第1讲网络信息安全之概论

网络信息安全概论1一、网络信息安全问题二、木马工作机理与防范主要内容2第一部分网络信息安全问题3互联网是国家重要的基础设施互联网是企业信息化的推动力互联网是信息产业发展的加速器互联网是新兴数字化业务的摇篮互联网是不见硝烟的战场互联网是网络间谍和黑客的职场互联网的作用4

互联网的问题

无主管的自由王国

有害信息、非法联络、违规行为

不设防的网络空间

国家安全、企业利益、个人隐私

法律约束脆弱黑客入侵、知识侵权、有害信息

跨国协调困难

过境信息、跨国黑客、境外间谍

民族化和国际化的冲突

文化传统、价值观、语言文字

网络资源紧缺

IP地址、域名、带宽5网络的脆弱性

网络系统的安全漏洞和脆弱性人们的安全意识薄弱和侥幸心理网络规模的扩展与业务负荷的膨胀社会与经济对网络的巨大依赖性灾难恢复的困难性和高额费用中国网络安全现状：4个最多

(网民、联网机器、被黑网站、被抓肉鸡)6

互连网的威胁

网上攻击事件每年以10倍速度增长黑客攻击手段1000~1500种

1998年黑客攻击美国防部案件1999年40家银行电子购物账户密码曝光案件2000年黑客攻击美国知名网站案件美国网络安全造成损失170亿美元/年美国金融界计算机犯罪损失100亿美元/年

形成以获取经济利益为目标的黑客产业链7网络病毒的危害

活体计算机病毒达4万多种网络病毒有更大的破坏性

1988年莫里斯病毒1998年的CIH病毒2001年的红色代码病毒2010年的震网（Stuxnet）病毒2011年的毒区（Duqu）病毒

2012年的火焰（Flame）病毒……8有害信息的传播

黄色信息：涉及1%网站，年营业额10亿美元

邪教信息：全球80多个法轮功宣传网站

虚假新闻：虚假消息、股市欺诈、冲突事件

宣扬暴力：炸药配方、校园暴力、恐怖活动

政治攻击：政治演变论、反华宣传

垃圾邮件：1000件/人年、损失几百亿美元9黑客经济的兴起早期黑客热衷技术，以炫耀技艺证明自己为主现在黑客受经济利益驱动，以获取金钱为目标网络攻击工具泛滥，技术门槛降低黑客网站提供了培训、交流和交易平台黑客产业成本低廉，获利丰厚，难以监管据国家有关部门保守估计：黑客产业链的年产值已超过2.38亿元人民币造成的经济损失则超过76亿元人民币1011Hacker(黑客）MMMMaster(主攻手)zzzzzzzzBetnet（僵尸网络）Target（目标机）分布式拒绝服务(DDoS)攻击12网上权益纠纷和违规行为

知识产权侵犯：数字产品盗用、传播、赚钱

名誉权侵犯：虚假消息、合成图片的传播

隐私权侵犯：隐私信息成为非法商品网上逃税洗钱：流失、转移，5亿美元/年

网上非法赌博：赌博游戏、网上赌球

网上非法联络：密码邮件、匿名通信、信息隐藏网上间谍活动：木马窃密、信息监听、邮件截获13网络间谍与敏感信息泄密

国家机密信息、企业关键信息、个人隐私

Web发布、电子邮件、文件传送的泄密

利用木马预谋性窃取政治、国防和经济情报

CIA统计：美国要害系统被入侵案件年增长率为30%美国政府14%部门出现过网上失密网上失密占总量的70%，年增长100%14信息战与网络恐怖活动

有组织、大规模的网络攻击行为：

网络恐怖活动－恐怖集团行为网络信息战－国家行为针对信息要害目标的恶性破坏

无硝烟的战争：

跨国界、隐蔽性、低花费、不对称、高技术

要害目标：

金融支付中心、证券交易中心空中交管中心、铁路调度中心电信网管中心、军事指挥中心电力调度中心、工业控制系统15台湾对大陆的网络信息战台湾信息战部队：老虎部队(TigerTeam)针对大陆的网络信息战：以木马为手段大肆窃取大陆党政军经情报在互联网上广泛收集大陆党政军经情报以政府机关、国防单位和军工企业为目标研制各种网络病毒/木马，达2000余种组建僵尸网络，预谋攻击大陆重点目标网络战作为每年“汉光”军演的重要科目16针对工业控制系统入侵事件

2007年，攻击者入侵加拿大的一个水利控制系统，破坏了用于取水调度的控制计算机2008年，攻击者入侵波兰某城市地铁系统，通过电视遥控器改变轨道扳道器，导致四节车厢脱轨2010年，震网病毒有针对性地入侵ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营2011年，黑客通过入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏17国家信息安全保障政策

坚持积极防御、综合防范全面提高信息安全防护能力重点保障信息网络和重要信息系统安全创建安全健康的网络环境保障和促进信息化发展、保护公众利益、维护国家安全立足国情、以我为主、管理与技术并重18国家信息安全保障措施(1)

