《网络安全问题及其防范措施(基础篇)——国家计算机网络应急中心.ppt》由会员分享,可在线阅读,更多相关《网络安全问题及其防范措施(基础篇)——国家计算机网络应急中心.ppt(119页珍藏版)》请在三一办公上搜索。
1、1,网络安全问题及其防范措施,国家计算机网络应急技术处理协调中心,2,序:责任和目标,共同的责任:维护网络与信息系统的正常运行;使网络和信息技术真正为我们带来用处本期培训的目标:对上级领导:能够使其认识到安全的威胁,从而能够得到安全保障系统必要的和正确的投入与支持;对用户:能够规范用户的使用,增强用户的安全意识,降低风险;普及安全知识,保护用户利益;对自己:相对全面地了解安全涉及的问题,掌握相关的知识基础,为将来进一步提高实践能力做好准备;具备实现上述两个目标的基本能力;建立联系,了解信息获取和技术交流的渠道,3,主要内容,概念和基础对安全问题的理解安全问题的分类及其对应的技术手段当前安全威胁
2、的特点和趋势关于应急响应应急响应的概念应急响应服务及其发展状况应急响应组织和体系事例介绍行业网络安全保障问题关于入侵监测系统的若干问题一些基本原则和安全措施,4,问题1:“安全”的本质是什么?,木桥和铁桥哪个更安全?结论:安全的一个必要条件是和用户利益相关联推论1:安全保护不能“一视同仁”投资的限制人员的限制精力的限制推论2:信息资产的评估应该是设计安全方案的第一步工作,一个遗留问题:如何进行信息资产评估,5,问题2:怎样算是“安全的”?,保护金库的方案安全保障的一般环节:PPDRR结论:响应时间和抗攻击时间的关系 Rt Pt推论:安全保障的各个环节不应该是相互孤立的;安全是相对的,具体要求各
3、不相同投资多、设备好不一定安全级别就高,6,问题3:安全中应该考虑的第一要素是什么,人的因素来自用户的威胁试图获得更高的权限不经意的泄漏口令为了方便而采取违反安全管理规定的行为将帐号交给他人使用将口令存放在不可信赖的地方离开工作现场而不加保护被当作跳板进入其他信任区域带领非授权人员进入工作现场等,7,人的因素(续),来自管理员的威胁不恰当的权限管理不合理的口令未清理的过期帐户工作现场的问题滥用的好奇心社会工程学泄漏更多的案例来自内部,很多损失源自内部员工的报复性攻击,8,现状:网络中密布陷阱和危险,网络的隐蔽使很多人的内心阴暗面得到激发垃圾邮件中的病毒、木马、色情内容、政治谣言、商业广告等页面
4、中嵌入的恶意程序无时不在的漏洞和随处可见的工具互动娱乐中充满陷阱、欺骗和堕落“网络痴迷症”带来的负面影响随时面临触犯法律甚至犯罪的危险,9,中华人民共和国刑法,第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播
5、计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。,10,安全涉及到各个层面的问题,通讯线路/设备,主机设备,基础协议实现,应用系统,数据/信息,个人用户,群体用户,传统网络概念,物理设备,系统实现,数据集合,用户集合,11,因特网的安全涉及哪些因素?,系统安全,信息安全,文化安全,物理安全,又称实体安全,又称运行安全,又称数据安全,又称内容安全,12,关于物理安全,作用点:对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣
6、工作环境方面。外显行为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。防范措施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。,13,对物理安全产生威胁的几个手段,芯片嵌入(Chipping)芯片级的特洛伊木马。微机械与微生物可损害计算机系统的硬件部分。电子干扰(Electronic jamming)用假信息来淹没信道。HERF枪,EMP炸弹干扰电子电路,破坏通信与计算机系统。视像窃换(Video Morphing)篡改事实上的表现形式,破坏真实信息。,14,关于系统安全,作用点:对计算机网络与计算机系统可用性与系统访问控制方面进行攻击。外显行为:网络被阻塞,黑客行为,计算
