网络安全技术授课内容
一 信息安全概况
二 入侵手段
三 安全概念与安全体系
四 安全技术
五 ISEC认证介绍一 信息安全概况
安全威胁
威胁来源
网络产品和网络市场
网络研究与开发
网络安全人才安全威胁
政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品,依然抵挡不住这些黑客对网络和系统的破坏。据统计,几乎每 20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过 100亿美元。
美国每年网络安全因素造成的损失达 170亿美元。
安全威胁
2003年 2月 17日发现一名电脑,黑客,最近,攻入,美国一个专门为商店和银行处理信用卡交易的服务器系统,窃取了万事达、维萨、美国运通,发现 4家大型信用卡组织的约 800万张信用卡资料。
中美黑客网上大战时,国内外的上千个门户网站遭到破坏。
安全威胁
2003年 1月 25日,互联网上出现一种新型高危蠕虫病毒 ——,2003蠕虫王,。全球 25万台计算机遭袭击,全世界范围内损失额最高可达 12亿美元。
美欲用电脑赢战争,网络特种兵走入无硝烟战场。过去几天来,数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时,美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。
安全威胁
中国国内 80%网站有安全隐患,
20%网站有严重安全问题
中国的银行过去两年损失 1.6亿人民币
利用计算机网络进行的各类违法行为在中国以每年 30%的速度递增,
而已发现的黑客攻击案只占总数的
30%
威胁来源
互联网存在的六大问题
无主管的自由王国
不设防的网络空间
法律约束脆弱
跨国协调困难
民族化和国际化的冲突
网络资源紧缺
网络和系统的自身缺陷与脆弱性
国家、政治、商业和个人利益冲突
0
20
40
60
80
100
120
140
160
2000 2001 2002 2003 2004 2005
年份市场规模(亿美元)
0
0.05
0.1
0.15
0.2
0.25
0.3
增长率世界网络安全产品市场
36.50%
31.50%
26.00%
18.50%
11.00%
9.00%8.00%
5.00%
3.00%
0.00%
5.00%
10.00%
15.00%
20.00%
25.00%
30.00%
35.00%
40.00%
用户需求无防火墙防病毒入侵检测露洞扫描加密与数字签名
VPN
授权与认证企业级系统扫描和专家管理系统国内安全产品需求
95.50%
45.00%
5.00%4.50%4.00%3.50%1.50%1.00%0.00%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
80.00%
90.00%
100.00%
1
防病毒防火墙授权和认证
VPN
入侵检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它国内安全产品使用年份
0
5000
10000
15000
20000
25000
30000
35000
40000
2000 2001 2002 2003 2004
市场规模(万美元)
47.00%
48.00%
49.00%
50.00%
51.00%
52.00%
53.00%
54.00%
55.00%
56.00%
57.00%
58.00%
增长率中国网络安全产品市场产品和市场
中国信息安全产品测评认证中心每年认证的安全产品达十几类,上百种。
1998- 2000 安全产品 300多个
2001- 2002 安全产品 600多个
几百家国内外厂商,投资金额巨大。
国家安全战略
1998年 5月 22日,克林顿政府颁布,对关键基础设施保护的政策:第 63号总统令,,2000年颁布,信息系统保护国家计划 v1.0,。
2002年 9月 18日和 20日,布什政府颁布
,保护网络空间的国家战略(草案)》
和《美国国家安全战略》。
2003年 2月 14日布什政府颁布,保护网络空间的国家战略,和,反恐国家战略,。
国家安全战略
2002年 7月 19日,国家信息安全保障体系战略研讨会,在北京科技会堂召开,由中国工程院和国家信息化工作办公室主办,由交大信息安全体系结构研究中心承办。
2003年 4月 6日,信息安全保障发展战略研讨会,在北京燕京饭店举办,由信息安全国家重点实验室主办。
安全人才需求
国家重点科研项目的需求
专业安全产品公司的需求
应用行业的管理、应用和维护的需求
对网络信息安全人才的需求在今后几年内将超过
100万,但专业的网络与信息安全机构在国内却屈指可数。
网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明,网络信息安全人才必将成为信息时代最热门的抢手人才。
网络安全目前存在的威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马 黑客攻击 计算机病毒信息丢失、
篡改、销毁后门、隐蔽通道蠕虫网络入侵技术分类
系统弱密码入侵
利用 CGI/IIS漏洞入侵
Buffer Overflow入侵
DOS/DDOS攻击
IP Spoof入侵
网络监听 (sniffer)
数据库弱密码入侵
利用 PHP程序漏洞入侵
其它系统弱密码入侵
ú á? °2 è? μ? 2a ê?
×o μ? DD
′ ò?
37%
3£ ó? ó¢ μ¤ ′ê
23%
ú μD?-
3£ 3 μ? μ¤ ′ê
18%
×o μ? 3? éú è?
