网络安全基础(21页).doc

《网络安全基础(21页).doc》由会员分享，可在线阅读，更多相关《网络安全基础(21页).doc（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-网络安全基础-第 21 页网络安全网络安全基础一、信息安全管理基础 信息安全概述1.1.1 信息安全面临的主要问题1、人员问题： 信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题 特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据 内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等2、技术问题： 病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作3、法律方面 网络滥用：员工发表政治言论、访问非法网站 法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）1.1.2 信息安全的相对性安全没有100%，完美的健康状

2、态永远也不能达到。安全工作的目标：将风险降到最低。第2章计算机病毒及防范技术 计算机病毒介绍2.1.1 计算机病毒定义什么是病毒?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。 什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序2.1.2 计算机病毒起源和发展史计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说P1的青春中提出1983年 美国计算机安全专家“考

3、因”首次通过实验证明了病毒的可实现性。 1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等 1989年 全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 、1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2.1.3 传统计算机病毒分类传统计算机病毒分为： 引导型病毒 DOS病毒 Windows病毒 宏病毒 脚本病毒2.1.4 现代计算机病毒介绍特洛伊木马：特洛伊木马程序往往表面

4、上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。玩笑程序：玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。病毒或恶意程序Droppers：病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序，在病毒或恶意程序植入后，可以感染文件和对系统造成破坏。后门程序：后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略。DDos攻击程序：DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法

5、用户无法获得正常服务。如下图所示：图：DDOS攻击示意图2.1.5 网络病毒介绍网络病毒的概念：利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害：破坏性强、传播性强、针对性强、扩散面广、传染方式多网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。网络攻击的程序可以通过病毒经由多种渠道广泛传播，攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应

6、外合，破坏目标系统。 计算机病毒分析与防护2.2.1 病毒的常见症状及传播途径（一）病毒的常见症状 电脑运行比平常迟钝 程序载入时间比平常久 对一个简单的工作，磁盘似乎花了比预期长的时间 不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少 可执行程序的大小改变了 内存内增加来路不明的常驻程序 文件奇怪的消失 文件的内容被加上一些奇怪的资料 文件名称，扩展名，日期，属性被更改过（二）病毒的常见传播途径 文件传输介质：例如CIH病毒，通过复制感染程序传播 电子邮件：例如梅丽莎病毒，第一个通过电子邮件传播的病毒 网络共享：2.2.2 病毒传播或感染途径病毒感染的常见过程：通过

7、某种途径传播，进入目标系统，自我复制,并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。 打开后门等待连接 发起DDOS攻击 进行键盘记录除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。 1、利用电子邮件感染病毒：邮件附件为病毒压缩文件，HTML正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快2、利用网络共享感染病毒： 病毒会搜索本地网络中存在的共享，如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表 将自身复制到网络共享文件夹中，通常以游戏

8、,CDKEY等相关名字命名 利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT 等病毒3、利用P2P共享软件感染病毒： 将自身复制到P2P共享文件夹，通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装，诱使用户下载4、利用系统漏洞感染病毒： 由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。 病毒往往利用系统漏洞进入系统, 达到快速传播的目的。 常被利用的漏洞： RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSA

9、SS (MS04-011)2.2.3 病毒自启动方式 修改系统 修改注册表 启动项 文件关联项 系统服务项 BHO项 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件 自动加载 服务和进程病毒程序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件注册表项目之注册表启动项：l HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOncel HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV

10、ersion下： Run RunOnce RunServices以上这些键一般用于在系统启动时执行特定程序。注册表项目之文件关联项：HKEY_CLASSES_ROOT下： exefileshellopencommand =%1 %* comfileshellopencommand =%1 %* batfileshellopencommand =%1 %* htafileShellOpenCommand =%1 %* piffileshellopencommand =%1 %*病毒将%1 %*改为 “virus.exe %1 %*注册表项目之系统服务项：在如下键值下面添加子键即可将自身注册为服务

11、，随系统启动而启动：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项目之BHO项在如下键值下面添加子键（ClSID键）即可将自身注册为BHO，随IE浏览器启动而启动：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects将自身添加到启动文件夹： 当前用户的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 St

