計(jì)算機(jī)網(wǎng)絡(luò)安全概述

第一章計(jì)算機(jī)網(wǎng)絡(luò)安全概述信息學(xué)院課程說(shuō)明課程學(xué)時(shí)安排

成績(jī)比例總學(xué)時(shí) 64考試 50％平時(shí) 40％(考勤+作業(yè)10，互動(dòng)30）小考 10％

本章主要內(nèi)容

1:網(wǎng)絡(luò)安全簡(jiǎn)介2:信息安全的發(fā)展歷程3:網(wǎng)絡(luò)安全所涉及的內(nèi)容4：網(wǎng)絡(luò)安全的攻防體系

學(xué)習(xí)目標(biāo)通過(guò)典型的網(wǎng)絡(luò)安全事件和詳實(shí)的數(shù)據(jù)，了解網(wǎng)絡(luò)安全的重要性、網(wǎng)絡(luò)脆弱性的原因和信息安全發(fā)展的歷程。理解并掌握網(wǎng)絡(luò)安全五個(gè)基本要素（重點(diǎn)）理解網(wǎng)絡(luò)安全所受到的各種威脅及相應(yīng)的防護(hù)技術(shù)。了解目前國(guó)際和國(guó)內(nèi)的網(wǎng)絡(luò)安全現(xiàn)狀。思考：網(wǎng)絡(luò)安全為什么重要？烏云網(wǎng)電子銀行安全嗎？余額寶安全嗎？支付寶安全嗎?思考：如何保證以上的安全？網(wǎng)絡(luò)安全的重要性信息安全空間將成為傳統(tǒng)的國(guó)界、領(lǐng)海、領(lǐng)空的三大國(guó)防和基于太空的第四國(guó)防之外的第五國(guó)防，稱為cyber-space。已經(jīng)上升為國(guó)家與國(guó)家的戰(zhàn)斗1.1.2網(wǎng)絡(luò)脆弱性的原因“INTERNET的美妙之處在于你和每個(gè)人都能互相連接,INTERNET的可怕之處在于每個(gè)人都能和你互相連接”1.1.2網(wǎng)絡(luò)脆弱性的原因1.1.2網(wǎng)絡(luò)脆弱性的原因

