常用信息安全技術(shù)介紹

1、廣東石化公司信息中心2013年9月,常用信息安全技術(shù)介紹,什么是信息安全,信息本身的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未經(jīng)授權(quán)使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用信息。,保密性：確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個人、組織和計算機程序使用完整性：確保信息沒有遭到篡改和破壞可用性：確保擁有授權(quán)的用戶或程序可以及時、正常使

2、用信息,信息安全問題產(chǎn)生的根源,內(nèi)因： 信息系統(tǒng)復(fù)雜性：過程復(fù)雜，結(jié)構(gòu)復(fù)雜，應(yīng)用復(fù)雜外因： 人為和環(huán)境: 威脅與破壞,網(wǎng)絡(luò)不安全的根本原因,系統(tǒng)漏洞 信息安全漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷以不同形式存在于信息系統(tǒng)的各個層次和環(huán)節(jié)之中，而且隨著信息系統(tǒng)的變化而改變。一旦被惡意主體所利用，就會造成對信息系統(tǒng)的安全損害，從而影響構(gòu)建于信息系統(tǒng)

3、之上正常服務(wù)的運行，危害信息系統(tǒng)及信息的安全屬性。,網(wǎng)絡(luò)不安全的根本原因,協(xié)議的開放性 網(wǎng)絡(luò)的技術(shù)是全開放的，使得網(wǎng)絡(luò)所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。網(wǎng)絡(luò)的國際性 意味著對網(wǎng)絡(luò)的攻擊不僅是來自于本地網(wǎng)絡(luò)的用戶，還可以是互聯(lián)網(wǎng)上其他國家的黑客，所以網(wǎng)絡(luò)的安全面臨著國際化的挑戰(zhàn)。網(wǎng)絡(luò)的自由性

4、 大多數(shù)的網(wǎng)絡(luò)對用戶的使用沒有技術(shù)上的約束，用戶可以自由的上網(wǎng)，發(fā)布和獲取各類信息。,計算機病毒的威脅,由于企業(yè)介入用戶數(shù)量較多，并且分布廣泛，網(wǎng)絡(luò)環(huán)境較為復(fù)雜，信息系統(tǒng)分布眾多，使得病毒的傳播較為容易。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復(fù)雜、隱蔽。,黑客攻擊的風險,由于海外網(wǎng)絡(luò)分布較廣，和國內(nèi)的環(huán)境相比不太相同，黑客利用計算機系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫等方面的漏洞和缺陷，采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽等手段，

5、對網(wǎng)絡(luò)進行攻擊，對數(shù)據(jù)進行竊取。,黑客攻擊的風險,企業(yè)的各項數(shù)據(jù)，包括生產(chǎn)數(shù)據(jù)、財務(wù)數(shù)據(jù)、人員數(shù)據(jù)等，在網(wǎng)絡(luò)中傳輸數(shù)據(jù)面臨著各種安全風險：被非法用戶截取從而泄露企業(yè)機密；被非法篡改，造成數(shù)據(jù)混亂、信息錯誤從而造成工作失誤；非法用戶假冒合法身份，發(fā)送虛假信息，給正常的經(jīng)營秩序造成混亂、破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。,身份認證和訪問控制存在的風險,企業(yè)信息系統(tǒng)一般供特定范圍的用戶使用，包含的信息和數(shù)據(jù)也

6、只對一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。由于網(wǎng)絡(luò)的不可控性，安全的身份認證和訪問控制就顯得尤為重要。,常見信息安全技術(shù),密碼學(xué)基本術(shù)語,古典密碼體制的安全性在于保持算法本身的保密性，受到算法限制。不適合大規(guī)模生產(chǎn)不適合較大的或者人員變動較大的組織用戶無法了解算法的安全性古典密碼主要有以下幾種：代替密碼（Substitution Cipher）換位密碼（Transposition Cipher）代替密碼與換位密碼

