網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)

網(wǎng)絡(luò)安全基礎(chǔ)主要內(nèi)容2.安全審計(jì)與評(píng)估1.網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)TCP/IP安全性分析通用攻擊技術(shù)安全防御體系-戴明環(huán)安全法律法規(guī)信息安全管理簡(jiǎn)述網(wǎng)絡(luò)安全簡(jiǎn)介網(wǎng)絡(luò)安全簡(jiǎn)介網(wǎng)絡(luò)的普及化2008年2月，我國網(wǎng)民數(shù)量達(dá)2.21億人，超過美國居世界第一位2009年底我國網(wǎng)民3.84億人2010年底，我國網(wǎng)民規(guī)模達(dá)到4.57億人，較2009年年底增加7330萬人2011年底，中國網(wǎng)民規(guī)模達(dá)到5.13億我國手機(jī)網(wǎng)民規(guī)模為3.18億，較2010年底增加了1494萬人。手機(jī)網(wǎng)民在總體網(wǎng)民中的比例為65.5%網(wǎng)絡(luò)安全簡(jiǎn)介網(wǎng)絡(luò)應(yīng)用已普及至我們生活的方方面面基于信息化技術(shù)的特殊性，產(chǎn)生日益深刻的信息安全問題工作任務(wù)：保證網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性網(wǎng)絡(luò)安全簡(jiǎn)介1.網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全簡(jiǎn)介2.互聯(lián)網(wǎng)信息網(wǎng)絡(luò)安全信息共享與信息安全總是互相矛盾的。計(jì)算機(jī)犯罪的日益增多對(duì)網(wǎng)絡(luò)的安全運(yùn)行和進(jìn)一步發(fā)展提出了挑戰(zhàn)要保證網(wǎng)絡(luò)的安全以及保證網(wǎng)絡(luò)上數(shù)據(jù)的完整性Internet的發(fā)展使人們不再把信息安全局限于局部范圍，而是擴(kuò)展到網(wǎng)絡(luò)互連的世界范圍網(wǎng)絡(luò)安全簡(jiǎn)介

互聯(lián)網(wǎng)信息網(wǎng)絡(luò)安全的根本目的在于防止互聯(lián)網(wǎng)傳輸?shù)男畔⒈环欠ㄊ褂帽苊鈱?duì)數(shù)據(jù)的未授權(quán)訪問或破壞

網(wǎng)絡(luò)安全簡(jiǎn)介2011年全球多家企業(yè)、機(jī)構(gòu)網(wǎng)站陸續(xù)遭受安全威脅。去年3月份以來，RSA被攻擊導(dǎo)致SecurID令牌身份信息被盜、索尼公司7700萬信息泄露、美國花旗銀行被入侵、微軟MSN遭大規(guī)模盜號(hào)等重大安全事件接連發(fā)生。在國內(nèi)，CSDN等多家網(wǎng)站數(shù)千萬賬號(hào)密碼被黑客公開，更是讓網(wǎng)站安全問題暴露在大眾視野中國內(nèi)釣魚網(wǎng)站正在呈現(xiàn)“虛假購物、虛假中獎(jiǎng)、彩票預(yù)測(cè)、金融證券”并存的多樣化欺詐模式，“微博釣魚”、“模仿聊天登陸窗口釣魚”等攻擊方式也漸成主流;不過，隨著免費(fèi)安全軟件的普及，掛馬網(wǎng)站攻擊數(shù)量已開始大幅縮水，由去年1月的8707萬次，銳減至去年12月的210萬次

網(wǎng)絡(luò)安全簡(jiǎn)介

互聯(lián)網(wǎng)信息網(wǎng)絡(luò)安全的具體包括從防火墻使用、防病毒、信息加密、身份鑒別與授權(quán)技術(shù)等到各種規(guī)章制度、法律法規(guī)及靈活的安全策略應(yīng)變措施全面對(duì)計(jì)算機(jī)間的傳輸線路進(jìn)行全過程管理，尤其要對(duì)網(wǎng)絡(luò)的組成、拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用重點(diǎn)研究

