【正文】 信息安全理論基礎(chǔ)知識培訓(xùn) 目錄 ?計算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?計算機(jī)犯罪學(xué)基礎(chǔ)理論知識 ?CISSP基礎(chǔ)理論知識 ?通用安全準(zhǔn)則（ CC）基礎(chǔ)知識 ?Cobit基礎(chǔ)知識 計算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?信息安全加密技術(shù) ?常見網(wǎng)絡(luò)攻擊與防范技術(shù) OSI 七層參考模型 OSI 七層參考模型 Application Presentation Session Transport Network Data Link Physical Data Link Network Transport Session Presentation Application Physical 比特流 幀（ Frame） 包（ Packet） 分段（ Segment） 會話流 代碼流 數(shù)據(jù) OSI模型與 TCP/IP協(xié)議族對應(yīng) OSI模型與 TCP/IP協(xié)議族對應(yīng) 傳輸層 數(shù)據(jù)連路層 網(wǎng)絡(luò)層 物理層 應(yīng)用層 會話層 表示層 應(yīng)用層 傳輸層 網(wǎng)絡(luò)層 物理層 HTTP、 FTP、 SMTP、 SNMP、 POP、 TELNET、 RIP、 NNTP等 TCP和 UDP IP、 ICMP、 IGMP、 ARP、 RARP等 Ether、 ATM、 FDDI、 、 ISDN等 網(wǎng)絡(luò)安全基礎(chǔ)知識 ? IANA國際組織使用特定的端口來標(biāo)識在 TCP上運(yùn)行的標(biāo)準(zhǔn)服務(wù) ， 包括 FTP、HTTP、 TELNET、 SMTP等 ， 這些端口號碼范圍為 01023。 ? ftp（ 文件傳輸 ） 協(xié)議有兩種運(yùn)行模式 ， 分別是： Port模式和 Passive模式 。 ? 統(tǒng)一威脅管理 （ UTM） 是將各種安全防護(hù)功能集成在一起的安全設(shè)備 。 ? 為了解決日益緊張的公網(wǎng) IP地址資源緊缺的狀況 ， 通常使用網(wǎng)絡(luò)地址轉(zhuǎn)化（ NAT） 和端口地址轉(zhuǎn)化 （ PAT） 來節(jié)省公網(wǎng) IP的使用數(shù)量 。 ? 通常使用 sniffer軟件來對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行協(xié)議分析 、 內(nèi)容解析等 ， sniffer的工作是基于網(wǎng)卡處于混雜模式 。 ? 垃圾郵件一般包括商業(yè)廣告 、 政治郵件 、 病毒郵件 、 惡意欺詐郵件 （ 網(wǎng)絡(luò)釣魚 ） 等幾個方面 。 ? ping、 traceroute等命令是網(wǎng)絡(luò)管理員經(jīng)常使用的 ， 二者都使用了 TCP/IP協(xié)議棧中的 icmp協(xié)議來實(shí)現(xiàn)各種功能 。 TCP協(xié)議安全問題 TCP協(xié)議安全問題： ? 明文傳輸易受 Sniffer的捕獲 ? 復(fù)雜的協(xié)議相對缺少內(nèi)在的驗(yàn)證機(jī)制 ? TCP采用簡單確認(rèn)機(jī)制有可能被冒用 ? ISN變化具有一定的規(guī)律性 ? TCP可能被用來做 DOS/DDOS攻擊 信息安全加密技術(shù) ?網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?信息安全加密技術(shù) ?常見網(wǎng)絡(luò)攻擊與防范技術(shù) 加密所能提供的四種服務(wù) ?加密所能提供的四種服務(wù) ? 數(shù)據(jù)的保密性 ? 數(shù)據(jù)的完整性 ? 身份認(rèn)證 ? 不可否認(rèn)性 加密類型和強(qiáng)度 ?加密的類型 ? 非對稱加密： RSA、 DSA、 DiffieHellman ? 對稱加密： DES、 3DES、 Blowfish ? HASH安全加密： MD SHA ?決定 加密 強(qiáng)度的三個重要因素 ? 加密算法的強(qiáng)度 ? 加密密鑰的長度 ? 密鑰的保密性 HASH安全加密算法 ? HASH安全加密將不同的信息轉(zhuǎn)化成雜亂的 128位編碼 ? 不像另外兩種加密，對原始數(shù)據(jù)沒有改動 ? 唯一性 ? 單向性（ Oneway Encryption） ? 用于校驗(yàn)數(shù)據(jù)的完整性 ? 