ú
7%
á? o? μü
15%
系统弱密码入侵 (续 )
口令安全
可逆与不可逆通常口令的加密方法是不可逆的
猜测与穷举
口令破解
Unix口令通常限制在 8位以内,56位密钥加密
john:Xd3rTCvtDs5/W:9999:13:John
Smith:/home/john:/bin/sh
NT口令通常限制在 14位以内系统弱密码入侵 (续 )
口令破解的时间
Unix口令
6位小写字母穷举,36小时
8位小写字母穷举,3年
NT口令
8位小写字母及数字穷举,时间通常不超过 30小时利用 CGI/IIS漏洞入侵
微软的 IIS系统存在大量的安全隐患
目前大量服务器采用 IIS发布网站堆栈溢出技术
堆栈溢出原理
什么是堆栈
堆栈溢出
在长字符串中嵌入一段代码,并将过程的返回地址覆盖为这段代码的地址,这样当过程返回时,程序就转而开始执行这段自编的代码了,
IP Spoof入侵技术
电子欺骗技术
冒充信任主机 IP地址标准 TCP建立过程
SYN 1415531521:14155331521
SYN 1823083521,1823083521
Ack 14155331522
Ack 1823083522
客户机 服务器
DOS/DDOS
DOS
拒绝服务攻击
DDOS
分布式拒绝服务攻击
利用 TCP/IP缺陷常见 DOS工具
Bonk 通过发送大量伪造的 UDP数据包导致系统重启动
TearDrop 通过发送重叠的 IP碎片导致系统的TCP/IP栈崩溃
SynFlood 通过发送大量伪造源 IP的基于 SYN的 TCP请求导致系统重启动
Bloop 通过发送大量的 ICMP数据包导致系统变慢甚至凝固
Jolt 通过大量伪造的 ICMP和 UDP导致系统变的非常慢甚至重新启动实例,SynFlood现象
攻击者伪造源地址,发出 Syn请求
服务器端性能变慢,以及死机
服务器上所以服务都不能正常使用
SynFlood原理
Syn 伪造源地址 (1.1.1.1)
IP:211.100.23.1
1.1.1.1(TCP连接无法建立,造成 TCP等待超时)
Ack
大量的伪造数据包发向服务器端
DDOS攻击
黑客控制了多台服务器,然后每一台服务器都集中向一台服务器进行
DOS攻击分布式拒绝服务攻击
美国几个著名的商业网站(例如 Yahoo、
eBay,CNN,Amazon,buy.com等)
遭受黑客大规模的攻击,造成这些高性能的商业网站长达数小时的瘫痪。
而据统计在这整个行动中美国经济共损失了十多亿美元。
这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。
DDOS攻击示意图分布式拒绝服务攻击分布式拒绝服务攻击步骤 1
Scanning
Program
不安全的计算机
Hacker
攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。
1
Internet
分布式拒绝服务攻击步骤 2
Hacker
被控制的计算机 (代理端 )
黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、
sniffer或守护程序甚至是客户程序。
2
Internet
分布式拒绝服务攻击步骤 3
Hacker
黑客 在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,
并对被 控制的计算机发送命令。
3
被控制计算机(代理端)Master
Server
Internet
Hacker
Using Client program,
黑客发送控制命令给主机,
准备启动对目标系统的攻击
4
被控制计算机(代理端)
Targeted
System
Master
Server
Internet
分布式拒绝服务攻击步骤 4
Targeted
System
Hacker
主机发送攻击信号给被控制计算机开始对目标系统发起攻击 。
5
Master
Server
Internet
被控制计算机(代理端)
分布式拒绝服务攻击步骤 5
分布式拒绝服务攻击步骤 6
Targeted
System
Hacker
目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,
DDOS攻击成功。
6
Master
Server
User
Request Denied
Internet
被控制计算机(代理端)
分布式拒绝服务攻击的效果
由于整个过程是自动化的,攻击者能够在 5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受
1000MB/S数据量的猛烈攻击,这一数据量相当于 1.04亿人同时拨打某公司的一部电话号码。
DDOS攻击的预防
确保主机不被入侵且是安全的;
周期性审核系统;
检查文件完整性;
优化路由和网络结构;
优化对外开放访问的主机;
在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。
网络监听技术
Sniffer
监视网络状态、数据流动、传输信息
截获用户的口令
黑客扩大战果的有效手段窃听器
窃听原理
局域网中的广播式通信
常用端口
ftp 21
http 80
pop3 110
telnet 23
常用窃听器
Sniffer
NetXRay
Database弱密码入侵
默认安装的 SQL Server的管理员 Sa
的密码为空
如果管理员没有修改过 Sa密码
黑客远程连接上数据库数据库被远程连接的危害性
如果黑客连接到了 SQL Server,那么可以使用 XP_cmdshell过程执行本地命令。
如果连接的帐号不是数据库管理员身份,那么可以通过 SQL Server漏洞进行越权处理。
Sql Injection入侵技术
Structured Query Language
影响平台
使用网站系统,Apache,IIS,Domino、
Netscape
使用程序,ASP,PHP,JSP
可被破坏数据库,MS-SQL,MySQL、
Oracle,Sybase,DB2
Sql Injection实例
网站登陆界面
Sql Injection实例 (cont.)
User,admin(任意名字 )
Pass,a’or’1’=’1
利用 PHP程序漏洞入侵
PHP Hypertext Preprocessor
全局变量附值安全隐患
包含文件安全隐患
文件上传安全隐患
Session安全隐患其它入侵技术
利用 Email
Email炸弹
传播木马、病毒
聊天室、聊天程序
利用浏览器
社会工程
···
攻击的一般步骤
没有 100%的安全
收集信息
确定目标(硬件、软件、操作系统、应用程序);
使用扫描工具;
考虑攻击方法
猜口令;
利用漏洞(缓冲区溢出,unicode漏洞等等);
入侵系统
安放后门
删除记录安全涉及的因素网络安全信息安全物理安全网络安全因特网网络对国民经济的影响在加强信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制 广播工业金融医疗研究攻防技术以阻之信息安全信息窃取信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名
ISO信息安全定义
为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
信息安全属性
保密性
完整性
真实性
可用性
可控性文化安全因特网用户有害信息泛滥信息来源不确定
.