網(wǎng)絡(luò)安全簡(jiǎn)介存在問題：舊的安全管理體制不能滿足網(wǎng)絡(luò)發(fā)展的需要網(wǎng)絡(luò)安全技術(shù)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)應(yīng)用在網(wǎng)絡(luò)建設(shè)的同時(shí)，往往忽視網(wǎng)絡(luò)安全建設(shè)

網(wǎng)絡(luò)安全簡(jiǎn)介3.安全的基本要求保密性：不泄露給非授權(quán)用戶、實(shí)體或過程舉例加密，數(shù)據(jù)訪問控制機(jī)制完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變。例對(duì)接受數(shù)據(jù)進(jìn)行校驗(yàn)可用性：可被授權(quán)實(shí)體訪問并按需求使用。合理的授權(quán)分配可控性：可以控制授權(quán)范圍內(nèi)的信息流

TCP/IP安全性分析1.IP協(xié)議

Internet起源于1969年，原型是ARPANET，支撐internet的TCP/IP協(xié)議一開始沒有充分考慮到安全性Internet協(xié)議IP協(xié)議32位二進(jìn)制數(shù)構(gòu)成地址IP包頭為20字節(jié)包含IP版本號(hào)，長(zhǎng)度，服務(wù)類型及配置信息隱患：開放式的結(jié)構(gòu)使IP層易成黑客目標(biāo)

TCP/IP安全性分析2.TCP協(xié)議面向連接，可靠傳輸，可用于TCP包包頭連接控制標(biāo)記：SYN: 同步序列FIN：發(fā)送端發(fā)送停止信號(hào)ACK：識(shí)別數(shù)據(jù)包中確認(rèn)信息

TCP數(shù)據(jù)包結(jié)構(gòu)TCP/IP安全性分析3.連接的建立和中斷連接的建立的步驟（C/S結(jié)構(gòu)）客戶端通過SYN執(zhí)行activeopen,注意ISN是隨機(jī)產(chǎn)生的，用于同步信號(hào)服務(wù)器向客戶端發(fā)送自己的SYN執(zhí)行passiveopen包含服務(wù)器的ISN與客戶端確認(rèn)ACK客戶端返回服務(wù)器ACK后，連接建立中斷TCP連接：服務(wù)器通過FIN標(biāo)記執(zhí)行一個(gè)activeclose，終止服務(wù)器到客戶端的數(shù)據(jù)流客戶端發(fā)送ACK給服務(wù)器，執(zhí)行passiveclose客戶端發(fā)送FIN給服務(wù)器，終止客戶端到服務(wù)器的數(shù)據(jù)流服務(wù)器發(fā)送ACK給客戶端，連接被終止

TCP/IP安全性分析4.常用端口每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都包含一個(gè)端口號(hào)TCP與UDP都有65536個(gè)可用的端口號(hào)IANA規(guī)定前1023個(gè)端口作為well-know端口，為服務(wù)器的應(yīng)用程序保留下來服務(wù)器應(yīng)用程序可以使用任何未被限定的端口及大于1023的端口

TCP/IP安全性分析5.安全性分析IP層缺乏有效的安全認(rèn)證和保密機(jī)制協(xié)議不安全的根本在于對(duì)IP包中源IP地址的真實(shí)性的認(rèn)證與保密缺乏TCP連接建立時(shí)“三次握手”機(jī)制的攻擊，導(dǎo)致連接被欺騙、劫取、操縱UDP是無連接的，更易遭受IP源路由和Dos攻擊

