《信息安全基础知识ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全基础知识ppt课件.ppt(182页珍藏版)》请在三一办公上搜索。
1、信息安全基础知识,目 录,信息安全概述信息安全风险黑客攻击协议层安全安全体系架构安全技术和产品一些安全建议,信息安全概述,信息技术及其应用的发展,A、通信-电报/电话 B、计算机C、网络D、网络化社会的崛起-社会技术系统 (人网系统),什么是信息?,ISO17799中的描述“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ” “Information
2、can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 强调信息:是一种资产同其它重要的商业资产一样对组织具有价值 需要适当的保护以各种形式存在:纸、电子、影片、交谈等,信息系统是有目的、和谐地处理信息的主要工具,它把所有形态(原始数据、已分析的数据、知识和专家经验)和所有形式(文字、视频和声音)的信
3、息进行收集、组织、存储、处理和显示。 大英百科全书,信息系统的概念,信息安全的定义,安全的定义基本含义:客观上不受威胁;主观上不存在恐惧。一种能够识别和消除不安全因素的能力,是一个持续的过程。信息安全的定义狭义:具体的信息技术体系或某一特定信息系统的安全。广义:一个国家的社会信息化状态不受外来的威胁和伤害,一个国家的信息技术体系不受外来的威胁和侵害。ISO的定义:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和显露。,从历史看信息安全,通信保密(ComSEC)计算机安全(CompSEC)信息安全(INFOSEC)信息保障(IA),
4、第一阶段:通信保密,上世纪40年代70年代重点是通过密码技术解决通信保密问题,保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密重要标志1949年Shannon发表的保密系统的通信理论 1977年美国国家标准局公布的数据加密标准(DES)1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制,第二阶段:计算机安全,上世纪7080年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性主要安全威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是安全操作系统设计技术(TCB
5、)主要标志是1985年美国国防部(DoD)公布的可信计算机系统评估准则(TCSEC,橘皮书)将操作系统的安全级别分为四类七个级别(D、C1、C2、B1、B2、B3、A1),后补充红皮书TNI(1987)和紫皮书TDI(1991)等,构成彩虹(Rainbow)系列。,操作系统安全级别,第三阶段:信息安全,上世纪80-90年代重点需要保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性等主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等主要保护措施包括防火墙、防病毒软件、漏洞扫
6、描、入侵检测、PKI、VPN、安全管理等主要标志是提出了新的安全评估准则CC(ISO 15408、GB/T 18336),信息安全的主要内容,安全保障,内容安全 运行安全数据安全 设备安全,信息,系统,安全管理,信息安全的层次框架体系,第四阶段:信息保障,上世纪90年代后期“确保信息和信息系统的可用性、完整性、可认证性、保密性和不可否认性的保护和防范活动。它包括了以综合保护、检测、反应能力来提供信息系统的恢复。” 1996年美国国防部( DoD)国防部令S-3600.1典型标志为美国国家安全局制定的信息保障技术框架(IATF)。,保护网络和基础设施主干网络的可用性无线网络安全框架系统互连和虚拟
7、私有网(VPN),信息保障技术框架(IATF),保护网络边界登录保护网络远程访问多级安全,保护计算环境终端用户环境系统应用程序的安全,支撑性基础设施密钥管理基础设施/公共密钥基础设施(KMI/PKI)检测和响应,深层防御战略的核心因素,人,技术,操作,深层防御战略的技术模型W“PDRR”C,一.对象(两个)信息信息系统二.层面(五个)信息内容应用服务局域计算环境边界和外部连接基础设施三.信息状态(五个)产生存储处理传输消亡四.安全属性(八个+)保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 真实性或可认证性(Authenticity)
8、 不可否认性(Non-repudiation) 可控性(Controllability)可审查性(Accountability)五.安全保障能力来源(三个)技术管理人六.信息保障的环节(六个)预警(Warning)保护(Protect)检测(Detect)响应(React)恢复(Restore)反击(Counterattack),可靠,信息安全属性,基本属性保密性 - 保证机密信息不会泄露给非授权的人或实体,或供其使用;完整性 - 防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿;可用性 - 保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成
