方正科技軟件有限公司

網(wǎng)絡安全基礎(chǔ)方正科技軟件有限公司2002年3月網(wǎng)絡安全現(xiàn)狀簡介網(wǎng)絡攻擊分類入侵過程分析網(wǎng)絡安全技術(shù)和產(chǎn)品網(wǎng)絡安全原則主要內(nèi)容什么是網(wǎng)絡安全網(wǎng)絡安全的核心是信息安全ISO信息安全定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。網(wǎng)絡安全現(xiàn)狀----國際由計算機安全協(xié)會（CSI）和聯(lián)邦調(diào)查局（FBI）調(diào)查得出美國大公司、金融機構(gòu)、醫(yī)療機構(gòu)、大學和政府機構(gòu)中：90％的人員反映遭受過安全破壞！70％經(jīng)歷過比病毒和雇員濫用網(wǎng)絡更嚴重的破壞！42％聲稱由于計算機攻擊而遭受到經(jīng)濟損失，總價值超過2.65億美元！網(wǎng)絡安全現(xiàn)狀----國內(nèi)中國國內(nèi)80%網(wǎng)站有安全隱患，

20％網(wǎng)站有嚴重安全問題中國的銀行過去兩年損失1.6億人民幣利用計算機網(wǎng)絡進行的各類違法行為在中國以每年30%的速度遞增，而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%世界網(wǎng)絡安全產(chǎn)品市場0204060100市場規(guī)模（億美元）801201401602000

2001

2002

2003

2004

2005年份00.050.10.150.20.250.3增長率國內(nèi)安全產(chǎn)品需求36.50%31.50%26.00%18.50%11.00%9.00%8.00%5.00%3.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%用戶需求無防火墻防病毒入侵檢測露洞掃描加密與數(shù)字簽名VPN授權(quán)與認證企業(yè)級系統(tǒng)掃描和專家管理系統(tǒng)國內(nèi)安全產(chǎn)品使用45.00%50.00%40.00%30.00%20.00%10.00%0.00%100.00%

95.50%90.00%80.00%70.00%60.00%5.040.%540.%030.%510.%510.%0.%00%1防病毒防火墻授權(quán)和認證VPN入侵檢測漏洞掃描加密與數(shù)字簽名企業(yè)級系統(tǒng)掃描和專家管理系統(tǒng)其它中國網(wǎng)絡安全產(chǎn)品市場2000

2001

2002

2003

2004年份5000020000市場規(guī)模（萬美元）15000100004000035000300002500052.00%51.00%增長率50.00%49.00%48.00%47.00%58.00%57.00%56.00%55.00%54.00%53.00%網(wǎng)絡安全現(xiàn)狀簡介網(wǎng)絡攻擊分類入侵過程分析網(wǎng)絡安全技術(shù)和產(chǎn)品網(wǎng)絡安全原則主要內(nèi)容攻擊：欺騙（spoof）攻擊：竊聽（password

tracking）攻擊：數(shù)據(jù)竊取（Data

stealing）攻擊：數(shù)據(jù)篡改（

packetforging）攻擊：拒絕服務（Dos）網(wǎng)絡安全現(xiàn)狀簡介網(wǎng)絡攻擊分類入侵過程分析網(wǎng)絡安全技術(shù)和產(chǎn)品網(wǎng)絡安全原則主要內(nèi)容網(wǎng)絡安全的風險■Anti-detectionself-replicatingcodepasswordtrackingpasswordguessingknownvulnerabilitiesdisablingauditsbackdoorsstealthdiagnosticshijackingsessionspacket

forging,——從網(wǎng)絡的發(fā)展看spoofingexploiting攻擊工具攻擊者需要的技能19801985199019952000需要的技能Web-crawlerattacks網(wǎng)絡攻擊發(fā)展趨勢網(wǎng)絡黑客特征大多數(shù)黑客為16到25歲之間的男性大多數(shù)黑客是“機會主義者”高級黑客

＝

安全知識

+ 黑客工具+

耐心

新互聯(lián)網(wǎng)環(huán)境下出現(xiàn)的有明確政治、商業(yè)目的的職業(yè)黑客典型黑客攻擊過程自我隱藏網(wǎng)絡刺探和信息收集確認信任的網(wǎng)絡組成尋找網(wǎng)絡組成的弱點利用弱點實施攻擊攻破后的善后工作自我隱藏

