1、常用信息安常用信息安全技术介绍全技术介绍1什么是信息安全什么是信息安全 信息本身的机密性(信息本身的机密性(Confidentiality)、完整性()、完整性(Integrity)和)和可用性(可用性(Availability)的保持,即防止防止未经授权使用信息、防)的保持,即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。止对信息的非法修改和破坏、确保及时可靠地使用信息。保密性:保密性:确保信息没有非授权的泄漏,不确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用被非授权的个人、组织和计算机程序使用完整性:完整性:确保信息没有遭到篡改和破坏确保信
2、息没有遭到篡改和破坏可用性:可用性:确保拥有授权的用户或程序可以确保拥有授权的用户或程序可以及时、正常使用信息及时、正常使用信息2信息安全问题产生的根源信息安全问题产生的根源内因:内因: 信息系统复杂性:过程复杂,结构复杂,应用复杂外因:外因: 人为和环境: 威胁与破坏3网络不安全的根本原因网络不安全的根本原因系统漏洞系统漏洞 信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从而影响构建于信息系统之上正常服务的
3、运行,危害信息系统及信息的安全属性。4网络不安全的根本原因网络不安全的根本原因协议的开放性协议的开放性 网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。网络的国际性网络的国际性 意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以网络的安全面临着国际化的挑战。网络的自由性网络的自由性 大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,发布和获取各类信息。5计算机病毒的威胁计算机病毒的威胁 由于由于企业介入企业介入用户数量较多,并且分布广泛,网络
4、用户数量较多,并且分布广泛,网络环境较为复杂,环境较为复杂,信息系统分布众多,信息系统分布众多,使得病毒的传播较使得病毒的传播较为容易。病毒感染、传播的能力和途径也由原来的单一、为容易。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽。简单变得复杂、隐蔽。6黑客攻击的风险黑客攻击的风险 由于海外网络分布较广,和国内的环境相比不太相同,由于海外网络分布较广,和国内的环境相比不太相同,黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听等手段,陷,采用后门程序、信息炸弹、拒绝服务、网络监听
5、等手段,对网络进行攻击,对数据进行窃取。对网络进行攻击,对数据进行窃取。7黑客攻击的风险黑客攻击的风险 企业的各项数据,包括生产数据、财务数据、人企业的各项数据,包括生产数据、财务数据、人员数据等,在网络中传输数据面临着各种安全风险:员数据等,在网络中传输数据面临着各种安全风险:被非法用户截取从而泄露企业机密;被非法篡改,造被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱、信息错误从而造成工作失误;非法用户成数据混乱、信息错误从而造成工作失误;非法用户假冒合法身份,发送虚假信息,给正常的经营秩序造假冒合法身份,发送虚假信息,给正常的经营秩序造成混乱、破坏和损失。因此,信息传递的安全性日
6、益成混乱、破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。成为企业信息安全中重要的一环。8身份认证和访问控制存在的风险身份认证和访问控制存在的风险 企业信息系统一般供特定范围的用户使用,包含的企业信息系统一般供特定范围的用户使用,包含的信息和数据也只对一定范围的用户开放,没有得到授权信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。由于网络的不可控性,安全的身份认的用户不能访问。由于网络的不可控性,安全的身份认证和访问控制就显得尤为重要。证和访问控制就显得尤为重要。9常见信息安全技术常见信息安全技术10密码学基本术语密码学基本术语11古典密码体制的安全性在于保
7、持算法本身的保密性,受到算法限制。古典密码体制的安全性在于保持算法本身的保密性,受到算法限制。不适合大规模生产不适合较大的或者人员变动较大的组织用户无法了解算法的安全性古典密码主要有以下几种:古典密码主要有以下几种:代替密码(Substitution Cipher)换位密码(Transposition Cipher)代替密码与换位密码的组合古典密码古典密码12对称密码算法和非对称密码算法对称密码算法和非对称密码算法 对称密码算法对称密码算法(Symmetric cipher):加密密钥和解密密钥相同,或实):加密密钥和解密密钥相同,或实质上等同,即从一个易于推出另一个。又称传统密码算法(质上等
