信息安全技术授课教案

信息安全技术授课教案内容摘要：

步骤构成，当然有的攻击可能直接跳过了某些步骤。 （ 1）隐藏 IP （ 2）踩点扫描 （ 3）获得系统或管理员权限 （ 4）种植后门 （ 5）在网络中隐身 网络入侵技术 连入互联网的计算机就没有“安全”可言，因 为有没有防护、你的防护技术水平如何等等都决定着你的计算机 /网络能否被成功入侵。 漏洞攻击 信息系统安全漏洞是各种安全威胁的主要根源之一。 2020 年 CNCERT/CC 共整理发布和我国用户密切相关的漏洞公告 87个，同比 2020 年增长了 16%；其中的部分漏洞严重威胁互联网的运行安全，更多的漏洞则对广大互联网用户的系统造成严重威胁。 2020 年与安全漏洞关系密切的零日攻击现象在互联网上显著增多。 所谓“零日攻击”，就是指漏洞公布当天、还没有对应的安全补丁就出现相应的攻击手段，例如 2020 年出现的“魔波蠕虫” （利用 MS06040 漏洞）以及利用微软 word 漏洞（ MS06011 漏洞）木马攻击等。 拒绝服务攻击 拒绝服务攻击（ Denial of Service，简称 DoS）在众多网络攻击技术中是一种简单有效并且具有很大危害性的进攻方法。 它通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。 DDoS 就是分布式拒绝服务攻击，攻击规模更大，危害更严重。 1． DoS 攻击 DoS 是一种非常有效的攻击技术，它利用协议或系统 的缺陷，采用欺骗的策略进行网络攻击，最终目的是使目标主机因为资源全部被占用而不能处理合法用户提出的请求，即表现为拒绝提供服务。 2． DDoS 攻击 分布式拒绝服务（ Distributed Denial of Service， DDoS）是基于 DoS 攻击的一种特殊形式。 攻击者将多台受控制的计算机联合起来向目标计算机发起 DoS攻击，它是一种大规模协作的攻击方式，主要瞄准比较大的商业站点，具有较大的破坏性。 DDoS 攻击由攻击者、主控端、代理端 3部分组成，三者在攻击中扮演不同的角色。 攻击者是整个攻击发起的源头，它事先 已经取得了多台主控端计算机的控制权，主控端计算机分别控制着多台代理端计算机。 在主控端计算机上运行着特殊的控制进程，可以接收攻击者发来的控制指令，操作代理端计算机对目标计算机发起 DDoS 攻击。 口令攻击 口令应该说是用户最重要的一道防护门，如果密码被破解了，那么用户的信息很容易被窃取，所以密码安全是尤其需要关注的内容。 随着网络黑客攻击技术的增强和方式的改变，许多口令都可能被攻击和破译，这就要求用户提高对口令安全的认识。 一般入侵者常常采用下面几种方法获取用户的密码口令，包括弱口令扫描、Sniffer 密码嗅探、暴力破解、社会工程学（即通过欺诈手段获取）以及木马程序或键盘记录程序等手段。 1．弱口令扫描 2． Sniffer 密码嗅探 3．暴力密码破解 扫描攻击 一个开放的网络端口就是一条与计算机进行通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。 网络端口扫描可以通过执行手工命令实现，但效率较低；也可以通过扫描工具实现，效率较高。 网络扫描的目的就是利用各种工具在攻击目标的 IP地址或地址段的主机上寻找漏洞。 扫描是采取模拟攻击的形式 对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器、数据库应用等对象。 根据扫描结果向扫描者或管理员提供周密可靠的分析报告。 嗅探与协议分析 网络嗅探与协议分析是一种被动的侦察手段，使用嗅探监听软件，对网络中的数据进行分析，获取可用的信息。 网络嗅探监听原本是网络管理员使用一类管理工具，通过协议分析器捕获网络数据包来获取网络上的有关信息，监视网络的运行，发现网络中出现的问题，监视网络的状态、数据的流动、以及网络上传输的信息。 嗅探器是一种实现监听和协议分析的工具，它工 作在网络的底层，能捕获所有网络数据包。 而因为具有强大的数据包捕获功能，嗅探器软件是网络管理员的好帮手，也成为黑客手中的攻击利器。 监听效果最好的地方是网关、路由器、防火墙等信息聚集的设备处。 网络监听可以使用专用的协议分析设备实现，也可使用 Sniffer Pro 、TCPDump 等软件实现。 