1、網絡安全與病毒防范 第一章 信息安全概述 主講人：盛建軍課程信息o 上課地點：信7208o 上課時間：周三、周四o 課程考核方法：o 1.期末考試成績：60%o 2.平時考勤：20%o 3.作業：20%課程綜述o 課程內容：本課程以分析計算機網絡面臨的安全威脅為起點，闡述了常用的網絡安全技術，首先介紹主流網絡安全產品和常用網絡安全策略，并著重強調內容安全（防病毒）在網絡安全中的重要地位。隨后，著重介紹病毒及病毒防護相關知識，并就目前業界最先進的病毒防護理念展開深入說明。課程涉及內容o 1.計算機網絡面臨的安全威脅o 2.常用的計算機網絡安全技術o 3.主要的網絡安全產品類型o 4.企業網絡安全

2、策略o 5.病毒，惡意代碼與垃圾郵件的基礎知識o 6.計算機病毒的危害與防范措施o 7.病毒的發展趨勢o 8.傳統病毒防范技術的不足o 9.趨勢科技企業防護戰略課程目標o 本課程的目標是提高學員的網絡安全意識和病毒防范水平，使學員熟悉基本的網絡安全理論知識和常用網絡安全產品，了解部署整個網絡安全的防護系統和策略的方法，尤其是病毒防護的相關策略。在此基礎上，讓學員充分了解病毒防范的重要性和艱巨性，了解“內部人員的不當使用”和“病毒”是整個網絡系統中最難對付的兩類安全問題。課程內容o 1.基本的網絡弱點o 2.安全技術原理o 3.各類安全技術的產品及實現方式o 4.內容安全（防病毒）的難度及在網絡

3、安全中日益重要的地位o 5.病毒防范技術和病毒防護體系的實施第一章:信息安全概述o 本章摘要：o 1.信息安全威脅o 2.信息安全弱點o 3.信息安全定義o 4.安全網絡基本特征o 5.信息安全體系結構o 6.操作系統的安全級別信息安全背景o 1.2007年，“ARP欺騙”病毒肆虐，國內某著名高校百余宿舍網絡端口被封，只因內網有電腦感染l了病毒，導致所有用戶網頁掛馬攻擊。o 2.2008年，美國東海岸連鎖超市（East Coast）的母公司Haanaford Bros.稱，該超市的用戶數據系統遭到黑客入侵，造成400多萬張銀行卡帳戶信息泄露，因此導致了1800起與銀行卡有關的欺詐事件。o 3.

4、2010年1月12日，占據中國75%市場份額的搜索引擎“百度”突然無法打開，網站下的所有服務、子域名、包括新聞、貼吧、知道、空間等等全部無法訪問。網站遭受黑客攻擊用戶數據泄露手機病毒o 由于大多數手機都能夠收發短信，而且智能手機操作系統越來越普及，這就使它們很容易受到一些病毒的攻擊，而新型手機的使用方式也給病毒的傳播創造了有利條件，當用戶參加約會服務或者玩網絡游戲時，手機就可能傳播惡意代碼。黑客攻擊技術與網絡病毒日益融合o 黑客攻擊技術與網絡病毒日趨融合是目前網絡攻擊的發展趨勢，并且隨著攻擊工具日益先進，攻擊者需要的技能日益下降，網絡受到攻擊的可能性將越來越大。o 融合黑客技術與病毒技術于一身

5、的“新一代主動式惡意代碼”不斷誕生。其特征是：在極短的時間內，利用優化掃描的方法，感染數以萬計的有漏洞的計算機系統，同時，能夠確定并記錄是否被感染，分析掌握受害者信息，為持續的有目的的攻擊建立暢通的渠道，進而實施更為嚴厲的破壞行為。 黑客攻擊技術與網絡病毒日益融合o 大量網絡計算機用戶頭疼不已的Nimda(尼姆達)、CodeRed(紅色代碼)、Founlove.4099、Sircam病毒紛紛粉墨登場，而且破壞力驚人。黑客攻擊技術與網絡病毒日益融合o “蠕蟲病毒”的名稱，很容易讓公眾認為這只是“病毒”的一種，但是權威網絡安全專家指出：網絡蠕蟲病毒，更應該稱為黑客技術與病毒技術融合后形成的“惡意代

