版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
網(wǎng)絡通信安全管理員職業(yè)技能鑒定培訓----操作部分安全概述網(wǎng)絡安全計算機病毒防火墻主機與數(shù)據(jù)庫安全WEB安全提綱安全概述簡介本節(jié)將有助于你了解安全的基本概念,提高安全意識,掌握基本的安全事件防范技能,了解黑客相關的基本知識和安全常識。目標了解安全的定義了解安全的威脅掌握黑客相關知識掌握相關的基礎知識典型的網(wǎng)絡安全事件安全之信息泄漏過億數(shù)據(jù)泄露,網(wǎng)易提醒用戶:盡快修改密碼
10月19日下午消息,網(wǎng)易163/126郵箱過億數(shù)據(jù)泄漏,涉及郵箱賬號、密碼、用戶密保等。社保用戶信息或遭泄露多省市存管理漏洞目前圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個,僅社保類信息安全漏洞統(tǒng)計就達到5279.4萬條,涉及人員數(shù)量達數(shù)千萬。以上列舉的信息泄漏事件,只是冰山一角,信息泄漏事件的背后,意味著互聯(lián)網(wǎng)地下黑色信息產(chǎn)業(yè)鏈正日益壯大。典型的網(wǎng)絡安全事件安全之電信詐騙電信詐騙盯上美國一知名公司被騙320萬美元2015年5月3日,一名“老外”和一中國籍男子來向溫州警方報案,稱有320萬美元被騙,錢被匯到溫州銀行。經(jīng)記者核實,有騙子冒充他們公司新上任的CEO,騙走了320萬美元,這筆錢是從美國匯到溫州銀行的。電話詐騙分子聰明反被聰明誤,詐騙不成反倒貼502015年1月11日下午,哈爾濱市民王大哥接到陌生號碼的來電,對方聲稱“你的銀行賬戶涉及違法資金,要被凍結……”,他很快判斷出這是個騙子的圈套,急中生智與對方周旋,最終以自己手機欠費為由拒絕轉賬,詐騙分子則為其交了50元花費。典型的網(wǎng)絡安全事件安全之電信詐騙偽基站詐騙屢禁不止男子開電動車發(fā)詐騙短信2015年11月26日,警方搗毀三臺偽基站,偽基站基本以散發(fā)詐騙信息和小廣告為主。網(wǎng)上詐騙手段不斷翻新廣東股民被騙102萬5月14日15時許,廣州市民萬某報警稱,5月12日他在互聯(lián)網(wǎng)上看到能夠提供股票內(nèi)幕信息的廣告,被對方以保證收益為名騙取人民幣共計102萬余元。
電信詐騙事件越來越高發(fā),說明很多不法分子掌握了高技術含量的信息詐騙手段,在不確定信息真假的情況下要核實信息真實性。典型的網(wǎng)絡安全事件安全之網(wǎng)絡漏洞Android曝嚴重安全漏洞95%設備存安全隱患2015年7月27日晚間,網(wǎng)絡安全公司Zimperium研究人員爆料,他們在Android設備中發(fā)現(xiàn)了一處安全漏洞,允許黑客在用戶全然不知的情況下遠程訪問Android設備。手機網(wǎng)絡安全漏洞調(diào)查10086短信暗藏病毒鏈接只因為點擊了顯示為“10086”發(fā)來的“積分兌換現(xiàn)金”的鏈接,浙江省湖州市民錢先生的銀行卡里近8000元就被盜取了。類似情況在我國已發(fā)生多起,這種通過短信等多種方式植入手機的木馬程序和釣魚鏈接,正威脅著用戶的個人隱私和財產(chǎn)安全。典型的網(wǎng)絡安全事件安全之手機流量瘋跑多款品牌手機會偷跑流量蘋果手機偷跑最多上海市消保委用10款品牌手機當試驗樣品,驗證在手機待機的情況下,流量“偷跑”的問題,實驗發(fā)現(xiàn)即使是在待機狀態(tài)下,手機“偷跑”流量的情況也非常明顯,有多達9款手機都在此過程中“偷跑”了流量。而在這10款手機里,“偷跑”流量最多的是蘋果手機。曝手機流量瘋跑50G安全防護需重視據(jù)報道,武漢一女子手機一夜流量瘋跑50G,是通信運營商搞得鬼還是自己不小心造成?專家提醒,避免手機異常流量產(chǎn)生,用戶不要下載不明來源軟件,警惕防范手機病毒。典型的網(wǎng)絡安全事件信息安全之網(wǎng)站被黑世預賽國足出線渺茫足協(xié)官網(wǎng)或被黑2015年11月17日,中國國家隊客場與中國香港0:0戰(zhàn)平,2018年世界杯出線機會渺茫。賽后,中國足協(xié)官網(wǎng)疑似被極度失望的球迷黑客攻擊,升級成了網(wǎng)絡安全事件。國外婚外戀網(wǎng)站被黑擁有3700多萬注冊用戶的全球知名婚外戀在線約會網(wǎng)站“AshleyMadison”于7月被黑,共計3300多萬用戶的個人資料統(tǒng)統(tǒng)被黑客竊取并被公布在網(wǎng)上。信息不僅包括很多國際名人,中國也未能幸免。典型的網(wǎng)絡安全事件HackingTeam泄露事件—簡介HackingTeam是一家以協(xié)助政府監(jiān)視公民而“聞名于世”的意大利公司,是為數(shù)不多的幾家向全世界執(zhí)法機構出售監(jiān)控工具的公司之一。他們向包括摩洛哥、埃塞俄比亞以及美國毒品管制局在內(nèi)的政府及執(zhí)法機構出售入侵和監(jiān)視工具。曾因強大的監(jiān)控軟件系統(tǒng)RemoteCodeSystem(RCS)及媒體監(jiān)控工具達芬奇(DaVinci)而出名,卻在2015年馬失前蹄。典型的網(wǎng)絡安全事件HackingTeam泄露事件—過程2015年7月5日,HackingTeam遭遇了大型數(shù)據(jù)攻擊泄漏事件。HackingTeam的官方推特被黑,官方主頁面的banner更名為“HackedTeam”,隨后更新的推文展示了已經(jīng)被竊的數(shù)據(jù),包括公司創(chuàng)始人兼CEOVincentVincenzetti的郵件。原因:系統(tǒng)管理員疏忽大意導致個人電腦被入侵,系統(tǒng)缺少嚴格的身份認證授權使得攻擊者順藤摸瓜進入內(nèi)網(wǎng),不使用數(shù)據(jù)加密技術導致所有敏感數(shù)據(jù)都是明文存放軍火庫被端,至少400G的文件被竊取,失竊的“彈藥”中,包括各種平臺的木馬程序(含源代碼)、未公開漏洞(0day)、大量電子郵件與各種商業(yè)合同、HackingTeam內(nèi)部部分員工的個人資料和密碼。典型的網(wǎng)絡安全事件HackingTeam泄露事件—影響原本只掌握在極少數(shù)頂尖黑客手中漏洞和后門代碼全部公開在互聯(lián)網(wǎng)上,任何人等可以直接下載獲取而因為這些工具的攻擊性較強,只要有相關知識的人都可以加以利用,這等于數(shù)萬噸TNT炸藥讓恐怖分子隨意領取。首當其沖的是普通用戶,本次泄露包括了Flashplayer、Windows字體、IE、Chrome、Word、PPT、Excel、Android的未公開漏洞,覆蓋了大部分的桌面電腦和超過一半的智能手機。這些漏洞很可能會被人利用來進行病毒蠕蟲傳播或者掛馬盜號。上述的漏洞可以用于惡意網(wǎng)站,用戶一旦使用IE或者Chrome訪問惡意網(wǎng)站,很有可能被植入木馬。而OfficeWord、PPT、Excel則會被用于郵件釣魚,用戶一旦打開郵件的附件,就有可能被植入木馬。典型的網(wǎng)絡安全事件HackingTeam泄露事件—影響本次泄露的各平臺的木馬后門程序,會把整個灰色產(chǎn)業(yè)鏈的平均技術水平提高一個檔次。例如全平臺的監(jiān)控能力,以及對微信、whatsapp、skype的監(jiān)控功能等等。在此次事件之前,灰色產(chǎn)業(yè)鏈的軟件工程能力并不高,木馬以隱藏為主,但是界面友好程度和易用性都還有很大的差距,但是本次事件后,任意一個木馬編寫者都可以輕易地掌握這些技術能力。典型的網(wǎng)絡安全事件HackingTeam泄露事件—防護企業(yè)和個人不要隨意打開陌生人發(fā)來的郵件和任何文件,也不要從陌生的網(wǎng)站下載來歷不明的文件;及時更新安全軟件,全面檢測和防御此次HackingTeam公開的漏洞攻擊;企業(yè)應密切關注各大軟件和系統(tǒng)服務商的安全更新,及時下載安裝漏洞補丁。典型的網(wǎng)絡安全事件XcodeGhost后門事件9月14日,國家互聯(lián)網(wǎng)應急中心報告顯示,“開發(fā)者使用非蘋果公司官方渠道的工具Xcode開發(fā)蘋果應用程序(蘋果APP)時,會向正常的蘋果APP中植入惡意代碼。被植入惡意程序的蘋果APP可以在APPStore正常下載并安裝使用。該惡意代碼具有信息竊取行為,并具有進行惡意遠程控制的功能。與以往的病毒嵌入思路不同,XcodeGhost直接把病毒代碼嵌入了開發(fā)工具源頭,這種另類的傳播方式直接讓其在初期的傳播廣度上獲得了非常好的效果,而由于在于國內(nèi)AppStore連接速度太慢,許多程序員為了提高效率,方便下載,會直接從各大論壇和網(wǎng)盤上找第三方資源,因此導致網(wǎng)易云音樂、中國聯(lián)通手機營業(yè)廳、滴滴出行等熱門app紛紛中招。典型的網(wǎng)絡安全事件XcodeGhost后門事件它們會偷偷上傳軟件包名、應用名、系統(tǒng)版本、語言、國家等基本信息。從病毒樣本的分析看,這些泄露信息其實并不涉及太多的隱私問題。值得注意的是,病毒擁有更多的權限,它們在iPhone/iPad上彈出釣魚網(wǎng)站頁面,可能騙取iCloud帳號密碼,或者其他關鍵信息。典型的網(wǎng)絡安全事件典型的網(wǎng)絡安全事件攜程網(wǎng)大面積癱瘓事件2015年5月28日上午11:09,攜程官網(wǎng)和App客戶端大面積癱瘓,多項功能無法使用,攜程方面對此回應稱服務器遭到不明攻擊。直至晚上22時45分,攜程官方才確認除個別業(yè)務外,攜程網(wǎng)站及APP恢復正常,包括預定數(shù)據(jù)在內(nèi)的所以數(shù)據(jù)均沒有丟失。5月29日,攜程發(fā)布官方情況說明稱,此次事件是由于員工錯誤操作,刪除了生產(chǎn)服務器上的執(zhí)行代碼導致。
