1、信息安全技术基础信息安全技术基础05-06年国内信息安全的热点问题年国内信息安全的热点问题安全的基本元素攻击者与攻击方式网络设备的安全问题PDRR的安全技术防护体系讲义内容整体介绍讲义内容整体介绍信息是一种资产,就像其它重要的商业资产一样,它对一个组织来说是有价值的,因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商用机遇。信息存在的形式多种多样。它可以打印或写在纸上,以电子文档形式存储,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善保护。 什
2、么是信息安全?什么是信息安全?更多网络犯罪直接以经济利益为目的 最吸引国人眼球的应该是腾讯,2004年两次QQ大规模无法使用,尤其是此后的勒索传言,有人惊呼:中国网络恐怖主义诞生了。入侵网站后贩卖游戏帐号事件层出不穷。技术进步加上道德感的缺失,黑客们开始看清自己要的东西。已经有了众多公开售卖已经有了众多公开售卖SHELL的的站点站点“挂马式”攻击的案例分析中国招商引资网 http:/ 站点最下方被填加恶意连接,是一次典型的挂马式攻击。http:/ MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手等一系列新病毒和蠕虫的出现,造成了巨大的经济损失。而且病毒和蠕虫的多
3、样化明显,甚至蠕虫编写组织开始相互对抗,频繁推出新版本。越来越多的间谍软件,它们已经被更多的公司及个人利用,其目的也从初期简单收户信息演化为可能收集密码、帐号等资料,大家还记得网银大盗吗?网络钓鱼,只看网络钓客以“假网站”试钓中国银行、工商银行等国内各大银行用户,就可以想见其猖獗程度了。 什么是网络钓鱼?什么是网络钓鱼?工行后续事件的追踪工行后续事件的追踪 涉案金额惊人涉案金额惊人网络钓鱼的延续-短信钓鱼游戏帐号偷取贩卖成了职业黑客的关游戏帐号偷取贩卖成了职业黑客的关注焦点注焦点垃圾邮件与反垃圾邮件之间的斗争愈演愈垃圾邮件与反垃圾邮件之间的斗争愈演愈烈烈 “流氓软件流氓软件”无空不入无空不入国
4、家加强信息安全保障,颁布系列文件国家加强信息安全保障,颁布系列文件信息安全等级保护逐渐成为当前国家重点发展的信息安全战略。27号文件和66号文件等文件促进信息安全发展。1994年国务院颁布了中华人民共和国计算机信息系统安全保护条例,条例中规定:我国的“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。” 计算机信息系统安全保护等级划分准则GB17859-1999的制定。这是一部强制性国家标准,是技术法规。 2003年的国家信息化领导小组关于加强信息安全保障工作的意见(27号文件)中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳
5、定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。根据国家信息化领导小组的统一部署和安排,我国将在全国范围内全面开展信息安全等级保护工作。国家全力参与网络打黄专项行动国家全力参与网络打黄专项行动国家出口路由封锁国家出口路由封锁总结总结05-06年的信息安全发展趋势年的信息安全发展趋势同时拥有高超的技术和伪装手段的职业化攻击者越来越多的出现在网络世界中,他们目的性非常强。信息安全即国家安全,我国政府已经清楚的认识到信息安全的重要性,大力整改网络空间中的问题。04-05年国内信息安全的热点问题安全的基本元素安全的基本元素攻击者与攻击方式网络设备的安全
6、问题PDRR的安全技术防护体系讲义内容整体介绍讲义内容整体介绍安全是什么?安全是什么?网络安全(通俗的解释) 一种能够识别和消除不安全因素的能力 安全是一个持续的过程安全是一种特殊商品安全是一种特殊商品我的PC中的软件:MS Word 2000,微软公司2000年出品,安装后从未升过级Norton 防病毒系统,Symantec公司2002年出品,最近一次升级时间是2天以前对于我们正在使用的软件价值来说,我们关心Symantec的健康要比对微软的关心强很多倍安全系统的时间特性安全系统的时间特性安全产品的安全能力随时间递减;基础设施随时间增加积累越来越多的全缺陷;安全产品升级可以提高系统的安全保护
7、能力;基础设施修补漏洞;基础设施发生结构性变化(原有的安全系统全面失效);应用系统发生变化;安全维护人员知识技能提高(安全性提高);人员变动(保护能力突变,安全风险增加); 为什么我们不能杜绝攻击事件的发生为什么我们不能杜绝攻击事件的发生日趋精密的攻击以及以INTERNET为基础的技术快速发展由于IT技术人员和资金的缺乏无法获得更多的资源没有被充分保护的系统大量的快速的部署复杂程度复杂程度Internet 技术的飞速增长Internet EmailWeb 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间黑客漏洞的发展趋势黑客漏洞的发展趋势1980 1985
