第1章 网络安全

1信息安全技术2

学习用书教材：WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice杨明，胥光辉等译《密码编码学与网络安全：原理与实践》（第二版）,电子工业出版社3AppliedCryptography,Protocols,algorithms,andsourcecodeinC(2ndEdition)，BruceSchneier著应用密码学－协议、算法与C源程序，吴世忠、祝世雄、张文政等译现代密码学，何大可、彭代渊等，人民邮电出版社其它参考材料

学习用书4本课程对学生的要求基本课堂讲授+专题讲座的教学方式了解和掌握网络与信息安全的基本原理、技术、及最新研究成果具有网络与信息安全的理论基础和较强实践能力提交论文5为什么网络安全变得非常重要进行网络攻击变得越来越简单越来越多的个人或公司连入Internet并不是所有的用户都具有基本的安全知识第一章信息安全概述6第五维战争---虚拟空间战争(信息战)所谓信息战就是通过破坏或操纵计算机网络上的信息流的办法，对敌人的电话网、油气管道、电力网、交通管制系统、国家资金转移系统、各种银行转账系统和卫生保建系统等实施破坏，以达到战略目的。7信息战的基本特点1、低进入成本。一个形象的描述就是：一个绝顶聪明的14岁的孩子，外加一台电脑、一条网线就可以发动战略信息战进攻。一个案例：一个16岁的英国孩子和另外一个不知名的助手，打进了美国空军最高指挥和控制研究开发机构罗姆实验室的计算机，并以此为跳板，侵入了多台国防承包商的计算机，乃至韩国原子能研究所的计算机。82、传统边界的模糊化

由于在信息社会中，公用和私人网络互联，军用和民用网络互联，各国之间的网络都已联为一体，各类用户数量极大，你很难搞清进攻是来自国内还是国处，也很难搞清楚某次进攻究竟应算是犯罪活动，还是战争。3、观念操纵

所谓观念操纵，说白了就是宣传工作。利用信息技术可以伪造文字、声音、图像等所有的东西。

一个案例：在海湾战争期间，美国陆军第4心理作战部队的专家们就曾考虑过用一种叫做CommandoSolo的专用电子心理战飞机控制住伊拉克的电视台，在上面播放萨达姆·侯赛因喝威士忌、吃火腿（这两件事都是伊斯兰教所不允许的）的伪造录像片。9

海湾战争：“信息武器”小试锋芒信息战的经典案例

伊拉克的防空雷达系统遭到了多国部队的无线电电子压制。其目标是通过发射或干扰电磁波、声波和红外线信号来使交战对手的电子对抗功能损坏或完全丧失。这种无线电电子压制手段一般可由地面、海面舰艇、空中电子干扰飞机三种系统全方位的协调来实现。10

伊拉克从法国采购的防空系统被安置了美国设计的“逻辑炸弹”，结果导致海湾战争期间伊拉克的这些系统根本无法有效使用。伊军阵地整个掩体缺乏保护，成了盟军飞机、巡航导弹的“活靶子”。逻辑炸弹是预先把计算机病毒和逻辑炸弹敷设到保障军事工程和民用基础设施正常发挥作用的信息系统和网络中。这样逻辑炸弹就可以在预先规定的时刻或是按照某一信号发生“爆炸”：清除或是歪曲计算机中的信息，并被迫使它退出运行。信息战的经典案例11

