1、信息技术0102信息安全基础信息安全概述信息安全策略01信息安全概述信息安全的含义及我们面临的挑战1 信息安全是指为防止意外事故和恶意攻击而对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护。信息安全的含义12345信息安全的现状及面临的挑战01信息安全概述信息安全的特性及风险评估2(1)保密性。当数据离开一个特定系统,例如网络中的服务器,就会暴露在不可信的环境中。保密性服务就是通过加密算法对数据进行加密,以确保其即使处于不可信环境中也不会泄露。(2)完整性。完整性服务用于保护数据免受非授权的修改。数据在传输过程中会处于很多不可信的环境,其中一些攻击者
2、会试图对数据进行恶意修改。(3)可用性。可用性服务用于保证合法用户对信息和资源的使用不会被不正当地拒绝,即当需要时能够正常存取和访问信息。各种对网络的破坏、身份否认、拒绝以及延迟使用都会破坏信息的可用性。(4)可控性。可控性的关键是对网络中的资源进行标识,通过身份标识达到对用户进行认证的目的。一般系统会通过使用“用户所知”或“用户所有”来对用户进行标识,从而验证用户是否是其声称的身份。(5)不可否认性。不可否认性服务用于追溯信息或服务的源头,这里有个重要的概念:数字签名。数字签名技术可以使其信息具有不可替代性,而信息的不可替代性可以导致两种结果:在认证过程中,双方通信的数据可以不被恶意的第三方
3、肆意更改;信息具有高认证性,并且不会被发送方否认。信息安全的特性01信息安全概述信息安全的特性及风险评估2(1)信息资产确定。信息资产大致分为物理资产、知识资产、时间资产和名誉资产四类。1)物理资产:是指具有物理形态的资产。例如:服务器、网络连接设备、工作站等。2)知识资产:其可以以任意的信息形式存在。例如:一些系统软件、数据库或者组织内部的电子邮件等。3)时间资产:对于组织与企业来说,时间也属于一种宝贵的财产。4)名誉资产:公众对于一个企业的看法与意见也可以直接影响其业绩,所以名誉也属于一种重要的资产,需要被保护。(2)信息安全评估。信息安全要根据安全漏洞、安全威胁和安全风险三者的关系进行评
4、估。安全威胁是一系列可能被利用的隐患,安全漏洞存在于系统之中,可以用于越过系统的安全防护,当安全漏洞与安全威胁同时存在时就会存在安全风险。信息安全风险评估保证信息安全的法律法规102信息安全策略我国信息安全法律法规的发展和完善自1994 年我国颁布第一部有关信息安全的行政法规计算机信息系统安全保护条例以来,伴随着信息技术特别是互联网技术的飞速发展,我国在信息安全领域的法制建设工作取得了令人瞩目的成绩,涉及信息安全的法律法规体系已经基本形成,主要包括以下几个层面:(1)信息安全相关法律。最主要的就是宪法刑法,此外还有保守国家秘密法专利法著作权法电子签名法电子商务法等。(2)信息安全相关行政法规。
5、行政法规是指国务院为执行宪法和法律而制定的法律规范。信息安全相关行政法规主要有计算机信息系统安全保护条例计算机信息网络国际联网管理暂行规定商用密码管理条例电信条例互联网信息服务管理办法计算机软件保护条例互联网上网服务营业场所管理条例,等等。(3)信息安全方面的相关部门章程。如公安部出台的计算机信息系统安全专用产品检测和销售许可证管理办法计算机信息网络国际联网安全保护管理办法、文化部出台的互联网文化管理暂行规定等。(4)信息安全地方相关法规。如北京市政务与公共服务信息化工程建设管理办法辽宁省计算机信息系统安全管理条例等。法律法规的约束 信息安全相关法律法规不仅仅是打击信息违法犯罪的有力武器,它对
6、我们每一名公民也同样有着相关行为的约束力。正如“任务引入”中介绍的案例,我们每个人都有可能接触到相关情况,我们要学法、懂法,既要自由遨游在信息的海洋中,也要学会用法律武器保护自己的合法权益。近几年出台的网络安全法通信短信服务管理规定互联网用户账号名称管理规定App 违法违规收集使用个人信息行为认定方法等法律法规,和我们每个人都是息息相关的。保证信息安全的法律法规102信息安全策略信息安全等级保护机制 信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统的安全保护等级分为以
