信息安全培訓(xùn)講義

1、信息安全培訓(xùn)講義信息安全培訓(xùn)講義2012年8月18日目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？2常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議校園網(wǎng)安全建議4殘酷的現(xiàn)實(shí)殘酷的現(xiàn)實(shí)v 2011年2月 銀行動(dòng)態(tài)口令升級(jí)群發(fā)短信詐騙v 2011年3月 RSA遭受高級(jí)可持續(xù)攻擊v 2011年3月 僵尸網(wǎng)絡(luò)攻擊韓國(guó)10天v 2011年4月 索尼7700萬(wàn)用戶數(shù)據(jù)被泄露v 2011年6月 花旗銀行36萬(wàn)客戶資料被竊v 2011年8月 新浪微博爆發(fā)蠕蟲(chóng)病毒v 2011年9月 多個(gè)開(kāi)源系統(tǒng)官網(wǎng)被攻擊v 2011年末 天涯、CSDN等26網(wǎng)站被爆庫(kù)v 2012年

2、1月 賽門(mén)鐵克源代碼泄露v 2012年6月網(wǎng)絡(luò)戰(zhàn)武器Flame出現(xiàn)2010年下半年教育網(wǎng)掛馬情況年下半年教育網(wǎng)掛馬情況數(shù)據(jù)來(lái)源：中國(guó)教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組 http:/ 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例v 信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法 （公通字（公通字200743號(hào)）號(hào)）v 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（ GB/T17859-1999 ）v 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2008）v 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)

3、實(shí)施指南（GB/T25058-2010）v 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）v 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（報(bào)批稿）（報(bào)批稿）v 教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知（教辦廳函（教辦廳函201183號(hào)）號(hào)）v 教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知教育部辦公廳關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知 （教辦廳函（教辦廳函200980號(hào)）號(hào)）-目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？

4、2常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議校園網(wǎng)安全建議4什么是信息（什么是信息（Information）ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC TR 13335）對(duì)信息（Information）的解釋是：信息是通過(guò)在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息可以以多種形式存在： 打印或者寫(xiě)在紙上 電子形式存儲(chǔ)與傳遞 以多媒體形式存在，如電影、影像、膠片、磁帶、廣播、交談等什么是信息安全？什么是信息安全？是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。u物

5、理安全技術(shù)：環(huán)境安全、設(shè)備安全、介質(zhì)安全；u網(wǎng)絡(luò)安全技術(shù)：隔離、訪問(wèn)控制、VPN、入侵檢測(cè)等；u系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的安全性；u防病毒技術(shù)：?jiǎn)螜C(jī)防病毒、網(wǎng)絡(luò)防病毒體系；u認(rèn)證授權(quán)技術(shù)：口令、令牌、生物特征、數(shù)字證書(shū)等；u應(yīng)用安全技術(shù)：Web 安全、應(yīng)用系統(tǒng)安全；u數(shù)據(jù)加密技術(shù)：硬件和軟件加密；u災(zāi)難恢復(fù)和備份技術(shù)：數(shù)據(jù)備份。常用信息安全技術(shù)常用信息安全技術(shù)OSI模型模型OSI各層對(duì)應(yīng)的攻擊各層對(duì)應(yīng)的攻擊物理層物理層的攻擊：的攻擊：該層的攻擊手法是對(duì)網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施進(jìn)行物理破壞。例如:對(duì)一個(gè)機(jī)房的出口線纜進(jìn)行破壞,使得其無(wú)法訪問(wèn)外部網(wǎng)絡(luò)。危害：網(wǎng)絡(luò)中斷、設(shè)備損壞等物理破壞數(shù)據(jù)鏈路

