1、1课程体系绪论论安全防护与管理篇黑客攻击流程黑客攻击流程&渗透测试渗透测试口令破解与防御口令破解与防御欺骗攻击与防御欺骗攻击与防御DoS攻击与防御攻击与防御缓冲区溢出攻击缓冲区溢出攻击与防御与防御Web攻击与防御攻击与防御恶意代码防护技恶意代码防护技术术身份鉴别与身份鉴别与认证认证防火墙防火墙入侵检测与入侵检测与入侵防御入侵防御虚拟专用网虚拟专用网VPN安全审计安全审计网络攻防网络攻防篇信息收集与防御信息收集与防御访问控制访问控制密码学(密码学(*)无线网络安全无线网络安全安全事件回顾网络安全概念安全威胁网络攻击网络安全体系结构安全模型网络安全等级保护目录(CONTENTS)23凯文米特尼克(
2、Kevin Mitnick)头号电脑骇客头号电脑骇客父母离异。自立,但性格孤僻l 13岁:小学,喜欢无线电,被老师发现使用计算机闯入其他学校的网络,被退学 l 15岁:闯入“北美空中防务指挥系统”,翻遍美国指向前苏联及其盟国的所有核弹头的数据资料,然后又悄无声息地溜出来(Really?)进入美国“太平洋电话公司”的通信网络系统,更改了公司的电脑用户,结果太平洋公司不得不作出赔偿 攻击联邦调查局FBI的网络系统,不久就成功的进入其中。一次他发现FBI正在调查一名“黑客“他自己l 16岁:被捕。由于法律没有先例,法院将其关进了“少年犯管所”。保释后,接连进入诺基亚、摩托罗拉、升阳以及富士通等大公司
3、的网络,并造成这些公司的巨额损失 1988年:因非法入侵他人系统再次入狱 1994年:入侵圣迭戈超级计算机中心,并戏弄了日裔美籍计算机安全专家下村勉,盗走了他计算机中的文件,使用会话劫持技术(Session hijacking)盗走他的网站流量。后来下村勉使用蜜罐技术(Honey pot)让米特尼克上钩,用“电子隐形化”技术进行跟踪 1995年再次被捕 2000年1月21日获释,但禁止其在以后3年内再接触计算机以及手机等数码产品 2002年重获自由并推出畅销书反欺骗的艺术世界传奇黑客的经历分享(The Art of Deception:Controlling the Human Element
4、 of Security)2014年推出反入侵的艺术黑客入侵背后的真实故事4传奇黑客:凯文米特尼克(Kevin Mitnick)5黑客攻击6Continue7永恒之蓝勒索软件Windows系统中缓冲区溢出的事例层出不穷永恒之蓝(MS17-010)WannaCryCVE-2019-0708,远程桌面服务最新的远程执行高危漏洞,影响XP到2008 R2。MSRC直接说堪比WannacryWannaCryWannaMiner挖矿木马CoinMinerWmSrvMiner 5月9日,美国宣布进入国家紧急状态 12日,Colonial宣布,遭黑客攻击的输油管道系统开始恢复运营 据两名知情人士透露,Col
5、onial Pipeline上周五(5月7日)向东欧黑客支付了近500万美元,而本周早些时候的报道称该公司无意支付勒索费,以帮助美国最大的输油管道恢复运营82021:100GB数据遭勒索,8800公里管道被关闭DarkSide的网络骇客团队,在5月6日渗透了美国最大的能源燃料管道Colonial的系统,并劫持了大约100GB的数据,并且加密,且关闭了该主运营管线 中毒远比不中毒容易的多 “防不胜防”3G/4G/5G/时代的到来给我们带来了新的挑战93G/4G/5G/时代的到来 !?手机通话内容被监听、收条短信电话簿就被盗取、下载音乐却让手机中了病毒 中国工程院副院长、院士邬贺铨指出:手机安全问
6、题正面临严峻的挑战,而且随着手机上网的普及,这一现象还将日趋严重。10IoT万物互联的世界智能家居车联网智慧城市联网的可穿戴设备智能工厂&制造智能电网“震网病毒”、乌克兰电网、委内瑞拉电网断电事件,表明网络攻击已可穿透网络虚拟空间,对国家、城市的关键基础设施进行控制、破坏11网络攻击威胁关键基础设施安全2015年12月的乌克兰电厂攻击 2011.12.21.:CSDN泄密泄密 黑客公开CSDN的用户数据库,导致600余万个注册邮箱账号和对应的明文密码泄露 随后,天涯、新浪微博、腾讯QQ、人人、开心网等知名网站的用户密码也遭到泄露 这次泄密事件影响之大、波及面之大、持续时间之长,堪称史无前例 2
