网络安全网络安全基础.docx

1、网络安全网络安全基础网络安全网络安全基础目录第1章 信息安全管理基础 41.1 信息安全概述 41.1.1 信息安全面临的主要问题 41.1.2 信息安全的相对性 41.2 信息安全管理相关概念 41.2.1 什么是信息安全 41.2.2 信息安全的发展过程 51.2.3 信息安全的基本目标 51.2.4 如何实现信息安全 51.2.5 信息安全需要遵循的模式 61.3 BS7799概述 71.3.1 BS 7799 71.3.2 ISO 17799 71.3.3 安全管理体系规范 131.3.4 ISMS管理框架 14第2章 计算机病毒及防范技术 162.1 计算机病毒介绍 162.1.1

2、计算机病毒定义 162.1.2 计算机病毒起源和发展史 162.1.3 传统计算机病毒分类 162.1.4 现代计算机病毒介绍 172.1.5 网络病毒介绍 172.2 计算机病毒分析与防护 182.2.1 病毒的常见症状及传播途径 182.2.2 病毒传播或感染途径 182.2.3 病毒自启动方式 192.2.4 病毒的隐性行为 212.2.5 计算机病毒防御 22第3章密码学基础 273.1 密码学概述 273.1.1 密码学概述 273.1.2 密码学的发展 273.1.3 密码体制的分类 283.1.4 密码学的主要应用 303.1.5 信息加密方式 303.2 对称密码学 323.3

3、 非对称密码学 323.4 消息认证技术 33第4章安全评估 344.1 安全评估概述 344.1.1 安全评估目的 344.1.2 安全评估要素 344.1.2 安全评估过程 364.1.4 安全评估工具 374.1.5 安全评估标准 374.2 安全扫描 38第5章 NAT技术 405.1 NAT简介 405.1.1 NAT的引入 405.1.2 NAT的基本概念 405.1.3 NAT的转换机制 405.1.4 NAT的多对多地址转换及地址池 415.1.5 NAT的特征 415.1.6 NAT的性能 425.1.7 应用级网关ALG 425.2 NAT用户日志简介 425.2.1 NA

4、T用户日志的作用 425.2.2 NAT用户日志的实现 43第6章 数据传输安全 456.1 安全数据传输面临的威胁 456.2 数据传输安全关键技术 456.2.1 SSL 和 TLS 456.2.3 PPTP 466.2.5 SMB 签名 476.2.6 LDAP 签名 476.2.7 WEP 476.2.8 WPA 486.2.9 IPSec 48第1章 信息安全管理基础1.1 信息安全概述1.1.1 信息安全面临的主要问题1、人员问题： 信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失，信息泄漏等问题 特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据 内部员

5、工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等2、技术问题： 病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作3、法律方面 网络滥用：员工发表政治言论、访问非法网站 法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）1.1.2 信息安全的相对性安全没有100%，完美的健康状态永远也不能达到。安全工作的目标：将风险降到最低。1.2 信息安全管理相关概念1.2.1 什么是信息安全ISO17799中的描述：“Information is an asset which, like other important business assets, has va

6、lue to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 定义中强调信息： 是一种资产 同其它重要的商业资产一样 对组织具有价值

7、需要适当的保护 以各种形式存在：纸、电子、影片、交谈等ISO17799中的描述:“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”信息安全： 保护信息免受各方威胁 确保组织业务连续性 将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会1.

8、2.2信息安全的发展过程20世纪初：强调保密性（密码学）20世纪60年代：保密性、完整性、可用性（CIA）20世纪80年代：保密性、完整性、可用性、抗抵赖、可控性、真实性1.2.3信息安全的基本目标保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。1.2.4

9、如何实现信息安全物理安全技术：环境安全、设备安全、媒体安全；系统安全技术：操作系统及数据库系统的安全性；网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；应用安全技术：Email 安全、Web 访问安全、内容过滤、应用系统安全；数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA 特性；认证授权技术：口令认证、SSO 认证（例如Kerberos）、证书认证等；访问控制技术：防火墙、访问控制列表等；审计跟踪技术：入侵检测、日志审计、辨析取证；防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。1.2.5信息安全需要遵循

10、的模式在信息安全管理方面，BS7799 标准为我们提供了指导性建议，即基于PDCA（Plan、Do、Check 和Act，即戴明环）的持续改进的管理模式。1.3 BS7799概述1.3.1 BS 7799（一）BS 7799简介BS 7799是英国标准协会（British Standards Institute，BSI）制定的信息安全标准，由信息安全方面的最佳惯例组成的一套全面的控制集，是信息安全管理方面最受推崇的国际标准。BS7799和ISO17799的区别：BS7799： 英国标准 已被多个国家认同（如澳大利亚等） 第二部分是可认证标准 2002年新修订了第2部分。新版本风格接近ISO90

