安全运维技术培训PPT-网络运维技术培训PPT.ppt

LOGO 安全运维-技术部分 LOGO 上海XX信息技术有限公司 上海市浦东新区龙东大道 邮编： 电话： 传真： www.XX.com.cn 目录： 一. 网络安全态势 二. 安全运维基础技术 三. 网络攻击介绍 四. 安全运维防御措施 www.XX.com.cn 一.网络安全态势 网络安全表现特点 网络安全威胁来源 网络安全威胁因素 www.XX.com.cn 一.网络安全态势 2011年，在政府相关部门、互联网服务机构努力下，我国互联 网网络安全状况继续保持平稳状态，政府网站安全事件显著 减少，未发生造成大范围影响的重大网络安全事件。根据国 家互联网应急中心的统计，主要表现为以下六大特点 ： 1.基础网络安全防护能力不足 2.政府网站页面被篡改事件频发，信息泄露引发关注 3.我国遭受境外网络攻击增多 4.木马和僵尸网络活动越发猖獗 5.应用软件漏洞呈现增长趋势 6.拒绝服务攻击事件频发 网络安全表现特点 www.XX.com.cn 一.网络安全态势 1.基础网络安全防护能力不足 q 相关的信息安全漏洞数量较多。据国家信息安全漏洞共享平台（ CNVD）收录的漏洞统计，2011年发现涉及电信运营企业网络设备 （如路由器、交换机等）的漏洞203个，其中高危漏洞73个。发现 域名解析系统零日漏洞23个, 其中Bind9漏洞7个。 q 涉及电信运营企业的攻击形势严峻 网络安全表现特点 q 2011年境内被篡改网站数量为36612个，较2010年增加5.1%； q 2011年底， CSDN、天涯等网站发生用户信息泄露事件引起社会广 泛关注，严重威胁了互联网用户的合法权益和互联网安全 。 www.XX.com.cn 一.网络安全态势 2.政府网站页面被篡改事件频发，信息泄露引发关注 网络安全表现特点 q 我境内受控主机数量大幅增长，由2010年的近500万增加至近890 万。美国以9528个IP地址控制着我国境内近885万台主机，控制我 国境内主机数高居榜首。 www.XX.com.cn 一.网络安全态势 3.我国遭受境外网络攻击增多 网络安全表现特点 q 2011年，CNCERT全年共发现近890万余个境内主机IP地址感染了 木马或僵尸程序，较2010年大幅增加78.5%。其中，感染窃密类 APT木马的境内主机IP地址为5.6万余个，国家、企业以及网民的信 息安全面临严重威胁。 一.网络安全态势 4.木马和僵尸网络活动越发猖獗 www.XX.com.cn 网络安全表现特点 q 2011年，CNVD公开发布信息安全漏洞5547个，较2010年大幅增 加60.9%。其中，高危漏洞有2164个，较2010年增加约2.3倍。 在 所有漏洞中，涉及各种应用程序的最多，占62.6%，涉及各类网站 系统的漏洞位居第二，占22.7%，而涉及各种操作系统的漏洞则排 到第三位，占8.8%。 一.网络安全态势 5.应用软件漏洞呈现增长趋势 www.XX.com.cn 网络安全表现特点 q 我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件 365起。其中，TCP SYN FLOOD和UDP FLOOD等常见虚假源IP 地址攻击事件约占70%，对其溯源和处置难度较大。 一.网络安全态势 6. 拒绝服务攻击事件频发 www.XX.com.cn 网络安全表现特点 一.网络安全态势 www.XX.com.cn 网络 内部、外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 信息丢失、篡 改、销毁 后门、隐蔽通道 蠕虫 网络安全威胁来源 信息系统自身安全的脆弱性 操作系统与应用程序漏洞 安全管理问题 黑客攻击 网络犯罪 一.网络安全态势 网络安全威胁因素 www.XX.com.cn 信息系统自身安全的脆弱性 n 信息系统脆弱性指信息系统的硬件资源、通信资源、软 件及信息资源等，因可预见或不可预见甚至恶意的原因 而可能导致系统受到破坏、更改、泄露和功能失效，从 而使系统处于异常状态，甚至崩溃瘫痪等的根源和起 因。 n 这里我们从以下三个层面分别进行分析： ü 硬件组件 ü 软件组件 ü 网络和通信协议 一.网络安全态势 www.XX.com.cn 信息系统自身安全的脆弱性 l 信息系统硬件组件安全隐患多源于设计，主要表现为物 理安全方面的问题。 