信息安全基础与ISEC项目-信息安全基础

信息安全基础与ISEC项目国家信息化安全教育认证管理中心ISEC授课内容一信息安全概况二入侵手段三安全概念与安全体系四安全技术五ISEC认证介绍一信息安全概况安全威胁威胁来源产品和市场研究与开发安全人才安全威胁政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。安全威胁2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。中美黑客网上大战时，国内外的上千个门户网站遭到破坏。安全威胁2003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。美欲用电脑赢战争，网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。安全威胁中国国内80%网站有安全隐患，20％网站有严重安全问题中国的银行过去两年损失1.6亿人民币利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%威胁来源互联网存在的六大问题无主管的自由王国不设防的网络空间法律约束脆弱跨国协调困难民族化和国际化的冲突网络资源紧缺网络和系统的自身缺陷与脆弱性国家、政治、商业和个人利益冲突020406080100120140160200020012002200320042005年份市场规模（亿美元）00.050.10.150.20.250.3增长率世界网络安全产品市场36.50%31.50%26.00%18.50%11.00%9.00%8.00%5.00%3.00%0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%用户需求无防火墙防病毒入侵检测露洞扫描加密与数字签名VPN授权与认证企业级系统扫描和专家管理系统国内安全产品需求95.50%45.00%5.00%4.50%4.00%3.50%1.50%1.00%0.00%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%1防病毒防火墙授权和认证VPN入侵检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它国内安全产品使用年份050001000015000200002500030000350004000020002001200220032004市场规模（万美元）47.00%48.00%49.00%50.00%51.00%52.00%53.00%54.00%55.00%56.00%57.00%58.00%增长率中国网络安全产品市场产品和市场中国信息安全产品测评认证中心每年认证的安全产品达十几类，上百种。1998－2000安全产品300多个2001－2002安全产品600多个几百家国内外厂商，投资金额巨大。国家安全战略1998年5月22日，克林顿政府颁布《对关键基础设施保护的政策：第63号总统令》，2000年颁布《信息系统保护国家计划v1.0》。2002年9月18日和20日，布什政府颁布《保护网络空间的国家战略（草案）》和《美国国家安全战略》。2003年2月14日布什政府颁布《保护网络空间的国家战略》和《反恐国家战略》。国家安全战略2002年7月19日“国家信息安全保障体系战略研讨会”在北京科技会堂召开，由中国工程院和国家信息化工作办公室主办，由交大信息安全体系结构研究中心承办。2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办，由信息安全国家重点实验室主办。学术研究和技术开发国家863信息安全技术主题课题研究所和重点实验室高校的专业方向安全人才需求国家重点科研项目的需求专业安全产品公司的需求应用行业的管理、应用和维护的需求对网络信息安全人才的需求在今后几年内将超过100万，但专业的网络与信息安全机构在国内却屈指可数。网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明，网络信息安全人才必将成为信息时代最热门的抢手人才。授课内容一信息安全概况二入侵手段三安全概念与安全体系四安全技术五ISEC认证介绍网络安全目前存在的威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫网络入侵技术分类系统弱密码入侵利用CGI/IIS漏洞入侵BufferOverflow入侵DOS/DDOS攻击IPSpoof入侵网络监听(sniffer)数据库弱密码入侵利用PHP程序漏洞入侵其它系统弱密码入侵口令安全的测试自己的姓名中文拼音37%常用英文单词23%计算机的中经常出现的单词18%自己的出生日期7%良好的密码15%系统弱密码入侵(续)口令安全可逆与不可逆通常口令的加密方法是不可逆的猜测与穷举口令破解Unix口令通常限制在8位以内，56位密钥加密john:Xd3rTCvtDs5/W:9999:13:JohnSmith:/home/john:/bin/shNT口令通常限制在14位以内系统弱密码入侵(续)口令破解的时间Unix口令6位小写字母穷举:36小时8位小写字母穷举:3年NT口令8位小写字母及数字穷举，时间通常不超过30小时系统弱密码入侵(续)常用工具介绍Jackal的CrackerJack（用于dos平台）JohntheRipper（可用于dos/win95平台）L0pht（用于破解NT密码)利用CGI/IIS漏洞入侵微软的IIS系统存在大量的安全隐患目前大量服务器采用IIS发布网站堆栈溢出技术堆栈溢出原理什么是堆栈堆栈溢出在长字符串中嵌入一段代码，并将过程的返回地址覆盖为这段代码的地址，这样当过程返回时，程序就转而开始执行这段自编的代码了.