2023/5/2512023/5/251內(nèi)容安排1.4黑客1.5網(wǎng)絡(luò)攻擊過程1.6常用的防護措施1.7網(wǎng)絡(luò)安全策略及制訂原則1.8網(wǎng)絡(luò)安全體系設(shè)計1.9小結(jié)目前一頁\總數(shù)九十二頁\編于九點2023/5/2522.1黑客黑客（hacker），源于英語動詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令、放置木馬、web欺騙技術(shù)、電子郵件攻擊、通過一個節(jié)點攻擊另一節(jié)點、網(wǎng)絡(luò)監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等。目前二頁\總數(shù)九十二頁\編于九點2023/5/253黑客起源起源地：美國精神支柱：對技術(shù)的渴求對自由的渴求歷史背景：越戰(zhàn)與反戰(zhàn)活動馬丁·路德金與自由嬉皮士與非主流文化電話飛客與計算機革命中國黑客發(fā)展歷史1998年印尼事件1999年南聯(lián)盟事件綠色兵團南北分拆事件中美五一黑客大戰(zhàn)事件目前三頁\總數(shù)九十二頁\編于九點“頭號電腦黑客”--凱文·米特尼克

1964年出生的KevinDavidMitnick，被稱之為世界上“頭號電腦黑客”。他在15歲時就成功破解北美空中防務(wù)指揮系統(tǒng)，翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料。不久之后，他又進入了美國著名的“太平洋電話公司”的通信網(wǎng)絡(luò)系統(tǒng)。更改了這家公司的電腦用戶，包括一些知名人士的號碼和通訊地址。導(dǎo)致太平洋公司不得不作出賠償。而太平洋電腦公司經(jīng)過相當(dāng)長時間才明白自己的系統(tǒng)被入侵了。隨后他開始攻擊聯(lián)邦調(diào)查局的網(wǎng)絡(luò)系統(tǒng)，并成功的進入其中。發(fā)現(xiàn)聯(lián)邦調(diào)查局正在調(diào)查一名”黑客”，而這個“黑客“正是他自己，但他并未重視。在其后的活動中多次被計算機信息跟蹤機跟蹤，并在16歲時被第一次逮捕，成為全球第一名網(wǎng)絡(luò)少年犯。Mitnick隨后并未收手，先后成功入侵了諾基亞、摩托羅拉、升陽以及富士通等公司的計算機，盜取企業(yè)重要資料，給這些公司造成高達4億美元的損失。1994年，Mitnick向圣地亞哥超級計算機中心進行入侵攻擊，并戲弄了聯(lián)邦調(diào)查局聘請而來專為緝拿他的被稱為“美國最出色的電腦安全專家”的日裔美籍計算機專家下村勉，并于1995年再次被捕。2001年釋放，2002年徹底自由，開始作為為美國互聯(lián)網(wǎng)雜志專欄作家，以安全專家的身份出現(xiàn)。

目前四頁\總數(shù)九十二頁\編于九點2023/5/2552023/5/255黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計算機為人民服務(wù)漏洞發(fā)現(xiàn)-Flashsky軟件破解-0Day工具提供-Glacier白帽子創(chuàng)新者設(shè)計新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由目前五頁\總數(shù)九十二頁\編于九點2023/5/256常見的黑客攻擊及入侵技術(shù)的發(fā)展

19801985199019952000密碼猜測可自動復(fù)制的代碼密碼破解利用已知的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動探測掃描拒絕服務(wù)www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊2005高目前六頁\總數(shù)九十二頁\編于九點2023/5/2572023/5/257攻擊案例：對日網(wǎng)絡(luò)攻擊從2003年7月31日晚間開始，國內(nèi)一批黑客組織按約定對日本政府機關(guān)、公司和民間機構(gòu)網(wǎng)站展開攻擊本次攻擊歷時五天，以宣揚“愛國”精神和發(fā)泄對日不滿情緒為主要目的，通過篡改主頁等技術(shù)手段，在一定程度上達到了預(yù)期目的，對日本網(wǎng)站造成了某些破壞期間有十幾家日本網(wǎng)站（包括可能是被誤攻擊的韓國、臺灣網(wǎng)站）被攻擊成功，頁面被修改目前七頁\總數(shù)九十二頁\編于九點2023/5/258對日網(wǎng)絡(luò)攻擊的調(diào)查序號攻擊者受害者地址受害者單位備注1云中子www.npa.go.jp日本警察廳官方網(wǎng)站，已于7月31日23點恢復(fù)2中國黑鷹聯(lián)盟6SKYNETCorporation日本民間公司3Squall5臺灣中華電信數(shù)據(jù)通信分公司不是日本目標(biāo)4Skywalker4大王（DAIO）制紙株式會社日本民間公司5中國黑鷹聯(lián)盟49韓國大宇(DAEWOO)INFORMATIONSYSTEMBRENIC不是日本目標(biāo)6中國菜鳥聯(lián)盟6同2SKYNETCorporation日本民間公司目前八頁\總數(shù)九十二頁\編于九點2023/5/259對日網(wǎng)絡(luò)攻擊的調(diào)查（續(xù)）7雙子情劍49USTK0002-082broadgate日本目標(biāo)8雪落無聲