9、的系统拒绝服务,或为敌手可用,信息系统能够在规定的条件下和规定的时间内完成规定的功能。,信息安全属性,其他属性真实性 - 能对通讯实体身份的真实性进行鉴别;可控性 - 保证信息行为和过程均在信息主体的掌握和控制之下依照信息主体的意愿进行;可靠性 - 保证所传输的信息不属于无用信息;不可否认性 - 建立有效的责任机制,防止实体否认其行为;可审查性 - 对出现的网络安全问题提供调查的依据和手段并可追踪到唯一的行为实体;,信息保障技术环节,预警(Warning):根据以前掌握系统的脆弱性和了解当前的犯罪趋势,预测未来可能受到的攻击和危害。 保护(Protect):采用可能采取的手段保障信息的保密性、
10、完整性、可用性、可控性和不可否认性。检测(Detect):利用高技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。反应(React):对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。恢复(Restore):一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。反击(Counterattack):利用高技术工具,提供犯罪分子犯罪的线索、犯罪依据,依法侦查犯罪分子处理犯罪案件,要求形成取证能力和打击手段,依法打击犯罪和网络恐怖主义分子。,实施安全保障的原则,没有绝对的安全开放最少服务提供最小权限原则。安全需求平衡信息安全保障
11、的问题就是安全的效用问题,在解决或预防信息安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。防范不足会造成直接的损失;防范过多又会造成间接的损失。必须根据安全目标审查安全手段。过分繁杂的安全政策将导致比没有安全政策还要低效的安全。需要考虑一下安全政策给合法用户带来的影响,在很多情况下如果用户所感受到的不方便大于所产生的安全上的提高,则执行的安全策略是实际降低了企业的安全有效性。,信息安全的目的,打不跨,看不懂,进不来,拿不走,改不了,跑不了,可审查,信息安全的基础:风险管理,风险管理:基于可接受的成本,对影响信息系统的安全风险进行识别、控制、减小或消除的过程。信息安全对策必须以
12、风险管理为基础:安全不必是完美无缺、面面俱到的。但风险必须是能够管理的。最适宜的信息安全策略就是最优的风险管理对策,这是一个在有限资源前提下的最优选择问题。风险管理体系ISO17799:信息安全管理实施细则AS/NZS4360 AS/NZS4360 :风险管理标准GAO/AIMD 98-68:信息安全管理实施指南,信息安全风险,信息安全风险的定义,风险遭受损害或损失的可能性。安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。(ISO/IEC TR 13335-1:1996)信息安全风险是指信息资产的保密性、完整性和可用性等安全属性遭到破坏的可能性。信息安全风险只考
13、虑那些对组织有负面影响的事件。,风险的四要素,资产及其价值威胁脆弱性现有的和计划的控制措施,价值,ISO13335 以风险为核心的安全模型,资产,资产是任何对组织有价值的东西。信息也是一种资产,对组织具有价值。资产的分类电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉,主要的信息资产,终端资源:员工工作站威胁 :病毒,木马, X Active, applet网络资源:路由器,交换机,线缆威胁: IP spoofing, system snooping服务器资源:DNS,WEB, Email, FTP server etc威胁: 非授权访问, 服务中断, 木马信息存储
14、资源:人力资源和电子商务数据库威胁: 获取商业机密或用户数据,威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动。威胁是利用脆弱性来造成后果。威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如:地震、火灾、爆炸等盗窃网络监听供电故障未授权访问,脆弱性,是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。举例(技术性和非技术性的):系统漏洞程序Bug后门系统没有进行安全配置缺少审计物理环境不安全缺乏安全意识缺乏专业人员不良习惯,安全威胁,物理层面: 机房、设备间等的设备防盗,防毁 机房、设
15、备间的环境保障 链路老化,人为破坏,被动物咬断等 网络设备自身故障 停电导致网络设备无法工作 电磁干扰和泄漏 其他,基本威胁:一)非授权访问:没有经过同意,就使用网络或计算机资源。 如有意避开系统访问控制机制,对网络设备及资源进行非正常使用。2. 擅自扩大权限,越权访问信息。 如假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。,安全威胁,基本威胁:二)信息泄露:敏感数据在有意或无意中被泄漏出去。 如信息在传输中丢失或泄漏(电磁泄漏或搭线窃听;对信息流向、流量、通信频度和长度等参数的分析,推出有用信息;猜测用户口令、帐号等重要信息。)2. 信息在存储介质中丢失或
