信息安全技术与实施培训教材(共33页).ppt

1、序言序言 随着科学技术的迅猛开展和信息技术的广泛应用，特别是我国国民经济和社随着科学技术的迅猛开展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的根底性、全局性作用日益增强，会信息化进程的全面加快，网络与信息系统的根底性、全局性作用日益增强，信息平安已经成为国家平安的重要组成局部。近年来，在党中央、国务院的信息平安已经成为国家平安的重要组成局部。近年来，在党中央、国务院的领导下，我国信息平安保障工作取得了明显成效，建设了一批信息平安根底领导下，我国信息平安保障工作取得了明显成效，建设了一批信息平安根底设施，加强了互联网信息内容平安管理，为维护国家平安与社会稳

2、定、保障设施，加强了互联网信息内容平安管理，为维护国家平安与社会稳定、保障和促进信息化健康开展发挥了重要作用。和促进信息化健康开展发挥了重要作用。但是，我国信息平安保障工作仍存在一些亟待解决的问题：网络与信息系统但是，我国信息平安保障工作仍存在一些亟待解决的问题：网络与信息系统的防护水平不高，应急处理能力不强；信息平安管理和技术人才缺乏，关键的防护水平不高，应急处理能力不强；信息平安管理和技术人才缺乏，关键技术整体上还比较落后，产业缺乏核心竞争力；信息平安法律法规和标准不技术整体上还比较落后，产业缺乏核心竞争力；信息平安法律法规和标准不完善；全社会的信息平安意识不强，信息平安管理薄弱等。与此同

3、时，网上完善；全社会的信息平安意识不强，信息平安管理薄弱等。与此同时，网上有害信息传播、病毒入侵和网络攻击日趋严重，网络泄密事件屡有发生，网有害信息传播、病毒入侵和网络攻击日趋严重，网络泄密事件屡有发生，网络犯罪呈快速上升趋势，境内外敌对势力针对播送电视卫星、有线电视和地络犯罪呈快速上升趋势，境内外敌对势力针对播送电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖獗，严重面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖獗，严重危害公众利益和国家平安，影响了我国信息化建设的健康开展。随着我国信危害公众利益和国家平安，影响了我国信息化建设的健康开展。随着我国

4、信息化进程的逐步推进，特别是互联网的广泛应用，信息平安还将面临更多新息化进程的逐步推进，特别是互联网的广泛应用，信息平安还将面临更多新的挑战。的挑战。信息平安技术与实施信息平安技术与实施目目 录录物理实体安全与防护物理实体安全与防护 2密码技术与应用密码技术与应用4信息安全概述信息安全概述3 1网络攻击与防范网络攻击与防范3 3数字身份认证数字身份认证3 5目目 录录入侵检测技术与应用入侵检测技术与应用 7操作系统安全防范操作系统安全防范9防火墙技术与应用防火墙技术与应用3 6计算机病毒与防范计算机病毒与防范 3 8无线网络安全与防范无线网络安全与防范 310第第1章章 信息平安概述信息平安概

5、述本章内容本章内容 信息安全信息安全介绍介绍1. 1. 1 1黑客的概念及黑黑客的概念及黑客文化客文化1. 1. 2 2针对信息安全的针对信息安全的攻击攻击1. 1. 3 3网络安全体系网络安全体系1. 1. 4 4信息安全的三个信息安全的三个层次层次1. 1. 5 5引导案例：引导案例： 2021年年1月，法国海军内部计算机系统的月，法国海军内部计算机系统的一台计算机受病毒入侵，迅速扩散到整个一台计算机受病毒入侵，迅速扩散到整个网络，一度不能启动，海军全部战斗机也网络，一度不能启动，海军全部战斗机也因无法因无法“下载飞行指令而停飞两天。仅下载飞行指令而停飞两天。仅仅是法国海军内部计算机系统的