堆栈实例voidfunction(inta,intb,intc){charbuffer1[5];charbuffer2[10];}voidmain(){function(1,2,3);}调用时堆栈情况Buffer2Buffer1SfpRetABC内存低地址内存高地址堆栈顶部堆栈底部堆栈溢出程序实例voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}voidmain(){charlarge_string[256];inti;for(i=0;i255;i++)large_string[i]='A';function(large_string);}调用函数时堆栈情况Buffersfp（0x41414141)ret（0x41414141)*str内存低地址内存高地址堆栈顶部堆栈底部存在堆栈溢出的服务UnixWu-FTPDSendmailApachehttpdNTIIS第三方服务程序IPSpoof入侵技术电子欺骗技术冒充信任主机IP地址标准TCP建立过程SYN1415531521:14155331521SYN1823083521:1823083521Ack14155331522Ack1823083522客户机服务器IPSpoof状态下TCP建立过程SYN1415531521:14155331521修改源地址为信任主机IPSYN1823083521:1823083521Ack14155331522Ack通过算法算出SEQ值+1信任主机服务器DOS/DDOSDOS拒绝服务攻击DDOS分布式拒绝服务攻击利用TCP/IP缺陷常见DOS工具Bonk通过发送大量伪造的UDP数据包导致系统重启动TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃SynFlood通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动Bloop通过发送大量的ICMP数据包导致系统变慢甚至凝固Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动实例：SynFlood现象攻击者伪造源地址，发出Syn请求服务器端性能变慢，以及死机服务器上所以服务都不能正常使用SynFlood原理Syn伪造源地址(1.1.1.1)IP:211.100.23.11.1.1.1(TCP连接无法建立，造成TCP等待超时）Ack大量的伪造数据包发向服务器端DDOS攻击黑客控制了多台服务器，然后每一台服务器都集中向一台服务器进行DOS攻击分布式拒绝服务攻击美国几个著名的商业网站（例如Yahoo、eBay、CNN、Amazon、buy.com等）遭受黑客大规模的攻击，造成这些高性能的商业网站长达数小时的瘫痪。而据统计在这整个行动中美国经济共损失了十多亿美元。这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。DDOS攻击示意图分布式拒绝服务攻击分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet分布式拒绝服务攻击步骤2Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻击步骤3Hacker黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternetHackerUsingClientprogram,黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet分布式拒绝服务攻击步骤4TargetedSystemHacker主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerInternet被控制计算机（代理端）分布式拒绝服务攻击步骤5分布式拒绝服务攻击步骤6TargetedSystemHacker目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）分布式拒绝服务攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。DDOS攻击的预防确保主机不被入侵且是安全的；周期性审核系统；检查文件完整性；优化路由和网络结构；优化对外开放访问的主机；在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。网络监听技术Sniffer监视网络状态、数据流动、传输信息截获用户的口令黑客扩大战果的有效手段窃听器窃听原理局域网中的广播式通信常用端口ftp21http80pop3110telnet23常用窃听器SnifferNetXRayDatabase弱密码入侵默认安装的SQLServer的管理员Sa的密码为空如果管理员没有修改过Sa密码黑客远程连接上数据库数据库被远程连接的危害性如果黑客连接到了SQLServer，那么可以使用XP_cmdshell过程执行本地命令。如果连接的帐号不是数据库管理员身份，那么可以通过SQLServer漏洞进行越权处理。SqlInjection入侵技术Str