7、下五级(一至五级等级逐级增高):第一级,信息系统受到破坏后,会对自然人、法人和非法人组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级,信息系统受到破坏后,会对自然人、法人和非法人组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级,信息系统受到破坏后,会对社会
8、秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。网络安全与攻击防范202信息安全策略网络安全的重要性和意义(1)从不同角度看网络安全。1)从用户(个人、企业等)角度来看,他们希望涉及个人隐私或商业利益的信息在网络上传输时其机密性、完整性和真实性能够受到保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段访问和破坏,侵犯用户的利益和隐私。2)从网络运行和管理者角度来看,他们希望对本地网络
9、信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。3)从安全保密部门角度来看,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。4)从社会教育和意识形态角度来看,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。(2)网络安全的需求。1)敏感信息对安全的需求。对涉及产权信息,政府、企业、团体、个人的机密信息和隐私信息等进行保护。2)网络应用对安全的需求。各种各样的网络应用需要可用性、完整性、非否认性、真实性、可控
10、性和可审查性等方面的保护。网络安全与攻击防范202信息安全策略网络安全基本防护措施(1)物理安全。包括物理访问控制措施、敏感设备的保护、环境控制等。(2)人员安全。包括对工作岗位敏感性的划分、雇员的筛选,同时包括对人员的安全培训。(3)管理安全。包括对进口软件和硬件的控制、安全事件的调查、安全责任的追查等。(4)媒体安全。信息存储媒体(介质)的安全防护。(5)辐射安全。对射频及其他电磁辐射进行控制。(6)生命周期控制。对系统的设计、实施、评估进行保护,对程序的设计标准和日志记录进行控制。网络的脆弱性(1)终端硬件系统的脆弱性。终端硬件系统缺乏专门的安全设计,体系结构简化,导致资源被随意使用。(
11、2)操作系统的脆弱性。操作系统不安全,是计算机不安全的根本原因。(3)网络系统的脆弱性。网络体系结构各个层次都存在安全问题,还有计算机硬件系统的故障、软件本身的“后门”、软件的漏洞等。(4)数据库管理系统的脆弱性。DBMS 往往达不到应有的安全级别。(5)防火墙的局限性。防火墙一般仅在网络层设防,在外围对非法用户和越权访问进行封堵。(6)天灾人祸。如地震、雷击等,轻则造成工作混乱,重则导致系统中断或造成无法估量的损失。(7)安全管理不到位。管理不完善也会带来重大的安全隐患。典型的攻击与应对措施302信息安全策略攻击及其相关概念 攻击:是指在未授权的情况下访问系统资源或阻止授权用户正常访问系统资
12、源。攻击者:是指实施攻击行为的主体,可以是一个个体,也可以是一个团体。攻击的类型:军事情报攻击、商业金融攻击、恐怖袭击、基于报复的攻击、以炫耀为目的的攻击等。安全事件 扫描:就是动态地探测系统中开放的端口,通过分析端口对某些数据包的响应来收集网络和主机的情况。非授权访问:是指越过访问控制机制,在未授权的情况下对系统资源进行访问,或是非法获得合法用户的访问权限后对系统资源进行访问。恶意代码:可以是一个程序、一个进程,也可以是其他的可执行文件,其共同特征是可以引发对系统资源的非授权修改或其他的非授权行为。常见的恶意代码有病毒、蠕虫、木马、网络控件。拒绝服务:破坏数据的可用性,造成系统停止工作或瘫痪