6、層數(shù)據(jù)鏈路層的攻擊：的攻擊：該層次上有兩個(gè)重要的協(xié)議ARP(地址解析協(xié)議)和RARP(反地址解析協(xié)議)。ARP欺騙和偽裝是常見(jiàn)的鏈路層攻擊。危害：數(shù)據(jù)被竊取OSI各層對(duì)應(yīng)的攻擊各層對(duì)應(yīng)的攻擊網(wǎng)絡(luò)層網(wǎng)絡(luò)層的攻擊的攻擊：該層次主要的攻擊方法包括IP碎片攻擊、路由欺騙、Ping of Death、IP欺騙與偽造等。危害：網(wǎng)絡(luò)性能降低或中斷、數(shù)據(jù)的竊取等傳輸傳輸層的攻擊層的攻擊：主要是各類拒絕服務(wù)攻擊，利用TCP的三次握手機(jī)制，像SYN Flooding攻擊、ACK Flooding攻擊等。危害：導(dǎo)致服務(wù)癱瘓會(huì)話層會(huì)話層的攻擊的攻擊：主要是竊取合法用戶的會(huì)話信息，然后冒充該用戶，以達(dá)到非授權(quán)訪問(wèn)的目的

7、，或竊取合法用戶的權(quán)限和信息。如盜用Cookies和重放攻擊。危害：用戶信息被竊取，非法侵入等OSI各層對(duì)應(yīng)的攻擊各層對(duì)應(yīng)的攻擊表示層表示層的攻擊的攻擊：表示層的攻擊是針對(duì)格式翻譯和數(shù)據(jù)處理來(lái)進(jìn)行的，代表是Unicode攻擊以及計(jì)算溢出攻擊。危害：數(shù)據(jù)內(nèi)容被篡改、管理員權(quán)限被獲取后非法侵入等應(yīng)用層應(yīng)用層的攻擊的攻擊：是針對(duì)應(yīng)用程序的設(shè)計(jì)漏洞進(jìn)行的，如對(duì)應(yīng)用協(xié)議漏洞的攻擊、對(duì)應(yīng)用數(shù)據(jù)的攻擊、對(duì)應(yīng)用操作系統(tǒng)平臺(tái)的攻擊等。其方法包括SQL注入、跨站攻擊、掛馬等；危害：以上危害的綜合體現(xiàn)解決網(wǎng)絡(luò)安全的措施解決網(wǎng)絡(luò)安全的措施物理安全防范物理安全防范物理層安全的主要技術(shù)手段：物理層安全的主要技術(shù)手段：計(jì)算

8、機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)通信通信線路的屏蔽線路的屏蔽網(wǎng)絡(luò)物理隔離網(wǎng)絡(luò)物理隔離設(shè)備設(shè)備和線路和線路冗余冗余機(jī)房和人員的安全管理機(jī)房和人員的安全管理數(shù)據(jù)容災(zāi)數(shù)據(jù)容災(zāi)鏈路安全防范鏈路安全防范數(shù)據(jù)鏈路層的安全技術(shù)手段：數(shù)據(jù)鏈路層的安全技術(shù)手段：數(shù)據(jù)鏈路數(shù)據(jù)鏈路加密加密MACMAC地址欺騙防護(hù)地址欺騙防護(hù)VLANVLAN劃分劃分MACMAC地址欺騙地址欺騙防護(hù)防護(hù)lARP(Address Resolution Protocol)l完成IP地址到MAC地址的映射虛擬的虛擬的與硬件無(wú)關(guān)的與硬件無(wú)關(guān)的可變的可變的真實(shí)的真實(shí)的網(wǎng)卡決定的網(wǎng)卡決定的通常不可改變通常不可改變IPIP地址欺騙地址欺騙MACMAC地址欺騙地址欺

9、騙ARPARP高速緩存高速緩存l 每臺(tái)主機(jī)都要維護(hù)一個(gè)IP地址到MAC的轉(zhuǎn)換表，稱為ARP緩存ARP Cache。l 存放著最近用到的一系列跟它通信的同一子網(wǎng)的計(jì)算機(jī)的IP地址和MAC地址的映射。減少局域網(wǎng)廣播減少局域網(wǎng)廣播加快訪問(wèn)速度加快訪問(wèn)速度MACMAC地址欺騙原理地址欺騙原理我是誰(shuí)是布什？誰(shuí)是布什？我是新來(lái)的布什布什網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)安全防范網(wǎng)絡(luò)層的安全技術(shù)手段：網(wǎng)絡(luò)層的安全技術(shù)手段：防火墻（防火墻（ACLACL）負(fù)載均衡負(fù)載均衡流量控制流量控制防拒絕服務(wù)攻擊防拒絕服務(wù)攻擊應(yīng)用安全防范應(yīng)用安全防范應(yīng)用應(yīng)用層的安全技術(shù)手段：層的安全技術(shù)手段：IPS/IDSIPS/IDS防病毒防病毒身份認(rèn)證

