网络安全(1).ppt

课程特点 培养目标 具有分析 设计和实施信息安全系统的基本能力 内容广阔 涉及到许多其它领域的知识密码学计算机网络 TCP IP 操作系统 UNIX和Windows 程序设计 课程内容 网络安全概论 1 网络攻击技术 2 网络防御技术 3 网络安全保障体系 4 本课程对学生的要求 了解和掌握网络与信息安全的基本原理和相关技术具有网络与信息安全的理论基础和基本实践能力关注国内外最新研究成果和发展动态 考核说明 课程学时安排成绩比例总学时48考试70 平时30 参考教材 网络安全 徐国爱 张淼 彭俊好编著 北京邮电大学出版社 2007 网络安全 胡道元 闵京华编著 清华大学版社 2008 网络安全技术与应用实践 刘远生主编 清华大学出版社 2010 参考书 SECURITYPOWERTOOLS计算机安全超级工具集Author BryanBurnsetc Publisher O ReillyMedia Inc NumberofPages 781Published 2007 08 参考书 CryptographyandNetworkSecurity PrinciplesandPractice 5thEdition 密码编码学与网络安全 原理与实践 第五版 Author WilliamStallingsPublisher PrenticeHallNumberofPages 744Published 2010 01 24 参考资源 第一章网络安全概论 1 1 信息安全概念与技术的发展 1 2 安全产品类型 1 3 引言 1 引言 网络技术的飞速发展 Internet的普及 深刻地改变了人类的工作和生活方式 但各种各样的不安全因素 对网络的安全运行 信息的安全传递构成了巨大的威胁 1 1 网络面临的安全威胁 2010年国家互联网应急中心共接收了10433件非扫描类网络安全事件报告 其中国外报告事件数量为5070件 所报告的网络安全事件集中在信息系统漏洞 占33 0 恶意代码 占19 6 网页挂马 占21 4 和网页仿冒 占15 0 等类型 网络面临的安全威胁 信息安全漏洞 根据漏洞的危险程度 漏洞可分为高危漏洞 中危漏洞 低危漏洞 2010年新增漏洞3447个 包括高危漏洞649个 占19 中危漏洞987个 占29 低危漏洞1811个 占52 2010年 CNVD共收集 整理了649个高危漏洞 涵盖Microsoft IBM Apple Linux Adobe Cisco Mozilla HP Google Sun等厂商的产品 其中涉及Microsoft产品的高危漏洞最多 占全部高危漏洞的17 注 CNVD是国家信息安全漏洞共享平台的简称 网络面临的安全威胁 信息安全漏洞 根据影响对象的类型 漏洞可分为操作系统漏洞 应用程序漏洞 WEB应用漏洞 数据库漏洞 网络设备漏洞 如路由器 交换机等 和安全产品漏洞 如防火墙 入侵检测系统等 如图所示 在CNVD2010年度收集整理的漏洞信息中 操作系统漏洞占16 应用程序漏洞占62 WEB应用漏洞占9 数据库漏洞占4 网络设备漏洞占6 安全产品漏洞占3 案例 网络面临的安全威胁 网站安全 网站被篡改网页挂马网页仿冒 网络钓鱼 网络面临的安全威胁 网站安全 2010年 CNCERT监测到境内被篡改网站月度统计情况如下图所示 其中 每月被篡改网站数量平均为2904个 网络面临的安全威胁 网站安全 2010年境内被篡改网站按域名类型进行统计 被篡改数量最多的是 com和类域名网站 其多为企业 公司网站 不过值得注意的是 域名网站所占比例达到13 30 所占比例达到1 76 域名网站所占比例达到1 15 百度公司网站无法访问事件 2010年1月12日上午7时左右 百度公司网站 突然无法访问 经查 百度公司的域名是在美国域名注册服务商公司注册的 综合各方提供的技术报告 与会专家分析认为 造成本次事件的原因是域名的注册信息被非法篡改 致使域名在全球的解析被错误指向 最终导致全球互联网用户无法正常访问网站 参考 网络面临的安全威胁 网站安全 2010年 境内政府网站被篡改数量为4635个 与2009年的2765个相比增加67 6 政府网站易被篡改的主要原因是网站整体安全性差 缺乏必要的经常性维护 某些政府网站被篡改后长期无人过问 还有些网站虽然在接到报告后能够恢复 但并没有根除安全隐患 从而遭到多次篡改 2010年CNCERT监测发现被篡改的部分省部级政府网站列表 