网络与信息安全基本概念介绍-PPT课件.ppt

1、.网络与信息安全概述3v安全基本概念v安全事件分类分级v安全事件监控和处理流程v安全监控工作思路v信息安全基础知识v安全事件案例4“网络与信息安全网络与信息安全”动态发展的概念动态发展的概念19911989X.800ISO 7498-2“安全”是指将资产或资源的脆弱性降到最低限度。ISO 154082019当对信息进行正确的控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能.“IT安全”用于概括防御和缓解这些及类似的冒险。2000ISO 17799:20002019ISO 17799:2019信息安全是要在很大的范围内保护信息免受各种威胁，从而确保业

2、务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。特指保护保密性、完整性和可用性。信息安全保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性.ISO TR 13335-2:201920192019ISO 13335-1:2019定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。5安全的相关属性安全的相关属性Confidentiality 保密性保密性 Data confidentiality数据保密数据保密性性 Communication security通通信安全信安全Integrity完整性完整性Date integrity

3、 数据完整性数据完整性Availability可用性可用性Non-repudiation抗抵赖性抗抵赖性Accountability可核查性可核查性Authenticity真实性真实性Reliability可靠性可靠性Access Control访问控制访问控制Authentication鉴别鉴别Privacy私密性私密性13335:2019 17799:2019X.800 X.805ISO 17799:2000信息系统等级保护8080年代的认识年代的认识 9090年代的认识年代的认识 9090年代后期的认识年代后期的认识 通信保密通信保密通信保密通信保密 信息安全信息安全 信息保障信息保障

4、保密性保密性完整性完整性可用性可用性真实性真实性保密性保密性可核查性可核查性完整性完整性抗抵赖性抗抵赖性可用性可用性可靠性可靠性6安全的相关属性安全的相关属性使信息不泄露给未授权的个人、实体或过程或不使信息为其所利使信息不泄露给未授权的个人、实体或过程或不使信息为其所利用的特性。用的特性。保护信息及处理方法的准确性和完备性。保护信息及处理方法的准确性和完备性。被授权实体一旦需要就可访问和使用的特性。被授权实体一旦需要就可访问和使用的特性。确保主体或资源的身份正是所声称身份的特性。真实性适用于用确保主体或资源的身份正是所声称身份的特性。真实性适用于用户、过程、系统和信息之类的实体。户、过程、系统

5、和信息之类的实体。确保可将一个实体的行动唯一地追踪到此实体的特性。确保可将一个实体的行动唯一地追踪到此实体的特性。证明某一动作或事件已经发生的能力，以使事后不能抵赖这一动证明某一动作或事件已经发生的能力，以使事后不能抵赖这一动作或事件。作或事件。保密性保密性完整性完整性可用性可用性真实性真实性可核查性可核查性抗抵赖性抗抵赖性可靠性可靠性预期行为和结果相一致的特性。预期行为和结果相一致的特性。7通俗地说通俗地说,安全就是安全就是进不来拿不走改不了跑不了看不懂面向人的威胁面向人的威胁8网络与信息安全的重要性网络与信息安全的重要性网络与信息安全是国家安全的需要 威胁国家安全 直接经济损失网络与信息安

6、全是组织持续发展的需要 名誉、信誉受损 正常工作中断或受到干扰 效率下降网络与信息安全是保护个人隐私与财产的需要 威胁信息私秘性 直接影响对信息交互的信任度国家国家组织组织个人个人9网络与信息安全的基本特征网络与信息安全的基本特征没有绝对安全的系统没有绝对安全的系统新的漏洞与攻击方法不断被发现新的漏洞与攻击方法不断被发现日常管理中的不同配置会引入新的问题日常管理中的不同配置会引入新的问题,新的新的系统组件会引入新的问题系统组件会引入新的问题(安全评测只能证明安全评测只能证明特定环境与特定配置下的安全特定环境与特定配置下的安全)攻击发起的时间、攻击者、攻击目标和攻击攻击发起的时间、攻击者、攻击目

7、标和攻击发起的地点都具有不确定性发起的地点都具有不确定性信息安全是一项系统工程，需要技术的和非信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急恢复立法、国际合作与互不侵犯协定、应急恢复等等相对性相对性实效性实效性相关性相关性不确定性不确定性复杂性复杂性10网络与信息安全的目标网络与信息安全的目标 “Information security protects information from a wide range of threats in order to ensure business

