1、計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)講座美資深黑客令A(yù)TM當(dāng)場(chǎng)吐鈔 2010.7.31Barnaby Jack在2010.7黑帽大會(huì)上的演示 按下一個(gè)按鈕，現(xiàn)場(chǎng)一個(gè)ATM提款機(jī)就噴涌出現(xiàn)金用USB口用調(diào)制解調(diào)器口計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)系統(tǒng)工程！應(yīng)用數(shù)學(xué)密碼學(xué)信息論計(jì)算機(jī)技術(shù)操作系統(tǒng)網(wǎng)絡(luò)編程語言系統(tǒng)測(cè)試通信網(wǎng)絡(luò)編碼監(jiān)聽和偵查社會(huì)學(xué)社交用戶行為用戶習(xí)慣。提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全研究問題數(shù)據(jù)的保密性加密和解密算法公鑰加密和解密私鑰加密和解密數(shù)據(jù)的完整性信息摘要數(shù)據(jù)沒有經(jīng)過篡改 數(shù)據(jù)源

2、的確定性確認(rèn)通信雙方服務(wù)的可用性保證服務(wù)是可用的數(shù)據(jù)不可否認(rèn)不能否認(rèn)發(fā)送過數(shù)據(jù)如何保障計(jì)算機(jī)網(wǎng)絡(luò)和信息安全？重視政府，公司領(lǐng)導(dǎo)，技術(shù)人員，普通用戶教育懂得安全的基本問題，攻擊手段， 防范措施規(guī)劃制定公司信息安全的總體要求和具體規(guī)劃規(guī)范技術(shù)措施， 行為規(guī)范，使用控制，權(quán)限管理實(shí)施安全評(píng)估，技術(shù)手段， 產(chǎn)品選型提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)公安部信息系統(tǒng)安全保護(hù)5級(jí)劃分第一級(jí)為自主保護(hù)級(jí)，主要對(duì)象為一般的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響，但不危害國(guó)家安全、社會(huì)

3、秩序、經(jīng)濟(jì)建設(shè)和公共利益。第二級(jí)為指導(dǎo)保護(hù)級(jí)，主要對(duì)象為一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。第三級(jí)為監(jiān)督保護(hù)級(jí)，主要對(duì)象為涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。公安部信息系統(tǒng)安全保護(hù)5級(jí)劃分第四級(jí)為強(qiáng)制保護(hù)級(jí)，主要對(duì)象為涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。第五級(jí)為?？乇Ｗo(hù)級(jí)，主要對(duì)象為涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和

4、公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。信息安全等級(jí)保護(hù)頒布2007年7月，四部委聯(lián)合會(huì)簽并下發(fā)了關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安2007861號(hào)） 定級(jí)范圍：電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度

5、、管理、辦公等重要信息系統(tǒng)。市（地）級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。涉及國(guó)家秘密的信息系統(tǒng)。整體保護(hù)能力威脅分類自然、環(huán)境威脅技術(shù)故障人員錯(cuò)誤惡意攻擊安全技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理要求安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層管理層安全管理制度業(yè)務(wù)處理流程 業(yè)務(wù)應(yīng)用，后臺(tái)處理 數(shù)據(jù)庫 身份鑒別，訪問控制。防病毒，防侵入防火墻， 入侵保護(hù)防內(nèi)容泄露物理設(shè)備安全環(huán)境安全信息安全體系信息系統(tǒng)安全體系結(jié)構(gòu)等級(jí)保護(hù)基本要求：技術(shù)（二、三級(jí)） 物理安全：位置選擇、訪問控制、防盜和防破壞、防雷、防火、防水、防潮、防靜電、電力保障

6、、電磁防護(hù) 網(wǎng)絡(luò)安全：結(jié)構(gòu)安全和網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、撥號(hào)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢測(cè)、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范 主機(jī)系統(tǒng)安全：身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、系統(tǒng)保護(hù)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制 應(yīng)用安全：身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信保密性、通信完整性、抗抵賴、軟件容錯(cuò)、資源控制 數(shù)據(jù)安全：數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)等級(jí)保護(hù)基本要求：管理（二、三級(jí)） 安全管理機(jī)構(gòu)：崗位設(shè)置、人員配置、授權(quán)與審批、溝通與合作、審核與檢查 安全管理制度：管理制度、制定與發(fā)布、評(píng)審與修訂 人員安全管理：人員錄用、人員離

7、崗、人員考核、安全意識(shí)教育與培訓(xùn)、第三方人員管理 系統(tǒng)建設(shè)管理：系統(tǒng)定級(jí)、系統(tǒng)備案、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)、自行軟件研發(fā)、外包軟件開發(fā)、工程實(shí)施、工程驗(yàn)收 系統(tǒng)運(yùn)維管理：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件管理、應(yīng)急預(yù)案管理提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)安全管理人員人員錄用專業(yè)技術(shù)水平和安全管理知識(shí)，背景調(diào)查，技能考核，保密和安全協(xié)議，關(guān)鍵崗位內(nèi)部選拔和定期審查人員離崗終止權(quán)限，取回各

8、種身份證件、鑰匙、徽章等以及軟硬件設(shè)備，承諾保密人員考核安全審查，技能和認(rèn)知考核，懲戒安全意識(shí)教育和培訓(xùn)意識(shí)教育，責(zé)任和懲戒措施，培訓(xùn)計(jì)劃第三方人員管理安全責(zé)任合同書或保密協(xié)議，區(qū)域訪問控制和記錄系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全風(fēng)險(xiǎn)評(píng)估安全方案設(shè)計(jì)產(chǎn)品采購(gòu)自行開發(fā)設(shè)計(jì)外包開發(fā)設(shè)計(jì)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全測(cè)評(píng)系統(tǒng)備案安全服務(wù)商選擇系統(tǒng)運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備使用管理運(yùn)行維護(hù)和監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防護(hù)管理密碼管理變更管理備份和恢復(fù)管理安全事件處置應(yīng)急計(jì)劃管理提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介網(wǎng)絡(luò)技術(shù)基礎(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全

