1、计算机信息安全与保密讲座,曹效阳 中山大学保密学院E-mail: ,目 录,计算机及网络的发展和变化 计算机及网络基本安全意识 计算机及网络安全威胁 特种木马的深度剖析 “棱镜”事件对企业的警示 新技术及其发展简介 企业保密软件及工具简介,计算机与网络技术的发展历程,用户规模,主要应用,成熟期,大型机,Internet 用户数,百万,亿美元,Internet商业应用快速增长,计算机、通信、网络技术推动了Internet的发展。 TCP/IP协议为计算机间互连互通,及各种通信奠定了公共标准。 桌面计算机、便携计算机、手持计算机、WWW、浏览器、高速网络、无线网络等,使得Internet获得了进一
2、步的发展。 分散式管理和商业化是Internet快速发展的最重要原因。,Intern发展的主要动力,目 录,计算机及网络的发展和变化 计算机及网络基本安全意识 计算机及网络安全威胁 特种木马的深度剖析 “棱镜”事件对企业的警示 新技术及其发展简介 企业保密软件及工具简介,Email,Web,ISP门户网站,复杂程度,时间,Internet 变得越来越重要,网络安全问题日益突出,为什么网络安全变得日益严重,进行网络攻击变得越来越简单 越来越多的个人或公司连入Internet 并不是所有的用户都具有基本的安全知识,计算机的硬件组成,计算机及网络的运行特征,计算机中软件的运行,计算机及网络的运行特征
3、,内存(进程),CPU(分时),硬盘(软件),用户(权限),操作系统,驱动程序,服务程序,设定运行软件,计算机中软件的运行,计算机网络,计算机及网络的运行特征,以太网,TCP/IP,HTTP/FTP等,应用软件,计算机网络,以太网报文,计算机网络-TCP/ip头部,版本:占4位(bit),指IP协议的版本号。目前的主要版本为IPV4,首部长度:占4位(bit),指IP报文头的长度,最长60,此处是20,服务类型:占8位(bit),用来获得更好的服务。前3位表示优先级别,后几位表示更好服务,总长度:16位(bit),指报文的总长度。单位为字节,IP报文的的最大长度为65535个字节,标识(ide
4、ntification):该字段标记当前分片为第几个分片,在数据报重组时很有用。,标志(flag):该字段用于标记该报文是否为分片。,片偏移:指当前分片在原数据报的偏移量,TTL:该字段表明当前报文还能生存多久。 协议:该字段指出在上层(网络7层结构或TCP/IP的传输层)使用的协议。,计算机网络-TCP/ip传输,计算机网络,用户网页浏览,理解Internet领域,Internet为什么不安全 Internet的设计思想 专用主义 技术泄密,理解Internet领域,Internet的设计思想 开放式、流动的和可访问 异构的网络 多数应用是客户机/服务器模式 网络允许部分匿名用户,理解Int
5、ernet领域,专用主义 ActiveX 应该进行安全检查的语言: JavaScript VBScript ActiveX,理解Internet领域,技术泄密 普通用户可以得到各种攻击工具 对攻击行为比较感兴趣,喜欢尝试和冒险 从攻击行为中牟利 以攻击行为为职业,Internet安全性研究的开始,1988年11月3日,第一个“蠕虫”被放到Internet上。 在几小时之内,数千台机器被传染,Internet陷入瘫痪。 “蠕虫”的作者罗伯特塔潘莫里斯(Robert Morris J.r)被判有罪,接受三年监护并被罚款。 “Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单
