網(wǎng)絡(luò)安全及其防范措施

1、.,網(wǎng)絡(luò)安全及其防范措施,.,“ 因特網(wǎng)的美妙之處在于你和每個人都能互相連接,因特網(wǎng)的可怕之處在于每個人都能和你互相連接 ”,.,網(wǎng)絡(luò)安全的定義,從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護，不因自然因素或人為因素而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。,.,網(wǎng)絡(luò)安全包含的內(nèi)容,計算機信息系統(tǒng)的安全保護，應(yīng)當保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。,從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的

2、相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。,.,網(wǎng)絡(luò)安全的重要性,2006年，中國的寬帶用戶數(shù)達到了8900萬戶，在2007 年達到1.1億寬帶用戶數(shù)。而到了2010年時，預(yù)計中國寬 帶用戶數(shù)將達到1.87億戶。2009年12月，中國網(wǎng)民 達3.84億人,.,2005年1月，一個假冒中國工商銀行網(wǎng)站出現(xiàn)在互聯(lián)網(wǎng)上， 誘騙銀行卡持有人的帳戶和密碼，并導(dǎo)致多人的銀行存款 被盜，直接經(jīng)濟損失達80萬元人民幣。,中國工商銀行網(wǎng)址： 假冒工商銀行網(wǎng)址：,網(wǎng)絡(luò)釣魚喬裝銀行，眾網(wǎng)友自動上鉤,.,今年以來，消費者使用的adsl賬號被盜事件頻發(fā)。盜號者使用其盜來的adsl賬號消費，如購買q幣,.,網(wǎng)絡(luò)安全的重要

3、性,.,網(wǎng)絡(luò)安全為什么重要？,網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會生活的各個方面；電子商務(wù)、電子政務(wù)、電子銀行等無不關(guān)注網(wǎng)絡(luò)安全； 至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點，也是技術(shù)研究的熱門領(lǐng)域，同時也是國家和政府的行為；,.,網(wǎng)絡(luò)安全影響到人民生活的信息安全,網(wǎng)絡(luò)安全直接影響人民生活的信息安全。 隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用，政府、軍隊大量的機密文件和重要數(shù)據(jù)，企業(yè)的商業(yè)秘密乃至個人信息都存儲在計算機中，一些不法之徒千方百計地“闖入”網(wǎng)絡(luò)，竊取和破壞機密材料及個人信息。據(jù)專家分析，我國80%的網(wǎng)站是不安全的，40%以上的網(wǎng)站可以輕易被入侵。 網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉：存儲在計算機中的信息不

4、知不覺被刪除；在數(shù)據(jù)庫中的記錄不知道何時被修改；正在使用的計算機卻不知道何故突然“死機”,.,網(wǎng)絡(luò)安全影響到經(jīng)濟信息的安全。,網(wǎng)絡(luò)不安全經(jīng)濟信息就不安全。 信息技術(shù)與信息產(chǎn)業(yè)已成為當今世界經(jīng)濟與社會發(fā)展的主要驅(qū)動力。但網(wǎng)絡(luò)是把“雙刃劍”，世界各國的經(jīng)濟每年都因信息安全問題遭受巨大損失。 據(jù)介紹，目前美國、德國、英國、法國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟損失達數(shù)百億美元。其中2005 年，英國有500萬人僅被網(wǎng)絡(luò)詐騙就造成經(jīng)濟損失達5億美元。,.,網(wǎng)絡(luò)安全影響到國家的安全和主權(quán),美國對伊拉克的網(wǎng)絡(luò)根本不屑一顧，它瞄準的是更高意義上的信息戰(zhàn)。 就在第一次海灣戰(zhàn)爭期間，伊拉克從法國購得一批網(wǎng)絡(luò)打印機

5、，美國特工得知此事，將一塊固化病毒程序的芯片與某打印機中的芯片調(diào)了包，并且在空襲發(fā)起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計算機系統(tǒng)癱瘓，使其防空指揮控制系統(tǒng)失靈，指揮文書只能靠汽車傳遞，在整個戰(zhàn)爭中都處于被動挨打的局面 美國中央情報局采用“偷梁換拄”的方法，將帶病毒的電腦打印機芯片，趁貨物驗關(guān)之際換入伊拉克所購的電腦打印機中- 小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。,.,網(wǎng)絡(luò)安全影響到國家的安全和主權(quán),時光荏苒，十二年的歲月匆匆，美國不但開發(fā)出芯片細菌這樣可怕的信息進攻武器(可以毀壞計算機內(nèi)集成電路的生物)，通信技術(shù)更是日新月異，各種無線信號的截獲手段層出不窮.

