计算机网络安全第5章网络安全处理PPT课件
合集下载
第5章 网络攻击与防范-计算机信息安全技术(第2版)-付永钢-清华大学出版社
• 复杂主机扫描技术
– (1)异常的IP包头; – (2)IP头中设置无效的字段值; – (3)错误的数据分片; – (4)反向映射探测。
第五章 网络攻击与防范
5.3.2 端口扫描技术
1.TCP connect 扫描
最基本的TCP扫描,操作系统提供的connect()系统调 用,用来与每一个目标计算机的端口进行连接。如果端口 处于侦听状态,那么connect()就能成功。否则,该端 口是不能用的,即没有提供服务。
• 莫里斯病毒就是利用这一点,给互联网造成巨大的危害。
第五章 网络攻击与防范
近10年安全漏洞发布趋势
8000 6000 4000
491765816448来自56015718
4617
4112
4894
4872
5391
7166 5299
2000
0 2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
第五章 网络攻击与防范
5.1 网络攻击概述与分类
– 网络攻击目的
• 炫耀自己的技术; • 赚钱; • 窃取数据; • 报复; • 抗议或宣示。
第五章 网络攻击与防范
5.1 网络攻击概述与分类
• 常用的攻击方法
– 窃听 – 欺骗 – 拒绝服务 – 数据驱动攻击
第五章 网络攻击与防范
优势: • 没有权限限制 • 速度快
缺陷: • 容易暴露
第五章 网络攻击与防范
2.TCP SYN扫描
第一步:客户机发送SYN包给服务器
第二步:服务器发送SYN|ACK包给客户机
– (1)异常的IP包头; – (2)IP头中设置无效的字段值; – (3)错误的数据分片; – (4)反向映射探测。
第五章 网络攻击与防范
5.3.2 端口扫描技术
1.TCP connect 扫描
最基本的TCP扫描,操作系统提供的connect()系统调 用,用来与每一个目标计算机的端口进行连接。如果端口 处于侦听状态,那么connect()就能成功。否则,该端 口是不能用的,即没有提供服务。
• 莫里斯病毒就是利用这一点,给互联网造成巨大的危害。
第五章 网络攻击与防范
近10年安全漏洞发布趋势
8000 6000 4000
491765816448来自56015718
4617
4112
4894
4872
5391
7166 5299
2000
0 2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
第五章 网络攻击与防范
5.1 网络攻击概述与分类
– 网络攻击目的
• 炫耀自己的技术; • 赚钱; • 窃取数据; • 报复; • 抗议或宣示。
第五章 网络攻击与防范
5.1 网络攻击概述与分类
• 常用的攻击方法
– 窃听 – 欺骗 – 拒绝服务 – 数据驱动攻击
第五章 网络攻击与防范
优势: • 没有权限限制 • 速度快
缺陷: • 容易暴露
第五章 网络攻击与防范
2.TCP SYN扫描
第一步:客户机发送SYN包给服务器
第二步:服务器发送SYN|ACK包给客户机
信息安全培训讲义(PPT37页).pptx
• 网络监听是局域网中的一种黑客技术,在这种模式下, 主机可以接收到本网段在同一条物理通道上传输的所 有信息。
• 木马是隐藏在电脑中进行特定工作或依照黑客的操作 来进行某些工作的程序。
• 漏洞是系统中的安全缺陷。漏洞可以导致入侵者获取 信息并导致非法访问。例如Windows、Office、IE、 IIS等产品中都存在漏洞。
Page 21
5.杀毒软件与防火墙
(2)启动杀毒扫描程序 360杀毒具有“智巧模式”和“专业模式”双模式切换功 能。
Page 22
5.杀毒软件与防火墙
(2)启动杀毒扫描程序(续) 单击【快速扫描】按钮,即进入病毒查杀状态,快速扫 描系统盘区、内存、注册表、文件系统、局域网共享文件夹 等病毒敏感区域。
蠕虫病毒
Page 8
• 网络蠕虫是利用网络进行复制和传播的计算机 病毒。它的传播速度相当惊人,成千上万的机 器感染病毒造成众多的邮件服务器先后崩溃, 给人们带来难以弥补的损失。
2. 计算机病毒
曾经肆虐网络的“熊猫烧香”病毒,是一种经过多次变种的蠕虫病毒。 感染后的文件图标变成“熊猫烧香”图案。
Page 9
• 文件型病毒主要感染可执行文件,常常通过 对它们的编码加密或其他技术隐藏自己。文 件型病毒劫夺用来启动主程序的可执行命令, 用作它自身的运行命令。同时还经常将控制 权还给主程序,伪装计算机系统正常。一旦 运行感染了病毒的程序文件,病毒便被激发, 执行大量操作,进行自我复制。
Page 7
2. 计算机病毒
Page 16
Page 17
信息安全概述 计算机病毒
黑客与网络安全 如何预防互联网诈骗
杀毒软件与防火墙
内容提要
5.杀毒软件与防火墙
Page 18
• 木马是隐藏在电脑中进行特定工作或依照黑客的操作 来进行某些工作的程序。
• 漏洞是系统中的安全缺陷。漏洞可以导致入侵者获取 信息并导致非法访问。例如Windows、Office、IE、 IIS等产品中都存在漏洞。
Page 21
5.杀毒软件与防火墙
(2)启动杀毒扫描程序 360杀毒具有“智巧模式”和“专业模式”双模式切换功 能。
Page 22
5.杀毒软件与防火墙
(2)启动杀毒扫描程序(续) 单击【快速扫描】按钮,即进入病毒查杀状态,快速扫 描系统盘区、内存、注册表、文件系统、局域网共享文件夹 等病毒敏感区域。
蠕虫病毒
Page 8
• 网络蠕虫是利用网络进行复制和传播的计算机 病毒。它的传播速度相当惊人,成千上万的机 器感染病毒造成众多的邮件服务器先后崩溃, 给人们带来难以弥补的损失。
2. 计算机病毒
曾经肆虐网络的“熊猫烧香”病毒,是一种经过多次变种的蠕虫病毒。 感染后的文件图标变成“熊猫烧香”图案。
Page 9
• 文件型病毒主要感染可执行文件,常常通过 对它们的编码加密或其他技术隐藏自己。文 件型病毒劫夺用来启动主程序的可执行命令, 用作它自身的运行命令。同时还经常将控制 权还给主程序,伪装计算机系统正常。一旦 运行感染了病毒的程序文件,病毒便被激发, 执行大量操作,进行自我复制。
Page 7
2. 计算机病毒
Page 16
Page 17
信息安全概述 计算机病毒
黑客与网络安全 如何预防互联网诈骗
杀毒软件与防火墙
内容提要
5.杀毒软件与防火墙
Page 18
计算机与网络安全基础
嘎吱上尉
1943年出生于美国乡村的德拉浦,从小就表现出了极强 的反叛性格,这样的性格决定了日后他那特立独行的骇 客面目。不过尽管他的个性孤辟,但是他却拥有了一个 异常发达的大脑,这使他常常可以比别人更快地获得新 的知识。上世纪60年代初期,德拉浦开始接触到计算机 这个新生的事物,尽管当时的计算机还只是个庞大、繁 杂、呆板的家伙,但是这已经足以令德拉浦迷恋得如痴 如醉了。
15
迷失在网络世界的小男孩
凯文· 米特尼克是第一个在美国联邦调查局通缉海报上 露面的黑客。由于当时的他只有十几岁,因此被称为 是“迷失在网络世界的小男孩”。
16
蠕虫病毒的创始人
罗伯特· 莫里斯,这位美国国家计算机安全中心首席科学 家的儿子,康奈尔大学的高材生,在1988年的第一次工 作过程中戏剧性地散播了有史以来的第一条网络蠕虫病 毒。在这次事故中,成千上万台电脑受到了影响,并导 致了部分电脑崩溃。