16、泄漏。 如通过建立隐蔽隧道等窃取敏感信息等。,安全威胁,基本威胁:三)破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应。 恶意添加,修改数据,以干扰用户的正常使用。,安全威胁,基本威胁:四)拒绝服务攻击不断对网络服务系统进行干扰,改变其正常的作业流程。 执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,安全威胁,主要可实现的威胁: 假冒 某个实体(人或系统)假装成另外一个不同的实体。这是渗入某个安全防线的最为通用的方法。 旁路控制 为了获得未授权的权利和特权,某个
17、攻击者会发掘系统的缺陷或安全上的脆弱之处。 授权侵犯 被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它未授权目的,也称作“内部威胁” 。 特洛伊木马 软件中含有一个觉察不出的或无害的程序段,当它被执行时,会破坏用户的安全性。 陷门 在某个系统或某个文件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略。,安全威胁,安全威胁,潜在的威胁如果在某个给定环境对任何一种基本威胁或者主要的可实现威胁进行分析,我们就能够发现某些特定的潜在威胁,而任意一种潜在威胁都可能导致一些更基本的威胁的发生。举例 窃听:信息从被监视的通信过程中泄露出去 业务流分析:通过对通信业务流模式(有,无
18、,数量,方向,频率)的分析来将信息泄露给非授权个体的一种情报信息窃取方法; 人员疏忽:作为主体的人因为疏忽大意而导致的信息泄露事件; 媒体清理:通过对数据所依赖的媒体的分析而获得信息。,黑客攻击,什么是黑客,通过网络, 利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人hacker与cracker: Hacker Cracker, 但对于大众, hacker 即 cracker可能的攻击者(cracker)计算机黑客(hacker)不满或者被解雇的雇员极端危险的罪犯工业、企业间谍对攻击技术好奇的人。,攻击的一般过程,第一步:信息探测寻找目标,获取信息第二步:进入系统获得初始的访问权限 第三步
19、:权限提升获得更/最高访问权限第四步:深入攻击攻击其他系统/擦除痕迹/留下后门第五步:拒绝服务入侵未成功则造成拒绝服务,信息探测一般是入侵过程的开始,任何有头脑的攻击者在尝试获取访问目标系统的特权之前,都要预先进行工作量可能不少的研究,如对网络内部或外部进行有意或无意的可攻击目标的搜寻(踩点、扫描)。信息探测的目的确定目标的IP或域名确定目标操作系统类型和版本确定目标系统提供的服务端口信息,攻击的一般过程1:信息探测,信息探测的手法利用公开信息网络拓扑发现(如ping、traceroute、firewalk )端口扫描(如nmap)远程操作系统识别(如banner grab、nmap OS指纹
20、鉴别)SNMP 扫描(如snmputil )漏洞扫描(如Nessus、商业扫描器)手工漏洞挖掘(如SQL注入)社会工程,攻击的一般过程1:信息探测,traceroute,Traceroute使我们知道数据包由出发点(source)到达目的地(destination)所走的路径。Traceroute通过发送小的数据包到目的设备直到其返回,来测量其需要多长时间。一条路径上的每个设备Traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称(如有的话)及其IP地址。在UNIX系统下为Traceroute,在Windows系统下为Tracerert。 C:tracert Traci
21、ng route to 204.71.200.75over a maximum of 30 hops:1 161 ms 150 ms 160 ms 202.99.38.672 151 ms 160 ms 160 ms 202.99.38.653 151 ms 160 ms 150 ms 202.97.16.1704 151 ms 150 ms 150 ms 202.97.17.905 151 ms 150 ms 150 ms 202.97.10.56 151 ms 150 ms 150 ms 202.97.9.97 761 ms 761 ms 752 ms border7-serial3-0-
22、0.S 204.70.122.698 751 ms 751 ms * core2-fddi-0.S 204.70.164.499 762 ms 771 ms 751 ms border8-fddi-0.S 204.70.164.6710 721 ms * 741 ms globalcenter.S 204.70.123.611 * 761 ms 751 ms pos4-2-155M.cr2.SNV 206.132.150.23712 771 ms * 771 ms pos1-0-2488M.hr8.SNV 206.132.254.4113 731 ms 741 ms 751 ms bas1r-
