网络与信息安全资料.ppt

网络与信息安全 网络与信息安全概述黑客攻击与风险分析身份认证及Kerberos协议Ipsec安全协议SSL安全协议防火墙技术VPN技术入侵检测技术SNMP网络安全管理网络安全评估与管理可信计算信息安全法律法规 信息安全的严峻形势 2006年6月13日 据微软公布的安全报告显示 在2005年1月至2006年3月期间 60 左右的WindowsPC机都感染过恶意代码 据称 美国正在进行的CPU 陷阱 设计 可使美国通过互联网发布指令让敌方电脑的CPU停止工作 1998年 为了获得在洛杉矶地区kiss fm电台第102个呼入者的奖励 保时捷跑车 KevinPoulsen控制了整个地区的电话系统 以确保他是第102个呼入者 最终 他如愿以偿获得跑车并为此入狱三年 2000年1月 日本政府11个省 厅受到黑客攻击 总务厅的统计信息全部被删除 外务省主页3分钟受攻击1000余次 日本最高法院主页2天内受攻击3000余次 日本政府成立反黑特别委员会 拨款24亿日元研究入侵检测技术 追踪技术 病毒技术和密码技术 2000年2月 美国近十家著名的互联网站遭受黑客攻击 在短短的几天内 使互联网的效率降低20 据估算 攻击造成的损失达到12亿美元以上 引起股市动荡 2001年2月8日 新浪网遭受大规模网络攻击 电子邮件服务器瘫痪了18个小时 造成了几百万的用户无法正常使用新浪网 2006年9月13日 百度承认遭受 大规模的不明身份黑客攻击 导致百度搜索服务在全国各地出现了近30分钟的故障 并认为这是有人精心组织策划的行动 并已经向公安机关报案 熊猫病毒 是2006年中国十大病毒之首 它通过多种方式进行传播 并将感染的所有程序文件改成熊猫举着三根香的模样 同时该病毒还具有盗取用户游戏账号 QQ账号等功能 熊猫烧香 是一种蠕虫病毒的变种 而且是经过多次变种而来的 原名为尼姆亚变种W Worm Nimaya w 外交部驳斥我军方攻击美国防部网络传言 外交部发言人姜瑜在北京表示 最近有关中国军方对美国国防部实施网络攻击的指责是毫无根据的 中国政府一贯坚决反对和依法严厉打击包括黑客行为在内的任何破坏网络的犯罪行为 在中美致力于发展建设性合作关系 中美两军关系呈现出良好发展势头的大背景下 有人对中国进行无端指责 妄称中国军方对美国国防部实施网络攻击 这是毫无根据的 也是冷战思维的体现 姜瑜在例行记者会上答记者问 我们认为黑客是一个国际性的问题 中方也经常遭到黑客的袭击 中方愿与其他国家一道 采取措施共同打击网络犯罪 在这方面 我们愿意加强国际合作 IBM研究称黑客攻击速度加快 据IBM最新发表的一份报告称 越来越多的攻击在缺陷披露24小时内就出现在了互联网上 这意味着 许多用户还没有来得及了解相关问题前就可能已经受到了攻击 IBM在报告中谈到了互联网威胁方面两个日益明显的趋势 其一 互联网犯罪分子依赖软件工具 帮助他们利用公开披露的缺陷自动发动攻击 过去 犯罪分子自己发现安全缺陷需要更长的时间 IBM一名高管克里斯 兰姆 KrisLamb 在接受采访时说 积极地寻找软件中缺陷的并非是犯罪分子本人 犯罪分子充分利用了安全研究社区的成果 他们所需要做的就是利用所获得的信息发动攻击 其二 安全研究人员就应当在多大程度上公开披露安全缺陷资料的争论愈演愈烈了 大多数情况下安全研究人员会等待相关厂商发布补丁软件后才会公开披露安全缺陷的详细资料 但有时安全研究人员在公开安全缺陷详细资料的同时也会发布所谓的 概念验证 代码 以证明安全缺陷确实是存在的 这就可能向犯罪分子提供他们所需要的帮助 缩短他们发动攻击所需要的时间 根据国外一安全软件厂商公布的一项调查结果显示 计算机犯罪分子开始倾向于通过合法的网站来传播病毒和恶意软件 这些网站既包括社交网站 也包括人们通常使用的搜索引擎网站 根据Websense公司的一项调查显示 在2008年上半年大约有75 的网站包含有恶意内容 这些网站一般都拥有良好的信誉度 而在此之前的6个月中 感染恶意代码的网站只有50 在全球100强网站中大约有60 或者页面含有病毒 或者将用户引导向恶意网站 Websense表示 计算机犯罪分子正在将目标瞄向一些流行的大众网站 而不是自己建立一个网站 因为前者具有大量的访问用户作为其攻击对象 一旦用户访问了被感染的网页 黑客们就有机会访问他们的个人信息或者利用他们的计算机作为 僵尸 来进行更广范围的攻击 黑客们还可以在被攻击者的计算机上安装间谍软件 