信息安全技术常识.ppt

税务工作人员安全培训,2010年7月,信息安全技术常识,,,信息系统和现实世界中的信息对比,现实世界中的信息，一个典型的现实世界信息实体,信息系统和现实世界中的信息对比,信息系统中的信息，一个典型的信息系统信息实体,信息安全技术常识,常识1–操作系统安全概念,操作系统的定义和功能定义尚未统一通常认为操作系统是负责计算机系统的全部系统资源的分配、调度和管理的，通过为用户提供简单、直观、灵活的接口，方便用户使用计算机，并合理有效地组织计算机工作流程的一种系统软件。目前微机上常见的操作系统DOS、OS/2、UNIX、XENIX、LINUX、Windows、Netware等,操作系统安全,现在你已经有了一个安全系统，你知道自己必须提高警惕，必须持之以恒地进行修缮工作。如果你房间里的设备坏了，你可能会尝试将它修复，如果是某个应用程序、操作系统程序突然罢工，你如何修复如何加固,如何加固,加固主机的最佳实践修补已知的系统漏洞（识别）Nessus、ISS都可以用来查看一些已知的系统漏洞删除不必要的服务/应用（减少受攻击面）例如，如果不是作为Web服务器使用的话，应当删除Windows2000上的Internet信息服务（IIS）。安全配置（降低）帐户管理、口令设置和访问权限,,脆弱性,,脆弱性,风险,如何加固,加固主机的最佳实践（续）安装系统补丁使用安全工具反病毒软件防火墙/入侵检测系统日志和审计系统备份安装安全的应用程序,操作系统漏洞,系统漏洞是怎么回事系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取您电脑中的重要资料和信息，甚至破坏您的系统。,MS03-026MS04-011MS08-067,,,冲击波,,,震荡波,,,飞客蠕虫,操作系统补丁管理,“高危漏洞”补丁是用户真正需要的“高危漏洞”补丁。这种补丁一定要打“功能更新”补丁是用户可选择安装的“功能更新”补丁。这种补丁用户可以自主选择打不打补丁。“不推荐安装”补丁存在较大隐患的“不推荐安装”补丁,删除不必要的服务/应用,哪些服务是必须的命令“netstat-a”可以查看Windows或Linux/Unix下所有建立的连接和开放的服务WindowsXP不必要的服务如Messenger，俗称信使服务，主要用在企业的网络管理上服务有漏洞，MSBlast和Slammer病毒可以利用它来进行快速传播加固服务对于房间来说，入口处的安全是最基本的，门、窗户和车库都需要上锁对于计算机操作系统来说，网络服务要么关闭要么对有权使用他的用户进行限制,帐户管理和登录口令设置,启动和登录安全性BIOS安全设置BIOS密码修改引导次序禁止从软盘启动系统用户口令默认账户更改超级管理名称取消guest帐号合理分配其它用户权限,访问控制,增强访问控制Who除你之外还有谁需要访问访问权限需要何种访问权限读写特殊文件/文件夹哪些文件和文件夹需要额外的访问控制,日志和审计系统,控制面板管理工具本地安全策略本地策略审计策略,日志和审计,管理员判断入侵的信息日志信息并不能防止入侵者，但能帮助管理员发现入侵信号6种审计日志应用程序日志应用程序和系统产生的事件系统日志操作系统自身产生的事件，包括驱动等组件安全日志安全事件相关信息例如与监视系统、用户和进程活动相关的信息；启动失败等安全服务相关信息目录服务日志文件复制日志DNS服务日志,要点总结,系统漏洞是什么安全漏洞就是软件中存在的意外功能分枝，通过安全漏洞，可以让软件做软件设计人员意想不到的事情。日志和审计的作用帮助管理员发现入侵信号。,常识2–网络安全基本概念,访问某个企业时，你需要在接待处和门卫接洽。门卫的职责只允许适当的人员和物品进入或离开如果来访者有一个适当的识别标志，他们出示给门卫，如果一切符合，将通过门卫的检查，否则行动必须停止。在计算机上，防火墙就像一个查看网络通信的门卫防火墙决定通信是否可以到达其目的地或予以制止防火墙“门卫”很重要，只允许适当的通信出入电脑,防火墙定义,防火墙是位于两个信任程度不同的网络之间如企业内部网络和Internet之间的软件或硬件设备的组合。