6、 2000年歐盟的一份報告指出，美國國家安全局建立的一個代號梯隊的全球電子監(jiān)聽偵測網(wǎng)絡(luò)系統(tǒng)一直在竊取世界各國的情報，該系統(tǒng)動用了120顆衛(wèi)星，無論你使用的是電話，手機，傳真機或者計算機，只要你傳輸?shù)男畔⒗镉忻绹踩指信d趣的東西，就會被記錄在案。,.,網(wǎng)絡(luò)安全影響到國家的安全和主權(quán),據(jù)稱，在阿富汗戰(zhàn)爭中，本拉登就是一直不用手機，以此與美軍周旋。在此次對伊開戰(zhàn)的第一天的空襲中，就是因為衛(wèi)星偵聽系統(tǒng)打聽到薩達姆可能停留的地點，所以才發(fā)動如此突然的打擊。美國軍事分析人士近日就警告伊拉克的平民與記者們不要用衛(wèi)星電話，因為美軍轟炸機是根據(jù)衛(wèi)星電話信號進行跟蹤、定位以及投彈的。,.,網(wǎng)絡(luò)安全的重要性,網(wǎng)絡(luò)

7、的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。,.,典型的網(wǎng)絡(luò)安全事件,.,互聯(lián)網(wǎng)應(yīng)急中心（cert）統(tǒng)計的網(wǎng)絡(luò)安全事件,.,4.網(wǎng)絡(luò)安全威脅,網(wǎng)絡(luò)安全威脅分為兩大類: 一類是主動攻擊型威脅,如網(wǎng)絡(luò)監(jiān)聽和黑客攻擊,這些威脅都是對方通過網(wǎng)絡(luò)通信連接進行的。 另一類就是被動型威脅，如計算機病毒、木馬、惡意軟件等。這種威脅一般是用戶通過某種途徑感染上的。如：使用了帶病毒的軟盤、光盤、u盤，訪問了帶病毒或木馬或惡意軟件的網(wǎng)頁，點擊了帶病毒或木馬或惡意軟件的圖片，接收了帶病毒或木馬或惡意軟件的郵件等。,.,5.網(wǎng)絡(luò)安全體系結(jié)構(gòu),網(wǎng)絡(luò)安全系統(tǒng)的

8、功能,1.身份認證 2.存取權(quán)限控制 3.數(shù)字簽名 4.數(shù)據(jù)完整性 5.審計追蹤 6.密鑰管理,.,網(wǎng)絡(luò)安全的標準,osi安全體系結(jié)構(gòu)的安全技術(shù)標準 iso在它所制定的國際標準iso7498-2中描述了osi安全體系結(jié)構(gòu)的5種安全服務(wù): 1.身份驗證 2.訪問控制 3.數(shù)據(jù)保密 4.數(shù)據(jù)完整性 5.抗否認,.,可信計算機安全評估國際通用標準 在美國,國家計算機安全中心(ncsc)負責(zé)建立可信計算機產(chǎn)品的準則。ncsc建立了可信計算機評估標準，tcsec指出了一些安全等級，被稱作安全級別，其范圍從級別a到級別d：超a1、a1、b3、b2、b1、c2、c1、d1。 其中a是最高級別； 高級別在低級