从而跟踪用户的每一个操作 Websense的安全研究还发现 在过去6个月以来 76 5 以上的邮件都包含恶意网站的链接或垃圾邮件发送网站等 该数据上升了18 Websense安全实验室通过ThreatSeeker技术来发现 分类并监测全球范围内的互联网威胁状况和发展动态 安全研究人员利用该系统的互联网安全智能技术来发布安全形势 同时保障用户的安全 该技术包含5000万个实时数据收集系统 每天可对10亿条内容进行深入分析 黑客袭击一市商务局网站局长变成 三点 女郎 从荆州市荆州区法院获悉 荆州市商务局网站 被黑 案一审判决 袭击荆州市商务局网站 将局长照片换成 三点式 女郎 将 局长致辞 改为 庆贺女友生日 的张志东被判处有期徒刑1年半 法院审理查明 2008年12月4日 张志东下载了黑客软件 在扫描到荆州市商务局网站存在漏洞后 获取了该网站的管理员账号和密码 他登入管理员后台 将 局长致辞 修改为 为女友祝贺生日 将 局长照片 换成一张 三点式 女郎图片 截至案发时 这两条信息的点击量分别达4036次和5617次 该网站一时间流量大增 服务器被迫关闭 此事影响了荆州市商务局的形象 并造成了一定的损失 法院审理认为 张志东的行为已构成破坏计算机信息系统罪 但是他能够投案自首 认罪态度较好 且系初犯 可酌情从轻处罚 遂一审作出上述判决 威胁计算机系统安全的几种形式 攻击复杂程度与入侵技术进步示意图 弱点传播及其利用变化图 多维角度网络攻击分类 美国国防部授权美国航天司令部负责美军计算机网络攻防计划 成立网络防护 联合特遣部队 规划 国防部信息对抗环境 InfoCon 监视有组织和无组织的网络安全威胁 创建整个国防部实施网络攻防战的标准模型 训练计算机操作人员 2002年1月15日 Bill Gates在致微软全体员工的一封信中称 公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决安全问题 并进而提出了微软公司的新 可信计算 Trustworthycomputing 战略 据美国 华盛顿观察 周刊报道 曾经被政府追捕的黑客们 一时间在美国成了就业场上炙手可热的人才 美军战略司令部司令 凯文 希尔顿将军 Gen KevinP Chilton 近日公开承认 战略司令部正在征召2000 4000名 士兵 组建一支 特种部队 这支特种部队不仅要承担网络防御的任务 还将对它国的电脑网络和电子系统进行秘密攻击 目前 两个不同的网络战中心在美军战略司令部管辖下运行 一个是全球网络联合部队 JointTaskForce GlobalNetworkOperations 主要负责保护五角大楼在美国本土和全球范围内的网络系统 应对每天数十万起试图攻入美军网络的攻击 另一个名为 网络战联合功能构成司令部 JointFunctionalComponentCommandNetworkWarfare 主要职责是对敌人发动网络攻击 例如 在战时快速侵入敌方电脑网络系统 瘫痪敌军的指挥网络和依靠电脑运行的武器系统 虽然美军从未公布过网站部队人数 但根据对美军黑客项目跟踪了13年的防务专家乔尔 哈丁 JoelHarding 的评估 目前美军共有3000 5000名信息战专家 5 7万名士兵涉足网络战 如果加上原有的电子战人员 美军的网战部队人数应该在88700人左右 这意味着美军网战部队人数已经相当于七个101空降师 俄罗斯2000年6月批准实施的 国家信息安全学说 把 信息战 问题放在突出地位 俄罗斯为此专门成立了新的国家信息安全与信息对抗领导机构 建立了信息战特种部队 将重点开发高性能计算技术 智能化技术 信息攻击与防护技术等关键技术 日本防卫厅计划在2001至2005年实施的 中期防卫力量配备计划 中进行电脑作战研究 通过电脑作战破坏敌方的指挥通讯系统 加强自卫队的信息防御和反击能力 据美国防部官员称 日本的东芝公司已有能力制造 固化病毒 这种新式的计算机武器 我国在 国民经济和社会发展第十一个五年规划纲要 中明确提出要强化信息安全保障工作 要积极防御 综合防范 提高信息安全保障能力 强化安全监控 应急响应 密钥管理 网络信任等信息安全基础设施建设 发展咨询 测评 灾备等专业化信息安全服务 信息安全是信息化可持续发展的保障 网络信息安全已成为急待解决 影响国家大局和长远利益的重大关键问题 信息安全保障能力是21世纪综合国力 