網(wǎng)絡(luò)安全管理員實(shí)訓(xùn)課技能鑒定培訓(xùn)湖南

網(wǎng)絡(luò)通信安全管理員職業(yè)技能鑒定培訓(xùn)----操作部分安全概述網(wǎng)絡(luò)安全計算機(jī)病毒防火墻主機(jī)與數(shù)據(jù)庫安全WEB安全提綱安全概述簡介本節(jié)將有助于你了解安全的基本概念，提高安全意識，掌握基本的安全事件防范技能，了解黑客相關(guān)的基本知識和安全常識。目標(biāo)了解安全的定義了解安全的威脅掌握黑客相關(guān)知識掌握相關(guān)的基礎(chǔ)知識典型的網(wǎng)絡(luò)安全事件安全之信息泄漏過億數(shù)據(jù)泄露，網(wǎng)易提醒用戶：盡快修改密碼

10月19日下午消息，網(wǎng)易163/126郵箱過億數(shù)據(jù)泄漏，涉及郵箱賬號、密碼、用戶密保等。社保用戶信息或遭泄露多省市存管理漏洞目前圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個，僅社保類信息安全漏洞統(tǒng)計就達(dá)到5279.4萬條，涉及人員數(shù)量達(dá)數(shù)千萬。以上列舉的信息泄漏事件，只是冰山一角，信息泄漏事件的背后，意味著互聯(lián)網(wǎng)地下黑色信息產(chǎn)業(yè)鏈正日益壯大。典型的網(wǎng)絡(luò)安全事件安全之電信詐騙電信詐騙盯上美國一知名公司被騙320萬美元2015年5月3日，一名“老外”和一中國籍男子來向溫州警方報案，稱有320萬美元被騙，錢被匯到溫州銀行。經(jīng)記者核實(shí)，有騙子冒充他們公司新上任的CEO，騙走了320萬美元，這筆錢是從美國匯到溫州銀行的。電話詐騙分子聰明反被聰明誤，詐騙不成反倒貼502015年1月11日下午，哈爾濱市民王大哥接到陌生號碼的來電，對方聲稱“你的銀行賬戶涉及違法資金，要被凍結(jié)……”，他很快判斷出這是個騙子的圈套，急中生智與對方周旋，最終以自己手機(jī)欠費(fèi)為由拒絕轉(zhuǎn)賬，詐騙分子則為其交了50元花費(fèi)。典型的網(wǎng)絡(luò)安全事件安全之電信詐騙偽基站詐騙屢禁不止男子開電動車發(fā)詐騙短信2015年11月26日，警方搗毀三臺偽基站，偽基站基本以散發(fā)詐騙信息和小廣告為主。網(wǎng)上詐騙手段不斷翻新廣東股民被騙102萬5月14日15時許，廣州市民萬某報警稱，5月12日他在互聯(lián)網(wǎng)上看到能夠提供股票內(nèi)幕信息的廣告，被對方以保證收益為名騙取人民幣共計102萬余元。

電信詐騙事件越來越高發(fā)，說明很多不法分子掌握了高技術(shù)含量的信息詐騙手段，在不確定信息真假的情況下要核實(shí)信息真實(shí)性。典型的網(wǎng)絡(luò)安全事件安全之網(wǎng)絡(luò)漏洞Android曝嚴(yán)重安全漏洞95%設(shè)備存安全隱患2015年7月27日晚間，網(wǎng)絡(luò)安全公司Zimperium研究人員爆料，他們在Android設(shè)備中發(fā)現(xiàn)了一處安全漏洞，允許黑客在用戶全然不知的情況下遠(yuǎn)程訪問Android設(shè)備。手機(jī)網(wǎng)絡(luò)安全漏洞調(diào)查10086短信暗藏病毒鏈接只因?yàn)辄c(diǎn)擊了顯示為“10086”發(fā)來的“積分兌換現(xiàn)金”的鏈接，浙江省湖州市民錢先生的銀行卡里近8000元就被盜取了。類似情況在我國已發(fā)生多起，這種通過短信等多種方式植入手機(jī)的木馬程序和釣魚鏈接，正威脅著用戶的個人隱私和財產(chǎn)安全。典型的網(wǎng)絡(luò)安全事件安全之手機(jī)流量瘋跑多款品牌手機(jī)會偷跑流量蘋果手機(jī)偷跑最多上海市消保委用10款品牌手機(jī)當(dāng)試驗(yàn)樣品，驗(yàn)證在手機(jī)待機(jī)的情況下，流量“偷跑”的問題，實(shí)驗(yàn)發(fā)現(xiàn)即使是在待機(jī)狀態(tài)下，手機(jī)“偷跑”流量的情況也非常明顯，有多達(dá)9款手機(jī)都在此過程中“偷跑”了流量。而在這10款手機(jī)里，“偷跑”流量最多的是蘋果手機(jī)。曝手機(jī)流量瘋跑50G安全防護(hù)需重視據(jù)報道，武漢一女子手機(jī)一夜流量瘋跑50G，是通信運(yùn)營商搞得鬼還是自己不小心造成?專家提醒，避免手機(jī)異常流量產(chǎn)生，用戶不要下載不明來源軟件，警惕防范手機(jī)病毒。典型的網(wǎng)絡(luò)安全事件信息安全之網(wǎng)站被黑世預(yù)賽國足出線渺茫足協(xié)官網(wǎng)或被黑2015年11月17日，中國國家隊客場與中國香港0:0戰(zhàn)平，2018年世界杯出線機(jī)會渺茫。賽后，中國足協(xié)官網(wǎng)疑似被極度失望的球迷黑客攻擊，升級成了網(wǎng)絡(luò)安全事件。國外婚外戀網(wǎng)站被黑擁有3700多萬注冊用戶的全球知名婚外戀在線約會網(wǎng)站“AshleyMadison”于7月被黑，共計3300多萬用戶的個人資料統(tǒng)統(tǒng)被黑客竊取并被公布在網(wǎng)上。信息不僅包括很多國際名人，中國也未能幸免。典型的網(wǎng)絡(luò)安全事件HackingTeam泄露事件—簡介HackingTeam是一家以協(xié)助政府監(jiān)視公民而“聞名于世”的意大利公司，是為數(shù)不多的幾家向全世界執(zhí)法機(jī)構(gòu)出售監(jiān)控工具的公司之一。他們向包括摩洛哥、埃塞俄比亞以及美國毒品管制局在內(nèi)的政府及執(zhí)法機(jī)構(gòu)出售入侵和監(jiān)視工具。曾因強(qiáng)大的監(jiān)控軟件系統(tǒng)RemoteCodeSystem(RCS)及媒體監(jiān)控工具達(dá)芬奇（DaVinci）而出名，卻在2015年馬失前蹄。典型的網(wǎng)絡(luò)安全事件HackingTeam泄露事件—過程2015年7月5日，HackingTeam遭遇了大型數(shù)據(jù)攻擊泄漏事件。HackingTeam的官方推特被黑，官方主頁面的banner更名為“HackedTeam”，隨后更新的推文展示了已經(jīng)被竊的數(shù)據(jù)，包括公司創(chuàng)始人兼CEOVincentVincenzetti的郵件。原因：系統(tǒng)管理員疏忽大意導(dǎo)致個人電腦被入侵，系統(tǒng)缺少嚴(yán)格的身份認(rèn)證授權(quán)使得攻擊者順藤摸瓜進(jìn)入內(nèi)網(wǎng)，不使用數(shù)據(jù)加密技術(shù)導(dǎo)致所有敏感數(shù)據(jù)都是明文存放軍火庫被端，至少400G的文件被竊取，失竊的“彈藥”中，包括各種平臺的木馬程序（含源代碼）、未公開漏洞（0day）、大量電子郵件與各種商業(yè)合同、HackingTeam內(nèi)部部分員工的個人資料和密碼。典型的網(wǎng)絡(luò)安全事件HackingTeam泄露事件—影響原本只掌握在極少數(shù)頂尖黑客手中漏洞和后門代碼全部公開在互聯(lián)網(wǎng)上，任何人等可以直接下載獲取而因?yàn)檫@些工具的攻擊性較強(qiáng)，只要有相關(guān)知識的人都可以加以利用，這等于數(shù)萬噸TNT炸藥讓恐怖分子隨意領(lǐng)取。首當(dāng)其沖的是普通用戶，本次泄露包括了Flashplayer、Windows字體、IE、Chrome、Word、PPT、Excel、Android的未公開漏洞，覆蓋了大部分的桌面電腦和超過一半的智能手機(jī)。這些漏洞很可能會被人利用來進(jìn)行病毒蠕蟲傳播或者掛馬盜號。上述的漏洞可以用于惡意網(wǎng)站，用戶一旦使用IE或者Chrome訪問惡意網(wǎng)站，很有可能被植入木馬。而OfficeWord、PPT、Excel則會被用于郵件釣魚，用戶一旦打開郵件的附件，就有可能被植入木馬。典型的網(wǎng)絡(luò)安全事件HackingTeam泄露事件—影響本次泄露的各平臺的木馬后門程序，會把整個灰色產(chǎn)業(yè)鏈的平均技術(shù)水平提高一個檔次。例如全平臺的監(jiān)控能力，以及對微信、whatsapp、skype的監(jiān)控功能等等。在此次事件之前，灰色產(chǎn)業(yè)鏈的軟件工程能力并不高，木馬以隱藏為主，但是界面友好程度和易用性都還有很大的差距，但是本次事件后，任意一個木馬編寫者都可以輕易地掌握這些技術(shù)能力。典型的網(wǎng)絡(luò)安全事件HackingTeam泄露事件—防護(hù)企業(yè)和個人不要隨意打開陌生人發(fā)來的郵件和任何文件，也不要從陌生的網(wǎng)站下載來歷不明的文件;及時更新安全軟件，全面檢測和防御此次HackingTeam公開的漏洞攻擊;企業(yè)應(yīng)密切關(guān)注各大軟件和系統(tǒng)服務(wù)商的安全更新，及時下載安裝漏洞補(bǔ)丁。典型的網(wǎng)絡(luò)安全事件XcodeGhost后門事件9月14日，國家互聯(lián)網(wǎng)應(yīng)急中心報告顯示，“開發(fā)者使用非蘋果公司官方渠道的工具Xcode開發(fā)蘋果應(yīng)用程序（蘋果APP）時，會向正常的蘋果APP中植入惡意代碼。被植入惡意程序的蘋果APP可以在APPStore正常下載并安裝使用。該惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能。與以往的病毒嵌入思路不同，XcodeGhost直接把病毒代碼嵌入了開發(fā)工具源頭，這種另類的傳播方式直接讓其在初期的傳播廣度上獲得了非常好的效果，而由于在于國內(nèi)AppStore連接速度太慢，許多程序員為了提高效率，方便下載，會直接從各大論壇和網(wǎng)盤上找第三方資源，因此導(dǎo)致網(wǎng)易云音樂、中國聯(lián)通手機(jī)營業(yè)廳、滴滴出行等熱門app紛紛中招。典型的網(wǎng)絡(luò)安全事件XcodeGhost后門事件它們會偷偷上傳軟件包名、應(yīng)用名、系統(tǒng)版本、語言、國家等基本信息。從病毒樣本的分析看，這些泄露信息其實(shí)并不涉及太多的隱私問題。值得注意的是，病毒擁有更多的權(quán)限，它們在iPhone/iPad上彈出釣魚網(wǎng)站頁面，可能騙取iCloud帳號密碼，或者其他關(guān)鍵信息。典型的網(wǎng)絡(luò)安全事件典型的網(wǎng)絡(luò)安全事件攜程網(wǎng)大面積癱瘓事件2015年5月28日上午11：09，攜程官網(wǎng)和App客戶端大面積癱瘓，多項(xiàng)功能無法使用，攜程方面對此回應(yīng)稱服務(wù)器遭到不明攻擊。直至晚上22時45分，攜程官方才確認(rèn)除個別業(yè)務(wù)外，攜程網(wǎng)站及APP恢復(fù)正常，包括預(yù)定數(shù)據(jù)在內(nèi)的所以數(shù)據(jù)均沒有丟失。5月29日，攜程發(fā)布官方情況說明稱，此次事件是由于員工錯誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼導(dǎo)致。

