網(wǎng)絡(luò)信息安全概述與信息系統(tǒng)風(fēng)險(xiǎn)分析講座課件

2022/9/130河北師范大學(xué)信息技術(shù)學(xué)院2013.9.28趙冬梅Email:zhaodongmei666@126.com

網(wǎng)絡(luò)信息安全概述與

信息系統(tǒng)風(fēng)險(xiǎn)分析

2022/9/131網(wǎng)絡(luò)信息安全概述與信息系統(tǒng)風(fēng)險(xiǎn)分析1網(wǎng)絡(luò)信息安全狀況2網(wǎng)絡(luò)信息安全概述3信息安全風(fēng)險(xiǎn)分析2022/9/132網(wǎng)絡(luò)信息安全狀況2013年十大安全事件2012年信息網(wǎng)絡(luò)安全狀況計(jì)算機(jī)病毒感染狀況2022/9/1332013年十大安全事件蘋果iOS6.1.3修復(fù)版發(fā)現(xiàn)另一個(gè)鎖屏旁路漏洞2022/9/1342013年十大安全事件Mega用戶：一次被黑，則終生被黑2022/9/1352013年十大安全事件著名黑客、積極行動(dòng)主義者AaronSwartz自殺身亡2022/9/1362013年十大安全事件美國國家安全局丑聞的背后是新聞的真實(shí)性缺失2022/9/1392013年十大安全事件匿名黑客組織公開4000多位美國銀行家登錄賬戶和證書等信息2022/9/13102013年十大安全事件在Windows和Mac操作系統(tǒng)上，如何禁用瀏覽器Java控件2022/9/13112013年十大安全事件臉譜網(wǎng)“shadowprofiles”出現(xiàn)漏洞公眾表示憤怒2022/9/13152012年信息網(wǎng)絡(luò)安全狀況木馬攻擊更加精準(zhǔn)和隱蔽