10、系統(tǒng)身份認(rèn)證系統(tǒng)終端安全管理終端安全管理/ /漏洞掃描漏洞掃描WEBWEB防火墻防火墻目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？2常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議校園網(wǎng)安全建議4防火墻防火墻簡(jiǎn)介簡(jiǎn)介v用作網(wǎng)絡(luò)邊界的訪問(wèn)控制v被稱為邏輯隔離v目前主流產(chǎn)品采用狀態(tài)檢測(cè)技術(shù)v主要處理IP包頭，也可具有內(nèi)容檢測(cè)功能v選購(gòu)時(shí)參考吞吐量、并發(fā)連接數(shù)、接口v主要品牌：?jiǎn)⒚餍浅?、天融信v推薦開(kāi)源軟件pfSense 防火墻典型部署防火墻典型部署部署在不同安全級(jí)別的網(wǎng)絡(luò)安全域之間，根據(jù)不同的安全級(jí)別對(duì)不同的安全域開(kāi)啟不同的安全防護(hù)策略。負(fù)載均衡設(shè)備簡(jiǎn)

11、介負(fù)載均衡設(shè)備簡(jiǎn)介v分為鏈路負(fù)載和服務(wù)器負(fù)載均衡兩類v鏈路負(fù)載均衡用于跨運(yùn)營(yíng)商鏈路的自動(dòng)優(yōu)化并實(shí)現(xiàn)帶寬資源的充分利用v服務(wù)器負(fù)載均衡保障服務(wù)器集群的響應(yīng)時(shí)間和服務(wù)能力v主要品牌：F5、Radwarev推薦開(kāi)源軟件Nginx 負(fù)載均衡典型部署負(fù)載均衡典型部署IPS/IDS簡(jiǎn)介簡(jiǎn)介vIDS（入侵檢測(cè)系統(tǒng)）接受鏡像流量并分析報(bào)警vIPS（入侵防御系統(tǒng)）串行在鏈路中分析入侵阻斷v基于特征庫(kù)工作，需要定期更新v選購(gòu)時(shí)主要參考誤報(bào)率/誤殺率、吞吐量和并發(fā)數(shù)v主要品牌：綠盟、啟明星辰v推薦開(kāi)源軟件Snort IPS/IDS典型部署典型部署流量控制系統(tǒng)流

12、量控制系統(tǒng)簡(jiǎn)介簡(jiǎn)介v串聯(lián)在網(wǎng)絡(luò)邊界處對(duì)流量進(jìn)行處理v可以識(shí)別數(shù)據(jù)包中的協(xié)議類型v針對(duì)不同的IP地址和協(xié)議進(jìn)行帶寬分配v用來(lái)保護(hù)關(guān)鍵用戶和協(xié)議應(yīng)用v選購(gòu)時(shí)主要考慮流量、并發(fā)數(shù)和接口v主要品牌：深信服、網(wǎng)康v推薦開(kāi)源軟件Panabit http:/ http:/防防病毒網(wǎng)關(guān)病毒網(wǎng)關(guān)部署部署上網(wǎng)行為管理上網(wǎng)行為管理簡(jiǎn)介簡(jiǎn)介v 根據(jù)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（公安部82號(hào)令）要求上網(wǎng)記錄必須留存60天，v 可串聯(lián)可并聯(lián)v 記錄用戶訪問(wèn)的網(wǎng)頁(yè)，可對(duì)協(xié)議類型進(jìn)行識(shí)別v 可對(duì)部分聊天工具進(jìn)行監(jiān)控v 選購(gòu)時(shí)主要參考吞吐量、接口和并發(fā)連接數(shù)v 主要品牌：深信服、網(wǎng)康上網(wǎng)行為上網(wǎng)行為管理管理部署部署漏洞漏洞掃描系