9、攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)ISO/OSI 七層通信協(xié)議物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層計(jì)算機(jī)A計(jì)算機(jī)B物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層互聯(lián)網(wǎng) （TCP/IP) 層通信協(xié)議物理層數(shù)據(jù)鏈路層 (Ethernet)網(wǎng)絡(luò)層 (IP)傳輸層（TCP/UDP)應(yīng)用層 (HTTP, FTP)計(jì)算機(jī)A計(jì)算機(jī)B物理層數(shù)據(jù)鏈路層(Ethernet)網(wǎng)絡(luò)層 (IP)傳輸層(TCP/UDP)應(yīng)用層(HTTP, FTP) Introduction1-22網(wǎng)絡(luò)體系機(jī)構(gòu)網(wǎng)絡(luò)終端:應(yīng)用和終端機(jī)器 接入網(wǎng), 物理媒體: 有線, 無線的數(shù)據(jù)鏈路 骨干網(wǎng): 互聯(lián)的路由器網(wǎng)絡(luò)的網(wǎng)絡(luò)網(wǎng)絡(luò)終端終端機(jī)

10、器(hosts):運(yùn)行應(yīng)用程序 如互聯(lián)網(wǎng), 電郵在 “網(wǎng)絡(luò)的邊上”client/serverpeer-peer用戶端/服務(wù)器模型對(duì)等網(wǎng)絡(luò)模型:接入網(wǎng)絡(luò)和物理媒體Q: 如何把終端接入網(wǎng)絡(luò)?住戶接入網(wǎng)機(jī)構(gòu)接入網(wǎng) 移動(dòng)接入網(wǎng)考慮: 帶寬?獨(dú)享還是共享?骨干網(wǎng)（網(wǎng)絡(luò)核心） 路由器通過數(shù)據(jù)鏈路形成相聯(lián)接的網(wǎng)狀網(wǎng)根本問題: 數(shù)據(jù)如何通過網(wǎng)絡(luò)傳送？分組交換互聯(lián)網(wǎng)結(jié)構(gòu)：頂層網(wǎng)絡(luò)營(yíng)運(yùn)商（Tier 1 ISP）to/from customerspeering to/from backbone.POP: point-of-presence互聯(lián)網(wǎng)結(jié)構(gòu): 網(wǎng)絡(luò)的網(wǎng)絡(luò)地區(qū)性網(wǎng)絡(luò)運(yùn)營(yíng)商 Tier 1 ISPTier 1 I

11、SPTier 1 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISP地區(qū)性運(yùn)營(yíng)商可直接互聯(lián)互聯(lián)網(wǎng)結(jié)構(gòu): 網(wǎng)絡(luò)的網(wǎng)絡(luò)本地網(wǎng)絡(luò)服務(wù)提供商（接入網(wǎng)絡(luò)， local ISP）Tier 1 ISPTier 1 ISPTier 1 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPlocalISPlocalISPlocalISPlocalISPlocalISPTier 3ISPlocalISPlocalISPlocalISP互聯(lián)網(wǎng)結(jié)構(gòu): 網(wǎng)絡(luò)的網(wǎng)絡(luò)一個(gè)數(shù)據(jù)包需要經(jīng)歷很多不同的網(wǎng)絡(luò)!Tier 1

12、ISPTier 1 ISPTier 1 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPTier-2 ISPlocalISPlocalISPlocalISPlocalISPlocalISPTier 3ISPlocalISPlocalISPlocalISP源機(jī)器applicationtransportnetworklinkphysicalHtHnMsegmentHtdatagram終點(diǎn)機(jī)器applicationtransportnetworklinkphysicalHtHnHlMHtHnMHtMMnetworklinkphysicallinkphysical

13、HtHnHlMHtHnMHtHnMHtHnHlMrouterswitchmessageMHtMHnframe數(shù)據(jù)的封裝和傳輸提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介網(wǎng)絡(luò)技術(shù)基礎(chǔ)信息安全問題計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)網(wǎng)絡(luò)黑客能干什么？侵入:未經(jīng)授權(quán)進(jìn)入系統(tǒng)竊聽: 攔截消息篡改：主動(dòng)插入消息到當(dāng)前活動(dòng)的聯(lián)接 偽裝: 偽裝通信源地址會(huì)話綁架: 截取并控制當(dāng)前活動(dòng)的聯(lián)接“ 拒絕服務(wù): 帶寬、內(nèi)存、cpu占用， 利用漏洞癱瘓服務(wù) 。信息加密對(duì)稱鑰匙加密算法: 發(fā)送端和接收端有相同鑰匙公鑰加密算法 : 用公共鑰匙加密， 用私有鑰匙解密

14、原文原文密文KA加密算法解密算法Alices 加密鑰匙Bobs 解密鑰匙KB對(duì)稱鑰匙加密對(duì)稱鑰匙加密: Bob 和 Alice 共享一個(gè)鑰匙碼 : KQ: Bob 和 Alice 如何同意或確認(rèn)鑰匙碼?如何讓通信方共享鑰匙？ (如果他們不認(rèn)識(shí)而且沒有見過”)?原文消息密文KA-B加密算法解密算法KA-B原文消息 mK (m)A-BK (m)A-Bm = K ( ) A-B對(duì)稱鑰匙加密標(biāo)準(zhǔn)算法DES: 數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard美國(guó)加密算法標(biāo)準(zhǔn) NIST 199356-位對(duì)稱鑰匙, 64-位原文輸入安全性?可破解，要懷疑的后門解密算法用三鑰匙系列 (3-DES

15、) 增強(qiáng)安全性AES：增強(qiáng)加密標(biāo)準(zhǔn)2001制定取代DES數(shù)據(jù)128 位鑰匙128, 192, 或 256 位更好的安全性DES 一秒破譯的話， AES 要1490 000 億年才能破譯 公共鑰匙加密算法原文消息 m密文加密算法解密算法Bob的 公共鑰匙 key 原文消息K (m)B+K B+Bob 的 私有鑰匙 K B-m = K (K (m)B+B-公共鑰匙加密算法和對(duì)稱鑰匙加密完全不一樣 發(fā)送端、接收端不共享鑰匙所有人知道公共鑰匙只有接收者知道私鑰不能由公鑰推出私鑰RSA公共鑰匙加密算法數(shù)據(jù)完整性保護(hù)Bob 收到Alice的消息,必須確認(rèn):消息是從Alice來的 消息從Alice送出來后沒