8、同,即从一个易于推出另一个。又称传统密码算法(Conventional cipher)、秘密密钥算法或单密钥算法。、秘密密钥算法或单密钥算法。 DES、3DES、IDEA、AES 非对称密码算法非对称密码算法(Asymmetric cipher) :加密密钥和解密密钥不同,:加密密钥和解密密钥不同,从一个很难推出另一个。又叫公钥密码算法(从一个很难推出另一个。又叫公钥密码算法(Public-key cipher)。其中的加。其中的加密密钥可以公开,称为公开密钥(密密钥可以公开,称为公开密钥(public key),简称公钥;解密密钥必须保,简称公钥;解密密钥必须保密,称为私人密钥(密,称为私人
9、密钥(private key),简称私钥。,简称私钥。 RSA、ECC、ElGamal13加密(加密(Encryption):将明文变换为密文的过程。把可懂的语言变换成:将明文变换为密文的过程。把可懂的语言变换成不可懂的语言,这里的语言指人类能懂的语言和机器能懂的语言。不可懂的语言,这里的语言指人类能懂的语言和机器能懂的语言。解密(解密(Decryption):加密的逆过程,即由密文恢复出原明文的过程。:加密的逆过程,即由密文恢复出原明文的过程。把不可懂的语言变换成可懂的语言。把不可懂的语言变换成可懂的语言。加密算法密钥密文明文解密算法密钥密文明文加密和解密算法的操作通常都是在一组密钥的控制下
10、进加密和解密算法的操作通常都是在一组密钥的控制下进行的行的,分别称为加密密钥分别称为加密密钥(Encryption Key) 和解密密钥和解密密钥(Decryption Key)。加密和解密加密和解密14PGP加密加密PGP是目前最优秀,最安全的加密方式。这方面的代表软件是美国的PGP加密软件。这种软件的核心思想是利用逻辑分区保护文件,比如,逻辑分区E:是受PGP保护的硬盘分区,那么,每次打开这个分区的时候,需要输入密码才能打开这个分区,在这个分区内的文件是绝对安全的。不再需要这个分区时,可以把这个分区关闭并使其从桌面上消失,当再次打开时,需要输入密码。没有密码,软件开发者本人也无法解密!PG
11、P是全世界最流行的文件夹加密软件。它的源代码是公开的,经受住了成千上万顶尖黑客的破解挑战,事实证明PGP是目前世界上最安全的加密软件。它的唯一缺点是PGP目前还没有中文版,而且正版价格极其昂贵。PGP技术是美国国家安全部门禁止出口的技术。15密码学的应用密码学的应用-VPNVPN161 1、未使用、未使用VPNVPN时,分布在各地的组织机构需要用时,分布在各地的组织机构需要用专用网络专用网络来保证数据传来保证数据传输安全。其特点输安全。其特点1 1)安全性好)安全性好2 2)价格昂贵)价格昂贵3 3)难扩展、不灵活)难扩展、不灵活2 2、TCP/IPTCP/IP采用采用分组交换分组交换方式传递
12、数据,其特点方式传递数据,其特点1 1)安全性差)安全性差2 2)价格便宜)价格便宜3 3)易扩展,普遍使用)易扩展,普遍使用密码学的应用密码学的应用-VPN17加密数据加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露信息认证和身份认证信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。提供访问控制提供访问控制,不同的用户有不同的访问权限。密码学的应用密码学的应用-VPNVPN基本功能基本功能18 PKI PKI 指的是公钥基础设施指的是公钥基础设施, , CACA指的是认证中心指的是认证中心. . 公钥基础设施(公钥基础设施(Public Key Infrastruc
13、turePublic Key Infrastructure)利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。如同电力基础设施为家用电器提供电力一样,PKI为各种应用提供安全保障 PKI/CA PKI/CA 是一组建立在公开密钥技术基础上的硬件、软件、人员和应是一组建立在公开密钥技术基础上的硬件、软件、人员和应用程序的集合,它具备生产、管理、存储、核发和废止证书的能力,用程序的集合,它具备生产、管理、存储、核发和废止证书的能力,从运营、管理、规范、法律、人员等多个角度来解决网络信任问题。从运营、管理、规范、法律、人员等多个角度
14、来解决网络信任问题。密码学的应用密码学的应用-PKI/CA19PKI/CA技术在信息安全中的作用技术在信息安全中的作用20安全漏洞安全漏洞信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、信息安全漏洞是信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而存在于信息系统的各个层次和环节之中,而且随着信息系统的变化而改变。一旦被恶意主体所利用,就会造成对信息系统的安全损害,从改变。一旦被恶意主体所利用,就会造成对信息系统的安
