信息安全概述和网络基础.ppt

第一章信息安全概述和网络基础 1 1信息安全概述1 2网络基础 背景 信息安全 物理 行政手段计算机安全网络安全internet安全因特网安全 internet 我们关注internet上的信息安全 definitions informationsecurity isabouthowtopreventattacks orfailingthat todetectattacksoninformation basedsystemscomputersecurity genericnameforthecollectionoftoolsdesignedtoprotectdataandtothwarthackersnetworksecurity measurestoprotectdataduringtheirtransmissioninternetsecurity measurestoprotectdataduringtheirtransmissionoveracollectionofinterconnectednetworks 从概念上讲 网络信息安全由两大层面组成 一个是保证信息运行安全的层面 称为网络安全 另一个是保证信息使用安全的层面 叫做信息安全 网络安全保证信息载体 包括处理载体 存储载体 传输载体和输入输出载体 的安全运行 信息安全是建立在网络安全之上 保证信息自身的安全使用 网络信息安全两个方面 信息安全与网络安全 一 信息安全的概念1 信息安全定义信息安全没有统一的定义 但一般认为信息安全指一个国家的社会化信息状态不受外来的威胁及侵害 一个国家的信息技术体系不受外来的威胁及侵害 网络信息安全指网络上信息资源不受外来的威胁及侵害 一般来说 信息安全的目标是保护信息的以下安全属性 保密性 完整性 可用性 不可否认性 可控性 2 信息安全的基本属性 1 保密性confidentiality 确保信息不暴露给未授权的实体和个人 防泄密 加密机制 2 完整性integrity 指维护信息的一致性或者真实性 即信息在生成 传输 存储和使用过程中不应发生人为或者非人为的非授权篡改 完整性鉴别机制 保证只有得到允许的人才能修改数据 防篡改和伪造 散列算法和数字签名 3 可用性availability 得到授权的实体可获得服务 攻击者不能占用所有的资源而阻碍授权者的工作 用访问控制机制 阻止非授权用户进入网络 使静态信息可见 动态信息可操作 防中断 4 不可否认性non repudiation 指能保障用户无法在事后否认曾经对信息进行的生成 签发 接收等行为 对出现的安全问题提供调查的依据和手段 使得攻击者 破坏者 抵赖者 逃不脱 可使用审计 数字签名等安全机制 实现信息安全的不可否认性 5 可控性controlability 指授权机构可以随时控制信息的机密性 主要指对危害国家信息 包括利用加密的非法通信活动 的监视审计 使用授权机制 控制信息传播范围 内容 必要时能恢复密钥 实现对网络资源及信息的可控性 3 我国信息安全现状我国与国际标准靠拢的信息安全与网络安全技术和产品标准陆续出台 建立了全国信息技术标准化技术委员会信息技术安全分技术委员会 中国互联网安全产品认证中心宣告成立 公安部计算机信息系统安全产品质量监督检验中心正式成立 3 我国信息安全现状 问题 政府部门对信息系统的安全性是非常重视的 但苦于没有好的解决方案或安全建设经费不足 国家通信网络的交换机及其通信设备有一部分由于没有经过安全检测 安全问题没有保证 这是由于安全检测工作的建设滞后于系统的建设造成的 技术被动性引起的安全缺陷核心芯片 引进设备 引进新技术的风险人员素质问题引起的安全缺陷人员的道德品质 技术水平 学习能力缺乏系统的安全标准所引起的缺陷安全标准的缺乏造成管理混乱 总体来说 信息安全已引起社会的广泛重视 但 信息与网络安全的防护能力较弱对我国金融系统计算机网络现状 专家们有一形象的比喻 用不加锁的储柜存放资金 网络缺乏安全防护 让 公共汽车 运送钞票 网络缺乏安全保障 使用 邮寄 传送资金 转账支付缺乏安全渠道 拿 平信 邮寄机密信息 敏感信息缺乏保密措施 等 对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造 技术被动性 二 术语services mechanisms attacks considerthreeaspectsofinformationsecurity securityattack anyviolationtosysteminformationsecuritysecuritymechanism deter prevent detect recoversystemsecurityservice enhancesecurityconsiderinreverseorder securityservice issomethingthatenhancesthesecurityofthedataprocessingsystemsandtheinformationtransfersofanorganizationintendedtocountersecurityattacksmakeuseofoneormoresecuritymechanismstoprovidetheservice 安全服务 1989年12月 iso颁布了iso7498 2标准 首次确定了开放系统互连 