科索沃战争：“信息武器”身手不凡

北约动用了电子侦察、电子干扰等“信息武器”在空袭行动之前半个小时，美军11架“徘徊者”电子干扰机立

即升空，使南军的防空跟踪系统陷入瘫痪，从而使南军的地

对空导弹发射场等关键标暴露无遗。

50多颗卫星在太空助阵这些卫星所获的数字图像数据实时传至贝尔沃堡地面站，南联

盟军队调动、飞机起飞等方面的情报，由地面图像判断中心分

析处理后，不用数十分钟即可传到指挥中心。信息战的经典案例12

俄罗斯：“电子战”车臣显神威1996年4月21日晚，车臣“总统”杜达耶夫在车臣西南部的格希丘村村外的田野里用卫星移动电话打电话给“自由”广播电台。该电话向通信卫星发出的无线电波被俄方的雷达截收后，俄方利用先进的计算机技术将其锁定，准确地确定出通话者的方位，携带空对地精确制导炸弹的俄军战机直扑目标。几分钟后，两枚俄制炸弹在距格希丘村1500米的地方爆炸。杜氏的卫星移动电话泄了密，导致了他的死亡。信息战的经典案例132001年5月4日，美国白宫网站刷新速度开始变慢，没过多久系统干脆完全拒绝用户登录，清一色显示出“找不到服务器”的字样。发动此次网络攻击的IP地址绝大多数来自于中国大陆，有人估算当天至少有8万人参加了对白宫的网络攻击。有人称这是信息时代首次“人海战术”的胜利，也成为2001年4月份以来中美红黑客大战的最高潮。信息战的其他案例14信息战的其他案例网络安全事件2008年，以色列战机（一架F-15，一架F-16，均为非隐形战机），进入叙利亚将其多个导弹阵地摧毁，而叙利亚的防空雷达对此却毫无察觉——攻击手段：电磁干扰

2009年，俄罗斯攻击爱沙尼亚，导致包括爱沙尼亚在内的波罗的海国家网络中断——攻击手段：僵尸网络

2010年，伊朗核数据被删除，导致其核计划推迟多年——攻击手段：震波病毒（U盘传播）

2011年，韩国政府网络一度瘫痪——攻击手段：分布式拒绝服务攻击15典型网络安全事件国际知名网络安全公司RSA用户信息遭泄露——攻击手段：高可持续性威胁APT

荷兰某花卉公司新研制花卉关键数据被盗，损失数亿美元——攻击手段：硬盘拷贝

计算机专业人士网络银行账户中的钱被他人提取——攻击手段：木马

无线网络用户账号遭盗号——攻击手段：网络钓鱼

用户私密活动被偷窥——攻击手段：木马16由于免费安全软件的快速推广，截至2012年上半年，国内电脑安全软件的普及率已经达到96.5%，绝大多数的个人电脑都能得到可靠的安全保障。个人电脑的病毒感染率大幅下降，单个病毒的大规模感染事件已经绝迹，黑客针对个人电脑发动攻击变得越来越困难。一些新型的互联网安全问题开始逐渐凸显：钓鱼欺诈取代网页挂马攻击，成为个人电脑安全的首要威胁；超过7成的国内网站存在高危漏洞，政府、高校等正规网站安全性尤其薄弱；另外，针对高科技企业的APT攻击（高级持续性威胁）显著增多，更具商业价值的企业机密数据成为黑客攻击目标。网络安全状况17根据360云安全数据中心统计，2012年1至6月，国内日均约2835.3万台电脑遭到木马病毒等恶意程序攻击。同时，木马病毒攻击的成功率有着显著降低，一般在千分之五以内。根据360用户调查显示，电脑中毒的主要原因是用户在木马病毒诱导性提示下关闭了安全软件的防护功能，集中在游戏外挂和诱惑视频播放器使用人群上，中国互联网用户因此被分为两大群体：大部分网民几乎与木马病毒隔离，很少遇到木马病毒攻击；另外一部分人群则频繁冒险中毒、杀毒。新增木马逐月减少网络安全状况182012年上半年，360安全卫士共截获新增钓鱼网站350149家（以host计算），已经达到去年全年截获新增钓鱼网站总量的75%，拦截钓鱼网站访问量更是高达21.7亿次，比去年全年拦截量还高2000万。钓鱼网站威胁加剧网络安全状况19一、从经常杀毒到很少中毒

6年前正是恶意软件、木马病毒集中爆发的时期。不仅规规矩矩上网的电脑会频繁中毒，不上网的电脑也时常被U盘病毒骚扰。

时至今日，免费安全软件已经能够实现对各种盗号和入侵攻击的有效防护，与此同时，经常给电脑体检、打补丁，以及对系统进行清理优化成为网民普遍接受的电脑使用习惯。网络安全状况信息安全变化趋势20二、超级病毒已经绝迹

2006年之前，冲击波、熊猫烧香等蠕虫病毒席卷全国。这种在今天看来只要打好补丁就能轻易防范的病毒，却在当时造成了极大的影响和危害，其主要原因就在于安全软件的普及程度很低，大量电脑处于裸奔状态。

