信息安全技术及应用 系统安全防护技术
1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。
2、安全扫描技术分为系统扫描和网络扫描两大类。
(1)系统扫描:侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与系统处于同一结点,进行自身检查。
(2)网络扫描:侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与系统处于不同结点,通过网络远程探测目标结点,寻找安全漏洞。
3、安全扫描的目的:通过特定的手段和方法发现系统或网络存在的隐患,及时修补漏洞或利用漏洞敌方。
4、安全扫描技术可以有效地提高安全性:
(1)提前告警存在的漏洞,从而预防入侵和误用。
(2)检查系统中由于入侵或误操作产生的新漏洞。
1、扫描器工作流程:
(1)发现目标主机或网络。
(2)发现目标后,进一步发现目标系统类型及配置等信息,包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、由设置及网络主机等。
(3)测试哪些服务具有安全漏洞。
2、端口扫描技术:
(1)根据扫描方法不同,端口扫描技术可分为:全开扫描、半开扫描、秘密扫描和区段扫描。
(2)这几种扫描方法都可以用来查找服务器打开的端口,从而发现服务器对外的服务。
(3)能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。
3、全开扫描:
(1)通过与目标主机建立标准的TCP连接(3次握手),检查目标主机相应端口是否打开。
(2)优点:快速、准确、不需要特殊权限。
(3)缺点:很容易被检测到。
4、半开扫描:(SYN扫描)
(1)“半开”含义:client端在TCP三次握手尚未完成就单方面终止连接过程。
(2)由于完整连接尚未建立,通常不会被server方记录下来。同时也可避开部分IDS的监测。
5、秘密扫描:
(1)秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多,以SYNACK扫描为例说明。
(2)SYNACK扫描省掉了三次握手的第一步,直接发送SYNACK包到server端,根据server 的应答推测端口是否打开。
6、系统类型测试技术:
(1)由于许多安全漏洞都与操作系统密切相关,所以探测系统类型对于者很重要。
(2)者先收集目标系统的信息并存储,当某一系统的新漏洞被发现,就可在存储的信息中查找,并对匹配的系统进行。
(3)检测系统类型主要有三种方法:系统旗标、DNS信息、TCP/IP堆栈指纹。
7、系统旗标:利用系统服务给出的信息,如:telnet、ftp、、mail等。最简单的检测方法就是直接登录该系统提供的服务。
8、DNS信息:主机信息有时可能通过DNS记录泄露。
9、TCP/IP堆栈指纹:操作系统在实现TCP/IP协议时的一些特有的实现特征,处在系统底层,修改困难。
1、具有传染和的特征,与生物医学上的”病毒”在很多方面都很相似,习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。
2、从广义上讲,凡能够引起计算机故障、或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。
1、传染性
(1)这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
(2)计算机病毒程序代码一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到繁殖的目的。
(3)正常的计算机程序一般是不会将自身的代码连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。
2、隐蔽性
(1)病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方,用户很难发现它的存在。
(2)如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,受到感染的计算机系统通常仍能正常运行,用户不会感到异常。
(3)现在的计算机病毒一般都具有很强的反侦察能力。
(4)计算机病毒一旦被发现会迅速出现变种。
3、潜伏性:
大部分病毒感染系统之后一般不会马上发作,长期隐藏在系统中悄悄地进行繁殖和扩散,只有在满足特定条件时才启动其表现()模块。
4、性(表现性):
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。
5、不可预见性:
