新形勢下網(wǎng)絡(luò)安全的思考

新形勢下網(wǎng)絡(luò)安全的思考第1頁，共74頁，2023年，2月20日，星期六1、網(wǎng)絡(luò)安全簡介1、網(wǎng)絡(luò)安全的定義2、網(wǎng)絡(luò)安全包含的內(nèi)容3、網(wǎng)絡(luò)安全的重要性第2頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的定義

從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因自然因素或人為因素而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。第3頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全包含的內(nèi)容

計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。第4頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的重要性2006年，中國的寬帶用戶數(shù)達(dá)到了8900萬戶，在2007年達(dá)到1.1億寬帶用戶數(shù)。而到了2010年時(shí)，預(yù)計(jì)中國寬帶用戶數(shù)將達(dá)到1.87億戶。2009年12月，中國網(wǎng)民達(dá)3.84億人第5頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的重要性

第6頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全為什么重要？網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會(huì)生活的各個(gè)方面；電子商務(wù)、電子政務(wù)、電子銀行等無不關(guān)注網(wǎng)絡(luò)安全；至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點(diǎn)，也是技術(shù)研究的熱門領(lǐng)域，同時(shí)也是國家和政府的行為；第7頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全影響到人民生活的信息安全網(wǎng)絡(luò)安全直接影響人民生活的信息安全。隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用，政府、軍隊(duì)大量的機(jī)密文件和重要數(shù)據(jù)，企業(yè)的商業(yè)秘密乃至個(gè)人信息都存儲(chǔ)在計(jì)算機(jī)中，一些不法之徒千方百計(jì)地“闖入”網(wǎng)絡(luò)，竊取和破壞機(jī)密材料及個(gè)人信息。據(jù)專家分析，我國80%的網(wǎng)站是不安全的，40%以上的網(wǎng)站可以輕易被入侵。網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉：存儲(chǔ)在計(jì)算機(jī)中的信息不知不覺被刪除；在數(shù)據(jù)庫中的記錄不知道何時(shí)被修改；正在使用的計(jì)算機(jī)卻不知道何故突然“死機(jī)”……第8頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全影響到經(jīng)濟(jì)信息的安全。網(wǎng)絡(luò)不安全經(jīng)濟(jì)信息就不安全。信息技術(shù)與信息產(chǎn)業(yè)已成為當(dāng)今世界經(jīng)濟(jì)與社會(huì)發(fā)展的主要驅(qū)動(dòng)力。但網(wǎng)絡(luò)是把“雙刃劍”，世界各國的經(jīng)濟(jì)每年都因信息安全問題遭受巨大損失。據(jù)介紹，目前美國、德國、英國、法國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失達(dá)數(shù)百億美元。其中2005年，英國有500萬人僅被網(wǎng)絡(luò)詐騙就造成經(jīng)濟(jì)損失達(dá)5億美元。第9頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全影響到國家的安全和主權(quán)美國對(duì)伊拉克的網(wǎng)絡(luò)根本不屑一顧，它瞄準(zhǔn)的是更高意義上的信息戰(zhàn)。就在第一次海灣戰(zhàn)爭期間，伊拉克從法國購得一批網(wǎng)絡(luò)打印機(jī)，美國特工得知此事，將一塊固化病毒程序的芯片與某打印機(jī)中的芯片調(diào)了包，并且在空襲發(fā)起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計(jì)算機(jī)系統(tǒng)癱瘓，，使其防空指揮控制系統(tǒng)失靈，指揮文書只能靠汽車傳遞，在整個(gè)戰(zhàn)爭中都處于被動(dòng)挨打的局面……美國中央情報(bào)局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗(yàn)關(guān)之際換入伊拉克所購的電腦打印機(jī)中-------小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。第10頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全影響到國家的安全和主權(quán)時(shí)光荏苒，十二年的歲月匆匆，美國不但開發(fā)出"芯片細(xì)菌"這樣可怕的信息進(jìn)攻武器(可以毀壞計(jì)算機(jī)內(nèi)集成電路的生物)，通信技術(shù)更是日新月異，各種無線信號(hào)的截獲手段層出不窮.2000年歐盟的一份報(bào)告指出，美國國家安全局建立的一個(gè)代號(hào)"梯隊(duì)"的全球電子監(jiān)聽偵測網(wǎng)絡(luò)系統(tǒng)一直在竊取世界各國的情報(bào)，該系統(tǒng)動(dòng)用了120顆衛(wèi)星，無論你使用的是電話，手機(jī)，傳真機(jī)或者計(jì)算機(jī)，只要你傳輸?shù)男畔⒗镉忻绹踩指信d趣的東西，就會(huì)被記錄在案。第11頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全影響到國家的安全和主權(quán)據(jù)稱，在阿富汗戰(zhàn)爭中，本·拉登就是一直不用手機(jī)，以此與美軍周旋。在此次對(duì)伊開戰(zhàn)的第一天的空襲中，就是因?yàn)樾l(wèi)星偵聽系統(tǒng)"打聽"到薩達(dá)姆可能停留的地點(diǎn)，所以才發(fā)動(dòng)如此突然的打擊。美國軍事分析人士近日就警告伊拉克的平民與記者們不要用衛(wèi)星電話，因?yàn)槊儡娹Z炸機(jī)是根據(jù)衛(wèi)星電話信號(hào)進(jìn)行跟蹤、定位以及投彈的。

