网络与信息安全基本概念介绍.ppt

网络与信息安全基本概念介绍.ppt

《网络与信息安全基本概念介绍.ppt》由会员分享，可在线阅读，更多相关《网络与信息安全基本概念介绍.ppt（53页珍藏版）》请在冰点文库上搜索。

.,网络与信息安全概述,目录,安全基本概念安全事件分类分级安全事件监控和处理流程安全监控工作思路信息安全基础知识安全事件案例,“网络与信息安全”动态发展的概念,1991,1989,X.800,ISO7498-2,“安全”是指将资产或资源的脆弱性降到最低限度。

ISO15408,1999,当对信息进行正确的控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能.“IT安全”用于概括防御和缓解这些及类似的冒险。

2000,ISO17799:

2000,2005,ISO17799:

2005,信息安全是要在很大的范围内保护信息免受各种威胁，从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。

特指保护保密性、完整性和可用性。

信息安全保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性.,ISOTR13335-2:

1997,1997,2004,ISO13335-1:

2004,定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。

安全的相关属性,安全的相关属性,通俗地说,安全就是,进不来,拿不走,改不了,跑不了,看不懂,面向人的威胁,网络与信息安全的重要性,网络与信息安全是国家安全的需要威胁国家安全直接经济损失网络与信息安全是组织持续发展的需要名誉、信誉受损正常工作中断或受到干扰效率下降网络与信息安全是保护个人隐私与财产的需要威胁信息私秘性直接影响对信息交互的信任度,网络与信息安全的基本特征,没有绝对安全的系统,新的漏洞与攻击方法不断被发现,日常管理中的不同配置会引入新的问题,新的系统组件会引入新的问题（安全评测只能证明特定环境与特定配置下的安全）,攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性,信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复等,相对性,实效性,相关性,不确定性,复杂性,网络与信息安全的目标,“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”,国际标准化组织ISO发布的信息安全管理标准ISO/IEC17799:

2005Codeofpracticeforinformationsecuritymanagement（信息安全管理实用规则）中做了如下定义：

网络与信息安全的思考,威胁永远不会消失！

漏洞/脆弱性客观存在！

客观上无法避免的因素技术发展的局限，系统在设计之初不能认识到所有问题，如Tcp/ip协议人类的能力有限，失误和考虑不周在所难免，如在编码会引入Bug主观上没有避免的因素采用了默认配置而未定制和安全优化新的漏洞补丁跟踪、使用不及时组织、管理和技术体系不完善技术发展和环境变化的动态性,国家间的竞争与敌对势力永远不会消失企业间谍、攻击者、欺诈与偷窃内部系统的误用、滥用问题长期存在新的威胁不断出现使原有防护措施失效或新的威胁产生,随着信息化建设，信息资产的价值在迅速增长资产的无形价值，如商业情报、声誉、品牌等等已远远超过了购买价格,资产价值多样化增长！

目录,安全基本概念安全工作范畴安全事件分类分级安全事件监控和处理流程安全事件案例安全监控工作思路,恶意软件类：

指蓄意制造、传播恶意软件，或是因受到恶意软件的影响而导致的告警事件。

包括计算机病毒、木马和蠕虫等。

网络攻击类：

包括拒绝服务攻击，是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件，漏洞攻击等子类。

信息破坏类：

是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的安全告警，包括网页篡改，钓鱼网站等子类。

信息内容安全类：

是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容而导致的安全告警，包括垃圾邮件等子类。

安全设备故障类：

是指由于安全设备自身故障或外围保障设施故障而导致的安全告警，包括硬件告警和软件告警子类，也可以归入通信网元类告警事件。

安全事件告警分类,安全告警的级别可参考下列三个要素：

系统的重要程度、系统损失和社会影响指蓄意,安全事件告警级别定义,安全告警的分级需要考虑的因素包括：

安全告警的原始告警级别、资产的重要等级以及实际安全告警本身相关的信息要素如（告警源和目的IP、事件发生的频率、事件的实际影响程度等等）。

实际安全告警级别设定，需要在此基础上，结合实际的网络情况和告警信息相关要素综合考虑，对安全事件重要等级进行相应调整。

具体级别调整可以根据（但不局限）下列几个条件进行：

安全告警发生的频度告警事件本身的影响和破坏程度时间敏感型的安全事件,安全事件告警级别调整,目录,安全基本概念安全事件分类分级安全事件监控和处理流程安全事件案例安全监控工作思路信息安全基础知识,安全事件监控：

