網(wǎng)絡(luò)安全意識與案例分析[共134頁]

1、1 計算機(jī)網(wǎng)絡(luò)安全 池州職業(yè)技術(shù)學(xué)院使用池州職業(yè)技術(shù)學(xué)院使用 2 問題問題 我們希望達(dá)到什么樣的安全？ 我們該如何發(fā)現(xiàn)存在的安全威脅？ 針對存在的安全威脅我們應(yīng)該如何應(yīng)對？ 3 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全防御體系 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 4 典型的網(wǎng)絡(luò)拓?fù)涞湫偷木W(wǎng)絡(luò)拓?fù)? (一一) ) 5 一個主機(jī)感染病毒導(dǎo)致整個網(wǎng)絡(luò)中斷一個主機(jī)感染病毒導(dǎo)致整個網(wǎng)絡(luò)中斷 現(xiàn)實教訓(xùn) 6 現(xiàn)實教訓(xùn) 某運營商充值卡被盜 7 現(xiàn)實教訓(xùn) 廣東某市政府某局網(wǎng)站入侵報告廣東某市政府某局網(wǎng)站入侵報告 事件背景事件背景 廣東某市

2、C局所屬網(wǎng)站 (IP: 61.xxx.xxx.17)于 2001年4月期間遭到黑客惡意攻擊，造成網(wǎng)站網(wǎng)頁被修改。在此情況 下，XX公司于2001年4月17日受某市S局的委托，前往機(jī)房現(xiàn)場取證。 服務(wù)器基本情況以及已獲取資料服務(wù)器基本情況以及已獲取資料 該服務(wù)器操作系統(tǒng)為Windows Nt Server 4.0，安裝有IIS 4.0，對 外使用FIREWALL屏蔽，只開放WEB服務(wù)。我方技術(shù)員收集獲得MS IIS 4.0 2001年4月13日至4月17日HTTPLOG和FTPLOG。 分析分析 由于該站受入侵后的直接現(xiàn)象為網(wǎng)頁被修改.并且該站受到PIX FIREWALL防衛(wèi)，對外只開放80端口

3、，所以初步估計是通過IIS遠(yuǎn)程漏 洞獲得系統(tǒng)控制權(quán)的，IIS 4.0默認(rèn)下存在ism.dll，msadcs.dll， unicode等獲得網(wǎng)頁修改權(quán)限的遠(yuǎn)程漏洞。于是我公司技術(shù)人員對該服 務(wù)器的MS IIS 4.0 2001年8月17日至月17日HTTPLOG日志文件進(jìn)行詳 細(xì)的分析和過濾，得出以下結(jié)論： 入侵者利用Unicode漏洞從而可以使用web端口提交執(zhí)行命令的請 求,修改網(wǎng)站主頁. 8 現(xiàn)實教訓(xùn) 2006年騰訊入侵事件年騰訊入侵事件 9 現(xiàn)實教訓(xùn) 物理安全相關(guān) 10 現(xiàn)實教訓(xùn) 2006年2月21日晚，英國 央行位于肯特郡的湯布 里奇金庫被劫，劫匪搶 走5800萬英鎊（75,400 萬

4、人民幣） 。 為什么會發(fā)生？ 問題出在哪？ 11 系統(tǒng)漏洞導(dǎo)致的損失 2004年，Mydoom所造成的經(jīng)濟(jì)損失已經(jīng)達(dá) 到261億美元 。 2005年，Nimda電腦病毒在全球各地侵襲 了830萬部電腦，總共造成5億9000萬美元 的損失。 2006年，美國聯(lián)邦調(diào)查局公布報告估計： “僵尸網(wǎng)絡(luò)”、蠕蟲、特洛伊木馬等電腦 病毒給美國機(jī)構(gòu)每年造成的損失達(dá)119億 美元。 12 日益增長的網(wǎng)絡(luò)安全威脅日益增長的網(wǎng)絡(luò)安全威脅 據(jù)風(fēng)險管理公司據(jù)風(fēng)險管理公司MI2G公布的調(diào)查結(jié)果顯示，病毒、蠕蟲和特洛伊木馬等惡意公布的調(diào)查結(jié)果顯示，病毒、蠕蟲和特洛伊木馬等惡意 程序共給全球造成了程序共給全球造成了1690億

