信息安全培训方案.doc

信息安全培训方案.doc

《信息安全培训方案.doc》由会员分享，可在线阅读，更多相关《信息安全培训方案.doc（79页珍藏版）》请在冰豆网上搜索。

信

息

安

全

培

训

方

案

二○○六年二月十四日

第一部分信息安全的基础知识

一、什么是信息安全

1.网络安全背景

ü与Internet相关的安全事件频繁出现

üInternet已经成为商务活动、通讯及协作的重要平台

üInternet最初被设计为开放式网络

2.什么是安全？

ü安全的定义：

信息安全的定义：

为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。

ü信息安全的组成：

信息安全是一个综合的解决方案，包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。

ü信息安全专家的工作：

安全专家的工作就是在开放式的网络环境中，确保识别并消除信息安全的威胁和缺陷。

3.安全是一个过程而不是指产品

不能只依赖于一种类型的安全为组织的信息提供保护，也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。

因为安全性所涵盖的范围非常广阔，包括：

l防病毒软件；

l访问控制；

l防火墙；

l智能卡；

l生物统计学；

l入侵检测；

l策略管理；

l脆弱点扫描；

l加密；

l物理安全机制。

4.百分百的安全神话

ü绝对的安全：

只要有连通性，就存在安全风险，没有绝对的安全。

ü相对的安全：

可以达到的某种安全水平是：

使得几乎所有最熟练的和最坚定的黑客不能登录你的系统，使黑客对你的公司的损害最小化。

ü安全的平衡：

一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。

二、常见的攻击类型

为了进一步讨论安全，你必须理解你有可能遭遇到的攻击的类型，为了进一步防御黑客，你还要了解黑客所采用的技术、工具及程序。

我们可以将常见的攻击类型分为四大类：

针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。

第一类：

针对用户的攻击

5.前门攻击

ü密码猜测

在这个类型的攻击中，一个黑客通过猜测正确的密码，伪装成一个合法的用户进入系统，因为一个黑客拥有一个合法用户的所有信息，他（她）就能够很简单地从系统的“前门”正当地进入。

6.暴力和字典攻击

ü暴力攻击

暴力攻击类似于前门攻击，因为一个黑客试图通过作为一个合法用户获得通过。

ü字典攻击

一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。

uLab2-1：

使用LC4破解Windows系统口令，密码破解工具

uLab2-2：

OfficePasswordRecovery&WinZipPasswordRecovery

7.病毒

计算机病毒是一个被设计用来破坏网络设备的恶意程序。

8.社会工程和非直接攻击

社交工程是使用计谋和假情报去获得密码和其他敏感信息，研究一个站点的策略其中之一就是尽可能多的了解属于这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。

ü打电话请求密码：

一个黑客冒充一个系统经理去打电话给一个公司，在解释了他的帐号被意外锁定了后，他说服公司的某位职员根据他的指示修改了管理员权限，然后黑客所需要做的就是登录那台主机，这时他就拥有了所有管理员权限。

ü伪造E-mail：

使用Telnet一个黑客可以截取任何一个身份证，发送E-mail给一个用户，这样的E-mail消息是真的，因为它发自于一个合法的用户。

在这种情形下这些信息显得是绝对的真实，然而它们是假的，因为黑客通过欺骗E-mail服务器来发送它们。

uLab2-3：

发送伪造的E-Mail消息。

第二类：

针对应用程序的攻击

9.缓冲区溢出

目前最流行的一种应用程序类攻击就是缓冲区溢出。

当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。

这种多余的数据将使程序的缓存溢出，然后覆盖了实际的程序数据，缓冲区溢出使得目标系统的程序自发的和远程的被修改，经常这种修改的结果是在系统上产生了一个后门。

10.邮件中继

目前互连网上的邮件服务器所受攻击有两类：

一类就是中继利用（Relay），即远程机器通过你的服务器来发信，这样任何人都可以利用你的服务器向任何地址发邮件，久而久之，你的机器不仅成为发送垃圾邮件的帮凶，也会使你的网络国际流量激增，同时将可能被网上的很多邮件服务器所拒绝。

另一类攻击称为垃圾邮件（Spam），即人们常说的邮件炸弹，是指在很短时间内服务器可能接收大量无用的邮件，从而使邮件服务器不堪负载而出现瘫痪。

uLab2-4：

通过邮件中继发送E-Mail消息。

11.网页涂改

是一种针对Web服务器的网页内容进行非法篡改，以表达不同的观点或社会现象。

这种攻击通常损害的是网站的声誉。

（中国红客联盟）ngqin为ei

第三类：

针对计算机的攻击

12.物理攻击

许多公司和组织应用了复杂的安全软件，却因为主机没有加强物理安全而破坏了整体的系统安全。

通常，攻击者会通过物理进入你的系统等非Internet手段来开启Internet的安全漏洞。

增强物理安全的方法包括：

用密码锁取代普通锁；将服务器放到上锁的房间中；安装视频监视设备。

uLab2-5：

操作一个对Windows2000Server的物理攻击

13.特洛伊木马和RootKits

任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。

特洛伊程序通常包含能打开端口进入RootShell或具有管理权限的命令行文件，他们可以隐藏自己的表现（无窗口），而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。

