信息系統(tǒng)攻擊與防御第八章

信息系統(tǒng)攻擊與防御第八章第一頁，共四十八頁，編輯于2023年，星期六內(nèi)容簡介本章介紹了與防御有關(guān)的基礎(chǔ)知識和方法，內(nèi)容包括：計算機泄密的主要途徑；信息系統(tǒng)安全子系統(tǒng)的安全服務(wù)分析；網(wǎng)絡(luò)安全概念、內(nèi)容和主要技術(shù)；安全體系的核心—HIDS；應用系統(tǒng)的安全分析；網(wǎng)際網(wǎng)絡(luò)安全技術(shù)分析；通過注冊表打造一個安全的系統(tǒng)；建立安全的Web站點分析；中國黑客常用的工具及防御方法分析；介紹了安全防御系統(tǒng)新趨勢——入侵防護系統(tǒng)(IPS)。第二頁，共四十八頁，編輯于2023年，星期六8.1.計算機泄密的主要途徑

計算機泄密的主要途徑有以下幾種：1.計算機電磁波輻射泄漏2．計算機網(wǎng)絡(luò)化造成的泄密3．計算機媒體泄密4．內(nèi)部工作人員泄密第三頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)沒有一個系統(tǒng)具有絕對的安全盡管我們無法達到絕對的安全，但是我們可以通過一些措施將安全風險控制在可以接受的范圍。還有一個關(guān)鍵的原則：一個好的安全措施有一個平衡點，它不應該影響合法用戶的正常工作。第四頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）信息安全子系統(tǒng)需要保護的資源如下，這些資源通常是黑客攻擊的目標。1．終端用戶資源：通常指普通用戶用的電腦及其外設(shè)，其本身數(shù)據(jù)的重要性并不一定很高，通常如果被黑客攻擊也不會對全局造成重大的損失。但是，它會被黑客利用作為跳板去獲取網(wǎng)絡(luò)中其它資源的有效信息。而且，由于普通用戶的電腦水平和防范意識不同，這類資源的安全性一般不是很高。2．網(wǎng)絡(luò)資源：指路由器、交換機、集線器、布線系統(tǒng)、和機房等。如果黑客控制了這些資源，那網(wǎng)絡(luò)就不再安全了，對外聯(lián)絡(luò)處于極度危險之中。3．服務(wù)器資源：Web服務(wù)器、郵件服務(wù)器、文件傳輸服務(wù)器等。與終端用戶資源不同的是，服務(wù)器資源通常是一些公共數(shù)據(jù)，容許大家合法的訪問。黑客以它作為目標一般是要控制這些資源或者影響正常用戶的訪問。4．信息存儲資源：存儲資源上的信息是黑客最感興趣的。第五頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）國際標準化組織(ISO)將安全子系統(tǒng)所提供的服務(wù)分成5種：1．認證：需要對訪問者的身份進行確認后才容許其訪問訪問相應的資源或者接受其通信請求；2．訪問控制：制定一個策略限定訪問者的行為以及規(guī)定他訪問的權(quán)限；3．數(shù)據(jù)的保密性(加密)：保護數(shù)據(jù)不被非法訪問者訪問。一些黑客會利用一些工具從網(wǎng)絡(luò)上捕獲數(shù)據(jù)，如果對數(shù)據(jù)做了加密處理，即使黑客捕獲了數(shù)據(jù)也無法正確讀出；4．數(shù)據(jù)的完整性：安全子系統(tǒng)不但要保證數(shù)據(jù)安全的傳輸?shù)浇邮照?，還要保證傳輸?shù)降臄?shù)據(jù)沒有被篡改；5．不可否認性(抗抵賴性)：這是一種機制，一方面向接收者確認發(fā)送者的身份；同時也提供足夠的證據(jù)讓發(fā)送者對自己在發(fā)送行為無法否認；第六頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）在信息安全子系統(tǒng)中，認證分成兩類：控制訪問權(quán)的身份認證，身份認證是網(wǎng)絡(luò)通信中建立可信安全通信信道的重要過程，是安全信息子系統(tǒng)的“門衛(wèi)”模塊。身份認證使用最多的是密碼認證，同時會輔助以其它的方式。身份認證的方式可以分成四類：密碼、智能卡、身份特征、源地址。通信雙方進行通信前所做的信息認證。信息認證的目的為：（1）確認信息發(fā)送者的身份以保證信息的真實來源；（2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。認證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字證書等。第七頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(quán)（例如用戶配置文件、資源配置文件和控制列表）、授權(quán)核查、日志和審計。第八頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。加密技術(shù)通常分為兩大類：“對稱式”和“非對稱式”。第九頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）信息的完整性服務(wù)

