网络安全现状与常用的安全方法（PPT218页）

网络安全现状与常用的安全方法天津理工大学网络与信息安全系王春东目录一.计算机病毒二.网络安全现状三.信息系统的安全风险四.我们眼中的安全五.常用的安全方法计算机病毒病毒：virus安全从病毒入手!1.时间,地点一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。时间：2004年4月29日地点：德国北部罗滕堡镇沃芬森小村(Waffensen),人口仅920。2.人物斯万-贾斯查因(SvenJaschan)，4月29日这一天是他18岁的生日。母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部。几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。3.传播从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢。4.危害这就是全球著名的“震荡波”(Worm.Sasser)蠕虫病毒。自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。微软悬赏25万美元找原凶!“五一”长假后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30％为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到3．5万个5.游戏结束开始时，报道有俄罗斯人编写了这种病毒!5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。反病毒专家!6.病毒表现的特征病毒是通过微软的最新高危漏洞-LSASS漏洞(微软MS04-011公告)进行传播的，危害性极大，目前WINDOWS2000/XP/Server2003等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。6.病毒表现的特征(1)(1).出现系统错误对话框被攻击的用户，如果病毒攻击失败，则用户的电脑会出现LSAShell服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。6.病毒表现的特征(2)(2).系统日志中出现相应记录如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如图所示的日志记录，则证明已经中毒.6.病毒表现的特征(2)3.系统资源被大量占用病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。6.病毒表现的特征(2)4.内存中出现名为avserve的进程病毒如果攻击成功，会在内存中产生名为avserve.exe的进程，用户可以用Ctrl+Shift+Esc的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。6.病毒表现的特征(2)五、系统目录中出现名为avserve.exe的病毒文件病毒如果攻击成功，会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件。六、注册表中出现病毒键值病毒如果攻击成功，会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中建立病毒键值：avserve.exe=%WINDOWS%\avserve.exe。7.病毒的运行过程(1)该病毒利用了WindowsLSASS的一个已知漏洞(MS04-011)，这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。感染系统：WinNT/Win2000/WinXP/Win2003病毒长度：15872字节1、生成病毒文件病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件。例如:c:\win.log:IP地址列表c:\WINNT\avserve.exe:蠕虫病毒文件本身c:\WINNT\system32\11113_up.exe:可能生成的蠕虫文件本身c:\WINNT\system32\16843_up.exe:可能生成的蠕虫文件本身8.病毒的运行过程(2)2、修改注册表项病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建avserve=”c:\WINNT\avserve.exe”。3、通过系统漏洞主动进行传播病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。4、危害性受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A类或B类子网地址，目标端口是TCP445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。9.清除该病毒的相关建议(1)有了上面的分析之后，我们就可以手动来清除该病毒了。方法如下：1、安全模式启动重新启动系统同时按下按F8键，进入系统安全模式2、注册表的恢复点击开始--〉运行，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，并删除面板右侧的avserve=c:\winnt\avserve.exe“3、删除病毒释放的文件点击开始--〉查找--〉文件和文件夹，查找文件avserve.exe和*_up.exe，并将找到的文件删除。8.清除该病毒的相关建议(2)4、安装系统补丁程序到以下微软网站下载安装补丁程序：或者在ＩＥ浏览器的工具－WindowsUpdate升级系统。5、重新配置防火墙重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996;8.清除该病毒的相关建议(3)4、可用一些补丁和杀毒软件，如瑞星：8.清除该病毒的相关建议(4)Microsoft早在4月初就已经给出了MS04-011,012,013等严重漏洞，并且提醒用户打补丁。小结(1).我们接触信息安全都是从计算机病毒开始的。(2).想必大家都类似病毒的侵扰；(如冲击波，震荡波等)。(3).其实网络上到处都有安全隐患!演示内容：网络数据包的生成，传输，和到达的过程以及在这一过程中存在的安全问题。IPmovie目录一.计算机病毒二.网络安全现状三.信息系统的安全风险四.我们眼中的安全五.常用的安全方法计算机系统的入侵我们从计算机系统的入侵就可以看出网络信息安全历史，现状和未来。19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务年，信息安全事件增加了23倍!1998年:3734次2003年:127529次什么是安全？•安全–一种能够识别和消除不安全因素的能力–安全是一个持续的过程–网络安全是网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。一)非授权访问1.没有经过同意，就使用网络或计算机资源。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。2.或擅自扩大权限，越权访问信息。形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。安全威胁二)信息泄露1.敏感数据在有意或无意中被泄漏出去。信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。2.信息在存储介质中丢失或泄漏。通过建立隐蔽隧道等窃取敏感信息等。安全威胁三)破坏数据完整性1.以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；2.恶意添加，修改数据，以干扰用户的正常使用。安全威胁四)拒绝服务攻击1.不断对网络服务系统进行干扰，改变其正常的作业流程。2.执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。安全威胁SYNFlood原理•正常的三次握手建立通讯的过程SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方SYNFlood原理SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接连接耗尽正常tcpconnect攻击者受害者大量的tcpconnect这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect五)利用网络传播病毒通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。六)假冒假冒合法身份破坏正常工作，北大同宿舍同学邮件假冒案。七)抵赖否认接收过或发送过信息。安全威胁为什么我们不能杜绝攻击事件的发生•日趋精密的攻击以及以INTERNET为基础的技术快速发展。•合格的IT技术人员和资金的缺乏从而不能获得更多的资源。•没有对被保护的系统有大量、充分、快速、安全的部署。没有绝对的安全•开放最少服务提供最小权限原则•安全需求平衡–过分繁杂的安全政策将导致比没有安全政策还要低效的安全。–需要考虑一下安全政策给合法用户带来的影响在很多情况下如果你的用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了你公司的安全有效性。建立一个有效的安全矩阵•安全距阵–一个安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙，入侵检测系统，审查方案构成。•安全矩阵系统最主要的几个方面–允许访问控制–容易使用–合理的花费–灵活性和伸缩性–优秀的警报和报告保护资源•终端用户资源–Theworkstationsusedbyemployees–威胁:Viruses,trojans,ActiveX,applet•网络资源–Routers,switches,wiringclosets,telephony–威胁:IPspoofing,systemsnooping•服务器资源–DNS,WEB,Email,FTP等服务器–威胁:Unauthorizedentry,D.O.S,trojans•信息存储资源–Humanresourcesande-commercedatabases–威胁:Obtainingtradesecrets,customerdata增加了复杂性不得不培训用户如何使用你需要的安全机制降低了系统响应时间认证，审计和加密机制会降低系统性能安全的权衡考虑和缺点网络安全问题增长