经济竞争实力和生存能力的重要组成部分 网络信息安全问题如果解决不好将全方位地危及我国的政治 军事 经济 文化 社会生活的各个方面 使国家处于信息战和高度经济金融风险的威胁之中 沈昌祥院士信息安全专家 3信息系统的安全体系 信息安全的原始意义是指计算机通信中的数据 图像 语音等信息的保密性 完整性 可用性不受损害 信息安全的概念不断拓宽 从广度上 信息安全外延到计算机通信基础设施的安全运行和信息内容的健康合法 从深度上 信息安全又向信息保护与防御的方向发展 信息安全的基本需求 保密性 confidentiality 信息不被泄露给非授权的用户 实体或过程 或供其利用的特性完整性 integrity 信息未经授权不能进行改变的特性可用性 availability 信息可被授权实体访问并按需求使用的特性可控性 controllability 可以控制授权范围内的信息流向及行为方式不可否认性 non repudiation 信息的行为人要对自己的信息行为负责 不能抵赖曾有过的信息行为 信息保护及防御IA InformationAssurance 保证信息与信息系统的可用性 完整性 真实性 机密性和不可抵赖性的保护与防御手段 它通过保护 检测 恢复 反应技术的采用使信息系统具有恢复能力 信息防护的PDRR模型 P2DR安全模型 以安全策略为核心 ISS InternetSecuritySystemsInC 提出 策略 是模型的核心 具体的实施过程中 策略意味着网络安全要达到的目标 防护 安全规章 安全配置 安全措施检测 异常监视 模式发现响应 报告 记录 反应 恢复 信息安全的互动模型 网络安全运行管理平台 SOC securityoperationcenter 安全策略管理模块作为SOC的中心 它根据组织的安全目标制定和维护组织的各种安全策略以及配置信息 资产是整个SOC体系的保护对象 SOC是以安全数据库的建立为基础 安全数据库包括资产库 漏洞库威胁库 病毒信息库 风险库等 资产风险管理模块应基于上述安全数据库对资产的脆弱性 漏洞以及资产面临的威胁进行收集和管理 网络安全就像一个无计划扩张的城区一样 因为各种不同的系统和设备以不同的方式相互沟通 如固定的局域网 无线和移动蜂窝网络 专用广域网 固定电话网络和互联网等不同的通讯方式 在这个星云状的网络领域考虑安全的唯一有效的方法是 分层次 的保护 趋势科技欧洲 中东和非洲地区安全总经理SimonYoung称 安全专业人员 已经基本上接受了采取多层次的防御措施防御各种攻击和威胁的观点 一种产品或者技术不能防御一切可能的威胁 一种分层次的方法能够让企业建立多条防线 在最基本的层面上 网络安全包括 使用熟悉的用户名 口令相结合的方法识别用户身份 使用卡 USB密钥或者生物计量 如指纹和视网膜扫描等 等物理形式进行身份识别 或者使用某些方法结合在一起的方式进行身份识别 这对于访问网络中更敏感的部分是必要的 下一层是防火墙 防火墙管理识别用户身份的服务和允许访问的应用程序 防火墙可以防止网络边缘的PC或者服务器上 或者安装在路由器和交换机等物理网络硬件上 除了防火墙之外 入侵防御和检测系统接下来监视网络的状况 恶意软件或者可疑的行为 阻止违反网络管理员定义的规则和政策的活动 但是 必须强调的是 没有任何一种方法是绝对安全的 区别合法的和不合法的行为的难度还需要人类某种程度的干预 防火墙指的是一个由软件和硬件设备组合而成 在内部网和外部网之间 专用网与公共网之间的界面上构造的保护屏障 防火墙的优点 1 防火墙能强化安全策略 2 防火墙能有效地记录Internet上的活动 3 防火墙限制暴露用户点 对网络存取和访问进行监控审计 防火墙能够用来隔开网络中一个网段与另一个网段 这样 能够防止影响一个网段的问题通过整个网络传播 4 防火墙是一个安全策略的检查站 所有进出的信息都必须通过防火墙 防火墙便成为安全问题的检查点 使可疑的访问被拒绝于门外 5 还支持具有Internet服务特性的VPN VPN的英文全称是 VirtualPrivateNetwork 翻译过来就是 虚拟专用网络 虚拟专用网 VPN 被定义为通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安全 稳定的隧道 它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路 