网络安全网络安全基础.docx

网络安全网络安全基础.docx

《网络安全网络安全基础.docx》由会员分享，可在线阅读，更多相关《网络安全网络安全基础.docx（48页珍藏版）》请在冰点文库上搜索。

网络安全网络安全基础

网络安全

—网络安全基础

目录

第1章信息安全管理基础4

1.1信息安全概述4

1.1.1信息安全面临的主要问题4

1.1.2信息安全的相对性4

1.2信息安全管理相关概念4

1.2.1什么是信息安全4

1.2.2信息安全的发展过程5

1.2.3信息安全的基本目标5

1.2.4如何实现信息安全5

1.2.5信息安全需要遵循的模式6

1.3BS7799概述7

1.3.1BS77997

1.3.2ISO177997

1.3.3安全管理体系规范13

1.3.4ISMS管理框架14

第2章计算机病毒及防范技术16

2.1计算机病毒介绍16

2.1.1计算机病毒定义16

2.1.2计算机病毒起源和发展史16

2.1.3传统计算机病毒分类16

2.1.4现代计算机病毒介绍17

2.1.5网络病毒介绍17

2.2计算机病毒分析与防护18

2.2.1病毒的常见症状及传播途径18

2.2.2病毒传播或感染途径18

2.2.3病毒自启动方式19

2.2.4病毒的隐性行为21

2.2.5计算机病毒防御22

第3章密码学基础27

3.1密码学概述27

3.1.1密码学概述27

3.1.2密码学的发展27

3.1.3密码体制的分类28

3.1.4密码学的主要应用30

3.1.5信息加密方式30

3.2对称密码学32

3.3非对称密码学32

3.4消息认证技术33

第4章安全评估34

4.1安全评估概述34

4.1.1安全评估目的34

4.1.2安全评估要素34

4.1.2安全评估过程36

4.1.4安全评估工具37

4.1.5安全评估标准37

4.2安全扫描38

第5章NAT技术40

5.1NAT简介40

5.1.1NAT的引入40

5.1.2NAT的基本概念40

5.1.3NAT的转换机制40

5.1.4NAT的多对多地址转换及地址池41

5.1.5NAT的特征41

5.1.6NAT的性能42

5.1.7应用级网关ALG42

5.2NAT用户日志简介42

5.2.1NAT用户日志的作用42

5.2.2NAT用户日志的实现43

第6章数据传输安全45

6.1安全数据传输面临的威胁45

6.2数据传输安全关键技术45

6.2.1SSL和TLS45

6.2.3PPTP46

6.2.5SMB签名47

6.2.6LDAP签名47

6.2.7WEP47

6.2.8WPA48

6.2.9IPSec48

第1章信息安全管理基础

1.1信息安全概述

1.1.1信息安全面临的主要问题

1、人员问题：

Ø信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题

Ø特权人员越权访问，如：

系统管理员，应用管理员越权访问、传播敏感数据

Ø内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等

2、技术问题：

Ø病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作

3、法律方面

Ø网络滥用：

员工发表政治言论、访问非法网站

Ø法制不健全，行业不正当竞争（如：

窃取机密，破坏企业的业务服务）

1.1.2信息安全的相对性

安全没有100%，完美的健康状态永远也不能达到。

安全工作的目标：

将风险降到最低。

1.2信息安全管理相关概念

1.2.1什么是信息安全

ISO17799中的描述：

“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”

“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.

定义中强调信息：

Ø是一种资产

Ø同其它重要的商业资产一样

Ø对组织具有价值

Ø需要适当的保护

Ø以各种形式存在：

纸、电子、影片、交谈等

ISO17799中的描述:

“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”