通用攻擊技術(shù)1.網(wǎng)絡(luò)被攻擊是指導(dǎo)致網(wǎng)絡(luò)被破壞或網(wǎng)絡(luò)服務(wù)受到影響的所有行為被動(dòng)攻擊這類攻擊一般在信息系統(tǒng)的外部進(jìn)行，對(duì)信息網(wǎng)絡(luò)本身一般不造成損壞，系統(tǒng)仍可正常運(yùn)行，但有用的信息可能被盜竊并被用于非法目的主動(dòng)攻擊這類攻擊直接進(jìn)入信息系統(tǒng)內(nèi)部，往往會(huì)影響系統(tǒng)的運(yùn)行、造成巨大的損失，并給信息網(wǎng)絡(luò)帶來災(zāi)難性的后果此外還有物理臨近攻擊、內(nèi)部人員攻擊等通用攻擊技術(shù)被動(dòng)攻擊一般是主動(dòng)攻擊的準(zhǔn)備和前奏信息竊取密碼破譯信息流量分析通用攻擊技術(shù)被動(dòng)攻擊--信息竊取內(nèi)外攻擊者從傳輸信道、存儲(chǔ)介質(zhì)等處竊取信息。如無線傳輸信號(hào)偵收、搭線竊聽、盜竊文件等通用攻擊技術(shù)被動(dòng)攻擊-密碼破譯對(duì)截獲的已加密信息進(jìn)行密碼破譯，從中獲取有價(jià)值的信息A8FQE52W4ZCBY通用攻擊技術(shù)被動(dòng)攻擊-信息流量分析對(duì)網(wǎng)絡(luò)中的信息流量和信息流向進(jìn)行分析，然后得出有價(jià)值的情報(bào)通用攻擊技術(shù)主動(dòng)攻擊將對(duì)信息系統(tǒng)本身造成致命的打擊

入侵假冒篡改插入重放阻塞抵賴病毒通用攻擊技術(shù)主動(dòng)攻擊-入侵通過系統(tǒng)或網(wǎng)絡(luò)的漏洞、遠(yuǎn)程訪問、盜取口令、借系統(tǒng)管理之便等方法進(jìn)入系統(tǒng)，非法查閱文件資料、更改數(shù)據(jù)、拷貝數(shù)據(jù)、甚至破壞系統(tǒng)、使系統(tǒng)癱瘓等通用攻擊技術(shù)主動(dòng)攻擊-假冒假冒合法用戶身份、執(zhí)行與合法用戶同樣的操作通用攻擊技術(shù)主動(dòng)攻擊-篡改篡改數(shù)據(jù)、文件、資料通用攻擊技術(shù)主動(dòng)攻擊-插入在正常的數(shù)據(jù)流中插入偽造的信息或數(shù)據(jù)通用攻擊技術(shù)主動(dòng)攻擊-重放錄制合法、正常的交互信息、然后在適當(dāng)?shù)臅r(shí)機(jī)重放通用攻擊技術(shù)主動(dòng)攻擊-阻塞使用投放巨量垃圾電子郵件、無休止訪問資源或數(shù)據(jù)庫等手段造成網(wǎng)絡(luò)的阻塞，影響正常運(yùn)行通用攻擊技術(shù)主動(dòng)攻擊-抵賴實(shí)施某種行為后進(jìn)行抵賴，如否認(rèn)發(fā)送過或接受過文件通用攻擊技術(shù)主動(dòng)攻擊-病毒向系統(tǒng)注入病毒，病毒運(yùn)行后可能損壞文件、使系統(tǒng)癱瘓，造成各種難以預(yù)料的后果通用攻擊技術(shù)攻擊的一般流程通用攻擊技術(shù)3.攻擊的技術(shù)方法可分為遠(yuǎn)程信息探測(cè)、緩沖區(qū)溢出攻擊、CGI攻擊、DoS攻擊、口令攻擊和木馬攻擊等此張幻燈片供需要加入較大圖片時(shí)使用

網(wǎng)絡(luò)攻擊例子--IPSpoofing攻擊前提：T和X之間具有相互信任關(guān)系；T和X采用TCP/IP協(xié)議并接入Internet；攻擊目標(biāo)：冒充T與X通信InternetTX第一步：網(wǎng)絡(luò)刺探采用某方式獲取T和X的信息(被動(dòng)攻擊---竊聽)InternetTXTheIPaddressis….第二步：阻塞T向T發(fā)送大量不可達(dá)信息InternetTXWhysomuchrequirement?!!!第三步：假冒TInternetTXIamT,givemetheRootHahaha...Iamdown!OK第四步：設(shè)置后門InternetTXIhavesetBackdoor,bye!

