信息安全基础知识讲座PPT.ppt

Jolt2：是远程用户可以通过不同的网络向多种操作系统发送碎片驱动的拒绝服务攻击。当CPU试图处理这些非法的IP数据包时，系统就会因CPU耗尽资源而死机。 缓冲区溢出攻击 攻击者试图在一个不够大的接受器里存储过量的信息就是一次缓冲区溢出攻击。例如，如果一个程序只能接受50个字符，而用户却输入了100个字符，这样由于过多的数据输入到了一个不够大的接受器，该程序将不能控制它，多出部分将写入内存。 缓冲区溢出攻击 内存 底部 内存 顶部 填充方向 缓冲1 （局部变量1） 返回指针 函数调用的参数 内存 底部 内存 顶部 填充方向 缓冲1 （局部变量1） 返回指针 函数调用的参数 机器代码： exec(/bin/sh) 缓冲2 （局部变量2） 指向exec 代码的新指针 缓冲1空间 被覆盖 返回指针 被覆盖 缓冲2 （局部变量2） 正常情况 缓冲区溢出 三、安全措施 一般安全措施 防火墙 入侵检测 安全评估 网络安全审计 数据库安全审计 身份认证 VPN 防病毒 安全管理平台 防火墙 防火墙是在两个网络之间执行控制策略的系统，目的是不被非法用户侵入。 防火墙是内部与外部网连接中的第一道屏障。 在内部网络和外部网络之间合理有效地使用防火墙是网络安全的关键。 防火墙 Internet WWW DNS Mail Proxyl 全面保护 重点保护 File Server 入侵检测 发生以下情况: * 当来自网络外部的攻击穿透防火墙进入内部网时。 * 当攻击来自网络内部时。 防火墙的保护功能已经不复存在，无法对攻击进行响应或阻断。 如果上述情况发生就需要采用入侵检测系统来加强网络安全保障。 入侵检测 入侵检测系统是实时的网络违规自动识别和响应系统。 当发现网络违规模式和未授权的网络访问尝试时，入侵检测系统能够根据系统安全策略作出反应并报警。 组织安全标准 组织安全标准 规定如何使用硬件和软件产品。它们也可以用于指明期望的用户行为。它们提供了一种方法，保证在整个机构中、特定的技术、应用程序、参数和规程都被执行。 组织的标准可能会要求所有雇员都必须时刻带着公司的工作证，保密信息必须进行加密。在公司内部，这些规定通常都是强制的，如果公司想活得成功，就必须执行这些规定。 基线和方针 基线 提供对整个机构来说必须具有的最低安全水平。基线是标准的抽象，是最低的安全标准。 方针 是在某个标准不适用的情况下，向用户、IT人员、运营人员以及其他人员提供的建议性的行动和操作指导。方针处理的是保护计算机及其软件的方法。标准是特定的强制性的活动，而方针是为不可遇见的情况提供必要的适应性的一般方法。 规程 规程 是完成任务的详细具体步骤。（如，如何分配计算机权限、如何进行审计、事故报告等等） 规程被看成是安全策略链中的最低级，因为它离计算机和用户最近并提供有关配置和安装问题的详细步骤。 安全策略 强制标准 推荐方针 详细规程 战略性 战术性 标准、方针和规程是战术目标，用来支持和达成安全策略中的指令，而安全策略本身就是战略目标。 安全策略、规程、标准和方针协同工作 安全 标准 方针 规程 策略 标准 方针 规程 信息分级 公开 内部 秘密 机密 绝密 组织内部的安全角色 高级管理人员 最终负责安全及其财产的保护。 安全问题专家 负责安全的功能问题并执行高级管理人员的指示。 数据拥有者 确定组织内部信息的数据安全分级。 数据管理员 维护数据，保持并保护数据的机密性、完整性和可用性。 用户 在数据处理任务中使用数据。 审计员 检查机构内部的安全措施和机制。 二、攻击简介 无论现在工作在何种领域，都不可能没有注意到Internet对当今社会造成的巨大冲击。它为人们展现了一个宽广的机遇和市场。 对于Internet而言，就像任何一种其他的新技术一样，它都是有利弊两个方面。积极的方面它提供了巨大的机遇，消极的一面是它给许多公司造成了安全上的隐患。 什么是攻击行为？ 基本上任何一种危及到一台机器安全的行为都可以认为是一种攻击行为。 危及包括以下几个方面： 可以访问 使访问简单化 使一个系统脱机 使敏感信息的敏感度降低 什么是攻击行为？ 对攻击的定义：一种攻击行为是“一个安全漏洞或一个安全漏洞的一种情况”。 上面指出了非常重要的一点：如果有攻击行为，那就必须存在能威胁的弱点。如果没有薄弱环节，那就没有什么好攻击的。所以大多数人说真正安全的系统是没有联网的机器。 攻击的步骤 1）被动的侦察 2）主动的侦察 3）入侵系统 4）上传程序 5）下载数据 6）保持访问 7）隐藏踪迹 （注意并不是每一步都会执行） 我们从攻击者的观点来简要执行一下每一步。当攻击者有了关于这个系统的任何一般信息后就开始窥视系统。这