6、碼”。o 以紅色代碼為例，感染后的機器的web目錄的scripts下會生成一個root.exe，可以遠程執行任何命令，從而使黑客能夠再次進入。o Funlove病毒開創了在局域網內主動掃描傳播的新方式；Codered病毒開創了利用微軟系統漏洞傳播病毒的先河，而Nimda病毒則綜合了該兩種方式，成為超級病毒。企業內部的網絡攻擊o 盡管企業外部的攻擊可以對企業造成巨大威脅，但企業內部員工的不正確使用和惡意破壞則是一種更加危險的因素。o 統計顯示：來自企業內部的網絡破壞更加危險；o 員工的不正常使用也是企業內部網一個重要的不安全因素。網絡攻擊的主要來源信息安全問題的嚴重性o 1.信息安全隱患到處存在

7、：o 2.信息安全問題造成的巨大損失：信息安全威脅與弱點o 信息安全威脅來自多個方面o 1.物理風險o 2.網絡風險o 3.系統風險o 4.信息風險o 5.應用風險o 6.管理風險o 7.其他風險物理風險o 1.設備防盜，防毀o 2.鏈路老化，人為破壞，被動物咬斷o 3.網絡設備自身故障o 4.停電導致網絡設備無法工作o 5.機房電磁輻射o 6.其他機房電磁輻射機房電磁輻射o 外界電磁輻射對計算機的危害主要是指電磁干擾，即電噪聲干擾，計算機所受的危害程度取決于干擾場強的強度、頻率和自身的電磁敏感度。o 當電子計算機房處在電磁干擾污染區域內，例如機房附近有大功率無線電發射臺、雷達發射臺、電視發射

8、塔、高頻大電流設備等，當它們工作時其空間場強超過一定數值時，則必然對計算機形成嚴重干擾，造成計算機系統工作的失誤。網絡風險o 1.安全拓撲o 2.安全路由o 3.其他安全拓撲安全路由系統風險o 1.自主版權的安全操作系統o 2.安全數據庫o 3.操作系統是否最新補丁或者修正程序o 4.系統配置安全o 5.系統中運行的服務安全o 6.其他安全數據庫o 我們所說的安全數據庫通常是指在具有關系型數據庫一般功能的基礎上，提高數據庫安全性，達到美國TCSEC和TDI的B1（安全標記保護）級標準，或中國國家標準計算機信息系統安全保護等級劃分準則的第三級（安全標記保護級）以上安全標準的數據庫管理系統。o 數

9、據庫的安全性包括：機密性、完整性和可用性。安全數據庫o 安全數據庫和普通數據庫的重要區別在于安全數據庫在通用數據庫的基礎上進行了諸多重要機制的安全增強，通常包括： o 1.安全標記及強制訪問控制（MAC） o 2.數據存儲加密 o 3.數據通訊加密 o 4.強化身份鑒別 o 5.安全審計 o 6.三權分立等安全機制信息風險o 1.信息存儲安全o 2.信息傳輸安全o 3.信息訪問安全o 4.其他1.信息存儲安全2.信息傳輸安全3.信息訪問安全信息風險o 信息存儲安全：指信息在靜態存儲狀態下的安全。其主要弱點表現在磁盤以外損壞，光盤以外損壞，信息存儲設備被盜從而導致數據丟失和數據無法訪問o 信息傳

10、輸安全：指信息在動態傳輸過程中的安全。其主要弱點表現在諸如黑客的搭線竊聽等從而導致信息泄露和信息被篡改o 信息訪問安全：指信息是否會被非授權調用（訪問）等。其主要弱點表現在諸如信息被非法訪問從而導致信息被越權訪問和信息被非授權訪問應用風險o 1.身份鑒別o 2.訪問授權o 3.機密性o 4.完整性o 5.不可否認性o 6.可用性應用風險o CIA模型：計算機安全的三個中心目標o 機密性：信息不泄露給非授權的用戶、實體或者過程。o 完整性：信息在存儲或者傳輸過程中保持不被修改，不被破壞和不被丟失。o 可用性：當需要時能否存取可用的信息。管理風險o 1.是否制訂了健全、完善的信息安全制度o 2.是

