1、系统的脆弱性,软件Bug(拒绝服务、特殊字符组合等) 系统配置不当(缺省配置、信任关系等) 脆弱性口令(口令猜测等) 信息泄露(网卡混杂模式、网络窃听) 设计缺陷(协议缺陷、操作系统缺陷等),安全问题的产生,系统设计漏洞 系统管理漏洞 黑客与敌对势力攻击 信任关系变化 安全的相对性和协作性,网络安全策略,安全策略目标 资源安全保护实现的目的 机构安全策略 完整的法律、规则、操作方法等 系统安全策略 实现安全策略的技术方法,现有的安全组件,信息加密技术 计算机病毒防治 身份认证技术(口令、密钥、指纹) 访问控制技术(自主和强制访问控制) 防火墙技术(包过滤、协议过滤、代理服务) 虚拟专用网技术(
2、安全、流量、管理) 扫描器技术(发现主机、服务类型、漏洞),信息加密技术,加密可以改变数据的表现形式; 目的是只让特定的人能够解读密文; 旨在对第三者保密; Internet是开放的系统; 将数据加密后再传送是进行秘密通信的最有效方法。,加密与解密过程,将明文转换成密文的过程称为加密(Encryption) 将密文转换成明文的过程称为解密(Decryption),秘密钥匙(Secret key)加密体制,秘钥加密又称为对称式加密或传统加密,特点是加密明文和解读密文时使用同一把钥匙。,缺点:至少有两人持有钥匙,所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。,公用钥匙加密( Pub
3、lic key )体制,公钥加密又称为非对称式加密,特点是加密明文和解读密文时使用一对钥匙。,缺点:公钥加密虽然可避免钥匙共享而带来的问题,但需要较大的计算量。,计算机病毒产生与防治,计算机病毒是隐藏在计算机系统中的程序; 具有自我繁殖、相互感染、激活再生、隐藏寄生、迅速传播等特点; 降低计算机系统性能、破环系统内部信息或破环计算机系统运行。 起源:恶作剧显示天资、消遣游戏吃掉对方、软件保护防止非法复制; 本质:计算机本身具有动态修改和自我复制能力。,计算机感染病毒后的症状,计算机屏幕显示异常; 计算机系统运行速度明显减慢; 异常死机或重新启动; 文件属性、大小或内容发生变化; 存储容量异常减
4、小; 键盘锁定或键入字符与屏幕字符不同; 蜂鸣器发出异常声音。,常见网络病毒,电子邮件病毒:通常邮件本身不带病毒,而是附件携带病毒; Java程序病毒;由于Java可以跨平台执行,因此不论使用那种操作系统,都可被Java病毒感染。 ActiveX控件病毒:当浏览含有病毒的网页时,就可能通过ActiveX将病毒下载到本地计算机; 网页病毒:Java及ActiveX控件是当前设计网页的最流行工具,浏览网页也可能感染病毒。,杀毒软件主要技术指标,技术指标:扫描速度、正确识别率、误报率、升级难易程度、实时监测、可管理性和警示手段等; 扫描速度:每30秒扫描1000个文件以上; 正确识别率:20000种
5、以上; 病毒清除:在保证数据的完整性的同时,可靠、有效地清除病毒; 实时监测邮件病毒及黑客攻击。,国内常用病毒防治软件,KILL:金辰公司 KV300: 江民公司 VRV: 信源公司 瑞星杀毒: 金山毒霸: ,身份认证技术,身份认证就是用户身份的合法鉴别 口令识别方法 签名识别方法 指纹识别方法 语音识别方法 视网膜识别方法 识别能力、识别时间、用户方便、性价比等是身份认证系统的选择要素。,脆弱性口令分析,用户名(帐号)作为口令(破解软件首选); 用户名变换形式作为口令(Zhang123); 自己或亲友生日作为口令; 19XX(099)XX(112)XX(131)可能的组合数100*12*3
6、1=37200(每秒搜索4万) 身份证号或员工号作为口令(内部人员破解很容易) 常用英文单词作为口令(黑客软件通常有20万的词库) 安全口令:8位以上、大小写和数字混用(难记);或者使用一次性口令系统。,网络安全监察常用法律法规,计算机信息系统国际联网保密管理规定国家保密局2000年发布; 商用密码管理条例国务院1999年发布; 计算机信息网络国际联网安全保护管理办法公安部1997年发布 中华人民共和国计算机信息系统安全保护条例国务院1994年发布; 全国人民代表大会常务委员会关于维护互联网安全的决定2000年第九届全国人民代表大会常务委员会第十九次会议通过; 计算机病毒防治管理办法公安部20
