第1章 信息安全基础

信息安全技术 李骋cclicheng第一章信息安全基础 第一节信息安全概述第二节信息安全状况第三节信息安全技术简介 第一节信息安全概述 一 信息安全的定义1 安全的定义安全的定义是 远离危险的状态或特性 为防范间谍活动或蓄意破坏 犯罪 攻击或逃跑而采取的措施 2 计算机安全国际标准化组织 ISO 将 计算机安全 定义为 为数据处理系统建立和采取的技术和管理的安全保护 保护计算机硬件 软件数据不因偶然和恶意的原因而遭到破坏 更改和泄露 第一节信息安全概述 一 信息安全的定义3网络安全的根本目的就是防止通过计算机网络传输的信息被非法使用 如果国家信息网络上的数据遭到窃取 更改或破坏 那么它必将关系到国家的主权和声誉 社会的繁荣和稳定 民族文化的继承和发扬等一系列重要问题 从企业和个人的用户角度来看 涉及个人隐私或商业利益的信息在网络上传输时 其保密性 完整性和真实性也应受到应有的关注 避免其他人或商业对手利用窃听 冒充 篡改 抵赖等手段侵犯用户的利益和隐私 造成用户资料的非授权访问和破坏 第一节信息安全概述 一 信息安全的定义3 信息安全国际标准化组织ISO已明确将信息安全定义为 信息的完整性 可用性 保密性和可靠性 信息安全是指提供信息和信息系统的机密性 完整性 可用性 可靠性和抗抵赖性 从而使信息和信息系统免遭未授权的访问 使用 泄露 干预 修改 重放和破坏 并保证使用和操作信息以及信息系统的任何实体的身份不被假冒或欺骗 实体的来源与行为可被唯一跟踪和不可抵赖 第一节信息安全概述 二 信息安全的内容信息安全的内容应包括两方面 即物理安全 运行安全 管理和策略三个方面 物理安全指保护计算机设备 网络以及其他设施免遭地震 水灾 火灾 有害气体和其他环境事故 如电磁污染等 破坏的措施 过程 它包括环境安全 设备安全和媒体安全三个方面 环境安全指对计算机网络信息系统所在环境的安全保护 设备安全指对计算机网络信息系统设备的安全保护 包括设备的防盗 防毁 电源保护 防止电源泄漏等 媒体安全指对存储介质的安全管理 目地是保护存储在介质中的信息 第一节信息安全概述 运行安全提供一套安全措施来保护信息处理过程的安全 其目地是保障系统功能的安全实现 运行安全的范围很广泛 包括访问控制 加密 鉴别 病毒防护 操作系统安全 数据库安全 网络安全 备份与恢复 应急 风险分析 审计跟踪等各方面 第一节信息安全概述 访问控制是保证外部用户或内部用户对系统资源的访问以及对敏感信息访问方式符合组织安全策略 包括出入控制和存取控制 鉴别包括身份鉴别和信息鉴别 身份鉴别是提供对信息收发方真实身份的鉴别 信息鉴别是提供对信息正确性 完整性和不可否认性的鉴别 第一节信息安全概述 管理和策略通过一些规章制度和教育来保障网络信息系统的特殊技术 包括安全立法 安全教育 员工筛选和综合管理 设置安全管理中心 实施统一分层和统一管理 第一节信息安全概述 三 信息安全的目标网络安全的目标是保护信息的保密性 完整性 可用性 抗否认性和可靠性 保密性指信息不泄漏给非授权用户 不被非法利用 即使非授权用户得到信息也无法知晓信息的内容 保密性通常通过访问控制阻止非授权用户获得机密信息 通过加密技术阻止非授权用户获知信息内容 1 人们使用口令对进入系统的用户进行身份鉴别 非法用户没有口令就 进不来 这就保证了信息系统的机密性 2 即使攻击者破解了口令 而进入系统 加密机制也会使得他们 看不懂 关键信息 第一节信息安全概述 完整性 信息完整性一方面指信息在生成 