基本安全性ppt課件

1、根本平安性家庭和小型企業(yè)網(wǎng)路 第八章目標認識和描畫各種網(wǎng)路威脅認識各種攻擊方式描畫平安規(guī)範和應用程式描畫防火牆的特點，以及如何應用防火牆防範攻擊內(nèi)容索引8.1 網(wǎng)路威脅8.2 攻擊方式8.3 平安政策8.4 運用防火牆8.1.1 網(wǎng)路入侵風險電腦網(wǎng)路，不論是有線還是無線網(wǎng)路，都已成為人們?nèi)粘；顒又胁豢苫蛉钡囊徊糠?。個人與組織都依賴於電腦和網(wǎng)路來處理電子郵件、財務、組織和檔案管理之類的任務。不速之客的入侵能夠?qū)е麓鷥r高昂的網(wǎng)路中斷和任務成果的遺失。針對網(wǎng)路的攻擊有時具有相當?shù)钠茐男?，能夠呵斥重要資訊或資產(chǎn)的損壞或失竊，導致時間上和金錢上的損失。入侵者可透過軟體破綻、硬體攻擊甚至一些不需求高科技的

2、方法例如猜測某人的運用者名稱和密碼來獲得對網(wǎng)路的存取權(quán)。透過修正或利用軟體破綻來獲取存取權(quán)的入侵者通常被稱為駭客。8.1.1 網(wǎng)路入侵風險一旦駭客獲得網(wǎng)路的存取權(quán)，能夠為網(wǎng)路帶來以下四種威脅：資訊盜竊、身份盜竊、資料遺失/操縱、服務中斷8.1.1 網(wǎng)路入侵風險操作練習8.1.2 網(wǎng)路入侵的來源網(wǎng)路入侵者呵斥的平安威脅能夠來自網(wǎng)路內(nèi)部和外部兩個源頭。外部威脅是由組織外部活動的個人引起的。他們沒有存取組織電腦系統(tǒng)或網(wǎng)路的權(quán)限。外部攻擊者主要透過網(wǎng)際網(wǎng)路、無線連結(jié)或撥號存取伺服器進入網(wǎng)路。8.1.2 網(wǎng)路入侵的來源內(nèi)部威脅是由具備授權(quán)運用者帳戶的個人，或能夠?qū)嶋H接觸網(wǎng)路設備的人員導致的。內(nèi)部攻擊者瞭

3、解內(nèi)部的政策和人員。他們往往清楚的知道，什麼資訊有價值而且易受攻擊，以及如何獲得該資訊。然而，並非一切內(nèi)部攻擊都是故意的。在某些情況下，一個受信任的員工在公司外部任務時能夠會感染上病毒或平安威脅，然後在不知情的情況下將它帶到內(nèi)部網(wǎng)路中，從而呵斥內(nèi)部威脅。許多公司都在防禦外部攻擊上花費了大量資源，但大多數(shù)威脅其實來自內(nèi)部。據(jù) FBI 調(diào)查顯示，在報告的平安入侵事件中，約有 70% 都是因內(nèi)部存取和電腦系統(tǒng)帳戶運用不當呵斥的。8.1.3社交工程和網(wǎng)路釣魚對於內(nèi)外兩個源頭的入侵者而言，要想獲得存取權(quán)，最簡單的一種方法就是利用人類行為的弱點。利用人類弱點的常見方法之一便是社交工程(Social Eng

4、ineering) 。社交工程中最常用的三種技術(shù)有：冒名申請、網(wǎng)路釣魚和語音網(wǎng)路釣魚。8.1.3社交工程和網(wǎng)路釣魚冒名申請 (Pretexting) 是一種社交工程方式，攻擊者會對受害人編造虛假情景冒名申請，以使受害人洩漏資訊或執(zhí)行某種操作。通常是透過電話聯(lián)絡攻擊目標。要使冒名申請起作用，攻擊者必須能夠與目標人員或受害人建立合理聯(lián)絡。為此，攻擊者普通需求預先進行一些瞭解或研討。例如，假設攻擊者知道攻擊目標的社會保險號碼，他們就會運用該資訊來獲取攻擊目標的信任。那麼攻擊目標便很有能夠進一步?jīng)┵Y訊。8.1.3社交工程和網(wǎng)路釣魚網(wǎng)路釣魚是一種社交工程方式，網(wǎng)路釣魚者將本人偽裝成外部機構(gòu)的合法人員。