11、00和ISO14000。ISO17799 2000年采纳了BS7799的第一部分 第二部分还在讨论中（二）BS 7799的历史沿革 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础。 1995年2月 首次出版BS 7799-1:1995信息安全管理实施细则。 1998年2月 英国公布BS 7799-2:信息安全管理体系规范。 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。 2000年12月 国际标准组织 ISO/IEC JT

12、C 1/SC27工作组认可通过BS 7799-1，颁布ISO/IEC 17799-1:2000信息技术信息安全管理实施细则。 2002年9月 BSI对BS 7799-2进行了改版，用来替代原标准（BS 7799-2:1999）使用，并可望通过ISO组织认可。ISO27001:2005 建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准 。1.3.2 ISO 17799图：ISO 17799:200

13、5内容框架（一）信息安全管理细则 信息安全策略 安全组织 资产分类和控制 人员安全 物理和环境安全 通信和操作管理 访问控制 系统获得、开发和维护 信息安全事件管理 业务连续性管理 依从性（二）信息安全策略 目标： 信息安全策略为信息安全提供与业务需求和法律法规相一致的管理指示及支持 安全策略应该做到： 对信息安全加以定义 陈述管理层的意图 分派责任 约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明 对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程（三）安全组织 目标： 信息安全基础设施在组织内部管理信息安全 外部组织保持组织的被外部组织访问、处理、沟通或管理的信息及信

14、息处理设备的安全 包含的内容： 建立管理委员会，定义安全管理的角色和责任 对软硬件的采购建立授权过程 与第三方签订的协议中应覆盖所有相关的安全要求。 外包合同中的安全需求 包括内部组织和外部伙伴（四）资产管理 目标： 资产责任实现并保持组织资产的适当保护 信息分类确保对信息资产的保护达到恰当的水平 包含的内容： 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。 按照信息资产所属系统或所在部门列出资产清单。 所有的信息资产都应该具有指定的属主并且可以被追溯责任。 信息应该被分类，以标明其需求、优先级和保护程度。 根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。（五）人力资源

15、安全 目标： 雇佣前确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。 雇佣中确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。 解聘和变更确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行。 包含的内容： 故意或者无意的人为活动可能给数据和系统造成风险 在正式的工作描述中建立安全责任，员工入职审查 （六）物理和环境安全 目标： 安全区域防止非授权访问、破坏和干扰业务运行的前提条件及信息。 设备安全预防资产的丢失、损坏或被盗，以及

16、对组织业务活动的干扰。 包含的内容： 应该建立带有物理入口控制的安全区域 应该配备物理保护的硬件设备 应该防止网络电缆被塔线窃听 将设备搬离场所，或者准备报废时，应考虑其安全（七）通信和操作管理 目标： 操作程序和责任确保信息处理设施的正确和安全操作。 第三方服务交付管理实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。 系统规划与验收减少系统失效带来的风险。 防范恶意代码和移动代码保护软件和信息的完整性。 备份保持信息和信息处理设施的完整性和可用性 网络安全管理确保对网络中信息和支持性基础设施的安全保护。 介质处理和安全防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干

17、扰。 信息和软件的交换应保持组织内部或组织与外部组织之间交换信息和软件的安全。 电子商务服务 确保电子商务的安全及他们的安全使用。 监督检测XX的信息处理活动。 包含的内容： 防病毒，防恶意软件 进行变更控制 做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性 电子邮件安全性 保护传输中的数据（八）访问控制 目标： 访问控制的业务需求控制对信息的访问。 用户访问管理确保授权用户的访问，并预防信息系统的非授权访问。 用户责任预防未授权用户的访问，信息和信息处理设施的破坏或被盗。 网络访问控制防止对网络服务XX的访问。 操作系统访问控制防止对操作系统的未授权访问。 应用访问控制防止

18、对应用系统中信息的未授权访问。 移动计算和远程工作确保在使用移动计算和远程工作设施时信息的安全。 包含的内容： 口令的正确使用 对终端的物理访问 自动终止时间 软件监视等（九）系统获得、开发与维护 目标： 系统的安全需求确保安全内建于信息系统中。 应用系统的安全防止应用系统信息的错误、丢失、未授权的修改或误用。 加密控制通过加密手段来保护细腻的保密性、真实性或完整性。 系统文件的安全确保系统文档的安全。 开发和支持过程的安全保持应用系统软件和信息的安全。 技术漏洞管理减少由利用公开的技术漏洞带来的风险。 包含的内容： 在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护

19、 软件开发和维护中应该建立配置管理、变更控制等机制（十）信息安全事件管理 目标： 报告信息安全事件和弱点确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。 信息安全事故的管理和改进确保使用持续有效的方法管理信息安全事故。 包含的内容： 正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点 所有的员工、合同方和第三方用户都应该知晓这套报告程序。 要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方。 （十一）业务连续性管理 目标： 业务连续性管理的信息安全方面：防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，