16、有受到篡改數(shù)據(jù)哈希:給定一個(gè)消息 m， 產(chǎn)生定長(zhǎng)的哈希值, H(m)要求沒法找到兩個(gè)不同的消息 x, y 使得 H(x) = H(y)消息確認(rèn)碼 （MAC）ms(共享秘密)(消息)H(.)H(m+s)公共互聯(lián)網(wǎng)消息尾mH(m+s)s比較mH(m+s)H(.)H(m+s)(共享秘密)MD5 哈希函數(shù) (RFC 1321) 128-位 MAC 2005 對(duì)MD5的攻擊 SHA-1 也廣泛應(yīng)用美國(guó) 標(biāo)準(zhǔn) NIST, FIPS PUB 180-1160位 MAC數(shù)字簽名類似人手寫簽名功能的加密技術(shù)發(fā)送方(Bob) 數(shù)字簽名一個(gè)文件, 確認(rèn)他是文件創(chuàng)建者或文件擁有者 簽名可確認(rèn)，不能仿造: 接收者 (A

17、lice) 能夠向別人證明是發(fā)送方（ Bob）, 而不是別人 (包括 Alice自己) 對(duì)該文件做了簽名 不可否認(rèn)性：發(fā)送方不能否認(rèn)簽名數(shù)字簽名方法對(duì)消息m的數(shù)字簽名:Bob 用私有鑰匙 KB, 對(duì)消息進(jìn)行加密 KB(m)Alice 用Bob的共有鑰匙解密 m = KB( KB(m)-Dear AliceOh, how I have missed you. I think of you all the time! (blah blah blah)BobBob 的消息, m公共鑰匙加密算法Bob的 私有鑰匙K B-Bob加密消息 K B-(m)-+ 長(zhǎng)消息 MH: 哈希函數(shù)H(m)數(shù)字簽名(加密

18、)Bob 私有鑰匙 K B-+Bob 發(fā)送簽名消息Alice 確認(rèn) Bob 的簽名和消息的完整性KB(H(m)- 加密的消息 確認(rèn)碼KB(H(m)- 加密的消息 確認(rèn)碼 長(zhǎng)消息 MH: 哈希 函數(shù)H(m)數(shù)字簽名(解密)H(m)Bob 的公鑰 K B+相等 ?數(shù)字簽名 簽名 MAC安全套接字層 (SSL)提供任何采用TCP 的應(yīng)用的傳輸層安全 例如：https，ssh 安全功能: 服務(wù)器確認(rèn), 數(shù)據(jù)加密, 用戶確認(rèn)(可選)TCPIPTCP enhanced with SSLTCP socketApplicationTCPIP TCP APISSL sublayerApplicationSSLs

19、ocketSSL: 三步第一步1. 聯(lián)接建立:建立TCP聯(lián)接用CA簽名的證書確認(rèn)服務(wù)器（Alice）建立、加密（用服務(wù)器的公鑰）請(qǐng)求者的主密鑰并送給服務(wù)器 SSL hellocertificateKA+(MS)TCP SYNTCP SYNACKTCP ACKdecrypt using KA- to get MScreate MasterSecret (MS)SSL: 三步第二步2. 鑰匙產(chǎn)生:雙方用共享密鑰 產(chǎn)生四個(gè)鑰匙:EB: Bob-Alice 數(shù)據(jù)加密鑰匙EA: Alice-Bob數(shù)據(jù)加密鑰匙MB: Bob-Alice MAC keyMA: Alice-Bob MAC key加密和 MA

20、C 算法由雙方確認(rèn)SSL: 三步第三步3. 數(shù)據(jù)傳輸H( ).MBb1b2b3 bnddH(d)dH(d)H( ).EBTCP byte streamblock n bytes together compute MAC encrypt d, MAC, SSL seq. #SSL seq. #dH(d)Type Ver LenSSL record formatencrypted using EBunencryptedIPSec: 網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層加密 : 發(fā)送端加密發(fā)送的數(shù)據(jù)TCP 、UDP 、ICMP 和 SNMP等數(shù)據(jù)或消息.網(wǎng)絡(luò)層通信方確認(rèn)接收端可確認(rèn)源IP地址兩個(gè)主要協(xié)議（protoco

21、ls）:確認(rèn)頭（authentication header ，AH) 協(xié)議沒有數(shù)據(jù)加密功能封裝安全數(shù)據(jù)（encapsulation security payload ，ESP) 協(xié)議雙方握手:建立網(wǎng)絡(luò)層邏輯信道-安全關(guān)聯(lián)（security association ，SA)SA 單向.確認(rèn)頭（AH) 協(xié)議源確認(rèn)、數(shù)據(jù)完整性功能沒有加密功能中間路由器把數(shù)據(jù)包看成普通數(shù)據(jù)IP headerdata (e.g., TCP, UDP segment)AH header封裝安全數(shù)據(jù)（ESP) 協(xié)議源確認(rèn)、數(shù)據(jù)完整性功能、加密功能數(shù)據(jù) 和ESP 尾（trailer）加密 next header field

22、is in ESP trailer.IP headerTCP/UDP segmentESPheaderESPtrailerESPauthent.encryptedauthenticated提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊系統(tǒng)侵入攻擊加密算法攻擊完整性算法模仿數(shù)字簽名（攻擊數(shù)字簽名算法）攻擊通信方確認(rèn)機(jī)制篡改數(shù)據(jù)源攻擊可用性DOSDDOS計(jì)算機(jī)系統(tǒng)安全問題的主要原因系統(tǒng)軟件配置系統(tǒng)補(bǔ)丁沒有及時(shí)安裝開放一些不必要的服務(wù)應(yīng)用軟件配置軟件維護(hù)軟件沒有及時(shí)更新用戶管理弱的用戶

23、密碼規(guī)則弱的權(quán)限管理缺乏必要的安全軟件惡性軟件安裝老一代的黑客(2000 前)Profile:計(jì)算機(jī)迷14 到34 歲不用照顧家庭不為錢Source: Raimund Genes新一代黑客高中未畢業(yè)生“most of these people I infect are so stupid they really aint got no business being on the Internet in the first place.“技能用攻擊工具少量計(jì)算機(jī)知識(shí)工作時(shí)間: 2-10 分鐘管理 Botnet收入: 平均 $6,800 /月每天工作: 網(wǎng)上閑逛, 網(wǎng)上聊天 botnets 自動(dòng)掙

24、錢控制 13,000 以上的計(jì)算機(jī), 分布在世界各地 不斷地感染新的 Bot PCs, 下載廣告軟件和惡性軟件到受感染的機(jī)器 竊取敏感數(shù)據(jù)帳號(hào), 密碼, 電郵, 社會(huì)安全號(hào),信用卡號(hào), 銀行帳號(hào)等出售服務(wù)和非法數(shù)據(jù)給各種公司TopC, GammaC, Loudcash, or 180Solutions.Washington Post: Invasion of the Computer Snatchers網(wǎng)絡(luò)安全問題有多大?/stats/CERT 漏洞報(bào)告惡性軟件(Malware) 分類Virus(病毒)Worm(蠕蟲)Trojan(木馬)Bot and Botnet (僵尸和僵尸網(wǎng))Spywa