打击目标机动性强.
主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获物理安全容灾集群 备份环境温度电磁湿度安全是过程
安全存在于过程
安全不仅仅是一个产品,它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。
安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏,而是网络管理人员、企业经理人和用户对安全知识的忽视。
分析阶段:
管理阶段:
检测阶段:
恢复阶段:
保护阶段:
需求分析、漏洞扫描防火墙,VPN,防病毒入侵检测、授权、认证、签名审计系统、访问控制数据备份、系统恢复安全是个连续的过程安全层次体系结构防火墙 安全网关 VPN网络安全层反病毒 风险评估 入侵检测 审计分析系统安全层用户 /组管理 单机登录 身份认证用户安全层访问控制 授权应用安全层加密数据安全层存储备份物理安全层安全防护体系结构安全策略
3分边界防护
2.5分核心防护
2分区域防护
2.5分节点防护安全防护比例整体防护 10分安全实施体系
明确系统中的安全漏洞,了解可能的相应攻击方式。
进行系统安全风险分析。
制定系统安全策略。
系统安全策略的实施。
安全管理技术网络信息安全的关键技术安全集成技术防病毒技术防火墙技术
V
P
N
技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术安全产品类型密钥管理产品高性能加密芯片产品密码加密产品数字签名产品安全授权认证产品信息保密产品数字证书管理系统用户安全认证卡智能
IC
卡鉴别与授权服务器安全平台 /系统安全操作系统安全数据库系统
Web
安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统常用的安全技术手段
加密技术
身份认证技术
防火墙技术
病毒防治技术
入侵检测技术
VPN技术加密 解密明文 密文 原始明文加密技术
消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密,加了密的消息称为密文,而把密文转变为明文的过程称为解密。
明文用 M( 消息)或 P( 明文)表示,密文用 C表示。加密函数 E( M) =C; 解密函数 D( C) =M;
D( E( M)) =M
对称密码非对称密码加密技术
原理:
加密和解密使用相同密钥
加密强度基本由其密钥长度决定
目前一般至少为 128位
主要优缺点:
加密速度快
管理复杂,风险大对称加密
加密技术出现以来最重大的突破
原理
有两把成对的密钥,称为公钥和私钥,其中公钥可以对外公布
用一把密钥加密的数据只有用配对的另一把密钥才能正确解密
特点:
密钥易于管理,公钥不怕被窃取
但速度一般比对称加密算法慢很多非对称加密身份鉴别
身份鉴别的过程
身份证实( Identity Verification)
―你是否是你所声称的你?,
身份识别( Identity Recognition)
―我是否知道你是谁?,
身份认证的方式
动态口令
EP
动态口令举例
login,Smith
challenge,6729330
response:
开启认证卡电源
6040
输入 PIN 来启动认证 卡
2188655
你 现在 已 认证 成功 !
输入 response
In t e r n e t
防火墙的概念信任网络防火墙非信任网络防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达到保护系统安全的目的。
互聯网非法获取内部数据防火墙的作用示意图防火墙的基本功能
数据包过滤( Packet Filtering)
网络地址转换( Network Address
Translation)
应用级代理( Proxy Service)
身份认证( Authentication)
虚拟专用网( Virtual Private
Network
防火墙的不足
防火墙并非万能,防火墙不能完成的工作:
源于内部的攻击
不通过防火墙的连接
完全新的攻击手段
不能防病毒入侵检测的概念和作用入侵检测即通过从网络系统中的若干关键节点 收集 并 分析 信息,监控 网络中是否有违反安全策略的行为或者是否存在入侵行为。
它能够 提供 安全审计,监视,攻击识别 和 反攻击 等多项功能,对 内部攻击,外部攻击 和误操作 进行实时监控,在网络安全技术中起到了不可替代的作用。
入侵检测的主要功能
实时入侵检测与响应
警报信息分类、查询功能
引擎集中管理功能
策略管理功能
警报信息的统计和报表功能
分级用户管理功能入侵检测系统
工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
使用方式:作为防火墙后的第二道防线。
利用 RealSecure进行可适应性攻击检测和响应
DMZ
E-Mail
File Transfer
HTTP
Intranet
企业网络生产部工程部市场部人事部路由
Internet
中继外部攻击警告 !
记录攻击外部攻击终止连接入侵检测工具举例
DMZ
E-Mail
File Transfer
HTTP
Intranet
企业网络生产部工程部市场部人事部路由
Internet
中继内部攻击警告 !
启动事件日志,
发送消息利用 RealSecure进行可适应性攻击检测和响应入侵检测工具举例利用 RealSecure进行可适应性攻击检测和响应
DMZ
E-Mail
File Transfer
HTTP
Intranet
企业网络生产部工程部市场部人事部路由
Internet
中继外部攻击商务伙伴警告 !