2014.3月份安全支付日志泄露，導(dǎo)致大量用戶銀行卡信息泄露（包括持卡人姓名、銀行卡號、CVV、pin碼等）典型的網(wǎng)絡(luò)安全事件攜程網(wǎng)大面積癱瘓事件影響：若按攜程一季度營收3.37億美元估算，“宕機(jī)”一小時的平均損失為106.48萬美元，從癱瘓到修復(fù)，攜程“宕機(jī)”近12小時，算下來總損失超過1200萬美元，折合人民幣7400多萬。受此影響，攜程股價盤前暴跌11.67%，報72美元。5月28日，在納斯達(dá)克掛牌交易的攜程股價開盤跌了3.32%。典型的網(wǎng)絡(luò)安全事件主營安防產(chǎn)品的?？低暺渖a(chǎn)的監(jiān)控設(shè)備被曝嚴(yán)重的安全隱患，部分設(shè)備已被境外IP地址控制，成為僵尸網(wǎng)絡(luò)肉機(jī)向外發(fā)起網(wǎng)絡(luò)攻擊。成因是管理后臺弱口令和WEB登陸弱口令漏洞安全概述安全定義從安全所涉及層面的角度進(jìn)行描述，計算機(jī)安全定義為，保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全。從安全所涉及的安全屬性的角度進(jìn)行描述，計算機(jī)安全定義為，安全涉及到數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性。綜合起來說，就是要保障電子信息的有效性。安全概述安全的基本要求真實(shí)性機(jī)密性完整性可用性抗抵賴性可控制性可審查性信息安全概述安全的影響因素計算機(jī)信息系統(tǒng)的使用與管理人員。包括普通用戶、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員，其中各級管理員對系統(tǒng)安全承擔(dān)重大的責(zé)任。系統(tǒng)的硬件部分。包括服務(wù)器、網(wǎng)絡(luò)通信設(shè)備、終端設(shè)備、通信線路和個人使用的計算機(jī)等。系統(tǒng)的軟件部分。主要包括計算機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件。信息安全概述安全的威脅黑客常識什么是黑客黑客一詞，源于英文Hacker，原指熱心于計算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。早期的黑客通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)?！昂诳汀蹦苁垢嗟木W(wǎng)絡(luò)趨于完善和安全，他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。但后期黑客隊伍的結(jié)構(gòu)有所改變，其中有些人已成為信息安全的主要威脅?，F(xiàn)在把威脅計算機(jī)信息系統(tǒng)安全的人員通稱為黑客。黑客常識黑客術(shù)語肉雞：不是吃的那種，是中了木馬，或者被留了后門，可以被遠(yuǎn)程操控的機(jī)器，現(xiàn)在許多人把有WEBSHELL權(quán)限的機(jī)器也叫肉雞。木馬：特洛伊木馬，有盜號專用的木馬，也有遠(yuǎn)程控制專用的木馬，如：魔獸木馬生成器、冰河、灰鴿子等。病毒：具有破壞性，傳播性，隱秘性，潛伏性的惡意程序。端口：是計算機(jī)與外界通訊交流的出口，不同的端口開放了不同的服務(wù)。黑客常識黑客術(shù)語后門：這個就是入侵后為方便下次進(jìn)入肉雞所留下的東西，親切的稱為后門。CRACK：接觸過軟件破解的人一定了解這個詞，CRACKER就是軟件破解者的意思(注意這里有多了個ER)，許多共享軟件就是CRACKER來完成破解的，就是現(xiàn)在俗稱的XX軟件破解版。漏洞：漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。黑客常識黑客存在的意義黑客存在的意義就是使網(wǎng)絡(luò)變的日益安全完善，然而，也可能讓網(wǎng)絡(luò)遭受到前所未有的威脅！哪些人是黑客？31KevinMutnikMutnik’sAdvice他在一次轉(zhuǎn)機(jī)的間隙，寫下了以下十條經(jīng)驗(yàn)與大家分享?！駛浞葙Y料。記住你的系統(tǒng)永遠(yuǎn)不會是無懈可擊的，災(zāi)難性的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蠕蟲或一只木馬就已足夠?！襁x擇很難猜的密碼。不要沒有腦子地填上幾個與你有關(guān)的數(shù)字，在任何情況下，都要及時修改默認(rèn)密碼?！癜惭b殺毒軟件，并讓它每天更新升級。●及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補(bǔ)丁，并及時安裝應(yīng)用。●不用電腦時候千萬別忘了斷開網(wǎng)線和電源。●在IE或其它瀏覽器中會出現(xiàn)一些黑客釣魚，對此要保持清醒，拒絕點(diǎn)擊，同時將電子郵件客戶端的自動腳本功能關(guān)閉?！裨诎l(fā)送敏感郵件時使用加密軟件，也可用加密軟件保護(hù)你的硬盤上的數(shù)據(jù)。Mutnik’sAdvice●安裝一個或幾個反間諜程序，并且要經(jīng)常運(yùn)行檢查?！袷褂脗€人防火墻并正確設(shè)置它，阻止其它計算機(jī)、網(wǎng)絡(luò)和網(wǎng)址與你的計算機(jī)建立連接，指定哪些程序可以自動連接到網(wǎng)絡(luò)。●關(guān)閉所有你不使用的系統(tǒng)服務(wù)，特別是那些可以讓別人遠(yuǎn)程控制你的計算機(jī)的服務(wù)，如RemoteDesktop、RealVNC和NetBIOS等?！癖ＷC無線連接的安全。在家里，可以使用無線保護(hù)接入WPA和至少20個字符的密碼。正確設(shè)置你的筆記本電腦，不要加入任何網(wǎng)絡(luò)，除非它使用WPA。

