七、网络安全概述

网络安全概述,7,主讲人：冯景瑜,2020/5/18,.,2,内容安排,网络安全基础知识网络安全的重要性网络安全的根源网络攻击过程网络安全策略及其原则常用的防护措施小结,2020/5/18,.,3,网络安全基础知识,安全的含义（SecurityorSafety?)平安，无危险；保护，保全。（汉语大词典）网络安全保护计算机系统，使其没有危险，不受威胁，不出事故。,2020/5/18,.,4,网络安全定义,网络安全指信息系统的硬件、软件及其系统中的数据受到保护，不会遭到偶然的或者恶意的破坏、更改、泄露,系统能连续、可靠、正常地运行，服务不中断。网络安全简单的说是在网络环境下能够识别和消除不安全因素的能力。,2020/5/18,.,5,网络安全的重要性,随着网络的快速普及和网络的开放性、共享性出现，网络的重要性和对社会的影响也越来越大。网络上的各种新业务的兴起，比如电子商务，电子政务，电子货币，网络银行等，以及各种专业用网的建设，使得安全问题显得越来越重要。我国信息化进程虽然刚刚起步，但是发展迅速，计算机网络在我国迅速普及。短短的几年里，发生了多起针对、利用计算机危害计算机网络的种种威胁必须采取有力的措施来保护计算机网络的安全。,.,严峻的网络安全问题,当前，互联网上黑客技术的泛滥和无处不在的黑手，对我们的个人计算机安全、工作计算机安全、单位网络乃至社会公共秩序已经造成了不容忽视的威胁。截止2009年，攻击者利用黑客技术获取机密信息、牟取暴利已经形成了一条完整的地下产业链。,2020/5/18,信息网络技术讲义,6,2020/5/18,.,7,信息化与国家安全信息战,“谁掌握了信息，控制了网络，谁将拥有整个世界。”（美国著名未来学家阿尔温.托尔勒）“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”（美国总统克林顿）“信息时代的出现，将从根本上改变战争的进行方式。”（美国前陆军参谋长沙利文上将）,2020/5/18,.,8,几次大规模蠕虫病毒爆发的数据统计表,2020/5/18,.,9,零日漏洞,零日漏洞：没有补丁且可以被黑客利用的漏洞。2006年9月27日，微软提前发布MS06-055漏洞补丁，修补了一个IE图像处理漏洞，微软将这个补丁定为严重等级；这个漏洞在当时属于零日漏洞，在微软公布补丁之前一个星期就已经有利用这个漏洞的网马。2006年微软的Word也出现过零日漏洞。,.,网民中计算机安全问题发生的比率,2020/5/18,信息网络技术讲义,10,.,网民发生帐号或密码被盗的场所,2020/5/18,信息网络技术讲义,11,.,发生网民帐号或个人信息被盗改的诱因,2020/5/18,信息网络技术讲义,12,.,发生网民进入到仿冒网站（著名网站的模仿欺骗网站）的诱因,2020/5/18,信息网络技术讲义,13,.,网民发现电脑出现计算机安全问题的方式,2020/5/18,信息网络技术讲义,14,.,网民电脑感染病毒后采取的首要措施,2020/5/18,信息网络技术讲义,15,.,网民的计算机安全行为习惯,2020/5/18,信息网络技术讲义,16,.,网民通常网络帐户和密码设计方式,2020/5/18,信息网络技术讲义,17,.,网民网上账户通常的口令/密码是几位,2020/5/18,信息网络技术讲义,18,2020/5/18,.,19,计算机安全现状,病毒数量爆炸式增长自从1988年莫里斯蠕虫病毒出现直到2004年，全球截获的电脑病毒总数有10万个；国内安全公司瑞星最新公布的数据，目前每天截获的新病毒数量就高达8-10万个，仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒。,.,计算机安全现状（2）,网络病毒趋利性、顽固性增强木马类病毒威胁最为严重；病毒传播的趋利性日益突出；病毒的反杀能力不断增强，网络攻击的组织性、趋利性、专业性和定向性继续加强，地下产业链逐步形成。