记录进攻,
发送消息,
终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏 IP地址入侵检测工具举例安全评估系统工作原理远程扫描分析目标设备
In t e r n e t
1、发送带有明显攻击特征的数据包
2、等待目的主机或设备的响应
3、分析回来的数据包的特征
4、判断是否具有该脆弱性或漏洞安全评估主要功能
网络安全评估功能
评估分析结果报表
服务检查功能
隔离检查的功能
实用工具传统联网方式合作伙伴 /客户 公司总部办事处 /SOHO
公共网络
DDN
传统 VPN联网方式公司总部办事处 /SOHO
公共网络
VPN通道VPN设备
VPN设备
VPN设备
VPN client
VPN
虚拟的网:即没有固定的物理连接,
网络只有用户需要时才建立;
利用公众网络设施构成。
Internet
台式机
Web 服务器
Internet
连接拨号用户笔记本电脑服务器
Modem
池网络客户工作站企业的完整安全防护信息化安全教育认证介绍
ISEC项目介绍和定位
ISEC项目运行模式及机构设置
ISEC项目课程及类别
ISEC项目目标及特色
ISEC项目介绍国家信息化安全教育认证项目
( ISEC) 为信息产业部批准设立,
中国电子商务协会监督和管理的信息安全领域国家级的认证体系。由
ISEC国家信息化安全教育认证管理中心统一管理、实施。
ISEC项目定位
国家信息化安全教育认证作为,政府推出,市场运作,行业协会监督指导,
的重点项目,主要突出以下两大特点:
以行业为基础,在国家信息技术应用单位普及信息安全意识与知识,使各行业、机关有能力评估、
设计、建设、维护自己的信息安全系统。
以应用为核心,向全社会普及信息安全意识与知识,使全民从技术、法规等多层面了解信息安全,
从而配合我国的信息安全建设。
ISEC项目运行模式及机构设置
ISEC专家顾问委员会曲成义 国家信息化专家咨询委员会委员曹元大 北京理工大学软件学院院长刘正风 公安部金盾工程办公室副主任、
安全组组长谭晓准 公安部科技局副局长祁 金 公安部公共网络信息安全监察局
ISEC主要课程
,信息安全基础》
,防火墙技术》
,入侵检测技术》
,操作系统安全》
,网络病毒防治》
,PKI技术》
,标准规范与政策法规》
,安全策略制定》
,安全响应团队的构建与管理》
国家信息化安全教育认证
领导关心的问题
国家对网络信息安全提出了哪些要求
网络与信息安全涉及哪些内容
如何指导、评估信息安全保障体系的建设国家信息化安全教育认证
技术主管关心的问题
最常用的网络与信息安全技术特点
如何设计符合实际需求的信息安全保障体系
如何实施网络与信息安全的管理国家信息化安全教育认证
基层人员关心的问题
如何安全的使用网络信息系统,保护个人隐私
如何配合技术人员保障系统安全认证类别
–信息安全高级规划师
–信息安全高级管理师
–信息安全管理员
–信息安全操作员国家信息化安全教育认证
信息安全操作员
培训对象:行业、企业的财务、行政、办公等信息网络终端实用者
培训目的:作为信息系统的使用者,了解每个个体对网络安全的重要性,有能力积极、主动的配合信息安全管理
演示与实验
网络攻击演示国家信息化安全教育认证
信息安全管理员
培训对象:行业、企业的科技部门、信息中心、网络运营、系统管理技术人员
培训目的:作为技术人员,全面了解掌握各种信息安全技术,有能力制定实施安全方案并监控调整安全防范体系的运行。
演示与实验
网络攻击演示
防火墙安装、配置
身份认证系统安装、配置
入侵检测系统的配置、使用国家信息化安全教育认证
信息安全高级管理师
培训对象:行业、企业的科技部门、信息中心、网络运营、系统管理技术人员
培训目的:作为系统、网络管理者,能够严守相关法规,并依据信息安全规范协助组建安全团队、制定整体安全策略。
国家信息化安全教育认证
信息安全高级规划师
培训对象:行业、企业的领导、业务主管、
技术负责人
培训目的:作为行业、企业领导,了解网络安全管理标准、规范与对策,有能力对现有系统提出系统安全性目标并组织规划。
演示
网络攻击演示国家信息化安全教育认证
经过培训的学员可以具备以下能力
我了解我们公司哪些关键业务和关键数据是不能出问题的。
我系统地知道所有关于信息安全的知识,
虽然我可能不是专家,但我知道发生了什么问题,找谁去解决。
我可以判别出公司的 IT系统有哪些漏洞并不断地改进。
国家信息化安全教育认证
我了解黑客的各种攻击手段。当发生攻击时我不会手足无措,我可以使用各种工具发现隐藏的攻击而将其消灭。
我知道各种安全产品并不象厂商炫耀的那样无所不能,我可以甄别各种安全方案的好坏和各种安全产品的优缺点。
我可以为公司设计完整的信息安全解决方案。
国家信息化安全教育认证
我知道如何科学地评价一套信息安全保障体系
我知道如何建立网络与信息安全管理制度来保证信息安全保障体系发挥其作用国家信息化安全教育认证
ISEC项目的特色
国家级的认证体系
真正第三方的专业培训
全面系统的信息安全培训内容
符合我国的国情
注重综合能力的培养
突出案例分析、实验环节、互动交流谢谢!
