信息安全培訓(xùn)講義

1、信息安全培訓(xùn)講義信息安全培訓(xùn)講義2012年8月18日目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？2常見安全產(chǎn)品原理簡介常見安全產(chǎn)品原理簡介3校園網(wǎng)安全建議校園網(wǎng)安全建議4殘酷的現(xiàn)實殘酷的現(xiàn)實v 2011年2月 銀行動態(tài)口令升級群發(fā)短信詐騙v 2011年3月 RSA遭受高級可持續(xù)攻擊v 2011年3月 僵尸網(wǎng)絡(luò)攻擊韓國10天v 2011年4月 索尼7700萬用戶數(shù)據(jù)被泄露v 2011年6月 花旗銀行36萬客戶資料被竊v 2011年8月 新浪微博爆發(fā)蠕蟲病毒v 2011年9月 多個開源系統(tǒng)官網(wǎng)被攻擊v 2011年末 天涯、CSDN等26網(wǎng)站被爆庫v 2012年

2、1月 賽門鐵克源代碼泄露v 2012年6月網(wǎng)絡(luò)戰(zhàn)武器Flame出現(xiàn)2010年下半年教育網(wǎng)掛馬情況年下半年教育網(wǎng)掛馬情況數(shù)據(jù)來源：中國教育和科研計算機網(wǎng)緊急響應(yīng)組 http:/ 中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息系統(tǒng)安全保護條例v 信息安全等級保護管理辦法信息安全等級保護管理辦法 （公通字（公通字200743號）號）v 計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則（ GB/T17859-1999 ）v 信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護定級指南（GB/T 22240-2008）v 信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護

3、實施指南（GB/T25058-2010）v 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）v 信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)安全等級保護測評要求（報批稿）（報批稿）v 教育部辦公廳關(guān)于進(jìn)一步加強網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知教育部辦公廳關(guān)于進(jìn)一步加強網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知（教辦廳函（教辦廳函201183號）號）v 教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知 （教辦廳函（教辦廳函200980號）號）-目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？

4、2常見安全產(chǎn)品原理簡介常見安全產(chǎn)品原理簡介3校園網(wǎng)安全建議校園網(wǎng)安全建議4什么是信息（什么是信息（Information）ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC TR 13335）對信息（Information）的解釋是：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息可以以多種形式存在： 打印或者寫在紙上 電子形式存儲與傳遞 以多媒體形式存在，如電影、影像、膠片、磁帶、廣播、交談等什么是信息安全？什么是信息安全？是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。u物

5、理安全技術(shù)：環(huán)境安全、設(shè)備安全、介質(zhì)安全；u網(wǎng)絡(luò)安全技術(shù)：隔離、訪問控制、VPN、入侵檢測等；u系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性；u防病毒技術(shù)：單機防病毒、網(wǎng)絡(luò)防病毒體系；u認(rèn)證授權(quán)技術(shù)：口令、令牌、生物特征、數(shù)字證書等；u應(yīng)用安全技術(shù)：Web 安全、應(yīng)用系統(tǒng)安全；u數(shù)據(jù)加密技術(shù)：硬件和軟件加密；u災(zāi)難恢復(fù)和備份技術(shù)：數(shù)據(jù)備份。常用信息安全技術(shù)常用信息安全技術(shù)OSI模型模型OSI各層對應(yīng)的攻擊各層對應(yīng)的攻擊物理層物理層的攻擊：的攻擊：該層的攻擊手法是對網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施進(jìn)行物理破壞。例如:對一個機房的出口線纜進(jìn)行破壞,使得其無法訪問外部網(wǎng)絡(luò)。危害：網(wǎng)絡(luò)中斷、設(shè)備損壞等物理破壞數(shù)據(jù)鏈路

6、層數(shù)據(jù)鏈路層的攻擊：的攻擊：該層次上有兩個重要的協(xié)議ARP(地址解析協(xié)議)和RARP(反地址解析協(xié)議)。ARP欺騙和偽裝是常見的鏈路層攻擊。危害：數(shù)據(jù)被竊取OSI各層對應(yīng)的攻擊各層對應(yīng)的攻擊網(wǎng)絡(luò)層網(wǎng)絡(luò)層的攻擊的攻擊：該層次主要的攻擊方法包括IP碎片攻擊、路由欺騙、Ping of Death、IP欺騙與偽造等。危害：網(wǎng)絡(luò)性能降低或中斷、數(shù)據(jù)的竊取等傳輸傳輸層的攻擊層的攻擊：主要是各類拒絕服務(wù)攻擊，利用TCP的三次握手機制，像SYN Flooding攻擊、ACK Flooding攻擊等。危害：導(dǎo)致服務(wù)癱瘓會話層會話層的攻擊的攻擊：主要是竊取合法用戶的會話信息，然后冒充該用戶，以達(dá)到非授權(quán)訪問的目的

