信息安全基礎(chǔ)培訓(xùn)

信息安全基礎(chǔ)培訓(xùn)

---安全普及知識提綱信息安全的嚴(yán)峻形勢信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項提綱信息安全的嚴(yán)峻形勢信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項美國近年來日益重視網(wǎng)絡(luò)安全奧巴馬公布的網(wǎng)絡(luò)安全報告認(rèn)為：美國主要建立在互聯(lián)網(wǎng)基礎(chǔ)上的數(shù)字基礎(chǔ)設(shè)施目前并不安全,現(xiàn)狀"不可接受“把確保網(wǎng)絡(luò)安全列為國家安全戰(zhàn)略最重要的組成部分之一安全事件回放空軍一號事件運營商泄密事件車險公積金安全事件回放數(shù)據(jù)泄露事件“大小姐”盜號木馬案

某運營商充值卡被盜運營商典型安全事件回放運營商典型安全事件回放某運營商門戶網(wǎng)站被黑運營商典型安全事件回放2007年重慶大雨水淹移動營業(yè)廳11預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進行進一步攻擊決策黑客入侵的一般過程攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進一步擴展權(quán)限進行實質(zhì)性操作目的：進行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：刪除日志修補明顯的漏洞植入后門木馬進一步滲透擴展目的：消除痕跡，長期維持一定的權(quán)限12常見黑客攻擊手段隱藏自身掃描探測社會工程預(yù)攻擊階段暴力猜解SQLinjection攻擊拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊網(wǎng)絡(luò)嗅探攻擊網(wǎng)絡(luò)欺騙攻擊特洛伊木馬消滅蹤跡攻擊階段后攻擊階段13以已經(jīng)取得控制權(quán)的主機為跳板攻擊其他主機隱藏自身常見黑客攻擊手段14相關(guān)命令獲取手工獲取banner漏洞掃描技術(shù)預(yù)攻擊探測常見黑客攻擊手段15SQLInjection木馬緩沖區(qū)溢出攻擊DDOS攻擊XSS（跨站攻擊）Cookie中毒常見攻擊簡介SQL注入什么是SQL注入程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。入侵者可以通過惡意SQL命令的執(zhí)行，獲得想得知的數(shù)據(jù)SQl注入過程本質(zhì)：入侵后臺服務(wù)器攻擊后果攻擊者擁有Web的最高權(quán)限，可以篡改頁面、數(shù)據(jù)，在網(wǎng)頁中添加惡意代碼攻擊者Internet缺少對輸入的合法性判斷構(gòu)建特殊數(shù)據(jù)庫查詢語句WEB服務(wù)器數(shù)據(jù)庫動態(tài)查詢數(shù)據(jù)庫返回數(shù)據(jù)庫信息獲得數(shù)據(jù)庫信息入侵和破壞篡改界面修改數(shù)據(jù)。。。后臺管理員利用SQL語句猜解管理員信息登陸管理員后臺17SQLInjection漏洞原理漏洞原理：在數(shù)據(jù)庫應(yīng)用的編程過程中，由于程序員沒有對用戶輸入數(shù)據(jù)進行規(guī)范檢查，導(dǎo)致攻擊者能夠通過構(gòu)造惡意輸入數(shù)據(jù)，操作數(shù)據(jù)庫執(zhí)行，甚至能直接攻擊操作系統(tǒng)SQLInjection（SQL注入），就是利用某些數(shù)據(jù)庫的外部應(yīng)用把特定的數(shù)據(jù)命令插入到實際的數(shù)據(jù)庫操作語言當(dāng)中，從而達到入侵?jǐn)?shù)據(jù)庫乃至操作系統(tǒng)的目的。18防范SQLInjection從根本上避免出現(xiàn)SQLInjection漏洞，必須提高WEB程序員的安全意識和安全編程技能來解決程序本身的漏洞；代碼中必須對所有用戶輸入進行嚴(yán)格的過濾，對單引號、雙引號以及“--”等符號、非指定的數(shù)據(jù)類型及數(shù)據(jù)長度進行過濾；合理設(shè)置數(shù)據(jù)庫應(yīng)用程序的權(quán)限；對數(shù)據(jù)庫系統(tǒng)進行必要的安全配置?？缯灸_本(XSS)攻擊什么是跨站腳本攻擊通過在網(wǎng)頁中加入惡意代碼，當(dāng)訪問者瀏覽網(wǎng)頁時惡意代碼會被執(zhí)行，從而獲得訪問者機密信息，如果訪問者是管理人員則可以控制整個網(wǎng)站攻擊危害竊取網(wǎng)頁訪問者保存在終端的各種帳號、網(wǎng)站管理員帳號，破壞網(wǎng)頁訪問者終端數(shù)據(jù)“跨站腳本攻擊是到目前為止最受關(guān)注的、威脅最高的攻擊手段”