5、他們通常透過電子郵件聯(lián)絡攻擊目標個人網(wǎng)路釣魚受害者。網(wǎng)路釣魚者能夠會聲稱，為了防止某些糟糕的後果，要求攻擊目標提供確認資訊例如密碼或運用者名稱 。8.1.3社交工程和網(wǎng)路釣魚語音網(wǎng)路釣魚/電話網(wǎng)路釣魚一種運用 IP 語音 (VoIP) 的新式社交工程被稱為語音網(wǎng)路釣魚(vishing)。在語音網(wǎng)路釣魚攻擊中，運用者會收到一封語音郵件，郵件中指示他們撥打一個看上去像是正規(guī)電話銀行服務的電話號碼。隨後，沒有設防的運用者撥打該號碼時，通話會被竊賊截聽。為了進行確認而透過電話輸入的銀行帳戶號碼或密碼便會被攻擊者竊取。8.2.1 病毒、蠕蟲和特洛伊木馬其他類型的攻擊，這些攻擊借助電腦軟體的破綻來執(zhí)行。此

6、類攻擊技術(shù)包括：病毒、蠕蟲和特洛伊木馬。一切這些都是侵入主機的惡意軟體。它們會損壞系統(tǒng)、破壞資料以及拒絕對網(wǎng)路、系統(tǒng)或服務的存取。它們還可將資料和個人詳細資訊從沒有設防的 PC 運用者轉(zhuǎn)送到犯罪者手中。在許多情況下，它們會本身複製，然後傳播至連接到該網(wǎng)路的其他主機。8.2.1病毒、蠕蟲和特洛伊木馬病毒是透過修正其他程式或檔案來執(zhí)行和傳播的一種程式。病毒無法自行啟動，而需求被啟動。有的病毒一旦啟動，便會迅速自我複製並四處傳播，但不會執(zhí)行其他操作。這類病毒雖然很簡單，但依然非常危險，因為它們會迅速佔用一切可用記憶體，導致系統(tǒng)停機。編寫的更為惡毒的病毒能夠會在傳播前刪除或破壞特定的檔案。病毒可透過電

7、子郵件附件、下載的檔案、即時訊息或磁片、CD 或 USB 裝置傳送。觀看動畫8.2.1病毒、蠕蟲和特洛伊木馬蠕蟲類似於病毒，與病毒不同的是它無需將本身附加到現(xiàn)有的程式中。蠕蟲運用網(wǎng)路將本人的副本傳送到所連接的一切主機中。蠕蟲可獨立執(zhí)行並迅速傳播，它並不一定需求啟動或人為干預才會發(fā)作。自我傳播的網(wǎng)路蠕蟲所呵斥的影響能夠比單個病毒更為嚴重，而且可迅速呵斥網(wǎng)際網(wǎng)路大面積感染。特洛伊木馬是一種非自我複製型程式，它以合法程式的容顏出現(xiàn)，但實質(zhì)上卻是一種攻擊工具。特洛伊木馬依賴於其合法的外表來欺騙受害人啟動該程式。它的危害性能夠相對較低，但也能夠包含可損壞電腦硬碟內(nèi)容的程式碼。特洛伊木馬還可為系統(tǒng)建立後門

8、，從而使駭客獲得存取權(quán)。8.2.1 阻斷服務和暴力攻擊阻斷服務 (DoS)DoS 攻擊是針對單個電腦或一組電腦執(zhí)行的一種侵略性攻擊，目的是拒絕為特定運用者提供服務。DoS 攻擊可針對運用者系統(tǒng)、伺服器、路由器和網(wǎng)路連結(jié)發(fā)起。兩種常見的 DoS 攻擊為：SYN併發(fā)氾濫攻擊 向伺服器傳送大量請求用戶端連接的封包。這些封包中包含無效的來源 IP 位址。伺服器會因為試圖回應這些虛假請求而變得極為忙錄，導致無法回應合法請求。死亡之 ping：向裝置傳送超過 IP 所允許的最大值65,535 位元組的封包。這可導致接納系統(tǒng)異常。8.2.1 阻斷服務和暴力攻擊8.2.1 阻斷服務和暴力攻擊分散式阻斷服務(D