6、时钟停摆，仅是法国海军内部计算机系统的时钟停摆，法国的国家平安就出现了一个偌大的黑洞。法国的国家平安就出现了一个偌大的黑洞。设想，假设一个国家某一系统或领域的计设想，假设一个国家某一系统或领域的计算机网络系统出现问题或瘫痪，这种损失算机网络系统出现问题或瘫痪，这种损失和危害将是不可想象的，而类似的事件不和危害将是不可想象的，而类似的事件不胜枚举。目前，美国政府掌握着信息领域胜枚举。目前，美国政府掌握着信息领域的核心技术，操作系统、数据库、网络交的核心技术，操作系统、数据库、网络交换机的核心技术根本掌握在美国企业的手换机的核心技术根本掌握在美国企业的手中。微软操作系统、思科交换机的交换软中。微软

7、操作系统、思科交换机的交换软件甚至打印机软件中嵌入美国中央情报局件甚至打印机软件中嵌入美国中央情报局的后门软件已经不是秘密，美国在信息技的后门软件已经不是秘密，美国在信息技术研发和信息产品的制造过程中就事先做术研发和信息产品的制造过程中就事先做好了日后对全球进行信息制裁的准备。好了日后对全球进行信息制裁的准备。1.1 信息平安介绍信息平安介绍 随着全球互联网的迅猛开展，越来越多的人亲身体会到了信息化给人们带来的随着全球互联网的迅猛开展，越来越多的人亲身体会到了信息化给人们带来的实实在在的便利与实惠，然后任何事情都有两面性，信息化在给经济带来实惠实实在在的便利与实惠，然后任何事情都有两面性，信息

8、化在给经济带来实惠的同时，也产生了新的威胁。目前的同时，也产生了新的威胁。目前“信息战已经是现代战争克敌制胜的法宝，信息战已经是现代战争克敌制胜的法宝，例如科索沃战争、海湾战争。尤其是美国例如科索沃战争、海湾战争。尤其是美国“9.11事件给世界各国的信息平安事件给世界各国的信息平安问题再次敲响了警钟，因为恐怖组织摧毁的不仅仅是世贸大厦，随之消失的还问题再次敲响了警钟，因为恐怖组织摧毁的不仅仅是世贸大厦，随之消失的还有众多公司的数据。有众多公司的数据。 自自2003年元旦以来，蠕虫病毒年元旦以来，蠕虫病毒“冲击波对全球范围内的互联网发起了不同程冲击波对全球范围内的互联网发起了不同程度的攻击，制造

9、了一场规模空前的互联网度的攻击，制造了一场规模空前的互联网“网瘫灾难事件。迄今为止，许多网瘫灾难事件。迄今为止，许多组织、单位、实体仍然没有完全走出组织、单位、实体仍然没有完全走出“冲击波和冲击波和“震荡波的阴影，而震荡波的阴影，而2007年的年的“熊猫烧香又给互联网用户留下了深刻印象。计算机攻击事件正以每年熊猫烧香又给互联网用户留下了深刻印象。计算机攻击事件正以每年64%的速度增加。另据统计，全球约的速度增加。另据统计，全球约20秒钟就有一次计算机入侵事件发生，秒钟就有一次计算机入侵事件发生，Internet上的网络防火墙约上的网络防火墙约1/4被突破，约有被突破，约有70%以上的网络信息主

10、管人员报告以上的网络信息主管人员报告因机密信息泄露而受到了损失。因机密信息泄露而受到了损失。 信息平安涉及计算机科学、网络技术、通信技术、密码技术、信息平安技术、信息平安涉及计算机科学、网络技术、通信技术、密码技术、信息平安技术、应用数学、数论、信息论等多种学科。由于目前信息的网络化，信息平安主要应用数学、数论、信息论等多种学科。由于目前信息的网络化，信息平安主要表现在网络平安上，所以目前将网络平安与信息平安等同起来不加严格区表现在网络平安上，所以目前将网络平安与信息平安等同起来不加严格区分。实际上，叫信息平安比较全面、科学。分。实际上，叫信息平安比较全面、科学。信息平安问题已引起了各国政府的

