網(wǎng)絡與信息安全基礎知識

1、網(wǎng)絡與信息安全基礎知識安徽移動網(wǎng)絡部2013年5月（一）基礎知識1、網(wǎng)絡與信息安全概念及重要原則2、通信網(wǎng)絡安全防護要求（交換、傳輸、短彩信等重要系統(tǒng)）3、網(wǎng)絡安全防護知識（系統(tǒng)、服務器、終端）（二）規(guī)章制度1、中國移動網(wǎng)絡與信息安全總綱2、安徽移動網(wǎng)絡與信息安全相關管理制度3、安全技術規(guī)范引言作為認證憑證的密碼安全嗎？中國版弱密碼 TOP25abc123a1b2c3aaa111123qweqwertyqweasdadminpasswordpsswordpasswdiloveyou520131400000011111111111111112233123123123321123456123456

2、78654321666666888888abcdefabcabc不在弱密碼中？密碼字典通常人們使用的密碼都具有一些共同的規(guī)律，例如姓名縮寫配數(shù)字，生日配手機號等等，密碼字典根據(jù)這個規(guī)律來猜測密碼。個人密碼不是弱密碼，企業(yè)設備呢？國家計算機網(wǎng)絡與信息安全管理中心（CNCERT）對中國移動統(tǒng)計風險中弱密碼占60%為什么辦公密碼要定期修改？為什么原則上不能使用無線網(wǎng)絡接入網(wǎng)管網(wǎng)？為什么公司禁止使用無線鍵盤？.目錄網(wǎng)絡與信息安全基礎知識信息安全基礎攻擊方法防護手段網(wǎng)絡與信息安全規(guī)章制度提要什么是安全？國際標準化組織（ISO）引用ISO74982文獻中對安全的定義是這樣的，安全就是最大程度地減少數(shù)據(jù)和資

3、源被攻擊的可能性。 對于我們而言，安全的關鍵或者說安全計劃的目的是保護公司和個人的財產(chǎn)。安全的基本原則 可用性（availability） 保證經(jīng)過認證的用戶能夠對數(shù)據(jù)和資源進行適時和可靠的訪問。完整性（integrity） 是指保證信息和系統(tǒng)的準確性和可靠性，并禁止對數(shù)據(jù)的非授權的修改。機密性（confidentiality） 提供了保證在每一個數(shù)據(jù)處理和防止未經(jīng)授權的信息泄漏的交叉點上都能夠加強必要的安全級別的能力。10安全的基本原則可用性 防止服務和工作能力的崩潰。完整性 防止對系統(tǒng)和信息進行未經(jīng)授權的修改。機密性 防止未經(jīng)授權而透露某些敏感信息。簡稱AIC安全三原則:可用性（avail

4、ability）、完整性（integrity）和機密性（confidentiality）11AIC安全三原則安全對象可用性完整性機密性信息安全是將數(shù)據(jù)的可用性、完整性、機密性作為保護對象。對信息安全的認識經(jīng)歷了數(shù)據(jù)安全階段（強調保密通信）、網(wǎng)絡信息安全時代（強調網(wǎng)絡環(huán)境）和目前信息保障時代（強調不能被動地保護，需要有保護檢測反應恢復四個環(huán)節(jié)）。信息安全各要素之間的關系威脅因素威脅脆弱性風險暴露資產(chǎn)安全措施引起利用導致可以破壞并引起一個能夠被預防，通過直接作用到信息安全自頂向下的設計方法 安全策略是公司安全計劃的藍圖，為上層建筑提供了必要的基礎。如果安全計劃以一個堅實的基礎開頭，并且隨著時間的推

5、移向著預定的目標發(fā)展，那么公司就不必在中間作出大的改動。 應用安全 感知能力網(wǎng)絡安全內容安全 基礎安全安全標準規(guī)范體系安全目標體系組織機構人才培養(yǎng)安全責任安全需求安全建設安全規(guī)劃安全設計安全準入安全運維安全研發(fā)創(chuàng)新體系技術支持體系業(yè)務連續(xù)性（BCP）入侵防范與惡意代碼防護應用程序安全不良信息治理信息防泄漏信息安全專項工作支撐固化入侵感知綜合預警風險展示安全監(jiān)控應急響應與事件處理合規(guī)支撐安全評估安全檢查考核控制能力管理能力業(yè)務邏輯安全業(yè)務合規(guī)管理信息備份入侵防范與惡意代碼防護網(wǎng)絡報文識別與控制網(wǎng)絡路由、信令、協(xié)議安全設備認證、授權與訪問控制設備日志審計網(wǎng)絡邊界劃分與隔離網(wǎng)絡安全策略管理網(wǎng)絡定位、