7、018年华住集团用户数年华住集团用户数据泄露据泄露12大数据时代数据泄露/隐私保护13安全人才:形势与政策 什么是安全?什么是安全?“如果把一封信锁在保险柜中,把保险柜藏起来,然后告诉你去看这封信,这并不是安全,而是隐藏(hiding);相反,如果把一封信锁在保险柜中,然后把保险柜及其设计规范和许多同样的保险柜给你,以便你和世界上最好的开保险柜的专家能够研究锁的装置,而你还是无法打开保险柜去读这封信,这才是安全”-Bruce Schneier14言归正传自身缺陷开放性黑客攻击15网络不安全的原因16网络安全概述传统网络安全的威胁来源传统网络安全的威胁来源网络网络拒绝服务攻击拒绝服务攻击逻辑炸弹
8、逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击内部、外部泄密内部、外部泄密计算机病毒计算机病毒信息丢失、篡信息丢失、篡改、销毁改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫机密性机密性Confidentiality完整性完整性Integrity可用性可用性Availability17网络安全概述网络安全的三个基本属性:CIA三元组仅在授权个人和组织之间共享数据访问控制阻止非授权用户获得机密信息加密阻止非授权用户获知信息内容真实、完整、准确、可靠、可信访问控制阻止篡改行为消息摘要算法来检验信息是否被篡改能够授权的人访问泄露泄露破坏破坏篡改篡改 信息保障与安全参考模型信息保障与安全参考模型(RMIAS
9、RMIAS)的八个要素)的八个要素 :18网络安全概述p可用性p机密性p完整性p 真实性与可信任性(Authenticity&Trustworthiness)p 不可抵赖性(Non-Repudiation)p 可说明性(Accountability)p 可审计性(Auditability)p 隐私性(Privacy)从安全属性上分,可分为5类:阻断攻击阻断攻击截取攻击截取攻击篡改攻击篡改攻击伪造攻击伪造攻击重放攻击重放攻击19网络攻击分类a.正常信息流信源信宿b.中断中断(拒绝服务拒绝服务)信源信宿c.截取截取信源信宿d.篡改篡改信源信宿e.伪造伪造信源信宿f.重放重放信源信宿20网络攻击分类
10、攻击方式主动攻击伪装篡改重放拒绝服务被动攻击报文内容泄露通信分析21OSI网络安全体系结构OSI网络安全体系结构的形成过程网络安全体系结构的形成过程22安全系统的设计方法安全运行安全策略业务需求业务需求风险分析风险分析安全安全系统系统行业最行业最佳实践佳实践策策略略指导指导方针方针标标准准意外事意外事件响应件响应系统监控系统监控与维护与维护依从度依从度检查检查风险(Risk):可能会出现的损失,包括脆弱性和威胁脆弱性(Vulnerability):也称漏洞,是攻击可行的途径威胁(Threat):可能造成危害的来源 安全策略安全策略:23网络安全体系结构You Cant Buy Network
11、Security“我们很安全,我们有防火墙!我们很安全,我们有防火墙!”安全行业制造出来的最新“玩具”往往有助于各组织机构满足自己的安全策略要求,但必须把策略放在首位把策略放在首位!安全策略安全策略有助于理解技术,使技术更好的为我们服务!RFC 2196的定义:安全策略是赋予了组织机构技术和信息资源使用权的人员人员必须遵守的准则的正规陈述 是设计/操作人员必须履行的职责 我们的定义:安全策略是一套含有组织机构计算机安全规则细节的文档24风险分析+安全策略安全策略用作网络中安全系统设计和运行的指导方针,安全策略也可用作衡量组织安全的尺度什么是安全策略(Security Policy)?OSI安全
12、体系结构安全体系结构:ITU-T推荐方案X.800、ISO 7498-2、RFC 2401考虑信息安全的三个方面:安全服务安全服务(RFC 2828定义):一种由系统提供的对系统资源进行特殊保护的处理或通信服务 安全机制:安全机制:保护信息安全所采用的手段。用来保护系统免受侦听、阻止安全攻击及恢复系统的机制 安全攻击安全攻击25网络安全体系结构 OSI安全体系结构的安全体系结构的5类安全服务类安全服务:26网络安全体系结构安全服务机密性机密性完整性完整性认证认证访问控制访问控制不可否认性不可否认性反更改反更改反重放反重放对等实体对等实体数据源数据源源认证源认证交接证据交接证据连接保密性无连接保