15、全损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全属性。安全属性。21安全模型安全模型22 注册表(Registry)整合、集成了全部系统和应用程序的初始化信息。 其中包含硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全的网络设置。 病毒、木马、黑客程序等攻击用户电脑时,都会对注册表进行一定的修改,因此注册表的安全设置非常重要。注册表安全注册表安全23抵御后门程序破环抵御后门程序破环禁用控制面板禁用控制面板锁定桌面锁定桌面禁止远程修改注册表禁止远程修改注册表禁止病毒启
16、动服务禁止病毒启动服务禁止病毒自行启动禁止病毒自行启动注册表安全注册表安全241、比较原始的窃密技术是暴力破解,也叫密码穷举。如果黑客事比较原始的窃密技术是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如网上银行账号,而恰巧你的密码又十分简先知道了账户号码,如网上银行账号,而恰巧你的密码又十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破释出密码来。破释出密码来。 2、在大部分用户意识到简单的密码在黑客面前形同虚设后,、在大部分用户意识到简单的密码在黑客面前形同虚设后,人们开始把密码设置的尽可能复杂一些,这就使得破解工
17、具开始人们开始把密码设置的尽可能复杂一些,这就使得破解工具开始无计可施。这时候,黑客开始在木马病毒身上做文章,他们在木无计可施。这时候,黑客开始在木马病毒身上做文章,他们在木马程序里设计了钩子程序,一旦用户的电脑感染了这种特制的病马程序里设计了钩子程序,一旦用户的电脑感染了这种特制的病毒,系统就被种下了毒,系统就被种下了“钩子钩子”,黑客通过,黑客通过“钩子钩子”程序监听和记程序监听和记录用户的击键动作,然后通过自身的邮件发送模块把记录下的密录用户的击键动作,然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。码发送到黑客的指定邮箱。3、软键盘输入使得使用击键记录技术的木马失去了作用
18、。这、软键盘输入使得使用击键记录技术的木马失去了作用。这时候,黑客仍不甘心,又开始琢磨出通过屏幕快照的方法来破解时候,黑客仍不甘心,又开始琢磨出通过屏幕快照的方法来破解软键盘输入。病毒作者已考虑到软键盘输入这种密码保护技术,软键盘输入。病毒作者已考虑到软键盘输入这种密码保护技术,病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的黑客通过对照图片中鼠标的点击位置,就很有
19、可能破译出用户的登陆账号和密码,从而突破软键盘密码保护技术,严重威胁股民登陆账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上交易安全。网上交易安全。 账号和密码安全账号和密码安全25账号和密码安全事项账号和密码安全事项 安全密码的设置安全密码的设置(1)密码中的字符应该来自下面“字符类别”中五组中的至少三组。 1、小写字母 a、b、c 2、大写字母 A、B、C 3、数字 0、1、2、3、4、5、6、7、8、9 4、非字母数字字符(符号) ! # $ % & * ( ) ? / _ - | 5、Unicode字符 ?、? 和 (2)密码设置的注意事项:1.请尽量设置长密码。请您设法设置便
20、于记忆的长密码,您可以使用完整的短语,而非单个的 单词或数字作为您的密码,因为密码越长,则被破解的可能性就越小;2.尽量在单词中插入符号。尽管攻击者善于搜查密码中的单词,但请您在设置密码时不要放弃 使用单词。但您需要在您的单词中插入符号或者变为谐音符号。如:”just for you”可以改善 为“just4y_o_u”;3.请不要在您的密码中出现您的帐号;4.请不要使用您的个人信息作为密码的内容。如生日、身份证号码、亲人或者伴侣的姓名等。26OSI安全体系结构安全体系结构 OSI安全体系结构定义了系统应当提供的五类安全服务,以及提供这些服务的八类安全机制;某种安全服务可以通过一种或多种安全机
21、制提供,某种安全机制可用于提供一种或多种安全服务。五类安全服务:五类安全服务:1.认证(鉴别)服务:提供对通信中对等实体和数据来源的认证(鉴别)。2.访问控制服务:用于防治未授权用户非法使用系统资源,包括用户身份认证和用户权限确认。3.数据保密性服务:为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。同时,对有可能通过观察信息流就能推导出信息的情况进行防范。4.数据完整性服务:用于组织非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。5.抗抵赖服务:用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。27OSI安全体系结构安全体