“要想在一個充滿敵意的因特網(wǎng)世界里保護(hù)自己，的確是一件不容易的事。你要時刻想著，在地球另一端的某個角落里，一個或一些毫無道德的人正在刺探你的系統(tǒng)漏洞，并利用它們竊取你最敏感的秘密。希望你不會成為這些網(wǎng)絡(luò)入侵者的下一個犧牲品。”黑客常識著名黑客事件1983年，凱文·米特尼克因被發(fā)現(xiàn)使用一臺大學(xué)里的電腦擅自進(jìn)入今日互聯(lián)網(wǎng)的前身ARPA網(wǎng)，并通過該網(wǎng)進(jìn)入了美國五角大樓的的電腦，而被判在加州的青年管教所管教了6個月。1995年，來自俄羅斯的黑客弗拉季米爾·列寧在互聯(lián)網(wǎng)上上演了精彩的偷天換日，他是歷史上第一個通過入侵銀行電腦系統(tǒng)來獲利的黑客，1995年，他侵入美國花旗銀行并盜走一千萬，他于1995年在英國被國際刑警逮捕，之后，他把帳戶里的錢轉(zhuǎn)移至美國、芬蘭、荷蘭、德國、愛爾蘭等地。黑客常識著名黑客事件2000年，年僅15歲，綽號黑手黨男孩的黑客在本年2月6日到2月14日情人節(jié)期間成功侵入包括雅虎、eBay和Amazon在內(nèi)的大型網(wǎng)站服務(wù)器，他成功阻止服務(wù)器向用戶提供服務(wù)，他于2000年被捕。2010年1月12日上午7點(diǎn)鐘開始，全球最大中文搜索引擎“百度”遭到黑客攻擊，長時間無法正常訪問。主要表現(xiàn)為跳轉(zhuǎn)到一雅虎出錯頁面、伊朗網(wǎng)軍圖片，出現(xiàn)“天外符號”等，范圍涉及四川、福建、江蘇、吉林、浙江、北京、廣東等國內(nèi)絕大部分省市。這次攻擊百度的黑客疑似來自境外，利用了DNS記錄篡改的方式。今天的網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈36黑客常識黑客常用手段網(wǎng)絡(luò)掃描網(wǎng)絡(luò)嗅探拒絕服務(wù)欺騙用戶特洛伊木馬緩沖器溢出口令破譯社交工程黑客常識—常用入侵步驟采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的服務(wù)獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門清除入侵腳印攻擊其他系統(tǒng)獲取替換信息作為其他用途滲透測試什么是滲透測試？滲透測試是受信任的第三方進(jìn)行的一種評估網(wǎng)絡(luò)安全的活動，它通過對企業(yè)網(wǎng)絡(luò)進(jìn)行各種手段的攻擊來找出系統(tǒng)存在的漏洞，從而給出網(wǎng)絡(luò)系統(tǒng)存在安全風(fēng)險的一種實(shí)踐活動。通過模擬現(xiàn)實(shí)的網(wǎng)絡(luò)攻擊，滲透測試證實(shí)惡意攻擊者有可能獲取或破壞企業(yè)的數(shù)據(jù)資產(chǎn)。滲透測試滲透測試與黑客入侵的區(qū)別：滲透測試為模擬黑客攻擊測試，但兩者也有區(qū)別，滲透測試是“面”的測試，黑客攻擊是“深度”測試。前者講究廣泛度，后者講究破壞性。滲透測試滲透測試必要性：1、發(fā)現(xiàn)企業(yè)的安全缺陷，協(xié)助企業(yè)有效的了解目前降低風(fēng)險的初始任務(wù)。2、一份齊全有效的測試報告可以協(xié)助IT管理者了解目前的安全現(xiàn)狀，增強(qiáng)信息安全的認(rèn)知度，提高安全意識。3、信息安全是一個整體工程，滲透測試有助于組織中所有成員安全意識加強(qiáng)，有助于內(nèi)部安全提升。滲透測試滲透測試方法分類：1、黑盒測試(Black-box)：滲透測試人員不具備公司網(wǎng)絡(luò)的任何信息。2、白盒測試(White-box)：滲透測試人員已經(jīng)具備內(nèi)部網(wǎng)絡(luò)完整信息。3、灰盒測試(Gray-box)：測試人員模擬內(nèi)部雇員，有一個內(nèi)部網(wǎng)絡(luò)的賬戶，并擁有了訪問網(wǎng)絡(luò)的標(biāo)準(zhǔn)方法。滲透測試滲透測試的五個階段：1、偵察：收集目標(biāo)網(wǎng)絡(luò)信息的最初階段;2、掃描：查詢活動系統(tǒng)，抓取網(wǎng)絡(luò)共享、用戶、用戶組及特定應(yīng)用程序信息;3、獲取訪問：實(shí)際滲透過程;4、維持訪問：系統(tǒng)口令截獲及破解,后門程序放置到目標(biāo)系統(tǒng)中，方便以后使用;5、擦除日志：刪除日志文件、系統(tǒng)后門、提權(quán)工具等，恢復(fù)滲透之前的系統(tǒng)狀態(tài)。網(wǎng)絡(luò)安全簡介本課程主要講述有關(guān)于網(wǎng)絡(luò)安全的一些知識。網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。學(xué)習(xí)目標(biāo)通過對本節(jié)的學(xué)習(xí)：對網(wǎng)絡(luò)安全的基本概念、基本理論和基本應(yīng)用有全面的理解。了解網(wǎng)絡(luò)安全中遇到的威脅和潛在的風(fēng)險。了解常見的網(wǎng)絡(luò)攻擊方法和手段。理解和掌握一些針對網(wǎng)絡(luò)攻擊的防范手段。了解安全防護(hù)產(chǎn)品網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全目標(biāo)：可靠性網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性?？捎眯跃W(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。保密性網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。網(wǎng)絡(luò)安全概述完整性網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。不可抵賴性網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實(shí)同一性?？煽匦钥煽匦允菍W(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。網(wǎng)絡(luò)安全概述實(shí)際效果進(jìn)不來拿不走改不了跑不了看不懂可審查面臨的風(fēng)險和威脅存在的風(fēng)險和威脅自然災(zāi)害人為行為內(nèi)部泄密信息丟失網(wǎng)絡(luò)自身缺陷病毒、惡意代碼有目的攻擊行為面臨的風(fēng)險和威脅自然災(zāi)害網(wǎng)絡(luò)中存儲或傳輸信息的設(shè)備及線路等。會遭受到不可抗力的自然力量的破壞?；馂?zāi)、水災(zāi)、風(fēng)暴、雷電等對網(wǎng)絡(luò)的破壞，以及環(huán)境（溫度、濕度、震動、沖擊、污染）對網(wǎng)絡(luò)狀況的影響。面臨的風(fēng)險和威脅人為行為人為的操作失誤，人員安全意識差等對網(wǎng)絡(luò)構(gòu)成的威脅。管理員的配置操作失誤，配置項(xiàng)沖突，配置項(xiàng)失效等對網(wǎng)絡(luò)構(gòu)成的威脅。人員濫用網(wǎng)絡(luò)資源，越權(quán)使用資源，不遵行相關(guān)安全管理制度。安全策略執(zhí)行不到位。內(nèi)部人員被攻擊者社工。面臨的風(fēng)險和威脅內(nèi)部泄密內(nèi)部人員處于利益、人情等原因，將自己所掌握的信息給其他人員。或者為其他人嘗試獲取相關(guān)資料。離職人員處于報復(fù)或者其他原因，泄露在職時所掌握的信息。內(nèi)部資料處理不當(dāng)。面臨的風(fēng)險和威脅信息丟失由于各類非常規(guī)操作或意外事故，造成存儲信息的介質(zhì)丟失。存儲信息的介質(zhì)上信息失效，信息無法正常讀取。由于口令丟失或失效，造成的信息孤島。存儲介質(zhì)殘留信息泄露。面臨的風(fēng)險和威脅網(wǎng)絡(luò)自身缺陷網(wǎng)絡(luò)協(xié)議、軟件、各類網(wǎng)絡(luò)設(shè)備、各類應(yīng)用程序等自身存在的安全缺陷。現(xiàn)階段無法解決的技術(shù)缺陷網(wǎng)絡(luò)設(shè)計錯誤代碼缺陷面臨的風(fēng)險和威脅病毒、惡意代碼影響信息系統(tǒng)正常運(yùn)行，惡意破壞系統(tǒng)正常功能。竊取系統(tǒng)信息。Joker代碼程序SQLinjection、XSS、CRSF等面臨的風(fēng)險和威脅有目的的攻擊行為DOS及DDOSARP弱口令猜解、口令破解欺騙、嗅探、偽裝、社工面臨的風(fēng)險和威脅DOS及DDOSDOS--拒絕服務(wù)攻擊：是指攻擊者通過某種手段，有意地造成信息系統(tǒng)不能向合法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低。DDOS--分布式拒絕服務(wù)攻擊：處于不同位置的多個攻擊者同時向一個或者數(shù)個目標(biāo)發(fā)起攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實(shí)施攻擊，由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊。面臨的風(fēng)險和威脅DDOS之虛假源地址攻擊特點(diǎn)：1.攻擊隱蔽性：由于攻擊報文中沒有包含攻擊者的真實(shí)地址，黑客可以有效的躲避追查。2.攻擊便宜性：黑客只需利用少數(shù)甚至單臺服務(wù)器，就可以偽造出數(shù)以百萬計的攻擊IP地址，達(dá)到大規(guī)模DDoS攻擊的效果。由于攻擊IP的數(shù)量巨大且為隨機(jī)構(gòu)造，導(dǎo)致針對攻擊源IP的防護(hù)手段失去效果。面臨的風(fēng)險和威脅DDOS之虛假源地址攻擊特點(diǎn)：3.攻擊流量巨大：黑客利用少數(shù)放置在IDC機(jī)房的肉雞服務(wù)器，利用IDC高帶寬資源，發(fā)動大流量的DDoS攻擊。4.攻擊可控性：發(fā)起DDoS攻擊的服務(wù)器大多是黑客自己的服務(wù)器或者租用IDC機(jī)房服務(wù)器，完全受黑客控制，黑客可以隨時根據(jù)被攻擊目標(biāo)的防護(hù)手段變換攻擊方式以及攻擊流量。面臨的風(fēng)險和威脅DDOS之虛假源地址攻擊整治策略：根本是使虛假源地址流量在源頭無法發(fā)出。目前主要采用的防范策略包括URPF（UnicastReversePathForwarding，單播逆向路徑轉(zhuǎn)發(fā)）和ACL（AccessControlList，訪問控制列表）面臨的風(fēng)險和威脅DDOS之虛假源地址攻擊URPF：1.URPF通過獲取報文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對應(yīng)的記錄。2.若報文的源地址在轉(zhuǎn)發(fā)表中：對于嚴(yán)格型檢查，反向查找（以報文源地址為目的地址查找）報文出接口，若至少有一個出接口和報文入接口相匹配，則報文通過檢查；否則被拒絕；對于松散型檢查，報文被正常轉(zhuǎn)發(fā)。3.若報文的源地址不在轉(zhuǎn)發(fā)表中，則檢查缺省路由和URPF的allow-default-route參數(shù)。面臨的風(fēng)險和威脅DDOS之虛假源地址攻擊URPF的優(yōu)點(diǎn)：可以有效阻斷該路由器網(wǎng)內(nèi)發(fā)出的虛假源地址流量；可以自適應(yīng)路由表的變化，不需要人工維護(hù)。URPF的缺點(diǎn)：需要設(shè)備支持；對于骨干路由器，嚴(yán)格型的URPF可能影響正常業(yè)務(wù)。面臨的風(fēng)險和威脅DDOS之虛假源地址攻擊ACL的優(yōu)點(diǎn)：配置更靈活，也無需設(shè)備支持。ACL的缺點(diǎn)：因?yàn)楦鶕?jù)內(nèi)網(wǎng)地址進(jìn)行配置，一旦網(wǎng)絡(luò)發(fā)生變化，需及時調(diào)整指令列表，維護(hù)壓力較大。面臨的風(fēng)險和威脅DOS之smurf攻擊攻擊者使用廣播地址發(fā)送大量的欺騙icmpecho請求，如果路由器執(zhí)行了三層廣播到二層廣播轉(zhuǎn)換（定向廣播），那么，同一ip網(wǎng)段的大量主機(jī)會向該欺騙地址發(fā)送icmpecho應(yīng)答，導(dǎo)致某一主機(jī)（具有欺騙地址）收到大量的流量，從而導(dǎo)致了DoS攻擊。面臨的風(fēng)險和威脅ARP攻擊原理：偽造IP地址和MAC地址進(jìn)行ARP欺騙，在局域網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。如果持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包，則能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。面臨的風(fēng)險和威脅ARP攻擊之中間人攻擊攻擊者向目標(biāo)主機(jī)和網(wǎng)關(guān)同時主動發(fā)起ARP回應(yīng)，告訴對方自己是對方的目標(biāo)MAC，從而讓被欺騙主機(jī)和網(wǎng)關(guān)發(fā)送給對方的數(shù)據(jù)都在攻擊主機(jī)處進(jìn)行一個跳轉(zhuǎn)，使其完成竊取信息的目的。面臨的風(fēng)險和威脅ARP攻擊之中斷攻擊攻擊著向被攻擊主機(jī)主動發(fā)起ARP回應(yīng)，告知對方錯誤的網(wǎng)關(guān)MAC，從而讓對方的數(shù)據(jù)發(fā)往錯誤甚至是不存在的MAC地址處，從而造成網(wǎng)絡(luò)中斷。如果同時對網(wǎng)絡(luò)中的所有主機(jī)進(jìn)行攻擊，則會導(dǎo)致整個局域網(wǎng)全部斷網(wǎng)。面臨的風(fēng)險和威脅TCPsynflood攻擊攻擊者使用虛假地址在短時間內(nèi)向目標(biāo)主機(jī)發(fā)送大量的tcpsyn連接請求，目標(biāo)主機(jī)無法完成tcp三次握手，導(dǎo)致目標(biāo)主機(jī)的連接隊列被充滿，最終造成目標(biāo)主機(jī)拒絕為合法用戶提供tcp服務(wù)。面臨的風(fēng)險和威脅TCP會話劫持攻擊者對兩臺通信主機(jī)的信息流進(jìn)行監(jiān)視，通過猜測會話序列號可能注入其中一臺主機(jī)的信息流，當(dāng)合法主機(jī)與網(wǎng)絡(luò)的連接被斷開后，攻擊者使用合法主機(jī)的訪問權(quán)繼續(xù)進(jìn)行會話。面臨的風(fēng)險和威脅網(wǎng)絡(luò)釣魚攻擊之網(wǎng)頁釣魚偽裝為合法的或正常的各類正常網(wǎng)頁，等待或者誘騙用戶輸入相關(guān)個人信息，個人口令信息。主要有相似URL、偽裝URL、URL轉(zhuǎn)向、IDN欺騙等面臨的風(fēng)險和威脅以假亂真，視覺陷阱域名類似

