信息安全基础 与ISEC项目 国家信息化安全教育认证管理中心ISEC.

Presentation on theme: "信息安全基础 与ISEC项目 国家信息化安全教育认证管理中心ISEC."— Presentation transcript:

1 信息安全基础 与ISEC项目 国家信息化安全教育认证管理中心ISEC

2 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍

3 一 信息安全概况 安全威胁 威胁来源 产品和市场 研究与开发 安全人才 互联网正在成为企业、社会的信息基础设施互
# Internet/Extranet/Intranet # TCP/IP 、B/W/D •互联网渗透到经济、文化、社会各个领域领域 # $10000 亿以上产值亿 # 进入进入10~20 10~20个网上数据库个网上数据库 •互联网催生的新型虚拟业务层出不穷 # EC 、EG、NM 、DL 、DE 、DM 、NB 、NS # VL 、VE 、、VC 、VMA 、VMV •互联网推动起一个巨大的产业（5C）） # 创建业、联络业、内容业、消费业、管制业

4 安全威胁 政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。

5 安全威胁 2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。 中美黑客网上大战时，国内外的上千个门户网站遭到破坏。

6 安全威胁 2003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王” 。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。 美欲用电脑赢战争， 网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。 国外媒体报道，预测显示，包括韩国在内，轰动全世界的新型蠕虫病毒“2003蠕虫王”造成的全世界范围内损失额最高可达12亿美元。 震惊全球的蠕虫病毒直接损失达12亿美元     国外媒体报道，预测显示，包括韩国在内，轰动全世界的新型蠕虫病毒“2003蠕虫王”造成的全世界范围内损失额最高可达12亿美元。     2日，据信息技术（IT）产业专业网络C.net提供的情况，英国市场调查机构Mi2g公司预测，“2003蠕虫王”病毒出现的第5天，全世界范围内的生产性损失额达到9.5亿美元，最高可达到12亿美元损失额。     这样的损失额与“求职信”、“情书”等以前的“职业病毒”相比，尚属于小巫见大巫。据预测，求职信、情书、红色代码等病毒的生产性损失额分别为90亿、88亿、26亿美元。在该公司统计的病毒损失额中，“2003蠕虫王”病毒排名第九。     Mi2g公司列举的主要损失包括：     △作为互联网主要基础的域名服务器（DNS）的瘫痪     △银行自动提款机的运作中断     △机票等网络预订系统的运作中断     △信用卡等收付款系统出现故障     △在韩国、中国等亚洲发生的互联网瘫痪事件。     据分析，“2003蠕虫王”病毒直接受害者大部分是不能连接互联网和无法预订机票的普通百姓，因此“直接损失”比以往任何一个病毒都大。 作为第一个真正的“高速”病毒：“2003蠕虫王”的传播数度比当年的“红色代码”快两个数量级：在头一分钟之内，感染主机数量每8.5秒增长一倍；3分钟后该病毒的传播速度达到峰值（每秒钟进行5500万次扫描）；接下来，其传播速度由于自身挤占了绝大部分网络带宽而开始下降；10分钟后，易受攻击的主机基本上已经被感染殆尽。题图是“2003蠕虫王”发作30分钟后在全球的感染面积，其传播速度、破坏力可见一斑。 事实上，五角大楼一直在倾力研究所谓的“网络武器”，以便有朝一日能实现电子技术代替火药炸弹的更快速、“少流血”的远程袭击。据《华盛顿邮件》报道，布什政府一直对获取各类“可改变战争方式”的武器系统非常感兴趣。白宫官员表示，美国现在完全有能力发动“网上袭击战”。在可能爆发的对伊战争中，美国有意对巴格达展开一场全新的网上战争。不过，有关美军网上作战的细节至今仍属高度机密范畴，从某种意义上说，美国军方对这种新型作战方法的保密程度甚至比当年有关何时动用核武器的计划还要严格许多。 美国空军已于1996年8月在南卡罗来纳州的空军基地建立起计算机应急反应分队，即空军609信息战中队，该中队共有55名成员，从受到特殊训练的计算机操作人员和监控人员中择优录取；美国陆军计算机应急反应分队的职责是，与自动系统安全应急支援分队一起维护各陆军基地的信息系统安全，但其重点是对付战术层次的计算机威胁，特别是自动化指挥控制系统；美国海军计算机应急反应分队则隶属于大西洋舰队的“舰队信息战中心”，该分队研制的自动安全事故检测系统能够改进信息系统的监控能力。

7 安全威胁 中国国内80%网站有安全隐患，20％网站有严重安全问题 中国的银行过去两年损失1.6亿人民币
利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%

8 威胁来源 互联网存在的六大问题 网络和系统的自身缺陷与脆弱性 国家、政治、商业和个人利益冲突 无主管的自由王国 不设防的网络空间
法律约束脆弱 跨国协调困难 民族化和国际化的冲突 网络资源紧缺 网络和系统的自身缺陷与脆弱性 国家、政治、商业和个人利益冲突 互联网存在的六大问题互联网存在的六大问题— •无主管的自由王国： 有害信息、非法联络、违规行为• •不设防的网络空间： 国家安全、企业利益、个人隐私 •法律约束脆弱法律约束脆弱：黑客犯罪、知识侵权、避税 •跨国协调困难：过境信息控制、跨国黑客打击、关税 •民族化和国际化的冲突：文化传统、价值观、语言文字 •网络资源紧缺：IP地址、域名、带宽 — 网络自身的脆弱性— •网络系统的安全脆弱点网络系统的安全脆弱点 Solaris:34 /99年， 年，W2000 有上万个有上万个Bug 、TCP/IP •网络的扩展与业务负荷澎涨： 信息量半年长一倍，，网民年增涨30% 网络带宽瓶颈和信息拥挤 •社会与经济对网络的巨大依赖性： US：30% 股市、25%产品、30% 金融、50% 人口 •灾难恢复的脆弱性 “AOL”96 年10 小时系统故障影响700 万用户 2000 年2.7 事件8大网站瘫痪24~72 — 机要信息流失与信息间谍潜入— •国家机密信息、企业关键信息、个人隐私 •Web Web发布、电子邮件、文件传送的泄漏发布、电子邮件、文件传送的泄漏 •予谋性窃取政治和经济情报 •CIA 统计入侵美国要害系统的案件 年增长率为30% •14% 部门出现过网上失密 •我国信息网络发展必然成为其重要目标 — 信息战与网络恐怖活动信息战— •有组织、大规模的网络攻击预谋行为： 网络恐怖活动—— ——恐怖集团行为 信息战争—— ——国家行为 针对信息要害目标的恶性破坏 •无硝烟的战争： 跨国界、隐蔽性、低花费、跨领域 高技术性、情报不确定性 •要害目标： 金融支付中心、证券交易中心 空中交管中心、铁路调度中心 电信网管中心、军事指挥中心 电力调度中心、关键信息基础设施

9 世界网络安全产品市场 市场规模（亿美元） 年份 增长率 20 40 60 80 100 120 140 160 2000 2001 2002
20 40 60 80 100 120 140 160 2000 2001 2002 2003 2004 2005 年份 市场规模（亿美元） 0.05 0.1 0.15 0.2 0.25 0.3 增长率

10 国内安全产品需求 40.00% 35.00% 30.00% 25.00% 20.00% 15.00% 10.00% 0.00% 用户需求 无
防火墙 防病毒 入侵检测 露洞扫描 加密与数字签名 VPN 授权与认证 企业级系统扫描和专家管理系统 36.50% 31.50% 26.00% 18.50% 11.00% 9.00% 8.00% 5.00% 3.00% 0.00% 10.00% 15.00% 20.00% 25.00% 30.00% 35.00% 40.00% 用户需求

11 国内安全产品使用 防病毒 防火墙 授权和认证 VPN 入侵检测 漏洞扫描 加密与数字签名 企业级系统扫描和专家管理系统 其它 100.00% 95.50% 90.00% 80.00% 70.00% 60.00% 50.00% 45.00% 40.00% 30.00% 20.00% 10.00% 5.00% 4.50% 4.00% 3.50% 1.50% 1.00% 0.00% 0.00% 1

12 中国网络安全产品市场 市场规模（万美元） 增长率 年份 5000 10000 15000 20000 25000 30000 35000
5000 10000 15000 20000 25000 30000 35000 40000 2000 2001 2002 2003 2004 市场规模（万美元） 47.00% 48.00% 49.00% 50.00% 51.00% 52.00% 53.00% 54.00% 55.00% 56.00% 57.00% 58.00% 增长率