8、 continuity,minimize business damage and maximize return on investments and business opportunities.”国际标准化组织国际标准化组织ISO发布的信息安全管理标准发布的信息安全管理标准 ISO/IEC 17799:2019Code of practice for information security management（信息安全管理实用规则）（信息安全管理实用规则）中做了如下定义：中做了如下定义：保护信息免受各方威胁保护信息免受各方威胁确保组织业务连续性确保组织业务连续性最小化可能最小化可能发生

9、的业务发生的业务损失损失获得最大的获得最大的投资回报和投资回报和商业机会商业机会11网络与信息安全的思考网络与信息安全的思考威胁永远不会消失！威胁永远不会消失！漏洞漏洞/脆弱性客观存在！脆弱性客观存在！客观上无法避免的因素客观上无法避免的因素n技术发展的局限，系统在设计之初不能认识到所有问题，如Tcp/ip协议n人类的能力有限，失误和考虑不周在所难免，如在编码会引入Bug主观上没有避免的因素主观上没有避免的因素n采用了默认配置而未定制和安全优化n新的漏洞补丁跟踪、使用不及时n组织、管理和技术体系不完善技术发展和环境变化的动态性技术发展和环境变化的动态性国家间的竞争与敌对势力永远不会消失国家间的

10、竞争与敌对势力永远不会消失企业间谍、攻击者、欺诈与偷窃企业间谍、攻击者、欺诈与偷窃内部系统的误用、滥用问题长期存在内部系统的误用、滥用问题长期存在新的威胁不断出现使原有防护措施失效新的威胁不断出现使原有防护措施失效或新的威胁产生或新的威胁产生随着信息化建设，信息资随着信息化建设，信息资产的价值在迅速增长产的价值在迅速增长资产的无形价值，如商业资产的无形价值，如商业情报、声誉、品牌等等已情报、声誉、品牌等等已远远超过了购买价格远远超过了购买价格资产价值多样化增长！资产价值多样化增长！有效保护网络与信息安有效保护网络与信息安全的核心是进行持续、全的核心是进行持续、科学的风险管理！科学的风险管理！1

11、2v安全基本概念v安全工作范畴v安全事件分类分级v安全事件监控和处理流程v安全事件案例v安全监控工作思路13恶意软件类：恶意软件类：指蓄意制造、传播恶意软件，或是因受到恶意软件指蓄意制造、传播恶意软件，或是因受到恶意软件的影响而导致的告警事件。包括计算机病毒、木马和蠕虫等。的影响而导致的告警事件。包括计算机病毒、木马和蠕虫等。网络攻击类：网络攻击类：包括拒绝服务攻击，是指利用信息系统缺陷、或通包括拒绝服务攻击，是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目

12、的的信息安全或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件，漏洞攻击等子类。事件，漏洞攻击等子类。信息破坏类信息破坏类：是指通过网络或其他技术手段，造成信息系统中是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的安全告警的信息被篡改、假冒、泄漏、窃取等而导致的安全告警，包括网页，包括网页篡改，钓鱼网站等子类。篡改，钓鱼网站等子类。信息内容安全类：信息内容安全类：是指利用信息网络发布、传播危害国家安全是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容而导致的安全告警，包括垃圾邮件等、社会稳定和公共利益的内容而导致的安全告警，包括垃圾邮

13、件等子类。子类。安全设备故障类：安全设备故障类：是指由于安全设备自身故障或外围保障设施是指由于安全设备自身故障或外围保障设施故障而导致的安全告警，包括硬件告警和软件告警子类，也可以归故障而导致的安全告警，包括硬件告警和软件告警子类，也可以归入通信网元类告警事件。入通信网元类告警事件。14安全告警的级别可参考下列三个要素：系统的重要程度、系统损失安全告警的级别可参考下列三个要素：系统的重要程度、系统损失和社会影响和社会影响指蓄意指蓄意重要重要系系统统重重要要程程度度中等中等一般一般一般一般中等中等重要重要原始告警级别原始告警级别15安全告警的分级需要考虑的因素包括：安全告警的原始告警级别、安全告

