信息安全培训方案二○○六年二月十四日第一部分信息安全的基础知识一、什么是信息安全1.网络安全背景与Internet相关的安全事件频繁出现Internet已经成为商务活动、通讯及协作的重要平台Internet最初被设计为开放式网络2.什么是安全?安全的定义:信息安全的定义:为了防止未经授权就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。信息安全的组成:信息安全是一个综合的解决方案,包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。信息安全专家的工作:安全专家的工作就是在开放式的网络环境中,确保识别并消除信息安全的威胁和缺陷。3.安全是一个过程而不是指产品不能只依赖于一种类型的安全为组织的信息提供保护,也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。因为安全性所涵盖的范围非常广阔,包括:防病毒软件;访问控制;防火墙;智能卡;生物统计学;入侵检测;策略管理;脆弱点扫描;加密;物理安全机制。4.百分百的安全神话绝对的安全:只要有连通性,就存在安全风险,没有绝对的安全。相对的安全:可以达到的某种安全水平是:使得几乎所有最熟练的和最坚定的黑客不能登录你的系统,使黑客对你的公司的损害最小化。安全的平衡:一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方第3页案。二、常见的攻击类型为了进一步讨论安全,你必须理解你有可能遭遇到的攻击的类型,为了进一步防御黑客,你还要了解黑客所采用的技术、工具及程序。我们可以将常见的攻击类型分为四大类:针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。第一类:针对用户的攻击5.前门攻击密码猜测在这个类型的攻击中,一个黑客通过猜测正确的密码,伪装成一个合法的用户进入系统,因为一个黑客拥有一个合法用户的所有信息,他(她)就能够很简单地从系统的“前门”正当地进入。6.暴力和字典攻击暴力攻击暴力攻击类似于前门攻击,因为一个黑客试图通过作为一个合法用户获得通过。字典攻击一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围,强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。Lab2-1:使用LC4破解Windows系统口令,密码破解工具Lab2-2:OfficePasswordRecovery&WinZipPasswordRecovery7.病毒计算机病毒是一个被设计用来破坏网络设备的恶意程序。8.社会工程和非直接攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息,研究一个站点的策略其中之一就是尽可能多的了解属于这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。打电话请求密码:一个黑客冒充一个系统经理去打电话给一个公司,在解释了他的帐号被意外锁定了后,他说服公司的某位职员根据他的指示修改了管理员权限,然后黑客所需要做的就是登录那台主机,这时他就拥有了第4页所有管理员权限。伪造E-mail:使用Telnet一个黑客可以截取任何一个身份证,发送E-mail给一个用户,这样的E-mail消息是真的,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实,然而它们是假的,因为黑客通过欺骗E-mail服务器来发送它们。Lab2-3:发送伪造的E-Mail消息。第二类:针对应用程序的攻击9.缓冲区溢出目前最流行的一种应用程序类攻击就是缓冲区溢出。当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。这种多余的数据将使程序的缓存溢出,然后覆盖了实际的程序数据,缓冲区溢出使得目标系统的程序自发的和远程的被修改,经常这种修改的结果是在系统上产生了一个后门。10.邮件中继目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。Lab2-4:通过邮件中继发送E-Mail消息。11.网页涂改是一种针对Web服务器的网页内容进行非法篡改,以表达不同的观点或社会现象。这种攻击通常损害的是网站的声誉。(中国红客联盟)第三类:针对计算机的攻击12.物理攻击许多公司和组织应用了复杂的安全软件,却因为主机没有加强物理安全而破坏了整体的系统安全。通常,攻击者会通过物理进入你的系统等非Internet手段来开启Internet的安全漏洞。增强物理安全的方法包括:用密码锁取代普通锁;将服务器放到上锁的房间中;安装视频监视设备。Lab2-5:操作一个对Windows2000Server的物理攻击第5页13.特洛伊木马和RootKits任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。特洛伊程序通常包含能打开端口进入RootShell或具有管理权限的命令行文件,他们可以隐藏自己的表现(无窗口),而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。Lab2-6:遭受NetBus特洛伊木马感染RootKits(附文档)RootKits是多种UNIX系统的一个后门,它在控制阶段被引入,并且产生一个严重的问题。RootKits由一系列的程序构成,当这些程序被特洛伊木马取代了合法的程序时,这种取代提供给黑客再次进入的后门和特别的分析网络工具。14.系统Bug和后门Bug和后门一个Bug是一个程序中的错误,它产生一个不注意的通道。一个后门是一个在操作系统上或程序上未被记录的通道。程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。15.Internet蠕虫Internet蠕虫是一种拒绝服务病毒,最近流行的红色代码也是类似的一种蠕虫病毒。