l 硬件组件的安全隐患除在管理上强化人工弥补措施外， 采用软件程序的方法见效不大。 在设计、选购硬件时，应尽可能减少或消除硬件 组件的安全隐患 ü 硬件组件的安全隐患 一.网络安全态势 www.XX.com.cn 信息系统自身安全的脆弱性 l 软件组件的安全隐患来源于设计和软件工程实施中遗留 问题： 软件设计中的疏忽 软件设计中不必要的功能冗余、软件过长过大 软件设计部按信息系统安全等级要求进行模块化设计 软件工程实现中造成的软件系统内部逻辑混乱 ü 软件组件的安全隐患 一.网络安全态势 www.XX.com.cn 信息系统自身安全的脆弱性 ü 网络和通信协议的安全隐患 l 协议：指计算机通信的共同语言，是通信双方约定好的 彼此遵循的一定规则。 l TCP/IP协议簇是目前使用最广泛的协议，但其已经暴露 出许多安全问题。 TCP序列列猜测 路由协议缺陷 数据传输加密问题 其它应用层协议问题 一.网络安全态势 www.XX.com.cn 操作系统与应用程序漏洞 n 操作系统系统是用户和硬件设备的中间层，操作系统一 般都自带一些应用程序或者安装一些其它厂商的软件工 具。 n 应用软件在程序实现时的错误，往往就会给系统带来漏 洞。漏洞也叫脆弱性（Vulnerability），是计算机系统在 硬件、软件、协议的具体实现或系统安全策略上存在的 缺陷和不足。 n 漏洞一旦被发现，就可以被攻击者用来在未授权的情况 下访问或破坏系统，从而导致危害计算机系统安全的行 为。 一.网络安全态势 www.XX.com.cn 安全管理问题 一.网络安全态势 n 管理策略不够完善，管理人员素质低下，用户安全意识 淡薄，有关的法律规定不够健全。 n 管理上权责不分，缺乏培训意识，管理不够严格。 n 缺乏保密意识，系统密码随意传播，出现问题时相互推 卸责任。 www.XX.com.cn 一.网络安全态势 www.XX.com.cn n 黑客（hacker），源于英语动词hack，意为“劈，砍” ，引申为“干了一件非常漂亮的工作”。在早期麻省理 工学院的校园俚语中，“黑客”则有“恶作剧”之意， 尤指手法巧妙、技术高明的恶作剧。 n 他们通常具有硬件和软件的高级知识，并有能力通过创 新的方法剖析系统。 n 网络黑客的主要攻击手法有：获取口令、放置木马、web 欺骗技术、电子邮件攻击、通过一个节点攻击另一节 点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特 权等。 黑客攻击 一.网络安全态势 www.XX.com.cn 黑客攻击 黑客分类 灰帽子破解者 破解已有系统 发现问题 /漏洞 突破极限/禁制 展现自我 计计算机 为为人民服务务 漏洞发现 - Flashsky 软件破解 - 0 Day 工具提供 - Glacier 白帽子创新者 设计 新系统 打破常规 精研技术 勇于创新 没有最好， 只有更好 MS -Bill Gates GNU -R.Stallman Linux -Linus 善 黑帽子破坏者 随意使用资源 恶意破坏 散播蠕虫病毒 商业间谍 人不为为己， 天诛诛地灭灭 入侵者 -K.米特尼克 CIH -陈盈豪 攻击Yahoo -匿名 恶恶 渴求自由 一.网络安全态势 www.XX.com.cn 黑客攻击 常见黑客攻击及入侵技术 19801985199019952000 密码码猜测测 可自动动复制的代码码 密码码破解 利用已知的漏洞 破坏审计审计 系统统 后门门 会话话劫持 擦除痕迹 嗅探 包欺骗骗 GUI远远程控制 自动动探测扫测扫 描 拒绝绝服务务 www 攻击击 工具 攻击击者 入侵者水平 攻击击手法 半开放隐隐蔽扫扫描 控制台入侵 检测检测 网络络管理 DDOS 攻击击 2005 高 一.网络安全态势 www.XX.com.cn 网络犯罪 n 网络数量大规模增长，网民素质参差不齐，而这一领域 的各种法律规范未能及时跟进，网络成为一种新型的犯 罪工具、犯罪场所和犯罪对象。 n 网络犯罪中最为突出的问题有：网络色情泛滥成灾，严 重危害未成年人的身心健康；软件、影视唱片的著作权 受到盗版行为的严重侵犯；电子商务备受诈欺困扰；信 用卡被盗刷；购买的商品石沉大海，发出商品却收不回 货款；更有甚者，侵入他人网站、系统后进行敲诈，制 造、贩卖计算机病毒、木马或其它恶意软件，已经挑战 计算机和网络几十年之久的黑客仍然是网络的潜在危 险。 