20、并确保他们的及时恢复。 包含的内容： 全面理解业务连续性计划（BCP） 理解组织面临的风险，识别关键业务活动和优先次序。 确认可能对业务造成影响的中断。 应该设计、实施、测试和维护BCP（十二）符合性 目标： 与法律法规要求的符合性避免违反法律、法规、规章、合同要求和其他的安全要求。 符合安全方针、标准，技术符合性确保系统符合组织安全方针和标准。 信息系统审核的考虑因素最大化信息系统审核的有效性，最小化来自/对信息系统审核的影响。 包含的内容： 组织应该确保遵守相关的法律法规和合同义务 软件版权，知识产权等1.3.3 安全管理体系规范（一）BS7799-2简介BS 7799标准对信息安全管理体

21、系（ISMS）并没有一个明确的定义，可以将其理解为组织管理体系的一部分。ISMS涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。标准要求的ISMS建立过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。ISMS应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的程序文件。一个文档化的ISMS应该阐述：要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度。（二）ISMS的作用

22、 强化员工的信息安全意识，规范组织信息安全行为； 对组织的关键信息资产进行全面系统的保护，维持竞争优势； 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 使组织的生意伙伴和客户对组织充满信心，如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度； 促使管理层坚持贯彻信息安全保障体系。（三）ISO 27001定义的信息安全管理体系1.3.4 ISMS管理框架建立ISMS管理框架的过程：ISMS是一个文档化的体系。文档架构如下图所示：第一级 ：方针策略，信息安全管理手册是xx信息安全管理工作的纲领性文件 。第二级 ：管理规定、规范、程序文件用来规定

23、所要求的管理制度或技术控制措施。第三级 ：管理办法和实施细则解释特殊工作和活动的细节。第四级 ：记录活动实行以符合等级1,2,和3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据 ISMS文件体系逻辑框架图：第2章 计算机病毒及防范技术2.1 计算机病毒介绍2.1.1 计算机病毒定义什么是病毒?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。 什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序2.1.2 计算机病毒起源和发展史计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是

24、软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说P1的青春中提出1983年 美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。 1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等 1989年 全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 、1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。

25、2.1.3 传统计算机病毒分类传统计算机病毒分为： 引导型病毒 DOS病毒 Windows病毒 宏病毒 脚本病毒2.1.4 现代计算机病毒介绍特洛伊木马：特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或XX，通常是恶意的操作。玩笑程序：玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。病毒或恶意程序Droppers：病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序，在病毒或恶意程序植入后，可以感染文件和对系统造成破坏

26、。后门程序：后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略。DDos攻击程序：DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务。如下图所示：图：DDOS攻击示意图2.1.5 网络病毒介绍网络病毒的概念：利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害：破坏性强、传播性强、针对性强、扩散面广、传染方式多网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。网络攻击的程序可以通过病毒经由多种渠道

27、广泛传播，攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查，病毒的潜伏性和可触发性使网络攻击防不胜防，许多病毒程序可以直接发起网络攻击，植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统。2.2 计算机病毒分析与防护2.2.1 病毒的常见症状及传播途径（一）病毒的常见症状 电脑运行比平常迟钝 程序载入时间比平常久 对一个简单的工作，磁盘似乎花了比预期长的时间 不寻常的错误信息出现 硬盘的指示灯无缘无故的亮了 系统内存容量忽然大量减少 可执行程序的大小改变了 内存内增加来路不明的常驻程序 文件奇怪的消失 文件的内容被加上一些奇怪的资料 文件名称，扩展名，日期，属性被更改过 （二）病毒的常见传

28、播途径 文件传输介质：例如CIH病毒，通过复制感染程序传播 电子邮件：例如梅丽莎病毒，第一个通过电子邮件传播的病毒 网络共享：例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播 文件共享软件：例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播 2.2.2 病毒传播或感染途径病毒感染的常见过程：通过某种途径传播，进入目标系统，自我复制,并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。 打开后门等待连接 发起DDOS攻击 进行键盘记录除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。1、利用电子邮件感染病

29、毒：邮件附件为病毒压缩文件，HTML正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快2、利用网络共享感染病毒： 病毒会搜索本地网络中存在的共享，如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表 将自身复制到网络共享文件夹中，通常以游戏,CDKEY等相关名字命名 利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT 等病毒3、利用P2P共享软件感染病毒： 将自身复制到P2P共享文件夹，通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装，诱使用户下载 WORM_PEERCOPY.A等病毒4、利用系统漏洞感染病毒： 由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。 病毒往往利用系统漏洞进入系统, 达到快速传播的目的。 常被利用的漏洞： RPC-DCOM 缓冲