osi 参考模型的信息安全体系结构 其中包括了五大类安全服务以及提供这些服务所需要的八大类安全机制 这五大类安全服务为 鉴别服务 鉴别参与通信的对等实体和数据源访问控制 防止未经授权而利用网络资源数据保密性服务 防止数据未经授权而泄漏完整性服务 用于对付主动威胁 防止消息被窜改 插入 删除或者重放抗抵赖服务 分为带数据源证明的不可否认和带递交证明的不可否认 securitymechanism amechanismthatisdesignedtodetect prevent orrecoverfromasecurityattacknosinglemechanismthatwillsupportallfunctionsrequiredhoweveroneparticularelementunderliesmanyofthesecuritymechanismsinuse cryptographictechniques securityattack anyactionthatcompromisesthesecurityofinformationownedbyanorganizationinformationsecurityisabouthowtopreventattacks orfailingthat todetectattacksoninformation basedsystemshaveawiderangeofattacks wecanfocusofgenerictypesofattacks 我们将在第二节中介绍 三 安全模型modelfornetworkaccesssecurity modelfornetworkaccesssecurity usingthismodelrequiresusto selectappropriategatekeeperfunctionstoidentifyusersimplementsecuritycontrolstoensureonlyauthorisedusersaccessdesignatedinformationorresourcestrustedcomputersystemscanbeusedtoimplementthismodel modelfornetworksecurity modelfornetworksecurity usingthismodelrequiresusto designasuitablealgorithmforthesecuritytransformationgeneratethesecretinformation keys usedbythealgorithmdevelopmethodstodistributeandsharethesecretinformationspecifyaprotocolenablingtheprincipalstousethetransformationandsecretinformationforasecurityservice 1 1信息安全概述1 2网络基础 internet基础网络脆弱性对网络的攻击 1 2 1internet基础 网络概念计算机网络的定义 将处于不同地理位置 并具有独立计算能力的计算机系统通过传输介质和通信设备相互连接 在网络操作系统和网络通信软件的控制下 实现资源共享的计算机集合 网络协议协议是为了使不同设备之间能够进行正常的数据通信而预先制定的一整套大家共同遵循的格式和约定 或者说是信息交换的特定 语言 是一组软件 库 如tcp ip netbios ipx spx osi标准等 osi7layers osivs tcp ip protocoldataunit pduformat from to mac ip osictl type length pri ack window data paddingchk crc checksum fromtoctldatachk route 如何从a到m 网络应用实体结构分类专用网络系统特定的网络协议 特殊的应用目的 比如银行网络系统intranet网络系统企业内部 基于internet基本协议 完成企业内部各种管理需要 mis oa 专用事物处理 企业内跨平台操作internet网络系统开放 面向大众 共享信息资源 1 2 1internet基础 一 internet起源与发展1969年开始 起源于军事应用 arpanet 1982年tcp ip加入unix内核中1983年arpanet各站点的的通讯协议全部转为tcp ip 这是internet正式诞生的标志1989年www的出现是internet迅速发展1993年以后 开始商业应用已覆盖175个国家和地区上网机器达数千万台用户数量超过1亿 1 2 1internet基础 国内internet发展情况1987年开始 试验阶段1994年实现tcp ip连接四大互连网与国际直连中国互联网 chinanet 中国教育科研网 cernet 中国科技网 cstnet 中国金桥网 chinagbn 国家公用经济通信网 source 二 internet的四个特点国际化 资源共享和网络的攻击不仅仅来自本地网络的用户 它可以来自internet上的任何一个机器 社会化 全球信息化飞速发展 信息化系统已经成为国家关键基础设施 诸如电信 电子商务 电子政务 电子税务 电子海关 网上银行 电子证券 网络书店 网上拍卖等 社会对计算机网络的依赖日益增强 