攻擊者1、通過E-mail或HTTP將B的鏈接發(fā)給用戶2、用戶將嵌入的腳本當(dāng)作數(shù)據(jù)發(fā)送3、瀏覽器執(zhí)行腳本后，返回數(shù)據(jù)4、在用戶毫不之情的情況下，腳本將用戶的cookie和session信息發(fā)送出去5、攻擊者使用偷來的session信息偽裝成該用戶用戶BWeb服務(wù)器20木馬木馬由兩個程序組成，一個是客戶端，一個服務(wù)器端（被攻擊的機器上運行），通過在宿主機器上運行服務(wù)器端程序，在用戶毫無察覺的情況下，可以通過客戶端程序控制攻擊者機器、刪除其文件、監(jiān)控其操作等。21木馬攻擊安全背景趨勢控制我國計算機境外ip分布信息安全背景趨勢攻擊工具體系化

黑客網(wǎng)站

螃蟹集團社會工程學(xué)安全，難啊潛在性復(fù)雜性模糊性動態(tài)性提綱信息安全的嚴(yán)峻形勢信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項什么是信息？ISO27001中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對組織具有價值需要適當(dāng)?shù)谋Ｗo以各種形式存在：紙、電子、交談等信息安全的特征（CIA）ISO27001中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個特征：機密性：確保只有被授權(quán)的人才可以訪問信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。什么是信息安全歐共體對信息安全的定義：

網(wǎng)絡(luò)與信息安全可被理解為在既定的密級條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危及所存儲或傳輸達到數(shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實性、完整性和保密性。我國安全保護條例的安全定義：計算機信息系統(tǒng)的安全保護，應(yīng)當(dāng)保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行?！粜畔踩亩x第一階段：通信保密上世紀(jì)40年代－70年代重點是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的保密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護措施是加密第二階段：計算機安全上世紀(jì)70－80年代重點是確保計算機系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸?shù)男畔⒌臋C密性、完整性和可控性主要安全威脅擴展到非法訪問、惡意代碼、脆弱口令等主要保護措施是安全操作系統(tǒng)設(shè)計技術(shù)（TCB）第三階段：信息系統(tǒng)安全上世紀(jì)90年代以來重點需要保護信息，確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，強調(diào)信息的保密性、完整性、可控性、可用性。主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等第四階段：信息安全保障人，借助技術(shù)的支持，實施一系列的操作過程，最終實現(xiàn)信息保障目標(biāo)。進不來拿不走改不了跑不了看不懂可審查信息安全的目的信息安全的相對性安全沒有100%完美的健康狀態(tài)永遠(yuǎn)也不能達到；安全工作的目標(biāo)：將風(fēng)險降到最低提綱信息安全的嚴(yán)峻形勢信息安全概述如何提升我們的信息安全水平合規(guī)性要求日常工作中我們需要注意的事項如何提升我們的信息安全水平技術(shù)方面管理方面小問題：你們公司的Knowledge都在哪里？信息在哪里？結(jié)構(gòu)性安全脆弱性永遠(yuǎn)存在，突破任何防御只是時間問題注重結(jié)構(gòu)安全的動態(tài)信息安全模型，P.D.RPt>Dt+Rt（防護的時間>檢測的時間＋響應(yīng)的時間）一個結(jié)構(gòu)性安全的例子：銀行金庫的防護靜態(tài)脆弱性安全相對被動，而動態(tài)的結(jié)構(gòu)性安全防患未然Pt時間DtRt緩沖的觀點基于時間的安全，其時間難于計算看兩個實際的安全保障的例子2008年奧運網(wǎng)絡(luò)安全保障2009年2月胡錦濤主席在線回答網(wǎng)民問題緩沖包括冗余、重復(fù)、縱深、延緩…預(yù)警、抑制、丟車保帥、局部和整體…響應(yīng)、恢復(fù)、反擊……緩沖思想的基本立足點就是原理上攻擊是可以成功的，在實際中是可以解決的信息安全技術(shù)防病毒和惡意代碼技術(shù)防火墻技術(shù)與VPN技術(shù)防非法訪問行為技術(shù)密碼技術(shù)和PKI技術(shù)安全域間的訪問控制入侵檢測技術(shù)漏洞掃描技術(shù)安全審計跟蹤技術(shù)防火墻技術(shù)具有阻斷功能的所有技術(shù)災(zāi)難備份恢復(fù)技術(shù)反擊技術(shù)一種解決方案VPN

