信息系统攻击与防御(第一章)

1、信息系统攻击与防御王绍斌 王昭顺 编著电子工业出版社 写在前面的话现在，没有一个人可以离开网络，网络改变了社会经济结构、价值观念、生活方式，形成了全新的社会生活空间。网络信息安全与每一个人的生活密切相关！信息窃取和盗用、信息欺诈和勒索、信息攻击和破坏、信息污染和滥用等各种信息犯罪活动频频发生，给国家安全、知识产权以及个人信息权等带来了巨大的威胁，并日益成为困扰人们现代生活的又一新问题！研究信息系统安全与攻防是每一个信息安全专业学生的责任与义务！信息安全的重要性 社会信息化提升了信息的地位社会对信息技术的依赖性增强虚拟的网络财富日益增长信息安全已成为社会的焦点问题内容简介 从攻击的角度去研究防御

2、，介绍了攻击和防御应具备的基本基础，并通过现实中的入侵实例，将攻击和防御按照数据库、操作系统和网络三个方面进行归类，采用攻击和防御分开阐述的结构，全面介绍了攻击和防御思想、方法、技术和大量实例，还介绍了信息安全相关的法律法规、研究机构和相关网站。 本书的思想和结构 本书强调从进攻的角度研究防御，从实践出发，由实践上升到理论，再由理论指导实践，培养信息安全专业学生信息安全的理论功底、实际动手能力，使学生能够从入门到学会主动思考信息安全的进攻思想和防御思想，能运用进攻和防御手段分析和解决一些实际问题。 全书共有四个部分 课程基本结构 第一部分：信息安全的相关基础知识 第一章：绪论 第二章：网络攻防

3、基础知识 第二部分：攻击 第三章：攻击概述 第四章：针对数据库的攻击 第五章：针对操作系统的攻击 第六章：针对网络的攻击 第七章：综合攻击 第三部分：防御 第八章：防御概述 第九章：安全防御方法 第十章：安全相关专题介绍 第四部分：信息安全的相关资源 第十一章：信息安全相关法律法规 第十二章：网站及相关研究机构介绍 如何学习使用本书 本书适合信息安全专业及其相关专业高年级本科生和研究生阅读，也可以供信息安全研究机构和培训机构参考。有一定网络基础和黑客知识基础的读者可以直接从第二部分开始阅读。在阅读的时候可以每看完一种攻击手法后在第三部分找到相应的防范措施，这样更有助于理解攻击和防范的思想。本书

4、的实际例子只是为了阐述攻击和防御原理，在实际的攻防体系当中，读者要学会灵活变通，在掌握了这些攻击和防御的原理后，遇到实际问题时，希望读者能具体问题具体分析，也只有在不断地实践训练过程中才能真正理解信息系统的攻防思想原理。主要学习用书及参考书信息系统攻击与防御王绍斌、王昭顺编著电子工业出版社应用密码学协议、算法与C源程序2nd,Bruce Schneier著，吴世忠等译应用密码学手册 胡磊、王鹏等译 电子工业出版社计算机密码学卢开澄著（第三版） 清华出版社应用密码学 胡向东等编著 电子工业出版社应用密码学 孙淑玲等著 清华大学出版社现代密码学 陈鲁生著，科学出版社密码学教程 张福泰等著 武汉大学

5、出版社 现代密码学基础 章照止等著，北京邮电大学出版社课程目标了解网络与信息系统攻防的基本概念和基本原理 掌握攻击与防御的思想、方法、技术理解攻击与防御的实际应用实例和工具应注意的问题考核方式 平时上课（20%） 专题研究与实践（20%） 期末考试：闭卷（60%）攻击与防御是一门实践性较强的学科。定位这门课要恰当。专题研究与实践说明分学习研究小组进行专题研究、实验、报告：1、针对数据库的攻击与防御专题研究（注入攻击、弱口令攻击，等等）2、针对网络的攻击与防御专题研究（跨站攻击、DOS攻击，等等）3、针对操作系统的攻击与防御专题研究（溢出攻击、针对系统的其他攻击等）4、其它攻击与防御专题研究（木