2022/9/13162012年信息網(wǎng)絡(luò)安全狀況APT攻擊瞄準(zhǔn)高價(jià)值情報(bào)信息APT（AdvancedPersistentThreat）攻擊是指針對(duì)特定組織或目標(biāo)進(jìn)行的高級(jí)持續(xù)性滲透攻擊，是多方位的系統(tǒng)攻擊。極光行動(dòng)、夜龍攻擊、震網(wǎng)病毒（超級(jí)工廠病毒）、暗鼠行動(dòng)等都是APT攻擊的著名案例。2022/9/13172012年信息網(wǎng)絡(luò)安全狀況網(wǎng)絡(luò)存儲(chǔ)和共享成為木馬新興渠道2022/9/13182012年信息網(wǎng)絡(luò)安全狀況釣魚網(wǎng)站呈現(xiàn)快速增長勢頭2022/9/13202012年信息網(wǎng)絡(luò)安全狀況2022/9/13212012年信息網(wǎng)絡(luò)安全狀況虛假購物占釣魚網(wǎng)站總量的33.3%2022/9/13222012年信息網(wǎng)絡(luò)安全狀況企業(yè)面臨多種安全風(fēng)險(xiǎn)2022/9/13232012年信息網(wǎng)絡(luò)安全狀況網(wǎng)站安全性問題迫在眉睫2022/9/13242012年信息網(wǎng)絡(luò)安全狀況網(wǎng)站安全性問題迫在眉睫2022/9/13252012年信息網(wǎng)絡(luò)安全狀況拖庫風(fēng)險(xiǎn)與篡改現(xiàn)象日益加劇由于大量網(wǎng)站存在高危安全漏洞，就為黑客入侵網(wǎng)站提供了可乘之機(jī)。2012年，網(wǎng)站遭遇黑客攻擊的事件頻頻發(fā)生，拖庫與篡改的案例時(shí)有發(fā)生。所謂拖庫，是指黑客入侵網(wǎng)站后將網(wǎng)站數(shù)據(jù)庫中的數(shù)據(jù)導(dǎo)出。而黑客拖庫的主要目標(biāo)就是竊取用戶的帳號(hào)、Email和密碼。2022/9/13262012年信息網(wǎng)絡(luò)安全狀況流量攻擊威脅中小網(wǎng)站生存2022/9/13272012年信息網(wǎng)絡(luò)安全狀況網(wǎng)站安全將成為安全服務(wù)新焦點(diǎn)對(duì)于拖庫風(fēng)險(xiǎn)和數(shù)據(jù)篡改，最有效的防范措施就是盡快修補(bǔ)系統(tǒng)漏洞，提高網(wǎng)站自身的安全性。特別是對(duì)于普遍存在的，黑客攻擊也比較集中的跨站腳本漏洞、SQL注入漏洞和WEB后門漏洞，網(wǎng)站開發(fā)者應(yīng)當(dāng)及時(shí)檢測并予以修補(bǔ)。2022/9/1328導(dǎo)致網(wǎng)絡(luò)安全事件的可能原因2022/9/1329網(wǎng)絡(luò)安全管理情況2022/9/13302022/9/1331我國計(jì)算機(jī)用戶病毒感染情況2022/9/1332歷年病毒重復(fù)感染率比較2022/9/1333我國計(jì)算機(jī)病毒傳播的主要途徑2022/9/1334網(wǎng)民中計(jì)算機(jī)安全問題發(fā)生的比率2022/9/1335網(wǎng)民發(fā)生帳號(hào)或密碼被盜的場所2022/9/1336發(fā)生網(wǎng)民帳號(hào)或個(gè)人信息被盜改的誘因2022/9/1337發(fā)生網(wǎng)民進(jìn)入到仿冒網(wǎng)站的誘因2022/9/1338網(wǎng)民發(fā)現(xiàn)電腦出現(xiàn)計(jì)算機(jī)安全問題的方式2022/9/1339網(wǎng)民感染電腦病毒后采取的首要措施2022/9/1340網(wǎng)民的計(jì)算機(jī)安全行為習(xí)慣2022/9/1341網(wǎng)民通常網(wǎng)絡(luò)帳號(hào)和密碼設(shè)計(jì)方式2022/9/1342網(wǎng)民網(wǎng)上帳號(hào)通常的口令/密碼是幾位2022/9/1343計(jì)算機(jī)病毒造成的主要危害情況2022/9/1344黑客的職業(yè)化之路不再是小孩的游戲，而是與￥掛鉤職業(yè)入侵者受網(wǎng)絡(luò)商人或商業(yè)間諜雇傭不在網(wǎng)上公開身份，不為人知，但確實(shí)存在！攻擊水平通常很高，精通多種技術(shù)攻擊者對(duì)自己提出了更高的要求，不再滿足于普通的技巧而轉(zhuǎn)向底層研究2022/9/1345面臨嚴(yán)峻的安全形勢SQLInjection等攻擊方式對(duì)使用者要求較低緩沖區(qū)溢出、格式串攻擊已公開流傳多年，越來越多的人掌握這些技巧少部分人掌握自行挖掘漏洞的能力，并且這個(gè)數(shù)量在增加漏洞挖掘流程專業(yè)化，工具自動(dòng)化“看不見的風(fēng)險(xiǎn)”廠商為了聲譽(yù)不完全公開產(chǎn)品的安全缺陷：漏洞私有，不為人知2022/9/1346網(wǎng)絡(luò)信息安全概述信息與網(wǎng)絡(luò)安全的本質(zhì)和內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性信息安全的六大目標(biāo)網(wǎng)絡(luò)安全的主要威脅網(wǎng)絡(luò)安全的攻擊手段網(wǎng)絡(luò)攻擊過程2022/9/1347信息與網(wǎng)絡(luò)安全的本質(zhì)和內(nèi)容網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全就是保護(hù)計(jì)算機(jī)系統(tǒng)，使其沒有危險(xiǎn)，不受威脅，不出事故。