7、的組合,古典密碼,對稱密碼算法和非對稱密碼算法,對稱密碼算法（Symmetric cipher）：加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個易于推出另一個。又稱傳統(tǒng)密碼算法（Conventional cipher)、秘密密鑰算法或單密鑰算法。 DES、3DES、IDEA、AES 非對稱密碼算法（Asymmetric cipher） ：加密密鑰和解密密鑰不同，從一個很難推出另一個。又叫公鑰密碼算法（Public-ke

8、y cipher)。其中的加密密鑰可以公開，稱為公開密鑰（public key)，簡稱公鑰；解密密鑰必須保密，稱為私人密鑰（private key)，簡稱私鑰。 RSA、ECC、ElGamal,加密（Encryption）：將明文變換為密文的過程。把可懂的語言變換成不可懂的語言，這里的語言指人類能懂的語言和機器能懂的語言。解密（Decryption）：加密的逆過程，即由密文恢復(fù)出原明文的過程。把不可懂的語言變換成可懂的語言。,加密和

9、解密算法的操作通常都是在一組密鑰的控制下進行的,分別稱為加密密鑰(Encryption Key) 和解密密鑰(Decryption Key)。,加密和解密,PGP加密,PGP是目前最優(yōu)秀，最安全的加密方式。這方面的代表軟件是美國的PGP加密軟件。這種軟件的核心思想是利用邏輯分區(qū)保護文件，比如，邏輯分區(qū)E:是受PGP保護的硬盤分區(qū)，那么，每次打開這個分區(qū)的時候，需要輸入密碼才能打開這個分區(qū)，在這個分區(qū)內(nèi)的文件是絕對安全的。不再需要這個分區(qū)

10、時，可以把這個分區(qū)關(guān)閉并使其從桌面上消失，當再次打開時，需要輸入密碼。沒有密碼，軟件開發(fā)者本人也無法解密！PGP是全世界最流行的文件夾加密軟件。它的源代碼是公開的，經(jīng)受住了成千上萬頂尖黑客的破解挑戰(zhàn)，事實證明PGP是目前世界上最安全的加密軟件。它的唯一缺點是PGP目前還沒有中文版，而且正版價格極其昂貴。PGP技術(shù)是美國國家安全部門禁止出口的技術(shù)。,密碼學(xué)的應(yīng)用---VPN,VPN,1、未使用VPN時，分布在各地的組織機構(gòu)需要用專用網(wǎng)絡(luò)來

11、保證數(shù)據(jù)傳輸安全。其特點1）安全性好2）價格昂貴3）難擴展、不靈活2、TCP/IP采用分組交換方式傳遞數(shù)據(jù)，其特點1）安全性差2）價格便宜3）易擴展，普遍使用,密碼學(xué)的應(yīng)用---VPN,加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制，不同的用戶有不同的訪問權(quán)限。,密碼學(xué)的應(yīng)用---VPN,VPN基本功能,PKI 指的是

12、公鑰基礎(chǔ)設(shè)施, CA指的是認證中心. 公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）利用公開密鑰技術(shù)建立的提供信息安全服務(wù)的在線基礎(chǔ)設(shè)施。它利用加密、數(shù)字簽名、數(shù)字證書來保護應(yīng)用、通信或事務(wù)處理的安全。如同電力基礎(chǔ)設(shè)施為家用電器提供電力一樣，PKI為各種應(yīng)用提供安全保障 PKI/CA 是一組建立在公開密鑰技術(shù)基礎(chǔ)上的硬件、軟件、人員和應(yīng)用程序的集合，它具備生產(chǎn)、管理、存儲、核發(fā)和廢止證書的能力，從運營

13、、管理、規(guī)范、法律、人員等多個角度來解決網(wǎng)絡(luò)信任問題。,密碼學(xué)的應(yīng)用---PKI/CA,PKI/CA技術(shù)在信息安全中的作用,安全漏洞,信息安全漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷以不同形式存在于信息系統(tǒng)的各個層次和環(huán)節(jié)之中，而且隨著信息系統(tǒng)的變化而改變。一旦被惡意主體所利用，就會造成對信息系統(tǒng)的安全損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運行，危害信息系統(tǒng)及信息的安全屬性。

