《物联网技术与应用》课件-7.物联网信息安全策略与技术

1物联网信息安全策略物联网技术与应用知识目标掌握物联网信息安全基本概念，了解物联网信息安全的分类和特征。能力目标掌握物联网信息安全风险及本质；能够进一步了解物联网信息安全策略的应用。思政目标引导学生追求科学技术，将工匠精神融入新技术应用的全过程，不断提升智能建造工作的质量。物联网技术与应用02物联网信息安全风险03物联网信息安全策略01物联网信息安全概述目录物联网技术与应用Part01物联网信息安全概述物联网技术与应用这里包含了两层含义：第一，通常感觉：“物联网安全就是避免物联网发生危险”第二，安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力防止未授权的用户访问信息防止未授权而试图破坏与修改信息。科学的安全定义0102物联网技术与应用物联网技术与应用安全服务完整性可用性无可否认隐私权保密性确定性不安全安全达到安全标准企业的安全策略安全间隙物联网技术与应用根据CERT（计算机应急响应小组）统计，黑客行为的增长和昂贵费用，大多公司采取安全措施但仍不能阻止黑客攻击，主要原因为:（1）安全意识不够（2）投入资金不够（3）专业技术人员严重匮乏物联网技术与应用Part02物联网信息安全风险物联网技术与应用安全需求和实际操作脱离内部的安全隐患有限的防御策略动态的网络环境安全策略和实际执行之间的巨大差异物联网技术与应用实现安全不能以牺牲性能、开销为代价，100%安全是神话。开销风险性能经典格言：“网络的美妙之处在于你可以和任何人连接，网络的可怕之处在于任何人都可以连接你！”物联网技术与应用公理1（摩非定理）所有的程序都有缺陷。定理1（大程序定律）大程序的缺陷甚至比它包含的内容还多。推理1-1一个安全相关程序有安全性缺陷。定理2只要不运行这个程序，那么这个程序是否有缺陷，也无关紧要。推理2-1只要不运行这个程序，即使这个程序有安全性漏洞，也无关紧要。定理3对外暴露的计算机，应尽可能少地运行程序，且运行的程序也应尽可能小。推理3-1防火墙基本法则大多数主机不满足我们的要求：因为它们运行太多太大的程序。因此，唯一的解决办法是将真正希望运行的程序隔离在网络边界的另一边。物联网技术与应用Part03物联网信息安全策略物联网技术与应用物联网技术及应用物联网信息安全策略安全策略的定义和内容系统分类资源优先级划分风险因数活动定义策略的应用安全策略SP(securitypolicy)是决策的集合，安全策略对不同的组织、不同的时期、不同的环境来说是有区别的，安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。威严的法律严格的管理完备的教育先进的技术物联网技术与应用2.木马攻防技术物联网技术与应用知识目标理解木马攻防背景知识。能力目标具备木马攻防原理分析能力。思政目标掌握木马攻击防御措施物联网技术与应用02木马攻击原理分析03木马攻击防御措施01木马攻击背景知识目录物联网技术与应用Part01木马攻击背景知识物联网技术与应用物联网技术与应用操作系统漏洞是出现木马的技术基础，网页漏洞和即时通讯工具是木马广泛传播的重要推手。木马攻击发生的原因---系统缺陷（安全漏洞）0201木马产生的基础物联网技术与应用传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。特洛伊木马Part02木马攻击原理分析物联网技术与应用木马攻击原理分析物联网技术及应用>1024木马Server端防火墙IP数据包过滤目标主机Windows系统骗取系统IE等进程木马线程正常线程进入合法应用程序正常线程…木马Client端端口监听端口传统远程控制程序物联网技术及应用“冰河”包含两个程序文件，一个是服务器端，另一个是客户端。G_SERVER文件为服务器端程序，G_CLIENT文件为客户端程序。将G_SERVER文件在远程的计算机上执行以后，通过G_CLIENT文件来控制远程服务器。“冰河”木马攻击测试Part03木马攻击防御措施物联网技术与应用物联网技术及应用结束木马进程查找并删除木马主程序Kernel32.exeSysexplr.exe恢复Windows注册表木马的手工清除木马防御措施物联网技术及应用安装防病毒软件、防火墙系统以及入侵检测系统。及时安装系统漏洞补丁。定期备份注册表，注意随时修复已被破坏的注册表。经常查看系统日志，防患于未然。对可疑文件要谨慎操作，先看文件属性再做处理。安装木马克星、木马清道夫等专杀工具，并随时扫描系统。物联网技术与应用安装防病毒软件、防火墙系统以及入侵检测系统。及时安装系统漏洞补丁。定期备份注册表，注意随时修复已被破坏的注册表。经常查看系统日志，防患于未然。对可疑文件要谨慎操作，先看文件属性再做处理。安装木马克星、木马清道夫等专杀工具，并随时扫描系统。木马防御措施物联网技术及应用经典格言：“网络的美妙之处在于你可以和任何人连接，网络的可怕之处在于任何人都可以连接你！”3DoS攻防技术物联网技术与应用知识目标理解DoS攻击概述。能力目标具备SYNFlood攻防分析能力。思政目标掌握Smurf攻击防御能力。物联网技术与应用02SYNFlood攻防03Smurf攻防01DoS攻击概述目录物联网技术与应用Part01DoS攻击概述物联网技术与应用基本概念物联网技术及应用拒绝服务（DoS）：DoS是Denialofservice的简称，即拒绝服务，任何对服务的干涉，使得其可用性降低或者失去可用性均称为拒绝服务。例如一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务

