【信息安全技术及应用】系统安全防护技术

版权声明:www.dongjinbao.com https://blog.csdn.net/JinbaoSite/article/details/70244243

一、安全扫描技术

1.1 安全扫描技术概念

1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。

2、安全扫描技术分为系统扫描和网络扫描两大类。
(1)系统扫描:侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与待查系统处于同一结点,进行自身检查。
(2)网络扫描:侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与待查系统处于不同结点,通过网络远程探测目标结点,寻找安全漏洞。

3、安全扫描的目的:通过特定的手段和方法发现系统或网络存在的隐患,及时修补漏洞或利用漏洞攻击敌方。

4、安全扫描技术可以有效地提高安全性:
(1)提前告警存在的漏洞,从而预防入侵和误用。
(2)检查系统中由于入侵或误操作产生的新漏洞。

1.2 安全扫描技术分析

1、扫描器工作流程:
(1)发现目标主机或网络。
(2)发现目标后,进一步发现目标系统类型及配置等信息,包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设置及网络主机等。
(3)测试哪些服务具有安全漏洞。

2、端口扫描技术:
(1)根据扫描方法不同,端口扫描技术可分为:全开扫描、半开扫描、秘密扫描和区段扫描。
(2)这几种扫描方法都可以用来查找服务器打开的端口,从而发现服务器对外开放的服务。
(3)能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。

3、全开扫描:
(1)通过与目标主机建立标准的TCP连接(3次握手),检查目标主机相应端口是否打开。
(2)优点:快速、准确、不需要特殊权限。
(3)缺点:很容易被检测到。

4、半开扫描:(SYN扫描)
(1)“半开”含义:client端在TCP三次握手尚未完成就单方面终止连接过程。
(2)由于完整连接尚未建立,通常不会被server方记录下来。同时也可避开部分IDS的监测。

5、秘密扫描:
(1)秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多,以SYN|ACK扫描为例说明。
(2)SYN|ACK扫描省掉了三次握手的第一步,直接发送SYN|ACK包到server端,根据server 的应答推测端口是否打开。

6、系统类型测试技术:
(1)由于许多安全漏洞都与操作系统密切相关,所以探测系统类型对于攻击者很重要。
(2)攻击者先收集目标系统的信息并存储,当某一系统的新漏洞被发现,就可在存储的信息中查找,并对匹配的系统进行攻击。
(3)检测系统类型主要有三种方法:系统旗标、DNS信息、TCP/IP堆栈指纹。

7、系统旗标:利用系统服务给出的信息,如:telnet、ftp、www、mail等。最简单的检测方法就是直接登录该系统提供的服务。

8、DNS信息:主机信息有时可能通过DNS记录泄露。

9、TCP/IP堆栈指纹:操作系统在实现TCP/IP协议时的一些特有的实现特征,处在系统底层,修改困难。

二、病毒防治技术

2.1 病毒的概念与起源

1、具有传染和破坏的特征,与生物医学上的”病毒”在很多方面都很相似,习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。

2、从广义上讲,凡能够引起计算机故障、破坏或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。

2.2 病毒的主要特征

1、传染性
(1)这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
(2)计算机病毒程序代码一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
(3)正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

2、隐蔽性
(1)病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方,用户很难发现它的存在。
(2)如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,受到感染的计算机系统通常仍能正常运行,用户不会感到异常。
(3)现在的计算机病毒一般都具有很强的反侦察能力。
(4)计算机病毒一旦被发现会迅速出现变种。

3、潜伏性:
大部分病毒感染系统之后一般不会马上发作,长期隐藏在系统中悄悄地进行繁殖和扩散,只有在满足特定条件时才启动其表现(破坏)模块。

4、破坏性(表现性):
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。

5、不可预见性:
从病毒的检测来看,不同种类的病毒,代码千差万别,甚至某些正常程序也借鉴病毒的技术。

6、触发性:
满足传染触发条件时,病毒的传染模块会被激活,实施传染操作。满足表现触发条件时,病毒的表现模块会被激活,实施表现或破坏操作。

7、针对性:
有一定的环境要求,并不一定对任何系统都能感染。

2.3 病毒的一般结构与作用机理

1、病毒的一般结构:
(1)计算机病毒代码的结构一般包括三大功能模块,即引导模块传染模块破坏(表现)模块。其中,后两个模块各包含一段触发条件检查代码,分别检查是否满足传染触发条件和表现触发条件。
(2)引导模块将病毒由外存引入内存,使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用。