5、美元的經(jīng)濟(jì)損失。億美元的經(jīng)濟(jì)損失。 據(jù)據(jù)Computer Economics資料顯示，嚴(yán)重肆虐全球個人電腦資料顯示，嚴(yán)重肆虐全球個人電腦(PC)的知名病毒的知名病毒 Sasser和和Netsky，均曾導(dǎo)致高達(dá)百萬部電腦中毒，財務(wù)損失和修復(fù)成本分別高，均曾導(dǎo)致高達(dá)百萬部電腦中毒，財務(wù)損失和修復(fù)成本分別高 達(dá)達(dá)35億美元、億美元、27.5億美元。億美元。 13 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 14 信息安全現(xiàn)狀 信息安全的概述 從歷史的角度看安全 信息安全背景趨勢 信息安全建設(shè)的重要性 1

6、5 什么是信息安全 歐共體對信息安全的定義： 網(wǎng)絡(luò)與信息安全可被理解為在既定的密級條件下 ，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這 些事件和行為將危及所存儲或傳輸達(dá)到數(shù)據(jù)以及經(jīng)由這 些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實性、完整性 和保密性。 我國安全保護(hù)條例的安全定義：計算機(jī)信息系統(tǒng)的安全 保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施 （含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全 ，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng) 的安全運行。 信息安全的定義信息安全的定義 16 什么是信息安全 n ISO27001中的描述 “Information security prot

7、ects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.” 信息安全： 保護(hù)信息免受各方威脅 確保組織業(yè)務(wù)連續(xù)性 將信息不安全帶來的損失降低到最小 獲得最大的投資回報和商業(yè)機(jī)會 17 信息安全的特征（CIA） nISO27001中的描述 Information security is characterize

8、d here as the preservation of: Confidentiality Integrity Availability 信息在安全方面三個特征： 機(jī)密性：確保只有被授權(quán)的人才可以訪問信息 ； 完整性：確保信息和信息處理方法的準(zhǔn)確性和 完整性； 可用性：確保在需要時，被授權(quán)的用戶可以訪 問信息和相關(guān)的資產(chǎn)。 18 信息安全現(xiàn)狀 信息安全的概述 從歷史的角度看安全 信息安全背景趨勢 信息安全建設(shè)的重要性 19 第一階段：通信保密 上世紀(jì)40年代70年代 重點是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的保密性 與完整性 主要安全威脅是搭線竊聽、密碼學(xué)分析 主要保護(hù)措施是加密 20

9、第二階段：計算機(jī)安全 上世紀(jì)7080年代 重點是確保計算機(jī)系統(tǒng)中硬 件、軟件及正在處理、存儲 、傳輸?shù)男畔⒌臋C(jī)密性、完 整性和可控性 主要安全威脅擴(kuò)展到非法訪 問、惡意代碼、脆弱口令等 主要保護(hù)措施是安全操作系 統(tǒng)設(shè)計技術(shù)（TCB） 21 第三階段：信息系統(tǒng)安全 上世紀(jì)90年代以來 重點需要保護(hù)信息，確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不 被破壞，強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性。 主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等 VPN VPN 虛擬專用網(wǎng)虛擬專用網(wǎng) 防火墻防火墻 內(nèi)容檢測內(nèi)容檢測 防病毒防病毒 入侵檢測入侵檢測 22 第四階段：信息安全保障 人員安全安全