SnifferPro 是最常用的嗅探分析软件，它可以实现数据包捕获、数据包统计、过滤数据包、数据包解码等功能，功能解码可以获取很多有用的信息，如用户名、密码及数据包内容。 协议欺骗攻击 网络的无界和匿名给网 络应用带来了很多不确定性，因此需要进行认证建立基本的信任关系。 认证是网络上的计算机相互间进行识别的过程，只有经过认证的连接才是可信任的。 协议欺骗攻击就是假冒通过认证骗取对方信任，从而获取所需信息，进而实现入侵的攻击行为。 常见的协议欺骗有以下几种方式： IP 欺骗：对抗基于 IP地址的验证。 ARP 欺骗： Address Resolution Protocol（地址解析协议），它是一个位于 TCP/IP 协议栈中的低层协议，负责将某个 IP 地址解析成对应的 MAC 地址。 ARP 欺骗通过伪造 ARP 与 IP的信息或对应关系实现。 NC软件就能实现 ARP 欺骗。 TCP 会话劫持：与 IP 欺骗类似，通过嗅探并向网络注入额外的信息实现 TCP 连接参与。 如 IP watcher 就是一种有效的会话劫持工具。 社会工程学攻击 社会工程学（ Social Engineering），是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。 它并不等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样会被高明的社会工程学手段损害利益。 这 种攻击很多时候都是致命的。 网络防御与信息安全保障 针对网络入侵和密码破译等攻击行为，本书在以后的章节中，在 ISO 安全体系结构的指导下，通过内容安全技术和网络安全技术两大部分来介绍网络信息安全的实现方法，并通过若干实验项目来验证、巩固相关技术，当然，技术实施要由人来完成，人才是最关键的。 小结 本章从分析影响信息安全的人员入手，总结出网络攻击途径，并将攻击按实现的难易程度分为 6 个层次；结合网络攻击的案例，说明网络攻击的一般步骤；最后介绍了目前常见的网络入侵技术，以此提醒网络用户时刻关注自己的系统安全。 习题 网络攻击的途径有哪些。 请简述网络攻击六个层次的目标。 网络攻击一般有哪五个步骤构成。 什么是缓冲区溢出漏洞。 如何防护。 什么是 DoS 和 DDoS。 什么是网络嗅探。 如何获取有用的信息。 什么是社会工程学攻击。 如何预防。 七、教后记： 第 3 讲 信息安全体系结构 本章在 ISO 安全体系结构的指导下，针对信息安全保护层次结构的目标，提出信息安全技术体系结构和相应的防护技术，最后根据目前我国信息系统安全的要求，介绍等级保护的概念。 主要内容： 信息安全的保护机制 开放系统互连安全体系结构 信息安全体系框架 信息安全技术 信息安全的产品类型 信息安全等级保护与分级认证 重点 ： 难点 ： 信息安全体系结构 学时分配： 3 学时 教学手段： 板书与多媒体演示结合 教学方法： 课堂讲授、演示。 教学过程： （一）复习与导入： 结合安全风险及保护要求，介绍信息安全体系的重要性。 （二）新课讲授： 第 3 讲 信息安全体系结构 ISO 安全体系结构针对信息安全保护层次结构的目标， 提出信息安全技术体系结构和相应的防护技术，最后根据目前我国信息系统安全的要求，介绍等级保护的概念。 信息安全的保护机制 概述 安全需求是制定和实施相应的安全策略的依据。 信息安全的最终任务是保护信息资源被合法用户安全使用，并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使用信息资源。 信息安全保护机制 信息安全的保护机制包括电磁辐射、环境安全、计算机技术、网络技术等技术因素，还包括信息安全管理（含系统安全管理、安全服务管理和安全机制管理）、法律和心理因素等机制。 国际信息系统安全 认证组织（ International Information Systems Security Consortium，简称 ISC2）将信息安全划分为 5重屏障共 10 大领域并给出了它们涵盖的知识结构，如图 31 所示。 图 31 信息安全多重保护机制 信息安全从内外、进出、正常异常、犯规犯罪等几个方面对信息资源进行多方位的保护。 1．