个人化 随着网络应用的深入 人类的生活越来越离不开网络 人们可以自由地访问网络 自由地使用和发布各种类型的信息开放化 任何个人或单位可以自由接入网络 并且网络的技术是全开放的 任何一个人 团体都可能获得 rfc requestforcomments 意即 请求注解 包含了关于internet的几乎所有重要的文字资料 享有网络知识圣经之美誉 1 2 1internet基础 三 internet迅速发展的技术要素 使用了一个统一有效的网络互联协议集tcp ip快速有效1982年以后 tcp ip成了unix操作系统的一部分 dca把arpanet各站点的的通讯协议全部转为tcp ip 使得tcp ip流行起来大机构的支持 如美国国防部高级研究计划局和美国国家科学基金会 nsf 在tcp ip之上开发了许多出色的服务软件 如邮件服务 www服务 ftp服务等等 tcp ip协议是开放的 人们不费多大事就可以了解tcp ip 使得很多应用开发商能够将自己的应用服务建立于tcp ip之上 1 2 1internet基础 脆弱性或者说漏洞本身不会对系统造成损坏 但漏洞的存在却为入侵者侵入系统或者破坏者破坏系统提供了可能 1 2 2网络脆弱性 硬件的安全隐患如cpu 网络设备等操作系统安全隐患 windows95存在两千多处缺陷tcp ip协议是在可信环境下 为网络互联专门设计的 缺乏安全措施的考虑协议不安全应用不安全 应用缺乏认证 保密等措施 tcp ip协议是开放的 任何一个人 团体都可能获得 包括协议的源代码 一 网络脆弱性表现在 1 2 2网络脆弱性 网络不安全的原因 自身缺陷 开放性 威胁 二 安全威胁1 电脑病毒电脑病毒最早由冯 诺伊曼提出一种可能性 1983年 第一个病毒实验成功 验证了计算机病毒的存在1988年美国康乃尔大学morris编制的蠕虫病毒通过因特网传播 1 2 2网络脆弱性 1999美国轰炸中国驻南联盟大使馆引发中美黑客大战2001年南海撞机事件引发中美黑客大战 2 黑客入侵 入侵者是谁 网络恐怖分子 黑客 信息战部队现在 黑客 一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者 黑客 hacker 对技术的局限性有充分认识 具有操作系统和编程语言方面的高级知识 热衷编程 查找漏洞 表现自我 他们不断追求更深的知识 并公开他们的发现 与其他人分享 主观上没有破坏数据的企图 骇客 cracker 以破坏系统为目标 红客 honker 中国的一些黑客自称 红客 honker 美国警方 把所有涉及到 利用 借助 通过 或 阻挠 计算机的犯罪行为都定为hacking internet当前主要安全威胁来自黑客入侵计算机病毒拒绝服务来自内部的攻击 来自于内部网络 90 相关 1 2 2网络脆弱性 d o s 拒绝服务dos中断interruption堵死overload jamssldos分布式拒绝服务ddos ddos 网络安全威胁分类从对信息的安全属性造成的破坏结果看 网络安全威胁可分为可分为 被动威胁 被动攻击 主动威胁 主动攻击 1 2 3网络攻击分类 1 被动威胁 对信息的非授权泄露 但是未篡改任何信息 例 搭线窃听 网卡的混合型接受模式 破坏信息的保密性 正常信息流 availability 破坏保密性confidentiality 被动攻击还包括流量分析 flowoverview 信息流分析 举例 tcp ip链路层技术没有统一的实现机制 最常用的是以太网技术以太网安全分析攻击者利用以太网信道的共享特性 任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口 嗅探器工作原理 在网络上窃取数据就叫作嗅探 sniffing 以太网在进行信息传输时 会把分组送到各个网络节点 目的地址匹配的节点会接收这些分组 其它的网络节点只做简单的丢弃操作 而接收还是丢弃这些分组由以太网卡控制 在接收分组时 网卡会过滤出目的地址是自己的分组接收 而不是照单全收 在本文以后的部分我们将把网卡的这种过滤称为硬件过滤 hardwarefilter 嗅探器为了能够截获网络上所有的分组 必须把网络接口卡 networkinterfacecard nic 设置为混杂模式 promiscuousmode 接着 网卡就能够接受网络上所有的分组 并将其送到系统内核 acapturedframe icmp ping ping l10dnspingingdns 202 194 15 12 with10bytesofdata replyfrom202 194 15 12 bytes 10time 10msttl 250replyfrom202 194 15 12 bytes 10time 10msttl 250replyfrom202 194 15 12 bytes 10time 10msttl 250replyfrom202 194 15 12 bytes 10time 10msttl 250pingstatisticsfor202 194 15 12 packets sent 4 received 4 lost 0 0 loss approximateroundtriptimesinmilli seconds minimum 0ms maximum 0ms average 0ms icmpcap httprequest get http 1 