25、re (間諜軟件)Backdoor (后門)Downloader (下載軟件）Ransomware（敲詐軟件）Adware （廣告軟件）Rootkit （根權(quán)限軟件）常見的網(wǎng)絡(luò)攻擊分類2006 MITRE CVE stats: 21.5% of CVEs 是跨位置腳本攻擊 （XSS） 14% 對(duì)數(shù)據(jù)庫插入的攻擊 （SQL injection） 9.5% 網(wǎng)頁 php includes“ 7.9% 緩存溢出（buffer overflow）2005 年前, buffer overflows 是最常見2005 年后, Cross-Site Scripting (XSS) 最常見56安全漏洞： 網(wǎng)頁

26、漏洞占了主流Source: MITRE CVE trends網(wǎng)絡(luò)程序的漏洞已經(jīng)超過操作系統(tǒng)的漏洞網(wǎng)絡(luò)攻擊實(shí)例: SilentBankerProxy intercepts request and adds fieldsBank sends login page needed to log inWhen user submits information, also sent to attackerCredit: Zulfikar Ramzan網(wǎng)絡(luò)安全黑市RankLast Goods and servicesCurrentPreviousPrices12銀行賬號(hào)22%21%$10-100021信用卡

27、13%22%$0.40-$2037身份證信息9%6%$1-154N/R網(wǎng)上拍賣賬號(hào)7%N/A$1-858騙子郵件7%6%$2.50/wk - $50/wk (hosting); $25 design64垃圾郵件6%8%$1-1075電子郵件信息5%6%$0.83-$10/MB83電子郵件密碼5%8%$4-30Credit: Zulfikar Ramzan為什么有這么多安全漏洞？有漏洞的程序.不安全代碼重視一些原因較少的網(wǎng)絡(luò)安全課程編程課本不重視安全較少的安全檢查 編程語言（如C語言）本身不安全傳統(tǒng)的軟件模塊有安全問題用戶和運(yùn)營(yíng)商通常不夠重視安全安全花費(fèi)較高而不能立刻看到效果 安全漏洞的根源計(jì)算

28、機(jī)操作系統(tǒng) Microsoft OSLinux通信協(xié)議設(shè)計(jì)的漏洞通常是協(xié)議設(shè)計(jì)和制定的問題TCP syn-to-death也有可能程序設(shè)計(jì)造成問題應(yīng)用程序的漏洞Http Word蠕 蟲 病 毒蠕蟲病毒是能夠通過計(jì)算機(jī)網(wǎng)絡(luò)自我復(fù)制的惡性軟件 利用普及的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)或者應(yīng)用的設(shè)計(jì)漏洞 綠霸軟件通常造成巨大的損害 發(fā)動(dòng)分布式拒接服務(wù)攻擊（ DDOS ）, 安裝僵尸網(wǎng)絡(luò) 獲取敏感數(shù)據(jù)破壞敏感數(shù)據(jù)造成信息混亂蠕蟲病毒滲透方式 (Source S21sec)65% 利用瀏覽器的漏洞瀏覽器的安全錯(cuò)誤13%電子郵件的附件垃圾電郵和來源不明的電郵11%操作系統(tǒng)的漏洞 9% 互聯(lián)網(wǎng)下載其他 (2%)蠕蟲病毒造成

29、的損害Morris蠕蟲病毒, 1988感染了大概 6,000 計(jì)算機(jī)10% 連接到互聯(lián)網(wǎng)的計(jì)算機(jī) 損害： 一千萬美元 Code Red 蠕蟲病毒, 2001年7月16日Morris蠕蟲病毒 的衍生感染超過50萬臺(tái)服務(wù)器損害： $26 億美元Love Bug 蠕蟲病毒:損害 88 億美元Code Red （2001） 蠕蟲病毒感染速度Slammer 蠕蟲病毒傳播速度發(fā)作：01/25/2003漏洞發(fā)現(xiàn)：2002.6.25UDP 包 : 380字節(jié)ATM 服務(wù)中斷電話網(wǎng)絡(luò)阻塞 ( 911服務(wù)中斷)5 DNS 根服務(wù)器不能提供服務(wù)飛機(jī)航班延遲Slammer 蠕蟲病毒對(duì)服務(wù)器的影響僵尸網(wǎng)絡(luò)是個(gè)很大的安全

30、問題僵尸機(jī)器用戶沒有察覺的安裝在用戶機(jī)器里的小惡意程序大部分用戶沒有覺察到僵尸軟件安裝普通用戶是網(wǎng)絡(luò)安全的最薄弱環(huán)節(jié)需要加強(qiáng)對(duì)普通用戶的安全教育， 減少僵尸網(wǎng)絡(luò)的傳播和危害 成億用戶受到感染每天有53000新機(jī)器受到感染 (2007)僵尸網(wǎng)絡(luò)受僵尸軟件感染的機(jī)器聯(lián)成網(wǎng)絡(luò)由 命令和控制服務(wù)器管理 可用來做 DDOS, 信息戰(zhàn), 個(gè)人信息竊取, 發(fā)送垃圾郵件, 釣魚郵件僵尸網(wǎng)路在世各地廣泛危害 中, 美, 德, 西班牙, 法 是五個(gè)最多受感染機(jī)器的 僵尸網(wǎng)絡(luò)工作原理C & CBotBotBotBot中央控制僵尸網(wǎng)絡(luò)Centralized分布控制僵尸網(wǎng)絡(luò)2008年 僵尸網(wǎng)絡(luò)數(shù)僵尸網(wǎng)絡(luò)在世界的分布情況

