網(wǎng)絡(luò)對抗2安全問題概述課件

網(wǎng)絡(luò)對抗2安全問題概述防止線路上傳輸?shù)男畔⒌男姑芊乐惯B網(wǎng)計算機中存儲的信息的泄密防止對網(wǎng)絡(luò)運行的破壞

修改參數(shù)；路由器、服務(wù)器“忙死”國外統(tǒng)計： 70%的安全問題出自內(nèi)部 好奇、惡意安全問題2網(wǎng)絡(luò)攻擊與防御-緒論安全威脅消極的侵入威脅：不具破壞性 （被動威脅）積極的侵入威脅：具破壞性 （主動威脅）2.1常見的安全威脅與攻擊3網(wǎng)絡(luò)攻擊與防御-緒論1、以析出傳輸內(nèi)容為目的的竊聽。2、以獲知通信參與雙方（或多方）用戶名為目的的竊聽，推斷所傳信息的性質(zhì)和內(nèi)容。3、以獲得訪問口令從而進一步越權(quán)使用和推斷傳輸數(shù)據(jù)內(nèi)容為目的的竊聽。4、分析網(wǎng)絡(luò)業(yè)務(wù)流（有/沒有，頻率，方向，序列，類型，數(shù)量等分布）的情報偵察活動，分析關(guān)鍵的或重要的信息源位置。消極的侵入威脅：4網(wǎng)絡(luò)攻擊與防御-緒論1、意在攪亂通信過程的對傳輸信息進行重復和增加時延的活動。2、以破壞傳輸內(nèi)容為目的的篡改數(shù)據(jù)活動。3、以破壞通信能力為目的的蜂涌活動，如故意加入大量負荷，企圖使網(wǎng)絡(luò)擁塞等。如DOS攻擊（拒絕服務(wù)攻擊）4、盜用他人名義和口令越權(quán)訪問(修改)重要數(shù)據(jù)的活動。5、破壞通信連接，使傳輸中斷的活動。

6、偽裝他人提供欺騙數(shù)據(jù)的活動。

積極的侵入威脅：5網(wǎng)絡(luò)攻擊與防御-緒論7、破壞網(wǎng)絡(luò)資源的活動。如破壞路由選擇過程，包括篡改路由表和惡意刪除文件等。8、否認參與過通信；9、使拒絕服務(wù)：妨礙或中斷通信；10、內(nèi)部攻擊：系統(tǒng)的合法用戶以非故意或非授權(quán)方式進行的動作（如計算機病毒）；積極的侵入威脅（續(xù)）：6網(wǎng)絡(luò)攻擊與防御-緒論截獲篡改偽造中斷消極攻擊積極攻擊目的站源站源站源站源站目的站目的站目的站被動攻擊主動攻擊7網(wǎng)絡(luò)攻擊與防御-緒論OSI規(guī)定網(wǎng)絡(luò)安全是通過14種服務(wù)和8種機制實現(xiàn)的。這14種服務(wù)是：1、對等實體鑒別服務(wù)用于使用戶確認與之建立起會話的對等實體確確實實就是想要與之通信的用戶。2、數(shù)據(jù)源鑒別服務(wù)保證所得到的數(shù)據(jù)是從真正的數(shù)據(jù)源來的，而不是來自假冒數(shù)據(jù)源。3、訪問控制服務(wù)保證未經(jīng)授權(quán)的用戶不能訪問特定的資源。補安全服務(wù)8網(wǎng)絡(luò)攻擊與防御-緒論4、連接保密服務(wù)使第N層用戶確信它的數(shù)據(jù)在第N層連接上傳送是安全的。5、無連接保密服務(wù)保證在服務(wù)數(shù)據(jù)單元(SDU)中的所有用戶數(shù)據(jù)是可信的，也即安全的。6、選擇字段保密服務(wù)保證一大組數(shù)據(jù)中的某個或某些特定數(shù)據(jù)元素是安全的。7、業(yè)務(wù)流保密服務(wù)可以使敵對方不可能從分析用戶的業(yè)務(wù)流來獲取情報。補安全服務(wù)（續(xù)）9網(wǎng)絡(luò)攻擊與防御-緒論8、可恢復連接完整性服務(wù)對連接中的所有用戶數(shù)據(jù)實行保護，不會被修改、刪除和插入，在發(fā)生故障時還可采取恢復措施。9、無恢復連接完整性服務(wù)，在發(fā)生故障時不采取恢復措施。10、選擇字段連接完整性服務(wù)保證服務(wù)數(shù)據(jù)單元中選定的數(shù)據(jù)字段的內(nèi)容不被篡改、刪除、插入或者重復。