信息的安全對需要更安全來說數(shù)據(jù)保密是不夠的。數(shù)據(jù)仍能夠被非法破解并修改。信息的完整性是指避免資料在傳輸時被篡改。完整性是通過剛才介紹的HASH(哈希)運算來確定數(shù)據(jù)是否被修改過。下面介紹一下完整性是如何實現(xiàn)的：數(shù)據(jù)的發(fā)送方對要發(fā)出的數(shù)據(jù)做一次哈希運算，得出一個哈希值，為了安全起見可以將這個哈希值加密后附著在原始數(shù)據(jù)后送到接收方。接收方收到數(shù)據(jù)后對數(shù)據(jù)部分做同樣的哈希運算，也會得出一個哈希值，接收方在解密收到的哈希值，然后對比雙方的哈希值：如果二者相同，說明數(shù)據(jù)在傳送過程中沒有被修改過，如果二者不同，說明數(shù)據(jù)在傳輸過程中有了變化。第十頁，共四十八頁，編輯于2023年，星期六8.2.信息系統(tǒng)的安全子系統(tǒng)（續(xù)）信息的不可否認性服務(wù)

數(shù)據(jù)的不可否認性(Non-Repudiation)又稱抗抵賴性，實際上就是保證數(shù)據(jù)的有效性。不可否認性提供了讓接收方有證據(jù)確認所收的數(shù)據(jù)的確來自某發(fā)送者，且該發(fā)送者對其發(fā)送行為無法否認。我們舉個簡單的不可否認性的實現(xiàn)的例子，在發(fā)送信件時有一種信件叫“掛號信”，在送達接收者時必須要收件人親自簽收。從而接收信件的人就無法否認其收到信件的事實。第十一頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)網(wǎng)絡(luò)安全的概念國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以，建立網(wǎng)絡(luò)安全保護措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。第十二頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

Internet的安全隱患主要體現(xiàn)在下列幾方面

1．Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2．Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施。3．Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務(wù)。4．在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來維系的。5．電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。6．計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。第十三頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

網(wǎng)絡(luò)安全防范的內(nèi)容一個安全的計算機網(wǎng)絡(luò)應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡(luò)不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全和計算機網(wǎng)絡(luò)系統(tǒng)安全，還要保護數(shù)據(jù)安全等。網(wǎng)絡(luò)安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。計算機病毒是大家都比較熟悉的一種危害計算機系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段，盜取密碼侵入他人計算機網(wǎng)絡(luò)，非法獲得信息、盜用特權(quán)等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號購物等。第十四頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

確保網(wǎng)絡(luò)安全的主要技術(shù)1、防火墻技術(shù)：網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。根據(jù)防火墻所采用的技術(shù)不同，可以將它分為四種基本類型：包過濾型網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT代理型監(jiān)測型。第十五頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

確保網(wǎng)絡(luò)安全的主要技術(shù)2、加密技術(shù)：信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。3、虛擬專用網(wǎng)技術(shù)：目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認證技術(shù)（Authentication）。第十六頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

確保網(wǎng)絡(luò)安全的主要技術(shù)4、安全隔離：隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代。第一代隔離技術(shù)，完全的隔離。采用完全獨立的設(shè)備、存儲和線路來訪問不同的網(wǎng)絡(luò)，做到了完全的物理隔離，但需要多套網(wǎng)絡(luò)和系統(tǒng)，建設(shè)和維護成本較高。第二代隔離技術(shù)，硬件卡隔離。通過硬件卡控制獨立存儲和分時共享設(shè)備與線路來實現(xiàn)對不同網(wǎng)絡(luò)的訪問，它仍然存在使用不便、可用性差等問題，有的設(shè)計上還存在較大的安全隱患。第三代隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時復制文件的途徑來實現(xiàn)隔離，切換時間較長，甚至需要手工完成，不僅大大降低了訪問速度，更不支持常見的網(wǎng)絡(luò)應用，只能完成特定的基于文件的數(shù)據(jù)交換。第四代隔離技術(shù)，空氣開關(guān)隔離。該技術(shù)是通過使用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。第五代隔離技術(shù)，安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機制，來實現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時實現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應用，成為當前隔離技術(shù)的發(fā)展方向。第十七頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