22、系结构1.加密机制加密机制:是确保数据安全性的基本方法,在OSI安全体系结构中应根据加密所在的层次及加密对象的不同,而采用不同的加密方法。2.数字签名机制数字签名机制:是确保数据真实性的基本方法,利用数字签名技术可进行用户的身份认证和消息认证,它具有解决收、发双方纠纷的能力。3.访问控制机制访问控制机制:从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法,当以主题试图非法使用一个未经给出的报警并记录日志档案。4.数据完整性机制数据完整性机制:破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误,数据在传输和存储过程中被非法入侵者篡改
23、,计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是保温认证,对付计算机病毒有各种病毒检测、杀毒和免疫方法。5.认证机制认证机制:在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等,可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。6.业务流填充机制业务流填充机制:攻击者通过分析网络中有一路径上的信息流量和流向来判断某些事件的发生,为了对付这种攻击,一些关键站点间再无正常信息传送时,持续传递一些随机数据,使攻击者不知道哪些数据是有用的,那些数据是无用的,从而挫败攻击者的信息流分析。7.路由控
24、制机制路由控制机制:在大型计算机网络中,从源点到目的地往往存在多条路径,其中有些路径是安全的,有些路径是不安全的,路由控制机制可根据信息发送者的申请选择安全路径,以确保数据安全。8.公正机制公正机制:在大型计算机网络中,并不是所有的用户都是诚实可信的,同时也可能由于设备故障等技术原因造成信息丢失、延迟等,用户之间很可能引起责任纠纷,为了解决这个问题,就需要有一个各方都行人的第三方以提供公证仲裁,仲裁数字签名经济术士这种公正机制的一种技术支持。28网络安全协议网络安全协议29 网络层网络层IP 安全性(IPSec) 传输层传输层 SSL / TLS 应用层应用层S/MIME, PGP, PEM,
25、 SET, Kerberos,HTTPS,SSH网络安全协议网络安全协议30IPSec IPSec为在为在LAN、WAN和和Internet上的通讯提供上的通讯提供安全性安全性 分支办公机构通过Internet互连。(Secure VPN) 通过Internet的远程访问。 与合作伙伴建立extranet与intranet的互连。 增强电子商务安全性 IPSec的主要特征是可以支持的主要特征是可以支持IP层所有流量的加层所有流量的加密和密和/或鉴别。因此可以增强所有分布式应用的安或鉴别。因此可以增强所有分布式应用的安全性。全性。网络层安全协议网络层安全协议31 端到端端到端(end-end):
26、主机到主机的安全通信 端到路由端到路由(end-router):主机到路由设备之间的安全通信 路由到路由路由到路由(router-router):路由设备之间的安全通信,常用于在两个网络之间建立虚拟私有网(VPN)。IPSec的应用方式的应用方式32SSL体系结构体系结构协议分为两层协议分为两层底层:底层:SSL记录协议记录协议上层:上层:SSL握手协议、握手协议、SSL修改密文规约协议、修改密文规约协议、SSL 警告协议警告协议33 SSL记录协议记录协议 建立在可靠的传输协议(如TCP)之上 它提供连接安全性,有两个特点 保密性,使用了对称加密算法 完整性,使用HMAC算法 用来封装高层的
27、协议 SSL握手协议握手协议 客户和服务器之间相互鉴别 协商加密算法和密钥 它提供连接安全性,有三个特点 身份鉴别,至少对一方实现鉴别,也可以是双向鉴别 协商得到的共享密钥是安全的,中间人不能够知道 协商过程是可靠的SSL两个主要协议两个主要协议34SSH的英文全称是Secure Shell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了, 而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。 SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。 SSH
28、35网络攻击技术网络攻击技术信息收集分析目标实施攻击方便再次进入清理入侵记录36信息收集技术信息收集技术 获取攻击目标大概信息 网络信息 主机信息 应用部署信息 指导下一步攻击行为 信息收集的方式信息收集的方式 社会工程学 媒体(如搜索引擎、广告介绍等) 网络工具的探测踩点踩点-信息收集信息收集37定位定位-分析目标分析目标为什么需要分析目标为什么需要分析目标确定收集信息的准确性更准确的判断(例如:index.ycs是java开发,开发人员修改了脚本后缀以迷惑攻击者)攻击方式及工具路径的选择分析目标的方法分析目标的方法扫描漏洞库论坛等交互应用38入侵入侵-多种多样的入侵方式多种多样的入侵方式针
