网络与信息安全培训材料

网络与信息安全一、企业信息平安的重要性和意义随着这几年来病毒的流行、黑客的猖狂，信息平安风险已被越来越多的企业认识与重视，信息平安的重要性已得到普遍认识与重视。信息网络平安成为全球化问题2000年2月Yahoo！等被攻击案件2001年8月红色代码事件2001年9月尼姆达事件2003年1月SQLSLAMMER事件2003年3月红色代码F变种事件2003年7月冲击波事件2004年5月震荡波事件重要性和意义当今社会，信息己成为企业的一种重要的资产，必须加以妥善的保护。信息平安管理使企业信息防止一系列威胁，保障了企业商务活动的连续性，最大限度地减小企业的商务损失，顺利获取投资和商务回报。重要性和意义信息及其支持过程的系统和网络都是企业的重要资产。信息的机密性、完整性和可用性对保持一个企业的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。任何企业及其信息系统〔如一个企业的ERP系统〕和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏、火灾、水灾等大范围的平安威胁。随着计算机的日益开展和普及，计算机病毒、计算机盗窃、效劳器的非法入侵破坏已变得日益普遍和错综复杂。

信息系统的平安目标信息保护机密性、完整性、可用性系统保护可靠性、可用性、可控性信息系统平安的构成要素物理环境及保障硬件设施软件设施管理制度及管理者蛋关于系统平安苍蝇不叮无缝的研究攻防技术以阻之因特网播送控制通讯交通医疗金融平安漏洞危害在增大网络对国民经济的影响在加强研究平安漏洞以防之工业网络的平安管理平安管理主要是为了降低企业的财政风险和由各种情况带来的损失，如入侵、系统误操作、特权滥用、数据篡改、欺骗以及效劳中断等。平安管理体系结构可以提供对所需的平安组件的管理，同其它平安元素协同工作以保护信息的机密性，并保证所有对计算机资源的访问都是授权和认证。平安管理体系结构的具体目标是提高分布式应用和信息的完整性、一致性以及机密性。平安管理体系结构能帮助指导系统和平台的选择，并保证所有系统都符合一个标准的最低平安级别。平安管理的目的进不来：使用访问控制机制拿不走：使用授权机制、认证交换机制看不懂；使用加密机制改不了：使用数据完整性鉴别机制〔数字签名〕走不脱：使用审计、监控、防抵赖等平安机制二、黑客入侵的常见手段木马病毒后门密码破解我国网络信息平安形势非常严峻99’本溪银行资金骗取案2000’新浪网电子邮件被阻塞案2000’北京医科大学网站被黑案98’上海热线效劳器被攻案2002’全国40余家网站被黑瘫痪2002’上海某网站百万用户资料被盗99’郑州保险公司数据库被篡改案黑客攻击频繁2002年全球网站被黑多达55000次。

从国内情况来看，目前我国95%的与互联网相联的网络管理中心都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