14、警的分级需要考虑的因素包括：安全告警的原始告警级别、资产的重要等级以及实际安全告警本身相关的信息要素如（告警源资产的重要等级以及实际安全告警本身相关的信息要素如（告警源和目的和目的IP、事件发生的频率、事件的实际影响程度等等）。、事件发生的频率、事件的实际影响程度等等）。实际安全告警级别设定，需要在此基础上，结合实际的网络情况和实际安全告警级别设定，需要在此基础上，结合实际的网络情况和告警信息相关要素综合考虑，对安全事件重要等级进行相应调整。告警信息相关要素综合考虑，对安全事件重要等级进行相应调整。具体级别调整可以根据（但不局限）下列几个条件进行：具体级别调整可以根据（但不局限）下列几个条件进

15、行：安全告警发生的频度安全告警发生的频度 告警事件本身的影响和破坏程度告警事件本身的影响和破坏程度 时间敏感型的安全事件时间敏感型的安全事件 16v安全基本概念v安全事件分类分级v安全事件监控和处理流程v安全事件案例v安全监控工作思路v信息安全基础知识17安全事件监控：负责本省通信网、业务系统和网管系安全事件监控：负责本省通信网、业务系统和网管系统的安全告警监控，及时发现安全事件并上报，并派统的安全告警监控，及时发现安全事件并上报，并派单和督促解决。单和督促解决。安全投诉受理：负责本省范围的安全投诉的受理，及安全投诉受理：负责本省范围的安全投诉的受理，及时受理并派单和督促解决，及时反馈处理省内

16、处理结时受理并派单和督促解决，及时反馈处理省内处理结果。果。18安全事件应急响应是指针对已经发生或可能发生的安全事件进行监安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动控、分析、协调、处理、保护资产安全属性的活动。一般包括一般包括6个阶段（个阶段（PDCERF）：准备、检测、抑制、根除、恢复）：准备、检测、抑制、根除、恢复和跟进。和跟进。准备阶段准备阶段/Prepairing/Prepairing检测阶段检测阶段/Detection/Detection抑制阶段抑制阶段/Control/Control根除阶段根除阶段/Eradicate/E

17、radicate恢复阶段恢复阶段/Restore/Restore跟进阶段跟进阶段/Follow/Follow19准备阶段：准备阶段：即在事件真正发生前为事件响应做好准备，如应急预案即在事件真正发生前为事件响应做好准备，如应急预案的准备和监控人员和手段的准备。的准备和监控人员和手段的准备。检测阶段：检测阶段：检测是指以适当的方法确认在系统检测是指以适当的方法确认在系统/网络中是否出现了网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲，事件响话同时确定它的影响范围和问

18、题原因。在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。在真正意义上的事件响应。检测阶段是事件响应的触发条件。抑制阶段：抑制阶段：抑制阶段是事件响应的第三个阶段，它的目的是限制攻抑制阶段是事件响应的第三个阶段，它的目的是限制攻击击/破坏所波及的范围，如对蠕虫病毒传播端口的封堵。破坏所波及的范围，如对蠕虫病毒传播端口的封堵。根除阶段：根除阶段：即在准确的抑制事件后，找出事件的根源并彻底根除它即在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者

19、再次使用相同手段攻击系统，引发安全事件。在根，以避免攻击者再次使用相同手段攻击系统，引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果，如病毒的根除。除阶段中将需要利用到在准备阶段中产生的结果，如病毒的根除。恢复阶段：恢复阶段：将事件的根源根除后，将进入恢复阶段。恢复阶段的目将事件的根源根除后，将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。跟进阶段：跟进阶段：最后一个阶段是跟进阶段，其目标是回顾并整合发生事最后一个阶段是跟进阶段，其目标是回顾并整合发生事件的相关信息。跟进阶段也是件的相关

20、信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但个阶段中最可能被忽略的阶段。但这一步也是非常关键的，如总结如何防范事件的发生等。这一步也是非常关键的，如总结如何防范事件的发生等。20安全事件监控的流程举例如下，应通过电子工单流转并形成闭环安全事件监控的流程举例如下，应通过电子工单流转并形成闭环。21v安全基本概念v安全事件分类分级v安全事件监控和处理流程v安全监控工作思路v信息安全基础知识v安全事件案例222019年，总部组织全网开展了以年，总部组织全网开展了以“风险管理风险管理”为核心的安全监为核心的安全监控。控。按照网络与信息安全按照网络与信息安全“风险管理风险管理”的本质，对风险进行有