13
Linux并不是一件刻意创造的杰作,而完全 是日积月累的结果。它是经验、创意和一 小块一小块代码的合成体,是不断的积累 使其形成了一个有机的整体。Linux初期的 许多编程工作是托瓦兹在Sindair QL机器上 完成的,这台机器花掉了他2000多美元, 对他来说这可是一笔巨额投资。
14
19
漏洞扫描 网络嗅探 计算机病毒 特洛伊木马 DoS和DDoS 密码恢复和破解 网络应用攻击 无线攻击
20
1.3.2 用户必备的防护意识和措施
为了加强网络安全,用户必须具备相应的 防护意识和采用各种可能的措施。下面介 绍一些较为常用的防护方法和措施。
计算机网络技术与应用第5章
图5-2 中继器的连接示意图
第5章 网络互联与广域网
5.2.2 网桥
网桥也称桥接器,它是数据链路层上的局域网之间的 互联设备。网桥的功能是负责在数据链路层上实现数据帧 的存储转发和协议转换,用来实现多个网络系统之间的数
据交换。网桥的作用是扩展网络的距离,并通过过滤信息
流减轻网络的负担。图5-3为网桥的连接示意图。
第5章 网络互联与广域网
第5章 网络互联与广域网
5.1 网络互联概述 5.2 网络互联设备 *5.3 广域网简介 习题5 0
第5章 网络互联与广域网
5.1 网络互联概述
5.1.1 网络互联的概念
网络互联就是利用网络互联设备,将分布在不同
地域上的计算机网络相连接,以构成更大的计算机网
络系统,其目的在于实现处于不同网络上的用户间相 互通信和相互交流,以实现更大范围的数据通信和资 源共享。
(1) 传输速率较快,在没有ISDN时,人们使用调制解调
域网由一些节点交换机(也称通信处理机)以及连接这些交换 机的链路(通信线路和设备)组成,传输距离没有限制。广域 网的节点交换机实际上就是配置了通信协议的专用计算机, 是一种智能型通信设备。
第5章 网络互联与广域网
1.广域网的结构
广域网分为通信子网与资源子网两部分,广域网的通
信子网主要由节点交换机和连接这些交换机的链路组成。
1.公用电话交换网
公用电话交换网(Public Switch Telephone Network,
PSTN)即日常生活中的电话网,是一种以模拟技术为基础的
电路交换网络,其特点是通信资费低、数据传输质量差、 传输速率低、网络资源利用率低等。
第5章 网络互联与广域网
2.综合业务数字网
计算机网络安全第五章入侵检测技术课件
1994年,Mark Crosbie和Gene Spafford建 议使用自治代理(autonomous agents)以提 高IDS的可伸缩性、可维护性、效率和容错性, 该理念非常符合计算机科学其他领域(如软 件代理,software agent)正在进行的相关研 究。另一个致力于解决当代绝大多数入侵检 测系统伸缩性不足的方法于 1996 年提出,这 就是 GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统 可以方便地检测大规模自动或协同方式的网 络攻击。
5.2.2误用检测(MisuseDetection)
误用检测是按照预定模式搜寻事件数据的, 最适用于对已知模式的可靠检测。执行误用 检测,主要依赖于可靠的用户活动记录和分 析事件的方法。 1.条件概率预测法 条件概率预测法是基于统计理论来量化全部 外部网络事件序列中存在入侵事件的可能程 度。
2.产生式/专家系统 用专家系统对入侵进行检测,主要是检测 基于特征的入侵行为。所谓规则,即是知识, 专家系统的建立依赖于知识库的完备性,而 知识库的完备性又取决于审计记录的完备性 与实时性。 产生式/专家系统是误用检测早期的方案之 一,在MIDAS、IDES、NIDES、DIDS和 CMDS中都使用了这种方法。
1990年,Heberlein等人提出了一个具有里 程碑意义的新型概念:基于网络的入侵检 测——网 络 安 全 监 视 器 NSM(Network Security Monitor)。1991年,NADIR (Network Anomaly Detection and Intrusion Reporter) 与 DIDS(Distribute Intrusion Detection System)提出了通过收集和合并 处理来自多个主机的审计信息可以检测出一 系列针对主机的协同攻击。
沈鑫剡编著(网络安全)教材配套课件第5章(10页)
计算机网络安全
3.证书和私钥证书可以证明主体x与公钥PK之间的绑定关系,如果主体x能够证明自己知道与公钥PK对应的私钥SK,就能证明自己是主体x。
网络安全基础
三、单向鉴别过程
1.基于共享密钥主体A只需证明自己知道共享密钥K,即可证明自己身份。
计算机网络安全
网络安全基础
三、单向鉴别过程
2.基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(1) PPP帧结构
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(2)用户身份鉴别协议用用户名和口令标识用户身份;身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令;CHAP防止泄露口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
2.基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令,还需对方证明知道该用户名对应的口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
3.基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明,且用户A和用户B能够证明自己知道公钥对应的私钥。
计算机网络安全
网络安全基础
三、单向鉴别过程
3.基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
1.基于共享密钥每一方不仅需要证明自己知道共享密钥,还需证明对方知道共享密钥。
3.证书和私钥证书可以证明主体x与公钥PK之间的绑定关系,如果主体x能够证明自己知道与公钥PK对应的私钥SK,就能证明自己是主体x。
网络安全基础
三、单向鉴别过程
1.基于共享密钥主体A只需证明自己知道共享密钥K,即可证明自己身份。
计算机网络安全
网络安全基础
三、单向鉴别过程
2.基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(1) PPP帧结构
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(2)用户身份鉴别协议用用户名和口令标识用户身份;身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令;CHAP防止泄露口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
2.基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令,还需对方证明知道该用户名对应的口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