,2020/5/18,.,21,计算机安全现状（3）,安全漏洞数量增长较快，“零时间”攻击频繁微软公司2006年全年发布安全补丁78个，创下历史新高；路由器、交换机等网络设备以及常用系统或软件的严重级别漏洞增多；“零时间”攻击现象严重；各类应用软件的安全漏洞尚未引起足够重视。,2020/5/18,.,22,计算机安全现状（4）,网络攻击事件增多2006年，国家计算机网络应急处理协调中心共收到国内外非扫描类计算机安全事件报告2.7万余件，比2005年增长两倍；2006年，我国大陆被篡改网站总数达2.4万个。,2020/5/18,.,23,2006年攻击实例熊猫烧香,2020/5/18,.,24,网络安全的根源,信息系统自身安全的脆弱性信息系统面临的安全威胁安全管理问题黑客攻击网络犯罪我们为什么会感染恶意代码,2020/5/18,.,25,信息系统自身的安全脆弱性,信息系统脆弱性，指信息系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使系统处于异常状态，甚至崩溃瘫痪等的根源和起因。这里我们从以下研修层面分别进行分析：硬件组件软件组件网络和通信协议,2020/5/18,.,26,硬件组件中的安全隐患,信息系统硬件组件安全隐患多源于设计，主要表现为物理安全方面的问题。硬件组件的安全隐患除在管理上强化人工弥补措施外，采用软件程序的方法见效不大。在设计、选购硬件时，应尽可能减少或消除硬件组件的安全隐患,2020/5/18,.,27,软件组件中的安全隐患,软件组件的安全隐患来源于设计和软件工程实施中遗留问题：软件设计中的疏忽软件设计中不必要的功能冗余以及软件过长过大软件设计部按信息系统安全等级要求进行模块化设计软件工程实现中造成的软件系统内部逻辑混乱,2020/5/18,.,28,网络和通信协议中的安全隐患,安全问题最多的网络和通信协议是基于TCP/IP协议栈的Internet及其通信协议：脆弱性和漏洞存在的原因Internet存在的几类致命的安全隐患,2020/5/18,.,29,脆弱性与漏洞存在的原因,支持Internet运行的TCP/IP协议栈原本只考虑互联互通和资源共享问题，并未考虑也无法兼顾解决来自网际的大量安全问题基于TCP/IP的Internet是在可信任网络环境中开发出来的成果，体现在TCP/IP协议上的总体构想和设计本身，基本未考虑安全问题，并不提供人们所需的安全性和保密性TCP/IP协议最初设计的应用环境是互相信任的,2020/5/18,.,30,安全漏洞简介,漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全。,2020/5/18,.,31,漏洞数量历年统计(美国CERT/CC),2020/5/18,.,32,安全漏洞（微软例子）,系统安全漏洞微软每周都有数个修正档需要更新2003年Windows2000Server有50个漏洞补丁2006年微软公布了78个漏洞补丁困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起,2020/5/18,.,33,信息系统面临的安全威胁,基本威胁威胁信息系统的主要方法威胁和攻击的来源,2020/5/18,.,34,基本威胁,安全的基本目标是实现信息的机密性、完整性、可用性。对信息系统这3个基本目标的威胁即是基本威胁信息泄漏完整性破坏拒绝服务未授权访问,2020/5/18,.,35,基本威胁1信息泄漏,信息泄漏指敏感数据在有意或无意中被泄漏、丢失或透露给某个未授权的实体。信息泄漏包括：信息在传输中被丢失或泄漏；通过信息流向、流量、通信频度和长度等参数等分析，推测出有用信息。