網(wǎng)絡(luò)與信息安全基本概念介紹.ppt

1、.,網(wǎng)絡(luò)與信息安全概述,目錄,安全基本概念 安全事件分類分級(jí) 安全事件監(jiān)控和處理流程 安全監(jiān)控工作思路 信息安全基礎(chǔ)知識(shí) 安全事件案例,“網(wǎng)絡(luò)與信息安全”動(dòng)態(tài)發(fā)展的概念,1991,1989,X.800,ISO 7498-2,“安全” 是指將資產(chǎn)或資源的脆弱性降到最低限度。,ISO 15408,1999,當(dāng)對(duì)信息進(jìn)行正確的控制以確保它能防止冒險(xiǎn),諸如不必要的或無(wú)保證的傳播、更改或遺失,IT產(chǎn)品和系統(tǒng)應(yīng)執(zhí)行它們的功能. “IT安全”用于概括防御和緩解這些及類似的冒險(xiǎn)。,2000,ISO 17799:2000,2005,ISO 17799:2005,信息安全是要在很大的范圍內(nèi)保護(hù)信息免受各種威脅，從

2、而確保業(yè)務(wù)的連續(xù)性、減少業(yè)務(wù)損失并且使投資和商務(wù)機(jī)會(huì)獲得最大的回報(bào)。特指保護(hù)保密性、完整性和可用性。,信息安全保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性.,ISO TR 13335-2:1997,1997,2004,ISO 13335-1:2004,定義獲取和維護(hù)保密性、完整性、可用性、可核查性、真實(shí)性和可靠性。,安全的相關(guān)屬性,安全的相關(guān)屬性,通俗地說(shuō),安全就是,進(jìn)不來(lái),拿不走,改不了,跑不了,看不懂,面向人的威脅,網(wǎng)絡(luò)與信息安全的重要性,網(wǎng)絡(luò)與信息安全是國(guó)家安全的需要 威脅國(guó)家安全 直接經(jīng)濟(jì)損失 網(wǎng)絡(luò)與信息安全是組織持續(xù)發(fā)展的需要 名譽(yù)、信

3、譽(yù)受損 正常工作中斷或受到干擾 效率下降 網(wǎng)絡(luò)與信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要 威脅信息私秘性 直接影響對(duì)信息交互的信任度,網(wǎng)絡(luò)與信息安全的基本特征,沒(méi)有絕對(duì)安全的系統(tǒng),新的漏洞與攻擊方法不斷被發(fā)現(xiàn),日常管理中的不同配置會(huì)引入新的問(wèn)題,新的系統(tǒng)組件會(huì)引入新的問(wèn)題(安全評(píng)測(cè)只能證明特定環(huán)境與特定配置下的安全),攻擊發(fā)起的時(shí)間、攻擊者、攻擊目標(biāo)和攻擊發(fā)起的地點(diǎn)都具有不確定性,信息安全是一項(xiàng)系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及到安全管理、教育、培訓(xùn)、立法、國(guó)際合作與互不侵犯協(xié)定、應(yīng)急恢復(fù)等,相對(duì)性,實(shí)效性,相關(guān)性,不確定性,復(fù)雜性,網(wǎng)絡(luò)與信息安全的目標(biāo),“Information securi

4、ty protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”,國(guó)際標(biāo)準(zhǔn)化組織ISO發(fā)布的信息安全管理標(biāo)準(zhǔn) ISO/IEC 17799:2005 Code of practice for information security management （信息安全管理實(shí)用規(guī)則） 中做了如下定義：,網(wǎng)絡(luò)