而随着云查杀技术的出现，使得木马病毒的平均传播范围已经从动辄成千上万，缩小到20台左右。如熊猫烧香、机器狗、犇牛等感染量过百万的超级木马病毒已几乎绝迹。网络安全状况21三、重装电脑频率降低

在免费安全高度普及的今天，安全软件不仅可以拦截木马病毒，还提供如清理垃圾、优化加速和修复注册表等电脑“保健”功能，电脑的健康运行周期大大延长，根据360的用户调查统计，用户重装系统的平均周期已经从六年前的2-3个月，大幅延长到如今的22个月以上网络安全状况22（1）钓鱼欺诈成为网络安全首害

挂马和钓鱼是恶意网站攻击用户的两大手段。

随着免费安全的不断普及，挂马攻击变得越来越困难。而钓鱼网站，只要不携带恶意代码，而只是模仿套用正规网站的模板，一般难以被传统杀毒引擎识别。从最近两年的统计来看，钓鱼欺诈已经从网络犯罪的配角变成主角，成为恶意网站攻击个人用户的主要手段。

现阶段网络安全的主要威胁网络安全状况23（2）网站拖库成为黑客主流盗号手段

由于个人电脑的防护越来越严密，很多黑客转向攻击网站，直接窃取网站数据库获取用户密码（拖库）。与个人电脑相比，网站系统要庞大得多，存在安全漏洞的可能性也更大。加之很多网站程序员缺少安全编程的经验，致使高危的安全漏洞在网站系统中普遍存在。网络安全状况24（3）APT攻击日渐增多，并呈现诸多新特点

APT是指高级持续性攻击,是针对特定组织的多方位的攻击。由于针对普通用户和操作系统的一般性攻击成本越来越高，相应产出的黑客利益也比较低，因此，有针对性的攻击某些价值较高的企业甚至基础工业设施，成为黑客新的主攻目标。火焰病毒、暴雷漏洞以及之前的震网病毒，都是APT攻击的典型案例。网络安全状况252011年移动互联网迅速发展，手机网民数量不断增长，移动互联网恶意程序数量和感染规模也在不断提高。恶意程序已经严重威胁到用户的切身利益和移动互联网的健康发展。2011年国内移动互联网安全事件数量呈现增长趋势。移动互联网恶意程序网络安全状况26网络安全状况27网络安全状况28网络威胁与防范——网络钓鱼网页钓鱼或网络仿冒是通过构造与某一目标网站高度相似的页面（俗称钓鱼网站），诱骗用户访问钓鱼网站，以获取用户个人秘密信息（如银行帐号和帐户密码）。构造似真而事实为伪冒的网站(钓鱼)有说服力的假网址(URL)外观难辨真伪的网站界面(GUI)字体及公司标志细致程度可达致乱真的地步黑客通过垃圾邮件、QQ即时通讯工具、论坛发贴、Blog等方式大量散播伪造的钓鱼网站链接29事件日期：2010年7月20日事件名称：仿冒工商银行网站事件事件简述：一个域名为

的网站仿冒工商银行的网站

进行网络钓鱼，非法获得用户网络银行帐号和密码。经CNCERT查询，该仿冒网站IP为7，服务器位于美国，并且该域名是在美国的域名注册机构PublicDomainRegistry注册的。典型事件网络威胁与防范——网络钓鱼30攻击过程——建立山寨网站网络威胁与防范——网络钓鱼31攻击过程——发送垃圾邮件32攻击过程——诱骗用户输入银行帐号和密码进行身份确认33攻击过程——提示用户身份确认未完成34攻击过程——对话欺骗用户35攻击过程——记录账号与密码网络威胁与防范——网络钓鱼36截获的部分已经上钩的用户帐号和密码37被仿冒的大都是大型电子商务网站、大型金融机构网站、第三方在线支付站点、大型社区交友网站。网页仿冒事件报告者数量ebay/paypal(美国电子商务网站)269.au(澳大利亚CERT)130HSBC(中国香港汇丰银行)95(美国互联网安全服务公司)95(西班牙互联网安全服务公司)69.pl(波兰AGH科技大学)67C(美国互联网安全服务公司)52(美国EMC公司安全事业部)50(美国域名注册商)31(美国互联网安全服务公司)272009年被仿冒次数居前10名的网站