身份偽裝

admin@?改寫URL&item=q20299@/pub/msk/Q20299.asp編碼http://3633633987DNS劫持+Phishing面臨的風(fēng)險和威脅網(wǎng)絡(luò)釣魚攻擊之郵件釣魚偽裝為合法的或正常的客服郵件、系統(tǒng)郵件、調(diào)查郵件、回訪郵件，誘騙用戶輸入相關(guān)個人信息，個人口令信息?；蛘呃糜脩舻暮闷嫘睦?，不勞而獲心理，誘騙用戶點(diǎn)擊構(gòu)造的惡意連接。面臨的風(fēng)險和威脅嗅探、暴力破解攻擊者通過直接嗅探的方式，獲取同網(wǎng)段其他用戶的信息。針對采用口令認(rèn)證的設(shè)備或應(yīng)用，進(jìn)行窮舉嘗試、字典嘗試、常用口令嘗試等暴力破解。面臨的風(fēng)險和威脅偽造無線接入點(diǎn)攻擊者偽造無線接入點(diǎn)。誘騙用戶接入該AP，進(jìn)行中間人攻擊、信息竊取等攻擊行為。面臨的風(fēng)險和威脅破解無線接入口令攻擊者嘗試破解無線加入口令。達(dá)到接入無線網(wǎng)絡(luò)，控制無線接入點(diǎn)，滲透內(nèi)網(wǎng)的目的。面臨的風(fēng)險和威脅破解無線接入口令WEP口令破解WPA/WPA2口令破解面臨的風(fēng)險和威脅破解無線接入口令PIN碼破解窮舉PIN碼計算某些存在缺陷的設(shè)備的PIN碼面臨的風(fēng)險和威脅破解無線接入口令認(rèn)證繞過方式3A+portal認(rèn)證繞過設(shè)備登錄認(rèn)證繞過檢查、加固檢查漏洞掃描。通過掃描軟件或者硬件掃描器，發(fā)現(xiàn)現(xiàn)有網(wǎng)絡(luò)中存在的問題。例如：主機(jī)存在哪些漏洞，存在哪些弱口令等。策略檢查。通過腳本執(zhí)行或者登機(jī)檢查，檢查常用安全策略配置情況。檢查、加固加固在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)規(guī)劃時，將安全納入到方案規(guī)劃之中。對網(wǎng)絡(luò)管理及員工進(jìn)行安全培訓(xùn)，增強(qiáng)安全意識。建立完善的安全管理流程，制度嚴(yán)格的規(guī)章制度。重要數(shù)據(jù)參考備份策略，進(jìn)行定期備份。檢查、加固加固嚴(yán)格的人員安全管理，例如保密協(xié)議，權(quán)限申請，變更。人員離職權(quán)限資料交接。配置策略或者使用設(shè)備，控制內(nèi)網(wǎng)資源訪問。配置多層次的安全策略，定期檢查。周期性、常態(tài)化的進(jìn)行安全掃描和加固。檢查、加固加固之DOS攻擊在路由器和防火墻部署防ip源地址欺騙在路由器和防火墻啟用防御DoS安全特性路由器tcp攔截、常用ACL策略防火墻tcp連接監(jiān)控部署網(wǎng)絡(luò)和主機(jī)IDS/IPS檢測和防御DoS攻擊檢查、加固加固之smurf攻擊關(guān)閉路由器或三層交換機(jī)的定向廣播功能。檢查、加固加固之ARP攻擊終端和網(wǎng)關(guān)雙綁定安裝使用ARP防火墻劃分VLAN和交換機(jī)端口綁定檢查、加固加固之無線安全關(guān)閉DHCP服務(wù)在無線網(wǎng)絡(luò)中，很多情況下，開啟了DHCP服務(wù)，任何用戶均可以獲取到合法的IP地址。關(guān)閉DHCP服務(wù)，設(shè)置本網(wǎng)段的IP地址為非常用IP段，這樣可以讓非法接入的無線用戶無法獲取到正確的IP地址，從而無法正常使用網(wǎng)絡(luò)資源。檢查、加固加固之無線安全隱藏服務(wù)集標(biāo)識符(SSID)如果配置AP向外廣播其SSID，則所有客戶端均可以搜尋到該接入點(diǎn)。通過對無線接入點(diǎn)AP(AccessPoint)設(shè)置隱藏SSID，并要求接入方設(shè)置正確的SSID才能連接無線網(wǎng)絡(luò)，此時可以認(rèn)為SSID是一個簡單的口令，從而提供一定的安全。檢查、加固加固之無線安全修改默認(rèn)SSID或設(shè)置中文SSID在無線網(wǎng)絡(luò)中，很多情況下，無線網(wǎng)絡(luò)管理員開啟無線網(wǎng)絡(luò)后不會修改默認(rèn)SSID。雖然看上去沒有什么安全威脅，但是默認(rèn)SSID為攻擊者提供了很多方面的便利，例如，獲知設(shè)備的型號，針對無線網(wǎng)絡(luò)接入口令的破解。檢查、加固加固之無線安全MAC地址過濾由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個方法的劣勢是AP中的MAC地址列表必需隨時更新，可擴(kuò)展性差。而且MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作;如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模網(wǎng)絡(luò)安全防護(hù)產(chǎn)品防火墻在網(wǎng)絡(luò)間（內(nèi)部/外部網(wǎng)絡(luò)、不同信息級別）提供安全連接的設(shè)備。用于實(shí)現(xiàn)和執(zhí)行網(wǎng)絡(luò)之間通信的安全策略。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品防火墻防火墻分為是軟件防火墻、硬件防火墻和軟硬件結(jié)合的硬件防火墻根據(jù)采用的技術(shù)不同，可分為：簡單包過濾、應(yīng)用代理、狀態(tài)檢測（狀態(tài)包過濾）防火墻、復(fù)合型防火墻網(wǎng)絡(luò)安全防護(hù)產(chǎn)品IDS（入侵檢測系統(tǒng)）自動檢測入侵行為；監(jiān)視網(wǎng)絡(luò)流量（NetworkIDS)和主機(jī)(HostIDS)中的操作；分析入侵行為：基于特征基于異常行為按預(yù)定的規(guī)則做出響應(yīng)：阻止指定的行為。監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardKey網(wǎng)絡(luò)安全防護(hù)產(chǎn)品網(wǎng)絡(luò)安全防護(hù)產(chǎn)品IDS的分類按檢測方法異常檢測基于規(guī)則統(tǒng)計分析神經(jīng)網(wǎng)絡(luò)特征檢測基于規(guī)則模式匹配狀態(tài)轉(zhuǎn)換分析神經(jīng)網(wǎng)絡(luò)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品IDS的分類按檢測范圍基于主機(jī)以代理軟件的形式安裝在每臺主機(jī)或服務(wù)器上基于網(wǎng)絡(luò)接入網(wǎng)絡(luò)，感應(yīng)器部署在網(wǎng)絡(luò)的關(guān)鍵位置基于網(wǎng)絡(luò)節(jié)點(diǎn)安裝在網(wǎng)絡(luò)節(jié)點(diǎn)的主機(jī)中網(wǎng)絡(luò)安全防護(hù)產(chǎn)品IDS的部署方式共享模式和交換模式：從HUB上的任意一個接口，或者在交換機(jī)上做端口鏡像的端口上收集信息。隱蔽模式：在其他模式的基礎(chǔ)上將探測器的探測口IP地址去除，使得IDS在對外界不可見的情況下正常工作。Tap模式：以雙向監(jiān)聽全雙工以太網(wǎng)連接中的網(wǎng)絡(luò)通信信息，能捕捉到網(wǎng)絡(luò)中的所有流量，能記錄完整的狀態(tài)信息，使得與防火墻聯(lián)動或發(fā)送Reset包更加容易。In-line模式：直接將IDS串接在通信線路中，位于交換機(jī)和路由器之間。這種模式可以將威脅通信包丟棄，以實(shí)時阻斷網(wǎng)絡(luò)攻擊?；旌夏Ｊ剑和ㄟ^監(jiān)聽所有連接到防火墻的網(wǎng)段，全面了解網(wǎng)絡(luò)狀況。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品入侵檢測系統(tǒng)與防火墻的區(qū)別所在的位置不同防火墻是安裝在網(wǎng)關(guān)上，將可信任區(qū)域和非可信任區(qū)域分開，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測，實(shí)現(xiàn)訪問控制。一個網(wǎng)段只需要部署一個防火墻。而NIDS是可以裝在局域網(wǎng)內(nèi)的任何機(jī)器上，一個網(wǎng)段內(nèi)可以裝上數(shù)臺NIDS引擎，由一個總控中心來控制。防范的方向不同防火墻主要是實(shí)現(xiàn)對外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通訊的訪問控制，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的可能存在的攻擊。網(wǎng)絡(luò)入侵檢測系統(tǒng)在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，防止內(nèi)外部的惡意攻擊和網(wǎng)絡(luò)資源濫用。檢測的細(xì)粒度不同防火墻為了實(shí)現(xiàn)快速的網(wǎng)絡(luò)包轉(zhuǎn)換，故只能對網(wǎng)絡(luò)包的IP和端口進(jìn)行一些防黑檢測，比如端口掃描。可是對通過IIS漏洞及Nimda病毒之類的網(wǎng)絡(luò)入侵，防火墻是毫無辦法。而網(wǎng)絡(luò)入侵檢測系統(tǒng)則可以擁有更多特征的入侵?jǐn)?shù)據(jù)特征庫，可以對整個網(wǎng)絡(luò)包進(jìn)行檢查過濾。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品IPS（入侵防御系統(tǒng)）IPS是一種集入侵檢測和防御于一體的安全產(chǎn)品，它不但能檢測入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時地中止入侵行為的發(fā)生和發(fā)展，實(shí)時地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。IPS使得IDS和防火墻走向統(tǒng)一。IPS=防火墻+入侵檢測系統(tǒng)。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品IPS（入侵防御系統(tǒng)）IPS采取主動式的防御機(jī)制，以透明模式串聯(lián)于網(wǎng)絡(luò)中，能夠?qū)崟r阻斷攻擊；部署在網(wǎng)絡(luò)關(guān)鍵點(diǎn)上；過濾阻斷的是攻擊包而非攻擊源。采用多種檢測技術(shù)，準(zhǔn)確度高：特征分析；協(xié)議異常分析；行為異常分析。采用硬件加速技術(shù)，處理性能高，不影響網(wǎng)絡(luò)的正常運(yùn)行。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品網(wǎng)閘網(wǎng)閘是在兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。其信息流一般為通用應(yīng)用服務(wù)。在信息擺渡的過程中內(nèi)外網(wǎng)（上下游）從未發(fā)生物理連接，所以“網(wǎng)閘產(chǎn)品”必須要有至少兩套主機(jī)和一個物理隔離部件才可完成物理隔離任務(wù)。網(wǎng)閘主要用于在兩個物理隔離的網(wǎng)絡(luò)之間進(jìn)行安全的數(shù)據(jù)交換。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品網(wǎng)閘網(wǎng)閘的工作原理是：切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。網(wǎng)絡(luò)安全防護(hù)產(chǎn)品網(wǎng)閘與防火墻的區(qū)別網(wǎng)閘采用雙主機(jī)系統(tǒng)，內(nèi)端機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接，外端機(jī)與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護(hù)起來，即使外網(wǎng)被黑客攻擊，甚至癱瘓，也無法對內(nèi)網(wǎng)造成傷害。防火墻是單主機(jī)系統(tǒng)；網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏洞。防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議；網(wǎng)閘采用專用硬件控制技術(shù)保證內(nèi)外網(wǎng)之間沒有實(shí)時連接。而防火墻必須保證實(shí)時連接；計算機(jī)病毒病毒的概念能夠引起計算機(jī)故障，破壞計算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計算機(jī)病毒。1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！贝硕x具有法律性和權(quán)威性。病毒的特征1)傳染性。這是病毒的基本特征，是否具有傳染性是判別一個程序是否為計算機(jī)病毒的最重要條件。2)隱蔽性。病毒為了保護(hù)自己，一般體積很小，放置位置隱蔽，經(jīng)過加密和加殼處理。3)潛伏性。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，悄悄地繁殖和擴(kuò)散。4)破壞性(表現(xiàn)性)。任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響，或占用系統(tǒng)資源，或破壞數(shù)據(jù)甚至硬件。表現(xiàn)和破壞是病毒的最終目的。5)不可預(yù)見性。從對病毒的檢測方面來看，病毒有不可預(yù)見性。6)觸發(fā)性。滿足觸發(fā)條件時，病毒會實(shí)施傳染、破壞操作。7)針對性。有一定的環(huán)境要求，并不一定對任何系統(tǒng)都能感染。8)依附性。病毒依附在合法的可執(zhí)行程序上。舉例：飛客病毒（confickerorkido）“飛客”是一種針對Windows操作系統(tǒng)的蠕蟲病毒，最早在2008年11月21日出現(xiàn)?！帮w客”利用WindowsPRC遠(yuǎn)程連接調(diào)用服務(wù)存在的高危漏洞（MS08-067）入侵互聯(lián)網(wǎng)上未進(jìn)行有效防護(hù)的主機(jī)，通過局域網(wǎng)、U盤等方式快速傳播，并且會停用感染主機(jī)的一系列Windows服務(wù)，包括WindowsAutomaticUpdate、WindowsSecurityCenter、WindowsDefener及WindowsErrorReporting。舉例：飛客病毒（confickerorkido）經(jīng)過長達(dá)4年的傳播，“飛客”病毒衍生了多個變種，構(gòu)建了一個包含數(shù)千萬被控主機(jī)的攻擊平臺，不僅能夠被利用用于大范圍的網(wǎng)絡(luò)欺詐和信息竊取，而且能夠被利用發(fā)動無法阻擋的大規(guī)模拒絕服務(wù)攻擊，甚至可能成為有力的網(wǎng)絡(luò)戰(zhàn)工具。2012年，全球互聯(lián)網(wǎng)月均有超過2800萬個主機(jī)IP感染飛客病毒，其中中國占14.3%，為349萬個。

