網(wǎng)絡安全與病毒防范一

1、網(wǎng)絡安全與病毒防范 第一章 信息安全概述 主講人：盛建軍課程信息o 上課地點：信7208o 上課時間：周三、周四o 課程考核方法：o 1.期末考試成績：60%o 2.平時考勤：20%o 3.作業(yè)：20%課程綜述o 課程內(nèi)容：本課程以分析計算機網(wǎng)絡面臨的安全威脅為起點，闡述了常用的網(wǎng)絡安全技術，首先介紹主流網(wǎng)絡安全產(chǎn)品和常用網(wǎng)絡安全策略，并著重強調(diào)內(nèi)容安全（防病毒）在網(wǎng)絡安全中的重要地位。隨后，著重介紹病毒及病毒防護相關知識，并就目前業(yè)界最先進的病毒防護理念展開深入說明。課程涉及內(nèi)容o 1.計算機網(wǎng)絡面臨的安全威脅o 2.常用的計算機網(wǎng)絡安全技術o 3.主要的網(wǎng)絡安全產(chǎn)品類型o 4.企業(yè)網(wǎng)絡安全

2、策略o 5.病毒，惡意代碼與垃圾郵件的基礎知識o 6.計算機病毒的危害與防范措施o 7.病毒的發(fā)展趨勢o 8.傳統(tǒng)病毒防范技術的不足o 9.趨勢科技企業(yè)防護戰(zhàn)略課程目標o 本課程的目標是提高學員的網(wǎng)絡安全意識和病毒防范水平，使學員熟悉基本的網(wǎng)絡安全理論知識和常用網(wǎng)絡安全產(chǎn)品，了解部署整個網(wǎng)絡安全的防護系統(tǒng)和策略的方法，尤其是病毒防護的相關策略。在此基礎上，讓學員充分了解病毒防范的重要性和艱巨性，了解“內(nèi)部人員的不當使用”和“病毒”是整個網(wǎng)絡系統(tǒng)中最難對付的兩類安全問題。課程內(nèi)容o 1.基本的網(wǎng)絡弱點o 2.安全技術原理o 3.各類安全技術的產(chǎn)品及實現(xiàn)方式o 4.內(nèi)容安全（防病毒）的難度及在網(wǎng)絡

3、安全中日益重要的地位o 5.病毒防范技術和病毒防護體系的實施第一章:信息安全概述o 本章摘要：o 1.信息安全威脅o 2.信息安全弱點o 3.信息安全定義o 4.安全網(wǎng)絡基本特征o 5.信息安全體系結構o 6.操作系統(tǒng)的安全級別信息安全背景o 1.2007年，“ARP欺騙”病毒肆虐，國內(nèi)某著名高校百余宿舍網(wǎng)絡端口被封，只因內(nèi)網(wǎng)有電腦感染l了病毒，導致所有用戶網(wǎng)頁掛馬攻擊。o 2.2008年，美國東海岸連鎖超市（East Coast）的母公司Haanaford Bros.稱，該超市的用戶數(shù)據(jù)系統(tǒng)遭到黑客入侵，造成400多萬張銀行卡帳戶信息泄露，因此導致了1800起與銀行卡有關的欺詐事件。o 3.

4、2010年1月12日，占據(jù)中國75%市場份額的搜索引擎“百度”突然無法打開，網(wǎng)站下的所有服務、子域名、包括新聞、貼吧、知道、空間等等全部無法訪問。網(wǎng)站遭受黑客攻擊用戶數(shù)據(jù)泄露手機病毒o 由于大多數(shù)手機都能夠收發(fā)短信，而且智能手機操作系統(tǒng)越來越普及，這就使它們很容易受到一些病毒的攻擊，而新型手機的使用方式也給病毒的傳播創(chuàng)造了有利條件，當用戶參加約會服務或者玩網(wǎng)絡游戲時，手機就可能傳播惡意代碼。黑客攻擊技術與網(wǎng)絡病毒日益融合o 黑客攻擊技術與網(wǎng)絡病毒日趨融合是目前網(wǎng)絡攻擊的發(fā)展趨勢，并且隨著攻擊工具日益先進，攻擊者需要的技能日益下降，網(wǎng)絡受到攻擊的可能性將越來越大。o 融合黑客技術與病毒技術于一身