,2020/5/18,.,36,基本威胁2完整性破坏,以非法手段取得对信息的管理权，通过未授权的创建、修改、删除等操作而使数据的完整性受到破坏,2020/5/18,.,37,基本威胁3拒绝服务,信息或信息系统资源等被利用价值或服务能力下降或丧失。产生服务拒绝的原因：受到攻击所致。攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载，从而导致系统的资源对合法用户的服务能力下降或丧失。信息系统或组件在物理上或逻辑上受到破坏而中断服务。,2020/5/18,.,38,基本威胁4未授权访问,未授权实体非法访问信息系统资源，或授权实体超越权限访问信息系统资源。非法访问主要有：假冒和盗用合法用户身份攻击、非法进入网络系统进行违法操作，合法用户以未授权的方式进行操作等形式,2020/5/18,.,39,计算机安全主要威胁来源,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,2020/5/18,.,40,木马攻击,网站主页被黑,信用卡被盗刷,信息被篡改,2020/5/18,.,41,安全管理问题,管理策略不够完善，管理人员素质低下，用户安全意识淡薄，有关的法律规定不够健全。管理上权责不分，对计算机安全不重视，少数管理权过大，而实际工作中又不需要。管理不严格，缺乏系统的整体培训。没有保密意识，系统密码随意传播，导致出现问题时相互推卸责任的局面。,2020/5/18,.,42,黑客攻击,黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。网络黑客的主要攻击手法有：获取口令、放置木马程序、www的欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、利用帐号进行攻击、窃取特权,2020/5/18,.,43,黑客分类,灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier,渴求自由,2020/5/18,.,44,2020/5/18,.,45,脆弱性程度日益增加,2020/5/18,.,46,网络犯罪,网络人口的惊人增长，但是，这种新的通讯技术，突飞猛进，尚未规范，也带来很多法律问题。各国网络的广泛使用，网络人口的比例越来越高，素质又参差不齐，网络成为一种新型的犯罪工具、犯罪场所和犯罪对象。网络犯罪中最为突出的问题有：网络色情泛滥成灾，严重危害未成年人的身心健康；软件、影视唱片的著作权受到盗版行为的严重侵犯；网络商务备受诈欺困扰，信用卡被盗刷，购买的商品石沉大海，发出商品却收不回货款；更有甚者，已经挑战计算机和网络几十年之久的黑客仍然是网络的潜在危险。与网络相关的犯罪丛生。,2020/5/18,.,47,网络犯罪（2）,网络犯罪的类型网络文化污染盗版交易网络欺诈名誉毁损侵入他人主页、网站、邮箱制造传播计算机病毒网络赌博网络教唆、煽动各种犯罪,2020/5/18,.,48,网络犯罪（3）,打击网络犯罪面临的问题互联网本身缺陷黑客软件泛滥互联网的跨地域、跨国界性网上商务存在的弊端互联网性质的不确定性司法标准不一多数国家对计算机犯罪打击不力,.,我们为什么会感染恶意代码,浏览网页使用即时通讯工具浏览邮件下载文件远程攻击局域网攻击使用移动存储介质,2020/5/18,信息网络技术讲义,49,.,浏览网页,大家一定遇到过这种情况：在浏览过某网页之后，浏览器主页被修改，或者每次打开浏览器都被迫访问某一固定网站，或者浏览器遇到错误需要关闭，或者出现黑屏蓝屏，或者处于死机状态，或者疯狂打开窗口并被强制安装了一些不想安装的软件。如果同时出现多种以上现象，那么很不幸，你肯定是中了恶意网站或恶意软件的毒了。,2020/5/18,信息网络技术讲义,50,.,浏览网页(续),黑客在网页中注入恶意代码并诱使用户访问的方式叫做“网页木马攻击”，简称“网马”。“网马”是近年来黑客最流行的攻击方式，网页中含有网马常常称为“被挂马”。