chapter1 計算機網(wǎng)絡(luò)安全概述

1、第一章 計算機網(wǎng)絡(luò)安全概述計算機網(wǎng)絡(luò)技術(shù)專業(yè)1本章主要內(nèi)容Key Questions1: 網(wǎng)絡(luò)安全簡介2: 信息安全的發(fā)展歷程3: 網(wǎng)絡(luò)安全的定義4: 網(wǎng)絡(luò)安全防護體系5: 網(wǎng)絡(luò)安全的現(xiàn)狀2應具備的職業(yè)行動能力通過典型的網(wǎng)絡(luò)安全事件和詳實的數(shù)據(jù)，了解網(wǎng)絡(luò)安全的重要性、網(wǎng)絡(luò)脆弱性的原因和信息安全發(fā)展的歷程。理解并掌握網(wǎng)絡(luò)安全五個基本要素（重點）理解網(wǎng)絡(luò)安全所受到的各種威脅及相應的防護技術(shù)。了解目前國際和國內(nèi)的網(wǎng)絡(luò)安全現(xiàn)狀。具有認真負責、嚴謹細致的工作態(tài)度和工作作風，具備良好的團隊協(xié)作和溝通交流能力，逐步培養(yǎng)良好的網(wǎng)絡(luò)安全職業(yè)道德。（社會能力）良好的自學能力，對新技術(shù)有學習、研究精神，較強的動手操

2、作能力。（方法能力）3網(wǎng)絡(luò)安全綜述4網(wǎng)絡(luò)安全綜述 Network Security 2003年截至11月底，中國互聯(lián)網(wǎng)上網(wǎng)用戶數(shù)已超過7800萬，居世界第二位。 中國互聯(lián)網(wǎng)協(xié)會與互聯(lián)網(wǎng)專業(yè)協(xié)會2007 2月6日聯(lián)合發(fā)表Internet Guide 2007 中國互聯(lián)網(wǎng)調(diào)查報告。調(diào)查顯示，內(nèi)地互聯(lián)網(wǎng)用戶去年已躍升至一億三千六百萬，按年增幅近百分之二十三。 中國互聯(lián)網(wǎng)協(xié)會旗下DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心2008年1月9日發(fā)布的 中國互聯(lián)網(wǎng)調(diào)查報告顯示 ，2007年中國互聯(lián)網(wǎng)用戶規(guī)模達1.82億人。預計2008年中國互聯(lián)網(wǎng)用戶規(guī)模將達2.44億人。 5網(wǎng)絡(luò)安全為什么重要？網(wǎng)絡(luò)應用已滲透到現(xiàn)代社會生活的各個

3、方面；電子商務(wù)、電子政務(wù)、電子銀行等無不關(guān)注網(wǎng)絡(luò)安全；至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點，也是技術(shù)研究的熱門領(lǐng)域，同時也是國家和政府的行為。62006年度中國被篡改網(wǎng)頁的網(wǎng)站 7數(shù)據(jù)2006年10月，InformationWeek研究部和埃森哲咨詢公司全球安全調(diào)查，調(diào)查全面揭示了商業(yè)計算環(huán)境所面臨的各種威脅。在受訪者當中，有57%的美國公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經(jīng)歷了拒絕服務(wù)攻擊。 8網(wǎng)絡(luò)安全影響到國家的安全和主權(quán)海灣戰(zhàn)爭前，美國中央情報局采用“偷梁換拄”的方法，將帶病毒的電腦打印機芯片，趁貨物驗關(guān)之際換入伊拉克所購的電腦打印機中-小小的一塊帶病毒的芯

4、片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。9網(wǎng)絡(luò)安全的重要性信息安全空間將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。1038屆世界電信日的主題21世紀人類對網(wǎng)絡(luò)最大的擔憂是什么？國家、政府、企業(yè)對網(wǎng)絡(luò)最大的投入是什么？未來網(wǎng)絡(luò)界最炙手可熱的人才是什么？未來網(wǎng)絡(luò)行業(yè)最大的就業(yè)機會在哪里 ？今年世界電信日的主題是什么？保障安全安全專家安全領(lǐng)域推進安全網(wǎng)絡(luò)安全111.1.2 網(wǎng)絡(luò)脆弱性的原因 “INTERNET的美妙之處在于你和每個人都能互相連接, INTERNET的可怕之處在于每個人都能和你互相連接 ”121.1.2 網(wǎng)絡(luò)脆弱性的原因131.1.