Ijusthaveadream,whathappened?安全防御體系

安全體系是描述安全原則及推動(dòng)系統(tǒng)設(shè)計(jì)符合安全原則的一套總體的完整的方法，遵循這些原則進(jìn)行系統(tǒng)設(shè)計(jì)訪問控安全防御體系制技術(shù)1.PDR動(dòng)態(tài)防御模型PDR的基本意思是：認(rèn)為安全有三個(gè)不可或缺的功能要素：防護(hù)protection檢測(cè)detection響應(yīng)response安全防御體系防護(hù)是指是日常的策略、設(shè)備的運(yùn)轉(zhuǎn)檢測(cè)是指我們發(fā)現(xiàn)我們固有的安全防護(hù)措施正在受到攻擊或者消耗響應(yīng)則是我們明確地發(fā)現(xiàn)了攻擊源和攻擊目標(biāo)后對(duì)這些攻擊行為做出的反應(yīng)安全防御體系

三個(gè)要素都與時(shí)間有密切的關(guān)系，那么，因此我們把它們視為三個(gè)元素：Pt（日常防護(hù)可支撐的時(shí)間），Dt（檢測(cè)攻擊源和攻擊目標(biāo)所需的時(shí)間），Rt（對(duì)檢測(cè)到的攻擊做出反應(yīng)的時(shí)間）什么是網(wǎng)絡(luò)安全？Pt>Dt+Rt

攻擊方希望Pt<Dt+Rt，這就意味著攻擊成功防御方希望Pt>Dt+Rt，這就意味著防御成功安全防御體系2.安全防御技術(shù)網(wǎng)絡(luò)安全防御技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、密碼技術(shù)、訪問控制技術(shù)等安全防御體系2.1防火墻技術(shù)

根據(jù)本網(wǎng)的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外安全防御體系2.2入侵檢測(cè)技術(shù)