21、效的的本质，对风险进行有效的控制，要着眼损失和影响，首要保护高价值的资产，关注危害控制，要着眼损失和影响，首要保护高价值的资产，关注危害较高的威胁。较高的威胁。围绕围绕“重要资产，重要告警，重点监控重要资产，重要告警，重点监控”的工作目标，以安全的工作目标，以安全告警和资产的关联为重点开展工作告警和资产的关联为重点开展工作。整理资产基础信息，列出资产的重要程度，包括整理资产基础信息，列出资产的重要程度，包括IPIP地址等地址等信息。制定资产信息收集和更新的流程。信息。制定资产信息收集和更新的流程。制定告警预处理手册、安全事件处理及上报流程、安全监制定告警预处理手册、安全事件处理及上报流程、安全

22、监控作业计划，优化安全系统的告警配置。将安全告警分类控作业计划，优化安全系统的告警配置。将安全告警分类分级，手册标准化。分级，手册标准化。将告警信息与资产信息进行关联，实现对重要系统，重要将告警信息与资产信息进行关联，实现对重要系统，重要告警的重点监控。告警的重点监控。实现了具备安全监控手段的一干和省网重要系统实现了具备安全监控手段的一干和省网重要系统58小时的重小时的重点安全监控，有效提升了全网安全监控能力点安全监控，有效提升了全网安全监控能力。23目前，目前，多数省还存在以下问题：多数省还存在以下问题：大多数省份由维护人员分别对自己负责维护的网络和系统的大多数省份由维护人员分别对自己负责维

23、护的网络和系统的进行安全监控，或者由进行安全监控，或者由1 1名安全专业技术人员负责监控，未实名安全专业技术人员负责监控，未实现由网管中心监控室实施集中安全监控。现由网管中心监控室实施集中安全监控。上述方式下，各省做到了上述方式下，各省做到了5 58 8小时的安全监控，但大多数难小时的安全监控，但大多数难以开展以开展7 72424小时的安全监控；小时的安全监控；各类安全监控手段较为分散，未实现安全监控手段的集中化各类安全监控手段较为分散，未实现安全监控手段的集中化。20192019年为奥运之年，网络工作会上，公司领导对奥运期间安全监年为奥运之年，网络工作会上，公司领导对奥运期间安全监控工作的要

24、求为：控工作的要求为：“网络安全的攻防人员要建立起来，网络安全的攻防人员要建立起来，特别是奥运期间有特别是奥运期间有2424小时值小时值班，要保证我们的网络处在可以管理、可以监控的情况下。班，要保证我们的网络处在可以管理、可以监控的情况下。”按照上述要求，按照上述要求，20192019年在全网推行集中化的年在全网推行集中化的7 72424小时安全监控的小时安全监控的工作势在必行。工作势在必行。24总部正组织各省开展集中化的总部正组织各省开展集中化的724小时网络与信息安全监控工小时网络与信息安全监控工作。作。对具备基础安全监控手段的一干和省网重要系统实现集中化的对具备基础安全监控手段的一干和省

25、网重要系统实现集中化的724小时安全监控，重要系统中实现集中化安全监控的比例要小时安全监控，重要系统中实现集中化安全监控的比例要达到达到80%，保证网络在可管、可控的情况下安全运营。，保证网络在可管、可控的情况下安全运营。奥运期间加强安全监控，重点监控奥运产品和奥运专项网络保障奥运期间加强安全监控，重点监控奥运产品和奥运专项网络保障所涉及的网络和系统发生的重要事件，及时处理安全问题。所涉及的网络和系统发生的重要事件，及时处理安全问题。制定标准化的集中化安全监控工作流程，操作手册，针对奥运保障制定标准化的集中化安全监控工作流程，操作手册，针对奥运保障完善预处理手册，制定完善预处理手册，制定7 7

