信息安全第一章

1、第一章 信息安全概论 1.1信息安全概念与技术的发展1.2 信息安全管理的地位 1.3 网络攻击简介 1.4 引言：信息社会的挑战1本课程的内容密码学计算机网络操作系统(Windows)计算机病毒程序设计关于信息化信息革命是人类第三次生产力的革命四个现代化，那一化也离不开信息化。江泽民我的信息感受电脑的不断普及露天电影家庭影院银行业务电话的改变邮局业务电子邮件电子商务信息化出现的新问题IT泡沫破裂失业，再就业的起点更高互联网经营模式是什么？网上信息可信度差垃圾电子邮件安全病毒攻击信息安全形式严峻2000年问题总算平安过渡黑客攻击搅得全球不安计算机病毒两年来网上肆虐白领犯罪造成巨大商业损失数字化

2、能力的差距造成世界上不平等竞争信息战阴影威胁数字化和平信息安全事件统计年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756总数47711信息化与国家安全政治 由于信息网络化的发展，已经形成了一个新的思想文化阵地和思想政治斗争的战场。 以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。带有政治性的网上攻击有较大增加过去几年，我们国家的一些政府网站，遭受了四次大的黑客攻击事件。第一次在99年1月

3、份左右，但是美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，世界上各个国家的一些黑客组织，有组织地对我们国家的政府网站进行了攻击。第二次，99年7月份，台湾李登辉提出了两国论。第三次是在2000年5月8号，美国轰炸我国驻南联盟大使馆后。第四次在2001年4月到5月，美机撞毁王伟战机侵入我海南机场信息化与国家安全经济一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪97年20几起，98年142起，99年908起，2000年上半年1420起。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破

4、获和掌握100多起。涉及的金额几个亿。黑客攻击事件造成经济损失2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。“爱虫”病毒1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录信息化与国家安全社会稳定互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子

5、，造成了社会的动荡，三天十万人上街排队，挤提了十个亿。网上治安问题，民事问题，进行人身侮辱。来自上海，四川的举报对社会的影响针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时。造成了几百万的用户无法正常的联络。网上不良信息腐蚀人们灵魂色情资讯业日益猖獗1997年5月进入色情网站浏览的美国人，占了美国网民的28.2%。河南郑州刚刚大专毕业的杨科、何素黄，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站。100多部小说，小电影。不到54天的时间，访问他的人到了30万。网上赌博盛行信息化

6、与国家安全信息战“谁掌握了信息，控制了网络，谁将拥有整个世界。” （美国著名未来学家阿尔温 托尔勒）“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。” （美国总统克林顿）“信息时代的出现，将从根本上改变战争的进行方式。” （美国前陆军参谋长沙利文上将）信息安全和网络安全信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。1.1信息的安全需求（CIA三要素） 保密性（Confidentiality） ：对信息资源开放范围的控制。（数据加密、访问控制

7、、防计算机电磁泄漏等安全措施） 完整性（Integrity ）：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为） 可用性（Availability） ：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。（系统的可用性与保密性之间存在一定的矛盾）信息的可控性：即出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯。信息的不可否认性：即信息的行为人要为自己的信息行为负责，提供保证社会依法管理需要的公证、仲裁信息证据。网络不安全的原因自身缺陷开放性

8、黑客攻击内因 人们的认识能力和实践能力的局限性 系统规模 Windows 3.1 300万行代码 Windows 2000 5000万行代码 Internet从建立开始就缺乏安全的总体构想和设计 TCP/IP协议是在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑网络不安全的原因CERT/CC关于系统漏洞的报告网络不安全的原因网络安全漏洞发展趋势利用漏洞发动攻击的速度加快：Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：5.8天威胁程度不断增加2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险漏洞利用分析人员兴趣的变化Web应用的漏洞越来越多S

9、ymantec统计，2004年上半年公布了479个与Web应用有关的漏洞，占总数的39%网络不安全的原因外因网络不安全的原因Insider（内部人员）威胁必须引起高度重视国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。 信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。单机系统的信息保密阶段网络信息安全阶段信息保障阶段1.2单机系统的信息保密阶段信息保密技术的研究成果：发展各种密码算法及其应用：DES（数据加密标准）、RSA

10、（公开密钥体制）等。计算机信息系统安全模型和安全评价准则网络信息安全阶段该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术：（被动防御）安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则（如CC通用评估准则）。1988年莫里斯蠕虫爆发对网络安全的关注与研究CERT成立信息保障阶段信息保障（IA）概念与思想的提出：20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的

11、信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。信息保障阶段 信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。 在信息保障的概念下，信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。保护检测恢复响应信息保障采用一切手段（主要指静态防护手段）保护信息系统的五大特性。及时恢复系统，使其尽快正常对

12、外提供服务，是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低PDRR安全模型检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击网络攻击简介实施有效的网络攻击必须掌握相应的知识，选择恰当的攻击手段，采用合理的方法与步骤，才能取得预期的效果。1.4网络攻击简介1.4网络攻击简介1.4什么是网络攻击网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻

13、击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。常见的网络攻击手段 阻塞类攻击 控制类攻击 探测类攻击 欺骗类攻击 漏洞类攻击 破坏类攻击注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。阻塞类攻击 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用Inte

14、rnet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。 常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。阻塞类攻击（2/2）DoS攻击的后果： 使目标系统死机； 使端口处于停顿状态； 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件； 扭曲系统的资源状态，使系统的处理速度降低。控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。 口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术

15、和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。 主要包括：扫描技术、体系结构刺探、系统信息服务收集等。 目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。 主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。 漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访