13 产品和市场 中国信息安全产品测评认证中心每年认证的安全产品达十几类，上百种。 几百家国内外厂商，投资金额巨大。
1998－2000 安全产品300多个 2001－2002 安全产品600多个 几百家国内外厂商，投资金额巨大。 核心技术国外控制。

14 国家安全战略 1998年5月22日，克林顿政府颁布《对关键基础设施保护的政策：第63号总统令 》，2000年颁布《信息系统保护国家计划v1.0》 。 2002年9月18日和20日，布什政府颁布《保护网络空间的国家战略（草案）》和《美国国家安全战略》。 2003年2月14日布什政府颁布《保护网络空间的国家战略 》和《反恐国家战略 》。 •互联网安全问题正在进入国家战略层 克林顿2月16日召开网络安全高峰会议日 支持$900 万建立高科技安全研究所 拔款$20 亿建基础设施打击网络恐怖活动

15 国家安全战略 2002年7月19日“国家信息安全保障体系战略研讨会”在北京科技会堂召开，由中国工程院和国家信息化工作办公室主办，由交大信息安全体系结构研究中心承办。 2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办，由信息安全国家重点实验室主办。 2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办，由信息安全国家重点实验室主办。介绍美国布什政府发布的一系列国家信息保障战略，内容涉及国家战略、银行与金融部门的信息保障战略、应急法律执法服务部门的信息保障战略、电子政务安全、网络安全、信息保障战略技术研发计划等。

16 学术研究和技术开发 国家863信息安全技术主题课题 研究所和重点实验室 高校的专业方向
专题一、信息安全基础核心技术 　　1．密码算法标准及其高速芯片实现技术(重点课题，ZD01-01) 　　2．PKI关键技术(ZT01-02) 　　3．信息系统平台安全核心技术(ZT01-03) 　　专题二、信息安全综合防御关键技术 　　1．大规模入侵检测与战略预警技术(ZT02-01) 　　2．应急响应和事件恢复技术(重点课题，ZD02-02) 　　3.网络信息内容分析与监控技术(ZT02-03) 　　4．网络病毒防治技术(ZT02-04) 　　5．信息安全积极防御技术(ZT02-05) 　　专题三、网络环境安全应用技术 　　1.网络环境安全应用技术(ZT03-01) 　　专题四、信息安全新技术 　　1.信息安全新技术 •互联网安全问题正在进入国家战略层 克林顿克林顿2月月16 16日召开网络安全高峰会议日 支持支持$900 $900万建立高科技安全研究所 拔款拔款$20 $20亿建基础设施打击网络恐怖活动

17 安全人才需求 国家重点科研项目的需求 专业安全产品公司的需求 应用行业的管理、应用和维护的需求
对网络信息安全人才的需求在今后几年内将超过100万，但专业的网络与信息安全机构在国内却屈指可数。 网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明，网络信息安全人才必将成为信息时代最热门的抢手人才。 网络信息技术飞速发展，网络使用人数的增长速度超出人们的想象便。人们享受数字化时代所带来的便捷和刺激的同时，却越来担心自身系统或信息的稳定和安全。市场对网络信息安全的巨大需求使得社会对网络信息安全人才的需求在今后几年内将超过100万，但专业的网络与信息安全机构在国内却屈指可数，网络信息安全培训的市场容量是无庸置疑的。就目前网络状况而言，网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明，网络信息安全人才必将成为信息时代最热门的抢手人才。

18 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍 网络安全的核心是信息安全。
一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍 网络安全的核心是信息安全。 ISO信息安全定义： 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

19 网络安全目前存在的威胁 网络 黑客攻击 后门、隐蔽通道 特洛伊木马 计算机病毒 信息丢失、篡改、销毁 拒绝服务攻击 逻辑炸弹 蠕虫
内部、外部泄密

20 网络入侵技术分类 系统弱密码入侵 利用CGI/IIS漏洞入侵 Buffer Overflow入侵 DOS/DDOS攻击 IP Spoof入侵
网络监听(sniffer) 数据库弱密码入侵 利用PHP程序漏洞入侵 其它

21 系统弱密码入侵 用户一般在设置操作系统的帐户密码的时候，一般会将其设置成为空，或者自己拼音，这是一个非常不好的习惯。除了操作系统口令外，还有一些设备都存在缺省密码，比如路由器、交换机和防火墙设备，如果管理员不修改这些默认的密码，这也将成为黑客入侵非常好的突破口之一。 口令安全的建议 　　每个人都应该重视保护自己帐户的口令，降低被他人截取的可能性，从而保护个人的资料资料以及系统的安全。保护口令安全的要点如下： 不要将口令写下来。 不要将口令存于计算机文件中。 口令要容易记住。 不要用字典中有的词作为自己的口令。 不要用诸如自己的生日、电话号码、寻呼机号码、纯数字或纯字母做口令。 口令应包含特殊字符。 口令应该在允许的范围内尽可能取长一点。 不要在不同系统上使用同一口令。 为防止眼明手快的人窃取口令，在输入口令时应确认没有人偷窥。 定期改变口令，至少6个月要改变一次。

22 系统弱密码入侵(续) 口令安全 口令破解 可逆与不可逆 通常口令的加密方法是不可逆的 猜测与穷举
Unix口令 通常限制在8位以内，56位密钥加密 john:Xd3rTCvtDs5/W:9999:13:John Smith:/home/john:/bin/sh NT口令 通常限制在14位以内 口令的设置过程中，许多其它个人因素在起作用， 许多人就是利用这些因素来解密的。由于口令安全性的考虑，人们会 被禁止把口令写在纸上，因此很多人都设法使自己的口令容易记忆， 而这就给黑客提供了可乘之机。 　　贝尔实验室的计算机安全专家R.Morris和K.Thompson提出了这样 一种攻击的可能性：可以根据用户的信息建立一个他可能使用的口令 的字典，比如：他父亲的名字、女朋友的生日或名字，街道的名字等 等。然后对这个字典进行加密，每次拿出一个经过加密计算的条目与 口令文件比较，若一致，口令就被猜到了。

23 系统弱密码入侵(续) 口令破解的时间 Unix口令 6位小写字母穷举:36小时 8位小写字母穷举:3年
NT口令 8位小写字母及数字穷举，时间通常不超过30小时 Windows口令文件 SAM，即安全账号管理数据库（Security Accounts Management Database）,它是Win NT/2000操作系统的核心，其中存放了本地机和操作系统所控制域的组帐号及用户帐号信息。SAM中的开始存放了域中各组的描述信息和权限信息，接下来的部分存放了域用户的描述信息和加密后的密码数据等。超级用户Administrator的密码存放在SAM 文件中最后一个"Administrator"字串之后。SAM这个文件位于winnt/system32/config目录下，它在系统运行时受操作系统保护，即使是超级用户也无法直接打开，只能通过"域用户管理器"来操作。但还是有办法访问SAM，如果本机不定期存在另一个操作系统，且另一个系统可以访问Win NT/2000系统文件的所在的分区的话。这时候，SAM的安全总是就暴露出来了：任何人只要把SAM文件删除或移动到另一个目录，然后再重新启动系统，在登录时使用"Administrator"帐号，用户密码为空，然后确认，便能以超级用户成功登录系统。 　　造成Win NT/2000这一安全隐患的原因是用户帐号太集中，都存放在SAM文件中。SAM一旦被人为改动，系统将在启动时报告错误并重新启动，实际是崩溃了。SAM文件一旦丢失，系统没有校验和恢复SAM文件的能力。 Unix口令文件 由于UNIX是Internet最流行的服务器操作系统，因此它的安全性 倍受关注。而这种安全主要靠口令实现。UNIX的口令仅仅存储在一个 加密后的文本文件中，文件一般储存在/etc目录下，名称为passwd。 历史上，UNIX口令加密算法曾经历过几次修正，现在普遍采用DES算 法。用DES算法对口令文件进行25次加密。而对每次DES加密产生的结 果，都要用2的56次方次查找才能进行一次遍历。 /etc/passwd文件是UNIX安全的关键文件之一.该文件用于用户登录时校验 用户的口令,当然应当仅对root可写.文件中每行的一般格式为: LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL 每行的头两项是登录名和加密后的口令,后面的两个数是UID和GID,接着的 一项是系统管理员想写入的有关该用户的任何信息,最后两项是两个路径名: 一个是分配给用户的HOME目录,第二个是用户登录后将执行的shell(若为空格则 缺省为/bin/sh).