網(wǎng)絡(luò)安全指信息系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)遭到偶然的或者惡意的破壞、更改、泄漏，系統(tǒng)能連續(xù)、可靠、正常的運(yùn)行，服務(wù)不中斷。2022/9/1348進(jìn)不來拿不走改不了跑不了看不懂信息安全的目的可審查信息安全的目的是保障信息安全，主要目的有2022/9/1349信息安全概念與技術(shù)的發(fā)展信息安全的概念與技術(shù)是隨著人們的需求，隨著計(jì)算機(jī)、通信與網(wǎng)絡(luò)等信息技術(shù)的發(fā)展而不斷發(fā)展的。單機(jī)系統(tǒng)的信息保密階段網(wǎng)絡(luò)信息安全階段信息保障階段2022/9/1350網(wǎng)絡(luò)信息安全階段該階段中，除了采用和研究各種加密技術(shù)外，還開發(fā)了許多針對(duì)網(wǎng)絡(luò)環(huán)境的信息安全與防護(hù)技術(shù)（被動(dòng)防御）：安全漏洞掃描技術(shù)、安全路由器、防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)攻防技術(shù)、網(wǎng)絡(luò)監(jiān)控與審計(jì)技術(shù)等。1988年莫里斯蠕蟲爆發(fā)對(duì)網(wǎng)絡(luò)安全的關(guān)注與研究CERT成立2022/9/1351信息保障階段信息保障（IA）概念與思想是20世紀(jì)90年代由美國國防部長辦公室提出。定義：通過確保信息和信息系統(tǒng)的可用性、完整性、可控性、保密性和不可否認(rèn)性來保護(hù)信息系統(tǒng)的信息作戰(zhàn)行動(dòng)，包括綜合利用保護(hù)、探測和反應(yīng)能力以恢復(fù)系統(tǒng)的功能。美國國家安全局制定的信息保障技術(shù)框架IATF，提出“縱深防御策略”DiD（Defense-in-DepthStrategy）。信息保障階段不僅包含安全防護(hù)的概念，更重要的是增加了主動(dòng)和積極的防御觀念。2022/9/1352計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性體系結(jié)構(gòu)的脆弱性。網(wǎng)絡(luò)體系結(jié)構(gòu)要求上層調(diào)用下層的服務(wù)，上層是服務(wù)調(diào)用者，下層是服務(wù)提供者，當(dāng)下層提供的服務(wù)出錯(cuò)時(shí)，會(huì)使上層的工作受到影響。網(wǎng)絡(luò)通信的脆弱性。網(wǎng)絡(luò)安全通信是實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間、網(wǎng)絡(luò)設(shè)備與主機(jī)節(jié)點(diǎn)之間進(jìn)行信息交換的保障，然而通信協(xié)議或通信系統(tǒng)的安全缺陷往往危及到網(wǎng)絡(luò)系統(tǒng)的整體安全。網(wǎng)絡(luò)操作系統(tǒng)的脆弱性。目前的操作系統(tǒng)，無論是Windows、UNIX還是Netware都存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)造成巨大的損失。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的脆弱性。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)應(yīng)用系統(tǒng)也可能存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將可能導(dǎo)致數(shù)據(jù)被竊取或破壞，應(yīng)用系統(tǒng)癱瘓，甚至威脅到整個(gè)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)管理的脆弱性。在網(wǎng)絡(luò)管理中，常常會(huì)出現(xiàn)安全意識(shí)淡薄、安全制度不健全、崗位職責(zé)混亂、審計(jì)不力、設(shè)備選型不當(dāng)和人事管理漏洞等，這種人為造成的安全漏洞也會(huì)威脅到整個(gè)網(wǎng)絡(luò)的安全。2022/9/1353信息安全的六大目標(biāo)信息安全可靠性可用性真實(shí)性保密性完整性不可抵賴性2022/9/1354網(wǎng)絡(luò)安全的主要威脅主要威脅內(nèi)部竊密和破壞竊聽和截收非法訪問(以未經(jīng)授權(quán)的方式使用網(wǎng)絡(luò)資源)破壞信息的完整性(通過篡改、刪除和插入等方式破壞信息的完整性)冒充(攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網(wǎng)絡(luò)正常通訊或欺騙合法主機(jī)和合法用戶。)流量分析攻擊(分析通信雙方通信流量的大小，以期獲得相關(guān)信息。)其他威脅(病毒、電磁泄漏、各種自然災(zāi)害、戰(zhàn)爭、失竊、操作失誤等)2022/9/1355信息與網(wǎng)絡(luò)安全的攻擊手段物理破壞竊聽數(shù)據(jù)阻斷攻擊數(shù)據(jù)篡改攻擊數(shù)據(jù)偽造攻擊數(shù)據(jù)重放攻擊盜用口令攻擊中間人攻擊緩沖區(qū)溢出攻擊分發(fā)攻擊野蠻攻擊SQL注入攻擊跨站點(diǎn)腳本計(jì)算機(jī)病毒蠕蟲后門攻擊欺騙攻擊拒絕服務(wù)攻擊特洛伊木馬2022/9/1356