andHvTB4KnowledgeNetWorksCo.,Inc.日本目標(biāo)9雪落無聲78DreamTrainInternetInc.日本目標(biāo)10網(wǎng)絡(luò)失足男孩85NECCorporation日本民間公司11雪落無聲0AIKYUCo.,Ltd日本民間公司12Skywalker4大王（DAIO）制紙株式會社日本民間公司13星火網(wǎng)絡(luò)96MatsumuraBussanCorporation日本民間公司目前九頁\總數(shù)九十二頁\編于九點2023/5/2510對日網(wǎng)絡(luò)攻擊的調(diào)查（續(xù)）目前十頁\總數(shù)九十二頁\編于九點2023/5/2511攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件2007年11月3日，部分用戶在訪問騰訊迷你首頁網(wǎng)站(http:///)時，會被惡意代碼感染，系統(tǒng)會自動從惡意網(wǎng)站上下載并運行惡意程序。由于該站點為QQ軟件啟動時默認(rèn)自動彈出，具有極高的訪問量。攻擊者采用的攻擊方法是劫持DNS解析過程，篡改騰訊迷你首頁的DNS記錄。非法劫持騰訊“迷你網(wǎng)”主頁域名傳播17種32個計算機木馬病毒，使全國數(shù)百萬網(wǎng)民在訪問“迷你網(wǎng)”主頁，玩?zhèn)髌?、魔獸等網(wǎng)絡(luò)游戲時，游戲帳號和密碼被秘密發(fā)送到木馬程序設(shè)置的遠(yuǎn)程接收服務(wù)器上，該團伙迅速盜取帳號和密碼，在網(wǎng)上銷贓套現(xiàn)，銷贓所得按“貢獻”大小分成。不到兩個月時間，馬志松等人就盜竊數(shù)十萬網(wǎng)上用戶的游戲帳號和密碼，非法獲利40余萬元，馬志松分得15萬元。騰訊“迷你網(wǎng)”因停止服務(wù)，造成直接損失20余萬元。目前十一頁\總數(shù)九十二頁\編于九點2023/5/2512攻擊案例（2）：

