安全導論(資訊安全)-概要

第1章-安全導論

一、資訊安全概述

Ø一個完整的資訊系統包括底層的各種硬體裝置、作業系統、以及各種應用程式、網絡服務等，也包括使用或管理該系統的使用者

Ø是以，資訊安全也必然是全方位、多角度的，任何一個環節的弱點都可能導緻整個資訊系統不堪一擊

（1）、安全的基本分類

1、實體安全

Ø實體安全考慮的對象主要是各種硬體裝置，機房環境等物質載體，也可以了解為為硬體安全

Ø硬體設施是承載和實作資訊系統功能的基礎條件，是以實體安全也是最直接、最原始的攻防對象

【加強實體安全的常見措施】

存放位置、裝置備援、硬體設定、人員管理

2、系統安全

Ø系統安全考慮的對象主要是作業系統，包括windows/Linux/Unix，以及路由交換裝置的IOS等

Ø作業系統承擔着協調CPU、記憶體、磁盤存儲等硬體資源，為使用者提供應用環境和服務的核心任務，是以是資訊安全中最核心的攻防對象

【加強系統安全的常見措施】

系統（軟體漏洞）、賬号和權限管理、軟體服務管理

系統清理及備份、故障轉移（隔離）

3、網絡安全

Ø網絡安全考慮的對象主要是面向網絡的通路控制

Ø各種路由交換裝置、伺服器、工作站等并不是孤立的個體，而是通過網絡來提供服務的

Ø排除掉實體攻擊的情況，實際上90%以上的安安全風險和攻擊都來自于網絡

【加強網絡安全的常見措施】

端口過濾、遠端管理、僞裝技術、加密傳輸

應用系統防護、防火牆政策、入侵檢測

4、資料安全

Ø資料安全考慮的對象主要是電子資料，包括文本、圖檔、報表、資料庫等各種需要保密的文檔資訊

Ø當然，資料安全的防護等級取決于使用者的需求，對于越重要、越敏感的資料資料，越應該采取強力的保護和授權措施

【加強資料安全的常見措施】

資料備份、資料加密、存取權限控制、人員管理

（2）、安全評估标準

資訊安全評估主要包括以下工作：

明确安全現狀、确定安全風險、為企業的安全體系建設提供指導

1、TCSEC，可信計算機安全評估标準

全稱為Trusted Computer System Evaluation Criteria，是計算機系統安全評估的第一個正式标準，由美國國防部于1985年12月正式釋出，也稱為桔皮書

【TCSEC的四個安全等級】

   D類，無保護級：安全性最低，不适合在使用者環境下使用

   C類，自主保護級：通過将使用者和資料資源分離，為多使用者環境中的敏感資料提供基本的保護

   B類，強制保護級：啟用強制性的通路控制政策，所有未明确授權的通路都被拒絕

   A類，驗證保護級：安全性最高，資訊系統的設計者必須按照一個正式的規範來 分析，實施和維護系統

2、ISO/IFC 15408、GB/T 18336-2008，資訊技術安全性評估準則

由ISO（International StandardizationOrganization，國際标準化組織）于1999年12月正式釋出，是第一個國際通用的計算機安全評估标準

【計算機資訊系統安全保護等級劃分準則】

   第一級，使用者自主保護級

   第二級，系統審計保護級

   第三級，安全标記保護級

   第四級，結構化保護級

   第五級，通路驗證保護級

3、GB/T 202xx-2006、GB/T 209xx-2007、GB/T 210xx-2007系列

在國内的安全評估領域，以國家标準GB/T 17859-1999、GB/T 18336-2001為基礎，此後還陸續出台了一系列的細化準則

二、常見的安全風險

（1）、攻擊方法介紹

1、利用漏洞

Ø通過特定的操作過程，或使用專門的漏洞攻擊程式，利用現有作業系統，應用軟體中的漏洞，來侵入受害系統或擷取特殊權限

Ø溢出攻擊也屬于漏洞利用的一種，這種攻擊通過向程式送出超過期望長度的資料，結合特定的攻擊編碼，可以導緻受害系統崩潰

ØSQL注入是一種典型的網頁代碼漏洞利用

2、暴力破解

Ø多用于密碼攻擊領域，也就是使用各種不同的密碼組合反複進行驗證，直到找到正确的密碼

Ø暴力破解也稱“密碼窮舉”，用來嘗試的所有密碼集合稱為“密碼字典”

3、木馬植入

Ø通過向受害者系統中植入并啟用木馬程式，在使用者不知情的情況下，竊取敏感資訊，或者提供遠端通路的入口

Ø木馬程式好比潛伏在計算機中的電子間諜，通常僞裝成合法的系統檔案，具有較強的隐蔽性、期騙性

Ø常用的木馬有“網銀大盜、QQ終結者、冰河、上新、廣外女生、網絡神偷”等

4、病毒、惡意程式

Ø病毒、惡意程式的主要目的是破壞，而不是竊取資訊

Ø病毒程式具有自我複制和傳染能力，可能通過電子郵件、圖檔、視訊、軟體、CD光牒等途徑進行傳播

Ø常用病毒“CIH病毒、千年蟲、沖擊波、紅色代碼、熊貓燒香”等

5、系統掃描

Ø掃描還算不上是真正的攻擊，而更像是攻擊的前奏，指的是利用工具軟體來探測目标網絡或主機的過程

Ø掃描可以擷取目标的系統類型、軟體版本、端口開放情況，發現已幫或潛在的漏洞

Ø常見的掃描工具“PortScan、X-Scan、流光、Nessus”等

6、Dos（拒絕服務）

Ø全稱為Denial of Service，名稱來源于攻擊結果，指的是無論通過何種方式，最終導緻目标系統崩潰、失去響應，進而無法正常提供服務或資源通路的情況

ØDos攻擊中比較常見的是洪水方式，如“Syn Flood、Ping Flood”。Syn Flood通過向目标發送大量的TCP請求，耗盡了對方的連接配接資源，進而無法提供正常的服務

Ø威力更大的DDos攻擊，即Distributed Denialof Service（分布式拒絕服務），這種方式的攻擊方法不再是一台主機，數量上呈現規模化，可能是分布在不同網絡，不同位置的成千上萬的主機（通常稱為“殭屍電腦”）

7、網絡釣魚

Ø網絡釣魚是引用受害者通路僞造的網站，以便收集使用者名、密碼信用卡資料等敏感資訊

Ø從外觀上看，攻擊者僞造的網站與真正的銀行網站幾乎一模一樣，網站域名也比較相似

8、ARP欺騙、中間人攻擊

Ø主要是針對區域網路環境，攻擊的對象為目标主機的ARP快取記錄，通過發送錯誤的IP/MAC位址映射表幹擾通信

三、惡意程式攻擊示例

消除惡意程式

删除檔案C:\Windows\System32\rundll32.bat

運作gpedit.msc組政策編輯器

   # 使用者配置-->管理模闆-->系統，将“阻止通路系統資料庫工具”設為“已禁用”

   # 使用者配置-->管理模闆-->Windows元件-->Internet Explorer，将“禁止更改首頁設定”設為“已禁用”

編輯系統資料庫，删除開機啟動項“ctfmom”

重新打開Internet Explorer浏覽器，修複首頁設定

四、設定IPsec加密的方法

找開控制台，mmc→→選擇“檔案”，添加管理單元→→添加IP安全政策→→建立IP安全政策→→根據環境需求定制協定加密