网络安全基础付吉生提纲网络安全定义保护资源病毒与特洛伊木马客户端安全设置网络安全定义网络安全的定义通常感觉:“网络安全就是避免危险”科学的安全定义防止未授权的用户访问信息防止未授权而试图破坏与修改信息从风险的角度:在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全就是一个系统地保护信息和资源相应的机密性和完整性的能力安全领域物理安全操作步骤安全网络安全人事安全系统安全安全领域网络安全问题的复杂程度复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易安全威胁:网络为什么不安全网络发展迅速,较少考虑安全问题管理人员的缺乏及对安全知识和意识的不足网络技术处于不断发展和进化中全球超过26万个黑客站点提供系统漏洞和攻击手段及工具等方面的知识容易使用的攻击软件和黑客教程比比皆是成为一名“黑客”变的越来越简单直接经济损失名誉、信誉受损正常工作中断或受到干扰效率下降可靠性降低其他严重的后果安全威胁:安全事故的后果相关数据美国FBI调查,每年因网络安全造成的损失高达170亿美金;CERT组织2000年数据,平均每五个站点就有一个遭受不同程度地攻击中国公安部资料表明网络犯罪每年以30%的惊人速度递增解决网络安全问题刻不容缓100%安全的神话开销风险性能建立有效的安全矩阵安全矩阵由单个操作系统安全特征、日志服务和其他的装备包括防火墙,入侵检测系统,审查方案构成;包括软件和硬件设备功能是有效的可持续的是灵活的可扩展的拥有很高级的预警和报告功能提纲二保护资源保护资源终端用户资源(普通员工使用的工作站)网络资源(路由器、交换机、电话系统)服务器资源(DNS、Web、FTP、E-mail等)信息存储资源(人力资源和电子商务数据库等)终端用户资源操作系统Win98WindowsNTWorkstationWindows2000professional威胁错误下载ActiveX文件和Java小程序错误下载病毒和特洛伊木马(Trojans)错误操作导致系统崩溃网络资源硬件设备路由器交换机机柜配线架威胁物理安全服务器资源常见的服务器WebFTPEMAILDNS威胁字典攻击系统和服务自身的漏洞拒绝服务攻击病毒攻击信息存储资源信息存储资源更多的是指数据库系统威胁泄露商业机密破坏或伪造交易行为消费者的重要数据提纲三病毒与特洛伊木马病毒与特洛伊木马病毒的定义:病毒是可执行的小程序1988年Morris病毒的出现FredCohen定义:计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝发入其它程序,从而感染其它程序病毒不是利用操作系统运行的错误和缺陷的程序,病毒是正常的用户程序。国内的定义定义:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。出处《中华人民共和国计算机信息系统安全保护条例》病毒的破坏能力无害型降低系统或网络性能泄露机密毁坏及修改数据破坏硬件病毒的传播物理介质Email附件.exe.vbs.pif.com利用bind捆绑其它文件Internet站点网络共享其它病毒造成的严重安全事件红色代码2001年6月18日,微软发布安全公告:MicrosoftIIS.IDA/.IDQISAPI扩展远程缓冲区溢出漏洞。一个月后,利用此安全漏洞的蠕虫“红色代码”一夜之间攻击了国外36万台电脑,2001年8月6日,“红色代码Ⅱ”开始在国内发作,造成很多运营商和企事业单位网络瘫痪。给全球造成了高达26亿美元的损失。SQLslammer2002年7月24日,微软发布安全公告:MicrosoftSQLServer2000Resolution服务远程栈缓冲区溢出漏洞。到2003年1月25日,足足6个月后,利用此安全漏洞的蠕虫“SQLSlammer”现身互联网,几天之内给全球造成了12亿美元的损失。W32.Blaster.Worm(2003年8月11日)要具备正确的防病毒意识计算机病毒是客观存在的,不要以为你的机器上暂时没有出现病毒或病毒的破坏不大而对它产生轻视心理,俗话说得好“不怕一万,就怕万一”,我们一定要具备正确的防病毒意识,对一些危险的病毒发作日更要提前做好预防工作。安装高效的防病毒软件静态查杀病毒只是一种被动的方式,为保险起见,最好能在机器内安装一种能实时防杀病毒的软件,也即超到“防火墙”的作用。定期更新病毒库是关键要加强数据的备份意识对于重要的系统信息、重要的用户数据、重要的系统参数等都要经常进行备份。要准备好绝对无毒的系统软盘,这样一旦被病毒感染,就能够利用系统盘对硬盘进行快速恢复。国内外常用的几种杀毒软件国外NortonMcafee趋势Panda国内金山毒霸瑞星KV系列KILL系列特洛伊木马木马不同于病毒,但经常被视作病毒处理,随计算机自动启动并在某一端口进行侦听;木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类远程控制型输出shell型信息窃取型其它类型Netbus客户端程序NetBus传输NetBus使用TCP建立会话。缺省情况下用12345端口进行连接,12346端口进行数据传输跟踪NetBus的活动比较困难。可以通过检查12346端口数据来确定许多类似的程序使用固定的端口,你可以扫描整个的网络监测可疑的活动。简单方法netstat-an反弹型特洛伊木马可穿透防火墙,控制局域网机器服务器端主动发起连接,控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性网络神偷工作原理连接方式服务器端主动发起连接到客户端80端口Server:1026-------Client:80服务端上线通知原理利用Email利用主页空间网络神偷主界面网络神偷主界面客户端安全设置客户端安全设置Email安全性密码复杂性与口令保护伪造Email的危害Email炸弹与垃圾邮件采用邮件加密程序(PGP)密码复杂性要求强壮密码的组成大写字母小写字母数字非字母、数字的字符密码长度:不小于8字节长强壮密码应符合的规则个人名字或呢称电话号码、生日等敏感信息输入8字符以上密码记录于纸上或放置于办公处使用重复的字符XXXX++++=强壮的密码客户端安全调置拔号上网安全性设置复杂密码关闭所有不必要的共享禁止NetbiosoverTCP/IP协议客户端安全设置冲浪上网安全性下载软件的注意事项Cookie的安全性ActiveX控件和JavaApplet网络安全设置WindowsXP自带ICF功能检查异常进程netstat–an和netsession利用任务管理器结束异常任务和进程Ctrl+Alt+Del键右键点击任务栏空白处,选任务管理器利用个人防火墙或防病毒软件定期扫描如:天网个人防火墙客户端安全设置设置防病软件的自动升级功能设置Windows自动下载更新功能系统设置时常关注相关的安全公告安全威胁来自外部的威胁口令破解(字典、暴力)病毒攻击非法服务拒绝服务安全威胁来自内部的威胁物理安全误用和滥用不当的接入方式数据监听(Sniffer)劫持攻击培训教育网络安全中人是薄弱的一环,许多安全因素是与网络用户密切相关的提高网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。作为安全管理人员,避免员工成为侦查工具的最好方法是对他们进行教育。通过提高员工对设备的认识和增强他们的责任感,可以使他们变得更难于被黑客控制。谢谢!