利用DNS劫持攻擊大型網(wǎng)站事件（續(xù)）2007年11月19日，無錫市公安局網(wǎng)警支隊接報：當(dāng)月5日至19日期間，全國部分地區(qū)的互聯(lián)網(wǎng)用戶在訪問深圳市騰訊計算機系統(tǒng)有限公司迷你網(wǎng)主頁時，被錯誤指向到位于無錫市的病毒服務(wù)器，造成上百萬網(wǎng)民的電腦受病毒感染，騰訊公司被迫停止網(wǎng)站服務(wù)，造成重大經(jīng)濟損失。警方立即開展偵查，于同年12月，分別在四川成都、江蘇張家港、黑龍江東寧等地抓獲6名犯罪嫌疑人。江蘇省公安廳信息網(wǎng)絡(luò)安全監(jiān)察部門在馬志松等人使用的電腦硬盤中發(fā)現(xiàn)了用于攻擊網(wǎng)站的破壞性程序。經(jīng)審查，2007年9月底至11月中旬，這一團伙在成都市使用編譯好的劫持程序?qū)ι虾?、重慶、揚州等10余個城市共計27臺域名服務(wù)器實施攻擊劫持，借機盜取網(wǎng)絡(luò)游戲賬號。法院審理認(rèn)為，6名被告違反國家規(guī)定，對計算機信息系統(tǒng)功能進行干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴(yán)重，均已構(gòu)成破壞計算機信息系統(tǒng)罪。馬志松等6名被告被江蘇無錫濱湖區(qū)法院一審分別判處四年至一年不等有期徒刑。目前十二頁\總數(shù)九十二頁\編于九點2023/5/25132.2網(wǎng)絡(luò)攻擊過程網(wǎng)絡(luò)攻擊過程一般可以分為本地入侵和遠(yuǎn)程入侵在這里主要介紹遠(yuǎn)程攻擊的一般過程：遠(yuǎn)程攻擊的準(zhǔn)備階段遠(yuǎn)程攻擊的實施階段遠(yuǎn)程攻擊的善后階段目前十三頁\總數(shù)九十二頁\編于九點2023/5/2514遠(yuǎn)程攻擊的準(zhǔn)備階段確定攻擊目標(biāo)信息收集服務(wù)分析系統(tǒng)分析漏洞分析目前十四頁\總數(shù)九十二頁\編于九點2023/5/2515攻擊準(zhǔn)備1—確定攻擊目標(biāo)攻擊者在進行一次完整的攻擊之前，首先要確定攻擊要達到什么樣的目的，即給受侵者造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標(biāo)，使之不能正常工作，而不能隨意控制目標(biāo)上的系統(tǒng)運行。入侵型攻擊——這種攻擊要獲得一定的權(quán)限才能達到控制攻擊目標(biāo)的目的。應(yīng)該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因為攻擊者一旦掌握了一定的權(quán)限、甚至是管理員權(quán)限就可以對目標(biāo)做任何動作，包括破壞性質(zhì)的攻擊。目前十五頁\總數(shù)九十二頁\編于九點2023/5/2516攻擊準(zhǔn)備2—信息收集（踩點）利用一切公開的、可利用的信息來調(diào)查攻擊目標(biāo)包括目標(biāo)的操作系統(tǒng)類型及版本、相關(guān)軟件的類型、版本及相關(guān)的社會信息包括以下技術(shù)低級技術(shù)偵察Web搜索Whois數(shù)據(jù)庫域名系統(tǒng)（DNS）偵察目前十六頁\總數(shù)九十二頁\編于九點低級技術(shù)偵察社交工程

在黑客理論中，指利用人性弱點、利用人際交往上的漏洞來非法獲取資料的行為。物理闖入垃圾搜尋你能找出垃圾搜尋的例子嗎？目前十七頁\總數(shù)九十二頁\編于九點Web搜索搜索一個組織自己的web站點有電話號碼的職員聯(lián)系信息關(guān)于公司文化和語言的信息商務(wù)伙伴最近的合并和兼并公司正使用的技術(shù)使用搜索引擎搜索論壇BBS（電子公告欄）Usenet（新聞組）目前十八頁\總數(shù)九十二頁\編于九點Whois數(shù)據(jù)庫搜索whois數(shù)據(jù)庫：包括各種關(guān)于Internet地址分配、域名和個人聯(lián)系方式的數(shù)據(jù)庫。研究.com,.net,.org域名研究非.com,.net和.org域名國家代碼:教育（.edu):軍事代碼（.mit):政府(.gov):目前十九頁\總數(shù)九十二頁\編于九點Whois數(shù)據(jù)庫搜索(續(xù))搜索目標(biāo)域名目前二十頁\總數(shù)九十二頁\編于九點Whois數(shù)據(jù)庫搜索(續(xù))搜索目標(biāo)IP美國Internet注冊局：歐洲網(wǎng)絡(luò)協(xié)調(diào)中心：亞太網(wǎng)絡(luò)協(xié)調(diào)中心：中國互聯(lián)網(wǎng)絡(luò)信息中心：目前二十一頁\總數(shù)九十二頁\編于九點亞太網(wǎng)絡(luò)信息中心目前二十二頁\總數(shù)九十二頁\編于九點DNS搜索Nslookup

使用DNS的排錯工具nslookup，你可以利用從whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。例如，使用nslookup命令把你的主機偽裝成secondaryDNS服務(wù)器，如果成功便可以要求從主DNS服務(wù)器進行區(qū)域傳送。要是傳送成功的話，你將獲得大量有用信息，包括：a)使用此DNS服務(wù)器做域名解析到所有主機名和IP地址的映射情況b)公司使用的網(wǎng)絡(luò)和子網(wǎng)情況c)主機在網(wǎng)絡(luò)中的用途。許多公司使用帶有描述性的主機名，像，和。