用于數(shù)字簽名 ? HASH安全 加密包括以下兩種類型： ? MD MD4及 MD5(現(xiàn)廣為使用 ) ? 使用 128位的 hash值 ? SHA(安全 HASH算法 ) ? 由 NIST和 NSA開發(fā)并用于美國政府 ? 使用 160位 hash值 ? 速度與 MD5相比要慢 25%，但由于信息摘要比 MD5長 25%，因此更安全一些 數(shù)字簽名 ?數(shù)字簽名定義： 在信息通信過程中，接收方能對公正的第三方證明其收到的數(shù)據(jù)內(nèi)容是真實(shí)的，而且確實(shí)是由那個發(fā)送方發(fā)過來的。 ?數(shù)字簽名功能： ? 發(fā)送方事后不能抵賴對報文的簽名 ? 接收者能夠核實(shí)發(fā)送方對報文的簽名 ? 任何人不能偽造對報文的簽名 ? 保證數(shù)據(jù)的完整性，防止被第三方惡意篡改 ? 對數(shù)據(jù)和信息的來源進(jìn)行保證，確保發(fā)送方的身份 ? 數(shù)字簽名的速度可以滿足應(yīng)用需求 計算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?信息安全加密技術(shù) ?常見網(wǎng)絡(luò)攻擊與防范技術(shù) 常見網(wǎng)絡(luò)攻擊與防范技術(shù) 常見的網(wǎng)絡(luò)攻擊方法 ? 字典攻擊 ? 拒絕服務(wù)攻擊 (DOS/DDOS) ? 會話劫持攻擊 ? 網(wǎng)絡(luò)釣魚 ? 病毒攻擊 ? SQL會話注入 ? 緩存溢出 ? ARP地址欺騙 發(fā)動一次網(wǎng)絡(luò)攻擊流程 ?發(fā)動一次網(wǎng)絡(luò)攻擊的流程是： ? 遠(yuǎn)程主機(jī)漏洞掃描 ? 獲取訪問權(quán)限 ? 本地權(quán)限提升 ? 種植后門程序 ? 清除日志 字典攻擊 字典攻擊介紹： 侵入者利用程序嘗試字典中的單詞的每種可能。字典攻擊可以利用重復(fù)的登陸或者收集加密的口令并且試圖同加密后的字典中單詞匹配。侵入者通常利用一個英語字典或其他語言的字典。他們也使用附加的類字典數(shù)據(jù)庫，比如名字和常用的口令。 陷阱和蜜罐介紹 ? 陷阱和蜜罐相同和不同之處： ? 相同之處： “ 蜜罐 ” 和 “ 陷阱 ” 都是一種試圖捕捉黑客攻擊行為的原始記錄。兩者的實(shí)現(xiàn)原理都是將沒有安裝系統(tǒng)安全補(bǔ)丁的主機(jī)直接掛在互聯(lián)網(wǎng)上，并且開啟各種常見的網(wǎng)絡(luò)服務(wù)： WEB、 SMTP、 POP TELNET、 FTP等。 ? 不同之處： “ 蜜罐 ” 是合理、合法的，一般有明確的警示信息禁止非法登錄；而 “ 陷阱 ” 是不合理、不合法的，一般有暗示性或明確的提示信息可以登錄系統(tǒng)。 網(wǎng)絡(luò)釣魚 ? 網(wǎng)絡(luò)釣魚介紹： 也叫 Phishing，本質(zhì)上就是一種電子郵件欺詐。電子郵件詐騙者會向沒有防范的用戶發(fā)送一些貌似來自銀行或零售商的電子郵件，聲稱收件者的賬戶需要更新或有新產(chǎn)品待售，目的在于釣取（ fishing）客戶的賬戶資料或信用卡號碼。 ? 工作 原理 ： 網(wǎng)絡(luò)釣魚，一般是通過發(fā)送電子郵件的方式進(jìn)行。電子郵件中會提供一個與銀行或購物網(wǎng)站極為相似的鏈接。收到此類郵件的用戶一旦點(diǎn)擊此鏈接，緊接著頁面會提示用戶繼續(xù)輸入自己的賬戶信息。如果用戶填寫了此類信息，這些信息將最終落入詐騙者手中。 僵尸網(wǎng)絡(luò) ? 僵尸網(wǎng)絡(luò)介紹： (英文名稱叫 BotNet)，是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機(jī)，往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊 (DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機(jī)所保存的信息也都可被黑客隨意 “ 取用 ” 。 ? 僵尸網(wǎng)絡(luò)工作原理： 首先利用網(wǎng)絡(luò)蠕蟲病毒 “ bot”不斷感染 Inter大量的計算機(jī)。當(dāng)?shù)玫酱罅康闹卸居嬎銠C(jī)后，黑客利用自己的計算機(jī)與 Inter上的控制服務(wù)器（ Control Server）通過 IRC（因特網(wǎng)中繼聊天）協(xié)議進(jìn)行遠(yuǎn)程通信和控制，遠(yuǎn)程操控被植入 “ bot”病毒的 “ 僵尸計算機(jī) ” 。 ARP地址欺騙 ARP地址欺騙定義： ARP地址欺騙是一種常見的網(wǎng)絡(luò)安全事件，其原理是將某個網(wǎng)段中的 IP地址和 MAC地址對應(yīng)關(guān)系進(jìn)行篡改，從而導(dǎo)致網(wǎng)段中的數(shù)據(jù)包不能正常到達(dá)正確的目的。 