確保網(wǎng)絡(luò)安全的主要技術(shù)5、訪問控制：訪問控制可以達到以下目的：保護存儲在某些機器上的個人信息；保護重要信息的機密性；維護機器內(nèi)信息的完整性；減少病毒感染機會，從而延緩這種感染的傳播。防止非法用戶進入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用，這就是訪問控制的基本任務(wù)。訪問控制需采取兩種措施：一是識別與確證訪問系統(tǒng)的用戶；二是決定該用戶對某一系統(tǒng)資源可進行何種類型的訪問（讀、寫、刪、改、運行等）。可具體描述如下：（1）規(guī)定需要保護的資源,又稱客體；（2）規(guī)定可以訪問該資源的實體又稱主體（通常指一個人，但有時指另一個軟件程序進程）；（3）規(guī)定可對該資源執(zhí)行的動作（如讀、寫、執(zhí)行或不許訪問）；（4）通過確定每個實體可對哪些資源執(zhí)行哪些動作來確定該安全方案。第十八頁，共四十八頁，編輯于2023年，星期六8.3.網(wǎng)絡(luò)安全的概念、內(nèi)容和主要技術(shù)（續(xù)）

確保網(wǎng)絡(luò)安全的主要技術(shù)5、訪問控制：直到70年代初期，人們才逐漸認識到，為了使計算機系統(tǒng)更安全，需要兩種不同類型的訪問控制：自主訪問控制（DAC，DiscretionaryAccessControl）與強制訪問控制（MAC，MandatoryAccessControl）。自主訪問控制是一種最普通的訪問控制手段。在自主訪問控制下，用戶可以按自己的意愿對系統(tǒng)參數(shù)做適當?shù)男薷囊詻Q定哪個用戶可以訪問他們的文件。一個用戶（或一段用戶程序或一個進程）可以有選擇地與其它用戶共享他的文件。強制訪問控制下，用戶與文件都有一個固定的安全屬性。系統(tǒng)利用安全屬性來決定一個用戶是否可以訪問某個文件。安全屬性是強制性的，它是由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則分配的，用戶或用戶的程序不能修改安全屬性。如果系統(tǒng)認為具有某一安全屬性的用戶不適于訪問某個文件，那么任何人（包括文件的擁有者）都無法使該用戶具有訪問文件的能力。第十九頁，共四十八頁，編輯于2023年，星期六8.4.安全體系的核心—HIDS在建立由防火墻、IDS等安全產(chǎn)品組成的安全體系中，安全業(yè)界有兩種截然不同的觀點：一種是以防火墻為核心，另一種是以IDS為核心。以前很多防火墻為核心，現(xiàn)在基本傾向以IDS為核心。入侵檢測（IDS）分為基于主機（HIDS）和基于網(wǎng)絡(luò)（NIDS）兩種。HIDS安裝在被監(jiān)測的主機系統(tǒng)上，監(jiān)測用戶的訪問行為；NIDS安裝在被監(jiān)測的網(wǎng)段上，監(jiān)聽網(wǎng)段內(nèi)的所有數(shù)據(jù)包，判斷其是否合法。第二十頁，共四十八頁，編輯于2023年，星期六8.4.安全體系的核心—HIDS（續(xù)）

NIDS與HIDS比較：核心技術(shù)有差別性能和效能標準不同應用領(lǐng)域分化明顯第二十一頁，共四十八頁，編輯于2023年，星期六8.4.安全體系的核心—HIDS（續(xù)）

