第1章-安全导论
一、信息安全概述
Ø一个完整的信息系统包括底层的各种硬件设备、操作系统、以及各种应用程序、网络服务等,也包括使用或管理该系统的用户
Ø因此,信息安全也必然是全方位、多角度的,任何一个环节的弱点都可能导致整个信息系统不堪一击
(1)、安全的基本分类
1、物理安全
Ø物理安全考虑的对象主要是各种硬件设备,机房环境等物质载体,也可以理解为为硬件安全
Ø硬件设施是承载和实现信息系统功能的基础条件,因此物理安全也是最直接、最原始的攻防对象
【加强物理安全的常见措施】
存放位置、设备冗余、硬件设置、人员管理
2、系统安全
Ø系统安全考虑的对象主要是操作系统,包括windows/Linux/Unix,以及路由交换设备的IOS等
Ø操作系统承担着协调CPU、内存、磁盘存储等硬件资源,为用户提供应用环境和服务的核心任务,因此是信息安全中最核心的攻防对象
【加强系统安全的常见措施】
系统(软件漏洞)、账号和权限管理、软件服务管理
系统清理及备份、故障转移(隔离)
3、网络安全
Ø网络安全考虑的对象主要是面向网络的访问控制
Ø各种路由交换设备、服务器、工作站等并不是孤立的个体,而是通过网络来提供服务的
Ø排除掉物理攻击的情况,实际上90%以上的安安全风险和攻击都来自于网络
【加强网络安全的常见措施】
端口过滤、远程管理、伪装技术、加密传输
应用系统防护、防火墙策略、入侵检测
4、数据安全
Ø数据安全考虑的对象主要是电子数据,包括文本、图片、报表、数据库等各种需要保密的文档信息
Ø当然,数据安全的防护等级取决于用户的需求,对于越重要、越敏感的数据资料,越应该采取强力的保护和授权措施
【加强数据安全的常见措施】
数据备份、数据加密、存取权限控制、人员管理
(2)、安全评估标准
信息安全评估主要包括以下工作:
明确安全现状、确定安全风险、为企业的安全体系建设提供指导
1、TCSEC,可信计算机安全评估标准
全称为Trusted Computer System Evaluation Criteria,是计算机系统安全评估的第一个正式标准,由美国国防部于1985年12月正式发布,也称为桔皮书
【TCSEC的四个安全等级】
D类,无保护级:安全性最低,不适合在用户环境下使用
C类,自主保护级:通过将用户和数据资源分离,为多用户环境中的敏感数据提供基本的保护
B类,强制保护级:启用强制性的访问控制策略,所有未明确授权的访问都被拒绝
A类,验证保护级:安全性最高,信息系统的设计者必须按照一个正式的规范来 分析,实施和维护系统
2、ISO/IFC 15408、GB/T 18336-2008,信息技术安全性评估准则
由ISO(International StandardizationOrganization,国际标准化组织)于1999年12月正式发布,是第一个国际通用的计算机安全评估标准
【计算机信息系统安全保护等级划分准则】
第一级,用户自主保护级
第二级,系统审计保护级
第三级,安全标记保护级
第四级,结构化保护级
第五级,访问验证保护级
3、GB/T 202xx-2006、GB/T 209xx-2007、GB/T 210xx-2007系列
在国内的安全评估领域,以国家标准GB/T 17859-1999、GB/T 18336-2001为基础,此后还陆续出台了一系列的细化准则
二、常见的安全风险
(1)、攻击方法介绍
1、利用漏洞
Ø通过特定的操作过程,或使用专门的漏洞攻击程序,利用现有操作系统,应用软件中的漏洞,来侵入受害系统或获取特殊权限
Ø溢出攻击也属于漏洞利用的一种,这种攻击通过向程序提交超过期望长度的数据,结合特定的攻击编码,可以导致受害系统崩溃
ØSQL注入是一种典型的网页代码漏洞利用
2、暴力破解
Ø多用于密码攻击领域,也就是使用各种不同的密码组合反复进行验证,直到找到正确的密码
Ø暴力破解也称“密码穷举”,用来尝试的所有密码集合称为“密码字典”
3、木马植入
Ø通过向受害者系统中植入并启用木马程序,在用户不知情的情况下,窃取敏感信息,或者提供远程访问的入口
Ø木马程序好比潜伏在计算机中的电子间谍,通常伪装成合法的系统文件,具有较强的隐蔽性、期骗性
Ø常用的木马有“网银大盗、QQ终结者、冰河、上新、广外女生、网络神偷”等
4、病毒、恶意程序
Ø病毒、恶意程序的主要目的是破坏,而不是窃取信息
Ø病毒程序具有自我复制和传染能力,可能通过电子邮件、图片、视频、软件、光盘等途径进行传播
Ø常用病毒“CIH病毒、千年虫、冲击波、红色代码、熊猫烧香”等
5、系统扫描
Ø扫描还算不上是真正的攻击,而更像是攻击的前奏,指的是利用工具软件来探测目标网络或主机的过程
Ø扫描可以获取目标的系统类型、软件版本、端口开放情况,发现已帮或潜在的漏洞
Ø常见的扫描工具“PortScan、X-Scan、流光、Nessus”等
6、Dos(拒绝服务)
Ø全称为Denial of Service,名称来源于攻击结果,指的是无论通过何种方式,最终导致目标系统崩溃、失去响应,从而无法正常提供服务或资源访问的情况
ØDos攻击中比较常见的是洪水方式,如“Syn Flood、Ping Flood”。Syn Flood通过向目标发送大量的TCP请求,耗尽了对方的连接资源,从而无法提供正常的服务
Ø威力更大的DDos攻击,即Distributed Denialof Service(分布式拒绝服务),这种方式的攻击方法不再是一台主机,数量上呈现规模化,可能是分布在不同网络,不同位置的成千上万的主机(通常称为“肉鸡”)
7、网络钓鱼
Ø网络钓鱼是引用受害者访问伪造的网站,以便收集用户名、密码信用卡资料等敏感信息
Ø从外观上看,攻击者伪造的网站与真正的银行网站几乎一模一样,网站域名也比较相似
8、ARP欺骗、中间人攻击
Ø主要是针对局域网环境,攻击的对象为目标主机的ARP缓存表,通过发送错误的IP/MAC地址映射表干扰通信
三、恶意程序攻击示例
消除恶意程序
删除文件C:\Windows\System32\rundll32.bat
运行gpedit.msc组策略编辑器
# 用户配置-->管理模板-->系统,将“阻止访问注册表工具”设为“已禁用”
# 用户配置-->管理模板-->Windows组件-->Internet Explorer,将“禁止更改主页设置”设为“已禁用”
编辑注册表,删除开机启动项“ctfmom”
重新打开Internet Explorer浏览器,修复主页设置
四、设置IPsec加密的方法
找开控制台,mmc→→选择“文件”,添加管理单元→→添加IP安全策略→→创建IP安全策略→→根据环境需求定制协议加密
本文转自甘兵 51CTO博客,原文链接:http://blog.51cto.com/ganbing/1258008,如需转载请自行联系原作者
