【正文】 ? 有 CheckPoint 防火墻，但防火墻行同虛設 ? 主機上沒有作過多配置，存在大量的服務 ? 安裝了 pcAnywhere遠程控制軟件 現(xiàn)象 案例一：某電子商務網站 案例一的教訓 ? 在遭到黑客攻擊后應采取的措施 – 關鍵數(shù)據的備份 – 主機日志檢查與備份 – 主機的服務端口的關閉 – 主機可疑進程的檢查 – 主機帳號的修改 – 防火墻的策略修改 – 啟用防火墻日志詳細記錄 – 避免使用的危險進程 – 利用 Disk Recovery技術對硬盤數(shù)據進行恢復 ? 遭到黑客 DDoS攻擊 ? 服務器被癱瘓，無法提供正常的服務 ? 來源地址有 3000多個，多數(shù)來自與國內 ? 有一部分攻擊主機是電信內部的 IP地址 案例二：中國電信信息港 ? 加強對骨干網設備的監(jiān)控 ? 減少骨干網上主機存在的漏洞 ? 在受到攻擊時，迅速確定來源地址，在路由器和防火墻上作一些屏蔽 ? 實現(xiàn) IDS和防火墻的聯(lián)動 案例二的教訓 信息安全意味著平衡 ? 找出適當?shù)陌踩云胶恻c是一件棘手的、卻完全必要的事 ? 只有從兩個極端對組織機構的安全風險進行恰當評估后才可能做到。 ?信息泄漏或丟失 ? 敏感數(shù)據在有意或無意中被泄漏出去或丟失 ?破壞數(shù)據完整性 ? 以非法手段竊得對數(shù)據的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應 ? 惡意添加，修改數(shù)據，以干擾用戶的正常使用 信息網絡中存在的威脅 ?拒絕服務攻擊 不斷對網絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統(tǒng)或不能得到相應的服務。 DDOS防范 ? DDOS防范： – 網絡中所有的系統(tǒng)都要安全的配置，不使之成為 DDOS的源； – 路由器 /防火墻配置：過濾偽造源地址的 IP 包 – 檢測工具： find_ddosv3 ddos_scan、 rid 信息網絡中存在的威脅 ?利用網絡傳播病毒 通過網絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。 ? 缺乏有效的手段監(jiān)視、評估網絡的安全性； ? TCP/IP協(xié)議族軟件本身缺乏安全性； ? 電子郵件病毒、 Web頁面中存在惡意的 Java/ActiveX控件； ? 應用服務的訪問控制、安全設計存在漏洞。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。 源地址欺騙（ Source address spoofing）或 IP欺騙（ IP spoofing）。 路由選擇信息協(xié)議攻擊（ RIP Attacks）。 TCP序列號欺騙（ TCP Sequence number spoofing）。 易欺騙性（ Ease of spoofing）。 – 操作系統(tǒng)與網絡管理的相對性。 Complexity of Security Operational Capability 2022 Today 安全技術演變 加密 采用 漏洞 掃描 工具 選擇 會用 的 方式 入侵 獲取 系統(tǒng) 一定 權限 提 升 為 最 高 權 限 安裝 系統(tǒng) 后門 獲取敏感信息 或者 其他攻擊目的 入侵系統(tǒng)的常用步驟 端口 判斷 判斷 系統(tǒng) 選擇 最簡 方式 入侵 分析 可能 有漏 洞的 服務 獲取 系統(tǒng) 一定 權限 提 升 為 最 高 權 限 安裝 多個 系統(tǒng) 后門 清除 入侵 腳印 攻擊其 他系統(tǒng) 獲取敏 感信息 作為其 他用途 較高明的入侵步驟 一些經典的結論 ? 公理 1 摩菲定理 所有的程序都有缺陷。 ? 證明：通過調查統(tǒng)計。 ? 定理 2 只要不運行這個程序，那么這個程序是否有缺陷，也無關緊要。 ? 推理 2 1 只要不運行這個程序，即使這個程序有安全性漏洞，也無關緊要。 ? 證明：直接從推理 1 1和推理 2 1導出。