HIDS的原理及體系結(jié)構(gòu)：主機入侵檢測系統(tǒng)通常在被重點檢測的主機上運行一個代理程序。該代理程序扮演著檢測引擎的角色，它根據(jù)主機行為特征庫對受檢測主機上的可疑行為進行采集、分析和判斷，并把警報信息發(fā)送給控制端程序，由管理員集中管理。此外，代理程序需要定期給控制端發(fā)出信號，以使管理員能確信代理程序工作正常。如果是個人主機入侵檢測，代理程序和控制端管理程序可以合并在一起，管理程序也簡單得多。主機入侵檢測系統(tǒng)主要依靠主機行為特征進行檢測。第二十二頁，共四十八頁，編輯于2023年，星期六8.4.安全體系的核心—HIDS（續(xù)）

相對于網(wǎng)絡(luò)入侵檢測，主機入侵檢測有以下優(yōu)點：◆性價比高。在主機數(shù)量較少的情況下,這種方法的性價比可能更高?！舾蛹氈隆＿@種方法可以很容易地監(jiān)測一些活動,如對敏感文件、目錄、程序或端口的存取,而這些活動很難在基于協(xié)議的線索中被發(fā)現(xiàn)?！粢曇凹?。一旦入侵者得到了一個主機的用戶名和口令,基于主機的代理是最有可能區(qū)分正常的活動和非法活動的。◆易于用戶剪裁。每一個主機有其自己的代理,用戶剪裁更方便?！糨^少的主機?；谥鳈C的方法不需要增加專門的硬件平臺?！魧W(wǎng)絡(luò)流量不敏感。用代理的方式一般不會因為網(wǎng)絡(luò)流量的增加而丟失對網(wǎng)絡(luò)行為的監(jiān)視。第二十三頁，共四十八頁，編輯于2023年，星期六8.4.安全體系的核心—HIDS（續(xù)）