典型的黑客使用如下技術(shù)來隱藏IP地址

通過telnet在以前攻克的Unix主機上跳轉(zhuǎn)通過終端管理器在windows主機上跳轉(zhuǎn)通過錯誤配置的proxy主機跳轉(zhuǎn)

更高級的黑客，精通利用電話交換侵入主機網(wǎng)絡刺探和信息收集對網(wǎng)絡的外部主機進行一些初步的探測試圖收集網(wǎng)絡結(jié)構(gòu)本身的信息常用手段如下端口及服務掃描瀏覽web服務器來確定其主機操作系統(tǒng)

通過smtp或finger查找Unix主機上的用戶通過IPC得到NT主機上面的用戶確認網(wǎng)絡組成的弱點利用掃描程序來掃描一些特定的遠程弱點TCP/UDP端口掃描IPC的用戶輸出列表Samba或netbios的共享列表多個finger或Smtp請求來獲得缺省帳號CGI弱點掃描

有缺陷版本的守護程序的掃描，包括

Sendmail,IMAP,POP3,RPC

status以及

RPC

mountd.弱口令攻擊利用弱點實施攻擊選擇攻擊時段

通常選擇管理員沒有登陸的時間常用手段如下：

利用服務程序漏洞如Sendmail、ftpd、IIS等

利用網(wǎng)站的CGI、ASP等漏洞猜測、強行計算用戶密碼攻破后的善后工作

通過該主機試圖擴大清除他在記錄文件中所留下的痕跡留下后門以便以后能控制該主機

入侵的范圍，例如進入局域網(wǎng)內(nèi)容等案例分析背景：

某公司對外提供Web服務的NT服務器管理員帳號被奪取，另外一臺同一網(wǎng)段運行數(shù)據(jù)庫的NT服務器數(shù)據(jù)被刪除。攻擊方式：黑客網(wǎng)絡掃描發(fā)現(xiàn)提供Web服務的NT服務器IP

黑客對IP進行端口掃描發(fā)現(xiàn)該服務器為Win

2000，并打開

IIS服務和終端服務

黑客換用一臺灣主機對該服務器進行IIS的Unicode漏洞攻擊，得到管理員帳號并通過終端服務控制該Web服務器

黑客通過查看Web服務器上的ASP源碼，得知數(shù)據(jù)庫服務器地址以及帳號、密碼黑客進入數(shù)據(jù)庫服務器刪除數(shù)據(jù)網(wǎng)絡攻擊的結(jié)果數(shù)據(jù)篡改欺騙數(shù)據(jù)竊取拒絕服務重要數(shù)據(jù)丟失敏感信息被竊取主機資源被利用網(wǎng)絡癱瘓網(wǎng)絡安全現(xiàn)狀簡介網(wǎng)絡攻擊分類入侵過程分析網(wǎng)絡安全技術(shù)和產(chǎn)品網(wǎng)絡安全原則主要內(nèi)容安全是個連續(xù)的過程分析階段：

需求分析、漏洞掃描

保護階段：

防火墻、VPN 、防病毒檢測階段：入侵檢測、授權(quán)、認證、簽名管理階段：審計系統(tǒng)、訪問控制恢復階段：數(shù)據(jù)備份、系統(tǒng)恢復對網(wǎng)絡攻擊的阻擋攻擊預警和訪問控制被攻破后的分析與補救遠程傳輸?shù)陌踩踩雷o層次立體防護體系局域網(wǎng)立體安全防護體系FirewallVPNIDS

&Access

ControlAudit

Sys

&

ERS對網(wǎng)絡攻擊的阻隔

從邏輯和物理上分隔不同網(wǎng)絡

將網(wǎng)絡劃成不同的安全等級和可信任等級常用方法物理隔離路由器、交換機防火墻網(wǎng)絡隔離：包過濾型防火墻對所有的網(wǎng)絡應用都可以防護，檢查網(wǎng)絡連接底層信息，控制訪問的網(wǎng)絡地址，規(guī)范網(wǎng)絡流量。網(wǎng)絡隔離：應用型防火墻只為指定的網(wǎng)絡應用牽線搭橋，將網(wǎng)絡數(shù)據(jù)與既定的安全策略進行比較。網(wǎng)絡入侵檢測