31、計(jì)算機(jī)網(wǎng)絡(luò)攻擊基本步驟搜集信息 實(shí)施入侵 上傳程序、下載數(shù)據(jù) 利用一些方法來保持訪問，如后門、特洛伊木馬 隱藏蹤跡 攻擊協(xié)調(diào)和并發(fā)分布式拒絕服務(wù)攻擊Botnets, P2P 攻擊計(jì)算機(jī)網(wǎng)絡(luò)攻擊-搜集信息 了解將要攻擊的環(huán)境搜集匯總各種與目標(biāo)系統(tǒng)相關(guān)的信息，機(jī)器數(shù)目、類型、操作系統(tǒng)開放的服務(wù)（端口和入口點(diǎn) ）安裝的軟件畫出網(wǎng)絡(luò)圖計(jì)算機(jī)網(wǎng)絡(luò)攻擊漏洞查找和惡性軟件安裝 漏洞獲取依據(jù)漏洞庫查找匹配操作系統(tǒng)版本、開放服務(wù)、安裝軟件版本找出相關(guān)漏洞 專業(yè)漏洞測(cè)試和挖掘采用特定的反向思維方法分析運(yùn)行程序的反編碼利用專業(yè)的漏洞挖掘工具攻擊惡性軟件設(shè)計(jì)和使用現(xiàn)有的依據(jù)漏洞的惡性程序操作系統(tǒng)版本、開放服務(wù)、安裝軟

32、件版本找出相關(guān)漏洞自主開發(fā)的惡性程序Shellcode攻擊機(jī)器后獲得超級(jí)用戶密碼下載加密后的密碼文件并試圖解密計(jì)算機(jī)網(wǎng)絡(luò)攻擊入侵成功后的行為 安裝惡意軟件獲取超級(jí)用戶密碼下載用戶賬號(hào)/密碼文件并試圖離線解密安裝后門軟件獲取或破壞敏感數(shù)據(jù)下載加密后的密碼文件并試圖解密安裝擴(kuò)大攻擊的工具網(wǎng)絡(luò)掃描軟件網(wǎng)路嗅包程序攻擊腳本文件修改日志以掩蓋攻擊準(zhǔn)備協(xié)調(diào)攻擊網(wǎng)頁安全：典型網(wǎng)站結(jié)構(gòu)Web ApplicationFirewallLoadBalancerDBWS1WS2WS3FirewallAuthorization andAccess ManagementNetegrity (CA)Oblix (Oracl

33、e)AppServersFirewallIPS網(wǎng)頁漏洞SQL 插入利用網(wǎng)頁服務(wù)器應(yīng)用中的數(shù)據(jù)庫層的安全漏洞、插入攻擊代碼 瀏覽器或用戶端發(fā)送惡性輸入給服務(wù)器 不正確的用戶輸入檢查造成惡性的 SQL 操作XSS 跨位置腳本攻擊 攻擊者插入用戶端的腳本到網(wǎng)頁中而網(wǎng)頁被別的用戶顯示 惡性網(wǎng)站發(fā)送惡性腳本給無辜用戶，讓無辜用戶到良性網(wǎng)站竊取信息CSRF 跨位置請(qǐng)求偽造 其他問題HTTP response splitting, site redirects, SQL 插入 基本原理80Victim ServerVictim SQL DBAttackerpost malicious formuninten

34、ded queryValuable data12381SQL 插入PHP 例子$recipient = $_POSTrecipient; $sql = SELECT PersonID FROM Person WHERE Username=$recipient; $rs = $db-executeQuery($sql);問題 recipient 有可能用惡性的字符串$recipient = a or t=t $sql = SELECT PersonID FROM Person WHERE Username=a OR t=t 跨位置腳本攻擊 （XSS）Attack ServerVictim Ser

35、ver Victim clientvisit web sitereceive malicious pageclick on linkecho user input123send valuable data54Compromised Server0提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)信息安全總體評(píng)估安全總體規(guī)劃和安全評(píng)估方法制定IT 資源分類和安全要求分析IT工作流程和和策略風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)確認(rèn)部門業(yè)務(wù)和IT總體評(píng)估漏洞確認(rèn)威脅評(píng)估和詳細(xì)分析威脅解除或減輕措施威脅解決或減輕的回訪計(jì)算機(jī)和信息安全措

36、施及技術(shù)良好的總體安全規(guī)劃：終端層、網(wǎng)絡(luò)層、運(yùn)營(yíng)商層終端安全及時(shí)對(duì)操作系統(tǒng)打補(bǔ)丁， 獲得計(jì)算機(jī)更新IT 部門需對(duì)補(bǔ)丁測(cè)試：有效性、副作用、漏洞嚴(yán)重程度IT部門制定強(qiáng)制打補(bǔ)丁措施區(qū)分不同嚴(yán)重程度，制定打補(bǔ)丁的要求安裝防病毒軟件和反間諜軟件及時(shí)更新病毒的識(shí)別文件打開殺毒軟件的實(shí)時(shí)監(jiān)視功能安裝單機(jī)防火墻軟件網(wǎng)絡(luò)層網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)、網(wǎng)絡(luò)防內(nèi)容泄露系統(tǒng)、網(wǎng)閘運(yùn)營(yíng)商層提供解決信息安全必須的體系機(jī)構(gòu)和解決范例終端計(jì)算機(jī)安全：使用規(guī)范(1)辦公桌面系統(tǒng)必須安裝防病毒軟件啟動(dòng)病毒監(jiān)控在線自動(dòng)更新功能。(2)防止客戶機(jī)在瀏覽互聯(lián)網(wǎng)時(shí)，被含有惡意代碼的程序所感染將瀏覽器的安全級(jí)別調(diào)整為“中”將隱私級(jí)別設(shè)

37、置為“中高”(3)安裝操作系統(tǒng)最新的補(bǔ)丁軟件包彌補(bǔ)操作系統(tǒng)本身存在的安全漏洞防止被攻擊者或者計(jì)算機(jī)病毒所利用終端計(jì)算機(jī)安全：使用規(guī)范(4)啟動(dòng)操作系統(tǒng)的自動(dòng)更新服務(wù)或設(shè)定企業(yè)內(nèi)部系統(tǒng)自動(dòng)更新服務(wù)定期自動(dòng)升級(jí)并安裝最新的補(bǔ)丁程序強(qiáng)制執(zhí)行(5)密碼管理政策減少登錄密碼泄露或被破解的可能性按照一定的規(guī)則設(shè)置桌面系統(tǒng)的登錄密碼要求定期修改采用一次性密碼和固定密碼組合方式依據(jù)崗位定權(quán)限 （Role-Based Access Control)(6)定時(shí)清除IE瀏覽器的臨時(shí)文件夾防止部分敏感內(nèi)容的泄露。終端計(jì)算機(jī)安全：使用規(guī)范(7) 定期備份重要的文件防止意外情況造成文件損失保管好存儲(chǔ)備份文件的介質(zhì)可通過網(wǎng)