12、artUp 项 公共的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。2.2.4 病毒的隐性行为 下载特性 自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种 后门特性 开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控 信息收集特性 收集私人信息，特别是帐号密码等信息，自动发送 自身隐藏特性 使用Rootkit技术隐藏自

13、身的文件和进程 文件感染特性 感染系统中部分/所有的可执行文件，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。 典型 PE_LOOKED 维京 PE_FUJACKS 熊猫烧香 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型 震荡波 ARP攻击2.2.5 计算机病毒防御图：计算机病毒防御体系图例（一）计算机病毒手工处理 重装系统？ 系统还原？ Ghost还原？ 大多数情况下，可以直接根据经验来迅速清除各种病毒 木马病毒和后门程序 间谍软件、广告软件和灰色软件 蠕虫病毒 文件型病毒母体 处

14、理过程包括 修复病毒修改的注册表/文件内容 删除病毒文件病毒处理建议步骤： 处理病毒问题时，若病毒进程在系统中运行，则可能会出现无法删除文件、无法删除注册表主键/键值的情况，也可能出现删除注册表键值或文件后，被删除的内容会再次出现的情况。 最好在安全模式下操作 终止所有可疑进程和不必要的进程 关闭系统还原（二）检查注册表中常见的病毒自动加载项 检查启动项: 删除不必要的启动项键值，如发现指向不正常或不认识的程序的键值，可将该键值删除。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOF

15、TWAREMicrosoftWindowsCurrentVersionRun 检查服务: 在控制面板-管理工具-服务中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件(文件检查方法稍后会介绍)。对于不正常的服务，可直接在注册表中删除该服务的主键。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 检查Winlogon加载项 在注册表中检查Winlogon相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent

16、VersionWinlogon Shell = Explorer.exe (默认) Userinit=C:WINDOWSsystem32userinit.exe,(默认) 以上Shell和Userinit键值为默认，若发现被修改，可直接将其修改为默认键值。 检查Winlogon加载项 在注册表中检查Winlogon Notify相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在Notify下会有多个主键(目录)，每个主键中的DllName键值将指向一个DLL文件。若发现有指向可疑的

17、DLL文件时，请先确认其指向的DLL是否正常。若不正常，可直接删除这个主键。 检查其他加载项 在注册表中检查以下注册表加载项键值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs = “” HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Load = “” 该键值默认为空。若键值被修改，可直接将键值内容清空。（三）检查注册表中的BHO项 检查Browser Help Object(BHO)项 BHO项

18、在注册表中包含以下主键的内容： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects HKEY_CLASSES_ROOTCLSID 可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主键中查看BHO项所指向的文件。当发现指向了可疑文件时，可直接删除以上注册表路径下所有包含了该CLSID的主键。 使用Hijackthis工具可以迅速有效的分析系统中的BHO项。（四）查看系统中的可疑文件 如何判断文件是否可疑？ 查看文件版本信息 Google之 所

19、有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息或版本信息异常，则可判断为可疑文件。 如何迅速查找这些可疑文件？ %SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers 对于这些目录下的文件，按照修改日期排序，检查修改日期为最近一段时间的文件： 可执行文件 .EXE，.COM，.SCR，.PIF DLL文件和OCX文件 LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。病毒文件被隐藏，如何查找？ 工具-文件夹选项 选择“显示所有文件” 取消“隐

20、藏受保护的系统文件” 仍然无法显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue = 2DefaultValue = 2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue = 1DefaultValue = 2（五）检查并修复host文件 修复被病毒修改的host文件

21、一些病毒会修改系统的host文件，使用户无法访问某些网站，或在用户访问某些网站时，重定向到某些恶意站点。 检查文件： %SystemRoot%System32driversetchost 使用文本编辑工具打开该文件检查。默认该文件包含一条host记录 127.0.0.1 localhost 若有其他可疑的host记录，可以直接删除多余的记录（六）删除所有临时文件 病毒经常存在于临时目录中 %SystemRoot%Temp C:Temp Internet临时文件 C:Documents and SettingsLocal SettingsTemp 清空所有以上的目录（七）病毒防护常用工具常用病毒