5、與信息安全的思考,威脅永遠(yuǎn)不會(huì)消失！,漏洞/脆弱性客觀存在！,客觀上無(wú)法避免的因素 技術(shù)發(fā)展的局限，系統(tǒng)在設(shè)計(jì)之初不能認(rèn)識(shí)到所有問(wèn)題，如Tcp/ip協(xié)議 人類的能力有限，失誤和考慮不周在所難免，如在編碼會(huì)引入Bug 主觀上沒(méi)有避免的因素 采用了默認(rèn)配置而未定制和安全優(yōu)化 新的漏洞補(bǔ)丁跟蹤、使用不及時(shí) 組織、管理和技術(shù)體系不完善 技術(shù)發(fā)展和環(huán)境變化的動(dòng)態(tài)性,國(guó)家間的競(jìng)爭(zhēng)與敵對(duì)勢(shì)力永遠(yuǎn)不會(huì)消失 企業(yè)間諜、攻擊者、欺詐與偷竊 內(nèi)部系統(tǒng)的誤用、濫用問(wèn)題長(zhǎng)期存在 新的威脅不斷出現(xiàn)使原有防護(hù)措施失效或新的威脅產(chǎn)生 ,隨著信息化建設(shè)，信息資產(chǎn)的價(jià)值在迅速增長(zhǎng) 資產(chǎn)的無(wú)形價(jià)值，如商業(yè)情報(bào)、聲譽(yù)、品牌等等已遠(yuǎn)遠(yuǎn)

6、超過(guò)了購(gòu)買(mǎi)價(jià)格 ,資產(chǎn)價(jià)值多樣化增長(zhǎng)！,目錄,安全基本概念 安全工作范疇 安全事件分類分級(jí) 安全事件監(jiān)控和處理流程 安全事件案例 安全監(jiān)控工作思路,惡意軟件類：指蓄意制造、傳播惡意軟件，或是因受到惡意軟件的影響而導(dǎo)致的告警事件。包括計(jì)算機(jī)病毒、木馬和蠕蟲(chóng)等。 網(wǎng)絡(luò)攻擊類：包括拒絕服務(wù)攻擊，是指利用信息系統(tǒng)缺陷、或通過(guò)暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤(pán)空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件，漏洞攻擊等子類。 信息破壞類 ：是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的安全告警 ，包括網(wǎng)頁(yè)篡改，釣魚(yú)網(wǎng)站等子類。 信

7、息內(nèi)容安全類：是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容而導(dǎo)致的安全告警，包括垃圾郵件等子類。 安全設(shè)備故障類：是指由于安全設(shè)備自身故障或外圍保障設(shè)施故障而導(dǎo)致的安全告警，包括硬件告警和軟件告警子類，也可以歸入通信網(wǎng)元類告警事件。,安全事件告警分類,安全告警的級(jí)別可參考下列三個(gè)要素：系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響指蓄意,安全事件告警級(jí)別定義,安全告警的分級(jí)需要考慮的因素包括：安全告警的原始告警級(jí)別、資產(chǎn)的重要等級(jí)以及實(shí)際安全告警本身相關(guān)的信息要素如（告警源和目的IP、事件發(fā)生的頻率、事件的實(shí)際影響程度等等）。 實(shí)際安全告警級(jí)別設(shè)定，需要在此基礎(chǔ)上，結(jié)合實(shí)際的網(wǎng)絡(luò)情況和

8、告警信息相關(guān)要素綜合考慮，對(duì)安全事件重要等級(jí)進(jìn)行相應(yīng)調(diào)整。 具體級(jí)別調(diào)整可以根據(jù)（但不局限）下列幾個(gè)條件進(jìn)行： 安全告警發(fā)生的頻度 告警事件本身的影響和破壞程度 時(shí)間敏感型的安全事件 ,安全事件告警級(jí)別調(diào)整,目錄,安全基本概念 安全事件分類分級(jí) 安全事件監(jiān)控和處理流程 安全事件案例 安全監(jiān)控工作思路 信息安全基礎(chǔ)知識(shí),安全事件監(jiān)控：負(fù)責(zé)本省通信網(wǎng)、業(yè)務(wù)系統(tǒng)和網(wǎng)管系統(tǒng)的安全告警監(jiān)控，及時(shí)發(fā)現(xiàn)安全事件并上報(bào)，并派單和督促解決。 安全投訴受理：負(fù)責(zé)本省范圍的安全投訴的受理，及時(shí)受理并派單和督促解決，及時(shí)反饋處理省內(nèi)處理結(jié)果。,安全監(jiān)控工作,安全事件應(yīng)急響應(yīng)是指針對(duì)已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控