10、培訓(xùn) 安全意識安全管理 物理安全 計算環(huán)境安全 運 行 人 邊界安全 災(zāi)難恢復(fù) 備份與 基礎(chǔ)設(shè)施 網(wǎng)絡(luò)安全 證書系統(tǒng) 監(jiān) 控 檢 測 安全評估 授權(quán)系統(tǒng) 技 術(shù) 人員安全安全培訓(xùn) 安全意識安全管理 物理安全 計算環(huán)境安全 運 行 人 邊界安全 災(zāi)難恢復(fù) 備份與 基礎(chǔ)設(shè)施 網(wǎng)絡(luò)安全 證書系統(tǒng) 監(jiān) 控 檢 測 安全評估 授權(quán)系統(tǒng) 技 術(shù) 人，借助技術(shù)的支持，實施一系列的操作過程，最終實現(xiàn)信人，借助技術(shù)的支持，實施一系列的操作過程，最終實現(xiàn)信 息保障目標(biāo)。息保障目標(biāo)。 23 信息安全現(xiàn)狀 信息安全的概述 從歷史的角度看安全 信息安全背景趨勢 信息安全建設(shè)的重要性 24 安全現(xiàn)狀 全球漏洞數(shù)持續(xù)快速增

11、長全球漏洞數(shù)持續(xù)快速增長應(yīng)用軟件漏洞增勢明顯應(yīng)用軟件漏洞增勢明顯 從發(fā)現(xiàn)漏洞到攻擊的時間在不斷縮短從發(fā)現(xiàn)漏洞到攻擊的時間在不斷縮短 漏洞產(chǎn)業(yè)鏈已形成，可以自由交易漏洞產(chǎn)業(yè)鏈已形成，可以自由交易 25 系統(tǒng)漏洞多，容易被攻擊，被攻擊時很難發(fā) 現(xiàn)； 有組織有計劃的入侵無論在數(shù)量上還是在質(zhì) 量上都呈現(xiàn)快速增長趨勢； 病毒蠕蟲泛濫。 攻擊工具化。 有制度、措施、標(biāo)準(zhǔn)，大部分流于形式，缺 乏安全宣傳教育。 信息系統(tǒng)安全領(lǐng)域存在的挑戰(zhàn)信息系統(tǒng)安全領(lǐng)域存在的挑戰(zhàn) 信息安全背景趨勢 26 安全背景趨勢 27 安全背景趨勢 28 安全背景趨勢 29 新一代惡意代碼（蠕蟲、木馬） 2002 安全背景趨勢 黑客攻擊

12、技術(shù)黑客攻擊技術(shù)多種攻擊技術(shù)的融合多種攻擊技術(shù)的融合 30 攻擊工具體系化攻擊工具體系化 安全背景趨勢 31 信息安全背景趨勢 黑客大聚會黑客大聚會 32 信息安全背景趨勢 攻擊經(jīng)驗切磋攻擊經(jīng)驗切磋 33 信息安全的相對性 安全沒有100% 完美的健康狀態(tài)永遠(yuǎn)也不能達(dá)到； 安全工作的目標(biāo)：將風(fēng)險降到最低 34 信息安全現(xiàn)狀 信息安全的概述 從歷史的角度看安全 信息安全背景趨勢 信息安全建設(shè)的重要性 35 信息安全建設(shè)的重要性 業(yè)務(wù)需求 政策的需求 安全影響個人績效 36 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全防御體系 信息安全管理體系

13、 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 37 u誰會攻擊我們？誰會攻擊我們？ 信息安全面臨威脅分析 38 威脅來源（威脅來源（NSANSA的觀點）的觀點） 安全威脅分析 39 黑客帶來的威脅類型 病毒 蠕蟲 后門 拒絕服務(wù) 內(nèi)部人員 誤操作 非授權(quán)訪問 暴力猜解 物理威脅 系統(tǒng)漏洞利用 嗅探 40 問題 試分析本單位面臨的主要安全威脅。 41 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全防御體系 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 42 預(yù)攻擊 內(nèi)容：內(nèi)容： 獲得域名及IP分布 獲得拓?fù)浼癘S等 獲得端口和服務(wù) 獲得應(yīng)用系統(tǒng)情況