7、，或竊取合法用戶的權(quán)限和信息。如盜用Cookies和重放攻擊。危害：用戶信息被竊取，非法侵入等OSI各層對應(yīng)的攻擊各層對應(yīng)的攻擊表示層表示層的攻擊的攻擊：表示層的攻擊是針對格式翻譯和數(shù)據(jù)處理來進(jìn)行的，代表是Unicode攻擊以及計算溢出攻擊。危害：數(shù)據(jù)內(nèi)容被篡改、管理員權(quán)限被獲取后非法侵入等應(yīng)用層應(yīng)用層的攻擊的攻擊：是針對應(yīng)用程序的設(shè)計漏洞進(jìn)行的，如對應(yīng)用協(xié)議漏洞的攻擊、對應(yīng)用數(shù)據(jù)的攻擊、對應(yīng)用操作系統(tǒng)平臺的攻擊等。其方法包括SQL注入、跨站攻擊、掛馬等；危害：以上危害的綜合體現(xiàn)解決網(wǎng)絡(luò)安全的措施解決網(wǎng)絡(luò)安全的措施物理安全防范物理安全防范物理層安全的主要技術(shù)手段：物理層安全的主要技術(shù)手段：計算

8、機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)通信通信線路的屏蔽線路的屏蔽網(wǎng)絡(luò)物理隔離網(wǎng)絡(luò)物理隔離設(shè)備設(shè)備和線路和線路冗余冗余機房和人員的安全管理機房和人員的安全管理數(shù)據(jù)容災(zāi)數(shù)據(jù)容災(zāi)鏈路安全防范鏈路安全防范數(shù)據(jù)鏈路層的安全技術(shù)手段：數(shù)據(jù)鏈路層的安全技術(shù)手段：數(shù)據(jù)鏈路數(shù)據(jù)鏈路加密加密MACMAC地址欺騙防護地址欺騙防護VLANVLAN劃分劃分MACMAC地址欺騙地址欺騙防護防護lARP(Address Resolution Protocol)l完成IP地址到MAC地址的映射虛擬的虛擬的與硬件無關(guān)的與硬件無關(guān)的可變的可變的真實的真實的網(wǎng)卡決定的網(wǎng)卡決定的通常不可改變通常不可改變IPIP地址欺騙地址欺騙MACMAC地址欺騙地址欺

9、騙ARPARP高速緩存高速緩存l 每臺主機都要維護一個IP地址到MAC的轉(zhuǎn)換表，稱為ARP緩存ARP Cache。l 存放著最近用到的一系列跟它通信的同一子網(wǎng)的計算機的IP地址和MAC地址的映射。減少局域網(wǎng)廣播減少局域網(wǎng)廣播加快訪問速度加快訪問速度MACMAC地址欺騙原理地址欺騙原理我是誰是布什？誰是布什？我是新來的布什布什網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)層的安全技術(shù)手段：網(wǎng)絡(luò)層的安全技術(shù)手段：防火墻（防火墻（ACLACL）負(fù)載均衡負(fù)載均衡流量控制流量控制防拒絕服務(wù)攻擊防拒絕服務(wù)攻擊應(yīng)用安全防范應(yīng)用安全防范應(yīng)用應(yīng)用層的安全技術(shù)手段：層的安全技術(shù)手段：IPS/IDSIPS/IDS防病毒防病毒身份認(rèn)證

10、系統(tǒng)身份認(rèn)證系統(tǒng)終端安全管理終端安全管理/ /漏洞掃描漏洞掃描WEBWEB防火墻防火墻目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？2常見安全產(chǎn)品原理簡介常見安全產(chǎn)品原理簡介3校園網(wǎng)安全建議校園網(wǎng)安全建議4防火墻防火墻簡介簡介v用作網(wǎng)絡(luò)邊界的訪問控制v被稱為邏輯隔離v目前主流產(chǎn)品采用狀態(tài)檢測技術(shù)v主要處理IP包頭，也可具有內(nèi)容檢測功能v選購時參考吞吐量、并發(fā)連接數(shù)、接口v主要品牌：啟明星辰、天融信v推薦開源軟件pfSense 防火墻典型部署防火墻典型部署部署在不同安全級別的網(wǎng)絡(luò)安全域之間，根據(jù)不同的安全級別對不同的安全域開啟不同的安全防護策略。負(fù)載均衡設(shè)備簡

11、介負(fù)載均衡設(shè)備簡介v分為鏈路負(fù)載和服務(wù)器負(fù)載均衡兩類v鏈路負(fù)載均衡用于跨運營商鏈路的自動優(yōu)化并實現(xiàn)帶寬資源的充分利用v服務(wù)器負(fù)載均衡保障服務(wù)器集群的響應(yīng)時間和服務(wù)能力v主要品牌：F5、Radwarev推薦開源軟件Nginx 負(fù)載均衡典型部署負(fù)載均衡典型部署IPS/IDS簡介簡介vIDS（入侵檢測系統(tǒng)）接受鏡像流量并分析報警vIPS（入侵防御系統(tǒng)）串行在鏈路中分析入侵阻斷v基于特征庫工作，需要定期更新v選購時主要參考誤報率/誤殺率、吞吐量和并發(fā)數(shù)v主要品牌：綠盟、啟明星辰v推薦開源軟件Snort IPS/IDS典型部署典型部署流量控制系統(tǒng)流