因此，唯一的解決辦法是將真正希望運行的程序隔離在網絡邊界的另一邊。 ?網絡安全：主要考慮網絡上主機之間的訪問控制，防止來自外部網絡的入侵，保護數(shù)據在網上傳輸時不被泄密和修改 ?其最常用的方法是防火墻、加密等。通過對 IP地址、協(xié)議、端口號的識別，能方便地實現(xiàn)包過濾功能 傳輸層 安全 ? 是實現(xiàn)加密傳輸?shù)氖走x層。通過對主機所提供服務的應用協(xié)議的分析，可以知道網絡訪問的行為，并根據用戶設置的策略判斷該行為在當前環(huán)境下是否允許；另外，可附加更嚴格的身份認證 主機網絡安全技術存在問題 ?由于主機安全和網絡安全考慮問題的立腳點不同，它們各自采用的技術手段難以有機地結合起來，因此對于一些需要兩者協(xié)同處理才能解決的問題，就不能得到有效的解決。 主機網絡安全系統(tǒng)體系結構 用 戶非 用 戶級 訪 問外 部 資 源安全檢查/加解密規(guī) 則 集用 戶 認證 模 塊合 法用 戶外 部 資 源訪 問 控 制內 部資 源訪 問控 制用 戶 級 服務 資 源非 用 戶 級服 務 資 源系 統(tǒng) 資 源控 制 文 件用 戶 資 源控 制 文 件外 部 網 絡 訪 問 主 機 網 絡 安 全 層 系 統(tǒng) 資 源主機網絡安全系統(tǒng)體系結構 ? 安全檢查模塊：承擔了防火墻的任務，它對進出的包進行過濾，另外，還可以實現(xiàn)加密／解密 ? 用戶認證模塊：對于必要的應用可以提供比操作系統(tǒng)提供的口令認證更高安全性的認證 主機網絡安全系統(tǒng)體系結構 ? 內部資源訪問控制：主要是對網絡用戶的權限進行控制、進行細致的分類控制，跟蹤并及時阻止非法行為，防止用戶利用系統(tǒng)的安全漏洞所進行的攻擊 ? 外部資源訪問控制：是控制用戶對系統(tǒng)之外網絡資源的使用 主機網絡安全技術存在問題 如何將防火墻模塊與操作系統(tǒng)配合起來協(xié)同工作，是主機網絡安全技術的難點 ?解決問題的途徑有： ?（ 1）將主機網絡安全系統(tǒng)內置在操作系統(tǒng)中，這是最徹底的解決辦法，但依賴于操作系統(tǒng)廠商； ?（ 2）修改網絡協(xié)議棧（插入防火墻模塊）和網絡服務器軟件（引入細粒度控制），此方法實用性強，易操作，并且系統(tǒng)易于移植，但是修改工作量較大； ?（ 3）修改主機系統(tǒng)函數(shù)庫中的相關系統(tǒng)調用，引入安全控制機制，如果能夠獲得系統(tǒng)調用的充分信息，此方法可用，但操作系統(tǒng)依賴性較大。 信息與網絡安全組件 ? 信息整體安全是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網絡監(jiān)控、安全掃描、信息審計、通信加密、災難恢復、網絡反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能 防火墻 ?防火墻通常被比喻為網絡安全的大門，用來鑒別什么樣的數(shù)據包可以進出企業(yè)內部網。但防火墻無法阻止和檢測基于數(shù)據內容的黑客攻擊和病毒入侵，同時也無法控制內部網絡之間的違規(guī)行為 防火墻 加密 對稱加密 :使用同一個字符串加密和解密數(shù)據 非對稱加密：使用一對密鑰加密解密數(shù)據 HASH散列算法：用 HASH函數(shù)把信息混雜，使其不可恢復原狀 訪問控制 強制訪問控制（ Mandatory access control） 系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，用戶不能改變他們的安全級別或對象的安全屬性。強制訪問控制進行了很強的等級劃分，所以經常用于軍事用途。通常 DAC通過授權列表（或訪問控制列表）來限定哪些主體針對哪些客體可以執(zhí)行什么操作。由于其易用性與可擴展性，自主訪問控制機制經常被用于商業(yè)系統(tǒng)。當然，掃描器無法發(fā)現(xiàn)正在進行的入侵行為，而且它還有可能成為攻擊者的工具 掃描器 掃描器 防毒軟件 ?防毒軟件是最為