9、DoS)DDoS 是一種更為狡猾且更具破壞性的 DoS 攻擊方式，其目的是運用無用的資料淹沒網(wǎng)路連結(jié)。DDoS 的執(zhí)行規(guī)模遠比 DoS 攻擊更大，通常會有成百上千個攻擊點試圖同時淹沒攻擊目標。攻擊點能夠是之前沒有設防而感染了 DDoS 程式碼的電腦。感染 DDoS 程式碼的系統(tǒng)會在被呼叫時攻擊目標站臺。暴力攻擊在暴力攻擊中，攻擊者運用執(zhí)行速度很快的電腦來嘗試猜測密碼或破解加密金鑰。攻擊者會在短時間內(nèi)嘗試大量能夠的密碼來獲取存取權(quán)或破解金鑰。暴力攻擊可引起針對特定資源的流量過大或運用者帳戶鎖定，從而導致阻斷服務。8.2.3 間諜軟體、追蹤Cookie、廣告軟體和快顯許多威脅的目的是搜集運用者的相

10、關(guān)資訊以用於廣告、行銷和研討目的。儘管它們能夠不會損壞電腦，但仍會進犯隱私，而且非常招人反感。間諜軟體是一種程式，用於在未得到運用者認可或運用者不知情的情況下從電腦中搜集個人資訊。然後，這些個人資訊會傳送至網(wǎng)際網(wǎng)路上的廣告商或第三方，其中能夠包含密碼和帳戶號碼。間諜軟體通常是在下載檔案、安裝其他程式或按一下快顯時暗中安裝。它會降低電腦速度，變更內(nèi)部設定，導致更多的破綻暴露給其他威脅。此外，間諜軟體也難以刪除。追蹤Cookie： Cookie 是間諜軟體的一種方式，但也有一些 Cookie 起到積極的作用。Cookie 用於在網(wǎng)際網(wǎng)路運用者存取網(wǎng)站時記錄運用者的資訊。由於它允許個性化定制以及其他

11、一些節(jié)省時間的方法，所以能夠相當有用並受人歡迎。許多網(wǎng)站都要求運用者啟用 cookie 後才干進行連接。8.2.3 間諜軟體、追蹤Cookie、廣告軟體和快顯廣告軟體是另一種方式的間諜軟體，它透過運用者存取的網(wǎng)站搜集運用者資訊。這些資訊之後會被利用進行針對性的廣告宣傳?？祜@和背顯式廣告是運用者在瀏覽網(wǎng)站時顯示的附加廣告宣傳視窗。與廣告軟體不同，快顯和背顯式廣告並不搜集關(guān)於運用者的資訊，而且通常只與所存取的網(wǎng)站關(guān)聯(lián)?？祜@：在目前瀏覽器視窗的前端開啟。背顯式廣告：在目前瀏覽器視窗的後端開啟。8.2.3 間諜軟體、追蹤Cookie、廣告軟體和快顯8.2.4 渣滓郵件渣滓郵件是非常嚴重的網(wǎng)路威脅，可導

12、致 ISP、電子郵件伺服器和運用者系統(tǒng)不堪重負。傳送渣滓郵件的個人或組織稱為渣滓郵件傳送者。渣滓郵件傳送者通常利用未受平安保護的電子郵件伺服器來轉(zhuǎn)送電子郵件。渣滓郵件傳送者能夠運用駭客技術(shù)例如病毒、蠕蟲和特洛伊木馬來控制家用電腦。受控的這些電腦就會被用來在主人毫不知情的情況下傳送渣滓郵件。渣滓郵件可透過電子郵件傳送，如今它們還可透過即時訊息軟體傳送。據(jù)估計，網(wǎng)際網(wǎng)路上的每個運用者每年收到的渣滓電子郵件超過 3,000 封。渣滓郵件耗費了大量的網(wǎng)際網(wǎng)路頻寬，此問題的嚴重性已引起了許多國家的重視，各國紛紛出臺法律控制渣滓郵件的運用。觀看動畫8.3.1 常用平安措施平安風險無法徹底消除或預防。但是，

13、有效的風險管理和評估可顯著減少現(xiàn)有的平安風險。要將風險降至最低，人們必須認識到一點：沒有任何一件產(chǎn)品可為組織提供絕對的平安保護。要獲得真正的網(wǎng)路平安，需求結(jié)合採用多種產(chǎn)品和服務、制定全面的平安政策並嚴格實作該政策。8.3.1 常用平安措施平安政策透過平安程序來實施。這些程序定義了主機和網(wǎng)路裝置的設定、登入、稽核和維護過程。其中包括運用預防性措施來降低風險，以及採用主動措施來處理知平安威脅?？杀Ｗo網(wǎng)路平安的一些平安工具和應用程式有：軟體修補程式和更新病毒防護間諜軟體防護渣滓郵件攔截器快顯封鎖程式防火牆觀看動畫8.3.2 更新和修補程式駭客用來獲取主機和或網(wǎng)路存取權(quán)的最常見方法之一便是利用軟體破綻