9、、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)安全屬性的活動(dòng) 。 一般包括6個(gè)階段（PDCERF）：準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn)。,安全事件應(yīng)急響應(yīng)流程（1）,準(zhǔn)備階段：即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備，如應(yīng)急預(yù)案的準(zhǔn)備和監(jiān)控人員和手段的準(zhǔn)備。 檢測(cè)階段：檢測(cè)是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)/網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異常活動(dòng)/現(xiàn)象。如果可能的話同時(shí)確定它的影響范圍和問(wèn)題原因。在操作的角度來(lái)講，事件響應(yīng)過(guò)程中所有的后續(xù)階段都依賴于檢測(cè)，如果沒(méi)有檢測(cè)，就不會(huì)存在真正意義上的事件響應(yīng)。檢測(cè)階段是事件響應(yīng)的觸發(fā)條件。 抑制階段：抑制階段是事件響應(yīng)的第三個(gè)階段，它的目的是限制攻擊/破壞所波及的

10、范圍，如對(duì)蠕蟲(chóng)病毒傳播端口的封堵。 根除階段：即在準(zhǔn)確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果，如病毒的根除。 恢復(fù)階段：將事件的根源根除后，將進(jìn)入恢復(fù)階段?；謴?fù)階段的目標(biāo)是把所有被攻破的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)。 跟進(jìn)階段：最后一個(gè)階段是跟進(jìn)階段，其目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。跟進(jìn)階段也是6個(gè)階段中最可能被忽略的階段。但這一步也是非常關(guān)鍵的，如總結(jié)如何防范事件的發(fā)生等。,安全事件應(yīng)急響應(yīng)流程（2）,安全事件監(jiān)控的流程舉例如下，應(yīng)通過(guò)電子工單流轉(zhuǎn)并形成閉環(huán) 。,安全事件監(jiān)控

11、流程,目錄,安全基本概念 安全事件分類分級(jí) 安全事件監(jiān)控和處理流程 安全監(jiān)控工作思路 信息安全基礎(chǔ)知識(shí) 安全事件案例,2007年，總部組織全網(wǎng)開(kāi)展了以“風(fēng)險(xiǎn)管理”為核心的安全監(jiān)控。 按照網(wǎng)絡(luò)與信息安全“風(fēng)險(xiǎn)管理”的本質(zhì)，對(duì)風(fēng)險(xiǎn)進(jìn)行有效的控制，要著眼損失和影響，首要保護(hù)高價(jià)值的資產(chǎn)，關(guān)注危害較高的威脅。 圍繞“重要資產(chǎn)，重要告警，重點(diǎn)監(jiān)控”的工作目標(biāo)，以安全告警和資產(chǎn)的關(guān)聯(lián)為重點(diǎn)開(kāi)展工作。 整理資產(chǎn)基礎(chǔ)信息，列出資產(chǎn)的重要程度，包括IP地址等信息。制定資產(chǎn)信息收集和更新的流程。 制定告警預(yù)處理手冊(cè)、安全事件處理及上報(bào)流程、安全監(jiān)控作業(yè)計(jì)劃，優(yōu)化安全系統(tǒng)的告警配置。將安全告警分類分級(jí)，手冊(cè)標(biāo)準(zhǔn)化。

12、 將告警信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)對(duì)重要系統(tǒng)，重要告警的重點(diǎn)監(jiān)控。 實(shí)現(xiàn)了具備安全監(jiān)控手段的一干和省網(wǎng)重要系統(tǒng)58小時(shí)的重點(diǎn)安全監(jiān)控，有效提升了全網(wǎng)安全監(jiān)控能力。,安全監(jiān)控工作思路（1）,目前，多數(shù)省還存在以下問(wèn)題： 大多數(shù)省份由維護(hù)人員分別對(duì)自己負(fù)責(zé)維護(hù)的網(wǎng)絡(luò)和系統(tǒng)的進(jìn)行安全監(jiān)控，或者由1名安全專業(yè)技術(shù)人員負(fù)責(zé)監(jiān)控，未實(shí)現(xiàn)由網(wǎng)管中心監(jiān)控室實(shí)施集中安全監(jiān)控。 上述方式下，各省做到了58小時(shí)的安全監(jiān)控，但大多數(shù)難以開(kāi)展724小時(shí)的安全監(jiān)控； 各類安全監(jiān)控手段較為分散，未實(shí)現(xiàn)安全監(jiān)控手段的集中化。 2008年為奧運(yùn)之年，網(wǎng)絡(luò)工作會(huì)上，公司領(lǐng)導(dǎo)對(duì)奧運(yùn)期間安全監(jiān)控工作的要求為： “網(wǎng)絡(luò)安全的攻防人員