8、1990 1995 2001 2003时间(年)时间(年)高高各种攻击者的综合威各种攻击者的综合威胁程度胁程度低低对攻击者技术知识和技对攻击者技术知识和技巧的要求巧的要求黑客攻击越来越容易实现,威胁程度越来越高黑客攻击越来越容易实现,威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂,安网络系统日益复杂,安全隐患急剧增加全隐患急剧增加百分之百的安全?百分之百的安全?开放最少服务提供最小权限原则安全既需求平衡 过分繁杂的安全政策将导致比没有安全政策还要低效的安全。 需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高,则执行的安
9、全策略是实际降低了你公司的安全有效性。 百分之百的安全?百分之百的安全?“真空中” 的硬盘才是绝对安全安全平衡和安全策略全面的看待安全的平衡问题Confidentiality保密性保密性Availability可用性可用性Integrity完整性完整性安全需求平衡为安全设计考虑的根本安全需求平衡为安全设计考虑的根本建立有效的安全矩阵建立有效的安全矩阵允许访问控制 容易使用合理的花费灵活性和伸缩性优秀的警报和报告黑客的分类黑客的分类偶然的破坏者大多数坚定的破坏者特殊动机商业和军事间谍安全的基本元素安全的基本元素审计管理加密访问控制用户验证安全策略安全元素安全元素1:安全策略:安全策略为你的系统分
10、类 指定危险因数 确定每个系统的安全优先级 定义可接受和不可接受的活动 决定在安全问题上如何教育所有员工 确定谁管理你的政策 系统分类系统分类安全分类级别安全分类级别级别数据系统安全级 别 3 :日 常 工 作桌面电脑一些用于操作的数据一般的系统,数 据 丢 失 不会 导 致 公 司商 业 行 为 瘫痪一 般 的 安全 策 略 和防范级 别 2 :较重要非关键业务系统如果数据保护不好的话会使公司产生极大的风险操 作 系 统 或电 子 商 务 在线 系 统 , 宕机 时 间 不 能超过48小时一 般 的 安全策略+特殊的监视、审 计 和 恢复策略级 别 1 :最重要商务运行至关重要的系统高度保护
11、的重要数据,如商业机密和客户资料等重 要 任 务 级的 系 统 , 系统 停 止 运 行不 能 超 过 几个 小 时 , 如证书服务器,Web服务器安 全 分 析及 扩 展 的安全机制,系 统 级 别的 审 计 、监 视 和 安全功能安全策略细分安全策略细分明智的为系统分类 E-mail服务器 CEO的笔记本 Web服务器(机器流量/信息敏感度/系统性质)资源优先级划分 一个危险优先级列表和个行动列表 哪种级别需最大安全/时间和金钱的花费指定危险因数 危险因数指的是一个黑客攻击某种资源的可能性安全策略细分安全策略细分定义可接受和不可接受的活动将策略应用到资源上 最佳性能价格比安全策略细分安全策
12、略细分 定义教育标准指派策略管理级别需要的知识用户对一些安全威胁和漏洞敏感,要对保护公司的信息和资源引起重视执行者需要达到熟悉公司安全知识的级别并做出使用信息安全程序的决策管理者寻找、开发防止威胁和漏洞的技能,并把它们整合到安全策略中,来满足系统和资源安全的需要 安全元素安全元素2:加密:加密加密类型 Symmetric(对称加密) Asymmetric (非对称加密) Hash(哈希算法多用在一些签名算法的应用中例如 MD5 SHA等)加密的优势加密的优势数据保密性这是使用加密的通常的原因。通过小心使用数学方程式,你可以保证只有特定的接受者才能查看内容。 数据完整性对需要更安全来说数据保密是
13、不够的。数据仍能够被非法破解并修改。一种叫HASH的运算方法能确定数据是否被修改过。更安全。认证数字签名提供认证服务不可否定性数字签名允许用户证明信息交换确实发生过,金融组织尤其依赖于这种方式的加密,用于电子货币交易 安全元素安全元素3:认证:认证认证方法 what you know? 常用密码认证方式 what you have? 智能卡,磁卡,双因素数字卡等 who you are? 物理,生理上的特征认证,比如指纹,声音识别 where you are? 原始IP地址验证特殊的认证技术特殊的认证技术一次性密码(OTP)Kerberos 到服务器的身份认证更高效 相互身份认证安全元素安全元
14、素4:访问控制:访问控制访问控制列表(ACL) Objects执行控制列表(ECL)安全元素安全元素5:审计:审计被动式审计 简单地记录一些活动,并不做什么处理简单地记录一些活动,并不做什么处理主动式审计 结束一个登陆会话结束一个登陆会话 拒绝一些主机的访问拒绝一些主机的访问( (包括包括WEBWEB站点,站点,FTPFTP服务器和服务器和e-maile-mail服务服务器器) ) 跟踪非法活动的源位置跟踪非法活动的源位置 安全元素安全元素6:管理:管理“三分技术、七分管理”管理要体现在细节的执行力04-05年国内信息安全的热点问题安全的基本元素攻击者与攻击方式攻击者与攻击方式网络设备的安全问