網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部人員威脅拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲社會(huì)工程天災(zāi)系統(tǒng)Bug2022/9/1357社會(huì)工程我們通常把基于非計(jì)算機(jī)的欺騙技術(shù)叫做社會(huì)工程。社會(huì)工程中，攻擊者設(shè)法設(shè)計(jì)讓人相信它是其他人。這就像攻擊者在給人打電話時(shí)說自己是某人一樣的簡單。因?yàn)樗f了一些大概只有那個(gè)人知道的信息，所以受害人相信他。

社會(huì)工程的核心是，攻擊者設(shè)法偽裝自己的身份并設(shè)計(jì)讓受害人泄密私人信息。這些攻擊的目標(biāo)是搜集信息來侵入計(jì)算機(jī)系統(tǒng)的，通常通過欺騙某人使之泄露出口令或者在系統(tǒng)中建立個(gè)新帳號(hào)。2022/9/1358網(wǎng)絡(luò)攻擊被動(dòng)攻擊竊聽或者偷窺流量分析被動(dòng)攻擊非常難以檢測，但可以防范源目的sniffer2022/9/1359網(wǎng)絡(luò)攻擊主動(dòng)攻擊可以檢測，但難以防范主動(dòng)攻擊：指攻擊者對(duì)某個(gè)連接的中的PDU進(jìn)行各種處理(更改、刪除、遲延、復(fù)制、偽造等)阻斷攻擊篡改攻擊偽造攻擊重放攻擊拒絕服務(wù)攻擊2022/9/1360物理破壞攻擊者可以直接接觸到信息與網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和周邊環(huán)境設(shè)備。通過對(duì)硬件設(shè)備、網(wǎng)絡(luò)線路、電源、空調(diào)等的破壞，使系統(tǒng)無法正常工作，甚至導(dǎo)致程序和數(shù)據(jù)無法恢復(fù)。2022/9/1361竊聽一般情況下，攻擊者偵聽網(wǎng)絡(luò)數(shù)據(jù)流，獲取通信數(shù)據(jù)，造成通信信息外泄，甚至危及敏感數(shù)據(jù)的安全。其中的一種較為普遍的是sniffer攻擊（snifferattack）。sniffer是指能解讀、監(jiān)視、攔截網(wǎng)絡(luò)數(shù)據(jù)交換并且閱讀數(shù)據(jù)包的程序或設(shè)備。2022/9/1362數(shù)據(jù)阻斷攻擊攻擊者在不破壞物理線路的前提下，通過干擾、連接配置等方式，阻止通信各方之間的數(shù)據(jù)交換。阻斷攻擊2022/9/1363數(shù)據(jù)篡改攻擊攻擊者在非法讀取數(shù)據(jù)后，進(jìn)行篡改數(shù)據(jù)，以達(dá)到通信用戶無法獲得真實(shí)信息的攻擊目的。篡改攻擊2022/9/1364數(shù)據(jù)偽造攻擊攻擊者在了解通信協(xié)議的前提下，偽造數(shù)據(jù)包發(fā)給通訊各方，導(dǎo)致通訊各方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯(cuò)誤。偽造攻擊2022/9/1365數(shù)據(jù)重放攻擊攻擊者盡管不了解通信協(xié)議的格式和內(nèi)容，但只要能夠?qū)€路上的數(shù)據(jù)包進(jìn)行竊聽，就可以將收到的數(shù)據(jù)包再度發(fā)給接收方，導(dǎo)致接收方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯(cuò)誤。重放攻擊2022/9/1366盜用口令攻擊盜用口令攻擊（password-basedattacks）攻擊者通過多種途徑獲取用戶合法賬號(hào)進(jìn)入目標(biāo)網(wǎng)絡(luò)，攻擊者也就可以隨心所欲地盜取合法用戶信息以及網(wǎng)絡(luò)信息；修改服務(wù)器和網(wǎng)絡(luò)配置；增加、篡改和刪除數(shù)據(jù)等等。2022/9/1367中間人攻擊中間人攻擊（man-in-the-middleattack）是指通過第三方進(jìn)行網(wǎng)絡(luò)攻擊，以達(dá)到欺騙被攻擊系統(tǒng)、反跟蹤、保護(hù)攻擊者或者組織大規(guī)模攻擊的目的。中間人攻擊類似于身份欺騙，被利用作為中間人的的主機(jī)稱為RemoteHost（黑客取其諧音稱之為“肉雞”）。網(wǎng)絡(luò)上的大量的計(jì)算機(jī)被黑客通過這樣的方式控制，將造成巨大的損失，這樣的主機(jī)也稱做僵尸主機(jī)。2022/9/1368緩沖區(qū)溢出攻擊緩沖區(qū)溢出（又稱堆棧溢出）攻擊是最常用的黑客技術(shù)之一。攻擊者輸入的數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)的長度，覆蓋其它數(shù)據(jù)區(qū)，造成應(yīng)用程序錯(cuò)誤，而覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是黑客的入侵程序代碼，黑客就可以獲取程序的控制權(quán)。2022/9/1369緩沖區(qū)溢出攻擊2022/9/1370后門攻擊后門攻擊（backdoorattack）是指攻擊者故意在服務(wù)器操作系統(tǒng)或應(yīng)用系統(tǒng)中制造一個(gè)后門，以便可以繞過正常的訪問控制。攻擊者往往就是設(shè)計(jì)該應(yīng)用系統(tǒng)的程序員。2022/9/1371欺騙攻擊欺騙攻擊可以分為地址欺騙、電子信件欺騙、WEB欺騙和非技術(shù)類欺騙。攻擊者隱瞞個(gè)人真實(shí)信息，欺騙對(duì)方，以達(dá)到攻擊的目的。2022/9/1372拒絕服務(wù)攻擊DoS（DenialofService，拒絕服務(wù)攻擊）的目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。常見的方式是：使用極大的通信量沖擊網(wǎng)絡(luò)系統(tǒng)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致網(wǎng)絡(luò)系統(tǒng)無法向合法的用戶提供服務(wù)。如果攻擊者組織多個(gè)攻擊點(diǎn)對(duì)一個(gè)或多個(gè)目標(biāo)同時(shí)發(fā)動(dòng)DoS攻擊，就可以極大地提高DoS攻擊的威力，這種方式稱為DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊。2022/9/1373DDOS(分布式拒絕服務(wù)攻擊)2022/9/1374分發(fā)攻擊攻擊者在硬件和軟件的安裝配置期間，利用分發(fā)過程去破壞；或者是利用系統(tǒng)或管理人員向用戶分發(fā)帳號(hào)和密碼的過程竊取資料。2022/9/1375野蠻攻擊野蠻攻擊包括字典攻擊和窮舉攻擊。字典攻擊是使用常用的術(shù)語或單詞列表進(jìn)行驗(yàn)證，攻擊取決于字典的范圍和廣度。由于人們往往偏愛簡單易記的口令，字典攻擊的成功率往往很高。如果字典攻擊仍然不能夠成功，入侵者會(huì)采取窮舉攻擊。窮舉攻擊采用排列組合的方式生成密碼。一般從長度為1的口令開始，按長度遞增進(jìn)行嘗試攻擊。2022/9/1376SQL注入攻擊攻擊者利用被攻擊主機(jī)的SQL數(shù)據(jù)庫和網(wǎng)站的漏洞來實(shí)施攻擊，入侵者通過提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果獲得攻擊者想得知的數(shù)據(jù)，從而達(dá)到攻擊目的。2022/9/1377SQL注入攻擊2022/9/1378SQL注入攻擊2022/9/1379跨站點(diǎn)腳本惡意攻擊者往Web頁面里插入惡意html代碼.當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web頁面的html代碼會(huì)被執(zhí)行.從而達(dá)到惡意攻擊的特殊目的.2022/9/1380計(jì)算機(jī)病毒與蠕蟲計(jì)算機(jī)病毒（ComputerVirus）是指編制者編寫的一組計(jì)算機(jī)指令或者程序代碼，它能夠進(jìn)行傳播和自我復(fù)制，修改其他的計(jì)算機(jī)程序并奪取控制權(quán)，以達(dá)到破壞數(shù)據(jù)、阻塞通信及破壞計(jì)算機(jī)軟硬件功能的目的。蠕蟲也是一種程序，它可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼復(fù)制、傳播給其他的計(jì)算機(jī)系統(tǒng)，但它在復(fù)制、傳播時(shí)，不寄生于病毒宿主之中。蠕蟲病毒是能夠是寄生于被感染主機(jī)的蠕蟲程序，具有病毒的全部特征，通常利用計(jì)算機(jī)系統(tǒng)的漏洞在網(wǎng)絡(luò)上大規(guī)模傳播。2022/9/1381特洛伊木馬特洛伊木馬簡稱木馬，它由兩部分組成：服務(wù)器程序和控制器程序，當(dāng)主機(jī)被裝上服務(wù)器程序，攻擊者就可以使用控制器程序通過網(wǎng)絡(luò)來控制主機(jī)。木馬通常是利用蠕蟲病毒、黑客入侵或者使用者的疏忽將服務(wù)器程序安裝到主機(jī)上的。2022/9/1382網(wǎng)絡(luò)攻擊過程入侵一般可以分為本地入侵和遠(yuǎn)程入侵這里主要講遠(yuǎn)程的網(wǎng)絡(luò)入侵網(wǎng)絡(luò)攻擊的準(zhǔn)備階段網(wǎng)絡(luò)攻擊的實(shí)施階段網(wǎng)絡(luò)攻擊的善后階段2022/9/1383網(wǎng)絡(luò)攻擊的準(zhǔn)備階段確定攻擊目標(biāo)服務(wù)分析系統(tǒng)分析2022/9/1384攻擊準(zhǔn)備1—確定攻擊目標(biāo)例如，選定50這臺(tái)主機(jī)作為攻擊目標(biāo)，首先需要確定此主機(jī)是否處于活動(dòng)狀態(tài)，在Windows下使用ping命令測試ping50