11、否成立了專門的機構來規范和管理信息安全。網絡安全管理制度 o 第一條第一條 安全教育與培訓 o 第二條第二條 病毒檢測和網絡安全漏洞檢測 o 第三條第三條 電子公告系統的用戶登記和信息管理 o 第四條第四條 網絡安全管理員崗位職責 o 第五條第五條 網絡違法案件報告和協助查處 o 第六條第六條 網絡帳號使用登記和操作權限 o 第七條第七條 信息發布、審核與登記 其他風險o 1.計算機病毒o 2.黑客攻擊o 3.誤操作導致數據被刪除、修改等o 4.其他沒有想到的風險信息系統的弱點o 1.系統存在安全方面的脆弱性：現有的操作系統都存在種種安全隱患，從Unix到windows，無一例外。每一種操作系

12、統都存在已被發現的，潛在的各種安全隱患o 2.非法用戶得以獲得訪問權o 3.合法用戶未經授權提高訪問權限o 4.系統易受來自各方面的攻擊常見的漏洞o 1.網絡協議的安全漏洞o 2.操作系統的安全漏洞o 3.應用程序的安全漏洞漏洞造成的危害等量級o 1.A級漏洞：允許惡意入侵者訪問并可能破壞整個目標系統的漏洞o 2.B級漏洞：允許本地用戶提高訪問權限，并可能使其獲得系統控制的漏洞o 3.C級漏洞：允許用戶中斷、降低或者阻礙系統操作的漏洞。o 對系統危害最嚴重的是A級漏洞，其次是B級漏洞，C級漏洞是對系統正常工作進行干擾A級漏洞o 1.A級漏洞：它是允許惡意入侵者訪問并可能會破壞整個目標系統的漏洞

13、，如，允許遠程用戶未經授權訪問的漏洞。A級漏洞是威脅最大的一種漏洞，大多數A級漏洞是由于較差的系統管理或配置有誤造成的。同時，幾乎可以在不同的地方，在任意類型的遠程訪問軟件中都可以找到這樣的漏洞。如:FTP，GOPHER，TELNET，SENDMAIL，FINGER等一些網絡程序常存在一些嚴重的A級漏洞。B級漏洞o 2.B級漏洞：它是允許本地用戶提高訪問權限，并可能允許其獲得系統控制的漏洞。例如，允許本地用戶(本地用戶是在目標機器或網絡上擁有賬號的所有用戶，并無地理位置上的含義)非法訪問的漏洞。網絡上大多數B級漏洞是由應用程序中的一些缺陷或代碼錯誤引起的。 SENDMAIL和TELNET都是典

14、型的例子。因編程缺陷或程序設計語言的問題造成的緩沖區溢出問題是一個典型的B級安全漏洞。據統計，利用緩沖區溢出進行攻擊占所有系統攻擊的80%以上C級漏洞o 3.C級漏洞：它是任何允許用戶中斷、降低或阻礙系統操作的漏洞。如，拒絕服務漏洞。拒絕服務攻擊沒有對目標主機進行破壞的危險，攻擊只是為了達到某種目的，對目標主機進行故意搗亂。最典型的一種拒絕服務攻擊是SYN-Flooder，即入侵者將大量的連接請求發往目標服務器，目標主機不得不處理這些“半開”的SYN，然而并不能得到ACK回答，很快服務器將用完所有的內存而掛起，任何用戶都不能再從服務器上獲得服務。 。安全漏洞產生的原因o 1.系統和軟件設計存在

15、缺陷，通信協議不完備。如TCP/IP協議就有很多漏洞。o 2.技術實現不充分。如很多緩存溢出方面的漏洞就是是現實時缺少必要的檢查。o 3.配置管理和使用不當也能產生安全漏洞。如口令過于簡單，很容易被黑客猜中。Internet服務的安全漏洞o 網絡引用服務：在網絡上所開放的一些服務，常見的有Web，Mail，FTP，DNS，Telnet等，這些服務都存在漏洞。7o 電子郵件：冒名信件，匿名信，大量涌入的信件o FTP：病毒威脅，地下站點信息安全的定義o 信息：信息是通過在數據上施加某些約定而賦予這些數據特殊意義。o 信息安全：信息安全的任務就是要采取措施（技術手段及有效管理）使這些信息資產免受威