第12頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。第13頁，共74頁，2023年，2月20日，星期六3.信息安全的發(fā)展歷程

通信保密階段

COMSEC(CommunicationSecurity):信息的保密性信息安全階段

INFOSEC(InformationSecurity)：信息的保密性、完整性、可用性。

網(wǎng)絡(luò)信息系統(tǒng)安全階段(InformationAssurance)：信息的保密性、完整性、可用性、可控性、抗抵賴性、真實(shí)性。

第14頁，共74頁，2023年，2月20日，星期六3、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

（網(wǎng)絡(luò)脆弱性的原因）(1)開放性的網(wǎng)絡(luò)環(huán)境:(2)計(jì)算機(jī)硬件安全缺陷(3)計(jì)算機(jī)軟件安全缺陷(4)通信網(wǎng)絡(luò)安全缺陷(5)協(xié)議本身的缺陷(6)操作系統(tǒng)的漏洞(7)應(yīng)用軟件的實(shí)現(xiàn)缺陷(8)用戶管理缺陷(9)惡意攻擊(10)Internet網(wǎng)絡(luò)存在的安全漏洞(11)人為因素(12)電磁輻射第15頁，共74頁，2023年，2月20日，星期六(1)開放性的網(wǎng)絡(luò)環(huán)境“INTERNET的美妙之處在于你和每個(gè)人都能互相連接,INTERNET的可怕之處在于每個(gè)人都能和你互相連接”第16頁，共74頁，2023年，2月20日，星期六