5、2 網(wǎng)絡(luò)脆弱性的原因 1. 開放性的網(wǎng)絡(luò)環(huán)境2. 協(xié)議本身的缺陷 3. 操作系統(tǒng)的漏洞 4. 人為因素 14典型的網(wǎng)絡(luò)安全事件151617羅伯特莫里斯1988年，莫里斯蠕蟲病毒震撼了整個世界。由原本寂寂無名的大學生羅伯特莫里斯（22歲）制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構(gòu)的計算機，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。18凱文米特尼克凱文米特尼克是美國20世紀最著名的黑客之一，他是社會工程學的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國所有的核彈頭資料，令大人不可置信。不久破譯了美國“太平洋電話公

6、司”某地的改戶密碼，隨意更改用戶的電話號碼。19CERT統(tǒng)計的安全事件年份事件數(shù)量1988619891321990252199140619927731993133419942340199524121997213419983734199998592000217562001526582002820942003137529年份事件數(shù)量1996257320網(wǎng)絡(luò)安全事件的預算計算公式 212007年十大安全事件（symantec評出） 數(shù)據(jù)竊?。撼^9400萬名用戶的Visa和MasterCard信用卡信息被黑客竊取Windows Vista安全問題：微軟2007年為Windows Vista推出了16

7、款安全補丁，將來，更多的惡意軟件作者會把目光集中在Vista身上。 垃圾郵件：2007年的垃圾郵件比例創(chuàng)下了歷史新高。 黑客工具成為賺錢工具：2007年，不僅黑客的攻擊手段越來越高明，而且還通過出售黑客工具獲取利潤。 “釣魚”式攻擊依然肆虐 可信的知名網(wǎng)站成為黑客攻擊目標 僵尸程序：僵尸程序（Bots，一種偷偷安裝在用戶計算機上使未經(jīng)授權(quán)的用戶能遠程控制計算機的程序）成為黑客竊取受保護信息的主要手段。 Web插件攻擊：ActiveX控件是最易遭受攻擊的Web插件 黑客在網(wǎng)上拍賣軟件漏洞 虛擬機安全問題突出 22數(shù)據(jù)Kaspersky病毒數(shù)據(jù)庫中已定義的惡意代碼的種類超過87000種瑞星全球反病

8、毒監(jiān)測網(wǎng)的統(tǒng)計數(shù)據(jù)（中國大陸部分）顯示，2005 年截獲的新病毒數(shù)量達到了72836 個，比2004 年增長了一倍還多23安全的概念 計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。 二、計算機系統(tǒng)安全的概念 24網(wǎng)絡(luò)安全的定義： 廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。 從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的攻擊而遭到破壞

9、、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷；25網(wǎng)絡(luò)安全的要素 保密性confidentiality 完整性integrity 可用性availability 可控性controllability 不可否認性Non-repudiation26安全的要素1、機密性：確保信息不暴露給未授權(quán)的實體或進程。加密機制。防泄密 2、完整性：只有得到允許的人才能修改實體或進程，并且能夠判別出實體或進程是否已被修改。完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù) 。防篡改 數(shù)據(jù)完整，hash； 數(shù)據(jù)順序完整，編號連續(xù)，時間正確。3、可用性：得到授權(quán)的實體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授

10、權(quán)者的工作。用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò) 。使靜態(tài)信息可見，動態(tài)信息可操作。 防中斷二、計算機系統(tǒng)安全的概念 27安全的要素4、可控性：可控性主要指對危害國家信息（包括利用加密的非法通信活動）的監(jiān)視審計?？刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機制，控制信息傳播范圍、內(nèi)容，必要時能恢復密鑰，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。5、不可否認性：對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“逃不脫，并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。一般通過數(shù)字簽名來提供不可否認服務(wù)。 二、計算機系統(tǒng)安全的概念 28