。拒绝服务攻击：造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务

。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。拒绝服务攻击原理物联网技术及应用拒绝服务攻击（DoS攻击）即是攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为网络协议本身的安全缺陷，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。Part02SYNFlood攻防物联网技术与应用解析SYNFlood攻击物联网技术及应用TCPSYN分段SourceIP=IPxTCPSYN/ACK分段IPx不断发送大量伪造的TCPSYN分段最多可打开的半开连接数量超时等待时间等待期内的重试次数X半开连接缓冲区溢出增强Windows2000对SYNFlood的防御物联网技术及应用打开regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2Part03Smurf攻防物联网技术与应用物联网技术及应用消息流发生于用户向一台网络上的目标主机发送大量的数据包，来延缓目标主机的处理速度，阻止它处理正常的任务这种情况。一个被攻击的服务器很可能在一段时间内无法响应网络请求。注：

有效的办法是购买一个监视器，将网络分割成小的子网。这些都是有助于发现和阻止这种问题的发现，尽管这种方式不能完全消除这种问题。

消息流Smurf攻击分析物联网技术及应用攻击者被攻击者放大网络源IP=被攻击者的IP目的IP=指向网络或子网的广播防范Smurf攻击物联网技术及应用分别在源站点、反弹站点和目标站点三个方面采取步骤，以限制Smurf攻击的影响:阻塞Smurf攻击的源头可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，防止这种攻击阻塞Smurf的反弹站点简单地阻塞所有入站echo请求关闭广播包的转发设置防止Smurf攻击目标站点使用动态分组过滤技术，或者使用防火墙4防火墙技术物联网技术与应用知识目标理解防火墙背景知识。能力目标掌握防火墙主流技术。思政目标理解防火墙部署的误区。物联网技术与应用02防火墙主流技术03部署防火墙的误区01防火墙的定义目录物联网技术与应用Part01

防火墙的定义物联网技术与应用传统防火墙的概念物联网技术及应用传统的防火墙概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分。物联网技术及应用两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。IT领域使用的防火墙概念防火墙的发展历程物联网技术及应用将过滤功能从路由器中独立出来，针对用户需求，提供模块化的软件包用户可根据需要构造防火墙安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境防火墙工具套防火墙的发展历程物联网技术及应用防火墙厂商具有操作系统的源代码，并可实现安全内核在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。基于通用操作系统的防火墙基于安全操作系统的防火墙Part02