感染飛客病毒以后的癥狀：禁用部分系統(tǒng)服務(wù)，如windows系統(tǒng)更新，windows安全中心、windowsDefender、后臺智能傳輸服務(wù)（BITS）和windows錯誤報告。病毒體駐留windows活動進(jìn)程中，如svchost.exe，explorer.exe和services.exe。創(chuàng)建一個Http服務(wù)器并打開一個1024到10000之間的隨機(jī)端口，用于向其他被感染主機(jī)提供病毒副本下載服務(wù)。被感染主機(jī)帳戶鎖定政策被自動復(fù)位。系統(tǒng)網(wǎng)絡(luò)變得異常緩慢，可以從檢測的網(wǎng)絡(luò)流量圖和windows任務(wù)管理器中看出和殺毒軟件、Windows系統(tǒng)更新有關(guān)的網(wǎng)站無法訪問舉例：飛客病毒（confickerorkido）防火墻防火墻的概念防火墻是一個或一組實(shí)施訪問控制策略的系統(tǒng)。是內(nèi)部系統(tǒng)和外部網(wǎng)之間加強(qiáng)訪問控制的系統(tǒng)。本質(zhì)上是一種保護(hù)裝置。其基本手段是隔離。當(dāng)用戶決定需要使用某種水平的連接時，就由防火墻來保證不允許出現(xiàn)其他超出此范圍的訪問行為。防火墻用來保證所有用戶都遵守訪問控制策略。防火墻的設(shè)計目標(biāo)防火墻的特征是和其設(shè)計目標(biāo)密切相關(guān)的，下面列出了一些防火墻的主要設(shè)計目標(biāo)：內(nèi)部網(wǎng)和外部網(wǎng)之間的所有通信都必須經(jīng)過防火墻，物理阻塞所有不經(jīng)過防火墻的網(wǎng)絡(luò)訪問通道。只有被認(rèn)可的網(wǎng)絡(luò)通信量，并在本地安全策略中進(jìn)行定義后，才允許通過防火墻。防火墻對滲透應(yīng)是免疫的(理想之一)。這一點(diǎn)除了針對防火墻自身的安全性能外，還暗示了防火墻的運(yùn)行平臺也應(yīng)是安全的。防火墻使用的通用技術(shù)防火墻用來控制訪問和執(zhí)行站點(diǎn)安全策略的通用技術(shù)：服務(wù)控制：確定允許訪問的Internet服務(wù)的類型，分為入站或出站兩類。防火墻可以根據(jù)IP地址和端口號對通信量進(jìn)行過濾；也可以通過代理軟件在傳遞每個服務(wù)請求之前進(jìn)行過濾。方向控制：確定特定的服務(wù)請求可以發(fā)起并允許通過防火墻流動的方向。用戶控制：根據(jù)賦予某個用戶訪問服務(wù)的權(quán)限來控制特定服務(wù)的訪問。該特征可應(yīng)用于防火墻邊界以內(nèi)的用戶(本地用戶)，也可以應(yīng)用于來自外部用戶的進(jìn)入通信量。行為控制：控制如何使用特定的服務(wù)。如防火墻可以過濾電子郵件來消除垃圾郵件，或者可以控制外部主機(jī)對本地www服務(wù)器信息的訪問范圍。防火墻的主要功能定義了單個安全檢查點(diǎn)。單個檢查點(diǎn)的使用簡化了安全管理。提供了監(jiān)視與安全有關(guān)事件的場所。在防火墻系統(tǒng)中可以實(shí)現(xiàn)審計和告警。是一些與安全無關(guān)的Internet功能的自然集成平臺。這些功能包括網(wǎng)絡(luò)地址轉(zhuǎn)換、審計和記錄Internet使用日志等網(wǎng)絡(luò)管理功能?？梢宰鳛镮PSec的平臺。防火墻可以被用來實(shí)現(xiàn)虛擬專用網(wǎng)。防火墻的局限性防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞。防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?。防火墻對服?wù)器合法開放的端口的攻擊大多無法阻止。防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻止。防火墻本身也會出現(xiàn)問題和受到攻擊。防火墻體系結(jié)構(gòu)任何防火墻都能夠?yàn)榕c互聯(lián)網(wǎng)相連的私有網(wǎng)絡(luò)提供安全防護(hù)，但防護(hù)的等級卻不盡相同，它和防火墻所選用的體系結(jié)構(gòu)直接相關(guān)。大多數(shù)可得到的商品化防火墻都使用了如下防火墻體系結(jié)構(gòu)中的一種或多種：