这些含有网马的网页往往包括：遭到黑客攻击的网站黑客网站含有不健康内容的网站反动网站,2020/5/18,信息网络技术讲义,51,.,浏览网页(续),黑客如何利用“网马”攻击我们？,黑客在网页中挂载网马，希望利用浏览者系统存在的某些漏洞将恶意代码植入浏览者的系统。这种漏洞好比一条黑客用来传输恶意代码的“公路”，但是这条公路被“河流”切断。如果用户访问被挂马的网页，就相当于为黑客搭建了一座桥，黑客将可以顺利到达你的系统。,2020/5/18,信息网络技术讲义,52,.,使用即时通讯工具,即时通讯工具(InstantMessenger，简称IM)已经从原来纯娱乐休闲工具变成生活工作的必备工具，这些工具包括：MSN、QQ、旺旺、百度HI、ICQ等。由于用户数量众多，再加上即时通讯软件本身的安全缺陷，例如内建有联系人清单，使得恶意代码可以方便地获取传播目标，这些特性都能被恶意代码利用来传播自身。,2020/5/18,信息网络技术讲义,53,.,使用即时通讯工具(续),金山毒霸全球反病毒监测中心的监测数据认为，目前MSN、QQ等即时通工具已成为继网页之后病毒传播的第二大渠道。臭名昭著、造成上百亿美元损失的求职信(Worm.Klez)病毒就是第一个可以通过ICQ进行传播的恶性蠕虫，它可以遍历本地ICQ中的联络人清单来传播自身。,2020/5/18,信息网络技术讲义,54,.,使用即时通讯工具(续),黑客如何通过即时通讯工具攻击我们？实例：MSN或者QQ经常接收到一些可疑的消息，试图欺骗用户接收。,2020/5/18,信息网络技术讲义,55,.,浏览邮件,由于Internet使用的广泛，电子邮件传播速度相当神速，商务联络、公文传递、好友联系经常使用电子邮件传递，最常见的是通过Email交换Word格式的文档。黑客也随之找到了恶意代码的载体，电子邮件携带病毒、木马及其他恶意程序，会导致收件者的计算机被黑客入侵。,2020/5/18,信息网络技术讲义,56,.,浏览邮件(续),大家也许认为Word文档不是可执行程序，不会具有危害性。实际上，word文件、图片、压缩文件、文本文件都可能具有危害性。实例：利用Email传递恶意的word文档。,（视频2）,2020/5/18,信息网络技术讲义,57,.,下载文件,大家经常从网站、FTP服务器、BBS论坛和P2P下载一些工具、资料、音乐文件、视频文件、游戏安装包，而这些文件都可能包含恶意代码。很多病毒流行都是依靠这种方式同时使成千上万台计算机染毒。这是因为在这些平台上发布的文件往往没有严格的安全管理，没有对用户上传的文件进行安全验证，或者即使进行了验证但是黑客使用了病毒变形、加壳等技术逃过杀毒软件的查杀。,2020/5/18,信息网络技术讲义,58,.,远程攻击,一个远程攻击是这样一种攻击，其攻击对象是远程计算机；也可以说，远程攻击是一种专门攻击除攻击者自己计算机以外的计算机（无论被攻击的计算机和攻击者位于同一子网还是有千里之遥）。“远程计算机”确切的定义是：“一台远程计算机是这样一台机器，它不是你正在其上工作的平台，而是能利用某种协议通过Internet或任何其他网络介质被使用的计算机”。,2020/5/18,信息网络技术讲义,59,.,远程攻击(续),黑客进行远程攻击一般利用漏洞进行。这种漏洞跟前面“网马”所利用的漏洞不同，这种漏洞相当于一条从攻击端到达目标机器的直通“路”。,2020/5/18,信息网络技术讲义,60,.,远程攻击(续),这就意味着，只要一台计算机处于联网状态，即使这台计算机的使用者不做任何操作，这台计算机也可能受到黑客入侵。这是一种危害性非常大、渗透力非常强的攻击方式。Conficker蠕虫就是通过MS08-067漏洞进行远程攻击。视频3,2020/5/18,信息网络技术讲义,61,.,局域网攻击,局域网攻击是指攻击者可以利用局域网的一些机制攻击局域网内的其他用户。