14、 跟蹤新漏洞發(fā)布 目的：目的： 收集信息，進(jìn)行進(jìn) 一步攻擊決策 黑客入侵的一般過程 攻擊 內(nèi)容：內(nèi)容： 獲得遠(yuǎn)程權(quán)限 進(jìn)入遠(yuǎn)程系統(tǒng) 提升本地權(quán)限 進(jìn)一步擴(kuò)展權(quán)限 進(jìn)行實質(zhì)性操作 目的：目的： 進(jìn)行攻擊，獲得系 統(tǒng)的一定權(quán)限 后攻擊 內(nèi)容：內(nèi)容： 刪除日志 修補明顯的漏洞 植入后門木馬 進(jìn)一步滲透擴(kuò)展 目的：目的： 消除痕跡，長期維 持一定的權(quán)限 43 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全防御體系 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 44 常見黑客攻擊手段 隱藏自身 確定攻擊目標(biāo) 掃描探測 社會工程 預(yù)攻擊階段預(yù)攻擊階

15、段 暴力猜解暴力猜解 SQL injection攻擊攻擊 拒絕服務(wù)攻擊拒絕服務(wù)攻擊 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 網(wǎng)絡(luò)嗅探攻擊網(wǎng)絡(luò)嗅探攻擊 網(wǎng)絡(luò)欺騙攻擊網(wǎng)絡(luò)欺騙攻擊 特洛伊木馬特洛伊木馬 消滅蹤跡消滅蹤跡 攻擊階段攻擊階段 后攻擊階段后攻擊階段 45 以已經(jīng)取得控制權(quán)的主機(jī) 為跳板攻擊其他主機(jī) 隱藏自身隱藏自身 常見黑客攻擊手段 46 確定攻擊目標(biāo) 使用簡單的工具，通過各種途徑，獲取 目標(biāo)與安全相關(guān)的信息。主要包括： 領(lǐng)導(dǎo)、技術(shù)人員的信息（姓名、電話、郵件 、生日等） 域名、IP地址范圍； DNS服務(wù)器、郵件服務(wù)器；撥號服務(wù)器； 防火墻、路由器型號等 47 漏洞掃描技術(shù) 確定目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)

16、活著； 標(biāo)識目標(biāo)系統(tǒng)開放的端口與服務(wù)（ Port Scan技術(shù)）； 操作系統(tǒng)識別（Operating System Identification/Fingerprinting技 術(shù)）； 目標(biāo)系統(tǒng)存在的漏洞。 掃描探測掃描探測 常見黑客攻擊手段 48 預(yù)攻擊預(yù)攻擊漏洞掃描漏洞掃描 預(yù)攻擊預(yù)攻擊漏洞掃描漏洞掃描 49 社會工程學(xué) 社會工程學(xué) 通過對受害者心理弱點、本能反應(yīng)、好奇心、信任 、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段 ，取得自身利益的手法。 如果給你100萬，讓你獲取某系統(tǒng)的重要資料 你會怎么辦？ 如果你在公司大樓門前撿到一個漂亮的U盤， 你會怎么辦？ 50 緩沖區(qū)溢出攻擊 緩沖區(qū)溢

17、出技術(shù)原理 通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造 成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而 執(zhí)行其它指令，以達(dá)到攻擊的目的 。 內(nèi)存低址內(nèi)存低址 51 緩沖區(qū)溢出攻擊 攻擊實例：緩沖區(qū)溢出攻擊 52 “拒絕服務(wù)攻擊（拒絕服務(wù)攻擊（Denial of ServiceDenial of Service）”的的 方法，簡稱方法，簡稱DoSDoS。它的惡毒之處是通過向服務(wù)。它的惡毒之處是通過向服務(wù) 器發(fā)送大量的虛假請求，服務(wù)器由于不斷應(yīng)器發(fā)送大量的虛假請求，服務(wù)器由于不斷應(yīng) 付這些無用信息而最終筋疲力盡，而合法的付這些無用信息而最終筋疲力盡，而合法的 用戶卻由此無法享受到相應(yīng)服務(wù)，實際上就用

18、戶卻由此無法享受到相應(yīng)服務(wù)，實際上就 是遭到服務(wù)器的拒絕服務(wù)。是遭到服務(wù)器的拒絕服務(wù)。 53 大家可能經(jīng)常聽過，大家可能經(jīng)常聽過，XXXXXX站點又被黑了。站點又被黑了。 但是大家又沒有想過，這星球上站點的數(shù)目但是大家又沒有想過，這星球上站點的數(shù)目 可是以可是以 千萬單位計算的。千萬單位計算的。 54 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全防御體系 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 55 動態(tài)防御體系 56 目前普遍應(yīng)用的信息安全技術(shù) 訪問控制 操作系統(tǒng)訪問控制操作系統(tǒng)訪問控制 網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)防火墻 統(tǒng)一威脅管理（統(tǒng)