38、絡(luò)統(tǒng)一管理備份(8) 防止惡意代碼植入系統(tǒng)預(yù)防計(jì)算機(jī)病毒感染收到來歷不明的電子郵件時(shí)，不要隨意打開郵件，并立即予以刪除不隨便點(diǎn)不認(rèn)識(shí)的網(wǎng)絡(luò)鏈接不下載未驗(yàn)證的軟件(9)禁止在未經(jīng)授權(quán)的情況下，私自修改系統(tǒng)的計(jì)算機(jī)命名標(biāo)識(shí)和網(wǎng)絡(luò)配置。終端計(jì)算機(jī)安全：使用規(guī)范(10)禁止任何聯(lián)入辦公網(wǎng)絡(luò)的桌面系統(tǒng)使用調(diào)制解調(diào)器撥號(hào)上網(wǎng)。(11)禁止在未經(jīng)授權(quán)的情況下，私自安裝任何應(yīng)用軟件，在獲得授權(quán)后，只允許安裝與工作有關(guān)的正版應(yīng)用軟件。(12) 及時(shí)安裝應(yīng)用軟件的補(bǔ)丁(13) 禁止訪問互聯(lián)網(wǎng)上與工作無關(guān)或來歷不明的站點(diǎn)，禁止從互聯(lián)網(wǎng)下載與工作無關(guān)的文件。(14) 關(guān)閉不必要服務(wù)補(bǔ)丁的管理 部署簡(jiǎn)便的補(bǔ)丁解決方案與

39、微軟內(nèi)網(wǎng)WSUS服務(wù)器協(xié)作，實(shí)時(shí)檢測(cè)補(bǔ)丁列表，按組織機(jī)構(gòu)設(shè)定補(bǔ)丁安裝策略，對(duì)未在規(guī)定時(shí)間內(nèi)安裝補(bǔ)丁的客戶機(jī)進(jìn)行報(bào)警，支持補(bǔ)丁安裝情況的查詢。與微軟補(bǔ)丁服務(wù)相比，擁有以下特點(diǎn)： 部署簡(jiǎn)便 減少信息獲取延時(shí) 明確補(bǔ)丁安裝情況 靈活配置安裝策略終端機(jī)器補(bǔ)丁管理解決方案終端計(jì)算機(jī)安全：主機(jī)安全審計(jì)覆蓋到服務(wù)器和客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；事件記錄包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等；根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警；審計(jì)進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)

40、期的中斷；審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。提 綱網(wǎng)絡(luò)和信息安全基本問題公安部信息系統(tǒng)安全保護(hù)等級(jí)安全管理體制信息安全技術(shù)簡(jiǎn)介計(jì)算機(jī)網(wǎng)絡(luò)和信息安全攻擊主機(jī)安全保護(hù)技術(shù)網(wǎng)絡(luò)安全保護(hù)技術(shù)安全隔離與信息交換系統(tǒng)（網(wǎng)閘）提供安全隔離和信息交換的服務(wù)專用硬件進(jìn)行數(shù)據(jù)交換仲裁機(jī)負(fù)責(zé)完成安全保密檢查在安全隔離的基礎(chǔ)上，實(shí)現(xiàn)內(nèi)外網(wǎng)之間有效、安全、受控的數(shù)據(jù)交換。網(wǎng)絡(luò)準(zhǔn)入控制(NAC)系統(tǒng) 為訪問網(wǎng)絡(luò)資源的所有終端設(shè)備(如PC、筆記本電腦、服務(wù)器、智能電話或PDA等)提供足夠保護(hù)將防病毒、安全和管理解決方案結(jié)合在一起防御網(wǎng)絡(luò)安全威脅 NAC的優(yōu)勢(shì)分析并控制試圖訪問網(wǎng)絡(luò)的所有設(shè)備僅允許遵守安全

41、策略的可信終端設(shè)備(PC、服務(wù)器及PDA等)訪問網(wǎng)絡(luò)控制不符合策略或不可管理的設(shè)備訪問網(wǎng)絡(luò)。確保每個(gè)終端設(shè)備都符合企業(yè)安全策略最相關(guān)的、最先進(jìn)的安全保護(hù)措施網(wǎng)絡(luò)防火墻 放在內(nèi)網(wǎng)和外網(wǎng)之間的軟件和硬件屏障系統(tǒng) 進(jìn)入內(nèi)部網(wǎng)絡(luò)（LAN）的第一關(guān)卡監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息并阻斷有害信息依據(jù)設(shè)計(jì)或設(shè)置規(guī)則允許或截?cái)鄶?shù)據(jù)流源 IP地址/端口, 終點(diǎn) IP地址/端口, 服務(wù)類型, 協(xié)議, 源或者終點(diǎn)服務(wù)領(lǐng)域, 等.有狀態(tài)的防火墻依據(jù)會(huì)話狀態(tài)而不僅是數(shù)據(jù)包本身決定數(shù)據(jù)是否通過 防火墻的演變從數(shù)據(jù)包過濾器到基于會(huì)話狀態(tài)的新一代防火墻隨著威脅的變化而演變防火墻/安全互聯(lián)網(wǎng) 虛擬私有網(wǎng)絡(luò)（VPN ） 保護(hù)遠(yuǎn)程安全登錄

42、和數(shù)據(jù)通信綜合威脅管理（UTM） 防病毒（AV）, 防垃圾郵件（antispam）, 網(wǎng)址過濾（URL filtering）, 深度數(shù)據(jù)包檢測(cè)和網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)（DI/IPS）。把大量的安全功能放在同一個(gè)安全系統(tǒng)中 應(yīng)用軟件/新一代網(wǎng)關(guān)從網(wǎng)絡(luò)外圍到網(wǎng)絡(luò)核心體系解決演化的網(wǎng)絡(luò)功能設(shè)計(jì) 多個(gè)網(wǎng)絡(luò)進(jìn)入口伙伴軟件接口, 遠(yuǎn)程連接, 無線接入, 等網(wǎng)絡(luò)分段功能 網(wǎng)絡(luò)分區(qū)對(duì)用戶角色和責(zé)任的確保 HSS BU 防火墻工作方法 拒絕沒有特別允許的任何事情。 假定防火墻應(yīng)該阻塞所有的信息 每一種所期望的服務(wù)或應(yīng)用都是實(shí)現(xiàn)在case- by-case的基礎(chǔ)上。 允許沒有特別拒絕的任何事情。 轉(zhuǎn)發(fā)所有的信息 可能存在