虛擬專用網(wǎng)防火墻內(nèi)容檢測安全評估防病毒安全審計入侵探測防火墻技術(shù)定義

一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。防火墻的作用：1、過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包2、封堵某些禁止的訪問行為3、記錄通過防火墻的信息內(nèi)容和活動4、對網(wǎng)絡(luò)攻擊進行檢測和告警◆防火墻技術(shù)防火墻的體系結(jié)構(gòu)主流防火墻技術(shù)：簡單包過濾技術(shù)狀態(tài)檢測包過濾技術(shù)應(yīng)用網(wǎng)關(guān)技術(shù)目前市場上主流產(chǎn)品的形態(tài)：集成了狀態(tài)檢測包過濾和應(yīng)用代理的混合型產(chǎn)品入侵檢測技術(shù)入侵是對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作,威脅計算機或網(wǎng)絡(luò)的安全機制（包括機密性、完整性、可用性）的行為。入侵可能是來自互聯(lián)網(wǎng)的攻擊者對系統(tǒng)的非法訪問，也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進行非法訪問。入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。◆入侵檢測系統(tǒng)（IDS）為什么需要IDS防范透過防火墻的入侵利用應(yīng)用系統(tǒng)漏洞實施的入侵利用防火墻配置失誤實施的入侵防范來自內(nèi)部網(wǎng)的入侵內(nèi)部網(wǎng)的攻擊占總的攻擊事件的70%沒有監(jiān)測的內(nèi)部網(wǎng)是內(nèi)部人員的“自由王國”對網(wǎng)絡(luò)行為的審計，防范無法自動識別的惡意破壞入侵很容易入侵教程隨處可見各種工具唾手可得安全漏洞日益暴露入侵檢測系統(tǒng)的架構(gòu)基于網(wǎng)絡(luò)的NIDS基于主機的HIDS管理中心客戶端代理客戶端代理和管理中心之間的通信加密IDS規(guī)則網(wǎng)絡(luò)異常檢測網(wǎng)絡(luò)誤用檢測

規(guī)則的一些元素可以制定一個需要保護的主機范圍需要做日志紀(jì)錄的和禁止的主機實施策略的時間段事件描述對于事件的響應(yīng)入侵檢測技術(shù)的關(guān)鍵指標(biāo)誤報漏報監(jiān)控室=控制中心CardKey入侵檢測系統(tǒng)的作用監(jiān)控前門和保安監(jiān)控屋內(nèi)人員監(jiān)控后門監(jiān)控樓外入侵檢測技術(shù)IDS的作用

*監(jiān)控網(wǎng)絡(luò)和系統(tǒng)*發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象*實時報警*主動響應(yīng)*審計跟蹤防病毒系統(tǒng)是用來實時檢測病毒、蠕蟲及后門的程序，通過不斷更新病毒庫來清除上述具有危害性的惡意代碼。網(wǎng)絡(luò)防病毒具有---全方位、多層次防病毒---統(tǒng)一安裝，集中管理---自動更新病毒定義庫的特點◆防病毒技術(shù)防病毒技術(shù)身份認(rèn)證技術(shù)是對進入系統(tǒng)或網(wǎng)絡(luò)的用戶身份進行驗證，防止非法用戶進入。身份認(rèn)證技術(shù)的實現(xiàn)有----智能卡----基于對稱密鑰體制的Keberos身份認(rèn)證協(xié)議----基于非對稱密鑰體制證書機制◆身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)漏洞掃描技術(shù)

漏洞掃描是對網(wǎng)絡(luò)和主機的安全性進行風(fēng)險分析和評估的軟件，是一種能自動檢測遠(yuǎn)程或本地主機系統(tǒng)在安全性方面弱點和隱患的程序包?！袈┒磼呙杓夹g(shù)◆加密技術(shù)加密技術(shù)加密技術(shù)是為保證數(shù)據(jù)的保密性和完整性通過特定算法完成的明文與密文的轉(zhuǎn)換。◆簽名技術(shù)簽名技術(shù)數(shù)字簽名技術(shù)為確保數(shù)據(jù)不被篡改而做的簽名，不能保證數(shù)據(jù)的保密性。VPN-虛擬專用網(wǎng)絡(luò)信息傳輸加密身份驗證專有性受控的可信安全域（訪問控制）安全的遠(yuǎn)程接入不同的VPN技術(shù)SSLVPN應(yīng)用、認(rèn)證、訪問、加密層次MPLSVPN網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)專線，保證帶寬和服務(wù)質(zhì)量IPSecVPN基于Internet遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN的典型應(yīng)用VPN即虛擬專用網(wǎng)，利用因特網(wǎng)實現(xiàn)數(shù)據(jù)在傳輸過程中的保密性和完整性而雙方建立的安全通道。單位資產(chǎn)，員工私產(chǎn)——資產(chǎn)管理失控：