6、马、病毒、恶意程序等）注意：开课2周确定兴趣小组、选定题目；利用课余时间研究，课程进行到2/3时，各小组开始作专题报告。评分原则：组长、报告人：1520分；主要参与人（说明主要贡献和参与内容、环节）：1015分；其它参与人：510分。没有参与研究与实践5分第一部分：信息安全的相关基础知识第一章：绪论第二章：网络攻防基础知识 第一章：绪论 内容简介：首先用大量的事实说明了信息时代面临的问题及其严重性，然后详细介绍了信息安全相关的基本概念、定义、内涵、信息安全国际标准及组织，以及国内外信息攻防研究的现状，计算机系统面临的威胁和脆弱性，最后对各种网络威胁作了简要介绍。学习要求：希望通过本章的学习使读

7、者对信息安全的概念和内涵有一个较为全面的了解。 1.1 信息时代面临的问题信息技术的普及与发展已把人类社会推向了网络化的时代，这不仅改变了长期以来我们既有的社会经济结构，而且改变了我们的价值观念和社会生活方式，形成了全新的社会生活空间。信息窃取和盗用、信息欺诈和勒索、信息攻击和破坏、信息污染和滥用等各种信息犯罪活动频频发生，给国家安全、知识产权以及个人信息权等带来了巨大的威胁，并日益成为困扰人们现代生活的又一新问题，为此引起了社会各界的极大忧虑和广泛关注。 1.1.1历史上的十大黑客事件（1）20世纪90年代早期，Kevin Mitnick，诺基亚(Nokia)，富士通(Fujitsu)，摩托

8、罗拉(Motorola)，和 Sun Microsystems等的电脑系统都曾被他光顾过。1995年他被FBI逮捕，于2000年获得假释。（2）2002年11月，伦敦人Gary McKinnon于2002年11月间在英国被指控非法侵入美国军方90多个电脑系统。（3）1995年，来自俄罗斯的黑客Vladimir Levin 在互连网上上演了精彩的“偷天换日”。他是历史上第一个通过入侵银行电脑系统来获利的黑客。1995年，他侵入美国花旗银行并盗走1000万。他于1995年在英国被国际刑警逮捕。之后，他把帐户里的钱转移至美国，芬兰，荷兰，德国，爱尔兰等地。（4）1990年，为了获得在洛杉矶地区kii

9、s-fm电台第102个呼入者的奖励保时捷944 s2跑车，Kevin Poulsen控制了整个地区的电话系统，以确保他是第102个呼入者。最终，他如愿以偿获得跑车并为此入狱三年。（5）1983，当Kevin Poulsen还是一名学生的时候，他就曾成功入侵Arpanet(我们现在使用的Internet的前身)。Kevin Poulsen当时利用了Arpanet的一个漏洞，能够暂时控制美国地区的Arpanet。 1.1.1历史上的十大黑客事件（续）（6）1996，美国黑客Timothy Lloyd曾将一个六行的恶意软件放在了其雇主Omega工程公司(美国航天航空局和美国海军最大的供货商)的网络上

10、。整个逻辑炸弹删除了Omega公司所有负责生产的软件。此事件导致Omega公司损失1000万美金。（7）1988，年仅23岁的Cornell大学学生Robert Morris在Internet上释放了世界上首个“蠕虫”程序。Robert Morris最初仅仅是把他这个99行的程序放在互联网上进行试验，可结果却使得他的机子被感染并迅速在互联网上蔓延开。美国等地接入互联网的电脑都受到影响。Robert Morris也因此在1990年被判入狱。（8）1999，Melissa病毒是世界上首个具有全球破坏力的病毒。David Smith在编写此病毒的时候年仅30岁。Melissa病毒使世界上300多间公

11、司的电脑系统崩溃。整个病毒造成的损失接近4亿美金。David Smith随后被判处5年徒刑。（9）2000，年仅15岁的MafiaBoy(由于年龄太小，因此没有公布其真实身份)在2000年2月6日到2月14日情人节期间成功侵入包括eBay， Amazon 和Yahoo在内的大型网站服务器，他成功阻止了服务器向用户提供服务。他于2000年被捕。（10）1993，自称为骗局大师(MOD)的组织，将目标锁定美国电话系统。这个组织成功入侵美国国家安全局(NSA)，AT&T和美利坚银行。他们建立了一个可以绕过长途电话呼叫系统而侵入专线的系统。1.1.2其它信息安全恐怖事件 （1）蠕虫王，互联网的“911

12、” ：2003年1月25日，互联网遭遇到全球性的病毒攻击。（2）2003年3月20日，美伊战争引发美国历史上最大的黑客恐怖袭击。（3）全球黑客大聚会：这项活动从1985年以来每年一度。（4）2003年8月11日，一种名为“冲击波”（WORM_MSBlast.A）的新型蠕虫病毒肆虐全球。（5）针对即时通讯的攻击（6）邮件蠕虫病毒泛滥；垃圾邮件数量变本加厉2006年6月13日消息，据微软本周一公布的安全报告显示，在2005年1月至2006年3月期间，60以上的Windows PC机都感染了恶意代码。2006年年底，“熊猫烧香”病毒的泛滥造成巨大损失。 1.2.信息安全概述 什么是信息什么是信息安全

13、 信息安全内涵 怎样实现信息安全 1.2.1.什么是信息ISO/IEC 的IT 安全管理指南（GMITS，即ISO/IEC TR 13335 ）对信息（Information） 的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息的一些特点： 信息是指事物运动的状态和方式，是事物的一种属性；信息本身是无形的；信息是一种资产；信息是有生命周期的。1.2.2.什么是信息安全以下是一些有代表性的定义方式： 1.国内学者给出的定义是：“信息安全保密内容分为：实体安全、运行安全、数据安全和管理安全四个方面。”2.我国计算机信息系统安全专用产品分类原则给出的定义是：“涉及实体安全、运行安

14、全和信息安全三个方面。”3.我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。4.国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。”1.2.2.什么是信息安全（续）5.英国BS7799信息安全管理标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”6.美国国家安全局信息保障主任给出的定义是

15、：“因为术语信息安全一直仅表示信息的机密性，在国防部我们用信息保障来描述信息安全，也叫IA。它包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。”7.国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。1.2.2.什么是信息安全（续）总结：两种描述风格：一种是从信息安全所涉及层面的角度进行描述，大体上涉及了实体（物理）安全、运行安全、数据（信息）安全；一种是从信息安全所涉及的安全属性的角度进行描述，大体上涉及了机密性、完整性、可用性。 总的来说，凡是涉及到保密性、完整性、可用性、

16、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。1.2.3.信息安全内涵 从信息安全的发展历史来看 ：1、通信保密（COMSEC）时代，其时代标志是1949年Shannon发表的保密通信的信息理论：认为信息安全就是通信保密，采用的保障措施就是加密和基于计算机规则的访问控制；2、计算机安全（INFOSEC）时代，其时代特色是美国八十年代初发布的橘皮书可信计算机评估准则（TCSEC）：关心的是计算机系统不被他人所非授权使用；3、网络安全（NETSEC）时代，其时代特征是美国八十年代末出现的“莫里斯”蠕虫事件：关心的是如何防止通过网络对联网计算

