【正文】 安全網(wǎng)絡管理、安全文件系統(tǒng)、安全數(shù)據(jù)庫、網(wǎng)絡心理戰(zhàn)、網(wǎng)絡安全監(jiān)控和網(wǎng)絡攻防一體化等 研究領域之一：網(wǎng)絡安全 北郵信息安全中心 通信安全 ? 包括移動電子支付、安全智能卡、安全微支付、數(shù)字集群端到端加密、密鑰管理與分配、軟件無線電、安全 WLAN 、基于 CDMA和 GSM的端到端加密手機、電信網(wǎng)安全接口、信令系統(tǒng)安全等 研究領域之二：通信安全 北郵信息安全中心 內容安全 ? 加密 – 密碼設計、分析與實現(xiàn)：主要研究分組密碼、序列密碼的算法設計、實現(xiàn)和攻擊，橢圓曲線密碼的設計和實現(xiàn)、 PKI 、 VPN 、 AAA 、高速加密卡 。 –網(wǎng)絡安全需要生力軍 –網(wǎng)絡安全需要服務觀 。 北郵信息安全中心 個人觀點 (續(xù) 2) ? 觀點四：信息安全需要什么？ –網(wǎng)絡安全需要辯證法。 ? 安全需求增加速度和應用系統(tǒng)的復雜性增長快。 ? 理論向應用的轉化速度快。 北郵信息安全中心 個人觀點 (續(xù) 1) ? 觀點三：信息安全的最大特征就是一個字：“ 快 ”！ ? 新的理論分支誕生快。 ? 安全概念在不斷擴展，安全手段需隨時更新?！肮ァ薄笆亍彪p方既相互矛盾又相互統(tǒng)一 . 北郵信息安全中心 觀點二續(xù) :信息安全如何 變 ? 信息安全越變越重要，安全系統(tǒng)成了無價之寶?！肮ァ薄笆亍彪p方當前爭斗的暫時動態(tài)平衡體現(xiàn)了信息安全領域的現(xiàn)狀。通過一個過程將安全保障的各個環(huán)節(jié)結合起來，才可以達到保障安全的最終目的。 ? 6）安裝備份恢復與審計報警系統(tǒng)。 ? 4）采用加密和認證技術。 ? 2）安裝防火墻。 ? 為什么會受到 Web欺騙？ ? 監(jiān)控網(wǎng)絡用戶； ? 竊取帳戶信息； ? 損壞網(wǎng)站形象； ? 失效 SSL連接。并使某一臺主機可能要遭受 1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當于 。 6 Master Server User Request Denied Inter 被控制計算機（代理端） 分布式拒絕服務攻擊步驟 6 北郵信息安全中心 分布式拒絕服務攻擊 ? DDOS攻擊的效果 ? 由于整個過程是自動化的，攻擊者能夠在 5秒鐘內入侵一臺主機并安裝攻擊工具。 3 被控制計算機（代理端） Master Server Inter 分布式拒絕服務攻擊步驟 3 北郵信息安全中心 Hacker Using Client program, 黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊 4 被控制計算機（代理端） Targeted System Master Server Inter 分布式拒絕服務攻擊步驟 4 北郵信息安全中心 Inter Hacker 主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。 北郵信息安全中心 分布式拒絕服務（ DDOS） ? 以破壞系統(tǒng)或網(wǎng)絡的可用性為目標 ? 常用的工具： ? Trin00, ? TFN/TFN2K, ? Stacheldraht ? 很難防范 ? 