13、。典型的攻击与应对措施302信息安全策略常见的攻击方式及应对措施(1)后门攻击。后门攻击是指通过后门绕过软件的安全性控制从而获取程序或系统访问权的方法。后门攻击程序的编写者能够利用后门获取非授权的数据。预防后门攻击最好的方法就是通过加强控制和安全关联测试来检验后门是否存在,并在发现后门时及时采取措施。(2)暴力攻击。暴力攻击是指通过尝试系统可能使用的所有字符组合来猜测系统口令。预防暴力攻击,就要小心保管系统口令并在系统中设置允许输入口令次数的最大值,若超过这个数值,账号就会被自动锁定。同时要对登录行为进行日志记录,可以在日后用于调查。(3)缓冲区溢出。缓冲区溢出是指使存储的字符串长度超过目标缓
14、冲区存储空间而覆盖在合法数据上进行攻击。该攻击方式一般有以下两种具体攻击方法:植入法:攻击者向被攻击的程序输入一串字符串,程序会将这个字符串放到缓冲区,字符串内包含的可能是被攻击平台的指令序列。缓冲区可以设在任何地方,如堆栈、堆或静态存储区。利用已经存在的代码:很多时候,攻击者需要的代码已经存在于被攻击的程序中,攻击者要做的就是传递一些参数。应对缓冲区溢出的措施有数组边界检查、将缓冲区属性设为不可执行、保护缓冲区返回地址等。(4)拒绝服务攻击。拒绝服务攻击是指摧毁系统的可用性,导致系统过于繁忙以至于没有能力去响应合法的请求。应对拒绝服务攻击的措施有:安装入侵检测系统,检测拒绝服务攻击行为;安装
15、安全评估系统,先于入侵者进行模拟攻击,以便及早发现问题并解决;安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包。典型的攻击与应对措施302信息安全策略常见的攻击方式及应对措施(5)中间人攻击。中间人攻击是指通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,然后用这台计算机模拟一台或两台原始计算机,使“中间人”(入侵者放置的计算机)能够与原始计算机建立活动连接,而两台原始计算机用户却意识不到“中间人”的存在,只以为是和彼此进行通信。我们熟悉的ARP 攻击就是中间人攻击。防止中间人攻击的方法有两种:第一种是建设安全可靠的点对点连接,这样就排除了其他任
16、何设备的介入;第二种是只使用可信的安全网关进行通信。如果通信环境复杂可以采取跳板技术、随机扰码等技术手段增加安全性。(6)社会工程学攻击。社会工程学攻击是指利用被攻击者的心理弱点、本能反应、好奇心、信任、贪婪等,以交谈、欺骗、假冒等方式,从合法用户那里套取用户系统秘密的一种攻击方法。对付这种类型攻击的最有效的方法就是加强安全意识教育。要让用户记住任何情况下都不能向其他人泄露自己的口令,任何想要进入系统的用户都应该被及时报告给上级。通过这些简单的规则可以有效地降低社会工程学攻击。(7)对敏感系统的非授权访问。大部分非授权访问攻击的目标都是系统的敏感信息。一种情况是攻击者获取具有经济价值的信息,例
17、如关于某个投资项目竞标的信息;另一种情况是攻击者进入数据库窜改信息。一般安全事件处理的步骤(1)检测安全事件是否发生。(2)控制事件所造成的损害。(3)将事件与事件造成的损害上报给合适的认证方。(4)调查事件的起因、来源。(5)分析搜索到的线索。(6)采取必要的行动以避免类似事件再次发生。常用的安全检测工具402信息安全策略安全检测的常用工具(1)端口扫描器:Nmap。Nmap(Network Mapper)是一款著名的基于控制台的用来扫描端口和绘制网络拓扑图的免费开源黑客工具。Nmap 被用于发现网络、检查开放端口、管理服务升级计划,以及监视主机或服务的正常运行时间。Nmap 是一种使用原始