19、一威脅管理（UTMUTM） 審計跟蹤 IDSIDS VAVA漏洞掃描漏洞掃描 日志日志 審計系統(tǒng)審計系統(tǒng) 加密 存儲和備份 鑒別和認(rèn)證 PKIPKI和和CACA 雙因子認(rèn)證雙因子認(rèn)證 生物認(rèn)證生物認(rèn)證 57 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 58 網(wǎng)絡(luò)小組組長a 病 毒 防 護(hù) 人 員 IP 和 機(jī) 房 管 理 入 侵 檢 測 人 員 F W 管 理 人 員 系統(tǒng)小組組長b 漏 洞 彌 補 人 員 服 務(wù) 開 關(guān) 管 理 系 統(tǒng) 運 行 管 理 設(shè) 備 進(jìn) 出 網(wǎng) 絡(luò) 開發(fā)小組組長c 分

20、 析 設(shè) 計 文 檔 編 碼 測 試 聯(lián) 調(diào) 應(yīng) 用 部 署 維 護(hù) 安 全 設(shè) 計 文 檔 CSO 經(jīng)理一人經(jīng)理一人 與副經(jīng)理制定策略； 協(xié)調(diào)本部門的工作； 協(xié)調(diào)各職能部門的工作 副經(jīng)理二人副經(jīng)理二人： 審計檢查；實施策略 安全專員X人： 網(wǎng)絡(luò)小組二人，組長a; 系統(tǒng)小組二人，組長b; 開發(fā)小組二人，組長c; 信息安全部 職能部門安全專員X人： 每個職能部門一人，如總裁辦 、投資銀行等各有一人。 職責(zé)： 1、在本部門推行、檢察安全 策略和制度的執(zhí)行； 2、本部門征求并反映本部門 建議和意見； 3、給出本部門每個員工的安 全分?jǐn)?shù)作為獎懲依據(jù)。 組織機(jī)構(gòu)示意圖組織機(jī)構(gòu)示意圖 59 信息安全管理工

21、作內(nèi)容 1. 1. 風(fēng)險評估風(fēng)險評估 2. 2. 安全策略安全策略 3. 3. 物理安全物理安全 4. 4. 設(shè)備管理設(shè)備管理 運行管理運行管理 軟件安全管理軟件安全管理 7. 信息安全管理信息安全管理 8.8.人員安全管理人員安全管理 9. 9. 應(yīng)用系統(tǒng)安全管理應(yīng)用系統(tǒng)安全管理 10. 10. 操作安全管理操作安全管理 11. 11. 技術(shù)文檔安全管理技術(shù)文檔安全管理 12. 12. 災(zāi)難恢復(fù)計劃災(zāi)難恢復(fù)計劃 13. 13. 安全應(yīng)急響應(yīng)安全應(yīng)急響應(yīng) 60 信息安全管理的制度 IPIP地址管理制度地址管理制度 防火墻管理制度防火墻管理制度 病毒和惡意代碼防護(hù)制度病毒和惡意代碼防護(hù)制度 服務(wù)

22、器上線及日常管理制度服務(wù)器上線及日常管理制度 口令管理制度口令管理制度 開發(fā)安全管理制度開發(fā)安全管理制度 應(yīng)急響應(yīng)制度應(yīng)急響應(yīng)制度 制度運行監(jiān)督制度運行監(jiān)督 。 61 工作程序 安全管理制度運行監(jiān)督的三種方式 每月督查 每季審核 年度安全管理評審 安全管理制度文件控制 安全記錄控制 相關(guān)記錄 制度運行監(jiān)督 62 PDCA循環(huán)：Plan DoCheckAct 計劃 實施檢查 改進(jìn) P D A C 安全管理原則 63 領(lǐng)導(dǎo)重視 指明方向和目標(biāo)指明方向和目標(biāo) 權(quán)威權(quán)威 預(yù)算保障，提供所需的資源預(yù)算保障，提供所需的資源 監(jiān)督檢查監(jiān)督檢查 組織保障組織保障 安全管理原則 64 全員參與 信息安全不僅僅是