信息安全分级/等级保护制度：标准化保护、风险与成本平衡、资源优化配置、安全风险评估网络信息安全体系建设：密码管理体制、身份认证、授权管理、安全审计．责任认定网络安全监控体系建设：提高对黑客攻击、病毒传播、网络失窃密、有害信息的防范能力信息安全应急体系建设：组织、指挥、响应、协调、通报、抗毁、灾备19信息安全产业发展：关键技术、自主创新、测评认证、技术服务信息安全法制建设：健全法律法规、规范网络行为、打击网络犯罪

信息安全人才培养：学科建设、人员培训、增强意识、提高技能、遵守法律

信息安全组织建设：多部门组织、加强协调、责任明确、依法管理国家信息安全保障措施(2)20网络系统安全技术

网络卫士－防火墙：网络、主机、分布式

病毒克星－防病毒软件：网络、主机

打黑专家－入侵检测系统(IDS)：网络、主机、分布式、检测、报警、审计

漏洞探测－漏洞扫描系统：漏洞发现、打补丁

最后防线－数据容灾系统：异地备份、应急响应、快速恢复

提高＜网络防护、隐患发现、应急响应、信息对抗＞能力21

防信息窃听－密码系统：对称/非对称密钥、密钥长度、加密设备、虚拟专用网(VPN)

防信息篡改－信息指纹系统：单向散列函数

防信息抵赖－电子签名系统：技术、法律

信息安全交换－安全协议：SSL、IPSec

防身份假冒－身份认证系统：生物特征、数字证书、UKey口令、动态口令、一般口令

增强＜机密性、完整性、真实性、不可否认性、可控性＞信息安全交换技术22涉密信息系统安全风险违规连入公网：无线网卡、双网卡、拨号上网

违规复制敏感信息：U盘复制文件、摆渡攻击

涉密主机有隐通道：病毒/木马、漏洞/弱点

非法窃听敏感信息：网上窃听、信息复原

非法登陆涉密主机：下班/节日、弱口令破解电磁发射泄漏：信号窃听、信息复原泄密主要根源：内部人员有意或无意的违规行为

防护措施：分级保护、强制安全策略、强化监管23涉密信息系统分级保护基本原则

依照标准、准确分级、规范建设、技管并重、确保安全基本要求

物理隔离、安全边界防护、安全产品选择、密级标识

物理安全

环境安全、设备安全、介质安全

运行安全备份与恢复、病毒防护、应急响应、运行管理信息安全保密身份鉴别、访问控制、密码保护、电磁泄漏防护、系统安全性检测、安全审计、边界防护24网上信息内容安全监控体系网络犯罪监察与防范体系电子信息保密监管体系网络侦控与反窃密体系网络预警与网络反击体系网络监管和安全审计体系网络舆情监控与应急体系建立网络信息安全体系25

发展与安全——保驾护航

资产与威胁——保障能力

防护与检测——纵深防御

成本与风险——等级保护

强度与弱点——均衡设计

技术与管理——综合治理

教育与自律——以人为本

信息安全保障总体策略26第二部分木马工作机理与防范27什么是木马程序木马程序是一种特殊的计算机程序，短小精悍，功能强，技术含量高攻击者通过各种手段将木马程序植入到目标主机上，利用木马控制台软件对目标主机进行远程控制和信息获取木马程序与病毒程序不同，不具有传播功能，很少破坏计算机系统28木马工作模型291.木马植入利用各种手段将木马程序植入到目标主机上，这是木马工作的第一关常用的植入技术手段有渔叉式攻击、诱骗式攻击、预留后门等，一般需要利用系统漏洞渔叉式攻击：将木马捆绑在邮件上，定向传送给目标，引诱目标点击，进而植入木马诱骗式攻击：将木马伪装成的Web网页文件、FTP文件、图片文件或其它文件，引诱目标点击，进而植入木马木马工作机理302.木马激活运行再次开机启动时，木马程序将随系统进程启动而自动启动激活木马程序激活后，通过网络自动向外连接(反向连接)，与控制台建立网络连接等待执行控制台命令，并返回执行结果木马程序通常比较健壮，具有隐蔽隐身、防火墙穿透、反追踪、抗查杀保护等能力

(4难：难发现、难阻断、难追踪、难清除)木马工作机理31木马基本功能远程获取目标主机键盘记录远程获取目标主机当前屏幕远程获取目标主机系统信息远程获取目标主机窗口信息远程操作目标主机文件(上传/下载/删除/修改)远程操作目标主机注册表远程操作目标主机服务与进程远程关闭和锁定目标主机等3233坚持“上网不涉密，涉密不上网”的基本原则增强信息安全保密意识，提高木马防范技能：堵住漏洞：经常检查系统漏洞并及时安装补丁，提高系统的健康水平加强防护：安装防病毒/防火墙软件并及时升级版本，增强系统的防护能力谨防陷阱：提倡绿色