信息安全基础与策略分析(ppt-81页)课件

1、信息安全基础与策略主要内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 安全策略一 信息安全概况安全威胁威胁来源产品和市场国家安全战略研究与开发安全人才一安全威胁政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。一安全威胁2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发

2、现4家大型信用卡组织的约800万张信用卡资料。2001年中美黑客网上大战时，国内外的上千个门户网站遭到破坏。安全威胁2003年1月25日，互联网上出现一种新型高危蠕虫病毒“2003蠕虫王” 。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。美欲用电脑赢战争， 网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。安全威胁中国国内80%网站有安全隐患，20网站有严重安全问题中国的银行过去两年损失1.6亿人民币利用计算机网络进行的各类违法行为在中国以每年3

3、0%的速度递增，而已发现的黑客攻击案只占总数的30%威胁来源网络和系统的自身缺陷与脆弱性网络及其协议的开放性黑客攻击与计算机病毒国家、政治、商业和个人利益冲突020406080100120140160200020012002200320042005年份市场规模（亿美元）00.050.10.150.20.250.3增长率世界网络安全产品市场95.50%45.00%5.00%4.50%4.00%3.50%1.50%1.00%0.00%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%1防病毒防火墙授权和认证VPN入侵

4、检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它国内安全产品使用年份050001000015000200002500030000350004000020002001200220032004市场规模（万美元）47.00%48.00%49.00%50.00%51.00%52.00%53.00%54.00%55.00%56.00%57.00%58.00%增长率中国网络安全产品市场产品和市场中国信息安全产品测评认证中心每年认证的安全产品达十几类，上百种。 19982000 安全产品300多个 20012002 安全产品600多个几百家国内外厂商，投资金额巨大。国家安全战略1998年5月22日

5、，克林顿政府颁布对关键基础设施保护的政策：第63号总统令 ，2000年颁布信息系统保护国家计划v1.0 。2002年9月18日和20日，布什政府颁布保护网络空间的国家战略（草案）和美国国家安全战略。 2003年2月14日布什政府颁布保护网络空间的国家战略 和反恐国家战略 。国家安全战略2002年7月19日“国家信息安全保障体系战略研讨会”在北京科技会堂召开，由中国工程院和国家信息化工作办公室主办，由交大信息安全体系结构研究中心承办。2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办，由信息安全国家重点实验室主办。学术研究和技术开发国家863信息安全技术主题课题研究所和重点实验室

6、高校的专业方向安全人才需求国家重点科研项目的需求专业安全产品公司的需求应用行业的管理、应用和维护的需求对网络信息安全人才的需求在今后几年内将超过100万，但专业的网络与信息安全机构在国内却屈指可数。网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明，信息安全人才必将成为信息时代最热门的抢手人才。主要内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 安全策略攻击：欺骗攻击：窃听攻击：数据窃取攻击：数据篡改攻击：系统弱密码入侵攻击：拒绝服务（Dos）常见DOS工具Bonk通过发送大量伪造的UDP数据包导致系统重启动 TearDrop通过发送重叠的IP碎片

7、导致系统的TCP/IP栈崩溃 SynFlood通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动 Bloop 通过发送大量的ICMP数据包导致系统变慢甚至凝固 Jolt 通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动 实例：SynFlood现象攻击者伪造源地址，发出Syn请求服务器端性能变慢，以及死机服务器上所以服务都不能正常使用SynFlood原理Syn 伪造源地址()IP:(TCP连接无法建立，造成TCP等待超时）Ack 大量的伪造数据包发向服务器端攻击：DDOS攻击美国几个著名的商业网站（例如Yahoo、eBay、CNN、Amazon、等）遭受黑客大规模的攻击，造

8、成这些高性能的商业网站长达数小时的瘫痪。而据统计在这整个行动中美国经济共损失了十多亿美元。这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视。DDOS攻击示意图DDOS攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。Anti-detectionpasswordguessingself-replicatingcodepasswordtrackingexploitingknownvuln