1user agent mozilla 4 0 compatible msie5 0 windows2000 opera6 05 zh cn host accept text html image png image jpeg image gif image x xbitmap accept language zh cn enaccept charset x gbk q 1 0 utf 8 q 1 0 utf 16 q 1 0 iso 8859 1 q 0 6 q 0 1accept encoding deflate gzip x gzip identity q 0connection keep alive httpreqcapture pop3passwd webmailpasswd lansniffer switch 某楼层lan 运行sniffer约半个小时 实测得10万个包 约100m 经搜索有效的pass出现约有8次 10 302005 2 22 packetcapturetools netxray snifferprowindows9x anyunix linuxhttp www tcpdump org etherealhttp www snort org 很多别的类似工具sniffer安全技术专题 packetcaptureprogramming unix linuxtcpdump libpcaphttp www tcpdump org windowswinpcaphttp winpcap polito it networkmonitorsdkinvisualstudio netgeneratepacketwinsock2 spsendingrawpacket ether ip anti sniffer 理论上 可以做到不露任何痕迹因为sniffer完全是被动的 加密利用密码学保护通讯 replay 2 主动威胁 对系统的状态进行故意的非授权改变 包括 系统中信息 状态或操作的篡改 例 中断消息传送或者服务拒绝 篡改消息 插入伪消息 重发消息等 破坏信息的可用性 完整性和真实性 availability 破坏可用性availability availability 破坏完整性integrity availability 真实性authenticity 被动攻击 窃听 获取消息内容 流量分析 主动攻击 中断 篡改 伪造 破坏可用性 破坏完整性 破坏真实性 破坏保密性 协议安全问题举例 死亡之ping pingofdeath ping l65510 ttarget早期路由器对包的最大尺寸都有限制 许多操作系统对tcp ip栈的实现在icmp包上都是规定64kb 并且在对包的标题头进行读取之后 要根据该标题头里包含的信息来为有效载荷生成缓冲区 当产生畸形的 声称自己的尺寸超过icmp上限的包也就是加载的尺寸超过64k上限时 就会出现内存分配错误 导致tcp ip堆栈崩溃 致使接受方当机 pingflooding 在某一时刻多台主机对目标主机使用ping程序 耗费目标主机的网络带宽和处理能力源ip地址是经过伪造的是一种拒绝服务攻击 dos ip地址欺骗 所谓ip地址欺骗是指攻击者假冒他人ip地址 发送数据包ip协议不对数据包中的ip地址进行认证 因此任何人不经授权就可以伪造ip包的源地址现在有些工具可以直接构造ip数据包 并发送到网络上 如sendip 使用ip地址欺骗的用途 只想隐藏自身的ip地址或伪造源ip和目的ip相同的不正常包 并不关心是否能收到远程主机的应答 如land攻击等 伪装成被目标主机信任的友好主机得到非授权服务 一般需要使用正确的tcp序列号 做到 tcp连接接管 得到tcp序列号的方法在传输层安全分析中描述 tcp接管示意图 主机a 主机c 主机b 第一个伪造请求包 伪造源ip为b 第一个应答包 目的ip为b ip地址欺骗的两个难点远程主机只向伪造的ip地址发送应答 攻击者却收不到远程主机的应答要在攻击者和被攻击者之间建立连接 攻击者需要使用正确的tcp序列号 做到 tcp连接接管 防范 防火墙使用防火墙决定是否允许外部的ip数据包进入内网 对来自外部的ip数据包进行检验 假如防火墙过滤器看到来自外部的数据包声称有内部的地址 它一定是欺骗包 反之亦然 ip包碎片 泪滴攻击 teardrop ip协议中的 分段 fragmentation 概念链路层的mtu 最大传输单元 ip包的分段与重组某些系统的tcp ip协议栈在收到含有重叠偏移的伪造分段时将崩溃 ip分段示意图 路由器 以太网链路 路由器 微波链路 以太网链路 ip分段 ip重组 攻击者通过发送两段 或者更多 数据包来发动攻击 第一个包的偏移量为0 长度为n 第二个包的偏移量小于n 而且算上第二片ip包的数据部分 也没有超过第一片的尾部 这样就出现重叠现象 linux2 0内核的tcp ip协议栈在作ip分段重组时会异常 winnt 95在接收到10 50个teardrop分片时也会崩溃 smurf 攻击者伪造一个源地址为受害主机的地址 目标地址是反弹网络的广播地址的icmp回应请求数据包 当反弹网络的所有主机返回icmp回应应答数据包的时候就淹没受害主机反弹网络的规模越大 攻击威力越大 还有其他好多针对tcp ip的攻击 如tcp劫持 假冒email rip路由欺骗等等当然除了网络协议外 也可能因为其他软件或其他原因造成网络漏洞 如 网页劫持 设立