据估计，每公开报道一次黑客攻击，就有近500例是不被公众所知晓的。

黑客行径分析〔1〕攻击事件的目的〔2〕实施攻击的人员〔3〕攻击的主要流程过去五种影响最大的攻击红色代码尼姆达〔Nimda〕Melissa(1999)和LoveLetter(2000)分布式拒绝效劳〔DDOS〕攻击远程控制特洛伊木马后门(1998-2000)同步风暴攻击合理的访问请求得不到响应pong,synk4大量的链接请求阻碍信道.大量的链接请求阻碍信道阻塞这类攻击通常都设置假IP地址在TCP包中通过将同步位设为1的方式来请求连接，如果得到连接确认后不予理会，而是继续发出申请，将有可能耗尽效劳器端的有限的响应连接的资源特洛伊木马后门1998年7月，黑客组织CultoftheDeadCow推出后门制造工具BackOrifice〔BO〕使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是：黑客通过网络远程入侵并控制受攻击的Win95系统，从而使受侵机器“言听计从〞。BO以多功能、代码简洁而著称，并且由于BO操作简单，只要简单地点击鼠标即可，即使最不熟练的黑客也可以成功地引诱用户安装BackOrifice。只要用户一安装了BO，黑客几乎就可以为所欲为了，像非法访问敏感信息，修改和删除数据，甚至改变系统配置。如果仅仅从功能上讲，BackOrifice完全可以和市场上最流行的商业远程控制软件，像赛门铁克的pcanywhere、CA的ControlIT等相媲美。因此，许多人干脆拿它来当作远程控制软件来进行合法的网络管理。由于其简单易用和大肆地宣传，BO迅速被众多的初级黑客用来攻击系统。BO和其它木马后门工具使人们从根本上认识到了对用户进行一定的平安方面的培训，使他们不要随意运行不信任软件和广泛地配置防病毒软件的重要性。典型攻击案例台湾黑客对某政府网站的攻击时间：1999年8月大陆黑客出于对李登辉“两国论〞谬论的愤慨，于8月份某日，一夜之间入侵了数十个台湾政府站点。台湾黑客采取报复行动，替换了这个网站的首页。在该系统上存在至少4个致命的弱点可以被黑客利用。其中有两个缓冲区溢出漏洞，一个CGI程序有溢出错误。对这些漏洞要采用比较特殊的攻击程序。但台湾黑客并没有利用这些比较高级的攻击技巧，而是从一个最简单的错误配置进入了系统。原来，其缺省帐号infomix的密码与用户名相同!这个用户的权限足以让台湾黑客对web网站为所欲为。从这件事情可以看出，有局部系统管理员不具备最起码的平安素质。03年伊拉克战争全球反战黑客行动3月，一个号称“Freeworld〞的黑客组织声称成功地入侵了白宫网站病毒破坏严重2002年我国计算机病毒感染统计表感染过病毒感染三次部分数据被破坏数据完全被破坏83.98%59%64.5%14%病毒分类按攻击对象分Win32、win9x、winNT/2000/XP、宏病毒、Linux、、webscript、Mac等等按连接方式分类源码型、目标程序型、操作系统型、外壳型按破坏力分类良性、恶性按传染方式分类引导型、系统程序型、一般程序型按病毒宿主分类引导型、文件型、混合型病毒防范根本思想病毒预防管理措施技术措施病毒检查病毒消除当前网络平安事件的特点攻击者可以轻易通过多个不同的网络、地区或国家发起攻击，使得追查需要大范围的协调攻击定位十分困难：无论是虚拟还是现实世界的定位。