6、纯的程序有效地摧毁了数百台(或数千台)机器,那一天标志着Internet安全性研究的开始。,黑客和入侵者,“黑客”(Hacker)指对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在;他们不断追求更深的知识,并公开他们的发现,与其他分享;并且从来没有破坏数据的企图。,黑客和入侵者,“入侵者”(Cracker)是指坏着不良企图,闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了自己的目的制造麻烦。“入侵者”很容易识别,因为他们的目的是恶意的。,确保以电
7、磁信号为主要形式,在计算机网络化系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储介质中,处于静态和动态过程中的机密性,完整性,可用性与可审查性,与人、网络、环境有关的技术安全,结构安全与管理安全的总和。,信息(系统)安全的定义,威胁:潜在的引起系统伤害的因素。 脆弱:安全系统中的缺陷。 控制:一些动作,装置,程序或技术,可以减少或消除系统的脆弱点。,信息(系统)安全三元组,信息(系统)的威胁,通信过程的威胁。 存储过程的威胁。 处理过程的威胁。,信息(系统)的威胁的来源,系 统,互联网使用(网页浏览等),无线网络介入,IP端口(直接外部攻击),系统漏洞(直接外部攻击),
8、数据库(网站+IP攻击),邮件(恶意附件),U盘(恶意软件),文件共享(恶意软件),外部 网络,内部 网络,硬盘,最小特权原则:应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小 。 有效性原则:控制是高效的,易用和适当的。 最弱环节原则:信息的安全不会强于最弱环节。,信息安全防御策略的原则,什么是最小特权原则,系统管理员,系统功能调用,安装软件,运行软件,系统设置,管理权限,文件访问,使 用 频 率,使 用 频 率,系统用户权限的最小化,受限用户,系统功能调用,安装软件,运行软件,系统设置,管理权限,文件访问,使 用 频 率,使 用 频 率,系统用
9、户权限最少化的实现方式,改变系统用户:新建标准用户,受限用户,指定可访问磁盘的用户,指定用户的权限类型,系统用户权限最少化的实现方式,权限最小化带来的安全防护提升,受限用户的软件运行限制,文件修改限制,权限最小化带来的安全防护提升,浏览器用户设置受限,权限最小化带来的安全防护提升,插入u盘:需要重新安装,权限最小化带来的安全防护提升,提示输入管理员密码才能安装,权限最小化带来的安全防护提升,什么是基本安全意识?,理解计算机硬件运行规律 理解计算机软件运行方式 理解计算机网络通信方式 理解安全威胁的来源 理解与运用安全防御原则,目 录,计算机及网络的发展和变化 计算机及网络基本安全意识 计算机及
10、网络安全威胁 特种木马的深度剖析 “棱镜”事件对企业的警示 新技术及其发展简介 企业保密软件及工具简介,特种木马深度剖析-木马的起源,特洛伊木马,公元前13世纪,据说希腊斯巴达有一个举世罕见的美女,名叫海伦,后来,斯巴达王阿特柔斯的儿子墨涅依斯与海伦成亲。特洛伊王子帕里斯到来,海伦对他一见钟情,竟鬼迷心窍地和帕里斯一起逃回特洛伊城,希腊为复仇,与特洛伊发生战争。结果连打九年没有攻克。第十年,希腊联军的战舰突然扬帆离开了,特洛伊人以为希腊人撤军回国了,他们跑到城外,却发现海滩上留下一只巨大的木马,经过一番争论,特洛伊人把木马拉进城里.。,特种木马深度剖析-木马的定义,特洛伊木马是一种基于远程控制
11、的工具,类似于远端管理软件,其特点是具有隐蔽性和非授权性。,特种木马深度剖析-木马的原理,计算机的一对多的控制,Windows系统的远程桌面,一个专门用于远程控制的软件叫PCANYWHERE,QQ的远程协助。,公开的,授权的,植入(),木马工作流程,隐藏(2),欺骗(4),工作(5),启动,恢复,升级,特种木马深度剖析-木马植入,木马植入:通过欺骗的手段在被控制计算机进行安装的过程。具有很强隐蔽性、欺骗性与快速化。,1)伪装成一般的软件,让你下载安装与运行,2)捆绑在正常的软件中,让你下载安装与运行,“最新火辣辣小电影!”,“C u t e F T P 5 . 0 完全解密版!”,3)发送邮件