一 信息安全概况
二 入侵手段
三 安全概念与安全体系
四 安全技术
五 ISEC认证介绍一 信息安全概况
安全威胁
威胁来源
网络产品和网络市场
网络研究与开发
网络安全人才安全威胁
政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品,依然抵挡不住这些黑客对网络和系统的破坏。据统计,几乎每 20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过 100亿美元。
美国每年网络安全因素造成的损失达 170亿美元。
安全威胁
2003年 2月 17日发现一名电脑,黑客,最近,攻入,美国一个专门为商店和银行处理信用卡交易的服务器系统,窃取了万事达、维萨、美国运通,发现 4家大型信用卡组织的约 800万张信用卡资料。
中美黑客网上大战时,国内外的上千个门户网站遭到破坏。
安全威胁
2003年 1月 25日,互联网上出现一种新型高危蠕虫病毒 ——,2003蠕虫王,。全球 25万台计算机遭袭击,全世界范围内损失额最高可达 12亿美元。
美欲用电脑赢战争,网络特种兵走入无硝烟战场。过去几天来,数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时,美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。
安全威胁
中国国内 80%网站有安全隐患,
20%网站有严重安全问题
中国的银行过去两年损失 1.6亿人民币
利用计算机网络进行的各类违法行为在中国以每年 30%的速度递增,
而已发现的黑客攻击案只占总数的
30%
威胁来源
互联网存在的六大问题
无主管的自由王国
不设防的网络空间
法律约束脆弱
跨国协调困难
民族化和国际化的冲突
网络资源紧缺
网络和系统的自身缺陷与脆弱性
国家、政治、商业和个人利益冲突
0
20
40
60
80
100
120
140
160
2000 2001 2002 2003 2004 2005
年份市场规模(亿美元)
0
0.05
0.1
0.15
0.2
0.25
0.3
增长率世界网络安全产品市场
36.50%
31.50%
26.00%
18.50%
11.00%
9.00%8.00%
5.00%
3.00%
0.00%
5.00%
10.00%
15.00%
20.00%
25.00%
30.00%
35.00%
40.00%
用户需求无防火墙防病毒入侵检测露洞扫描加密与数字签名
VPN
授权与认证企业级系统扫描和专家管理系统国内安全产品需求
95.50%
45.00%
5.00%4.50%4.00%3.50%1.50%1.00%0.00%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
80.00%
90.00%
100.00%
1
防病毒防火墙授权和认证
VPN
入侵检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它国内安全产品使用年份
0
5000
10000
15000
20000
25000
30000
35000
40000
2000 2001 2002 2003 2004
市场规模(万美元)
47.00%
48.00%
49.00%
50.00%
51.00%
52.00%
53.00%
54.00%
55.00%
56.00%
57.00%
58.00%
增长率中国网络安全产品市场产品和市场
中国信息安全产品测评认证中心每年认证的安全产品达十几类,上百种。
1998- 2000 安全产品 300多个
2001- 2002 安全产品 600多个
几百家国内外厂商,投资金额巨大。
国家安全战略
1998年 5月 22日,克林顿政府颁布,对关键基础设施保护的政策:第 63号总统令,,2000年颁布,信息系统保护国家计划 v1.0,。
2002年 9月 18日和 20日,布什政府颁布
,保护网络空间的国家战略(草案)》
和《美国国家安全战略》。
2003年 2月 14日布什政府颁布,保护网络空间的国家战略,和,反恐国家战略,。
国家安全战略
2002年 7月 19日,国家信息安全保障体系战略研讨会,在北京科技会堂召开,由中国工程院和国家信息化工作办公室主办,由交大信息安全体系结构研究中心承办。
2003年 4月 6日,信息安全保障发展战略研讨会,在北京燕京饭店举办,由信息安全国家重点实验室主办。
安全人才需求
国家重点科研项目的需求
专业安全产品公司的需求
应用行业的管理、应用和维护的需求
对网络信息安全人才的需求在今后几年内将超过
100万,但专业的网络与信息安全机构在国内却屈指可数。
网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明,网络信息安全人才必将成为信息时代最热门的抢手人才。
网络安全目前存在的威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马 黑客攻击 计算机病毒信息丢失、
篡改、销毁后门、隐蔽通道蠕虫网络入侵技术分类
系统弱密码入侵
利用 CGI/IIS漏洞入侵
Buffer Overflow入侵
DOS/DDOS攻击
IP Spoof入侵
网络监听 (sniffer)
数据库弱密码入侵
利用 PHP程序漏洞入侵
其它系统弱密码入侵
ú á? °2 è? μ? 2a ê?
×o μ? DD
′ ò?
37%
3£ ó? ó¢ μ¤ ′ê
23%
ú μD?-
3£ 3 μ? μ¤ ′ê
18%
×o μ? 3? éú è?