26、*2424小时安全监控作业计划，安全告警派单小时安全监控作业计划，安全告警派单的模板。的模板。对于不具备集中化安全监控手段的省公司，应采用将各类基础安全对于不具备集中化安全监控手段的省公司，应采用将各类基础安全监控手段的操作终端集中、分别查看各终端安全事件的过度方式，监控手段的操作终端集中、分别查看各终端安全事件的过度方式，开展集中化安全监控；省公司应通过集中化安全监控手段开展集中开展集中化安全监控；省公司应通过集中化安全监控手段开展集中安全监控，实现高效的一站式安全监控。安全监控，实现高效的一站式安全监控。各省公司也要组织必要的培训，确保安全监控岗位人员具备安全监各省公司也要组织必要的培训，

27、确保安全监控岗位人员具备安全监控技能，熟悉掌握监控工作手册，并可熟练执行安全监控作业。控技能，熟悉掌握监控工作手册，并可熟练执行安全监控作业。25v安全基本概念v安全事件分类分级v安全事件监控和处理流程v安全监控工作思路v信息安全基础知识v安全事件案例26防火墙防火墙 防火墙是在不同安全区域之间进行访问控制的一种措施。FirewallInternetDMZInternal Network27什么是防火墙什么是防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒

28、绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。28防火墙工作原理防火墙工作原理 对IP地址和某些端口进行过滤29防火墙不是万能的防火墙不是万能的防火墙仅仅是网络安全体系的一个组件防火墙通常是抵御攻击的第一道防线，经常被有经验的入侵者绕过防火墙中的“开放”策略通常被利用 防火墙不能安全过滤应用层的非法攻击，如unicode攻击；防火墙对不通过它的连接无能为力，如内网攻击等；防火墙采用静态安全策略技术，

29、因此自身无法动态防御新的非法攻击。30入侵检测系统入侵检测系统入侵检测（Intrusion Detection），顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统。（Intrusion Detection System,简称IDS）。假如说防火墙是假如说防火墙是一幢大楼的门锁，那一幢大楼的门锁，那入侵监测系统就是这入侵监测系统就是这幢大楼里的监视系统幢大楼里的监视系统。31IDS工作流程示意工作流程示意数据采集数据采集数据过滤数据过滤事件报警事

30、件报警/响应响应攻击检测攻击检测/分析分析数据采集数据采集：网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS)利用处于混杂模式的网卡来获得通过网络的数据，采集必要的数据用于入侵分析。数据过滤：数据过滤：根据预定义的设置，进行必要的数据过滤，从而提高检测、分析的效率。攻击检测攻击检测/分析分析：根据定义的安全策略，来实时监测并分析通过网络的所有通信业务，使用采集的网络包作为数据源进行攻击辨别，通常使用模式、表达式或字节匹配、频率或穿越阀值、事件的相关性和统计学意义上的非常规现象检测这四种技术来识别攻击。事件报警事件报警/响应：响应：当IDS一旦检测到了攻击行为，IDS的响应模块就提供多

31、种选项以通知、报警并对攻击采取相应的反应，通常都包括通知管理员、记录在数据库。32IDS部署部署传感器可以被放置在业网络中的任何可能存安全隐患的网段。在这些网段中，根据络流量和监控数据的需来决定部署不同型号的传感器。33防火墙与防火墙与IDS协同工作协同工作00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

32、0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000

33、0000000000000000000000000000000000000000000000000000000000000000000000000000Firewall 提供访问控制提供访问控制Deny TrafficAllow TrafficDeny Some AttacksIDS 提供攻击检测提供攻击检测Corporate NetworkFalse AlarmsDetectedAttacks34恶意代码恶意代码 随着互联网的发展，我们的企业和个人用户在享受网络带随着互联网的发展，我们的企业和个人用户在享受网络带来的快捷和商机的同时，也面临无时不在的威胁：来的快捷和商机的同时，也面临无时不在

34、的威胁：病毒病毒 PEPE蠕虫蠕虫 WORMWORM木马木马 TROJTROJ后门后门 BKDRBKDR间谍软件间谍软件 SPYSPY其他其他 以上统称为恶意代码。以上统称为恶意代码。35病毒的传播方式病毒的传播方式 传播方式主要有：传播方式主要有：电子邮件电子邮件HTML正文可能被嵌入恶意脚本，邮件附件携带病毒压缩文件，利用社会工程学进行伪装，增大病毒传播机会，快捷传播特性网络共享网络共享病毒会搜索本地网络中存在的共享，如admin$,c$,d$。通过空口令或弱口令猜测，获得完全访问权限；病毒自带口令猜测列表，将自身复制到网络共享文件夹中，通常以游戏，CDKEY等相关名字命名；利用社会工程学