物理屏障层 物理屏障层 主要研究场地、设备与线路的物理实体安全性，系统容灾与恢复技术。 2．技术屏障层 技术屏障层主要研究网络、系统与内容等方面相关的安全技术。 网络安全技术研究加密与认证、防火墙、入侵检测与防御、 VPN 和系统隔离等技术；系统与内容安全则研究访问控制、审计、计算机病毒防范及其他基于内容的安全防护技术。 包含：①信息加密；②访问控制，身份鉴别，特权审查；③防火墙，将攻击阻挡在内部网络之外；④入侵检测系统，发现敌踪，予以报警；⑤安全周边。 3．管理屏障层 管理屏障层主要研究操作安全、安全管理实践两大领域，包含：①安全政策、 法规、大纲、步骤；②人事管理：聘用新人、解雇、分权、轮岗；③督察、监督、审计；④教育、训练、安全演练。 4．法律屏障层 法律屏障层主要研究法律、取证和道德领域，讨论计算机犯罪和适用的法律、条例以及计算机犯罪的调查、取证、证据保管。 包含：①民法；②刑法；③行政法；④国家相关规章及条例。 5．心理屏障层 本书主要从应用的角度，介绍技术和管理方面的安全保护机制。 其中最关键的部分是技术屏障中的网络安全保护，故不在心理屏障层展开介绍。 开放系统互连安全体系结构 信息安全体系结构需要根据所要保护的信息系统资源， 对资源攻击者的假设及其攻击的目的、技术手段以及造成的后果来分析该系统所受到的已知的、可能的和该系统有关的威胁，并且考虑到构成系统各部件的缺陷和隐患共同形成的风险，然后建立起系统的安全需求。 《信息处理系统 开放系统互连基本参考模型 第 2部分：安全体系结构》（ ISO 74982）的主要内容有： 1）提供的安全服务（即安全功能）与有关安全机制在体系结构下的一般描述，这些服务和机制必须是为体系结构所配备的。 2）确定体系结构内部可以提供这些服务的位置。 3）保证安全服务完全准确地得以配置，并且在信息系统安全的生 命期中一直维持，安全功能务必达到一定强度的要求。 事实上，系统安全体系结构是对原系统的扩展和补充。 ISO 开放系统互连安全体系结构 ISO 74982 规定的“开放系统互连安全体系结构”给出了基于 OSI 参考模型的七层协议之上的信息安全体系结构，它定义了开放系统的五大类安全服务，以及提供这些服务的八大类安全机制及相应的 OSI 安全管理，并可以根据具体系统适当地配置于 OSI 模型的七层协议中。 一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供；同一种安全机制也可用于提供一种或多种 安全服务。 在 OSI 七层协议中，最适合配置安全服务的是物理层、网络层、传输层和应用层，其他各层都不适宜配置安全服务。 OSI 的安全服务 安全服务是指加强一个组织的数据处理系统及信息传送安全性的一种服务。 OSI安全体系结构规定了开放系统必须具备以下五种安全服务。 1）鉴别服务。 2）访问控制。 3）数据保密性。 4）数据完整性。 5）抗抵赖。 OSI 的安全机制 机制是为了完成某项工作而制度化了的方式或方法。 安全机制指的是为了保证网络安全而必须完成的工作。 安全服务由相应的安全机制来提供。 ISO 74982 包含与 OSI 模型相关的八种安全机制。 1）加密机制。 2）数字签名机制。 3）访问控制机制。 4）数据完整性机制。 5）鉴别交换机制。 6）通信业务填充机制。 7）路由选择控制机制。 8）公证机制。 信息安全体系框架 信息系统安全体系的组成 依据信息安全的多重保护机制，信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体 (包括用户、团体、社会和国家 )对信息资源的 控制。 从信息系统安全总需求来看，其中的网络安全、信息内容安全等可以通过开放系统互连安全体系提供的安全服务、安全机制及其管理获得，但所获得的这些安全特性只解决了与通信和互连有关的安全问题，而涉及与信息系统构成组件及其运行环境安全有关的其他问题 (如物理安全、系统安全等 )还需要从技术措施和管理措施两个方面来考虑解决方案。 完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。 技术体系 技术体系是全面提供信息系统安全保护的技术保障系统。 在 OSI 协议层上，为数据、信息内容、通信连接提供机 密性、完。