防火墙专注于一件事在已授权和未授权通信之间作出决断例如，如果你的安全策略只允许内部人员访问FTP服务器而不允许外部人员访问，那么你可以直接在防火墙上进行设置,,,防火墙如何工作1,要进行决断，防火墙需要查看每一个信息每一个试图出入计算机的数据包（每一个数据包上标识着它从哪来，准备去往何方）某些数据包可以去任何地方（如内部员工）某些只能去某些指定的地方（如来访者）防火墙也可以在查看到某种特定类型的数据包时，也可以不对任何网络传输选择路由（翻译官），或交由计算机用户来进行非预期处理（就像门卫处理不认识的访客一样）,防火墙如何工作2,最后，防火墙还可以不仅检查源和目的地址，还可以基于内容的检查来判断允许其通过（就像安检时需要检查公文包里的内容一样）防火墙还具被一些高级能力，能够改变包的目的地址，或者封装在其它包内（就像某些访客需要有专人护送一样）,如何使用防火墙,防火墙的简单之处容易理解防火墙控制所有允许进出入的数据包。难点在于制定判断的条件想象自己是一个第一天上岗的门卫。你有权决定谁可以进出入，什么样的物品可以出入大楼怎么做呢一个保守的做法是任何人和资产都不许进出入，这很容易实现，但没有意义。所以需要很快学会允许某些适当身份的人和贴有适当标识的资产可以出入。这不是一件容易的事情allrightornotallright如果防火墙支持内容过滤，它需要学习允许哪些内容、不支持哪些内容，并作精细的注册和审核。,防火墙的局限性,防火墙不能防范绕过防火墙的攻击如U盘copy、拨号连接防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自内部人员恶意的攻击家贼难防防火墙不能对被病毒感染的程序和文件的传输提供保护,入侵检测系统,假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。,入侵检测系统,IDS是网络摄像机捕获并记录网络上的所有数据同时它也是智能摄象机分析网络数据并提炼出可疑的、异常的网络数据它还是X光摄象机能够穿透一些巧妙的伪装，抓住实际的内容还包括保安员的摄象机能够对入侵行为自动地进行反击阻断连接、关闭道路（与防火墙联动）,入侵检测系统定义和作用,入侵检测系统监控网络通信和主机活动，包括怀有恶意的通信，如试图绕过身份认证、鉴别或其它访问控制机制的连接侦查式通信，如端口扫描不正常的通信，如包的类型，源端口等信息不正确主机系统不能识别的行为等,帮助安全管理人员回答如下问题“我是否处于攻击下”“谁是发起者”“目标是什么”“除此之外谁还受攻击”“我如何选择”,,如穿透防火墙的攻击,,,,,,client,,入侵检测系统作用,入侵检测系统分类,按监测对象分类基于网络入侵检测系统NIDS输入数据来源于网络的信息流检测网段上发生的网络入侵基于主机入侵检测系统HIDS数据来源于系统的审计日志检测主机上发生的入侵按技术分类特征检测异常检测,基于特征检测的IDS,特征检测又称为滥用检测，它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。关键是如何表达入侵的模式优势可检测出所有对系统来说是已知的入侵行为系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应的行动,劣势它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。系统运行的环境与知识库中关于攻击的知识有关。对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。,基于异常检测的IDS,首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵关键是选择异常阀值与特征优势可用于检测试图挖掘新的和无法预料的漏洞的企图可基于一系列特征识别非正常通信负载源地址时间可识别授权用户非正常行为,劣势通常比较慢，比基于特征的IDS需要更多的资源更加复杂，更难配置较高的误报率,安全防护体系建设,构筑了税务行业安全防护系统，提升安全保障能力。从2005年开始，国家税务总局按照信息系统安全的纵深防御思想，开展了三期安全防护体系建设。首期以边界防护为重点，构建基本网络与信息安全防护体系。二期以内部防范为重点，构建内部网络与信息安全防护体系。注两期建设共在全国71个单位部署了防火墙、入侵检测系统、综合安全审计系统、桌面安全管理系统、防病毒系统、漏洞扫描系统共六类安全产品。