13、統(tǒng)簡(jiǎn)介掃描系統(tǒng)簡(jiǎn)介v可檢測(cè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)的安全漏洞v可掃描操作系統(tǒng)的漏洞、弱口令、空口令并探測(cè)存活的服務(wù)類型v保持路由可達(dá)即可執(zhí)行掃描v定期掃描可準(zhǔn)確了解網(wǎng)絡(luò)的安全狀態(tài)v選購(gòu)時(shí)主要參考并發(fā)掃描數(shù)、分析報(bào)告的可讀性v主要品牌：綠盟、啟明星辰v推薦開(kāi)源軟件Nessus 漏洞漏洞掃描掃描部署部署終端終端安全管理安全管理簡(jiǎn)介簡(jiǎn)介v主要功能包括資產(chǎn)管理、終端保護(hù)、進(jìn)程監(jiān)控和外設(shè)管理等v可檢查安全狀況實(shí)現(xiàn)準(zhǔn)入控制、限制移動(dòng)存儲(chǔ)設(shè)備使用、監(jiān)控資產(chǎn)變化、推送補(bǔ)丁、監(jiān)控進(jìn)程v需要在終端上安裝Agentv選購(gòu)時(shí)主要考慮功能和準(zhǔn)入方式v主要品牌：賽門(mén)鐵克、Landisk終端安全

14、管理部署終端安全管理部署安全管理平臺(tái)簡(jiǎn)介安全管理平臺(tái)簡(jiǎn)介v對(duì)分散的安全日志和事件進(jìn)行集中，實(shí)現(xiàn)統(tǒng)一安全事件展現(xiàn)和管理v獲取網(wǎng)絡(luò)設(shè)備的SNMP TRAP消息、安全設(shè)備的SYSLOG日志和主機(jī)設(shè)備的安全日志v主機(jī)上需安裝Agent或配置支持WMI的日志采集套件v屬于項(xiàng)目化的安全產(chǎn)品，定制程度高安全管理安全管理平臺(tái)平臺(tái)部署部署目錄目錄為什么需要信息安全？為什么需要信息安全？1什么是信息安全？什么是信息安全？2常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介常見(jiàn)安全產(chǎn)品原理簡(jiǎn)介3校園網(wǎng)安全建議校園網(wǎng)安全建議4校園網(wǎng)特點(diǎn)校園網(wǎng)特點(diǎn)v規(guī)模大、節(jié)點(diǎn)分散v網(wǎng)絡(luò)流量大且時(shí)段集中v新舊設(shè)備混雜，維護(hù)不便v學(xué)生好奇心強(qiáng)，進(jìn)行各種破壞v網(wǎng)站一般

15、采用虛擬主機(jī)或托管方式案例一案例一v某天，某校報(bào)告網(wǎng)絡(luò)速度緩慢v通過(guò)網(wǎng)絡(luò)管理軟件進(jìn)行流量分析v確認(rèn)某主機(jī)流量異常v將該設(shè)備斷開(kāi)網(wǎng)絡(luò)后速度恢復(fù)正常v查殺病毒后接入網(wǎng)絡(luò)無(wú)異常案例二案例二v某天，某校報(bào)告大部分終端不能訪問(wèn)網(wǎng)絡(luò)v查看該校上行鏈路正常v查看該校核心設(shè)備部分端口流量異常v在某辦公室發(fā)現(xiàn)無(wú)線路由器造成環(huán)路v拔掉一條網(wǎng)線后網(wǎng)絡(luò)恢復(fù)案例三案例三v某天，多個(gè)學(xué)校報(bào)告不能訪問(wèn)網(wǎng)絡(luò)v發(fā)現(xiàn)上行均使用同一塊板卡連接v插拔核心6509上的X6724光口模塊板v問(wèn)題沒(méi)有解決v替換到備機(jī)進(jìn)行維修v維修后問(wèn)題解決朝陽(yáng)區(qū)教育網(wǎng)安全防護(hù)朝陽(yáng)區(qū)教育網(wǎng)安全防護(hù)安全建議：終端管理安全建議：終端管理v移動(dòng)存儲(chǔ)設(shè)備管理v防病毒v補(bǔ)丁管理v賬號(hào)、口令管理v網(wǎng)絡(luò)準(zhǔn)入vARP防護(hù)安全建議：網(wǎng)絡(luò)安全管理安全建議：網(wǎng)絡(luò)安全