防火墙主流技术物联网技术与应用包过滤技术物联网技术及应用物联网技术及应用安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息包过滤原理物联网技术及应用应用代理技术物联网技术及应用安全网域HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息应用代理原理物联网技术及应用状态检测技术物联网技术及应用安全网域HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头数据2TCP报头IP报头数据1TCP报头IP报头状态检测状态监测原理Part03部署防火墙的误区物联网技术与应用部署防火墙的误区物联网技术及应用最全的就是最好的，最贵的就是最好的软件防火墙部署后不对操作系统加固一次配置，永远运行测试不够完全审计是可有可无的5入侵检测技术物联网技术与应用02入侵检测技术应用03入侵检测产品选择01入侵检测技术概述目录物联网技术与应用知识目标入侵检测背景知识能力目标具备入侵检测分析能力思政目标掌握入侵检测产品选择物联网技术与应用Part01入侵检测技术概述物联网技术与应用物联网技术及应用处于防火墙之后对网络活动进行实时检测01入侵监测系统与传统的系统扫描器的区别02对入侵行为的发觉，通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象03什么是入侵检测物联网技术及应用识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程IDS信息的收集和预处理入侵分析引擎响应和恢复系统入侵检测的定义IDS一般包括个3部分安全审计IDS的诞生两个阶段IDS的起源和定义入侵检测的起源物联网技术及应用审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的功能物联网技术及应用可以确定事件发生的位置，帮你记录下攻击过程，有助于确定解决方案核查系统配置和漏洞监测并分析用户和系统的活动评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理，并识别违反安全策略的用户活动Part02入侵检测技术应用物联网技术与应用网络级IDS物联网技术及应用网络级IDS能够截获网络中的数据包，提取其特征并与知识库中已知的攻击签名相比较从而达到检测的目的会扫描整个网段中所有传输的信息来确定网络中实时的活动同时充当管理者和代理的身份很容易安装和实施Network-based入侵检测物联网技术及应用InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNetwork-basedIDSNetwork-basedIDSNetwork-basedIDS基于网络入侵检测系统工作原理物联网技术及应用InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X主机级IDS物联网技术及应用分析所需数据来自主机系统，通常是系统日志和审计记录通常需要在受保护的主机上安装专门的检测代理(Agent)特殊的考虑管理者和代理的比例理想的代理布局管理者和代理的通信Host-based入侵检测物联网技术及应用InternetDesktopsWebServersTelecommutersCustomersServersNetworkPartnersHackerHost-basedIDSHost-basedIDS基于主机入侵检测系统工作原理物联网技术及应用Internet网络服务器1客户端网络服务器2X检测内容：

系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDSPart03入侵检测产品选择物联网技术与应用入侵检测产品物联网技术及应用AxentIntruderAlert(/)CiscoNetRanger(/)ISSRealSecure(/)ComputerAssociates’eTrustIntrusionDetection(formerlySessionWall3)ComputerMisuseDetectionSystem(/)NetworkFlightRecorder()NetworkAssociates’CyberCopMonitor()选择IDS产品的要点物联网技术及应用系统的价格特征库升级与维护的费用对于网络入侵检测系统，最大可处理流量(包/秒PPS)是多少该产品容易被躲避吗产品的可伸缩性运行与维护系统的开销产品支持的入侵特征数产品有哪些响应方法是否通过了国家权威机构的评测购买IDS注意事项物联网技术及应用产品培训公司声誉产品的可扩展性加密产品支持升级策略IDS功能网络支持0102030405060708物联网技术及应用6病毒防护技术02计算机病毒原理03计算机病毒防护01计算机病毒起源目录物联网技术与应用知识目标理解计算机病毒起源能力目标具备计算机病毒原理分析能力思政目标掌握计算机病毒防护措施物联网技术与应用Part01

计算机病毒起源物联网技术与应用计算机病毒起源物联网技术及应用1949年，冯▪诺依曼就提出了计算机病毒的概念”能够实际复制自身的自动机”。美籍匈牙利数学家冯·诺依曼现在使用的计算机基本工作原理是存储程序和程序控制数据与指令采用二进制冯·诺依曼对人类的最大贡献是对计算机科学、计算机技术和数值分析的开拓性工作。物联网技术及应用70年代,美国作家雷恩所著《P1的青春》一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，称之为计算机病毒。1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一种在运行过程中可以复制自身的破坏性程序。伦·艾德勒曼（LenAdleman）将它命名为计算机病毒（computervirus）。1986年初，巴基斯坦的巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒（即Brain病毒），该病毒在一年内流传到了世界各地。1988年3月2日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。物联网技术及应用1991年在“海湾战争”中，美军第一次将计算机病毒用于实战。1992年出现针对杀毒软件的“幽灵”病毒，如One-half。1996年首次出现针对微软公司Office的“宏病毒”。1997年被公认为计算机反病毒界的“宏病毒”年。2001年7月中旬，一种名为“红色代码”的病毒在美国大面积蔓延，这个专门攻击服务器的病毒攻击了白宫网站，造成了全世界恐慌。2003年，“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。物联网技术及应用2004年是蠕虫泛滥的一年，大流行病毒：网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig)Part02

计算机病毒原理物联网技术与应用计算机病毒的定义物联网技术及应用在《中华人民共和国计算机信息系统安全保护条例》中对计算机病毒进行了明确定义：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒的一般结构物联网技术及应用Programv:={gotomain;1234567;subroutineinfect-executable:={loop：file:=get-radom-executable-file;if（first-line-of-file=1234567）thengotoloop;elseprependVtofile;}

subroutinedo-damage:={whateverdamageistobedone}

subroutinetrigger-pulled:={returntru