从病毒的检测来看,不同种类的病毒,代码千差万别,甚至某些正常程序也借鉴病毒的技术。
6、触发性:
满足传染触发条件时,病毒的传染模块会被激活,实施传染操作。满足表现触发条件时,病毒的表现模块会被激活,实施表现或操作。
7、针对性:
有一定的要求,并不一定对任何系统都能感染。
1、病毒的一般结构:
(1)计算机病毒代码的结构一般包括三大功能模块,即引导模块,传染模块和(表现)模块。其中,后两个模块各包含一段触发条件检查代码,分别检查是否满足传染触发条件和表现触发条件。
(2)引导模块将病毒由外存引入内存,使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。模块实施病毒的作用。
2、病毒的作用机理:
(1)计算机病毒有两种状态,静态和动态。
(2)静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒,它没有被加载状态,不能执行病毒的传染和功能。
(3)动态病毒是指已进入内存,正处于运行状态,它时刻系统的运行状态,一旦传染条件满足,即调用传染代码和代码.使病毒得以扩散。
(4)计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽,引导模块被执行,病毒由静态变为动态。
3、病毒工作流程
2、蠕虫病毒的途径:
(1)操作系统和系统软件的漏洞:网络共享、域名解析、IE、RPC、IIS、SQL Server等。
(2)应用软件的漏洞:Office、Adobe Reader、QQ、MSN
(3)电子邮件:钓鱼邮件、邮件客户端软件。
3、蠕虫病毒的危害:
(1)蠕虫大量且快速的复制会占用大量网络带宽,造成网络拥塞甚至瘫痪。
(2)感染主机的系统管理员权限将被窃取。
4、蠕虫病毒的一般结构:
(1)模块:负责蠕虫的。
(2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。有些会主动安全系统。
(3)目的功能模块:实现对计算机的控制、、窃取和等功能。
5、蠕虫病毒的过程:
模块:由扫描模块、模块和复制模块组成。
(1)扫描模块:探测存在漏洞的主机。当向某主机发探测信息并成功收到反馈后,就得到一个可对象。
(2)模块:按漏洞步骤自动找到的对象,取得该主机的权限,获得一个shell。
(3)复制模块:通过主机间的交互复制蠕虫程序并修改注册表得以启动。
6、蠕虫病毒防治
(1)正确配置操作系统和系统软件。
(2)经常进行操作系统和系统软件的升级。
(3)使用正版杀毒软件并保持病毒库最新。
(4)不要打开不明身份的邮件。
(5)留意权威网站的安全公告。
1、确定目标:
(1)使用Google搜索漏洞信息:操作系统漏洞、Web服务器漏洞、数据库漏洞、开发工具漏洞等。
(2)使用Google搜索信息:口令文件、财务信息、安全工具扫描报告等。
2、收集目标信息:
(1)通过公开渠道、各种工具和技巧,黑客可以获得目标的详细资料,特别是关于安全防御体系的信息。
(2)互联网信息:域名及IP地址块、可直接访问的IP、操作系统类型、系统上运行的TCP和UDP服务、访问控制等。
(3)内部网信息:内网结构、组网协议、IP地址块、VPN协议、身份认证方法等。
3、寻找目标漏洞:
(1)使用工具进行端口扫描:确定目标系统上有哪些端口处于LISTENING状态。
(2)使用工具进行端口服务扫描:确定目标系统上了哪些服务。
(3)使用工具探查操作系统细节:版本号、提供的各种服务名称等。
4、进行:
系统、网络、软件。
1、系统:取得身份前的手段
2、网络:
(1)网络设备。
(2)无线
(3)防火墙
(4)服务
3、软件
(1)缓冲区溢出
(2)Web
(3)互联网用户
1、从抽象意义上讲,计算机安全审计与传统金融和管理审计的过程完全相同,即产生、记录并检查按时间顺序排列的系统事件的过程。
2、计算机安全审计:通过一定的策略,利用记录和分析历史操作事件,发现系统的漏洞并改进系统性能和安全性。
3、安全审计的目标:
(1)对潜在的者起到和告警作用。
(2)对已发生的系统行为,提供有效的追究责任的。
(3)为系统管理员提供有价值的系统使用日志,帮助管理员及时发现入侵行为或潜在的系统漏洞。
4、安全审计的组成:审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程应包括审计发生器、日志记录器、日志分析器和报告机制等部分。
5、审计发生器:在信息系统中各事件发生时,将这些事件的关键要素进行抽取并形成可记录的素材。
6、日志记录器:将审计发生器抽取的事件素材记录到制定上从而形成日志文件。
7、日志分析器:根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。