uLab2-6：

遭受NetBus特洛伊木马感染

üRootKits（附文档）

RootKits是多种UNIX系统的一个后门，它在控制阶段被引入，并且产生一个严重的问题。

RootKits由一系列的程序构成，当这些程序被特洛伊木马取代了合法的程序时，这种取代提供给黑客再次进入的后门和特别的分析网络工具。

14.系统Bug和后门

üBug和后门

一个Bug是一个程序中的错误，它产生一个不注意的通道。

一个后门是一个在操作系统上或程序上未被记录的通道。

程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。

15.Internet蠕虫

Internet蠕虫是一种拒绝服务病毒，最近流行的红色代码也是类似的一种蠕虫病毒。

蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃，而没有其他的破坏。

第四类：

针对网络的攻击

16.拒绝服务攻击：

在一个拒绝服务攻击中，一个黑客阻止合法用户获得服务。

这些服务可以是网络连接，或者任何一个系统提供的服务。

ü分布式拒绝服务攻击DDOS：

（附文档）

是指几个远程系统一起工作攻击一个远程主机，通常通过大量流量导致主机超过负载而崩溃。

17.哄骗：

（附文档）

哄骗和伪装都是偷窃身份的形式，它是一台计算机模仿另一台机器的能力。

特定的例子包括IP哄骗，ARP哄骗，路由器哄骗和DNS哄骗等。

18.信息泄漏：

几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息，组织结构必须决定如何最少化提供给公众的信息，哪些信息是必要的，哪些信息是不必要的。

需要采取措施保护，不必要泄漏的信息：

DNS服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息（如操作系统平台、版本等）。

uLab2-7：

通过Telnet连接Exchange服务器的SMTP、POP3等服务

19.劫持和中间人攻击：

中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。

黑客在物理位置上位于两个被攻击的合法主机之间。

最常见的包括：

u嗅探包：

以获得用户名和密码信息，任何以明文方式传送的信息都有可能被嗅探；

u包捕获和修改：

捕获包修改后重新再发送；

u包植入：

插入包到数据流；

u连接劫持：

黑客接管两台通信主机中的一台，通常针对TCP会话。

但非常难于实现。

uLab2-8：

网络包嗅探outlookExpress邮件账号口令

三、信息安全服务

20.安全服务

国际标准化组织（ISO）7498-2定义了几种安全服务：

服务

目标

验证

提供身份的过程

访问控制

确定一个用户或服务可能用到什么样的系统资源，查看还是改变

数据保密性

保护数据不被未授权地暴露。

数据完整性

这个服务通过检查或维护信息的一致性来防止主动的威胁

不可否定性

防止参与交易的全部或部分的抵赖。

21.安全机制

根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。

ISO把机制分成特殊的和普遍的。

一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。

如：

加密、数字签名等。

普遍的安全机制不局限于某些特定的层或级别，如：

信任功能、事件检测、审核跟踪、安全恢复等。

四、网络安全体系结构

第二部分信息安全的实际解决方案

一、加密技术

22.加密系统

加密把容易读取的源文件变成加密文本，能够读取这种加密文本的方法是获得密钥（即把原来的源文件加密成加密文本的一串字符）。

1）加密技术通常分为三类：

u对称加密：

使用一个字符串（密钥）去加密数据，同样的密钥用于加密和解密。

u非对称加密：

使用一对密钥来加密数据。

这对密钥相关有关联，这对密钥一个用于加密，一个用于解密，反之亦然。

非对称加密的另外一个名字是公钥加密。

uHASH加密：

更严格的说它是一种算法，使用一个叫HASH函数的数学方程式去加密数据。

理论上HASH函数把信息进行混杂，使得它不可能恢复原状。

这种形式的加密将产生一个HASH值，这个值带有某种信息，并且具有一个长度固定的表示形式。

2）加密能做什么？

加密能实现四种服务：

数据保密性：

是使用加密最常见的原因；

数据完整性：

数据保密对数据安全是不足够的，数据仍有可能在传输时被修改，依赖于Hash函数可以验证数据是否被修改；

验证：

数字证书提供了一种验证服务，帮助证明信息的发送者就是宣称的其本人；

不可否定性：

数字证书允许用户证明信息交换的实际发生，特别适用于财务组织的电子交易。

23.对称密钥加密系统

在对称加密或叫单密钥加密中，只有一个密钥用来加密和解密信息。

u对称加密的好处就是快速并且强壮。

u对称加密的缺点是有关密钥的传播，所有的接收者和查看者都必须持有相同的密钥。

但是，如果用户要在公共介质上如互联网来传递信息，他需要通过一种方法来传递密钥。

一个解决方案就是用非对称加密，我们将在本课的后面提到。

24.非对称密钥加密系统

非对称加密在加密的过程中使用一对密钥，一对密钥中一个用于加密，另一个用来解密。

这对密钥中一个密钥用来公用，另一个作为私有的密钥：

用来向外公布的叫做公钥，另一半需要安全保护的是私钥