9、erabilitiesdisablingauditsbackdoorshijackingsessionsstealthdiagnosticspacket forging,spoofing攻击工具攻击者需要的技能1980 1985 1990 1995 2000攻击需要技能Web-crawlerattacks网络攻击发展趋势网络黑客特征大多数黑客为16到25岁之间的男性大多数黑客是“机会主义者”高级黑客 安全知识 + 黑客工具 + 耐心新互联网环境下出现的有明确政治、商业目的的职业黑客典型黑客攻击过程自我隐藏网络刺探和信息收集确认信任的网络组成寻找网络组成的弱点利用弱点实施攻击攻破后的善后工作主要

10、内容 一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 安全策略安全涉及的因素网络安全信息安全文化安全物理安全ISO信息安全定义为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。信息安全属性保密性完整性真实性可用性可控性巨大的安全隐患互联网正与电话通讯网，电视网结合，但科学家声称：互联网（至今）存在致命的弱点。如果容纳高连接率节点的网络遭到黑客恶意的攻击，摧毁关键性骨干节点，则互联网瘫痪是一瞬间的事。 (人民日报海外版2000年7月31日)安全防护理论模型程序，指导和经验标准策略安全是过程安全存在于过程安

11、全不仅仅是一个产品，它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统。安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏，而是网络管理人员、企业经理人和用户对安全知识的忽视。分析阶段：管理阶段：检测阶段：恢复阶段：保护阶段：需求分析、漏洞扫描防火墙、VPN 、防病毒入侵检测、授权、认证、签名审计系统、访问控制数据备份、系统恢复安全是个连续的过程安全体系结构防火墙安全网关VPN网络安全层反病毒风险评估入侵检测审计分析系统安全层用户/组管理单机登录身份认证用户安全层访问控制授权应用安全层加密数据安全层存储备份物理安全层安全防护体系结构边界防护区域防护核心防护节点防护安全

12、策略远程支持咨询服务顾问服务紧急响应安全防护手段 边界防护 防火墙 路由器 交换机 节点防护 主机入侵检测 单机查杀病毒 安全审计 漏洞扫描 区域防护 网络监控分析 网络查杀病毒 网络入侵检测 核心防护 VPN CA 强身份认证 存储备份3分边界防护2.5分核心防护2分区域防护2.5分节点防护安全防护比例整体防护10分安全实施体系安全法规与标准安全策略安全技术与产品安全管理安全人才与培训主要内容一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 安全策略安全管理技术网络信息安全的关键技术安全集成技术防病毒技术防火墙技术VPN技术入侵检测技术安全评估技术审计分析技术主机安全

13、技术身份认证技术访问控制技术密码技术备份与恢复技术 常用的安全技术手段加密技术身份认证技术防火墙技术病毒防治技术入侵检测技术VPN技术加密技术消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。明文用M（消息）或P（明文）表示，密文用C表示。加密函数E（M）=C；解密函数D（C）=M；D（E（M）=M对称密码非对称密码加密技术原理：加密和解密使用相同密钥加密强度基本由其密钥长度决定目前一般至少为128位主要优缺点：加密速度快管理复杂，风险大对称加密加密技术出现以来最重大的突破原理有两把成对的密钥，称为公钥和私钥，其中公钥可以对

14、外公布用一把密钥加密的数据只有用配对的另一把密钥才能正确解密特点：密钥易于管理，公钥不怕被窃取但速度一般比对称加密算法慢很多非对称加密身份认证身份认证的过程身份证实（Identity Verification）“你是否是你所声称的你？”身份识别（Identity Recognition）“我是否知道你是谁？”身份认证的方式动态口令EPlogin: Smithchallenge: 6729330response:开启认证卡电源6040输入 PIN 来启动认证卡EP672933021886552188655你现在已认证成功 !输入 Challenge输入 response 动态口令举例防火墙的概念

15、信任网络防火墙非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问，以达到保护系统安全的目的。 防火墙的基本功能数据包过滤（Packet Filtering） 网络地址转换（Network Address Translation） 应用级代理（Proxy Service） 身份认证（Authentication） 虚拟专用网（Virtual Private Network防火墙的发展历程时间1基于路由器的防火墙2用户化的防火墙工具套件3建立在通用操作系统上的防火墙4具有安全操作系统的防火墙