1.開放性的網(wǎng)絡(luò)環(huán)境2.協(xié)議本身的缺陷

3.操作系統(tǒng)的漏洞

4.人為因素

典型的網(wǎng)絡(luò)安全事件時(shí)間發(fā)生的主要事件損失1983年“414黑客”。這6名少年黑客被控侵入60多臺(tái)電腦，1987年赫爾伯特·齊恩（“影子鷹”）闖入美國(guó)電話電報(bào)公司1988年羅伯特-莫里斯“蠕蟲”程序。造成了1500萬(wàn)到1億美元的經(jīng)濟(jì)損失。1990年“末日軍團(tuán)”4名黑客中有3人被判有罪。1995年米特尼克偷竊了2萬(wàn)個(gè)信用卡號(hào)8000萬(wàn)美元的巨額損失。1998年2月德國(guó)計(jì)算機(jī)黑客米克斯特使美國(guó)七大網(wǎng)站限于癱瘓狀態(tài)時(shí)間發(fā)生的主要事件損失1998年兩名加州少年黑客。以色列少年黑客“分析家查詢五角大樓網(wǎng)站并修改了工資報(bào)表和人員數(shù)據(jù)。1999年4月“ＣＩＨ”病毒保守估計(jì)全球有６千萬(wàn)部的電腦受害。1999年北京江民KV300殺毒軟件損失260萬(wàn)元。2000年2月“雅虎"、“電子港灣"、亞馬孫、微軟網(wǎng)絡(luò)等美國(guó)大型國(guó)際互聯(lián)網(wǎng)網(wǎng)站。損失就超過(guò)了10億美元，其中僅營(yíng)銷和廣告收入一項(xiàng)便高達(dá)1億美元。2000年4月闖入電子商務(wù)網(wǎng)站的威爾斯葛雷，估計(jì)導(dǎo)致的損失可能超過(guò)三百萬(wàn)美元。2000年10月27全球軟件業(yè)龍頭微軟懷疑被一伙藏在俄羅斯圣彼得堡的電腦黑客入侵可能竊取了微軟一些最重要軟件產(chǎn)品的源代碼或設(shè)計(jì)藍(lán)圖。羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個(gè)世界。由原本寂寂無(wú)名的大學(xué)生羅伯特·莫里斯（22歲）制造的這個(gè)蠕蟲病毒入侵了大約6000個(gè)大學(xué)和軍事機(jī)構(gòu)的計(jì)算機(jī)，使之癱瘓。此后，從CIH到美麗莎病毒，從尼姆達(dá)到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。凱文?米特尼克凱文?米特尼克是美國(guó)20世紀(jì)最著名的黑客之一，他是《社會(huì)工程學(xué)》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國(guó)所有的核彈頭資料，令大人不可置信。不久破譯了美國(guó)“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號(hào)碼。2014年中國(guó)“十大網(wǎng)絡(luò)安全事件”盤點(diǎn)1、維護(hù)網(wǎng)絡(luò)安全首次列入政府工作報(bào)告3月6日播出的央視晚間新聞《據(jù)說(shuō)兩會(huì)》欄目，向全國(guó)觀眾介紹了當(dāng)前我國(guó)所處的網(wǎng)絡(luò)安全形勢(shì)，以及政府工作報(bào)告首次將維護(hù)網(wǎng)絡(luò)安全列入的信息，維護(hù)網(wǎng)絡(luò)安全是關(guān)乎國(guó)家安全和發(fā)展的重大戰(zhàn)略問(wèn)題。2、微軟XP停服影響70%中國(guó)電腦2014年4月，微軟正式停止為WindowsXP提供安全更新，服役13年的WindowsXP系統(tǒng)就此“退休”。但是在中國(guó)，WindowsXP的市場(chǎng)份額仍高達(dá)70%，用戶量超2億。“后XP時(shí)代”的信息安全廣受關(guān)注。為檢驗(yàn)國(guó)內(nèi)安全軟件的防護(hù)能力，一場(chǎng)“XP挑戰(zhàn)賽”在清明節(jié)激烈上演，開賽僅57秒，騰訊電腦管家就被黑客攻破；1分53秒，金山毒霸也宣告失守。360安全衛(wèi)士XP盾甲則堅(jiān)守13小時(shí)無(wú)人能破，也因此在XP安全市場(chǎng)競(jìng)爭(zhēng)中占得先機(jī)。3、首屆網(wǎng)絡(luò)安全周在京召開4、中國(guó)團(tuán)隊(duì)“盤古”全球首家完美越獄iOS7.1.16月23日，國(guó)內(nèi)越獄團(tuán)隊(duì)盤古團(tuán)隊(duì)正式發(fā)布全球首個(gè)iOS7.1.1完美越獄工具，名字確定為“盤古”。自從蘋果發(fā)布iOS7.1.1更新以來(lái)，先后有i0n1c、winocm等國(guó)外大神宣稱成功越獄了iOS7.1.1，但他們都是“只發(fā)圖或視頻不發(fā)工具”，讓眾多果粉失望。而“盤古”不僅是首個(gè)國(guó)內(nèi)開發(fā)的iOS越獄工具，同時(shí)也是iOS7.1.1版本的全球首個(gè)完美越獄工具，向世界證明了中國(guó)越獄團(tuán)隊(duì)的實(shí)力。5、OpenSSL爆“心臟出血”漏洞4月8日，OpenSSL爆出本年度最知名的安全漏洞Heartbleed，被形象地形容為致命的“心臟出血”。利用該漏洞，黑客坐在自己家里電腦前，就可以實(shí)時(shí)獲取約30%的https開頭網(wǎng)址的用戶登錄賬號(hào)密碼，其中包括網(wǎng)民最常用的購(gòu)物、網(wǎng)銀、社交、門戶、微博、微信、郵箱等知名網(wǎng)站和服務(wù)，影響至少兩億中國(guó)網(wǎng)民。OpenSSL的“心臟出血”再一次把網(wǎng)絡(luò)安全問(wèn)題推到了公眾面前6、安卓平臺(tái)首次發(fā)現(xiàn)使用Bootkit技術(shù)的“不死”木馬1月25日，央視新聞?lì)l道曝光了全球首個(gè)安卓手機(jī)木馬“不死木馬”（oldboot）。它會(huì)偷偷下載大量色情軟件，造成話費(fèi)損失，國(guó)內(nèi)感染超過(guò)50萬(wàn)部手機(jī)。與以往所有木馬不同的是，該木馬被寫入手機(jī)磁盤引導(dǎo)區(qū)，全球任何殺毒軟件均無(wú)法徹底將其清除，即使可以暫時(shí)查殺，但在手機(jī)重啟后，木馬又會(huì)“復(fù)活”。隨著“不死”木馬的發(fā)現(xiàn)，其背后專門制造木馬、刷入木馬的黑色產(chǎn)業(yè)鏈也浮出水面。7、SyScan360首破特斯拉智能汽車7月16日，SyScan360國(guó)際前瞻信息安全會(huì)議啟動(dòng)了全球首個(gè)智能汽車破解挑戰(zhàn)賽——特斯拉破解大賽，近20位安全技術(shù)愛好者經(jīng)歷了長(zhǎng)達(dá)24小時(shí)的挑戰(zhàn)，最年輕的一組挑戰(zhàn)者是浙江大學(xué)的2位在校學(xué)生。參賽選手們圍繞特斯拉系統(tǒng)的瀏覽器、手機(jī)APP和智能引擎系統(tǒng)持續(xù)了三輪的模擬入侵。360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室的安全專家也現(xiàn)場(chǎng)演示了已經(jīng)發(fā)現(xiàn)并提交給特斯拉的應(yīng)用程序系統(tǒng)漏洞，重現(xiàn)了該漏洞的安全隱患，成功利用電腦實(shí)現(xiàn)了遠(yuǎn)程開鎖、鳴笛、閃燈、開啟天窗等操作。8、1·21中國(guó)互聯(lián)網(wǎng)DNS大劫難1月21日下午3點(diǎn)10分左右，國(guó)內(nèi)通用頂級(jí)域的根服務(wù)器忽然出現(xiàn)異常，導(dǎo)致眾多知名網(wǎng)站出現(xiàn)DNS解析故障，用戶無(wú)法正常訪問(wèn)。雖然國(guó)內(nèi)訪問(wèn)根服務(wù)器很快恢復(fù)，但由于DNS緩存問(wèn)題，部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍將持續(xù)數(shù)個(gè)小時(shí)，至少有2/3的國(guó)內(nèi)網(wǎng)站受到影響。微博調(diào)查顯示，“1·21全國(guó)DNS大劫難”影響空前。事故發(fā)生期間，超過(guò)85%的用戶遭遇了DNS故障，引發(fā)網(wǎng)速變慢和打不開網(wǎng)站的情況。9、手機(jī)木馬“XX神器”七夕節(jié)爆發(fā)8月2日七夕當(dāng)天，一款名為“XX神器”的安卓系統(tǒng)手機(jī)病毒在全國(guó)范圍蔓延。該手機(jī)木馬通過(guò)手機(jī)短信“XXX（短信接收者姓名）看這個(gè)：http://cdn……XXshenqi.apk”傳播，一旦點(diǎn)擊后手機(jī)就會(huì)中招，木馬不僅會(huì)竊取手機(jī)通訊錄和短信內(nèi)容，還會(huì)自動(dòng)給通訊錄中的號(hào)碼發(fā)生病毒短信，不斷擴(kuò)大傳播范圍，最終導(dǎo)致手機(jī)因發(fā)送大量短信而欠費(fèi)停機(jī)。據(jù)統(tǒng)計(jì)，超過(guò)百萬(wàn)用戶感染“XX神器”，一度引起恐慌，被業(yè)界稱為有史以來(lái)最大規(guī)模的手機(jī)木馬。10、政府采購(gòu)國(guó)產(chǎn)安全軟件計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