5、的“新一代主動式惡意代碼”不斷誕生。其特征是：在極短的時間內(nèi)，利用優(yōu)化掃描的方法，感染數(shù)以萬計的有漏洞的計算機系統(tǒng)，同時，能夠確定并記錄是否被感染，分析掌握受害者信息，為持續(xù)的有目的的攻擊建立暢通的渠道，進而實施更為嚴厲的破壞行為。 黑客攻擊技術與網(wǎng)絡病毒日益融合o 大量網(wǎng)絡計算機用戶頭疼不已的Nimda(尼姆達)、CodeRed(紅色代碼)、Founlove.4099、Sircam病毒紛紛粉墨登場，而且破壞力驚人。黑客攻擊技術與網(wǎng)絡病毒日益融合o “蠕蟲病毒”的名稱，很容易讓公眾認為這只是“病毒”的一種，但是權威網(wǎng)絡安全專家指出：網(wǎng)絡蠕蟲病毒，更應該稱為黑客技術與病毒技術融合后形成的“惡意代

6、碼”。o 以紅色代碼為例，感染后的機器的web目錄的scripts下會生成一個root.exe，可以遠程執(zhí)行任何命令，從而使黑客能夠再次進入。o Funlove病毒開創(chuàng)了在局域網(wǎng)內(nèi)主動掃描傳播的新方式；Codered病毒開創(chuàng)了利用微軟系統(tǒng)漏洞傳播病毒的先河，而Nimda病毒則綜合了該兩種方式，成為超級病毒。企業(yè)內(nèi)部的網(wǎng)絡攻擊o 盡管企業(yè)外部的攻擊可以對企業(yè)造成巨大威脅，但企業(yè)內(nèi)部員工的不正確使用和惡意破壞則是一種更加危險的因素。o 統(tǒng)計顯示：來自企業(yè)內(nèi)部的網(wǎng)絡破壞更加危險；o 員工的不正常使用也是企業(yè)內(nèi)部網(wǎng)一個重要的不安全因素。網(wǎng)絡攻擊的主要來源信息安全問題的嚴重性o 1.信息安全隱患到處存在

7、：o 2.信息安全問題造成的巨大損失：信息安全威脅與弱點o 信息安全威脅來自多個方面o 1.物理風險o 2.網(wǎng)絡風險o 3.系統(tǒng)風險o 4.信息風險o 5.應用風險o 6.管理風險o 7.其他風險物理風險o 1.設備防盜，防毀o 2.鏈路老化，人為破壞，被動物咬斷o 3.網(wǎng)絡設備自身故障o 4.停電導致網(wǎng)絡設備無法工作o 5.機房電磁輻射o 6.其他機房電磁輻射機房電磁輻射o 外界電磁輻射對計算機的危害主要是指電磁干擾，即電噪聲干擾，計算機所受的危害程度取決于干擾場強的強度、頻率和自身的電磁敏感度。o 當電子計算機房處在電磁干擾污染區(qū)域內(nèi)，例如機房附近有大功率無線電發(fā)射臺、雷達發(fā)射臺、電視發(fā)射

8、塔、高頻大電流設備等，當它們工作時其空間場強超過一定數(shù)值時，則必然對計算機形成嚴重干擾，造成計算機系統(tǒng)工作的失誤。網(wǎng)絡風險o 1.安全拓撲o 2.安全路由o 3.其他安全拓撲安全路由系統(tǒng)風險o 1.自主版權的安全操作系統(tǒng)o 2.安全數(shù)據(jù)庫o 3.操作系統(tǒng)是否最新補丁或者修正程序o 4.系統(tǒng)配置安全o 5.系統(tǒng)中運行的服務安全o 6.其他安全數(shù)據(jù)庫o 我們所說的安全數(shù)據(jù)庫通常是指在具有關系型數(shù)據(jù)庫一般功能的基礎上，提高數(shù)據(jù)庫安全性，達到美國TCSEC和TDI的B1（安全標記保護）級標準，或中國國家標準計算機信息系統(tǒng)安全保護等級劃分準則的第三級（安全標記保護級）以上安全標準的數(shù)據(jù)庫管理系統(tǒng)。o 數(shù)

