网络误用检测

规则的一些元素可以制定一个需要保护的主机范围需要做日志纪录的和禁止的主机实施策略的时间段事件描述对于事件的响应入侵检测技术的关键指标误报漏报监控室=控制中心CardKey入侵检测系统的作用监控前门和保安监控屋内人员监控后门监控楼外入侵检测技术IDS的作用

*监控网络和系统*发现入侵企图或异常现象*实时报警*主动响应*审计跟踪防病毒系统是用来实时检测病毒、蠕虫及后门的程序，通过不断更新病毒库来清除上述具有危害性的恶意代码。网络防病毒具有---全方位、多层次防病毒---统一安装，集中管理---自动更新病毒定义库的特点◆防病毒技术防病毒技术身份认证技术是对进入系统或网络的用户身份进行验证，防止非法用户进入。身份认证技术的实现有----智能卡----基于对称密钥体制的Keberos身份认证协议----基于非对称密钥体制证书机制◆身份认证技术身份认证技术漏洞扫描技术

漏洞扫描是对网络和主机的安全性进行风险分析和评估的软件，是一种能自动检测远程或本地主机系统在安全性方面弱点和隐患的程序包。◆漏洞扫描技术◆加密技术加密技术加密技术是为保证数据的保密性和完整性通过特定算法完成的明文与密文的转换。◆签名技术签名技术数字签名技术为确保数据不被篡改而做的签名，不能保证数据的保密性。VPN-虚拟专用网络信息传输加密身份验证专有性受控的可信安全域（访问控制）安全的远程接入不同的VPN技术SSLVPN应用、认证、访问、加密层次MPLSVPN网络基础设施数据专线，保证带宽和服务质量IPSecVPN基于Internet远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网VPN的典型应用VPN即虚拟专用网，利用因特网实现数据在传输过程中的保密性和完整性而双方建立的安全通道。单位资产，员工私产——资产管理失控：

网络中终端用户随意增减调换，每个终端硬件配备（CPU、硬盘、内存等）肆意组装拆卸、操作系统随意更换、各类应用软件胡乱安装卸载，各种外设（软驱、光驱、U盘、打印机、Modem等）无节制使用；网络无限，自由无限——网络资源滥用：

IP地址滥用，流量滥用，甚至工作时间聊天、游戏、赌博、疯狂下载、登陆色情反动网站等行为影响工作效率，影响网络正常使用；门户大开，长驱直入——外部非法接入：

移动设备（笔记本电脑等）和新增设备未经过安全检查和处理违规接入或者入侵内部网络，带来病毒传播、黑客入侵等不安全因素；外贼好治，家贼难防——内部非法外联：

内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等，或违反规定将专网专用计算机带出网络进入到其他网络；蠕虫泛滥，业务瘫痪——病毒蠕虫入侵：

由于补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失，而且无法找到灾难的源头以迅速采取隔离等处理措施，从而为正常业务带来灾难性的持续的影响；脆弱防线，外强中干——终端安全隐患：

每个终端漏洞密布、口令简陋且经年不改，管理员无法时刻检查、提醒、或强制解决，为蠕虫、泄密等灾难埋下了各种隐患；网络无界，一损俱损——重要信息泄密：

因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭，造成不可弥补的重大损失；千里之堤，毁于蚁穴——补丁管理混乱：

终端用户不了解系统补丁状态，不及时打补丁，也没有办法统一进行补丁的下载、分析、测试和分发，从而为蠕虫与黑客入侵保留了通道；内网安全管理解决的八个问题90%以上的问题来自终端安全=最少服务最小权限公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的内容还多推理：一个安全相关程序有安全性缺陷定理：只要不运行这个程序，那么这个程序有缺陷，也无关紧要推理：只要不运行这个程序，那么这个程序有安全性漏洞，也无关紧要定理：对外暴露的计算机，应尽可能少地运行程序，且运行的程序也尽可能地小新技术统一威胁管理（UTM）入侵防御系统（IPS）内网管理系统防垃圾邮件系统。。。三分技术，七分管理

信息安全问题，不仅仅是技术问题，更重要的是内部自己人安全意识薄弱的问题。

要推广信息安全,要全员参与,增强安全意识是理所当然的.信息安全管理内容1.风险评估2.安全策略3.物理安全4.设备管理运行管理软件安全管理7.信息安全管理8.人员安全管理9.应用系统安全管理10.操作安全管理11.技术文档安全管理12.灾难恢复计划13.安全应急响应信息安全管理的制度IP地址管理制度防火墙管理制度病毒和恶意代码防护制度服务器上线及日常管理制度口令管理制度开发安全管理制度应急响应制度制度运行监督

。。。。。。

全员参与√信息安全不仅仅是IT部门的事；√让每个员工明白随时都有信息安全问题；√每个员工都应具备相应的安全意识和能力；√让每个员工都明确自己承担的信息安全责任；信息安全管理原则

文件化√文件的作用：有章可循，有据可查√文件的类型：手册、规范、指南、记录信息安全管理原则

沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训

文件的作用：有章可循，有据可查持续改进√信息安全是动态的，时间性强√持续改进才能有最大限度的安全√组织应该为员工提供持续改进的方法和手段

√实现信息安全