网络面临的安全威胁 网站安全 网页挂马是目前互联网黑色地下产业中进行最为猖獗的 对互联网安全危害较为严重的非法活动 一些针对新披露的信息安全漏洞制造的新型恶意代码往往会借网页挂马的方式进行大规模传播 网络中一些搜索热词或社会热点事件的出现引发了网民大量搜索和点击 相关页面也容易被黑客利用来挂马 达到快速传播恶意代码并控制大量用户主机的目的 网络面临的安全威胁 网站安全 网页仿冒俗称网络钓鱼 这类事件是社会工程学欺骗原理结合网络技术的典型应用 2010年CNCERT共接到网页仿冒事件报告1566件 经归类合并后CNCERT成功处理了631件 在CNCERT接收到的这些网页仿冒事件中 被仿冒的大都是电子商务网站 金融机构网站 第三方在线支付站点 社区交友网站 假冒央视 非常6 1栏目 钓鱼网站 2010年1月下旬CNCERT接到举报 一些不法分子通过飞信 聊天工具以及垃圾邮件大量传播假冒央视 非常6 1栏目 的数十个钓鱼网站信息 极易使用户受到蒙骗 造成经济损失 对此 CNCERT及时组织协调万网志成和新网数码等国内域名注册商对监测发现的钓鱼网站域名开展专项治理行动 共关闭钓鱼网站27个 有效地打击了不法分子进行网络钓鱼的猖獗势头 此事件发生时正值春节临近 不法分子选择此时借用 中奖 送礼品 等幌子进行网络欺诈的活动更具迷惑性 具体参考 网络面临的安全威胁 恶意代码 恶意代码主要包括计算机病毒 蠕虫 木马 僵尸程序等 计算机病毒和蠕虫几年前是最为常见的恶意代码类型 对用户计算机的破坏力也较强 近年来 随着黑客地下产业链的进化 木马和僵尸程序以及一些助长其传播的恶意代码成为了黑客最经常利用的手段 也成为了用户安全防范的主要对象 网络面临的安全威胁 恶意代码 木马是以盗取用户个人信息 甚至是以远程控制用户计算机为主要目的的恶意代码 由于它像间谍一样潜入用户的电脑 与战争中的 木马 战术十分相似 因而得名木马 按照功能分类 木马程序可进一步分为 盗号木马 网银木马 窃密木马 远程控制木马 流量劫持木马 下载者木马和其它木马七类 2010年CNCERT抽样监测结果显示 在利用木马控制服务器对主机进行控制的事件中 木马控制服务器IP总数为479626个 较2009年下降21 3 木马受控主机IP总数为10317169个 较2009年大幅增长274 9 网络面临的安全威胁 恶意代码 僵尸程序是用于构建僵尸网络以形成大规模攻击平台的恶意代码 僵尸网络是被黑客集中控制的计算机群 其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为 如可同时对某目标网站进行分布式拒绝服务攻击 或发送大量的垃圾邮件等 2010年CNCERT抽样监测结果显示 僵尸网络控制服务器IP总数约为1 4万个 僵尸网络受控主机IP地址总数为562万余个 网络面临的安全威胁 恶意代码 当前黑客地下产业中 以盗号木马 窃密木马 网银木马等为代表的木马类恶意代码比较流行 与之相比 蠕虫这种能造成大范围快速传播和影响的恶意代码显得较为 古典 与 冲击波 蠕虫类似 飞客 蠕虫利用的也是Windows操作系统的RPC远程连接调用服务存在的高危漏洞来侵入互联网上未能进行有效防护的主机 并通过局域网 U盘等方式快速传播 根据CNCERT的2010年12月抽样监测结果 全球互联网已经有超过6000万个主机IP感染 飞客 蠕虫 境内仍然是 重灾区 有超过900万个主机IP被感染 网络面临的安全威胁 移动互联网安全 2010年是3G网络迅速发展的一年 移动互联网智能终端迅速普及 应用程序日益丰富 生产成本不断降低 手机上网已经成为人们生活中随处可见的一景 伴随着互联网与移动网络的界限日渐模糊 互联网的安全问题也在移动网络中逐步突显 移动智能终端漏洞日益增多 恶意代码已开始出现并在移动互联网内快速蔓延 并被用于窃取用户的个人隐私信息 恶意订购各类增值业务或发送大量垃圾短信 网络面临的安全威胁 移动互联网安全 2010年CNCERT抽样监测结果显示 境内感染 毒媒 手机木马的用户达2003515个 感染 手机骷髅 病毒的用户达831843个 感染 FC MapUp A 手机病毒的用户达216147个 感染 Boothelper A 手机病毒的用户达1431个 网络不安全的原因 自身缺陷 开放性 黑客攻击 安全的几个概念 信息安全 防止任何对数据进行未授权访问的措施 