22、查杀工具一览： SIC，HijackThis 系统诊断 Process Explorer 分析进程 TCPView 分析网络连接 Regmon,InstallRite 监视注册表 Filemon,InstallRite 监视文件系统 IceSword Ntsd pskill第4章 安全评估 安全评估概述4.1.1 安全评估目的风险评估的目的： 了解组织的安全现状 分析组织的安全需求 建立信息安全管理体系的要求 制订安全策略和实施安防措施的依据 组织实现信息安全的必要的、重要的步骤4.1.2 安全评估要素风险的四个要素： 资产及其价值 威胁 脆弱性 现有的和计划的控制措施1、资产的分类： 电子信

23、息资产 软件资产 物理资产 人员 公司形象和名誉2、威胁举例： 黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 自然灾害如：地震、火灾、爆炸等 盗窃 网络监听 供电故障 后门 未授权访问3、脆弱性： 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例： 系统漏洞 程序Bug 专业人员缺乏 不良习惯 系统没有进行安全配置 物理环境不安全 缺少审计 缺乏安全意识 后门图：风险评估要素模型4.1.2 安全评估过程.4 安全评估工具评估工具目前存在以下几类： 扫描工具：包括主机扫描、网络扫描、数

24、据库扫描，用于分析系统的常见漏洞； 入侵检测系统（IDS）：用于收集与统计威胁数据； 渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞； 主机安全性审计工具：用于分析主机系统配置的安全性； 安全管理评价系统：用于安全访谈，评价安全管理措施； 风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOP N查询以及报表输出功能； 评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。.5 安全评估标准保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。根据国务院27号文件，对信息安全

25、实施分级安全保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO 15408，管理体系标准是ISO 17799/ BS 7799。4.2 安全扫描安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。安全扫描的检测技术有： 基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非

26、破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。安全扫描在部署安全策略中处于重要地位： 防火墙，防病毒，用户认证，加密，评估，记录报告和预警，安全管理，物理安全。 管理这些设备和技术，是安全扫描系统和入侵侦测软件（入侵侦测软件往往包含在安全扫描系统中）的职责。通过监视事件日志、系统受到攻击后的行为和这些设备的信号，作出反应。 安全扫描系统就把这些设备有机地结合在一起。因此，而安全扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安

27、全策略中处于非常重要的地位。安全扫描系统具有的功能说明： 协调了其它的安全设备之间的关系 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入系统的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置 识别正在受到的攻击 减轻系统管理员搜索最近黑客行为的负担 使得安全管理可由普通用户来负责 为制定安全规则提供依据 正确认识安全扫描软件： 不能弥补由于认证机制薄弱带来的问题 不能弥补由于协议本身的问题 不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数据流 当受到攻击后要进行调查，离不开安全专家的参与日志服务器。第6章数据传输安全安全数据传输面临的威胁安全数据传输

28、面临的威胁主要有以下几种： 数据传输安全关键技术6.2.1 SSL 和 TLSSL 和 TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证 （对称和非对称算法都用了）保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI（Open Standard Interconnect，开放互连）模型的传输层与应用层间。加密特点是： 身份验证 保密性 消息完整性SSL/TLS 保护数据安全的方法：6.2.3 PPTPPPTP用于LAN、WAN 或 Internet 进行客户端到服务器的安全数据传输，使用拨号连接中的点对点协议（PPP）来在连接中建立终结点，PPTP 位于 OSI 模型的

29、第二层。PPTP的加密特点是： 身份验证（pap、ms-chap、eap）：服务器验证客户 保密性(40位的mppe：即microsoft 点对点加密，或128位的RC4) 支持通过mppc（ microsoft 点对点压缩)数据压缩 不提供消息完整性或数据源身份验证 (GFG-微软)PPTP 安全流程： PPTP通过PPTP控制连接来创建、维护、终止一条隧道，并使用通用路由封装GRE（Generic Routing Encapsulation）对PPP帧进行封装。 封装前，PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。 PPTP控制连接（P217-218）：控制隧道中的会话建立