29、对配置错误的攻击IPC$的攻击针对应用漏洞的攻击Unicode缓冲区溢出攻击IDQ缓冲区溢出电子欺骗攻击ARP欺骗拒绝服务攻击SYN flood针对弱口令的攻击口令破解利用服务的漏洞-本地输入法漏洞利用应用脚本开发的漏洞-SQL注入利用人的心理-社会工程学攻击39后门后门-方便下次进入方便下次进入后门可以作什么后门可以作什么方便下次直接进入监视用户所有行为、隐私完全控制用户主机后门放置方式后门放置方式如果已经入侵简单!如果尚未入侵手动放置利用系统漏洞,远程植入利用系统漏洞,诱骗执行40后门后门-方便下次进入方便下次进入改写访问日志改写访问日志例如:IIS访问日志位置%WinDir%System
30、32LogFilesW3SVC1exyymmdd.log改写日志的技巧修改系统日期删除中间文件删除中间文件删除创建的用户删除创建的用户41漏洞攻击漏洞攻击 根据目标主机开放的不同应用和服务来扫描和判断是否存根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞在或可能存在某些漏洞意义意义进行网络安全评估为网络系统的加固提供先期准备被网络攻击者加以利用来获取重要的数据信息信息安全的信息安全的“木桶理论木桶理论”对一个信息系统来说,它的安全性不对一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,
31、进的设备,而是由系统本身最薄弱之处,即漏洞所决定的。只要这个漏洞被发现,即漏洞所决定的。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。系统就有可能成为网络攻击的牺牲品。42欺骗攻击欺骗攻击v IP欺骗(欺骗(IP Spoof)v DNS欺骗欺骗v ARP欺骗欺骗v TCP会话劫持会话劫持v 路由欺骗路由欺骗43拒绝服务攻击拒绝服务攻击 拒绝服务式攻击拒绝服务式攻击(Denial of Service),顾名思义就,顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。是让被攻击的系统无法正常进行服务的攻击方式。拒绝服务攻击方式拒绝服务攻击方式 利用大量数据挤占网络带宽 利用大量请求消耗
32、系统性能 利用协议实现缺陷 利用系统处理方式缺陷44网络防御技术网络防御技术防火墙防火墙技术技术 在网络间(内部在网络间(内部/ /外部网外部网络、不同信息级别)提供安络、不同信息级别)提供安全连接的设备;全连接的设备; 用于实现和执行网络之用于实现和执行网络之间通信的安全策略间通信的安全策略45防火墙的功能防火墙的功能阻止来自不可信网络的攻击阻止来自不可信网络的攻击保护关键数据的完整性保护关键数据的完整性维护客户对企业或机构的信任维护客户对企业或机构的信任网络防御技术网络防御技术461 1控制进出网络的信息流向和数据包,过滤不安全的服务;控制进出网络的信息流向和数据包,过滤不安全的服务;2
33、2隐藏内部隐藏内部IPIP地址及网络结构的细节;地址及网络结构的细节; 3 3提供使用和流量的日志和审计功能;提供使用和流量的日志和审计功能;4 4部署部署NATNAT(Network Address TranslationNetwork Address Translation,网络地址转换);,网络地址转换);5 5逻辑隔离内部网段,对外提供逻辑隔离内部网段,对外提供WEBWEB和和FTPFTP;6 6实现集中的安全管理;实现集中的安全管理;7 7提供提供VPNVPN功能。功能。 网络防御技术网络防御技术防火墙的功能防火墙的功能47防火墙的分类防火墙的分类包过滤技术应用代理技术状态检测技术网
34、络防御技术网络防御技术48防火墙系统防火墙系统的的部署部署这是最为普通的企业环境防火墙部署案例。利用防火墙将这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域,企业内部网络,外部网络和服务网络分为三个安全区域,企业内部网络,外部网络和服务器专网器专网(DMZ(DMZ区区) )。可信网络可信网络不可信的网络不可信的网络& &服务服务防火墙防火墙路由路由器器InternetIntranetDMZ公开可访问的服务公开可访问的服务 & & 网络网络网络防御技术网络防御技术49入侵检测技术入侵检测技术网络防御技术网络防御技术50入侵检测的概念入侵检测的概念网络防御技术网络防御技术 入
35、侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉。通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。51入侵检测的分类入侵检测的分类v 攻击的类型:攻击的类型: 网络嗅探网络嗅探 利用利用 设计缺陷设计缺陷 实现缺陷实现缺陷 拒绝服务拒绝服务网络防御技术网络防御技术v 攻击针对以下方面:攻击针对以下方面: 网络网络 操作系统操作系统 应用应用52入侵检测的步骤入侵检测的步骤v 预防入侵预防入侵v 检测入侵检测入侵v 对入侵做出响应对入侵做出响应网络防御技术网络防御技术53计算机取证计算机取