9、據(jù)庫的安全性包括：機密性、完整性和可用性。安全數(shù)據(jù)庫o 安全數(shù)據(jù)庫和普通數(shù)據(jù)庫的重要區(qū)別在于安全數(shù)據(jù)庫在通用數(shù)據(jù)庫的基礎上進行了諸多重要機制的安全增強，通常包括： o 1.安全標記及強制訪問控制（MAC） o 2.數(shù)據(jù)存儲加密 o 3.數(shù)據(jù)通訊加密 o 4.強化身份鑒別 o 5.安全審計 o 6.三權分立等安全機制信息風險o 1.信息存儲安全o 2.信息傳輸安全o 3.信息訪問安全o 4.其他1.信息存儲安全2.信息傳輸安全3.信息訪問安全信息風險o 信息存儲安全：指信息在靜態(tài)存儲狀態(tài)下的安全。其主要弱點表現(xiàn)在磁盤以外損壞，光盤以外損壞，信息存儲設備被盜從而導致數(shù)據(jù)丟失和數(shù)據(jù)無法訪問o 信息傳

10、輸安全：指信息在動態(tài)傳輸過程中的安全。其主要弱點表現(xiàn)在諸如黑客的搭線竊聽等從而導致信息泄露和信息被篡改o 信息訪問安全：指信息是否會被非授權調(diào)用（訪問）等。其主要弱點表現(xiàn)在諸如信息被非法訪問從而導致信息被越權訪問和信息被非授權訪問應用風險o 1.身份鑒別o 2.訪問授權o 3.機密性o 4.完整性o 5.不可否認性o 6.可用性應用風險o CIA模型：計算機安全的三個中心目標o 機密性：信息不泄露給非授權的用戶、實體或者過程。o 完整性：信息在存儲或者傳輸過程中保持不被修改，不被破壞和不被丟失。o 可用性：當需要時能否存取可用的信息。管理風險o 1.是否制訂了健全、完善的信息安全制度o 2.是

11、否成立了專門的機構來規(guī)范和管理信息安全。網(wǎng)絡安全管理制度 o 第一條第一條 安全教育與培訓 o 第二條第二條 病毒檢測和網(wǎng)絡安全漏洞檢測 o 第三條第三條 電子公告系統(tǒng)的用戶登記和信息管理 o 第四條第四條 網(wǎng)絡安全管理員崗位職責 o 第五條第五條 網(wǎng)絡違法案件報告和協(xié)助查處 o 第六條第六條 網(wǎng)絡帳號使用登記和操作權限 o 第七條第七條 信息發(fā)布、審核與登記 其他風險o 1.計算機病毒o 2.黑客攻擊o 3.誤操作導致數(shù)據(jù)被刪除、修改等o 4.其他沒有想到的風險信息系統(tǒng)的弱點o 1.系統(tǒng)存在安全方面的脆弱性：現(xiàn)有的操作系統(tǒng)都存在種種安全隱患，從Unix到windows，無一例外。每一種操作系

12、統(tǒng)都存在已被發(fā)現(xiàn)的，潛在的各種安全隱患o 2.非法用戶得以獲得訪問權o 3.合法用戶未經(jīng)授權提高訪問權限o 4.系統(tǒng)易受來自各方面的攻擊常見的漏洞o 1.網(wǎng)絡協(xié)議的安全漏洞o 2.操作系統(tǒng)的安全漏洞o 3.應用程序的安全漏洞漏洞造成的危害等量級o 1.A級漏洞：允許惡意入侵者訪問并可能破壞整個目標系統(tǒng)的漏洞o 2.B級漏洞：允許本地用戶提高訪問權限，并可能使其獲得系統(tǒng)控制的漏洞o 3.C級漏洞：允許用戶中斷、降低或者阻礙系統(tǒng)操作的漏洞。o 對系統(tǒng)危害最嚴重的是A級漏洞，其次是B級漏洞，C級漏洞是對系統(tǒng)正常工作進行干擾A級漏洞o 1.A級漏洞：它是允許惡意入侵者訪問并可能會破壞整個目標系統(tǒng)的漏洞

13、，如，允許遠程用戶未經(jīng)授權訪問的漏洞。A級漏洞是威脅最大的一種漏洞，大多數(shù)A級漏洞是由于較差的系統(tǒng)管理或配置有誤造成的。同時，幾乎可以在不同的地方，在任意類型的遠程訪問軟件中都可以找到這樣的漏洞。如:FTP，GOPHER，TELNET，SENDMAIL，F(xiàn)INGER等一些網(wǎng)絡程序常存在一些嚴重的A級漏洞。B級漏洞o 2.B級漏洞：它是允許本地用戶提高訪問權限，并可能允許其獲得系統(tǒng)控制的漏洞。例如，允許本地用戶(本地用戶是在目標機器或網(wǎng)絡上擁有賬號的所有用戶，并無地理位置上的含義)非法訪問的漏洞。網(wǎng)絡上大多數(shù)B級漏洞是由應用程序中的一些缺陷或代碼錯誤引起的。 SENDMAIL和TELNET都是典

14、型的例子。因編程缺陷或程序設計語言的問題造成的緩沖區(qū)溢出問題是一個典型的B級安全漏洞。據(jù)統(tǒng)計，利用緩沖區(qū)溢出進行攻擊占所有系統(tǒng)攻擊的80%以上C級漏洞o 3.C級漏洞：它是任何允許用戶中斷、降低或阻礙系統(tǒng)操作的漏洞。如，拒絕服務漏洞。拒絕服務攻擊沒有對目標主機進行破壞的危險，攻擊只是為了達到某種目的，對目標主機進行故意搗亂。最典型的一種拒絕服務攻擊是SYN-Flooder，即入侵者將大量的連接請求發(fā)往目標服務器，目標主機不得不處理這些“半開”的SYN，然而并不能得到ACK回答，很快服務器將用完所有的內(nèi)存而掛起，任何用戶都不能再從服務器上獲得服務。 。安全漏洞產(chǎn)生的原因o 1.系統(tǒng)和軟件設計存在

15、缺陷，通信協(xié)議不完備。如TCP/IP協(xié)議就有很多漏洞。o 2.技術實現(xiàn)不充分。如很多緩存溢出方面的漏洞就是是現(xiàn)實時缺少必要的檢查。o 3.配置管理和使用不當也能產(chǎn)生安全漏洞。如口令過于簡單，很容易被黑客猜中。Internet服務的安全漏洞o 網(wǎng)絡引用服務：在網(wǎng)絡上所開放的一些服務，常見的有Web，Mail，F(xiàn)TP，DNS，Telnet等，這些服務都存在漏洞。7o 電子郵件：冒名信件，匿名信，大量涌入的信件o FTP：病毒威脅，地下站點信息安全的定義o 信息：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)特殊意義。o 信息安全：信息安全的任務就是要采取措施（技術手段及有效管理）使這些信息資產(chǎn)免受威

16、脅，或者將威脅帶來的后果降低到最低程度，以此維護組織的正常運作。o 凡是涉及保密性、完整性、可用性、可追溯性、真實性和可靠性保護等方面的技術和理論，都是信息安全研究的范疇和實現(xiàn)的目標。信息安全體系結構o 建立信息安全體系需要：o 1.計劃（Plan）：根據(jù)業(yè)務的需要，法律法規(guī)的要求以及風險評估的結果制定符合企業(yè)自身特點的計劃。o 2.執(zhí)行（Do）：根據(jù)計劃選擇相應的安全產(chǎn)品，安全技術加以落實。o 3.檢查（Check）：時刻檢查安全策略的執(zhí)行情況，發(fā)現(xiàn)存在的問題，并提出改進措施。o 4.改進措施（Action）：執(zhí)行改進措施。信息安全體系結構實施檢查o計劃信息安全風險評估o 風險評估是建立安防