就好比是架设了一条专线一样 但是它并不需要真正的去铺设物理线路 VPN技术原是路由器具有的重要技术之一 目前在交换机 防火墙设备或Windows2kxp等软件里也都支持VPN功能 虚拟专用网是对企业内部网的扩展 虚拟专用网可以帮助远程用户 公司分支机构 商业伙伴及供应商同公司的内部网建立可信的安全连接 并保证数据的安全传输 虚拟专用网可用于实现安全连接 实现企业网站之间安全通信的虚拟专用线路 用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网 常用的虚拟专用网络协议有 IPSec IPsec 缩写IPSecurity 是保护IP协议安全通信的标准 它主要对IP协议分组进行加密和认证 IPsec作为一个协议族 即一系列相互关联的协议 由以下部分组成 1 保护分组流的协议 2 用来建立这些安全分组流的密钥交换协议 前者又分成两个部分 加密分组流的封装安全载荷 ESP 及较少使用的认证头 AH 认证头提供了对分组流的认证并保证其消息完整性 但不提供保密性 目前为止 IKE协议是唯一已经制定的密钥交换协议 PPTP PointtoPointTunnelingProtocol 点到点隧道协议在因特网上建立IP虚拟专用网 VPN 隧道的协议 主要内容是在因特网上建立多协议安全虚拟专用网的通信方式 L2F Layer2Forwarding 第二层转发协议L2TP Layer2TunnelingProtocol 第二层隧道协议GRE VPN的第三层隧道协议 通用路由封装SSLVPNMPLSVPNSocks5VPN Denning入侵检测模型 信息安全的技术层次视点 系统自身的安全 系统安全 InformationSecurity 信息利用的安全 信息对抗 信息自身的安全 信息安全 层次结构结构层次 三级信息安全框架 信息内容对抗 国家计算机与网络安全管理中心主任方滨兴院士提出 信息系统的安全体系 安全是一个过程 而不是一个产品 BruceSchneier网络安全生命周期模型评估 设计 工程实施 开发和制造 布署 运行 管理和支持 安全过程与系统安全生命周期模型 网络信息安全设计四步方法论 美国国家安全局制定的信息保障技术框架 IATF 信息安全的层次分析 开放系统互连 OSI 安全体系结构 网络体系结构是计算机之间相互通信的层次 以及各层中的协议和层次之间接口的集合 国际标准化组织ISO在提出了开放系统互连 OpenSystemInterconnection OSI 模型 这是一个定义连接异种计算机的标准主体结构 OSI采用了分层的结构化技术 每层的目的都是为上层提供某种服务 OSI参考模型 OSI安全体系结构的研究始于1982年 于1988年完成 其成果标志是ISO发布了ISO7498 2标准 作为OSI基本参考模型的补充 这是基于OSI参考模型的七层协议之上的信息安全体系结构 它定义了5类安全服务 8种特定的安全机制 5种普遍性安全机制 它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置 OSI安全体系结构的5类安全服务 1 鉴别鉴别服务提供通信中的对等实体和数据来源的鉴别2 访问控制防止对资源的未授权使用 防止以未授权方式使用某一资源3 数据机密性这种服务对数据提供保护 使之不被非授权地泄露 4 数据完整性例如使用顺序号 检测数据重放攻击5 抗否认这种服务可取如下两种形式 或两者之一 1 有数据原发证明的抗否认 2 有交付证明的抗否认 OSI安全体系结构的8种安全机制 1 加密对数据进行密码变换以产生密文 加密既能为数据提供机密性 也能为通信业务流信息提供机密性 并且是其他安全机制中的一部分或对安全机制起补充作用 一般情况 在一个层次上进行加密 但也有可能需要在多个层上提供加密 2 数字签名机制数字签名是附加在数据单元上的一些数据 或是对数据单元所作的密码变换 这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性 并保护数据 防止被他人伪造 3 访问控制机制为了决定和实施一个实体的访问权 访问控制机制可以使用该实体已鉴别的身份 或使用有关该实体的信息 例如 访问控制信息库 鉴别信息 如口令 安全标记 4 数据完整性机制数据完整性有两个方面 单个数据单元的完整性和数据单元序列的完整性 发送实体给数据单元附加一个量 