黑客攻击及安全防御手段

网络安全防护万洋2007.1.4课程的目的掌握网络安全的基本概念和内容。了解Internet安全面临着哪些威胁和个人上网用户面临着哪些网络陷阱。理解计算机网络提供的安全服务和安全机制、安全服务和安全机制之间的关系，安全服务与层的关系以及安全服务机制的配置。掌握网络的安全管理与安全控制机制、网络安全的常规防护和控制措施，以及网络安全实施过程中需要注意的一些问题。课程安排信息安全概述信息防护知识威胁信息安全人群黑客攻击及安全防御手段信息安全概述中国网络现况2006年1月17日，中国互联网络信息中心在京发布“第十七次中国互联网络发展状况统计报告”。报告显示，截至2005年12月31日，我国上网用户总数突破1亿，为1.11亿人，其中宽带上网人数达到6430万人。目前，我国网民数和宽带上网人数均位居世界第二。上网计算机数达到4950万台，网络国际出口带宽达到136106M，网站数达到69.4万个。IP地址总数达到7439万个，仅次于美国和日本，位居世界第三中国已经成为世界Internrt最有潜力的市场之一信息安全概述目前面临的信息安全问题计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。信息安全概述当今中国网络信息安全形式随着中国电子商务与电子政务的突飞猛劲的发展信息安全市场成长迅速,对信息安全服务及人员需求增大。目前我国没有建立成型的安全人员培训体系与相关职位，造成信息安全发展那的待后。客户对信息安全的需求趋向全方位的安全服务体系，不能简单的购置放火墙、杀毒工具所能满足中国政府、军队、企业、网民2002年起注重网络信息安全的自我保护意识逐渐增长，对信息安全人员与信息安全服务体系需求增大。信息安全概述2005年美国FBI对网络信息安全调查[美国]结论：在全部的安全事件中，信息外泄事件造成的损失高达97%连续5年排在第一位信息来源:2004CSI/FBIComputerCrime&SecuritySurvey计算机安全损失97%020%40%60%80%90%100%阴谋破坏信息外泄55%未授权服务32%拒绝服务31%25%外部系统攻击13%信息盗窃2004年计算机安全事件信息安全基础知识安全等级标准美国的“可信计算机系统评估准则中国国家标准《计算机信息安全保护等级划分准则》信息安全基础知识美国的“可信计算机系统评估准则根据以下这四个准则为计算机的安全级别进行了分类，分为D、C、B、A级，由低到高。D级暂时不分子级。C级分为C1和C2两个子级，C2比C1提供更多的保护。B级分为B1、B2和B3三个子级，由低到高。A级暂时不分子级。每级包括它下级的所有特性。信息安全基础知识D级D级是最低的安全级别，整个计算机系统是不可信任的。硬件和操作系统很容易被侵袭。任何人都可以自由地使用该计算机系统，不对用户进行验证。系统不要求用户进行登记（要求用户提供用户名）或使用密码（要求用户提供唯一的字符串来进行访问）。任何人都可以坐在计算机的旁边并使用它。DOS、Windows3.x及Windows95(不在工作组方式中)都属于D级的计算机操作系统。信息安全基础知识C级分为C1和C2两个子级C1级是选择性安全防护系统，要求硬件有一定的安全保护（如硬件有带锁装置，需要钥匙才能使用计算机）。用户在使用计算机系统前必须先登录。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限。UNIX系统、Linux系统、WindowsNT都属于C1级兼容计算机操作系统。信息安全基础知识C2级C2级引进了受控访问环境（用户权限级别）的增强特性，具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。能够达到C2级的常见操作系统有UNIX、Linux系统、WindowsNT.信息安全基础知识B级分为B1、B2和B3三个子级B1级：指符号安全防护，支持多级安全。“符号”是指网上的一个对象，该对象在安全防护计划中是可识别且受保护的。“多级”是指这一安全防护安装在不同级别，对敏感信息提供更高级的保护，让每个对象都有一个敏感标签，而每个用户都有一个许可级别。B1级安全措施的计算机系统随着计算机系统而定，政府机构和防御承包商们是B1级计算机系统的主要拥有者。信息安全基础知识B2级B2级又称为结构防护，要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。如允许用户访问一台工作站，但不允许访问含有职员工资资料的磁盘子系统。信息安全基础知识B3级B3级又称为安全域，要求用户工作站或终端通过可信任途径连接网络系统，而且这一级采用硬件来保护安全系统的存储区。信息安全基础知识A级A级是橙皮书中的最高安全级，又称为验证设计，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布的含义是，硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。中国国家标准《计算机信息安全保护等级划分准则》该准则将计算机信息系统安全保护等级划分为五个级别1.用户自主保护级本级的安全保护机制使用户具备自主安全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。2.系统审计保护级本级的安全保护机制具备第一级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负责。中国国家标准《计算机信息安全保护等级划分准则》3.