6、溯源與日志審計網(wǎng)絡傳輸安全 策略安全管理設備補丁管理設備入侵防范與病毒防護網(wǎng)絡流控、質量保障物理環(huán)境安全構建國際一流信息安全體系 承擔中國移動企業(yè)社會責任專項研究安全整改重大保障第三方安全信息校驗安全測試安全終止安全策略安全組織安全運營安全技術流程運營管理信息安全執(zhí)行體系信息安全管理機制安全管控與支撐中國移動網(wǎng)絡與信息安全實施框架 根據(jù)信息安全實施框架，落實系統(tǒng)與網(wǎng)絡的信息安全等級保護要求。信息安全基礎知識組織內部的安全角色目錄網(wǎng)絡與信息安全基礎知識信息安全基礎攻擊方法防護手段網(wǎng)絡與信息安全規(guī)章制度提要什么是攻擊行為？基本上任何一種危及到一臺機器安全的行為都可以認為是一種攻擊行為。危及包括以下

7、幾個方面：可以訪問使訪問簡單化使一個系統(tǒng)脫機使敏感信息的敏感度降低 什么是攻擊行為？如果有攻擊行為，那就必須存在能威脅的弱點。如果沒有薄弱環(huán)節(jié)，那就沒有什么好攻擊的。所以大多數(shù)人說真正安全的系統(tǒng)是沒有聯(lián)網(wǎng)的機器。攻擊的步驟 1）被動的偵察2）主動的偵察3）入侵系統(tǒng)4）上傳程序5）下載數(shù)據(jù)6）保持訪問7）隱藏蹤跡（注意并不是每一步都會執(zhí)行）常用攻擊方法欺騙會話劫持拒絕服務攻擊（DoS）、分布式拒絕服務攻擊（DDoS）緩沖區(qū)溢出攻擊欺騙如果攻擊者能讓計算機或者網(wǎng)絡相信他是別人（信任方），他可能能夠獲得正常情況下不能得到的信息。欺騙的類型：IP欺騙 公司使用其他計算機的IP地址來獲得信息或者得到特權

8、。電子郵件欺騙 電子郵件發(fā)送方地址的欺騙。 Web欺騙 假冒Web網(wǎng)站。如假工商銀行網(wǎng)站。非IT技術類欺騙 這些類型的攻擊把精力集中在攻擊公司的人力資源上。如社會工程。 會話劫持會話劫持就是接管一個現(xiàn)存的動態(tài)會話過程。劫持會話最主要的原因之一就是通過授權過程可以獲得進入系統(tǒng)的機會，因為就會話劫持而言，此時用戶已經(jīng)通過提供用戶ID和密碼，在授權的情況下登錄到服務器上。在用戶通過了身份驗證并獲得進入服務器的權利后，只要他與服務器動態(tài)連接著，就不再需要重新通過驗證。黑客門可以使用各種方式使用戶下線然后再代替這個用戶，此時他不再需要任何登錄行為就可以進入系統(tǒng)了。 會話劫持小李攻擊者服務器服務器驗證小李

9、小李登錄服務器Die！你好，我是小李拒絕服務攻擊DOSDoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。 分布式拒絕服務攻擊DDOS分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服

10、務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。 27分布式拒絕服務攻擊DDOS攻擊者受害者傀儡機遠程控制發(fā)起攻擊28緩沖區(qū)溢出攻擊攻擊者試圖在一個不夠大的接受器里存儲過量的信息就是一次緩沖區(qū)溢出攻擊。例如，如果一個程序只能接受50個字符，而用戶卻輸入了100個字符，這