这类攻击包括：共享资源入侵、Ping洪水攻击和ARP欺骗攻击等。其中，以ARP欺骗攻击最为流行，效果明显，威力惊人。ARP欺骗攻击是利用ARP协议本身的缺陷进行的一种非法攻击，目的是为了在全交换环境下实现数据监听和篡改。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。,2020/5/18,信息网络技术讲义,62,.,局域网攻击(续),ARP欺骗攻击在局域网内非常奏效，攻击效果包括：ARP欺骗攻击可以对信息进行篡改，例如，可以在你访问的所有网页中加入网马。使用ARP欺骗可以嗅探到交换式局域网内所有数据包，从而得到敏感信息。利用ARP欺骗攻击可以控制局域网内任何主机，起到“网管”的作用，例如，让某台主机不能上网。,2020/5/18,信息网络技术讲义,63,.,使用移动存储介质,可能大家都遇到当U盘插入到电脑时，杀毒软件就急不可待的弹出警告提示的异常状况。随着时代的发展，移动硬盘、U盘、数码相机SD卡、MP3、MP4等移动设备也成为了新攻击目标。而U盘因其超大空间的存储量，逐步成为了使用最广泛、最频繁的存储介质，为计算机病毒寄生的提供更宽裕的空间。,2020/5/18,信息网络技术讲义,64,.,使用移动存储介质(续),当前“自动播放”（Autorun）技术经常受到病毒木马的“青睐”。如果中毒的U盘插入到电脑时，其里面潜伏的恶意程序就会执行，并感染系统，使得以后插入到此电脑的U盘也感染此病毒。例如2007年初肆虐的“熊猫烧香”使用了“自动播放”（Autorun）技术来增强其传播能力。,2020/5/18,信息网络技术讲义,65,.,使用移动存储介质(续),恶意代码如何通过移动存储介质传播？实例：U盘的双击命令、右键菜单名称和命令可以被任意修改。,（视频4）,2020/5/18,信息网络技术讲义,66,.,使用移动存储介质(续),2020/5/18,信息网络技术讲义,67,2020/5/18,.,68,网络攻击过程,入侵一般可以分为本地入侵和远程入侵在这里我们主要讲的是远程的网络入侵：网络攻击准备阶段网络攻击的实施阶段网络攻击的善后阶段,2020/5/18,.,69,攻击的准备阶段,确定攻击目标服务分析系统分析,2020/5/18,.,70,攻击准备1确定攻击目标,例如：选定50这台主机做为攻击目标，首先需要确定此主机是否处于活动状态，在Windows下使用ping命令测试：ping50，测试结果如下页图所示。说明此主机处于活动状态。,2020/5/18,.,71,2020/5/18,.,72,攻击准备2服务分析,对目标主机提供的服务进行分析探测目标主机相应端口服务是否开放：如利用Telnet、haktek等工具。举例：Windows下，开始运行cmd输入：telnet5080，然后确定结果如下页图所示，说明50这台主机上运行了http服务，Web服务器版本是IIS5.1,2020/5/18,.,73,2020/5/18,.,74,攻击准备3系统分析,确定目标主机采用何种操作系统例如在Windows下安装Nmapv4.20扫描工具，此工具含OSDetection的功能（使用-O选项）。打开cmd.exe，输入命令：nmapO50，然后确定探测结果如下页图所示，说明操作系统是Windows2000SP1、SP2或者SP3,2020/5/18,.,75,2020/5/18,.,76,攻击的实施阶段,当收集到足够的信息之后，攻击者就要开始实施攻击行动了。作为破坏性攻击，可以利用工具发动攻击即可。而作为入侵性攻击，往往需要利用收集到的信息，找到其系统漏洞，然后利用漏洞获取一定的权限。攻击的主要阶段有：预攻击探测：为进一步入侵提供有用信息口令破解与攻击实施攻击：缓冲区溢出、拒绝服务、后门、木马、病毒,2020/5/18,.,77,攻击的善后阶段,在攻陷的主机上安装后门程序，使之成为“肉鸡”，方便以后进入该主机系统。