1、,信息安全基础与ISEC项目,国家信息化安全教育认证管理中心ISEC,授课内容,一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍,一 信息安全概况,安全威胁威胁来源产品和市场研究与开发安全人才,安全威胁,政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品,依然抵挡不住这些黑客对网络和系统的破坏。据统计,几乎每20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。,安全威胁,2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理
2、信用卡交易的服务器系统,窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。中美黑客网上大战时,国内外的上千个门户网站遭到破坏。,安全威胁,2003年1月25日,互联网上出现一种新型高危蠕虫病毒“2003蠕虫王” 。全球25万台计算机遭袭击,全世界范围内损失额最高可达12亿美元。美欲用电脑赢战争, 网络特种兵走入无硝烟战场。过去几天来,数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时,美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。,安全威胁,中国国内80%网站有安全隐患,20网站有严重安全问题中国的银行过去两年损失1.6
3、亿人民币利用计算机网络进行的各类违法行为在中国以每年30%的速度递增,而已发现的黑客攻击案只占总数的30%,威胁来源,互联网存在的六大问题无主管的自由王国不设防的网络空间法律约束脆弱跨国协调困难民族化和国际化的冲突网络资源紧缺网络和系统的自身缺陷与脆弱性国家、政治、商业和个人利益冲突,世界网络安全产品市场,国内安全产品需求,95.50%,45.00%,5.00%,4.50%,4.00%,3.50%,1.50%,1.00%,0.00%,0.00%,10.00%,20.00%,30.00%,40.00%,50.00%,60.00%,70.00%,80.00%,90.00%,100.00%,1,国内
4、安全产品使用,中国网络安全产品市场,产品和市场,中国信息安全产品测评认证中心每年认证的安全产品达十几类,上百种。19982000 安全产品300多个20012002 安全产品600多个几百家国内外厂商,投资金额巨大。,国家安全战略,1998年5月22日,克林顿政府颁布对关键基础设施保护的政策:第63号总统令 ,2000年颁布信息系统保护国家计划v1.0 。2002年9月18日和20日,布什政府颁布保护网络空间的国家战略(草案)和美国国家安全战略。 2003年2月14日布什政府颁布保护网络空间的国家战略 和反恐国家战略 。,国家安全战略,2002年7月19日“国家信息安全保障体系战略研讨会”在北
5、京科技会堂召开,由中国工程院和国家信息化工作办公室主办,由交大信息安全体系结构研究中心承办。2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办,由信息安全国家重点实验室主办。,学术研究和技术开发,国家863信息安全技术主题课题研究所和重点实验室高校的专业方向,安全人才需求,国家重点科研项目的需求专业安全产品公司的需求应用行业的管理、应用和维护的需求对网络信息安全人才的需求在今后几年内将超过100万,但专业的网络与信息安全机构在国内却屈指可数。网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明,网络信息安全人才必将成为信息时代最热门的抢手人才。,授课内容,一 信息安
6、全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍,网络安全目前存在的威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,网络入侵技术分类,系统弱密码入侵利用CGI/IIS漏洞入侵Buffer Overflow入侵DOS/DDOS攻击IP Spoof入侵网络监听(sniffer)数据库弱密码入侵利用PHP程序漏洞入侵其它,系统弱密码入侵,系统弱密码入侵(续),口令安全可逆与不可逆通常口令的加密方法是不可逆的猜测与穷举口令破解Unix口令通常限制在8位以内,56位密钥加密john:Xd3r