IDS包括基于主機(jī)的入侵檢測(cè)技術(shù)和基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)兩種主要職責(zé)是實(shí)時(shí)監(jiān)測(cè)和安全審計(jì)用于保護(hù)應(yīng)用網(wǎng)絡(luò)連接的主要服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接和非法訪問的闖入，并對(duì)各種入侵行為立即作出反應(yīng)安全防御體系訪問控制技術(shù)是實(shí)現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，其目標(biāo)是防止對(duì)任何資源（計(jì)算資源、通信資源和信息資源）進(jìn)行非授權(quán)的訪問可分為自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制各種控制策略相互不排斥，通常為并存狀態(tài)發(fā)起者訪問控制執(zhí)行功能AEF目標(biāo)訪問控制決策功能ADF執(zhí)行訪問請(qǐng)求決策請(qǐng)求決策結(jié)果主體客體信息安全管理簡(jiǎn)述1.信息安全管理體系(ISMS)ISMS是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表Checklists）等要素的集合BS7799-2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系信息安全管理體系即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度信息安全管理簡(jiǎn)述2.PDCA循環(huán)過程模式（戴明環(huán)）廣泛應(yīng)用于質(zhì)量管理中策劃：依照組織整個(gè)方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。實(shí)施：實(shí)施和運(yùn)作方針（過程和程序）。檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量，評(píng)估過程業(yè)績(jī)，并向決策者報(bào)告結(jié)果。措施：采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績(jī)四個(gè)步驟成為一個(gè)閉環(huán)，通過這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效(performance)螺旋上升安全法律法規(guī)1.我國與網(wǎng)絡(luò)安全相關(guān)的法律主要有:《憲法》《人民警察法》《刑法》《治安管理處罰條例》《刑事訴訟法》《國家安全法》《保守國家秘密法》《行政處罰法》《行政訴訟法》《行政復(fù)議法》《國家賠償法》《立法法》《中華人民共和國電子簽名法》《全國人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等安全法律法規(guī)2.與網(wǎng)絡(luò)安全有關(guān)的行政法規(guī)：國務(wù)院令147號(hào)：《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院令195號(hào)：《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》公安部令33號(hào)：《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》國務(wù)院令273號(hào)：《商用密碼管理?xiàng)l例》國務(wù)院令291號(hào)：《中華人民共和國電信條例》國務(wù)院令292號(hào)：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》國務(wù)院令339號(hào)：《計(jì)算機(jī)軟件保護(hù)條例》等安全法律法規(guī)《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》計(jì)算機(jī)信息網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)的原則：（1）必須使用郵電部國家公用電信網(wǎng)提供的國際出入口信道（2）接入網(wǎng)絡(luò)必須通過互聯(lián)網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)（3）用戶的計(jì)算機(jī)或計(jì)算機(jī)信息網(wǎng)絡(luò)必須通過接入網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)對(duì)違反《規(guī)定》第六條、第八條和第十條的行為，即：（1）自行建立或者使用其他信道進(jìn)行國際聯(lián)網(wǎng)的；（2）未按規(guī)定通過互聯(lián)網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)的；（3）未按規(guī)定通過接入網(wǎng)絡(luò)進(jìn)行國際聯(lián)網(wǎng)；（4）未經(jīng)許可和審批從事國際聯(lián)網(wǎng)經(jīng)營業(yè)務(wù)的由公安機(jī)關(guān)責(zé)令停止聯(lián)網(wǎng)，給予警告，可以并處15000元以下的罰款；有違法所得的，沒收違法所得安全法律法規(guī)第二百八十六條違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳播的數(shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款處罰故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款處罰安全法律法規(guī)3.管理要求總結(jié)（1）安全保護(hù)組織建立計(jì)算機(jī)信息系統(tǒng)安全保護(hù)組織，由單位行政領(lǐng)導(dǎo)人擔(dān)任安全保護(hù)組織的領(lǐng)導(dǎo)（2）計(jì)算機(jī)安全員計(jì)算機(jī)應(yīng)用單位應(yīng)當(dāng)按照計(jì)算機(jī)安全管理行業(yè)技術(shù)規(guī)范要求，配備計(jì)算機(jī)安全技術(shù)人員。計(jì)算機(jī)安全技術(shù)人員必須經(jīng)過市主管部門認(rèn)可的安全技術(shù)培訓(xùn)，考核合格后持證上崗合格證有效期為四年（3）交互式欄目管理要求關(guān)鍵字過濾、作好審計(jì)工作、認(rèn)真落實(shí)“先審后發(fā)”的信息預(yù)審制度安全審計(jì)與評(píng)估系統(tǒng)安全審計(jì)風(fēng)險(xiǎn)評(píng)估安全評(píng)估

一旦我們采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，這樣才能恢復(fù)系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊時(shí)有所察覺，如何獲取攻擊者留下的證據(jù)。網(wǎng)絡(luò)安全審計(jì)的概念就是在這樣的需求下被提出的，它相當(dāng)于飛機(jī)上使用的“黑匣子”。

系統(tǒng)安全審計(jì)

系統(tǒng)安全審計(jì)

在TCSEC和CC等安全認(rèn)證體系中，網(wǎng)絡(luò)安全審計(jì)的功能都是放在首要位置的，它是評(píng)判一個(gè)系統(tǒng)是否真正安全的重要尺碼。因此在一個(gè)安全網(wǎng)絡(luò)系統(tǒng)中的安全審計(jì)功能是必不可少的一部分。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能幫助我們對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。它是保證網(wǎng)絡(luò)安全十分重要的一種手段。

系統(tǒng)安全審計(jì)1.系統(tǒng)日志1.1介紹日志（Log）：系統(tǒng)所指定對(duì)象的某些操作和其操作結(jié)果按時(shí)間有序的集合。

