網(wǎng)絡(luò)運(yùn)維技術(shù)培訓(xùn)教材

平安運(yùn)維雅電集團(tuán)信息科李科目錄：一.網(wǎng)絡(luò)平安態(tài)勢二.平安運(yùn)維根底技術(shù)三.網(wǎng)絡(luò)攻擊介紹四.平安運(yùn)維防御措施網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)網(wǎng)絡(luò)安全威脅來源網(wǎng)絡(luò)安全威脅因素在政府相關(guān)部門、互聯(lián)網(wǎng)效勞機(jī)構(gòu)努力下，我國互聯(lián)網(wǎng)網(wǎng)絡(luò)平安狀況繼續(xù)保持平穩(wěn)狀態(tài)，政府網(wǎng)站平安事件顯著減少，未發(fā)生造成大范圍影響的重大網(wǎng)絡(luò)平安事件。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的統(tǒng)計(jì)，主要表現(xiàn)為以下六大特點(diǎn)：2.政府網(wǎng)站頁面被篡改事件頻發(fā)，信息泄露引發(fā)關(guān)注網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)相關(guān)的信息平安漏洞數(shù)量較多。據(jù)國家信息平安漏洞共享平臺〔〕收錄的漏洞統(tǒng)計(jì)，2021年發(fā)現(xiàn)涉及電信運(yùn)營企業(yè)網(wǎng)絡(luò)設(shè)備〔如路由器、交換機(jī)等〕的漏洞203個，其中高危漏洞73個。發(fā)現(xiàn)域名解析系統(tǒng)零日漏洞23個,其中9漏洞7個。涉及電信運(yùn)營企業(yè)的攻擊形勢嚴(yán)峻網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)2021年境內(nèi)被篡改網(wǎng)站數(shù)量為36612個，較2021年增加5.1%；2021年底，、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會廣泛關(guān)注，嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)平安。2.政府網(wǎng)站頁面被篡改事件頻發(fā)，信息泄露引發(fā)關(guān)注網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)我境內(nèi)受控主機(jī)數(shù)量大幅增長，由2021年的近500萬增加至近890萬。美國以9528個地址控制著我國境內(nèi)近885萬臺主機(jī)，控制我國境內(nèi)主機(jī)數(shù)高居榜首。網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)2021年，全年共發(fā)現(xiàn)近890萬余個境內(nèi)主機(jī)地址感染了木馬或僵尸程序，較2021年大幅增加78.5%。其中，感染竊密類木馬的境內(nèi)主機(jī)地址為5.6萬余個，國家、企業(yè)以及網(wǎng)民的信息平安面臨嚴(yán)重威脅。網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)2021年，公開發(fā)布信息平安漏洞5547個，較2021年大幅增加60.9%。其中，高危漏洞有2164個，較2021年增加約2.3倍。在所有漏洞中，涉及各種應(yīng)用程序的最多，占62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞那么排到第三位，占8.8%。網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)我國境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的攻擊事件365起。其中，和等常見虛假源地址攻擊事件約占70%，對其溯源和處置難度較大。