7、TCvtDs5/W:9999:13:John Smith:/home/john:/bin/shNT口令通常限制在14位以内,系统弱密码入侵(续),口令破解的时间Unix口令6位小写字母穷举:36小时8位小写字母穷举:3年NT口令8位小写字母及数字穷举,时间通常不超过30小时,系统弱密码入侵(续),常用工具介绍Jackal 的CrackerJack(用于dos平台)John the Ripper(可用于dos/win95平台)L0pht (用于破解NT密码),利用CGI/IIS漏洞入侵,微软的IIS系统存在大量的安全隐患目前大量服务器采用IIS发布网站,堆栈溢出技术,堆栈溢出原理什么是堆栈堆栈溢
8、出在长字符串中嵌入一段代码,并将过程的返回地址覆盖为这段代码的地址,这样当过程返回时,程序就转而开始执行这段自编的代码了.,堆栈实例,void function(int a, int b, int c) char buffer15; char buffer210;void main() function(1,2,3);,调用时堆栈情况,内存低地址,内存高地址,堆栈顶部,堆栈底部,堆栈溢出程序实例,void function(char *str) char buffer16; strcpy(buffer,str);void main() char large_string256; int i;
9、for( i = 0; i 255; i+) large_stringi = A; function(large_string);,调用函数时堆栈情况,内存低地址,内存高地址,堆栈顶部,堆栈底部,存在堆栈溢出的服务,UnixWu-FTPDSendmailApache httpdNTIIS第三方服务程序,IP Spoof入侵技术,电子欺骗技术冒充信任主机IP地址,标准TCP建立过程,SYN 1415531521:14155331521,SYN 1823083521: 1823083521,Ack 14155331522,Ack 1823083522,客户机,服务器,IP Spoof状态下TCP建
10、立过程,SYN 1415531521:14155331521修改源地址为信任主机IP,SYN 1823083521: 1823083521,Ack 14155331522,Ack 通过算法算出SEQ值+1,信任主机,服务器,DOS/DDOS,DOS拒绝服务攻击DDOS分布式拒绝服务攻击利用TCP/IP缺陷,常见DOS工具,实例:SynFlood现象,攻击者伪造源地址,发出Syn请求服务器端性能变慢,以及死机服务器上所以服务都不能正常使用,SynFlood原理,Syn 伪造源地址(1.1.1.1),IP:211.100.23.1,1.1.1.1(TCP连接无法建立,造成TCP等待超时),Ack,
11、大量的伪造数据包发向服务器端,DDOS攻击,黑客控制了多台服务器,然后每一台服务器都集中向一台服务器进行DOS攻击,分布式拒绝服务攻击,美国几个著名的商业网站(例如Yahoo、eBay、CNN、Amazon、等)遭受黑客大规模的攻击,造成这些高性能的商业网站长达数小时的瘫痪。而据统计在这整个行动中美国经济共损失了十多亿美元。这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。,DDOS攻击示意图,分布式拒绝服务攻击,分布式拒绝服务攻击步骤1,ScanningProgram,不安全的计算机,Hacker,Internet,分布式拒绝服务攻击步骤2,Hacker,被控制的计算机(
12、代理端),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。,2,Internet,分布式拒绝服务攻击步骤3,Hacker,黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。,3,被控制计算机(代理端),MasterServer,Internet,Hacker,Using Client program, 黑客发送控制命令给主机,准备启动对目标系统的攻击,4,被控制计算机(代理端),TargetedSystem,MasterServer,Internet,分布式拒绝服务攻击步
13、骤4,Targeted System,Hacker,主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,MasterServer,Internet,被控制计算机(代理端),分布式拒绝服务攻击步骤5,分布式拒绝服务攻击步骤6,TargetedSystem,Hacker,目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,DDOS攻击成功。,6,MasterServer,User,Internet,被控制计算机(代理端),分布式拒绝服务攻击的效果,由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说,在短短的一小时内可以入侵数千台主机。并使某一台主机可