7、00年发布; 互联网上网服务营业场所管理条例国务院2002年发布;,网络安全监察常用法律法规,互联网信息服务管理办法国务院2000年发布; 计算机信息系统安全专用产品检测和销售许可证管理办法公安部1997年发布; 金融机构计算机信息系统安全保护工作暂行规定公安部、中国人民银行1998年发布;互联网出版管理暂行规定中国新闻出版总署、信息产业部2001年发布; 法律、法规、标准网站http:/ 黑客软件的一个分支-特洛伊木马程序; 与计算机病毒不同,静悄悄收集用户资料,无法通过计算机异常反应察觉; 据德国贸易报报道,平均每台个人电脑潜伏着30个间谍软件; 寄生在正常功能软件中,给预防带来困扰,杀毒
8、软件和网络防火墙很难识别; 私人信息泄露、国家重大政治、经济、国防等机密信息泄密; 微软计划在操作系统中增加反间谍功能; 通过立法来规范和约束间谍软件的开发和传播。,公开出售的间谍软件,Elfrah PCSpy v1.40记录按键、密码、电子邮件、聊天、url地址、自启动; Win-Spy v7.6.2.02 Pro 零售版 SpyAnytime PC Spy v2.4 注册版 Ardamax Keylogger 1.8 注册版 PAL KeyLog Pro v3.2 零售版 PAL PC Spy v3.2 零售版 davps v1.0 beta 密码截取工具 Win-Spy 7.5 Pro
9、Build 3.05 零售版 Perfect Keylogger v1.535 注册版 Ghost Keylogger v3.80 零售版 Key Log Locker 1.1 Hotmail Hacker Log Edition,网络安全体系结构,入侵检测定义:对计算机和网络资源上的恶意行为进行识别与响应,保护,反应,检测,恢复,信息保障,入侵检测基本原理,入侵检测分析技术,模式匹配方法 技术成熟、需要升级、不能检测未知攻击 统计分析方法 建立正常模式、能够检测未知攻击 完整性分析方法 检测目录和文件内容变动 模式匹配、统计分析与完整性分析统一,常用网络安全术语,报警 异常 硬件IDS 攻击
10、(拒绝服务攻击DOS、分布式拒绝服务攻击DDOS、特洛伊木马Trojans等) 自动响应(配置路由器和防火墙、切断连接等) 计算机应急响应组CERT,常用网络安全术语,通用入侵检测框架CIDF(IDS标准) 漏报(False Negatives) 误报(False Positive) 黑客规范(黑、灰、白) 蜜罐Honeypot 躲避IDS,基于审计数据源的IDS分类,基于主机(操作系统审计记录等) 基于网络(分析数据包) 基于内核(操作系统内核收集数据) 基于应用(应用日志等) 基于目标(系统对象修改),入侵检测系统的主要技术指标,可扩展性(时间与空间的扩展) 监测器管理(目前多数采用集中管
11、理) 支持进一步的调查 系统负荷 计算机取证 漏报与误报 用户参与 易用性,利用入侵检测保护网络,DMZE-Mail File TransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,利用入侵检测保护网络,DMZE-Mail File TransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,内部攻击行为,警告!启动事件日志, 发送消息,利用入侵检测保护网络应用,DMZE-Mail File TransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,
12、路由,Internet,中继,共享网络中的部署,集线器,IDS Sensor,受监控的服务器,控制台,交换环境中NIDS的部署,交换机,IDS Sensor,受监控的服务器,控制台,IDS在网络中的位置示例,Internet,DB,区域 1,区域 5,区域 4,区域 3,区域 2,Web 服务器,Mail 服务器,服务器,人事部,研发部,非信任域,信任域,入侵检测技术发展方向,发展与演化主要反映 : 入侵或攻击的综合化与复杂化 入侵主体对象的间接化 入侵或攻击的规模扩大 入侵或攻击技术的分布化 发展倾向 分布式入侵检测 智能化入侵检 全面的安全防御方案 入侵检测应该与操作系统绑定,IDS存在的问题,IDS技术主要面临着三大挑战 如何提高入侵检测系统的检测速度,以适应网络通信的要求 如何减少入侵检测系统的漏报和误报,提高其安全性和准确度 提高入侵检测系统的互动性能,从而提高整个系统的安全性能,现代网络安全技术,网络安全应急响应 信息对抗技术(信息截获与反截获、破译与反破译、入侵与反入侵) 信息隐藏技术(图象叠加、数字水印、潜信道、隐匿协议) 无线网络安全技术 对等网络安全技术 知识产权保护技术 社会文化安全技术 网络安全取证技术 网格计算安全技术,肩负保密安全重任!,THANK YOU VERY MUCH !,