7、机病毒、非法使用资源等,使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施:防止入侵,检测入侵,抵抗入侵,系统恢复。,15,网络安全威胁国家基础设施,因特网,网络对国民经济的影响在加强,安全漏洞危害在增大,信息对抗的威胁在增加,研究安全漏洞以防之,因特网,电力,交通,通讯,控制,广播,工业,金融,医疗,研究攻防技术以阻之,苍蝇不叮无缝的,蛋,16,拒绝服务类协议漏洞致使系统停机一对一式攻击致使系统不能提供服务兑变式攻击致使网络系统瘫痪,计算机恶意程序对系统的威胁,控制系统类特洛伊木马代码隐藏入侵口令猜测、欺骗系统,你能做我也能做攻击访问控制能力,我不能做你也别想做攻击系统可用性,传染类源码类
8、病毒宏病毒操作系统类病毒引导类病毒文件类病毒繁殖类病毒,你有机会我也要有机会伺机传染与发作,17,保障系统安全的技术手段,防火墙第一道防线,阻止入侵,入侵监测第二道防线,发现入侵,攻击反应第三道防线,迅即自我保护,自动恢复第四道防线,起死回生,18,策略和管理:保障系统的核心,方案是死的,攻击是活的产品是死的,漏洞是活的防守是被动的,攻击是主动的策略和管理是安全保障系统发挥作用的重要条件关于安全管理的基本要求:安全管理人员安全管理的技术规范定期的安全测试与检查安全监控,19,作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。外显行为:窃取信息,篡改信息,冒充信息,信息抵赖。防范措
9、施:加密,完整性技术,认证,数字签名,关于信息安全,20,信息窃取,信息传递,信息冒充,信息篡改,信息抵赖,关于信息安全,机密性加密技术,完整性完整性技术,合法性认证技术,可信性数字签名,21,作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。外显行为:淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围广。防范措施:技术、法律、教育等多方面,关于文化安全,22,更加隐蔽和长远的伤害,一些西方国家公开试图利用因特网实现对其他国家的文化同化,对其他国家进行“西化、分化、弱化”一些敌对势力利用因
10、特网散布谣言,制造混乱色情、暴力信息泛滥,对青少年的身心健康带来严重影响典型事例不胜枚举,23,解决网络安全问题涉及的方面,?,法制建设问题:约束黑客行为等,系统评估问题:安全隐患与信息价值,科研支撑:专项基金、经费投入的整体规划,平台建设问题:CERT、反入侵、反病毒等中心,技术装备:加强先进装备的投入,推动市场,标准资质认证:产品、服务标准,人力资源建设:专家队伍、培训、持证上岗,组织建设问题:快速响应体系,24,我国应急处理体系结构示意图,25,我国的网络安全形势十分严峻,2000山西日报网站被攻击案,2000 101远程教学网思茅主页被黑案,2000北京医科大学网站被黑案,2000蓉城
11、网上超市被入侵案,2000当当书店遭黑客攻击案,2000“黑客BOY”大闹鞍山案,2000广州利用电脑贪污公款案,99信息卡账号口令非法截获案,99郑州保险公司数据库被篡改案,99上海股票虚假信息操纵案,26,99上海股票虚假信息操纵案,九九年四月十六日,上海某证券市场的计算机因未对通用用户设置密码而被某证券公司电脑清算员赵某入侵,“莲花味精”、“兴业房产”出现涨停。价值6000万元的500万股股票成交。,27,99信用卡账号口令非法截获案,九九年四月,某时装店将信用卡刷卡机短接,用于捕获信用卡的账号、口令、及身份证号码信息,然后制作假信用卡并从ATM中取钱。,28,99郑州保险公司数据库被篡
12、改案,中国人寿保险公司郑州分公司职员王波从1999年4月至6月先后五次非法登录公司的电脑系统,更改和删除了多条重要数据。修改后的保险费是正确值的1.87倍,保单现金价值为正确值的2.42倍。,29,2000广州利用电脑贪污公款案,二零零零年五月二十八日,广东韶关市某银行职员沈伟彪和电脑维修员李建文通过电脑程序在两人控制的帐户上加大存款数额,贪污公款200多万元。,30,2000当当书店遭黑客攻击案,从二零零零年三月份开始,黑客对全国最大网上书店“当当”书店网站进行了长达数周的恶意攻击,删除了网站的购物筐,破坏页面,更改了价格,致使该网站处于瘫痪状态,有时甚至造成该网站数小时无法正常运行。,31
