ISEC安全基础.ppt

信息安全基础与ISEC项目 国家信息化安全教育认证管理中心ISEC 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍 一 信息安全概况 安全威胁 威胁来源 产品和市场 研究与开发 安全人才 安全威胁 政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。 安全威胁 2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。 中美黑客网上大战时，国内外的上千个门户网站遭到破坏。 安全威胁 2003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王” 。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。 美欲用电脑赢战争， 网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。 安全威胁 中国国内80%网站有安全隐患，20％网站有严重安全问题 中国的银行过去两年损失1.6亿人民币 利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30% 威胁来源 互联网存在的六大问题 无主管的自由王国 不设防的网络空间 法律约束脆弱 跨国协调困难 民族化和国际化的冲突 网络资源紧缺 网络和系统的自身缺陷与脆弱性 国家、政治、商业和个人利益冲突 世界网络安全产品市场 产品和市场 中国信息安全产品测评认证中心每年认证的安全产品达十几类，上百种。 1998－2000 安全产品300多个 2001－2002 安全产品600多个 几百家国内外厂商，投资金额巨大。 国家安全战略 1998年5月22日，克林顿政府颁布《对关键基础设施保护的政策：第63号总统令 》，2000年颁布《信息系统保护国家计划v1.0》 。 2002年9月18日和20日，布什政府颁布《保护网络空间的国家战略（草案）》和《美国国家安全战略》。 2003年2月14日布什政府颁布《保护网络空间的国家战略 》和《反恐国家战略 》。 国家安全战略 2002年7月19日“国家信息安全保障体系战略研讨会”在北京科技会堂召开，由中国工程院和国家信息化工作办公室主办，由交大信息安全体系结构研究中心承办。 2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办，由信息安全国家重点实验室主办。 学术研究和技术开发 国家863信息安全技术主题课题 研究所和重点实验室 高校的专业方向 安全人才需求 国家重点科研项目的需求 专业安全产品公司的需求 应用行业的管理、应用和维护的需求 对网络信息安全人才的需求在今后几年内将超过100万，但专业的网络与信息安全机构在国内却屈指可数。 网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明，网络信息安全人才必将成为信息时代最热门的抢手人才。 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍 网络安全目前存在的威胁 网络入侵技术分类 系统弱密码入侵 利用CGI/IIS漏洞入侵 Buffer Overflow入侵 DOS/DDOS攻击 IP Spoof入侵 网络监听(sniffer) 数据库弱密码入侵 利用PHP程序漏洞入侵 其它 系统弱密码入侵 系统弱密码入侵(续) 口令安全 可逆与不可逆通常口令的加密方法是不可逆的 猜测与穷举 口令破解 Unix口令通常限制在8位以内，56位密钥加密 john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/sh NT口令通常限制在14位以内 系统弱密码入侵(续) 口令破解的时间 Unix口令6位小写字母穷举:36小时8位小写字母穷举:3年 NT口令8位小写字母及数字穷举，时间通常不超过30小时 系统弱密码入侵(续) 常用工具介绍 Jackal 的CrackerJack（用于dos平台） John the Ripper（可用于dos/win95平台） L0pht （用于破解NT密码) 利用CGI/IIS漏洞入侵 微软的IIS系统存在大量的安全隐患 目前大量服务器采用IIS发布网站 堆栈溢出技术 堆栈溢出原理 什么是堆栈 堆栈溢出 在长字符串中嵌入一段代码，并将过程的返回地址覆盖为这段代码的