第1章-安全導論
一、資訊安全概述
Ø一個完整的資訊系統包括底層的各種硬體裝置、作業系統、以及各種應用程式、網絡服務等,也包括使用或管理該系統的使用者
Ø是以,資訊安全也必然是全方位、多角度的,任何一個環節的弱點都可能導緻整個資訊系統不堪一擊
(1)、安全的基本分類
1、實體安全
Ø實體安全考慮的對象主要是各種硬體裝置,機房環境等物質載體,也可以了解為為硬體安全
Ø硬體設施是承載和實作資訊系統功能的基礎條件,是以實體安全也是最直接、最原始的攻防對象
【加強實體安全的常見措施】
存放位置、裝置備援、硬體設定、人員管理
2、系統安全
Ø系統安全考慮的對象主要是作業系統,包括windows/Linux/Unix,以及路由交換裝置的IOS等
Ø作業系統承擔着協調CPU、記憶體、磁盤存儲等硬體資源,為使用者提供應用環境和服務的核心任務,是以是資訊安全中最核心的攻防對象
【加強系統安全的常見措施】
系統(軟體漏洞)、賬号和權限管理、軟體服務管理
系統清理及備份、故障轉移(隔離)
3、網絡安全
Ø網絡安全考慮的對象主要是面向網絡的通路控制
Ø各種路由交換裝置、伺服器、工作站等并不是孤立的個體,而是通過網絡來提供服務的
Ø排除掉實體攻擊的情況,實際上90%以上的安安全風險和攻擊都來自于網絡
【加強網絡安全的常見措施】
端口過濾、遠端管理、僞裝技術、加密傳輸
應用系統防護、防火牆政策、入侵檢測
4、資料安全
Ø資料安全考慮的對象主要是電子資料,包括文本、圖檔、報表、資料庫等各種需要保密的文檔資訊
Ø當然,資料安全的防護等級取決于使用者的需求,對于越重要、越敏感的資料資料,越應該采取強力的保護和授權措施
【加強資料安全的常見措施】
資料備份、資料加密、存取權限控制、人員管理
(2)、安全評估标準
資訊安全評估主要包括以下工作:
明确安全現狀、确定安全風險、為企業的安全體系建設提供指導
1、TCSEC,可信計算機安全評估标準
全稱為Trusted Computer System Evaluation Criteria,是計算機系統安全評估的第一個正式标準,由美國國防部于1985年12月正式釋出,也稱為桔皮書
【TCSEC的四個安全等級】
D類,無保護級:安全性最低,不适合在使用者環境下使用
C類,自主保護級:通過将使用者和資料資源分離,為多使用者環境中的敏感資料提供基本的保護
B類,強制保護級:啟用強制性的通路控制政策,所有未明确授權的通路都被拒絕
A類,驗證保護級:安全性最高,資訊系統的設計者必須按照一個正式的規範來 分析,實施和維護系統
2、ISO/IFC 15408、GB/T 18336-2008,資訊技術安全性評估準則
由ISO(International StandardizationOrganization,國際标準化組織)于1999年12月正式釋出,是第一個國際通用的計算機安全評估标準
【計算機資訊系統安全保護等級劃分準則】
第一級,使用者自主保護級
第二級,系統審計保護級
第三級,安全标記保護級
第四級,結構化保護級
第五級,通路驗證保護級
3、GB/T 202xx-2006、GB/T 209xx-2007、GB/T 210xx-2007系列
在國内的安全評估領域,以國家标準GB/T 17859-1999、GB/T 18336-2001為基礎,此後還陸續出台了一系列的細化準則
二、常見的安全風險
(1)、攻擊方法介紹
1、利用漏洞
Ø通過特定的操作過程,或使用專門的漏洞攻擊程式,利用現有作業系統,應用軟體中的漏洞,來侵入受害系統或擷取特殊權限
Ø溢出攻擊也屬于漏洞利用的一種,這種攻擊通過向程式送出超過期望長度的資料,結合特定的攻擊編碼,可以導緻受害系統崩潰
ØSQL注入是一種典型的網頁代碼漏洞利用
2、暴力破解
Ø多用于密碼攻擊領域,也就是使用各種不同的密碼組合反複進行驗證,直到找到正确的密碼
Ø暴力破解也稱“密碼窮舉”,用來嘗試的所有密碼集合稱為“密碼字典”
3、木馬植入
Ø通過向受害者系統中植入并啟用木馬程式,在使用者不知情的情況下,竊取敏感資訊,或者提供遠端通路的入口
Ø木馬程式好比潛伏在計算機中的電子間諜,通常僞裝成合法的系統檔案,具有較強的隐蔽性、期騙性
Ø常用的木馬有“網銀大盜、QQ終結者、冰河、上新、廣外女生、網絡神偷”等
4、病毒、惡意程式
Ø病毒、惡意程式的主要目的是破壞,而不是竊取資訊
Ø病毒程式具有自我複制和傳染能力,可能通過電子郵件、圖檔、視訊、軟體、CD光牒等途徑進行傳播
Ø常用病毒“CIH病毒、千年蟲、沖擊波、紅色代碼、熊貓燒香”等
5、系統掃描
Ø掃描還算不上是真正的攻擊,而更像是攻擊的前奏,指的是利用工具軟體來探測目标網絡或主機的過程
Ø掃描可以擷取目标的系統類型、軟體版本、端口開放情況,發現已幫或潛在的漏洞
Ø常見的掃描工具“PortScan、X-Scan、流光、Nessus”等
6、Dos(拒絕服務)
Ø全稱為Denial of Service,名稱來源于攻擊結果,指的是無論通過何種方式,最終導緻目标系統崩潰、失去響應,進而無法正常提供服務或資源通路的情況
ØDos攻擊中比較常見的是洪水方式,如“Syn Flood、Ping Flood”。Syn Flood通過向目标發送大量的TCP請求,耗盡了對方的連接配接資源,進而無法提供正常的服務
Ø威力更大的DDos攻擊,即Distributed Denialof Service(分布式拒絕服務),這種方式的攻擊方法不再是一台主機,數量上呈現規模化,可能是分布在不同網絡,不同位置的成千上萬的主機(通常稱為“殭屍電腦”)
7、網絡釣魚
Ø網絡釣魚是引用受害者通路僞造的網站,以便收集使用者名、密碼信用卡資料等敏感資訊
Ø從外觀上看,攻擊者僞造的網站與真正的銀行網站幾乎一模一樣,網站域名也比較相似
8、ARP欺騙、中間人攻擊
Ø主要是針對區域網路環境,攻擊的對象為目标主機的ARP快取記錄,通過發送錯誤的IP/MAC位址映射表幹擾通信
三、惡意程式攻擊示例
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiInBnaugDNzgjM0MjMx8CX3AzMxAjMvwFduVWboNWY0RXYvwVbvNmLvR3YxUjL1M3Lc9CX6MHc0RHaiojIsJye.jpg)
消除惡意程式
删除檔案C:\Windows\System32\rundll32.bat
運作gpedit.msc組政策編輯器
# 使用者配置-->管理模闆-->系統,将“阻止通路系統資料庫工具”設為“已禁用”
# 使用者配置-->管理模闆-->Windows元件-->Internet Explorer,将“禁止更改首頁設定”設為“已禁用”
編輯系統資料庫,删除開機啟動項“ctfmom”
重新打開Internet Explorer浏覽器,修複首頁設定
四、設定IPsec加密的方法
找開控制台,mmc→→選擇“檔案”,添加管理單元→→添加IP安全政策→→建立IP安全政策→→根據環境需求定制協定加密