二、計(jì)算機(jī)系統(tǒng)安全的概念網(wǎng)絡(luò)安全的定義

廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。

從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷；網(wǎng)絡(luò)安全的要素保密性—confidentiality完整性—integrity可用性—availability可控性—controllability不可否認(rèn)性—Non-repudiation安全的要素1、機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。加密機(jī)制。防泄密

2、完整性：只有得到允許的人才能修改實(shí)體或進(jìn)程，并且能夠判別出實(shí)體或進(jìn)程是否已被修改。完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，數(shù)據(jù)順序完整，編號(hào)連續(xù)，時(shí)間正確。3、可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。使靜態(tài)信息可見，動(dòng)態(tài)信息可操作。安全的要素4、可控性：可控性主要指對(duì)危害國(guó)家信息（包括利用加密的非法通信活動(dòng)）的監(jiān)視審計(jì)。控制授權(quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機(jī)制，控制信息傳播范圍、內(nèi)容，必要時(shí)能恢復(fù)密鑰，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性。5、不可否認(rèn)性：對(duì)出現(xiàn)的安全問(wèn)題提供調(diào)查的依據(jù)和手段。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“逃不脫"，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。一般通過(guò)數(shù)字簽名來(lái)提供不可否認(rèn)服務(wù)。

安全工作的目的進(jìn)不來(lái)拿不走改不了跑不了看不懂信息安全的發(fā)展歷程

通信保密階段

ComSEC(CommunicationSecurity)