12、带图片附件,将文件名设为*.jpg.exe,特种木马深度剖析-木马植入,4)习惯性文件夹点击,多层文件夹让你习惯性点击,5)危险下载网站,黑进大下载量软件网站捆绑,6)冒名邮件夹带附件,假冒你亲朋好友,上级的邮件,7)网站链接邮件,将邮件寄给目标用户,特种木马深度剖析-木马隐藏,1)程序文件的硬盘隐藏:隐藏文件夹与文件,查隐藏文件与文件夹的命令:dir /ah /s /p,2)程序文件的伪装隐藏:将文件改成与系统文件的名字相同,3)程序文件的捆绑隐藏:将文件与系统文件捆绑,4)直接启动:修改注册表将木马设为每次开机运行的程序,5)关联运行:将使用率最高的文件(如.txt)键值修改,6)附着或替
13、换欺骗:将文件与系统文件捆绑或替换,换取合法工作,7)网络连接隐藏:复用正常网络端口,捆绑正常程序,修改系统调用,8)工作负载与网络流量:木马由于频繁工作,占用处理与网络,Perfmon命令:显示处理器的占用率,网络的状况,特种木马深度剖析-木马种类,1)破坏型:破坏并且删除文件,可以自动的删除电脑上的 DLL、INI、EXE文件。,2)密码发送型:可以找到隐藏密码并把它们发送到指定的信箱。,3)远程访问型:最广泛的特洛伊木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。,4)键盘记录型:记录受害者的键盘敲击并且在LOG文件里查找密码。,5)DoS攻击型:受害
14、者作为Dos攻击的工具。,6)代理木马型:受害者作为Dos攻击的代理,以隐藏真正操控者,7)安全程序杀手型:专门删除、关闭与修改安全软件。,8)反弹端口型:木马在分析受害者有防火墙等安全措施,采用受害机器主动连出,达到工作的目的,特种木马:是以上这些类型的综合,并且伪装、隐藏、启动、恢复以及效率更优的木马。,目 录,计算机及网络的发展和变化 计算机及网络基本安全意识 计算机及网络安全威胁 特种木马的深度剖析 “棱镜”事件对企业的警示 新技术及其发展简介 企业保密软件及工具简介,“棱镜”事件对企业保密的警示,“棱镜”事件爆料者:前CIA雇员,信息过滤,黑客攻击,监听,网络战,“棱镜”事件-谁是攻
15、击者?,“棱镜”事件-谁是攻击者?,国家安全局下属的一个高度机密、名为“获取特定情报行动办公室(TAO)”,其任务很简单:通过秘密入侵计算机和通信系统,破译密码,破坏保护目标计算机的安全系统,盗取存储在电脑硬盘中的数据,然后复制目标邮件和短信系统中的所有信息和通过的数据流量,来获取关于境外目标的情报。以便一旦总统下令,美国就有实力发动一场网络袭击来破坏外国的计算机和通信系统。美国网络司令部负责发动类似的网络袭击。,获取特定情报行动办公室(TAO),棱镜计划(PRISM): 是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”。,“棱镜
16、”事件-攻击对象是谁?,网络中枢(骨干网):图上的高层路由器,以及控制主机,重要主机:骨干控制主机,重要信息主机。,“棱镜”事件-美国八大金刚,八大金刚囊括所有网络与计算机硬件与软件,“棱镜”事件-怎么能够做到?,通过入侵骨干网而获得海量信息,通过云计算或并行处理技术还原,完成信息过滤与整理。,GCHQ:英国棱镜项目甚至可以截获通过光纤传输的海量数据。,以系统的名义、或利用系统后门运行黑客软件,使攻击主机变得十分简单。,“棱镜”事件-警示以及思考,警示1:不能过多使用国外电子产品,尤其是核心网络与主机。(国外产品占70%),建立对国外计算机与网络产品的外连扫描、测试、监控与审计机制与措施。 对