14、能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。,DDOS攻击的预防,确保主机不被入侵且是安全的;周期性审核系统;检查文件完整性;优化路由和网络结构;优化对外开放访问的主机;在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。,网络监听技术,Sniffer监视网络状态、数据流动、传输信息截获用户的口令黑客扩大战果的有效手段,窃听器,窃听原理局域网中的广播式通信常用端口ftp21http80pop3110telnet23常用窃听器SnifferNetXRay,Database弱密码入侵,默认安装的SQL Server的管理员
15、Sa的密码为空如果管理员没有修改过Sa密码黑客远程连接上数据库,数据库被远程连接的危害性,如果黑客连接到了SQL Server,那么可以使用XP_cmdshell过程执行本地命令。如果连接的帐号不是数据库管理员身份,那么可以通过SQL Server漏洞进行越权处理。,Sql Injection入侵技术,Structured Query Language影响平台使用网站系统:Apache、IIS、Domino、Netscape使用程序:ASP、PHP、JSP可被破坏数据库:MS-SQL、MySQL、Oracle、Sybase、DB2,Sql Injection实例,网站登陆界面,Sql Inje
16、ction实例(cont.),User: admin(任意名字)Pass: aor1=1,利用PHP程序漏洞入侵,PHP Hypertext Preprocessor全局变量附值安全隐患包含文件安全隐患文件上传安全隐患Session安全隐患,其它入侵技术,利用EmailEmail炸弹传播木马、病毒聊天室、聊天程序利用浏览器社会工程,攻击的一般步骤,没有100%的安全收集信息确定目标(硬件、软件、操作系统、应用程序);使用扫描工具;考虑攻击方法猜口令;利用漏洞(缓冲区溢出、unicode漏洞等等);入侵系统安放后门删除记录,授课内容,一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安
17、全技术 五 ISEC认证介绍,安全涉及的因素,网络安全,信息安全,物理安全,网络安全,因特网,网络对国民经济的影响在加强,安全漏洞危害在增大,信息对抗的威胁在增加,研究安全漏洞以防之,因特网,电力,交通,通讯,控制,广播,工业,金融,医疗,研究攻防技术以阻之,信息安全,信息窃取,信息传递,信息冒充,信息篡改,信息抵赖,加密技术,完整性技术,认证技术,数字签名,ISO信息安全定义,为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。,信息安全属性,保密性完整性真实性可用性可控性,文化安全,信息传送自由,有害信息泛滥,主动发现有害信息
18、源并给予封堵,监测网上有害信息的传播并给予截获,隐患,措施,物理安全,安全是过程,安全存在于过程安全不仅仅是一个产品,它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏,而是网络管理人员、企业经理人和用户对安全知识的忽视。,分析阶段:,管理阶段:,检测阶段:,恢复阶段:,保护阶段:,需求分析、漏洞扫描,防火墙、VPN 、防病毒,入侵检测、授权、认证、签名,审计系统、访问控制,数据备份、系统恢复,安全是个连续的过程,安全层次体系结构,安全防护体系结构,边界防护,区域防护,核心防护,节点防护,安全策略,远程支持,咨询服务
19、,顾问服务,紧急响应,安全防护比例,安全实施体系,明确系统中的安全漏洞,了解可能的相应攻击方式。进行系统安全风险分析。制定系统安全策略。系统安全策略的实施。,授课内容,一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍,安全管理技术,网络信息安全的关键技术,安全集成技术,安全产品类型,密钥管理产品,高性能加密芯片产品,密码加密产品,数字 签名产品,安全授权认证产品,信息保密产品,数字证书管理系统,用户安全认证卡,智能IC卡,鉴别与授权服务器,安全平台/系统,安全操作系统,安全数据库系统,Web安全平台,安全路由器与虚拟专用网络产品,网络病毒检查预防和清除