35、进行伪装，诱使用户执行并感染。P2PP2P共享共享将自身复制到P2P共享文件夹，利用社会工程学进行伪装，诱使用户下载系统漏洞系统漏洞由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码36防止病毒入侵防止病毒入侵 及时更新及时更新windows补丁，修补漏洞补丁，修补漏洞 强化密码设置的安全策略，增加密码强度强化密码设置的安全策略，增加密码强度 加强网络共享的管理加强网络共享的管理 增强员工病毒防范意识增强员工病毒防范意识37病毒自启动方式病毒自启动方式注册表启动注册表启动HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr

36、entVersionHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下：下：RunServices RunServices RunServicesOnceRunServicesOnceRunRunRunOnceRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下：下：RunRunRunOnceRunOnceRunServicesRunServices

37、以上这些键一般用于在系统启动时执行特定程序。以上这些键一般用于在系统启动时执行特定程序。38病毒自启动方式病毒自启动方式文件关联项文件关联项HKEY_CLASSES_ROOT下：下：exefileshellopencommand=%1%*comfileshellopencommand=%1%*batfileshellopencommand=%1%*htafileShellOpenCommand=%1%*piffileshellopencommand=%1%*“病毒将病毒将%1%*改为改为“virus.exe%1%*virus.exe将在打开或运行相应类型的文件时被执行将在打开或运行相应类型的文

38、件时被执行39病毒自启动方式病毒自启动方式病毒常修改的配置文件病毒常修改的配置文件%windows%wininit.ini中中Rename节节 NUL=c:windows virus.exe 将将c:windows virus.exe设置为设置为NUL,表示让表示让windows在将在将virus.exe e运行后删除运行后删除.Win.ini中的中的windows节节 load=virus.exe run=virus.exe 这两个变量用于自动启动程序。这两个变量用于自动启动程序。System.ini 中的中的boot节节 Shell=Explorer.exe virus.exe Shell

39、变量指出了要在系统启动时执行的程序列表。变量指出了要在系统启动时执行的程序列表。40病毒自启动方式病毒自启动方式 病毒常修改的病毒常修改的Bat文件文件%windows%winstart.bat 该文件在每次系统启动时执行，只要在该文件中写入欲该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。执行的程序，该程序即可在系统启动时自动执行。Autoexec.bat 在在DOS下每次自启动下每次自启动41病毒自启动方式病毒自启动方式启动文件夹启动：启动文件夹启动：当前用户的启动文件夹当前用户的启动文件夹 可以通过如下注册表键获得可以通过如下注册表键获得:HK

40、LMSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的中的 StartUp 项项公共的启动文件夹公共的启动文件夹 可以通过如下注册表键获得可以通过如下注册表键获得:HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的中的 Common StartUp 项项病毒可以在该文件夹中放入欲执行的程序，病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。或直接修改其值指向放置有要执行程序的路径。42安全产品协同工作安全产品协同工

41、作访问控制访问控制入侵检测入侵检测漏洞评估漏洞评估防火墙防火墙防病毒防病毒43SYN FLOOD攻击攻击 使用TCP的三次握手机制，客户端使用假的IP地址，向服务器发出连接请求（第一次握手），服务器应答（第二次握手），由于IP地址是假的，例如1.1.1.1，因此就找不到目的地，服务器会一直等待客户端发来第三次握手的信息。当量足够大的时候，会对服务器产生明显的影响。client(port=33623/tcp)server(port=23/tcp)SYNSYN-ACK ACKsession proceedsACK set for remainder of session44SQL Injectio

42、n SQL注入是一种常见的WEB攻击方法,攻击者利用SQL语言本身的一些特性调用SQL功能,对服务器或主机实现攻击行为。通常用户名和密码都存储在数据库的一个表中，登录系统时要求输入用户名和密码，系统会将用户输入的信息组成一条SQL语句去数据库里查询，如果返回结果为真，那么就能正常登录。假设输入的用户名为“abc”，密码为“anythingor x=x”，那么在服务器上执行的命令就是：Select*from UserTableWhere UserName=abc and Password=anything or x=x该语句执行结果始终为真！该语句执行结果始终为真！45SQL Injection