靜態(tài)包過濾(staticpacketfilter)

動態(tài)包過濾(statefulinspection)

電路級網(wǎng)關(guān)(circuitlevelgateway)

應(yīng)用級網(wǎng)關(guān)(applicationlevelgateway)所有的防火墻都是通過檢查協(xié)議運(yùn)行所產(chǎn)生的信息來實(shí)現(xiàn)安全防護(hù)的，因此了解防火墻所工作的OSI層次是理解不同類型防火墻體系結(jié)構(gòu)的關(guān)鍵之一。1靜態(tài)包過濾包過濾防火墻是最早的防火墻體系結(jié)構(gòu)之一，靜態(tài)包過濾器工作在網(wǎng)絡(luò)層，通過檢查IP首部和運(yùn)輸層首部中的特殊字段來決定包的轉(zhuǎn)發(fā)。包括源和目的IP地址、協(xié)議字段(定義了運(yùn)輸層協(xié)議)和TCP或UDP端口號。轉(zhuǎn)發(fā)包之前，防火墻將IP首部、傳輸層首部與用戶預(yù)先定義的規(guī)則表進(jìn)行比較，表中的規(guī)則告訴防火墻允許或拒絕包的通過，表中規(guī)則被按序掃描直到找出一條相匹配的規(guī)則。如果在表中沒有發(fā)現(xiàn)與該包相匹配的規(guī)則，則使用缺省規(guī)則。缺省規(guī)則典型情況是指示防火墻丟棄不滿足任何規(guī)則的包。兩種處理策略：拒絕允許對于靜態(tài)包過濾防火墻，管理員可以:根據(jù)IP首部的地址信息制定規(guī)則，拒絕或轉(zhuǎn)發(fā)去往和來自某個IP地址或某個IP地址范圍的數(shù)據(jù)包。根據(jù)傳輸層首部信息制定規(guī)則，拒絕或轉(zhuǎn)發(fā)去往與特定服務(wù)相關(guān)的端口的數(shù)據(jù)包。根據(jù)IP首部的協(xié)議信息制定規(guī)則。配置包過濾規(guī)則配置的難點(diǎn)是要特別注意過濾規(guī)則進(jìn)入規(guī)則庫的順序，因?yàn)橐院髮Π倪^濾是根據(jù)規(guī)則庫中規(guī)則排列的先后順序進(jìn)行的。盡管管理員可以按照適當(dāng)?shù)膬?yōu)先級順序創(chuàng)建有效的過濾規(guī)則，但靜態(tài)包過濾器有一些固有的缺陷：靜態(tài)包過濾器僅根據(jù)IP分組首部和TCP包首部檢查數(shù)據(jù)，它并不知道真實(shí)地址和偽造地址間區(qū)別。靜態(tài)包過濾器只檢查數(shù)據(jù)包的源-目的地址和源-目的端口號，黑客可以將攻擊命令或數(shù)據(jù)隱藏在包中不被檢查的部分中。這種攻擊方法稱為秘密通道攻擊。靜態(tài)包過濾器不了解協(xié)議的運(yùn)行狀態(tài)(notstateaware)。靜態(tài)包過濾結(jié)構(gòu)的優(yōu)點(diǎn)：對網(wǎng)絡(luò)性能的影響低；成本低，目前許多操作系統(tǒng)都已具有這種功能。靜態(tài)包過濾結(jié)構(gòu)的缺點(diǎn)：由于工作在網(wǎng)絡(luò)層和傳輸層，所以僅檢查IP分組首部和TCP包首部，無法了解數(shù)據(jù)包的載荷；缺乏狀態(tài)感知能力；創(chuàng)建規(guī)則表有一定難度；只能提供低等級的安全防護(hù)。2動態(tài)包過濾動態(tài)包過濾器是由靜態(tài)包過濾器演化而來，它繼承了許多靜態(tài)包過濾器的局限性，但有一個重要的區(qū)別：狀態(tài)感知能力。典型的動態(tài)包過濾器工作在網(wǎng)絡(luò)層，有些先進(jìn)的動態(tài)包過濾器可以在運(yùn)輸層運(yùn)行。通常，接收或拒絕一個包是依據(jù)對包的IP首部和運(yùn)輸層首部的檢查，檢查的內(nèi)容有：源IP地址；目的IP地址；應(yīng)用或協(xié)議；源端口；目的端口。典型的動態(tài)包過濾器“知道”新連接和已建立連接之間的區(qū)別。一旦一個連接被建立，該連接便被記入表中(此表駐留內(nèi)存)，隨后到來的包都與內(nèi)存中的這張表進(jìn)行比較，如果包屬于一個現(xiàn)存的連接，就放行而不必進(jìn)行其他檢查。比較過程通常是由運(yùn)行在操作系統(tǒng)核心級的軟件來完成。動態(tài)包過濾器的性能要優(yōu)于靜態(tài)包過濾器。動態(tài)包過濾結(jié)構(gòu)的優(yōu)點(diǎn)：當(dāng)支持SMP時，對網(wǎng)絡(luò)性能的影響是所有結(jié)構(gòu)中最低的；成本低；具有狀態(tài)感知能力。動態(tài)包過濾結(jié)構(gòu)的缺點(diǎn)：由于工作在網(wǎng)絡(luò)層和傳輸層，所以僅檢查IP分組首部和TCP包首部，無法了解數(shù)據(jù)包的載荷；創(chuàng)建規(guī)則表有一定難度；只能提供低等級的安全防護(hù)；易受IP欺騙攻擊；如果不按照RFC建議的三次握手過程確定連接的建立，將引入附加的風(fēng)險。3電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)工作在會話層(OSI模型的第5層)，在許多方面，電路級網(wǎng)關(guān)是包過濾器的簡單擴(kuò)充。除了進(jìn)行基本的包過濾操作外，電路級網(wǎng)關(guān)在連接建立過程中要驗(yàn)證握手標(biāo)志和包序號的合法性。在開放一個通過防火墻的連接(或電路)之前，電路級網(wǎng)關(guān)檢查和驗(yàn)證TCP和UDP會話。因此，電路級網(wǎng)關(guān)進(jìn)行判斷時所依賴的數(shù)據(jù)比靜態(tài)或動態(tài)包過濾器要多。通常，接收或拒絕一個包是依據(jù)對包的IP首部和運(yùn)輸層首部的檢查，檢查的內(nèi)容有：源IP地址；目的IP地址；應(yīng)用或協(xié)議；源端口；目的端口；握手標(biāo)志和包序號與包過濾器類似，在轉(zhuǎn)發(fā)某個包之前，電路級網(wǎng)關(guān)將該包的IP首部和運(yùn)輸層首部與用戶預(yù)先定義的規(guī)則表進(jìn)行比較，表中的規(guī)則指示防火墻是否應(yīng)該讓包通過。然后，電路級網(wǎng)關(guān)將確定請求會話的合法性，僅當(dāng)TCP握手過程所包括的SYN標(biāo)志、ACK標(biāo)志和包序號是合法的，這個在可信客戶與不可信主機(jī)之間的會話才是合法的。電路級網(wǎng)關(guān)不允許端到端的TCP連接，因此，網(wǎng)關(guān)建立了兩個TCP連接，一個是防火墻本身到內(nèi)部可信任主機(jī)上某個TCP用戶的連接，另個是網(wǎng)關(guān)到外部不可信主機(jī)上某個TCP用戶的連接。一旦兩個連接都已建立，網(wǎng)關(guān)典型地從一個連接向另一個連接轉(zhuǎn)發(fā)TCP報文段，而不檢查其內(nèi)容。安全功能體現(xiàn)在決定哪些連接是允許建立的。電路級網(wǎng)關(guān)的優(yōu)點(diǎn)：對網(wǎng)絡(luò)性能的影響小到適中；不允許端到端的直接連接；比動態(tài)包過濾的安全性要高。電路級網(wǎng)關(guān)的缺點(diǎn)：允許任何數(shù)據(jù)不經(jīng)檢查地通過已建立的連接；所提供的安全防護(hù)能力仍然較低。4應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)也稱為代理服務(wù)器(proxyserver)，它擔(dān)任應(yīng)用級通信量的中繼。用戶使用TCP/IP應(yīng)用程序(如：Telnet或FTP)與網(wǎng)關(guān)通信，網(wǎng)關(guān)詢問用戶想要訪問的遠(yuǎn)程主機(jī)的名字。當(dāng)用戶回答并提供了一個合法的用戶ID和認(rèn)證信息后，網(wǎng)關(guān)聯(lián)系遠(yuǎn)程主機(jī)上的應(yīng)用程序，并在兩個端點(diǎn)之間轉(zhuǎn)送包含了應(yīng)用數(shù)據(jù)的TCP報文段。如果網(wǎng)關(guān)沒有為特定的應(yīng)用程序?qū)崿F(xiàn)代理代碼，服務(wù)就不被支持，就不能通過防火墻遞送。例如：一個運(yùn)行FTP和HTTP代理的應(yīng)用級網(wǎng)關(guān)，只允許由這兩個服務(wù)產(chǎn)生的數(shù)據(jù)包通過，其他服務(wù)則被禁止。應(yīng)用級網(wǎng)關(guān)的優(yōu)點(diǎn)：支持SMP的應(yīng)用級網(wǎng)關(guān)對網(wǎng)絡(luò)性能的影響適中；不允許端到端的直接連接；可以對整個數(shù)據(jù)包的所有內(nèi)容進(jìn)行檢查，是目前安全性最好的防火墻結(jié)構(gòu)。應(yīng)用級網(wǎng)關(guān)的缺點(diǎn)：實(shí)現(xiàn)不理想的應(yīng)用級網(wǎng)關(guān)對網(wǎng)絡(luò)性能的影響很大；使用的透明性會有些問題；有可能遭受緩沖區(qū)溢出攻擊；對新出現(xiàn)的應(yīng)用層協(xié)議必須添加新的代理。WEB應(yīng)用防火墻當(dāng)WEB應(yīng)用越來越為豐富的同時，WEB服務(wù)器以其強(qiáng)大的計算能力、處理性能及蘊(yùn)含的較高價值逐漸成為主要攻擊目標(biāo)。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件，頻繁發(fā)生。