二.安全运维基础技术 安全运维概念 安全运维目标 安全运维内容 安全运维架构 安全运维技术和工具 www.XX.com.cn 二.安全运维基础技术 安全运维概念 安全运维就是为了保障政府或企事业单位用户电 子业务安全、稳定和高效运行而采取的生产组织 管理活动，简单来说就是使用各种IT维护手段保 障用户电子业务安全、稳定、高效的运行。 www.XX.com.cn 二.安全运维基础技术 如何保证单位网络有效、可靠、安全、经济的运行 ？ u 对自身网络结构非常清晰 u 对单位业务应用非常了解 u 对日常业务软件的掌握 u 了解常用的网络安全技术 u 熟练掌握单位现有网络设备的配置与操作 u 掌握常用的网络故障诊断技术 www.XX.com.cn 二.安全运维基础技术 www.XX.com.cn 安全运维目标 通过安全运维提高用户网络运行质量，做到设备 资产清晰、网络运行稳定有序、事件处理处置有 方、安全措施有效到位，提升网络支撑能力，提 高网络管理、安全管理水平，保障信息平台稳 定、持续的运行。 www.XX.com.cn 二.安全运维基础技术 安全运维内容 安全检查 安全运维 安全监控 安全通告 补丁管理 日志分析 漏洞检测 渗透测试 源代码扫描 安全风险评估 安全策略加固 应急响应 安全培训 二.安全运维基础技术 安全运维架构 安全运维计划 资产管理脆弱性管理威胁管理 安全通告 补丁管理 安全监控 安全配置 安全加固 应急响应 安全检查 漏洞检测 渗透测试源代码扫描 安全风险评估 安全培训 周 期 性 安 全 运 维 报 告 www.XX.com.cn 二.安全运维基础技术 安全运维技术和工具 www.XX.com.cn 运维维内容检查项检查项使用工具 网 站 安 全 监 控 安全性监控网页篡改HuaTech网站防护系统 域名劫持Webcare网站群警戒服务平台 关键词Hillstone防火墙 可用性监控网站连通性Webcare网站群警戒服务平台 业务功能Webcare网站群警戒服务平台 系统资源Webcare内网监控平台 本 地 安 全 检 查 安全设备IDS、IPS、防火墙、交换机等定期巡检 服务器操作系统硬件状态如磁盘、CPU、Memory定期巡检 服务器系统更新微软更新、WEB应用更新、防病毒更 新等 定期巡检 www.XX.com.cn 二.安全运维基础技术 运维维内容检查项检查项使用工具 本 地 安 全 监 控 系统日志审计系统日志、应用日志、安全日志等定期巡检 服务器安全策略管理员账号、密码策略、用户安全策略定期巡检 应用安全检测IIS、MSSQL等定期巡检 系统用户管理身份验证、访问控制、安全审计等定期巡检 源代码扫描CodeSecure扫描系统 网 站 漏 洞 扫 描 网站数据库安全评估扫描Shadow Database Scanner /DAS-DBSCA 服务器系统安全评估扫描NESSUS/Shadow Database Scanner/MBSA 主机漏洞扫描RJ-iTop网络隐患扫描系统 网络漏洞扫描RJ-iTop网络隐患扫描系统 网站漏洞检测Webcare网站群警戒服务平台 网 站 安 全 加 固 操作系统优化、升级、加固安全加固 数据库优化、升级、加固安全加固 网络设备 的配置优化、系统加固安全加固 安全管理优化安全加固 网络体系结构的优化设计安全加固 三.网络攻击介绍 u网络攻击过程一般可以分为 本地入侵 远程入侵 u在这里主要介绍远程攻击的一般过程： 远程攻击的准备阶段 远程攻击的实施阶段 远程攻击的善后阶段 www.XX.com.cn 三.网络攻击介绍 远程攻击的准备阶段 确定攻击目标 信息收集 服务分析 系统分析 漏洞分析 www.XX.com.cn 三.网络攻击介绍 确定攻击目标 Ø 攻击者在进行一次完整的攻击之前，首先要确定攻击 要达到什么样的目的，即给受侵者造成什么样的后 果。 Ø 常见的攻击目的有破坏型和入侵型两种。 破坏型攻击是指只破坏攻击目标，使之不能正常工作， 而不能随意控制目标上的系统运行。 入侵型攻击这种攻击要获得一定的权限才能达到控制攻 击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威 胁性也更大。因为攻击者一旦掌握了一定的权限、甚至是管 理员权限就可以对目标做任何动作，包括破坏性质的攻击。 