20、产品,安全检测与监控产品,网络安全隐患扫描检测工具,网络安全监控及预警设备,网络信息远程监控系统,网情分析系统,常用的安全技术手段,加密技术身份认证技术防火墙技术病毒防治技术入侵检测技术VPN技术,加密技术,消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密,加了密的消息称为密文,而把密文转变为明文的过程称为解密。明文用M(消息)或P(明文)表示,密文用C表示。加密函数E(M)=C;解密函数D(C)=M;D(E(M)=M,对称密码,非对称密码,加密技术,原理:加密和解密使用相同密钥加密强度基本由其密钥长度决定目前一般至少为128位主要优缺点:加密速度快管理复杂,风险大,对称加密,加
21、密技术出现以来最重大的突破原理有两把成对的密钥,称为公钥和私钥,其中公钥可以对外公布用一把密钥加密的数据只有用配对的另一把密钥才能正确解密特点:密钥易于管理,公钥不怕被窃取但速度一般比对称加密算法慢很多,非对称加密,身份鉴别,身份鉴别的过程身份证实(Identity Verification)“你是否是你所声称的你?”身份识别(Identity Recognition)“我是否知道你是谁?”身份认证的方式动态口令,EP,动态口令举例,login: Smith,challenge: 6729330response:,6040,EP,6729330,2188655,2188655,你现在已认证成功
22、 !,防火墙的概念,信任网络,防火墙,非信任网络,防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达到保护系统安全的目的。,防火墙的作用示意图,防火墙的基本功能,数据包过滤(Packet Filtering) 网络地址转换(Network Address Translation) 应用级代理(Proxy Service) 身份认证(Authentication) 虚拟专用网(Virtual Private Network,防火墙的不足,防火墙并非万能,防火墙不能完成的工作:源于内部的攻击不通过
23、防火墙的连接完全新的攻击手段不能防病毒,入侵检测的概念和作用,入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。,入侵检测的主要功能,实时入侵检测与响应 警报信息分类、查询功能 引擎集中管理功能 策略管理功能 警报信息的统计和报表功能 分级用户管理功能,入侵检测系统,工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 使用方式:作为防火
24、墙后的第二道防线。,利用RealSecure进行可适应性攻击检测和响应,DMZ? E-Mail? File Transfer? HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,入侵检测工具举例,DMZ? E-Mail? File Transfer? HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,利用RealSecure进行可适应性攻击检测和响应,入侵检测工具举例,利用RealSecure进行可适应性攻击检测和响应,DMZ? E-Mail? File Transfer? HTTP,Intra
25、net,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,商务伙伴,入侵检测工具举例,安全评估系统的发展历程,简单的扫描程序,功能较为强大的商业化扫描程序,安全评估专家系统,最早出现的是专门为UNIX系统编写的一些只具有简单功能的小程序,多数由黑客在业余时间编写。特点是功能单一,通常只能进行端口或CGI扫描等等;使用复杂,通常只有黑客才能够熟练使用;源代码开放。Nmap即是其代表作品。,99年以前,出现的功能较为强大的商业化产品,特点是测试项数目较多,使用简单。但是通常只是简单的把各个扫描测试项的执行结果罗列出来,直接提供给测试者而不对信息进行任何分析处理。对结果的评估分
26、析、报告功能很弱。这时期的产品,主要功能还是扫描。CyberCop和ISS Scanner是其中的代表。,近两年,主要商业化产品均运行Windows操作系统平台上,充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由安全扫描程序到安全评估专家系统的过渡。不但使用简单方便,能够将对单个主机的扫描结果整理,形成报表,能够并对具体漏洞提出一些解决方法。 但目前产品对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案。,安全评估系统分类,基于网络的安全评估产品对关键网络及设备进行安全评估 基于主机的安全评估产品对关键主机进行安全评估 专用安全评估产品如数据库安全评估产品,安全评