16、脅，或者將威脅帶來的后果降低到最低程度，以此維護組織的正常運作。o 凡是涉及保密性、完整性、可用性、可追溯性、真實性和可靠性保護等方面的技術和理論，都是信息安全研究的范疇和實現的目標。信息安全體系結構o 建立信息安全體系需要：o 1.計劃（Plan）：根據業務的需要，法律法規的要求以及風險評估的結果制定符合企業自身特點的計劃。o 2.執行（Do）：根據計劃選擇相應的安全產品，安全技術加以落實。o 3.檢查（Check）：時刻檢查安全策略的執行情況，發現存在的問題，并提出改進措施。o 4.改進措施（Action）：執行改進措施。信息安全體系結構實施檢查o計劃信息安全風險評估o 風險評估是建立安防

17、體系過程中及其關鍵的一步，它連接著安防重點和商業需求。它揭示了關鍵性商業活動對資源的保密性、集成性和可用性等方面的影響。信息安全風險評估o 網絡系統現狀分析是指對網絡的現狀進行分析，主要包括：o 1.網絡的拓撲結構o 2.網絡中的應用o 3.網絡結構的自身特點o 在充分分析了信息安全存在的風險之后，通常還要對風險進行處理，結果有以下三種o 1.消除風險：采取一個措施徹底消除一個威脅o 2.減輕風險：通過某種安防措施減輕威脅的危害o 3.轉移風險：把風險的后果從自己的企業轉移到第三方信息安全方案設計原則o 1.木桶原則：用木桶來裝水，如果組成木桶的木板參差不齊，那么他能盛水的容量不是由最長的板子

18、決定，而是由最短的板子決定，因此又稱為“短板效應”信息安全方案設計原則o 信息安全設計方方面面，無論哪個方面薄弱都會給整體安全帶來隱患。如果只重視技術實施而不重視管理、安全制度的建設和員工安全意識，是很難保證信息安全的。信息安全方案設計原則o 2.多重保護原則：信息安全防護體系是一個系統工程，在面對復雜的網絡攻擊時，需要將多種防護手段有機地相結合，構成多層次的防護體系。o 這些手段包括：防病毒、入侵檢測、訪問控制、虛擬專用網、防火墻、漏洞評估等。信息安全方案設計原則信息安全方案設計原則o 3.注意安全層次和安全級別：對于信息安全來說，威脅和風險往往和高價值的信息資產聯系在一起，安全保衛工作也應

19、該將重點放在高價值的信息資產上面。通過風險評估，高價值的信息資產就是業務依賴的信息系統，包括軟件，硬件和人員。信息安全方案設計原則o 動態化原則：100%安全的網絡是不存在的。信息安全防御系統是個動態的系統，攻防技術都在不斷發展，安防系統必須同時發展與更新。安防工作是一個循序漸進，不斷完善的過程。信息安全方案設計原則o 1.系統內部盡可能多的引進可變因素，同時使其具有良好的可擴展性o 2.設計為本的原則o 3.自主和可控的原則o 4.權限分割，互相制約和最小化原則o 5.有的放矢，各取所需的原則預防為主的原則o 冰山理論：一座浮在海面上的冰山，露在水面上的只是其10%，另外90%是看不見的。要

20、想消除一起嚴重的事件，就必須像發現并回避水面下的冰山那樣，把事故隱患控制住并消滅在萌芽狀態。o 信息安全工作的重點，不僅僅放在對各種事故的應急處理上，而應該及早發現隱患和威脅，積極預防，防患于未然。o 三不放過：o 1.當事人未受教育不放過o 2.根本原因未查明不放過o 3.整改措施未落實不放過信息安全控制措施o 安全控制措施：安全網絡的建設者應針對前面設計中提出的各項安全需求，提出可行的安全解決方案。一般安全網絡設計項目均會設計以下的安全需求。ISO 17799標準中定義了信息安全管理體系的11個領域：o 1.安全策略o 2.信息安全組織o 3.信息資產管理信息安全控制措施o 4.人力資源安全o 5.物理環境安全o 6.通信與運行管理o 7.系統開發與維護o 8.訪問控制o 9.信息安全應急處理o 10.業務連續性o 11.法規依從性信息安全控制措施o 選擇安全技術：o 1.防火墻技術o 2.加密技術o 3.鑒別技術o 4.數字簽名技術o 5.入侵檢測技術o 6.審計監控技術o 7.病毒防治技術o 8.備份與恢復技術信息安全控制措施o