16、性能防火墙的技术类型 包过滤型 代理服务型 状态检测型防火墙的体系结构双重宿主主机结构 屏蔽主机结构 屏蔽子网结构入侵检测的概念和作用 入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。入侵检测的主要功能 实时入侵检测与响应 警报信息分类、查询功能 引擎集中管理功能 策略管理功能 警报信息的统计和报表功能 分级用户管理功能异常入侵检测原理正常行为异常行为命令系统调用应用类型活动度量CPU使用网络连接误

17、用入侵检测原理攻击者模式库报警匹配匹配入侵检测系统的体系结构 基于主机的入侵检测系统结构 基于网络的入侵检测系统结构 基于分布式的入侵检测系统结构传统VPN联网方式公司总部办事处/SOHO公共网络VPN通道VPN设备VPN设备VPN设备VPN client基于OSI参考模型的VPN技术应用层表示层会晤层传输层网络层数据链路层物理层网络层攻击数据链路攻击应用层攻击SETSSLIPSEC/VPN/防火墙VLAN，L2TP，PPTP信道加密安全协议应用层表示层会晤层传输层网络层数据链路层物理层发展历程简单的扫描程序功能较为强大的商业化扫描程序安全评估专家系统 最早出现的是专门为UNIX系统编写的一些

18、只具有简单功能的小程序，多数由黑客在业余时间编写。特点是功能单一，通常只能进行端口或CGI扫描等等；使用复杂，通常只有黑客才能够熟练使用；源代码开放。Nmap即是其代表作品。 99年以前，出现的功能较为强大的商业化产品，特点是测试项数目较多，使用简单。但是通常只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析处理。对结果的评估分析、报告功能很弱。这时期的产品，主要功能还是扫描。CyberCop和ISS Scanner是其中的代表。 近两年，主要商业化产品均运行Windows操作系统平台上，充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由安全

19、扫描程序到安全评估专家系统的过渡。不但使用简单方便，能够将对单个主机的扫描结果整理，形成报表，能够并对具体漏洞提出一些解决方法。 但目前产品对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决方案。系统分类基于网络的安全评估产品对关键网络及设备进行安全评估 基于主机的安全评估产品对关键主机进行安全评估 专用安全评估产品如数据库安全评估产品系统工作原理远程扫描分析目标设备1、发送带有明显攻击特征的数据包2、等待目的主机或设备的响应3、分析回来的数据包的特征4、判断是否具有该脆弱性或漏洞主要功能网络安全评估功能 评估分析结果报表 服务检查功能 隔离检查的功能 实用工具 主要内容 一 信息安全概

20、况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 安全策略安全策略的概念安全策略是一种处理安全问题的管理策略的描述。策略要能对某个安全主题进行描绘，探讨其必要性和重要性，解释清楚什么该做什么不该做。安全策略必须遵循三个基本概念：确定性、完整性和有效性。 编制网络安全策略的目的说明正在保护什么以及保护的原因决定首先要保护的东西和付出相应代价的优先次序根据安全的价值和机构内的不同部门制定明确的协议策略包含的基本内容我们正在保护什么保护的方法责任如何正确使用后果的处理策略的基本组成物理安全策略互联网安全策略数据访问控制、加密与备份安全策略病毒防护安全策略系统安全及授权策略 身份认证策略灾难

21、恢复及事故处理、紧急响应策略 口令管理策略 一个有效的安全策略包括安全意识、防止、检测、管理和响应以使危险降低到最小！有效的安全策略机密性可用性完整性信息财产平衡可用性、完整性和机密性一个桶能装多少水不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。安全策略系统配置技术漏洞木桶理论安全是一个动态的过程，需要不断的更新、防护。安全重在管理和监控，再好的安全产品也不能保证100%的安全。安全防护持之以恒小结一 信息安全概况 二 入侵手段 三 安全概念与安全体系 四 安全技术 五 安全策略谢 谢！（第14讲）考场作文开拓文路能力分解层次(网友来稿)江苏省镇江中学 陈乃香说明：本系列稿共24讲