使得防范和追查都十分困难攻击者需要的技术水平逐渐降低，造成的危害却逐渐增大有些问题的解决需要行业标准或者政策标准的方式来解决，例如垃圾邮件和分布式拒绝效劳攻击当前网络平安事件的特点病毒、蠕虫和其他攻击行为互相融合-传统病毒的特点：隐蔽性、传染性、破坏性-病毒的本质特点：“寄生〞，而不是独立的程序-蠕虫的特点：独立存在，自主蔓延-更广泛的名称：恶意代码〔还包括木马程序等〕-互联网的开展为各种恶意代码提供了更多的时机，传统的分类界限日趋模糊网络蠕虫的特点和危害性传统的网络蠕虫，其危害主要表现在对网络资源的消耗，导致网络阻塞新一代网络蠕虫的攻击能力更强，并且和黑客攻击、计算机病毒之间界限越来越模糊，带来更为严重的多方面危害，能够对互联网造成致命冲击：-网络阻塞，效劳中断〔信息化的开展使得这种危害带来的损失越来越大〕-开放主机，失密威胁严重-设置后门，成为下一轮攻击的根底-回收机制，便以攻击者集中掌握〔突破了传统蠕虫和病毒中，攻击者不能掌握受害对象信息的情况〕今年的情况变种的旧病毒卷土重来邮件病毒蔓延仍呈上升趋势MSN病毒影响广泛网页欺诈事件层出不穷特点：针对个人用户PC的攻击比率越来越高原因：用户缺乏平安意识；补丁升级不及时三、入侵防范与平安保密策略物理隔离策略传输/存储加密策略物理平安策略网络分段策略身份鉴别策略监测与审计策略病毒防御策略备份与恢复策略运行平安策略平安管理策略〔一〕防火墙最大限度地限制来自外界的非法访问，对用户内网进行平安保护是实现网络和网络之间既隔断又连通的网络平安设施网络A网络B防火墙防火墙的优越性能控制不平安的效劳，只有授权的协议和效劳能通过能对站点进行访问控制，防止非法访问能对各种访问记录日志还能对正常访问进行统计分析防火墙的根本功能过滤进出防火墙的数据管理进出防火墙的访问行为封堵某些被禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和告警1、基于路由器的防火墙特点：利用路由器本身对分组的分析，以访问控制表方式，实现对分组的过滤策略依据是：地址、端口、协议标志等网络特性只有分组过滤功能，一般与路由器合二为一缺点路由协议灵活复杂，本身有平安隐患过滤规那么十分原始，所以，很复杂，存在平安隐患一般，网络上路由器内的路由市动态的，而急于路由器的防火墙规那么往往是静态的，不太容易处理防火墙规那么会降低路由器性能2、用户化防火墙工具特点把过滤功能从路由器中独立出来形成专用的防火墙软件可以增加审计和告警功能缺点软件复杂、使用和管理复杂对用户技术要求高由于是软件，平安性和处理速度有限3、基于通用操作系统的防火墙特点是商用防火墙，专用的防火墙软硬件产品使用通用操作系统：Linux、Windows等等平安性和性能有提高缺点操作系统不为防火墙所管理，其平安性无法保证4、基于平安操作系统的防火墙特点专用的软硬件产品使用平安操作系统，平安性得到极大提高往往具有加密和鉴别功能线速防火墙〔进出根本无延时〕100M/1000M防火墙平安策略网络效劳访问权限策略保护网络免受的风险攻击提供用户对网络资源的合理使用例：不允许从Internet到内网〔或站点〕的访问，但允许内网〔或站点〕到Internet的访问允许从Internet到内网的某些访问两个根本策略允许所有效劳除非她被特别的拒绝拒绝所有效劳除非她被特别的允许某些不平安的网络效劳不平安的效劳Tftp：端口69XWindows/OpenWindows，端口2000，6000Rpc，端口111Rlogin、rsh、rexec等，端口513、514、512不太平安的效劳telnet:23ftp:20/21Smtp:25Rip:520Dns:53防火墙平安策略(续)防火墙设计策略本机构将使用那些网络效劳？