18、IP 数据包的工具,以非常创新的方式确定网络上有哪些主机,主机上的那些服务(应用名称和版本)提供什么数据,是什么操作系统和什么类型、什么版本的包过滤/防火墙正在被目标使用。使用Nmap的好处之一就是管理员用户能够确定网络是否需要打包。(2)Fiddler 工具。可抓取Web 报文,并可构造报文,进行Web 接口测试。(3)网络漏洞扫描器:Acunetix。Acunetix 是一款非常受欢迎并且非常方便使用的自动漏洞扫描器,Acunetix 能够抓取和扫描网站和Web 应用的SQL 注入、XSS、XXE、SSRF 和主机头攻击以及其他500多个Web 漏洞。(4)漏洞监测工具:Metasploi
19、t。Metasploit 是一款漏洞利用工具,可以用来执行各种各样的任务,它是网络安全专业人员和白帽黑客必不可少的工具。同时它也是最著名的一个开源框架,可用于开发和执行针对远程目标机器的POC 的工具。(5)数字取证工具:Maltego。Maltego 是一款数字取证工具,与其他取证工具不同的是,它在数字取证范围内工作,为企业网络或局域网络提供一个整体的网络运行情况和网络威胁画像。Maltego 的核心功能是分析真实世界中可触及的公开互联网信息之间的关系,包括“踩点”互联网基础设施以及收集拥有这些设施的企业组织和个人的信息。Maltego 非常受欢迎的原因是它提供了一个范围广泛的图形化界面,通
20、过聚合信息可即时准确地看到各个对象之间的关系,这使我们可以看到隐藏的关联,即使它们是三重或四重的分离关系。它同时提供了基于实体的网络资源,聚合了整个网络的信息无论是网络的脆弱路由的当前配置,还是当前员工的国际访问,Maltego 都可以定位、汇总并可视化这些数据。常用的安全检测工具402信息安全策略安全检测的常用工具(6)网络漏洞扫描器:OWASP Zed。Zed 的代理攻击(ZAP)是一款非常流行的Web 应用程序渗透测试工具,用于发现应用漏洞。它经常被具有丰富经验的安全专家所用,对于开发人员和功能测试人员来说,它也是非常理想的测试工具箱。ZAP 受欢迎是因为它有很多扩展支持,OWASP 社
21、区是一个很好进行网络安全研究的资源地。ZAP 还提供自动扫描以及很多扫描网络安全漏洞的工具。(7)手动分析包工具:Wireshark。如果说Nmap 是黑客工具的第一名,那Wireshark 肯定是第二受欢迎的工具。Wireshark是一款非常流行的网络协议分析器工具,更确切地说,它是一个有效分析数据包的开源平台,可以用于检查办公网络或家庭网络中的各种东西,被成千上万的安全研究者用于排查、分析网络问题和网络入侵。用户可以实时捕获数据包并分析数据包以找到与网络相关的各种信息。该工具支持Windows、Linux、OSX、Solaris、FreeBSD 和其他平台。Wireshark 已经高度发达
22、,具有过滤器、彩色标注等细节功能,能够让用户深入了解网络流量和检查每个数据包。(8)密码破解工具:THC Hydra。THC Hydra 是一款非常流行的密码破解工具,有一个非常活跃且经验丰富的开发团队开发维护,支持Windows、Linux、FreeBSD、Solaris 和OSX 等操作系统。THCHydra 是一个快速稳定的网络登录攻击工具,它使用字典攻击和暴力攻击,尝试大量的密码和登录组合来登录页面。它可以对超过50 个协议执行高效的字典攻击,包括邮件(POP3、IMAP 等)、LDAP、SMB、VNC、SSH、Telnet、FTP、HTTP、HTTPS,以及多种类型的数据库。用户可以
23、轻松添加模块到该工具中,以增强其功能。(9)Web 服务器扫描工具:Nikto Website Vulnerability Scanner。Nikto 也是一款经典的黑客工具,它是一款开源的Web 服务器扫描工具,综合扫描Web 服务器中具有潜在危险的文件、CGI、版本检查、特定版本的问题。被扫描项目和插件可以进行自动更新。Nikto 也可以检查服务器配置项,比如多索引文件的存在、HTTP 服务选项,还可以标识已安装的Web 服务器和Web 应用程序。Nikto 也算是半个IDS 工具了,所以它在进行白帽渗透测试或白盒渗透测试时是非常有用的。常用的安全检测工具402信息安全策略Nmap检测工具简介常用的安全检测工具402信息安全策略Nmap检测工具简介感谢观看