測試結(jié)構(gòu)如下圖所示，說明此主機(jī)處于活動(dòng)狀態(tài)。2022/9/1385攻擊準(zhǔn)備1—確定攻擊目標(biāo)2022/9/1386攻擊準(zhǔn)備2—服務(wù)分析對(duì)目標(biāo)主機(jī)提供的服務(wù)進(jìn)行分析-探測目標(biāo)主機(jī)的相應(yīng)端口服務(wù)是否開放。如利用Telnet、haktek等工具。例如，輸入telnet5080

結(jié)果如下圖，說明50這臺(tái)主機(jī)運(yùn)行了http服務(wù)，web服務(wù)器版本是IIS5.12022/9/1387攻擊準(zhǔn)備2—服務(wù)分析2022/9/1388攻擊準(zhǔn)備3—系統(tǒng)分析確定目標(biāo)主機(jī)采用何種操作系統(tǒng)。例如，在windows下安裝Nmapv4.20掃描工具。此工具含OSDetection的功能

輸入nmap-o50

結(jié)果如下圖，說明50這臺(tái)主機(jī)操作系統(tǒng)是windows2000sp1、sp2或者sp32022/9/1389攻擊準(zhǔn)備3—系統(tǒng)分析2022/9/1390攻擊的實(shí)施階段當(dāng)收集到足夠信息之后，可以實(shí)施攻擊了。作為破壞性攻擊，可以利用工具發(fā)動(dòng)攻擊即可。作為入侵性攻擊，需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取一定權(quán)限。攻擊的主要階段有預(yù)攻擊探測：為進(jìn)一步入侵提供有用信息口令破解與攻擊實(shí)施攻擊：緩沖區(qū)溢出、拒絕服務(wù)、后門、木馬、病毒2022/9/1391攻擊的善后階段在攻陷的主機(jī)上安裝后門程序，使之成為“肉雞”，方便以后進(jìn)入該系統(tǒng)。善后工作—隱藏蹤跡攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后，就可以任意修改系統(tǒng)上的文件了。隱藏蹤跡最簡單的方法就是刪除日志文件但這就告訴管理員系統(tǒng)已被入侵。最常用的辦法是只對(duì)日志文件中有關(guān)自己的那部分作修改。2022/9/1392入侵系統(tǒng)的常用步驟采用漏洞掃描工具選擇會(huì)用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的拓展:應(yīng)用注冊(cè)表建立超級(jí)隱藏用戶1.打開注冊(cè)表編輯器，提升權(quán)限。開始->運(yùn)行->regedit打開注冊(cè)表窗口。右擊“SAM”，權(quán)限默認(rèn)為系統(tǒng)管理員權(quán)限。添加-》高級(jí)-》立即查找。添加用戶給權(quán)限。2.新建一個(gè)帳號(hào)abc$，普通權(quán)限（$表示命令提示符下不顯示）。netuserabc$123/addnetuser查看用戶看不到，因?yàn)?不顯示。右擊“我的電腦”“管理”“本地用戶和組”。Netuserabc$查看用戶權(quán)限3.打開注冊(cè)表，把帳戶abc$克隆成管理權(quán)限。打開注冊(cè)表，Domains->Account->users->namesabc$類型0x3ed，管理員類型0x1f4將對(duì)應(yīng)f4的F鍵值復(fù)制到ed的F鍵值。4.導(dǎo)出提權(quán)后的帳戶的注冊(cè)表文件的兩個(gè)鍵值。5.刪除新建帳戶abc$Netuserabc$/del我的電腦管理用戶已刪除6.導(dǎo)入提權(quán)后的帳戶的注冊(cè)表文件。雙擊導(dǎo)出的文件netuser我的電腦管理用戶已刪除注冊(cè)表有，但不是系統(tǒng)管理員看不到。打開注冊(cè)表將添加的權(quán)限刪除。再在注冊(cè)表查看。netuserabc$沒有組添加普通用戶Netuserhack123/addNetuserhackRunas/profile/user:hackcmd.exe運(yùn)行hack帳戶。NetuserNetuseraa/add再運(yùn)行abc$帳戶，做同樣操作。2022/9/1399信息安全風(fēng)險(xiǎn)分析為什么構(gòu)建信息安全管理體系信息安全風(fēng)險(xiǎn)分析