11、高度重视，建立了专门的机构，并出台了相关信息平安问题已引起了各国政府的高度重视，建立了专门的机构，并出台了相关标准与法规。标准与法规。1.1.1 信息平安的概念信息平安的概念 信息平安的概念是随着计算机化、网络化、信息化的逐步开展提出来的。当信息平安的概念是随着计算机化、网络化、信息化的逐步开展提出来的。当前对信息平安的说法比较多，计算机平安、计算机信息系统平安、网络平安、前对信息平安的说法比较多，计算机平安、计算机信息系统平安、网络平安、信息平安的叫法同时并存事实上有区别，各自的侧重点不同。信息平安的叫法同时并存事实上有区别，各自的侧重点不同。 ISO对计算机系统平安的定义为：为数据处理系统

12、建立和采用的技术和管理的对计算机系统平安的定义为：为数据处理系统建立和采用的技术和管理的平安保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、平安保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。更改和泄露。计算机网络平安的概念：通过采用各种技术和管理措施，使网络系统正常运行，计算机网络平安的概念：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。从而确保网络数据的可用性、完整性和保密性。建立网络平安保护措施的目的：建立网络平安保护措施的目的： 确保经过网络传输和交换的数据不会发生增加、修改、丧失和泄露等。确保经过网络

13、传输和交换的数据不会发生增加、修改、丧失和泄露等。针对信息平安，目前没有公认的定义。美国国家平安电信和信息系统平安委员针对信息平安，目前没有公认的定义。美国国家平安电信和信息系统平安委员会会NSTISSC对信息平安做如下定义：信息平安是对信息、系统以及使对信息平安做如下定义：信息平安是对信息、系统以及使用、存储和传输信息的硬件的保护。用、存储和传输信息的硬件的保护。信息平安涉及个人权益、企业生存、金融风险防范、社会稳定和国家平安，它信息平安涉及个人权益、企业生存、金融风险防范、社会稳定和国家平安，它是物理平安、网络平安、数据平安、信息内容平安、信息根底设施平安、国是物理平安、网络平安、数据平安

14、、信息内容平安、信息根底设施平安、国家信息平安的总和。家信息平安的总和。1.1.2 信息平安的内容信息平安的内容 物物理理安安全全1防静电防盗防雷击防火防电磁泄漏2用户身份认证访问控制加密平安管理逻逻辑辑安安全全操操作作系系统统安安全全3联联网网安安全全4访问控制效劳通信平安效劳1.物理平安物理平安 物理平安是指用来保护计算机网络中的传输介质、物理平安是指用来保护计算机网络中的传输介质、网络设备、机房设施平安的各种装置与管理手段。网络设备、机房设施平安的各种装置与管理手段。包括：防盗、防火、防静电、防雷击和防电磁泄包括：防盗、防火、防静电、防雷击和防电磁泄露等。露等。 物理上的平安威胁主要涉及

15、对计算机或人员的访物理上的平安威胁主要涉及对计算机或人员的访问。策略和多，如将计算机系统和关键设备布置问。策略和多，如将计算机系统和关键设备布置在一个平安的环境中，销毁不再使用的敏感文档，在一个平安的环境中，销毁不再使用的敏感文档，保持密码和身份认证部件的平安性，锁住便携式保持密码和身份认证部件的平安性，锁住便携式设备等。物理平安更多的是依赖于行政的干预手设备等。物理平安更多的是依赖于行政的干预手段并结合相关技术。如果没有根底的物理保护，段并结合相关技术。如果没有根底的物理保护，物理平安是不可能实现的。物理平安是不可能实现的。2.网络平安计算机网络的逻辑平安主要通过用户身份认证、访问控制、加密