这个量为该数据的函数 保护数据单元序列的完整性 即防止乱序 数据的丢失 重放 插入或篡改 还需要某种明显的排序形式 如顺序号 时间标记或密码链 5 鉴别交换机制如果在鉴别实体时 这一机制得到否定的结果 就会导致连接的拒绝或终止 6 通信业务填充机制能用来提供各种不同级别的保护 对抗通信业务分析 7 路由选择控制机制在检测到持续的操作攻击时 端系统可以提示网络的提供者经不同的路由建立连接 8 公证机制在两个或多个实体之间通信的数据 如它的完整性 时间和目的地等能借助可信第三方的公证机制得到确保 OSI的安全服务与安全机制的关系 OSI安全管理 OSI安全管理包括系统安全管理 OSI环境安全 OSI安全服务的管理与安全机制的管理 安全管理信息库 SMIB 是一个概念上的集合 存储开放系统所需的与安全有关的全部信息 每个端系统必须包含必需的本地信息 使它能执行某个适当的安全策略 SMIB是一个分布式信息库 在实际中 SMIB的某些部分可以与MIB 管理信息库 结合成一体 也可以分开 SMIB有多种实现办法 例如 数据表 嵌入开放系统软件或硬件中的数据或规则 信息安全管理内容 内容 信息安全政策制定 风险评估 控制目标与方式的选择 制定规范的操作流程 信息安全培训等 涉及领域 安全方针策略 组织安全 资产分类与控制 人员安全 物理与环境安全 通信与运营安全 访问控制 系统开发与维护 业务连续性 法律符合性等 Internet安全体系结构 Internet不同层的网络安全技术5 1网络层安全5 2传输层安全5 3应用层安全 基于TCP IP协议的网络安全体系基础框架 5 1网络层安全 IPSec5 2传输层安全 SSL5 3应用层安全 S HTTP SET 5 1网络层安全 IPSec 一组协议在IP加密传输信道技术方面 IETF已经指定IPSec来制定IP安全协议 IPSecurityProtocol IPSP 和对应的Internet密钥管理协议 InternetKeyManagementProtocol IKMP 的标准 IPSec是随着IPv6的制定而产生的 鉴于IPv4的应用仍然很广泛 所以后来在IPSec的制定中也增加了对IPv4的支持 IPSec在IPv6中是必须支持的 而在IPv4中是可选的 IPSP的主要目的是使需要安全服务的用户能够使用相应的加密安全体制 该体制应该与算法独立 可以自己选择和替换加密算法而不会对应用和上层协议产生任何影响 此外 该体制必须能支持多种安全政策 并且对其他不使用该体制的用户完全透明 按照这些要求 IPSec工作组使用认证头部 AH 和安全内容封装 ESP 两种机制 前者提供认证和数据完整性 后者实现通信保密 AH AuthenticationHeader 验证头部协议 ESP EncapsulatingSecurityPayload 封装安全载荷 协议 IPSec体系结构 AH为IP数据包提供如下3种服务 无连接的数据完整性验证 数据源身份认证和防重放攻击 ESP除了为IP数据包提供AH已有的3种服务外 还提供另外两种服务 数据包加密 数据流加密 IKE协议负责密钥管理 定义了通信实体间进行身份认证 协商加密算法以及生成共享的会话密钥的方法 对IP包进行的IPSec处理有两种 AH和ESP AH提供无连接的数据完整性 数据来源验证和抗重放攻击服务 而ESP除了提供AH的这些功能外 还可以提供对数据包加密和数据流量加密 AH和ESP可以单独使用 也可以嵌套使用 通过这些组合方式 可以在两台主机 两台安全网关 防火墙和路由器 或者主机与安全网关之间使用 传输层安全 常见的传输层安全技术有SSL SecuresocketlayerSSL分为两层 上面是SSL协商层 双方通过协商约定有关加密的算法 进行身份认证等 下面是SSL记录层 它把上层的数据经分段 压缩后加密 由传输层传送出去 SSL采用公钥方式进行身份认证 大量数据传输仍使用对称密钥方式进行数据加密 通过双方协商 SSL可以支持多种身份认证 加密和检验算法 SSL结构图 SSL协议协商层工作过程示意图 通过X 509证书传输其拥有者的公开密钥 为了保持Internet上的通用性 目前一般的SSL协议只要求服务器方向客户方出示证书以证明自己的身份 而不要求用户方同样出示证书 在建立起SSL信道后再加密传输用户的口令实现客户方的身份认证 5 3应用层安全 IP层的安全协议能够为网络连接建立安全的通信