传输 存储和使用过程中不被篡改丢失 缺损等 另一方面是指信息处理方法的正确性 不正当的操作 如误删文件 有可能造成重要信息丢失 使用加密机制 可以保证信息系统的完整性 攻击者无法对加密信息进行修改或者复制 使用数字签名技术来检测信息是否在发送过程中被篡改 第一节信息安全概述 可用性可用性是指得到授权的实体在需要时可以得到所需要的网络资源和服务 这是指信息或者信息系统可被合法用户访问 并按其要求运行的特性 技术措施或网络安全设备 1 使用防火墙 把攻击者阻挡在网络外部 让他们 进不来 2 即使攻击者进入了网络内部 由于有加密机制 会使他们 改不了 和 拿不走 关键信息和资源 第一节信息安全概述 不可否认性不可否认性是保证用户无法在事后否认曾对信息进行生成 签发 接收等行为 例如接受者不能否认收到消息 发送者也不能否认发送过消息 如果攻击者进行了非法操作 系统管理员使用审计机制或签名机制也可让他们无处遁形 一般使用数字签名和证书机制来保证不可否认性 第一节信息安全概述 可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性 可靠性包括 硬件可靠性 软件可靠性 通讯可靠性 人员可靠性 环境可靠性 第一节信息安全概述 信息安全的目标 第一节信息安全概述 四 信息安全问题产生的原因Internet是一个开放式的网络 不属于任何组织或国家 任何组织或个人都可以无拘无束地上网 整个网络处于半透明状态运行 完全依靠用户自觉维护与运行 它的发展几乎是在无组织的自由状态下进行的 到目前为止 世界范围内还没有出台一个完善的法律和管理体系来对其发展加以规范和引导 因此 它是一个无主管的自由 王国 容易受到攻击 第一节信息安全概述 四 信息安全问题产生的原因Internet的自身结构也决定了其必然具有脆弱的一面 当初构建计算机网络的目的是实现将信息通过网络从一台计算机传到另一台计算机上 而信息在传输过程中要通过多个网络设备 从这些网络设备上都能不同程度地截获信息 因此 网络本身的松散结构就加大了对它进行有效管理的难度 第一节信息安全概述 四 信息安全问题产生的原因从计算机技术的角度来看 网络是软件与硬件的结合体 而从目前的网络应用情况来看 每个网络上都有一些自行开发的应用软件在运行 这些软件由于自身不完备或是开发工具不成熟 在运行中很有可能导致网络服务不正常或造成网络瘫痪 网络还有较为复杂的设备和协议 保证复杂系统没有缺陷和漏洞是不可能的 同时 网络的地域分布使安全管理难于顾及网络连接的各个角落 因此没有人能证明网络是安全的 第一节信息安全概述 五 信息安全威胁分析1 什么是信息安全威胁安全威胁是对安全的一种潜在的侵害 威胁的实施称为攻击 网络安全所面临的威胁主要可分为两大类 一是对网络中信息的威胁 二是对网络中设备的威胁 从形式上 自然灾害 意外事故 计算机犯罪 人为行为 黑客 行为 内部泄露 外部泄密 信息丢失 电子谍报 信息战 网络协议中的缺陷等等 都是威胁网络安全的重要因素 从人的因素考虑 影响网络安全的因素还存在着人为和非人为的两种情况 第一节信息安全概述 四 信息安全威胁分析2 威胁的种类危害计算机网络安全的因素分自然和人为两类 自然因素包括温度 湿度 灰尘 雷击 静电 水灾 火灾 地震 空气污染和设备故障等因素人为因素又有无意和故意之分 例如由于误操作删除了数据的疏忽和过失 而人为故意的破坏如黑客行为 第一节信息安全概述 四 信息安全威胁分析2 威胁的种类 