（2）計(jì)算機(jī)硬件安全缺陷

（2）計(jì)算機(jī)硬件安全缺陷第17頁，共74頁，2023年，2月20日，星期六(3)計(jì)算機(jī)軟件安全缺陷(1)陷門:陷門是一個(gè)程序模塊的秘密未記入文檔的入口一般陷門是在程序開發(fā)時(shí)插入的一小段程序,是用于測試這個(gè)模塊或是為了連接將來的更改和升級(jí)程序或者是為了將來民生故障后,為程序員提供方便等合法用途。通常在程序開發(fā)后期去掉這些陷門。但是由于各種有意或無意的原因，陷門也可能被保下來。陷門一旦被原來的的病毒程序員利用，或被他人發(fā)現(xiàn)，將會(huì)帶來嚴(yán)重的安全后果。比如：可能利用陷門在程序中建立隱蔽通道,甚至植入一些隱蔽的病毒程序等。非法利用陷門可以使原來相互隔離的網(wǎng)絡(luò)信息形成某種隱蔽的關(guān)聯(lián)，進(jìn)而可以非法訪問網(wǎng)絡(luò)，達(dá)到竊取、更改、偽造和破壞的目的。第18頁，共74頁，2023年，2月20日，星期六(2)操作系統(tǒng)的安全漏洞：操作系統(tǒng)是硬件和軟件應(yīng)用程序之間接口的程序模塊，它是整個(gè)計(jì)算機(jī)信息系統(tǒng)的核心控制軟件。系統(tǒng)的安全體現(xiàn)在整個(gè)操作系統(tǒng)之中。操作系統(tǒng)的安全是深層次的安全，其主要的安全功能包括：存儲(chǔ)器保護(hù)(限定存儲(chǔ)區(qū)和地址重定位,保護(hù)存儲(chǔ)的信息)、文件保護(hù)(保護(hù)用戶和系統(tǒng)文件，防止非授權(quán)用戶訪問)、訪問控制以及用戶認(rèn)證(識(shí)別請(qǐng)求訪問的用戶權(quán)限和身份)。操作系統(tǒng)的安全漏洞主要有以下四個(gè)方面：I/O非法訪問、訪問控制的混亂、不完全的中介、操作系統(tǒng)陷門。(3)計(jì)算機(jī)軟件安全缺陷第19頁，共74頁，2023年，2月20日，星期六(3)數(shù)據(jù)庫的安全漏洞：數(shù)據(jù)庫系統(tǒng)的安全策略部分由操作系統(tǒng)來完成，部分由強(qiáng)化DBMS自身安全措施來完成。數(shù)據(jù)庫系統(tǒng)存放的數(shù)據(jù)往往比計(jì)算機(jī)系統(tǒng)本身的價(jià)值大得多，必須加以特別保護(hù)。如定期備份等。(3)計(jì)算機(jī)軟件安全缺陷第20頁，共74頁，2023年，2月20日，星期六(4)通信網(wǎng)絡(luò)安全缺陷(1)網(wǎng)絡(luò)拓樸結(jié)構(gòu)的安全缺陷:一旦網(wǎng)絡(luò)的拓樸邏輯被選定,必定要選擇一種適合這種拓樸邏輯的工作方式與信息的傳輸方式,如果這種選擇和配置不當(dāng),將為網(wǎng)絡(luò)安全埋下隱患。(2)網(wǎng)絡(luò)硬件的安全缺陷：a、如網(wǎng)橋的安全隱患：一是廣播風(fēng)暴，由于網(wǎng)橋不阻擋網(wǎng)絡(luò)中的廣播信息當(dāng)網(wǎng)絡(luò)的規(guī)模較大時(shí)，有可能引起整個(gè)網(wǎng)絡(luò)全被廣播信息填滿，直到寶劍癱瘓二是當(dāng)與外部網(wǎng)絡(luò)互聯(lián)時(shí)，網(wǎng)橋會(huì)把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)合二為一，成為一個(gè)網(wǎng)絡(luò)，雙方都向?qū)Ψ介_放自己的網(wǎng)絡(luò)資源。第21頁，共74頁，2023年，2月20日，星期六三是由于網(wǎng)橋基于“最佳效果”來傳送數(shù)據(jù)信息包，可能會(huì)引起數(shù)據(jù)丟失，這為網(wǎng)絡(luò)的安全埋下了很大隱患。

b、路由器的安全隱患：路由器的功能：路由與交換，靜態(tài)路由與動(dòng)態(tài)路由，其中動(dòng)態(tài)路由存在較大安全隱，主要是IP的的冒用和路由表的惡意修改。(3)TCP/IP協(xié)議的安全漏洞通信網(wǎng)的運(yùn)行機(jī)制基于通信協(xié)議,各種傳輸協(xié)議之間的不一致性,也會(huì)大影響網(wǎng)絡(luò)的安全質(zhì)量。(4)通信網(wǎng)絡(luò)安全缺陷第22頁，共74頁，2023年，2月20日，星期六(4)網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞

Finger的漏洞匿名FTP的漏洞遠(yuǎn)程登錄的漏洞電子郵件的漏洞(5)口令設(shè)置的漏洞A.口令是網(wǎng)絡(luò)信息系統(tǒng)中最常用的安全與保密措施之一。但是實(shí)際上網(wǎng)絡(luò)用戶中謹(jǐn)慎設(shè)置口令的用戶卻很少。B.口令攻擊成為毀滅性“隱患”?？诹罟羰蔷W(wǎng)絡(luò)管理漏洞造成的一種安全隱患。曾有專家在因特網(wǎng)上選擇了幾個(gè)網(wǎng)站，用字典攻擊法在給出用戶名的條件下，測出70%的用戶口令密碼只用了30多分鐘。(4)通信網(wǎng)絡(luò)安全缺陷第23頁，共74頁，2023年，2月20日，星期六(5)協(xié)議本身的缺陷網(wǎng)絡(luò)傳輸離不開通信協(xié)議協(xié)議本身就有著不同層次、不同方面的漏洞。如TCP/IP協(xié)議棧各個(gè)層次的攻擊有以下幾個(gè)方面：（1）網(wǎng)絡(luò)應(yīng)用層的安全隱患。如攻擊者可以利用FTP、Login（登錄）、Finger（用戶查詢）、Whois（域名查詢）、WWW等服務(wù)來獲取信息或取得權(quán)限。（2）IP層通信的欺騙性。由于TCP/IP本身的缺陷，IP層數(shù)據(jù)包是不需要認(rèn)證的，攻擊者可以假冒別的用戶進(jìn)行通信，即IP欺騙。（3）局域網(wǎng)網(wǎng)中以太網(wǎng)協(xié)議的數(shù)據(jù)傳輸機(jī)制是廣播發(fā)送，使得系統(tǒng)和網(wǎng)絡(luò)具有易被監(jiān)視性。在網(wǎng)絡(luò)上，黑客能用嗅探軟件監(jiān)聽到口令和其他敏感信息。第24頁，共74頁，2023年，2月20日，星期六(6)操作系統(tǒng)的缺陷（1）系統(tǒng)模型本身的缺陷。（2）操作系統(tǒng)程序的源代碼存在Bug。例如：沖擊波病毒針對(duì)的就是Windows操作系統(tǒng)的RPC緩沖區(qū)溢出漏洞。（3）操作系統(tǒng)程序的配置不正確。第25頁，共74頁，2023年，2月20日，星期六漏洞的危害由于技術(shù)水平和人為因素，計(jì)算機(jī)存在先天不足的硬件“缺陷”和后天不備的軟件“漏洞”。據(jù)我國某電信公司介紹，2005年上半年發(fā)現(xiàn)計(jì)算機(jī)軟件中的新安全漏洞1862個(gè)，平均每天10個(gè)；每當(dāng)一個(gè)新安全漏洞被公布后，平均6天內(nèi)黑客就可以根據(jù)漏洞編寫出軟件實(shí)施攻擊；然而目前計(jì)算機(jī)廠商平均需要54天才能推出“漏洞補(bǔ)丁”軟件。第26頁，共74頁，2023年，2月20日，星期六什么叫漏洞（Bug）漏洞（BUG）定義也分幾種，一種是致命性錯(cuò)誤，導(dǎo)致程序不可運(yùn)行的錯(cuò)誤。一種隱含錯(cuò)誤，只有出發(fā)到某種條件而引發(fā)的錯(cuò)誤，這應(yīng)該稱為漏洞吧。第三種缺陷這是最微小的BUG，解決這個(gè)問題可以不修改程序而在產(chǎn)品說明書中標(biāo)注。軟件測試分兩個(gè)方面，分別是可行性測試和破壞性測試，可型性測試是為了證明系統(tǒng)可以運(yùn)行。

破壞測試主要是測試軟件的漏洞，其目的是為了發(fā)現(xiàn)軟件存在的被遺留的缺陷。

第27頁，共74頁，2023年，2月20日，星期六(7)應(yīng)用軟件的實(shí)現(xiàn)缺陷輸入確認(rèn)錯(cuò)誤訪問確認(rèn)錯(cuò)誤設(shè)計(jì)錯(cuò)誤配置錯(cuò)誤第28頁，共74頁，2023年，2月20日，星期六(8)用戶管理缺陷管理制度不健全密碼口令使用不當(dāng)系統(tǒng)備份不完整第29頁，共74頁，2023年，2月20日，星期六(9)惡意攻擊1、竊聽2、流量分析3、破壞完整性4、重發(fā)5、假冒6、拒絕服務(wù)7、資源的非授僅使用8、干擾9、病毒第30頁，共74頁，2023年，2月20日，星期六常見的攻擊方式社會(huì)工程SocialEngineering病毒virus（蠕蟲Worm）