13、要建立起來(lái)，特別是奧運(yùn)期間有24小時(shí)值班，要保證我們的網(wǎng)絡(luò)處在可以管理、可以監(jiān)控的情況下?！?按照上述要求，2008年在全網(wǎng)推行集中化的724小時(shí)安全監(jiān)控的工作勢(shì)在必行。,安全監(jiān)控工作思路（2）,總部正組織各省開(kāi)展集中化的724小時(shí)網(wǎng)絡(luò)與信息安全監(jiān)控工作。 對(duì)具備基礎(chǔ)安全監(jiān)控手段的一干和省網(wǎng)重要系統(tǒng)實(shí)現(xiàn)集中化的724小時(shí)安全監(jiān)控，重要系統(tǒng)中實(shí)現(xiàn)集中化安全監(jiān)控的比例要達(dá)到80%，保證網(wǎng)絡(luò)在可管、可控的情況下安全運(yùn)營(yíng)。 奧運(yùn)期間加強(qiáng)安全監(jiān)控，重點(diǎn)監(jiān)控奧運(yùn)產(chǎn)品和奧運(yùn)專項(xiàng)網(wǎng)絡(luò)保障所涉及的網(wǎng)絡(luò)和系統(tǒng)發(fā)生的重要事件，及時(shí)處理安全問(wèn)題。 制定標(biāo)準(zhǔn)化的集中化安全監(jiān)控工作流程，操作手冊(cè)，針對(duì)奧運(yùn)保障完善預(yù)處理手

14、冊(cè)，制定7*24小時(shí)安全監(jiān)控作業(yè)計(jì)劃，安全告警派單的模板。 對(duì)于不具備集中化安全監(jiān)控手段的省公司，應(yīng)采用將各類基礎(chǔ)安全監(jiān)控手段的操作終端集中、分別查看各終端安全事件的過(guò)度方式，開(kāi)展集中化安全監(jiān)控；省公司應(yīng)通過(guò)集中化安全監(jiān)控手段開(kāi)展集中安全監(jiān)控，實(shí)現(xiàn)高效的一站式安全監(jiān)控。 各省公司也要組織必要的培訓(xùn)，確保安全監(jiān)控崗位人員具備安全監(jiān)控技能，熟悉掌握監(jiān)控工作手冊(cè)，并可熟練執(zhí)行安全監(jiān)控作業(yè)。,安全監(jiān)控工作思路（3）,目錄,安全基本概念 安全事件分類分級(jí) 安全事件監(jiān)控和處理流程 安全監(jiān)控工作思路 信息安全基礎(chǔ)知識(shí) 安全事件案例,防火墻,防火墻是在不同安全區(qū)域之間進(jìn)行訪問(wèn)控制的一種措施。,什么是防火墻,防

15、火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。,防火墻工作原理,對(duì)IP地址和某些端口進(jìn)行過(guò)濾,防火墻不是萬(wàn)能的,防火墻僅僅是網(wǎng)絡(luò)安全體系的一個(gè)組件 防火墻通常是抵御攻擊的第一道防線，經(jīng)常被有經(jīng)驗(yàn)的入侵者繞過(guò) 防火墻中的“開(kāi)

16、放”策略通常被利用 防火墻不能安全過(guò)濾應(yīng)用層的非法攻擊，如unicode攻擊； 防火墻對(duì)不通過(guò)它的連接無(wú)能為力，如內(nèi)網(wǎng)攻擊等； 防火墻采用靜態(tài)安全策略技術(shù)，因此自身無(wú)法動(dòng)態(tài)防御新的非法攻擊。,入侵檢測(cè)系統(tǒng),入侵檢測(cè)（Intrusion Detection），顧名思義，是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。 （Intrusion Detection System,簡(jiǎn)稱IDS）。 假如說(shuō)防火墻是一幢大樓的門(mén)鎖，那入侵監(jiān)測(cè)系統(tǒng)就是這幢大樓里的監(jiān)視系

