網(wǎng)絡(luò)安全基礎(chǔ)方正科技軟件有限公司2002年3月網(wǎng)絡(luò)安全現(xiàn)狀簡介網(wǎng)絡(luò)攻擊分類入侵過程分析網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品網(wǎng)絡(luò)安全原則主要內(nèi)容什么是網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全的核心是信息安全I(xiàn)SO信息安全定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。網(wǎng)絡(luò)安全現(xiàn)狀----國際由計算機安全協(xié)會（CSI）和聯(lián)邦調(diào)查局（FBI）調(diào)查得出美國大公司、金融機構(gòu)、醫(yī)療機構(gòu)、大學(xué)和政府機構(gòu)中：90％的人員反映遭受過安全破壞！70％經(jīng)歷過比病毒和雇員濫用網(wǎng)絡(luò)更嚴(yán)重的破壞！42％聲稱由于計算機攻擊而遭受到經(jīng)濟(jì)損失，總價值超過2.65億美元！網(wǎng)絡(luò)安全現(xiàn)狀----國內(nèi)中國國內(nèi)80%網(wǎng)站有安全隱患，

20％網(wǎng)站有嚴(yán)重安全問題中國的銀行過去兩年損失1.6億人民幣利用計算機網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國以每年30%的速度遞增，而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%世界網(wǎng)絡(luò)安全產(chǎn)品市場0204060100市場規(guī)模（億美元）801201401602000

2001

2002

2003

2004

2005年份00.050.10.150.20.250.3增長率國內(nèi)安全產(chǎn)品需求36.50%31.50%26.00%18.50%11.00%9.00%8.00%5.00%3.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%用戶需求無防火墻防病毒入侵檢測露洞掃描加密與數(shù)字簽名VPN授權(quán)與認(rèn)證企業(yè)級系統(tǒng)掃描和專家管理系統(tǒng)國內(nèi)安全產(chǎn)品使用45.00%50.00%40.00%30.00%20.00%10.00%0.00%100.00%

95.50%90.00%80.00%70.00%60.00%5.040.%540.%030.%510.%510.%0.%00%1防病毒防火墻授權(quán)和認(rèn)證VPN入侵檢測漏洞掃描加密與數(shù)字簽名企業(yè)級系統(tǒng)掃描和專家管理系統(tǒng)其它中國網(wǎng)絡(luò)安全產(chǎn)品市場2000

2001

2002

2003

2004年份5000020000市場規(guī)模（萬美元）15000100004000035000300002500052.00%51.00%增長率50.00%49.00%48.00%47.00%58.00%57.00%56.00%55.00%54.00%53.00%網(wǎng)絡(luò)安全現(xiàn)狀簡介網(wǎng)絡(luò)攻擊分類入侵過程分析網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品網(wǎng)絡(luò)安全原則主要內(nèi)容攻擊：欺騙（spoof）攻擊：竊聽（password

tracking）攻擊：數(shù)據(jù)竊?。―ata

stealing）攻擊：數(shù)據(jù)篡改（

packetforging）攻擊：拒絕服務(wù)（Dos）網(wǎng)絡(luò)安全現(xiàn)狀簡介網(wǎng)絡(luò)攻擊分類入侵過程分析網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品網(wǎng)絡(luò)安全原則主要內(nèi)容網(wǎng)絡(luò)安全的風(fēng)險■Anti-detectionself-replicatingcodepasswordtrackingpasswordguessingknownvulnerabilitiesdisablingauditsbackdoorsstealthdiagnosticshijackingsessionspacket

forging,——從網(wǎng)絡(luò)的發(fā)展看spoofingexploiting攻擊工具攻擊者需要的技能19801985199019952000需要的技能Web-crawlerattacks網(wǎng)絡(luò)攻擊發(fā)展趨勢網(wǎng)絡(luò)黑客特征大多數(shù)黑客為16到25歲之間的男性大多數(shù)黑客是“機會主義者”高級黑客

＝

安全知識

+ 黑客工具+

耐心

新互聯(lián)網(wǎng)環(huán)境下出現(xiàn)的有明確政治、商業(yè)目的的職業(yè)黑客典型黑客攻擊過程自我隱藏網(wǎng)絡(luò)刺探和信息收集確認(rèn)信任的網(wǎng)絡(luò)組成尋找網(wǎng)絡(luò)組成的弱點利用弱點實施攻擊攻破后的善后工作自我隱藏

典型的黑客使用如下技術(shù)來隱藏IP地址

通過telnet在以前攻克的Unix主機上跳轉(zhuǎn)通過終端管理器在windows主機上跳轉(zhuǎn)通過錯誤配置的proxy主機跳轉(zhuǎn)

更高級的黑客，精通利用電話交換侵入主機網(wǎng)絡(luò)刺探和信息收集對網(wǎng)絡(luò)的外部主機進(jìn)行一些初步的探測試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息常用手段如下端口及服務(wù)掃描瀏覽web服務(wù)器來確定其主機操作系統(tǒng)

通過smtp或finger查找Unix主機上的用戶通過IPC得到NT主機上面的用戶確認(rèn)網(wǎng)絡(luò)組成的弱點利用掃描程序來掃描一些特定的遠(yuǎn)程弱點TCP/UDP端口掃描IPC的用戶輸出列表Samba或netbios的共享列表多個finger或Smtp請求來獲得缺省帳號CGI弱點掃描

有缺陷版本的守護(hù)程序的掃描，包括

Sendmail,IMAP,POP3,RPC

status以及

RPC

mountd.弱口令攻擊利用弱點實施攻擊選擇攻擊時段

通常選擇管理員沒有登陸的時間常用手段如下：

利用服務(wù)程序漏洞如Sendmail、ftpd、IIS等

利用網(wǎng)站的CGI、ASP等漏洞猜測、強行計算用戶密碼攻破后的善后工作

通過該主機試圖擴(kuò)大清除他在記錄文件中所留下的痕跡留下后門以便以后能控制該主機

入侵的范圍，例如進(jìn)入局域網(wǎng)內(nèi)容等案例分析背景：

某公司對外提供Web服務(wù)的NT服務(wù)器管理員帳號被奪取，另外一臺同一網(wǎng)段運行數(shù)據(jù)庫的NT服務(wù)器數(shù)據(jù)被刪除。攻擊方式：黑客網(wǎng)絡(luò)掃描發(fā)現(xiàn)提供Web服務(wù)的NT服務(wù)器IP

黑客對IP進(jìn)行端口掃描發(fā)現(xiàn)該服務(wù)器為Win

2000，并打開

IIS服務(wù)和終端服務(wù)

黑客換用一臺灣主機對該服務(wù)器進(jìn)行IIS的Unicode漏洞攻擊，得到管理員帳號并通過終端服務(wù)控制該Web服務(wù)器

黑客通過查看Web服務(wù)器上的ASP源碼，得知數(shù)據(jù)庫服務(wù)器地址以及帳號、密碼黑客進(jìn)入數(shù)據(jù)庫服務(wù)器刪除數(shù)據(jù)網(wǎng)絡(luò)攻擊的結(jié)果數(shù)據(jù)篡改欺騙數(shù)據(jù)竊取拒絕服務(wù)重要數(shù)據(jù)丟失敏感信息被竊取主機資源被利用網(wǎng)絡(luò)癱瘓網(wǎng)絡(luò)安全現(xiàn)狀簡介網(wǎng)絡(luò)攻擊分類入侵過程分析網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品網(wǎng)絡(luò)安全原則主要內(nèi)容安全是個連續(xù)的過程分析階段：

需求分析、漏洞掃描

保護(hù)階段：

防火墻、VPN 、防病毒檢測階段：入侵檢測、授權(quán)、認(rèn)證、簽名管理階段：審計系統(tǒng)、訪問控制恢復(fù)階段：數(shù)據(jù)備份、系統(tǒng)恢復(fù)對網(wǎng)絡(luò)攻擊的阻擋攻擊預(yù)警和訪問控制被攻破后的分析與補救遠(yuǎn)程傳輸?shù)陌踩踩雷o(hù)層次立體防護(hù)體系局域網(wǎng)立體安全防護(hù)體系FirewallVPNIDS

&Access

ControlAudit

Sys

&

ERS對網(wǎng)絡(luò)攻擊的阻隔

從邏輯和物理上分隔不同網(wǎng)絡(luò)

將網(wǎng)絡(luò)劃成不同的安全等級和可信任等級常用方法物理隔離路由器、交換機防火墻網(wǎng)絡(luò)隔離：包過濾型防火墻對所有的網(wǎng)絡(luò)應(yīng)用都可以防護(hù)，檢查網(wǎng)絡(luò)連接底層信息，控制訪問的網(wǎng)絡(luò)地址，規(guī)范網(wǎng)絡(luò)流量。網(wǎng)絡(luò)隔離：應(yīng)用型防火墻只為指定的網(wǎng)絡(luò)應(yīng)用牽線搭橋，將網(wǎng)絡(luò)數(shù)據(jù)與既定的安全策略進(jìn)行比較。網(wǎng)絡(luò)入侵檢測

在網(wǎng)絡(luò)上或針對主機尋找網(wǎng)絡(luò)攻擊的相關(guān)特征并作出相應(yīng)反應(yīng)。入侵檢測產(chǎn)品基于網(wǎng)絡(luò)的入侵檢測基于主機檢測

對網(wǎng)絡(luò)系統(tǒng)和服務(wù)器進(jìn)行檢查尋找安全漏洞，并評估網(wǎng)絡(luò)安全風(fēng)險。安全掃描器產(chǎn)品危險高度危險網(wǎng)絡(luò)信息審計和訪問控制

記錄網(wǎng)絡(luò)上發(fā)生的一切活動，監(jiān)控外路入侵，監(jiān)視內(nèi)部人員的違規(guī)和破壞活動并根據(jù)不同權(quán)限進(jìn)行訪問控制。主要產(chǎn)品：入侵檢測類產(chǎn)品專用安全審計服務(wù)器病毒防護(hù)和災(zāi)難恢復(fù)使用先進(jìn)的防病毒軟件

對外來的文件先殺毒再使用

不要從互聯(lián)網(wǎng)上下載軟件

做好備份工作，使用磁帶機并按計劃定期備份數(shù)據(jù)和系統(tǒng)。數(shù)據(jù)加密和身份認(rèn)證基本概念明文：■沒有加密前的原始數(shù)據(jù)，可以是一段文字，也可以是一串?dāng)?shù)字。密文：■將原文通過某種加密方式加密后得到數(shù)據(jù)。密鑰：

加密時采用的密碼，隨加密方法不同而有不同的要求。對稱加密原理：加密和解密使用相同密鑰

加密強度基本由其密鑰長度決定目前一般至少為128位主要優(yōu)缺點：加密速度快管理復(fù)雜，風(fēng)險大非對稱加密加密技術(shù)出現(xiàn)以來最重大的突破原理

有兩把成對的密鑰，稱為公鑰和私鑰，其中公鑰可以對外公

用一把密鑰加密的數(shù)據(jù)只有用配對的另一把密鑰才能正確解密特點：密鑰易于管理，公鑰不怕被竊取

但速度一般比對稱加密算法慢很多混和型加密原理：

每次傳輸時，先用非對稱加密算法“握手”，交換一個臨時生成的對稱加密密鑰。

然后用此臨時密鑰進(jìn)行主要的數(shù)據(jù)加解密工作。特點：

結(jié)合對稱和非對稱加密方式，既方便管理又能高速加/解密。身份認(rèn)證nf1＃4@n6*i9%unW43(e^n公用密鑰n12345n67890n12345n67890n私有密鑰n加密n解密n認(rèn)證中心nf1＃4@n6*i9%unW43(e^n傳輸數(shù)據(jù)加密和身份認(rèn)證--主要產(chǎn)品加密VPN安全操作系統(tǒng)

加密軟件、加密卡、智能卡、加密機身份認(rèn)證CA安全方案的設(shè)計安全規(guī)劃首當(dāng)其沖在網(wǎng)絡(luò)建設(shè)之初就考慮到網(wǎng)絡(luò)安全，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行劃分，通過使用防火墻、物理隔離等手段保證辦公網(wǎng)絡(luò)、保密網(wǎng)絡(luò)不會受到外部沖擊。入侵檢測和訪問控制挑大梁

對網(wǎng)絡(luò)攻擊進(jìn)行及時的報警和防范。

注意對用戶權(quán)限的即時管理，更新。

對網(wǎng)絡(luò)即時使用情況進(jìn)行跟蹤和控制。

根據(jù)用戶權(quán)限進(jìn)行訪問控制，避免網(wǎng)絡(luò)濫用和機密信息泄漏。建立備份恢復(fù)和審計系統(tǒng)

選用備份設(shè)備，指定備份制度，對重要數(shù)據(jù)采取冗余備份。

選用安全審計產(chǎn)品，對網(wǎng)絡(luò)活動進(jìn)行追蹤，做到對網(wǎng)絡(luò)操作有據(jù)

可查。網(wǎng)絡(luò)安全現(xiàn)狀簡介網(wǎng)絡(luò)攻擊分類入侵過程分析網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品網(wǎng)絡(luò)安全原則主要內(nèi)容有效的安全計劃一個有效的安全計劃包括安全意識、防止、檢測、管理

和響應(yīng)以使危險降低到最??！平衡可用性、完整性和機密性機密性可用性完整性信息財