木馬程序Trojan拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDos欺騙：IPspoofing,Packetmodification；ARPspoofing,郵件炸彈Mailbombing口令破解Passwordcrack第31頁，共74頁，2023年，2月20日，星期六常用的攻擊工具標(biāo)準(zhǔn)的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)第32頁，共74頁，2023年，2月20日，星期六(10)Internet網(wǎng)絡(luò)存在的安全漏洞系統(tǒng)認(rèn)證的薄弱性系統(tǒng)的易被監(jiān)視性有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī)復(fù)雜的設(shè)備和控制無法估計(jì)主機(jī)的安全性第33頁，共74頁，2023年，2月20日，星期六(11)人為因素人員的疏忽往往是造成安全漏洞的直接原因。很多公司和用戶的網(wǎng)絡(luò)安全意思溥弱、思想麻痹，這些管理上的人為因素直接影響著網(wǎng)絡(luò)安全。第34頁，共74頁，2023年，2月20日，星期六(12)電磁輻射電磁輻射導(dǎo)致的信息泄漏難以避免。普通計(jì)算機(jī)顯示終端的電磁輻射，可以在幾米甚至一公里之外被接收和復(fù)現(xiàn)信息。1997年3月24日，美國計(jì)算機(jī)安全專家尤金·舒爾茨博士向英國媒體透露，海灣戰(zhàn)爭期間，一批荷蘭黑客曾將數(shù)以百計(jì)的軍事機(jī)密文件從美國政府的計(jì)算機(jī)網(wǎng)絡(luò)中獲取后提供給了伊拉克，對(duì)美軍的確切位置和武器裝備情況，甚至包括愛國者導(dǎo)彈的戰(zhàn)術(shù)技術(shù)參數(shù)一清二楚。如果不是生性多疑的伊拉克總統(tǒng)薩達(dá)姆對(duì)情報(bào)的真實(shí)性產(chǎn)生懷疑，海灣戰(zhàn)爭的進(jìn)程可能改寫。第35頁，共74頁，2023年，2月20日，星期六時(shí)間發(fā)生的主要事件損失1983年“414黑客”。這6名少年黑客被控侵入60多臺(tái)電腦，1987年赫爾伯特·齊恩（“影子鷹”）闖入美國電話電報(bào)公司1988年羅伯特-莫里斯“蠕蟲”程序。造成了1500萬到1億美元的經(jīng)濟(jì)損失。1990年“末日軍團(tuán)”4名黑客中有3人被判有罪。1995年米特尼克偷竊了2萬個(gè)信用卡號(hào)8000萬美元的巨額損失。1998年2月德國計(jì)算機(jī)黑客米克斯特使美國七大網(wǎng)站限于癱瘓狀態(tài)典型的網(wǎng)絡(luò)安全事件第36頁，共74頁，2023年，2月20日，星期六時(shí)間發(fā)生的主要事件損失1998年兩名加州少年黑客。以色列少年黑客“分析家查詢五角大樓網(wǎng)站并修改了工資報(bào)表和人員數(shù)據(jù)。1999年4月“ＣＩＨ”病毒保守估計(jì)全球有６千萬部的電腦受害。1999年北京江民KV300殺毒軟件損失260萬元。2000年2月“雅虎"、“電子港灣"、亞馬孫、微軟網(wǎng)絡(luò)等美國大型國際互聯(lián)網(wǎng)網(wǎng)站。損失就超過了10億美元，其中僅營銷和廣告收入一項(xiàng)便高達(dá)1億美元。2000年4月闖入電子商務(wù)網(wǎng)站的威爾斯葛雷，估計(jì)導(dǎo)致的損失可能超過三百萬美元。2000年10月27全球軟件業(yè)龍頭微軟懷疑被一伙藏在俄羅斯圣彼得堡的電腦黑客入侵可能竊取了微軟一些最重要軟件產(chǎn)品的源代碼或設(shè)計(jì)藍(lán)圖。第37頁，共74頁，2023年，2月20日，星期六互聯(lián)網(wǎng)應(yīng)急中心（CERT）統(tǒng)計(jì)的網(wǎng)絡(luò)安全事件年份事件數(shù)量1988619891321990252199140619927731993133419942340199524121997213419983734199998592000217562001526582002820942003137529年份事件數(shù)量19962573第38頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全事件的預(yù)算計(jì)算公式

第39頁，共74頁，2023年，2月20日，星期六4.網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅分為兩大類:

一類是主動(dòng)攻擊型威脅,如網(wǎng)絡(luò)監(jiān)聽和黑客攻擊,這些威脅都是對(duì)方通過網(wǎng)絡(luò)通信連接進(jìn)行的。