2、病毒的作用机理:
(1)计算机病毒有两种状态,静态和动态。
(2)静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒,它没有被加载状态,不能执行病毒的传染和破坏功能。
(3)动态病毒是指已进入内存,正处于运行状态,它时刻监视系统的运行状态,一旦传染条件满足,即调用传染代码和破坏代码.使病毒得以扩散。
(4)计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽,引导模块被执行,病毒由静态变为动态。

3、病毒工作流程

2.4 蠕虫病毒

1、蠕虫病毒:是一种通过网络传播的恶性病毒,除具有病毒的一般共性外,还具有自己的特征,下表列出了蠕虫病毒与普通病毒的主要区别。

2、蠕虫病毒的传播途径:
(1)操作系统和系统软件的漏洞:网络共享、域名解析、IE、RPC、IIS、SQL Server等。
(2)应用软件的漏洞:Office、Adobe Reader、QQ、MSN
(3)电子邮件:钓鱼邮件、邮件客户端软件。

3、蠕虫病毒的危害:
(1)蠕虫大量且快速的复制会占用大量网络带宽,造成网络拥塞甚至瘫痪。
(2)感染主机的系统管理员权限将被窃取。

4、蠕虫病毒的一般结构:
(1)传播模块:负责蠕虫的传播。
(2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。有些会主动攻击安全系统。
(3)目的功能模块:实现对计算机的控制、监视、窃取和破坏等功能。

5、蠕虫病毒的传播过程:
传播模块:由扫描模块、攻击模块和复制模块组成。
(1)扫描模块:探测存在漏洞的主机。当向某主机发探测信息并成功收到反馈后,就得到一个可传播对象。
(2)攻击模块:按漏洞攻击步骤自动攻击找到的对象,取得该主机的权限,获得一个shell。
(3)复制模块:通过主机间的交互复制蠕虫程序并修改注册表得以启动。

6、蠕虫病毒防治
(1)正确配置操作系统和系统软件。
(2)经常进行操作系统和系统软件的升级。
(3)使用正版杀毒软件并保持病毒库最新。
(4)不要打开不明身份的邮件。
(5)留意权威网站的安全公告。

三、黑客攻击方法与防范

3.1 黑客攻击套路

1、确定攻击目标:
(1)使用Google搜索漏洞信息:操作系统漏洞、Web服务器漏洞、数据库漏洞、开发工具漏洞等。
(2)使用Google搜索敏感信息:口令文件、财务信息、安全工具扫描报告等。

2、收集目标信息:
(1)通过公开渠道、各种工具和技巧,黑客可以获得目标的详细资料,特别是关于安全防御体系的信息。
(2)互联网信息:域名及IP地址块、可直接访问的IP、操作系统类型、系统上运行的TCP和UDP服务、访问控制等。
(3)内部网信息:内网结构、组网协议、IP地址块、VPN协议、身份认证方法等。

3、寻找目标漏洞:
(1)使用工具进行端口扫描:确定目标系统上有哪些端口处于LISTENING状态。
(2)使用工具进行端口服务扫描:确定目标系统上开启了哪些服务。
(3)使用工具探查操作系统细节:版本号、提供的各种服务名称等。

4、进行攻击:
系统攻击、网络攻击、软件攻击。

3.2 黑客攻击手段及防范措施

1、系统攻击:取得合法身份前的攻击手段

2、网络攻击:
(1)攻击网络设备。
(2)无线攻击
(3)攻击防火墙
(4)拒绝服务攻击

3、软件攻击
(1)缓冲区溢出攻击
(2)Web攻击
(3)攻击互联网用户

四、安全审计

1、从抽象意义上讲,计算机安全审计与传统金融和管理审计的过程完全相同,即产生、记录并检查按时间顺序排列的系统事件的过程。

2、计算机安全审计:通过一定的策略,利用记录和分析历史操作事件,发现系统的漏洞并改进系统性能和安全性。

3、安全审计的目标:
(1)对潜在的攻击者起到震慑和告警作用。
(2)对已发生的系统破坏行为,提供有效的追究责任的证据。
(3)为系统管理员提供有价值的系统使用日志,帮助管理员及时发现入侵行为或潜在的系统漏洞。

4、安全审计的组成:审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程应包括审计发生器日志记录器日志分析器报告机制等部分。