43、攻击防范攻击防范过滤其特殊字符串 例如:-、exec、executeWEB APPLICATION做参数化查询限制MS SQL存储过程的使用 xp_cmdshell、sp_addlogin、sp_addsrvrolemember、sp_oacreate等存储过程Select*from UserTableWhere UserName=abc and Password=anything or x=x改为改为Select*from UserTableWhere UserName=anything 从数据库中读出密码，而不在SQL语句中直接验证，与输入的密码做比较，这样就可以防范攻击。其它的防范方法还

44、有：46v安全基本概念v安全事件分类分级v安全事件监控和处理流程v安全监控工作思路v信息安全基础知识v安全事件案例47 2019年年9月月11日，中国移动门户网站被黑客入侵，门户网站首页日，中国移动门户网站被黑客入侵，门户网站首页被替换。安全事件发生当日，即被新浪等互联网媒体报道，成为互被替换。安全事件发生当日，即被新浪等互联网媒体报道，成为互联网的热点新闻。联网的热点新闻。48q总部人员自行定制开发了网站监控程序，并通过投放大屏幕、告警发总部人员自行定制开发了网站监控程序，并通过投放大屏幕、告警发声等方式实现了实时监控。声等方式实现了实时监控。49现网物理安全事件现网物理安全事件 4月月19

45、日省干二平面故障造成倒换日省干二平面故障造成倒换 4月月26日楚雄本地网故障日楚雄本地网故障37个基站退服个基站退服4月26日7:47 楚雄1451大姚移动楼基站市电停电，8:36发生直流电压低告警，8:58电池能量耗尽，导致楚雄本地网34大姚移动楼下挂无保护链所带37个基站退服，故障历时24分钟。4月月13日昆明本地网故障日昆明本地网故障17个基站退服个基站退服4月19日 04:08 省干二平面思茅到元江通信中断，原因：通关基站省干二平面传输节点所接的电源未安装动力环境监控设备，市电电压过高后，该设备交流保护，电池开始放电，直至容量耗尽，承载的所有负荷宕机，通关传输网元脱网。饮食公司机房空调

46、4-12凌晨故障,机房温度逐渐升。4月12日07:44:59饮食公司设备7号、13号LP16 2.5G光板处理板吊死，导致17个基站业务中断。其中有9个VIP基站中断。退服最长历时3小时48分，最短历时23分19秒。50现网物理安全事件现网物理安全事件 5月月31日版纳本地网故障日版纳本地网故障27个基站退服个基站退服 6月月10日昆明本地网故障日昆明本地网故障16个基站退服个基站退服6月10日，昆明本地网因白邑基站停电导致16个基站退服。该站动力环境集中监控系统自6月8日故障后一直未修复。4月月29日文山本地网故障日文山本地网故障30个基站退服个基站退服4月29日20:47文山本地网双龙营因

47、市电停电后电池能量耗尽，导致30个基站中断，故障历时68分钟。该站动力环境集中监控系统自1月24日故障后一直未修复。5月31日00:17版纳3333_勐腊勐醒市电停电，04:31出现直流电压过低告警，电压为47.9V，07:47市电停电告警结束。2019-05-31 07:50再次出现市电停电告警，8：26停电导致27个基站中断，其中2个VIP基站。51现网物理安全事件现网物理安全事件 6月月11日临沧本地网故障日临沧本地网故障16个基站退服个基站退服6月11日 临沧鲁史基站因电源下电电压设置错误，电池放电至47V就将BTS和传输设备断开，最终导致16个基站退服。从从4 4月至月至6 6月月1111日，因动力环境设备原因共造成故障日，因动力环境设备原因共造成故障7 7次，次，143143个基站退服！个基站退服！52在我们更多的去关心质量和服务的时候，安全如何保障？在我们更多的去关心质量和服务的时候，安全如何保障？1为安全保障分配必要的资源，确保质量和服务工作能够在安全的基础下开展2全员参与，现在就行动起来，从能做的事情做起，责任分包，并尽可能让安全工作能够常态化的开展下去3信息安全面临越来越大的挑战，应尽快考虑建设信息安全保障体系53