负责本省通信网、业务系统和网管系统的安全告警监控，及时发现安全事件并上报，并派单和督促解决。

安全投诉受理：

负责本省范围的安全投诉的受理，及时受理并派单和督促解决，及时反馈处理省内处理结果。

安全监控工作,安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。

一般包括6个阶段（PDCERF）：

准备、检测、抑制、根除、恢复和跟进。

安全事件应急响应流程

（1）,准备阶段：

即在事件真正发生前为事件响应做好准备，如应急预案的准备和监控人员和手段的准备。

检测阶段：

检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。

如果可能的话同时确定它的影响范围和问题原因。

在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。

检测阶段是事件响应的触发条件。

抑制阶段：

抑制阶段是事件响应的第三个阶段，它的目的是限制攻击/破坏所波及的范围，如对蠕虫病毒传播端口的封堵。

根除阶段：

即在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者再次使用相同手段攻击系统，引发安全事件。

在根除阶段中将需要利用到在准备阶段中产生的结果，如病毒的根除。

恢复阶段：

将事件的根源根除后，将进入恢复阶段。

恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。

跟进阶段：

最后一个阶段是跟进阶段，其目标是回顾并整合发生事件的相关信息。

跟进阶段也是6个阶段中最可能被忽略的阶段。

但这一步也是非常关键的，如总结如何防范事件的发生等。

安全事件应急响应流程

（2）,安全事件监控的流程举例如下，应通过电子工单流转并形成闭环。

安全事件监控流程,目录,安全基本概念安全事件分类分级安全事件监控和处理流程安全监控工作思路信息安全基础知识安全事件案例,2007年，总部组织全网开展了以“风险管理”为核心的安全监控。

按照网络与信息安全“风险管理”的本质，对风险进行有效的控制，要着眼损失和影响，首要保护高价值的资产，关注危害较高的威胁。

围绕“重要资产，重要告警，重点监控”的工作目标，以安全告警和资产的关联为重点开展工作。

整理资产基础信息，列出资产的重要程度，包括IP地址等信息。

制定资产信息收集和更新的流程。

制定告警预处理手册、安全事件处理及上报流程、安全监控作业计划，优化安全系统的告警配置。

将安全告警分类分级，手册标准化。

将告警信息与资产信息进行关联，实现对重要系统，重要告警的重点监控。

实现了具备安全监控手段的一干和省网重要系统58小时的重点安全监控，有效提升了全网安全监控能力。

安全监控工作思路

（1）,目前，多数省还存在以下问题：

大多数省份由维护人员分别对自己负责维护的网络和系统的进行安全监控，或者由1名安全专业技术人员负责监控，未实现由网管中心监控室实施集中安全监控。

上述方式下，各省做到了58小时的安全监控，但大多数难以开展724小时的安全监控；各类安全监控手段较为分散，未实现安全监控手段的集中化。

2008年为奥运之年，网络工作会上，公司领导对奥运期间安全监控工作的要求为：

“网络安全的攻防人员要建立起来，特别是奥运期间有24小时值班，要保证我们的网络处在可以管理、可以监控的情况下。

”按照上述要求，2008年在全网推行集中化的724小时安全监控的工作势在必行。

安全监控工作思路

（2）,总部正组织各省开展集中化的724小时网络与信息安全监控工作。

对具备基础安全监控手段的一干和省网重要系统实现集中化的724小时安全监控，重要系统中实现集中化安全监控的比例要达到80%，保证网络在可管、可控的情况下安全运营。

奥运期间加强安全监控，重点监控奥运产品和奥运专项网络保障所涉及的网络和系统发生的重要事件，及时处理安全问题。

制定标准化的集中化安全监控工作流程，操作手册，针对奥运保障完善预处理手册，制定7*24小时安全监控作业计划，安全告警派单的模板。

对于不具备集中化安全监控手段的省公司，应采用将各类基础安全监控手段的操作终端集中、分别查看各终端安全事件的过度方式，开展集中化安全监控；省公司应通过集中化安全监控手段开展集中安全监控，实现高效的一站式安全监控。