另一類就是被動(dòng)型威脅，如計(jì)算機(jī)病毒、木馬、惡意軟件等。這種威脅一般是用戶通過某種途徑感染上的。如：使用了帶病毒的軟盤、光盤、U盤，訪問了帶病毒或木馬或惡意軟件的網(wǎng)頁，點(diǎn)擊了帶病毒或木馬或惡意軟件的圖片，接收了帶病毒或木馬或惡意軟件的郵件等。第40頁，共74頁，2023年，2月20日，星期六1、計(jì)算機(jī)病毒2、木馬3、網(wǎng)絡(luò)監(jiān)聽4、黑客攻擊5、惡意軟件6、天災(zāi)人禍計(jì)算機(jī)信息系統(tǒng)面臨的威脅第41頁，共74頁，2023年，2月20日，星期六典型的網(wǎng)絡(luò)安全威協(xié)授權(quán)侵犯：為某一特定目的被授權(quán)使用某個(gè)系統(tǒng)的的人，將該系統(tǒng)用作其他未授權(quán)的目的旁路控制：攻擊者發(fā)掘系統(tǒng)的缺陷或弱點(diǎn)，從而滲入系統(tǒng)拒絕服務(wù)：合法訪問被無條件拒絕和推遲竊聽：在監(jiān)視通信的過程中獲得信息電磁泄密：從設(shè)備發(fā)出的輻射中泄露信息非法使用：資源被某個(gè)未授權(quán)的人或以未授權(quán)的方式使用第42頁，共74頁，2023年，2月20日，星期六典型的網(wǎng)絡(luò)安全威協(xié)信息泄露：信息泄露給未授權(quán)實(shí)體完整性破壞：對(duì)數(shù)據(jù)的未授權(quán)創(chuàng)建、修改或破壞造成數(shù)據(jù)一致性損害假冒：一個(gè)實(shí)休假裝成另處一個(gè)實(shí)體物理侵入：入侵者繞過物理控制而獲得對(duì)系統(tǒng)的訪問權(quán)重放：出于非法目的而重新發(fā)送截獲的合法通信數(shù)據(jù)的拷貝第43頁，共74頁，2023年，2月20日，星期六典型的網(wǎng)絡(luò)安全威協(xié)否認(rèn)：參與通信的一方事后否認(rèn)曾經(jīng)發(fā)生過的此次通信資源耗盡：某一資源被故意超負(fù)荷使用，導(dǎo)致其他用戶的服務(wù)中斷業(yè)務(wù)流分析：通過對(duì)業(yè)務(wù)流模式進(jìn)行觀察（有、無、數(shù)量、方向、頻率等）而使信息泄露給未授權(quán)實(shí)體特洛伊木馬：含有覺察不出或無害程序段的軟件，當(dāng)它被運(yùn)行時(shí)，會(huì)損害用戶的安全第44頁，共74頁，2023年，2月20日，星期六典型的網(wǎng)絡(luò)安全威協(xié)人員疏忽：一個(gè)授權(quán)的人出于某種動(dòng)機(jī)或由于粗心將信息泄露給未授權(quán)的人陷門：在某個(gè)系統(tǒng)或者文件中預(yù)先設(shè)置的“機(jī)關(guān)”，使得當(dāng)提供特定的輸入時(shí)，允許違反安全策略。第45頁，共74頁，2023年，2月20日，星期六造成網(wǎng)絡(luò)安全威脅的主要根源1、系統(tǒng)或程序本身的設(shè)計(jì)不足：通過漏洞掃描工具可以發(fā)現(xiàn)系統(tǒng)或程序本身的設(shè)計(jì)不足。常用的漏洞掃描工具：A、金山毒霸漏洞掃描工具B、MBSA2.0.1（MicrosoftBaselineSecurityAnalyzer,MBSA）安全漏洞檢測工具,可以到微軟公司的官方網(wǎng)站下載：/technet/security/tools/mbsa2/default.mspxMBSA的主要功能如下：（1）掃描Windows操作系統(tǒng)安全漏洞（2）進(jìn)行IIS的寶劍分析（3）進(jìn)行SQLServer的安全分析第46頁，共74頁，2023年，2月20日，星期六造成網(wǎng)絡(luò)安全威脅的主要根源2、網(wǎng)絡(luò)安全防護(hù)措施不完善常用網(wǎng)絡(luò)安全防護(hù)措施有：A、軟硬件防火墻B、網(wǎng)絡(luò)版病毒防護(hù)軟件C、入侵檢測系統(tǒng)D、網(wǎng)絡(luò)隔離設(shè)備3、缺乏系統(tǒng)的安全防護(hù)知識(shí)（1）影響網(wǎng)絡(luò)安全的主要因素A、人為失誤B、病毒感染第47頁，共74頁，2023年，2月20日，星期六造成網(wǎng)絡(luò)安全威脅的主要根源C、來自網(wǎng)絡(luò)外部的攻擊D、來自網(wǎng)絡(luò)內(nèi)部的攻擊E、系統(tǒng)的漏洞及“后門”（2）安全分層控制方案A、外部網(wǎng)絡(luò)傳輸控制層：為了保證與外部網(wǎng)絡(luò)連接的安全性，可以從以下四個(gè)方面來考慮：一、虛擬專網(wǎng)（VPN）技術(shù)二、身份驗(yàn)證技術(shù)三、加密技術(shù)四、網(wǎng)絡(luò)隔離技術(shù)B、內(nèi)/外網(wǎng)間訪問控制層：可以采用以下技術(shù)對(duì)內(nèi)/外網(wǎng)的訪問進(jìn)行控制：第48頁，共74頁，2023年，2月20日，星期六造成網(wǎng)絡(luò)安全威脅的主要根源A、防火墻B、防毒網(wǎng)關(guān)C、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