17、統(tǒng)。,IDS工作流程示意,數(shù)據(jù)采集,數(shù)據(jù)過(guò)濾,事件報(bào)警/響應(yīng),攻擊檢測(cè)/分析,主機(jī),網(wǎng)絡(luò),數(shù)據(jù)采集：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）或者主機(jī)入侵檢測(cè)系統(tǒng)(HIDS)利用處于混雜模式的網(wǎng)卡來(lái)獲得通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)，采集必要的數(shù)據(jù)用于入侵分析。 數(shù)據(jù)過(guò)濾：根據(jù)預(yù)定義的設(shè)置，進(jìn)行必要的數(shù)據(jù)過(guò)濾，從而提高檢測(cè)、分析的效率。 攻擊檢測(cè)/分析：根據(jù)定義的安全策略，來(lái)實(shí)時(shí)監(jiān)測(cè)并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)，使用采集的網(wǎng)絡(luò)包作為數(shù)據(jù)源進(jìn)行攻擊辨別，通常使用模式、表達(dá)式或字節(jié)匹配、頻率或穿越閥值、事件的相關(guān)性和統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)這四種技術(shù)來(lái)識(shí)別攻擊。 事件報(bào)警/響應(yīng)：當(dāng)IDS一旦檢測(cè)到了攻擊行為，IDS的響應(yīng)模

18、塊就提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反應(yīng)，通常都包括通知管理員、記錄在數(shù)據(jù)庫(kù)。,IDS部署,傳感器可以被放置在業(yè) 網(wǎng)絡(luò)中的任何可能存安 全隱患的網(wǎng)段。 在這些網(wǎng)段中，根據(jù)絡(luò) 流量和監(jiān)控?cái)?shù)據(jù)的需來(lái) 決定部署不同型號(hào)的傳 感器。,防火墻與IDS協(xié)同工作,00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,0000000000000000000000

19、00000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,00000000000000000000000000000000000000000000000 000000000000000

20、00000000000000000000000000000000000000000000000000000000000000000000000000000000000,Firewall 提供訪問(wèn)控制,Deny Traffic,Allow Traffic,Deny Some Attacks,惡意代碼,隨著互聯(lián)網(wǎng)的發(fā)展，我們的企業(yè)和個(gè)人用戶在享受網(wǎng)絡(luò)帶來(lái)的快捷和商機(jī)的同時(shí)，也面臨無(wú)時(shí)不在的威脅： 病毒 PE 蠕蟲(chóng) WORM 木馬 TROJ 后門(mén) BKDR 間諜軟件 SPY 其他 以上統(tǒng)稱為惡意代碼。,病毒的傳播方式,傳播方式主要有： 電子郵件 HTML正文可能被嵌入惡意腳本，郵件附件攜帶病毒壓縮文

21、件，利用社會(huì)工程學(xué)進(jìn)行偽裝，增大病毒傳播機(jī)會(huì)，快捷傳播特性 網(wǎng)絡(luò)共享 病毒會(huì)搜索本地網(wǎng)絡(luò)中存在的共享，如admin$,c$,d$。通過(guò)空口令或弱口令猜測(cè)，獲得完全訪問(wèn)權(quán)限；病毒自帶口令猜測(cè)列表，將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中， 通常以游戲，CDKEY等相關(guān)名字命名；利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶執(zhí)行并感染。 P2P共享 將自身復(fù)制到P2P共享文件夾，利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶下載 系統(tǒng)漏洞 由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致被惡意用戶通過(guò)畸形的方式利用后,可執(zhí)行任意代碼,防止病毒入侵,及時(shí)更新windows補(bǔ)丁，修補(bǔ)漏洞 強(qiáng)化密碼設(shè)置的安全策略，增加密碼強(qiáng)度 加強(qiáng)網(wǎng)絡(luò)共享的管理 增強(qiáng)員

22、工病毒防范意識(shí),病毒自啟動(dòng)方式,注冊(cè)表啟動(dòng) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce RunServices 以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序。,病毒自啟動(dòng)方式,文件關(guān)聯(lián)項(xiàng) HKEY_CLASSES_ROOT下： exefileshellopencommand =%1 %* comfilesh

23、ellopencommand =%1 %* batfileshellopencommand =%1 %* htafileShellOpenCommand =%1 %* piffileshellopencommand =%1 %*“ 病毒將%1 %*改為 “virus.exe %1 %* virus.exe將在打開(kāi)或運(yùn)行相應(yīng)類型的文件時(shí)被執(zhí)行,病毒自啟動(dòng)方式,病毒常修改的配置文件 %windows% wininit.ini中Rename節(jié) NUL=c:windows virus.exe 將c:windows virus.exe設(shè)置為NUL, 表示讓windows在將virus.exe e運(yùn)行后刪