15、题PDRR的安全技术防护体系讲义内容整体介绍讲义内容整体介绍典型的攻击方式及安全规则典型的攻击方式及安全规则前门攻击和暴力破解法BUG和后门社会工程和非直接攻击攻击的分类攻击的分类社交工程学和非直接攻击前门攻击后门攻击非直接攻击的介绍非直接攻击的介绍目标的信息收集踩点社交工程学的欺骗网络钓鱼的技术分析拒绝服务攻击可怕的搜索引擎自己也可以搜索的方法目标主机的信息收集踩点目标主机的信息收集踩点NSLOOKUPTRACERTSNMP信息收集服务器实地勘察WHOIS查询与旁注攻击 社交工程学的攻击案例社交工程学的攻击案例邮件病毒是最常采用社交工程学攻击邮件病毒是最常采用社交工程学攻击方式方式欺骗用户执
16、行或者访问恶意程序和站欺骗用户执行或者访问恶意程序和站点点 什么是什么是DoS/DDoS攻击?攻击?拒绝服务攻击的可怕拒绝服务攻击的可怕针对TCP/IP协议网络层的攻击行为针对应用层程序的压力拒绝服务攻击 例如QQ软件针对网络层的协议拒绝服务攻击针对网络层的协议拒绝服务攻击针对应用软件的拒绝服务攻击针对应用软件的拒绝服务攻击搜索引擎也可以成为攻击者的辅助工具搜索引擎也可以成为攻击者的辅助工具扩大攻击范围寻找可利用突破目标扩大攻击范围寻找可利用突破目标前门攻击前门攻击特殊字符绕过口令验证通过网络进行暴力口令猜解本地文件密码破解从网络中直接嗅叹收集密码无需口令也可以进入服务器的另类方法脚本验证过程
17、的可绕过漏洞容易获取的ADSL上网帐号容易获取的ADSL上网帐号后门攻击后门攻击SQL的注射攻击ARP欺骗的“中间人攻击”SQL注射式攻击介绍数据型字符型搜索型利用简单的出错信息来判断是否存在搜索型数据型注射式攻击04-05年国内信息安全的热点问题安全的基本元素攻击者与攻击方式网络设备的安全问题网络设备的安全问题PDRR的安全技术防护体系讲义内容整体介绍讲义内容整体介绍网络设备的多样形网络设备的多样形路由器 交换机 HUB 基本的网络连接设备网络打印机等办公设备发展趋势越来越多的应用集成在一个硬件中来实现,比如家用电器的上网等等。目前网络设备面临的安全威胁目前网络设备面临的安全威胁攻击者利用T
18、racert/SNMP命令很容易确定网络路由设备位置和基本结构成为新一代DDOS攻击的首选目标泄露网络拓扑结构成为攻击者的攻击跳板(telnet ping命令的使用)交换机桢听口的安全问题路由器缺省帐号路由器缺省帐号设备 用户名 密码 级别Bay 路由器 User null user Manager null managerCisco路由器 (telnet) c user (telnet) cisco user (enable) cisco managerShivaroot null manager Guest null userWebramp wradmin tracell managerM
19、otorola cablecom router manager3com security security manager这家酒店的宽带路由设备的弱口令Cisco路由器密码路由器密码非加密和弱加密 enable password 7 011B03085704 line vty 0 4 password 7 130B12061B03132F39 loginMD5加密 enable secret 5 $1$uh9n$2yBbtgtNsSdz46yodGnOE0对其中的简单加密的密码进行直接解密CISCO MD5加密HASH的本地暴力破解SNMP协议协议版本 SNMPv1,SNMPv2,SNMPv3
20、Snmp AgentMIB轮循(polling-only)和中断(interupt-based)Community StringSNMP网管软件 Solarwinds, HP Openview, IBM Netview十种最易受攻击端口十种最易受攻击端口 某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据,这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间,黑客攻击端口的事件有12000次之多,下表是攻击的详细情况。 SNMP V1 报文报文SNMP泄露网络拓扑结构利用SNMP的团体字下载CISCO的配置文件专门针对SNMP的暴力破解程
21、序CISCO SNMP的越权访问查询可写团体字SNMP解决办法解决办法修改默认的community string snmp-server community my_readonly RO snmp-server community my_readwrite RW添加访问控制规则(ACL) access-list 110 permit udp 192.168.0.102 any eq 161 log access-list 110 deny udp any any eq 161 log interface f0/0 ip access-group 110 关闭SNMP支持 no snmp-ser