14、，因此及時對軟體應用程式應用最新平安性修正程式和更新以阻止威脅極為重要。修補程式是修復特定問題的一小段程式碼。更新則能夠包含要新增到套裝軟體中的附加功能以及針對特定問題的修補程式。作業(yè)系統(tǒng)例如 Linux、Windows 等和應用程式廠商會不斷提供更新和平安性修補程式，以更正軟體中知的破綻。此外，廠商通常還會發(fā)佈修補程式和更新的集合，稱為服務套件。值得慶倖的是，許多作業(yè)系統(tǒng)都具有自動更新功能，可在主機上自動下載和安裝作業(yè)系統(tǒng)與應用程式更新。8.3.3 防病毒軟體檢測病毒即使作業(yè)系統(tǒng)和應用程式安裝了一切最新的修補程式和更新，依然容易遭到攻擊。任何連接到網(wǎng)路的裝置都能夠會感染上病毒、蠕蟲和特洛伊木

15、馬。這些攻擊可損壞作業(yè)系統(tǒng)程式碼、影響電腦效能、變更應用程式和毀壞資料。感染病毒、蠕蟲或特洛伊木馬後，能夠出現(xiàn)的癥狀有：電腦行為開始變得不正常。程式不回應滑鼠和按鍵程式自行啟動或關(guān)閉電子郵件程式開始外發(fā)大量電子郵件。CPU 運用率非常高。有不認識的或大量的程序執(zhí)行電腦速度顯著下降或崩潰。8.3.3 防病毒軟體防病毒軟體可用作預防工具和反應工具。它可預防感染，並能偵測和刪除病毒、蠕蟲和特洛伊木馬。連接到網(wǎng)路的一切電腦都應安裝防病毒軟體。市面上存在許多防病毒程式。防病毒程式可具有以下功能：電子郵件檢查 掃描傳入和傳出電子郵件，辨識可疑的附件。常駐動態(tài)掃描 在存取可執(zhí)行檔和文件時對它們進行檢查。計畫

16、掃描 可根據(jù)計畫按固定的間隔執(zhí)行病毒掃描以及檢查特定的磁碟機或整個電腦。自動更新 檢查和下載知的病毒特徵碼和樣式，並可設為定期檢查更新。8.3.4反渣滓郵件渣滓郵件不僅惹人討厭，還能夠呵斥電子郵件伺服器超載，有時還攜帶有病毒和其他平安威脅。渣滓郵件傳送者還可以透過在主機上植入病毒或特洛伊木馬程式碼來控制主機。讓受控主機在運用者毫不知情的情況下傳送渣滓郵件。遭到這種方式感染的電腦稱為渣滓郵件製造廠反渣滓郵件軟體可鑑別渣滓郵件並執(zhí)行相應操作例如將其放置到渣滓郵件資料夾或刪除，從而為主機提供保護。此類軟體可在機器本地載入，也可在電子郵件伺服器上載入。此外，許多 ISP 也提供渣滓郵件過濾器。反渣滓郵

17、件軟體無法辨識一切的渣滓郵件，因此開啟電子郵件時仍須非常謹慎。有時候，有用的電子郵件也會被錯誤地當作渣滓郵件處理了。觀看動畫除了運用渣滓郵件攔截器以外，還可運用其他預防措施來防止渣滓郵件傳播，這些措施包括：及時安裝現(xiàn)有的作業(yè)系統(tǒng)和應用程式更新。定期執(zhí)行防病毒程式，並始終堅持最新版本。不要轉(zhuǎn)送可疑的電子郵件。不要開啟電子郵件附件，尤其是來自陌生人的郵件附件。設定電子郵件規(guī)則，刪除繞過反渣滓郵件軟體的渣滓郵件。鑑別渣滓郵件來源，並將其報告給網(wǎng)路管理者以便阻隔該來源。將事件報告給處理渣滓郵件濫用的政府機構(gòu)。8.3.4反渣滓郵件8.3.5反間諜軟體反間諜軟體和廣告軟體間諜軟體和廣告軟體也會導致類似病毒