11、樣由于過多的數(shù)據(jù)輸入到了一個不夠大的接受器，該程序將不能控制它，多出部分將寫入內存。 緩沖區(qū)溢出攻擊內存底部內存頂部填充方向緩沖1（局部變量1）返回指針函數(shù)調用的參數(shù)內存底部內存頂部填充方向緩沖1（局部變量1）返回指針函數(shù)調用的參數(shù)機器代碼：exec(/bin/sh)緩沖2（局部變量2）指向exec代碼的新指針緩沖1空間被覆蓋返回指針被覆蓋緩沖2（局部變量2）正常情況緩沖區(qū)溢出目錄網(wǎng)絡與信息安全基礎知識信息安全基礎攻擊方法防護手段網(wǎng)絡與信息安全規(guī)章制度提要網(wǎng)絡安全防護體系各階段網(wǎng)絡安全的防護事前：網(wǎng)絡防火墻、系統(tǒng)漏洞檢測、安全配置合規(guī)、病毒防范、網(wǎng)頁防篡改等事中：預警、入侵檢測、日志取證系統(tǒng)事

12、后：應急響應、事故恢復安全管理支撐手段：安全管控平臺（4A）32網(wǎng)絡防火墻防火墻是在兩個網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)，目的是不被非法用戶侵入。防火墻是內部與外部網(wǎng)連接中的第一道屏障。在內部網(wǎng)絡和外部網(wǎng)絡之間合理有效地使用防火墻是網(wǎng)絡安全的關鍵。33網(wǎng)絡防火墻 訪問控制 認證 NAT 加密 防病毒、內容過濾 流量管理系統(tǒng)漏洞掃描和檢測系統(tǒng)漏洞檢測要求：定期分析有關網(wǎng)絡設備的安全性，檢查配置文件和日志文件；定期分析系統(tǒng)和應用軟件，一旦發(fā)現(xiàn)安全漏洞，應該及時修補；檢測的方法主要采用安全掃描工具，測試網(wǎng)絡系統(tǒng)是否具有安全漏洞和是否抵抗攻擊，從而判定系統(tǒng)的安全風險。主機/端口掃描 漏洞掃描 檢查本地或者遠

13、程主機、設備、應用的安全漏洞確定系統(tǒng)存活狀態(tài)：ping針對目標系統(tǒng)端口，了解端口的分配及提供的服務、軟件版本主機/設備Web數(shù)據(jù)庫安全配置合規(guī)中國移動設備安全功能和配置系列規(guī)范2013年安全配置合規(guī)要求。WAP等10類高風險系統(tǒng)合規(guī)率達到85%以上，WLAN等系統(tǒng)合規(guī)率達到70%以上。通信網(wǎng)絡安全防護工信部工業(yè)和信息化部關于開展2013年基礎電信企業(yè)網(wǎng)絡安全防護檢查工作的通知（工信部保函2013110號）網(wǎng)頁防篡改主要網(wǎng)頁防篡改系統(tǒng)分類外掛輪巡技術：使用外部的網(wǎng)頁讀取和檢測程序，以輪詢方式讀出和比對要監(jiān)控的網(wǎng)頁。核心內嵌技術：篡改檢測模塊內嵌于Web服務器軟件，在每一個網(wǎng)頁流出時進行完整性檢查

14、。事件觸發(fā)技術：使用操作系統(tǒng)的文件系統(tǒng)/驅動程序接口，網(wǎng)頁文件被修改時進行合法性檢查。入侵檢測入侵檢測系統(tǒng)是實時的網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應并報警。入侵檢測系統(tǒng) FirewallInternetServersDMZIDS AgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDS Agent安全管控平臺安全管控平臺系統(tǒng)，又稱為4A系統(tǒng)是指：認證Authentication、賬號Account、授權Authorization、審計Audit，中文名稱為安全管理平臺解決方案。201

15、3年已完成WLAN AC等設備接入安全管控，要求各系統(tǒng)安全管控使用率不低于95%便利性和安全性的矛盾其實安全性和便利性間的矛盾，并不是什么新的話題。早在遠古時期，穴居的人類為了安全而將洞口設計的難于進出，這就是選擇犧牲掉便利性。而我們希望能有一個中間地帶，既保留有安全性，又兼顧便利性。目錄網(wǎng)絡與信息安全基礎知識網(wǎng)絡與信息安全規(guī)章制度提要公司制定了信息安全責任管理辦法、責任矩陣、考核辦法、中國移動基礎信息安全檢查矩陣、安徽移動基礎信息安全管理通用要求等系列管理制度。2012年12月28日，全國人大常委會通過了關于加強網(wǎng)絡信息保護的決定，明確了網(wǎng)絡服務提供者對網(wǎng)絡信息保護的義務和責任。工業(yè)和信息化