远程攻击的准备阶段 www.XX.com.cn 三.网络攻击介绍 信息收集 Ø 包括目标的操作系统类型及版本、相关软件的类型、 版本及相关的社会信息 Ø 收集目标系统相关信息的协议和工具 Ping实用程序 TraceRoute、Tracert、X-firewalk程序 Whois协议 Finger协议 SNMP协议 远程攻击的准备阶段 www.XX.com.cn 三.网络攻击介绍 信息收集 Ø 举例： 在网络中主机一般以IP地址进行标识。 例如选定192.168.1.250这台主机为攻击目标，使用ping命 令可以探测目标主机是否连接在Internet中。 在Windows下使用ping命令测试： ping 192.168.1.250 测试结果如下页图所示。 说明此主机处于活动状态。 远程攻击的准备阶段 www.XX.com.cn 三.网络攻击介绍 信息收集 远程攻击的准备阶段 www.XX.com.cn 三.网络攻击介绍 服务分析 Ø 探测目标主机所提供的服务、相应端口是否开放、各 服务所使用的软件版本类型：如利用Telnet、haktek等 工具，或借助SuperScan、Nmap等这类工具的端口扫描 或服务扫描功能。 Ø 举例： Windows下，开始运行cmd 输入：telnet 192.168.1.250 80，然后回车 结果如下页图所示，说明192.168.1.250这台主机上运行了 http服务，Web服务器版本是IIS 5.1 远程攻击的准备阶段 www.XX.com.cn 三.网络攻击介绍 服务分析 远程攻击的准备阶段 www.XX.com.cn 三.网络攻击介绍 远程攻击的准备阶段 资料分享 l 15年资深项目经理项目实战资料分 享！ l 关注更多此类文章，请点击 http:/url.cn/IIJCdK www.XX.com.cn 三.网络攻击介绍 远程攻击的准备阶段 系统分析 Ø 确定目标主机采用何种操作系统 Ø 举例： 在Windows下安装Nmap v4.20扫描工具，此工具含OS Detection的功能（使用-O选项）。 打开cmd.exe，输入命令：nmap O 192.168.1.250，然后 确定 探测结果如下页图所示，说明操作系统是Windows 2000 SP1、SP2或者SP3 www.XX.com.cn 三.网络攻击介绍 远程攻击的准备阶段 系统分析 www.XX.com.cn 三.网络攻击介绍 远程攻击的准备阶段 漏洞分析 Ø 分析确认目标主机中可以被利用的漏洞 Ø 手动分析：过程复杂、技术含量高、效率较低 Ø 借助软件自动分析：需要的人为干预过程少，效率 高。如Nessus、X-Scan等综合型漏洞检测工具、eEye等 专用型漏洞检测工具等。 Ø 举例： 在Windows下使用eEye Sasser Scanner对目标主机 192.168.1.18进行系统漏洞分析。探测结果如下页图所示， 说明目标主机存在震荡波漏洞。 www.XX.com.cn 三.网络攻击介绍 远程攻击的准备阶段 漏洞分析 www.XX.com.cn 远程攻击的实施阶段 三.网络攻击介绍 u作为破坏性攻击，可以利用工具发动攻击即可。 u作为入侵性攻击，往往需要利用收集到的信息，找到 其系统漏洞，然后利用漏洞获取尽可能高的权限。 u攻击的主要阶段包括： ü 预攻击探测：为进一步入侵提供有用信息 ü 口令破解与攻击提升权限 ü 实施攻击：缓冲区溢出、拒绝服务、后门、木马、病毒 www.XX.com.cn 远程攻击的善后阶段 三.网络攻击介绍 p 入侵成功后，攻击者为了能长时间地保留和巩固他对 系统的控制权，一般会留下后门。 p 此外，攻击者为了自身的隐蔽性，须进行相应的善后 工作隐藏踪迹： ü 攻击者在获得系统最高管理员权限之后就可以任意修改系统 上的文件了，所以一般黑客如果想隐匿自己的踪迹，最简单 的方法就是删除日志文件 ü 但这也明确无误地告诉了管理员系统已经被入侵了。更常用 的办法是只对日志文件中有关自己的那部分作修改，关于修 改方法的细节根据不同的操作系统有所区别，网络上有许多 此类功能的程序。 www.XX.com.cn 入侵系统的常用步骤 三.网络攻击介绍 采用 漏洞 扫扫描 工具 选择选择 会用 的 方式 入侵 获获取 系统统 一定 权权限 提 升 为为 最 高 权权 限 安装 系统统 后门门 获获取敏感信息 或者 其他攻击击目的 www.XX.com.cn 较高明的入侵步骤 三.