信息安全概况课件

信息与网络安全概况

中科院信息安全技术工程研究中心北京中科安胜信息技术有限公司

蒋建春2000年11月30日内容提纲网络安全威胁概述因特网安全问题网络安全保障系统结束语网络安全威胁概述计算机网络的发展模式计算机网络的安全需求计算网络的威胁种类初始时期~1988研究人员UNIX专家现在研究人员商业人员新手专家学生Internet用户类型变化初始时期~1988研究信息交换现在研究信息交换金融数据个人信息电子商务个人通信娱乐教育Internet使用的变化Internet的优势和困惑访问信息及时信息丰富多彩:集成文字/声音/图像不同的社会文化便宜的通信费有利于电子商务开展没有统一犯罪法律松散的网络管理国与国之间“数字空间边界不确定”安全问题严重网络信息基础设施的依赖关系1988年蠕虫事件1.协议攻击(主机之间信任关系)2.破解弱口令(口令字典库)3.程序漏洞(SendmailFinger)效果:6000多台主机受到影响美国政府响应:CERT成立图CERT/CC应急事件处理示意图攻击的复杂度和入侵的技术知识示意图安全相关数据FBI估计,美国每年损失高达75亿美元4/16/96,金融时报报 道,每20秒侵入一台 INTERNET计算机8/21/95,俄罗斯黑客 侵入花旗银行系统, 损失高达1160万美元

安全相关数据如果20分钟产生一种新病毒，通过因特网传播（30万公里/秒）。联网计算机每20分钟感染一次，每天开机联网2小时。则:一年以内一台联网的计算机可能会被最新病毒感染2190次。各国政府重视信息和网络安全

自90年起,英国,法国和荷兰带头,欧洲开始联合研制欧洲共同的安全评测标准,于91颁布ITSEC(信息技术安全评测标准)93,加拿大颁布CTCPEC(加拿大可信计算机产品评测标准)在上述标准基础上,美国,加拿大和欧洲研制CC(信息技术安全评测公共标准),于94颁布0.9版,于96颁布1.0版 各国政府重视信息和网络安全

96,1,美国公布六十年代后第二个电信法96,5,NRC(美国国家研究院)出版<密码在信息社会安全中的作用>长篇报告96,6-7,美国举行两次<密钥托管>听政会96,9,NCSA举行第五届信息战研讨会96,10,美国发布<CLIPPER4>副总统令1997－2000，美国NIST征集AES2001年，美国出台AESFIPS 各大企业重视信息和网络安全HP公司推出ICF(国际密码架构),CMW---HPUXB1级操作系统,NORMAN防火墙DIGITAL公司推出独具特色的TUNNEL(隧道),防火墙和TP监视器产品NOVELL公司的NETWARE4.1于95,8被NCSC确定为C2级安全网络SUN,IBM,ORACLE,GEMPLUS,SYBASEBULL,微软等均十分重视安全产品

计算网络的威胁类型窃取口令：用来获取别的用户口令的方法；社会工程：通过交谈方式获取到不该得到的信息；错误和后门：利用系统没有满足其规范要求，或替换有危害的软件版本；认证失效：攻破使用的认证机制；协议失效：协议本身不正确的设计或实现；信息泄漏：使用系统如finger或DNS获取必要的管理员信息和网络正确的操作信息，但也可能被攻击者利用；拒绝服务：阻止用户使用系统；威胁来源与后果黑客入侵来自内部的攻击不良信息的侵入秘密信息的泄漏破坏信息系统和网络资源造成信息系统和网络瘫痪INTERNET商业的经济损失系统固有安全缺陷路由器的安全隐患ANONYMOUSFTP的安全隐患TELNET的安全隐患口令文件的安全隐患X11的安全隐患FINGER的安全隐患GOPHER的安全隐患单独用户和自己数据添加用户安装或卸载软件远程结点管理Internet连接管理信息安全目标信息保密性信息完整性信息可用性信息可控性信息不可抵赖性计算机网络的安全目标网络资源的可用性：无论何时，网络资源必须是可用的，如抗击拒绝服务攻击。网络资源的保密性：网络服务要求能防止敏感服务信息泄露，要求只有在授权的条件下，才能获取服务信息。网络资源的完整性：网络服务必须按服务者提供的信息内容不能被非授权篡改，不管是有意或故意，完整性是对信息的准确性和可靠性的评价指标。网络资源使用的非否认（抗抵赖）性：取证网络运行的可控性：根据特殊要求，可以控制网络运行、资源授权等网络安全问题协议安全服务端安全通信传输安全客户端安全TCP/IP协议安全LINK协议层安全：SNIFF

attackICMP协议安全:ECHOattackCovertChannelARP协议安全:ARP欺骗IP协议安全：IP地址伪造、路由欺骗TCP协议安全：SYNFloodUDP协议安全：DNS欺骗应用协议安全:明文传输网络分段/加密/一次性口令过滤ICMP包长久保留ARPCACHE内容\设置AR安全服务器限制RIP功能、禁止源路由、IP地址认证检测加密等等服务端安全

操作系统安全服务程序安全系统管理配置安全通信传输安全

插入攻击窃听重放攻击篡改数据干扰客户端安全计算机病毒破解或窃取用户口令未经授权操作使用计算机安装黑客程序非安全的操作系统应用程序漏洞用户弱的安全意识网络安全保障措施数据加密机制数据签名机制访问控制机制数据完整性检查认证机制系统脆弱性检测构筑防火墙系统接上入侵检测系统网络安全监测系统网络安全攻击测试应急系统安全管理制定网络安全使用制度系统管理员及使用者的安全培训选择网络安全产品整体安全