23、ge3-0- 208.178.103.6214 781 ms 771 ms 781 ms 204.71.200.75Trace complete.,NMap,NMap(Network Mapper)是Linux下的网络扫描和嗅探工具包。其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。此外还可以将所有 探测结果记录到各种格式的日志中 , 供进一步分析操作。Nmap可用于扫描含有2个节点的LAN,直至500个节点以上的网络。Nmap 还允许用户定制扫描技巧。通常,一个简单的使用ICMP协议的ping操 作可以满足一般需求。示例
24、: 适用于内外网的探测,以内网操作为示例(外网参数同) 简单端口扫描: nmap -vv -sT(sS、sF、sU、sA) 192.168.0.1 -D 127.0.0.1(-D伪造的地址) OS检测: nmap -vv -sS -O 192.168.0.1 RPC鉴别: nmap -sS -sR 192.168.0.1 Linux上的portmap就是一个简单的RPC服务,监听端口为111(默认) Ping扫射: nmap -sP 172.16.15.0/24,snmp扫描,SNMP(Simple Network Management Protocol,简单网络管理协议)是用于管理IP网络上
25、的结点的一种协议。几乎所有的网络设备和网络操作系统都支持SNMP。community string(社团字串)是基于SNMP协议信息通信时使用的一种“查询密码”,当使用特殊的客户端应用程序,通过community string的验证,将获得对应的权限(只读或读写)对SNMP中管理信息库(MIB)进行访问。而管理信息库(MIB)中则保存了系统所有的重要信息。很多网络设备厂商以及操作系统厂商,在初始状态下,都使用统一的community string “public”。Snmputil命令行方式的SNMP扫描工具snmputil walk 对方ip public .1.3.6.1.2.1.25.4
26、.2.1.2 列出系统进程 snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息,漏洞扫描,什么是漏洞扫描漏洞扫描是一种自动检测远程或本地主机安全性弱点的操作。通过使用扫描器你可以不留痕迹的发现远程服务器的各种TC
27、P/UDP端口的分配、所提供的服务及其软件版本,能够让我们间接的或直观的了解到远程主机所存在的安全问题。Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件,拥有很好的图形操作界面,能够完成超过1200项的远程安全检查,具有强大的报告输出能力,可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告,并且会为每一个发现的安全问题提出解决建议。,攻击者在进行信息探测后确定了在其知识范畴内比较容易实现的攻击目标尝试对象,然后开始对目标主机的技术或管理漏洞进行深入分析和验证,试图获得系统的初始访问权。攻击者常用的
28、手段主要是漏洞校验和口令猜解,如:专用的CGI漏洞扫描工具、登录口令破解等等。一般步骤:1. 扫描目标主机。 2. 检查开放的端口,获得服务软件及版本。 3. 检查服务是否存在漏洞,如果是,利用该漏洞远程进入系统。 4. 检查服务软件是否存在脆弱帐号或密码,如果是,利用其进入系统。 5. 服务软件是否泄露系统敏感信息,如果是,检查能否利用。 6. 扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。,攻击的一般过程2:进入系统,攻击的一般过程3:权限提升,攻击者成功从原先没有权限的系统获取了一个访问权限从而进入系统,但这个权限可能是受限制的,于是攻击者就会采取各种措施,使得当前的权限得到提
29、升,最理想的就是获得最高权限(如Admin 或者Root权限),这样攻击者才能进行深入攻击。这个过程就是权限提升。攻击者常用的手段主要是通过缓冲区溢出的攻击方式。一般步骤:1. 检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限(unix)。 2. 检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限。 3. 检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限。 4. 检查重要文件的权限是否设置错误,如果是,利用该漏洞提升权限。 5. 检查配置目录中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查其它目录是否存
30、在可以利用的敏感信息。 8. 重复以上步骤,直到获得root权限或放弃。,攻击的一般过程4:深入攻击,攻击者通过权限提升后,一般是控制了单台主机,从而独立的入侵过程基本完成。但是,攻击者也会考虑如何将留下的入侵痕迹消除,同时开辟一条新的路径便于日后再次进行更深入地攻击,或者以被控制主机为跳板去攻击网络上其他主机。主要技术手段包括木马植入、日志更改或替换、跳板攻击等等。相关日志对守护进程扫描时留下的日志系统登陆产生的日志文件访问产生的日志更改系统设置留下的日志安装黑客工具留下的日志,攻击的一般过程5:拒绝服务,如果目标主机的防范措施比较好,前面的攻击过程可能不起效果。作为部分恶意的攻击者还会采用