信息安全：

Ø保护信息免受各方威胁

Ø确保组织业务连续性

Ø将信息不安全带来的损失降低到最小

Ø获得最大的投资回报和商业机会

1.2.2信息安全的发展过程

20世纪初：

强调保密性（密码学）

20世纪60年代：

保密性、完整性、可用性（CIA）

20世纪80年代：

保密性、完整性、可用性、抗抵赖、可控性、真实性

1.2.3信息安全的基本目标

保密性（Confidentiality）：

确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。

完整性（Integrity）：

确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。

可用性（Availability）：

确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

1.2.4如何实现信息安全

物理安全技术：

环境安全、设备安全、媒体安全；

系统安全技术：

操作系统及数据库系统的安全性；

网络安全技术：

网络隔离、访问控制、VPN、入侵检测、扫描评估；

应用安全技术：

Email安全、Web访问安全、内容过滤、应用系统安全；

数据加密技术：

硬件和软件加密，实现身份认证和数据信息的CIA特性；

认证授权技术：

口令认证、SSO认证（例如Kerberos）、证书认证等；

访问控制技术：

防火墙、访问控制列表等；

审计跟踪技术：

入侵检测、日志审计、辨析取证；

防病毒技术：

单机防病毒技术逐渐发展成整体防病毒体系；

灾难恢复和备份技术：

业务连续性技术，前提就是对数据的备份。

1.2.5信息安全需要遵循的模式

在信息安全管理方面，BS7799标准为我们提供了指导性建议，即基于PDCA（Plan、Do、Check和Act，即戴明环）的持续改进的管理模式。

1.3BS7799概述

1.3.1BS7799

（一）BS7799简介

BS7799是英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准，由信息安全方面的最佳惯例组成的一套全面的控制集，是信息安全管理方面最受推崇的国际标准。

BS7799和ISO17799的区别：

BS7799：

Ø英国标准

Ø已被多个国家认同（如澳大利亚等）

Ø第二部分是可认证标准

Ø2002年新修订了第2部分。

新版本风格接近ISO9000和ISO14000。

ISO17799

Ø2000年采纳了BS7799的第一部分

Ø第二部分还在讨论中

（二）BS7799的历史沿革

1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。

1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础。

1995年2月——首次出版BS7799-1:

1995《信息安全管理实施细则》。

1998年2月——英国公布BS7799-2:

《信息安全管理体系规范》。

1999年4月——BS7799-1与BS7799-2修订后重新发布。

2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799-1:

2000《信息技术——信息安全管理实施细则》。

2002年9月——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:

1999）使用，并可望通过ISO组织认可。

ISO27001:

2005——建立信息安全管理体系（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。

1.3.2ISO17799

图：

ISO17799:

2005内容框架

（一）信息安全管理细则

•信息安全策略

•安全组织

•资产分类和控制

•人员安全

•物理和环境安全

•通信和操作管理

•访问控制

•系统获得、开发和维护

•信息安全事件管理

•业务连续性管理

•依从性

（二）信息安全策略

◆目标：

•信息安全策略——为信息安全提供与业务需求和法律法规相一致的管理指示及支持

◆安全策略应该做到：

•对信息安全加以定义

•陈述管理层的意图

•分派责任

•约定信息安全管理的范围

•对特定的原则、标准和遵守要求进行说明

•对报告可疑安全事件的过程进行说明

•定义用以维护策略的复查过程

（三）安全组织

◆目标：

•信息安全基础设施——在组织内部管理信息安全

•外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全

◆包含的内容：

•建立管理委员会，定义安全管理的角色和责任

•对软硬件的采购建立授权过程

•与第三方签订的协议中应覆盖所有相关的安全要求。

•外包合同中的安全需求

•包括内部组织和外部伙伴

（四）资产管理

◆目标：

•资产责任——实现并保持组织资产的适当保护

•信息分类——确保对信息资产的保护达到恰当的水平

◆包含的内容：

•组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。

•按照信息资产所属系统或所在部门列出资产清单。

•所有的信息资产都应该具有指定的属主并且可以被追溯责任。

•信息应该被分类，以标明其需求、优先级和保护程度。

•根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。

（五）人力资源安全

◆目标：

•雇佣前——确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。

•雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。

•解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。

◆包含的内容：

•故意或者无意的人为活动可能给数据和系统造成风险

•在正式的工作描述中建立安全责任，员工入职审查

（六）物理和环境安全

◆目标：

•安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及信息。

•设备安全——预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。

◆包含的内容：

•应该建立带有物理入口控制的安全区域

•应该配备物理保护的硬件设备

•应该防止网络电缆被塔线窃听

•将设备搬离场所，或者准备报废时，应考虑其安全

（七）通信和操作管理

◆目标：

•操作程序和责任——确保信息处理设施的正确和安全操作。

•第三方服务交付管理——实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。

•系统规划与验收——减少系统失效带来的风险。

•防范恶意代码和移动代码——保护软件和信息的完整性。

•备份——保持信息和信息处理设施的完整性和可用性

•网络安全管理——确保对网络中信息和支持性基础设施的安全保护。

•介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。

•信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全。

•电子商务服务——确保电子商务的安全及他们的安全使用。

•监督——检测XX的信息处理活动。

◆包含的内容：

•防病毒，防恶意软件

•进行变更控制

•做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性

•电子邮件安全性

•保护传输中的数据

（八）访问控制

◆目标：

•访问控制的业务需求——控制对信息的访问。

•用户访问管理——确保授权用户的访问，并预防信息系统的非授权访问。

•用户责任——预防未授权用户的访问，信息和信息处理设施的破坏或被盗。

•网络访问控制——防止对网络服务XX的访问。

•操作系统访问控制——防止对操作系统的未授权访问。

•应用访问控制——防止对应用系统中信息的未授权访问。

•移动计算和远程工作——确保在使用移动计算和远程工作设施时信息的安全。

◆包含的内容：

•口令的正确使用

•对终端的物理访问

•自动终止时间

•软件监视等

（九）系统获得、开发与维护

◆目标：

•系统的安全需求——确保安全内建于信息系统中。

•应用系统的安全——防止应用系统信息的错误、丢失、未授权的修改或误用。

•加密控制——通过加密手段来保护细腻的保密性、真实性或完整性。

•系统文件的安全——确保系统文档的安全。

•开发和支持过程的安全——保持应用系统软件和信息的安全。

•技术漏洞管理——减少由利用公开的技术漏洞带来的风险。

◆包含的内容：

•在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护

•软件开发和维护中应该建立配置管理、变更控制等机制

（十）信息安全事件管理

◆目标：

•报告信息安全事件和弱点——确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。

•信息安全事故的管理和改进——确保使用持续有效的方法管理信息安全事故。

◆包含的内容：

•正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点

•所有的员工、合同方和第三方用户都应该知晓这套报告程序。

•要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方。

（十一）业务连续性管理

◆目标：

•业务连续性管理的信息安全方面——：

防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复。

◆包含的内容：

•全面理解业务连续性计划（BCP）

•理解组织面临的风险，识别关键业务活动和优先次序。

•确认可能对业务造成影响的中断。

•应该设计、实施、测试和维护BCP

（十二）符合性

◆目标：

•与法律法规要求的符合性——避免违反法律、法规、规章、合同要求和其他的安全要求。

•符合安全方针、标准，技术符合性——确保系统符合组织安全方针和标准。

•信息系统审核的考虑因素——最大化信息系统审核的有效性，最小化来自/对信息系统审核的影响。

◆包含的内容：

•组织应该确保遵守相关的法律法规和合同义务

•软件版权，知识产权等

1.3.3安全管理体系规范

（一）BS7799-2简介

BS7799标准对信息安全管理体系（ISMS）并没有一个明确的定义，可以将其理解为组织管理体系的一部分。

ISMS涉及到的内容：

用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。

标准要求的ISMS建立过程：

制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。