16、、平安管理等方法来实现。1用户身份认证。身份证明是所有平安系统不可或缺的一个组件。它是区别授权用户和入侵者的唯一方法。为了实现对信息资源的保护，并知道何人试图获取网络资源的访问权，任何网络资源拥有者都必须对用户进行身份认证。2访问控制。访问控制是制约拥护连接特定网络、计算机与应用程序，获取特定类型数据流量的能力。访问控制系统一般针对网络资源进行平安控制区域划分，实施区域防御的策略。在区域的物理边界或逻辑边界使用一个许可或拒绝访问的集中控制点。3加密。即使访问控制和身份验证系统完全有效，在数据信息通过网络传送时，企业仍然可能面临被窃听的风险。事实上，低本钱和连接的简单性已使Internet成为企

17、业内和企业间通信的一个极为诱人的媒介。同时，无线网络的广泛使用也在进一步加大网络数据被窃听的风险。加密技术用于针对窃听提供保护，它通过信息只能被具有解密数据所需密钥的人员读取来提供信息的平安保护。它与第三方是否通过Internet截取数据包无关，因为数据即使在网络上被第三方截取，它也无法获取信息的本义。这种方法可在整个企业网络中使用，包括在企业内部内部网、企业之间外部网或通过公共Internet在虚拟专用网VPN中传送私人数据。加密技术主要包括对称式和非对称式两种，都有许多不同的密钥算法来实现。4平安管理。平安系统应当允许由授权人进行监视和控制。使用验证的任何系统都需要某种集中授权来验证这些身

18、份，而无论它是UNIX主机、Windows NT域控制器还是Novell Directory SerrvicesNDS效劳器上的/etc/passwd文件。由于能查看历史记录，如突破防火墙的屡次失败尝试，平安系统可以为那些负责保护信息资源的人员提供珍贵的信息。一些更新的平安标准，如IPSEC，需要包含策略规那么数据库。要使系统正确运行，就必须管理所有这些要素。但是，管理控制台本身也是平安系统的另一个潜在故障点。因此，必须确保这些系统在物理上得到平安保护，请确保对管理控制台的任何登录进行验证。3.操作系统平安。 计算机操作系统担负着庞大的资源管理，频繁的输入输出控制以及不可间断的用户与操作系统之

19、间的通信任务。由于操作系统具有一权独大的特点，所有针对计算机和网络的入侵及非法访问都是以攫取操作系统的最高权限作为入侵的目的。因此，操作系统平安的内容就是采用各种技术手段和采用合理的平安策略，降低系统的脆弱性。与过去相比，如今的操作系统性能更先进、功能更丰富，因而对使用者来说更便利，但是也增加了平安漏洞。要减少操作系统的平安漏洞，需要对操作系统予以合理配置、管理和监控。做到这点的秘诀在于集中、自动管理机构企业内部的操作系统平安，而不是分散、人工管理每台计算机。实际上，如果不集中管理操作系统平安，相应的本钱和风险就会非常高。目前所知道的平安入侵事件，一半以上缘于操作系统根本没有合理配置，或者没有

20、经常核查及监控。操作系统都是以默认平安设置类配置的，因而极容易受到攻击。 那些人工更改了效劳器平安配置的用户，把技术支持部门的资源都过多地消耗于帮助用户处理口令查询上，而不是处理更重要的网络问题。考虑到这些弊端，许多管理员任由效劳器操作系统以默认状态运行。这样一来，效劳器可以马上投入运行，但却大大增大了平安风险。现有技术可以减轻管理负担。要加强机构企业网络内操作系统的平安，需要做到以下三方面：首先对网络上的效劳器进行配置应该在一个地方进行，大多数用户大概需要数十种不同的配置。然后，这些配置文件的一个镜像或一组镜像在软件的帮助下可以通过网络下载。软件能够自动管理下载过程，不需要为每台效劳器手工下