第一节信息安全概述 五 信息安全威胁分析3 威胁的表现形式及攻击手段目前我国信息系统面临的安全威胁主要有 不良信息的入侵和污染 黑客和计算机犯罪 信息间谍的潜入 信息战 计算机病毒 机要信息的扩散 信息网络的脆弱性 信息系统装备过分依赖国外产品 第一节信息安全概述 五 信息安全威胁分析3 威胁的表现形式及攻击手段攻击的表现形式包括 物理破坏 窃听 数据阻断攻击 数据篡改攻击 数据伪造攻击 数据重放攻击 盗用口令攻击 中间人攻击 缓冲区溢出攻击 分发攻击 野蛮攻击 SQL注入攻击 计算机病毒 蠕虫 后门攻击 欺骗攻击 拒绝服务攻击 特洛伊木马等 第一节信息安全概述 五 信息安全威胁分析4 威胁评估在设计一个安全系统之前 应该明确哪些具体威胁需要保护措施来对付 称为威胁评估 关于威胁评估的范围包括 该系统的薄弱环节 利用这些薄弱环节进行威胁的可能性 评估每种威胁实施成功的后果 评估每种攻击的代价 估算可能的应付措施的费用 选取恰当的安全机制 使用价值效益分析 第二节信息安全状况 一 国际信息安全状况1 美国世界发达国家的信息安全产业的开发投入 一般占整个信息产业产值的5 左右 美国政府明确规定 必须将信息系统开发和建设总费用的10 以上 用于信息系统安全的建设 1998年12月 以美国为首的33个发达国家联合签署了瓦瑟纳尔协议 该协议以控制军备为理由 对较为先进的密码技术和设备严格控制外流 其中 中国被列入最严格限制的国家和地区名单内 第二节信息安全状况 一 国际信息安全状况1 美国2008年2月28日 美国总统布什开新闻发布会要求美通信部门协助政府对国际长途电话 电子邮件等实施拦截与侦听 统计表明 全球1 10的电话通话被美国侦听 尤其中国 俄罗斯是重点侦听对象 美国夏威夷库尼亚侦听站拥有二千余名情报人员 专门开展对华侦听活动 目前 尽管有重重防护 美国每年由于网络信息安全问题而遭受的经济损失仍超过170亿美元 第二节信息安全状况 一 国际信息安全状况1 美国美国历年被攻击的情况 引自ComputerEmergenceResponseTeam CERT 美国卡内基梅隆大学计算机安全应急响应组 第二节信息安全状况 一 国际信息安全状况2 欧洲瑞士一直把 加密机 产业作为其信息安全的支柱产于予以重点扶持 法国多次修改密码政策 在欧共体框架内进行合作 共同抵制美国的密码政策 法国每年因网络安全问题而遭受的经济损失高达100亿法郎 德 英等国因网络安全的经济损失达数十亿美元 均强化对加密产品的研制 第二节信息安全状况 一 国际信息安全状况3 中国中国被列入信息安全防护能力最低的国家之一 近年来 与网络有关的各类违法行为以每年30 的速度递增 而且有33 的组织不知道自己是否受到损害 中国信息化建设所需的设备主要靠进口 引进的设备中的核心芯片和系统内核逻辑编程都掌握在他人之手 无法保证安全利用和有效监控 有些信息安全设备也只是国外低级别的安全产品 国家权威机构研究揭示这些产品存在着许多缺陷 并且有情报机构埋伏安全陷阱的可能 江苏省靖江市委员会网站被黑2004 10 25 湖南省通信管理局网站被黑2004 10 24 江门新会人大信息网站被添加副页2006 2 24 湘西自治州政府网站被添加副页2006 2 25 曾经被美国黑客入侵的河北医科大学网站 清华大学网站被黑黑客捏造新闻报道北京晨报8月27日报导 继清华新闻网被黑之后 北大新闻网2008 09 26晚也被黑客攻破 黑客冒用校长许智宏名义通过对清华新闻网被黑事件发布对中国教育体制发表看法 