)D、代理服務(wù)器及路由器E、安全掃描F、入侵檢測（3）內(nèi)部網(wǎng)絡(luò)訪問控制層：從內(nèi)部網(wǎng)絡(luò)訪問控制層進(jìn)行安全防護(hù)，可以采取以下5種措施：A、身份驗(yàn)證B、權(quán)限控制C、加密技術(shù)E、安全檢測第49頁，共74頁，2023年，2月20日，星期六造成網(wǎng)絡(luò)安全威脅的主要根源（4）數(shù)據(jù)存儲(chǔ)層：對(duì)數(shù)據(jù)的安全防護(hù)可以有以下多種不同方式：A、使用較安全的數(shù)據(jù)庫系統(tǒng)B、加密技術(shù)C、數(shù)據(jù)庫安全掃描D、磁盤安全技術(shù)E、容災(zāi)方案3、日常管理不善：（1）媒體使用控制不嚴(yán)（2）用戶密碼管理不善（3）用戶權(quán)限配置不合理（4）網(wǎng)站訪問控制不嚴(yán)（5）軟件下載、安裝控制不嚴(yán)（6）機(jī)房安全管理不善。第50頁，共74頁，2023年，2月20日，星期六5.網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全系統(tǒng)的功能1.身份認(rèn)證2.存取權(quán)限控制3.數(shù)字簽名4.數(shù)據(jù)完整性5.審計(jì)追蹤6.密鑰管理第51頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)OSI安全體系結(jié)構(gòu)的安全技術(shù)標(biāo)準(zhǔn)ISO在它所制定的國際標(biāo)準(zhǔn)ISO7498-2中描述了OSI安全體系結(jié)構(gòu)的5種安全服務(wù):1.身份驗(yàn)證2.訪問控制3.數(shù)據(jù)保密4.數(shù)據(jù)完整性5.抗否認(rèn)第52頁，共74頁，2023年，2月20日，星期六可信計(jì)算機(jī)安全評(píng)估國際通用標(biāo)準(zhǔn)在美國,國家計(jì)算機(jī)安全中心(NCSC)負(fù)責(zé)建立可信計(jì)算機(jī)產(chǎn)品的準(zhǔn)則。NCSC建立了可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)，TCSEC指出了一些安全等級(jí)，被稱作安全級(jí)別，其范圍從級(jí)別A到級(jí)別D：超A1、A1、B3、B2、B1、C2、C1、D1。其中A是最高級(jí)別；高級(jí)別在低級(jí)別的基礎(chǔ)上提供進(jìn)一步的安全保護(hù)。第53頁，共74頁，2023年，2月20日，星期六我國計(jì)算機(jī)安全等級(jí)劃分與相關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)和安全產(chǎn)品的安全性評(píng)估事關(guān)國家安全和社會(huì)安全，任何國家和不會(huì)輕易相信和接受由另的國家所作的評(píng)估結(jié)果。為保險(xiǎn)起見，通常要通過本國標(biāo)準(zhǔn)的測試才被認(rèn)為可靠。1989年我國公安部在充分借鑒國際標(biāo)準(zhǔn)的前提下，開始設(shè)計(jì)起草我國的法律和標(biāo)準(zhǔn)，制定了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的國家標(biāo)準(zhǔn)，并于1999年9月13日由國家質(zhì)量監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，已于2001年1月1日?qǐng)?zhí)行。第54頁，共74頁，2023年，2月20日，星期六我國計(jì)算機(jī)安全等級(jí)劃分與相關(guān)標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》是我國計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的核心，是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的重要基礎(chǔ)。將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了5個(gè)等級(jí)：第一級(jí)：用戶自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)第55頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的要素（特征）保密性—confidentiality完整性—integrity可用性—availability可控性—controllability不可否認(rèn)性—Non-repudiation第56頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的要素1、機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。加密機(jī)制。防泄密