3.基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明,且用户A和用户B能够证明自己知道公钥对应的私钥。
计算机网络安全
网络安全基础
三、单向鉴别过程
3.基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
1.基于共享密钥每一方不仅需要证明自己知道共享密钥,还需证明对方知道共享密钥。
第5章 网络安全知识与安全组网技术-李文媛
(1)TCP建立连接的三次握手过程:
任何两台计算机Clients和Servers之间欲建立TCP连接,都需 要一个两方都确认的过程,称三次握手,可分解为下图表示:
33
(1)C向S发送SYN,表示想发起一次TCP连接,假定序列号是X; (2)S接到请求后,产生(SYN|ACK)响应,包括:向C发送ACK, ACK的值为X+1,表示数据成功接收,并告知下一次希望接收到 字节的序号是X+1;同时,S向C发送自己的序号,假定为值Y; (3)C向S发送ACK,表示接收到S的回应。这次它的序号值为X+1, 同时它的ACK值为Y+1。 连接开放,C与S可以进行数据传输。
8
5.1 5.2
网络安全问题概述 网络相关知识
5.3
5.4 5.5 5.6
防火墙技术
入侵检测技术
网络常见的攻防技术
案例分析
5.2 网络相关知识与安全组网技术
5.2.1 ISO/OSI七层协议
开放系统互联参考模型OSI/RM(简称OSI):国际标
准化组织ISO于1984年提出的一种标准参考模型。
OSI包括了体系结构、服务定义和协议规范三级抽象。
OSI/RM并非具体实现的描述,它只是一个为制定标
准而提供的概念性框架。
10
5.2 网络相关知识与安全组网技术
5.2.1 ISO/OSI七层协议
OSI/RM采用结构描述方法,即分层描述的方法,将
整个网络的通信功能划分成7个层次,由低层至高层
14
5.2 网络相关知识与安全组网技术
5.2.1 ISO/OSI七层协议
网络安全法ppt课件
10
详解网络安全法的六大方面:
1 《网络安全法》确立了网络安全法的基本原则
网络空间主权原则。 网络安全与信息化发展并重原则。 共同治理原则。
11
详解网络安全法的六大方面:
2 提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全 政策的透明度
3 进一步明确了政府各部门的职责权限,完善了网络安全监管体制 4 《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
THANKS
谢谢观赏
36
适用范围
在中华人民共和国境 内建设、运营、维护 和使用网络,以及网 络安全的监督管理, 适用本法。
目标
国家保护公民、法人和其 他组织依法使用网络的权 利,促进网络接入普及, 提升网络服务水平,为社 会提供安全、便利的网络 服务,保障网络信息依法 有序自由流动。
部门举报
任何个人和组织有权对 危害网络安全的行为向 网信、电信、公安等部 门举报。收到举报的部 门应当及时依法作出处 理;不属于本部门职责 的,应当及时移送有权 处理的部门。
网络DOS 混合威胁(蠕虫+ 病毒+木马) 广泛的系统黑客 攻击
下一代
基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDos 破坏有效负载的病 毒和蠕虫
20世纪80年代
20世纪90年代
今天
未来
6
维护网络安全就是维护自身安全
网络发展,还需要网络安全保驾护航
7
8
中华人民共和国网络安全法
——面向网络时代的“安全伞”
29
06
法律责任
30
法律责任
民事责任 违反《网络安全法》规定,给他人造成损害的,依法承担民事责任。 刑事责任 构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法
详解网络安全法的六大方面:
1 《网络安全法》确立了网络安全法的基本原则
网络空间主权原则。 网络安全与信息化发展并重原则。 共同治理原则。
11
详解网络安全法的六大方面:
2 提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全 政策的透明度
3 进一步明确了政府各部门的职责权限,完善了网络安全监管体制 4 《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
THANKS
谢谢观赏
36
适用范围
在中华人民共和国境 内建设、运营、维护 和使用网络,以及网 络安全的监督管理, 适用本法。
目标
国家保护公民、法人和其 他组织依法使用网络的权 利,促进网络接入普及, 提升网络服务水平,为社 会提供安全、便利的网络 服务,保障网络信息依法 有序自由流动。
部门举报
任何个人和组织有权对 危害网络安全的行为向 网信、电信、公安等部 门举报。收到举报的部 门应当及时依法作出处 理;不属于本部门职责 的,应当及时移送有权 处理的部门。
网络DOS 混合威胁(蠕虫+ 病毒+木马) 广泛的系统黑客 攻击
下一代
基础设施黑客攻击 瞬间威胁 大规模蠕虫 DDos 破坏有效负载的病 毒和蠕虫
20世纪80年代
20世纪90年代
今天
未来
6
维护网络安全就是维护自身安全
网络发展,还需要网络安全保驾护航
7
8
中华人民共和国网络安全法
——面向网络时代的“安全伞”
29
06
法律责任
30
法律责任
民事责任 违反《网络安全法》规定,给他人造成损害的,依法承担民事责任。 刑事责任 构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法
电大-网络实用技术第5章 网络安全
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 • 对系统的攻击范围,可从随便浏览信息到使用特殊
技术对系统进行攻击,以便得到有针对性的、敏感 的信息。
• 这些攻击又可分为被动攻击和主动攻击。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁
• 被动攻击和主动攻击有以下四种具体类型: 窃取(Interception) 攻击者未经授权浏览了信息资源。这
网络安全是一个范围较广的研究领域,人们一般都只是在该 领域中的一个小范围做自己的研究,开发能够解决某种特殊 的网络安全问题方案。比如,有人专门研究加密和鉴别,有 人专门研究入侵和检测,有人专门研究黑客攻击等。网络安 全体系结构就是从系统化的角度去理解这些安全问题的解决 方案,对研究、实现和管理网络安全的工作具有全局指导作 用。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 1.无意威胁
无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息 的完整性。无意威胁主要是由一些偶然因素引起,如软、硬件的 机能失常,人为误操作,电源故障和自是“人为攻击”。由于网络本身存在脆弱性, 因此总有某些人或某些组织想方设法利用网络系统达到某种目的, 如从事工业、商业或军事情报搜集工作的“间谍”,对相应领域 的网络信息是最感兴趣的,他们对网络系统的安全构成了主要威 胁。