9、別的基礎(chǔ)上提供進一步的安全保護。,.,我國計算機安全等級劃分與相關(guān)標準 對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和社會安全，任何國家和不會輕易相信和接受由另的國家所作的評估結(jié)果。 為保險起見，通常要通過本國標準的測試才被認為可靠。 1989年我國公安部在充分借鑒國際標準的前提下，開始設(shè)計起草我國的法律和標準，制定了計算機信息系統(tǒng)安全保護等級劃分準則的國家標準，并于1999年9月13日由國家質(zhì)量監(jiān)督局審查通過并正式批準發(fā)布，已于2001年1月1日執(zhí)行。,.,我國計算機安全等級劃分與相關(guān)標準 gb17859-1999計算機信息系統(tǒng)安全保護等級劃分準則是我國計算機信息系統(tǒng)安全等級保護系列標準的核

10、心，是實行計算機信息系統(tǒng)安全等級保護制度建設(shè)的重要基礎(chǔ)。將計算機信息系統(tǒng)安全保護能力劃分了5個等級：,第一級：用戶自主保護級 第二級：系統(tǒng)審計保護級 第三級：安全標記保護級 第四級：結(jié)構(gòu)化保護級 第五級：訪問驗證保護級,.,網(wǎng)絡(luò)安全的要素（特征）,保密性confidentiality 完整性integrity 可用性availability 可控性controllability 不可否認性non-repudiation,.,網(wǎng)絡(luò)安全的要素,1、機密性：確保信息不暴露給未授權(quán)的實體或進程。加密機制。防泄密 2、完整性：只有得到允許的人才能修改實體或進程，并且能夠判別出實體或進程是否已被修改。完整

11、性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù) 。防篡改 數(shù)據(jù)完整，hash； 數(shù)據(jù)順序完整，編號連續(xù)，時間正確。 3、可用性：得到授權(quán)的實體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò) 。使靜態(tài)信息可見，動態(tài)信息可操作。 防中斷,.,網(wǎng)絡(luò)安全的要素,4、可控性：可控性主要指對危害國家信息（包括利用加密的非法通信活動）的監(jiān)視審計?？刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機制，控制信息傳播范圍、內(nèi)容，必要時能恢復(fù)密鑰，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。 5、不可否認性：對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊

12、者、破壞者、抵賴者“逃不脫，并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。,.,網(wǎng)絡(luò)安全涉及知識領(lǐng)域,.,應(yīng)用安全,系統(tǒng)安全,網(wǎng)絡(luò)安全,物理安全,信息（網(wǎng)絡(luò)）安全涉及方面,管理安全,.,網(wǎng)絡(luò)安全防護體系構(gòu)架,網(wǎng)絡(luò)安全評估,安全防護,網(wǎng)絡(luò)安全服務(wù),系統(tǒng)漏洞掃描,網(wǎng)絡(luò)管理評估,病毒防護體系,網(wǎng)絡(luò)監(jiān)控,數(shù)據(jù)保密,網(wǎng)絡(luò)訪問控制,應(yīng)急服務(wù)體系,安全技術(shù)培訓(xùn),數(shù)據(jù)恢復(fù),網(wǎng)絡(luò)安全防護體系,.,美國網(wǎng)絡(luò)安全現(xiàn)狀,目前的現(xiàn)狀： 起步早，技術(shù)先進，技術(shù)壟斷 美國的情況 引起重視：把信息領(lǐng)域作為國家的重要的基礎(chǔ)設(shè)施。 加大投資：2003年財政撥款1.057億美圓資助網(wǎng)絡(luò)安全研究， 2007

13、年財政增至2.27億美圓。,.,美國提出的行動框架是：,在高等教育中，使it安全成為優(yōu)先課程； 更新安全策略，改善對現(xiàn)有的安全工具的使用； 提高未來的研究和教育網(wǎng)絡(luò)的安全性； 改善高等教育、工業(yè)界、政府之間的合作； 把高等教育中的相關(guān)工作納入國家的基礎(chǔ)設(shè)施保護工作之中。,.,我國網(wǎng)絡(luò)安全現(xiàn)狀,1. 用戶防范意識淡薄，網(wǎng)絡(luò)安全問題隨處可見 2. 基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴重依賴國外，缺乏自主知識產(chǎn)權(quán)產(chǎn)品。 3. 信息犯罪在我國有快速發(fā)展蔓延的趨勢。 4. 我國信息安全人才培養(yǎng)還遠遠不能滿足需要。,.,8、新形勢下就對網(wǎng)絡(luò)安全的策略,1、進一步加大行業(yè)監(jiān)管力度，不斷提升政府的管理職能和效率 。