14、,安全模型,注冊表(Registry)整合、集成了全部系統(tǒng)和應(yīng)用程序的初始化信息。 其中包含硬件設(shè)備的說明、相互關(guān)聯(lián)的應(yīng)用程序與文檔文件、窗口顯示方式、網(wǎng)絡(luò)連接參數(shù)、甚至關(guān)系到電腦安全的網(wǎng)絡(luò)設(shè)置。 病毒、木馬、黑客程序等攻擊用戶電腦時，都會對注冊表進行一定的修改，因此注冊表的安全設(shè)置非常重要。,注冊表安全,抵御后門程序破環(huán)禁用控制面板鎖定桌面禁止遠程修改注冊表禁止病毒啟動服務(wù)禁止病毒自

15、行啟動,注冊表安全,1、比較原始的竊密技術(shù)是暴力破解，也叫密碼窮舉。如果黑客事先知道了賬戶號碼，如網(wǎng)上銀行賬號，而恰巧你的密碼又十分簡單，比如用簡單的數(shù)字組合，黑客使用暴力破解工具很快就可以破釋出密碼來?！?2、在大部分用戶意識到簡單的密碼在黑客面前形同虛設(shè)后，人們開始把密碼設(shè)置的盡可能復(fù)雜一些，這就使得破解工具開始無計可施。這時候，黑客開始在木馬病毒身上做文章，他們在木馬程序里設(shè)計了鉤子程序，一旦用戶的電腦感染了這種特制的病毒，系統(tǒng)

16、就被種下了“鉤子”，黑客通過“鉤子”程序監(jiān)聽和記錄用戶的擊鍵動作，然后通過自身的郵件發(fā)送模塊把記錄下的密碼發(fā)送到黑客的指定郵箱?！?、軟鍵盤輸入使得使用擊鍵記錄技術(shù)的木馬失去了作用。這時候，黑客仍不甘心，又開始琢磨出通過屏幕快照的方法來破解軟鍵盤輸入。病毒作者已考慮到軟鍵盤輸入這種密碼保護技術(shù)，病毒在運行后，會通過屏幕快照將用戶的登陸界面連續(xù)保存為兩張黑白圖片，然后通過自帶的發(fā)信模塊發(fā)向指定的郵件接受者。黑客通過對照圖片中鼠標的點擊位

17、置，就很有可能破譯出用戶的登陸賬號和密碼，從而突破軟鍵盤密碼保護技術(shù)，嚴重威脅股民網(wǎng)上交易安全。,賬號和密碼安全,賬號和密碼安全事項,安全密碼的設(shè)置（1）密碼中的字符應(yīng)該來自下面“字符類別”中五組中的至少三組。 1、小寫字母 a、b、c… 2、大寫字母 A、B、C…　 3、數(shù)字 0、1、2、3、4、5、6、7、8、9 4、非字母數(shù)字字符（符號） 

18、~ ` ! @ # $ % ^ & * ( ) ? / _ - | \   5、Unicode字符 ??、Γ、? 和 λ（2）密碼設(shè)置的注意事項：1.請盡量設(shè)置長密碼。請您設(shè)法設(shè)置便于記憶的長密碼，您可以使用完整的短語，而非單個的 單詞或數(shù)字作為您的密碼，因為密碼越長，則被破解的可能性就越??；2.盡量在單詞中插入符號。盡管攻擊者善于搜查密碼中的單詞，但

19、請您在設(shè)置密碼時不要放棄 使用單詞。但您需要在您的單詞中插入符號或者變?yōu)橹C音符號。如：”just for you”可以改善 為“just4y_o_u”；3.請不要在您的密碼中出現(xiàn)您的帳號；4.請不要使用您的個人信息作為密碼的內(nèi)容。如生日、身份證號碼、親人或者伴侶的姓名等。,OSI安全體系結(jié)構(gòu),OSI安全體系結(jié)構(gòu)定義了系統(tǒng)應(yīng)當提供的五類安全服務(wù)，以及提供這些服務(wù)的八類安全機制；某種安全服務(wù)可以通過一種或多種安全機制提供，某

