一、信息安全所面临的挑战与对策
一些数据:
全球互联网用户数20亿;中国互联网上网人数5.64亿;手机上网人数4.6亿
中国互联网普及率42.1%,美国以74%排名世界第一
带宽,从90年代1000兆发展到2012年189万兆
中央对互联网发展的政策:节节发展、充分利用、加强管理、趋利避害
现行网络安全现状:攻击手段简单化;攻击形式多样化、综合化;攻击成本越来越低、破坏性越来越大;
发展趋势:云计算、物联网、移动互联网、大数据、社交网络、IPV6
中国网络安全:缺乏安全技术、安全意识、运行管理机制缺陷
对策:加快制定网络空间站;建立健全网络安全法律法规;加大网络新技术研发;加强对网络空间监管;
二、网络安全的理论与实践
从安全谈起:安全是一种状态;安全要有明确对象、范围、时间限定;安全是一个过程,是分层次的;
信息安全的目标:保密性、可用性、完整性;
信息安全的2个理论:生存理论、风险管理理论;
风险的管理:风险识别——风险评价——风险分析——风险控制——风险评估——剩余风险——风险处置——接受风险——风险回顾与总结——
最简三要素:资产和业务(核心)、威胁、保障措施
数据和业务流面临的威胁——外部:攻击、窃取、恶意代码、物理问题;内部——误操作、流程BUG、敌对员工
网络安全的使命——构建适合组织业务的保障措施 (保障措施的三要素PPT:人、过程、技术)、安全事件的处置(要点:时间、监测、恢复)
三、网络与信息安全基础操作与实践
姚老师的课——含金量、质量均属最高,很让人佩服的技术型人才。备课也很认真,需要的软件下载都认真审核并更新后放在网盘上,并很快加入了我们班级的QQ群,虽然这个群的成员都比较沉默。
第一次看到老师使用prezi软件制作的简报,很炫的感觉,还分享了如何将收费项目更改为免费。
软件——系统防护
1、计算机病毒
特征——传染性、破坏性、隐蔽性、潜伏性、不可预见性
分类——文件型、引导扇区病毒、混合型、变形病毒、宏病毒
发展——文件型-系统驱动型-CIH/CMOS/启动区/WYX-互联网层面(特洛伊Trojan、Worm、Downloader、Stuxnet、Flame)
2、DOS——拒绝服务攻击(Denial of Service)——利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户指令的一种攻击方式
UDPFlood——日渐猖厥的流量型DoS攻击,利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。
DDOS——分布式拒绝服务攻击(Distributed Denial of Service)——利用数量庞大的傀儡机同时发起DOS进攻
SYN Flood是当前最流行的DoS与DdoS的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。——利用TCP连接三次握手原理
Smurf攻击——结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。
实施一次DDOS攻击的步骤主要包括:调查目标——控制肉鸡——实施攻击——后续处理
3、手动检测恶意代码的方法:
sysinternalsSuite——sysinternals工具可以帮助我们管理、故障分析和诊断Windows系统和应用程序.