23、信息安全不僅僅是ITIT部門的事；部門的事； 讓每個員工明白隨時都有信息安全問題；讓每個員工明白隨時都有信息安全問題； 每個員工都應(yīng)具備相應(yīng)的安全意識和能力；每個員工都應(yīng)具備相應(yīng)的安全意識和能力； 讓每個員工都明確自己承擔(dān)的信息安全責(zé)任；讓每個員工都明確自己承擔(dān)的信息安全責(zé)任； 安全管理原則 65 文件化 文件的作用：有章可循，有據(jù)可查文件的作用：有章可循，有據(jù)可查 文件的類型：手冊、規(guī)范、指南、記錄文件的類型：手冊、規(guī)范、指南、記錄 安全管理原則 溝通意圖，統(tǒng)一行動溝通意圖，統(tǒng)一行動 重復(fù)和可追溯重復(fù)和可追溯 提供客觀證據(jù)提供客觀證據(jù) 用于學(xué)習(xí)和培訓(xùn)用于學(xué)習(xí)和培訓(xùn) 文件的作用：有章可循，有據(jù)

24、可查文件的作用：有章可循，有據(jù)可查 66 持續(xù)改進(jìn) 信息安全是動態(tài)的，時間性強(qiáng) 持續(xù)改進(jìn)才能有最大限度的安全 組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段 實現(xiàn)信息安全目標(biāo)的循環(huán)活動 安全管理原則 67 安全工作的目的 進(jìn)不來 拿不走 改不了 跑不了 看不懂 68 大綱 現(xiàn)實教訓(xùn) 信息安全現(xiàn)狀 安全威脅分析 黑客攻擊思路和步驟 常見的黑客攻擊技術(shù)及演示 信息安全管理體系 日常桌面系統(tǒng)的安全 日常安全習(xí)慣 69 日常桌面系統(tǒng)的安全 日常桌面系統(tǒng)概述 常見威脅分析及處理方法 日常安全配置 70 日常桌面系統(tǒng)概述 什么是操作系統(tǒng)及其作用 常用功能： 聯(lián)網(wǎng) 運行應(yīng)用（office，應(yīng)用軟件等） 信息傳輸（文

25、件） 71 日常桌面系統(tǒng)的安全 日常桌面系統(tǒng)概述 常見威脅分析及處理方法 日常安全配置 72 常見威脅分析及處理方法 病毒 蠕蟲 流氓軟件 木馬 其他 73 病毒 病毒的流行在衰退？ 病毒的 特點： 不能作為獨立的可執(zhí)行程序執(zhí)行 具有自動產(chǎn)生和自身拷貝的能力 能夠產(chǎn)生有害的或惡意的動作 74 感染的機(jī)制和目標(biāo) 感染可執(zhí)行文件 COM文件 EXE文件 DLL、OCX、SYS 75 病毒的傳播機(jī)制 移動存儲（U盤病毒） 電子郵件及其下載（梅利莎） 共享目錄（熊貓燒香） 76 熊貓燒香 又稱“武漢男生”，感染型的蠕蟲病毒。 病毒機(jī)理 首先，它在 C:WINNTsystem32drivers目錄 下建

26、立了一個“spo0lsv.exe”文件，o是英文 字母，0是數(shù)字，偽裝成正常的系統(tǒng)打印服務(wù) “spoolsv.exe”并實現(xiàn)開機(jī)的加載。 其次，有些機(jī)器會有與以前的U盤病毒一樣的特 征，每個盤雙擊打開會運行病毒的程序。原理 是在每個盤比如C盤根目錄下建立兩個隱藏文件 setup.exe 和 autorun.inf。 77 熊貓燒香 發(fā)作現(xiàn)象： 感染文件類型：exe，com，pif，src， html，asp等。 中止大量的反病毒軟件進(jìn)程； 刪除擴(kuò)展名為gho的文件； 被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件 全部被改成熊貓舉著三根香的模樣。 78 中病毒后可能的跡象 運行緩慢 系統(tǒng)崩潰 系統(tǒng)進(jìn)