在何处使用这些效劳？是否有加密需求？是否有拨号接入需求？代价？防火墙的一般要求支持“拒绝所有效劳除非她别特别的允许〞策略支持自己定义平安策略平安策略灵活，以适应新的效劳和需求提供或者挂接认证手段平安策略能实现针对某个制定的站点〔IP地址或域名〕平安策略的定义要直观针对常用的效劳〔telnet、ftp等〕提供代理手段和身份鉴别手段对smtp能提供中心化访问的能力，提高email系统的平安性日志功能等防火墙最大限度地限制来自外界的非法访问，对用户内网进行平安保护基于链路级地址映射和有状态跟踪具备反攻击和设置陷阱等主动防卫手段采用基于主机的保护策略基于模式匹配的智能的入侵检测提供对内部泄密问题的解决方案自行升级根据平安策略自动生成配置文件采用数据加密的方法主动防止对信息完整性的破坏防火墙〔1〕黑洞式防御授权用户非授权用户防火墙〔2〕平安保护与信息检查Intranet2HostWebServer5473AdminHost21ServerInternetHost12InternetServer0包含非法信息的服务器不可信网络的主机〔二〕身份认证——鉴别、授权和管理(AAA)系统80%的攻击发生在内部，而不是外部。内部网的管理和访问控制，相对外部的隔离来讲要复杂得多。外部网的隔离，根本上是禁止和放行，是一种粗颗粒的访问控制。内部的网络管理，要针对用户来设置，你是谁？怎么确认你是谁？你属于什么组？该组的访问权限是什么？这是一种细颗粒的访问控制。根据IDC的报告，单位内部的AAA系统是目前平安市场增长最快的局部。〔三〕入侵监测及预警技术入侵检测系统〔IDS：IntrusionDetectionSystem〕从网络中假设干个关键点收集有关信息，并且加以分析，检测网络中是否有违反平安策略的行为和遭到袭击的迹象IDS分类模式匹配入侵检测系统通过比较的入侵行为模式，从而发现入侵事件统计异常入侵检测系统通过检查有关统计数据，从而发现异常情况，实现入侵检测目标入侵检测系统根本模型收集信息探针检测引擎事件数据库统计模型入侵模型告警和报告分布式入侵检测系统网络IDSIDSIDSIDS入侵检测中心Internet防火墙联动局部入侵检测工具SwatchTcpwrapperWatcher等〔四〕漏洞检测技术对系统的平安性进行检查，发现存在的平安漏洞或者可能的平安漏洞目标网络或主机漏洞检测系统漏洞检测的根本原理系统扫描网络扫描数据库扫描应用扫描……漏洞数据库反响信息库漏洞分析及报告系统漏洞的类型网络传输和协议的漏洞系统的漏洞管理的漏洞漏洞检测技术分类基于应用的检测技术对应用软件检查其设置等，发现平安漏洞基于主机的检测技术通过对系统的内核、文件的属性、系统的补丁、口令的解密等进行检查，发现平安漏洞基于网络的检测技术〔五〕网络隔离技术实现网络和网络之间的隔离外部网络内部网络客户端的物理隔离技术第一代一个机箱内，安装两套计算机的主要设备，包括主板、内存、硬盘、CPU、网卡等第二代单主板、双网卡、双硬盘方式第三代单主板、单硬盘、双网卡平安网络隔离器内部网络外部网络平安网络隔离器数据交换器四、加强网络与信息平安管理组织管理人员管理技术平安管理软件、设备、介质、涉密信息、技术文档、线路、互连、紧急事件、审计与跟踪涉密便携机管理场地设施平安管理建立信息平安管理体系〔ISMS〕的重要意义