13、,2000蓉城网上超市被入侵案,二零零零年五月十七日,“999mall网上超市”被黑客入侵。超市的导游小姐在线服务室出现了一位说粗话,乱刷屏的“导游小姐”,致使此超市一片混乱。,32,2000“黑客BOY”大闹鞍山案,2000年 11月8日海城南台镇一家电脑培训中心负责人严某成功猜测登录海城科技电脑公司的公司BBS,并留下狂言:要“黑”遍鞍山,海城所有公司的主页。11月9日,严某又成功登录鞍山希望电脑公司和新视窗网吧的主页。,33,2000山西日报网站被攻击案,二零零零年三月八日,山西日报国际互联网站遭到黑客数次攻击,被迫关机,这在国内省级党报中属首例被黑客攻击事件。,34,2000 101远
14、程教学网思茅主页被黑案,二零零零年五月,吴某用从互联网上下载的一个可对计算机文件在线修改的“黑客”软件对101远程教学网站思茅分中心进行攻击,主页上很多内容被非法修改。,35,其它案例,2000年二月事件2001年五月事件2001年8月的红色代码事件2001年9月尼姆达事件2002年“银联”网上欺骗事件2003年1月SQL杀手事件2003年3月口令蠕虫和红色代码-F事件2004年重大网络安全事件启发和进步,36,四月份对中国网站的攻击(443次),37,四月份对中国网站的攻击(443次),38,五月1-7日对中国网站的攻击(147次),39,五月1-7日对中国网站的攻击来源,40,中国147个
15、被攻击的网站所使用的操作系统的分布情况,41,红色代码病毒事件,8月的红色代码病毒实际上是集网络蠕虫和黑客程序于一身的恶性网络攻击程序,其攻击模式是划时代的。,42,8月22日-27日的数据,发现感染数目超过18000个大陆一侧确定位置的主机数目12605个,43,9月2日-9月9日的数据,发现感染服务器48,414个,其中仅2,000余个和8月22-27日的数据重复,发现攻击1,024,013次,实际攻击次数估计为该数据的数百倍。,44,9月2日-9月9日的数据,45,9月2日-9月9日的数据,46,红色代码病毒对不同地区的影响程度,47,尼姆达攻击事件:空前恐怖,9月18日出现的Nimda
16、病毒,借助红色代码病毒泛滥的机会,以更加恶劣的方式对互联网造成更大的冲击以各种手段感染几乎微软的各种平台服务器漏洞直接传播;电子邮件;局域网共享目录;可执行文件;网页;感染Windows9x/me/xp/NT/2000危害严重:共享被感染计算机的硬盘不断发送带毒邮件,48,9月14日-9月20日的数据,49,一些原则和基本的防范措施,50,对用户的要求,注意权限的分配严格口令管理必要时限定使用位置和时间异常情况的及时通报,51,对管理员的要求,关闭不必要的服务定时检查各系统的状态定时检查各种有关日志保持各有关系统和数据的更新关注新的安全通报信息建立技术支持和服务的渠道向上级说明升级或者购买的必
17、要性,52,对方案的要求,在切实分析用户的特定需求的基础上形成方案方案的各项指标设计合理,配有详细说明方案具有一定的可扩充性和灵活性使用符合规定的产品,53,对方案提供者的要求,向用户说明方案是如何针对用户的特殊情形设计的向用户说明方案具备的能力帮助用户制定响应策略和管理策略及规范提供持续的技术支持减轻管理员的压力替用户严格保密,54,对服务供应商的要求,严格替用户保密满足用户的响应要求能够提供本地化服务有严格标准的服务程序和技术规范,55,讨论:关于垃圾邮件,垃圾邮件的定义垃圾邮件的危害垃圾邮件的过滤技术手段非技术手段存在的问题,56,讨论:关于网络防病毒,防病毒已经成为第一压力怎样选择产品
18、服务同样重要网络防病毒的优点,57,Q&A,怎么知道我的系统被攻击了怎么划分子网,58,59,防火墙防止攻击的主要屏障,防火墙是作为Intranet的第 一道防线,是把内部网和公共网分隔的特殊网络互连设备,可以用于网络用户访问控制、认证服 务、数据过滤等。在逻辑上,防火墙是过滤器、限制器和分析器。,60,防火墙之报文过滤网关,一般是基于路由器来实现。路由器通常都在不同程度上支持诸如基于TCP/IP协议集的分组的源、目地址进出路由器的过滤,即让某些地址发出的分组穿越路由器到达目的地。,非特定IP地址,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12
19、.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,特定源IP地址,202.118.228.68,