27、估系统工作原理,远程扫描分析,目标设备,1、发送带有明显攻击特征的数据包,2、等待目的主机或设备的响应,3、分析回来的数据包的特征,4、判断是否具有该脆弱性或漏洞,安全评估主要功能,网络安全评估功能 评估分析结果报表 服务检查功能 隔离检查的功能 实用工具,传统联网方式,合作伙伴/客户,公司总部,办事处/SOHO,公共网络,DDN,传统VPN联网方式,公司总部,办事处/SOHO,公共网络,VPN通道,VPN client,VPN,虚拟的网:即没有固定的物理连接,网络只有用户需要时才建立;利用公众网络设施构成。,台式机,Web 服务器,Internet连接,拨号用户,笔记本电脑,服务器,Mode
28、m池,网络,客户,工作站,企业的完整安全防护,G. Mark Hardy,授课内容,一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍,国家信息化安全教育认证,ISEC项目介绍和定位 ISEC项目运行模式及机构设置 ISEC项目课程及类别 ISEC项目目标及特色,ISEC项目介绍,国家信息化安全教育认证项目(ISEC)为信息产业部批准设立,中国电子商务协会监督和管理的信息安全领域国家级的认证体系。由ISEC国家信息化安全教育认证管理中心统一管理、实施。,ISEC项目定位,国家信息化安全教育认证作为“政府推出,市场运作,行业协会监督指导”的重点项目,主要突
29、出以下两大特点:以行业为基础,在国家信息技术应用单位普及信息安全意识与知识,使各行业、机关有能力评估、设计、建设、维护自己的信息安全系统。以应用为核心,向全社会普及信息安全意识与知识,使全民从技术、法规等多层面了解信息安全,从而配合我国的信息安全建设。,ISEC项目运行模式及机构设置,ISEC专家顾问委员会,曲成义 国家信息化专家咨询委员会委员曹元大 北京理工大学软件学院院长刘正风 公安部金盾工程办公室副主任、 安全组组长谭晓准 公安部科技局副局长祁 金 公安部公共网络信息安全监察局,ISEC主要课程,信息安全基础 防火墙技术入侵检测技术操作系统安全网络病毒防治PKI技术 标准规范与政策法规安
30、全策略制定 安全响应团队的构建与管理,国家信息化安全教育认证,领导关心的问题国家对网络信息安全提出了哪些要求网络与信息安全涉及哪些内容如何指导、评估信息安全保障体系的建设,国家信息化安全教育认证,技术主管关心的问题最常用的网络与信息安全技术特点如何设计符合实际需求的信息安全保障体系如何实施网络与信息安全的管理,国家信息化安全教育认证,基层人员关心的问题如何安全的使用网络信息系统,保护个人隐私如何配合技术人员保障系统安全,认证类别,信息安全高级规划师信息安全高级管理师信息安全管理员信息安全操作员,国家信息化安全教育认证,信息安全操作员 培训对象:行业、企业的财务、行政、办公等信息网络终端实用者培
31、训目的:作为信息系统的使用者,了解每个个体对网络安全的重要性,有能力积极、主动的配合信息安全管理演示与实验网络攻击演示,国家信息化安全教育认证,信息安全管理员 培训对象:行业、企业的科技部门、信息中心、网络运营、系统管理技术人员培训目的:作为技术人员,全面了解掌握各种信息安全技术,有能力制定实施安全方案并监控调整安全防范体系的运行。 演示与实验网络攻击演示防火墙安装、配置身份认证系统安装、配置入侵检测系统的配置、使用,国家信息化安全教育认证,信息安全高级管理师 培训对象:行业、企业的科技部门、信息中心、网络运营、系统管理技术人员培训目的:作为系统、网络管理者,能够严守相关法规,并依据信息安全规
32、范协助组建安全团队、制定整体安全策略。,国家信息化安全教育认证,信息安全高级规划师 培训对象:行业、企业的领导、业务主管、技术负责人培训目的:作为行业、企业领导,了解网络安全管理标准、规范与对策,有能力对现有系统提出系统安全性目标并组织规划。演示网络攻击演示,国家信息化安全教育认证,经过培训的学员可以具备以下能力我了解我们公司哪些关键业务和关键数据是不能出问题的。 我系统地知道所有关于信息安全的知识,虽然我可能不是专家,但我知道发生了什么问题,找谁去解决。 我可以判别出公司的IT系统有哪些漏洞并不断地改进。,国家信息化安全教育认证,我了解黑客的各种攻击手段。当发生攻击时我不会手足无措,我可以使用各种工具发现隐藏的攻击而将其消灭。 我知道各种安全产品并不象厂商炫耀的那样无所不能,我可以甄别各种安全方案的好坏和各种安全产品的优缺点。我可以为公司设计完整的信息安全解决方案。,国家信息化安全教育认证,我知道如何科学地评价一套信息安全保障体系我知道如何建立网络与信息安全管理制度来保证信息安全保障体系发挥其作用,国家信息化安全教育认证,ISEC项目的特色国家级的认证体系真正第三方的专业培训全面系统的信息安全培训内容符合我国的国情注重综合能力的培养突出案例分析、实验环节、互动交流,谢谢!,