11、無連接完整性服務(wù)提供對無連接協(xié)議數(shù)據(jù)單元的完整性保護。補安全服務(wù)（續(xù)）10網(wǎng)絡(luò)攻擊與防御-緒論12、選擇字段無連接完整性服務(wù)保證無連接協(xié)議數(shù)據(jù)單元中選定的數(shù)據(jù)字段不被改變。13、帶源驗證的來源不可否認服務(wù)能識別每一個發(fā)送源，并使發(fā)送了數(shù)據(jù)的用戶無法否認。14、帶交付驗證的交付不可否認服務(wù)給發(fā)送用戶保證數(shù)據(jù)正確地交付給目的用戶，并且使得接收了數(shù)據(jù)的用戶無法否認。補安全服務(wù)（續(xù)）11網(wǎng)絡(luò)攻擊與防御-緒論提供上述安全服務(wù)的八種安全機制：（1）加密機制用于對數(shù)據(jù)本身進行加密，使其成為密文。（2）偽裝業(yè)務(wù)流是一種擾亂機制，有意在網(wǎng)絡(luò)中傳輸一些無意義的數(shù)據(jù)，或者在有用數(shù)據(jù)中加上一些沒用的比特、字節(jié)或其它數(shù)據(jù)塊等假信息。（3）數(shù)字簽名是在普通數(shù)據(jù)中加上一些密文（類似指紋信息）。接收方的數(shù)字簽名，發(fā)送方的數(shù)字簽名。補安全機制12網(wǎng)絡(luò)攻擊與防御-緒論（4）數(shù)據(jù)完整性是指數(shù)據(jù)沒有被非法破壞或篡改過。類似于數(shù)據(jù)鏈路層的差錯控制，一般是通過校驗的辦法來實現(xiàn)。（5）身份鑒別機制①通信對方鑒別檢驗對方的身份，鑒別其真?zhèn)魏驮L問權(quán)限。▲單方鑒別，只有一方檢驗另一方的身份?！ハ噼b別，每一方都要檢驗對方的身份。通信過程中反復進行，按規(guī)律或隨機抽檢。補安全機制（續(xù)）13網(wǎng)絡(luò)攻擊與防御-緒論②數(shù)據(jù)發(fā)方鑒別防衛(wèi)欺騙數(shù)據(jù)，收方鑒別發(fā)方身份。（6）訪問控制機制用來防止未經(jīng)授權(quán)的用戶訪問特定的資源，或者防止未經(jīng)授權(quán)用戶對特定網(wǎng)絡(luò)資源的使用。（7）路由控制機制保證數(shù)據(jù)只在認為安全可靠的部件上傳輸。（8）第三方公證機制用于由第三方來保證信息內(nèi)容的安全性和正確性。補安全機制（續(xù)）14網(wǎng)絡(luò)攻擊與防御-緒論非法侵入檢測。安全審計的目的在于跟蹤和分析違反安全的行為。ISO/IEC10164-9、ISO/IEC10164-7。安全日志用于審計追查：補安全告警和審計15網(wǎng)絡(luò)攻擊與防御-緒論安全事件的種類；事件中通信連接的雙方用戶標識符；事件發(fā)生的時間；與通信過程有關(guān)的物理資源；通信中的密鑰或口令等(如能獲得)；檢測到此事件的安全服務(wù)功能。安全日志：

補安全告警和審計（續(xù)）16網(wǎng)絡(luò)攻擊與防御-緒論所有安全問題的根源： 安全漏洞（大） 薄弱環(huán)節(jié)（小）2.2安全問題根源17網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)漏洞可能由以下因素引起：網(wǎng)絡(luò)物理連接網(wǎng)絡(luò)電磁耦合網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)網(wǎng)絡(luò)設(shè)備的協(xié)議棧網(wǎng)絡(luò)設(shè)備的應(yīng)用程序網(wǎng)絡(luò)中的數(shù)據(jù)庫網(wǎng)絡(luò)用戶行為安全漏洞18網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