网络攻击介绍 端口 判断 判断 系统统 选择选择 最简简 方式 入侵 分析 可能 有漏 洞的 服务务 获获取 系统统 一定 权权限 提 升 为为 最 高 权权 限 安装 多个 系统统 后门门 清除 入侵 脚印 攻击击其 他系统统 获获取敏 感信息 作为为其 他用途 www.XX.com.cn 针对针对 网络络攻击击我们们怎么办办？ www.XX.com.cn 四.安全运维防御措施 个个个个人用人用户户户户防防护护护护措施措施 加密重要文件 防火墙 定期升级补丁 杀毒软件定期升级和杀毒 定期备份系统或重要文件 防护措施 www.XX.com.cn 四.安全运维防御措施 防止黑客入侵防止黑客入侵 关闭不常用端口 关闭不常用程序和服务 及时升级系统和软件补丁发现系统异常立刻检查 www.XX.com.cn 四.安全运维防御措施 常用的防常用的防护护护护措施措施 完善安全管理制度 采用访问控制措施 运行数据加密措施 数据备份与恢复 www.XX.com.cn 四.安全运维防御措施 风险风险风险风险 管理管理 u 风险管理的概念 识别风险、评估风险、采取步骤降低风险到可接受 范围 u 风险管理的目的 防止或降低破坏行为发生的可能性 降低或限制系统破坏后的后续威胁 www.XX.com.cn 四.安全运维防御措施 风险风险风险风险 管理管理 案例案例 www.XX.com.cn 四.安全运维防御措施 网络网络网络网络 安全安全事件事件应对应对应对应对 措施措施 对于非法访问及攻击类 对于病毒、蠕虫、木马类 对于内部信息泄露、非法外联、内部攻击类 对于系统统一管理、信息分析、事件分析响应 www.XX.com.cn 四.安全运维防御措施 对于非法访问及攻击类 -在非可信网络接口处安装 访问控制防火墙、蠕虫墙、Dos/DDos墙、 IPsec VPN、SSL VPN、内容过滤系统 www.XX.com.cn 四.安全运维防御措施 防火墙墙、IPSEC VPN、 SSL VPN、内容过滤过滤 等 防DOS/DDOS设备设备 语音教室网段 财务网段 多媒体教室网段内部办公 网段1 数字图书馆网段内部办公NOA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 www.XX.com.cn 四.安全运维防御措施 对于病毒、蠕虫、木马类 -实施全网络防病毒系统 对于垃圾邮件类 -在网关处实施防垃圾邮件系统 www.XX.com.cn 四.安全运维防御措施 邮邮件过滤过滤 网关、 反垃圾邮邮件系统统 在MAIL系统统中邮邮件 病毒过滤过滤 系统统、反垃 圾邮邮件系统统 语音教室网段 财务网段多媒体教室网段内部办公 网段1 数字图书馆网段 内部办公NOA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 www.XX.com.cn 四.安全运维防御措施 对于内部信息泄露、非法外联、内部攻击类 -在各网络中安装IDS系统 -在系统中安装安全隐患扫描系统 -在系统中安装事件分析响应系统 -在主机中安装资源管理系统 -在主机中安装防火墙系统 -在重要主机中安装内容过滤系统 -在重要主机中安装VPN系统 www.XX.com.cn 人事商务网段 语音教室网段 财务网段多媒体教室网段内部办公 网段1 数字图书馆网段 内部办公NOA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 四.安全运维防御措施 www.XX.com.cn 四.安全运维防御措施 对于系统统一管理、信息分析、事件分析 -在网络中配置管理系统 -在网络中配置信息审计系统 -在网络中配置日志审计系统 -在网络中补丁分发系统 -在网络中配置安全管理中心 www.XX.com.cn 销售体系 网段N 安全审审 计计中心 01010100 0101010001010100 0101010001010100 01010100 01010100 01010100 01010100 01010100 01010100 语音教室网段 财务网段多媒体教室网段内部办公 网段1 数字图书馆网段 内部办公NOA网段 教学网段3 教学网段2 教学网段4 网管网段 校园网服务器群 教学网段5 四.安全运维防御措施 www.XX.com.cn LOGO