主機入侵檢測系統(tǒng)也有它的局限性：◆操作系統(tǒng)局限。不象NIDS，廠家可以自己定制一個足夠安全的操作系統(tǒng)來保證NIDS自身的安全，HIDS的安全性受其所在主機操作系統(tǒng)的安全性限制?！粝到y(tǒng)日志限制。HIDS會通過監(jiān)測系統(tǒng)日志來發(fā)現(xiàn)可疑的行為，但有些程序的系統(tǒng)日志并不詳細，或者沒有日志。有些入侵行為本身不會被具有系統(tǒng)日志的程序紀錄下來。◆被修改過的系統(tǒng)核心能夠騙過文件檢查。如果入侵者修改系統(tǒng)核心，則可以騙過基于文件一致性檢查的工具。第二十四頁，共四十八頁，編輯于2023年，星期六8.5.應用系統(tǒng)的安全1．避免安裝或運行未經(jīng)認證的不明軟件或內(nèi)容。了解電腦上正在運行哪些程序以及它們?yōu)槭裁催\行。如果你不知道你的系統(tǒng)上都有什么，你就不能充分對你的系統(tǒng)進行保護。2．不要讓非管理員用戶以系統(tǒng)管理員或者根權(quán)限身份登錄。3．保護你的e-mail。將所有進入的HTML內(nèi)容轉(zhuǎn)換為普通文本格式，阻止所有文件默認文件擴展，除了少數(shù)你希望允許通過的。4．保護你的密碼。設(shè)置較長的密碼，普通用戶，以10個字符或更長為佳，系統(tǒng)管理帳戶為15個字符或更長為佳。執(zhí)行帳戶鎖定，哪怕就只是一分鐘的。在Windows系統(tǒng)里，禁用LM密碼hash。在Unix/Linux下，使用較新的crypt（3）hash，MD5類型hash，或者如果你的操作系統(tǒng)支持的話，選擇更好的bcrypthash。5．盡可能地使用默認禁用和最小化權(quán)限。當執(zhí)行最小化權(quán)限的安全策略的時候，使用基于規(guī)則的安全。應當一個IT規(guī)則一個組，而不是只有一個“IT安全組”。6．定義和加強安全域。誰需要訪問什么？什么類型的通信連接是合法的？回答這些問題然后設(shè)計周邊防御。定義基準值，記錄反常的通信量。第二十五頁，共四十八頁，編輯于2023年，星期六8.5.應用系統(tǒng)的安全（續(xù)）7．在可能的情況下加密所有的機密數(shù)據(jù)，特別是在便攜式電腦和存儲設(shè)備上。8．操作系統(tǒng)和所有程序的升級補丁管理。自我檢查一下，最近有沒有升級你的MacromediaFlash，RealPlayer，和AdobeAcrobat呢？9．盡可能地在網(wǎng)關(guān)和主機上裝配反病毒、反垃圾郵件和反間諜套件。10．模糊化地設(shè)置安全信息。重命名你的管理員和根權(quán)限帳戶。不要以ExchangeAdmin來命名一個帳號。不要將你的文件服務(wù)器命名為如FS1，Exchange1或者GatewaySrv1等。在條件允許時將服務(wù)置于非默認端口：比如，你可以為內(nèi)部用戶和商業(yè)伙伴將SSH服務(wù)移到30456端口，RDP到30389，HTTP到30080等等。11．在你的網(wǎng)絡(luò)上掃描并調(diào)查未知TCP或者UDP端口監(jiān)聽。12．跟蹤記錄每個用戶在Internet上所瀏覽的區(qū)域和時間。將結(jié)果置于一個人人都可以接觸到的實時在線報告中。這個建議就是使用戶對自己互聯(lián)網(wǎng)沖浪習慣進行自我管理。13．自動化安全策略。如果你不設(shè)為自動的話，它將處于一個不和諧的狀態(tài)。14．對全體雇員進行有關(guān)信息安全的教育，并制定合適的策略和程序。習慣于變化的和結(jié)構(gòu)化的管理。對于不依從者經(jīng)行嚴厲處罰。第二十六頁，共四十八頁，編輯于2023年，星期六8.6.網(wǎng)際網(wǎng)絡(luò)安全技術(shù)分析1、局域網(wǎng)安全局域網(wǎng)安全的解決辦法有以下幾種：1．網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。2．以交換式集線器代替共享式集線器3．VLAN的劃分為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN?；诙丝诘腣LAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應用卻尚不成熟。第二十七頁，共四十八頁，編輯于2023年，星期六8.6.網(wǎng)際網(wǎng)絡(luò)安全技術(shù)分析（續(xù)）2、廣域網(wǎng)安全必須采取手段，使得在廣域網(wǎng)上發(fā)送和接收信息時能夠保證：①除了發(fā)送方和接收方外，其他人是無法知悉的（隱私性）；②傳輸過程中不被篡改（真實性）；③發(fā)送方能確知接收方不是假冒的（非偽裝性）；④發(fā)送方不能否認自己的發(fā)送行為（不可抵賴性）。為了達到以上安全目的，廣域網(wǎng)通常采用以下安全解決辦法：1．加密技術(shù)2．VPN技術(shù)3．身份認證技術(shù)第二十八頁，共四十八頁，編輯于2023年，星期六8.6.網(wǎng)際網(wǎng)絡(luò)安全技術(shù)分析（續(xù)）3、外部網(wǎng)安全