20、202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,禁止,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.68,202.118.228.
21、68,202.118.228.68,202.118.228.68,特定目的IP地址,202.118.224.100,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,禁止,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.1
22、1.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,190.11.12.33,禁止,禁止,202.118.228.68,202.118.228.68,禁止,禁止,190.11.12.33,190.11.12.33,IP欺骗是黑客常用的手法,61,防火墙之应用级网关,应用级网关是为专门的应用设计专用代码,用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码更安全些
23、。例如使用这类软件可以对进入防火墙的telnet进行个人身份认证。,Web服务器,访问http,合法访问telnet,非法访问telnet,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,访问http,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问te
24、lnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,认证合法,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,合法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问
25、telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,认证非法,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,非法访问telnet,62,状态监测防火墙,数据包在数据链路层和网络层操作系统核心中被检查创建通信状态表保存每一连
26、接状态内容既可以检查一定程度上的应用层信息,也可以检查底层数据包,63,防火墙的功能,防火墙是阻塞点。强迫所有进出信息通过唯一的检查点,以便进行集中的安全策略实施防火墙可以实行强制安全策略。允许某些服务通过,某些服务禁止通过,以便防止入侵者利用存在严重安全缺陷的服务防火墙可以记录网上的活动情况,以便管理人员通过阅读日志来跟踪和发现入侵者防火墙可以用来进行内部隔离,防止一个网段的问题向另一个网段传播,64,防火墙选型和设置,选型价格因素带宽支持连接数支持速度和稳定性安全策略安放位置有可能和外界通信的每一个通路需要不同安全策略的网段,65,防火墙的安全策略(一),网络服务访问策略允许从内部站点访问
27、外界,不允许从外界访问内部只允许从外部访问内部特定系统策略的制定必须具有现实性和完整性现实性:在降低风险和为用户提供合理资源之间取得平衡完整性:防止其他途径;取得用户和管理层的理解和支持,66,防火墙的安全策略(二),防火墙设计策略除非明确不允许,否则允许某种服务(宽松型)除非明确允许,否则禁止某种服务(限制型)宽松型策略给入侵者更多绕过防火墙的机会限制性策略虽然更安全,但是更难于执行,并且对用户的约束存在重复安全性和灵活性需要综合考虑,67,防火墙的安全策略(三),通常需要考虑的问题:需要什么服务在哪里使用这些服务是否应当支持拨号入网和加密等服务提供这些服务的风险是什么若提供这种保护,可能会