蠕虫病毒消耗完系统的物理CPU和内存资源而导致系统缓慢甚至崩溃,而没有其他的破坏。第四类:针对网络的攻击16.拒绝服务攻击:在一个拒绝服务攻击中,一个黑客阻止合法用户获得服务。这些服务可以是网络连接,或者任何一个系统提供的服务。分布式拒绝服务攻击DDOS:(附文档)是指几个远程系统一起工作攻击一个远程主机,通常通过大量流量导致主机超过负载而崩溃。17.哄骗:(附文档)哄骗和伪装都是偷窃身份的形式,它是一台计算机模仿另一台机器的能力。特定的例子包括IP哄骗,ARP哄骗,路由器哄骗和DNS哄骗等。18.信息泄漏:几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息,组织结构必须决定如何最第6页少化提供给公众的信息,哪些信息是必要的,哪些信息是不必要的。需要采取措施保护,不必要泄漏的信息:DNS服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息(如操作系统平台、版本等)。Lab2-7:通过Telnet连接Exchange服务器的SMTP、POP3等服务19.劫持和中间人攻击:中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。黑客在物理位置上位于两个被攻击的合法主机之间。最常见的包括:嗅探包:以获得用户名和密码信息,任何以明文方式传送的信息都有可能被嗅探;包捕获和修改:捕获包修改后重新再发送;包植入:插入包到数据流;连接劫持:黑客接管两台通信主机中的一台,通常针对TCP会话。但非常难于实现。Lab2-8:网络包嗅探outlookExpress邮件账号口令三、信息安全服务20.安全服务国际标准化组织(ISO)7498-2定义了几种安全服务:服务目标验证提供身份的过程访问控制确定一个用户或服务可能用到什么样的系统资源,查看还是改变数据保密性保护数据不被未授权地暴露。数据完整性这个服务通过检查或维护信息的一致性来防止主动的威胁不可否定性防止参与交易的全部或部分的抵赖。21.安全机制根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。如:加密、数字签名等。普遍的安全机制不局限于某些特定的层或级别,如:信任功能、事件检测、审核跟踪、安全恢复等。第7页四、网络安全体系结构第8页第二部分信息安全的实际解决方案一、加密技术22.加密系统加密把容易读取的源文件变成加密文本,能够读取这种加密文本的方法是获得密钥(即把原来的源文件加密成加密文本的一串字符)。1)加密技术通常分为三类:对称加密:使用一个字符串(密钥)去加密数据,同样的密钥用于加密和解密。非对称加密:使用一对密钥来加密数据。这对密钥相关有关联,这对密钥一个用于加密,一个用于解密,反之亦然。非对称加密的另外一个名字是公钥加密。HASH加密:更严格的说它是一种算法,使用一个叫HASH函数的数学方程式去加密数据。理论上HASH函数把信息进行混杂,使得它不可能恢复原状。这种形式的加密将产生一个HASH值,这个值带有某种信息,并且具有一个长度固定的表示形式。2)加密能做什么?加密能实现四种服务:数据保密性:是使用加密最常见的原因;数据完整性:数据保密对数据安全是不足够的,数据仍有可能在传输时被修改,依赖于Hash函数可以验证数据是否被修改;验证:数字证书提供了一种验证服务,帮助证明信息的发送者就是宣称的其本人;不可否定性:数字证书允许用户证明信息交换的实际发生,特别适用于财务组织的电子交易。23.对称密钥加密系统在对称加密或叫单密钥加密中,只有一个密钥用来加密和解密信息。对称加密的好处就是快速并且强壮。对称加密的缺点是有关密钥的传播,所有的接收者和查看者都必须持有相同的密钥。但是,如果用户要在公共介质上如互联网来传递信息,他需要通过一种方法来传递密钥。一个解决方案就是用非对称加密,我们将在本课的后面提到。24.非对称密钥加密系统非对称加密在加密的过程中使用一对密钥,一对密钥中一个用于加密,另一个用来解密。这对密钥中一个密钥用来公用,另一个作为私有的密钥:用来向外公布的叫做公钥,另一半需要安全保护的是私钥。第9页非对称加密的一个缺点就是加密的速度非常慢,因为需要强烈的数学运算程序。25.Hash加密和数字签名HASH加密把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值。HASH加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能的,是通过比较两上实体的值是否一样而不用告之其它信息。1)数字签名HASH加密另一种用途是签名文件。签名过程中,在发送方用私钥加密哈希值从而提供签名验证,接受方在获得通过发送方的公钥解密得到的哈希值后,通过相同的单向加密算法处理数据用来获得自己的哈希值,然后比较这两个哈希值,如果相同,则说明数据在传输过程中没有被改变。加密系统算法的强度加密技术的强度受三个主要因素影响:算法强度、密钥的保密性、密钥的长度。算法强度:是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。密钥的保密性:算法不需要保密,但密钥必须进行保密。密钥的长度:密钥越长,数据的安全性越高。26.应用加密的执行过程1)电子邮件加密用于加密e-mail的流行方法就是使用PGP或S-MIME,虽然加密的标准不同,但它们的原则都是一样的。下面是发送和接收E-mail中加密的全部过程:①发送方和接收方在发送E-mail信息之前要得到对方的公钥。②发送方产生一个随机的会话密钥,用于加密E-mail信息和附件。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES,TripleDES,Blowfish,RC5等等。③发送者然后把这个会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这步通常使用MD2,MD4,MD5或SHA。MD5用于SSL,而S/MIME默认使用SHA。④发送者用自己的私钥对这个H