信息与网络安全概述

信息与网络安全概述信息与网络安全概述信息与网络安全的本质和内容计算机网络的脆弱性信息安全的六大目标网络安全的主要威胁网络安全的攻击手段网络安全的八大机制信息与网络安全的本质和内容网络安全从其本质上来讲就是网络上的信息安全。信息安全是对信息的保密性、完整性和可用性的保护，包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设施安全等。网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。信息与网络安全的目标进不来拿不走看不懂改不了跑不了信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。单机系统的信息保密阶段网络信息安全阶段信息保障阶段网络信息安全阶段该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术（被动防御）：安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。1988年莫里斯蠕虫爆发对网络安全的关注与研究CERT成立信息保障阶段信息保障（IA）概念与思想是20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF，提出“纵深防御策略”DiD（Defense-in-DepthStrategy）。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。计算机网络的脆弱性体系结构的脆弱性。网络体系结构要求上层调用下层的服务，上层是服务调用者，下层是服务提供者，当下层提供的服务出错时，会使上层的工作受到影响。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障，然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。网络操作系统的脆弱性。目前的操作系统，无论是Windows、UNIX还是Netware都存在安全漏洞，这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。随着网络的普及，网络应用系统越来越多，网络应用系统也可能存在安全漏洞，这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏，应用系统瘫痪，甚至威胁到整个网络的安全。网络管理的脆弱性。在网络管理中，常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等，这种人为造成的安全漏洞也会威胁到整个网络的安全。信息安全的六大目标信息安全可靠性可用性真实性保密性完整性不可抵赖性可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性包括：硬件可靠性软件可靠性通讯可靠性人员可靠性环境可靠性可用用性性可用用性性即即网网络络信信息息系系统统在在需需要要时时，，允允许许授授权权用用户户或或实实体体使使用用的的特特性性；；或或者者是是网网络络信信息息系系统统部部分分受受损损或或需需要要降降级级使使用用时时，，仍仍能能为为授授权权用用户户提提供供有有效效服服务务的的特特性性。。真实实性性确保保网网络络信信息息系系统统的的访访问问者者与与其其声声称称的的身身份份是是一一致致的的；；确保保网网络络应应用用程程序序的的身身份份和和功功能能与与其其声声称称的的身身份份和和功功能能是是一一致致的的；；确保保网网络络信信息息系系统统操操作作的的数数据据是是真真实实有有效效的的数数据据。。保密密性性保密密性性是是防防止止信信息息泄泄漏漏给给非非授授权权个个人人或或实实体体，，只只允允许许授授权权用用户户访访问问的的特特性性。。保密密性性是是一一种种面面向向信信息息的的安安全全性性，，它它建建立立在在可可靠靠性性和和可可用用性性的的基基础础之之上上，，是是保保障障网网络络信信息息系系统统安安全全的的基基本本要要求求。。完整整性性完整整性性是是信信息息在在未未经经合合法法授授权权时时不不能能被被改改变变的的特特性性，，也也就就是是信信息息在在生生成成、、存存储储或或传传输输过过程程中中保保证证不不被被偶偶然然或或蓄蓄意意地地删删除除、、修修改改、、伪伪造造、、乱乱序序、、插插入入等等破破坏坏和和丢丢失失的的特特性性。。完整整性性是是一一种种面面向向信信息息的的安安全全性性，，它它要要求求保保持持信信息息的的原原样样，，即即信信息息的的正正确确生生成成、、正正确确存存储储和和正正确确传传输输。。