5、审计发生器:在信息系统中各事件发生时,将这些事件的关键要素进行抽取并形成可记录的素材。

6、日志记录器:将审计发生器抽取的事件素材记录到制定位置上从而形成日志文件。

7、日志分析器:根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。

8、对于一个事件,日志应包括事件发生的时间引发事件的用户事件类型事件成败等。

五、访问控制技术

1、访问控制(Access Control):规范用户的访问行为。解决是否可以访问,如何访问的问题。

2、访问控制构成要素:
(1)主体:提出访问请求,如用户或其启动的进程、服务等。
(2)客体:被访问对象,如信息、文件等集合体或网络设备等。
(3)控制策略:主体对客体访问规则的集合,体现了授权。

3、访问控制的主要功能:
(1)保证合法主体访问受保护的网络资源
(2)防止非法主体进入受保护网络资源
(3)防止合法主体对受保护网络资源进行非授权访问。

4、访问控制的内容:
(1)认证:主客体之间进行身份鉴别,确定主体是谁。
(2)控制策略:通过合理设定控制规则,确保用户对信息资源在授权范围内的合法使用,同时防止非法用户侵权进入系统。还要防止合法用户的越权行为。
(3)安全审计:系统自动根据用户访问权限,对计算机网络环境下的有关活动进行系统、独立地检查验证,并做出相应评价与审计。

5、访问控制的类型
(1)自主访问控制(DAC):一种接入控制服务,通过执行系统实体到系统资源的接入授权,用户有权对其创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回。允许访问对象的属主制定针对该对象的访问控制略,通常,通过访问控制列表来限定针对客体可执行的操作。
(2)强制访问控制(MAC):指系统强制主体服从访问控制策略。由系统对用户所创建的对象,按照既定规则进行访问控制。
(3)基于角色的访问控制(RBAC):通过对角色访问进行控制,使权限与角色相关联,用户通过成为适当角色成员而得到角色的权限。

6、RBAC支持的三个著名安全原则:
(1)最小权限原则:将角色配成完成任务所需的最小权限集。
(2)责任分离原则:让独立、互斥的角色协同完成特定任务。
(3)数据抽象原则:通过权限的抽象控制一些操作,如财务上的借、贷等抽象权限,非操作系统提供的典型权限。

7、访问控制实现机制
(1)访问控制列表(ACL):
以文件为中心建立访问权限表,表中记载了可访问该文件的用户名和权限。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。
(2)能力关系表:
以用户为中心建立访问权限表。与ACL相反,表中规定了用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。

六、防火墙技术

1、防火墙从本质上讲是一种访问控制系统,除了可以用来保护与互连网相连的内部网外,还可以用于保护其他网络对象,如子网或主机。

2、防火墙示意图

3、防火墙定义:防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时,由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。

4、防火墙的目的是控制网络传输,这一点与其他网络设备一致。但与其他设备不同的是:防火墙必须考虑到不是所有的分组数据都是表里如一。

5、防火墙的设计目标:
(1)所有内外网之间的通信量都必须经过防火墙,即从物理上阻塞所有不经过防火墙的网络访问通道,有不同的配置方法可实现这一目标。
(2)只有被认可的通信量,通过本地安全策略进行定义后,才允许通过防火墙。
(3)防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。

6、防火墙使用的通用技术:
(1)服务控制:确定可访问的Internet服务的类型,入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
(2)方向控制:确定特定的服务请求可以发起并允许通过防火墙的流动方向。
(3)行为控制:控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地WWW服务器的一部分信息。
(4)用户控制:根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户(本地用户),也可以应用于来自外部用户的进入通信量;后一种情况要求某种类型的安全鉴别技术。

7、防火墙的主要功能:
(1)防火墙定义了单个阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络。
(2)防火墙提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
(3)防火墙是一些与安全无关的Internet功能的方便的平台。如:网络地址转换。
(4)防火墙可以用作VPN的平台。

8、防火墙的局限性:
(1)防火墙不能对绕过防火墙的攻击提供保护。
(2)防火墙不能对内部的威胁提供支持,例如心怀不满的雇员或不自觉地与外部攻击者合作的雇员。
(3)防火墙不能对病毒感染的程序或文件的传输提供保护。由于边界内部支持的操作系统和应用程序的不同性,采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。

9、防火墙一般结构

阅读更多
换一批

没有更多推荐了,返回首页