PROCESS EXPLORER——在sysinternalsSuite小工具中下载排名第一。由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。让使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的 DLL进程,以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程,甚至包括系统的关键进程
PEiD 0.95——著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
autorun.inf——是我们电脑使用中比较常见的文件之一 ,其作用是允许在双击磁盘时自动运行指定的某个文件。但是近几年出现了用autorun.inf文件传播木马或病毒,它通过使用者的误操作让目标程序执行,达到侵入电脑的目的,带来了很大的负面影响。
数字证书——是一个由使用数字证书的用户群所公认和信任的权威机构——DOS命令/证书管理实用程序/certmgr.msc
Hash——散列,把任意长度的输入(又叫预映射)通过该算法,变换成固定长度的输出,该输出就是散列值。
4、介绍了虚拟机,推荐了软件Virtual Box
5、蜜罐(Honeypot)
蜜罐作用:记录、抵御入侵者、迷惑入侵者、诱捕网络罪犯;
蜜罐系统的设置分为:实系统蜜罐、伪系统蜜罐
蜜罐技术的局限和风险主要包括:分析技术、利用风险、法律问题
软件——风险评估
1、Web渗透攻击技术——渗透测试:无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上看,前者是攻击者的恶意行为,而后者则是安全工作者模拟入侵攻击测试,进而寻找最佳安全防护方案的正当手段
步骤:
信息搜索——漏洞扫描——漏洞利用——权限提升——密码破解——进一步渗透
2、嗅探技术(Sniffers)——常见黑客窃听手段,使用嗅探器对数据流的数据截获。
【Ping命令—— 在Windows系下是自带的一个可执行命令。
——ping只是一个通信协议,是ip协议的一部分,tcp/ip 协议的一部分,
——利用它可以检查网络是否能够连通,用好它可以很好地帮助我们分析判定网络故障。
——一般情况下先用ping命令检测目标系统是否有所反应
——应用格式:Ping IP地址。】
Wireshark——网络封包分析软件。功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。检测网络问题、检查资讯安全相关问题、
——不是入侵侦测软件(Intrusion DetectionSoftware,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
3、扫描技术——按照扫描目标分为端口扫描(TCP connect扫描——完成一次完整的TCP 3次握手连接建立过程,根据对方反应,就可以简单判断出目标端口是否开放、TCP SYN扫描、秘密扫描)、漏洞安全扫描
——按照部署的拓扑结构分为基于主机和基于网络的安全扫描技术
X-Scan是国内最著名的综合扫描器之一,
WVS(Web Vulnerability Scanner)——是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站
——WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核你的Web应用程序。
4、SQL注入漏洞
原理:利用程序设计的疏忽,将恶意的sql命令伪装成正常的查询参数,使得数据库执行不可预知的指令。
2个经典攻击代码——’;’or‘1’=1
WebGoat(web安全漏洞实验环境),
浏览器地址http://localhost/WebGoat/attack,用户名guest,密码guest
5、XSS跨站脚本攻击
恶意用户利用网页开发时的漏洞将恶意指令代码注入到网页上,其他用户在观看网页时会受到影响的攻击行为
遭受XSS攻击的原因——对用户输入没有约束和检查、对输出没有进行安全编码、没有严格区分“数据”和“代码”
四、移动互联网安全问题分析与研究
1、移动互联网发展概况——2011年底全球智能手机出货量4.5亿部
——发展目标:统一支付品牌、技术标准、产业合作
2、移动互联网安全威胁分析 ——技术融合增加安全隐患,用户行为难以溯源
——移动终端智能化给用户隐私保护带来新挑战
——移动终端智能加密技术给国家信息安全监管带来新挑战
——手机病毒和恶意软件呈多发趋势
——网络和业务应用服务面临诸多安全威胁
3、移动互联网终端安全的研究 ——移动终端数据通信安全的原理
——手机终端安全防护的原理
4、移动互联网数据传输安全机制的研究
——典型无线安全协议:无线局域网安全协议、GSM密码协议、3GPP协议
5、移动互联网典型应用安全问题分析——用户行为分析、移动互联网监管问题
五、云计算中安全问题的分析研究
1、 云计算整体发展状况
——判断云计算的3个标准——用户所需资源不在客户端而在网络
——服务能力具有分钟级或秒级的伸缩能力
——具有较之传统模式5倍以上性价比优势
2、 云计算发展问题研究
——私有云、企业云、公有云、混合云
——技术问题:并行计算技术、系统级容错技术、海量数据挖掘、网络宽带的限制
——应用问题:用户认知、云资源管理、法律法规
3、云计算安全问题研究
——云计算基础框架安全:云计算网络层安全、主机层安全、应用程序层安全分析
——云数据和存储安全:云数据的安全分析、云存储安全分析(数据可信性、完整性、可用性)
——身份验证和访问管理:可信周边环境和IAM
——云管理安全
——安全漏洞、补丁、配置管理