28、导致网络使用上的不方便等负面影响,这些影响会有多大,是否值得付出这种代价和可用性相比,公司把安全性放在什么位置,68,防火墙的物理实现方式,防火墙通常由主计算机、路由器等一组硬件设备构成,实现方式主要有:软件实现形式NT,Unix硬件实现方式工业标准服务器实现方式*采用可扩展式工业标准服务器防火墙产品内置操作系统,69,防火墙的其他话题,防火墙的局限性社会工程攻击内部攻击“协议嵌套”式攻击个人防火墙针对个人主机的加强防护更加灵活、更符合用户个人的安全策略需求对用户个人要求较高,70,入侵检测,工作方式:基于主机的入侵检测基于网络的入侵检测实现方式:误用检测:对已知的攻击行为模式进行判定异常检测
29、:对非正常的行为模式进行判定,71,分布式入侵检测,很多现实网络中必须的一种模式需要重点考虑的问题方案设计的合理性位置、配置的选择个数、层次的选择产品选择的合理性指标和目标的一致性管理和使用策略的合理性,72,计算机系统安全的级别,1983年8月,美国国防部计算机安全局出版了“可信任的计算机安全评估标准”一书,被称为“橘黄皮书”。该书为计算机安全的不同级别定义了D、C、B、A四级标准。,C级:自主性保护 D级:未经安全评估,A级:确定性保护 B级:强制性保护,A级:确定性保护 B级:强制性保护,C级:自主性保护 D级:未经安全评估,73,A级:确定性保护,验证保护级。其每一 个安全个体都必须得
30、到信任,包括每一个部件从生产开始就被跟踪;每一个合格的安全个体必须分析并通过一个附加的设计要求。,74,B级:强制性保护,B1:带标签的安全保护级,支持多级安全,按用户区分许可级别,经过配置的IBM大型机用的MVS操作系统,B2:结构化防护级,所有对象(包括外设)均有标签。B3:安全域级,通过可信途径联网。,75,C级:自主性保护,C1级:酌情安全保护,设置访问权限,但允许用户访问系统的ROOT,不能控制进入系统的用户的访问权限。,UNIX、XENIX、Novell、Windows NT,UNIX、XENIX、Novell、Windows NT,VMS,C2级:访问控制保护,额外具有审计特性,
31、用户权限级别限制。,76,D级:未经安全评估,整个计算机是不可信任的。硬件与操作系统都容易被侵袭。系统对用户没有验证。,MSDOS,Windows3x,Windows 95,77,通用操作系统类病毒防护系统,引导系统,病毒,防毒系统,病毒体,防毒系统,不同,防毒系统,相同,引导正常执行,78,接收客户程序A发来 的命令,机器被A控制,A,BO,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A,A
32、,机器被A监视,系统欺骗(后门),79,对一般用户正常响应,保持原功能,识别是用户FANG,将之赋予ROOT权限,WFTPD,FTPD,拥有ROOT权限,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,LOGOUT,FANG在退出前注销ROOT权限,以免被系统人员查出,取消ROOT权限,信息窃取类
33、攻击系统权限,Wuarchive FTP Daemon(WFTPD)是有名的FTP服务器。是世界上最常用的FTP服务器之一。但WFTPD2.1f及2.2版均被人在源码级改动了,所加入的特洛伊木马的功能为使得任何本地或远程的用户成为登录Unix系统的Root。,由于系统软件通常是美国人开发的,美国政府有条件决定所有软件如不设有特洛伊木马则禁止出口,引爆条件可以是在计算机内出现了具有“与美国开战”字样的文件时,也可以考虑由外部触发,触发结果可以是格式化硬盘或向美国CIA发电子邮件Reto E.Haeni,80,逻辑炸弹,潜伏代码,满足条件否?,满足而爆炸,防护方法:软件黑盒测试,满足而爆炸,伊拉克
34、的打印机香港的银行系统上海的控制系统KV300BP机触发.,系统仿真,81,指示输入帐号及口令,伪造登录现场,指示输入错误,重输入,捕获口令退出,真实登录现场,Pale Rider,密码被窃取,采用TSR技术也可达到同样的目的,输入正确进入系统,信息窃取类,LOGIN特洛伊木马,伪造ATM是典型的欺骗类特洛伊木马案件。,82,捕获口令,借助字典采用“蛮力”的方法来分析指定用户的口令。,CRACK程序,加密系统,比较,成功,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,WORD,ABC,ABC,ABC,