ú
7%
á? o? μü
15%
系统弱密码入侵 (续 )
口令安全
可逆与不可逆通常口令的加密方法是不可逆的
猜测与穷举
口令破解
Unix口令通常限制在 8位以内,56位密钥加密
john:Xd3rTCvtDs5/W:9999:13:John
Smith:/home/john:/bin/sh
NT口令通常限制在 14位以内系统弱密码入侵 (续 )
口令破解的时间
Unix口令
6位小写字母穷举,36小时
8位小写字母穷举,3年
NT口令
8位小写字母及数字穷举,时间通常不超过 30小时利用 CGI/IIS漏洞入侵
微软的 IIS系统存在大量的安全隐患
目前大量服务器采用 IIS发布网站堆栈溢出技术
堆栈溢出原理
什么是堆栈
堆栈溢出
在长字符串中嵌入一段代码,并将过程的返回地址覆盖为这段代码的地址,这样当过程返回时,程序就转而开始执行这段自编的代码了,
IP Spoof入侵技术
电子欺骗技术
冒充信任主机 IP地址标准 TCP建立过程
SYN 1415531521:14155331521
SYN 1823083521,1823083521
Ack 14155331522
Ack 1823083522
客户机 服务器
DOS/DDOS
DOS
拒绝服务攻击
DDOS
分布式拒绝服务攻击
利用 TCP/IP缺陷常见 DOS工具
Bonk 通过发送大量伪造的 UDP数据包导致系统重启动
TearDrop 通过发送重叠的 IP碎片导致系统的TCP/IP栈崩溃
SynFlood 通过发送大量伪造源 IP的基于 SYN的 TCP请求导致系统重启动
Bloop 通过发送大量的 ICMP数据包导致系统变慢甚至凝固
Jolt 通过大量伪造的 ICMP和 UDP导致系统变的非常慢甚至重新启动实例,SynFlood现象
攻击者伪造源地址,发出 Syn请求
服务器端性能变慢,以及死机
服务器上所以服务都不能正常使用
SynFlood原理
Syn 伪造源地址 (1.1.1.1)
IP:211.100.23.1
1.1.1.1(TCP连接无法建立,造成 TCP等待超时)
Ack
大量的伪造数据包发向服务器端
DDOS攻击
黑客控制了多台服务器,然后每一台服务器都集中向一台服务器进行
DOS攻击分布式拒绝服务攻击
美国几个著名的商业网站(例如 Yahoo、
eBay,CNN,Amazon,buy.com等)
遭受黑客大规模的攻击,造成这些高性能的商业网站长达数小时的瘫痪。
而据统计在这整个行动中美国经济共损失了十多亿美元。
这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。
DDOS攻击示意图分布式拒绝服务攻击分布式拒绝服务攻击步骤 1
Scanning
Program
不安全的计算机
Hacker
攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。
1
Internet
分布式拒绝服务攻击步骤 2
Hacker
被控制的计算机 (代理端 )
黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、
sniffer或守护程序甚至是客户程序。
2
Internet
分布式拒绝服务攻击步骤 3
Hacker
黑客 在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,
并对被 控制的计算机发送命令。
3
被控制计算机(代理端)Master
Server
Internet
Hacker
Using Client program,
黑客发送控制命令给主机,
准备启动对目标系统的攻击
4
被控制计算机(代理端)
Targeted
System
Master
Server
Internet
分布式拒绝服务攻击步骤 4
Targeted
System
Hacker
主机发送攻击信号给被控制计算机开始对目标系统发起攻击 。
5
Master
Server
Internet
被控制计算机(代理端)
分布式拒绝服务攻击步骤 5
分布式拒绝服务攻击步骤 6
Targeted
System
Hacker
目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,
DDOS攻击成功。
6
Master
Server
User
Request Denied
Internet
被控制计算机(代理端)
分布式拒绝服务攻击的效果
由于整个过程是自动化的,攻击者能够在 5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受
1000MB/S数据量的猛烈攻击,这一数据量相当于 1.04亿人同时拨打某公司的一部电话号码。
DDOS攻击的预防
确保主机不被入侵且是安全的;
周期性审核系统;
检查文件完整性;
优化路由和网络结构;
优化对外开放访问的主机;
在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。
网络监听技术
Sniffer
监视网络状态、数据流动、传输信息
截获用户的口令
黑客扩大战果的有效手段窃听器
窃听原理
局域网中的广播式通信
常用端口
ftp 21
http 80
pop3 110
telnet 23
常用窃听器
Sniffer
NetXRay
Database弱密码入侵
默认安装的 SQL Server的管理员 Sa
的密码为空
如果管理员没有修改过 Sa密码
黑客远程连接上数据库数据库被远程连接的危害性
如果黑客连接到了 SQL Server,那么可以使用 XP_cmdshell过程执行本地命令。
如果连接的帐号不是数据库管理员身份,那么可以通过 SQL Server漏洞进行越权处理。
Sql Injection入侵技术
Structured Query Language
影响平台
使用网站系统,Apache,IIS,Domino、
Netscape
使用程序,ASP,PHP,JSP
可被破坏数据库,MS-SQL,MySQL、
Oracle,Sybase,DB2
Sql Injection实例
网站登陆界面
Sql Injection实例 (cont.)
User,admin(任意名字 )
Pass,a’or’1’=’1
利用 PHP程序漏洞入侵
PHP Hypertext Preprocessor
全局变量附值安全隐患
包含文件安全隐患
文件上传安全隐患
Session安全隐患其它入侵技术
利用 Email
Email炸弹
传播木马、病毒
聊天室、聊天程序
利用浏览器
社会工程
···
攻击的一般步骤
没有 100%的安全
收集信息
确定目标(硬件、软件、操作系统、应用程序);
使用扫描工具;
考虑攻击方法
猜口令;
利用漏洞(缓冲区溢出,unicode漏洞等等);
入侵系统
安放后门
删除记录安全涉及的因素网络安全信息安全物理安全网络安全因特网网络对国民经济的影响在加强信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制 广播工业金融医疗研究攻防技术以阻之信息安全信息窃取信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名
ISO信息安全定义
为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
信息安全属性
保密性
完整性
真实性
可用性
可控性文化安全因特网用户有害信息泛滥信息来源不确定
.