6.拒絕效勞攻擊事件頻發(fā)網(wǎng)絡(luò)安全表現(xiàn)特點(diǎn)網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕效勞攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息喪失、篡改、銷毀后門、隱蔽通道蠕蟲網(wǎng)絡(luò)安全威脅來源信息系統(tǒng)自身安全的脆弱性操作系統(tǒng)與應(yīng)用程序漏洞安全管理問題黑客攻擊網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)安全威脅因素信息系統(tǒng)自身安全的脆弱性信息系統(tǒng)脆弱性指信息系統(tǒng)的硬件資源、通信資源、軟件及信息資源等，因可預(yù)見或不可預(yù)見甚至惡意的原因而可能導(dǎo)致系統(tǒng)受到破壞、更改、泄露和功能失效，從而使系統(tǒng)處于異常狀態(tài)，甚至崩潰癱瘓等的根源和起因。這里我們從以下三個層面分別進(jìn)行分析：硬件組件軟件組件網(wǎng)絡(luò)和通信協(xié)議信息系統(tǒng)自身安全的脆弱性信息系統(tǒng)硬件組件平安隱患多源于設(shè)計(jì)，主要表現(xiàn)為物理平安方面的問題。硬件組件的平安隱患除在管理上強(qiáng)化人工彌補(bǔ)措施外，采用軟件程序的方法見效不大?！谠O(shè)計(jì)、選購硬件時，應(yīng)盡可能減少或消除硬件組件的平安隱患硬件組件的平安隱患信息系統(tǒng)自身安全的脆弱性軟件組件的平安隱患來源于設(shè)計(jì)和軟件工程實(shí)施中遺留問題：軟件設(shè)計(jì)中的疏忽軟件設(shè)計(jì)中不必要的功能冗余、軟件過長過大軟件設(shè)計(jì)部按信息系統(tǒng)平安等級要求進(jìn)行模塊化設(shè)計(jì)軟件工程實(shí)現(xiàn)中造成的軟件系統(tǒng)內(nèi)部邏輯混亂軟件組件的平安隱患信息系統(tǒng)自身安全的脆弱性網(wǎng)絡(luò)和通信協(xié)議的平安隱患協(xié)議：指計(jì)算機(jī)通信的共同語言，是通信雙方約定好的彼此遵循的一定規(guī)那么。協(xié)議簇是目前使用最廣泛的協(xié)議，但其已經(jīng)暴露出許多平安問題。序列列猜測路由協(xié)議缺陷數(shù)據(jù)傳輸加密問題其它應(yīng)用層協(xié)議問題操作系統(tǒng)與應(yīng)用程序漏洞操作系統(tǒng)系統(tǒng)是用戶和硬件設(shè)備的中間層，操作系統(tǒng)一般都自帶一些應(yīng)用程序或者安裝一些其它廠商的軟件工具。應(yīng)用軟件在程序?qū)崿F(xiàn)時的錯誤，往往就會給系統(tǒng)帶來漏洞。漏洞也叫脆弱性〔〕，是計(jì)算機(jī)系統(tǒng)在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)平安策略上存在的缺陷和缺乏。漏洞一旦被發(fā)現(xiàn)，就可以被攻擊者用來在未授權(quán)的情況下訪問或破壞系統(tǒng)，從而導(dǎo)致危害計(jì)算機(jī)系統(tǒng)平安的行為。安全管理問題管理策略不夠完善，管理人員素質(zhì)低下，用戶平安意識淡薄，有關(guān)的法律規(guī)定不夠健全。管理上權(quán)責(zé)不分，缺乏培訓(xùn)意識，管理不夠嚴(yán)格。缺乏保密意識，系統(tǒng)密碼隨意傳播，出現(xiàn)問題時相互推卸責(zé)任。黑客〔〕，源于英語動詞，意為“劈，砍〞，引申為“干了一件非常漂亮的工作〞。在早期麻省理工學(xué)院的校園俚語中，“黑客〞那么有“惡作劇〞之意，尤指手法巧妙、技術(shù)高明的惡作劇。他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令、放置木馬、欺騙技術(shù)、電子郵件攻擊、通過一個節(jié)點(diǎn)攻擊另一節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽、尋找系統(tǒng)漏洞、利用緩沖區(qū)溢出竊取特權(quán)等。黑客攻擊黑客攻擊黑客分類灰帽子破解者破解已有系統(tǒng)發(fā)現(xiàn)問題/漏洞突破極限/禁制展現(xiàn)自我計(jì)算機(jī)為人民效勞漏洞發(fā)現(xiàn)-軟件破解-0工具提供-白帽子創(chuàng)新者設(shè)計(jì)新系統(tǒng)打破常規(guī)精研技術(shù)勇于創(chuàng)新沒有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破壞者隨意使用資源惡意破壞散播蠕蟲病毒商業(yè)間諜人不為己，天誅地滅入侵者-K.