17、體系過程中及其關鍵的一步，它連接著安防重點和商業(yè)需求。它揭示了關鍵性商業(yè)活動對資源的保密性、集成性和可用性等方面的影響。信息安全風險評估o 網(wǎng)絡系統(tǒng)現(xiàn)狀分析是指對網(wǎng)絡的現(xiàn)狀進行分析，主要包括：o 1.網(wǎng)絡的拓撲結構o 2.網(wǎng)絡中的應用o 3.網(wǎng)絡結構的自身特點o 在充分分析了信息安全存在的風險之后，通常還要對風險進行處理，結果有以下三種o 1.消除風險：采取一個措施徹底消除一個威脅o 2.減輕風險：通過某種安防措施減輕威脅的危害o 3.轉移風險：把風險的后果從自己的企業(yè)轉移到第三方信息安全方案設計原則o 1.木桶原則：用木桶來裝水，如果組成木桶的木板參差不齊，那么他能盛水的容量不是由最長的板子

18、決定，而是由最短的板子決定，因此又稱為“短板效應”信息安全方案設計原則o 信息安全設計方方面面，無論哪個方面薄弱都會給整體安全帶來隱患。如果只重視技術實施而不重視管理、安全制度的建設和員工安全意識，是很難保證信息安全的。信息安全方案設計原則o 2.多重保護原則：信息安全防護體系是一個系統(tǒng)工程，在面對復雜的網(wǎng)絡攻擊時，需要將多種防護手段有機地相結合，構成多層次的防護體系。o 這些手段包括：防病毒、入侵檢測、訪問控制、虛擬專用網(wǎng)、防火墻、漏洞評估等。信息安全方案設計原則信息安全方案設計原則o 3.注意安全層次和安全級別：對于信息安全來說，威脅和風險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保衛(wèi)工作也應

19、該將重點放在高價值的信息資產(chǎn)上面。通過風險評估，高價值的信息資產(chǎn)就是業(yè)務依賴的信息系統(tǒng)，包括軟件，硬件和人員。信息安全方案設計原則o 動態(tài)化原則：100%安全的網(wǎng)絡是不存在的。信息安全防御系統(tǒng)是個動態(tài)的系統(tǒng)，攻防技術都在不斷發(fā)展，安防系統(tǒng)必須同時發(fā)展與更新。安防工作是一個循序漸進，不斷完善的過程。信息安全方案設計原則o 1.系統(tǒng)內(nèi)部盡可能多的引進可變因素，同時使其具有良好的可擴展性o 2.設計為本的原則o 3.自主和可控的原則o 4.權限分割，互相制約和最小化原則o 5.有的放矢，各取所需的原則預防為主的原則o 冰山理論：一座浮在海面上的冰山，露在水面上的只是其10%，另外90%是看不見的。要

20、想消除一起嚴重的事件，就必須像發(fā)現(xiàn)并回避水面下的冰山那樣，把事故隱患控制住并消滅在萌芽狀態(tài)。o 信息安全工作的重點，不僅僅放在對各種事故的應急處理上，而應該及早發(fā)現(xiàn)隱患和威脅，積極預防，防患于未然。o 三不放過：o 1.當事人未受教育不放過o 2.根本原因未查明不放過o 3.整改措施未落實不放過信息安全控制措施o 安全控制措施：安全網(wǎng)絡的建設者應針對前面設計中提出的各項安全需求，提出可行的安全解決方案。一般安全網(wǎng)絡設計項目均會設計以下的安全需求。ISO 17799標準中定義了信息安全管理體系的11個領域：o 1.安全策略o 2.信息安全組織o 3.信息資產(chǎn)管理信息安全控制措施o 4.人力資源安全o 5.物理環(huán)境安全o 6.通信與運行管理o 7.系統(tǒng)開發(fā)與維護o 8.訪問控制o 9.信息安全應急處理o 10.業(yè)務連續(xù)性o 11.法規(guī)依從性信息安全控制措施o 選擇安全技術：o 1.防火墻技術o 2.加密技術o 3.鑒別技術o 4.數(shù)字簽名技術o 5.入侵檢測技術o 6.審計監(jiān)控技術o 7.病毒防治技術o 8.備份與恢復技術信息安全控制措施o