各省公司也要组织必要的培训，确保安全监控岗位人员具备安全监控技能，熟悉掌握监控工作手册，并可熟练执行安全监控作业。

安全监控工作思路（3）,目录,安全基本概念安全事件分类分级安全事件监控和处理流程安全监控工作思路信息安全基础知识安全事件案例,防火墙,防火墙是在不同安全区域之间进行访问控制的一种措施。

什么是防火墙,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙工作原理,对IP地址和某些端口进行过滤,防火墙不是万能的,防火墙仅仅是网络安全体系的一个组件防火墙通常是抵御攻击的第一道防线，经常被有经验的入侵者绕过防火墙中的“开放”策略通常被利用防火墙不能安全过滤应用层的非法攻击，如unicode攻击；防火墙对不通过它的连接无能为力，如内网攻击等；防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击。

入侵检测系统,入侵检测（IntrusionDetection），顾名思义，是对入侵行为的发觉。

它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测的软件与硬件的组合便是入侵检测系统。

（IntrusionDetectionSystem,简称IDS）。

假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。

IDS工作流程示意,数据采集,数据过滤,事件报警/响应,攻击检测/分析,主机,网络,数据采集：

网络入侵检测系统（NIDS）或者主机入侵检测系统（HIDS）利用处于混杂模式的网卡来获得通过网络的数据，采集必要的数据用于入侵分析。

数据过滤：

根据预定义的设置，进行必要的数据过滤，从而提高检测、分析的效率。

攻击检测/分析：

根据定义的安全策略，来实时监测并分析通过网络的所有通信业务，使用采集的网络包作为数据源进行攻击辨别，通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。

事件报警/响应：

当IDS一旦检测到了攻击行为，IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应，通常都包括通知管理员、记录在数据库。

IDS部署,传感器可以被放置在业网络中的任何可能存安全隐患的网段。

在这些网段中，根据络流量和监控数据的需来决定部署不同型号的传感器。

防火墙与IDS协同工作,0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,Firewall提供访问控制,DenyTraffic,AllowTraffic,DenySomeAttacks,恶意代码,随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：

病毒PE蠕虫WORM木马TROJ后门BKDR间谍软件SPY其他以上统称为恶意代码。

病毒的传播方式,传播方式主要有：

电子邮件HTML正文可能被嵌入恶意脚本，邮件附件携带病毒压缩文件，利用社会工程学进行伪装，增大病毒传播机会，快捷传播特性网络共享病毒会搜索本地网络中存在的共享，如admin$,c$,d$。

通过空口令或弱口令猜测，获得完全访问权限；病毒自带口令猜测列表，将自身复制到网络共享文件夹中，通常以游戏，CDKEY等相关名字命名；利用社会工程学进行伪装，诱使用户执行并感染。

P2P共享将自身复制到P2P共享文件夹，利用社会工程学进行伪装，诱使用户下载系统漏洞由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,防止病毒入侵,及时更新windows补丁，修补漏洞强化密码设置的安全策略，增加密码强度加强网络共享的管理增强员工病毒防范意识,病毒自启动方式,注册表启动HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下：

RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下：

RunRunOnceRunServices以上这些键一般用于在系统启动时执行特定程序。

病毒自启动方式,文件关联项HKEY_CLASSES_ROOT下：

exefileshellopencommand=%1%*comfileshellopencommand=%1%*batfileshellopencommand=%1%*htafileShellOpenCommand=%1%*piffileshellopencommand=%1%*“病毒将%1%*改为“virus.exe%1%*virus.exe将在打开或运行相应类型的文件时被执行,病毒自启动方式,病毒常修改的配置文件%windows%wininit.ini中Rename节NUL=c:

windowsvirus.exe将c:

windowsvirus.exe设置为NUL,表示让windows在将virus.exee运行后删除.Win.ini中的windows节load=virus.exerun=virus.exe这两个变量用于自动启动程序。

System.ini中的boot节Shell=Explorer.exevirus.exeShell变量指出了要在系统启动时执行的程序列表。

病毒自启动方式,病毒常修改的Bat文件%windows%winstart.bat该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。

Autoexec.bat在DOS下每次自启动,病毒自启动方式,启动文件夹启动：

当前用户的启动文件夹可以通过如下注册表键获得:

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders中的StartUp项公共的启动文件夹可以通过如下注册表键获得:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders中的CommonStartUp项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。