31、拒绝服务的攻击方式,模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源,使正常的服务变得非常困难,严重的甚至导致目标主机宕机,从而达到攻击的效果。目前,拒绝服务(DoS)成为非常流行的攻击手段,甚至结合木马程序发展成为分布式拒绝服务攻击(DDoS),其攻击威力更大。常见拒绝服务攻击类型SYN溢出Smurf和FragglePing of deathLand attack,什么是DoS/DDoS攻击?,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发出海量数据包造成动威力巨大的拒绝服务攻击。,Denial of Service (DoS)
32、 拒绝服务攻击,Distributed Denial of Service (DDoS)分布式拒绝服务攻击,攻击者利用系统自身漏洞或者协议漏洞,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。,Trinoo、TFN、TFN2K 和Stacheldraht。,常用攻击工具,DDoS攻击过程,主控主机(中间人handler),合法用户,扫描程序,黑客,Internet,非安全主机,被控主机(代理agent),应用服务器,洪流(ICMP Flood / SYN Flood / UDP Flood),协议层安全,OSI 参考模型和TCP/IP协议簇,网络设施,操作系统,应用服务,TCP/IP 和因
33、特网安全,The ARPAnet since 1966Internet起于研究项目,安全不是主要的考虑少量的用户,多是研究人员,可信的用户群体可靠性(可用性)、计费、性能 、配置、安全网络协议的开放性与系统的通用性目标可访问性,行为可知性攻击工具易用性Internet 和 TCP/IP v4没有考虑安全因素IP v6的设计中考虑了安全因素Internet 没有集中的管理权威和统一的政策安全政策、计费政策、路由政策,识别网络通讯中存在的风险,识别与物理网络相关的风险,Hub,网段 1,网段 1,网段1,网段 2,Sniffer,所有连接都可见,仅网段2通讯可见,Switch,截取、捕获数据,物理
34、层安全问题,对线缆上传输的信号做文章(Compose the signals transmit over the wire)威胁: 搭线窃听 & Sniffer防护:数据加密 / 流量填充(encryption/ data labels/ traffic padding)优化网络拓扑(交换、VLAN、防火墙),网络层安全问题,提供逻辑地址和路由IP,ICMP Internet Protocol (IP)32-bit ,unique ,identify host头部(20bytes): 信息和控制字段威胁: IP spoofing,Smurf attack网际控制消息协议 (ICMP)在IP层检
35、查错误和其它条件。一般的ICMP信息是非常有用的。威胁:(TFN,利用ICMP协议来消耗网络带宽) (Winnuke 发送畸形的ICMP数据包 )保护: firewall, system patch,传输层安全问题,控制主机之间信息的传输TCP, UDP 协议TCP :面向连接的协议 (FTP,HTTP,SMTP)flags: SYN, FIN, ACK, PSH, RST, URGEstablishing/ Terminating a TCP connectionTCP 威胁: SYN floodUDP :面向无连接的协议(Audio,video,TFTP)端口 (IANA)Web(80),
36、FTP(20,21),DNS(53), SNMP(161,162)保留端口(Wellknown ports) : 1024注册端口 : 102449151私有端口 : 4915265535,TCP/IP三次握手,SYN标志,目的端口号,初始序列号(ISN),SYN标志,ISN,确认标志(ACK),ACK,SYN Flooding 攻击,1 、攻击客户端向被攻击服务器发起带有假 冒IP地址的SYN请求.2 、服务器试图发送SYN/ACK应答到那个 不可达的IP地址.3、 客户端不会收到ACK,服务器一直发下去,应用层安全问题(1),最难以实现安全的层次简单的邮件传输协议(SMTP) 威胁:mai
37、l floodsending viruses and TrojanUsername leak (vrfy, expn, rcpt to:) 防护:病毒网关Anti-viruses gatewayUsing secure SMTP softwareeducating email users,文件传输协议(FTP) 威胁: 利用上载填充硬盘空间,使硬盘空间溢出上传攻击工具到服务器用户名和密码是明文的 防护:仅允许匿名连接将数据置于单独分区超文本传输协议(HTTP) 威胁: 恶意的 active X 或 Java applet脚本Extended applications(Java,CGI,ASP.