20、種安全機制可用于提供一種或多種安全服務(wù)。五類安全服務(wù)：1.認證（鑒別）服務(wù)：提供對通信中對等實體和數(shù)據(jù)來源的認證（鑒別）。2.訪問控制服務(wù)：用于防治未授權(quán)用戶非法使用系統(tǒng)資源，包括用戶身份認證和用戶權(quán)限確認。3.數(shù)據(jù)保密性服務(wù)：為防止網(wǎng)絡(luò)各系統(tǒng)之間交換的數(shù)據(jù)被截獲或被非法存取而泄密，提供機密保護。同時，對有可能通過觀察信息流就能推導(dǎo)出信息的情況進行防范。4.數(shù)據(jù)完整性服務(wù)：用于組織非法實體對交換數(shù)據(jù)的修改、插入、刪除以及在數(shù)

21、據(jù)交換過程中的數(shù)據(jù)丟失。5.抗抵賴服務(wù)：用于防止發(fā)送方在發(fā)送數(shù)據(jù)后否認發(fā)送和接收方在收到數(shù)據(jù)后否認收到或偽造數(shù)據(jù)的行為。,OSI安全體系結(jié)構(gòu),1.加密機制：是確保數(shù)據(jù)安全性的基本方法，在OSI安全體系結(jié)構(gòu)中應(yīng)根據(jù)加密所在的層次及加密對象的不同，而采用不同的加密方法。2.數(shù)字簽名機制：是確保數(shù)據(jù)真實性的基本方法，利用數(shù)字簽名技術(shù)可進行用戶的身份認證和消息認證，它具有解決收、發(fā)雙方糾紛的能力。3.訪問控制機制：從計算機系統(tǒng)的處理能力方

22、面對信息提供保護。訪問控制按照事先確定的規(guī)則決定主體對客體的訪問是否合法，當以主題試圖非法使用一個未經(jīng)給出的報警并記錄日志檔案。4.數(shù)據(jù)完整性機制：破壞數(shù)據(jù)完整性的主要因素有數(shù)據(jù)在信道中傳輸時受信道干擾影響而產(chǎn)生錯誤，數(shù)據(jù)在傳輸和存儲過程中被非法入侵者篡改，計算機病毒對程序和數(shù)據(jù)的傳染等。糾錯編碼和差錯控制是對付信道干擾的有效方法。對付非法入侵者主動攻擊的有效方法是保溫認證，對付計算機病毒有各種病毒檢測、殺毒和免疫方法。5.認證機制

23、：在計算機網(wǎng)絡(luò)中認證主要有用戶認證、消息認證、站點認證和進程認證等，可用于認證的方法有已知信息（如口令）、共享密鑰、數(shù)字簽名、生物特征（如指紋）等。6.業(yè)務(wù)流填充機制：攻擊者通過分析網(wǎng)絡(luò)中有一路徑上的信息流量和流向來判斷某些事件的發(fā)生，為了對付這種攻擊，一些關(guān)鍵站點間再無正常信息傳送時，持續(xù)傳遞一些隨機數(shù)據(jù)，使攻擊者不知道哪些數(shù)據(jù)是有用的，那些數(shù)據(jù)是無用的，從而挫敗攻擊者的信息流分析。7.路由控制機制：在大型計算機網(wǎng)絡(luò)中，從源點到目

24、的地往往存在多條路徑，其中有些路徑是安全的，有些路徑是不安全的，路由控制機制可根據(jù)信息發(fā)送者的申請選擇安全路徑，以確保數(shù)據(jù)安全。8.公正機制：在大型計算機網(wǎng)絡(luò)中，并不是所有的用戶都是誠實可信的，同時也可能由于設(shè)備故障等技術(shù)原因造成信息丟失、延遲等，用戶之間很可能引起責任糾紛，為了解決這個問題，就需要有一個各方都行人的第三方以提供公證仲裁，仲裁數(shù)字簽名經(jīng)濟術(shù)士這種公正機制的一種技術(shù)支持。,網(wǎng)絡(luò)安全協(xié)議,? 網(wǎng)絡(luò)層——IP 安全性(IPS