企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線。但其天生的缺陷并不能滿足用戶的要求，由此產(chǎn)生了WAF（Web應(yīng)用防護(hù)系統(tǒng)）。Web應(yīng)用防護(hù)系統(tǒng)（WebApplicationFirewall,簡稱：WAF）代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢?；趯eb應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其安全性與合法性，對非法的請求予以實(shí)時阻斷，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。WEB應(yīng)用防火墻的功能

Web應(yīng)用防火墻的具有以下四大個方面的功能：審計設(shè)備：用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。訪問控制設(shè)備：用來控制對Web應(yīng)用的訪問，既包括主動安全模式也包括被動安全模式。架構(gòu)/網(wǎng)絡(luò)設(shè)計工具：當(dāng)運(yùn)行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。WEB應(yīng)用加固工具：這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性，它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn)，而且能夠保護(hù)WEB應(yīng)用編程錯誤導(dǎo)致的安全隱患。WEB應(yīng)用防火墻的特點(diǎn)1.異常檢測協(xié)議：Web應(yīng)用防火墻會對HTTP的請求進(jìn)行異常檢測，拒絕不符合HTTP標(biāo)準(zhǔn)的請求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。2.增強(qiáng)的輸入驗(yàn)證：增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。3.及時補(bǔ)丁：修補(bǔ)Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應(yīng)用帶來什么樣的危害。只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。雖然這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護(hù)措施都比沒有保護(hù)措施更好。WEB應(yīng)用防火墻的特點(diǎn)4.基于規(guī)則的保護(hù)和基于異常的保護(hù)：基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會維護(hù)這個規(guī)則庫，并時時為其更新。用戶可以按照這些規(guī)則對應(yīng)用進(jìn)行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。5.狀態(tài)管理：WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認(rèn)登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件（比如登陸失?。?，并且在達(dá)到極限值時進(jìn)行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。6.其他防護(hù)技術(shù)：WAF還有一些安全增強(qiáng)的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。主機(jī)與數(shù)據(jù)庫安全背景簡介隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及網(wǎng)絡(luò)應(yīng)用的普遍化，網(wǎng)絡(luò)安全已經(jīng)成為急待解決的一個重要問題，如何走好網(wǎng)絡(luò)安全之路，第一步就是對操作系統(tǒng)多下點(diǎn)功夫。操作系統(tǒng)作為用戶信息處理的軟件環(huán)境，如何保證應(yīng)用程序在一個安全可靠的環(huán)境下運(yùn)行使得系統(tǒng)安全變得重中之重。學(xué)習(xí)目標(biāo)通過這節(jié)的學(xué)習(xí)，我們可以了解主機(jī)系統(tǒng)存在的風(fēng)險以及相應(yīng)的危害了解針對風(fēng)險相應(yīng)的檢查和加固方法了解主機(jī)類安全的相關(guān)產(chǎn)品概述實(shí)踐證明，無論是那種系統(tǒng)，默認(rèn)安裝都是不安全的，實(shí)際不管你用Windows也好，Linux，Unix或其他系統(tǒng)，默認(rèn)安裝的都有很多漏洞，那怎么才能成為安全的系統(tǒng)呢？任何系統(tǒng)，盡管經(jīng)過細(xì)心的配置，堵住已知的漏洞，也只可以說這個系統(tǒng)是相對安全的，而并非很多朋友說的那樣，安裝了系統(tǒng)，配置了防火墻，安裝了殺毒軟件，那么就安全了。但如果對系統(tǒng)不作任何安全設(shè)置，那就等于向黑客敞開大門。本節(jié)會由淺入深地介紹主機(jī)系統(tǒng)普遍存在的風(fēng)險，并通過介紹檢查和加固方法，方便大家對知識點(diǎn)更好的吸收。最后會給大家列出一些常用的安全工具或安全設(shè)備。什么是操作系統(tǒng)安全操作系統(tǒng)安全是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，即只有經(jīng)過授權(quán)的用戶或進(jìn)程才能對信息資源進(jìn)行相應(yīng)的讀、寫、創(chuàng)建和刪除等操作，以保護(hù)合法用戶對授權(quán)資源的正常使用，防止非法入侵者對系統(tǒng)資源的侵占和破壞。保護(hù)主機(jī)安全有哪些策略日志監(jiān)視監(jiān)視開放的端口和連接監(jiān)視共享監(jiān)視進(jìn)程和系統(tǒng)信息日志監(jiān)視

在系統(tǒng)中啟用安全審核策略后，管理員應(yīng)經(jīng)常查看安全日志的記錄，否則就失去了及時補(bǔ)救和防御的時機(jī)。除了安全日志外，管理員還要注意檢查各種服務(wù)或應(yīng)用的日志文件。例如在Windows2003IIS6.0中，其日志功能默認(rèn)已經(jīng)啟動，并且日志文件存放的路徑默認(rèn)在System32/LogFiles目錄下，打開IIS日志文件，可以看到對Web服務(wù)器的HTTP請求，IIS6.0系統(tǒng)自帶的日志功能從某種程度上可以成為入侵檢測的得力助手。監(jiān)視開放的端口和連接對日志的監(jiān)視只能發(fā)現(xiàn)已經(jīng)發(fā)生的入侵事件，但是它對正在進(jìn)行的入侵和破壞行為是無能為力的。這時，就需要管理員來掌握一些基本的實(shí)時監(jiān)視技術(shù)。通常在系統(tǒng)被黑客或病毒入侵后，就會在系統(tǒng)中留下木馬類后門。同時它和外界的通信會建立一個Socket會話連接，可用“netstat”命令進(jìn)行會話狀態(tài)的檢查，可以查看已經(jīng)打開的端口和已經(jīng)建立的連接。當(dāng)然也可以采用一些專用的檢測程序?qū)Χ丝诤瓦B接進(jìn)行檢測。監(jiān)視共享通過共享來入侵一個系統(tǒng)不失為一種好的手段，最簡單的方法就是利用系統(tǒng)隱含的管理共享。因此，只要黑客能夠掃描到IP和用戶密碼，就可以使用netuse命令連接到共享上。另外，當(dāng)瀏覽到含有惡意腳本的網(wǎng)頁時，計算機(jī)的硬盤也可能被共享，因此，監(jiān)測本機(jī)的共享連接是非常重要的。監(jiān)視進(jìn)程和系統(tǒng)信息對于木馬和遠(yuǎn)程監(jiān)控程序，除了監(jiān)視開放的端口外，還應(yīng)通過任務(wù)管理器的進(jìn)程查看功能進(jìn)行進(jìn)程的查找。例如在安裝WindowsServer2003的支持工具（從產(chǎn)品光盤安裝）后，就可以獲得一個進(jìn)程查看工具ProcessViewer；通常，隱藏的進(jìn)程寄宿在其他進(jìn)程下，因此查看進(jìn)程的內(nèi)存映象也許能發(fā)現(xiàn)異常?，F(xiàn)在的木馬越來越難發(fā)現(xiàn)，常常它會把自己注冊成一個服務(wù)，從而避免了在進(jìn)程列表中現(xiàn)形。因此，還應(yīng)結(jié)合對系統(tǒng)中的其他信息的監(jiān)視，這樣就可對系統(tǒng)信息中的軟件環(huán)境下的各項(xiàng)進(jìn)行相應(yīng)的檢查。主機(jī)風(fēng)險本節(jié)主要介紹操作系統(tǒng)存在的普遍安全風(fēng)險和脆弱點(diǎn)。通常管理員因?yàn)閷ο到y(tǒng)配置的不當(dāng)，導(dǎo)致賬戶口令、服務(wù)、補(bǔ)丁成為系統(tǒng)的薄弱點(diǎn)。以下將逐一介紹這些風(fēng)險點(diǎn)以及風(fēng)險所帶來的威脅。主機(jī)風(fēng)險賬戶與口令安全主機(jī)系統(tǒng)中普遍存在大量的賬戶，有些賬戶是不必要的，有些是系統(tǒng)默認(rèn)自帶的。這些不必要的賬戶，如果沒有妥善的安全配置，將程序打開系統(tǒng)大門的一扇窗戶。當(dāng)我們講到口令的時候，很自然的就會想到admin。這個口令讓無數(shù)的主機(jī)和安全設(shè)備形同虛設(shè)。由此可見口令安全的重要性。