偽造源地址，流量加密，因此很難跟蹤 client target handler ... agent ... DoS ICMP Flood / SYN Flood / UDP Flood 北郵信息安全中心 DDoS攻擊網(wǎng)絡結構圖 客戶端 客戶端 主控端 主控端 主控端 主控端 代理端 代理端 代理端 代理端 代理端 代理端 代理端 代理端 北郵信息安全中心 分布式拒絕服務攻擊步驟 1 Scanning Program 不安全的計算機 Hacker 攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。雖然掃描所用的時間較長，但是這是一種較難發(fā)現(xiàn)的掃描 北郵信息安全中心 高級掃描技術－亂序掃描 ? 普通的掃描器在掃描遠程系統(tǒng)的端口時，對端口掃描的順序是有序的，這種按照一定的順序掃描端口的方式很容易被入侵檢測系統(tǒng)發(fā)覺。然后入侵者才能針對這些服務進行相應的攻擊。 方法一：蠻力攻擊法 北郵信息安全中心 方法二 解密破譯法 ?首先奪取目標中存放口令的文件 shadow或 passwd ?現(xiàn)代的 Unix操作系統(tǒng)中 ,用戶的基本信息存放在 passwd文件中 ,而所有的口令則經(jīng)過 DES加密方法加密后專門存放在一個叫 shadow(影子 )的文件中 ?老版本的 Unix沒有 shadow文件 ,它所有的口令都存放在 passwd文件中 ?用專解 DES加密法的程序來解口令 北郵信息安全中心 特洛伊木馬基本原理及分類 ?遠程控制類 ?輸出 shell類 ?信息竊取類 北郵信息安全中心 特洛伊木馬植入方式 利用系統(tǒng)漏洞安裝 電子郵件或其他網(wǎng)絡聯(lián)系工具傳播 手工放置 北郵信息安全中心 特洛伊木馬發(fā)展趨勢 ?跨平臺性 ?模塊化設計 ?與病毒技術的結合 北郵信息安全中心 漏洞掃描 系統(tǒng)信息收集 掃描目的 遠程操作系統(tǒng)識別 網(wǎng)絡結構分析 其他敏感信息收集 漏洞檢測 錯誤的配置 系統(tǒng)安全漏洞 弱口令檢測 北郵信息安全中心 掃描類型－地址掃描 Ping Reply 北郵信息安全中心 掃描類型－端口掃描 主機可使用的端口號為 0～ 65535，前 1024個端口是保留端口，這些端口被提供給特定的服務使用。通過一些程序，自動地從計算機字典中取出一個單詞，作為用戶口令輸入給遠端的主機，嘗試進入系統(tǒng)。先用 “ finger 遠端主機名”或其他方法找出主機上的用戶帳號，然后就采用蠻力攻擊法和解密破譯法進行攻擊。 物理安全 北郵信息安全中心 3. 常用攻擊及防護手段 ?漏洞掃描 ?特洛伊木馬 ?網(wǎng)絡嗅探（ Sniffer）技術 ?拒絕服務和分布式拒絕服務 ?竊取口令 ?欺騙技術 ?緩沖區(qū)溢出 北郵信息安全中心 緩沖區(qū)溢出 ? 什么是緩沖區(qū)溢出？ 簡單地說，緩沖區(qū)溢出就是向堆棧中分配的局部數(shù)據(jù)塊中寫入了超出其實際分配大小的數(shù)據(jù)，導致數(shù)據(jù)越界，結果覆蓋了原先的堆棧數(shù)據(jù) ? 緩沖區(qū)溢出可以使得主機系統(tǒng)癱瘓；可以獲取系統(tǒng)的登錄賬號；可以獲得系統(tǒng)的超級用戶權限。特點是：可控性強，損失也大，管理性強。解決方案是： 狀態(tài)檢測，報警確認，應急恢復 等。 ? 電磁泄漏（如偵聽微機操作過程），產(chǎn)生信息泄漏，干擾他人，受他人干擾，乘機而入（如進入安全進程后半途離開），痕跡泄露（如口令密鑰等保管不善，易于被人發(fā)現(xiàn)）。 ? 人為行為，比如使用不當，安全意識差等； ? “ 黑客 ” 行為：由于黑客的入侵或侵擾，比如非法訪問、拒絕服務、計算機病毒、非法連接； ? 內部泄密； ? 外部泄密； ? 信息丟失； ? 電子諜報，比如信息流量分析、信息竊取等； ? 信