11、安全工作的目的進不來拿不走改不了跑不了看不懂29信息安全的發(fā)展歷程 通信保密階段 ComSEC(Communication Security) 計算機安全階段CompSEC(Computer Security)信息技術(shù)安全階段ITSEC(IT Security) 信息安全保障階段 IA(Information Assurance)30通信保密階段 20世紀40年代-70年代又稱通信安全時代重點是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的機密性與完整性主要安全威脅是搭線竊聽、密碼學分析主要保護措施是加密技術(shù)主要標志1949年Shannon發(fā)表的保密通信的信息理論1977年美國國家標準局公布的數(shù)據(jù)加

12、密標準(DES)1976年Diffie和hellman在New Directions in Cryptography一文中所提出的公鑰密碼體制31計算機安全階段 20世紀70年代-80年代重點是確保計算機系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸信息的機密性、完整性和可用性主要安全威脅擴展到非法訪問、惡意代碼、脆弱口令等主要保護措施是安全操作系統(tǒng)設(shè)計技術(shù)（TCB）主要標志：1983年美國國防部公布的可信計算機系統(tǒng)評估準則（TCSEC）-將操作系統(tǒng)的安全級別分為4類7個級別（D、C1、C2、B1、B2、B3、A1）32信息技術(shù)安全階段20世紀90年代以來重點需要保護信息，確保信息在存儲、處理、傳輸過

13、程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。強調(diào)信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等主要保護措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN、安全管理等主要標志是提出了新的安全評估準則CC（ISO 15408、GB/T 18336）33信息安全保障階段 21世紀以來重點放在保障國家信息基礎(chǔ)設(shè)施不被破壞，確保信息基礎(chǔ)設(shè)施在受到攻擊的前提下能夠最大限度地發(fā)揮作用強調(diào)系統(tǒng)的魯棒性和容災特性主要安全威脅發(fā)展到集團、國家的有組織的對信息基礎(chǔ)設(shè)施進行攻擊等主要保護措施是災備技術(shù)、建設(shè)面向網(wǎng)絡(luò)

14、恐怖與網(wǎng)絡(luò)犯罪的國際法律秩序與國際聯(lián)動的網(wǎng)絡(luò)安全事件的應急響應技術(shù)主要標志是美國推出的“保護美國計算機空間”（PDD-63）的體系框架34安全管理中：人是核心，技術(shù)是保證，運行是關(guān)鍵。35網(wǎng)絡(luò)安全涉及知識領(lǐng)域36信息安全是一門技術(shù)性學科不排除建立在深奧的理論基礎(chǔ)上 數(shù)論、量子密碼； 數(shù)據(jù)挖掘、聚類分析、序列理論； 神經(jīng)網(wǎng)絡(luò)、自學習機、智能決策； 計算機體系、操作系統(tǒng)內(nèi)核、網(wǎng)絡(luò)協(xié)議； 更多的是設(shè)計方案和具體操作 安全加固、管理策略；嵌入式、B/S、C/S； 編寫程序、分析取證等37信息（網(wǎng)絡(luò)）安全涉及方面應用安全系統(tǒng)安全網(wǎng)絡(luò)安全管理安全物理安全38 信息安全空間39信息安全面臨的威脅類型病毒蠕蟲

15、后門拒絕服務(wù)內(nèi)部人員誤操作非授權(quán)訪問暴力猜解物理威脅系統(tǒng)漏洞利用嗅探40常見的攻擊方式病毒virus （ 蠕蟲Worm）木馬程序Trojan拒絕服務(wù)和分布式拒絕服務(wù)攻擊 Dos&DDos欺騙：IP spoofing, Packet modification；ARP spoofing, 郵件炸彈 Mail bombing口令破解 Password crack社會工程 Social Engineering41攻擊的工具標準的TCP/IP工具 (ping, telnet)端口掃描和漏洞掃描 (ISS-Safesuit, Nmap, protscanner)網(wǎng)絡(luò)包分析儀 (sniffer, netwo