目前二十三頁\總數(shù)九十二頁\編于九點DNS搜索使用nslookup實現(xiàn)區(qū)域傳送的過程（1）使用whois命令查詢目標(biāo)網(wǎng)絡(luò)，例如在提示符下輸入whois（2）你會得到目標(biāo)網(wǎng)絡(luò)的primary和slaveDNS服務(wù)器的信息。例如，假設(shè)主DNS服務(wù)器的名字是

（3）使用交互查詢方式，缺省情況下nslookup會使用缺省的DNS服務(wù)器作域名解析。鍵入命令server定位目標(biāo)網(wǎng)絡(luò)的DNS服務(wù)器；（4）列出目標(biāo)網(wǎng)絡(luò)DNS服務(wù)器的內(nèi)容，如ls。此時DNS服務(wù)器會把數(shù)據(jù)傳送給你，當(dāng)然，管理員可以禁止DNS服務(wù)器進行區(qū)域傳送，目前很多公司將DNS服務(wù)器至于防火墻的保護之下并嚴(yán)格設(shè)定了只能向某些主機進行區(qū)域傳送。

一旦你從區(qū)域傳送中獲得了有用信息，你便可以對每臺主機實施端口掃描以確定它們提供了那些服務(wù)。如果你不能實現(xiàn)區(qū)域傳送，你還可以借助ping和端口掃描工具，當(dāng)然還有traceroute。目前二十四頁\總數(shù)九十二頁\編于九點2023/5/2525攻擊準(zhǔn)備2—信息收集（踩點）收集目標(biāo)系統(tǒng)相關(guān)信息的協(xié)議和工具Ping實用程序TraceRoute、Tracert、X-firewalk程序Whois協(xié)議Finger協(xié)議SNMP協(xié)議目前二十五頁\總數(shù)九十二頁\編于九點2023/5/2526攻擊準(zhǔn)備2—信息收集（踩點）在網(wǎng)絡(luò)中主機一般以IP地址進行標(biāo)識。例如選定這臺主機為攻擊目標(biāo)，使用ping命令可以探測目標(biāo)主機是否連接在Internet中。在Windows下使用ping命令測試：測試結(jié)果如下頁圖所示。說明此主機處于活動狀態(tài)。目前二十六頁\總數(shù)九十二頁\編于九點2023/5/25網(wǎng)絡(luò)入侵與防范講義272023/5/25網(wǎng)絡(luò)入侵與防范講義27目前二十七頁\總數(shù)九十二頁\編于九點2023/5/2528攻擊準(zhǔn)備3－服務(wù)分析（掃描查點分析）探測目標(biāo)主機所提供的服務(wù)、相應(yīng)端口是否開放、各服務(wù)所使用的軟件版本類型：如利用Telnet、haktek等工具，或借助SuperScan、Nmap等這類工具的端口掃描或服務(wù)掃描功能。舉例：Windows下，開始—運行—cmd輸入：telnet5080，然后回車結(jié)果如下頁圖所示，說明這臺主機上運行了http服務(wù)，Web服務(wù)器版本是IIS5.1目前二十八頁\總數(shù)九十二頁\編于九點2023/5/25網(wǎng)絡(luò)入侵與防范講義292023/5/25網(wǎng)絡(luò)入侵與防范講義29目前二十九頁\總數(shù)九十二頁\編于九點端口掃描端口掃描類型TCP連接掃描：三次握手TCPSYNTCPFINXma：發(fā)送TCPURG、PSH等TCP空掃描TCPACKFTP跳躍UDPICMP工具：nmap目前三十頁\總數(shù)九十二頁\編于九點2023/5/2531攻擊準(zhǔn)備4－系統(tǒng)分析（掃描查點分析）確定目標(biāo)主機采用何種操作系統(tǒng)原理：協(xié)議棧指紋（Fingerprint）例如在Windows下安裝Nmapv4.20掃描工具，此工具含OSDetection的功能（使用-O選項）。打開cmd.exe，輸入命令：nmap–，然后[確定]探測結(jié)果如下頁圖所示，說明操作系統(tǒng)是Windows2000SP1、SP2或者SP3目前三十一頁\總數(shù)九十二頁\編于九點2023/5/25網(wǎng)絡(luò)入侵與防范講義322023/5/25網(wǎng)絡(luò)入侵與防范講義32目前三十二頁\總數(shù)九十二頁\編于九點2023/5/2533攻擊準(zhǔn)備5－漏洞分析（掃描查點分析）分析確認(rèn)目標(biāo)主機中可以被利用的漏洞手動分析：過程復(fù)雜、技術(shù)含量高、效率較低借助軟件自動分析：需要的人為干預(yù)過程少，效率高。如Nessus、X-Scan等綜合型漏洞檢測工具、eEye等專用型漏洞檢測工具等。例如在Windows下使用eEyeSasserScanner對目標(biāo)主機進行系統(tǒng)漏洞分析。探測結(jié)果如下頁圖所示，說明目標(biāo)主機存在震蕩波漏洞。目前三十三頁\總數(shù)九十二頁\編于九點2023/5/2534目前三十四頁\總數(shù)九十二頁\編于九點2023/5/2535遠(yuǎn)程攻擊的實施階段作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權(quán)限。攻擊的主要階段包括：預(yù)攻擊探測：為進一步入侵提供有用信息口令破解與攻擊提升權(quán)限實施攻擊：緩沖區(qū)溢出、拒絕服務(wù)、后門、木馬、病毒目前三十五頁\總數(shù)九十二頁\編于九點遠(yuǎn)程攻擊常用的攻擊方法第一類：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問權(quán)基于堆棧的緩沖區(qū)溢出堆棧緩沖區(qū)密碼猜測猜測缺省密碼通過登錄腳本猜測密碼密碼破解