任何企业，不管它在信息技术方面如何努力以及采纳如何新的信息平安技术，实际上在信息平安管理方面都还存在漏洞，例如：

1.缺少信息平安管理论证，平安导向不明确，管理支持不明显；

2.缺少跨部门的信息平安协调机制；

3.保护特定资产以及完成特定平安过程的职责还不明确；

4.雇员信息平安意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

5.企业信息系统管理制度不够健全；

6.企业信息系统主机房平安存在隐患，如防火设施存在问题，与危险品仓库同处一幢办公楼等；7.企业信息系统备份设备仍有欠缺；

8.企业信息系统平安防范技术投入欠缺；

9.软件知识产权保护欠缺；

10.计算机房、办公场所等物理防范措施欠缺；

11.档案、记录等缺少可靠贮存场所；

12.缺少一旦发生意外时的保证生产经营连续性的措施和方案；…….等等

通过以上信息管理方面的漏洞，以及经常见诸报端的种种信息平安事件说明，任何企业都急需建立信息平安管理体系，以保障其技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。平安管理与设计平安管理不紧紧是指规章制度等管理措施，更多的是指一种技术的应用，它从技术实现中抽象出来，但依靠技术实现。分级平安管理策略：网络级平安：指对网络系统的实体平安性的管理。系统级平安：从操作系统和数据库保护的角度考虑系统平安措施。企业级平安：指对企业员工的管理和企业内部网的日常维护。应用级平安：保证各种应用系统(OA系统及其他业务系统)的信息访问合法性。针对内部业务网用户的平安能力提升物理平安能力提升自身防护能力提升平安响应能力提升个人操作能力提升策略实施能力提升系统升级能力提升系统通信能力提升病毒防御能力提升数据备份能力提升在保证业务正常、平安高效运作的情况下，做到“不该看到的不能看，不能扩散的严格限制〞信息平安实施结构示意网络平安管理方法建立一套完整可行的网络平安与网络管理策略将内部网络、公开效劳器网络和外网进行有效隔离，防止与外部网络的直接通信建立网站各主机和效劳器的平安保护措施，保证他们的系统平安对网上效劳请求内容进行控制，使非法访问在到达主机前被拒绝加强合法用户的访问认证，将用户的访问权限控制在最低限度全面监视对公开效劳器的访问，及时发现和拒绝不平安的操作和黑客攻击行为加强对各种访问的审计工作，详细记录对网络、公开效劳器的访问行为，形成完整的系统日志备份与灾难恢复——强化系统备份，实现系统快速恢复加强网络平安管理，提高全体人员的网络平安意识和防范技术保护检测响应恢复网络平安管理体系结构网络管理策略的应用确定系统的安全类型实施方案（措施）测评方案评审方案规定系统的安全类型设计方案（要求）测评验收已建成系统改进完善平安体系结构：被动与主动相结合物理平安——对主机房及重要信息存储、收发部门进行屏蔽处理；本地网、局域网传输线路传导辐射的抑制；对终端设备辐射的防范。网络平安——系统〔主机、效劳器〕平安、系统结构的平安、反病毒、系统平安检测、入侵检测〔监控〕、审计分析平安体系结构：被动与主动相结合(二)网络运行平安——备份与恢复、应急、局域网、子网平安、访问控制〔防火墙〕、网络平安检测信息平安——信息传输平安〔动态平安〕、数据加密、数据完整性鉴别、防抵赖、信息存储平安〔静态平安〕、数据库平安、终端平安、信息的防泄密、信息内容审计、用户鉴别、用户授权操作系统应根据系统平安策略修改默认设置〔如用户帐号、口令、效劳端口、审计参数等〕权限分配必须严格管理，用户权限分配应满足最小权限原那么。口令应满足一定质量，并对登录操作系统失败次数作一定的限制。经常检查系统用户、用户组和组策略以及一些重要文件和目录的权限设置、性能指标。关闭默认网络共享资源，限制效劳端口，禁止匿名帐户访问。严格限制网络效劳远程用户的读、写、可执行权限。根据系统实际应用对一些风险较高、较为流行的平安漏洞采用打补丁、系统升级、关闭不必要的效劳等方式修补。标识与鉴别(一)系统各类用户在执行各项操作前，应标识身份并通过系统鉴别。鉴别机制不被旁路。如采用口令鉴别机制，应保证口令质量选择及口令使用制度。用户身份鉴别数据应根据系统平安需求采用加密传输、加密存储等方式予以保护并阻止非授权用户的访问。应及时对鉴别失败作出处理。应将身份标识与该用户所有可审计行为关联的能力。标识与鉴别〔二〕常用的鉴别技术口令证书IC卡指纹动态双因素认证系统Kerberos访问控制按照系统资源及系统信息流实施访问控制管理，并满足最小权限原那么。划分平安子网，并在各网络连接处使用平安设备进行逻辑隔离和访问控制。访问控制规那么只能由系统授权人员设置。系统应根据实际应用设定访问控制的粒度。密码技术系统应根据平安需求在传输与存储重要信息时采用适宜的加密方式。系统需要保证传输和存储信息的完整性时，应采用密码完整性校验机制。系统需要保证信息发送方与信息接收方对曾经发送或接收的信息不能抵赖时，应采用基于密码算法的数字签名技术。保证密钥在生成、分配、访问、存储、销毁等过程中的平安。通过公网的信息交互而采用的VPN产品；SSL通道、SSH通道等。平安审计采用集中式或分布式的审计系统。审计规那么由系统授权人员设定。审计日志只能允许授权人员查阅。审计系统应提供将审计日志记录导入导出的能力。病毒防范应对病毒可能侵入系统的途径〔如软盘、光盘、可移动磁盘、网络接口等〕进行控制。安装国家认可的病毒防治产品，定期组织查杀系统的病毒。系统应在病毒侵入时及时报警并予以隔离、去除或采用既定病毒防范策略中规定的处理方式，并有详细的日志记录。定期更新病毒特征库，及时对病毒防治产品进行版本升级。网络化病毒防范技术病毒防范中心分中心分中心单机单机单机单机单机单机单机入侵监控应实时监视当前网络信息流或主机中特定的活动并采取相应的措施。入侵监控系统只能允许授权人员设置入侵管理规那么。入侵监控系统有完备的日志记录。入侵监控系统只能允许授权人员查阅、统计、管理、维护日志记录。应定期更新攻击特征数据库，定期分析入侵监控记录。应建立完整的平安备份制度，并实现既定的平安备份功能。对以加密方式保存数据备份的，应同时保存数据恢复所需密钥。实时性要求较高的系统，应对关键设备、通讯