24 系统弱密码入侵(续) 常用工具介绍 Jackal 的CrackerJack（用于dos平台）
John the Ripper（可用于dos/win95平台） L0pht （用于破解NT密码) 目前，最著名的口令Crack 工具是John the Ripper 与L0pht Crack。其中，John the Ripper用来破解Unix 系统口令，L0phtCrack 破解NT系统口令，它们有运行于不同平台的多个版本。 John the Ripper 这个软件由著名的黑客组织--UCF出品的网络密码破解软件，它支持Unix、Dos、Windows，方便好用速度超快，可以说是目前同类中最杰出的作品。对于老式的passwd档（就是没shadow的那种，任何人能看的都可以把passwd密文存下来），John可以直接读取并用字典穷举击破。对于现代的passwd+shadow的方式，John提供了UNSHADOW程序直接把两者合成出老式passwd文件。 L0pht 黑客组织“L0pht重工业”(L0pht Heavy Industries)号称是“白帽黑客精英中的摇滚巨星”，它在1997年发表了L0phtCrack这个软件，功效强大且容易使用，按一个键就可以破解密码，连新手也能操作自如。新版本的功能更是先进，利用一台Pentium II 450 电脑，可在一天内破解所有由字母与数字混合的密码。

25 利用CGI/IIS漏洞入侵 微软的IIS系统存在大量的安全隐患 目前大量服务器采用IIS发布网站 CGI介绍
    CGI(Common Gateway Interface)是HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具，其程序须运行在网络服务器上。 绝大多数的CGI程序被用来解释处理杰自表单的输入信息，并在服务器产生相应的处理，或将相应的信息反馈给浏览器。CGI程序使网页具有交互功能。     CGI程序在UNIX操作系统上CERN或NCSA格式的服务器上运行。在其它操作系统（如：windows NT及windows95等）的服务器上也广泛地使用CGI程序，同时它也适用于各种类型机器。 CGI处理步骤： ⑴通过Internet把用户请求送到服务器。 ⑵服务器接收用户请求并交给CGI程序处理。 ⑶CGI程序把处理结果传送给服务器。 ⑷服务器把结果送回到用户。 长期以来，WEB服务器的安全一直是大家关注的焦点，很多网上“黑客” 的行为也是修改别人的主页。CGI程序的安全性是WEB安全中一个非常重要的部分，大部分的80端口入侵都是通过CGI程序漏洞来进行的，所谓CGI漏洞是指CGI程序开发人员在开发CGI程序过程中忽略了对某些变量的过滤或者在程序中的某些句柄参数中留有安全问题，因此留下CGI程序的安全隐患，导致入侵者可以从80端口进入服务器，进而获得对服务器的控制权。

26 堆栈溢出技术 堆栈溢出原理 什么是堆栈 堆栈溢出
在长字符串中嵌入一段代码，并将过程的返回地址覆盖为这段代码的地址，这样当过程返回时，程序就转而开始执行这段自编的代码了. 堆栈 堆栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性: 最后一个放入堆栈中的物体总是被最先拿出来， 这个特性通常称为后进先处(LIFO)队列. 堆栈中定义了一些操作. 两个最重要的是PUSH和POP。 PUSH操作在堆栈的顶部加入一 个元素。POP操作相反， 在堆栈顶部移去一个元素， 并将堆栈的大小减一。 为什么使用堆栈? 现代计算机被设计成能够理解人们头脑中的高级语言。 在使用高级语言构造程序时 最重要的技术是过程(procedure)和函数(function)。 从这一点来看， 一个过程调用可 以象跳转(jump)命令那样改变程序的控制流程， 但是与跳转不同的是， 当工作完成时， 函数把控制权返回给调用之后的语句或指令。 这种高级抽象实现起来要靠堆栈的帮助。 堆栈也用于给函数中使用的局部变量动态分配空间， 同样给函数传递参数和函数返 回值也要用到堆栈。 堆栈区域 堆栈是一块保存数据的连续内存。 一个名为堆栈指针(SP)的寄存器指向堆栈的顶部。 堆栈的底部在一个固定的地址。 堆栈的大小在运行时由内核动态地调整。 CPU实现指令 PUSH和POP， 向堆栈中添加元素和从中移去元素。 堆栈由逻辑堆栈帧组成。 当调用函数时逻辑堆栈帧被压入栈中， 当函数返回时逻辑 堆栈帧被从栈中弹出。 堆栈帧包括函数的参数， 函数地局部变量， 以及恢复前一个堆栈 帧所需要的数据， 其中包括在函数调用时指令指针(IP)的值。 堆栈既可以向下增长(向内存低地址)也可以向上增长， 这依赖于具体的实现。 在我 们的例子中， 堆栈是向下增长的。 这是很多计算机的实现方式， 包括Intel， Motorola， SPARC和MIPS处理器。 堆栈指针(SP)也是依赖于具体实现的。 它可以指向堆栈的最后地址， 或者指向堆栈之后的下一个空闲可用地址。 在我们的讨论当中， SP指向堆栈的最后地址。 除了堆栈指针(SP指向堆栈顶部的的低地址)之外， 为了使用方便还有指向帧内固定 地址的指针叫做帧指针(FP)。 有些文章把它叫做局部基指针(LB-local base pointer)。 从理论上来说， 局部变量可以用SP加偏移量来引用。 然而， 当有字被压栈和出栈后， 这 些偏移量就变了。 尽管在某些情况下编译器能够跟踪栈中的字操作， 由此可以修正偏移 量， 但是在某些情况下不能。 而且在所有情况下， 要引入可观的管理开销。 而且在有些 机器上， 比如Intel处理器， 由SP加偏移量访问一个变量需要多条指令才能实现。 因此， 许多编译器使用第二个寄存器， FP， 对于局部变量和函数参数都可以引用， 因为它们到FP的距离不会受到PUSH和POP操作的影响。 在Intel CPU中， BP(EBP)用于这 个目的。 在Motorola CPU中， 除了A7(堆栈指针SP)之外的任何地址寄存器都可以做FP。 考虑到我们堆栈的增长方向， 从FP的位置开始计算， 函数参数的偏移量是正值， 而局部 变量的偏移量是负值。 当一个例程被调用时所必须做的第一件事是保存前一个FP(这样当例程退出时就可以 恢复)。 然后它把SP复制到FP， 创建新的FP， 把SP向前移动为局部变量保留空间。 这称为 例程的序幕(prolog)工作。 当例程退出时， 堆栈必须被清除干净， 这称为例程的收尾 (epilog)工作。 Intel的ENTER和LEAVE指令， Motorola的LINK和UNLINK指令， 都可以用于 有效地序幕和收尾工作。 堆栈溢出 堆栈溢出就是不顾堆栈中分配的局部数据块大小，向该数据块写入了过多的数据，导致数据越界，结果覆盖了老的堆栈数据。

27 堆栈实例 void function(int a, int b, int c) { char buffer1[5];
} void main() { function(1,2,3); 通过查看汇编语言输出，我们看到对function()的调用被翻译成： pushl $3 pushl $2 pushl $1 call function 以从后往前的顺序将function的三个参数压入栈中， 然后调用function()。 指令call 会把指令指针(IP)也压入栈中。 我们把这被保存的IP称为返回地址(RET)。

28 调用时堆栈情况 Buffer2 Buffer1 Sfp Ret A B C 内存低地址 堆栈顶部 堆栈底部 内存高地址
在函数中所做的第一件事情是例程的序幕工作： pushl %ebp movl %esp,%ebp subl $20,%esp 将帧指针EBP压入栈中。 然后把当前的SP复制到EBP，使其成为新的帧指针。 我们把这 个被保存的FP叫做SFP。接下来将SP的值减小， 为局部变量保留空间。 我们必须牢记：内存只能以字为单位寻址。 在这里一个字是4个字节， 32位。 因此5字节的缓冲区会占用8个字节(2个字)的内存空间， 而10个字节的缓冲区会占用12个字节(3个字) 的内存空间。 这就是为什么SP要减掉20的原因。这样我们就可以想象function()被调用时堆栈的模样。 堆栈底部 内存高地址

29 堆栈溢出程序实例 void function(char *str) { char buffer[16];
strcpy(buffer,str); } void main() { char large_string[256]; int i; for( i = 0; i < 255; i++) large_string[i] = 'A'; function(large_string); 这个程序的函数含有一个典型的内存缓冲区编码错误。该函数没有进行边界检查就复 制提供的字符串， 错误地使用了strcpy()而没有使用strncpy()。如果你运行这个程序就 会产生段错误。

30 调用函数时堆栈情况 Buffer sfp（0x41414141) ret（0x41414141) *str 内存低地址 堆栈顶部 堆栈底部
这里发生了什么事? 为什么我们得到一个段错误? 答案很简单: strcpy()将*str的 内容(larger_string[])复制到buffer[]里, 直到在字符串中碰到一个空字符。 显然， buffer[]比*str小很多。 buffer[]只有16个字节长， 而我们却试图向里面填入256个字节 的内容。 这意味着在buffer之后， 堆栈中250个字节全被覆盖。包括SFP， RET， 甚至*str！ 我们已经把large_string全都填成了A。 A的十六进制值为0x41。 这意味着现在的返回地 址是0x 。 这已经在进程的地址空间之外了。当函数返回时， 程序试图读取返回 地址的下一个指令， 此时我们就得到一个段错误。 黑客可以构造该返回地址，使程序跳转到黑客指定的程序入口，比如/bin/sh，从而远程获得root shell。 堆栈底部 内存高地址

31 存在堆栈溢出的服务 Unix NT Wu-FTPD Sendmail Apache httpd IIS 第三方服务程序 Wuftpd
wu-ftp(Washington University ftp server)是一个非常流行的unix/linux系统ftp服务器，它的6.0版本存在格式化串漏洞。由于在大多数Linux系统中它是默认安装的，所以相当多的网站都受这个漏洞的影响，针对它的攻击也是非常普遍的。         注意看要执行的vsnprintf()函数，它把fmt放在了格式串的参数位置上了。而这个fmt 正是由用户提交的命令cmd。回忆一下前面讲过的格式化串漏洞原理:如果*printf()系列 函数的格式串参数是由我们来提交的话，那么我们就可以用一串格式符来访问格式串前面 堆栈里的内容了，如果我们能访问到自己提交的内容，就可以在这内容的前面放上存放某个 函数返回地址的地址，然后就可以用%n来改写这个返回地址，使它跳转去执行我们提供 的shellcode。 Sendmail Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。

32 IP Spoof入侵技术 电子欺骗技术 冒充信任主机IP地址
　　 IP spoof即IP 电子欺骗，我们可以说是一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的技术。

33 标准TCP建立过程 SYN : 客户机 服务器 SYN : Ack 我们知道，IP是网络层的一个非面向连接的协议， IP数据包的主要内容由源IP地址，目地IP地址，所传数据构成， IP的任务就是根据每个数据报文的目的地址，路由完成报文从源地址到目的地址的传送。至于报文在传送过程中是否丢失或出现差错， IP不会考虑。对IP来讲，源设备与目的设备没有什么关系，它们是相互独立的。IP包只是根据数据报文中的目的地址发送，因此借助高层协议的应用程序来伪造IP地址是比较容易实现的。 与此同时，TCP作为保障两台通讯设备之间数据有保证的顺序传输的协议，是面向连接的，它需要连接双方同意才能进行通讯。TCP传输双方传送的每一个字节都伴随着一个序列号（SEQ），它期待对方在接收到后产生一个应答（ACK）， 应答一方面通知对方数据成功收到，另一方面告知对方希望接收的下一个字节。同时，任何两台设备之间欲建立TCP连接都需要一个两方确认的起始过程，称三次握手，可分解如下面来表示: 　　 第一步:请求方向服务方发送SYN，表示想发起一次TCP连接。我们假定这次的序列号是某个数值X Trust ->Target SYN SEQ:X 　　 第二步:服务方产生SYN，ACK响应，并向请求方发送ACK， ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。同时， 服务方向请求方发送自己的SEQ， 我们假定它的序列号是某个数值Y。 Target -> Trust SYN，ACK SEQ:Y ACK:X+1 　　 第三步: 请求方向服务方发送ACK，表示接收到服务方的回应。这次它的SEQ值为X+1，同时它的ACK值为Y+1，原理同上。 Trust ->Target ACK SEQ:X+1 ACK:Y+1 　　 完成这一步以后， 请求方与服务方之间的连接开放，数据可以进行传输了。 Ack

34 IP Spoof状态下TCP建立过程 SYN 1415531521:14155331521 修改源地址为信任主机IP
服务器 Ack 通过算法算出SEQ值+1 上面是标准TCP连接建立的过程，我们来看IP Spoof状态下的三次握手会是什么一种情况。 　　 第一步、Hack假冒Trust主机IP向服务方Target发送SYN，告诉Target 来自他所信任的Trust主机想发起一次TCP连接，序列号为数值X，这一步实现比较简单， Hack将IP包的源地址伪造为Trust主机IP地址即可。 Hack ->Target SYN SEQ:X 　　 要注意的是，在攻击的整个过程中，必须使Trust主机与网络的正常连接中断。因为SYN请求中IP包源地址是Trust主机的，当Target收到SYN请求时，将根据IP包中源地址反馈ACK，SYN给Trust主机， 但事实上Trust并未向Target发送SYN请求， 所以Trust收到后会认为这是一次错误的连接，从而向Target回送RST，中断连接。这可不是我们所企求的。为了解决这个问题，在整个攻击过程中我们需要设法停止Trust主机的网络功能，这一实现很简单，用现在威力很强大的tfn2k之类的分布式拒绝服务软件攻击Trust主机，使之拒绝服务即可。 　　 第二步、服务方Target产生SYN，ACK响应，并向请求方Trust主机（注意:是Trust，不是Hack，因为Target收到的IP包的源地址是Trust）发送ACK， ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。同时，Target向请求方Trust发送自己的SEQ，注意，这个数值对Hack是不可见的！！ Target -> Trust SYN，ACK SEQ:? ACK:X+1 　　 第三步、Hack再次向服务方发送ACK，表示接收到服务方的回应——虽然实际上他并没有收到服务方Targe的SYN，ACK响应。这次它的SEQ值为X+1，同时它必须猜出ACK的值！！并加一后回馈给Target。 Hack ->Target ACK SEQ:X+1 ACK:?+1 　　 如果Hack能成功的猜出Target 的ACK值，那么TCP的三次握手就宣告成功， Target会将Hack看作Trust主机，IP spoof最关键的技术部分得到解决！ 但有一点要清楚， Hack 主机这种连接是“盲人”式的，Hack永远不会收到来自Target的包，因为这些反馈包都被路由到Trust主机那里了(除非黑客能将相关骨干点的路由表内容做改动，记住：IP是独立的，它只是根据源地址，目的地址在互联网上路由传送。而在Hack向Target发送的三次握手IP包中源地址是宣称为Trust主机的) 我们可以不恰当的举个简单例子， Hack在Target上执行ls -l /，在Hack的屏幕上不会看到任何反馈，尽管事实上Target列出了根目录下的所有内容——Target将ls -l /结果送到了Trust主机。 　　 由上我们可以看出， IP spoof成功的关键在于猜出在第二步服务方所回应的SEQ值，有了这个值，TCP连接方可成功的建立。在早期，这是个令人头疼的问题，但随着IP spoof攻击手段的研究日益深入，一些专用的算法，技术得到应用，并产生了一些专用的c程序，如SEQ-scan,yaas等。当黑客利用这些c程序时， 一切问题都将迎刃而解。 SYN : Ack 信任主机

35 DOS/DDOS DOS DDOS 利用TCP/IP缺陷 拒绝服务攻击 分布式拒绝服务攻击 DOS
DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 DDOS 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

36 常见DOS工具 通过发送大量伪造的UDP数据包导致系统重启动 Bonk 通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃 TearDrop
SynFlood 通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动 Bloop 通过发送大量的ICMP数据包导致系统变慢甚至凝固 Jolt 通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动

37 实例：SynFlood现象 攻击者伪造源地址，发出Syn请求 服务器端性能变慢，以及死机 服务器上所以服务都不能正常使用
SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分散式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或记忆体不足）的攻击方式。

38 1.1.1.1(TCP连接无法建立，造成TCP等待超时）
SynFlood原理 (TCP连接无法建立，造成TCP等待超时） Ack Syn 伪造源地址( ) 大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和用户端之间传送TCP资料，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程我们在前面已经做过详细描述，下面我们分析一下黑客如何利用SynFlood时候TCP建立的过程： 首先，请求端（用户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明用户端使用TCP连接的初始序号；此时黑客会修改源地址，比如修改为 。 第二步，服务器在收到用户端的SYN报文后，将返回一个SYN+ACK的报文，表示用户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。服务器会安装接收到的源地址进行返回Syn+Ack报文。 第三步，由于该源地址是一个不存在的地址( ) ，因此服务器发送的syn+ack报文不可能成功，这种情况下服务器一般会重试（再次发送SYN+ACK给用户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1 分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量类比这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源---数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和记忆体，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆叠溢位崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟用户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作： 服务器端受到了SYN Flood攻击（SYN洪水攻击）。 IP: 大量的伪造数据包发向服务器端

39 DDOS攻击 黑客控制了多台服务器，然后每一台服务器都集中向一台服务器进行DOS攻击
以下是攻击者常用的分布式拒绝服务攻击工具：  ◆ Trinoo  客户端、主控端和代理端主机相互间通讯时使用如下端口：  tcp tcp udp udp  重要提示：以上所列出的只是该工具的缺省端口，仅作参考。这些端口可以轻 易被修改。  ◆ TFN  客户端、主控端和代理端主机相互间通讯时使用ICMP ECHO和ICMP ECHO REPL Y数据包。  ◆ Stacheldraht  客户端、主控端和代理端主机相互间通讯时使用如下端口和数据包：  tcp tcp ICMP ECHO ICMP ECHO REPLY  重要提示：以上所列出的只是该工具的缺省端口，仅作参考。这些端口可以轻 易被修改。  ◆ TFN2K  客户端、主控端和代理端主机相互间通讯时并没有使用任何指定端口（在运行 时指定或由 程序随机选择），但结合了UDP、ICMP和TCP数据包进行通讯。 

40 分布式拒绝服务攻击 美国几个著名的商业网站（例如Yahoo、eBay、CNN、Amazon、buy.com等）遭受黑客大规模的攻击，造成这些高性能的商业网站长达数小时的瘫痪。而据统计在这整个行动中美国经济共损失了十多亿美元。 这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。 现在许多公司高度倚赖电子商务以及网络服务； 这些攻击来自世界各地的伪造 IP 地址，造成追查幕后真正凶手的难度极高。

41 DDOS攻击示意图 DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。 　　1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。 　　2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 　　3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。 　　攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

42 分布式拒绝服务攻击 一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 "为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门（我以后还要回来的哦）！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。 但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

43 分布式拒绝服务攻击步骤1 1 Internet Hacker 不安全的计算机 攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。
Scanning Program

44 分布式拒绝服务攻击步骤2 2 Internet Hacker 被控制的计算机(代理端)
黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。 2 Internet

45 分布式拒绝服务攻击步骤3 3 Internet Hacker 被控制计算机（代理端） Master Server
黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。 3 Internet

46 分布式拒绝服务攻击步骤4 4 Internet Hacker 被控制计算机（代理端） Master Server
Using Client program, 黑客发送控制命令给主机，准备启动对目标系统的攻击 4 Targeted System

47 分布式拒绝服务攻击步骤5 Internet 5 Hacker 被控制计算机（代理端） Master Server
主机发送攻击信号给被控制计算机开始对目标系统发起攻击。 Targeted System

48 分布式拒绝服务攻击步骤6 6 Internet Hacker 被控制计算机（代理端） Master Server
目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。 Internet Request Denied Targeted System User

49 分布式拒绝服务攻击的效果 由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。

50 DDOS攻击的预防 确保主机不被入侵且是安全的； 周期性审核系统； 检查文件完整性； 优化路由和网络结构； 优化对外开放访问的主机；
在网络上建立一个过滤器或侦测器在攻击信息到达网站服务器之前阻挡攻击信息。

51 网络监听技术 Sniffer 监视网络状态、数据流动、传输信息 截获用户的口令 黑客扩大战果的有效手段
网络监听工具的提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。 　　但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。 　　网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。 什么是网络监听 网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。 　　在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。　　

52 窃听器 窃听原理 常用端口 常用窃听器 局域网中的广播式通信 ftp 21 http 80 pop3 110 telnet 23
Sniffer NetXRay 由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就对可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。 网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。 　　 问题 为什么黑客常窃听ftp/http/pop3/telnet端口，而不窃听其它协议端口？

53 Database弱密码入侵 默认安装的SQL Server的管理员Sa的密码为空 如果管理员没有修改过Sa密码 黑客远程连接上数据库

54 数据库被远程连接的危害性 如果黑客连接到了SQL Server，那么可以使用XP_cmdshell过程执行本地命令。
具体细节我们在下章详细描述。

55 Sql Injection入侵技术 Structured Query Language 影响平台
使用网站系统：Apache、IIS、Domino、Netscape 使用程序：ASP、PHP、JSP 可被破坏数据库:MS-SQL、MySQL、Oracle、Sybase、DB2 SQL（Structured Query Language)是一直连接和处理数据库的文本化语言。 SQL Injection是一种Input Validation的问题，即SQL指令在应用程式撰写时，没有妥善的过滤与处理，因而可能让使用者有机会对资料库下达指令，而造成入侵所带来的损失。事实上，这样的疏漏并不是资料库的错误，而是程式设计师或软体开发者的疏忽而产生的。 透过SQL Injection操作资料库，可以新增、更动或删除资料库的资料，造成资料遗漏或是不正确；如果操作资料库的使用者权限为系统管理者，那么还有可能造成其他更严重的破坏，例如夺取资料库的控制权。 SQL Injection的影响范围： 只要有使用或连结数据库的程序、网路服务都有可能面临SQL Injection的威胁。乍听之下影响范围似乎很大，但是大多数的商用软件并不会有这样的问题；比较严重的可能是网路服务部分，由于网站程式开发者的素质良莠不齐，或是对于数据库的指令操作与系统管理不熟悉，所以只要有提供表单(Form)输入介面的网站，都有可能面临威胁。

56 Sql Injection实例 网站登陆界面

57 Sql Injection实例(cont.)
User: admin(任意名字) Pass: a’or’1’=’1 上图中我们输入任意的用户名，比如admin，我们输入密码a’or’1’=‘1 ，然后点“登陆”按钮，我们会发现我们便以admin用户登陆成功。 请大家思考原因，具体技术原理和分析我们在下章描述。

58 利用PHP程序漏洞入侵 PHP Hypertext Preprocessor 全局变量附值安全隐患 包含文件安全隐患 文件上传安全隐患
Session安全隐患 PHP简介 PHP 全称 “PHP Hypertext Preprocessor” ，和ASP程序一样，属于一种程序语言。 PHP是一个基于服务端来创建动态网站的脚本语言，您可以用PHP和HTML生成网站主页。当一个访问者打开主页时，服务端便执行PHP的命令并将执行结果发送至访问者的浏览器中，这类似于ASP和CoildFusion，然而PHP和他们不同之处在于PHP开放源码和跨越平台，PHP可以运行在WINDOWS NT和多种版本的UNIX上。它不需要任何预先处理而快速反馈结果，它也不需要mod_perl的调整来使您的服务器的内存映象减小。PHP消耗的资源较少，当PHP作为Apache Web服务器一部分时，运行代码不需要调用外部二进制程序，服务器不需要承担任何额外的负担。

59 其它入侵技术 利用Email 聊天室、聊天程序 利用浏览器 社会工程 ··· Email炸弹 传播木马、病毒 Email炸弹
所谓的电子邮件炸弹，危害与炸弹是一样的，只不过是电子的，邮件炸弹具体说，指的是邮件发送者，利用特殊的电子邮件软件，在很短的时间内连续不断地将邮件邮寄给同一个收信人，在这些数以千万计的大容量信件面前收件箱肯定不堪重负。 口令攻击Crack是使用一种软件对口令进行破解尝试，通常情况下该软件依次列举可能的口令进行试验，知道找出口令为止。 IP地址欺骗指的是向受害主机发送一个将源IP地址设置为其它计算机或不存在的计算机的IP地址的数据包，这样使得该数据包看起来像是来自别的其它主机地址，而不是实际的源地址。 利用程序编写时处理缓冲区不当发生的软件执行某些预先设定好的代码，从而使系统执行不期望的程序获得对系统的控制权。 特洛伊木马是一种看起来具有某种有用功能，但又包含一个隐藏的具有安全风险功能的程序。最简单的例子是伪装成计算机或终端的登录程序的特洛伊木马。假设最后一个使用计算机的人没有真正退出计算机登录，而留下了一个看起来像是登录对话框的运行程序。下一个用户在这个对话框中输入它的用户名和口令，这个程序中秘密运行的那一部分将这些内容记录下来（或者发送到一个事先定义好的电子邮箱），然后在将这些信息传递给合法的登录程序。这样，这个用户也会通过验证成为系统的合法用户，他实际上并不知道他的用户名和密码已经被窃取了。 社交欺骗是一种低技术含量的破坏网络安全的方法，它是通过欺骗网络内部的用户来获取必要的信息而入侵网络的。例如下面描述的案例：李四是一个公司的雇员，某天早晨当他启动计算机时，突然发现口令错误，重复尝试了几次后仍然失败。这时他和IT部门接洽以寻求帮助，接到电话的技术支持人员对他的来电非常吃惊。因为他回忆说头天晚上他和另一个部门的张三谈过话。张三说他和李四正在工作，但他们不能登录以进行想要做的演示，他询问技术支持人员是否可以重新设置帐号口令？技术支持人员非常合作地满足了他的要求——张三使用了新口令。而李四只是在几个星期前和张三说过几句话，他永远也想不明白张三为什么需要用他的帐户来登录网络。当然，技术支持人员在查清情况后立刻修改了李四的口令。

60 攻击的一般步骤 没有100%的安全 收集信息 考虑攻击方法 入侵系统 安放后门 删除记录 确定目标（硬件、软件、操作系统、应用程序）；
使用扫描工具； 考虑攻击方法 猜口令； 利用漏洞（缓冲区溢出、unicode漏洞等等）； 入侵系统 安放后门 删除记录 恶意用户为什么总是能成功入侵系统？前提条件就是系统的安全问题有漏洞，没有百分百的安全。任何系统都会有这样那样的弱点，及时使用了最新的技术，但由于系统的用户的错误操作也会使系统产生漏洞。 恶意用户再开始攻击之前首先么收集大量的信息，以确定可以攻击的目标。这些信息包括了目标主机的硬件、软件、操作系统、应用程序等等。一般这些信息的收集通过扫描工具完成。 在确定了攻击目标后，恶意用户会根据所获得的信息考虑攻击方法。比如是利用系统现有的漏洞还是猜解口令的方式入侵系统，具体的方式根据目标主机环境的不同而不同。 成功入侵系统后，恶意用户就可以进行各种各样的活动了，既可以删除文件、读取敏感信息也可以利用它入侵其它的机器。 一般入侵者在从他所入侵的主机上撤出时都会安装上后门程序，以方便下次进入。之后入侵者要在入侵主机上清理他所留下的痕迹，以避免被管理员发现。

61 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍

62 安全涉及的因素 文化安全 信息安全 物理安全 网络安全

63 网络安全 因特网 因特网 研究安全漏洞以防之 研究攻防技术以阻之 网络对国民经济的影响在加强 安全漏洞危害在增大 广播 控制 工业 通讯
金融 电力 信息对抗的威胁在增加 交通 医疗 网络对国民经济的影响在加强

64 信息安全 加密技术 数字签名 信息窃取 信息篡改 完整性技术 信息抵赖 信息传递 认证技术 信息冒充

65 ISO信息安全定义 为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

66 信息安全属性 保密性 完整性 真实性 可用性 可控性
物理安全（physical security）：为防范蓄意的和意外的威胁，而对资源提供物理保护措施。 数据机密（data confidentiality）：使信息不被泄露给非授权的实体（个人或进程），并不为其所用。 数据完整（data integrity）：确保数据没有遭受以非授权方式所作的篡改或破坏。 数据可控（data control）：得到授权的实体可以控制其授权范围内的信息流向及行为方式。 数据可用（data availability）：得到授权的实体在有效的时间内能够访问和使用其所要求的数据 身份鉴别（peer-entity authentication）：确保一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权地重演。 数据鉴别（data origin authentication）：确保接受到的数据出自所要求的来源。 防抵赖（no repudiation）：避免在一次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。 审计与监测（security audit，monitor and detection）：在一定范围内，能够对已经或者可能出现的网络安全问题提供调查的依据和手段。

67 文化安全 因特网 用户 信息来源 不确定 . 打击目标 机动性强 . 措施 隐患 有害信息泛滥 信息传送自由 主动发现有害信息源并给予封堵
监测网上有害信息的传播并给予截获

68 物理安全 环境 温度 电磁 湿度 容灾 集群 备份

69 安全是过程 安全存在于过程 安全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。
安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏，而是网络管理人员、企业经理人和用户对安全知识的忽视。 下面介绍我们的安全理念：安全不是产品，也不是产品，更不是结果，而是一个过程，它有很多的组成部分，包括了硬件、软件、网络、人以及之间相互关系和接口等。和其他任何过程一样，其中的某些部分要更强大、更可靠、更灵活和更安全一些。此外这些部分还必须相互匹配。所以可以说安全是一个链条，它由许多链接构成，它们中的的每一个都是影响链条强度的关键因素，整个安全的强度事实有最弱的那个链接的强度决定的。

70 安全是个连续的过程 分析阶段： 需求分析、漏洞扫描 保护阶段： 防火墙、VPN 、防病毒 检测阶段： 入侵检测、授权、认证、签名 管理阶段：
审计系统、访问控制 恢复阶段： 数据备份、系统恢复

71 安全层次体系结构 数据安全层 应用安全层 用户安全层 系统安全层 网络安全层 物理安全层 加密 访问控制 授权 用户/组管理 单机登录
身份认证 用户安全层 反病毒 风险评估 入侵检测 审计分析 系统安全层 防火墙 安全网关 VPN 网络安全层 存储备份 物理安全层

72 安全防护体系结构 顾问服务 边界防护 安全策略 远程支持 区域防护 节点防护 咨询服务 核心防护 紧急响应

73 安全防护比例 3分 边界防护 2分 区域防护 2.5分 节点防护 2.5分 核心防护 整体防护 10分

74 安全实施体系 明确系统中的安全漏洞，了解可能的相应攻击方式。 进行系统安全风险分析。 制定系统安全策略。 系统安全策略的实施。

75 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍

76 网络信息安全的关键技术 安全集成技术 防 病 毒 技 术 火 墙 V P N 入 侵 检 测 安 全 评 估 审 计 分 析 主 机 身 份
认 证 访 问 控 制 密 码 备 与 恢 复 安全管理技术

77 安全产品类型 信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品 密 码 加 产 品 密 钥 管 理 产 品 高 性 能 加
芯 片 产 品 数 字 签 名 产 品 数 字 证 书 管 理 系 统 用 户 安 全 认 证 卡 智 能 IC 卡 鉴 别 与 授 权 服 务 器 安 全 操 作 系 统 安 全 数 据 库 系 统 Web 安 全 平 台 安 全 路 由 器 与 虚 拟 专 用 网 络 产 品 网 络 病 毒 检 查 预 防 和 清 除 产 品 网 络 安 全 隐 患 扫 描 检 测 工 具 网 络 安 全 监 控 及 预 警 设 备 网 络 信 息 远 程 监 控 系 统 网 情 分 析 系 统 •基础类： 风险控制、体系结构、协议工程、有效评估、工程方法 •关键类： 密码、安全基内容安全、抗病毒、RBAC 、IDS 、VPN 、强审计、边界安全 •系统类： PKI 、PMI 、DRI 、KMI 、网络预警、集成管理网络预警、集成管理 •应用类： EC 、EG 、NB 、NS、NM 、WF 、XML 、CSCW •物理与环境类： TEMPEX 、物理识别 •前瞻类前瞻类：免疫技术、量子密码、漂移技术、语义理解识别 《加强安全技术研发与创新》《加强安全技术研发与创新》

78 常用的安全技术手段 加密技术 身份认证技术 防火墙技术 病毒防治技术 入侵检测技术 VPN技术

79 加密技术 消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。
明文用M（消息）或P（明文）表示，密文用C表示。加密函数E（M）=C；解密函数D（C）=M； D（E（M））=M 常人类都具有两个特点：对个人隐私的强烈保护愿望和强烈的好奇心。所以军队、间谍甚至恋人们都使用了先进的信息技术来隐藏他们的秘密，当然有时他们也会故意的放出一些不重要的或者是错误的信息。 隐写术是将秘密消息隐藏在其它消息中的一种加密方式。例如，可以在图象中隐藏秘密消息，图象的最不重要的比特被秘密信息所代替。这样图象没有怎么变（人类眼睛察觉不出它的变化），而秘密消息却能够在接收端剥离出来。这种方法可在1024ⅹ1024灰色刻度图片中存储64K字节的消息。当然也可以使用其它的方式隐藏信息。 本质上，加密就是将消息变得不规则，这样就不容易看懂它的内容，从而达到掩盖原来消息的目的；而解密就是加密的逆过程。 这些过程使用了一种特殊的算法，我们称之为密码算法。密码算法就是适当的打乱明文的顺序变成密文，使密文在阅读的时候变得毫无意义，当然还要有一种方法恢复密文到原始明文。 密钥和密码算法一起用来加/解密。密钥通常是一串无意义的字符串。 对称密码使用的加密密钥和解密密钥相同，目前比较流行的密码算法为DES、IDEA等，加密速度快，但密钥管理困难。 非对称密码加密密钥和解密密钥不同，而且掌握其中的一个也无法计算出另外一个。流行的算法为RSA，DSA等，运算速度慢，密钥管理相对容易。 PKI

80 加密技术 对称密码 常人类都具有两个特点：对个人隐私的强烈保护愿望和强烈的好奇心。所以军队、间谍甚至恋人们都使用了先进的信息技术来隐藏他们的秘密，当然有时他们也会故意的放出一些不重要的或者是错误的信息。 隐写术是将秘密消息隐藏在其它消息中的一种加密方式。例如，可以在图象中隐藏秘密消息，图象的最不重要的比特被秘密信息所代替。这样图象没有怎么变（人类眼睛察觉不出它的变化），而秘密消息却能够在接收端剥离出来。这种方法可在1024ⅹ1024灰色刻度图片中存储64K字节的消息。当然也可以使用其它的方式隐藏信息。 本质上，加密就是将消息变得不规则，这样就不容易看懂它的内容，从而达到掩盖原来消息的目的；而解密就是加密的逆过程。 这些过程使用了一种特殊的算法，我们称之为密码算法。密码算法就是适当的打乱明文的顺序变成密文，使密文在阅读的时候变得毫无意义，当然还要有一种方法恢复密文到原始明文。 密钥和密码算法一起用来加/解密。密钥通常是一串无意义的字符串。 对称密码使用的加密密钥和解密密钥相同，目前比较流行的密码算法为DES、IDEA等，加密速度快，但密钥管理困难。 非对称密码加密密钥和解密密钥不同，而且掌握其中的一个也无法计算出另外一个。流行的算法为RSA，DSA等，运算速度慢，密钥管理相对容易。 PKI 非对称密码

81 对称加密 原理： 加密和解密使用相同密钥 加密强度基本由其密钥长度决定 目前一般至少为128位 主要优缺点： 加密速度快 管理复杂，风险大

82 非对称加密 加密技术出现以来最重大的突破 原理 特点： 有两把成对的密钥，称为公钥和私钥，其中公钥可以对外公布
用一把密钥加密的数据只有用配对的另一把密钥才能正确解密 特点： 密钥易于管理，公钥不怕被窃取 但速度一般比对称加密算法慢很多

83 身份鉴别 身份鉴别的过程 身份认证的方式 动态口令 身份证实（Identity Verification） “你是否是你所声称的你？”
身份识别（Identity Recognition） “我是否知道你是谁？” 身份认证的方式 动态口令 大致上来讲，身份认证可分为用户与主机间的鉴别和主机与主机之间的鉴别。我们只讨论用户与主机间的身份认证。用户与主机之间的鉴别可以基于如下一个或几个因素： 用户知道的秘密，如口令、密钥。口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z，这样一直下去；还有基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。 用户携带的物品，如智能卡和令牌卡。访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。 用户具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。 动态口令的做法及技术有很多种，分别如下： 原始方法 这是最早期的作法，服务器定期产生每位使用者某段时间的口令表，使用者每当要登陆系统时必须拿出这张表，按照表上的口令顺序依次使用。这种方法最为简单，服务器只要简单的机制便可运作，而且用户端不必使用而外的软件或工具，当然使用者不用记忆密码。但是，使用者必须随时携带这张表，如果密码表遗失会有安全危险，而且使用者必须随时记得用到第几个口令。 认证卡 使用者手持大小如名片般的认证卡来随机产生动态密码，这片认证卡必须与服务器完成注册动作后方可使用，当使用者需要登录系统时，只要取出易于携带的随身认证卡即可获得随机产生的密码。 通常认证卡都很容易携带，使用者不必记忆任何相关资料(最多只要记忆PIN号码，以启动认证卡)就可以实现较安全的一次密码认证技术。但是需要比较繁杂的认证手续，还要随身携带认证卡。 目前在市场上通常可以看到下列采用不同动态口令技术的认证卡： 时间同步(Time Synchronous)：时间同步认证服务器与认证卡之间每隔一段时间同时更换一次密码，以达到动态密码的功效。 事件同步(Event Synchronous)：事件同步认证服务器与认证卡之间以相同数字序列为密码运算因子，由数字序列的变动特性达到动态密码的功效。 非同步(Challenge/Response Asynchronous)：由认证服务器随机产生一个数字(Challenge)并将此数字传到使用者端，使用者将这个数字输入认证卡后算出该次的密码(Response)，由于随机产生的数字每次都不同以达到动态密码的功效。

84 动态口令举例 你现在已认证成功 ! 输入 Challenge 输入 PIN 来启动认证卡 login: Smith 2188655
6040 EP EP challenge: response: 输入 response 开启认证卡电源 你现在已认证成功 !

85 防火墙的概念 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。 非信任网络 防火墙 信任网络

86 防火墙的作用示意图 非法获取内部数据 互聯网

87 防火墙的基本功能 数据包过滤（Packet Filtering） 网络地址转换（Network Address Translation）
应用级代理（Proxy Service） 身份认证（Authentication） 虚拟专用网（Virtual Private Network

88 防火墙的不足 防火墙并非万能，防火墙不能完成的工作： 源于内部的攻击 不通过防火墙的连接 完全新的攻击手段 不能防病毒
由于Internet的开放性，防火墙也有一些防范不到的地方： 防火墙不能防止内部的攻击行为。例如企业网络内部员工进行的攻击防火墙就不会检测到。 防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护的内部网络不受限制的向外拨号接入Internet的话，某些用户可以建立与Internet的直接连接，从而使这些连接绕过防火墙，造成一个潜在的威胁，恶意用户很可能通过这些连接入侵内部网络。 防火墙不能防止感染了病毒的软件或文件的传输，一般只能在每台主机上装反病毒软件来实现这个目的。 防火墙不能防止数据驱动型攻击。当有些表面看来无害的数据被转发或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。 因此，防火墙只是整体安全防范策略的一部分。这种安全策略必须包括公开的，以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关规定。

89 入侵检测的概念和作用 入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。 首先看什么是入侵。所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为。而入侵检测，顾名思义，便是对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

90 入侵检测的主要功能 实时入侵检测与响应 警报信息分类、查询功能 引擎集中管理功能 策略管理功能 警报信息的统计和报表功能 分级用户管理功能

91 入侵检测系统 工作原理：实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
使用方式：作为防火墙后的第二道防线。

92 入侵检测工具举例 外部攻击 外部攻击 企业网络 Internet Intranet 警告!
利用RealSecure进行可适应性 攻击检测和响应 DMZ ? ? File Transfer ? HTTP 生产部 警告! 记录攻击 Internet 中继 工程部 路由 外部攻击 外部攻击 市场部 终止连接 Intranet 人事部 企业网络

93 入侵检测工具举例 内部攻击 企业网络 Internet Intranet 警告! 利用RealSecure进行可适应性 攻击检测和响应
DMZ ? ? File Transfer ? HTTP 生产部 Internet 中继 工程部 路由 内部攻击 市场部 Intranet 警告! 启动事件日志, 发送消息 人事部 企业网络

94 入侵检测工具举例 外部攻击 外部攻击 企业网络 Internet Intranet 警告!
利用RealSecure进行可适应性 攻击检测和响应 DMZ ? ? File Transfer ? HTTP 生产部 警告! 记录进攻, 发送消息, 终止连接 Internet 中继 工程部 路由 商务伙伴 重新配置 路由或防火墙 以便隐藏IP地址 外部攻击 外部攻击 市场部 中止连接 Intranet 人事部 企业网络

95 安全评估系统的发展历程 简单的扫描程序 最早出现的是专门为UNIX系统编写的一些只具有简单功能的小程序，多数由黑客在业余时间编写。
特点是功能单一，通常只能进行端口或CGI扫描等等；使用复杂，通常只有黑客才能够熟练使用；源代码开放。 Nmap即是其代表作品。 99年以前，出现的功能较为强大的商业化产品，特点是测试项数目较多，使用简单。 但是通常只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析处理。对结果的评估分析、报告功能很弱。这时期的产品，主要功能还是扫描。 CyberCop和ISS Scanner是其中的代表。 近两年，主要商业化产品均运行Windows操作系统平台上，充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由安全扫描程序到安全评估专家系统的过渡。 不但使用简单方便，能够将对单个主机的扫描结果整理，形成报表，能够并对具体漏洞提出一些解决方法。 但目前产品对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决方案。 功能较为强大的 商业化扫描程序 安全评估专家系统

96 安全评估系统分类 基于网络的安全评估产品 基于主机的安全评估产品 专用安全评估产品 对关键网络及设备进行安全评估 对关键主机进行安全评估
如数据库安全评估产品

97 安全评估系统工作原理 1、发送带有明显攻击特征的数据包 远程扫描分析 2、等待目的主机或设备的响应 4、判断是否具有该脆弱性或漏洞
3、分析回来的数据包的特征 目标设备

98 安全评估主要功能 网络安全评估功能 评估分析结果报表 服务检查功能 隔离检查的功能 实用工具

99 传统联网方式 公共网络 合作伙伴/客户 公司总部 DDN 办事处/SOHO

100 传统VPN联网方式 VPN设备 公共网络 公司总部 VPN通道 办事处/SOHO VPN client

101 VPN 虚拟的网：即没有固定的物理连接，网络只有用户需要时才建立； 利用公众网络设施构成。 VPN带来的好处:
采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用； 公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接； 对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系； 电话公司通过开展拨号VPN服务可以减轻终端阻塞； 通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。

102 企业的完整安全防护 服务器 网络 拨号用户 Modem 池 工作站 Internet 笔记本电脑 Internet 连接 台式机 客户
Web 服务器 G. Mark Hardy

103 授课内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 ISEC认证介绍

104 国家信息化安全教育认证 ISEC项目介绍和定位 ISEC项目运行模式及机构设置 ISEC项目课程及类别 ISEC项目目标及特色

105 ISEC项目介绍 国家信息化安全教育认证项目（ISEC）为信息产业部批准设立，中国电子商务协会监督和管理的信息安全领域国家级的认证体系。由ISEC国家信息化安全教育认证管理中心统一管理、实施。

106 ISEC项目定位 国家信息化安全教育认证作为“政府推出，市场运作，行业协会监督指导”的重点项目，主要突出以下两大特点：
以行业为基础，在国家信息技术应用单位普及信息安全意识与知识，使各行业、机关有能力评估、设计、建设、维护自己的信息安全系统。 以应用为核心，向全社会普及信息安全意识与知识，使全民从技术、法规等多层面了解信息安全，从而配合我国的信息安全建设。 行业是目前对信息安全需求最大的地方，也是最容易接受和认可信息安全培训的地方，而且行业的信息安全问题对于我们国家的各个方面的影响是深远的。 应用是核心，知识的提高是学历教育的事情，我们要做的就是对技能的培养。

107 ISEC项目运行模式及机构设置

108 ISEC专家顾问委员会 曲成义 国家信息化专家咨询委员会委员 曹元大 北京理工大学软件学院院长
曹元大 北京理工大学软件学院院长 刘正风 公安部金盾工程办公室副主任、 安全组组长 谭晓准 公安部科技局副局长 祁 金 公安部公共网络信息安全监察局

109 ISEC主要课程 《信息安全基础》 《防火墙技术》 《入侵检测技术》 《操作系统安全》 《网络病毒防治》 《PKI技术》
《标准规范与政策法规》 《安全策略制定》 《安全响应团队的构建与管理》

110 国家信息化安全教育认证 领导关心的问题 国家对网络信息安全提出了哪些要求 网络与信息安全涉及哪些内容 如何指导、评估信息安全保障体系的建设

111 国家信息化安全教育认证 技术主管关心的问题 最常用的网络与信息安全技术特点 如何设计符合实际需求的信息安全保障体系
如何实施网络与信息安全的管理

112 国家信息化安全教育认证 基层人员关心的问题 如何安全的使用网络信息系统，保护个人隐私 如何配合技术人员保障系统安全

113 认证类别 信息安全高级规划师 信息安全高级管理师 信息安全管理员 信息安全操作员
贯彻国家对信息安全人才的各层次的要求和培养战略，我们把认证类别和课程作了相应的设置。

114 国家信息化安全教育认证 信息安全操作员 培训对象：行业、企业的财务、行政、办公等信息网络终端实用者
培训目的：作为信息系统的使用者，了解每个个体对网络安全的重要性，有能力积极、主动的配合信息安全管理 演示与实验 网络攻击演示

115 国家信息化安全教育认证 信息安全管理员 培训对象：行业、企业的科技部门、信息中心、网络运营、系统管理技术人员
培训目的：作为技术人员，全面了解掌握各种信息安全技术，有能力制定实施安全方案并监控调整安全防范体系的运行。 演示与实验 网络攻击演示 防火墙安装、配置 身份认证系统安装、配置 入侵检测系统的配置、使用

116 国家信息化安全教育认证 信息安全高级管理师 培训对象：行业、企业的科技部门、信息中心、网络运营、系统管理技术人员
培训目的：作为系统、网络管理者，能够严守相关法规，并依据信息安全规范协助组建安全团队、制定整体安全策略。

117 国家信息化安全教育认证 信息安全高级规划师 培训对象：行业、企业的领导、业务主管、技术负责人
培训目的：作为行业、企业领导，了解网络安全管理标准、规范与对策，有能力对现有系统提出系统安全性目标并组织规划。 演示 网络攻击演示

118 国家信息化安全教育认证 经过培训的学员可以具备以下能力 我了解我们公司哪些关键业务和关键数据是不能出问题的。
我系统地知道所有关于信息安全的知识，虽然我可能不是专家，但我知道发生了什么问题，找谁去解决。 我可以判别出公司的IT系统有哪些漏洞并不断地改进。 可以看到通过我们的培训，学员可以应付大多数的安全突发事件而不会手忙脚乱，而且每个层次的人员都能够共同配合协作，来确保系统的安全。

119 国家信息化安全教育认证 我了解黑客的各种攻击手段。当发生攻击时我不会手足无措，我可以使用各种工具发现隐藏的攻击而将其消灭。
我知道各种安全产品并不象厂商炫耀的那样无所不能，我可以甄别各种安全方案的好坏和各种安全产品的优缺点。 我可以为公司设计完整的信息安全解决方案。 可以看到通过我们的培训，学员可以应付大多数的安全突发事件而不会手忙脚乱，而且每个层次的人员都能够共同配合协作，来确保系统的安全。

120 国家信息化安全教育认证 我知道如何科学地评价一套信息安全保障体系 我知道如何建立网络与信息安全管理制度来保证信息安全保障体系发挥其作用
可以看到通过我们的培训，学员可以应付大多数的安全突发事件而不会手忙脚乱，而且每个层次的人员都能够共同配合协作，来确保系统的安全。

121 国家信息化安全教育认证 ISEC项目的特色 国家级的认证体系 真正第三方的专业培训 全面系统的信息安全培训内容 符合我国的国情
注重综合能力的培养 突出案例分析、实验环节、互动交流 真正国家级的认证体系，权威的不依附于任何厂商和产品的第三方培训。第一个把信息安全作为一个体系和理念进行教育的培训。完全为国人和行业量身定做的课程，侧重动手能力和解决问题的能力的培训。

122 谢谢！