2014.3月份安全支付日志泄露,導致大量用戶銀行卡信息泄露(包括持卡人姓名、銀行卡號、CVV、pin碼等)典型的網(wǎng)絡安全事件攜程網(wǎng)大面積癱瘓事件影響:若按攜程一季度營收3.37億美元估算,“宕機”一小時的平均損失為106.48萬美元,從癱瘓到修復,攜程“宕機”近12小時,算下來總損失超過1200萬美元,折合人民幣7400多萬。受此影響,攜程股價盤前暴跌11.67%,報72美元。5月28日,在納斯達克掛牌交易的攜程股價開盤跌了3.32%。典型的網(wǎng)絡安全事件主營安防產(chǎn)品的海康威視其生產(chǎn)的監(jiān)控設備被曝嚴重的安全隱患,部分設備已被境外IP地址控制,成為僵尸網(wǎng)絡肉機向外發(fā)起網(wǎng)絡攻擊。成因是管理后臺弱口令和WEB登陸弱口令漏洞安全概述安全定義從安全所涉及層面的角度進行描述,計算機安全定義為,保障計算機及其相關的和配套的設備、設施(網(wǎng)絡)的安全,運行環(huán)境的安全,保障信息安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全。從安全所涉及的安全屬性的角度進行描述,計算機安全定義為,安全涉及到數(shù)據(jù)的機密性、完整性、可用性、可控性。綜合起來說,就是要保障電子信息的有效性。安全概述安全的基本要求真實性機密性完整性可用性抗抵賴性可控制性可審查性信息安全概述安全的影響因素計算機信息系統(tǒng)的使用與管理人員。包括普通用戶、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、系統(tǒng)管理員,其中各級管理員對系統(tǒng)安全承擔重大的責任。系統(tǒng)的硬件部分。包括服務器、網(wǎng)絡通信設備、終端設備、通信線路和個人使用的計算機等。系統(tǒng)的軟件部分。主要包括計算機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用軟件。信息安全概述安全的威脅黑客常識什么是黑客黑客一詞,源于英文Hacker,原指熱心于計算機技術,水平高超的電腦專家,尤其是程序設計人員。但到了今天,黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。早期的黑客通常具有硬件和軟件的高級知識,并有能力通過創(chuàng)新的方法剖析系統(tǒng)?!昂诳汀蹦苁垢嗟木W(wǎng)絡趨于完善和安全,他們以保護網(wǎng)絡為目的,而以不正當侵入為手段找出網(wǎng)絡漏洞。但后期黑客隊伍的結構有所改變,其中有些人已成為信息安全的主要威脅?,F(xiàn)在把威脅計算機信息系統(tǒng)安全的人員通稱為黑客。黑客常識黑客術語肉雞:不是吃的那種,是中了木馬,或者被留了后門,可以被遠程操控的機器,現(xiàn)在許多人把有WEBSHELL權限的機器也叫肉雞。木馬:特洛伊木馬,有盜號專用的木馬,也有遠程控制專用的木馬,如:魔獸木馬生成器、冰河、灰鴿子等。病毒:具有破壞性,傳播性,隱秘性,潛伏性的惡意程序。端口:是計算機與外界通訊交流的出口,不同的端口開放了不同的服務。黑客常識黑客術語后門:這個就是入侵后為方便下次進入肉雞所留下的東西,親切的稱為后門。CRACK:接觸過軟件破解的人一定了解這個詞,CRACKER就是軟件破解者的意思(注意這里有多了個ER),許多共享軟件就是CRACKER來完成破解的,就是現(xiàn)在俗稱的XX軟件破解版。漏洞:漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。黑客常識黑客存在的意義黑客存在的意義就是使網(wǎng)絡變的日益安全完善,然而,也可能讓網(wǎng)絡遭受到前所未有的威脅!哪些人是黑客?31KevinMutnikMutnik’sAdvice他在一次轉機的間隙,寫下了以下十條經(jīng)驗與大家分享?!駛浞葙Y料。記住你的系統(tǒng)永遠不會是無懈可擊的,災難性的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蠕蟲或一只木馬就已足夠?!襁x擇很難猜的密碼。不要沒有腦子地填上幾個與你有關的數(shù)字,在任何情況下,都要及時修改默認密碼?!癜惭b殺毒軟件,并讓它每天更新升級?!窦皶r更新操作系統(tǒng),時刻留意軟件制造商發(fā)布的各種補丁,并及時安裝應用?!癫挥秒娔X時候千萬別忘了斷開網(wǎng)線和電源?!裨贗E或其它瀏覽器中會出現(xiàn)一些黑客釣魚,對此要保持清醒,拒絕點擊,同時將電子郵件客戶端的自動腳本功能關閉?!裨诎l(fā)送敏感郵件時使用加密軟件,也可用加密軟件保護你的硬盤上的數(shù)據(jù)。Mutnik’sAdvice●安裝一個或幾個反間諜程序,并且要經(jīng)常運行檢查。●使用個人防火墻并正確設置它,阻止其它計算機、網(wǎng)絡和網(wǎng)址與你的計算機建立連接,指定哪些程序可以自動連接到網(wǎng)絡。●關閉所有你不使用的系統(tǒng)服務,特別是那些可以讓別人遠程控制你的計算機的服務,如RemoteDesktop、RealVNC和NetBIOS等?!癖WC無線連接的安全。在家里,可以使用無線保護接入WPA和至少20個字符的密碼。正確設置你的筆記本電腦,不要加入任何網(wǎng)絡,除非它使用WPA。
“要想在一個充滿敵意的因特網(wǎng)世界里保護自己,的確是一件不容易的事。你要時刻想著,在地球另一端的某個角落里,一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞,并利用它們竊取你最敏感的秘密。希望你不會成為這些網(wǎng)絡入侵者的下一個犧牲品。”黑客常識著名黑客事件1983年,凱文·米特尼克因被發(fā)現(xiàn)使用一臺大學里的電腦擅自進入今日互聯(lián)網(wǎng)的前身ARPA網(wǎng),并通過該網(wǎng)進入了美國五角大樓的的電腦,而被判在加州的青年管教所管教了6個月。1995年,來自俄羅斯的黑客弗拉季米爾·列寧在互聯(lián)網(wǎng)上上演了精彩的偷天換日,他是歷史上第一個通過入侵銀行電腦系統(tǒng)來獲利的黑客,1995年,他侵入美國花旗銀行并盜走一千萬,他于1995年在英國被國際刑警逮捕,之后,他把帳戶里的錢轉移至美國、芬蘭、荷蘭、德國、愛爾蘭等地。黑客常識著名黑客事件2000年,年僅15歲,綽號黑手黨男孩的黑客在本年2月6日到2月14日情人節(jié)期間成功侵入包括雅虎、eBay和Amazon在內(nèi)的大型網(wǎng)站服務器,他成功阻止服務器向用戶提供服務,他于2000年被捕。2010年1月12日上午7點鐘開始,全球最大中文搜索引擎“百度”遭到黑客攻擊,長時間無法正常訪問。主要表現(xiàn)為跳轉到一雅虎出錯頁面、伊朗網(wǎng)軍圖片,出現(xiàn)“天外符號”等,范圍涉及四川、福建、江蘇、吉林、浙江、北京、廣東等國內(nèi)絕大部分省市。這次攻擊百度的黑客疑似來自境外,利用了DNS記錄篡改的方式。今天的網(wǎng)絡犯罪產(chǎn)業(yè)鏈36黑客常識黑客常用手段網(wǎng)絡掃描網(wǎng)絡嗅探拒絕服務欺騙用戶特洛伊木馬緩沖器溢出口令破譯社交工程黑客常識—常用入侵步驟采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權限提升為最高權限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務獲取系統(tǒng)一定權限提升為最高權限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取替換信息作為其他用途滲透測試什么是滲透測試?