22、，20XX年1月6日开始在资源上连载【要义解说】文章主旨确立以后，就应该恰当地分解层次，使几个层次构成一个有机的整体，形成一篇完整的文章。如何分解层次主要取决于表现主旨的需要。【策略解读】一般说来，记人叙事的文章常按时间顺序分解层次，写景状物的文章常按时间顺序、空间顺序分解层次；说明文根据说明对象的特点，可按时间顺序、空间顺序或逻辑顺序分解层次；议论文主要根据“提出问题分析问题解决问题”顺序来分解层次。当然，分解层次不是一层不变的固定模式，而应该富于变化。文章的层次，也常常有些外在的形式：1小标题式。即围绕话题把一篇文章划分为几个相对独立的部分，再给它们加上一个简洁、恰当的小标题。如世界改变了

23、模样四个小标题：寿命变“长”了、世界变“小”了、劳动变“轻”了、文明变“绿”了。 2序号式。序号式作文与小标题作文有相同的特点。序号可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”从全文看，序号式干净、明快；但从题目上看，却看不出文章内容，只是标明了层次与部分。有时序号式作文，也适用于叙述性文章，为故事情节的展开，提供了明晰的层次。 3总分式。如高考佳作人生也是一张答卷。开头：“人生就是一张答卷。它上面有选择题、填空题、判断题和问答题，但它又不同于一般的答卷。一般的答卷用手来书写，人生的答卷却要用行动来书写。”主体部分每段首句分别为：选择题是对人生进行正确的取舍，填空题是充实

24、自己的人生，判断题是表明自己的人生态度，问答题是考验自己解决问题的能力。这份“试卷”设计得合理而且实在，每个人的人生都是不同的，这就意味着这份人生试卷的“答案是丰富多彩的”。分解层次，应追求作文美学的三个价值取向：一要匀称美。什么材料在前，什么材料在后，要合理安排；什么材料详写，什么材料略写，要通盘考虑。自然段是构成文章的基本单位，恰当划分自然段，自然就成为分解层次的基本要求。该分段处就分段，不要老是开头、正文、结尾“三段式”，这种老套的层次显得呆板。二要波澜美。文章内容应该有张有弛，有起有伏，如波如澜。只有这样才能使文章起伏错落，一波三折，吸引读者。三要圆合美。文章的开头与结尾要遥相照应，把

25、开头描写的事物或提出的问题，在结尾处用各种方式加以深化或回答，给人首尾圆合的感觉。【例文解剖】 话题：忙忙，不亦乐乎 忙，是人生中一个个步骤，每个人所忙的事务不同，但是不能是碌碌无为地白忙，要忙就忙得精彩，忙得不亦乐乎。 忙是问号。忙看似简单，但其中却大有学问。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦乐乎，却并不简单。人生如同一张地图，我们一直在自己的地图上行走，时不时我们眼前就出现一个十字路口，我们该向哪儿，面对那纵轴横轴相交的十字路口，我们该怎样选择?不急，静下心来分析一下，选择适合自己的坐标轴才是最重要的。忙就是如此，选择自己该忙的才能忙得有意义。忙是问号，这个问号一直

26、提醒我们要忙得有意义，忙得不亦乐乎。 忙是省略号。四季在有规律地进行着冷暖交替，大自然就一直按照这样的规律不停地忙，人们亦如此。为自己找一个目标，为目标而不停地忙，让这种忙一直忙下去。当目标已达成，那么再找一个目标，继续这样忙，就像省略号一样，毫无休止地忙下去，翻开历史的长卷，我们看到牛顿在忙着他的实验；爱迪生在忙着思考；徐霞客在忙着记载游玩；李时珍在忙着编写本草纲目。再看那位以笔为刀枪的充满着朝气与力量的文学泰斗鲁迅，他正忙着用他独有的刀和枪在不停地奋斗。忙是省略号，确定了一个目标那么就一直忙下去吧!这样的忙一定会忙出生命灵动的色彩。 忙是惊叹号。世界上的人都在忙着自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜为回报。那么人呢?居里夫人的忙，以放射性元素的发现而得到了圆满的休止符；爱因斯坦在忙，以相对论的问世而画上了惊叹号；李白的忙，以那豪放的诗歌而有了很大的成功；张衡的忙，因为那地动仪的问世而让世人仰慕。每个人都应该有效率的忙，而不是整天碌碌无为地白忙。人生是有限的、短暂的，因此，每个人都应该在有限的生命里忙出属于他的惊叹号；都应在有限的生命里忙出他的人生精彩篇章。 忙是万物、世界、人生中都不可缺少的一部