5.1.2 计算机网络安全威胁
5.1.2 网络系统的威胁 网络系统面临的威胁主要来自外部的人为影响和
自然环境的影响,它们包括对网络设备的威胁和 对网络中信息的威胁。这些威胁的主要表现有: 非法授权访问,假冒合法用户,病毒破坏,线路 窃听,黑客入侵,干扰系统正常运行,修改或删 除数据等。这些威胁大致可分为无意威胁和故意 威胁两大类。
第5章 网络安全技术
系统设置
1 .启动ARP防火墙后,在如图5-17所示的界面中选择“设置”选项卡,选中“基本 参数设置”。 2 .选中“拦截到攻击时提示”选项。 3 .选中“安全模式”选项。 4 .选中“程序运行后自动保护”选项。 5 .选中“自动最小化到系统栏”选项。 6 .选中“用户登录时自动运行”选项。 7 .单击【确定】按钮完成系统设置。
返回章目录 返回章目录
第5章
网络安全技术
5.2.4 任务四 使用金山毒霸木马专杀工具
返回章目录
第5章
网络安全技术
1.安装金山毒霸木马专杀工具
返回章目录
第5章 网络安全技术 第5章 网络安全技术
安装金山毒霸木马专杀工具 1 .双击金山毒霸木马专杀工具程序,弹出金山毒霸木马专杀工具主界面,如图5-27 所示。 2 .单击【开始扫描】按钮,随即对系统进行木马病毒扫描,如图5-28所示。 3 .病毒扫描结束后,弹出病毒扫描提示对话框。
返回章目录 返回章目录
第5章 网络安全技术 第5章 网络安全技术
即时通讯工具预防措施 1 .提高警惕,切勿随意点击MSN等一些即时通讯工具中给出的链接,确认消息来源, 并克服一定的好奇心理。 2 .提高网络安全意识,不要轻易接收来历不明的文件。 3 .不要随意接收好友发来的文件,避免病毒从即时聊天工具传播进来。 4 .通过即时通讯工具等途径接收的文件前,请先进行病毒查杀。
返回章目录 返回章目录
第5章 网络安全技术 第5章 网络安全技术
管理IP规则 1 .运行天网防火墙个人版。 2 .单击左上方的【IP规则管理】按钮,打开“自定义IP规则”界面,该窗口中显示 了常用应用程序IP规则的设置。对于规则的条目,可以进行排序,删除,修改的操作。 3 .单击【修改】按钮,弹出修改IP规则对话框,根据需要可以适当的修改IP规则设 置。 4 .单击【删除】按钮,可以删除选中的应用程序的IP规则。
网络安全技术培训课件(共43张PPT).ppt
攻击目的 窃取信息;获取口令;控制中间站点;获得超级用户权限等
实例:
✓ 1983年,“414黑客”,6名少年黑客被控侵入60多台电脑 ✓ 1987年,赫尔伯特·齐恩(“影子鹰”),闯入没过电话电报公司 ✓ 1988年,罗伯特·莫里斯“蠕虫程序”,造成1500万到1亿美元的经济损失。 ✓ 1990年,“末日军团”,4名黑客中有3人被判有罪。 ✓ 1995年,米特尼克偷窃了2万个信用卡号,8000万美元的巨额损失。 ✓ 1998年2月,德国计算机黑客米克斯特,使用美国七大网站陷于瘫痪状态
➢ TCP FIN扫描:关闭的端口用正确的RST应答 发送的对方发送的FIN探测数据包,相反,打 开的端口往往忽略这些请求。
➢ Fragmentation扫描:将发送的探测数据包分 成一组很小的IP包,接收方的包过滤程序难以 过滤。
➢ UDP recfrom()和write()扫描
➢ ICMP echo扫描:使用ping命令,得到目标 主机是否正在运行的信息。
信息收集
四、入侵检测过程
在网络系统中的不同网段、不同主机收集系统、网络、数据及用户活动的状态和行为等相关数据
信息分析
匹配模式:将收集到的信息与已知的网络入侵和系统已有的模式数据库进行匹配,进而发现违反安 全策略的行为。
统计分析
首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性。 这个测量属性的平均值将与网络、系统的行为进行比较,是否处于正常 范围之内。
➢ TCP反向Ident扫描: ➢ FTP返回攻击 ➢ UDP ICMP端口不能到达扫描
(2)扫描器
定义
一种自动检测远程或本地主机安全弱点的程序,可以不留痕迹地发现远程服务器的各 种TCP端口的发配及提供的服务。
计算机网络教案第5章
3 回退 ARQ(go-back-N ARQ) 回退-N ( )
累积确认 累积确认(cumulative acknowledgement)机制 机制 滑动窗口(sliding window)机制 : 滑动窗口( ) * 发送窗口 接收窗口 发送窗口, 接收窗口; * 发方可连续发送发送窗口内的所有帧; 发方可连续发送发送窗口内的所有帧; * 收方控制双方的窗口向前滑动:收方收到一 收方控制双方的窗口向前滑动: 个正确的帧后,接收窗口向前滑动, (多)个正确的帧后,接收窗口向前滑动,同 时发出一确认,引起发送窗口向前滑动. 时发出一确认,引起发送窗口向前滑动.
5.1 IEEE802 局域网络技术标准(续) 局域网络技术标准(
IEEE802.7:宽带技术 : IEEE802.8:光纤技术 : IEEE802.9:综合话音数据局域网 : IEEE802.10: IEEE802.10:可互操作的局域网的安全 IEEE802.11:无线局域网 : IEEE802.12:优先级轮询局域网 : (100VGAnyLAN) IEEE802.13:电缆电视(Cable-TV) :电缆电视( )
第 3 部分 第5章 章 第6章 章 第7章 章 第8章 章 第9章 章 逻辑链路控制 以太网 令牌环* 令牌环 令牌总线* 令牌总线 高速局域网
局域网
第5章 逻辑链路控制 章 5.1 IEEE802 局域网络技术标准
IEEE802.1(A): 综述和体系结构 ( : IEEE802.1(B):寻址,网际互联和网络管理 ( :寻址, IEEE802.2:逻辑链路控制 : IEEE802.3:CSMA/CD访问方法和物理层技术标准 : 访问方法和物理层技术标准 IEEE802.4: 令牌传递总线访问方法和物理层技术标 : IEEE802.5: 令牌传送环访问方法和物理层技术标准 : IEEE802.6: 城市地区网访问方法和物理层技术标准 :
累积确认 累积确认(cumulative acknowledgement)机制 机制 滑动窗口(sliding window)机制 : 滑动窗口( ) * 发送窗口 接收窗口 发送窗口, 接收窗口; * 发方可连续发送发送窗口内的所有帧; 发方可连续发送发送窗口内的所有帧; * 收方控制双方的窗口向前滑动:收方收到一 收方控制双方的窗口向前滑动: 个正确的帧后,接收窗口向前滑动, (多)个正确的帧后,接收窗口向前滑动,同 时发出一确认,引起发送窗口向前滑动. 时发出一确认,引起发送窗口向前滑动.
5.1 IEEE802 局域网络技术标准(续) 局域网络技术标准(
IEEE802.7:宽带技术 : IEEE802.8:光纤技术 : IEEE802.9:综合话音数据局域网 : IEEE802.10: IEEE802.10:可互操作的局域网的安全 IEEE802.11:无线局域网 : IEEE802.12:优先级轮询局域网 : (100VGAnyLAN) IEEE802.13:电缆电视(Cable-TV) :电缆电视( )
第 3 部分 第5章 章 第6章 章 第7章 章 第8章 章 第9章 章 逻辑链路控制 以太网 令牌环* 令牌环 令牌总线* 令牌总线 高速局域网