Windows：L0phtCrackunix:： JohntheRipper關(guān)鍵：如何獲得密碼文件？目前三十六頁\總數(shù)九十二頁\編于九點遠(yuǎn)程攻擊常用的攻擊方法第一類：使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問權(quán)網(wǎng)絡(luò)應(yīng)用程序攻擊收集帳號破壞web應(yīng)用程序的會話跟蹤猜測會話ID，通過獲取HTML頁面修改后重放修改cookies如果會話ID不能手工修改：Web代理工具AchillesSQLPiggybacking

目前三十七頁\總數(shù)九十二頁\編于九點遠(yuǎn)程攻擊常用的攻擊方法第二類：使用網(wǎng)絡(luò)攻擊獲得訪問權(quán)嗅探IP地址欺騙會話劫持多功能網(wǎng)絡(luò)工具攻擊：NetCat目前三十八頁\總數(shù)九十二頁\編于九點遠(yuǎn)程攻擊常用的攻擊方法第三類：拒絕服務(wù)攻擊殺死進程重新配置系統(tǒng)使進程崩潰填充進程表填充整個文件系統(tǒng)惡意數(shù)據(jù)包攻擊（如Land攻擊，Teardrop攻擊）數(shù)據(jù)包泛洪（SYN泛洪，Smurf，DDoS）本地網(wǎng)絡(luò)停止服務(wù)消耗資源目前三十九頁\總數(shù)九十二頁\編于九點2023/5/2540遠(yuǎn)程攻擊的善后階段入侵成功后，攻擊者為了能長時間地保留和鞏固他對系統(tǒng)的控制權(quán)，一般會留下后門。此外，攻擊者為了自身的隱蔽性，須進行相應(yīng)的善后工作——隱藏蹤跡：攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的辦法是只對日志文件中有關(guān)自己的那部分作修改，關(guān)于修改方法的細(xì)節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別，網(wǎng)絡(luò)上有許多此類功能的程序。目前四十頁\總數(shù)九十二頁\編于九點維護訪問權(quán)木馬（TrojanHorse）.......后門（Backdoor）RootKits:修改系統(tǒng)命令甚至內(nèi)核dufindlsIfconfignetstatps目前四十一頁\總數(shù)九十二頁\編于九點掩蓋蹤跡和隱藏安裝RootKits或者backdoor修改事件日志W(wǎng)indows：*.evt工具：winzapper,ntsecurity.nu/toolbox/winzapper/UNIX:utmpwtmplastlog目前四十二頁\總數(shù)九十二頁\編于九點掩蓋蹤跡和隱藏（續(xù)）利用秘密通道技術(shù)來隱藏證據(jù)隧道技術(shù)loki：ICMP隧道VanHauser：HTTP隧道隱蔽通道（CovertChannel）利用IP或者利用tcp頭IPidentifierTCPSequencenumberTCPacknumber工具：Covert_TCP目前四十三頁\總數(shù)九十二頁\編于九點2023/5/2544入侵系統(tǒng)的常用步驟

采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的目前四十四頁\總數(shù)九十二頁\編于九點2023/5/2545較高明的入侵步驟