27、程名 區(qū)別“o”和“0”，如：expl0rer、svch0st、spo0lsv 區(qū)分“l(fā)”、“i”和“1”，如： exp1orer、 expiorer、 spoo1sv 是否多或少了字母 電子郵件被退回 反病毒軟件報警 系統(tǒng)文件或其他文件的屬性或大小變化 應(yīng)用程序執(zhí)行異常 。 79 常見威脅分析及處理方法 病毒 蠕蟲 流氓軟件 木馬 其他 80 蠕蟲 蠕蟲是一種可以自我復(fù)制的代碼，通過 網(wǎng)絡(luò)傳播，通常無需人為干預(yù)就能傳播 81 蠕蟲案例-Nimda 2001年9月18日爆發(fā) 多種不同的探測技術(shù) IIS Web 目錄穿越漏洞 具有IE漏洞的瀏覽器訪問被感染頁面 Outlook電子郵件客戶端傳播

28、Windows文件共享傳播 掃描網(wǎng)絡(luò)中感染了Code Red II和Sadmind 蠕蟲的主機(jī)的后門，并清除之 82 蠕蟲的防御 以蟲治蟲 反病毒軟件-需要和其他手段相配合 及時安裝補丁并配置好系統(tǒng) 阻斷任意的輸入連接 千萬不要擺弄蠕蟲等類似的惡意代碼 83 常見威脅分析及處理方法 病毒 蠕蟲 木馬 流氓軟件 84 木馬 木馬 由兩個程序組成，一個是客戶端，一個服 務(wù)器端（被攻擊的機(jī)器上運行），通過在宿主機(jī)器上 運行服務(wù)器端程序，在用戶毫無察覺的情況下，可以 通過客戶端程序控制攻擊者機(jī)器、刪除其文件、監(jiān)控 其操作等。 85 木馬攻擊 86 常見威脅分析及處理方法 病毒 蠕蟲 木馬 流氓軟件 8

29、7 流氓軟件 惡意軟件是指在未明確提示用戶或未經(jīng) 用戶許可的情況下，在用戶計算機(jī)或其 他終端上安裝運行，侵害用戶合法權(quán)益 的軟件，但不包含我國法律法規(guī)規(guī)定的 計算機(jī)病毒。 88 如何預(yù)防上述常見威脅 提高計算機(jī)病毒的防范意識，多到反病毒網(wǎng)站 上看一看 養(yǎng)成使用計算機(jī)的良好習(xí)慣 盡可能使用正版軟件 不要執(zhí)行來歷不明的軟件或程序 不要輕易打開陌生郵件 不要因為對方是你的朋友就輕易執(zhí)行他發(fā)過來 的軟件或者程序 盡可能少訪問一些小的網(wǎng)站或不良網(wǎng)站 89 如何預(yù)防上述常見威脅 不要隨便留下你的個人資料 輕易不要使用服務(wù)器上網(wǎng)瀏覽、聊天等 有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù) 使用非超級用戶帳號 密切注意瀏覽器及Em

30、ail軟件的有關(guān)漏洞和補 丁 取消共享文件夾的寫權(quán)限或?qū)蚕砦募A設(shè)置 口令 刪除或停用不必要的帳戶，設(shè)置高強(qiáng)度的用戶 口令 90 建議啟用微軟自動更新功能 設(shè)置我的電腦-屬性 -自動更新 91 及時打補丁及時打補丁 92 安裝殺毒軟件 并正確的使用 殺毒軟件，及 時升級殺毒軟 件，開啟實時 掃描功能，定 期殺毒 93 安裝并啟用個人防火墻（可以是windows自帶的 或殺毒軟件自帶的） 94 顯示所有文件及文件擴(kuò)展名 95 取消默認(rèn)共享 編輯txt文本內(nèi)容 net share c$ /del net share d$ /del net share e$ /del net share ADMI