局域网
第5章 逻辑链路控制 章 5.1 IEEE802 局域网络技术标准
IEEE802.1(A): 综述和体系结构 ( : IEEE802.1(B):寻址,网际互联和网络管理 ( :寻址, IEEE802.2:逻辑链路控制 : IEEE802.3:CSMA/CD访问方法和物理层技术标准 : 访问方法和物理层技术标准 IEEE802.4: 令牌传递总线访问方法和物理层技术标 : IEEE802.5: 令牌传送环访问方法和物理层技术标准 : IEEE802.6: 城市地区网访问方法和物理层技术标准 :
网络安全培训课件(PPT49页)
响水县“爆炸谣言”引发大逃亡4人遇难
2011年2月10日凌晨2 时许,江苏省盐城市响水县 有人传言,陈家港化工园区 大和化工企业要发生爆炸, 导致陈家港、双港等镇区部 分不明真相的群众陆续产生 恐慌情绪,并离家外出,引 发多起车祸,造成4人死亡、 多人受伤。
2月12日,编造、故意 传播虚假恐怖信息的犯罪嫌 疑人刘某、殷某被刑事拘留, 违法行为人朱某、陈某被行 政拘留。
★如果是由硬件原因造成的数据丢失,则要注意事故发生后的保护 工作,不应继续对该存储器反复进行测 试,否则会造成永久性损坏。
工具恢复法
手工操作法
备份恢复法
江苏某女大学生小雪在网上认识并 爱上了一位毕某的男子。在毕某邀请下, 她多次去哈尔滨跟“心上人”约会并同 居。一次约会中,毕某得知小雪的家境 很好,父母准备送她出国深造,觉得送 到嘴里的“肥肉”哪能轻易放掉。就在 小雪出国前夕,毕某再次将她约到自己 住处,实施了他的敲诈计划,在没有达 到目的的情况下,竟与同伙将小雪掐死。
“皮革奶粉”传言重创国 产乳制品
谣言虽然破了,但消费者对我 国乳制品的信心遭到重创。2008年 三聚氰胺事件发生以来,公众对国 内乳制品的不信任感居高不下,具 备购买能力的消费者一般都会优先 选购国外奶制品,内地乳制品企业 则在战战兢兢中向前发展。
QQ群里散布谣言引
发全国“抢盐风
波”
2011年3月11日,日本东 海岸发生9.0级地震,地震造 成日本福岛第一核电站1—4号 机组发生核泄漏事故。谁也没 想到这起严重的核事故竟然在 中国引起了一场令人咋舌的抢 盐风波。
成都某高校一大学生沉迷网络游戏,00去网吧玩网络游戏;18:00晚饭在网吧叫外卖;晚上,通 宵玩网络游戏;第二天早上9:00回宿舍休息……这位大学生把所有的空余时间 都拿来打游戏,同学间的聚会和活动都拒绝参加。两个月以后,他发现自己思 维方式跟不上同学的节奏,脑子里所想的全是游戏里发生的事,遇到事情会首 先用游戏的规则来思考,开始不适应现实生活,陷入深深的焦虑之中。
网络安全课件(5)防火墙技术
通常,防火墙就是位于内部网或Web站点与 因特网之间的一个路由器或一台计算机,又称 为堡垒主机。其目的如同一个安全门,为门内 的部门提供安全,控制那些可被允许出入该受 保护环境的人或物。就像工作在前门的安全卫 士,控制并检查站点的访问者。
三、防火墙的基本思想
如果网络在没有防火墙的环境中,网络安全性完 全依赖主系统的安全性。在一定意义上,所有主系统 必须通力协作来实现均匀一致的高级安全性。子网越 大,把所有主系统保持在相同的安全性水平上的可管 理能力就越小,随着安全性的失策和失误越来越普遍, 入侵就时有发生。 防火墙有助于提高主系统总体安全 性。 防火墙的基本思想——不是对每台主机系统进行 保护,而是让所有对系统的访问通过某一点,并且保 护这一点,并尽可能地对外界屏蔽保护网络的信息和 结构。它是设置在可信任的内部网络和不可信任的外 界之间的一道屏障,它可以实施比较广泛的安全政策 来控制信息流,防止不可预料的潜在的入侵破坏。
2、网关。
将两个使用不同协议的网络段连接在一起的设备。
它的作用就是对两个网络段中的使用不同传输协 议的数据进行互相的翻译转换。举个例子,一个 商业内部局域网就常常需要通过网关发送电子邮 件到Internet的相关地址。
在因特网中,以往的网关现在称为路由器。网关现
在是指一种系统,这种系统进行网络和应用协议 的转换,使TCP/IP网和非TCP/IP网上的用户和应 用可以相互通信。网关也指应用程序之间的翻译 设备。代理服务器网关是一种防火墙,允许内部 网的用户访问因特网,同时禁止因特网用户访问 内部网。功能齐全的防火墙提供高级的甄别、验 证和代理功能,以防止黑客和攻击者进入内部系 统。
这里,防火墙的作用是保护Web站点和公 司的内部网,使之免遭因特网上各种危险的侵 犯。
网络安全技术与实训 第5版 第五章 计算机病毒
病毒 攻击UNIX系统的病
毒
按照计算机病毒的链接方式分类
源码型病毒 嵌入型病毒 外壳型病毒 操作系统型病毒
《网络安全技术》
第 13 页
计算机病毒的定义、特性和分类
按照计算机病毒的破坏情况分类
良性计算机病毒 恶性计算机病毒
按照计算机病毒传染方式分类
磁盘引导区传染的 计算机病毒
操作系统传染的计 算机病毒
计算机软件故障: (1)丢失文件 (2)文件版本不匹配 (3)资源耗尽 (4)非法操作
第 24 页
03
常见的计算机病毒
常见的计算机病毒
1.早期的DOS病毒
针对DOS操作系统开发的病毒,它们是出现最早、数量最多、变种也最多的计算机病毒。
第 26 页
常见的计算机病毒
2.引导型病毒 引导型病毒是指改写磁盘上的引导扇区信息的病毒。
第 30 页
常见的计算机病毒
5.木马病毒
木马又称作特洛伊木马。 这里简单地介绍一种木马---证券大盗木马病毒。该木马可以盗取多家证券交易系统的交易 账户和密码。
第 31 页
4.3 计算机病毒的检测与防范
文件型病毒 对文件型病毒的防范,一般采用以下一些方 法。
❖安装最新版本、有实时监控文件系统功能 的防病毒软件。
第 21 页
计算机病毒发作的表现
(1)计算机运行速度的变化 (2)计算机磁盘的变化 (3)计算机内存的变化 (4)计算机文件系统的变化 (5)异常的提示信息和现象
第 22 页
02
计算机故障与病毒特征区别
计算机故障
计算机硬件故障: (1)计算机硬件的配置 (2)硬件的正常使用 (3)CMOS的设置
第 29 页
常见的计算机病毒
毒
按照计算机病毒的链接方式分类
源码型病毒 嵌入型病毒 外壳型病毒 操作系统型病毒
《网络安全技术》
第 13 页
计算机病毒的定义、特性和分类
按照计算机病毒的破坏情况分类
良性计算机病毒 恶性计算机病毒
按照计算机病毒传染方式分类
磁盘引导区传染的 计算机病毒
操作系统传染的计 算机病毒
计算机软件故障: (1)丢失文件 (2)文件版本不匹配 (3)资源耗尽 (4)非法操作
第 24 页
03
常见的计算机病毒
常见的计算机病毒
1.早期的DOS病毒
针对DOS操作系统开发的病毒,它们是出现最早、数量最多、变种也最多的计算机病毒。
第 26 页
常见的计算机病毒
2.引导型病毒 引导型病毒是指改写磁盘上的引导扇区信息的病毒。
第 30 页
常见的计算机病毒
5.木马病毒
木马又称作特洛伊木马。 这里简单地介绍一种木马---证券大盗木马病毒。该木马可以盗取多家证券交易系统的交易 账户和密码。
第 31 页
4.3 计算机病毒的检测与防范
文件型病毒 对文件型病毒的防范,一般采用以下一些方 法。
❖安装最新版本、有实时监控文件系统功能 的防病毒软件。
第 21 页
计算机病毒发作的表现