三期正在进行，将以核心安全域重要业务应用系统与数据库安全域为重点，网络准入系统、数据库审计系统,核心交换机,,,,,,,,,,,,,,交换机,交换机,,,,,,,,,省局网络部署结构示例,防火墙,防火墙,防火墙,防火墙,备份,上行路由,下行路由,,,管理服务器,,,,,,IDS,,,,漏洞扫描检测,核心交换机,,,,,,,,,,,,,,交换机,交换机,,,,,地市级网络部署结构示例,防火墙,上行路由,下行路由,,,IDS,,,管理服务器,税务系统防护重点与技术实现,三种技术进行集成，构成有一定强度的、可动态调整的网络安全防护系统。,实施要点,将,,系统漏洞检测,防火墙,入侵监测（IDS）,,,,,防病毒,要点总结,防火墙的作用和主要工作方式入侵检测系统的作用和分类从管理角度如何看待安全产品的作用,常识3–病毒防护基本概念,病毒Virus,特征病毒是隐藏在合法程序当中的，在运行这个程序前，它是隐蔽不活动的（病毒不是自包含的，它需要感染附加在其他程序上，需要触发条件，如CIH病毒）在你运行受感染的程序时，病毒能迅速爆发感染你的计算机（通常需要用户的交互）被激活的病毒要做的第一件事情是把自己复制给硬盘上其他程序（就像生物病毒一样）,恶意软件病毒,病毒（Virus）定义病毒是自复制（拷贝自己）并将此拷贝至其他文件、程序或计算机上的程序。组成感染机制、负荷、触发器主要分类编译病毒文件感染病毒、引导区病毒解释病毒宏病毒、脚本病毒,反病毒程序的工作方式,如何识别“潜伏”在你家附近的骗子、诡计有关诈骗者或受骗者的电视报道、报纸文章、照片和新闻摘要反病毒程序通过反病毒程序供应商所提供的最新的病毒库进行学习，并检查每个文件，查看每一个文件的内容,搜寻是否匹配某个“病毒特征码”病毒的数字指纹，具有唯一性,什么是蠕虫,特征蠕虫是在网络计算机和服务器上传播的恶意程序（互联网时代的瘟疫）有独立的病毒文件体主动自我复制传播给网络带来负担,蠕虫Worm,恶意软件蠕虫,特征续利用系统漏洞、弱口令、局域网共享等多种方式传播，传播速度极快。“红色代码”、“蓝色代码”和“Nimda”主要针对微软的InternetInationServer（IIS）服务器漏洞进行传播和破坏多种技术走向融合感染、盗号、自我复制网站挂马、U盘传播,什么是木马病毒-IC,IP,IQ卡，统统告诉我密码,特征木马是一种带有恶意性质的远程控制软件。木马一般分为客户端和服务器端。客户端就是本地使用各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马通常不会像病毒那样去感染文件常见的木马病毒Trojan.PSW盗取密码的木马TrojanSpy间谍类木马TrojanBanker网银类木马,特洛伊木马Trojanhorse,病毒的主要传播方式有哪些,在生活中，你会查看谁在你的门口徘徊，邮箱里塞满了什么通过这些方式可以进入你的生活病毒也可以通过各种方式进入计算机电子邮件、下载文件网站、网页木马软盘、光盘、U盘即时聊天工具ARP方式http注入挂马传播,网页挂马,网页挂马利用各种操作系统、浏览器或常用ActiveX控件的安全漏洞，通过编写恶意HTML代码或网页脚本等方法传播恶意代码。,MS06-014MDAC功能中的漏洞可能允许执行代码MS07-017GDI中的漏洞可能允许远程执行代码ANI动态光标漏洞,MS04-040InternetExplorerIFRAME标签缓冲区溢出漏洞MS06-013InternetExplorerCreateTextRange远程代码执行漏洞,百度搜霸不安全方法漏洞RealPlayerActiveX组件Import方法缓冲溢出漏洞暴风影音IImps.dll组件缓冲区溢出漏洞,总结什么是网页挂马,网页中加入了编写的恶意代码产生具有破坏力的网页（恶意网页）恶意代码相当于一些小程序（最终指向恶意程序）只要打开网页，恶意程序就会被运行,U盘病毒,U盘病毒原理较简单，主要是利用Windows系统的自动播放特性来运行的。当在U盘跟目录下面有Autorun.inf文件时，双击U盘时，首先会运行该文件，然后执行里面的Open*.脚本，从而激活同目录下面的病毒文件运行。如何预防使用组策略禁用系统的自动播放功能。普通用户可以建立Autorun.inf文件夹，“占位文件”法免疫。选用具有U盘病毒免疫功能的杀毒软件。