系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯(cuò)誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡。系統(tǒng)安全審計(jì)1.系統(tǒng)日志1.2包含的信息事件發(fā)生的日期時(shí)間事件類型主題標(biāo)識(shí)執(zhí)行結(jié)果（成功、失?。┮鸫耸录挠脩舻臉?biāo)識(shí)對(duì)每一個(gè)審計(jì)事件有關(guān)的審計(jì)信息系統(tǒng)安全審計(jì)1.系統(tǒng)日志1.3特點(diǎn)不易讀懂?dāng)?shù)據(jù)量大不易獲取關(guān)聯(lián)分析困難容易被修改、破壞甚至偽造系統(tǒng)安全審計(jì)1.系統(tǒng)日志1.3功能發(fā)現(xiàn)試圖攻擊系統(tǒng)安全的重復(fù)舉動(dòng)跟蹤那些想要越權(quán)的用戶跟蹤異常的使用模式實(shí)時(shí)跟蹤侵入者系統(tǒng)安全審計(jì)2.Windows系統(tǒng)日志管理

日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、dns服務(wù)器日志、ftp日志、www日志等等，可能會(huì)根據(jù)服務(wù)器所開啟的服務(wù)不同。名稱位置DNS日志%systemroot%＼system32＼configFTP日志%systemroot%＼system32＼logfiles＼msftpsvc1＼安全日志%systemroot%＼system32＼config＼secevent.evt系統(tǒng)日志%systemroot%＼system32＼config＼sysevent.evt應(yīng)用程序日志%systemroot%＼system32＼config＼appevent.evtwww日志%systemroot%＼system32＼logfiles＼w3svc1＼schedluler服務(wù)日志%systemroot%＼schedlgu.txt系統(tǒng)安全審計(jì)2.Windows系統(tǒng)日志管理2.1查看系統(tǒng)日志方法:開始→控制面板→性能和維護(hù)→管理工具→計(jì)算機(jī)管理，就可以打開“事件查看器”。或者在【開始】→【運(yùn)行】→輸入eventvwr.msc也可以直接進(jìn)入。在控制臺(tái)樹中，單擊“事件查看器”，日志就顯示在“事件查看器”窗口中。系統(tǒng)安全審計(jì)2.Windows系統(tǒng)日志管理2.2管理內(nèi)容查看事件詳細(xì)信息解釋事件事件標(biāo)題查找事件篩選事件管理日志系統(tǒng)安全審計(jì)3.UNIX系統(tǒng)日志管理3.1UNIX操作系統(tǒng)存在的子系統(tǒng)連接時(shí)間日志進(jìn)程統(tǒng)計(jì)錯(cuò)誤日志程序日志系統(tǒng)安全審計(jì)3.UNIX系統(tǒng)日志管理3.2常用UNIX日志文件日志文件目標(biāo)access-log記錄HTTP/web的傳輸acct/pacct記錄用戶命令aculog

記錄調(diào)制解調(diào)器的活動(dòng)btmp記錄失敗的登錄lastlog記錄最近幾次成功登錄的時(shí)間和最后一次不成功的登錄messages

從syslog中記錄信息（通常鏈接到syslog

文件）sudolog記錄使用sudo

發(fā)出的命令sulog

記錄su

命令的使用syslog從syslog

中記錄信息（通常鏈接到message

文件）utmp記錄當(dāng)前登錄的每個(gè)用戶wtmp

一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久記錄

xferlog

記錄FTP會(huì)話

系統(tǒng)安全審計(jì)4.通過日志進(jìn)行審計(jì)網(wǎng)絡(luò)層層次的安全審計(jì)系統(tǒng)的安全審計(jì)對(duì)信息內(nèi)容的安全審計(jì)