第二节信息安全状况 二 国内信息安全状况2008年5月 公安部公共信息网络安全监察局举办了2008年度信息网络安全状况与计算机病毒疫情调查活动 调查内容为2007年5月至2008年5月我国联网单位发生网络安全事件以及计算机用户感染病毒情况 活动采用网上在线调查形式 在国家计算机病毒应急处理中心 国家反计算机入侵和防病毒研究中心 新浪网三家网站开设了在线调查栏目 各省区市公安厅 局公共信息网络安全监察部门组织本地重要信息系统管理和使用单位 互联网服务单位参加了网上调查 第二节信息安全状况 二 国内信息安全状况本次共有12000余家信息网络使用单位和计算机用户参加了调查活动 调查结果显示 我国信息网络安全事件发生比例继前3年连续增长后 今年略有下降 信息网络安全事件发生比例为62 7 比去年下降了3 计算机病毒感染率也出现下降 为85 5 比去年减少了6 奥运期间 全国互联网安全状况基本平稳 未出现重大网络安全事件 第二节信息安全状况 1 信息网络安全状况 1 信息网络使用情况被调查单位中 电信 互联网和信息技术单位占25 政府部门占18 教育科研单位占9 信息网络接入互联网的占88 38 同比增加2 继续呈增长态势 信息网络主要用于办公应用 互联网信息和上网服务 WindowsXP是使用最广的操作系统 第二节信息安全状况 1 信息网络安全状况 2 网络安全事件情况2007年5月至2008年5月 62 7 的被调查单位发生过信息网络安全事件 比去年减少3 感染计算机病毒 蠕虫和木马程序的情况依然最为突出 其次是网络攻击 端口扫描 垃圾邮件和网页篡改 第二节信息安全状况 1 信息网络安全状况 2 网络安全事件情况在发生的安全事件中 攻击或传播源涉及内部人员的达到54 比去年激增了15 涉及外部人员的却锐减了18 网络 系统 管理员通过技术监测发现网络安全事件的占66 28 比去年增加了约13 成为主要发现手段 说明网络 系统 管理员安全技术水平有所提高 未修补或防范软件漏洞仍然是导致安全事件发生的最主要原因 54 63 比去年上升5 第二节信息安全状况 2 计算机病毒疫情状况 1 我国计算机用户病毒感染情况调查期间计算机病毒感染率为85 5 同比下降了6 多次感染病毒的比率为66 8 同比略有上升 2007年5月至2008年9月 全国没有爆发大范围传播计算机病毒疫情 调查期间 发现的新病毒和木马有 AV终结者 机器狗 磁碟机 等 它们都具有对抗杀毒软件和下载木马的功能 可以通过ARP欺骗 利用可移动存储介质 网页挂马 感染EXE文件等方式传播 盗取用户网游帐号 网银帐号 QQ号 MSN帐号等个人信息 第二节信息安全状况 2 计算机病毒疫情状况 2 计算机病毒造成的损失情况调查结果显示 目前计算机病毒造成的主要损失是网络 系统 使用受限或无法使用 数据受损或丢失 浏览器配置被修改 密码被盗 其中密码被盗占18 7 同比增加了4 5 盗取密码的病毒木马有 网游大盗 AV终结者 磁碟机 机器狗 等 第二节信息安全状况 2 计算机病毒疫情状况 2 计算机病毒造成的损失情况 第二节信息安全状况 2 计算机病毒疫情状况 3 我国计算机用户感染病毒的主要途径当前计算机用户感染病毒的主要途径是网络浏览下载和移动存储介质等 其中通过移动存储介质感染的比例同比下降了14 说明计算机用户防范移动存储介质传播病毒的意识有所增强 但通过网络浏览下载感染病毒的比例大幅上升 增加了44 主要原因是互联网站被大量 挂马 第二节信息安全状况 2 计