30、、释放和维护逻辑连接 封装数据：建立控制连接后，PPP数据用GRE协议来封装6.2.5 SMB 签名SMB 签名（SMB, Server Message Block，也称为CIFS）：使用带有密钥的哈希（keyed hash）来保护每个 SMB 数据包的完整性的数字签名方法，保护网络通信不受中间人攻击和 TCP/IP 会话劫持攻击，使用消息摘要（MD5）算法对通信进行数字签名。SMB 签名的特点是： 相互的身份验证 消息完整性6.2.6 LDAP 签名LDAP 签名： 确保数据来自已知的来源 数据未被篡改 数据不以明文传输加密特点： 双向身份验证 消息完整性6.2.7 WEP ，三种密钥长度：

31、40位、128位、256位（RC4），在工作站和无线路由器（或AP）间提供数据加密。特点： 数据加密 数据完整性WEP 加密过程： 客户端启动与无线接入点的连接 客户端使用循环冗余校验 32（CRC-32，Cyclic Redundancy Check-32）算法创建数据的校验和，并将该值附到数据帧的末尾 数据包经过 RC4 算法加密并在无线网络上传输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 CRC-32 并在 LAN 上发送数据包6.2.8 WPA 相对WEP来说，WPA通过TKIP(Temporal key Integrity Potocol,临时密钥完整性协议)每发送10

32、K数据就动态改变加密密钥，而WEP没提供安全交换加密密钥的机制，WPA采用Michael算法来生成消息完整性码（MIC,message integrity code）来保证数据完整性。特点 数据加密 数据完整性 可防重放功击WPA 加密过程(密钥动态变换)： 客户端启动与无线接入点的连接 客户端使用 Michael 消息完整性代码（MIC）创建数据的校验和，并将该值附到数据帧的末尾 数据包经过 RC4 或 AES 算法加密并在无线网络上传输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 MIC 并在 LAN 上发送数据包6.2.9 IPSecIPSec：Internet Protoc

33、ol Security (Internet协议安全)：工作在网络层以保护数据传输安全，它是一个开放的协议，可采用各种不同的算法来保证数据的保密性和完整性。通过ISAKMP （Internet Security Association and Key Management Protocol ，Internet 安全关联和密钥管理协议）服务和IKE （ Internet 密钥交换）来实现安全密钥交换，对上层协议和应用程序是透明的。IPSec 的功能： 数据包筛选 保护特定路径的主机到主机通信 保护到服务器的通信 VPN 连接的 L2TP/IPSec 站点到站点隧道IPSEC特点： 身份验证 保密性

34、 消息完整性 不可抵赖性AH: Authentication Header,身份验证头，提供了消息完整性和不可抵赖性保障，AH可使用SHA-1或MD5算法ESP:Encapsulation Security payload,封装安全有效负载，提供消息保密性、完整性检查和不可抵赖性保障，可使用DES或3DES等加密算法使用 IPSec 进行身份验证的方法:身份验证方法用途KerberosV5 安全协议可以在同一个域或信任域中任何运行 KerberosV5 协议的计算机上使用公钥证书 Internet 访问 对企业资源的远程访问 外部业务伙伴通信 未运行 Kerberos V5 安全通信的计算机预

35、共享密钥不需要客户端运行 Kerberos V5 协议或拥有公钥证书IPSec 使用策略和规则来保障网络传输安全,规则基本组件： 要匹配的通信类型（筛选器列表，也就是对于什么数据流） 当通信匹配时做些什么（对选定的数据流要做的操作） 身份验证方法 隧道或传输模式 规则应用的网络类型缺省策略包含：客户端（仅响应）、服务器（请求安全）、安全服务器（需要安全）自定义策略：Windows Server 2003 允许方便的构建并部署自定义 IPSec 策略以允许对计算机的公开程度和安全进行非常细致的控制每台计算机只能使用一条IPSEC策略1) 一条策略可包含多条规则，同一策略中的规则必须使用相同的身份验证方法。2) 一条规则是由一个筛选器列表+操作+身份验证等组成3) 一条筛选器列表可包含多个筛选器，同一筛选器列表中的多个筛选器必须使用相同的筛选器操作。