第1章-安全导论

一、信息安全概述

Ø一个完整的信息系统包括底层的各种硬件设备操作系统、以及各种应用程序网络服务等,也包括使用或管理该系统的用户

Ø因此,信息安全也必然是全方位、多角度的,任何一个环节的弱点都可能导致整个信息系统不堪一击

(1)、安全的基本分类

1、物理安全

Ø物理安全考虑的对象主要是各种硬件设备,机房环境等物质载体,也可以理解为为硬件安全

Ø硬件设施是承载和实现信息系统功能的基础条件,因此物理安全也是最直接、最原始的***对象

【加强物理安全的常见措施】

存放位置、设备冗余、硬件设置、人员管理

2、系统安全

Ø系统安全考虑的对象主要是操作系统,包括windows/Linux/Unix,以及路由交换设备的IOS等

Ø操作系统承担着协调CPU、内存、磁盘存储等硬件资源,为用户提供应用环境和服务的核心任务,因此是信息安全中最核心的***对象

【加强系统安全的常见措施】

系统(软件漏洞)、账号和权限管理、软件服务管理

系统清理及备份、故障转移(隔离)

3、网络安全

Ø网络安全考虑的对象主要是面向网络的访问控制

Ø各种路由交换设备、服务器、工作站等并不是孤立的个体,而是通过网络来提供服务的

Ø排除掉物理***的情况,实际上90%以上的安安全风险和***都来自于网络

【加强网络安全的常见措施】

端口过滤、远程管理、伪装技术、加密传输

应用系统防护、防火墙策略、***检测

4、数据安全

Ø数据安全考虑的对象主要是电子数据,包括文本、图片、报表、数据库等各种需要保密的文档信息

Ø当然,数据安全的防护等级取决于用户的需求,对于越重要、越敏感的数据资料,越应该采取强力的保护和授权措施

【加强数据安全的常见措施】

数据备份、数据加密、存取权限控制、人员管理

(2)、安全评估标准

信息安全评估主要包括以下工作:

明确安全现状、确定安全风险、为企业的安全体系建设提供指导

1、TCSEC,可信计算机安全评估标准

全称为Trusted Computer System Evaluation Criteria,是计算机系统安全评估的第一个正式标准,由美国国防部于1985年12月正式发布,也称为桔皮书

【TCSEC的四个安全等级】

   D类,无保护级:安全性最低,不适合在用户环境下使用

   C类,自主保护级:通过将用户和数据资源分离,为多用户环境中的敏感数据提供基本的保护

   B类,强制保护级:启用强制性的访问控制策略,所有未明确授权的访问都被拒绝

   A类,验证保护级:安全性最高,信息系统的设计者必须按照一个正式的规范来 分析,实施和维护系统

2、ISO/IFC 15408、GB/T 18336-2008,信息技术安全性评估准则

由ISO(International StandardizationOrganization,国际标准化组织)于1999年12月正式发布,是第一个国际通用的计算机安全评估标准

【计算机信息系统安全保护等级划分准则】

   第一级,用户自主保护级

   第二级,系统审计保护级

   第三级,安全标记保护级

   第四级,结构化保护级

   第五级,访问验证保护级

3、GB/T 202xx-2006、GB/T 209xx-2007、GB/T 210xx-2007系列

在国内的安全评估领域,以国家标准GB/T 17859-1999、GB/T 18336-2001为基础,此后还陆续出台了一系列的细化准则

二、常见的安全风险

(1)、***方法介绍

1、利用漏洞

Ø通过特定的操作过程,或使用专门的漏洞***程序,利用现有操作系统,应用软件中的漏洞,来侵入受害系统或获取特殊权限

Ø溢出***也属于漏洞利用的一种,这种***通过向程序提交超过期望长度的数据,结合特定的***编码,可以导致受害系统崩溃

ØSQL注入是一种典型的网页代码漏洞利用

2、暴力破解

Ø多用于密码***领域,也就是使用各种不同的密码组合反复进行验证,直到找到正确的密码

Ø暴力破解也称“密码穷举”,用来尝试的所有密码集合称为“密码字典”

3、***植入

Ø通过向受害者系统中植入并启用***程序,在用户不知情的情况下,窃取敏感信息,或者提供远程访问的入口

Ø***程序好比潜伏在计算机中的电子间谍,通常伪装成合法的系统文件,具有较强的隐蔽性、期骗性

Ø常用的***有“网银大盗、QQ终结者、冰河、上新、广外女生、网络神偷”等

4、病毒、恶意程序

Ø病毒、恶意程序的主要目的是破坏,而不是窃取信息

Ø病毒程序具有自我复制和传染能力,可能通过电子邮件、图片、视频、软件、光盘等途径进行传播

Ø常用病毒“CIH病毒、千年虫、冲击波、红色代码、熊猫烧香”等

5、系统扫描

Ø扫描还算不上是真正的***,而更像是***的前奏,指的是利用工具软件来探测目标网络或主机的过程

Ø扫描可以获取目标的系统类型、软件版本、端口开放情况,发现已帮或潜在的漏洞

Ø常见的扫描工具“PortScan、X-Scan、流光、Nessus”等

6、Dos(拒绝服务)

Ø全称为Denial of Service,名称来源于***结果,指的是无论通过何种方式,最终导致目标系统崩溃、失去响应,从而无法正常提供服务或资源访问的情况

ØDos***中比较常见的是洪水方式,如“Syn Flood、Ping Flood”。Syn Flood通过向目标发送大量的TCP请求,耗尽了对方的连接资源,从而无法提供正常的服务

Ø威力更大的DDos***,即Distributed Denialof Service(分布式拒绝服务),这种方式的***方法不再是一台主机,数量上呈现规模化,可能是分布在不同网络,不同位置的成千上万的主机(通常称为“肉鸡”

7、网络钓鱼

Ø网络钓鱼是引用受害者访问伪造的网站,以便收集用户名、密码信用卡资料等敏感信息

Ø从外观上看,***者伪造的网站与真正的银行网站几乎一模一样,网站域名也比较相似

8、ARP欺骗、中间人***

Ø主要是针对局域网环境***的对象为目标主机的ARP缓存表,通过发送错误的IP/MAC地址映射表干扰通信

三、恶意程序***示例

123428348.jpg


消除恶意程序

删除文件C:\Windows\System32\rundll32.bat

运行gpedit.msc组策略编辑器

   # 用户配置-->管理模板-->系统,将“阻止访问注册表工具”设为“已禁用”

   # 用户配置-->管理模板-->Windows组件-->Internet Explorer,将“禁止更改主页设置”设为“已禁用”

编辑注册表,删除开机启动项“ctfmom”

重新打开Internet Explorer浏览器,修复主页设置

四、设置IPsec加密的方法

找开控制台,mmc→→选择“文件”,添加管理单元→→添加IP安全策略→→创建IP安全策略→→根据环境需求定制协议加密