主機(jī)的賬戶中也普遍的存在弱口令和空口令的情況。接下來讓我們通過口令破解與口令竊聽這一手段來看下弱口令的威脅。

主機(jī)風(fēng)險賬戶與口令安全（續(xù)）有許多專用的軟件可以進(jìn)行口令的自動化猜測，還有一些免費(fèi)的工具，包括：Brutus，THCHydra，Medusa。Brutus是針對Windows的遠(yuǎn)程密碼破解工具，可以破解HTTP、FTP、POP3、Telnet、SMB等密碼。免費(fèi)、功能強(qiáng)大，使其迅速發(fā)展，在密碼破解軟件中一直給予極高的評價。支持多級驗(yàn)證引擎最大同時支持連接線程為60支持無用戶名、單用戶和多用戶破解模式密碼列表，可組合（用戶名和密碼）列表或自己配置字典暴破獨(dú)特的代理支持多種代理類型主機(jī)風(fēng)險賬戶與口令安全（續(xù)）THC-HYDRA是一個支持多種網(wǎng)絡(luò)服務(wù)的非?？焖俚木W(wǎng)絡(luò)登錄破解工具。它被設(shè)計的主要目的是為研究人員和安全從業(yè)人員展示遠(yuǎn)程獲取一個系統(tǒng)的認(rèn)證權(quán)限是多么容易。主機(jī)風(fēng)險賬戶與口令安全（續(xù)）Medusa支持在linux下運(yùn)行的口令破解工具。支持多種協(xié)議口令的破解。非常經(jīng)典的破解工具。以下是Medusa支持的破解模塊：主機(jī)風(fēng)險賬戶與口令安全（續(xù)）有許多專用的軟件可以進(jìn)行口令的自動化竊聽，包括：ettercap，cain。使用最多的就是cain了。它無縫集成了口令嗅探，所有的windows協(xié)議的破解功能?？诹钇平饪梢允潜┝ζ平?、字典攻擊和rainbow算法破解。主機(jī)風(fēng)險服務(wù)安全服務(wù)是一種應(yīng)用程序類型，它在后臺運(yùn)行。服務(wù)應(yīng)用程序通常可以在本地和通過網(wǎng)絡(luò)為用戶提供一些功能，例如客戶端/服務(wù)器應(yīng)用程序、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器以及其他基于服務(wù)器的應(yīng)用程序。

在這當(dāng)中，有些服務(wù)是不必要的，有些是存在大量漏洞的，有些則是惡意的后門程序。對于那些不必要的服務(wù)，我們可以選擇關(guān)閉這些服務(wù)；對于存在大量漏洞的服務(wù)，我們需要及時更新軟件、修補(bǔ)漏洞；接下來我們將介紹一個經(jīng)典的后門程序。主機(jī)風(fēng)險服務(wù)安全（續(xù)）

這里介紹一個autoruns的軟件，可以幫助我們看到已經(jīng)啟動的進(jìn)程和系統(tǒng)啟動時自動加載的程序，并且對這些程序有詳細(xì)的介紹。使用autoruns可以直接關(guān)閉、禁用服務(wù)，修改服務(wù)相對應(yīng)的注冊表以及目錄文件。

主機(jī)風(fēng)險服務(wù)安全之后門程序（續(xù)）

這里介紹一個遠(yuǎn)程控制的后門程序。Pcshare一款計算機(jī)遠(yuǎn)程控制軟件，采用HTTP反向通信，屏幕數(shù)據(jù)線傳輸，驅(qū)動隱藏端口通信過程等技術(shù)，達(dá)到系統(tǒng)級別的隱藏。類似灰鴿子，由于結(jié)合了最新的Rootkit技術(shù)，用一般的系統(tǒng)掃描軟件無法檢測到其木馬服務(wù)信息。

Pcshare支持遠(yuǎn)程桌面、遠(yuǎn)程終端、遠(yuǎn)程文件管理、遠(yuǎn)程音頻視頻控制、遠(yuǎn)程鼠標(biāo)鍵盤控制、鍵盤記錄、遠(yuǎn)程進(jìn)程管理、遠(yuǎn)程注冊表管理、遠(yuǎn)程服務(wù)管理，遠(yuǎn)程窗口管理等等強(qiáng)大功能，支持批量管理。主機(jī)風(fēng)險服務(wù)安全之后門程序（續(xù)）

主機(jī)風(fēng)險補(bǔ)丁主機(jī)系統(tǒng)常常存在需要打補(bǔ)丁的情況。沒有打補(bǔ)丁的主機(jī)往往非常容易就被入侵者入侵。因此需要常常檢查并安全補(bǔ)丁程序。補(bǔ)丁有分系統(tǒng)補(bǔ)丁和應(yīng)用程序的補(bǔ)丁。在安裝補(bǔ)丁的時候，也需要注意補(bǔ)丁程序的提供方。主機(jī)風(fēng)險補(bǔ)丁（續(xù)）

如果沒有及時打安全補(bǔ)丁，我們的系統(tǒng)將會變得非常不安全。例如微軟在其信息安全公告中，確認(rèn)了一項(xiàng)攻擊遠(yuǎn)程桌面協(xié)議的重大安全漏洞，預(yù)計黑客將于30天內(nèi)針對此項(xiàng)漏洞發(fā)動攻擊，事實(shí)上在微軟公布編號MS12-020漏洞的幾個小時內(nèi)，即被證實(shí)攻擊行為已經(jīng)存在。主機(jī)風(fēng)險補(bǔ)?。ɡm(xù)）

在我們下載更新補(bǔ)丁的時候，也需要注意補(bǔ)丁的更新源。防止有非法的組織通過提供假的更新源向我們的主機(jī)注入后門程序。

檢查和加固通過之前的學(xué)習(xí)，我們看到系統(tǒng)中存在風(fēng)險的這些問題需要我們在使用系統(tǒng)前進(jìn)行嚴(yán)格的安全配置，在使用中細(xì)心留意系統(tǒng)的運(yùn)行狀況并關(guān)注安全事件的動態(tài)，及時修復(fù)已知的漏洞，并定期的對系統(tǒng)做檢查和加固。下面我們將針對windows、linux和unix系統(tǒng)，介紹關(guān)于用戶、口令、進(jìn)程、服務(wù)、日志等方面的安全檢查和加固方法。檢查和加固Windows基本安全檢查和加固基于NT技術(shù)的Windows操作系統(tǒng)自身帶有強(qiáng)大的安全功能和選項(xiàng)，只要合理的配置它們，Windows操作系統(tǒng)將會是一個比較安全的操作系統(tǒng)。據(jù)說，有90％的惡意攻擊都是利用Windows操作系統(tǒng)安全配置不當(dāng)造成的。Windows檢查和加固1.檢查賬戶和口令策略檢查是否存在非法用戶：打開‘管理工具’—‘計算機(jī)管理’—‘本地用戶和組’—‘用戶’，或者在命令提示符中輸入‘netuser’，就可以看到當(dāng)前系統(tǒng)中存在的用戶。加固方法：刪除不需要的用戶。Windows檢查和加固1.檢查賬戶和口令策略通過命令提示符可以進(jìn)行系統(tǒng)賬號的添加和刪除：netuserxxx123456/addnetuserxxx/del將xxx用戶移入（移出）管理員組：netlocalgroupadministratorsxxx/addnetlocalgroupadministratorsxxx/delWindows檢查和加固1.檢查賬戶和口令策略（續(xù)）檢查主機(jī)賬戶策略：打開‘管理工具’—‘本地安全策略’—‘賬戶鎖定策略’，查看是否已經(jīng)設(shè)置了‘賬戶鎖定時間’和‘賬戶鎖定閾值’。加固方法：設(shè)置相關(guān)的策略，如‘賬戶鎖定時間’和‘賬戶鎖定閾值’。Windows檢查和加固1.檢查賬戶和口令策略（續(xù)）檢查主機(jī)口令策略：打開‘管理工具’—‘本地安全策略’—‘密碼策略’，查看是否已經(jīng)啟動了‘必須符合密碼復(fù)雜性要求’。加固方法：設(shè)置相關(guān)的策略，如密碼長度、密碼生存期、強(qiáng)制密碼歷史，開啟‘必須符合密碼復(fù)雜性要求’。Windows檢查和加固2.檢查正在運(yùn)行的非法服務(wù)和開放的端口檢查方法：要獲得當(dāng)前系統(tǒng)所有開放的端口列表，可以使用工具Fport。加固方法：刪除非法服務(wù)程序，配合防火墻屏蔽不需要的端口。Windows檢查和加固3.檢查日志檢查方法：打開‘管理工具’—‘事件查看器’，就可以看到各類日志。加固方法：調(diào)整系統(tǒng)日志的大小和覆蓋周期，以便發(fā)生安全事件后查看；定期備份日志數(shù)據(jù)，打開‘事件查看器’—‘操作’—‘另存日志文件’，把備份的日志文件放置在一個安全的地方。162Windows檢查和加固4.檢查服務(wù)器所應(yīng)用的補(bǔ)丁

檢查方法：使用MBSA，檢查操作系統(tǒng)和SQLServer更新。

加固方法：開啟系統(tǒng)自動更新。163Windows檢查和加固5.檢查默認(rèn)共享操作系統(tǒng)安裝后，系統(tǒng)會創(chuàng)建一些默認(rèn)的共享，如共享驅(qū)動器、共享文件和共享打印等，這意味著進(jìn)入網(wǎng)絡(luò)的用戶都可以共享和獲得這些資源。

檢查方法：在‘命令提示符’中輸入‘netshare’，看是否有默認(rèn)的共享。164Windows檢查和加固5.檢查默認(rèn)共享（續(xù)）加固方法：

在“運(yùn)行”中輸入“regedit”確定后，找到“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters”項(xiàng)，雙擊右側(cè)窗口中的“AutoShareServer”項(xiàng)將鍵值由1改為0，這樣就能關(guān)閉硬盤各分區(qū)的共享。如果沒有AutoShareServer項(xiàng)，可自己新建一個再改鍵值。在這一窗口下再找到“AutoShareWks”項(xiàng)，也把鍵值由1改為0，關(guān)閉admin$共享。在“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa”找到“restrictanonymous”

將鍵值設(shè)為1，關(guān)閉IPC$共享。Windows檢查和加固5.檢查默認(rèn)共享（續(xù)）加固方法：利用CMD系統(tǒng)命令關(guān)閉默認(rèn)共享的方法：

運(yùn)行

netshareadmin$/del

netsharec$/del

netshared$/delWindows檢查和加固6.檢查屏保密碼

檢查方法：在桌面上單擊右鍵，點(diǎn)開‘屬性’—‘屏幕保護(hù)程序’，檢查是否開啟‘在恢復(fù)時使用密碼保護(hù)’。Windows檢查和加固6.檢查屏保密碼（續(xù)）

加固方法：啟動‘在恢復(fù)時使用密碼保護(hù)’。