(1)计算机运行速度的变化 (2)计算机磁盘的变化 (3)计算机内存的变化 (4)计算机文件系统的变化 (5)异常的提示信息和现象
第 22 页
02
计算机故障与病毒特征区别
计算机故障
计算机硬件故障: (1)计算机硬件的配置 (2)硬件的正常使用 (3)CMOS的设置
第 29 页
常见的计算机病毒
网络安全5-缓冲区溢出攻击
/var/mail 发给用户的信件。
/var/spool 缓冲数据,如打印数据等。 /var/tmp 临时文件。
17
第5章 第3节
攻击UNIX
UNIX操作系统简介
UNIX系统的文件属性和存取权限
#ls -la # -rw-rw-rw# -rw-r----# -rwxr-xr-# drwx-----1 1 1 2 root root candy netdemon wheel wheel user user 170 18204 1204 512 jan 7 19:46 jan 8 20:34 may 23 13:00 may 23 14:23 mnk nmap.tar.gz mysh.sh mydoc
12
第5章 第2节
缓冲区溢出程序原理及要素
关键技术
在程序的地址空间安排适当的代码 将控制程序转移到攻击代码的方式
Function Pointers Activation Records Longjmp buffers 植入码和流程控制 代码段/数据段/堆栈段
可执行的地址空间
0x80002c8 <__execve+12>: movl 0xc(%ebp),%ecx
0x80002cb <__execve+15>: movl 0x10(%ebp),%edx 0x80002ce <__execve+18>: int $0x80 0x80002d0 <__execve+20>: movl %eax,%edx 0x80002d2 <__execve+22>: testl %edx,%edx 0x80002d4 <__execve+24>: jnl 0x80002e6 <__execve+42>
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
事故处理过程:确定信息安全事故处理的目标和步 骤。
灾难恢复计划:在自然灾难或人为灾难后提供重建 计算机设施的计划。
1.选择开发策略的次序
如何选择开发策略的次序,取决于评估阶段对风险 的识别。如果信息的保护标识为高风险域,那么应 将信息策略放在首位。如果由于缺少灾难恢复计划 使经营业务丢失是高风险域,那么应将灾难恢复计 划放在首位。
1.评估目的 归纳起来,网络信息安全评估有以下一些目的: 确定信息资产的价值; 确定对这些信息资产的机密性、完整性、可用性和 可审性的威胁; 确定该组织当前实际存在的漏洞; 识别与该组织信息资产有关的风险; 提出改变现状的建议,使风险减少到可接受的水平; 提供一个构造合适的安全计划的基础。
2.评估类型 通常有5个通用的评估类型:
4.评估内容 归纳起来,对该组织的评估包括以下内容: 组织的网络; 组织的物理安全度量; 组织的现有策略和过程; 组织已有的预防措施; 员工对安全的重视程度; 员工的工作负载; 员工的工作态度; 员工对现有策略的过程的执行情况; 组织的经营业务。
5.1.1 网络评估
通常网络提供了对信息和系统最便捷的访问方式。
③ 如果网络和系统管理员不能提供服务器的安全配 置信息,就有必要详细检查这些服务器,包括口令 要求、每个系统的审计配置、当前系统的补丁水平 等。
④ 询问网络管理员关于使用的网络管理系统的类型、 报警的类型、系统的监控者等信息。用这些信息来 识别使用现有的系统,管理人员是否能发觉攻击。
⑤ 最后,应对整个系统进行漏洞扫描。应从系统内 部和外部两方面来做扫描。前者是内部网络的一个 系统,后者是组织防火墙外部的Internet上的一个系 统。扫描的结果可识别外部威胁和内部威胁能看到 的漏洞。
3.评估方法
在评估时,需要从3个基本源搜集信息,即对组织 的员工调查、文本检查以及物理检验。能提供现有 安全系统以及组织实施方法的信息的员工,尤其是 那些熟练的人员以及管理者是关键的调研对象。调 研提纲(评估目的以及有助于保护该组织的信息资 产的问题)应简单、易懂,并且前提是所提供的信 息对被调研人没有直接的贡献。要审查现有的与安 全有关的策略以及关键的配置文本,包括已完成的 和正在草拟的文本。最后一部分搜集的信息来自于 对该组织的各种设施的物理审查。
评估的最后一步是开发一个安全计划。该组织必须 决定评估结果是否真正反映了安全状况,以及如何 最佳地处理它。必须对资源进行分配以及生成调度 计划。计划不一定从最坏的风险开始,因为诸如预 算、资源等因素可以防止这种情况发生。
5.2 策略制定
完成评估后的下一步是制定安全策略和过程。安全 策略和过程是确定该组织期望的安全状态以及在实 施阶段如何工作。没有策略,就不可能设计实施有 效的信息安全程序。需要制定的策略和过程包括以 下几项。
5.1.6 评估结果
在完成评估信息搜集后,评估组需要分析这些信息。 评估组不应根据个别信息,而应审查所有的安全漏 洞。并非将所有漏洞都转换成风险。有些漏洞可由 其他一些控制来阻止漏洞的暴露。
一旦完成了评估分析,评估组应该而且能够提出全 部的风险,以及向组织进行建议。风险的表达可从 大到小有序地列出。对每个风险,应估算在经费、 时间、资源、信誉等方面的代价,并提出管理风险 的建议。
2.人员的技术熟练程度
一个组织的员工对整个安全环境的影响是最大的。 缺少技术或太熟练的技术都有可能使很好的安全程 序失效。要考察安全员和管理员的技术水平,看其 是否具备必要的技术来运行安全程序。安全员应了 解安全策略及相关的安全产品。管理员应具备必要 的知识来管理系统和网络。
一般用户应具备基本的计算机技巧。然而如果用户 具有太熟练的技巧(如公司的软件开发人员),可 能会产生额外的安全问题。一些附加的软件加载至 系统可能会影响整个组织的安全,具备必要的知识 和技巧便于暴露内部系统的漏洞。对审计员,主要 考察其对系统和网络的了解,特别是识别问题的能 力,而不注重其对技术本身的了解。
4.人员的心态
管理者和员工对安全重要性的重视程度是整个安全 环境的又一个关键问题。评估时要审查谁负责组织 的安全,以及如何和员工交流有关安全问题。管理 者的态度以及和与员工的交流都很重要。有时管理 者了解安全的重要性,但不能及时和员工交流,这 样员工并不了解安全的重要性。在评估时,要同时 向管理者、员工了解,审查这两方面的问题。
实施网络评估的具体步骤如下:
① 从网络配置图上检查每个连接点,包括服务器、 桌面系统、Internet访问、拨号访问、对远程和其他 组织的连接。从网络配置图以及和管理员的讨论中 可获得如下信息:网络上的系统数和类型,操作系 统及版本,网络拓扑(包括交换、路由、桥接等), Internet访问点,Internet使用,防火墙的数目、类 型和版本,拨号访问点,远程访问类型,广域网拓 扑,远程场地的访问点,到其他组织的访问点, Web服务器,FTP服务器以及邮件网关的位置,网络 使用的协议,以及网络的控制人员等。
系统级漏洞评估检验计算机系统的已知漏洞及基本 策略。
网络级风险评估评估该组织的全部计算机网络及信 息基础设施的风险范围。