米特尼克CIH-陳盈豪攻擊Yahoo-匿名惡渴求自由黑客攻擊常見黑客攻擊及入侵技術(shù)19801985199019952000密碼猜測可自動復(fù)制的代碼密碼破解利用的漏洞破壞審計(jì)系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙遠(yuǎn)程控制自動探測掃描拒絕效勞攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理攻擊2005高網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)數(shù)量大規(guī)模增長，網(wǎng)民素質(zhì)參差不齊，而這一領(lǐng)域的各種法律標(biāo)準(zhǔn)未能及時跟進(jìn)，網(wǎng)絡(luò)成為一種新型的犯罪工具、犯罪場所和犯罪對象。網(wǎng)絡(luò)犯罪中最為突出的問題有：網(wǎng)絡(luò)色情泛濫成災(zāi)，嚴(yán)重危害未成年人的身心健康；軟件、影視唱片的著作權(quán)受到盜版行為的嚴(yán)重侵犯；電子商務(wù)備受詐欺困擾；信用卡被盜刷；購置的商品石沉大海，發(fā)出商品卻收不回貨款；更有甚者，侵入他人網(wǎng)站、系統(tǒng)后進(jìn)行敲詐，制造、販賣計(jì)算機(jī)病毒、木馬或其它惡意軟件，已經(jīng)挑戰(zhàn)計(jì)算機(jī)和網(wǎng)絡(luò)幾十年之久的黑客仍然是網(wǎng)絡(luò)的潛在危險。安全運(yùn)維概念安全運(yùn)維目標(biāo)安全運(yùn)維內(nèi)容安全運(yùn)維架構(gòu)安全運(yùn)維技術(shù)和工具平安運(yùn)維概念平安運(yùn)維就是為了保障政府或企事業(yè)單位用戶電子業(yè)務(wù)平安、穩(wěn)定和高效運(yùn)行而采取的生產(chǎn)組織管理活動，簡單來說就是使用各種維護(hù)手段保障用戶電子業(yè)務(wù)平安、穩(wěn)定、高效的運(yùn)行。如何保證單位網(wǎng)絡(luò)有效、可靠、平安、經(jīng)濟(jì)的運(yùn)行？對自身網(wǎng)絡(luò)結(jié)構(gòu)非常清晰對單位業(yè)務(wù)應(yīng)用非常了解對日常業(yè)務(wù)軟件的掌握了解常用的網(wǎng)絡(luò)平安技術(shù)熟練掌握單位現(xiàn)有網(wǎng)絡(luò)設(shè)備的配置與操作掌握常用的網(wǎng)絡(luò)故障診斷技術(shù)……平安運(yùn)維目標(biāo)通過平安運(yùn)維提高用戶網(wǎng)絡(luò)運(yùn)行質(zhì)量，做到設(shè)備資產(chǎn)清晰、網(wǎng)絡(luò)運(yùn)行穩(wěn)定有序、事件處理處置有方、平安措施有效到位，提升網(wǎng)絡(luò)支撐能力，提高網(wǎng)絡(luò)管理、平安管理水平，保障信息平臺穩(wěn)定、持續(xù)的運(yùn)行。平安運(yùn)維內(nèi)容平安檢查平安運(yùn)維平安監(jiān)控平安通告補(bǔ)丁管理日志分析漏洞檢測滲透測試源代碼掃描平安風(fēng)險評估平安策略加固應(yīng)急響應(yīng)平安培訓(xùn)平安運(yùn)維架構(gòu)平安運(yùn)維方案資產(chǎn)管理脆弱性管理威脅管理平安通告補(bǔ)丁管理平安監(jiān)控平安配置平安加固應(yīng)急響應(yīng)平安檢查漏洞檢測滲透測試源代碼掃描平安風(fēng)險評估平安培訓(xùn)周期性平安運(yùn)維報(bào)告平安運(yùn)維技術(shù)和工具運(yùn)維內(nèi)容檢查項(xiàng)使用工具網(wǎng)站安全監(jiān)控安全性監(jiān)控網(wǎng)頁篡改網(wǎng)站防護(hù)系統(tǒng)域名劫持網(wǎng)站群警戒服務(wù)平臺關(guān)鍵詞防火墻可用性監(jiān)控網(wǎng)站連通性網(wǎng)站群警戒服務(wù)平臺業(yè)務(wù)功能網(wǎng)站群警戒服務(wù)平臺系統(tǒng)資源內(nèi)網(wǎng)監(jiān)控平臺本地安全檢查安全設(shè)備、、防火墻、交換機