38、) 防护:教育用户不要下载未被检验过的应用程序。,应用层安全问题(2),SNMPUDP 161 162 Community name(SNMP仅由此提供认证)控制Community name,就可以控制所有节点 明文传输DNSDNS请求使用UDP53端口区域传输使用TCP53端口获取zone文件从属DNS向主DNS请求区域传输保护:防火墙过滤、区域传输时使用认证,应用层安全问题(3),Telnet(rsh、rlogin)用于远程终端访问并可用来管理UNIX机器。Windows NT默认无Telnet服务,但很容易加入一个第三方的服务。以明文的方式发送所有的用户名和密码。 威胁:有经验的黑客可以
39、劫持一个Telnet会话。 保护:尽量不在互联网上传输Telnet流量用SecureShell(SSH)代替,应用层安全问题(4),安全体系架构,安全是.,怎么说?,安全的组织保障,密码机,物理隔离卡,基本安全机制,LAN/WAN的安全,TEMPEST,外网互连安全,网络管理,防火墙,安全应用,安全数据库,CA认证,个人机安全保护,安全审计,Windows安全,UNIX 安全操作系统,PKI,入侵检测,防病毒,PMI,建立一个有效的安全矩阵,安全矩阵一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙、入侵检测系统、审查方案等构成。 安全矩阵系统最主要的几个方面,安全体系(一):
40、ISO7498-2,标准GB/T 9387.2信息处理系统 开放系统互连基本参考模型 第2部分: 安全体系结构 等同于ISO 7498-2概述目的:是让异构型计算机系统的互连能达到应用进程之间的有效通信。任务: a.提供安全服务与有关机制的一般描述b.确定在参考模型内部可以提供这些服务与机制的位置,三维结构图,authentication,Access control,Data integrity,Data confidentiality,Non-repudiation,enciperment,Digital signature,Data integrity,Data Exchange,Acc
41、ess control,Traffic Padding,Route control,notarization,Application layer,Representation layer,Session layer,Transport layer,Network layer,Link layer,Physical layer,Security Label,Detection,Security Audit Trail,Security Restoration,Trusted functionality,管理相关,服务相关,安全服务,鉴别服务authentication,访问控制服务Access
42、control,数据完整性服务Data integrity,数据机密性服务Data confidentiality,抗抵赖性服务Non-repudiation,提供对通信中的对等实体和数据来源的鉴别 对等实体鉴别数据原发鉴别,这种服务提供保护以对付OSI可访问资源的非授权使用。,这种服务对数据提供保护使之不被非授权地泄露 连接机密性无连接机密性选择字段机密性通信业务流机密性,这种服务对付主动威胁, 可取如下所述的各种形式之一。 带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段无连接完整性,这种服务可取如下两种形式, 或两者之一 有数据原发证明的抗抵赖有交付证明的抗
43、抵赖,服务相关:特定的安全机制,加密,数字签名,数据完整,访问控制,鉴别交换,为数据或业务流提供机密性。加密算法可逆:对称加密 、非对称加密不可逆密钥管理,确定两个过程: a.对数据单元签名b.验证签过名的数据单元。,防止对资源的未授权使用, 可以建立在使用下列所举的一种或多种手段之上: 访问控制信息库鉴别信息权力安全标记试图访问的时间试图访问的路由访问持续期。,数据完整性有两个方面单个数据单元或字段的完整性数据单元 流或字段流的完整性。,通信业务流填充,路由选择控制,公证,通过信息交换来保证实体身份。a.使用鉴别信息, 例如口令, 由发送实体提供而由接收实体验证; b.密码技术; c.使用该
