信息安全ch1 绪论

信息安全技术蒋启强jqq@课程内容1.安全的基本概念2.加密技术3.对称加密算法4.非对称加密算法5.公钥基础设施6.Internet安全协议7.用户鉴别机制课程内容8.实现加密与安全9.网络攻击原理与常用方法10.网络安全11.入侵检测技术12.加密与安全案例分析13.物理与环境安全第一章

绪

论

内容提要：计算机网络面临的主要威胁计算机网络不安全因素

计算机网络安全概念

计算机网络安全体系结构计算机网络安全技术发展趋势

1.1计算机网络面临的主要威胁1.1.1计算机网络中受到威胁的实体：各类计算机（服务器、工作站等）网络通信设备（路由器、交换机、集线器、调制解调器、加密机等）存放数据的媒体（磁带机、磁盘机、光盘等）传输线路、供配电系统，防雷系统和抗电磁干扰系统等

1.1.2计算机网络系统面临威胁主机可能会受到非法入侵者的攻击网络中的敏感数据有可能泄露或被修改从内部网向共网传送的信息可能被他人窃听或篡改等等。

威

胁描

述窃听网络中传输的敏感信息被窃听。重传攻击者将事先获得部分或全部信息重新发送给接收者。伪造攻击者将伪造的信息发送给接收者。篡改攻击者对通讯信息进行修改、删除、插入，再发送。非授权访问通过假冒、身份攻击、系统漏洞等手段，获取系统访问权拒绝服务攻击攻击者使系统响应减慢甚至瘫痪，阻止合法用户获得服务。行为否认通讯实体否认已经发生的行为。旁路控制攻击者发掘系统的缺陷或安全脆弱性。电磁/射频截获攻击者从电磁辐射中提取信息。人员疏忽授权的人为了利益或由于粗心将信息泄漏给未授权人。典型的网络安全威胁

安全威胁政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。美国每年网络安全因素造成的损失达170亿美元。安全威胁2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。中美黑客网上大战时，国内外的上千个门户网站遭到破坏。安全威胁中国国内80%网站有安全隐患，20％网站有严重安全问题中国的银行过去两年损失1.6亿人民币利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%1.1.3计算机病毒的威胁1988年11月发生了互联网络蠕虫（worm）事件，也称莫里斯蠕虫案。1999年4月26日，CIH病毒爆发，俄罗斯十多万台电脑瘫痪，韩国二十四万多台电脑受影响，马来西亚十二个股票交易所受侵害。

计算机病毒可以严重破坏程序和数据、使网络的效率和作用大大降低、使许多功能无法正常使用、导致计算机系统的瘫痪。全球已发现6万余种计算机病毒据统计，计算机病毒所造成的损失，占网络经济损失的76%。恶意攻击的潜在对手国家黑客恐怖份子/计算机恐怖份子有组织计算机犯罪其他犯罪成员国际新闻社工业竞争不满的雇员

刺探特定目标的通常动机获取机密或敏感数据的访问权；跟踪或监视目标系统的运行（跟踪分析）；扰乱目标系统的正常运行；窃取钱物或服务；免费使用资源（例如，计算机资源或免费使用网络）；向安全机制进行技术挑战。威胁来源互联网存在的六大问题无主管的自由王国不设防的网络空间法律约束脆弱跨国协调困难民族化和国际化的冲突网络资源紧缺网络和系统的自身缺陷与脆弱性国家、政治、商业和个人利益冲突1.2计算机网络不安全因素1.2.1不安全的主要因素偶发性因素：如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。自然灾害：各种自然灾害（如地震、风暴、泥石流、建筑物破坏等）。人为因素：一些不法之徒，利用计算机网络或潜入计算机房，篡改系统数据、窃用系统资源、非法获取机密数据和信息、破坏硬件设备、编制计算机病毒等。此外，管理不好、规章制度不健全、有章不循、安全管理水平低、人员素质差、操作失误、渎职行为等都会对计算机网络造成威胁。对计算机网络的主要攻击1．被动攻击攻击举例描

述监视明文监视网络，获取未加密的信息。解密通信数据通过密码分析，破解网络中传输的加密数据。口令嗅探使用协议分析工具，捕获用于各类系统访问的口令。通信量分析不对加密数据进行解密，而是通过对外部通信模式的观察，获取关键信息。对计算机网络的主要攻击2．主动攻击攻击举例描