滲透測試是受信任的第三方進行的一種評估網(wǎng)絡安全的活動,它通過對企業(yè)網(wǎng)絡進行各種手段的攻擊來找出系統(tǒng)存在的漏洞,從而給出網(wǎng)絡系統(tǒng)存在安全風險的一種實踐活動。通過模擬現(xiàn)實的網(wǎng)絡攻擊,滲透測試證實惡意攻擊者有可能獲取或破壞企業(yè)的數(shù)據(jù)資產(chǎn)。滲透測試滲透測試與黑客入侵的區(qū)別:滲透測試為模擬黑客攻擊測試,但兩者也有區(qū)別,滲透測試是“面”的測試,黑客攻擊是“深度”測試。前者講究廣泛度,后者講究破壞性。滲透測試滲透測試必要性:1、發(fā)現(xiàn)企業(yè)的安全缺陷,協(xié)助企業(yè)有效的了解目前降低風險的初始任務。2、一份齊全有效的測試報告可以協(xié)助IT管理者了解目前的安全現(xiàn)狀,增強信息安全的認知度,提高安全意識。3、信息安全是一個整體工程,滲透測試有助于組織中所有成員安全意識加強,有助于內(nèi)部安全提升。滲透測試滲透測試方法分類:1、黑盒測試(Black-box):滲透測試人員不具備公司網(wǎng)絡的任何信息。2、白盒測試(White-box):滲透測試人員已經(jīng)具備內(nèi)部網(wǎng)絡完整信息。3、灰盒測試(Gray-box):測試人員模擬內(nèi)部雇員,有一個內(nèi)部網(wǎng)絡的賬戶,并擁有了訪問網(wǎng)絡的標準方法。滲透測試滲透測試的五個階段:1、偵察:收集目標網(wǎng)絡信息的最初階段;2、掃描:查詢活動系統(tǒng),抓取網(wǎng)絡共享、用戶、用戶組及特定應用程序信息;3、獲取訪問:實際滲透過程;4、維持訪問:系統(tǒng)口令截獲及破解,后門程序放置到目標系統(tǒng)中,方便以后使用;5、擦除日志:刪除日志文件、系統(tǒng)后門、提權工具等,恢復滲透之前的系統(tǒng)狀態(tài)。網(wǎng)絡安全簡介本課程主要講述有關于網(wǎng)絡安全的一些知識。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。學習目標通過對本節(jié)的學習:對網(wǎng)絡安全的基本概念、基本理論和基本應用有全面的理解。了解網(wǎng)絡安全中遇到的威脅和潛在的風險。了解常見的網(wǎng)絡攻擊方法和手段。理解和掌握一些針對網(wǎng)絡攻擊的防范手段。了解安全防護產(chǎn)品網(wǎng)絡安全概述網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。網(wǎng)絡安全概述網(wǎng)絡安全目標:可靠性網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性??捎眯跃W(wǎng)絡信息可被授權實體訪問并按需求使用的特性。保密性網(wǎng)絡信息不被泄露給非授權的用戶、實體或過程,或供其利用的特性。網(wǎng)絡安全概述完整性網(wǎng)絡信息未經(jīng)授權不能進行改變的特性。即網(wǎng)絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。不可抵賴性網(wǎng)絡信息系統(tǒng)的信息交互過程中,確信參與者的真實同一性??煽匦钥煽匦允菍W(wǎng)絡信息的傳播及內(nèi)容具有控制能力的特性。網(wǎng)絡安全概述實際效果進不來拿不走改不了跑不了看不懂可審查面臨的風險和威脅存在的風險和威脅自然災害人為行為內(nèi)部泄密信息丟失網(wǎng)絡自身缺陷病毒、惡意代碼有目的攻擊行為面臨的風險和威脅自然災害網(wǎng)絡中存儲或傳輸信息的設備及線路等。會遭受到不可抗力的自然力量的破壞。火災、水災、風暴、雷電等對網(wǎng)絡的破壞,以及環(huán)境(溫度、濕度、震動、沖擊、污染)對網(wǎng)絡狀況的影響。面臨的風險和威脅人為行為人為的操作失誤,人員安全意識差等對網(wǎng)絡構成的威脅。管理員的配置操作失誤,配置項沖突,配置項失效等對網(wǎng)絡構成的威脅。人員濫用網(wǎng)絡資源,越權使用資源,不遵行相關安全管理制度。安全策略執(zhí)行不到位。內(nèi)部人員被攻擊者社工。面臨的風險和威脅內(nèi)部泄密內(nèi)部人員處于利益、人情等原因,將自己所掌握的信息給其他人員?;蛘邽槠渌藝L試獲取相關資料。離職人員處于報復或者其他原因,泄露在職時所掌握的信息。內(nèi)部資料處理不當。面臨的風險和威脅信息丟失由于各類非常規(guī)操作或意外事故,造成存儲信息的介質(zhì)丟失。存儲信息的介質(zhì)上信息失效,信息無法正常讀取。由于口令丟失或失效,造成的信息孤島。存儲介質(zhì)殘留信息泄露。面臨的風險和威脅網(wǎng)絡自身缺陷網(wǎng)絡協(xié)議、軟件、各類網(wǎng)絡設備、各類應用程序等自身存在的安全缺陷?,F(xiàn)階段無法解決的技術缺陷網(wǎng)絡設計錯誤代碼缺陷面臨的風險和威脅病毒、惡意代碼影響信息系統(tǒng)正常運行,惡意破壞系統(tǒng)正常功能。竊取系統(tǒng)信息。Joker代碼程序SQLinjection、XSS、CRSF等面臨的風險和威脅有目的的攻擊行為DOS及DDOSARP弱口令猜解、口令破解欺騙、嗅探、偽裝、社工面臨的風險和威脅DOS及DDOSDOS--拒絕服務攻擊:是指攻擊者通過某種手段,有意地造成信息系統(tǒng)不能向合法用戶提供所需要的服務或者使得服務質(zhì)量降低。DDOS--分布式拒絕服務攻擊:處于不同位置的多個攻擊者同時向一個或者數(shù)個目標發(fā)起攻擊,或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊,由于攻擊的發(fā)出點是分布在不同地方的,這類攻擊稱為分布式拒絕服務攻擊。面臨的風險和威脅DDOS之虛假源地址攻擊特點:1.攻擊隱蔽性:由于攻擊報文中沒有包含攻擊者的真實地址,黑客可以有效的躲避追查。2.攻擊便宜性:黑客只需利用少數(shù)甚至單臺服務器,就可以偽造出數(shù)以百萬計的攻擊IP地址,達到大規(guī)模DDoS攻擊的效果。由于攻擊IP的數(shù)量巨大且為隨機構造,導致針對攻擊源IP的防護手段失去效果。面臨的風險和威脅DDOS之虛假源地址攻擊特點:3.攻擊流量巨大:黑客利用少數(shù)放置在IDC機房的肉雞服務器,利用IDC高帶寬資源,發(fā)動大流量的DDoS攻擊。4.攻擊可控性:發(fā)起DDoS攻擊的服務器大多是黑客自己的服務器或者租用IDC機房服務器,完全受黑客控制,黑客可以隨時根據(jù)被攻擊目標的防護手段變換攻擊方式以及攻擊流量。面臨的風險和威脅DDOS之虛假源地址攻擊整治策略:根本是使虛假源地址流量在源頭無法發(fā)出。目前主要采用的防范策略包括URPF(UnicastReversePathForwarding,單播逆向路徑轉發(fā))和ACL(AccessControlList,訪問控制列表)面臨的風險和威脅DDOS之虛假源地址攻擊URPF:1.URPF通過獲取報文的源地址和入接口,以源地址為目的地址,在轉發(fā)表中查找源地址對應的記錄。2.若報文的源地址在轉發(fā)表中:對于嚴格型檢查,反向查找(以報文源地址為目的地址查找)報文出接口,若至少有一個出接口和報文入接口相匹配,則報文通過檢查;否則被拒絕;對于松散型檢查,報文被正常轉發(fā)。3.若報文的源地址不在轉發(fā)表中,則檢查缺省路由和URPF的allow-default-route參數(shù)。面臨的風險和威脅DDOS之虛假源地址攻擊URPF的優(yōu)點:可以有效阻斷該路由器網(wǎng)內(nèi)發(fā)出的虛假源地址流量;可以自適應路由表的變化,不需要人工維護。URPF的缺點:需要設備支持;對于骨干路由器,嚴格型的URPF可能影響正常業(yè)務。面臨的風險和威脅DDOS之虛假源地址攻擊ACL的優(yōu)點:配置更靈活,也無需設備支持。ACL的缺點:因為根據(jù)內(nèi)網(wǎng)地址進行配置,一旦網(wǎng)絡發(fā)生變化,需及時調(diào)整指令列表,維護壓力較大。面臨的風險和威脅DOS之smurf攻擊攻擊者使用廣播地址發(fā)送大量的欺騙icmpecho請求,如果路由器執(zhí)行了三層廣播到二層廣播轉換(定向廣播),那么,同一ip網(wǎng)段的大量主機會向該欺騙地址發(fā)送icmpecho應答,導致某一主機(具有欺騙地址)收到大量的流量,從而導致了DoS攻擊。面臨的風險和威脅ARP攻擊原理:偽造IP地址和MAC地址進行ARP欺騙,在局域網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞。如果持續(xù)不斷的發(fā)出偽造的ARP響應包,則能更改目標主機ARP緩存中的IP-MAC條目,造成網(wǎng)絡中斷或中間人攻擊。