组织的风险评估分析整个组织,以识别对其信息资 产的直接威胁。识别整个组织处理信息的漏洞对包 括电子的和物理的所有形式的信息进行检验。
审计检验特定的策略以及该组织执行的情况。
入侵测试检验该组织对一个模拟的入侵反应的能力。 这类评估只对具有成熟安全程序的组织进行。
在选择首先编写的文本时还要看完成该文本所需的 时间。灾难恢复计划是十分详细的文本,需要很多 部门和人员作出很大努力才能完成,有时还需要热 线场地商帮助完成。在灾难发生时,它可提供全部 计算机设备的冗余设施。
在处理过程中,信息策略需要及早完成。因为信息 策略是构成了解安全程序目的的基础,说明为什么 这些信息是重要的以及应该如何保护它。该文本还 构成安全意识培训的基础。相似地,一个用户策略 以及安全策略中的口令要求都会影响安全意识培训 程序。
5.1.3 策略和过程评估
在评估阶段需要检查的文本包括安全策略、信息策 略、灾难恢复策略、事故响应过程、后备策略与过 程、员工手册或策略手册、招聘新员工的过程、系 统配置指南、防火墙规则、路由器过滤、物理安全 策略、软件开发方法、软件移交过程、网络配置图 以及组织结构图等。在搜集这些文本基础上检查其 相关性、适用性、完全性和正确性。
每个策略和过程应和组织当前的经营业务实际相关 联。策略和过程应适合文本定义的目的。当检查文 本是否适当时,检查其要求是否满足策略和过程的 目标。例如,假如安全策略的目标是定义安全需求 要针对所有计算机系统,那么不仅要为主机系统定 义专门的配置,而且也应包括台式机和客户机服务 器系统。
策略和过程应覆盖组织运行的各个方面。在实际工 作中常常没有考虑到某些方面,或者在生成策略和 过程时,某些方面还不存在。由于技术经常变化, 相应的策略和过程也要改变。
1.员工和管理员的安全意识
除了策略和过程本身是否完善以外,十分重要的是 员工的安全意识。应考察他们是否清楚这些策略和 过程,以及是否遵照这些策略和过程去执行。考察 的方式是和员工谈话和实地考察。
管理员的安全意识也是十分重要的,要考察管理员 是否重视关于系统配置的安全策略,是否了解安全 的威胁、系统的漏洞,是否已采取相应的措施。特 别重要的是,管理员应知道在系统遭受破坏时应做 什么以及如何做。
5.1 评估网络
安全处理过程始于评估阶段。评估的作用是:确定 一个组织的信息资产的价值,识别与这些信息资产 有关的威胁及漏洞大小,确定总的风险对该组织的 重要性。评估是十分重要的,如果对一个组织的信 息资产当前的风险状态不清楚,就不可能有效地实 施合适的安全程序,以保护这些资产。
评估是通过风险管理计划来完成的。一旦识别和量 化了风险,就可以选择有效的、代价小的预防措施 以降低这些风险。
应该检查大楼内的通信线路和位置,以及进入大楼 的通信线位置。这些地方可能放置网络的连接头, 因此应将它们包括在敏感区域或临界区域列表内。 这些地方也是惟一的网络出口处。
物理安全还包括电源、环境控制、用于数据中心的
消防系统。关于这些系统的信息应包括场地是如何 供电的、数据中心的供电情况、使用的UPS的类型、 UPS系统的保持时间、接到UPS上的系统类型、当电 源失效后UPS运行的指示、接到UPS的环境控制、放 置在数据中心的环境控制的类型、环境控制失效的 指示、数据中心的消防系统的类型以及洒水系统等。
5.1.2 物理安全评估
组织建筑物的物理安全是网络安全的一个关键组成。 物理安全的检查应包括场地的物理访问控制以及场 地的敏感区域的物理访问控制。例如,数据中心应 该和整个大楼有分开的物理访问控制,至少访问数 据中心必须有严格的限制。当检查物理安全时,应 包括对场地、大楼、办公室、纸面记录、数据中心 的物理保护类型,各个门的钥匙保管者,邻近数据 中心的大楼或场地这些临界区域的情况等。
当文本太老了或已过时了,应及时修改。因为组织 的系统和网络经常会改变,如果文本不跟随系统和 网络的变化而改变,那么该文本就没有用处。策略 和过程应定期修改。相应地还要检查有关的培训材 料,看这些材料是否反映当前的策略和过程。
最后,评估应包括检查最近的事故和审计报告。考 察该组织是否根据已发生的事故和审计情况有所进 展。
信息策略:确定信息的敏感度以及对敏感信息如何 处理、存储、传输和销毁。该策略构成了解安全程 序目的的基础。
安全策略:确定各种计算机系统需要的技术控制。 该策略构成了安全程序内容的基础。
用户策略:提供使用该组织计算机的使用策略。
后备策略:确定计算机系统的后备需求。
账户管理过程:确定增加或删除用户账号的步骤。
② 在确定网络结构之后,还要识别网络内的保护机 制,包括在全部Internet访问点上的路由器访问控制 表和防火墙规则,用于远程访问的身份鉴别机制, 到其他组织访问点的保护机制,用于传送和存储信 息的加密机制,用于保护手提计算机的加密机制, 在服务器、台式机、邮件系统上的防病毒系统以及 服务器安全配置等。
灾难恢复计划:在自然灾难或人为灾难后提供重建 计算机设施的计划。
1.选择开发策略的次序
如何选择开发策略的次序,取决于评估阶段对风险 的识别。如果信息的保护标识为高风险域,那么应 将信息策略放在首位。如果由于缺少灾难恢复计划 使经营业务丢失是高风险域,那么应将灾难恢复计 划放在首位。
1.评估目的 归纳起来,网络信息安全评估有以下一些目的: 确定信息资产的价值; 确定对这些信息资产的机密性、完整性、可用性和 可审性的威胁; 确定该组织当前实际存在的漏洞; 识别与该组织信息资产有关的风险; 提出改变现状的建议,使风险减少到可接受的水平; 提供一个构造合适的安全计划的基础。
2.评估类型 通常有5个通用的评估类型:
4.评估内容 归纳起来,对该组织的评估包括以下内容: 组织的网络; 组织的物理安全度量; 组织的现有策略和过程; 组织已有的预防措施; 员工对安全的重视程度; 员工的工作负载; 员工的工作态度; 员工对现有策略的过程的执行情况; 组织的经营业务。
5.1.1 网络评估
通常网络提供了对信息和系统最便捷的访问方式。
③ 如果网络和系统管理员不能提供服务器的安全配 置信息,就有必要详细检查这些服务器,包括口令 要求、每个系统的审计配置、当前系统的补丁水平 等。
④ 询问网络管理员关于使用的网络管理系统的类型、 报警的类型、系统的监控者等信息。用这些信息来 识别使用现有的系统,管理人员是否能发觉攻击。
⑤ 最后,应对整个系统进行漏洞扫描。应从系统内 部和外部两方面来做扫描。前者是内部网络的一个 系统,后者是组织防火墙外部的Internet上的一个系 统。扫描的结果可识别外部威胁和内部威胁能看到 的漏洞。
3.评估方法
在评估时,需要从3个基本源搜集信息,即对组织 的员工调查、文本检查以及物理检验。能提供现有 安全系统以及组织实施方法的信息的员工,尤其是 那些熟练的人员以及管理者是关键的调研对象。调 研提纲(评估目的以及有助于保护该组织的信息资 产的问题)应简单、易懂,并且前提是所提供的信 息对被调研人没有直接的贡献。要审查现有的与安 全有关的策略以及关键的配置文本,包括已完成的 和正在草拟的文本。最后一部分搜集的信息来自于 对该组织的各种设施的物理审查。
评估的最后一步是开发一个安全计划。该组织必须 决定评估结果是否真正反映了安全状况,以及如何 最佳地处理它。必须对资源进行分配以及生成调度 计划。计划不一定从最坏的风险开始,因为诸如预 算、资源等因素可以防止这种情况发生。
5.2 策略制定