38不要打开垃圾邮件看清网站信息发现网站异常联系客服防范要点：39木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序。计算机一旦被植入木马，其重要文件和信息不仅会被窃取，用户的一切操作行为也都会被密切监视，而且还会被攻击者远程操控实施对周围其他计算机的攻击。木马不仅是一般黑客的常用手段，更是网上情报刺探活动中的主要手段之一。

网银类木马专门攻击网上银行，采用记录键盘和系统动作的方法，盗取网银的帐号和密码80%~90%联网电脑都是或者曾经是被木马控制的机器2005年发生国外4000万信用卡号码信息被通过网络窃取木马传播渠道主要包括：u盘、访问挂马网站、邮件等网络威胁与防范——木马40网页挂马是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动网站挂马是木马传播的最主要方式41防范要点：

不要打开不安全网站到可信网站下载安装木马专杀工具敏感数据加密保护网络威胁与防范——木马42控制节点...僵尸网络...控制者

ICMPFlood/SYNFlood/UDPFlood目标僵尸网络是指由黑客通过控制服务器间接并集中控制的僵尸程序感染计算机群。僵尸程序一般是由攻击者专门编写的类似木马的控制程序，通过网络病毒等多种方式传播出去。

僵尸网络的控制者可以从这些攻击中获得经济利益，例如发送垃圾邮件、窃取个人信息、通过DDos攻击进行敲诈等Conficker控制的网络僵尸数以千万计网络威胁与防范——僵尸网络43防范要点：

访问系统必须身份认证口令最好同时包含字母、数字和符号及时给系统打补丁网络威胁与防范——僵尸网络44合理的访问请求得不到响应pong,synk4大量的链接请求阻碍信道.大量的链接请求阻碍信道阻塞拒绝服务攻击是向某一目标信息系统发送密集的攻击包，或执行特定攻击操作，以期致使目标系统停止提供服务。网络威胁与防范——拒绝服务）45近年来拒绝服务攻击事件频繁发生，并表现出规模大、目标确定、经济目的突出的特点2009年7月18日，上海市私车车牌拍卖系统遭到分布式拒绝服务攻击，导致无法正常进行车牌拍卖工作。2010年3月28日，google向cncert通报遭到来自境内的分布式拒绝服务攻击（->）。2009年5月19日，暴风影音的权威域名解析服务器被拒绝服务攻击，引起多省市网络中断。网络威胁与防范——拒绝服务）46防范要点：

限制每种服务的带宽边界路由器阻断来自内网的同时访问同一端口的链接网络威胁与防范——拒绝服务）4747SQLInjection攻击的原理漏洞分析─Script描述語言ASP程序语言为一种Script描述语言。Script描述语言的特点：在程序执行以前，所有原先是变数的地方，都会被替换成当时输入的值。4848因此若输入的帐号为「a’or‘’=‘’」，输入的密码为「a’or‘’=‘’」，則原先的SQL指令就被改成了select*fromAccountswhereId=‘a’or‘’=‘’

and

Password=‘a’or‘’=‘’select*fromAccountswhereId=‘输入的帐号’

andPassword=‘输入的密码’4949服务器端的程序

select*fromAccountswhereId=‘Id’and

Password=‘Password’恶意使用者输入范例一

Login：'or''=‘Password：'or''=‘原SQL指令变成

select*fromAccountswhereId=''or''=''and

Password=''or''=''SQLInjection攻击的原理5050515152域名劫持是指通过篡改域名解析的结果，将网络用户引导到不正确的网络地址DNS服务器请问的ip地址返回的ip地址按该ip地址进行访问网站网络威胁与防范——域名劫持（DNS投毒）53典型案例十七大期间，Yahoo.search、Google.search、MSN被劫持到百度，监测发现甘肃、吉林等地的几十个公共解析服务器发生解析错误。2010年1月12日，百度域名注册信息遭非法篡改，中断服务4小时以上网络威胁与防范——域名劫持54在不同的网络上运行分离的域名服务器来取得冗余性。将外部和内部域名服务器分开并使用转发器。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。这可以限制哪些DNS服务器与Internet联系。可能时，限制动态DNS更新。将区域传送仅限制在授权的设备上。删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。防范要点：