端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途目前四十五頁\總數(shù)九十二頁\編于九點2.2網(wǎng)絡(luò)攻擊過程黑客入侵的一般完整模式為：

隱藏自己→踩點→掃描→查點→分析并入侵→獲取權(quán)限→擴大范圍→安裝后門→清除日志并隱身

黑客入侵行為可以用模型圖表示如下：目前四十六頁\總數(shù)九十二頁\編于九點黑客入侵的一般流程目前四十七頁\總數(shù)九十二頁\編于九點CaseStudySourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware目前四十八頁\總數(shù)九十二頁\編于九點CaseStudyStep1：尋找跳離點跳離點（前蘇聯(lián)）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware目前四十九頁\總數(shù)九十二頁\編于九點CaseStudy跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware目前五十頁\總數(shù)九十二頁\編于九點CaseStudyStep2：搜索MonstrousSoftware跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware目前五十一頁\總數(shù)九十二頁\編于九點CaseStudyStep3：發(fā)送帶病毒的、有吸引人的垃圾郵件SourceCodeDB跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公MonstrousSoftwareSPAM目前五十二頁\總數(shù)九十二頁\編于九點CaseStudyStep3：發(fā)送帶病毒的、有吸引人的垃圾郵件跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware下載電子郵件VPN目前五十三頁\總數(shù)九十二頁\編于九點CaseStudyStep4：下載病毒代碼跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware下載木馬后門目前五十四頁\總數(shù)九十二頁\編于九點CaseStudyStep5：木馬后門利用VPN搜索windows共享跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門VPN目前五十五頁\總數(shù)九十二頁\編于九點CaseStudyStep6：上傳病毒代碼，并替換為notepad等程序跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門VPN木馬后門木馬后門目前五十六頁\總數(shù)九十二頁\編于九點CaseStudyStep7：回傳口令信息跳離點（俄羅斯）跳離點（日本）SourceCodeDBMonstrousSoftware電子辦公MonstrousSoftware木馬后門NetcatL0phCrackNetcat木馬后門木馬后門目前五十七頁\總數(shù)九十二頁\編于九點CaseStudyStep8：利用隱蔽信道傳送命令和解密口令SourceCodeDB跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公MonstrousSoftware木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站Netcat木馬后門木馬后門目前五十八頁\總數(shù)九十二頁\編于九點CaseStudyStep9：利用破解后的口令建立VPN連接，并掃描網(wǎng)絡(luò)SourceCodeDBMonstrousSoftware跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站NetcatVPN木馬后門木馬后門目前五十九頁\總數(shù)九十二頁\編于九點CaseStudyStep10：回傳源代碼SourceCodeDBMonstrousSoftware跳離點（俄羅斯）跳離點（日本）MonstrousSoftware電子辦公木馬后門NetcatL0phCrackCovert_TCP通信量大的電子商務(wù)網(wǎng)站NetcatVPN木馬后門木馬后門源代碼Main(){....}目前六十頁\總數(shù)九十二頁\編于九點2023/5/25612023/5/25612.3常用的防護措施我們怎么辦？目前六十一頁\總數(shù)九十二頁\編于九點2023/5/25622023/5/2562個人用戶防護措施

加密重要文件防火墻定期升級補丁殺毒軟件定期升級和殺毒定期備份系統(tǒng)或重要文件防護措施目前六十二頁\總數(shù)九十二頁\編于九點2023/5/25632023/5/2563防止黑客入侵關(guān)閉不常用端口關(guān)閉不常用程序和服務(wù)及時升級系統(tǒng)和軟件補丁發(fā)現(xiàn)系統(tǒng)異常立刻檢查目前六十三頁\總數(shù)九十二頁\編于九點2023/5/2564常用的防護措施完善安全管理制度采用訪問控制措施運行數(shù)據(jù)加密措施數(shù)據(jù)備份與恢復(fù)目前六十四頁\總數(shù)九十二頁\編于九點世界第一黑客提出的個人計算機安全十大建議

●備份資料。記住你的系統(tǒng)永遠(yuǎn)不會是無懈可擊的，災(zāi)難性的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蠕蟲或一只木馬就已足夠?！襁x擇很難猜的密碼。不要沒有腦子地填上幾個與你有關(guān)的數(shù)字，在任何情況下，都要及時修改默認(rèn)密碼?！癜惭b殺毒軟件，并讓它每天更新升級。●及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補丁，并及時安裝應(yīng)用?！癫挥秒娔X時候千萬別忘了斷開網(wǎng)線和電源。目前六十五頁\總數(shù)九十二頁\編于九點世界第一黑客提出的個人計算機安全十大建議