13、密性选择域保密性通信业务流保密性 OSI安全体系结构的安全体系结构的8种安全机制种安全机制:27网络安全体系结构Title in here鉴别鉴别交换交换Title in here加密加密Title in here公证公证Title in here信息信息完整性完整性Title in here路由路由控制控制Title in here访问访问控制控制Title in here业务量业务量填充填充安全安全机制机制可信第三方可信第三方不断改变有不断改变有效路由效路由Title in here数字数字签名签名28网络安全体系结构 P2DR模型模型:策略(Policy)、保护(Protection)、
14、检测(Detection)和响应(Reaction)PDRR模型模型:保护(Protection)、检测(Detection)、响应(Reaction)和恢复(Restore)P2DR2模型模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Reaction)和恢复(Restore)29安全模型30安全模型P2DR模型PDRR模型 计算机信息系统安全保护计算机信息系统安全保护:TCSEC(Trusted Computer Evaluation Criteria,可信计算机系统评估准则,美国国防部标准(1983);4类7级)pD级级 :安全保护欠缺级pC1
15、级:级:自主安全保护级pC2级:级:受控存取保护级pB1级:级:标记安全保护级pB2级:级:结构化保护级pB3级:级:安全域保护级pA级级 :验证设计级31等级保护制度 计算机信息系统安全等级保护划分准则(GB 17859-1999)信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019,替代信息系统安全等级保护基本要求(GB/T 22239-2008)信息安全技术 网络安全等级保护测评过程指南(GB/T 28449-2018,替代信息系统安全等级保护测评过程指南(GB/T 28449-2012)信息安全技术 网络安全等级保护安全设计技术要求(GB/T 25070-2019,替
16、代信息系统等级保护安全设计技术要求(GB/T 25070-2010)信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019,替代信息系统安全等级保护测评要求(GB/T 28448-2012)信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019,替代信息系统安全等级保护实施指南(GB/T 25058-2010)信息安全技术 网络安全等级保护定级指南(GB/T 22240-2020,替代信息系统安全等级保护实施指南(GB/T 22240-2008)32等级保护制度33等级保护制度v GB17859-1999各等级安全保护能力各等级安全保护能力34等级保护制度35等
17、级保护制度等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督保护国家安全损害第四级社会秩序和公共利益特别严重损害强制保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专控保护36等级保护制度 网络安全概述:网络安全的概念;安全威胁;基本属性(基本属性(CIA);网络攻击的类型;网络攻击的类型;安全策略、威胁(STRIDE)、风险(DREAD)和安全系统设计 OSI安全体系结构:安全体系结构:5类安全服务类安全服务 8种安全机制种安全机制 安全模型(安全模型(P2DR,PDRR,P2DR2)等级保护(TCSEC,ITSEC,CC,GB17859-1999(5个安个安全保护级别)全保护级别)37Summary感谢聆听感谢聆听BitSec(张立江)中国矿业大学 网络空间安全系38