對外部網(wǎng)安全的威脅主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。外部網(wǎng)安全解決辦法主要依靠防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。在實際的外部網(wǎng)安全設(shè)計中，往往采取上述三種技術(shù)（即防火墻、入侵檢測、網(wǎng)絡(luò)防病毒）相結(jié)合的方法。第二十九頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)操作系統(tǒng)的所有系統(tǒng)設(shè)置都可以在注冊表中找到蹤影，所有的程序啟動方式和服務(wù)啟動類型都可通過注冊表中的小小鍵值來控制。然而，正因為注冊表的強大使得病毒和木馬常常寄生在此，威脅著原本健康的操作系統(tǒng)。如何才能有效地防范病毒和木馬的侵襲，保證系統(tǒng)的正常運行呢?下面將從服務(wù)、默認設(shè)置、權(quán)限分配等九個方面介紹如何通過注冊表打造一個安全的系統(tǒng)。特別提示：在進行修改之前，一定要備份原有注冊表。第三十頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）1.拒絕“信”騷擾安全隱患：在Windows2000/XP系統(tǒng)中，默認Messenger服務(wù)處于啟動狀態(tài)，不懷好意者可通過“netsend”指令向目標計算機發(fā)送信息。目標計算機會不時地收到他人發(fā)來的騷擾信息，嚴重影響正常使用。解決方法：首先打開注冊表編輯器。系統(tǒng)服務(wù)可以通過注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”項下的各個選項來進行管理，其中的每個子鍵就是系統(tǒng)中對應的“服務(wù)”，如“Messenger”服務(wù)對應的子鍵是“Messenger”。只要找到Messenger項下的START鍵值，將該值修改為4即可。這樣該服務(wù)就會被禁用，用戶就再也不會受到“信”騷擾了。第三十一頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）2.關(guān)閉“遠程注冊表服務(wù)”安全隱患：如果黑客連接到了目標計算機，而且計算機啟用了遠程注冊表服務(wù)(RemoteRegistry)，那么黑客就可遠程設(shè)置注冊表中的服務(wù)，因此遠程注冊表服務(wù)需要特別保護。解決方法：可將遠程注冊表服務(wù)(RemoteRegistry)的啟動方式設(shè)置為禁用。不過，黑客在入侵計算機后，仍然可以通過簡單的操作將該服務(wù)從“禁用”轉(zhuǎn)換為“自動啟動”。因此有必要將該服務(wù)刪除。找到注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry項，右鍵點擊該項選擇“刪除”，將該項刪除后就無法啟動該服務(wù)了。在刪除之前，一定要將該項信息導出并保存。想使用該服務(wù)時，只要將已保存的注冊表文件導入即可。第三十二頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）3.請走“默認共享”安全隱患：大家都知道在Windows2000/XP/2003中，系統(tǒng)默認開啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個默認共享入侵操作系統(tǒng)的。解決方法：要防范IPC$攻擊應該將注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous項設(shè)置為“1”，這樣就可以禁止IPC$的連接。對于c$、d$和admin$等類型的默認共享則需要在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項。如果系統(tǒng)為Windows2000Server或Windows2003，則要在該項中添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為Windows2000PRO，則應在該項中添加鍵值“AutoShareWks”(類型為“REG_DWORD”，值為“0”)。第三十三頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）4.嚴禁系統(tǒng)隱私泄露安全隱患：在Windows系統(tǒng)運行出錯的時候，系統(tǒng)內(nèi)部有一個DR.WATSON程序會自動將系統(tǒng)調(diào)用的隱私信息保存下來。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過破解這個程序而了解系統(tǒng)的隱私信息。因此要阻止該程序?qū)⑿畔⑿孤冻鋈?。解決方法：找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionAeDebug”，將AUTO鍵值設(shè)置為0，現(xiàn)在DR.WATSON就不會記錄系統(tǒng)運行時的出錯信息了。同時，依次點擊“DocumentsandSettings→ALLUsers→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并刪除。刪除這兩個文件的目的是將DR.WATSON以前保存的隱私信息刪除。提示：如果已經(jīng)禁止了DR.WATSON程序的運行，則不會找到“drwatson”文件夾以及user.dmp和drwtsn32.log這兩個文件。第三十四頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）5.拒絕ActiveX控件的惡意騷擾安全隱患：不少木馬和病毒都是通過在網(wǎng)頁中隱藏惡意ActiveX控件的方法來私自運行系統(tǒng)中的程序，從而達到破壞本地系統(tǒng)的目的。為了保證系統(tǒng)安全，應該阻止ActiveX控件私自運行程序。解決方法：ActiveX控件是通過調(diào)用Windowsscriptinghost組件的方式運行程序的，所以可以先刪除“system32”目錄下的wshom.ocx文件，這樣ActiveX控件就不能調(diào)用Windowsscriptinghost了。然后，在注冊表中找到“HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，將該項刪除。通過以上操作，ActiveX控件就再也無法私自調(diào)用腳本程序了。第三十五頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）6.防止頁面文件泄密安全隱患：Windows2000的頁面交換文件也和上文提到的DR.WATSON程序一樣經(jīng)常成為黑客攻擊的對象，因為頁面文件有可能泄露一些原本在內(nèi)存中后來卻轉(zhuǎn)到硬盤中的信息。畢竟黑客不太容易查看內(nèi)存中的信息，而硬盤中的信息則極易被獲取。解決方法：找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement”，將其下的ClearPageFileAtShutdown項目的值設(shè)置為1，這樣，每當重新啟動后，系統(tǒng)都會將頁面文件刪除，從而有效防止信息外泄。