面臨的風險和威脅ARP攻擊之中間人攻擊攻擊者向目標主機和網(wǎng)關同時主動發(fā)起ARP回應,告訴對方自己是對方的目標MAC,從而讓被欺騙主機和網(wǎng)關發(fā)送給對方的數(shù)據(jù)都在攻擊主機處進行一個跳轉,使其完成竊取信息的目的。面臨的風險和威脅ARP攻擊之中斷攻擊攻擊著向被攻擊主機主動發(fā)起ARP回應,告知對方錯誤的網(wǎng)關MAC,從而讓對方的數(shù)據(jù)發(fā)往錯誤甚至是不存在的MAC地址處,從而造成網(wǎng)絡中斷。如果同時對網(wǎng)絡中的所有主機進行攻擊,則會導致整個局域網(wǎng)全部斷網(wǎng)。面臨的風險和威脅TCPsynflood攻擊攻擊者使用虛假地址在短時間內(nèi)向目標主機發(fā)送大量的tcpsyn連接請求,目標主機無法完成tcp三次握手,導致目標主機的連接隊列被充滿,最終造成目標主機拒絕為合法用戶提供tcp服務。面臨的風險和威脅TCP會話劫持攻擊者對兩臺通信主機的信息流進行監(jiān)視,通過猜測會話序列號可能注入其中一臺主機的信息流,當合法主機與網(wǎng)絡的連接被斷開后,攻擊者使用合法主機的訪問權繼續(xù)進行會話。面臨的風險和威脅網(wǎng)絡釣魚攻擊之網(wǎng)頁釣魚偽裝為合法的或正常的各類正常網(wǎng)頁,等待或者誘騙用戶輸入相關個人信息,個人口令信息。主要有相似URL、偽裝URL、URL轉向、IDN欺騙等面臨的風險和威脅以假亂真,視覺陷阱域名類似
身份偽裝
admin@?改寫URL&item=q20299@/pub/msk/Q20299.asp編碼http://3633633987DNS劫持+Phishing面臨的風險和威脅網(wǎng)絡釣魚攻擊之郵件釣魚偽裝為合法的或正常的客服郵件、系統(tǒng)郵件、調(diào)查郵件、回訪郵件,誘騙用戶輸入相關個人信息,個人口令信息?;蛘呃糜脩舻暮闷嫘睦恚粍诙@心理,誘騙用戶點擊構造的惡意連接。面臨的風險和威脅嗅探、暴力破解攻擊者通過直接嗅探的方式,獲取同網(wǎng)段其他用戶的信息。針對采用口令認證的設備或應用,進行窮舉嘗試、字典嘗試、常用口令嘗試等暴力破解。面臨的風險和威脅偽造無線接入點攻擊者偽造無線接入點。誘騙用戶接入該AP,進行中間人攻擊、信息竊取等攻擊行為。面臨的風險和威脅破解無線接入口令攻擊者嘗試破解無線加入口令。達到接入無線網(wǎng)絡,控制無線接入點,滲透內(nèi)網(wǎng)的目的。面臨的風險和威脅破解無線接入口令WEP口令破解WPA/WPA2口令破解面臨的風險和威脅破解無線接入口令PIN碼破解窮舉PIN碼計算某些存在缺陷的設備的PIN碼面臨的風險和威脅破解無線接入口令認證繞過方式3A+portal認證繞過設備登錄認證繞過檢查、加固檢查漏洞掃描。通過掃描軟件或者硬件掃描器,發(fā)現(xiàn)現(xiàn)有網(wǎng)絡中存在的問題。例如:主機存在哪些漏洞,存在哪些弱口令等。策略檢查。通過腳本執(zhí)行或者登機檢查,檢查常用安全策略配置情況。檢查、加固加固在網(wǎng)絡信息系統(tǒng)建設規(guī)劃時,將安全納入到方案規(guī)劃之中。對網(wǎng)絡管理及員工進行安全培訓,增強安全意識。建立完善的安全管理流程,制度嚴格的規(guī)章制度。重要數(shù)據(jù)參考備份策略,進行定期備份。檢查、加固加固嚴格的人員安全管理,例如保密協(xié)議,權限申請,變更。人員離職權限資料交接。配置策略或者使用設備,控制內(nèi)網(wǎng)資源訪問。配置多層次的安全策略,定期檢查。周期性、常態(tài)化的進行安全掃描和加固。檢查、加固加固之DOS攻擊在路由器和防火墻部署防ip源地址欺騙在路由器和防火墻啟用防御DoS安全特性路由器tcp攔截、常用ACL策略防火墻tcp連接監(jiān)控部署網(wǎng)絡和主機IDS/IPS檢測和防御DoS攻擊檢查、加固加固之smurf攻擊關閉路由器或三層交換機的定向廣播功能。檢查、加固加固之ARP攻擊終端和網(wǎng)關雙綁定安裝使用ARP防火墻劃分VLAN和交換機端口綁定檢查、加固加固之無線安全關閉DHCP服務在無線網(wǎng)絡中,很多情況下,開啟了DHCP服務,任何用戶均可以獲取到合法的IP地址。關閉DHCP服務,設置本網(wǎng)段的IP地址為非常用IP段,這樣可以讓非法接入的無線用戶無法獲取到正確的IP地址,從而無法正常使用網(wǎng)絡資源。檢查、加固加固之無線安全隱藏服務集標識符(SSID)如果配置AP向外廣播其SSID,則所有客戶端均可以搜尋到該接入點。通過對無線接入點AP(AccessPoint)設置隱藏SSID,并要求接入方設置正確的SSID才能連接無線網(wǎng)絡,此時可以認為SSID是一個簡單的口令,從而提供一定的安全。檢查、加固加固之無線安全修改默認SSID或設置中文SSID在無線網(wǎng)絡中,很多情況下,無線網(wǎng)絡管理員開啟無線網(wǎng)絡后不會修改默認SSID。雖然看上去沒有什么安全威脅,但是默認SSID為攻擊者提供了很多方面的便利,例如,獲知設備的型號,針對無線網(wǎng)絡接入口令的破解。檢查、加固加固之無線安全MAC地址過濾由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方法的劣勢是AP中的MAC地址列表必需隨時更新,可擴展性差。而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡規(guī)模網(wǎng)絡安全防護產(chǎn)品防火墻在網(wǎng)絡間(內(nèi)部/外部網(wǎng)絡、不同信息級別)提供安全連接的設備。用于實現(xiàn)和執(zhí)行網(wǎng)絡之間通信的安全策略。網(wǎng)絡安全防護產(chǎn)品防火墻防火墻分為是軟件防火墻、硬件防火墻和軟硬件結合的硬件防火墻根據(jù)采用的技術不同,可分為:簡單包過濾、應用代理、狀態(tài)檢測(狀態(tài)包過濾)防火墻、復合型防火墻網(wǎng)絡安全防護產(chǎn)品IDS(入侵檢測系統(tǒng))自動檢測入侵行為;監(jiān)視網(wǎng)絡流量(NetworkIDS)和主機(HostIDS)中的操作;分析入侵行為:基于特征基于異常行為按預定的規(guī)則做出響應:阻止指定的行為。監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey網(wǎng)絡安全防護產(chǎn)品網(wǎng)絡安全防護產(chǎn)品IDS的分類按檢測方法異常檢測基于規(guī)則統(tǒng)計分析神經(jīng)網(wǎng)絡特征檢測基于規(guī)則模式匹配狀態(tài)轉換分析神經(jīng)網(wǎng)絡網(wǎng)絡安全防護產(chǎn)品IDS的分類按檢測范圍基于主機以代理軟件的形式安裝在每臺主機或服務器上基于網(wǎng)絡接入網(wǎng)絡,感應器部署在網(wǎng)絡的關鍵位置基于網(wǎng)絡節(jié)點安裝在網(wǎng)絡節(jié)點的主機中網(wǎng)絡安全防護產(chǎn)品IDS的部署方式共享模式和交換模式:從HUB上的任意一個接口,或者在交換機上做端口鏡像的端口上收集信息。隱蔽模式:在其他模式的基礎上將探測器的探測口IP地址去除,使得IDS在對外界不可見的情況下正常工作。Tap模式:以雙向監(jiān)聽全雙工以太網(wǎng)連接中的網(wǎng)絡通信信息,能捕捉到網(wǎng)絡中的所有流量,能記錄完整的狀態(tài)信息,使得與防火墻聯(lián)動或發(fā)送Reset包更加容易。In-line模式:直接將IDS串接在通信線路中,位于交換機和路由器之間。這種模式可以將威脅通信包丟棄,以實時阻斷網(wǎng)絡攻擊?;旌夏J剑和ㄟ^監(jiān)聽所有連接到防火墻的網(wǎng)段,全面了解網(wǎng)絡狀況。網(wǎng)絡安全防護產(chǎn)品入侵檢測系統(tǒng)與防火墻的區(qū)別所在的位置不同防火墻是安裝在網(wǎng)關上,將可信任區(qū)域和非可信任區(qū)域分開,對進出網(wǎng)絡的數(shù)據(jù)包進行檢測,實現(xiàn)訪問控制。一個網(wǎng)段只需要部署一個防火墻。而NIDS是可以裝在局域網(wǎng)內(nèi)的任何機器上,一個網(wǎng)段內(nèi)可以裝上數(shù)臺NIDS引擎,由一個總控中心來控制。防范的方向不同防火墻主要是實現(xiàn)對外部網(wǎng)絡和內(nèi)部網(wǎng)絡通訊的訪問控制,防止外部網(wǎng)絡對內(nèi)部網(wǎng)絡的可能存在的攻擊。網(wǎng)絡入侵檢測系統(tǒng)在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行檢測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,防止內(nèi)外部的惡意攻擊和網(wǎng)絡資源濫用。