)物理連接與外界連通就有合法者進來，要避免非法者進來網(wǎng)絡(luò)電磁耦合沒有物理連通，但通過電磁輻射可以接收，通過電磁干擾和耦合可以注入網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)有合法者使用，要避免非法者偷用網(wǎng)絡(luò)協(xié)議的安全缺陷避免被惡意誤用19網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)設(shè)備的應(yīng)用程序有合法者使用，要避免非法者偷用網(wǎng)絡(luò)中的數(shù)據(jù)庫有合法讀寫，要避免組合分析和非法讀寫網(wǎng)絡(luò)用戶行為好奇的和惡意的20網(wǎng)絡(luò)攻擊與防御-緒論要“上鎖”，提前消除漏洞要“檢查”，及時發(fā)現(xiàn)漏洞要“監(jiān)視”，及時發(fā)現(xiàn)入侵者漏洞是不可避免存在的積極防御包括：網(wǎng)絡(luò)安全防護網(wǎng)絡(luò)安全評估網(wǎng)絡(luò)安全監(jiān)測用假目標欺騙21網(wǎng)絡(luò)攻擊與防御-緒論內(nèi)聯(lián)：全內(nèi)部域?qū)＞€DDN幀中繼……內(nèi)部域內(nèi)部專用內(nèi)部域相對比較安全22網(wǎng)絡(luò)攻擊與防御-緒論內(nèi)聯(lián)：通過外部域內(nèi)部域相對不安全專線DDN幀中繼……外部租用23網(wǎng)絡(luò)攻擊與防御-緒論外聯(lián)：內(nèi)部網(wǎng)與外部網(wǎng)互連內(nèi)部域外部域外部域相對更不安全HackCrack黑客24網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)信息安全的要素： 保證信息的保密性（Confidentiality）完整性（Integrity）可用性（Availability）2.3網(wǎng)絡(luò)信息安全的內(nèi)涵25網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)信息安全的要素（新）： 保證信息的保密性（Confidentiality）私有完整性（Integrity）未變可用性（Availability）隨時真實性（Authenticity）可信實用性（Utility）不失占有性（Possession）版權(quán)26網(wǎng)絡(luò)攻擊與防御-緒論面對錯誤和威脅，繼續(xù)提供服務(wù)的能力：在遭遇攻擊或錯誤的情況下，能夠繼續(xù)提供核心服務(wù)，并及時恢復全部服務(wù)可存活性survivability可存活系統(tǒng)的主要功能要求：抵抗攻擊識別攻擊識別傷害程度恢復受損服務(wù)自動演化（抵御新攻擊）27網(wǎng)絡(luò)攻擊與防御-緒論一、物理隔離，網(wǎng)閘物理隔離與邏輯隔離有很大的不同。物理隔離的哲學是不安全就不連網(wǎng)，要絕對保證安全。邏輯隔離的哲學:在保證網(wǎng)絡(luò)正常使用的情況下，盡可能安全。兩者是完全不同的目標。物理隔離的思路，源于兩臺完全不相連的計算機，使用者通過軟盤從一臺計算機向另一臺計算機拷貝數(shù)據(jù)，有時候大家形象地稱為“數(shù)據(jù)擺渡”。由于兩臺計算機沒有直接連接，就不會有基于網(wǎng)絡(luò)的攻擊威脅。補：信息安全的趨勢28網(wǎng)絡(luò)攻擊與防御-緒論二、邏輯隔離，防火墻在技術(shù)上，實現(xiàn)邏輯隔離的方式有很多，但主要是防火墻。防火墻在體系結(jié)構(gòu)上有不同的類型:有雙網(wǎng)口、有多網(wǎng)口。不同類型的防火墻在協(xié)議層次和工作機理上有明顯的不同。防火墻的主要評價指標：性能、安全性和功能。