17、国外电子设备的版本更新与维护端口进行控制。 通过第三方软件和硬件,主要是防火墙对外连进行封堵与控制,并对外连的数据包进行分析,以获得外连IP与站点信息。及时上报有关部门予以查处。 拆除或停止没有必要的软硬件功能,特别是无线功能。,警示2:企业信息安全体系建设薄弱,“棱镜”事件-警示以及思考,解决系统管理不严、员工操作不当和黑客入侵引发的安全问题。 信息安全体系建设,不只是用信息安全产品搭建一个堡垒,更重要的是企业自身建立一套完善的信息安全制度”,把有形的产品和无形的制度相互配合,才能避免核心机密被类似棱镜项目所窥视。 展开安全意识的全员培训,让员工具备基本的安全意识与基本安全素养。,警示3:薄
18、弱的接入控制意识将成为企业信息安全的致命伤,“棱镜”事件-警示以及思考,严禁员工将自有的个人电脑、手机、平板电脑等终端设备接入企业内网。 除密级数据外,还要将办公数据与私人设备的物理边界划分清楚,杜绝员工和外来人员可以随意接入企业网络,拷贝企业文件,建立文件管理系统与管理制度。 建立域控制机制,严禁员工计算机之间发生底层互连,制定全员计算机与网络安全策略。,“棱镜”事件-警示以及思考,警示4:新科技、新应用隐藏巨大安全风险,严格控制智能手机的使用范围,建立智能手机管理条例,尤其是摄像头,录音,无线等功能要严格管理。 谨慎使用云计算技术以及云端软件的使用。不建议企业将用户信息、办公系统,乃至商业
19、机密上传到云端数据库。 对新网络服务,包括一般计算机,尤其是智能手机,智能终端服务进行安全评估,如QQ的视频,语音功能,微信中的录音与视频功能,skype等即时通讯与IP电话服务要进行有效的管理。,计算机及网络的发展和变化 计算机及网络基本安全意识 计算机及网络安全威胁 特种木马的深度剖析 “棱镜”事件对企业的警示 新技术及其发展简介 企业保密软件及工具简介,目 录,新技术及其发展简介-云计算,云计算(cloud computing):是基于互联网的虚拟资源利用模式。云原指互联网,目前的云计算模式优越性体现在资源的动态可扩展性。由IBM的网格计算演变而来。,分布式计算,并行计算,效用计算,网络
20、存储,虚拟化,负载均衡,基础设施即服务IaaS:硬件资源的虚拟化使用。,基于网络的硬件资源的动态可扩展的使用方式。,IaaS,PaaS,SaaS三种云计算服务,从用户的角度来看,目前基本感觉不到云计算的存在,企业系统的安全与保密,企业数据的安全与保密由云安全与服务提供商保证。,谨慎使用!,新技术及其发展简介-云计算,企业内网,互联网,在企业内网上组云,信息与数据集中管理,反而安全而有效。,云计算不是互联网的专利,新技术及其发展简介-无线网络,WiFi, 无线局域网WLAN 无线个域网WPAN(包括蓝牙与超宽带UWB)等都使用IEEE的802.11、802.15、802.16和802.20标准。
21、这些标准不同程度上在物理层保护,用户认证以及数据加密等过程存在安全隐患。,新技术及其发展简介-智能终端,目前智能手机与终端的操作系统(IOS,安卓)的功能都比较弱,加上开发语言与安全框架的安全漏洞,在加上无线网络,在某种程度上是一个极大的安全隐患。附加的设备同样也是安全隐患。,计算机及网络的发展和变化 计算机及网络基本安全意识 计算机及网络安全威胁 特种木马的深度剖析 “棱镜”事件对企业的警示 新技术及其发展简介 企业保密软件及工具简介,目 录,信息安全工具(文件保护系统),文件安全与保护,内存,硬盘,信息安全工具(文件保护系统),加密通讯:HTTPS-SSL,矩阵加密,加密通讯:HTTPS-SSL,加密通讯:HTTPS-SSL原理,SSL加密,防火墙软件与硬件,软件防火墙,硬件防火墙,江民,瑞星,金山,其他免费防火墙,防火墙的主要是锁定IP端口,以及监控网络使用。,谢谢!,