檢測的細粒度不同防火墻為了實現(xiàn)快速的網(wǎng)絡包轉換,故只能對網(wǎng)絡包的IP和端口進行一些防黑檢測,比如端口掃描。可是對通過IIS漏洞及Nimda病毒之類的網(wǎng)絡入侵,防火墻是毫無辦法。而網(wǎng)絡入侵檢測系統(tǒng)則可以擁有更多特征的入侵數(shù)據(jù)特征庫,可以對整個網(wǎng)絡包進行檢查過濾。網(wǎng)絡安全防護產(chǎn)品IPS(入侵防御系統(tǒng))IPS是一種集入侵檢測和防御于一體的安全產(chǎn)品,它不但能檢測入侵的發(fā)生,而且能通過一定的響應方式,實時地中止入侵行為的發(fā)生和發(fā)展,實時地保護信息系統(tǒng)不受實質(zhì)性的攻擊。IPS使得IDS和防火墻走向統(tǒng)一。IPS=防火墻+入侵檢測系統(tǒng)。網(wǎng)絡安全防護產(chǎn)品IPS(入侵防御系統(tǒng))IPS采取主動式的防御機制,以透明模式串聯(lián)于網(wǎng)絡中,能夠?qū)崟r阻斷攻擊;部署在網(wǎng)絡關鍵點上;過濾阻斷的是攻擊包而非攻擊源。采用多種檢測技術,準確度高:特征分析;協(xié)議異常分析;行為異常分析。采用硬件加速技術,處理性能高,不影響網(wǎng)絡的正常運行。網(wǎng)絡安全防護產(chǎn)品網(wǎng)閘網(wǎng)閘是在兩個不同安全域之間,通過協(xié)議轉換的手段,以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換,且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應用服務。在信息擺渡的過程中內(nèi)外網(wǎng)(上下游)從未發(fā)生物理連接,所以“網(wǎng)閘產(chǎn)品”必須要有至少兩套主機和一個物理隔離部件才可完成物理隔離任務。網(wǎng)閘主要用于在兩個物理隔離的網(wǎng)絡之間進行安全的數(shù)據(jù)交換。網(wǎng)絡安全防護產(chǎn)品網(wǎng)閘網(wǎng)閘的工作原理是:切斷網(wǎng)絡之間的通用協(xié)議連接;將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù);對靜態(tài)數(shù)據(jù)進行安全審查,包括網(wǎng)絡協(xié)議檢查和代碼掃描等;確認后的安全數(shù)據(jù)流入內(nèi)部單元;內(nèi)部用戶通過嚴格的身份認證機制獲取所需數(shù)據(jù)。網(wǎng)絡安全防護產(chǎn)品網(wǎng)閘與防火墻的區(qū)別網(wǎng)閘采用雙主機系統(tǒng),內(nèi)端機與需要保護的內(nèi)部網(wǎng)絡連接,外端機與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護起來,即使外網(wǎng)被黑客攻擊,甚至癱瘓,也無法對內(nèi)網(wǎng)造成傷害。防火墻是單主機系統(tǒng);網(wǎng)閘采用自身定義的私有通訊協(xié)議,避免了通用協(xié)議存在的漏洞。防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議;網(wǎng)閘采用專用硬件控制技術保證內(nèi)外網(wǎng)之間沒有實時連接。而防火墻必須保證實時連接;計算機病毒病毒的概念能夠引起計算機故障,破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。1994年2月18日,我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,在《條例》第二十八條中明確指出:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復制的一組計算機指令或者程序代碼?!贝硕x具有法律性和權威性。病毒的特征1)傳染性。這是病毒的基本特征,是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。2)隱蔽性。病毒為了保護自己,一般體積很小,放置位置隱蔽,經(jīng)過加密和加殼處理。3)潛伏性。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作,它可長期隱藏在系統(tǒng)中,悄悄地繁殖和擴散。4)破壞性(表現(xiàn)性)。任何病毒只要侵入系統(tǒng),都會對系統(tǒng)及應用程序產(chǎn)生程度不同的影響,或占用系統(tǒng)資源,或破壞數(shù)據(jù)甚至硬件。表現(xiàn)和破壞是病毒的最終目的。5)不可預見性。從對病毒的檢測方面來看,病毒有不可預見性。6)觸發(fā)性。滿足觸發(fā)條件時,病毒會實施傳染、破壞操作。7)針對性。有一定的環(huán)境要求,并不一定對任何系統(tǒng)都能感染。8)依附性。病毒依附在合法的可執(zhí)行程序上。舉例:飛客病毒(confickerorkido)“飛客”是一種針對Windows操作系統(tǒng)的蠕蟲病毒,最早在2008年11月21日出現(xiàn)?!帮w客”利用WindowsPRC遠程連接調(diào)用服務存在的高危漏洞(MS08-067)入侵互聯(lián)網(wǎng)上未進行有效防護的主機,通過局域網(wǎng)、U盤等方式快速傳播,并且會停用感染主機的一系列Windows服務,包括WindowsAutomaticUpdate、WindowsSecurityCenter、WindowsDefener及WindowsErrorReporting。舉例:飛客病毒(confickerorkido)經(jīng)過長達4年的傳播,“飛客”病毒衍生了多個變種,構建了一個包含數(shù)千萬被控主機的攻擊平臺,不僅能夠被利用用于大范圍的網(wǎng)絡欺詐和信息竊取,而且能夠被利用發(fā)動無法阻擋的大規(guī)模拒絕服務攻擊,甚至可能成為有力的網(wǎng)絡戰(zhàn)工具。2012年,全球互聯(lián)網(wǎng)月均有超過2800萬個主機IP感染飛客病毒,其中中國占14.3%,為349萬個。
感染飛客病毒以后的癥狀:禁用部分系統(tǒng)服務,如windows系統(tǒng)更新,windows安全中心、windowsDefender、后臺智能傳輸服務(BITS)和windows錯誤報告。病毒體駐留windows活動進程中,如svchost.exe,explorer.exe和services.exe。創(chuàng)建一個Http服務器并打開一個1024到10000之間的隨機端口,用于向其他被感染主機提供病毒副本下載服務。被感染主機帳戶鎖定政策被自動復位。系統(tǒng)網(wǎng)絡變得異常緩慢,可以從檢測的網(wǎng)絡流量圖和windows任務管理器中看出和殺毒軟件、Windows系統(tǒng)更新有關的網(wǎng)站無法訪問舉例:飛客病毒(confickerorkido)防火墻防火墻的概念防火墻是一個或一組實施訪問控制策略的系統(tǒng)。是內(nèi)部系統(tǒng)和外部網(wǎng)之間加強訪問控制的系統(tǒng)。本質(zhì)上是一種保護裝置。其基本手段是隔離。當用戶決定需要使用某種水平的連接時,就由防火墻來保證不允許出現(xiàn)其他超出此范圍的訪問行為。防火墻用來保證所有用戶都遵守訪問控制策略。防火墻的設計目標防火墻的特征是和其設計目標密切相關的,下面列出了一些防火墻的主要設計目標:內(nèi)部網(wǎng)和外部網(wǎng)之間的所有通信都必須經(jīng)過防火墻,物理阻塞所有不經(jīng)過防火墻的網(wǎng)絡訪問通道。只有被認可的網(wǎng)絡通信量,并在本地安全策略中進行定義后,才允許通過防火墻。防火墻對滲透應是免疫的(理想之一)。這一點除了針對防火墻自身的安全性能外,還暗示了防火墻的運行平臺也應是安全的。防火墻使用的通用技術防火墻用來控制訪問和執(zhí)行站點安全策略的通用技術:服務控制:確定允許訪問的Internet服務的類型,分為入站或出站兩類。防火墻可以根據(jù)IP地址和端口號對通信量進行過濾;也可以通過代理軟件在傳遞每個服務請求之前進行過濾。方向控制:確定特定的服務請求可以發(fā)起并允許通過防火墻流動的方向。用戶控制:根據(jù)賦予某個用戶訪問服務的權限來控制特定服務的訪問。該特征可應用于防火墻邊界以內(nèi)的用戶(本地用戶),也可以應用于來自外部用戶的進入通信量。行為控制:控制如何使用特定的服務。如防火墻可以過濾電子郵件來消除垃圾郵件,或者可以控制外部主機對本地www服務器信息的訪問范圍。防火墻的主要功能定義了單個安全檢查點。單個檢查點的使用簡化了安全管理。提供了監(jiān)視與安全有關事件的場所。在防火墻系統(tǒng)中可以實現(xiàn)審計和告警。是一些與安全無關的Internet功能的自然集成平臺。這些功能包括網(wǎng)絡地址轉換、審計和記錄Internet使用日志等網(wǎng)絡管理功能??梢宰鳛镮PSec的平臺。防火墻可以被用來實現(xiàn)虛擬專用網(wǎng)。防火墻的局限性防火墻不能抵抗最新的未設置策略的攻擊漏洞。防火墻的并發(fā)連接數(shù)限制容易導致?lián)砣蛘咭绯?。防火墻對服務器合法開放的端口的攻擊大多無法阻止。防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻止。防火墻本身也會出現(xiàn)問題和受到攻擊。防火墻體系結構任何防火墻都能夠為與互聯(lián)網(wǎng)相連的私有網(wǎng)絡提供安全防護,但防護的等級卻不盡相同,它和防火墻所選用的體系結構直接相關。大多數(shù)可得到的商品化防火墻都使用了如下防火墻體系結構中的一種或多種:
靜態(tài)包過濾(staticpacketfilter)
動態(tài)包過濾(statefulinspection)
電路級網(wǎng)關(circuitlevelgateway)
應用級網(wǎng)關(applicationlevelgateway)所有的防火墻都是通過檢查協(xié)議運行所產(chǎn)生的信息來實現(xiàn)安全防護的,因此了解防火墻所工作的OSI層次是理解不同類型防火墻體系結構的關鍵之一。1靜態(tài)包過濾包過濾防火墻是最早的防火墻體系結構之一,靜態(tài)包過濾器工作在網(wǎng)絡層,通過檢查IP首部和運輸層首部中的特殊字段來決定包的轉發(fā)。包括源和目的IP地址、協(xié)議字段(定義了運輸層協(xié)議)和TCP或UDP端口號。轉發(fā)包之前,防火墻將IP首部、傳輸層首部與用戶預先定義的規(guī)則表進行比較,表中的規(guī)則告訴防火墻允許或拒絕包的通過,表中規(guī)則被按序掃描直到找出一條相匹配的規(guī)則。如果在表中沒有發(fā)現(xiàn)與該包相匹配的規(guī)則,則使用缺省規(guī)則。缺省規(guī)則典型情況是指示防火墻丟棄不滿足任何規(guī)則的包。兩種處理策略:拒絕允許對于靜態(tài)包過濾防火墻,管理員可以:根據(jù)IP首部的地址信息制定規(guī)則,拒絕或轉發(fā)去往和來自某個IP地址或某個IP地址范圍的數(shù)據(jù)包。根據(jù)傳輸層首部信息制定規(guī)則,拒絕或轉發(fā)去往與特定服務相關的端口的數(shù)據(jù)包。根據(jù)IP首部的協(xié)議信息制定規(guī)則。配置包過濾規(guī)則配置的難點是要特別注意過濾規(guī)則進入規(guī)則庫的順序,因為以后對包的過濾是根據(jù)規(guī)則庫中規(guī)則排列的先后順序進行的。盡管管理員可以按照適當?shù)膬?yōu)先級順序創(chuàng)建有效的過濾規(guī)則,但靜態(tài)包過濾器有一些固有的缺陷:靜態(tài)包過濾器僅根據(jù)IP分組首部和TCP包首部檢查數(shù)據(jù),它并不知道真實地址和偽造地址間區(qū)別。靜態(tài)包過濾器只檢查數(shù)據(jù)包的源-目的地址和源-目的端口號,黑客可以將攻擊命令或數(shù)據(jù)隱藏在包中不被檢查的部分中。這種攻擊方法稱為秘密通道攻擊。靜態(tài)包過濾器不了解協(xié)議的運行狀態(tài)(notstateaware)。靜態(tài)包過濾結構的優(yōu)點:對網(wǎng)絡性能的影響低;成本低,目前許多操作系統(tǒng)都已具有這種功能。靜態(tài)包過濾結構的缺點:由于工作在網(wǎng)絡層和傳輸層,所以僅檢查IP分組首部和TCP包首部,無法了解數(shù)據(jù)包的載荷;缺乏狀態(tài)感知能力;創(chuàng)建規(guī)則表有一定難度;只能提供低等級的安全防護。2動態(tài)包過濾動態(tài)包過濾器是由靜態(tài)包過濾器演化而來,它繼承了許多靜態(tài)包過濾器的局限性,但有一個重要的區(qū)別:狀態(tài)感知能力。典型的動態(tài)包過濾器工作在網(wǎng)絡層,有些先進的動態(tài)包過濾器可以在運輸層運行。通常,接收或拒絕一個包是依據(jù)對包的IP首部和運輸層首部的檢查,檢查的內(nèi)容有:源IP地址;目的IP地址;應用或協(xié)議;源端口;目的端口。典型的動態(tài)包過濾器“知道”新連接和已建立連接之間的區(qū)別。一旦一個連接被建立,該連接便被記入表中(此表駐留內(nèi)存),隨后到來的包都與內(nèi)存中的這張表進行比較,如果包屬于一個現(xiàn)存的連接,就放行而不必進行其他檢查。比較過程通常是由運行在操作系統(tǒng)核心級的軟件來完成。動態(tài)包過濾器的性能要優(yōu)于靜態(tài)包過濾器。動態(tài)包過濾結構的優(yōu)點:當支持SMP時,對網(wǎng)絡性能的影響是所有結構中最低的;成本低;具有狀態(tài)感知能力。動態(tài)包過濾結構的缺點:由于工作在網(wǎng)絡層和傳輸層,所以僅檢查IP分組首部和TCP包首部,無法了解數(shù)據(jù)包的載荷;創(chuàng)建規(guī)則表有一定難度;只能提供低等級的安全防護;易受IP欺騙攻擊;如果不按照RFC建議的三次握手過程確定連接的建立,將引入附加的風險。3電路級網(wǎng)關電路級網(wǎng)關工作在會話層(OSI模型的第5層),在許多方面,電路級網(wǎng)關是包過濾器的簡單擴充。除了進行基本的包過濾操作外,電路級網(wǎng)關在連接建立過程中要驗證握手標志和包序號的合法性。在開放一個通過防火墻的連接(或電路)之前,電路級網(wǎng)關檢查和驗證TCP和UDP會話。因此,電路級網(wǎng)關進行判斷時所依賴的數(shù)據(jù)比靜態(tài)或動態(tài)包過濾器要多。通常,接收或拒絕一個包是依據(jù)對包的IP首部和運輸層首部的檢查,檢查的內(nèi)容有:源IP地址;目的IP地址;應用或協(xié)議;源端口;目的端口;握手標志和包序號與包過濾器類似,在轉發(fā)某個包之前,電路級網(wǎng)關將該包的IP首部和運輸層首部與用戶預先定義的規(guī)則表進行比較,表中的規(guī)則指示防火墻是否應該讓包通過。然后,電路級網(wǎng)關將確定請求會話的合法性,僅當TCP握手過程所包括的SYN標志、ACK標志和包序號是合法的,這個在可信客戶與不可信主機之間的會話才是合法的。電路級網(wǎng)關不允許端到端的TCP連接,因此,網(wǎng)關建立了兩個TCP連接,一個是防火墻本身到內(nèi)部可信任主機上某個TCP用戶的連接,另個是網(wǎng)關到外部不可信主機上某個TCP用戶的連接。一旦兩個連接都已建立,網(wǎng)關典型地從一個連接向另一個連接轉發(fā)TCP報文段,而不檢查其內(nèi)容。安全功能體現(xiàn)在決定哪些連接是允許建立的。電路級網(wǎng)關的優(yōu)點:對網(wǎng)絡性能的影響小到適中;不允許端到端的直接連接;比動態(tài)包過濾的安全性要高。電路級網(wǎng)關的缺點:允許任何數(shù)據(jù)不經(jīng)檢查地通過已建立的連接;所提供的安全防護能力仍然較低。4應用級網(wǎng)關應用級網(wǎng)關也稱為代理服務器(proxyserver),它擔任應用級通信量的中繼。用戶使用TCP/IP應用程序(如:Telnet或FTP)與網(wǎng)關通信,網(wǎng)關詢問用戶想要訪問的遠程主機的名字。當用戶回答并提供了一個合法的用戶ID和認證信息后,網(wǎng)關聯(lián)系遠程主機上的應用程序,并在兩個端點之間轉送包含了應用數(shù)據(jù)的TCP報文段。如果網(wǎng)關沒有為特定的應用程序?qū)崿F(xiàn)代理代碼,服務就不被支持,就不能通過防火墻遞送。例如:一個運行FTP和HTTP代理的應用級網(wǎng)關,只允許由這兩個服務產(chǎn)生的數(shù)據(jù)包通過,其他服務則被禁止。應用級網(wǎng)關的優(yōu)點:支持SMP的應用級網(wǎng)關對網(wǎng)絡性能的影響適中;不允許端到端的直接連接;可以對整個數(shù)據(jù)包的所有內(nèi)容進行檢查,是目前安全性最好的防火墻結構。應用級網(wǎng)關的缺點:實現(xiàn)不理想的應用級網(wǎng)關對網(wǎng)絡性能的影響很大;使用的透明性會有些問題;有可能遭受緩沖區(qū)溢出攻擊;對新出現(xiàn)的應用層協(xié)議必須添加新的代理。WEB應用防火墻當WEB應用越來越為豐富的同時,WEB服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件,頻繁發(fā)生。