25、ec)? 傳輸層—— SSL / TLS? 應(yīng)用層——S/MIME, PGP, PEM, SET, Kerberos,HTTPS,SSH,網(wǎng)絡(luò)安全協(xié)議,IPSec,? IPSec為在LAN、WAN和Internet上的通訊提供安全性– 分支辦公機構(gòu)通過Internet互連。(Secure VPN)– 通過Internet的遠程訪問。– 與合作伙伴建立extrane

26、t與intranet的互連。– 增強電子商務(wù)安全性? IPSec的主要特征是可以支持IP層所有流量的加密和/或鑒別。因此可以增強所有分布式應(yīng)用的安全性。,網(wǎng)絡(luò)層安全協(xié)議,? 端到端（end-end):主機到主機的安全通信? 端到路由（end-router):主機到路由設(shè)備之間的安全通信? 路由到路由（router-router):路由設(shè)備之間的安全通信，常用于在兩個網(wǎng)絡(luò)之間建立虛擬私有網(wǎng)（VPN）。,IPSec的應(yīng)

27、用方式,SSL體系結(jié)構(gòu),?協(xié)議分為兩層?底層：SSL記錄協(xié)議?上層：SSL握手協(xié)議、SSL修改密文規(guī)約協(xié)議、SSL 警告協(xié)議,? SSL記錄協(xié)議– 建立在可靠的傳輸協(xié)議(如TCP)之上– 它提供連接安全性，有兩個特點? 保密性，使用了對稱加密算法? 完整性，使用HMAC算法– 用來封裝高層的協(xié)議? SSL握手協(xié)議– 客戶和服務(wù)器之間相互鑒別– 協(xié)商加密算法和密鑰– 它提供連接安全性，有三個特點? 身份鑒別，

28、至少對一方實現(xiàn)鑒別，也可以是雙向鑒別? 協(xié)商得到的共享密鑰是安全的，中間人不能夠知道? 協(xié)商過程是可靠的,SSL兩個主要協(xié)議,SSH的英文全稱是Secure  Shell。通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進行加密，這樣“中間人”這種攻擊方式就不可能實現(xiàn)了， 而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取?#160;SSH有很多功能，它既可以代

29、替telnet，又可以為ftp、pop、甚至ppp提供一個安全的“通道”。,SSH,網(wǎng)絡(luò)攻擊技術(shù),信息收集分析目標實施攻擊方便再次進入清理入侵記錄,信息收集技術(shù),獲取攻擊目標大概信息網(wǎng)絡(luò)信息主機信息應(yīng)用部署信息……指導(dǎo)下一步攻擊行為 信息收集的方式社會工程學(xué)媒體（如搜索引擎、廣告介紹等）網(wǎng)絡(luò)工具的探測,踩點---信息收集,定位---分析目標,為什么需要分析目標確定收集信息的準確性更準確的判斷（

30、例如:index.ycs是java開發(fā)，開發(fā)人員修改了腳本后綴以迷惑攻擊者）攻擊方式及工具路徑的選擇分析目標的方法掃描漏洞庫論壇等交互應(yīng)用,入侵-多種多樣的入侵方式,針對配置錯誤的攻擊－IPC$的攻擊針對應(yīng)用漏洞的攻擊－Unicode緩沖區(qū)溢出攻擊－IDQ緩沖區(qū)溢出電子欺騙攻擊－ARP欺騙拒絕服務(wù)攻擊－SYN flood針對弱口令的攻擊－口令破解利用服務(wù)的漏洞-本地輸入法漏洞利用應(yīng)用腳本開發(fā)的漏洞-SQL注入