36、证技术技术 计算机取证(Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即获取、保存、分析出示提供的证据必须可信 网络防御技术网络防御技术54计算机取证计算机取证概念概念 计算机取证是分析硬盘、光盘、软盘、Zip磁盘、
37、U盘、内存缓冲和其他形式的储存介质以发现犯罪证据的过程,即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。 可以用做计算机取证的信息源很多,如系统日志,防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。为了防止被侦查到,具备高科技作案技能犯罪嫌疑人,往往在犯罪活
38、动结束后将自己残留在受害方系统中的“痕迹”擦除掉,如尽量删除或修改日志文件及其他有关记录。但是,一般的删除文件操作,即使在清空了回收站后,如果不是对硬盘进行低级格式化处理或将硬盘空间装满,仍有可能恢复已经删除的文件。网络防御技术网络防御技术55计算机取证的计算机取证的分类分类来源取证来源取证所谓来源取证,指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中,为了确定犯罪嫌疑人,可能需要找到犯罪嫌疑人犯罪时使用的机器的IP地址,则寻找IP地址便是来源取证。这类取证中,主要有IP地址取证、MAC地址取证、电子邮件取证、软件账号取证等。事实取证事实取证事实取证指的取证目的不是为了
39、查明犯罪嫌疑人。而是取得与证明案件相关事实的证据,例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。网络防御技术网络防御技术56计算机取证的计算机取证的原则原则 计算机取证的主要原则有以下几点:计算机取证的主要原则有以下几点: 首先,尽早搜集证据,并保证其没有受到任何破坏;首先,尽早搜集证据,并保证其没有受到任何破坏; 其次,必须保证其次,必须保证“证据连续性证据连续性”(有时也被称为(有时也被称为“chain of custody”),即在证据被正式提交给法庭时,必须能够说明),即
40、在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;当然最好是没有任何变化; 最后,整个检查、取证过程必须是受到监督的,也就是说,最后,整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所作的所有调查取证工作,都应该受到由其由原告委派的专家所作的所有调查取证工作,都应该受到由其它方委派的专家的监督。它方委派的专家的监督。网络防御技术网络防御技术57计算机取证技术的计算机取证技术的步骤步骤在保证以上几项基本原则的情况下,计算机取证工作一般按照下面步骤进行:在保证以
41、上几项基本原则的情况下,计算机取证工作一般按照下面步骤进行:第一, 在取证检查中,保护目标计算机系统,避免发生任何的改变、伤害、数据破坏或病毒感染;第二, 搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件;第三, 全部(或尽可能)恢复发现的已删除文件;第四, 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;第五, 如果可能并且如果法律允许,访问被保护或加密文件的内容;第六,分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类:所 谓的未分配磁盘空间虽然目前没有被
42、使用,但可能包含有先前的数据残留; 文件中的“slack”空间如果文件的长度不是簇长度的整数倍,那么分配给文件的最后一簇中,会有未被当前文件使用的剩余空间,其中可能包含了先前文件遗留下来的信息,可能是有用的证据;第七,打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息;第八,给出必需的专家证明。网络防御技术网络防御技术58蜜罐技术蜜罐技术网络防御技术网络防御技术“蜜网项目组”( The Honeynet Project )的创始人Lance Spitzner给出了蜜网