企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線。但其天生的缺陷并不能滿足用戶的要求,由此產(chǎn)生了WAF(Web應用防護系統(tǒng))。Web應用防護系統(tǒng)(WebApplicationFirewall,簡稱:WAF)代表了一類新興的信息安全技術,用以解決諸如防火墻一類傳統(tǒng)設備束手無策的Web應用安全問題。與傳統(tǒng)防火墻不同,WAF工作在應用層,因此對Web應用防護具有先天的技術優(yōu)勢?;趯eb應用業(yè)務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網(wǎng)站站點進行有效防護。WEB應用防火墻的功能
Web應用防火墻的具有以下四大個方面的功能:審計設備:用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。架構/網(wǎng)絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。WEB應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且能夠保護WEB應用編程錯誤導致的安全隱患。WEB應用防火墻的特點1.異常檢測協(xié)議:Web應用防火墻會對HTTP的請求進行異常檢測,拒絕不符合HTTP標準的請求。并且,它也可以只允許HTTP協(xié)議的部分選項通過,從而減少攻擊的影響范圍。甚至,一些Web應用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。2.增強的輸入驗證:增強輸入驗證,可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡入侵行為。從而減小Web服務器被攻擊的可能性。3.及時補?。盒扪aWeb安全漏洞,是Web應用開發(fā)者最頭痛的問題,沒人會知道下一秒有什么樣的漏洞出現(xiàn),會為Web應用帶來什么樣的危害。只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。雖然這種屏蔽掉漏洞的方式不是非常完美的,并且沒有安裝對應的補丁本身就是一種安全威脅,但我們在沒有選擇的情況下,任何保護措施都比沒有保護措施更好。WEB應用防火墻的特點4.基于規(guī)則的保護和基于異常的保護:基于規(guī)則的保護可以提供各種Web應用的安全規(guī)則,WAF生產(chǎn)商會維護這個規(guī)則庫,并時時為其更新。用戶可以按照這些規(guī)則對應用進行全方面檢測。還有的產(chǎn)品可以基于合法應用數(shù)據(jù)建立模型,并以此為依據(jù)判斷應用數(shù)據(jù)的異常。5.狀態(tài)管理:WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失敗),并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。6.其他防護技術:WAF還有一些安全增強的功能,可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護、抗入侵規(guī)避技術、響應監(jiān)視和信息泄露保護。主機與數(shù)據(jù)庫安全背景簡介隨著網(wǎng)絡技術的發(fā)展,以及網(wǎng)絡應用的普遍化,網(wǎng)絡安全已經(jīng)成為急待解決的一個重要問題,如何走好網(wǎng)絡安全之路,第一步就是對操作系統(tǒng)多下點功夫。操作系統(tǒng)作為用戶信息處理的軟件環(huán)境,如何保證應用程序在一個安全可靠的環(huán)境下運行使得系統(tǒng)安全變得重中之重。學習目標通過這節(jié)的學習,我們可以了解主機系統(tǒng)存在的風險以及相應的危害了解針對風險相應的檢查和加固方法了解主機類安全的相關產(chǎn)品概述實踐證明,無論是那種系統(tǒng),默認安裝都是不安全的,實際不管你用Windows也好,Linux,Unix或其他系統(tǒng),默認安裝的都有很多漏洞,那怎么才能成為安全的系統(tǒng)呢?任何系統(tǒng),盡管經(jīng)過細心的配置,堵住已知的漏洞,也只可以說這個系統(tǒng)是相對安全的,而并非很多朋友說的那樣,安裝了系統(tǒng),配置了防火墻,安裝了殺毒軟件,那么就安全了。但如果對系統(tǒng)不作任何安全設置,那就等于向黑客敞開大門。本節(jié)會由淺入深地介紹主機系統(tǒng)普遍存在的風險,并通過介紹檢查和加固方法,方便大家對知識點更好的吸收。最后會給大家列出一些常用的安全工具或安全設備。什么是操作系統(tǒng)安全操作系統(tǒng)安全是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問,即只有經(jīng)過授權的用戶或進程才能對信息資源進行相應的讀、寫、創(chuàng)建和刪除等操作,以保護合法用戶對授權資源的正常使用,防止非法入侵者對系統(tǒng)資源的侵占和破壞。保護主機安全有哪些策略日志監(jiān)視監(jiān)視開放的端口和連接監(jiān)視共享監(jiān)視進程和系統(tǒng)信息日志監(jiān)視
在系統(tǒng)中啟用安全審核策略后,管理員應經(jīng)常查看安全日志的記錄,否則就失去了及時補救和防御的時機。除了安全日志外,管理員還要注意檢查各種服務或應用的日志文件。例如在Windows2003IIS6.0中,其日志功能默認已經(jīng)啟動,并且日志文件存放的路徑默認在System32/LogFiles目錄下,打開IIS日志文件,可以看到對Web服務器的HTTP請求,IIS6.0系統(tǒng)自帶的日志功能從某種程度上可以成為入侵檢測的得力助手。監(jiān)視開放的端口和連接對日志的監(jiān)視只能發(fā)現(xiàn)已經(jīng)發(fā)生的入侵事件,但是它對正在進行的入侵和破壞行為是無能為力的。這時,就需要管理員來掌握一些基本的實時監(jiān)視技術。通常在系統(tǒng)被黑客或病毒入侵后,就會在系統(tǒng)中留下木馬類后門。同時它和外界的通信會建立一個Socket會話連接,可用“netstat”命令進行會話狀態(tài)的檢查,可以查看已經(jīng)打開的端口和已經(jīng)建立的連接。當然也可以采用一些專用的檢測程序?qū)Χ丝诤瓦B接進行檢測。監(jiān)視共享通過共享來入侵一個系統(tǒng)不失為一種好的手段,最簡單的方法就是利用系統(tǒng)隱含的管理共享。因此,只要黑客能夠掃描到IP和用戶密碼,就可以使用netuse命令連接到共享上。另外,當瀏覽到含有惡意腳本的網(wǎng)頁時,計算機的硬盤也可能被共享,因此,監(jiān)測本機的共享連接是非常重要的。監(jiān)視進程和系統(tǒng)信息對于木馬和遠程監(jiān)控程序,除了監(jiān)視開放的端口外,還應通過任務管理器的進程查看功能進行進程的查找。例如在安裝WindowsServer2003的支持工具(從產(chǎn)品光盤安裝)后,就可以獲得一個進程查看工具ProcessViewer;通常,隱藏的進程寄宿在其他進程下,因此查看進程的內(nèi)存映象也許能發(fā)現(xiàn)異常?,F(xiàn)在的木馬越來越難發(fā)現(xiàn),常常它會把自己注冊成一個服務,從而避免了在進程列表中現(xiàn)形。因此,還應結合對系統(tǒng)中的其他信息的監(jiān)視,這樣就可對系統(tǒng)信息中的軟件環(huán)境下的各項進行相應的檢查。主機風險本節(jié)主要介紹操作系統(tǒng)存在的普遍安全風險和脆弱點。通常管理員因為對系統(tǒng)配置的不當,導致賬戶口令、服務、補丁成為系統(tǒng)的薄弱點。以下將逐一介紹這些風險點以及風險所帶來的威脅。主機風險賬戶與口令安全主機系統(tǒng)中普遍存在大量的賬戶,有些賬戶是不必要的,有些是系統(tǒng)默認自帶的。這些不必要的賬戶,如果沒有妥善的安全配置,將程序打開系統(tǒng)大門的一扇窗戶。當我們講到口令的時候,很自然的就會想到admin。這個口令讓無數(shù)的主機和安全設備形同虛設。由此可見口令安全的重要性。
主機的賬戶中也普遍的存在弱口令和空口令的情況。接下來讓我們通過口令破解與口令竊聽這一手段來看下弱口令的威脅。