,使用防病毒程序,个人远离病毒侵害最有效的方法升级、更新当你插入驱动软盘、光盘、U盘，检查病毒当您收到电子邮件，检查病毒当你从网上下载文件，在使用之前进行病毒检查定制服务，让反病毒程序自动执行定时查杀屏保查杀开机查杀查杀频率更新经常备分重要数据启用实时监控功能,防范计算机病毒的良好习惯,防范计算机病毒遵守有关安全管理规定安装统一的防病毒软件及时更新病毒库良好习惯（具体参见总局配发的信息安全手册）不要打开文件扩展名为.，.scr，或.vbs的邮件附件，也不要打开双扩展名的文件，如.txt.vbs警惕来自陌生人的电子邮件附件安装MicrosoftOffice软件（Word，Excel，Access，PowerPoint等）最新的更新和补丁不要点击通过即时消息传递给您或电子邮件里的链接,手机病毒的种类及危害,随着智能手机普及率越来越高，病毒程序开始针对手机程序“开发”出手机病毒，手机病毒破坏力同样威猛危害1侵占手机内存或修改手机系统设置，导致手机无法正常使用（如骷髅主题Skulls图标病毒）。危害2盗取手机上的个人隐私信息。危害3控制通讯“网关”，向手机发送垃圾信息。危害4通过代码控制手机进行强行消费（如蚊子木马）,手机安全防护最佳实践,第一手机上网务必小心手机上网除了看新闻一样可以下载游戏、铃声及图片，这就给某些病毒的传播提供了良好的渠道所以尽量不登录不知名的WAP站点第二注意关闭蓝牙最好将蓝牙关闭，在公共场合时，不要接受陌生用户的蓝牙消息如卡比尔Cabir蠕虫病毒，作为感染面积最大手机病毒，Cabir已经进入了全球20多个国家，包括美国、中国和俄罗斯手机中了该病毒后，使用蓝牙无线功能会对邻近的其它存在漏洞的手机进行扫描，在发现漏洞手机后，病毒就会复制自己并发送到该手机,手机安全防护最佳实践,第三奇怪彩信勿开彩信的流行让病毒又看到了新出路第四安装杀毒软件目前手机的杀毒软件比较完善，手机进行全盘杀毒、目标杀毒对杀毒和病毒库升级设置计划任务实时监控，对短信、彩信、WAP、程序进行实时监控第五经常备份个人资料有些病毒的破坏力很强，手机一旦感染，资料会全部丢失或者无法重新开机有些病毒或者变种利用软件无法彻底清除，必须“格机”，将手机回到出厂状态。所以经常备份数据是非常必要的,要点总结,什么是木马，木马和病毒的最大不同恶意代码的主要传播方式,常识4–应用软件安全概念,很多房子会不止一个门，虽然通常只有一个门被称之为“前”门有多个门的原因当然有很多，比如火灾发生时，可以有更多的逃生通道所以不能只考虑一个门的安全防卫，需要考虑各个门的安全计算机系统也有同样的问题，如果在系统上安装所有的软件或工具包，可能会比较方便地进行系统配置、诊断和修复但是，安装的软件越多，被入侵者所能挖掘的漏洞，进行入侵的机会也会越多。所以，只安装所需的必要的应用软件同时，考虑应用软件的安全性,应用安全漏洞,从漏洞发生原因上划分MS03-050Microsoftword/Excel漏洞MS06-001WMF图片代码执行漏洞百度搜霸不安全方法漏洞WEB迅雷任意文件下载漏洞.代码实现缺陷有关In-Line宏的安全漏洞有关从链接打开Excel工作薄时的处理的安全漏洞有关XSL样式表单的安全漏洞有关附加Word文件的HTML邮件的安全漏洞,Web迅雷漏洞分析,漏洞发生在Web迅雷的一个控件上，当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序在用户系统上以当前用户上下文权限运行。Web迅雷1.7.3.109版之前的版本均受影响攻击者利用这一系列的函数，已经能完成从下载到运行木马程序的完整过程，实现了一个完整的网页木马功能。该漏洞由Bug.Center.Team组织发现并公布漏洞发现者Sobiny[BCT],英国伊拉克事件,残留信息台湾安全局,税务应用系统安全,各种层面的漏洞导致应用系统不安全,要点总结,应用安全问题对信息安全（机密性、完整性和可用性）的影响，重应用、轻安全在组织内部出现过哪些安全风险企业期望直接访问税务系统安全专网，拒绝这种业务需要，属于那种风险处置措施,,,,,,,,,安全运输,读卡器,闭路电视监控室,进入系统的安全门,监视和报警,巡逻保安,防火墙和路由器访问控制列表,网络入侵检测,安全代理程序,中央控制的安全和策略管理,身份识别、访问控制服务器及证书验证,加密及虚拟专网VPN,,涉及到的安全防护技术真实世界信息安全,谢谢,。,问题,