31、N$ /del 改擴(kuò)展名為.bat 設(shè)置開機(jī)自啟動此批處理文件 96 關(guān)閉自動播放功能 97 設(shè)置瀏覽器安全級別 98 離開計算機(jī)時鎖屏 Windows 2000 Ctrl+Alt+Del Windows xp 運行-gpedit.msc 配置啟用“總是用經(jīng)典登錄” 99 防御惡意代碼的其他方法 反病毒工具 行為監(jiān)控軟件 反間諜軟件工具 100 日常桌面系統(tǒng)的安全 日常桌面系統(tǒng)概述 常見威脅分析及處理方法 日常安全配置 101 日常安全配置 Windows操作系統(tǒng)安全配置 常用軟件安全配置 102 Windows操作系統(tǒng)安全配置 系統(tǒng)安裝注意事項 訪問控制 數(shù)據(jù)的安全 本地安全策略 syske

32、y 103 系統(tǒng)安裝注意事項 建立和選擇分區(qū) 選擇安裝目錄 不安裝多余的組件 停止多余的服務(wù) 安裝系統(tǒng)補丁 104 多余的組件 Internt信息服務(wù)（IIS）（如不需要） 索引服務(wù)Indexing Service 消息隊列服務(wù)（MSMQ） 遠(yuǎn)程安裝服務(wù) 遠(yuǎn)程存儲服務(wù) 終端服務(wù) 終端服務(wù)授權(quán) 105 Win2K服務(wù) 106 Windows操作系統(tǒng)安全配置 系統(tǒng)安裝注意事項 訪問控制 數(shù)據(jù)的安全 本地安全策略 syskey 107 訪問控制 NTFS與FAT分區(qū)文件屬性 文件權(quán)限 用戶權(quán)限 權(quán)限控制原則 網(wǎng)絡(luò)訪問控制 108 NTFS與FAT分區(qū)權(quán)限 FAT32NTFS 109 文件權(quán)限 110

33、 用戶權(quán)限 Administrators 組 Users 組 Power Users 組 Backup Operators組 111 權(quán)限控制原則和特點 1權(quán)限是累計 用戶對資源的有效權(quán)限是分配給該個人 用戶帳戶和用戶所屬的組的所有權(quán)限的總和。 2拒絕的權(quán)限要比允許的權(quán)限高 拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚 至作為一個組的成員有權(quán)訪問文件夾或文件，但 是該組被拒絕訪問，那么該用戶本來具有的所有 權(quán)限都會被鎖定而導(dǎo)致無法訪問該文件夾或文件 。 112 3文件權(quán)限比文件夾權(quán)限高 4利用用戶組來進(jìn)行權(quán)限控制 5權(quán)限的最小化原則 權(quán)限控制原則和特點 113 網(wǎng)絡(luò)訪問控制 114 利用IP安全策略實現(xiàn)

34、訪問控制 115 Windows操作系統(tǒng)安全配置 系統(tǒng)安裝注意事項 訪問控制 數(shù)據(jù)的安全 本地安全策略 syskey 116 EFS加密文件系統(tǒng) 特性：特性： 1 1、采用單一密鑰技術(shù)、采用單一密鑰技術(shù) 2 2、核心文件加密技術(shù)僅用于、核心文件加密技術(shù)僅用于NTFSNTFS，使用戶在，使用戶在 本地計算機(jī)上安全存儲數(shù)據(jù)本地計算機(jī)上安全存儲數(shù)據(jù) 3 3、加密用戶使用透明，其他用戶被拒、加密用戶使用透明，其他用戶被拒 4 4、不能加密壓縮的和系統(tǒng)文件，加密后不能、不能加密壓縮的和系統(tǒng)文件，加密后不能 被共享、能被刪除被共享、能被刪除 117 EFS恢復(fù)代理 故障恢復(fù)代理就是獲得授權(quán)解密由其他用戶加 密的數(shù)據(jù)的管理員 必須進(jìn)行數(shù)據(jù)恢復(fù)時，恢復(fù)代理可以從安全的 存儲位置獲得數(shù)據(jù)恢復(fù)證書導(dǎo)入系統(tǒng)。 默認(rèn)的超級管理員就是恢