不可可抵抵赖赖性性不可可抵抵赖赖性性也也称称作作不不可可否否认认性性，，即即在在网网络络信信息息系系统统的的信信息息交交互互过过程程中中所所有有参参与与者者都都不不可可能能否否认认或或抵抵赖赖曾曾经经完完成成的的操操作作的的特特性性。。网络络安安全全的的主主要要威威胁胁主要要威威胁胁内部部窃窃密密和和破破坏坏窃听听和和截截收收非法法访访问问(以以未未经经授授权权的的方方式式使使用用网网络络资资源源)破坏坏信信息息的的完完整整性性(通通过过篡篡改改、、删删除除和和插插入入等等方方式式破破坏坏信信息息的的完完整整性性)冒充充(攻攻击击者者利利用用冒冒充充手手段段窃窃取取信信息息、、入入侵侵系系统统、、破破坏坏网网络络正正常常通通讯讯或或欺欺骗骗合合法法主主机机和和合合法法用用户户。。)流量量分分析析攻攻击击(分分析析通通信信双双方方通通信信流流量量的的大大小小，，以以期期获获得得相相关关信信息息。。)其他他威威胁胁(病病毒毒、、电电磁磁泄泄漏漏、、各各种种自自然然灾灾害害、、战战争争、、失失窃窃、、操操作作失失误误等等)信息息与与网网络络安安全全的的攻攻击击手手段段物理破坏窃听数据阻断攻攻击数据篡改攻攻击数据伪造攻攻击数据重放攻攻击盗用口令攻攻击中间人攻击击缓冲区溢出出攻击分发攻击野蛮攻击SQL注入入攻击计算机病毒毒蠕虫后门攻击欺骗攻击拒绝服务攻攻击特洛伊木马马

网络信息系统内部人员威胁拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息泄漏、篡改、破坏后门、隐蔽通道蠕虫社会工程天灾系统Bug网络攻击被动攻击窃听或者偷偷窥流量分析被动攻击非非常难以检检测，但可可以防范源目的sniffer网络攻击主动攻击可可以检测，，但难以防防范主动攻击：：指攻击者者对某个连连接的中的的PDU进进行各种处处理(更改改、删除、、迟延、复复制、伪造造等)阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击物理破坏攻击者可以以直接接触触到信息与与网络系统统的硬件、、软件和周周边环境设设备。通过过对硬件设设备、网络络线路、电电源、空调调等的破坏坏，使系统统无法正常常工作，甚甚至导致程程序和数据据无法恢复复。窃听一般情况下下，攻击者者侦听网络络数据流，，获取通信信数据，造造成通信信信息外泄，，甚至危及及敏感数据据的安全。。其中的一一种较为普普遍的是sniffer攻攻击（snifferattack）。sniffer是指指能解读、、监视、拦拦截网络数数据交换并并且阅读数数据包的程程序或设备备。数据阻断攻攻击攻击者在不不破坏物理理线路的前前提下，通通过干扰、、连接配置置等方式，，阻止通信信各方之间间的数据交交换。阻断攻击数据篡改攻攻击攻击者在非非法读取数数据后，进进行篡改数数据，以达达到通信用用户无法获获得真实信信息的攻击击目的。篡改攻击数据伪造攻攻击攻击者在了了解通信协协议的前提提下，伪造造数据包发发给通讯各各方，导致致通讯各方方的信息系系统无法正正常的工作作，或者造造成数据错错误。伪造攻击数据重放攻攻击攻击者尽管管不了解通通信协议的的格式和内内容，但只只要能够对对线路上的的数据包进进行窃听，，就可以将将收到的数数据包再度度发给接收收方，导致致接收方的的信息系统统无法正常常的工作，，或者造成成数据错误误。重放攻击盗用口令攻攻击盗用口令攻攻击（password-basedattacks）攻击者通过过多种途径径获取用户户合法账号号进入目标标网络，攻攻击者也就就可以随心心所欲地盗盗取合法用用户信息以以及网络信信息；修改改服务器和和网络配置置；增加、、篡改和删删除数据等等等。中间人攻击击中间人攻击击（man-in-the-middleattack）是指指通过第三三方进行网网络攻击，，以达到欺欺骗被攻击击系统、反反跟踪、保保护攻击者者或者组织织大规模攻攻击的目的的。中间人攻击击类似于身身份欺骗，，被利用作作为中间人人的的主机机称为RemoteHost（黑客客取其谐音音称之为““肉鸡”））。网络上上的大量的的计算机被被黑客通过过这样的方方式控制，，将造成巨巨大的损失失，这样的的主机也称称做僵尸主主机。缓冲区溢出出攻击缓冲区溢出出（又称堆堆栈溢出））攻击是最最常用的黑黑客技术之之一。攻击击者输入的的数据长度度超过应用用程序给定定的缓冲区区的长度，，覆盖其它它数据区，，造成应用用程序错误误，而覆盖盖缓冲区的的数据恰恰恰是黑客的的入侵程序序代码，黑黑客就可以以获取程序序的控制权权。后门攻击后门攻击（（backdoorattack））是指攻击击者故意在在服务器操操作系统或或应用系统统中制造一一个后门，，以便可以以绕过正常常的访问控控制。攻击击者往往就就是设计该该应用系统统的程序员员。欺骗攻击欺骗攻击可可以分为地地址欺骗、、电子信件件欺骗、WEB欺骗骗和非技术术类欺骗。。