網(wǎng)絡(luò)中終端用戶隨意增減調(diào)換，每個終端硬件配備（CPU、硬盤、內(nèi)存等）肆意組裝拆卸、操作系統(tǒng)隨意更換、各類應(yīng)用軟件胡亂安裝卸載，各種外設(shè)（軟驅(qū)、光驅(qū)、U盤、打印機、Modem等）無節(jié)制使用；網(wǎng)絡(luò)無限，自由無限——網(wǎng)絡(luò)資源濫用：

IP地址濫用，流量濫用，甚至工作時間聊天、游戲、賭博、瘋狂下載、登陸色情反動網(wǎng)站等行為影響工作效率，影響網(wǎng)絡(luò)正常使用；門戶大開，長驅(qū)直入——外部非法接入：

移動設(shè)備（筆記本電腦等）和新增設(shè)備未經(jīng)過安全檢查和處理違規(guī)接入或者入侵內(nèi)部網(wǎng)絡(luò)，帶來病毒傳播、黑客入侵等不安全因素；外賊好治，家賊難防——內(nèi)部非法外聯(lián)：

內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等，或違反規(guī)定將專網(wǎng)專用計算機帶出網(wǎng)絡(luò)進入到其他網(wǎng)絡(luò)；蠕蟲泛濫，業(yè)務(wù)癱瘓——病毒蠕蟲入侵：

由于補丁不及時、網(wǎng)絡(luò)濫用、非法接入等因素導(dǎo)致網(wǎng)絡(luò)內(nèi)病毒蠕蟲泛濫、網(wǎng)絡(luò)阻塞、數(shù)據(jù)損壞丟失，而且無法找到災(zāi)難的源頭以迅速采取隔離等處理措施，從而為正常業(yè)務(wù)帶來災(zāi)難性的持續(xù)的影響；脆弱防線，外強中干——終端安全隱患：

每個終端漏洞密布、口令簡陋且經(jīng)年不改，管理員無法時刻檢查、提醒、或強制解決，為蠕蟲、泄密等災(zāi)難埋下了各種隱患；網(wǎng)絡(luò)無界，一損俱損——重要信息泄密：

因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡(luò)濫用、外設(shè)濫用等各種原因與管理不善導(dǎo)致組織內(nèi)部重要信息泄露或毀滅，造成不可彌補的重大損失；千里之堤，毀于蟻穴——補丁管理混亂：

終端用戶不了解系統(tǒng)補丁狀態(tài)，不及時打補丁，也沒有辦法統(tǒng)一進行補丁的下載、分析、測試和分發(fā)，從而為蠕蟲與黑客入侵保留了通道；內(nèi)網(wǎng)安全管理解決的八個問題90%以上的問題來自終端安全=最少服務(wù)最小權(quán)限公理：所有的程序都有缺陷（摩菲定理）大程序定律：大程序的缺陷甚至比它包含的內(nèi)容還多推理：一個安全相關(guān)程序有安全性缺陷定理：只要不運行這個程序，那么這個程序有缺陷，也無關(guān)緊要推理：只要不運行這個程序，那么這個程序有安全性漏洞，也無關(guān)緊要定理：對外暴露的計算機，應(yīng)盡可能少地運行程序，且運行的程序也盡可能地小新技術(shù)統(tǒng)一威脅管理（UTM）入侵防御系統(tǒng)（IPS）內(nèi)網(wǎng)管理系統(tǒng)防垃圾郵件系統(tǒng)。。。三分技術(shù)，七分管理

信息安全問題，不僅僅是技術(shù)問題，更重要的是內(nèi)部自己人安全意識薄弱的問題。

要推廣信息安全,要全員參與,增強安全意識是理所當(dāng)然的.信息安全管理內(nèi)容1.風(fēng)險評估2.安全策略3.物理安全4.設(shè)備管理運行管理軟件安全管理7.信息安全管理8.人員安全管理9.應(yīng)用系統(tǒng)安全管理10.操作安全管理11.技術(shù)文檔安全管理12.災(zāi)難恢復(fù)計劃13.安全應(yīng)急響應(yīng)信息安全管理的制度IP地址管理制度防火墻管理制度病毒和惡意代碼防護制度服務(wù)器上線及日常管理制度口令管理制度開發(fā)安全管理制度應(yīng)急響應(yīng)制度制度運行監(jiān)督

。。。。。。

全員參與√信息安全不僅僅是IT部門的事；√讓每個員工明白隨時都有信息安全問題；√每個員工都應(yīng)具備相應(yīng)的安全意識和能力；√讓每個員工都明確自己承擔(dān)的信息安全責(zé)任；信息安全管理原則

文件化√文件的作用：有章可循，有據(jù)可查√文件的類型：手冊、規(guī)范、指南、記錄信息安全管理原則

溝通意圖，統(tǒng)一行動重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查持續(xù)改進√信息安全是動態(tài)的，時間性強√持續(xù)改進才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進的方法和手段

√實現(xiàn)信息安全