●在IE或其它瀏覽器中會出現(xiàn)一些黑客釣魚，對此要保持清醒，拒絕點擊，同時將電子郵件客戶端的自動腳本功能關(guān)閉?！裨诎l(fā)送敏感郵件時使用加密軟件，也可用加密軟件保護你的硬盤上的數(shù)據(jù)?！癜惭b一個或幾個反間諜程序，并且要經(jīng)常運行檢查。使用個人防火墻并正確設(shè)置它，阻止其它計算機、網(wǎng)絡(luò)和網(wǎng)址與你的計算機建立連接，指定哪些程序可以自動連接到網(wǎng)絡(luò)。●關(guān)閉所有你不使用的系統(tǒng)服務(wù)，特別是那些可以讓別人遠(yuǎn)程控制你的計算機的服務(wù)，如RemoteDesktop、RealVNC和NetBIOS等?！癖ＷC無線連接的安全。在家里，可以使用無線保護接入WPA和至少20個字符的密碼。正確設(shè)置你的筆記本電腦，不要加入任何網(wǎng)絡(luò)，除非它使用WPA。要想在一個充滿敵意的因特網(wǎng)世界里保護自己，的確是一件不容易的事。你要時刻想著，在地球另一端的某個角落里，一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會成為這些網(wǎng)絡(luò)入侵者的下一個犧牲品。目前六十六頁\總數(shù)九十二頁\編于九點2023/5/25672023/5/25672.4網(wǎng)絡(luò)安全策略及制訂原則安全策略，是針對那些被允許進入某一組織、可以訪問網(wǎng)絡(luò)技術(shù)資源和信息資源的人所規(guī)定的、必須遵守的規(guī)則。即：網(wǎng)絡(luò)管理部門根據(jù)整個計算機網(wǎng)絡(luò)所提供的服務(wù)內(nèi)容、網(wǎng)絡(luò)運行狀況、網(wǎng)絡(luò)安全狀況、安全性需求、易用性、技術(shù)實現(xiàn)所付出的代價和風(fēng)險、社會因素等許多方面因素，所制定的關(guān)于網(wǎng)絡(luò)安全總體目標(biāo)、網(wǎng)絡(luò)安全操作、網(wǎng)絡(luò)安全工具、人事管理等方面的規(guī)定。目前六十七頁\總數(shù)九十二頁\編于九點2023/5/25682023/5/2568制定安全策略的目的決定一個組織機構(gòu)怎樣保護自己闡明機構(gòu)安全政策的總體思想讓所有用戶、操作人員和管理員清楚，為了保護技術(shù)和信息資源所必須遵守的原則。提供一個可以獲得、能夠配置和檢查的用于確定是否與計算機和網(wǎng)絡(luò)系統(tǒng)的策略一致的基準(zhǔn)目前六十八頁\總數(shù)九十二頁\編于九點2023/5/25692023/5/2569安全策略的必要性網(wǎng)絡(luò)管理員在作安全策略時的依據(jù)在很大程度上取決于網(wǎng)絡(luò)運行過程中的安全狀況，網(wǎng)絡(luò)所提供的功能以及網(wǎng)絡(luò)的易用程度。安全策略應(yīng)以要實現(xiàn)目標(biāo)為基礎(chǔ)，而不能簡單地規(guī)定要檢驗什么和施加什么限制。在確定的安全目標(biāo)下，應(yīng)該制定如何有效地利用所有安全工具的策略。目前六十九頁\總數(shù)九十二頁\編于九點2023/5/25702023/5/2570安全策略的必要性(2)檢測響應(yīng)防護PPDR模型檢測響應(yīng)防護策略強調(diào)了策略的核心作用強調(diào)了檢測、響應(yīng)、防護的動態(tài)性檢測、響應(yīng)、防護必須遵循安全策略進行目前七十頁\總數(shù)九十二頁\編于九點2023/5/2571制訂安全策略的基本原則適用性原則可行性原則動態(tài)性原則簡單性原則系統(tǒng)性原則目前七十一頁\總數(shù)九十二頁\編于九點2023/5/25722023/5/2572適用性原則安全策略是在一定條件下采取的安全措施，必須與網(wǎng)絡(luò)的實際應(yīng)用環(huán)境相結(jié)合。網(wǎng)絡(luò)的安全管理是一個系統(tǒng)化的工作，因此在制定安全策略時，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、設(shè)備等情況，有計劃有準(zhǔn)備地采取相應(yīng)的策略，任何一點疏忽都會造成整個網(wǎng)絡(luò)安全性的降低。目前七十二頁\總數(shù)九十二頁\編于九點2023/5/25732023/5/2573可行性原則安全管理策略的制定還要考慮資金的投入量，因為安全產(chǎn)品的性能一般是與其價格成正比的，所以要適合劃分系統(tǒng)中信息的安全級別，并作為選擇安全產(chǎn)品的重要依據(jù)，使制定的安全管理策略達到成本和效益的平衡。