第三十六頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）7.密碼填寫不能自動化安全隱患：使用Windows系統(tǒng)沖浪時，常會遇到密碼信息被系統(tǒng)自動記錄的情況，以后重新訪問時系統(tǒng)會自動填寫密碼。這樣很容易造成自己的隱私信息外泄。解決方法：在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子項(如果沒有可自行添加)，在該子項下建立一個新的雙字節(jié)值，名稱為disablepasswordcaching，并將該值設(shè)置為1。重新啟動計算機后，操作系統(tǒng)就不會自作聰明地記錄密碼了。第三十七頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）8.禁止病毒啟動服務(wù)安全隱患：現(xiàn)在的病毒很聰明，不像以前只會通過注冊表的RUN值或MSCONFIG中的項目進行加載。一些高級病毒會通過系統(tǒng)服務(wù)進行加載。那么，能不能使病毒或木馬沒有啟動服務(wù)的相應權(quán)限呢?解決方法：運行“regedt32”指令啟用帶權(quán)限分配功能的注冊表編輯器。在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接著點擊菜單欄中的“安全→權(quán)限”，在彈出的Services權(quán)限設(shè)置窗口中單擊“添加”按鈕，將Everyone賬號導入進來，然后選中“Everyone”賬號，將該賬號的“讀取”權(quán)限設(shè)置為“允許”，將它的“完全控制”權(quán)限取消，如圖8-4所示。現(xiàn)在任何木馬或病毒都無法自行啟動系統(tǒng)服務(wù)了。當然，該方法只對沒有獲得管理員權(quán)限的病毒和木馬有效。

第三十八頁，共四十八頁，編輯于2023年，星期六8.7.通過注冊表打造一個安全的系統(tǒng)（續(xù)）9.不準病毒自行啟動安全隱患：很多病毒都是通過注冊表中的RUN值進行加載而實現(xiàn)隨操作系統(tǒng)的啟動而啟動的，可以按照“禁止病毒啟動服務(wù)”中介紹的方法將病毒和木馬對該鍵值的修改權(quán)限去掉。解決方法：運行“regedt32”指令啟動注冊表編輯器。找到注冊表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支，將Everyone對該分支的“讀取”權(quán)限設(shè)置為“允許”，取消對“完全控制”權(quán)限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。病毒和木馬是不斷“發(fā)展”的，我們也要不斷學習新的防護知識，才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺，不如提前做好防御工作，修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發(fā)生的事情，“防患于未然”才是我們應該追求的。

第三十九頁，共四十八頁，編輯于2023年，星期六8.8.建立安全的Web站點WorldWideWeb稱為萬維網(wǎng)，簡稱Web。它的基本結(jié)構(gòu)是采用開放式的客戶/服務(wù)器結(jié)構(gòu)(Client/Server)，分成服務(wù)器端、客戶接收機及通訊協(xié)議三個部分。1、服務(wù)器(Web服務(wù)器)服務(wù)器結(jié)構(gòu)中規(guī)定了服務(wù)器的傳輸設(shè)定、信息傳輸格式及服務(wù)器本身的基本開放結(jié)構(gòu)。Web服務(wù)器是駐留在服務(wù)器上的軟件，它匯集了大量的信息。Web服務(wù)器的作用就是管理這些文檔，按用戶的要求返回信息。2、客戶接收機(Web瀏覽器)客戶機系統(tǒng)稱為Web瀏覽器，用于向服務(wù)器發(fā)送資源索取請求，并將接收到的信息進行解碼和顯示。Web瀏覽器是客戶端軟件，它從Web服務(wù)器上下載和獲取文件，翻譯下載文件中的HTML代碼，進行格式化，根據(jù)HTML中的內(nèi)容在屏幕上顯示信息。如果文件中包含圖像以及其他格式的文件(如聲頻、視頻、Flash等)，Web瀏覽器會作相應的處理或依據(jù)所支持的的插件進行必要的顯示。3、通訊協(xié)議(HTTP協(xié)議)Web瀏覽器與服務(wù)器之間遵循HTTP協(xié)議進行通訊傳輸。HTTP(HyperTextTransferProtocol，超文本傳輸協(xié)議)是分布式的Web應用的核心技術(shù)協(xié)議，在TCP/IP協(xié)議棧中屬于應用層。它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁面請求的格式，以及Web頁面在Internet上的傳輸方式。4、公共網(wǎng)關(guān)接口介紹(CGI)第四十頁，共四十八頁，編輯于2023年，星期六8.8.建立安全的Web站點（續(xù)）Web的安全體系結(jié)構(gòu)非常復雜主要包括以下幾個方面：*