35、ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ABC,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,ZYX,不同,找到,40 78秒 48 5小时 56 59天 64 41年 72 10696年 80 2,738,199年,DESCHALL小组破译能力,83,98上海热线服务器被攻案,九八年六月十五日,上海热线发现被黑客攻击,攻击者复旦大学学生杨威通过猜口令等方法攻入一台机器后随即攻击了其他几台机器,控制了两台服务器。破译了 五百余个用户口令。,84,返回出口,缓冲区溢出的黑网站方法,程序区,数据区,Shell 程序,Shel
36、l入口,mount,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell 程序,Shell入口,缓冲区溢出,进入操作系统获得系统权限,转SHELL入口指定地址,通过造成缓冲区溢出并用指定地址覆盖返回地址而进入指定程序的方式来获得系统权限。,黑客结果实例,85,攻击协议漏洞的网络炸弹,IP协议处理,死机,假长度攻击,newtear,boink,nestea,用Telnet向80口发也可摧毁Windows NT,向139端口发
37、0字节也可摧毁Windows95/NT,86,对MAIL服务器的攻击,服务阻塞攻击,MAIL服务处理,停止服务,大量的Mail请求阻碍服务器,MailBomb,KaBoom!,87,2000新浪网电子邮件被阻塞案,二零零零年二月八日,新浪网北京网站被黑客袭击,电子邮件服务器瘫痪18小时。,88,同步风暴攻击,pong,synk4,这类攻击通常都设置假IP地址,在TCP包中通过将同步位设为1的方式来请求连接,如果得到连接确认后不予理会,而是继续发出申请,将有可能耗尽服务器端的有限的响应连接的资源,89,2000广州163接入服务器被攻案,二零零零年三月八日:黑客攻击拥有200万用户的广州163,
38、系统无法正常登录。,90,蠕虫著名的莫利斯事件,让Sendmail接收并执行,查通信簿向外发送,Sendmail,查通信簿向外发送,查通信簿向外发送,FingerD,缓冲溢出向外攻击,缓冲溢出向外攻击,缓冲溢出向外攻击,利用Finger的漏洞获得控制权,SendmailFingerdrsh/rexe,91,操作系统类病毒的机理,系统引导区,引导正常执行,病毒,引导系统,病毒体,92,内存空间,计算机病毒的激活过程,空闲区,带病毒程序,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,int8,空闲区,正常程序,正常程序,正常程序,in
39、t8,是,破坏!,int8,93,99信用卡账号口令非法截获案,九九年四月,某时装店将信用卡刷卡机短接,用于捕获信用卡的账号、口令、及身份证号码信息,然后制作假信用卡并从ATM中取钱。,94,数据加密防信息窃取技术,数据加密理论上可以有零密钥、单密钥及双密钥三种。加密的原因是假设传输过程中是不安全的。安全的加密方法是指对手找不到更好的攻击方法,只能通过穷举密钥的手段进行解密,即解密的难度与密钥空间成正比。,95,零密钥加密技术,ABCDE,发送方加密,pzru,接收方加密,AMBBB,AMBBB,发送方解密,puztr,接收方解密,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,A
40、BCDE,ABCDE,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,发送方,接收方,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,pzru,AMBBB,
41、AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,AMBBB,puztr,puztr,puztr,puztr,puztr,puztr,
42、puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,puztr,