网络威胁与防范——域名劫持55网络威胁与防范—网站篡改网页篡改是恶意破坏或更改网页内容，使网站无法正常工作或出现黑客插入的非正常网页内容。56广州市某大型企业集团公司门户网站被黑网页

被嵌入的网页被黑时间：20080731－20080908正常网站主页面57防范要点：

删除运行在WEB服务器上的不必要服务，如FTP、telnet和HTTP及时打上补丁用防火墙保护服务强化身份认证和访问控制信网络威胁与防范—网站篡改58高级持续性威胁（AdvancedPersistentThreat）是指组织（特别是政府）或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。网络威胁与防范——高可持续性威胁APTAPT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击

APT不是一种新的攻击手法，因此也无法通过阻止一次攻击就让问题消失59网络威胁与防范——高可持续性威胁APT案例——RSASecurID窃取攻击（2011）6061网络常用攻击方式

窃听：攻击者通过监视网络数据获得敏感信息。•

重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收者。•

伪造：攻击者将伪造的信息发送给接收者。•

篡改：攻击者对合法用户之间的通讯信息进行修改、删除、插入，再发送给接收者。•

拒绝服务攻击：攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务。62•行为否认：通讯实体否认已经发生的行为。•

非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问。•

传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。如众所周知的CIH病毒，“冲击波”病毒都

具有极大的破坏性。网络常用攻击方式63正常干扰窃取篡改冒充网络常用攻击方式641、软件编写存在bug

只要是用代码编写的东西，都会存在不同程度的bug。黑客发现这些“补丁”程序的接口后会自己编写程序进入目标系统。2、系统配置不当

(1)默认配置的不足：系统安装后都有默认的安全配置，通常

被称为easytouse。但easytouse还意味着easytobreakin。

(2)临时端口：管理员打开一个临时端口，但测试完后却忘记

了禁止它。

(3)信任关系：网络系统经常建立信任关系以方便资源共享，但

只要攻破信任群中的一个机器，就有可能进一步攻击其他的

机器。

黑客入侵成功的原因653、口令失窃

(1)弱不禁破的口令：就是说虽然设置了口令，但却简单得

再简单不过，狡猾的入侵者只需吹灰之力就可破解。

(2)字典攻击：就是指入侵者使用一个程序，该程序借助一个

包含用户名和口令的字典数据库，不断地尝试登录系统，

直到成功进入。例如，一个包含大小写的4字符口令大约

有50万个组合，1个包含大小写且标点符号的7字符口令大

约有10万亿组合。

黑客入侵成功的原因664、传输协议漏洞

Internet采用TCP/IP传输协议，这种协议本身并未采取任何措施来保护传输内容的安全。就是说入侵者可以随意地伪造及修改IP数据包而不被发现。现在IPSec协议已经开发出来以克服这个不足,但还没有得到广泛的应用。

黑客入侵成功的原因675、操作系统漏洞

Internet底层的操作系统是UNIX，但UNIX的源代码是公开的，这样容易被发现漏洞。比如，在广泛使用的FTP中发现了“特洛伊木马”。

黑客入侵成功的原因6868网际网络否认传送窃听

冒名传送篡改使用者甲使用者乙（机密性）（完整性）（身份认证）（不可否认性）

网络安全的目标696969

网络安全的目标•

身份真实性：能对通讯实体身份的真实性进行鉴别。•

信息机密性：保证机密信息不会泄露给非授权的人或实体。•

信息完整性：保证数据的一致性，能够防止数据被非授权用户或实体建立、修改和破坏。•

服务可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。•

不可否认性：建立有效的责任机制，防止实体否认其行为。•

可审查性：对出现的网络安全问题提供调查的依据和手段。70网络安全的关键技术信息安全至少包括以下几个领域：密码理论与技术；安全协议理论与技术；安全体系结构理论与技术；信息对抗理论与技术；网络安全与安全产品。各领域之间关系如下图。71网络安全与安全产品密码理论与技术安全体系结构理论与技术安全协议理论与技术信息对抗理论与技术

信息安全各领域之间的关系网络安全的关键技术72（1）密码理论与技术整个信息安全研究的核心和基础，主要包括两部分：