攻击者须在攻击实施完成后，进行相应的善后工作隐藏踪迹：攻击者在获得系统最高管理员权限之后就可以任意修改系统上的文件了，所以一般黑客如果想隐匿自己的踪迹，最简单的方法就是删除日志文件但这也明确无误地告诉了管理员系统已经被入侵了。所以最常用的办法是只对日志文件中有关自己的那部分作修改，关于修改方法的细节根据不同的操作系统有所区别，网络上有许多此类功能的程序。,2020/5/18,.,78,入侵系统的常用步骤,采用漏洞扫描工具,选择会用的方式入侵,获取系统一定权限,提升为最高权限,安装系统后门,获取敏感信息或者其他攻击目的,2020/5/18,.,79,较高明的入侵步骤,端口判断,判断系统,选择最简方式入侵,分析可能有漏洞的服务,获取系统一定权限,提升为最高权限,安装多个系统后门,清除入侵脚印,攻击其他系统,获取敏感信息,作为其他用途,2020/5/18,.,80,演示：一次完整的入侵过程视频5,2020/5/18,.,81,网络安全策略及其原则,安全策略，是针对那些被允许进入某一组织、可以访问网络技术资源和信息资源的人所规定的、必须遵守的规则。即：网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、计算机安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素，所制定的关于计算机安全总体目标、计算机安全操作、计算机安全工具、人事管理等方面的规定。,2020/5/18,.,82,制定安全策略的目的,目的1让所有用户、操作人员和管理员清楚，为了保护技术和信息资源所必须遵守的原则。目的2提供一个可以获得、能够配置和检查的用于确定是否与计算机和网络系统的策略一致的基准。,2020/5/18,.,83,安全策略的必要性,网络管理员在作安全策略时的依据在很大程度上取决于网络运行过程中的安全状况，网络所提供的功能以及网络的易用程度。安全策略应以要实现目标为基础，而不能简单地规定要检验什么和施加什么限制。在确定的安全目标下，应该制定如何有效地利用所有安全工具的策略。,2020/5/18,.,84,安全策略的必要性(2),PPDR模型,策略,强调了策略的核心作用强调了检测、响应、防护的动态性检测、响应、防护必须遵循安全策略进行,2020/5/18,.,85,安全策略的基本原则,适用性原则可行性原则动态性原则简单性原则系统性原则,2020/5/18,.,86,适用性原则,网络的安全管理是一个系统化的工作，因此在制定安全管理策略时，应全面考虑网络上各类用户，各种设备，各种情况，有计划有准备地采取相应的策略，任何一点疏忽都会造成整个计算机安全性的降低。,2020/5/18,.,87,可行性原则,安全管理策略的制定还要考虑资金的投入量，因为安全产品的性能一般是与其价格成正比的，所以要适合划分系统中信息的安全级别，并作为选择安全产品的重要依据，使制定的安全管理策略达到成本和效益的平衡。,2020/5/18,.,88,动态性原则,安全管理策略有一定的时限性，不能是一成不变的。由于网络用户在不断地变化，网络规模在不断扩大，网络技术本身的发展变化也很快，而安全措施是防范性的，所以安全措施也必须随着网络发展和环境的变化而变化。,2020/5/18,.,89,简单性原则,网络用户越多，网络管理人员越多，网络拓扑越复杂，采用网络设备种类和软件种类越多，网络提供的服务和捆绑越多，出现安全漏洞的可能性就越大。因此制定的安全管理策略越简单越好，如简化授权用户的注册过程等。,2020/5/18,.,90,系统性原则,网络的安全管理是一个系统化的工作，因此在制定安全管理策略时，应全面考虑网络上各类用户，各种设备，各种情况，有计划有准备地采取相应的策略，任何一点疏忽都会造成整个计算机安全性的降低。,2020/5/18,.,91,安全策略的特点,所有有效的安全策略都是起