31、利用人的心理-社會工程學(xué)攻擊,后門-方便下次進入,后門可以作什么方便下次直接進入監(jiān)視用戶所有行為、隱私完全控制用戶主機后門放置方式如果已經(jīng)入侵簡單！如果尚未入侵手動放置利用系統(tǒng)漏洞，遠程植入利用系統(tǒng)漏洞，誘騙執(zhí)行,后門-方便下次進入,改寫訪問日志例如：IIS訪問日志位置%WinDir%\System32\LogFiles\W3SVC1\exyymmdd.log改寫日志的技巧修改系統(tǒng)日期刪除中間文件

32、刪除創(chuàng)建的用戶,漏洞攻擊,根據(jù)目標主機開放的不同應(yīng)用和服務(wù)來掃描和判斷是否存在或可能存在某些漏洞意義進行網(wǎng)絡(luò)安全評估為網(wǎng)絡(luò)系統(tǒng)的加固提供先期準備被網(wǎng)絡(luò)攻擊者加以利用來獲取重要的數(shù)據(jù)信息,信息安全的“木桶理論”,對一個信息系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法或最先進的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞所決定的。只要這個漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。,欺騙攻擊,IP欺騙（IP Spoof）

33、DNS欺騙ARP欺騙TCP會話劫持路由欺騙,拒絕服務(wù)攻擊,拒絕服務(wù)式攻擊(Denial of Service)，顧名思義就是讓被攻擊的系統(tǒng)無法正常進行服務(wù)的攻擊方式。拒絕服務(wù)攻擊方式 利用大量數(shù)據(jù)擠占網(wǎng)絡(luò)帶寬 利用大量請求消耗系統(tǒng)性能 利用協(xié)議實現(xiàn)缺陷 利用系統(tǒng)處理方式缺陷,網(wǎng)絡(luò)防御技術(shù),防火墻技術(shù),在網(wǎng)絡(luò)間（內(nèi)部/外部網(wǎng)絡(luò)、不同信息級別）提供安全連接的設(shè)備；

34、 用于實現(xiàn)和執(zhí)行網(wǎng)絡(luò)之間通信的安全策略,防火墻的功能,阻止來自不可信網(wǎng)絡(luò)的攻擊保護關(guān)鍵數(shù)據(jù)的完整性維護客戶對企業(yè)或機構(gòu)的信任,網(wǎng)絡(luò)防御技術(shù),1控制進出網(wǎng)絡(luò)的信息流向和數(shù)據(jù)包，過濾不安全的服務(wù)；2隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細節(jié)； 3提供使用和流量的日志和審計功能；4部署NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）；5邏輯隔離內(nèi)部網(wǎng)段，對外提供WEB和FTP；6實現(xiàn)集中

35、的安全管理；7提供VPN功能。,網(wǎng)絡(luò)防御技術(shù),防火墻的功能,防火墻的分類,包過濾技術(shù)應(yīng)用代理技術(shù)狀態(tài)檢測技術(shù),網(wǎng)絡(luò)防御技術(shù),防火墻系統(tǒng)的部署,這是最為普通的企業(yè)環(huán)境防火墻部署案例。利用防火墻將網(wǎng)絡(luò)分為三個安全區(qū)域，企業(yè)內(nèi)部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)和服務(wù)器專網(wǎng)(DMZ區(qū))。,網(wǎng)絡(luò)防御技術(shù),入侵檢測技術(shù),網(wǎng)絡(luò)防御技術(shù),入侵檢測的概念,網(wǎng)絡(luò)防御技術(shù),入侵檢測（Intrusion Detection），顧名思義，就是對入侵行為的發(fā)覺。通過對計

36、算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。,入侵檢測的分類,攻擊的類型：網(wǎng)絡(luò)嗅探利用設(shè)計缺陷實現(xiàn)缺陷拒絕服務(wù),網(wǎng)絡(luò)防御技術(shù),攻擊針對以下方面：網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用,入侵檢測的步驟,預(yù)防入侵檢測入侵對入侵做出響應(yīng),網(wǎng)絡(luò)防御技術(shù),計算機取證技術(shù),計算機取證（Computer Forensics、計算機取證技術(shù)、計算機鑒識、計算機法醫(yī)學(xué)）是指運用計算