体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。

ISMS应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的程序文件。

一个文档化的ISMS应该阐述：

要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度。

（二）ISMS的作用

Ø强化员工的信息安全意识，规范组织信息安全行为；

Ø对组织的关键信息资产进行全面系统的保护，维持竞争优势；

Ø在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

Ø使组织的生意伙伴和客户对组织充满信心，如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度；

Ø促使管理层坚持贯彻信息安全保障体系。

（三）ISO27001定义的信息安全管理体系

1.3.4ISMS管理框架

建立ISMS管理框架的过程：

ISMS是一个文档化的体系。

文档架构如下图所示：

第一级：

方针策略，《信息安全管理手册》是xx信息安全管理工作的纲领性文件。

第二级：

管理规定、规范、程序文件用来规定所要求的管理制度或技术控制措施。

第三级：

管理办法和实施细则解释特殊工作和活动的细节。

第四级：

记录活动实行以符合等级1,2,和3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据

ISMS文件体系逻辑框架图：

第2章计算机病毒及防范技术

2.1计算机病毒介绍

2.1.1计算机病毒定义

什么是病毒?

医学上的病毒定义：

是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。

什么是计算机病毒?

计算机病毒通常是指可以自我复制，以及向其他文件传播的程序

2.1.2计算机病毒起源和发展史

计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚

“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的青春》中提出

1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。

1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等

1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。

、

1991年在“海湾战争”中，美军第一次将计算机病毒用于实战

1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。

……

2.1.3传统计算机病毒分类

传统计算机病毒分为：

Ø引导型病毒

ØDOS病毒

ØWindows病毒

Ø宏病毒

Ø脚本病毒

2.1.4现代计算机病毒介绍

特洛伊木马：

特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或XX，通常是恶意的操作。

玩笑程序：

玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。

这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。

病毒或恶意程序Droppers：

病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序，在病毒或恶意程序植入后，可以感染文件和对系统造成破坏。

后门程序：

后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略。

DDos攻击程序：

DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务。

如下图所示：

图：

DDOS攻击示意图

2.1.5网络病毒介绍

网络病毒的概念：

利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。

网络病毒的特点及危害：

破坏性强、传播性强、针对性强、扩散面广、传染方式多

网络病毒同黑客攻击技术的融合为网络带来了新的威胁。

攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。

网络攻击的程序可以通过病毒经由多种渠道广泛传播，攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统。

2.2计算机病毒分析与防护

2.2.1病毒的常见症状及传播途径

（一）病毒的常见症状

∙电脑运行比平常迟钝

∙程序载入时间比平常久

∙对一个简单的工作，磁盘似乎花了比预期长的时间

∙不寻常的错误信息出现

∙硬盘的指示灯无缘无故的亮了

∙系统内存容量忽然大量减少

∙可执行程序的大小改变了

∙内存内增加来路不明的常驻程序

∙文件奇怪的消失

∙文件的内容被加上一些奇怪的资料

∙文件名称，扩展名，日期，属性被更改过

（二）病毒的常见传播途径

∙文件传输介质：

例如CIH病毒，通过复制感染程序传播

∙电子邮件：

例如梅丽莎病毒，第一个通过电子邮件传播的病毒

∙网络共享：

例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播

∙文件共享软件：

例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播

2.2.2病毒传播或感染途径

病毒感染的常见过程：

通过某种途径传播，进入目标系统，自我复制,并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。

·打开后门等待连接

·发起DDOS攻击

·进行键盘记录

除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。

1、利用电子邮件感染病毒：

邮件附件为病毒压缩文件，HTML正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快

2、利用网络共享感染病毒：

Ø病毒会搜索本地网络中存在的共享，如ADMIN$,IPC$,E$,D$,C$

Ø通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表

Ø将自身复制到网络共享文件夹中，通常以游戏,CDKEY等相关名字命名

Ø利用社会工程学进行伪装，诱使用户执行并感染。

例如：

WORM_SDBOT等病毒

3、利用P2P共享软件感染病毒：

Ø将自身复制到P2P共享文件夹，通常以游戏,CDKEY等相关名字命名

Ø通过P2P软件共享给网络用户

Ø利用社会工程学进行伪装，诱使用户下载

ØWORM_PEERCOPY.A等病毒

4、利用系统漏洞感染病毒：

Ø由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。

Ø病毒往往利用系统漏洞进入系统,达到快速传播的目的。

Ø常被利用的漏洞：

·RPC-DCOM缓冲