完成评估后的下一步是制定安全策略和过程。安全 策略和过程是确定该组织期望的安全状态以及在实 施阶段如何工作。没有策略,就不可能设计实施有 效的信息安全程序。需要制定的策略和过程包括以 下几项。
5.1.6 评估结果
在完成评估信息搜集后,评估组需要分析这些信息。 评估组不应根据个别信息,而应审查所有的安全漏 洞。并非将所有漏洞都转换成风险。有些漏洞可由 其他一些控制来阻止漏洞的暴露。
一旦完成了评估分析,评估组应该而且能够提出全 部的风险,以及向组织进行建议。风险的表达可从 大到小有序地列出。对每个风险,应估算在经费、 时间、资源、信誉等方面的代价,并提出管理风险 的建议。
2.人员的技术熟练程度
一个组织的员工对整个安全环境的影响是最大的。 缺少技术或太熟练的技术都有可能使很好的安全程 序失效。要考察安全员和管理员的技术水平,看其 是否具备必要的技术来运行安全程序。安全员应了 解安全策略及相关的安全产品。管理员应具备必要 的知识来管理系统和网络。
一般用户应具备基本的计算机技巧。然而如果用户 具有太熟练的技巧(如公司的软件开发人员),可 能会产生额外的安全问题。一些附加的软件加载至 系统可能会影响整个组织的安全,具备必要的知识 和技巧便于暴露内部系统的漏洞。对审计员,主要 考察其对系统和网络的了解,特别是识别问题的能 力,而不注重其对技术本身的了解。
4.人员的心态
管理者和员工对安全重要性的重视程度是整个安全 环境的又一个关键问题。评估时要审查谁负责组织 的安全,以及如何和员工交流有关安全问题。管理 者的态度以及和与员工的交流都很重要。有时管理 者了解安全的重要性,但不能及时和员工交流,这 样员工并不了解安全的重要性。在评估时,要同时 向管理者、员工了解,审查这两方面的问题。
实施网络评估的具体步骤如下:
① 从网络配置图上检查每个连接点,包括服务器、 桌面系统、Internet访问、拨号访问、对远程和其他 组织的连接。从网络配置图以及和管理员的讨论中 可获得如下信息:网络上的系统数和类型,操作系 统及版本,网络拓扑(包括交换、路由、桥接等), Internet访问点,Internet使用,防火墙的数目、类 型和版本,拨号访问点,远程访问类型,广域网拓 扑,远程场地的访问点,到其他组织的访问点, Web服务器,FTP服务器以及邮件网关的位置,网络 使用的协议,以及网络的控制人员等。
系统级漏洞评估检验计算机系统的已知漏洞及基本 策略。
网络级风险评估评估该组织的全部计算机网络及信 息基础设施的风险范围。
组织的风险评估分析整个组织,以识别对其信息资 产的直接威胁。识别整个组织处理信息的漏洞对包 括电子的和物理的所有形式的信息进行检验。
审计检验特定的策略以及该组织执行的情况。
入侵测试检验该组织对一个模拟的入侵反应的能力。 这类评估只对具有成熟安全程序的组织进行。
在选择首先编写的文本时还要看完成该文本所需的 时间。灾难恢复计划是十分详细的文本,需要很多 部门和人员作出很大努力才能完成,有时还需要热 线场地商帮助完成。在灾难发生时,它可提供全部 计算机设备的冗余设施。
在处理过程中,信息策略需要及早完成。因为信息 策略是构成了解安全程序目的的基础,说明为什么 这些信息是重要的以及应该如何保护它。该文本还 构成安全意识培训的基础。相似地,一个用户策略 以及安全策略中的口令要求都会影响安全意识培训 程序。
5.1.3 策略和过程评估
在评估阶段需要检查的文本包括安全策略、信息策 略、灾难恢复策略、事故响应过程、后备策略与过 程、员工手册或策略手册、招聘新员工的过程、系 统配置指南、防火墙规则、路由器过滤、物理安全 策略、软件开发方法、软件移交过程、网络配置图 以及组织结构图等。在搜集这些文本基础上检查其 相关性、适用性、完全性和正确性。
每个策略和过程应和组织当前的经营业务实际相关 联。策略和过程应适合文本定义的目的。当检查文 本是否适当时,检查其要求是否满足策略和过程的 目标。例如,假如安全策略的目标是定义安全需求 要针对所有计算机系统,那么不仅要为主机系统定 义专门的配置,而且也应包括台式机和客户机服务 器系统。
策略和过程应覆盖组织运行的各个方面。在实际工 作中常常没有考虑到某些方面,或者在生成策略和 过程时,某些方面还不存在。由于技术经常变化, 相应的策略和过程也要改变。
1.员工和管理员的安全意识
除了策略和过程本身是否完善以外,十分重要的是 员工的安全意识。应考察他们是否清楚这些策略和 过程,以及是否遵照这些策略和过程去执行。考察 的方式是和员工谈话和实地考察。
管理员的安全意识也是十分重要的,要考察管理员 是否重视关于系统配置的安全策略,是否了解安全 的威胁、系统的漏洞,是否已采取相应的措施。特 别重要的是,管理员应知道在系统遭受破坏时应做 什么以及如何做。
5.1 评估网络
安全处理过程始于评估阶段。评估的作用是:确定 一个组织的信息资产的价值,识别与这些信息资产 有关的威胁及漏洞大小,确定总的风险对该组织的 重要性。评估是十分重要的,如果对一个组织的信 息资产当前的风险状态不清楚,就不可能有效地实 施合适的安全程序,以保护这些资产。
评估是通过风险管理计划来完成的。一旦识别和量 化了风险,就可以选择有效的、代价小的预防措施 以降低这些风险。
应该检查大楼内的通信线路和位置,以及进入大楼 的通信线位置。这些地方可能放置网络的连接头, 因此应将它们包括在敏感区域或临界区域列表内。 这些地方也是惟一的网络出口处。
物理安全还包括电源、环境控制、用于数据中心的
消防系统。关于这些系统的信息应包括场地是如何 供电的、数据中心的供电情况、使用的UPS的类型、 UPS系统的保持时间、接到UPS上的系统类型、当电 源失效后UPS运行的指示、接到UPS的环境控制、放 置在数据中心的环境控制的类型、环境控制失效的 指示、数据中心的消防系统的类型以及洒水系统等。
5.1.2 物理安全评估
组织建筑物的物理安全是网络安全的一个关键组成。 物理安全的检查应包括场地的物理访问控制以及场 地的敏感区域的物理访问控制。例如,数据中心应 该和整个大楼有分开的物理访问控制,至少访问数 据中心必须有严格的限制。当检查物理安全时,应 包括对场地、大楼、办公室、纸面记录、数据中心 的物理保护类型,各个门的钥匙保管者,邻近数据 中心的大楼或场地这些临界区域的情况等。
当文本太老了或已过时了,应及时修改。因为组织 的系统和网络经常会改变,如果文本不跟随系统和 网络的变化而改变,那么该文本就没有用处。策略 和过程应定期修改。相应地还要检查有关的培训材 料,看这些材料是否反映当前的策略和过程。
最后,评估应包括检查最近的事故和审计报告。考 察该组织是否根据已发生的事故和审计情况有所进 展。
信息策略:确定信息的敏感度以及对敏感信息如何 处理、存储、传输和销毁。该策略构成了解安全程 序目的的基础。
安全策略:确定各种计算机系统需要的技术控制。 该策略构成了安全程序内容的基础。
用户策略:提供使用该组织计算机的使用策略。
后备策略:确定计算机系统的后备需求。
账户管理过程:确定增加或删除用户账号的步骤。
② 在确定网络结构之后,还要识别网络内的保护机 制,包括在全部Internet访问点上的路由器访问控制 表和防火墙规则,用于远程访问的身份鉴别机制, 到其他组织访问点的保护机制,用于传送和存储信 息的加密机制,用于保护手提计算机的加密机制, 在服务器、台式机、邮件系统上的防病毒系统以及 服务器安全配置等。