目前七十三頁\總數(shù)九十二頁\編于九點2023/5/25742023/5/2574動態(tài)性原則安全管理策略有一定的時限性，不能是一成不變的。由于網(wǎng)絡(luò)用戶在不斷地變化，網(wǎng)絡(luò)規(guī)模在不斷擴大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快，而安全措施是防范性的，所以安全措施也必須隨著網(wǎng)絡(luò)發(fā)展和環(huán)境的變化而變化。目前七十四頁\總數(shù)九十二頁\編于九點2023/5/25752023/5/2575簡單性原則網(wǎng)絡(luò)用戶越多，網(wǎng)絡(luò)管理人員越多，網(wǎng)絡(luò)拓?fù)湓綇?fù)雜，采用網(wǎng)絡(luò)設(shè)備種類和軟件種類越多，網(wǎng)絡(luò)提供的服務(wù)和捆綁越多，出現(xiàn)安全漏洞的可能性就越大。因此制定的安全管理策略越簡單越好，如簡化授權(quán)用戶的注冊過程等。目前七十五頁\總數(shù)九十二頁\編于九點2023/5/25762023/5/2576系統(tǒng)性原則網(wǎng)絡(luò)的安全管理是一個系統(tǒng)化的工作，因此在制定安全管理策略時，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶，各種設(shè)備，各種情況，有計劃有準(zhǔn)備地采取相應(yīng)的策略，任何一點疏忽都會造成整個網(wǎng)絡(luò)安全性的降低。目前七十六頁\總數(shù)九十二頁\編于九點2023/5/25772023/5/2577安全策略的特點所有有效的安全策略都至少具備以下特點：發(fā)布——必須通過系統(tǒng)正常管理程序，采用合適的標(biāo)準(zhǔn)出版物或其他適當(dāng)?shù)姆绞絹戆l(fā)布。強制執(zhí)行——在適當(dāng)?shù)那闆r下，必須能夠通過安全工具來實現(xiàn)其強制實施，并在技術(shù)確定不能滿足要求的情況下強迫執(zhí)行。人員責(zé)任規(guī)定——必須明確規(guī)定用戶、系統(tǒng)管理員和公司管理人員等各類人員的職責(zé)范圍和權(quán)限。目前七十七頁\總數(shù)九十二頁\編于九點2023/5/25782.5網(wǎng)絡(luò)安全體系設(shè)計2.5.1網(wǎng)絡(luò)安全體系層次2.5.2網(wǎng)絡(luò)安全體系設(shè)計準(zhǔn)則目前七十八頁\總數(shù)九十二頁\編于九點2023/5/25792.5.1網(wǎng)絡(luò)安全體系層次作為全方位的、整體的網(wǎng)絡(luò)安全防范體系也是分層次的，不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，安全防范體系的層次劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。目前七十九頁\總數(shù)九十二頁\編于九點2023/5/2580物理層安全物理環(huán)境的安全性。包括通信線路的安全，物理設(shè)備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)），軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。目前八十頁\總數(shù)九十二頁\編于九點2023/5/2581系統(tǒng)層安全該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如WindowsNT，Windows2000等。主要表現(xiàn)在三方面，一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等。二是對操作系統(tǒng)的安全配置問題。三是病毒對操作系統(tǒng)的威脅。目前八十一頁\總數(shù)九十二頁\編于九點2023/5/2582網(wǎng)絡(luò)層安全該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡(luò)設(shè)施防病毒等。目前八十二頁\總數(shù)九十二頁\編于九點2023/5/2583應(yīng)用層安全該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對系統(tǒng)的威脅。目前八十三頁\總數(shù)九十二頁\編于九點2023/5/2584管理層安全安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大