21、载。此外，即使有些重要的配置文件，也不应该让本地管理员对每台效劳器分别配置，最好的方法就是一次性全部设定。一旦网络配置完毕，管理员就要核实平安策略的执行情况，定义用户访问权限，确保所有配置正确无误。管理员可以在网络上运行或远程运行代理程序，不断监控每台效劳器。代理程序不会干扰正常操作。其次，帐户需要加以集中管理，以控制对网络的访问，并且确保用户拥有合理访问机构资源的权限。策略、规那么和决策应在一个地方进行，而不是在每台计算机上进行，然后为用户系统配置合理的身份和许可权。身份生命周期管理程序可以自动管理这一过程，减少手工过程带来的麻烦。 最后，操作系统应该配置成能够轻松、高效地监控网络活动，可以

22、显示谁在进行连接，谁断开了连接，以及发现来自操作系统的潜在平安事件。1.1.3 网络平安策略网络平安策略平安策略是针对网络和系统的平安需要，做出允许什么、禁止什么的规定，通常可以使用数学方式来表达策略，将其表示为允许平安的或不允许不平安的的状态列表。为到达这个目的，可假设任何给定的策略能对平安状态和非平安状态做出公理化描述。实践中，策略极少会如此精确，网络使用文本语言描述什么是用户或系统允许做的事情。这种描述的内在歧义性导致某些状态既不能归于“允许一类，也不能归于“不允许一类，因此制定平安策略时，需要注意此类问题。因此平安策略是指在一个特定的环境里，为提供一定级别的平安保护所必须遵守的规那么。

23、1.物理平安策略目的是保护计算机系统、网络效劳器、打印机等硬件实体和通信链路免受自然灾害、认为破坏、搭线攻击，验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的平安管理制度，防止非法进入计算机控制室和各种盗窃、破坏活动的发生。抑止和防止电磁泄露，即Tempest技术，是物理平安策略的一个主要问题。目前主要防护措施有两类：一类是传导发射的保护，主要采取对电源线和信息线加装性能良好的滤波器，减少传输阻抗和导线间的交叉耦合；另一类是对辐射的防护。2.访问控制策略访问控制是网络平安防范和保护的主要策略，主要任务是保证网络资源不被非法使用和访问，它是维护网

24、络平安、保护网络资源的重要手段。各种平安策略必须相互配合才能真正起到保护作用，可以说访问控制是保证网络平安的核心策略之一。1入网访问控制。为网络访问提供了第一层访问控制，它是用来控制哪些用户能够登录到效劳器并获取网络资源，控制准许用户入网的时间和准许在哪个工作站入网。用户的入网访问控制可分为3个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的默认限制检查。只要3道关卡中有任何一关未过，该用户便不能进入该网络。2网络权限控制。是针对网络非法操作所提出的一种平安保护措施。用户和用户组被赋予一定的权限。用户组可以访问哪些目录、子目录、文件和其他资源，指定用户对这些文件、目录、设备执行哪些操

25、作。根据访问可以将用户分为特殊用户系统管理员、一般用户，审计用户负责网络的平安控制与资源使用情况的审计3类。用户对网络资源的访问权限可以用一个访问控制表来描述。1.1.4 信息平安的要素信息平安的要素虽然网络平安同单个计算机平安在目标上并没有本质区别，但是由于网络环境的复杂性，网络平安比单个计算机平安要复杂得多。P5。第一，网络资源的共享范围更加宽泛，难以控制。第二，网络支持多种操作系统，平安管理和控制更为困难。第三，网络的扩大使网络的边界和网络用户群变的不确定，比单机困难的多。第四，单机用户可以从自己的计算机中直接获取敏感数据。第五，由于网络路由选择的不固定性，很难确保网络信息在一条平安通道

26、上传输。 保证计算机网络的平安，就是要保护网络信息在存储和传输过程中的可用性、机密性、完整性、可控性和不可抵赖性。 P5。1可用性。是指得到授权的实体在需要时可以得到所需要的网络资源和效劳。2机密性。机密性是指网络中的信息不被非授权实体包括用户和进程等获取与使用。这些信息不仅指国家机密，也包括企业和社会团体的商业秘密和工作秘密，还包括个人的秘密如银行账号和个人隐私如邮件、浏览习惯等。网络在人们生活中的广泛使用，使人们对网络机密性的要求提高。用于保障网络机密性的主要技术是密码技术。在网络的不同层次上有不同的机制来保障机密性。在物理层上，主要是采取电磁屏蔽技术、干扰及跳频技术来防止电磁辐射造成的信