16、rk monitor)口令破解工具 (lc5, fakegina)木馬 (BO2k, 冰河, )42網(wǎng)絡(luò)安全的防護體系 43網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)加密身份認證防火墻技術(shù)防病毒技術(shù)入侵檢測技術(shù)漏洞掃描安全審計44密碼技術(shù)數(shù)據(jù)加密：主要用于數(shù)據(jù)傳輸中的安全 加密算法：對稱加密、非對稱加密數(shù)字簽名：主要用于電子交易45訪問控制技術(shù)入網(wǎng)訪問控制-用戶名和口令網(wǎng)絡(luò)權(quán)限的控制-用戶權(quán)限的等級對資源的控制 文件 設(shè)備（服務(wù)器、交換機、防火墻）46網(wǎng)絡(luò)安全不是個目標，而是個過程47安全漏洞被利用的周期變化安全漏洞被公布與相應的蠕蟲出現(xiàn)之間的時間間隔所出現(xiàn)的蠕蟲發(fā)現(xiàn)時間利用漏洞漏洞公布時間時間差Witty（維迪）20

17、04.3.22Realsecure緩沖區(qū)溢出2004.3.20 2MS-Blaster（沖擊波）2003.8.11MS03-026：RPC緩沖區(qū)溢出2003.7.1625Slammer (蠕蟲王)2003.1.24MS02-039：SQL緩沖區(qū)溢出2002.7.24182Klez(求職信)2001.11.9MS01-020：MIME2001.3.29220Nimda(尼姆達)2001.9.18 MS00-078：IIS2000.10.1733048網(wǎng)絡(luò)安全現(xiàn)狀系統(tǒng)的脆弱性Internet的無國際性TCP/IP本身在安全方面的缺陷網(wǎng)絡(luò)建設(shè)缺少安全方面的考慮（安全滯后）安全技術(shù)發(fā)展快、人員缺乏安全

18、管理覆蓋面廣，涉及的層面多。49美國網(wǎng)絡(luò)安全現(xiàn)狀目前的現(xiàn)狀： 起步早，技術(shù)先進，技術(shù)壟斷美國的情況 引起重視：把信息領(lǐng)域作為國家的重要的基礎(chǔ)設(shè)施。 加大投資：2003年財政撥款1.057億美圓資助網(wǎng)絡(luò)安全研究， 2007年財政增至2.27億美圓。50美國提出的行動框架是：在高等教育中，使IT安全成為優(yōu)先課程；更新安全策略，改善對現(xiàn)有的安全工具的使用；提高未來的研究和教育網(wǎng)絡(luò)的安全性；改善高等教育、工業(yè)界、政府之間的合作；把高等教育中的相關(guān)工作納入國家的基礎(chǔ)設(shè)施保護工作之中。51美國2001年10月發(fā)布13231號總統(tǒng)令信息時代的關(guān)鍵基礎(chǔ)設(shè)施保護 新設(shè)總統(tǒng)網(wǎng)絡(luò)安全顧問，建立總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護委員會 完善信息安全的法律法規(guī)建設(shè)2001年10月通過愛國者法案2002年7月制定國土安全戰(zhàn)略，成立國土資源部2003年2月出臺網(wǎng)絡(luò)安全國家戰(zhàn)略 規(guī)劃美國網(wǎng)絡(luò)信息安全保障工作的發(fā)展方向2005年2月NIST公布聯(lián)邦計算機系統(tǒng)與信息安全指南 2005年2月美國總統(tǒng)信息化咨詢委員會提交一個信息安全緊急報告 大力加強信息安全科研的投入 大力加強信息安全隊伍建設(shè) 對現(xiàn)在的安全創(chuàng)新進行再思考 克服信息安全從科研到產(chǎn)業(yè)這樣一種