或者防止造成信息有意无意泄漏 破坏 丢失等问题的发生 让数据处于远离危险 免于威胁的状态或特性 网络安全 计算机网络环境下的信息安全 信息的安全需求 保密性 对信息资源开放范围的控制 数据加密 访问控制 防计算机电磁泄漏等安全措施 完整性 保证计算机系统中的信息处于 保持完整或一种未受损的状态 任何对系统信息应有特性或状态的中断 窃取 篡改 伪造都是破坏系统信息完整性的行为 可用性 合法用户在需要的时候 可以正确使用所需的信息而不遭服务拒绝 信息安全概念与技术的发展 信息安全的概念与技术是随着人们的需求 随着计算机 通信与网络等信息技术的发展而不断发展的 1 2 单机系统的信息保密阶段 信息保密技术的研究成果 发展各种密码算法及其应用 DES 数据加密标准 RSA 公开密钥体制 ECC 椭圆曲线离散对数密码体制 等 计算机信息系统安全模型和安全评价准则 访问监视器模型 多级安全模型等 TCSEC 可信计算机系统评价准则 ITSEC 信息技术安全评价准则 等 网络信息安全阶段 该阶段中 除了采用和研究各种加密技术外 还开发了许多针对网络环境的信息安全与防护技术 被动防御 安全漏洞扫描技术 安全路由器 防火墙技术 入侵检测技术 网络攻防技术 网络监控与审计技术等 当然在这个阶段中还开发了许多网络加密 认证 数字签名的算法和信息系统安全评估准则 如CC通用评估准则 信息保障阶段 信息保障 IA 概念与思想的提出 20世纪90年代由美国国防部长办公室提出 定义 通过确保信息和信息系统的可用性 完整性 可控性 保密性和不可否认性来保护信息系统的信息作战行动 包括综合利用保护 探测和反应能力以恢复系统的功能 信息保障阶段 信息保障技术框架IATF 由美国国家安全局制定 提出 纵深防御策略 DiD Defense in DepthStrategy 在信息保障的概念下 信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密 而是保护 Protection 检测 Detection 响应 Reaction 和恢复 Restore 的有机结合 信息保障阶段不仅包含安全防护的概念 更重要的是增加了主动和积极的防御观念 保护 检测 恢复 响应 信息保障 采用一切手段 主要指静态防护手段 保护信息系统的五大特性 及时恢复系统 使其尽快正常对外提供服务 是降低网络攻击造成损失的有效途径 对危及网络安全的事件和行为做出反应 阻止对信息系统的进一步破坏并使损失降到最低 PDRR安全模型 检测本地网络的安全漏洞和存在的非法信息流 从而有效阻止网络攻击 PDRR安全模型 注意 保护 检测 恢复 响应这几个阶段并不是孤立的 构建信息安全保障体系必须从安全的各个方面进行综合考虑 只有将技术 管理 策略 工程过程等方面紧密结合 安全保障体系才能真正成为指导安全方案设计和建设的有力依据 WPDRRC安全体系模型 我国863信息安全专家组博采众长推出了WPDRRC安全体系模型 该模型全面涵盖了各个安全因素 突出了人 策略 管理的重要性 反映了各个安全组件之间的内在联系 人 核心政策 包括法律 法规 制度 管理 桥梁技术 落实在WPDRRC六个环节的各个方面 在各个环节中起作用 WPDRRC安全体系模型 WPDRRC安全体系模型 预警 根据以前掌握系统的脆弱性和了解当前的犯罪趋势 预测未来可能受到的攻击和危害 虽然目前Internet是以光速传播的 但攻击过程还是有时间差和空间差 如果只以个人的能力实施保护 结果永远是保障能力小于或等于攻击能力 只有变成举国体制 协作机制 才可能做到保障能力大于等于攻击能力 WPDRRC安全体系模型 保护 采用一切手段保护信息系统的保密性 完整性 可用性 可控性和不可否认性 我国已提出实行计算机信息系统的等级保护问题 应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制 现有技术和产品十分丰富 WPDRRC安全体系模型 检测 利用高技术提供的工具来检查系统存在的 可能提供黑客攻击 病毒泛滥等等的脆弱性 具备相应的技术工具形成动态检测制度建立报告协调机制 WPDRRC安全体系模型 响应 对于危及安全的事件 行为 过程 及时做出响应的处理 杜绝危害进一步扩大 使得系统力求提供正常的服务 通过综合建立起来响应的机制 如报警 跟踪 处理 封堵 隔离 报告 等 提高实时性 形成快速响应的能力 WPDRRC安全