18、的癥狀。除了搜集未經(jīng)授權(quán)的資訊外，它們還會佔用重要的電腦資源並影響效能。反間諜軟體可偵測和刪除間諜軟體應用程式，並防止這些程式將來再度安裝。許多反間諜軟體應用程式還包括 cookie 及廣告軟體的偵測和刪除功能。某些防病毒套裝軟體具有反間諜軟體功能。快顯封鎖程式可安裝快顯封鎖程式軟體來阻止快顯和背顯式廣告。許多 Web 瀏覽器預設包含快顯封鎖程式的功能。請留意，某些程式和網(wǎng)頁會產(chǎn)生必要和有用的快顯視窗。因此，大多數(shù)快顯封鎖程式都具有略過功能即允許某些快顯視窗。8.4.1 什麼是防火牆防火牆是保護內(nèi)部網(wǎng)路運用者遠離外部威脅的最為有效的平安工具之一。防火牆位於兩個或多個網(wǎng)路之間，控制其間的流量並幫

19、助阻止未授權(quán)的存取。防火牆產(chǎn)品運用多種技術(shù)來區(qū)分應制止和應允許的網(wǎng)路存取。封包過濾 根據(jù) IP 或 MAC 位址阻止或允許存取。應用程式/網(wǎng)站過濾 根據(jù)應用程式來阻止或允許存取。網(wǎng)站攔截則透過指定網(wǎng)站 URL 位址或關(guān)鍵字來實現(xiàn)。狀態(tài)封包偵測 (SPI) 傳入封包必須是對內(nèi)部主機所發(fā)出請求的合法回應。除非得到特別允許，否則未經(jīng)請求的封包會被攔截。狀態(tài)封包偵測還可具有辨識和過濾特定類型攻擊例如 DoS的才干。8.4.1 什麼是防火牆防火牆可援助一個或多個此類過濾功能。此外，防火牆通常會執(zhí)行網(wǎng)路位址轉(zhuǎn)換 (NAT)。網(wǎng)路位址轉(zhuǎn)換將一個內(nèi)部位址或一組位址轉(zhuǎn)換為一個公開的外部位址，該位址會透過網(wǎng)路傳送

20、。從而實現(xiàn)了對外部運用者隱藏內(nèi)部 IP 位址的目的。8.4.1 什麼是防火牆防火牆產(chǎn)品具有各種方式：基於裝置的防火牆 此類防火牆內(nèi)建在專用的硬體裝置稱為平安裝置中?；端欧鞯姆阑馉?此類防火牆是在網(wǎng)路作業(yè)系統(tǒng)NOS，例如 UNIX、Windows 或 Novell上執(zhí)行的防火牆應用程式。整合防火牆 此類防火牆透過對現(xiàn)有裝置例如路由器新增防火牆功能來實現(xiàn)。個人防火牆 此類防火牆位於主機電腦中，不是被設計用於 (保護) LAN 實作。它可以由作業(yè)系統(tǒng)預設提供，也可以由外部廠商提供安裝。8.4.2 運用防火牆透過在內(nèi)部網(wǎng)路內(nèi)部網(wǎng)路和網(wǎng)際網(wǎng)路之間設定防火牆作為邊界裝置，一切往來網(wǎng)際網(wǎng)路的流量都會被監(jiān)

21、視和控制。如此一來，便在內(nèi)部和外部網(wǎng)路之間劃分了一條明晰的防禦界線。然而，能夠會有一些外部客戶需求存取內(nèi)部資源。為此，可設定一個非軍事區(qū) (DMZ) 。術(shù)語非軍事區(qū)借用自軍事用語，它代表兩股勢力之間的一個指定區(qū)域，在該區(qū)域內(nèi)不允許執(zhí)行任何軍事活動。在電腦網(wǎng)路中，非軍事區(qū)代表內(nèi)部和外部運用者都可存取的網(wǎng)路區(qū)域。其平安性高於外部網(wǎng)路，低於內(nèi)部網(wǎng)路。它是由一個或多個防火牆建立的，這些防火牆起到分隔內(nèi)部、非軍事區(qū)和外部網(wǎng)路的作用。用於公開存取的 Web 伺服器通常位於非軍事區(qū)中。觀看動畫8.4.2 運用防火牆單防火牆設定單個防火牆包含三個區(qū)域，分別用於外部網(wǎng)路、內(nèi)部網(wǎng)路和非軍事區(qū)。來自外部網(wǎng)路的一切流量都被傳送到防火牆。然後防火牆會監(jiān)控流量，決定哪些流量應傳送到非軍事區(qū)，哪些應傳送到內(nèi)部