44、实体的特征或占有物。,制造通信的假实例, 产生欺骗性数据单元或数据单元中的伪数据。用来抵抗通信业务分析,只有在通信业务填充受到机密服务保护时才是有效的。,在路由选择过程中应用规则, 以便具体地选取或回避某些网络、链路或中 继。,由可信赖的第三方对数据进行登记, 以便保证数据的特征如内容,原发, 时 间, 交付等的准确性不致改变。,OSI服务和安全机制间关系,安全服务同ISO协议层关系,安全体系(二):CC,ISO15408:1999,GB/T18336:2001,通常简称CC通用准则定义了评估信息技术产品和系统安全性所需的基础准则,是度量信息技术安全性的基准;国际标准化组织统一现有多种准则的努
45、力;1993年开始,1996年出V 1.0, 1998年出V 2.0;1999年5月,成为ISO-15408;主要思想和框架取自ITSEC和FC;充分突出“保护轮廓PP”,将评估过程分为“功能”和“保证”两部分;是目前最全面的评价准则;描述IT产品/系统安全要求的统一语言IT安全要求的目录对已有安全准则的总结和兼容灵活的架构,可以定义自己的要求扩展CC要求分为3个部分:第一部分:简介和一般模型第二部分:安全功能要求第三部分:安全保证要求,评估保证级别,EAL2,结构测试级,EAL1,功能测试级,EAL3,方法测试和校验级,EAL4,系统地设计、测试和评审级,EAL5,半形式化设计和测试级,EA
46、L6,半形式化验证的设计和测试级,EAL7,形式化验证的设计和测试级,安全体系(三):ISMS,信息安全管理体系(Information Security Management System,ISMS)是系统地对组织的敏感信息进行管理,涉及到人、程序和信息技术(IT)的系统。 是在信息安全方面指挥和控制组织以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的要素可能包括信息安全方针、策略信息安全组织结构各种活动、过程信息安全控制措施人力、物力等资源相关标准ISO17799:2000 信息技术-信息安全管理实施规则采纳BS7799-1:1999,为如何进行安全管理实践的指导
47、ISO17799:2000:10类控制域,36个控制目标,127项控制措施ISO17799:2005:11个控制域,39个控制目标,133个控制措施预计2007年将更名为ISO27002ISO27001:2005 信息技术-安全技术-信息安全管理体系要求采纳BS7799-2:1999(- BS7799-2:2002),为建立信息安全管理体系必须符合的要求,ISO17799,ISO27001,PDCA循环,Plan DoCheckAct又称“戴明环”, 是能使任何一项活动有效进行的工作程序:P计划(建立ISMS)根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和
48、程序,以获得结果。D实施( 实施和运行ISMS)实施和运行安全策略、控制、过程和程序。C检查( 监视和评审ISMS)适用时,根据安全策略、目标和惯有经验评估和测量过程业绩,向管理层报告结果,进行评审。A改进(保持和改进ISMS)根据内部ISMS 审核和管理评审或其他信息,采取纠正和预防措施,以实现ISMS 的持续改进,建立ISMS的步骤,第六步,第五步,第四步,第三步,第二步,威胁、漏洞和影响,机构的风险管理办法所要求达到的保障程度,17799-2(BS7799)中的第四章所列的安全控制目标和措施,不在BS7799的其它安全控制,策略文件,ISMS 的范围,风险评估,适用性说明书,信息资产,结
49、果与结论,选定的控制选项,选定的控制目标及控制,第一步,定义策略,定义信息安全管理系统(ISMS)的范围,进行风险评估,管理这些风险,选择控制目标以及要实现的控制,撰写适用性说明书,信息安全管理的过程网络,将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程,也可用于整个过程网络,信息安全管理的四个重要原则,领导重视, 组织保障 指明方向和目标 权威 预算保障,提供所需的资源 监督检查,全员参与, 信息安全不仅仅是IT部门的事 让每个员工明白随时都有信息安全问题 每个员工都应具备相应的安全意识和能
50、力 让每个员工都明确自己承担的信息安全责任,持续改进, 实现信息安全目标的循环活动 信息安全是动态的,时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段, 文件的作用:有章可循,有据可查 文件的类型:手册、规范、指南、记录,信息安全管理的实践经验,反映组织业务目标的安全方针、目标和活动; 符合组织文化的安全实施方法; 管理层明显的支持和承诺; 安全需求、风险评估和风险管理的正确理解;有效地向所有管理人员和员工推行安全措施;向所有的员工和签约方提供本组织的信息安全方针与标准;提供适当的培训和教育;一整套用于评估信息安全管理能力和反馈建议的测量系统,系统安全工程能力成熟