在網(wǎng)絡上或針對主機尋找網(wǎng)絡攻擊的相關(guān)特征并作出相應反應。入侵檢測產(chǎn)品基于網(wǎng)絡的入侵檢測基于主機檢測

對網(wǎng)絡系統(tǒng)和服務器進行檢查尋找安全漏洞，并評估網(wǎng)絡安全風險。安全掃描器產(chǎn)品危險高度危險網(wǎng)絡信息審計和訪問控制

記錄網(wǎng)絡上發(fā)生的一切活動，監(jiān)控外路入侵，監(jiān)視內(nèi)部人員的違規(guī)和破壞活動并根據(jù)不同權(quán)限進行訪問控制。主要產(chǎn)品：入侵檢測類產(chǎn)品專用安全審計服務器病毒防護和災難恢復使用先進的防病毒軟件

對外來的文件先殺毒再使用

不要從互聯(lián)網(wǎng)上下載軟件

做好備份工作，使用磁帶機并按計劃定期備份數(shù)據(jù)和系統(tǒng)。數(shù)據(jù)加密和身份認證基本概念明文：■沒有加密前的原始數(shù)據(jù)，可以是一段文字，也可以是一串數(shù)字。密文：■將原文通過某種加密方式加密后得到數(shù)據(jù)。密鑰：

加密時采用的密碼，隨加密方法不同而有不同的要求。對稱加密原理：加密和解密使用相同密鑰

加密強度基本由其密鑰長度決定目前一般至少為128位主要優(yōu)缺點：加密速度快管理復雜，風險大非對稱加密加密技術(shù)出現(xiàn)以來最重大的突破原理

有兩把成對的密鑰，稱為公鑰和私鑰，其中公鑰可以對外公

用一把密鑰加密的數(shù)據(jù)只有用配對的另一把密鑰才能正確解密特點：密鑰易于管理，公鑰不怕被竊取

但速度一般比對稱加密算法慢很多混和型加密原理：

每次傳輸時，先用非對稱加密算法“握手”，交換一個臨時生成的對稱加密密鑰。

然后用此臨時密鑰進行主要的數(shù)據(jù)加解密工作。特點：

結(jié)合對稱和非對稱加密方式，既方便管理又能高速加/解密。身份認證nf1＃4@n6*i9%unW43(e^n公用密鑰n12345n67890n12345n67890n私有密鑰n加密n解密n認證中心nf1＃4@n6*i9%unW43(e^n傳輸數(shù)據(jù)加密和身份認證--主要產(chǎn)品加密VPN安全操作系統(tǒng)

加密軟件、加密卡、智能卡、加密機身份認證CA安全方案的設計安全規(guī)劃首當其沖在網(wǎng)絡建設之初就考慮到網(wǎng)絡安全，對網(wǎng)絡結(jié)構(gòu)進行劃分，通過使用防火墻、物理隔離等手段保證辦公網(wǎng)絡、保密網(wǎng)絡不會受到外部沖擊。入侵檢測和訪問控制挑大梁

對網(wǎng)絡攻擊進行及時的報警和防范。

注意對用戶權(quán)限的即時管理，更新。

對網(wǎng)絡即時使用情況進行跟蹤和控制。

根據(jù)用戶權(quán)限進行訪問控制，避免網(wǎng)絡濫用和機密信息泄漏。建立備份恢復和審計系統(tǒng)

選用備份設備，指定備份制度，對重要數(shù)據(jù)采取冗余備份。

選用安全審計產(chǎn)品，對網(wǎng)絡活動進行追蹤，做到對網(wǎng)絡操作有據(jù)

可查。網(wǎng)絡安全現(xiàn)狀簡介網(wǎng)絡攻擊分類入侵過程分析網(wǎng)絡安全技術(shù)和產(chǎn)品網(wǎng)絡安全原則主要內(nèi)容有效的安全計劃一個有效的安全計劃包括安全意識、防止、檢測、管理

和響應以使危險降低到最??！平衡可用性、完整性和機密性機密性可用性完整性信息財