8、对于一个事件,日志应包括事件发生的时间、引发事件的用户、事件类型、事件成败等。
1、访问控制(Access Control):规范用户的访问行为。解决是否可以访问,如何访问的问题。
2、访问控制构成要素:
(1)主体:提出访问请求,如用户或其启动的进程、服务等。
(2)客体:被访问对象,如信息、文件等集合体或网络设备等。
(3)控制策略:主体对客体访问规则的集合,体现了授权。
3、访问控制的主要功能:
(1)主体访问受的网络资源
(2)防止非法主体进入受网络资源
(3)防止主体对受网络资源进行非授权访问。
4、访问控制的内容:
(1)认证:主客体之间进行身份鉴别,确定主体是谁。
(2)控制策略:通过合理设定控制规则,确保用户对信息资源在授权范围内的使用,同时防止非法用户侵权进入系统。还要防止用户的越权行为。
(3)安全审计:系统自动根据用户访问权限,对计算机网络下的有关活动进行系统、地检查验证,并做出相应评价与审计。
5、访问控制的类型
(1)自主访问控制(DAC):一种接入控务,通过执行系统实体到系统资源的接入授权,用户有权对其创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回。允许访问对象的属主制定针对该对象的访问控制略,通常,通过访问控制列表来限定针对客体可执行的操作。
(2)强制访问控制(MAC):指系统强制主体服从访问控制策略。由系统对用户所创建的对象,按照既定规则进行访问控制。
(3)基于角色的访问控制(RBAC):通过对角色访问进行控制,使权限与角色相关联,用户通过成为适当角色而得到角色的权限。
6、RBAC支持的三个著名安全原则:
(1)最小权限原则:将角色配成完成任务所需的最小权限集。
(2)责任分离原则:让、互斥的角色协同完成特定任务。
(3)数据抽象原则:通过权限的抽象控制一些操作,如财务上的借、贷等抽象权限,非操作系统提供的典型权限。
7、访问控制实现机制
(1)访问控制列表(ACL):
以文件为中心建立访问权限表,表中记载了可访问该文件的用户名和权限。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。
(2)能力关系表:
以用户为中心建立访问权限表。与ACL相反,表中了用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。
3、防火墙定义:防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时,由防火墙来不允许出现其他超出此范围的访问行为。防火墙用来所有用户都遵守访问控制策略。
4、防火墙的目的是控制网络传输,这一点与其他网络设备一致。但与其他设备不同的是:防火墙必须考虑到不是所有的分组数据都是如一。
5、防火墙的设计目标:
(1)所有内外网之间的通信量都必须经过防火墙,即从物理上阻塞所有不经过防火墙的网络访问通道,有不同的配置方法可实现这一目标。
(2)只有被认可的通信量,通过本地安全策略进行定义后,才允许通过防火墙。
(3)防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。
6、防火墙使用的通用技术:
(1)服务控制:确定可访问的Internet服务的类型,入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
(2)方向控制:确定特定的服务请求可以发起并允许通过防火墙的流动方向。
(3)行为控制:控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地服务器的一部分信息。
(4)用户控制:根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户(本地用户),也可以应用于来自外部用户的进入通信量;后一种情况要求某种类型的安全鉴别技术。
7、防火墙的主要功能:
(1)防火墙定义了单个阻塞点,将未授权的用户隔离在被的网络之外,潜在的易受的服务进入或离开网络。
(2)防火墙提供了与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
(3)防火墙是一些与安全无关的Internet功能的方便的平台。如:网络地址转换。
(4)防火墙可以用作VPN的平台。
8、防火墙的局限性:
(1)防火墙不能对绕过防火墙的提供。
(2)防火墙不能对内部的提供支持,例如心怀不满的雇员或不自觉地与外部者合作的雇员。
(3)防火墙不能对病毒感染的程序或文件的传输提供。由于边部支持的操作系统和应用程序的不同性,采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。
9、防火墙一般结构
推荐: