精华内容
下载资源
问答
  • 中国移动管理信息系统安全防护体系技术规范
  • 从美国联邦信息系统安全防护政策看我国信息系统安全风险评估工作-江常清
  • 网络及信息系统安全等级保护是信息化过程中的关键环节。本文在论述通用等级化安全防护实施措施的基础上,提出了一种大规模网络等级化的安全防护模型,并应用于实际试点,取得了比较好的实际效果。
  • DB32/T 1927-2011 政府信息系统安全防护基本要求
  • 信息安全之操作系统安全防护技术 1、了解操作系统 从目前的PC系统来看,大致可以分为五类,Windows系统,NetWare系统,Unix系统,Linux系统和Mac系统。 Windows操作系统是一款由美国微软公司开发的窗口化操作系统。...

    信息安全之操作系统安全防护技术

    1、了解操作系统

    从目前的PC系统来看,大致可以分为五类,Windows系统,NetWare系统,Unix系统,Linux系统和Mac系统。

    Windows操作系统是一款由美国微软公司开发的窗口化操作系统。采用了GUI图形化操作模式,比起从前的指令操作系统如DOS更为人性化。Windows操作系统是目前世界上使用最广泛的操作系统。

    Linux是一个领先的操作系统,世界上运算最快的10台超级计算机运行的都是Linux操作系统。

    Netware是NOVELL公司推出的网络操作系统。Netware最重要的特征是基于基本模块设计思想的开放式系统结构。Netware是一个开放的网络服务器平台,可以方便地对其进行扩充。

    Unix系统是1969年在贝尔实验室诞生,最初是在中小型计算机上运用。最早移植到80286微机上的Unix系统,称为Xenix。 Xenix系统的特点是短小精干,系统开销小,运行速度快。UNIX为用户提供了一个分时的系统以控制计算机的活动和资源,并且提供一个交互,灵活的操作界。

    Mac系统

    Mac OS操作系统是美国苹果计算机公司为它的Macintosh计算机设计的操作系统的一代操作系统,该机型于1984年推出,在当时的PC还只是DOS枯燥的字符界面的时候,Mac率先采用了一些我们至今仍为人称道的技术。

    一、程序是如何运行的?

    1.1 程序运行的四大要素

      (1)程序设计语言

      首先,我们得使用一门程序设计语言进行编程,一般我们使用的都是高级程序设计语言(如C、C++、Java、C#等)。

      (2)编译系统

      我们写好了代码,但是由于计算机不认识高级语言编写的程序,需要编译成计算机能够识别的机器语言,这就需要编译器和汇编器的帮助。

      (3)操作系统

      机器语言程序需要加载到内存,才能形成一个运动中的程序(即进程),这就需要操作系统的帮助。

    About:进程需要在计算机芯片即CPU上执行才算是真正在执行,而将进程调度到CPU上运行也是由操作系统完成的,这里也就不难理解为什么进程管理会在我们的教科书中排在最重要的位置了。

      (4)指令集结构(计算机硬件系统)

      在CPU上执行的机器语言指令需要变成能够在一个个时钟脉冲里执行的基本操作,这就需要指令集结构和计算机硬件的支持。

    1.2 程序运行的基本流程

      基于上面提到的四大要素,我们可以得出下面一幅图,该图从一个线性角度展示了程序的演变过程,能够帮助我们理解整个程序是如何在计算机上执行的。

      事实上,程序可以执行在机器语言或汇编语言上编写,用这种被称为“低级”(我更愿意称其为底层)的语言编写出来的机器语言程序无需经过编译器的翻译就可以在计算机指令集上执行。如果是在汇编语言上编写的汇编程序,则只需要经过汇编器的翻译即可加载执行。

    二、操作系统是什么?

    2.1 两个问题

      (1)操作系统到底是什么鬼?

      操作系统是介于计算机和应用软件之间的一个软件系统,操作系统的上层和下层都有其他的对象存在:

      从上图可以看出,OS上边是应用软件,下边是硬件平台。

      (2)操作系统到底操控什么事?

      最原始的计算机并没有OS,直接由人来掌管事情。随着计算机复杂性的增长,人已经不能胜任直接掌控计算机了。于是,OS这个软件被编写出来帮我们掌控计算机,使人类从日益复杂的掌控任务中解脱出来。既然OS是专门掌控计算机的,那么计算机上发生的所有事情都需要OS的知晓和认可,未经OS同意的任何事情均被视为非法的(想想病毒和入侵攻击者试图做的事情)。

    2.2 两种角色

      (1)魔术家

      魔术家的目标是把差的东西变好,把少的东西变多,把复杂变简单。同样,OS将计算机以一个更加容易、更加方便、更加强大的方式呈现给用户。

    Example:OS通过进程抽象让每一个用户感觉有一台自己独享的CPU,通过虚拟内存抽象,让用户感觉物理内存空间具有无限扩张性,这就是把少变多的一个实例。

      (2)管理者

      操作系统管理计算机上的软硬件资源,如CPU、内存、磁盘等,使得不同用户之间或者同一用户的不同程序之间可以安全有序地共享这些硬件资源。

      那么,问题来了,如何让用户很好地利用这些硬件资源呢?这就是分块(Parcel Out),把硬件分块给应用程序使用。这就涉及到有效和公平的原则,这也是一个管理者的必备素质,更是设计操作系统时的不懈追求!

      操作系统的两个角色之间既有区别又有联系,为了完成不同的任务,OS有时需要扮演魔术师,有时有需要扮演管理者,还有时需要同时扮演两个角色。

    三、操作系统的范畴

    3.1 CPU管理

      即如何分配CPU给不同应用和用户,对于进程管理坚持三个目标:一是公平(每个程序都有机会使用CPU),二是非阻塞(任何程序不能无休止地阻挠其他程序的正常推进),三是优先级(优先级高的程序开始运行则优先级低的就需要让出资源—>让一部分人先富起来)。

    3.2 内存管理

      即如何分配内存给不同应用和用户,主要管理缓存、主存、磁盘、磁带等存储介质所形成的内存架构。其目的主要有二:一是将少变多(比如虚拟内存的使用能够使得运行程序的大小大大地增加),二是让多个程序共享同一个物理内存(这就需要对物理内存进行分割和保护,不让一个程序访问另一个程序所占的内存空间,专业术语称为运行时不能越界访问)。

    3.3 外存管理

      即如何分配外存(磁盘)给不同应用和用户,外存管理也称存储管理,也就是我们所说的文件系统,其目的是将磁盘变为一个很容易使用的存储介质以提供给用户使用。

    3.4 I/O管理

      即如何分配输入输出设备给应用和用户,也称为设备管理,也就是管理输入输出设备。其目的主要有两个:一是屏蔽不同设备的差异性(用户用同样的方式访问不同的设备,从而减低编程的难度),二是提供并发访问(即将那些看上去并不具备共享特征的设备如打印机变得可以共享)。

      操作系统的四个核心功能如下图所示:

    四、小结

      操作系统的技巧也应用于很多领域,如抽象、缓存、并发等。操作系统简单说来就是实现抽象:进程抽象、文件抽象、虚拟存储抽象等。而很多领域都会使用抽象,例如数据结构和程序设计(抽象数据类型?抽象类?);很多地方也会用到缓存,例如开发Web应用程序时使用缓存降低数据库访问压力,加快页面响应速度等等。更为重要的是,对于一个程序员来说,要想知道计算机在软件层面是怎么运转的,就得学习操作系统。

    2、操作系统的安全威胁

    windows最有用的一个命令,记住它就可以了。

    DOS最有用的命令就是“help”了,

    有关某个命令的详细信息,键入 ”HELP 命令名“

    ping 192.168.0.1 -n 10 然后按enter键。对IP地址是192.168.0.1测试网络10次

    ping www.baidu.com -l 100  。 改变发送包的大小。

    tracert www.baidu.com 

    我们访问www.baidu.com 主机(当然这里可以是IP地址),经过12次路由之后,就到达目标主机了。

    我们可以用ping命令来进行验证!

    ping www.datang.com -i 11

     ping 命令的-i参数用于设置发出数据包的“生存时间”。
    若设为n,则该数据包经过n个结点即停止传送。若两个地址之间实际节点数大于n(即包未送至目的地),

     

     

     


    威胁种类、端口、漏洞扫描、恶意代码

     

    3、操作系统的安全防护策略与方法

     

    展开全文
  • 工信部信软【2016】338号《工业控制系统信息安全防护指南》
  • 工业控制系统信息安全防护指南信息安全防护指南
  • 信息系统安全与对抗实践 Linux操作系统信息安全防护 内容提要 信息安全问题分析 信息防护基本方法 - 系统安全检测 - 服务配置与管理 - 进程管理 - 系统与软件更新 2 信息安全问题分析 Linux是一种类似UNIX的操作系统...
  • 工业控制系统信息安全防护指南.pdf
  • OS通过系统口令加强Linux系统安全防护北京中清研信息技术研究院安阳师范学院互联网+应用技术学院任务描述针对上面所述网络的情况局域中存在很大风险本任务主要是通过口令加强Linux桌面系统的安全防护能力使用用口令...
  • 本标准规定了电信网和互联网信息服务业务系统分安全保护等级的安全防护要求,涉及到业务及应用安全、网络安全、设备及软件系统安全、物理安全和管理安全。 本标准适用于电信网和互联网信息服务业务系统。
  • 工业控制系统信息安全事关经济发展、社会稳定和国家安全。为提升工业企业工业控制系统信息安全(以下简称工控安全)防护水平,保障工业控制系统安全,制定本指南。
  • 工业控制系统工控信息安全防护指南,工控安全防护指南,工控安全标准,工业信息安全,工业信息安全保护
  • 工业控制系统信息安全防护能力的评估方法、表单等 适用于规范对企业按照《工业控制系统信息安全防护指南》建立的工控安全防护能力开展的综合评价活动。
  • 信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级,实行分等级保护。列车运行控制系统、电力SCADA系统:三级;通信系统、AFC系统:二级
  • 一、安全扫描技术1.1 安全扫描技术概念1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。2、安全扫描技术分为系统扫描和网络扫描两大类。 (1)...

    一、安全扫描技术

    1.1 安全扫描技术概念

    1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。

    2、安全扫描技术分为系统扫描和网络扫描两大类。
    (1)系统扫描:侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与待查系统处于同一结点,进行自身检查。
    (2)网络扫描:侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与待查系统处于不同结点,通过网络远程探测目标结点,寻找安全漏洞。

    3、安全扫描的目的:通过特定的手段和方法发现系统或网络存在的隐患,及时修补漏洞或利用漏洞攻击敌方。

    4、安全扫描技术可以有效地提高安全性:
    (1)提前告警存在的漏洞,从而预防入侵和误用。
    (2)检查系统中由于入侵或误操作产生的新漏洞。

    1.2 安全扫描技术分析

    1、扫描器工作流程:
    (1)发现目标主机或网络。
    (2)发现目标后,进一步发现目标系统类型及配置等信息,包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设置及网络主机等。
    (3)测试哪些服务具有安全漏洞。

    2、端口扫描技术:
    (1)根据扫描方法不同,端口扫描技术可分为:全开扫描、半开扫描、秘密扫描和区段扫描。
    (2)这几种扫描方法都可以用来查找服务器打开的端口,从而发现服务器对外开放的服务。
    (3)能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。

    3、全开扫描:
    (1)通过与目标主机建立标准的TCP连接(3次握手),检查目标主机相应端口是否打开。
    (2)优点:快速、准确、不需要特殊权限。
    (3)缺点:很容易被检测到。

    4、半开扫描:(SYN扫描)
    (1)“半开”含义:client端在TCP三次握手尚未完成就单方面终止连接过程。
    (2)由于完整连接尚未建立,通常不会被server方记录下来。同时也可避开部分IDS的监测。

    5、秘密扫描:
    (1)秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多,以SYN|ACK扫描为例说明。
    (2)SYN|ACK扫描省掉了三次握手的第一步,直接发送SYN|ACK包到server端,根据server 的应答推测端口是否打开。

    6、系统类型测试技术:
    (1)由于许多安全漏洞都与操作系统密切相关,所以探测系统类型对于攻击者很重要。
    (2)攻击者先收集目标系统的信息并存储,当某一系统的新漏洞被发现,就可在存储的信息中查找,并对匹配的系统进行攻击。
    (3)检测系统类型主要有三种方法:系统旗标、DNS信息、TCP/IP堆栈指纹。

    7、系统旗标:利用系统服务给出的信息,如:telnet、ftp、www、mail等。最简单的检测方法就是直接登录该系统提供的服务。

    8、DNS信息:主机信息有时可能通过DNS记录泄露。

    9、TCP/IP堆栈指纹:操作系统在实现TCP/IP协议时的一些特有的实现特征,处在系统底层,修改困难。

    二、病毒防治技术

    2.1 病毒的概念与起源

    1、具有传染和破坏的特征,与生物医学上的”病毒”在很多方面都很相似,习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。

    2、从广义上讲,凡能够引起计算机故障、破坏或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。

    2.2 病毒的主要特征

    1、传染性
    (1)这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
    (2)计算机病毒程序代码一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
    (3)正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

    2、隐蔽性
    (1)病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方,用户很难发现它的存在。
    (2)如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,受到感染的计算机系统通常仍能正常运行,用户不会感到异常。
    (3)现在的计算机病毒一般都具有很强的反侦察能力。
    (4)计算机病毒一旦被发现会迅速出现变种。

    3、潜伏性:
    大部分病毒感染系统之后一般不会马上发作,长期隐藏在系统中悄悄地进行繁殖和扩散,只有在满足特定条件时才启动其表现(破坏)模块。

    4、破坏性(表现性):
    任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。

    5、不可预见性:
    从病毒的检测来看,不同种类的病毒,代码千差万别,甚至某些正常程序也借鉴病毒的技术。

    6、触发性:
    满足传染触发条件时,病毒的传染模块会被激活,实施传染操作。满足表现触发条件时,病毒的表现模块会被激活,实施表现或破坏操作。

    7、针对性:
    有一定的环境要求,并不一定对任何系统都能感染。

    2.3 病毒的一般结构与作用机理

    1、病毒的一般结构:
    (1)计算机病毒代码的结构一般包括三大功能模块,即引导模块传染模块破坏(表现)模块。其中,后两个模块各包含一段触发条件检查代码,分别检查是否满足传染触发条件和表现触发条件。
    (2)引导模块将病毒由外存引入内存,使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用。

    2、病毒的作用机理:
    (1)计算机病毒有两种状态,静态和动态。
    (2)静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒,它没有被加载状态,不能执行病毒的传染和破坏功能。
    (3)动态病毒是指已进入内存,正处于运行状态,它时刻监视系统的运行状态,一旦传染条件满足,即调用传染代码和破坏代码.使病毒得以扩散。
    (4)计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽,引导模块被执行,病毒由静态变为动态。

    3、病毒工作流程

    2.4 蠕虫病毒

    1、蠕虫病毒:是一种通过网络传播的恶性病毒,除具有病毒的一般共性外,还具有自己的特征,下表列出了蠕虫病毒与普通病毒的主要区别。

    2、蠕虫病毒的传播途径:
    (1)操作系统和系统软件的漏洞:网络共享、域名解析、IE、RPC、IIS、SQL Server等。
    (2)应用软件的漏洞:Office、Adobe Reader、QQ、MSN
    (3)电子邮件:钓鱼邮件、邮件客户端软件。

    3、蠕虫病毒的危害:
    (1)蠕虫大量且快速的复制会占用大量网络带宽,造成网络拥塞甚至瘫痪。
    (2)感染主机的系统管理员权限将被窃取。

    4、蠕虫病毒的一般结构:
    (1)传播模块:负责蠕虫的传播。
    (2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。有些会主动攻击安全系统。
    (3)目的功能模块:实现对计算机的控制、监视、窃取和破坏等功能。

    5、蠕虫病毒的传播过程:
    传播模块:由扫描模块、攻击模块和复制模块组成。
    (1)扫描模块:探测存在漏洞的主机。当向某主机发探测信息并成功收到反馈后,就得到一个可传播对象。
    (2)攻击模块:按漏洞攻击步骤自动攻击找到的对象,取得该主机的权限,获得一个shell。
    (3)复制模块:通过主机间的交互复制蠕虫程序并修改注册表得以启动。

    6、蠕虫病毒防治
    (1)正确配置操作系统和系统软件。
    (2)经常进行操作系统和系统软件的升级。
    (3)使用正版杀毒软件并保持病毒库最新。
    (4)不要打开不明身份的邮件。
    (5)留意权威网站的安全公告。

    三、黑客攻击方法与防范

    3.1 黑客攻击套路

    1、确定攻击目标:
    (1)使用Google搜索漏洞信息:操作系统漏洞、Web服务器漏洞、数据库漏洞、开发工具漏洞等。
    (2)使用Google搜索敏感信息:口令文件、财务信息、安全工具扫描报告等。

    2、收集目标信息:
    (1)通过公开渠道、各种工具和技巧,黑客可以获得目标的详细资料,特别是关于安全防御体系的信息。
    (2)互联网信息:域名及IP地址块、可直接访问的IP、操作系统类型、系统上运行的TCP和UDP服务、访问控制等。
    (3)内部网信息:内网结构、组网协议、IP地址块、VPN协议、身份认证方法等。

    3、寻找目标漏洞:
    (1)使用工具进行端口扫描:确定目标系统上有哪些端口处于LISTENING状态。
    (2)使用工具进行端口服务扫描:确定目标系统上开启了哪些服务。
    (3)使用工具探查操作系统细节:版本号、提供的各种服务名称等。

    4、进行攻击:
    系统攻击、网络攻击、软件攻击。

    3.2 黑客攻击手段及防范措施

    1、系统攻击:取得合法身份前的攻击手段

    2、网络攻击:
    (1)攻击网络设备。
    (2)无线攻击
    (3)攻击防火墙
    (4)拒绝服务攻击

    3、软件攻击
    (1)缓冲区溢出攻击
    (2)Web攻击
    (3)攻击互联网用户

    四、安全审计

    1、从抽象意义上讲,计算机安全审计与传统金融和管理审计的过程完全相同,即产生、记录并检查按时间顺序排列的系统事件的过程。

    2、计算机安全审计:通过一定的策略,利用记录和分析历史操作事件,发现系统的漏洞并改进系统性能和安全性。

    3、安全审计的目标:
    (1)对潜在的攻击者起到震慑和告警作用。
    (2)对已发生的系统破坏行为,提供有效的追究责任的证据。
    (3)为系统管理员提供有价值的系统使用日志,帮助管理员及时发现入侵行为或潜在的系统漏洞。

    4、安全审计的组成:审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程应包括审计发生器日志记录器日志分析器报告机制等部分。

    5、审计发生器:在信息系统中各事件发生时,将这些事件的关键要素进行抽取并形成可记录的素材。

    6、日志记录器:将审计发生器抽取的事件素材记录到制定位置上从而形成日志文件。

    7、日志分析器:根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。

    8、对于一个事件,日志应包括事件发生的时间引发事件的用户事件类型事件成败等。

    五、访问控制技术

    1、访问控制(Access Control):规范用户的访问行为。解决是否可以访问,如何访问的问题。

    2、访问控制构成要素:
    (1)主体:提出访问请求,如用户或其启动的进程、服务等。
    (2)客体:被访问对象,如信息、文件等集合体或网络设备等。
    (3)控制策略:主体对客体访问规则的集合,体现了授权。

    3、访问控制的主要功能:
    (1)保证合法主体访问受保护的网络资源
    (2)防止非法主体进入受保护网络资源
    (3)防止合法主体对受保护网络资源进行非授权访问。

    4、访问控制的内容:
    (1)认证:主客体之间进行身份鉴别,确定主体是谁。
    (2)控制策略:通过合理设定控制规则,确保用户对信息资源在授权范围内的合法使用,同时防止非法用户侵权进入系统。还要防止合法用户的越权行为。
    (3)安全审计:系统自动根据用户访问权限,对计算机网络环境下的有关活动进行系统、独立地检查验证,并做出相应评价与审计。

    5、访问控制的类型
    (1)自主访问控制(DAC):一种接入控制服务,通过执行系统实体到系统资源的接入授权,用户有权对其创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回。允许访问对象的属主制定针对该对象的访问控制略,通常,通过访问控制列表来限定针对客体可执行的操作。
    (2)强制访问控制(MAC):指系统强制主体服从访问控制策略。由系统对用户所创建的对象,按照既定规则进行访问控制。
    (3)基于角色的访问控制(RBAC):通过对角色访问进行控制,使权限与角色相关联,用户通过成为适当角色成员而得到角色的权限。

    6、RBAC支持的三个著名安全原则:
    (1)最小权限原则:将角色配成完成任务所需的最小权限集。
    (2)责任分离原则:让独立、互斥的角色协同完成特定任务。
    (3)数据抽象原则:通过权限的抽象控制一些操作,如财务上的借、贷等抽象权限,非操作系统提供的典型权限。

    7、访问控制实现机制
    (1)访问控制列表(ACL):
    以文件为中心建立访问权限表,表中记载了可访问该文件的用户名和权限。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。
    (2)能力关系表:
    以用户为中心建立访问权限表。与ACL相反,表中规定了用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。

    六、防火墙技术

    1、防火墙从本质上讲是一种访问控制系统,除了可以用来保护与互连网相连的内部网外,还可以用于保护其他网络对象,如子网或主机。

    2、防火墙示意图

    3、防火墙定义:防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时,由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。

    4、防火墙的目的是控制网络传输,这一点与其他网络设备一致。但与其他设备不同的是:防火墙必须考虑到不是所有的分组数据都是表里如一。

    5、防火墙的设计目标:
    (1)所有内外网之间的通信量都必须经过防火墙,即从物理上阻塞所有不经过防火墙的网络访问通道,有不同的配置方法可实现这一目标。
    (2)只有被认可的通信量,通过本地安全策略进行定义后,才允许通过防火墙。
    (3)防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。

    6、防火墙使用的通用技术:
    (1)服务控制:确定可访问的Internet服务的类型,入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
    (2)方向控制:确定特定的服务请求可以发起并允许通过防火墙的流动方向。
    (3)行为控制:控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地WWW服务器的一部分信息。
    (4)用户控制:根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户(本地用户),也可以应用于来自外部用户的进入通信量;后一种情况要求某种类型的安全鉴别技术。

    7、防火墙的主要功能:
    (1)防火墙定义了单个阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络。
    (2)防火墙提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
    (3)防火墙是一些与安全无关的Internet功能的方便的平台。如:网络地址转换。
    (4)防火墙可以用作VPN的平台。

    8、防火墙的局限性:
    (1)防火墙不能对绕过防火墙的攻击提供保护。
    (2)防火墙不能对内部的威胁提供支持,例如心怀不满的雇员或不自觉地与外部攻击者合作的雇员。
    (3)防火墙不能对病毒感染的程序或文件的传输提供保护。由于边界内部支持的操作系统和应用程序的不同性,采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。

    9、防火墙一般结构

    展开全文
  • 海天炜业—工控系统信息安全防护与预报技术的实现zip,海天炜业—工控系统信息安全防护与预报技术的实现
  • 建设电力系统集成环境已成为实现全电网信息共享的自动化系统的基础建设。...以及一体化信息安全防护体系的设计原则、系数设计、管理上的安全策略。该系统安全方案已应用于地区电网自动化系统。效果良好。
  • 信息安全,工控系统安全
  • 一、安全扫描技术1.1 安全扫描技术概念1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。2、安全扫描技术分为系统扫描和网络扫描两大类。 (1)...

    一、安全扫描技术

    1.1 安全扫描技术概念

    1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。

    2、安全扫描技术分为系统扫描和网络扫描两大类。
    (1)系统扫描:侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与待查系统处于同一结点,进行自身检查。
    (2)网络扫描:侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与待查系统处于不同结点,通过网络远程探测目标结点,寻找安全漏洞。

    3、安全扫描的目的:通过特定的手段和方法发现系统或网络存在的隐患,及时修补漏洞或利用漏洞攻击敌方。

    4、安全扫描技术可以有效地提高安全性:
    (1)提前告警存在的漏洞,从而预防入侵和误用。
    (2)检查系统中由于入侵或误操作产生的新漏洞。

    1.2 安全扫描技术分析

    1、扫描器工作流程:
    (1)发现目标主机或网络。
    (2)发现目标后,进一步发现目标系统类型及配置等信息,包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设置及网络主机等。
    (3)测试哪些服务具有安全漏洞。

    2、端口扫描技术:
    (1)根据扫描方法不同,端口扫描技术可分为:全开扫描、半开扫描、秘密扫描和区段扫描。
    (2)这几种扫描方法都可以用来查找服务器打开的端口,从而发现服务器对外开放的服务。
    (3)能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。

    3、全开扫描:
    (1)通过与目标主机建立标准的TCP连接(3次握手),检查目标主机相应端口是否打开。
    (2)优点:快速、准确、不需要特殊权限。
    (3)缺点:很容易被检测到。

    4、半开扫描:(SYN扫描)
    (1)“半开”含义:client端在TCP三次握手尚未完成就单方面终止连接过程。
    (2)由于完整连接尚未建立,通常不会被server方记录下来。同时也可避开部分IDS的监测。

    5、秘密扫描:
    (1)秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多,以SYN|ACK扫描为例说明。
    (2)SYN|ACK扫描省掉了三次握手的第一步,直接发送SYN|ACK包到server端,根据server 的应答推测端口是否打开。

    6、系统类型测试技术:
    (1)由于许多安全漏洞都与操作系统密切相关,所以探测系统类型对于攻击者很重要。
    (2)攻击者先收集目标系统的信息并存储,当某一系统的新漏洞被发现,就可在存储的信息中查找,并对匹配的系统进行攻击。
    (3)检测系统类型主要有三种方法:系统旗标、DNS信息、TCP/IP堆栈指纹。

    7、系统旗标:利用系统服务给出的信息,如:telnet、ftp、www、mail等。最简单的检测方法就是直接登录该系统提供的服务。

    8、DNS信息:主机信息有时可能通过DNS记录泄露。

    9、TCP/IP堆栈指纹:操作系统在实现TCP/IP协议时的一些特有的实现特征,处在系统底层,修改困难。

    二、病毒防治技术

    2.1 病毒的概念与起源

    1、具有传染和破坏的特征,与生物医学上的”病毒”在很多方面都很相似,习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。

    2、从广义上讲,凡能够引起计算机故障、破坏或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。

    2.2 病毒的主要特征

    1、传染性
    (1)这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
    (2)计算机病毒程序代码一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
    (3)正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

    2、隐蔽性
    (1)病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方,用户很难发现它的存在。
    (2)如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,受到感染的计算机系统通常仍能正常运行,用户不会感到异常。
    (3)现在的计算机病毒一般都具有很强的反侦察能力。
    (4)计算机病毒一旦被发现会迅速出现变种。

    3、潜伏性:
    大部分病毒感染系统之后一般不会马上发作,长期隐藏在系统中悄悄地进行繁殖和扩散,只有在满足特定条件时才启动其表现(破坏)模块。

    4、破坏性(表现性):
    任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。

    5、不可预见性:
    从病毒的检测来看,不同种类的病毒,代码千差万别,甚至某些正常程序也借鉴病毒的技术。

    6、触发性:
    满足传染触发条件时,病毒的传染模块会被激活,实施传染操作。满足表现触发条件时,病毒的表现模块会被激活,实施表现或破坏操作。

    7、针对性:
    有一定的环境要求,并不一定对任何系统都能感染。

    2.3 病毒的一般结构与作用机理

    1、病毒的一般结构:
    (1)计算机病毒代码的结构一般包括三大功能模块,即引导模块传染模块破坏(表现)模块。其中,后两个模块各包含一段触发条件检查代码,分别检查是否满足传染触发条件和表现触发条件。
    (2)引导模块将病毒由外存引入内存,使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用。

    2、病毒的作用机理:
    (1)计算机病毒有两种状态,静态和动态。
    (2)静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒,它没有被加载状态,不能执行病毒的传染和破坏功能。
    (3)动态病毒是指已进入内存,正处于运行状态,它时刻监视系统的运行状态,一旦传染条件满足,即调用传染代码和破坏代码.使病毒得以扩散。
    (4)计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽,引导模块被执行,病毒由静态变为动态。

    3、病毒工作流程

    2.4 蠕虫病毒

    1、蠕虫病毒:是一种通过网络传播的恶性病毒,除具有病毒的一般共性外,还具有自己的特征,下表列出了蠕虫病毒与普通病毒的主要区别。

    2、蠕虫病毒的传播途径:
    (1)操作系统和系统软件的漏洞:网络共享、域名解析、IE、RPC、IIS、SQL Server等。
    (2)应用软件的漏洞:Office、Adobe Reader、QQ、MSN
    (3)电子邮件:钓鱼邮件、邮件客户端软件。

    3、蠕虫病毒的危害:
    (1)蠕虫大量且快速的复制会占用大量网络带宽,造成网络拥塞甚至瘫痪。
    (2)感染主机的系统管理员权限将被窃取。

    4、蠕虫病毒的一般结构:
    (1)传播模块:负责蠕虫的传播。
    (2)隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。有些会主动攻击安全系统。
    (3)目的功能模块:实现对计算机的控制、监视、窃取和破坏等功能。

    5、蠕虫病毒的传播过程:
    传播模块:由扫描模块、攻击模块和复制模块组成。
    (1)扫描模块:探测存在漏洞的主机。当向某主机发探测信息并成功收到反馈后,就得到一个可传播对象。
    (2)攻击模块:按漏洞攻击步骤自动攻击找到的对象,取得该主机的权限,获得一个shell。
    (3)复制模块:通过主机间的交互复制蠕虫程序并修改注册表得以启动。

    6、蠕虫病毒防治
    (1)正确配置操作系统和系统软件。
    (2)经常进行操作系统和系统软件的升级。
    (3)使用正版杀毒软件并保持病毒库最新。
    (4)不要打开不明身份的邮件。
    (5)留意权威网站的安全公告。

    三、黑客攻击方法与防范

    3.1 黑客攻击套路

    1、确定攻击目标:
    (1)使用Google搜索漏洞信息:操作系统漏洞、Web服务器漏洞、数据库漏洞、开发工具漏洞等。
    (2)使用Google搜索敏感信息:口令文件、财务信息、安全工具扫描报告等。

    2、收集目标信息:
    (1)通过公开渠道、各种工具和技巧,黑客可以获得目标的详细资料,特别是关于安全防御体系的信息。
    (2)互联网信息:域名及IP地址块、可直接访问的IP、操作系统类型、系统上运行的TCP和UDP服务、访问控制等。
    (3)内部网信息:内网结构、组网协议、IP地址块、VPN协议、身份认证方法等。

    3、寻找目标漏洞:
    (1)使用工具进行端口扫描:确定目标系统上有哪些端口处于LISTENING状态。
    (2)使用工具进行端口服务扫描:确定目标系统上开启了哪些服务。
    (3)使用工具探查操作系统细节:版本号、提供的各种服务名称等。

    4、进行攻击:
    系统攻击、网络攻击、软件攻击。

    3.2 黑客攻击手段及防范措施

    1、系统攻击:取得合法身份前的攻击手段

    2、网络攻击:
    (1)攻击网络设备。
    (2)无线攻击
    (3)攻击防火墙
    (4)拒绝服务攻击

    3、软件攻击
    (1)缓冲区溢出攻击
    (2)Web攻击
    (3)攻击互联网用户

    四、安全审计

    1、从抽象意义上讲,计算机安全审计与传统金融和管理审计的过程完全相同,即产生、记录并检查按时间顺序排列的系统事件的过程。

    2、计算机安全审计:通过一定的策略,利用记录和分析历史操作事件,发现系统的漏洞并改进系统性能和安全性。

    3、安全审计的目标:
    (1)对潜在的攻击者起到震慑和告警作用。
    (2)对已发生的系统破坏行为,提供有效的追究责任的证据。
    (3)为系统管理员提供有价值的系统使用日志,帮助管理员及时发现入侵行为或潜在的系统漏洞。

    4、安全审计的组成:审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程应包括审计发生器日志记录器日志分析器报告机制等部分。

    5、审计发生器:在信息系统中各事件发生时,将这些事件的关键要素进行抽取并形成可记录的素材。

    6、日志记录器:将审计发生器抽取的事件素材记录到制定位置上从而形成日志文件。

    7、日志分析器:根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实和规律,并形成日志审计分析报告。

    8、对于一个事件,日志应包括事件发生的时间引发事件的用户事件类型事件成败等。

    五、访问控制技术

    1、访问控制(Access Control):规范用户的访问行为。解决是否可以访问,如何访问的问题。

    2、访问控制构成要素:
    (1)主体:提出访问请求,如用户或其启动的进程、服务等。
    (2)客体:被访问对象,如信息、文件等集合体或网络设备等。
    (3)控制策略:主体对客体访问规则的集合,体现了授权。

    3、访问控制的主要功能:
    (1)保证合法主体访问受保护的网络资源
    (2)防止非法主体进入受保护网络资源
    (3)防止合法主体对受保护网络资源进行非授权访问。

    4、访问控制的内容:
    (1)认证:主客体之间进行身份鉴别,确定主体是谁。
    (2)控制策略:通过合理设定控制规则,确保用户对信息资源在授权范围内的合法使用,同时防止非法用户侵权进入系统。还要防止合法用户的越权行为。
    (3)安全审计:系统自动根据用户访问权限,对计算机网络环境下的有关活动进行系统、独立地检查验证,并做出相应评价与审计。

    5、访问控制的类型
    (1)自主访问控制(DAC):一种接入控制服务,通过执行系统实体到系统资源的接入授权,用户有权对其创建的文件、数据表等对象进行访问,并可将其访问权授予其他用户或收回。允许访问对象的属主制定针对该对象的访问控制略,通常,通过访问控制列表来限定针对客体可执行的操作。
    (2)强制访问控制(MAC):指系统强制主体服从访问控制策略。由系统对用户所创建的对象,按照既定规则进行访问控制。
    (3)基于角色的访问控制(RBAC):通过对角色访问进行控制,使权限与角色相关联,用户通过成为适当角色成员而得到角色的权限。

    6、RBAC支持的三个著名安全原则:
    (1)最小权限原则:将角色配成完成任务所需的最小权限集。
    (2)责任分离原则:让独立、互斥的角色协同完成特定任务。
    (3)数据抽象原则:通过权限的抽象控制一些操作,如财务上的借、贷等抽象权限,非操作系统提供的典型权限。

    7、访问控制实现机制
    (1)访问控制列表(ACL):
    以文件为中心建立访问权限表,表中记载了可访问该文件的用户名和权限。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。
    (2)能力关系表:
    以用户为中心建立访问权限表。与ACL相反,表中规定了用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。

    六、防火墙技术

    1、防火墙从本质上讲是一种访问控制系统,除了可以用来保护与互连网相连的内部网外,还可以用于保护其他网络对象,如子网或主机。

    2、防火墙示意图

    3、防火墙定义:防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时,由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。

    4、防火墙的目的是控制网络传输,这一点与其他网络设备一致。但与其他设备不同的是:防火墙必须考虑到不是所有的分组数据都是表里如一。

    5、防火墙的设计目标:
    (1)所有内外网之间的通信量都必须经过防火墙,即从物理上阻塞所有不经过防火墙的网络访问通道,有不同的配置方法可实现这一目标。
    (2)只有被认可的通信量,通过本地安全策略进行定义后,才允许通过防火墙。
    (3)防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。

    6、防火墙使用的通用技术:
    (1)服务控制:确定可访问的Internet服务的类型,入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
    (2)方向控制:确定特定的服务请求可以发起并允许通过防火墙的流动方向。
    (3)行为控制:控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地WWW服务器的一部分信息。
    (4)用户控制:根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户(本地用户),也可以应用于来自外部用户的进入通信量;后一种情况要求某种类型的安全鉴别技术。

    7、防火墙的主要功能:
    (1)防火墙定义了单个阻塞点,将未授权的用户隔离在被保护的网络之外,禁止潜在的易受攻击的服务进入或离开网络。
    (2)防火墙提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
    (3)防火墙是一些与安全无关的Internet功能的方便的平台。如:网络地址转换。
    (4)防火墙可以用作VPN的平台。

    8、防火墙的局限性:
    (1)防火墙不能对绕过防火墙的攻击提供保护。
    (2)防火墙不能对内部的威胁提供支持,例如心怀不满的雇员或不自觉地与外部攻击者合作的雇员。
    (3)防火墙不能对病毒感染的程序或文件的传输提供保护。由于边界内部支持的操作系统和应用程序的不同性,采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。

    9、防火墙一般结构

    展开全文
  • 本方法提出了工业控制系统信息安全防护能力评估的基本概念、 实施流程和工作形式。 本方法适用于规范对企业按照《工业控制系统信息安全防护指南》 建立的工控安全防护能力开展的综合评价活动。 本方法适用于评估工业...
  • 文章目录防火墙、系统安全防护和优化:防火墙的优化系统安全防护和优化 防火墙、系统安全防护和优化: 转载于 防火墙 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网...

    防火墙、系统安全防护和优化:

    转载于
    防火墙
    防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。

    定义
    所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。[2]

    在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

    作用
    防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。

    分类
    网络层防火墙

    网络层防火墙[3]可视为一种 IP 封包过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。

    我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

    较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段…等属性来进行过滤。

    应用层防火墙

    应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

    防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。

    XML 防火墙是一种新型态的应用层防火墙。

    根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

    防火墙的优化

    背景
    防火墙对信息系统的安全性起着至关重要的作用。随着越来越多的系统上线,防火墙的防护策略愈加复杂,防火墙的管理面临各种挑战。防火墙策略优化服务依托自有系统平台,采用协作交付服务模式,提供给客户定制化的策略优化服务报告,减小客户自行优化策略的工作量,并提高防火墙的运行效率。

    业务挑战
    在防火墙的初始部署阶段,许多企业容易忽视互访原则的精确规划问题。为了让业务尽快上线,避免业务故障,往往采用配置宽松策略保证业务需求。

    同时在防火墙运维过程中,也遇见越来越多的挑战:

    ● 防火墙数量繁多、品牌复杂,管理人员少;

    ● 过多的安全策略,难以保证实际业务与审计需求;

    ● 过多的、不必要的、重复的安全策略;

    ● 缺乏安全策略变更管理,策略变更频繁;

    系统安全防护和优化

    1.类型
    设备面临老化、性能严重不足;

    长期遭受网络的攻击;

    公司网站服务器经常出现瘫痪,不能访问。

    园区实现整体无线覆盖;

    实现分支机构和总部的互联访问。
    解决方案:

    Sophos - All one Solution

    Sangfor Solution

    Ruijie Solution
    2.终端安全风险(电脑 、手机 )

    病毒:

    目前最新的勒索病毒,导致数据加密不能使用,严重影响办公,且数据丢失;

    破坏操作系统,使系统崩溃,影响办公;

    蠕虫病毒,感染整个网络,造成网络堵塞等;

    木马:

    造成信息文件被修改或窃取、电子账户资金被盗用等危害。
    解决方案:

    Sophos - XG+Sophos Endpoint Security

    Symantec - ATP +SEP

    展开全文
  • 针对上述问题,在云环境下设计了一种新的智能化信息安全防护自动监控系统,对系统的硬件和软件进行设计,硬件部分主要设计了安全防护平台、数据处理器、安全隔离网关,分析了应用层、业务层、数据层和设备层四个架构...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,068
精华内容 827
关键字:

信息系统安全防护