16、部、國務院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合印發(fā)了關于開展基礎電信企業(yè)網(wǎng)絡與信息安全責任考核有關工作的指導意見（工信部聯(lián)保2012551號）、工業(yè)和信息化部辦公廳印發(fā)了2013年省級基礎電信企業(yè)網(wǎng)絡與信息安全工作考核要點與評分標準（工信廳保2012247號）對網(wǎng)絡安全防護：重點為“三同步”、定級、備案、風險評估等措施要求；應急保障：網(wǎng)絡安全事件上報、處置和應急演練。等方面執(zhí)行考核信息安全管理通用要求安徽移動基礎信息安全管理通用要求第一章總 則 第三條 基礎信息安全管理遵循“誰主管誰負責、誰運營誰負責、誰使用誰負責、誰接入誰負責”的原則。信息安全管理通用要求建設階段：1.工程建設單位負責提交安全配置資料

17、，維護單位確認符合安全要求后，設備方可與現(xiàn)網(wǎng)進行互聯(lián)； 2.工程建設單位負責組織對系統(tǒng)設備的安全驗收，安全驗收材料齊全設備方可入網(wǎng)割接。 安徽移動項目網(wǎng)絡與信息安全三同步管理辦法與系統(tǒng)下線信息安全管理要求，把握系統(tǒng)生命周期立項、建設、驗收關鍵控制點。立項階段：計劃部負責組織安全專家對項目進行安全評審定級與備案情況審核。維護階段：維護部門需充分考慮安全評審與驗收階段提出的風險點和備忘，持續(xù)做好安全維護工作。 下線階段：需按要求做好相關數(shù)據(jù)清理、銷毀，方可實施退網(wǎng)。 第一章總 則 第四條 基礎信息安全防護工作遵循“同步規(guī)劃，同步建設，同步運行”的原則（“三同步”原則），覆蓋IT系統(tǒng)與網(wǎng)絡全生命周期

18、的各個環(huán)節(jié)。第二章組織與職責 第九條 涉及基礎信息安全的生產(chǎn)單位職責：落實基礎信息安全管理的各項要求；做好基礎信息安全防護、安全運維、開發(fā)測試、安全審核、合規(guī)性檢查、風險評估和加固工作；細化完善安全管理制度、技術規(guī)范、作業(yè)流程和檢查細則；定期開展信息安全演練，及時上報安全事件等。信息安全管理通用要求第三章安全運營管理要求第一節(jié) 安全預警第十三條 各單位接到預警信息后，應依據(jù)上級主管部門要求落實，及時跟蹤預警項進展，對安全補丁類預警，應根據(jù)設備所處位置和重要性采取不同的加載策略。在設備沒打補丁期間，要采取相應的加固措施，保證設備不易被攻擊。第二節(jié) 安全監(jiān)控第十六條 各單位要組織開展對IT系統(tǒng)與網(wǎng)

19、絡的安全監(jiān)控工作，建立和完善安全監(jiān)控的管理制度、操作流程與支撐手段。信息安全管理通用要求第三章安全運營管理要求第三節(jié) 訪問控制第二十六條 內網(wǎng)接入安全要求（二）嚴禁任何設備以雙網(wǎng)卡方式同時連接互聯(lián)網(wǎng)和公司內網(wǎng)；嚴禁向任何未經(jīng)防火墻隔離的對外網(wǎng)站等互聯(lián)網(wǎng)系統(tǒng)分配公司內網(wǎng)IP地址；（六）原則上不應采用無線AP方式接入內網(wǎng)，如遇特殊情況，依據(jù)“誰接入、誰負責”的原則，管理上必須經(jīng)主管領導審批授權，技術上必須采用MAC地址綁定，強安全認證，強加密算法保護的安全傳輸，配置隱藏SSID，保證AP口令強度等配置；（七）各單位要維護一份已使用內網(wǎng)IP地址清單，清單內容包括但不限于每個IP地址的使用單位、設備用