打击目标机动性强.
主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获物理安全容灾集群 备份环境温度电磁湿度安全是过程
安全存在于过程
安全不仅仅是一个产品,它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。
安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏,而是网络管理人员、企业经理人和用户对安全知识的忽视。
分析阶段:
管理阶段:
检测阶段:
恢复阶段:
保护阶段:
需求分析、漏洞扫描防火墙,VPN,防病毒入侵检测、授权、认证、签名审计系统、访问控制数据备份、系统恢复安全是个连续的过程安全层次体系结构防火墙 安全网关 VPN网络安全层反病毒 风险评估 入侵检测 审计分析系统安全层用户 /组管理 单机登录 身份认证用户安全层访问控制 授权应用安全层加密数据安全层存储备份物理安全层安全防护体系结构安全策略
3分边界防护
2.5分核心防护
2分区域防护
2.5分节点防护安全防护比例整体防护 10分安全实施体系
明确系统中的安全漏洞,了解可能的相应攻击方式。
进行系统安全风险分析。
制定系统安全策略。
系统安全策略的实施。
安全管理技术网络信息安全的关键技术安全集成技术防病毒技术防火墙技术
V
P
N
技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术安全产品类型密钥管理产品高性能加密芯片产品密码加密产品数字签名产品安全授权认证产品信息保密产品数字证书管理系统用户安全认证卡智能
IC
卡鉴别与授权服务器安全平台 /系统安全操作系统安全数据库系统
Web
安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统常用的安全技术手段
加密技术
身份认证技术
防火墙技术
病毒防治技术
入侵检测技术
VPN技术加密 解密明文 密文 原始明文加密技术
消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密,加了密的消息称为密文,而把密文转变为明文的过程称为解密。
明文用 M( 消息)或 P( 明文)表示,密文用 C表示。加密函数 E( M) =C; 解密函数 D( C) =M;
D( E( M)) =M
对称密码非对称密码加密技术
原理:
加密和解密使用相同密钥
加密强度基本由其密钥长度决定
目前一般至少为 128位
主要优缺点:
加密速度快
管理复杂,风险大对称加密
加密技术出现以来最重大的突破
原理
有两把成对的密钥,称为公钥和私钥,其中公钥可以对外公布
用一把密钥加密的数据只有用配对的另一把密钥才能正确解密
特点:
密钥易于管理,公钥不怕被窃取
但速度一般比对称加密算法慢很多非对称加密身份鉴别
身份鉴别的过程
身份证实( Identity Verification)
―你是否是你所声称的你?,
身份识别( Identity Recognition)
―我是否知道你是谁?,
身份认证的方式
动态口令
EP
动态口令举例
login,Smith
challenge,6729330
response:
开启认证卡电源
6040
输入 PIN 来启动认证 卡
2188655
你 现在 已 认证 成功 !
输入 response
In t e r n e t
防火墙的概念信任网络防火墙非信任网络防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达到保护系统安全的目的。
互聯网非法获取内部数据防火墙的作用示意图防火墙的基本功能
数据包过滤( Packet Filtering)
网络地址转换( Network Address
Translation)
应用级代理( Proxy Service)
身份认证( Authentication)
虚拟专用网( Virtual Private
Network
防火墙的不足
防火墙并非万能,防火墙不能完成的工作:
源于内部的攻击
不通过防火墙的连接
完全新的攻击手段
不能防病毒入侵检测的概念和作用入侵检测即通过从网络系统中的若干关键节点 收集 并 分析 信息,监控 网络中是否有违反安全策略的行为或者是否存在入侵行为。
它能够 提供 安全审计,监视,攻击识别 和 反攻击 等多项功能,对 内部攻击,外部攻击 和误操作 进行实时监控,在网络安全技术中起到了不可替代的作用。
入侵检测的主要功能
实时入侵检测与响应
警报信息分类、查询功能
引擎集中管理功能
策略管理功能
警报信息的统计和报表功能
分级用户管理功能入侵检测系统
工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
使用方式:作为防火墙后的第二道防线。
利用 RealSecure进行可适应性攻击检测和响应
DMZ
File Transfer
HTTP
Intranet
企业网络生产部工程部市场部人事部路由
Internet
中继外部攻击警告 !
记录攻击外部攻击终止连接入侵检测工具举例
DMZ
File Transfer
HTTP
Intranet
企业网络生产部工程部市场部人事部路由
Internet
中继内部攻击警告 !
启动事件日志,
发送消息利用 RealSecure进行可适应性攻击检测和响应入侵检测工具举例利用 RealSecure进行可适应性攻击检测和响应
DMZ
File Transfer
HTTP
Intranet
企业网络生产部工程部市场部人事部路由
Internet
中继外部攻击商务伙伴警告 !