安全产品协同工作,访问控制,入侵检测,漏洞评估,防火墙,防病毒,SYNFLOOD攻击,使用TCP的三次握手机制，客户端使用假的IP地址，向服务器发出连接请求（第一次握手），服务器应答（第二次握手），由于IP地址是假的，例如1.1.1.1，因此就找不到目的地，服务器会一直等待客户端发来第三次握手的信息。

当量足够大的时候，会对服务器产生明显的影响。

SYN,SYN-ACK,ACK,sessionproceeds,ACKsetforremainderofsession,SQLInjection,SQL注入是一种常见的WEB攻击方法,攻击者利用SQL语言本身的一些特性调用SQL功能,对服务器或主机实现攻击行为。

通常用户名和密码都存储在数据库的一个表中，登录系统时要求输入用户名和密码，系统会将用户输入的信息组成一条SQL语句去数据库里查询，如果返回结果为真，那么就能正常登录。

假设输入的用户名为“abc”，密码为“anythingorx=x”，那么在服务器上执行的命令就是：

Select*fromUserTableWhereUserName=abcandPassword=anythingorx=x该语句执行结果始终为真！

SQLInjection攻击防范,过滤其特殊字符串例如:

-、exec、executeWEBAPPLICATION做参数化查询限制MSSQL存储过程的使用xp_cmdshell、sp_addlogin、sp_addsrvrolemember、sp_oacreate等存储过程,Select*fromUserTableWhereUserName=abcandPassword=anythingorx=x改为Select*fromUserTableWhereUserName=anything从数据库中读出密码，而不在SQL语句中直接验证，与输入的密码做比较，这样就可以防范攻击。

其它的防范方法还有：

目录,安全基本概念安全事件分类分级安全事件监控和处理流程安全监控工作思路信息安全基础知识安全事件案例,网站事件的篡改,2006年9月11日，中国移动门户网站被黑客入侵，门户网站首页被替换。

安全事件发生当日，即被新浪等互联网媒体报道，成为互联网的热点新闻。

网站事件的监测,总部人员自行定制开发了网站监控程序，并通过投放大屏幕、告警发声等方式实现了实时监控。

现网物理安全事件,4月19日省干二平面故障造成倒换,4月26日楚雄本地网故障37个基站退服,4月26日7:

47楚雄1451大姚移动楼基站市电停电，8:

36发生直流电压低告警，8:

58电池能量耗尽，导致楚雄本地网34大姚移动楼下挂无保护链所带37个基站退服，故障历时24分钟。

4月13日昆明本地网故障17个基站退服,4月19日04:

08省干二平面思茅到元江通信中断，原因：

通关基站省干二平面传输节点所接的电源未安装动力环境监控设备，市电电压过高后，该设备交流保护，电池开始放电，直至容量耗尽，承载的所有负荷宕机，通关传输网元脱网。

饮食公司机房空调4-12凌晨故障,机房温度逐渐升。

4月12日07:

44:

59饮食公司设备7号、13号LP162.5G光板处理板吊死，导致17个基站业务中断。

其中有9个VIP基站中断。

退服最长历时3小时48分，最短历时23分19秒。

现网物理安全事件,5月31日版纳本地网故障27个基站退服,6月10日昆明本地网故障16个基站退服,6月10日，昆明本地网因白邑基站停电导致16个基站退服。

该站动力环境集中监控系统自6月8日故障后一直未修复。

4月29日文山本地网故障30个基站退服,4月29日20:

47文山本地网双龙营因市电停电后电池能量耗尽，导致30个基站中断，故障历时68分钟。

该站动力环境集中监控系统自1月24日故障后一直未修复。

5月31日00:

17版纳3333_勐腊勐醒市电停电，04:

31出现直流电压过低告警，电压为47.9V，07:

47市电停电告警结束。

2008-05-3107:

50再次出现市电停电告警，8：

26停电导致27个基站中断，其中2个VIP基站。

现网物理安全事件,6月11日临沧本地网故障16个基站退服,6月11日临沧鲁史基站因电源下电电压设置错误，电池放电至47V就将BTS和传输设备断开，最终导致16个基站退服。

从4月至6月11日，因动力环境设备原因共造成故障7次，143个基站退服！

在我们更多的去关心质量和服务的时候，安全如何保障？