2022/9/13100傳統(tǒng)安全解決方案防火墻（Firewall）入侵檢測（IDS）

VPN

防病毒

……2022/9/13101防火墻的概念信任網(wǎng)絡(luò)防火墻非信任網(wǎng)絡(luò)防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)，它通過單一集中的安全檢查點(diǎn)，強(qiáng)制實(shí)施相應(yīng)的安全策略進(jìn)行檢查，防止對(duì)重要信息資源進(jìn)行非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。

2022/9/13102入侵檢測的概念和作用

入侵檢測即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。它能夠提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能，對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。2022/9/13103防火墻的不足防火墻并非萬能，防火墻不能完成的工作：源于內(nèi)部的攻擊不通過防火墻的連接完全新的攻擊手段不能防病毒2022/9/13104隱形飛機(jī)躲過雷達(dá)發(fā)現(xiàn)2022/9/13105依靠恢復(fù)不能滿足關(guān)鍵應(yīng)用高射炮系統(tǒng)正在恢復(fù)2022/9/13106木桶原理我們部門最短的那塊木板在哪里?2022/9/13107安全桎梏2022/9/13108概念的提出信息安全管理（ISM）為何要建設(shè)信息安全管理?2022/9/13109目前存在的問題空口令、簡單口令、默認(rèn)口令設(shè)置、長期不更換。點(diǎn)擊進(jìn)入危險(xiǎn)的網(wǎng)站或鏈接。接收查看危險(xiǎn)的電子郵件附件。系統(tǒng)默認(rèn)安裝，從不進(jìn)行補(bǔ)丁升級(jí)。撥號(hào)上網(wǎng)，給個(gè)人以及整個(gè)公司建立了后門。啟動(dòng)了眾多的不用的服務(wù)。個(gè)人重要數(shù)據(jù)沒有備份。

……兼職的安全管理員物理安全保護(hù)基本的安全產(chǎn)品簡單的系統(tǒng)升級(jí)機(jī)房安全管理制度資產(chǎn)管理制度

……超過70%的信息安全事件，如果事先加強(qiáng)管理，都可以得到避免。2022/9/13110信息安全管理現(xiàn)狀

傳統(tǒng)的信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式、事后糾正式的管理方式不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失2022/9/13111概念的進(jìn)一步提出信息安全管理體系（ISMS）！2022/9/13112信息安全管理體系(ISMS)由于許多信息系統(tǒng)并非在設(shè)計(jì)時(shí)充分考慮了安全，依靠技術(shù)手段實(shí)現(xiàn)安全很有限，必須依靠必要的管理手段來支持。信息安全管理就是通過保證信息的機(jī)密性、完整性和可用性來管理和保護(hù)組織的所有信息資產(chǎn)的一項(xiàng)體制。通過合理的組織體系、規(guī)章制度和控管措施，把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起，以此確保整個(gè)組織達(dá)到預(yù)定程度的信息安全，稱為信息安全管理體系（ISMS）。2022/9/13113如何構(gòu)建如何構(gòu)建信息安全管理體系?2022/9/13114信息安全管理體系的基本構(gòu)成2022/9/13115建立信息安全管理體系的步驟2022/9/13116安全評(píng)估系統(tǒng)工作原理遠(yuǎn)程掃描分析目標(biāo)設(shè)備1、發(fā)送帶有明顯攻擊特征的數(shù)據(jù)包2、等待目的主機(jī)或設(shè)備的響應(yīng)3、分析回來的數(shù)據(jù)包的特征4、判斷是否具有該脆弱性或漏洞2022/9/13117信息系統(tǒng)的風(fēng)險(xiǎn)管理2022/9/13118信息安全風(fēng)險(xiǎn)分析