记录进攻,
发送消息,
终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏 IP地址入侵检测工具举例安全评估系统工作原理远程扫描分析目标设备
In t e r n e t
1、发送带有明显攻击特征的数据包
2、等待目的主机或设备的响应
3、分析回来的数据包的特征
4、判断是否具有该脆弱性或漏洞安全评估主要功能
网络安全评估功能
评估分析结果报表
服务检查功能
隔离检查的功能
实用工具传统联网方式合作伙伴 /客户 公司总部办事处 /SOHO
公共网络
DDN
传统 VPN联网方式公司总部办事处 /SOHO
公共网络
VPN通道VPN设备
VPN设备
VPN设备
VPN client
VPN
虚拟的网:即没有固定的物理连接,
网络只有用户需要时才建立;
利用公众网络设施构成。
Internet
台式机
Web 服务器
Internet
连接拨号用户笔记本电脑服务器
Modem
池网络客户工作站企业的完整安全防护信息化安全教育认证介绍
ISEC项目介绍和定位
ISEC项目运行模式及机构设置
ISEC项目课程及类别
ISEC项目目标及特色
ISEC项目介绍国家信息化安全教育认证项目
( ISEC) 为信息产业部批准设立,
中国电子商务协会监督和管理的信息安全领域国家级的认证体系。由
ISEC国家信息化安全教育认证管理中心统一管理、实施。
ISEC项目定位
国家信息化安全教育认证作为,政府推出,市场运作,行业协会监督指导,
的重点项目,主要突出以下两大特点:
以行业为基础,在国家信息技术应用单位普及信息安全意识与知识,使各行业、机关有能力评估、
设计、建设、维护自己的信息安全系统。
以应用为核心,向全社会普及信息安全意识与知识,使全民从技术、法规等多层面了解信息安全,
从而配合我国的信息安全建设。
ISEC项目运行模式及机构设置
ISEC专家顾问委员会曲成义 国家信息化专家咨询委员会委员曹元大 北京理工大学软件学院院长刘正风 公安部金盾工程办公室副主任、
安全组组长谭晓准 公安部科技局副局长祁 金 公安部公共网络信息安全监察局
ISEC主要课程
,信息安全基础》
,防火墙技术》
,入侵检测技术》
,操作系统安全》
,网络病毒防治》
,PKI技术》
,标准规范与政策法规》
,安全策略制定》
,安全响应团队的构建与管理》
国家信息化安全教育认证
领导关心的问题
国家对网络信息安全提出了哪些要求
网络与信息安全涉及哪些内容
如何指导、评估信息安全保障体系的建设国家信息化安全教育认证
技术主管关心的问题
最常用的网络与信息安全技术特点
如何设计符合实际需求的信息安全保障体系
如何实施网络与信息安全的管理国家信息化安全教育认证
基层人员关心的问题
如何安全的使用网络信息系统,保护个人隐私
如何配合技术人员保障系统安全认证类别
–信息安全高级规划师
–信息安全高级管理师
–信息安全管理员
–信息安全操作员国家信息化安全教育认证
信息安全操作员
培训对象:行业、企业的财务、行政、办公等信息网络终端实用者
培训目的:作为信息系统的使用者,了解每个个体对网络安全的重要性,有能力积极、主动的配合信息安全管理
演示与实验
网络攻击演示国家信息化安全教育认证
信息安全管理员
培训对象:行业、企业的科技部门、信息中心、网络运营、系统管理技术人员
培训目的:作为技术人员,全面了解掌握各种信息安全技术,有能力制定实施安全方案并监控调整安全防范体系的运行。
演示与实验
网络攻击演示
防火墙安装、配置
身份认证系统安装、配置
入侵检测系统的配置、使用国家信息化安全教育认证
信息安全高级管理师
培训对象:行业、企业的科技部门、信息中心、网络运营、系统管理技术人员
培训目的:作为系统、网络管理者,能够严守相关法规,并依据信息安全规范协助组建安全团队、制定整体安全策略。
国家信息化安全教育认证
信息安全高级规划师
培训对象:行业、企业的领导、业务主管、
技术负责人
培训目的:作为行业、企业领导,了解网络安全管理标准、规范与对策,有能力对现有系统提出系统安全性目标并组织规划。
演示
网络攻击演示国家信息化安全教育认证
经过培训的学员可以具备以下能力
我了解我们公司哪些关键业务和关键数据是不能出问题的。
我系统地知道所有关于信息安全的知识,
虽然我可能不是专家,但我知道发生了什么问题,找谁去解决。
我可以判别出公司的 IT系统有哪些漏洞并不断地改进。
国家信息化安全教育认证
我了解黑客的各种攻击手段。当发生攻击时我不会手足无措,我可以使用各种工具发现隐藏的攻击而将其消灭。
我知道各种安全产品并不象厂商炫耀的那样无所不能,我可以甄别各种安全方案的好坏和各种安全产品的优缺点。
我可以为公司设计完整的信息安全解决方案。
国家信息化安全教育认证
我知道如何科学地评价一套信息安全保障体系
我知道如何建立网络与信息安全管理制度来保证信息安全保障体系发挥其作用国家信息化安全教育认证
ISEC项目的特色
国家级的认证体系
真正第三方的专业培训
全面系统的信息安全培训内容
符合我国的国情
注重综合能力的培养
突出案例分析、实验环节、互动交流谢谢!