TCP/IP服務(wù)攻擊原理 現(xiàn)將 TCP/IP攻擊的常用原理介紹如下： ? 源地址欺騙（ Source Address Spoofing）、 IP欺騙（ IP Spoofing）和 DNS欺騙（ DNS Spoofing） . ? 其基本原理：是利用 IP地址并不是出廠的時候與 MAC固定在一起的，攻擊者通過自封包和修改網(wǎng)絡(luò)節(jié)點(diǎn)的 IP地址，冒充某個可信節(jié)點(diǎn)的 IP地址，進(jìn)行攻擊。主要有三種手法： ? 癱瘓真正擁有 IP的可信主機(jī)，偽裝可信主機(jī)攻擊服務(wù)器； ? 中間人攻擊； ? DNS欺騙（ DNS Spoofing）和 “ 會話劫持 ” （ Session Hijack）； TCP/IP服務(wù)攻擊原理 ? 源路由選擇欺騙（ Source Routing Spoofing）。 ? 原理：利用 IP數(shù)據(jù)包中的一個選項(xiàng) IP Source Routing來指定路由，利用可信用戶對服務(wù)器進(jìn)行攻擊，特別是基于UDP協(xié)議的由于其是面向非連接的，更容易被利用來攻擊； ? 路由選擇信息協(xié)議攻擊（ RIP Attacks）。 ? 原理：攻擊者在網(wǎng)上發(fā)布假的路由信息，再通過 ICMP重定向來欺騙服務(wù)器路由器和主機(jī)，將正常的路由器標(biāo)志為失效，從而達(dá)到攻擊的目的。 TCP/IP服務(wù)攻擊原理 ?TCP序列號欺騙和攻擊（ TCP Sequence Number Spoofing and Attack） ,基本有三種： ? 偽造 TCP序列號，構(gòu)造一個偽裝的 TCP封包，對網(wǎng)絡(luò)上可信主機(jī)進(jìn)行攻擊； ? SYN攻擊（ SYN Attack）。這類攻擊手法花樣很多，蔚為大觀。但是其原理基本一致，讓 TCP協(xié)議無法完成三次握手協(xié)議 。 ? Teardrop攻擊 (Teardrop Attack)和 Land攻擊 (Land Attack)。原理：利用系統(tǒng)接收 IP數(shù)據(jù)包，對數(shù)據(jù)包長度和偏移不嚴(yán)格的漏洞進(jìn)行的。 緩存溢出的解決方法 ? 緩存溢出是一種常見的、威脅嚴(yán)重的一種網(wǎng)絡(luò)攻擊行為。緩存溢出主要原因是：黑客是利用系統(tǒng)代碼編寫的漏洞，采用精心編寫的特殊代碼輸入到系統(tǒng)中實(shí)現(xiàn)的。 ? 要最大限度的避免緩存溢出，應(yīng)該采取以下措施： ? 對系統(tǒng)代碼進(jìn)行嚴(yán)格測試，最大限度發(fā)現(xiàn)潛在的安全漏洞 ? 對系統(tǒng)的輸入?yún)?shù)的數(shù)據(jù)類型、輸入位數(shù)進(jìn)行嚴(yán)格檢查 ? 對內(nèi)存執(zhí)行邊界進(jìn)行嚴(yán)格的保護(hù)，避免一個進(jìn)程從自己的內(nèi)存地址空間 “ 跳轉(zhuǎn) ” 到另一個進(jìn)程的內(nèi)存地址空間 DOS攻擊的解決方法 ? 對于 DOS網(wǎng)絡(luò)攻擊，可以采用以下措施來緩解被攻擊主機(jī)系統(tǒng)： ? 縮短 SYN Timeout時間和設(shè)置 SYN Cookie ? 在系統(tǒng)之前增加負(fù)載均衡設(shè)備 ? 在防火墻上設(shè)置 ACL或黑洞路由 ?計算機(jī)網(wǎng)絡(luò)及系統(tǒng)安全理論知識 ?計算機(jī)犯罪學(xué)基礎(chǔ)理論知識 ?CISSP基礎(chǔ)理論知識 ?通用安全準(zhǔn)則（ CC）基礎(chǔ)知識 ?Cobit基礎(chǔ)知識 計算機(jī)犯罪概念 ? 計算機(jī)犯罪概念： 是犯罪分子利用計算機(jī)或網(wǎng)絡(luò)上的技術(shù)、管理方面的漏洞，通過計算機(jī)或網(wǎng)絡(luò)對其他用戶或單位的計算機(jī)或網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問或惡意攻擊，造成受害者在經(jīng)濟(jì)、名譽(yù)或心理上等方面的損失的犯罪行為?？s短 SYN Timeout時間和設(shè)置 SYN Cookie ? 目前 我國 在計算機(jī)犯罪方面的法律、法規(guī)不太健全，對于個別計算機(jī)犯罪量刑處罰不明朗。 ? 隨著立法機(jī)構(gòu)、執(zhí)法機(jī)構(gòu)及其他信息安全組織機(jī)構(gòu)的通力合作，社會各界的信息安全意識逐漸增強(qiáng)，對計算機(jī)犯