(jī)等定期巡檢服務(wù)器操作系統(tǒng)硬件狀態(tài)如磁盤、、定期巡檢服務(wù)器系統(tǒng)更新微軟更新、應(yīng)用更新、防病毒更新等定期巡檢運(yùn)維內(nèi)容檢查項(xiàng)使用工具本地安全監(jiān)控系統(tǒng)日志審計(jì)系統(tǒng)日志、應(yīng)用日志、安全日志等定期巡檢服務(wù)器安全策略管理員賬號、密碼策略、用戶安全策略定期巡檢應(yīng)用安全檢測、等定期巡檢系統(tǒng)用戶管理身份驗(yàn)證、訪問控制、安全審計(jì)等定期巡檢源代碼掃描掃描系統(tǒng)網(wǎng)站漏洞掃描網(wǎng)站數(shù)據(jù)庫安全評估掃描

服務(wù)器系統(tǒng)安全評估掃描

主機(jī)漏洞掃描網(wǎng)絡(luò)隱患掃描系統(tǒng)網(wǎng)絡(luò)漏洞掃描網(wǎng)絡(luò)隱患掃描系統(tǒng)網(wǎng)站漏洞檢測網(wǎng)站群警戒服務(wù)平臺網(wǎng)站安全加固操作系統(tǒng)優(yōu)化、升級、加固安全加固數(shù)據(jù)庫優(yōu)化、升級、加固安全加固網(wǎng)絡(luò)設(shè)備的配置優(yōu)化、系統(tǒng)加固安全加固安全管理優(yōu)化安全加固網(wǎng)絡(luò)體系結(jié)構(gòu)的優(yōu)化設(shè)計(jì)安全加固網(wǎng)絡(luò)攻擊過程一般可以分為本地入侵遠(yuǎn)程入侵在這里主要介紹遠(yuǎn)程攻擊的一般過程：遠(yuǎn)程攻擊的準(zhǔn)備階段遠(yuǎn)程攻擊的實(shí)施階段遠(yuǎn)程攻擊的善后階段遠(yuǎn)程攻擊的準(zhǔn)備階段確定攻擊目標(biāo)信息收集效勞分析系統(tǒng)分析漏洞分析確定攻擊目標(biāo)攻擊者在進(jìn)行一次完整的攻擊之前，首先要確定攻擊要到達(dá)什么樣的目的，即給受侵者造成什么樣的后果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊——是指只破壞攻擊目標(biāo)，使之不能正常工作，而不能隨意控制目標(biāo)上的系統(tǒng)運(yùn)行。入侵型攻擊——這種攻擊要獲得一定的權(quán)限才能到達(dá)控制攻擊目標(biāo)的目的。應(yīng)該說這種攻擊比破壞型攻擊更為普遍，威脅性也更大。因?yàn)楣粽咭坏┱莆樟艘欢ǖ臋?quán)限、甚至是管理員權(quán)限就可以對目標(biāo)做任何動作，包括破壞性質(zhì)的攻擊。遠(yuǎn)程攻擊的準(zhǔn)備階段信息收集包括目標(biāo)的操作系統(tǒng)類型及版本、相關(guān)軟件的類型、版本及相關(guān)的社會信息收集目標(biāo)系統(tǒng)相關(guān)信息的協(xié)議和工具實(shí)用程序、、程序協(xié)議:用來查詢域名是否已經(jīng)被注冊協(xié)議:顯示有關(guān)運(yùn)行效勞或的指定遠(yuǎn)程計(jì)算機(jī)〔通常是運(yùn)行的計(jì)算機(jī)〕上用戶的信息協(xié)議:簡單網(wǎng)絡(luò)管理協(xié)議遠(yuǎn)程攻擊的準(zhǔn)備階段信息收集舉例：在網(wǎng)絡(luò)中主機(jī)一般以地址進(jìn)行標(biāo)識。例如選定192.168.1.250這臺主機(jī)為攻擊目標(biāo)，使用命令可以探測目標(biāo)主機(jī)是否連接在中。在下使用命令測試：測試結(jié)果如下頁圖所示。說明此主機(jī)處于活動狀態(tài)。遠(yuǎn)程攻擊的準(zhǔn)備階段信息收集遠(yuǎn)程攻擊的準(zhǔn)備階段效勞分析探測目標(biāo)主機(jī)所提供的效勞、相應(yīng)端口是否開放、各效勞所使用的軟件版本類型：如利用、等工具，或借助、等這類工具的端口掃描或效勞掃描功能。舉例：下，開始—運(yùn)行—輸入：192.168.1.25080，然后回車遠(yuǎn)程攻擊的準(zhǔn)備階段效勞分析遠(yuǎn)程攻擊的準(zhǔn)備階段遠(yuǎn)程攻擊的準(zhǔn)備階段系統(tǒng)分析確定目標(biāo)主機(jī)采用何種操作系統(tǒng)舉例：在下安裝v4.20掃描工具，此工具含的功能〔使用選項(xiàng)〕。