安全标记保护级本级的安全保护机制有系统审计保护级的所有功能，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。4.结构化保护级本级具备第3级的所有安全功能。并将安全保护机制划分成关键部分和非关键部分相结合的结构，其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。中国国家标准《计算机信息安全保护等级划分准则》5.安全域级保护级本级的安全保护机制具备第4级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。信息安全防护知识漏洞漏洞的概念漏洞的类型漏洞对网络安全的影响漏洞与后门的区别信息安全防护知识漏洞的概念漏洞的概念在计算机网络安全领域，“漏洞”是指硬件、软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。信息安全防护知识漏洞的类型允许拒绝服务的漏洞允许有限权限的本地用户未经授权提高其权限的漏洞。允许外来团体（在远程主机上）未经授权访问网络的漏洞。信息安全防护知识漏洞对网络安全的影响漏洞影响Internet的可靠性和可用性漏洞导致Internet上黑客入侵和计算机犯罪漏洞致使Internet遭受网络病毒和其它软件的攻击信息安全防护知识漏洞与后门的区别漏洞与后门是不同的，漏洞是难以预知的，后门则是人为故意设置的。后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令，这些口令无论是被攻破，还是只掌握在制造者手中，都对使用者的系统安全构成严重的威胁。信息安全防护知识后门后门是程序中绕过例行检查的入口这种非正常入口在程序开发过程中普遍存在，一旦系统发布所有后门均应关闭后门一般有两种情况忘记关闭有意保留信息安全防护知识威胁类型阻断系统资产被毁损或变成不可用、不能用截取非授权方得到系统资产，如盗取保密数据篡改系统数据被非授权者改变伪造非授权者将假对象加入系统信息安全防护知识sourcedestinationsourcedestinationsourcedestinationsourcedestination阻断截取篡改伪造信息安全防护知识程序威胁独立程序寄生程序陷阱门逻辑炸弹特洛伊木马细菌蠕虫复制恶意程序病毒信息安全防护知识逻辑炸弹逻辑炸弹是隐藏在合法程序中可以被某种条件触发而执行某种破坏性动作的程序软件开发者可以采用这种手段制约使用者，以达到某种目的。逻辑炸弹程序的设计是容易的，一般编程人员都能实现，但要伪装得好、不易被发现，则需要一定的设计技巧和编程经验。信息安全防护知识特洛伊木马特洛伊木马是嵌入于某合法程序中的秘密例程，合法程序的执行将导致秘密例程的执行，是具有伪装的攻击程序。例如：甲欲得到乙的文件F,因无权限不能直接访问，便编写一个游戏程序G并邀请甲玩，甲运行G，这确实是一个游戏程序，但在后台G将F复制到乙用户的目录下，达到了文件窃取的目的。实际演示捆扎与反捆扎程序信息安全防护知识细菌消耗系统资源进程复制文件复制细菌可以指数级别增长消耗CPU资源内存资源磁盘空间信息安全防护知识病毒病毒不是一个独立的程序，而是寄生于某一合法程序(通常是一个可执行程序)上的一段代码，其危害包括两个方面：传播：使其它文件感染上该病毒；破坏：具体破坏动作多种多样，如删除系统文件等。信息安全防护知识蠕虫复制和传播，通过自身复制消耗系统资源，在网上从一个计算机传播到另一个计算机；除复制和传播外，可能伴随执行不期望的动作等。威胁信息安全人群黑客和入侵者黑客让人感到神秘的名词！这个名词是由英文“hacker”译过来。而“hacker”又源于英文动词“hack”（字典里注解为：劈砍，引申为“干了一件不错的事情”）黑客并不指入侵者。黑客起源50年代麻省理功学院。他们追求新技术、新思维，热忠解决问题。威胁信息安全人群黑客联盟发展历史1998年组建中国黑客紧急会议中心。1999年6月中国黑客紧急会议中心转组为中国黑客联盟。从此中国黑客联盟走向历史舞台。2000年5月因美国轰炸中国驻南联盟大使馆事件，中国黑客联盟发起对美国网站的首轮攻击。收效显著，继而中国红客联盟及中国鹰派发动后续攻击。此事件即震惊世界的”中美黑客大战”.2001年中国黑客联盟逐步形成规范的联盟管理体制。进行分站编组，统一管理。联盟成员达到15万余人。威胁信息安全人群黑客和入侵者入侵者是指坏着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权，破坏重要数据，拒绝合法用户服务请求，或为了自己的目的制造麻烦。“入侵者”很容易识别，因为他们的目的是恶意的。黑客攻击及安全防御手段常见的黑客攻击方法及入侵技术的发展19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务高黑客攻击及安全防御手段入侵系统的常用步骤采用漏洞扫描工具获取系统一定权限安装系统后门获取敏感信息或者其他攻击目的提升为最高权限选择会用的方式入侵黑客攻击及安全防御手段较高明的入侵步骤端口判断判断系统选择最简方式入侵分析可能有漏洞的服务获取系统一定权限提升为最高权限安装多个系统后门清除入侵脚印攻击其他系统获取敏感信息作为其他用途黑客攻击及安全防御手段常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装WW欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件