43、的权威定义权威定义: 蜜网是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜网的核心价值蜜网的核心价值在于对攻击活动进行监视、检测和分析。59蜜罐蜜罐的功能的功能网络防御技术网络防御技术 吸引入侵者来嗅探、攻击,同时不被觉察地将入吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来,进而评估黑客攻击的目的、使侵者的活动记录下来,进而评估黑客攻击的目的、使用的工具、运用的手段、造成的后果用的工具、运用的手段、造成的后果 可以吸引或转移攻击者的注意力,延缓他们对真可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击正目标的攻击 也可以进行攻击检测和报警也可以进行攻击检测和报警60蜜罐的蜜罐
44、的核心需求核心需求网络防御技术网络防御技术 蜜网有着三大核心需求:即数据控制、数据捕获和数据分析。1.通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;2.数据捕获技术能够检测并审计黑客攻击的所有行为数据;3.而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。61计算机病毒计算机病毒 电脑病毒与医学上的电脑病毒与医学上的“病毒病毒”不同,它不是天然存在的,是某些不同,它不是天然存在的,是某些人利用电脑软、硬件所固有的脆弱性,编制具有特殊功能的程序。人利用电脑软、硬件所固有的脆弱性,编制具有特殊功能的程序。由于它与生物医学上的由于
45、它与生物医学上的“病毒病毒”同样有传染和破坏的特性,因此这一同样有传染和破坏的特性,因此这一名词是由生物医学上的名词是由生物医学上的“病毒病毒”概念引申而来。概念引申而来。 从广义上定义,凡能够引起电脑故障,破坏电脑数据的程序统从广义上定义,凡能够引起电脑故障,破坏电脑数据的程序统称为电脑病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为电脑称为电脑病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为电脑病毒。在国内,专家和研究者对电脑病毒也做过不尽相同的定义,病毒。在国内,专家和研究者对电脑病毒也做过不尽相同的定义,但一直没有公认的明确定义。但一直没有公认的明确定义。 概念概念62计算机病毒计算机病毒
46、计算机病毒的发展历史计算机病毒的发展历史1949年:冯诺依曼在复杂自动机组织论提出概念1960年:生命游戏(约翰康维 ) 磁芯大战(道格拉斯.麦耀莱、维特.维索斯基 、罗伯.莫里斯 )1973年:真正的恶意代码在实验室产生1981年-1982年:在APPLE-II的计算机游戏中发现Elk cloner1986年第一个PC病毒:Brain virus1988年Morris Internet worm6000多台1990年第一个多态病毒1991年virus construction set-病毒生产机1994年Good Times(joys)1995年首次发现macro virus1996年net
47、cat的UNIX版发布(nc)2002年setiri后门2002年SQL slammer(sqlserver)2003年hydan的steganography工具2003年MSBlaster/ Nachi2004年MyDoom/ Sasser2006年熊猫烧香2010年Stuxnet(工业蠕虫)63计算机病毒的计算机病毒的分类分类计算机病毒计算机病毒64计算机病毒的计算机病毒的传播方式传播方式计算机病毒计算机病毒65计算机病毒的计算机病毒的危害危害计算机病毒计算机病毒66访问控制访问控制访问控制:针对越权使用资源的防御措施访问控制:针对越权使用资源的防御措施目标:防止对任何资源(如计算资源、通
48、信资源或目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。用户利益的程序能做什么。访问控制的概念访问控制的概念67访问控制的作用访问控制的作用访问控制访问控制 未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用作用:机密性、完整性和可用性68访问控制模型访问控制模型访问控制访问控制69访问控制模型分类访问控制模型分类访问控制模型的分类
49、访问控制模型的分类70互联网舆情分析的作用互联网舆情分析的作用从互联网这个巨大的数据来源中获取信息从互联网这个巨大的数据来源中获取信息萃取为针对特定社会公共事务的情况概览萃取为针对特定社会公共事务的情况概览为公共事务管理者提供决策参考为公共事务管理者提供决策参考互联网舆情分析互联网舆情分析71 互联网舆情分析与信息处理技术显然存在密不可分的关系互联网舆情分析与信息处理技术显然存在密不可分的关系与搜索相关的各种技术。与搜索相关的各种技术。信息采集:网页爬虫、信息采集:网页爬虫、Twitter / IM / SNS信息抓取信息抓取文本索引与检索:中文分词、文本分类聚类、自动摘要、检文本索引与检索:中文分词、文本分类聚类、自动摘要、检索排序索排序深度信息处理功能:热点追踪、人物追踪、倾向性分析、事深度信息处理功能:热点追踪、人物追踪、倾向性分析、事件趋势预测件趋势预测互联网舆情分析互联网舆情分析72谢谢!