37、機辨析技術(shù)，對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)，并據(jù)此提起訴訟。也就是針對計算機入侵與犯罪，進行證據(jù)獲取、保存、分析和出示。計算機證據(jù)指在計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物。從技術(shù)上而言。計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解，以對入侵事件進行重建的過程?？衫斫鉃椤皬挠嬎銠C上提取證據(jù)”即獲取、保存、分析出示提供的證據(jù)必須可信,網(wǎng)絡(luò)防御技術(shù),計算機取證概念,計算機取證是分析硬盤、光盤、軟

38、盤、Zip磁盤、U盤、內(nèi)存緩沖和其他形式的儲存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程，即計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關(guān)計算機犯罪的證據(jù)。,可以用做計算機取證的信息源很多，如系統(tǒng)日志，防火墻與入侵檢測系統(tǒng)的工作記錄、反病毒軟件日志、系統(tǒng)審計記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵件、操作系統(tǒng)文件、數(shù)據(jù)庫文件和操作記錄、硬盤交

39、換分區(qū)、軟件設(shè)置參數(shù)和文件、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖、書簽、歷史記錄或會話日志、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉，如盡量刪除或修改日志文件及其他有關(guān)記錄。但是，一般的刪除文件操作，即使在清空了回收站后，如果不是對硬盤進行低級格式化處理或?qū)⒂脖P空間裝滿，仍有可能恢復(fù)已經(jīng)刪除的文件。,網(wǎng)絡(luò)防御技術(shù),計算機取證的分類,來源取證所謂

40、來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據(jù)的來源。例如在網(wǎng)絡(luò)犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號取證等。事實取證事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關(guān)事實的證據(jù)，例如犯罪嫌疑人的犯罪事實證據(jù)。在事實取證中常見的取證方法有文件內(nèi)容調(diào)查、使用痕跡調(diào)查、軟

41、件功能分析、軟件相似性分析、日志文件分析、網(wǎng)絡(luò)狀態(tài)分析、網(wǎng)絡(luò)數(shù)據(jù)包分析等。,網(wǎng)絡(luò)防御技術(shù),計算機取證的原則,計算機取證的主要原則有以下幾點： 首先，盡早搜集證據(jù)，并保證其沒有受到任何破壞； 其次，必須保證“證據(jù)連續(xù)性”（有時也被稱為“chain of custody”），即在證據(jù)被正式提交給法庭時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當然最好是沒有任何變化；

42、 最后，整個檢查、取證過程必須是受到監(jiān)督的，也就是說，由原告委派的專家所作的所有調(diào)查取證工作，都應(yīng)該受到由其它方委派的專家的監(jiān)督。,網(wǎng)絡(luò)防御技術(shù),計算機取證技術(shù)的步驟,在保證以上幾項基本原則的情況下，計算機取證工作一般按照下面步驟進行：第一， 在取證檢查中，保護目標計算機系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染；第二， 搜索目標系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件

43、覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件；第三， 全部（或盡可能）恢復(fù)發(fā)現(xiàn)的已刪除文件；第四， 最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件、臨時文件和交換文件的內(nèi)容；第五， 如果可能并且如果法律允許，訪問被保護或加密文件的內(nèi)容；第六，分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。特殊區(qū)域至少包括下面兩類：①所 謂的未分配磁盤空間——雖然目前沒有被使用，但可能包含有先前的數(shù)據(jù)殘留；② 文件中的“slack”空間——

44、如果文件的長度不是簇長度的整數(shù)倍，那么分配給文件的最后一簇中，會有未被當前文件使用的剩余空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據(jù)；第七，打印對目標計算機系統(tǒng)的全面分析結(jié)果，然后給出分析結(jié)論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)、和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調(diào)查中發(fā)現(xiàn)的其它的相關(guān)信息；第八，給出必需的專家證明。,網(wǎng)絡(luò)防御技術(shù),蜜罐技術(shù),網(wǎng)絡(luò)防御技術(shù),“蜜網(wǎng)項目組”（ The Hone