43、危害的服務(wù)都應(yīng)在case-by-case的 基礎(chǔ)上關(guān)掉。防火墻的功能控制計(jì)算機(jī)網(wǎng)絡(luò)不同信任程度區(qū)域間傳送的數(shù)據(jù)流網(wǎng)絡(luò)安全的屏障提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)強(qiáng)化網(wǎng)絡(luò)安全策略防火墻為中心的安全方案配置實(shí)現(xiàn)所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)記錄下網(wǎng)絡(luò)訪問并產(chǎn)生日志記錄提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)防止內(nèi)部信息的外泄VPNNetscreen 5400 防火墻基本參數(shù)接口數(shù)量 ：8個(gè)mini-GBIC（SX、LX或TX）接口，或者2個(gè)XFP 萬兆接口（SR或LR）最大吞吐量：30 Gbps FW，15 Gbps 3DES VPN最大會(huì)話數(shù)量：2,0

44、00,000最大VPN隧道數(shù)量 ：25,000最大策略數(shù)量 ：40,000最大虛擬系統(tǒng)數(shù)量：默認(rèn)0個(gè)，可升級(jí)到500個(gè)最大虛擬局域網(wǎng)數(shù)量 ：4094最大安全區(qū)數(shù)量 ：默認(rèn)16個(gè)，可升級(jí)到1,016個(gè)最大虛擬路由器數(shù)量：默認(rèn)3個(gè)，可升級(jí)到503個(gè)支持的路由協(xié)議： OSPF, BGP, RIPv1/v2支持的高可用性模式 主/備， 主/主， 主/主全網(wǎng)狀I(lǐng)PS（深層檢測(cè)防火墻） 集成/重定向Web過濾 防火墻產(chǎn)品應(yīng)用案例防火墻的使用演變ENTERPRISE NETWORKAppsDataFinanceVideoFirewallWork StationsUn-trust ZoneTrust Zone

45、Web ServerEmail ServerRouter分支機(jī)構(gòu)合作伙伴遠(yuǎn)程工作點(diǎn)無線接入伙伴接入系統(tǒng)數(shù)據(jù)中心移動(dòng)家/ 遠(yuǎn)程登錄數(shù)據(jù)中心INTERNET防火墻的使用演變Mega Data Centers(thousands)Clients(billions)Global High-Performance NetworkCampusBranchHomeMobile工作人員全球化數(shù)據(jù)、應(yīng)用綜合化分布式企業(yè)體系結(jié)構(gòu)防火墻現(xiàn)狀專用高速防火墻/虛擬網(wǎng)絡(luò)（ FW/VPN）高性能從2 Gbps 到 120 Gbps 吞吐量 加強(qiáng)網(wǎng)絡(luò)各層功能虛擬化管理 VLANs, 虛擬路由器（Virtual Routers

46、）, 安全區(qū)（Security Zones）等.虛擬私有網(wǎng)絡(luò)和安全互聯(lián)網(wǎng)（IPSec VPN）多種功能動(dòng)態(tài)路由, NAT, 質(zhì)量保障（QoS）, IPS, ALGs, HA, 。網(wǎng)絡(luò)安全審計(jì)系統(tǒng) 采用旁路或在線方式網(wǎng)絡(luò)安全：審計(jì)和防內(nèi)容泄露網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等全面的監(jiān)測(cè)和記錄；事件審計(jì)記錄：事件的日期和時(shí)間、用戶、事件類型、事件是否成功，及其他與審計(jì)相關(guān)的信息；根據(jù)記錄數(shù)據(jù)進(jìn)行分析，生成審計(jì)報(bào)表；對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警；審計(jì)記錄應(yīng)保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。對(duì)網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)進(jìn)行審計(jì)分析監(jiān)控到內(nèi)部網(wǎng)絡(luò)中的外網(wǎng)訪問行為郵件、MSN/QQ聊天、Web訪問

47、、網(wǎng)絡(luò)游戲、文件傳輸、在線電影頻道行為基于業(yè)務(wù)的帶寬分配、流量限制等防內(nèi)容泄露保護(hù)實(shí)時(shí)阻斷重要文件外傳產(chǎn)生報(bào)警信息， 生成事件日志審計(jì)和防內(nèi)容泄露：邊界完整性檢測(cè)檢測(cè)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）對(duì)非授權(quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查，定位，阻斷網(wǎng)絡(luò)入侵保護(hù) （IPS）和內(nèi)容審核系統(tǒng)3G/4G 移動(dòng)子網(wǎng)路由器IP網(wǎng) 3G/4G 移動(dòng)子網(wǎng)3G /4G移動(dòng)子網(wǎng)路由器移動(dòng) 數(shù)據(jù)中心/服務(wù)器系統(tǒng)防火墻內(nèi)容審核系統(tǒng)反入侵系統(tǒng)內(nèi)容審核系統(tǒng)網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)的優(yōu)點(diǎn)Dropped from the network優(yōu)點(diǎn)攻擊實(shí)時(shí)阻斷，避免影響網(wǎng)絡(luò)減少攻擊調(diào)查時(shí)間 適用

48、任何類型的網(wǎng)絡(luò)數(shù)據(jù) (IP, TCP, UDP, 等)只對(duì)有害數(shù)據(jù)丟包在線激活的安全系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)應(yīng)用層的攻擊并阻斷惡性軟件的傳播UserUserUserServersMailServerWebServerFirewallHTTP TrafficCode red網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)典型應(yīng)用大企業(yè)或網(wǎng)絡(luò)運(yùn)營(yíng)商地區(qū)辦公室中小企業(yè)中型企業(yè)綜合 FW/IPSIPSIPSIPS數(shù)據(jù)包處理器網(wǎng)絡(luò)入侵保護(hù) （IPS）管理系統(tǒng)體系結(jié)構(gòu)數(shù)據(jù)包處理引擎 數(shù)據(jù)包輸入/輸出數(shù)據(jù)包分片重組數(shù)據(jù)流管理流量異常檢查協(xié)議分檢器分析和譯解各種應(yīng)用協(xié)議安全規(guī)則包含各種安全檢查、內(nèi)容審核和內(nèi)容過濾等規(guī)則安全規(guī)則和協(xié)議分檢器可動(dòng)態(tài)安