客戶端軟件(既Web瀏覽器軟件)的安全；*運行瀏覽器的計算機設(shè)備及其操作系統(tǒng)的安全(主機系統(tǒng)安全)；*客戶端的局域網(wǎng)(LAN)；*Internet；*服務(wù)器端的局域網(wǎng)(LAN)；*運行服務(wù)器的計算機設(shè)備及操作系統(tǒng)的安全(主機系統(tǒng)的安全)；*服務(wù)器上的Web服務(wù)器軟件。第四十一頁，共四十八頁，編輯于2023年，星期六8.8.建立安全的Web站點（續(xù)）1、主機系統(tǒng)的安全需求網(wǎng)絡(luò)的攻擊者通常通過主機的訪問來獲取主機的訪問權(quán)限，一旦攻擊者突破了這個機制，就可以完成任意的操作。對某個計算機，通常是通過口令認證機制來實現(xiàn)的登陸到計算機系統(tǒng)上?，F(xiàn)在大部分個人計算機沒有提供認證系統(tǒng)，也沒有身份的概念，極其容易被獲取系統(tǒng)的訪問權(quán)限。因此，一個沒有認證機制的PC是Web服務(wù)器最不安全的平臺。所以，確保主機系統(tǒng)的認證機制，嚴密地設(shè)置及管理訪問口令，是主機系統(tǒng)抵御威脅的有力保障。2、Web服務(wù)器的安全需求隨著“開放系統(tǒng)”的發(fā)展和Internet的知識普及，獲取使用簡單、功能強大的系統(tǒng)安全攻擊工具是非常容易的事情。在訪問你的Web站點的用戶中，不少技術(shù)高超的人，有足夠的經(jīng)驗和工具來探視他們感興趣的東西。還有在人才流動頻繁的今天，“系統(tǒng)有關(guān)人員”也可能因為種種原因離開原來的崗位，系統(tǒng)的秘密也可能隨之擴散。第四十二頁，共四十八頁，編輯于2023年，星期六8.8.建立安全的Web站點（續(xù)）對于Web服務(wù)器，最基本的性能要求是響應時間和吞吐量。響應時間通常以服務(wù)器在單位時間內(nèi)最多允許的鏈接數(shù)來衡量，吞吐量則以單位時間內(nèi)服務(wù)器傳輸?shù)骄W(wǎng)絡(luò)上的字節(jié)數(shù)來計算。典型的功能需求有：提供靜態(tài)頁面和多種動態(tài)頁面服務(wù)的能力；接受和處理用戶信息的能力；提供站點搜索服務(wù)的能力；遠程管理的能力。典型的安全需求有：在已知的Web服務(wù)器(包括軟、硬件)漏洞中，針對該類型Web服務(wù)器的攻擊最少；對服務(wù)器的管理操作只能由授權(quán)用戶執(zhí)行；拒絕通過Web訪問Web服務(wù)器上不公開的內(nèi)容；能夠禁止內(nèi)嵌在操作系統(tǒng)或Web服務(wù)器軟件中的不必要的網(wǎng)絡(luò)服務(wù)；有能力控制對各種形式的執(zhí)行程序的訪問；能對某些Web操作進行日志記錄，以便與入侵檢測和入侵企圖分析；具有適當?shù)娜蒎e功能。第四十三頁，共四十八頁，編輯于2023年，星期六8.8.建立安全的Web站點（續(xù)）建立安全的Web網(wǎng)站：1、理解配置主機操作系統(tǒng)(1)僅僅提供必要的服務(wù)