《信息安全概况》PPT课件.ppt

1、信息与网络安全概况,中科院信息安全技术工程研究中心 北京中科安胜信息技术有限公司 蒋建春 2000年11月30日,内容提纲,网络安全威胁概述 因特网安全问题 网络安全保障系统 结束语,网络安全威胁概述,计算机网络的发展模式 计算机网络的安全需求 计算网络的威胁种类,初始时期1988,E-mail Telnet Ftp USENET Newsgroup,现在,E-mail Telnet Ftp USENET Newsgroup WWW BBS VPN Audio and Video mobile excutable code NEWS,Internet服务变化,初始时期1988,研究人员 UNI

2、X专家,现在,研究人员 商业人员 新手 专家 学生,Internet用户类型变化,初始时期1988,研究信息交换,现在,研究信息交换 金融数据 个人信息 电子商务 个人通信 娱乐 教育,Internet使用的变化,初始时期1985,NSF 骨干网络 5 个地区服务结点 若干指定的ISP 高速网络访问受限制 价格昂贵,现在,大约10骨干网络 数千家ISP 高速网络访问 价格下降,Internet服务提供商变化,Internet 的优势和困惑,访问信息及时 信息丰富多彩:集成文字/声音/图像 不同的社会文化 便宜的通信费 有利于电子商务开展,没有统一犯罪法律 松散的网络管理 国与国之间“数字空间边

3、界不确定” 安全问题严重,网络信息基础设施的依赖关系,1988年蠕虫事件,1.协议攻击(主机之间信任关系),2.破解弱口令(口令字典库),3.程序漏洞(Sendmail Finger),效果:6000多台主机受到影响,美国政府响应:CERT成立,安全相关数据,FBI估计,美国每年损 失高达75亿美元 4/16/96, 金融时报报道,每20秒侵入一台INTERNET计算机 8/21/95,俄罗斯黑客侵入花旗银行系统,损失高达1160万美元,安全相关数据,如果20分钟产生一种新病毒，通过因特 网传播（30万公里/秒）。联网计算机 每20分钟感染一次，每天开机联网2小 时。 则: 一年以内一台联网的

4、计算机可能会被最新 病毒感染2190次。,73 美国筹建联邦数据加密标准 76,美国发布DES,联邦信息处理标准46号 85,美国国防部发布桔皮书(TCSEC),可信计算机系统评测标准 90,美国发布FC草案 91,NIST发布数字签名标准DSS草案,其中安全数据压缩标准 为信息处理标准180号 93,克林顿颁布总统令,各国政府重视信息和网络安全,各国政府重视信息和网络安全,自90年起,英国,法国和荷兰带头,欧洲开始联合研制欧洲共同的安全评测标准,于91 颁布ITSEC(信息技术安全评测标准) 93,加拿大颁布CTCPEC(加拿大可信计算机产品评测标准) 在上述标准基础上,美国,加拿大和欧洲研

5、制CC(信息技术安全 评测公共标准),于94 颁布0.9版,于96颁布1.0版,各国政府重视信息和网络安全,96,1,美国公布六十年代后第二个电信法 96,5,NRC(美国国家研究院)出版长篇报告 96,6-7,美国举行两次听政会 96,9,NCSA举行第五届信息战研讨会 96,10,美国发布副总统令 19972000，美国NIST征集AES 2001年，美国出台AES FIPS,各大企业重视信息和网络安全,HP公司推出ICF(国际密码架构), CMW-HPUX B1级操作系统, NORMAN防火墙 DIGITAL公司推出独具特色的 TUNNEL (隧道),防火墙和TP监视器产品 NOVELL

6、公司的 NETWARE 4.1于95,8被 NCSC确定为C2级安全网络 SUN,IBM,ORACLE,GEMPLUS,SYBASEBULL,微软等均十分重视安全产品,计算网络的威胁类型,窃取口令：用来获取别的用户口令的方法； 社会工程：通过交谈方式获取到不该得到的信息； 错误和后门：利用系统没有满足其规范要求，或替换有危害的软件版本； 认证失效：攻破使用的认证机制； 协议失效：协议本身不正确的设计或实现； 信息泄漏：使用系统如finger 或DNS获取必要的管理员信息和网络正确的操作信息，但也可能被攻击者利用； 拒绝服务：阻止用户使用系统；,威胁来源与后果,黑客入侵 来自内部的攻击 不良信息

7、的侵入 秘密信息的泄漏 破坏信息系统和网络资源 造成信息系统和网络瘫痪 INTERNET商业的经济损失,信息系统和网络的安全脆弱性,从管理和概念角度:没有进行安全的总体设计重视物理安全, 不重视逻辑安全重视单机安全, 不重视网络安全 从技术角度:缺乏安全的操作系统缺乏安全的计算机网络系统必须在安全性和效率之间进行折衷,系统固有安全缺陷,路由器的安全隐患 ANONYMOUS FTP 的安全隐患 TELNET 的安全隐患 口令文件 的安全隐患 X11 的安全隐患 FINGER 的安全隐患 GOPHER 的安全隐患,单独用户和自己数据,添加用户,安装或卸载软件,管理联网的计算机 和网络资源,远程结点

8、管理,Internet 连接管理,信息安全目标,信息保密性 信息完整性 信息可用性 信息可控性 信息不可抵赖性,计算机网络的安全目标,网络资源的可用性： 无论何时，网络资源必须是可用的，如抗击拒绝服务攻击。 网络资源的保密性：网络服务要求能防止敏感服务信息泄露，要求只有在授权的条件下，才能获取服务信息。 网络资源的完整性：网络服务必须按服务者提供的信息内容不能被非授权篡改，不管是有意或故意，完整性是对信息的准确性和可靠性的评价指标。 网络资源使用的非否认（抗抵赖）性：取证 网络运行的可控性：根据特殊要求，可以控制网络运行、资源授权等,网络安全问题,协议安全 服务端安全 通信传输安全 客户端安全

9、,TCP/IP协议安全,LINK协议层安全：SNIFF attack ICMP协议安全:ECHO attack Covert Channel ARP协议安全:ARP 欺骗 IP协议安全：IP地址伪造、路由欺骗 TCP协议安全：SYN Flood UDP协议安全：DNS欺骗 应用协议安全:明文传输,网络分段 /加密/一次性口令 过滤ICMP 包 长久保留ARP CACHE 内容设置AR安全服务器 限制RIP功能、禁止源路由、IP地址认证 检测 加密 等等,服务端安全,操作系统安全 服务程序安全 系统管理配置安全,通信传输安全,插入攻击 窃听 重放攻击 篡改数据 干扰,客户端安全,计算机病毒 破解或窃取用户口令 未经授权操作使用计算机 安装黑客程序 非安全的操作系统 应用程序漏洞 用户弱的安全意识,网络安全保障措施,数据加密机制 数据签名机制 访问控制机制 数据完整性检查 认证机制 系统脆弱性检测 构筑防火墙系统,接上,入侵检测系统 网络安全监测系统 网