計(jì)算機(jī)安全階段CompSEC(ComputerSecurity)信息技術(shù)安全階段ITSEC(ITSecurity)信息安全保障階段

IA(InformationAssurance)通信保密階段20世紀(jì)40年代--70年代又稱通信安全時(shí)代重點(diǎn)是通過(guò)密碼技術(shù)解決通信保密問(wèn)題，保證數(shù)據(jù)的機(jī)密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護(hù)措施是加密技術(shù)主要標(biāo)志1949年Shannon發(fā)表的《保密通信的信息理論》1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)1976年Diffie和hellman在《NewDirectionsinCryptography》一文中所提出的公鑰密碼體制計(jì)算機(jī)安全階段

20世紀(jì)70年代--80年代重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲(chǔ)、傳輸信息的機(jī)密性、完整性和可用性主要安全威脅擴(kuò)展到非法訪問(wèn)、惡意代碼、脆弱口令等主要保護(hù)措施是安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）主要標(biāo)志：1983年美國(guó)國(guó)防部公布的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）--將操作系統(tǒng)的安全級(jí)別分為4類7個(gè)級(jí)別（D、C1、C2、B1、B2、B3、A1）信息技術(shù)安全階段20世紀(jì)90年代以來(lái)重點(diǎn)需要保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過(guò)程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗的攻擊等主要保護(hù)措施包括防火墻、網(wǎng)絡(luò)攻防技術(shù)、漏洞掃描、入侵檢測(cè)、PKI、VPN、安全管理與審計(jì)，安全路由器等主要標(biāo)志是提出了新的安全評(píng)估準(zhǔn)則CC（ISO15408、GB/T18336）信息安全保障階段21世紀(jì)以來(lái)重點(diǎn)放在保障國(guó)家信息基礎(chǔ)設(shè)施不被破壞，確保信息基礎(chǔ)設(shè)施在受到攻擊的前提下能夠最大限度地發(fā)揮作用強(qiáng)調(diào)系統(tǒng)的魯棒性和容災(zāi)特性主要安全威脅發(fā)展到集團(tuán)、國(guó)家的有組織的對(duì)信息基礎(chǔ)設(shè)施進(jìn)行攻擊等主要保護(hù)措施是災(zāi)備技術(shù)、建設(shè)面向網(wǎng)絡(luò)恐怖與網(wǎng)絡(luò)犯罪的國(guó)際法律秩序與國(guó)際聯(lián)動(dòng)的網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)技術(shù)網(wǎng)絡(luò)安全涉及知識(shí)領(lǐng)域信息（網(wǎng)絡(luò)）安全涉及方面應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)安全管理安全物理安全信息安全面臨的威脅類型病毒蠕蟲后門拒絕服務(wù)內(nèi)部人員誤操作非授權(quán)訪問(wèn)暴力猜解物理威脅系統(tǒng)漏洞利用嗅探網(wǎng)絡(luò)安全的攻防體系

網(wǎng)絡(luò)安全不是個(gè)目標(biāo)，而是個(gè)過(guò)程

作業(yè)1：談?wù)勀銓?duì)這句話的理解網(wǎng)絡(luò)安全現(xiàn)狀系統(tǒng)的脆弱性Internet的無(wú)國(guó)際性TCP/IP本身在安全方面的缺陷網(wǎng)絡(luò)建設(shè)缺少安全方面的考慮（安全滯后）安全技術(shù)發(fā)展快、人員缺乏安全管理覆蓋面廣，涉及的層面多。美國(guó)網(wǎng)絡(luò)安全現(xiàn)狀目前的現(xiàn)狀：起步早，技術(shù)先進(jìn)，技術(shù)壟斷美國(guó)的情況

引起重視：把信息領(lǐng)域作為國(guó)家的重要的基礎(chǔ)設(shè)施。加大投資：2003年財(cái)政撥款1.057億美圓資助網(wǎng)絡(luò)安全研究，2008年財(cái)政增至3.27億美圓。美國(guó)提出的行動(dòng)框架是：在高等教育中，使IT安全成為優(yōu)先課程；更新安全策略，改善對(duì)現(xiàn)有的安全工具的使用；提高未來(lái)的研究和教育網(wǎng)絡(luò)的安全性；改善高等教育、工業(yè)界、政府之間的合作；把高等教育中的相關(guān)工作納入國(guó)家的基礎(chǔ)設(shè)施保護(hù)工作之中。美國(guó)2001年10月發(fā)布13231號(hào)總統(tǒng)令《信息時(shí)代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》

新設(shè)總統(tǒng)網(wǎng)絡(luò)安全顧問(wèn)，建立總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)完善信息安全的法律法規(guī)建設(shè)2001年10月通過(guò)《愛國(guó)者法案》2002年7月制定國(guó)土安全戰(zhàn)略，成立國(guó)土資源部2003年2月出臺(tái)《網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略》

規(guī)劃美