述修改传输中的数据截获并修改网络中传输的数据。重放将旧的消息重新反复发送，造成网络效率降低。会话拦截未授权使用一个已经建立的会话。伪装成授权的用户这类攻击者将自己伪装成他人，未授权访问资源和信息。利用系统软件的漏洞攻击者探求以系统权限运行的软件中存在的脆弱性。利用主机或网络信任攻击者操纵文件，使主机提供服务，从而获得信任。利用恶意代码攻击者向系统内植入恶意代码；或使用户去执行恶意代码。利用缺陷攻击者利用协议中的缺陷来欺骗用户或重定向通信量。拒绝服务攻击者有很多实施拒绝服务的攻击方法对计算机网络的主要攻击3．邻近攻击

邻近攻击是指未授权者可物理上接近网络、系统或设备，从而可以修改、收集信息，或使系统拒绝访问。接近网络可以是秘密进入或公开，也可以是两者都有。攻击举例描

述修改数据或收集信息攻击者获取系统管理权，从而修改或窃取信息，如：IP地址、登陆的用户名和口令等。

系统干涉攻击者获取系统访问权，从而干涉系统的正常运行。

物理破坏获取系统物理设备访问权，从而对设备进行物理破坏。

对计算机网络的主要攻击4．内部人员攻击

攻击举例描

述恶意修改数据或安全机制内部人员直接使用网络，具有系统的访问权。因此，内部人员攻击者比较容易实施未授权操作或破坏数据。擅自连接网络对涉密网络具有物理访问能力的人员，擅自将机密网络与密级较低，或公共网络连接，违背安全策略和保密规定。

隐通道隐通道是未授权的通信路径，用于从本地网向远程站点传输盗取的信息。

物理损坏或破坏对系统具有物理访问权限地工作人员，对系统故意破坏或损坏。

非恶意修改数据由于缺乏知识或粗心大意，修改或破坏数据或系统信息。

物理损坏或破坏由于渎职或违反操作规程，对系统的物理设备造成意外损坏或破坏。

1.2.2不安全的主要原因

1．Internet具有不安全性开放性的网络，导致网络的技术是全开放的，使得网络所面临的破坏和攻击来自多方面。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，而且，可以来自Internet上的任何一个机器，也就是说，网络安全面临的是一个国际化的挑战。自由性的网络，意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。TCP/IP存在安全漏洞1.2.2不安全的主要原因

2．操作系统存在安全问题操作系统软件自身的不安全性，以及系统设计时的疏忽或考虑不周而留下的“破绽”，都给危害网络安全的人留下了许多“后门”。操作系统的体系结构造成了不安全性。操作系统不安全的另一原因在于它可以创建进程，支持进程的远程创建与激活，支持被创建的进程继承创建进程的权利。操作系统的无口令入口，以及隐蔽通道。1.2.2不安全的主要原因

3．数据的安全问题数据库存在着许多不安全性。4．数据的安全问题从安全的角度来说，没有绝对安全的通讯线路。5．网络安全管理问题安全涉及的因素网络安全信息安全文化安全物理安全网络安全因特网网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制广播工业金融医疗研究攻防技术以阻之信息安全信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名1.3计算机网络安全概念1.3.1计算机网络安全的定义计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。1.3.2计算机网络安全目标

1．保密性指网络中的保密信息只能供经过允许的人员，以经过允许的方式使用，信息不泄露给非授权用户、实体或过程，或供其利用。保密性的要素如下：数据保护：防止信息内容的泄露（如网络中的数据流）数据隔离：提供隔离路径或采用过程隔离（COMPUSEC技术等）；通信流保护：数据的特征包括频率、数量、通信流的目的地等，通信流保护是指对通信的特征信息，以及推断信息（如命令结构等）进行保护。1.3.2计算机网络安全目标

2．完整性

指网络中的信息安全、精确与有效，不因种种不安全因素而改变信息原有的内容、形式与流向。确保信息在存储或传输过程中不被修改、不被破坏和丢失。破坏信息的完整性有人为因素非人为因素1.3.2计算机网络安全目标

3．可用性

指网络资源在需要时即可使用，不因系统故障或误操作等使资源丢失或妨碍对资源的使用，是被授权实体按需求访问的特性。网络可用性还包括在某些不正常条件下继续运行能力。保证可用性的最有效的方法是提供一个具有普适安全服务的安全网络环境。

避免受到攻击避免未授权使用防止进程失败1.3.2计算机网络安全目标

4．不可否认性

“不可否认性安全服务提供了向第三方证明该实体确实参与了那次通信的能力。数据的接收者提供数据发送者身份及原始发送时间的证据；数据的发送者提供数据已交付接收者（某些情况下，包括接收时间）的证据；审计服务提供了信息交换中各涉及方的可审计性，这种可审计性记录了可用来跟踪某些人的相关事件，这些人应对其行为负责。1.3.2计算机网络安全目标

5．可控性

指对信息的传播及内容具有控制能力，保证信息和信息系统的授权认证和监控管理，确保某个实体（人或系统）身份的真实性，也可以确保执法者