實際上，這三者是相互矛盾、相互制約的。功能多、安全性好的技術(shù)，往往性能受影響;功能多也影響到系統(tǒng)的安全性。補：信息安全的趨勢29網(wǎng)絡(luò)攻擊與防御-緒論三、防御來自網(wǎng)絡(luò)的攻擊，抗攻擊網(wǎng)關(guān)網(wǎng)絡(luò)攻擊特別是拒絕服務(wù)攻擊（DoS），利用TCP/IP協(xié)議的缺陷，有的DoS攻擊是消耗帶寬，有的是消耗網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存。抗攻擊網(wǎng)關(guān)能識別正常服務(wù)的包，區(qū)分攻擊包。目前DDoS的攻擊能力可達到10萬以上的并發(fā)攻擊，因此抗攻擊網(wǎng)關(guān)的防御能力必須達到10萬以上。補：信息安全的趨勢30網(wǎng)絡(luò)攻擊與防御-緒論四、防止來自網(wǎng)絡(luò)上的病毒，防病毒網(wǎng)關(guān)傳統(tǒng)的病毒檢測和殺病毒是在客戶端完成。但是這種方式存在致命的缺點，如果某臺計算機發(fā)現(xiàn)病毒，說明病毒已經(jīng)在單位內(nèi)部幾乎所有的計算機感染了。如果病毒是新的，舊的殺病毒軟件一般不能檢測和清除。應(yīng)在單位內(nèi)部的計算機網(wǎng)絡(luò)和互聯(lián)網(wǎng)的連接處放置防病毒網(wǎng)關(guān)。如果出現(xiàn)新病毒，只需要更新防病毒網(wǎng)關(guān)，而不用更新每一個終端軟件。補：信息安全的趨勢31網(wǎng)絡(luò)攻擊與防御-緒論五、身份認證，網(wǎng)絡(luò)的鑒別、授權(quán)和管理（AAA）系統(tǒng)80%的攻擊發(fā)生在內(nèi)部。內(nèi)部網(wǎng)的管理和訪問控制，相對外部的隔離來講要復雜得多。外部網(wǎng)的隔離，基本上是禁止和放行，是一種粗顆粒的訪問控制。內(nèi)部的網(wǎng)絡(luò)管理，要針對用戶來設(shè)置，你是誰？怎么確認你是誰？你屬于什么組？該組的訪問權(quán)限是什么？這是一種細顆粒的訪問控制。根據(jù)IDC的報告，單位內(nèi)部的AAA系統(tǒng)是目前安全市場增長最快的部分。補：信息安全的趨勢32網(wǎng)絡(luò)攻擊與防御-緒論六、加密通信和虛擬專用網(wǎng)，VPN單位的員工外出、移動辦公、單位和合作伙伴之間、分支機構(gòu)之間通過公用的互聯(lián)網(wǎng)通信是必需的。因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。IPSec已經(jīng)成為市場的主流和標準，不是IPSec的VPN在國際上已經(jīng)基本退出了市場。VPN的另外一個方向是向輕量級方向發(fā)展。補：信息安全的趨勢33網(wǎng)絡(luò)攻擊與防御-緒論七、入侵檢測和主動防衛(wèi)，IDS互聯(lián)網(wǎng)暴露出不可避免的缺點:易被攻擊，技術(shù)人員的好奇和技術(shù)恐怖主義使金融機構(gòu)、企業(yè)、學校等單位很難避免。針對黑客的攻擊，從技術(shù)路線上來講，早期的思路是加強內(nèi)部的網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全，安全掃描工具就是這樣一類產(chǎn)品。但是，掃描是一種被動檢測的方式，入侵檢測和主動防衛(wèi)（IDS）則不同，是一種實時交互的監(jiān)測和主動防衛(wèi)手段。補：信息安全的趨勢34網(wǎng)絡(luò)攻擊與防御-緒論八、網(wǎng)管、審計和取證，集中網(wǎng)管網(wǎng)絡(luò)安全越完善，體系架構(gòu)就越復雜。管理網(wǎng)絡(luò)的多臺安全設(shè)備就越復雜，集中安全網(wǎng)管是目前安