17、机进行攻击；4、信息保障（IA）时代：人们关心的是信息及信息系统的保障，如何建立完整的保障体系，以便保障信息及信息系统的正常运行 1.2.3.信息安全内涵（续） 从信息安全的作用层面来看 ：1.2.3.信息安全内涵（续） 从信息安全的基本属性来看 ：1.2.3.信息安全内涵（续） 基于信息安全的作用点，从信息系统、信息、及信息熵的角度，可以将信息安全看作是由三个层次、五个层面所构成的层次框架体系 ：1.2.3.信息安全内涵（续） 在诸多信息安全的属性中，机密性、真实性、可控性、可用性属于基本属性，相互不能蕴涵 ：信息安全四要素 1.2.3.信息安全内涵（续） 信息安全概念的经纬线 ：1.2.4

18、.怎样实现信息安全典型的信息安全技术包括：物理安全技术：环境安全、设备安全、媒体安全；系统安全技术：操作系统及数据库系统的安全性；网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；应用安全技术：Email 安全、Web 访问安全、内容过滤、应用系统安全；数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA 特性；认证授权技术：口令认证、SSO 认证（例如Kerberos）、证书认证等；访问控制技术：防火墙、访问控制列表等；审计跟踪技术：入侵检测、日志审计、辨析取证；防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。

19、1.2.4.怎样实现信息安全（续） 信息安全管理方面，BS7799标准为我们提供了指导性建议，即基于PDCA（Plan、Do、Check和Act，即戴明环）：1.3.国内外信息攻防研究现状 国外信息攻防研究国内信息攻防研究信息安全国际标准及组织OSI安全模型1.3.1.国外信息攻防研究美国是开展计算机网络攻防技术研究最早的国家。在计算机病毒方面，政府拨出专款研制高效的军用计算机病毒，以及利用无线、有线方式注入敌方计算机系统，破坏敌方指挥、控制、通信系统的技术手段。美军还发展了计算机病毒的“预埋”技术，把含有计算机病毒的芯片、软件、外设或系统配置到敌方计算机设备、系统或网络中去。海湾战争中，美国

20、特工用带有病毒的计算机芯片取代了伊拉克用于控制和协调大部分防空炮兵部队的大型计算机系统中的原装芯片，给伊方造成了重大损失。据称，美国正在进行的CPU“陷阱”设计，可使美国通过互联网发布指令让敌方电脑的CPU停止工作。1.3.1.国外信息攻防研究（续）俄罗斯2000年6月批准实施的国家信息安全学说把“信息战”问题放在突出地位，强调为了确保俄罗斯的生存与发展，必须为未来的信息战作好准备。俄罗斯为此专门成立了新的国家信息安全与信息对抗领导机构，建立了特种信息战部队，将重点开发高性能计算机技术、智能化技术、信息攻击与防护技术以及相关的软件技术等关键技术。 1.3.1.国外信息攻防研究（续）日本把开发网

21、络信息安全技术作为一个优先解决的课题，尤其注重开发防止非法存取技术、查明黑客来路的跟踪系统、病毒检测与消除技术及数据密码技术。日本防卫厅计划在2001至2005年实施的中期防卫力量配备计划中进行电脑作战研究，通过电脑作战破坏敌方的指挥通讯系统，加强自卫队的防御和反击能力。据美国防部官员称，日本的东芝公司已有能力制造“固化病毒”这种计算机武器。1.3.1.国外信息攻防研究（续）加拿大国防部1999年开始征集科研人员成立反“电脑黑客”科研小组，目前正在位于握太华市的国防部实验室开展工作，其工作重点一是模拟黑客制造电脑病毒，然后有针对性地设计出更加可靠的防备措施；二是研究查找电脑黑客的力一法。1.3.1.国外信息攻防研究（续）英国1999年拨出大笔款项，改善军事电脑安全设施，训练更多电脑间谍，对电脑加强保护，重点是其核战指挥系统和预警系统。1.3.2.国内信息攻防研究在2004年10月30日，中国第一届可信计算与信息安全学术会议召开；在国民经济和社会发展第十一个五年规划纲要中明确提出要强化信息安全保障工作，要积极防御、综合防范，提高信息安全保障能力。强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设，发展咨询、测评、灾备等专业化信息安全服务。健全等级保护、风险评估和安全准入制度。加强基础信息网络和