22、verCisco路由器路由器80端口漏洞(二)端口漏洞(二)越权访问 如果开放了80端口,将允许任意远程攻击者获取该设备 的完全管理权限。 构造一个如下的URL: http:/ ip/level/xx/exec/其中xx是一个16-99之间的整数,不同设备可能不同。示例 http:/192.168.0.120/level/19/exec/show%20configCISCO WEB接口的越权访问管理路由器安全配置路由器安全配置物理访问控制 密码恢复机制密码策略 enable secret vs enable pasword service password-encryption交互访问控制(
23、console, aux, vty) line console|aux|vty login password netpower ip access-class 88 exec-timeout 300 路由器安全配置路由器安全配置SNMP配置 snmp-server community mycomm rw snmp-server party authentication md5 snmp-server trap-source Ethernet0 snmp-server host 192.168.0.191 sercetpasswd no snmp-serverHTTP配置 ip http aut
24、hentication ip http access-class no ip http 路由器安全配置路由器安全配置审计 aaa logging aaa accounting snmp-trap logging snmp-server trap system logging logging console logging trap logging monitor防止欺骗 anti-spoofing with access lists access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip
25、 192.168.0.0 0.0.0.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 路由器安全配置路由器安全配置控制广播 no ip-directed broadcast禁止源路由 no ip source-route禁止路由重定向 access-list 110 deny icmp any any 5 路由协议过滤和验证路由器安全配置路由器安全配置关闭不需要的服务 no service finger no ntp enabl
26、e no cdp enable no service tcp-small-servers no service udp-small-servers更多请参考: http:/ http:/ & 授权授权用户安全培训用户安全培训授权复查授权复查入侵检测入侵检测实时监控实时监控管理分析管理分析 实施策略实施策略风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的威胁基本的威胁采取措施后剩余的威胁采取措施后剩余的威胁漏洞漏洞把风险降低到最小把风险降低到最小网络安全的目标及服务网络安全的目标及服务 网络安全的目标主要可以用三句话描述: 网络访问主体能够且只能够访问他被授
27、权访问的网络资源; 通过不当手段得到的信息是不可被理解的; 被破坏的网络资源应该能够被及时恢复。 用 更 通 俗 的 方 式 表 达 就 是 安 全 要 实 现 :进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉。 网络信息安全涉及方面网络信息安全涉及方面PDRR安全体系模型安全体系模型PDRR是一个符合常规思路的总体安全模型,即先防护,再检测以及响应是目前受人们认可的一种安全整体结构。PDRR安全体系模型的定义解释:防安全体系模型的定义解释:防护护防护可以分为三大类:系统安全防护,网络安全防护,信息安全防护风险评估-缺陷扫描访问控制和防火墙防病毒与个人安全套件防火墙数据备份和归档数据加密鉴别技术系统安全评估标准(TCSEC EAL)检测检测检测和防护有根本性的区别,“防护在明,黑客在暗”“黑客在明,检测在暗”防护和检测是互相补充的关系入侵检测安全评估-漏洞检测日志分析响应与恢复响应与恢复计算机应急响应组织恢复是事件发生以后,把系统恢复到原来的状态或者是比原来更安全的状态。组织协调应急预案的编写数据灾难恢复人、技术、操作信息保障里的关键点Thank youNeusoft Group Ltd.谢谢