49、裝、更新協(xié)議分檢器安全/內(nèi)容審核規(guī)則網(wǎng)絡(luò)日志管理系統(tǒng)措施執(zhí)行 網(wǎng)絡(luò)端口網(wǎng)絡(luò)入侵保護(hù)（IPS）管理系統(tǒng)數(shù)據(jù)包處理引擎IP 數(shù)據(jù)包分片重組（僅對(duì)v4)TCP 數(shù)據(jù)流重組應(yīng)用程序 (HTTP,SIP,WAP) 剖析 事件關(guān)聯(lián)分析網(wǎng)絡(luò)日志 + 抓包數(shù)據(jù)流匹配查詢/建立措施執(zhí)行 網(wǎng)絡(luò)端口UDP 數(shù)據(jù)流網(wǎng)絡(luò)攻擊檢測(cè)庫內(nèi)容審核規(guī)則庫攻擊匹配(硬件加速）(硬件加速)內(nèi)容審核/過濾數(shù)據(jù)準(zhǔn)入控制數(shù)據(jù)準(zhǔn)入規(guī)則基于簽名的攻擊檢測(cè)庫基于網(wǎng)絡(luò)數(shù)據(jù)流異常的檢測(cè)庫網(wǎng)絡(luò)攻擊檢測(cè)和防護(hù)系統(tǒng)基于網(wǎng)絡(luò)協(xié)議異常的檢測(cè)庫基于用戶交互特點(diǎn)的檢測(cè)庫網(wǎng)絡(luò)入侵保護(hù) （IPS）多種網(wǎng)絡(luò)攻擊檢測(cè)庫數(shù)據(jù)準(zhǔn)入控制數(shù)據(jù)包措施數(shù)據(jù)終點(diǎn)黑名單數(shù)據(jù)流措施數(shù)據(jù)流

50、黑名單防火墻規(guī)則接入控制規(guī)則數(shù)據(jù)優(yōu)先級(jí)處理終端安全遵守綠色通道數(shù)據(jù)源黑名單網(wǎng)絡(luò)入侵保護(hù) （IPS）數(shù)據(jù)準(zhǔn)入控制 數(shù)據(jù)網(wǎng)絡(luò)入侵保護(hù) （IPS）通信協(xié)議異常檢查通信協(xié)議應(yīng)該是明確規(guī)定的準(zhǔn)確描述正常使用狀態(tài) 移動(dòng)互聯(lián)網(wǎng)安全管理系統(tǒng)可以檢測(cè)到對(duì)協(xié)議（漏洞）的濫用和非正常使用對(duì)新的移動(dòng)網(wǎng)絡(luò)協(xié)議的保護(hù)非常有效提供 0 天攻擊保護(hù) 對(duì)還沒有給濫用的漏洞提供保護(hù)例如: 各種緩存溢出攻擊新的基于WAP協(xié)議的攻擊基于SIP(新一代移動(dòng)網(wǎng)絡(luò)信令系統(tǒng)）的攻擊 IPS基于協(xié)議狀態(tài)和特征的攻擊檢測(cè)和防護(hù)分析被保護(hù)網(wǎng)絡(luò)設(shè)備服務(wù)、操作系統(tǒng)和應(yīng)用跟蹤應(yīng)用協(xié)議的關(guān)聯(lián)狀態(tài)(protocol context)尋找在關(guān)聯(lián)狀態(tài)下的攻擊的

51、模式 避免盲目掃描所有的數(shù)據(jù)流提高有效性減少錯(cuò)判（false-positives）實(shí)時(shí)阻斷攻擊， 產(chǎn)生準(zhǔn)入控制規(guī)則例如: Code Red 蠕蟲病毒利用 HTTP 協(xié)議的 GET 請(qǐng)求 攻擊只需要對(duì) HTTP 的GET命令的 數(shù)據(jù)進(jìn)行特征的攻擊檢測(cè) 網(wǎng)絡(luò)入侵保護(hù) （IPS）網(wǎng)絡(luò)流量異常檢查識(shí)別非正常流量的網(wǎng)絡(luò)數(shù)據(jù)對(duì)每一類 IP 數(shù)據(jù)包，維持正常使用的統(tǒng)計(jì)數(shù)據(jù)對(duì)每一個(gè)會(huì)話，依據(jù)網(wǎng)絡(luò)協(xié)議，統(tǒng)計(jì)相關(guān)的數(shù)據(jù)包情況對(duì)每一類應(yīng)用協(xié)議的協(xié)議關(guān)聯(lián)的數(shù)據(jù)包，維持正常使用的統(tǒng)計(jì)數(shù)據(jù)如http協(xié)議 的 get, put 等關(guān)聯(lián)狀態(tài)可檢測(cè)到基于應(yīng)用層的網(wǎng)絡(luò)分布式拒接服務(wù)攻擊可檢測(cè)到采用加密數(shù)據(jù)的分布式攻擊網(wǎng)絡(luò)入侵保護(hù)

52、 （IPS）后門、木馬程序檢查如果系統(tǒng)給開了后門，我們必須檢測(cè)到分析用戶和機(jī)器的交互數(shù)據(jù)，可判斷是否有后門連接采用基于用戶交互特點(diǎn)的檢測(cè)庫例如: 從網(wǎng)絡(luò)服務(wù)器主動(dòng)連到外面的數(shù)據(jù) （IPS）基于協(xié)議狀態(tài)內(nèi)容審核和過濾動(dòng)態(tài)更新內(nèi)容過濾規(guī)則跟蹤應(yīng)用協(xié)議的關(guān)聯(lián)狀態(tài)(protocol context)尋找在關(guān)聯(lián)狀態(tài)下的內(nèi)容匹配 避免盲目掃描所有的數(shù)據(jù)流提高有效性減少錯(cuò)判（false-positives）依據(jù)過濾規(guī)則，產(chǎn)生數(shù)據(jù)準(zhǔn)入規(guī)則如網(wǎng)站黑名單網(wǎng)絡(luò)黑名單終端黑名單對(duì)圖像和多媒體內(nèi)容，采用單獨(dú)加速的模塊進(jìn)行過濾IPS系統(tǒng)工作模式工作模式監(jiān)控模式（Tap mode）事件日志內(nèi)容監(jiān)控和溯源在線模式（Inline mode)實(shí)時(shí)阻斷攻擊實(shí)時(shí)過濾內(nèi)容1+1保護(hù)模式故障連接功能故障長(zhǎng)通模式和故障長(zhǎng)斷模式可由軟件控制IPS 規(guī)則 idp-policy test rulebase-ips rule 1 match from-zone trust; source-address 0/24; to-zone untrust; destination-address 0/24; application http; atta