信息安全風(fēng)險(xiǎn)來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成安全事件的可能性及這類安全事件可能對(duì)信息資產(chǎn)等造成的負(fù)面影響。2022/9/13119信息安全風(fēng)險(xiǎn)分析信息安全風(fēng)險(xiǎn)分析：也稱信息安全風(fēng)險(xiǎn)評(píng)估，它是指對(duì)信息安全威脅進(jìn)行分析和預(yù)測，評(píng)估這些威脅對(duì)信息資產(chǎn)造成的影響。信息安全風(fēng)險(xiǎn)分析使信息系統(tǒng)的管理者可以在考慮風(fēng)險(xiǎn)的情況下估算信息資產(chǎn)的價(jià)值，為管理決策提供支持，也可為進(jìn)一步實(shí)施系統(tǒng)安全防護(hù)提供依據(jù)。2022/9/13120信息安全建設(shè)的起點(diǎn)和基礎(chǔ)倡導(dǎo)一種適度安全信息安全建設(shè)和管理的科學(xué)方法分析確定風(fēng)險(xiǎn)的過程信息安全風(fēng)險(xiǎn)分析信息安全風(fēng)險(xiǎn)分析2022/9/13121信息安全風(fēng)險(xiǎn)分析

2022/9/13122信息安全風(fēng)險(xiǎn)分析

信息安全風(fēng)險(xiǎn)分析應(yīng)考慮的因素：信息資產(chǎn)的脆弱性信息資產(chǎn)的威脅及其發(fā)生的可能性信息資產(chǎn)的價(jià)值已有安全措施2022/9/131232022/9/13124資產(chǎn)的識(shí)別與估價(jià)

為了明確被保護(hù)的信息資產(chǎn)，組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單，對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u(píng)估。

為了防止資產(chǎn)被忽略或遺漏，在識(shí)別資產(chǎn)之前應(yīng)確定風(fēng)險(xiǎn)評(píng)估范圍。所有在評(píng)估范圍之內(nèi)的資產(chǎn)都應(yīng)該被識(shí)別，因此要列出對(duì)組織或組織的特定部門的業(yè)務(wù)過程有價(jià)值的任何事物，以便根據(jù)組織的業(yè)務(wù)流程來識(shí)別信息資產(chǎn)。信息安全風(fēng)險(xiǎn)分析

2022/9/13125信息安全風(fēng)險(xiǎn)分析

資產(chǎn)的識(shí)別與估價(jià)在列出所有信息資產(chǎn)后，應(yīng)對(duì)每項(xiàng)資產(chǎn)賦予價(jià)值。資產(chǎn)估價(jià)是一個(gè)主觀的過程，而且資產(chǎn)的價(jià)值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們最清楚資產(chǎn)對(duì)組織業(yè)務(wù)的重要性，從而能夠準(zhǔn)確地評(píng)估出資產(chǎn)的實(shí)際價(jià)值。為確保資產(chǎn)估價(jià)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)的價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)），以明確如何對(duì)資產(chǎn)進(jìn)行賦值。在信息系統(tǒng)中，采用精確的財(cái)務(wù)方式來給資產(chǎn)確定價(jià)值比較困難，一般采用定性分級(jí)的方式來建立資產(chǎn)的相對(duì)價(jià)值或重要度，即按照事先確定的價(jià)值尺度將資產(chǎn)的價(jià)值劃分為不同等級(jí)，以相對(duì)價(jià)值作為確定重要資產(chǎn)及為這些資產(chǎn)投入多大資源進(jìn)行保護(hù)的依據(jù)。2022/9/13126資產(chǎn)的識(shí)別與估價(jià)信息安全風(fēng)險(xiǎn)分析2022/9/131272022/9/13128故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等）和無意失誤（如誤操作、維護(hù)錯(cuò)誤）人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識(shí)別產(chǎn)生威脅的原因信息安全風(fēng)險(xiǎn)分析

威脅識(shí)別與評(píng)估2022/9/13129人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識(shí)別產(chǎn)生威脅的原因信息安全風(fēng)險(xiǎn)分析

威脅識(shí)別與評(píng)估系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、介質(zhì)老化等）2022/9/13130人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅電源故障、污染、液體泄漏、火災(zāi)等識(shí)別產(chǎn)生威脅的原因信息安全風(fēng)險(xiǎn)分析

威脅識(shí)別與評(píng)估2022/9/13131人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅洪水、地震、臺(tái)風(fēng)、滑坡、雷電等識(shí)別產(chǎn)生威脅的原因信息安全風(fēng)險(xiǎn)分析

威脅識(shí)別與評(píng)估2022/9/13132威脅識(shí)別與評(píng)估信息安全風(fēng)險(xiǎn)分析識(shí)別產(chǎn)生威脅的原因確認(rèn)威脅的目標(biāo)威脅識(shí)別與評(píng)估的主要任務(wù)威脅發(fā)生造成的后果或潛在影響評(píng)估威脅發(fā)生的可能性2022/9/13133威脅識(shí)別與評(píng)估