27、息外泄：在网络层、传输层及应用层主要采用加密、路由控制、访问控制、审计等方法来保证信息的机密性。3完整性。完整性是指网络信息的真实可信性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。只有具有修改权限的实体才能修改信息，如果信息被未经授权的实体修改了或在传输过程中出现了错误，信息的使用者应能够通过一定的方式判断出信息是否真实可靠。4可控性。是控制授权范围内的信息流向和行为方式的特性，如对信息的访问、传播及内容具有控制能力。首先，系统要能够控制谁能够访问系统或网络上的数据，以及如何访问，即是否可以修改数据还是只能读取数据。这要通过采用访问控制

28、等授权方法来实现。其次，即使拥有合法的授权，系统仍需要对网络上的用户进行验证。通过握手协议和口令进行身份验证，以确保他确实是所声称的那个人。最后，系统还要将用户的所有网络活动记录在案，包括网络中计算机的使用时间、敏感操作和违法操作等，为系统进行事故原因查询、定位，事故发生前的预测、报警，以及为事故发生后的实时处理提供详细、可靠的依据或支持。审计对用户的正常操作也有记载，可以实现统计、计费等功能，而且有些诸如修改数据的“正常操作恰恰是攻击系统的非法操作，同样需要加以警惕。5不可抵赖性。也称为不可否认性。是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖。即发送者不能抵赖他发送过消息和

29、消息内容，而接收者也不能抵赖其接收到消息的事实和内容。 1.2 黑客的概念及黑客文化黑客的概念及黑客文化1.2.1 黑客的概念及起源P6-71.黑客(hacker)：对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并公开他们的发现，与其他人分享；主观上没有破坏数据的企图。“黑帽子黑客，“白帽子黑客，“灰帽子黑客。现在“黑客一词在信息平安范畴内的普遍含意是特指对电脑系统的非法侵入者。2.骇客cracker：以破坏系统为目标。 是hacker的一个分支，开展到现在，也有“黑帽子黑客3.红客honker：中国的一些黑客自称“红客h

30、onker。例如中国红客基地。美国警方：把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。4.怎样才算一名黑客：1.2.2 黑客文化P81.黑客行为1不随便进行攻击行为。2公开自己的作品。3帮助其他黑客。4义务地做一些力所能及的事情。2.黑客精神1自由共享精神。2探索与创新精神3合作精神3.黑客准那么P81不恶意破坏任何系统。2不修改任何系统文件。3不轻易地将要黑的或黑过的站点告诉别人，不炫耀自己的技术。4不入侵或破坏政府机关的主机等。5做真正的黑客，努力钻研技术，研究各种漏洞。1.2.3 如何成为一名黑客P91.黑客必备的根本技能1精通程序设计。2熟练掌握各种操作系统。

31、3熟悉互联网与网络编程。2.如何学习黑客技术1浓厚的兴趣。2切忌急躁，耐的住寂寞3多动手实践4尝试屡次失败1.3 针对信息平安的攻击针对信息平安的攻击P10 在正常情况下，有一个信息流从一个信源(例如一个文件或主存储器的一个区域)流到一个目的地例如另一个文件或一个用户时，它的信息流动是这样的：当产生攻击时，有以下4种情况:上述4种情况又可以按照攻击的主动性来分为两类：主动攻击主动攻击和被被动攻击。动攻击。 1.3.1 被动攻击P10 本质上是在传输中的窃听或监视，其目的是从传输中获得信息。类被动攻击：析出消息内容和通信量分析。1.3.2 主动攻击P11攻击的第二种类型进一步划分为四类：伪装、重放、篡改消息和拒绝效劳。主动攻击表现了与被