2、完整性：只有得到允許的人才能修改實(shí)體或進(jìn)程，并且能夠判別出實(shí)體或進(jìn)程是否已被修改。完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，hash；數(shù)據(jù)順序完整，編號(hào)連續(xù)，時(shí)間正確。3、可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。使靜態(tài)信息可見，動(dòng)態(tài)信息可操作。防中斷第57頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全的要素4、可控性：可控性主要指對(duì)危害國家信息（包括利用加密的非法通信活動(dòng)）的監(jiān)視審計(jì)?？刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機(jī)制，控制信息傳播范圍、內(nèi)容，必要時(shí)能恢復(fù)密鑰，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性。5、不可否認(rèn)性：對(duì)出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“逃不脫"，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。

第58頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全涉及知識(shí)領(lǐng)域第59頁，共74頁，2023年，2月20日，星期六應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)安全物理安全信息（網(wǎng)絡(luò)）安全涉及方面管理安全第60頁，共74頁，2023年，2月20日，星期六網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架網(wǎng)絡(luò)安全評(píng)估安全防護(hù)網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評(píng)估病毒防護(hù)體系網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)網(wǎng)絡(luò)安全防護(hù)體系第61頁，共74頁，2023年，2月20日，星期六6.網(wǎng)絡(luò)安全技術(shù)主機(jī)安全技術(shù)訪問控制技術(shù)數(shù)據(jù)加密技術(shù)身份認(rèn)證技術(shù)防火墻技術(shù)防病毒技術(shù)入侵檢測技術(shù)漏洞掃描技術(shù)安全審計(jì)技術(shù)安全管理技術(shù)第62頁，共74頁，2023年，2月20日，星期六計(jì)算機(jī)信息安全的三個(gè)層次1、安全立法：2、安全管理3、安全技術(shù)第63頁，共74頁，2023年，2月20日，星期六7.網(wǎng)絡(luò)安全現(xiàn)狀系統(tǒng)的脆弱性Internet的無國際性TCP/IP本身在安全方面的缺陷網(wǎng)絡(luò)建設(shè)缺少安全方面的考慮（安全滯后）安全技術(shù)發(fā)展快、人員缺乏安全管理覆蓋面廣，涉及的層面多。第64頁，共74頁，2023年，2月20日，星期六美國網(wǎng)絡(luò)安全現(xiàn)狀目前的現(xiàn)狀：起步早，技術(shù)先進(jìn)，技術(shù)壟斷美國的情況

引起重視：把信息領(lǐng)域作為國家的重要的基礎(chǔ)設(shè)施。加大投資：2003年財(cái)政撥款1.057億美圓資助網(wǎng)絡(luò)安全研究，2007年財(cái)政增至2.27億美圓。第65頁，共74頁，2023年，2月20日，星期六美國提出的行動(dòng)框架是：在高等教育中，使IT安全成為優(yōu)先課程；更新安全策略，改善對(duì)現(xiàn)有的安全工具的使用；提高未來的研究和教育網(wǎng)絡(luò)的安全性；改善高等教育、工業(yè)界、政府之間的合作；把高等教育中的相關(guān)工作納入國家的基礎(chǔ)設(shè)施保護(hù)工作之中。第66頁，共74頁，2023年，2月20日，星期六我國網(wǎng)絡(luò)安全現(xiàn)狀1.用戶防范意識(shí)淡薄，網(wǎng)絡(luò)安全問題隨處可見2.基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國外，缺乏自主知識(shí)產(chǎn)權(quán)產(chǎn)品。3.信息犯罪在我國有快速發(fā)展蔓延的趨勢。4.我國信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足需要。第67頁，共74頁，2023年，2月20日，星期六8、新形勢下就對(duì)網(wǎng)絡(luò)安全的策略1、進(jìn)一步加大行業(yè)監(jiān)管力度，不斷提升政府的管理職能和效率。應(yīng)立足長遠(yuǎn)，因地制宜，對(duì)網(wǎng)絡(luò)安全進(jìn)行戰(zhàn)略規(guī)劃，在技術(shù)相對(duì)弱勢的情況下，采用非對(duì)稱戰(zhàn)略構(gòu)建網(wǎng)絡(luò)安全防御體系，利用強(qiáng)化