14、應(yīng)立足長遠，因地制宜，對網(wǎng)絡(luò)安全進行戰(zhàn)略規(guī)劃，在技術(shù)相對弱勢的情況下，采用非對稱戰(zhàn)略構(gòu)建網(wǎng)絡(luò)安全防御體系，利用強化管理體系來提高網(wǎng)絡(luò)安全整體水平。同時通過進一步理順職能部門責(zé)權(quán)關(guān)系，逐步改變主管、監(jiān)管部門職能不匹配、重疊、交叉和相互沖突等不合理狀況，為網(wǎng)絡(luò)安全工作的有效開展創(chuàng)造最佳的監(jiān)管環(huán)境。,.,一、構(gòu)成網(wǎng)絡(luò)安全威脅的原因,紕漏 (如“震蕩波”病毒就是利用windows系統(tǒng)中的一個漏洞進行傳播 ) 強攻,.,紕 漏,1、編程序 據(jù)統(tǒng)計，每100行代碼估計就會出現(xiàn)一個紕漏（無意中漏出）。像windows這樣的操作系統(tǒng)有1500萬行以上的代碼 2、通用密碼 通用密碼一般是由主板廠家設(shè)置的，以便于

15、主板廠家向用戶提供技術(shù)支持。本來這部分可以算是秘密，但因為某些原因被外界獲知并通過各種渠道傳遞，成為眾所周知的秘密了。,.,強 攻,強攻不行還可以猜口令,密碼破解程序crack,7位口令 78秒 8位口令 5小時 9位口令 59小時 10位口令 41年,.,計算機犯罪； 內(nèi)部泄密 ； “黑客” 行為：比如非法訪問、非法連接 ； 電子諜報，比如信息流量分析、信息竊取等 信息戰(zhàn),.,hacker 黑客攻擊,侵入系統(tǒng)，進行破壞等惡意活動、盜取商業(yè)、軍事情報或直接竊取金錢。 美國聯(lián)邦調(diào)查局對財富雜志列為五百強的企業(yè)所作的調(diào)查，高達62%的企業(yè)網(wǎng)絡(luò)在1999年曾遭非法侵入。,.,美國白宮歷史協(xié)會被攻擊,

16、.,美國駐華大使館網(wǎng)站被攻擊,.,2004年12月30日晚，nike中文網(wǎng)站遭黑客攻擊被篡改了主頁,.,病 毒,所謂的病毒，是指一段可執(zhí)行的程序代碼，通過對其它程序進行修改，可以“感染”這些程序，使它們成為含有該病毒程序的一個拷貝。 病毒通常含有兩種功能： 1、對其它程序產(chǎn)生“感染” 2、引發(fā)損壞功能，或是一種植入的攻擊能力,.,病毒、木馬、蠕蟲的區(qū)別,從本質(zhì)上講，蠕蟲不是病毒最早的蠕蟲是用來做分布式計算的程序。 木馬不是蠕蟲，更不是病毒，它不會像病毒一樣自己復(fù)制繁殖，不會傳播和寄生，也不主動破壞數(shù)據(jù)，但會等待特定條件或?qū)ふ衣┒炊l(fā)。,.,病毒的破壞作用,1999年4月26日，cih惡性病毒襲擊了全球的電腦用戶，造成100萬臺左右的計算機軟件、硬件損壞，直接經(jīng)濟損失達數(shù)十億美元。 幾乎同時，美麗殺手（melissa）在歐美的互聯(lián)網(wǎng)上肆虐，造成的經(jīng)濟損失也與此相當 。 在“開放”環(huán)境中要完全消除病毒是幾乎不可能的。 僅僅dos系統(tǒng)的病毒就達7000多種 據(jù)統(tǒng)計，每天不到20分鐘，就會產(chǎn)生一種新的病毒,.,網(wǎng)絡(luò)安全防衛(wèi)措施,技術(shù)手段 行政措