翻開，輸入命令：–O192.168.1.250，然后[確定]探測結(jié)果如下頁圖所示，說明操作系統(tǒng)是20001、2或者3遠(yuǎn)程攻擊的準(zhǔn)備階段系統(tǒng)分析遠(yuǎn)程攻擊的準(zhǔn)備階段漏洞分析分析確認(rèn)目標(biāo)主機(jī)中可以被利用的漏洞手動分析：過程復(fù)雜、技術(shù)含量高、效率較低借助軟件自動分析：需要的人為干預(yù)過程少，效率高。如、等綜合型漏洞檢測工具、等專用型漏洞檢測工具等。舉例：在下使用對目標(biāo)主機(jī)192.168.1.18進(jìn)行系統(tǒng)漏洞分析。探測結(jié)果如下頁圖所示，說明目標(biāo)主機(jī)存在震蕩波漏洞。遠(yuǎn)程攻擊的準(zhǔn)備階段漏洞分析遠(yuǎn)程攻擊的實(shí)施階段作為破壞性攻擊，可以利用工具發(fā)動攻擊即可。作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取盡可能高的權(quán)限。攻擊的主要階段包括：預(yù)攻擊探測：為進(jìn)一步入侵提供有用信息口令破解與攻擊提升權(quán)限實(shí)施攻擊：緩沖區(qū)溢出、拒絕效勞、后門、木馬、病毒遠(yuǎn)程攻擊的善后階段入侵成功后，攻擊者為了能長時間地保存和穩(wěn)固他對系統(tǒng)的控制權(quán)，一般會留下后門。此外，攻擊者為了自身的隱蔽性，須進(jìn)行相應(yīng)的善后工作——隱藏蹤跡：攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以任意修改系統(tǒng)上的文件了，所以一般黑客如果想隱匿自己的蹤跡，最簡單的方法就是刪除日志文件但這也明確無誤地告訴了管理員系統(tǒng)已經(jīng)被入侵了。更常用的方法是只對日志文件中有關(guān)自己的那局部作修改，關(guān)于修改方法的細(xì)節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別，網(wǎng)絡(luò)上有許多此類功能的程序。入侵系統(tǒng)的常用步驟采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的較高明的入侵步驟端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的效勞獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門去除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途針對網(wǎng)絡(luò)攻擊我們怎么辦？個人用戶防護(hù)措施加密重要文件防火墻定期升級補(bǔ)丁殺毒軟件定期升級和殺毒定期備份系統(tǒng)或重要文件防護(hù)措施防止黑客入侵關(guān)閉不常用端口關(guān)閉不常用程序和效勞及時升級系統(tǒng)和軟件補(bǔ)丁發(fā)現(xiàn)系統(tǒng)異常立刻檢查查看翻開端口：–關(guān)閉常用入侵端口：常用的防護(hù)措施完善平安管理制度采用訪問控制措施運(yùn)行數(shù)據(jù)加密措施數(shù)據(jù)備份與恢復(fù)風(fēng)險管理風(fēng)險管理的概念識別風(fēng)險、評估風(fēng)險、采取步驟降低風(fēng)險到可接受范圍風(fēng)險管理的目的 防止或降低破壞行為發(fā)生的可能性 降低或限制系統(tǒng)破壞后的后續(xù)威脅風(fēng)險管理—案例網(wǎng)絡(luò)平安事件應(yīng)對措施對于非法訪問及攻擊類對于病毒、蠕蟲、木馬類對于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類對于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng)對于非法訪問及攻擊類在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲墻、墻、、、內(nèi)容過濾系統(tǒng)Internet防火墻、、、內(nèi)容過濾等防設(shè)備語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公N網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)效勞器群