依據(jù)國家相關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估的活動(dòng)過程。它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估1.基本要素2.風(fēng)險(xiǎn)評(píng)估的術(shù)語與定義風(fēng)險(xiǎn)評(píng)估使命：一個(gè)單位通過信息化要來實(shí)現(xiàn)的工作任務(wù)。依賴度：一個(gè)單位的使命對(duì)信息系統(tǒng)和信息的依靠程度。資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。價(jià)值：資產(chǎn)的重要程度和敏感程度。威脅：一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。2.風(fēng)險(xiǎn)評(píng)估的術(shù)語與定義風(fēng)險(xiǎn)評(píng)估脆弱性：信息資產(chǎn)及其防護(hù)措施在安全方面的不足和弱點(diǎn)。脆弱性也常常被稱為弱點(diǎn)或漏洞。風(fēng)險(xiǎn)：風(fēng)險(xiǎn)由意外事件發(fā)生的可能性及發(fā)生后可能產(chǎn)生的影響兩種指標(biāo)來衡量。風(fēng)險(xiǎn)是在考慮事件所產(chǎn)生的可能性及其可能造成的影響下，脆弱性被威脅所利用后所產(chǎn)生的實(shí)際負(fù)面影響。風(fēng)險(xiǎn)是可能性和影響的函數(shù)，前者指威脅源利用一個(gè)潛在脆弱性的可能性，后者指不利事件對(duì)組織結(jié)構(gòu)產(chǎn)生的影響。殘余風(fēng)險(xiǎn)：采取了安全防護(hù)措施，提高了防護(hù)能力后，仍然可能存在的風(fēng)險(xiǎn)。2.風(fēng)險(xiǎn)評(píng)估的術(shù)語與定義風(fēng)險(xiǎn)評(píng)估安全需求：為保證單位的使命能夠正常行使，在信息安全防護(hù)措施方面提出的要求。安全防護(hù)措施：對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。風(fēng)險(xiǎn)評(píng)估3.評(píng)估策略3.1風(fēng)險(xiǎn)要素關(guān)系圖安全措施

抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴擁有被滿足利用暴露降低增加增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值圖中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：1.業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越??；2.資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；3.風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成為安全事件；4.資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的弱點(diǎn)越多則風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)評(píng)估5.脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；6.風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；7.安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；8.安全措施可抵御威脅，降低風(fēng)險(xiǎn)；9.殘余風(fēng)險(xiǎn)有些是安全措施不當(dāng)或無效,需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)；10.殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件。風(fēng)險(xiǎn)評(píng)估3.評(píng)估策略3.2基本要素資產(chǎn)威脅脆弱性

風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估4.風(fēng)險(xiǎn)評(píng)估實(shí)施流程

從安全風(fēng)險(xiǎn)的要素：資產(chǎn)、影響、威脅、漏洞、安全控制、安全需求、安全風(fēng)險(xiǎn)等方面進(jìn)行綜合考慮，風(fēng)險(xiǎn)評(píng)估的策略是首先確定資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、評(píng)估資產(chǎn)面臨的威脅、評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)，為風(fēng)險(xiǎn)的管理提供有效依據(jù)。

風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖風(fēng)險(xiǎn)評(píng)估4.風(fēng)險(xiǎn)評(píng)估實(shí)施流程4.1準(zhǔn)備工作確定目標(biāo)確定范圍組建團(tuán)隊(duì)系統(tǒng)調(diào)研確定依據(jù)制定方案團(tuán)隊(duì)組織工作計(jì)劃時(shí)間進(jìn)度安排獲得支持風(fēng)險(xiǎn)評(píng)估4.風(fēng)險(xiǎn)評(píng)估實(shí)施流程4.2資產(chǎn)識(shí)別資產(chǎn)分類資產(chǎn)屬性：可用性、完整性、保密性資產(chǎn)賦值保密性賦值完整性賦值可用性賦值資產(chǎn)重要性等級(jí)風(fēng)險(xiǎn)評(píng)估4.風(fēng)險(xiǎn)評(píng)估實(shí)施流程4.3威脅識(shí)別操作錯(cuò)誤，濫用授權(quán)，行為抵賴（系統(tǒng)合法用戶）身份假冒，密碼分析，漏洞利用，拒絕服務(wù)，惡意代碼，竊聽數(shù)據(jù)，物理破壞，社會(huì)工程