攻击者隐隐瞒个人真真实信息，，欺骗对方方，以达到到攻击的目目的。拒绝服务攻攻击DoS（DenialofService，拒绝服服务攻击））的目的是是使计算机机或网络无无法提供正正常的服务务。常见的的方式是：：使用极大大的通信量量冲击网络络系统，使使得所有可可用网络资资源都被消消耗殆尽，，最后导致致网络系统统无法向合合法的用户户提供服务务。如果攻击者者组织多个个攻击点对对一个或多多个目标同同时发动DoS攻击击，就可以以极大地提提高DoS攻击的威威力，这种种方式称为为DDoS（DistributedDenialofService，分分布式拒绝绝服务）攻攻击。分发攻击攻击者在硬件和软软件的安装装配置期间间，利用分分发过程去去破坏；或或者是利用用系统或管管理人员向向用户分发发帐号和密密码的过程程窃取资料料。野蛮攻击野蛮攻击包包括字典攻攻击和穷举举攻击。字典攻击是是使用常用用的术语或或单词列表表进行验证证，攻击取取决于字典典的范围和和广度。由由于人们往往往偏爱简简单易记的的口令，字字典攻击的的成功率往往往很高。。如果字典攻攻击仍然不不能够成功功，入侵者者会采取穷穷举攻击。。穷举攻击击采用排列列组合的方方式生成密密码。一般般从长度为为1的口令令开始，按按长度递增增进行尝试试攻击。SQL注入入攻击攻击者利用用被攻击主主机的SQL数据库库和网站的的漏洞来实实施攻击，，入侵者通通过提交一一段数据库库查询代码码，根据程程序返回的的结果获得得攻击者想想得知的数数据，从而而达到攻击击目的。计算机病毒毒与蠕虫计算机病毒毒（ComputerVirus））是指编制制者编写的的一组计算算机指令或或者程序代代码，它能能够进行传传播和自我我复制，修修改其他的的计算机程程序并夺取取控制权，，以达到破破坏数据、、阻塞通信信及破坏计计算机软硬硬件功能的的目的。蠕虫也是一一种程序，，它可以通通过网络等等途径将自自身的全部部代码或部部分代码复复制、传播播给其他的的计算机系系统，但它它在复制、、传播时，，不寄生于于病毒宿主主之中。蠕虫病毒是是能够是寄寄生于被感感染主机的的蠕虫程序序，具有病病毒的全部部特成，通通常利用计计算机系统统的漏洞在在网络上大大规模传播播。特洛伊木马马特洛伊木马马简称木马马，它由两两部分组成成：服务器器程序和控控制器程序序，当主机机被装上服服务器程序序，攻击者者就可以使使用控制器器程序通过过网络来控控制主机。。木马通通常是是利用用蠕虫虫病毒毒、黑黑客入入侵或或者使使用者者的疏疏忽将将服务务器程程序安安装到到主机机上的的。网络安安全的的八大大机制制数据加加密机机制访问控控制机机制数据完完整性性机制制数字签签名机机制实体认认证机机制业务填填充机机制路由控控制机机制公证机机制数据加加密机机制密码技技术是是保障障信息息安全全的核核心技技术。。消息被被称为为明文文。用用某种种方法法伪装装消息息以隐隐藏它它的内内容的的过程程称为为加密密。加了密密的消消息称称为密密文。。而把把密文文转变变为明明文的的过程程称为为解密密。信息加加密是是保障障信息息安全全的最最基本本、最最核心心的技技术措措施和和理论论基础础。信信息加加密也也是现现代密密码学学主要要组成成部分分。访问控控制机机制访问控控制的的目的的是防防止对对信息息资源源的非非授权权访问问和非非授权权使用用信息息资源源。它它允许许用户户对其其常用用的信信息库库进行行适当当权限限的访访问，，限制制他随随意删删除、、修改改或拷拷贝信信息文文件。。访问问控制制技术术还可可以使使系统统管理理员跟跟踪用用户在在网络络中的的活动动，及及时发发现并并拒绝绝“黑黑客””的入入侵。。访问控控制采采用最最小特特权原原则：：即在在给用用户分分配权权限时时，根根据每每个用用户的的任务务特点点使其其获得得完成成自身身任务务的最最低权权限，，不给给用户户赋予予其工工作范范围之之外的的任何何权力力。自主访访问控控制（（DAC））、强强制访访问控控制（（MAC））和基基于角角色的的访问问控制制（RBAC））数据完完整性性机制制是保护护数据据，以以免未未授权权的数数据乱乱序、、丢失失、重重放、、插入入和纂纂改。。数据完完整性性机制制的两两个方方面单个数数据单单元或或字段段的完完整性性（不不能防防止单单个数数据单单元的的重放放）数据单单元串串或字字段串串的完完整性性发送方接收方附加一个量比较这个量还要加加上顺顺序号号、时时间标标记和和密码码链数字签签名机机制传统签签名的的基本本特点点:能与被被签的的文件件在物物理上上不可可分割割签名者者不能能否认认自己己的签签名签名不不能被被伪造造容易被被验证证数字签签名是是传统统签名名的数数字化化，基基本要要求:能与所所签文文件““绑定定”签名者者不能能否认认自己己的签签名签名不不能被被伪造造容易被被自动动验证证实体认认证机机制用于认认证交交换的的技术术认证信信息，，如口口令密码技技术被认证证实体体的特特征为防止止重放放攻击击，常常与以以下技技术结结合使使用时间戳戳两次或或三次次握手手数字签签名路由控控制机机制路由控控制机机制可可使信信息发发送者者选择择特殊殊的路路由，，以保保证连连接、、传输输的安安全。。