43、ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,ABCDE,发送给接收方,交还给接收方,再次发送给接收方,一个箱子两把锁,箱子运来运去都带锁,相互各自锁上并打开自己的锁,无需交换钥匙。,96,单密钥加密技术,密钥,原文ABCD,原文ABCD,密文%#%¥,密钥,生成与分发密钥,互连网络,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%
44、¥,密文%#%¥,原文ABCD,原文ABCD,密文%#%¥,密文%#%¥,原文ABCD,密文%#%¥,一个箱子一把锁,箱子运输锁上锁,关锁与开锁用一把钥匙,交换钥匙是关键,如何让钥匙不被窃取?,97,双钥匙加密技术,公钥(m,n=pq),私钥(r,p,q),原文ABCD,原文ABCD,密文%#%¥,公钥(m,n=pq),乱文;,互连网络,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#
45、%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,乱文;,密文%#%¥,乱文;,原文ABCD,原文ABCD,密文%#%¥,密文%#%¥,原文ABCD,密文%#%¥,一个箱子一把锁,两把钥匙对付锁,一把关锁一把开锁,关锁的不能开锁,开锁的不能关锁,接收者提
46、供钥匙,把关锁钥匙交给对方,开锁钥匙留给自己。,98,信息欺骗,欺骗者,关机不响应,用拒绝服务压制住真正响应方,然后冒充接收方来欺骗连接请求者,是黑客常用的手段。,99,98扬州工商银行冒存、领存款案,九八年九月二十二日,扬州工商行被郝景文、郝景龙兄弟俩以服务器欺骗的方式入侵计算机系统,假冒存款72万元,提出26万元。,100,信息欺骗的防范,欺骗者,防范方法:认证技术,关机不响应,认证不通过,关机不响应,101,完整性技术,任何一段信息都有其基本特征,抽出其特征就是这段信息的完整性标识。上述一段话有11个词组、30个文字、2个符号、251个笔划、38个撇、53个竖、86个横、12个横折、7个
47、竖勾、27个点、4个捺勾、5个提、将完整性标识用私钥加密,使之不能被篡改。接收方生成完整性标识,并用公钥解密所携带的完整性标识,两者进行比较,如果不同则表示正文被篡改。,102,数字签名技术,公钥(m,n=pq),私钥(r,p,q),原文ABCD,原文ABCD,密文%#%¥,公钥(m,n=pq),互连网络,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥
48、,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,密文%#%¥,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,原文ABCD,密文%#%¥,原文ABCD,原文ABCD,密文%#%¥,密文%#%
49、¥,原文ABCD,原文ABCD,密文%#%¥,一个箱子一把锁,两把钥匙对付锁,一把关锁一把开锁,关锁的不能开锁,开锁的不能关锁,发送者提供钥匙,把开锁钥匙交给对方,关锁钥匙留给自己。,公证方,103,互联网向外访问分类的分布情况,104,部分有关法律法规,全国人大关于维护网络与信息安全的决定,两部互联网登载新闻管理办法,国务院互联网内容服务管理办法,中华人民共和国电信条例,信息产业部电子公告服务管理办法,105,99上海股票虚假信息操纵案,九九年四月十六日,上海某证券市场的计算机因未对通用用户设置密码而被某证券公司电脑清算员赵某入侵,“莲花味精”、“兴业房产”出现涨停。价值6000万元的500
50、万股股票成交。,106,99信用卡账号口令非法截获案,九九年四月,某时装店将信用卡刷卡机短接,用于捕获信用卡的账号、口令、及身份证号码信息,然后制作假信用卡并从ATM中取钱。,107,99郑州保险公司数据库被篡改案,中国人寿保险公司郑州分公司职员王波从1999年4月至6月先后五次非法登录公司的电脑系统,更改和删除了多条重要数据。修改后的保险费是正确值的1.87倍,保单现金价值为正确值的2.42倍。,108,2000广州利用电脑贪污公款案,二零零零年五月二十八日,广东韶关市某银行职员沈伟彪和电脑维修员李建文通过电脑程序在两人控制的帐户上加大存款数额,贪污公款200多万元。,109,2000当当书