威脅發(fā)生造成的后果或潛在影響

信息安全風(fēng)險(xiǎn)分析

威脅一旦發(fā)生會(huì)造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴(yán)重的威脅發(fā)生會(huì)導(dǎo)致諸如信息系統(tǒng)崩潰、業(yè)務(wù)流程中斷、財(cái)產(chǎn)損失等重大安全事故。不同的威脅對(duì)同一資產(chǎn)或組織所產(chǎn)生的影響不同，導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對(duì)價(jià)值（或重要程度）為限。2022/9/131342022/9/13135脆弱性識(shí)別與評(píng)估

僅有威脅還構(gòu)不成風(fēng)險(xiǎn)。由于組織缺乏充分的安全控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)，即脆弱性。威脅只有利用了特定的脆弱性或者弱點(diǎn)，才可能對(duì)資產(chǎn)造成影響。信息安全風(fēng)險(xiǎn)分析

2022/9/13136脆弱性識(shí)別與評(píng)估脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。脆弱性識(shí)別可以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性；也可分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別。信息安全風(fēng)險(xiǎn)分析

2022/9/13137脆弱性識(shí)別與評(píng)估信息安全風(fēng)險(xiǎn)分析

系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞等技術(shù)脆弱性12操作脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習(xí)慣、審計(jì)或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點(diǎn)。脆弱性的分類2022/9/13138信息安全風(fēng)險(xiǎn)分析

脆弱性識(shí)別與評(píng)估評(píng)估脆弱性需要考慮的因素脆弱性的嚴(yán)重程度（Severity）；脆弱性的暴露程度（Exposure），即被威脅利用的可能性P，這兩個(gè)因素可采用分級(jí)賦值的方法。例如對(duì)于脆弱性被威脅利用的可能性可以分級(jí)為：非?？赡?4，很可能=3，可能=2，不太可能=1，不可能=0。2022/9/131392022/9/13140信息安全風(fēng)險(xiǎn)分析

確認(rèn)現(xiàn)有安全控制在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點(diǎn)，再就是組織現(xiàn)有的安全控制措施。在風(fēng)險(xiǎn)評(píng)估過程中，應(yīng)當(dāng)識(shí)別已有的（或已計(jì)劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對(duì)于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更合適的控制代替。2022/9/13141信息安全風(fēng)險(xiǎn)分析確認(rèn)現(xiàn)有安全控制對(duì)系統(tǒng)開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障和系統(tǒng)生命周期管理等管理性安全控制12操作性安全控制技術(shù)性安全控制3用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理，安全意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)和加密等安全控制方式的分類(依據(jù)目標(biāo)和針對(duì)性分類)2022/9/13142信息安全風(fēng)險(xiǎn)分析

確認(rèn)現(xiàn)有安全控制此類控制可以降低蓄意攻擊的可能性，實(shí)際上針對(duì)的是威脅源的動(dòng)機(jī)威懾性安全控制12預(yù)防性安全控制檢測性安全控制34糾正性安全控制此類控制可以保護(hù)脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性安全控制此類控制可以將攻擊造成的影響降到最低安全控制方式的分類（依據(jù)功能分類)2022/9/13143信息安全風(fēng)險(xiǎn)分析

確認(rèn)現(xiàn)有安全控制安全控制應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況利用引發(fā)造成2022/9/131442022/9/13145信息安全風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)評(píng)價(jià)就是利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測量方法或工具確定風(fēng)險(xiǎn)的大小與等級(jí)，對(duì)組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測量的列表，以便識(shí)別與選擇適當(dāng)和正確的安全控制方式。2022/9/13146信息安全風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法預(yù)定義價(jià)值矩陣法按風(fēng)險(xiǎn)大小對(duì)威脅排序法網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)度量的目的是明確當(dāng)前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源。2022/9/13147信息安全風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法預(yù)定義價(jià)值矩陣法該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產(chǎn)的相對(duì)價(jià)值三者預(yù)定義的三維矩陣來確定風(fēng)險(xiǎn)的大小。威脅發(fā)生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2資產(chǎn)相對(duì)價(jià)值V001212323411232343452234345456334545656744565676782+1+2=52022/9/13148信息安全風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法按風(fēng)險(xiǎn)大小對(duì)威脅排序法該方法把風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對(duì)組織資產(chǎn)的危害程度。第一步：按預(yù)定義的尺度，評(píng)估風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響即資產(chǎn)的相對(duì)價(jià)值I，例如，尺度可以是從1到5；第二步：評(píng)估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被利用的脆弱性因素）代替，例如尺度為1到5；第三步：測量風(fēng)險(xiǎn)值R，R=R（PTV，I）=PTV×I

；該方法把風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對(duì)組織資產(chǎn)的危害程度。方法的實(shí)施過程是：2022/9/13149信息安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法按風(fēng)險(xiǎn)大小對(duì)威脅排序法威脅影響（資產(chǎn)價(jià)值I）威脅發(fā)生的可能性PTV風(fēng)險(xiǎn)R威脅的等級(jí)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483R=PTV×I=3×5=152022/9/13150信息安全風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法R=V×（1-PD）×（1-PO）其中：V––––系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三項(xiàng)評(píng)價(jià)值的乘積，即V=C×I×A；PO––––防止威脅發(fā)生的可能性，與用戶的個(gè)數(shù)、原先的信任、備份的頻率以及強(qiáng)制安全措施需求的滿足程度有關(guān)；PD––––防止系統(tǒng)