其基基本功功能为为：路由选选择路由可可以动动态选选择，，也可可以预预定义义，以以便只只用物物理上上安全全的子子网、、中继继或链链路进进行连连接和和/或或传输输；路由连连接在监测测到持持续的的操作作攻击击时，，端系系统可可能同同志网网络服服务提提供者者另选选路由由，建建立连连接；；安全策策略携带某某些安安全标标签的的数据据可能能被安安全策策略禁禁止通通过某某些子子网、、中继继或路路。连连接的的发起起者可可以提提出有有关路路由选选择的的警告告，要要求回回避某某些特特定的的子网网、中中继或或链路路进行行连接接和/或传传输。。业务填填充机机制所谓的的业务务填充充即使使在业业务闲闲时发发送无无用的的随机机数据据，增增加攻攻击者者通过过通信信流量量获得得信息息的困困难，，是一一种制制造假假的通通信、、产生生欺骗骗性数数据单单元或或在数数据单单元中中产生生数据据的安安全机机制。。该机机制可可用于于提供供对各各种等等级的的保护护，用用来防防止对对业务务进行行分析析，同同时也也增加加了密密码通通讯的的破译译难度度。发发送的的随机机数据据应具具有良良好的的模拟拟性能能，能能够以以假乱乱真。。该机机制只只有在在业务务填充充受到到保密密性服服务时时才有有效。。可利用该该机制不不断地在在网络中中发送伪伪随机序序列,使使非法法者无法法区分有有用信息息和无用用信息。。公证机制制有关在两两个或多多个实体体之间通通信的数数据的性性质,如如完整整性、原原发、时时间和目目的地等等能够借借助公证证机制而而得到确确保。这种保证证是由第第三方公公证人提提供的。。公证人人为通信信实体所所信任,并掌掌握必要要信息以以一种可可证实方方式提供供所需的的保证。。每个通信信实例可可使用数数字签名名、加密密和完整整性机制制以适应应公证人人提供的的服务。。当这种种公证机机制被用用到时,数据据便在参参与通信信的实体体之间经经由受保保护的通通信和公公证方进进行通信信普适性安安全机制制安全标签签事件检测测审计跟踪踪安全恢复复9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Thursday,December29,202210、雨中中黄叶叶树，，灯下下白头头人。。。03:47:1103:47:1103:4712/29/20223:47:11AM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2203:47:1103:47Dec-2229-Dec-2212、故人江江海别，，几度隔隔山川。。。03:47:1103:47:1103:47Thursday,December29,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2203:47:1103:47:11December29,202214、他乡生白白发，旧国国见青山。。。29十二二月20223:47:12上上午03:47:1212月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:47上午午12月-2203:47December29,202216、行动动出成成果，，工作作出财财富。。。2022/12/293:47:1203:47:1229December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。3:47:12上上午3:47上上午午03:47:1212月月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很多事事情努力力了未必必有结果果，但是是不努力力却什么么改变也也没有。。。03:47:1203:47:1203:4712/29/20223:47:12AM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2203:47:1203:47Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。03:47:1203:47:1203:47Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2203:47:1203:47:12December29,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。29十十二月20223:47:12上午午03:47:1212月-2215、楚塞