45、ynet Project ）的創(chuàng)始人Lance Spitzner給出了蜜網(wǎng)的權(quán)威定義： 蜜網(wǎng)是一種安全資源，其價值在于被掃描、攻擊和攻陷。蜜網(wǎng)的核心價值在于對攻擊活動進行監(jiān)視、檢測和分析。,蜜罐的功能,網(wǎng)絡(luò)防御技術(shù),吸引入侵者來嗅探、攻擊，同時不被覺察地將入侵者的活動記錄下來，進而評估黑客攻擊的目的、使用的工具、運用的手段、造成的后果 可以吸引或轉(zhuǎn)移攻擊者的注意力，延緩他們對真正目標的攻擊

46、 也可以進行攻擊檢測和報警,蜜罐的核心需求,網(wǎng)絡(luò)防御技術(shù),蜜網(wǎng)有著三大核心需求：即數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析。1.通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風險；2.數(shù)據(jù)捕獲技術(shù)能夠檢測并審計黑客攻擊的所有行為數(shù)據(jù)；3.而數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動、使用工具及其意圖。,計算機病毒,電腦病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用電腦軟

47、、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學(xué)上的“病毒”同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來。 從廣義上定義，凡能夠引起電腦故障，破壞電腦數(shù)據(jù)的程序統(tǒng)稱為電腦病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲等均可稱為電腦病毒。在國內(nèi)，專家和研究者對電腦病毒也做過不盡相同的定義，但一直沒有公認的明確定義。,概念,計算機病毒,計算機病毒的發(fā)展歷史,1949年：馮·諾依曼在《

48、復(fù)雜自動機組織論》提出概念1960年：生命游戲（約翰·康維 ） 磁芯大戰(zhàn)（道格拉斯.麥耀萊、維特.維索斯基 、羅伯.莫里斯 ）1973年：真正的惡意代碼在實驗室產(chǎn)生1981年-1982年:在APPLE-II的計算機游戲中發(fā)現(xiàn)Elk cloner1986年—第一個PC病毒：Brain virus1988年—Morris Internet worm—6000多臺1990年—第一個多態(tài)病毒1991年—v

49、irus construction set-病毒生產(chǎn)機1994年—Good Times(joys)1995年—首次發(fā)現(xiàn)macro virus1996年—netcat的UNIX版發(fā)布（nc）2002年—setiri后門2002年—SQL slammer(sqlserver)2003年—hydan的steganography工具2003年—MSBlaster/ Nachi2004年—MyDoom/ Sasser2006年—

50、熊貓燒香2010年—Stuxnet(工業(yè)蠕蟲),計算機病毒的分類,計算機病毒,計算機病毒的傳播方式,計算機病毒,計算機病毒的危害,計算機病毒,訪問控制,訪問控制：針對越權(quán)使用資源的防御措施目標：防止對任何資源（如計算資源、通信資源或信息資源）進行未授權(quán)的訪問，從而使資源在授權(quán)范圍內(nèi)使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。,訪問控制的概念,訪問控制的作用,訪問控制,未授權(quán)訪問：包括未經(jīng)授權(quán)的使用、泄露、修改、銷

51、毀信息以及頒發(fā)指令等。非法用戶對系統(tǒng)資源的使用合法用戶對系統(tǒng)資源的非法使用作用：機密性、完整性和可用性,訪問控制模型,訪問控制,訪問控制模型分類,訪問控制模型的分類,互聯(lián)網(wǎng)輿情分析的作用,從互聯(lián)網(wǎng)這個巨大的數(shù)據(jù)來源中獲取信息萃取為針對特定社會公共事務(wù)的情況概覽為公共事務(wù)管理者提供決策參考,互聯(lián)網(wǎng)輿情分析,互聯(lián)網(wǎng)輿情分析與信息處理技術(shù)顯然存在密不可分的關(guān)系與搜索相關(guān)的各種技術(shù)。信息采集：網(wǎng)頁爬蟲、Twitter /