20、途、責任人（使用人）和聯(lián)系方式等信息。信息安全管理通用要求 第二十七條 遠程接入 （二）各單位要制定遠程接入的實施細則、遠程接入審批和授權流程，規(guī)范帳號權限的申請、變更與刪除等工作，審批與授權記錄應予以歸檔留存;（四）遠程接入帳號只能授予內部員工，廠家人員需要使用遠程維護時，按次授權，用畢收回；信息安全管理通用要求第二十八條 防火墻配置管理（五）內網(wǎng)不同區(qū)域之間的邊界防火墻對于維護管理、數(shù)據(jù)庫服務端口僅允許配置點對點訪問策略，嚴禁開放大段IP地址的訪問策略；信息安全管理通用要求第二十九條 第三方訪問控制管理 第三方是指與中國移動在業(yè)務上具有合作關系，或是向中國移動提供開發(fā)、維護等服務的公司及其

21、員工； 嚴格禁止第三方人員擁有重要系統(tǒng)管理員權限，創(chuàng)建系統(tǒng)帳號權限，查詢客戶敏感信息或者超出工作范圍的高級權限的帳號。各單位應至少每3個月對第三方的帳號權限進行一次審核清理。信息安全管理通用要求第三十二條 各單位要以年為單位，對各網(wǎng)絡與系統(tǒng)制定或更新安全維護作業(yè)計劃及配套的實施指南。第三十五條 遵循職責分離的原則，負責安全審核的人員不能是該系統(tǒng)維護人員。第三十六條 安全維護作業(yè)計劃按照執(zhí)行頻率，分為日、周、月、季度、年和觸發(fā)性作業(yè)計劃。信息安全管理通用要求第四節(jié) 安全維護作業(yè)計劃第五節(jié) 安全分析第三十八條 各單位要建立安全分析制度，定期對基礎信息安全工作情況進行分析通報。第六節(jié) 安全合規(guī)性檢查

22、第四十一條 各級信息安全歸口管理部門要制定合規(guī)性檢查制度，配備必要的檢查工具，建立內部檢查機制。信息安全管理通用要求第七節(jié) 風險評估第四十八條 各單位要建立風險評估制度，在年初編制風險評估計劃，定期組織開展風險評估工作。信息安全管理通用要求風險評估常規(guī)流程第八節(jié) 安全事件管理 第六十一條 安全事件分為特別重大、重大、較大和一般四個級別。系統(tǒng)（含內網(wǎng)系統(tǒng)）安全事件信息分級定義參照互聯(lián)網(wǎng)網(wǎng)絡安全信息通報實施辦法規(guī)定，及集團相關部門要求。第六十八條 重大安全事件發(fā)生時，二級管理組織應及時上報集團公司。重大安全事件確認至上報到集團公司不得超過2小時。第六十九條 較大或一般安全事件由二級管理組織匯總后于

23、次月5個工作日內報送當?shù)赝ㄐ殴芾砭趾虲NCERT/CC當?shù)胤种行模⒃诿吭掳踩珗蟊碇邢蚣瘓F公司上報。信息安全管理通用要求第九節(jié) 人員與資產(chǎn)安全管理第七十九條 各單位應與合作第三方、關鍵崗位員工單獨簽訂保密協(xié)議，在協(xié)議中明確其保密責任以及違約罰則。 第八十四條 各單位應建立完善資產(chǎn)退服管理流程。定期清查盤點，確保退服系統(tǒng)及時下線并移出機房。對于退服設備的數(shù)據(jù)，要徹底清除。信息安全管理通用要求第四章基礎IT設施安全防護要求第一節(jié) 系統(tǒng)安全第八十七條 生產(chǎn)環(huán)境安全要求（一）生產(chǎn)環(huán)境中的工具軟件安裝與使用要求1、應對生產(chǎn)環(huán)境中工具軟件進行統(tǒng)一管理，不得安裝與生產(chǎn)無關的軟件；2、嚴禁安裝能夠穿透防火墻，從互聯(lián)網(wǎng)訪問和控制內網(wǎng)設備的軟件，如Teamviewer等；3、除部門領導授權外，任何非安全專用設備嚴禁安裝漏洞掃描、網(wǎng)絡嗅探等安全工具；信息安全管理通用要求（二）移動存儲介質使用安全要求1、各單位應完善本單位內移動存儲介質使用管理辦法，并指定專人負責對存儲介質的使用進行指導、監(jiān)督和檢查；2、各單位應明確允許使用移動存儲介質的人員、系統(tǒng)與網(wǎng)絡范圍，對于不允許使用的，應實施控制策略、