24、除. Win.ini中的windows節(jié) load= virus.exe run = virus.exe 這兩個(gè)變量用于自動(dòng)啟動(dòng)程序。 System.ini 中的boot節(jié) Shell=Explorer.exe virus.exe Shell變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。,病毒自啟動(dòng)方式,病毒常修改的Bat文件 %windows%winstart.bat 該文件在每次系統(tǒng)啟動(dòng)時(shí)執(zhí)行，只要在該文件中寫(xiě)入欲執(zhí)行的程序，該程序即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行。 Autoexec.bat 在DOS下每次自啟動(dòng),病毒自啟動(dòng)方式,啟動(dòng)文件夾啟動(dòng)： 當(dāng)前用戶的啟動(dòng)文件夾 可以通過(guò)如下注冊(cè)表鍵獲得: HKL

25、MSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 項(xiàng) 公共的啟動(dòng)文件夾 可以通過(guò)如下注冊(cè)表鍵獲得: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 項(xiàng) 病毒可以在該文件夾中放入欲執(zhí)行的程序， 或直接修改其值指向放置有要執(zhí)行程序的路徑。,安全產(chǎn)品協(xié)同工作,訪問(wèn)控制,入侵檢測(cè),漏洞評(píng)估,防火墻,防病毒,SYN FLOOD攻擊,使用TCP的三次握手機(jī)制，客戶端使用假的IP地址，向服務(wù)器發(fā)出連接請(qǐng)求

26、（第一次握手），服務(wù)器應(yīng)答（第二次握手），由于IP地址是假的，例如1.1.1.1，因此就找不到目的地，服務(wù)器會(huì)一直等待客戶端發(fā)來(lái)第三次握手的信息。當(dāng)量足夠大的時(shí)候，會(huì)對(duì)服務(wù)器產(chǎn)生明顯的影響。,SYN,SYN - ACK,ACK,session proceeds,ACK set for remainder of session,SQL Injection,SQL注入是一種常見(jiàn)的WEB攻擊方法,攻擊者利用SQL語(yǔ)言本身的一些特性調(diào)用SQL功能,對(duì)服務(wù)器或主機(jī)實(shí)現(xiàn)攻擊行為。通常用戶名和密碼都存儲(chǔ)在數(shù)據(jù)庫(kù)的一個(gè)表中，登錄系統(tǒng)時(shí)要求輸入用戶名和密碼，系統(tǒng)會(huì)將用戶輸入的信息組成一條SQL語(yǔ)句去數(shù)據(jù)庫(kù)里查詢

27、，如果返回結(jié)果為真，那么就能正常登錄。 假設(shè)輸入的用戶名為“abc”，密碼為“anythingor x=x”，那么在服務(wù)器上執(zhí)行的命令就是：,Select * from UserTable Where UserName=abc and Password=anything or x=x 該語(yǔ)句執(zhí)行結(jié)果始終為真！,SQL Injection攻擊防范,過(guò)濾其特殊字符串 例如: - 、exec、execute WEB APPLICATION做參數(shù)化查詢 限制MS SQL存儲(chǔ)過(guò)程的使用 xp_cmdshell、sp_addlogin、sp_addsrvrolemember、sp_oacreate等存儲(chǔ)過(guò)程,Select * from UserTable Where UserName=abc and Password=anything or x=x 改為 Select * from UserTable Where UserName=anything 從數(shù)據(jù)庫(kù)中讀出密碼，而不在SQL語(yǔ)句中直接驗(yàn)證，與輸入的密碼做比較，這樣就可以防范攻擊。其它的防范方法還有：,目錄,安全基本概念 安全事件分類分級(jí) 安全事件監(jiān)控和處理流程 安全監(jiān)控工作思路 信息安全基礎(chǔ)知識(shí) 安全事件案例,網(wǎng)站事件的篡改,2006年9月11日，中國(guó)移動(dòng)門(mén)戶網(wǎng)站被黑客入侵，門(mén)戶網(wǎng)站首頁(yè)被替換。安全事件發(fā)生當(dāng)日，即被