主機風險賬戶與口令安全(續(xù))有許多專用的軟件可以進行口令的自動化猜測,還有一些免費的工具,包括:Brutus,THCHydra,Medusa。Brutus是針對Windows的遠程密碼破解工具,可以破解HTTP、FTP、POP3、Telnet、SMB等密碼。免費、功能強大,使其迅速發(fā)展,在密碼破解軟件中一直給予極高的評價。支持多級驗證引擎最大同時支持連接線程為60支持無用戶名、單用戶和多用戶破解模式密碼列表,可組合(用戶名和密碼)列表或自己配置字典暴破獨特的代理支持多種代理類型主機風險賬戶與口令安全(續(xù))THC-HYDRA是一個支持多種網(wǎng)絡服務的非常快速的網(wǎng)絡登錄破解工具。它被設計的主要目的是為研究人員和安全從業(yè)人員展示遠程獲取一個系統(tǒng)的認證權限是多么容易。主機風險賬戶與口令安全(續(xù))Medusa支持在linux下運行的口令破解工具。支持多種協(xié)議口令的破解。非常經(jīng)典的破解工具。以下是Medusa支持的破解模塊:主機風險賬戶與口令安全(續(xù))有許多專用的軟件可以進行口令的自動化竊聽,包括:ettercap,cain。使用最多的就是cain了。它無縫集成了口令嗅探,所有的windows協(xié)議的破解功能??诹钇平饪梢允潜┝ζ平狻⒆值涔艉蛂ainbow算法破解。主機風險服務安全服務是一種應用程序類型,它在后臺運行。服務應用程序通常可以在本地和通過網(wǎng)絡為用戶提供一些功能,例如客戶端/服務器應用程序、Web服務器、數(shù)據(jù)庫服務器以及其他基于服務器的應用程序。
在這當中,有些服務是不必要的,有些是存在大量漏洞的,有些則是惡意的后門程序。對于那些不必要的服務,我們可以選擇關閉這些服務;對于存在大量漏洞的服務,我們需要及時更新軟件、修補漏洞;接下來我們將介紹一個經(jīng)典的后門程序。主機風險服務安全(續(xù))
這里介紹一個autoruns的軟件,可以幫助我們看到已經(jīng)啟動的進程和系統(tǒng)啟動時自動加載的程序,并且對這些程序有詳細的介紹。使用autoruns可以直接關閉、禁用服務,修改服務相對應的注冊表以及目錄文件。
主機風險服務安全之后門程序(續(xù))
這里介紹一個遠程控制的后門程序。Pcshare一款計算機遠程控制軟件,采用HTTP反向通信,屏幕數(shù)據(jù)線傳輸,驅(qū)動隱藏端口通信過程等技術,達到系統(tǒng)級別的隱藏。類似灰鴿子,由于結合了最新的Rootkit技術,用一般的系統(tǒng)掃描軟件無法檢測到其木馬服務信息。
Pcshare支持遠程桌面、遠程終端、遠程文件管理、遠程音頻視頻控制、遠程鼠標鍵盤控制、鍵盤記錄、遠程進程管理、遠程注冊表管理、遠程服務管理,遠程窗口管理等等強大功能,支持批量管理。主機風險服務安全之后門程序(續(xù))
主機風險補丁主機系統(tǒng)常常存在需要打補丁的情況。沒有打補丁的主機往往非常容易就被入侵者入侵。因此需要常常檢查并安全補丁程序。補丁有分系統(tǒng)補丁和應用程序的補丁。在安裝補丁的時候,也需要注意補丁程序的提供方。主機風險補?。ɡm(xù))
如果沒有及時打安全補丁,我們的系統(tǒng)將會變得非常不安全。例如微軟在其信息安全公告中,確認了一項攻擊遠程桌面協(xié)議的重大安全漏洞,預計黑客將于30天內(nèi)針對此項漏洞發(fā)動攻擊,事實上在微軟公布編號MS12-020漏洞的幾個小時內(nèi),即被證實攻擊行為已經(jīng)存在。主機風險補?。ɡm(xù))
在我們下載更新補丁的時候,也需要注意補丁的更新源。防止有非法的組織通過提供假的更新源向我們的主機注入后門程序。
檢查和加固通過之前的學習,我們看到系統(tǒng)中存在風險的這些問題需要我們在使用系統(tǒng)前進行嚴格的安全配置,在使用中細心留意系統(tǒng)的運行狀況并關注安全事件的動態(tài),及時修復已知的漏洞,并定期的對系統(tǒng)做檢查和加固。下面我們將針對windows、linux和unix系統(tǒng),介紹關于用戶、口令、進程、服務、日志等方面的安全檢查和加固方法。檢查和加固Windows基本安全檢查和加固基于NT技術的Windows操作系統(tǒng)自身帶有強大的安全功能和選項,只要合理的配置它們,Windows操作系統(tǒng)將會是一個比較安全的操作系統(tǒng)。據(jù)說,有90%的惡意攻擊都是利用Windows操作系統(tǒng)安全配置不當造成的。Windows檢查和加固1.檢查賬戶和口令策略檢查是否存在非法用戶:打開‘管理工具’—‘計算機管理’—‘本地用戶和組’—‘用戶’,或者在命令提示符中輸入‘netuser’,就可以看到當前系統(tǒng)中存在的用戶。加固方法:刪除不需要的用戶。Windows檢查和加固1.檢查賬戶和口令策略通過命令提示符可以進行系統(tǒng)賬號的添加和刪除:netuserxxx123456/addnetuserxxx/del將xxx用戶移入(移出)管理員組:netlocalgroupadministratorsxxx/addnetlocalgroupadministratorsxxx/delWindows檢查和加固1.檢查賬戶和口令策略(續(xù))檢查主機賬戶策略:打開‘管理工具’—‘本地安全策略’—‘賬戶鎖定策略’,查看是否已經(jīng)設置了‘賬戶鎖定時間’和‘賬戶鎖定閾值’。加固方法:設置相關的策略,如‘賬戶鎖定時間’和‘賬戶鎖定閾值’。Windows檢查和加固1.檢查賬戶和口令策略(續(xù))檢查主機口令策略:打開‘管理工具’—‘本地安全策略’—‘密碼策略’,查看是否已經(jīng)啟動了‘必須符合密碼復雜性要求’。加固方法:設置相關的策略,如密碼長度、密碼生存期、強制密碼歷史,開啟‘必須符合密碼復雜性要求’。Windows檢查和加固2.檢查正在運行的非法服務和開放的端口檢查方法:要獲得當前系統(tǒng)所有開放的端口列表,可以使用工具Fport。加固方法:刪除非法服務程序,配合防火墻屏蔽不需要的端口。Windows檢查和加固3.檢查日志檢查方法:打開‘管理工具’—‘事件查看器’,就可以看到各類日志。加固方法:調(diào)整系統(tǒng)日志的大小和覆蓋周期,以便發(fā)生安全事件后查看;定期備份日志數(shù)據(jù),打開‘事件查看器’—‘操作’—‘另存日志文件’,把備份的日志文件放置在一個安全的地方。162Windows檢查和加固4.檢查服務器所應用的補丁
檢查方法:使用MBSA,檢查操作系統(tǒng)和SQLServer更新。
加固方法:開啟系統(tǒng)自動更新。163Windows檢查和加固5.檢查默認共享操作系統(tǒng)安裝后,系統(tǒng)會創(chuàng)建一些默認的共享,如共享驅(qū)動器、共享文件和共享打印等,這意味著進入網(wǎng)絡的用戶都可以共享和獲得這些資源。
檢查方法:在‘命令提示符’中輸入‘netshare’,看是否有默認的共享。164Windows檢查和加固5.檢查默認共享(續(xù))加固方法:
在“運行”中輸入“regedit”確定后,找到“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters”項,雙擊右側窗口中的“AutoShareServer”項將鍵值由1改為0,這樣就能關閉硬盤各分區(qū)的共享。如果沒有AutoShareServer項,可自己新建一個再改鍵值。在這一窗口下再找到“AutoShareWks”項,也把鍵值由1改為0,關閉admin$共享。在“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa”找到“restrictanonymous”
將鍵值設為1,關閉IPC$共享。Windows檢查和加固5.檢查默認共享(續(xù))加固方法:利用CMD系統(tǒng)命令關閉默認共享的方法:
運行
netshareadmin$/del
netsharec$/del
netshared$/delWindows檢查和加固6.檢查屏保密碼
檢查方法:在桌面上單擊右鍵,點開‘屬性’—‘屏幕保護程序’,檢查是否開啟‘在恢復時使用密碼保護’。Windows檢查和加固6.檢查屏保密碼(續(xù))
加固方法:啟動‘在恢復時使用密碼保護’。
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025版智能化施工機械租賃合作協(xié)議3篇
- 2024年退股協(xié)議書:制造業(yè)退股及供應鏈管理范本3篇
- 2025年昆明公租房電子合同租賃合同簽訂與履行風險防控策略3篇
- 2025版體育場館建設項目施工合同交底書范本3篇
- 高端制造公司法務專員招聘協(xié)議
- 高空作業(yè)油工施工合同
- 城市綜合體破碎施工合同
- 礦區(qū)節(jié)能減排煤矸石管理辦法
- 保險公司應付賬款處理
- 風力發(fā)電場電氣設備安裝合同
- 2025蛇年春節(jié)春聯(lián)對聯(lián)帶橫批(276副)
- 2024年時事政治試題【有答案】
- 全套教學課件《工程倫理學》
- 人音版六年級上冊全冊音樂教案(新教材)
- 2024年認證行業(yè)法律法規(guī)及認證基礎知識
- 機械原理課程設計鎖梁自動成型機床切削機構
- MT 285-1992縫管錨桿
- 消防安全重點單位檔案(參考)
- 35KV降壓變電所一次系統(tǒng)電氣設計(可編輯)
- TL494組成的200W逆變器電路圖
- (完整版)BIM施工方案及技術實施保障措施
評論
0/150
提交評論