12、量控制系統(tǒng)簡介簡介v串聯(lián)在網(wǎng)絡(luò)邊界處對流量進(jìn)行處理v可以識別數(shù)據(jù)包中的協(xié)議類型v針對不同的IP地址和協(xié)議進(jìn)行帶寬分配v用來保護關(guān)鍵用戶和協(xié)議應(yīng)用v選購時主要考慮流量、并發(fā)數(shù)和接口v主要品牌：深信服、網(wǎng)康v推薦開源軟件Panabit http:/ http:/防防病毒網(wǎng)關(guān)病毒網(wǎng)關(guān)部署部署上網(wǎng)行為管理上網(wǎng)行為管理簡介簡介v 根據(jù)互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定（公安部82號令）要求上網(wǎng)記錄必須留存60天，v 可串聯(lián)可并聯(lián)v 記錄用戶訪問的網(wǎng)頁，可對協(xié)議類型進(jìn)行識別v 可對部分聊天工具進(jìn)行監(jiān)控v 選購時主要參考吞吐量、接口和并發(fā)連接數(shù)v 主要品牌：深信服、網(wǎng)康上網(wǎng)行為上網(wǎng)行為管理管理部署部署漏洞漏洞掃描系

13、統(tǒng)簡介掃描系統(tǒng)簡介v可檢測網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機的安全漏洞v可掃描操作系統(tǒng)的漏洞、弱口令、空口令并探測存活的服務(wù)類型v保持路由可達(dá)即可執(zhí)行掃描v定期掃描可準(zhǔn)確了解網(wǎng)絡(luò)的安全狀態(tài)v選購時主要參考并發(fā)掃描數(shù)、分析報告的可讀性v主要品牌：綠盟、啟明星辰v推薦開源軟件Nessus 漏洞漏洞掃描掃描部署部署終端終端安全管理安全管理簡介簡介v主要功能包括資產(chǎn)管理、終端保護、進(jìn)程監(jiān)控和外設(shè)管理等v可檢查安全狀況實現(xiàn)準(zhǔn)入控制、限制移動存儲設(shè)備使用、監(jiān)控資產(chǎn)變化、推送補丁、監(jiān)控進(jìn)程v需要在終端上安裝Agentv選購時主要考慮功能和準(zhǔn)入方式v主要品牌：賽門鐵克、Landisk終端安全

14、管理部署終端安全管理部署安全管理平臺簡介安全管理平臺簡介v對分散的安全日志和事件進(jìn)行集中，實現(xiàn)統(tǒng)一安全事件展現(xiàn)和管理v獲取網(wǎng)絡(luò)設(shè)備的SNMP TRAP消息、安全設(shè)備的SYSLOG日志和主機設(shè)備的安全日志v主機上需安裝Agent或配置支持WMI的日志采集套件v屬于項目化的安全產(chǎn)品，定制程度高安全管理安全管理平臺平臺部署部署目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？2常見安全產(chǎn)品原理簡介常見安全產(chǎn)品原理簡介3校園網(wǎng)安全建議校園網(wǎng)安全建議4校園網(wǎng)特點校園網(wǎng)特點v規(guī)模大、節(jié)點分散v網(wǎng)絡(luò)流量大且時段集中v新舊設(shè)備混雜，維護不便v學(xué)生好奇心強，進(jìn)行各種破壞v網(wǎng)站一般

15、采用虛擬主機或托管方式案例一案例一v某天，某校報告網(wǎng)絡(luò)速度緩慢v通過網(wǎng)絡(luò)管理軟件進(jìn)行流量分析v確認(rèn)某主機流量異常v將該設(shè)備斷開網(wǎng)絡(luò)后速度恢復(fù)正常v查殺病毒后接入網(wǎng)絡(luò)無異常案例二案例二v某天，某校報告大部分終端不能訪問網(wǎng)絡(luò)v查看該校上行鏈路正常v查看該校核心設(shè)備部分端口流量異常v在某辦公室發(fā)現(xiàn)無線路由器造成環(huán)路v拔掉一條網(wǎng)線后網(wǎng)絡(luò)恢復(fù)案例三案例三v某天，多個學(xué)校報告不能訪問網(wǎng)絡(luò)v發(fā)現(xiàn)上行均使用同一塊板卡連接v插拔核心6509上的X6724光口模塊板v問題沒有解決v替換到備機進(jìn)行維修v維修后問題解決朝陽區(qū)教育網(wǎng)安全防護朝陽區(qū)教育網(wǎng)安全防護安全建議：終端管理安全建議：終端管理v移動存儲設(shè)備管理v防病毒v補丁管理v賬號、口令管理v網(wǎng)絡(luò)準(zhǔn)入vARP防護安全建議：網(wǎng)絡(luò)安全管理安全建議：網(wǎng)絡(luò)安全