形勢下網(wǎng)絡(luò)安全的思考.ppt

本章主要內(nèi)容： 1：網(wǎng)絡(luò)安全簡介 2：信息安全的發(fā)展歷程 3：影響網(wǎng)絡(luò)安全的因素 4: 網(wǎng)絡(luò)安全威脅 5：網(wǎng)絡(luò)安全體系結(jié)構(gòu) 6：網(wǎng)絡(luò)安全技術(shù) 7：網(wǎng)絡(luò)安全的現(xiàn)狀 8：新形勢下應(yīng)對網(wǎng)絡(luò)安全的策略,新形勢下網(wǎng)絡(luò)安全的思考,1、網(wǎng)絡(luò)安全簡介,1、網(wǎng)絡(luò)安全的定義 2、網(wǎng)絡(luò)安全包含的內(nèi)容 3、網(wǎng)絡(luò)安全的重要性,網(wǎng)絡(luò)安全的定義,從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因自然因素或人為因素而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。,網(wǎng)絡(luò)安全包含的內(nèi)容,計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。,從廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。,網(wǎng)絡(luò)安全的重要性,2006年，中國的寬帶用戶數(shù)達(dá)到了8900萬戶，在2007 年達(dá)到1.1億寬帶用戶數(shù)。而到了2010年時(shí)，預(yù)計(jì)中國寬 帶用戶數(shù)將達(dá)到1.87億戶。2009年12月，中國網(wǎng)民 達(dá)3.84億人,網(wǎng)絡(luò)安全的重要性,網(wǎng)絡(luò)安全為什么重要？,網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會(huì)生活的各個(gè)方面；電子商務(wù)、電子政務(wù)、電子銀行等無不關(guān)注網(wǎng)絡(luò)安全； 至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點(diǎn)，也是技術(shù)研究的熱門領(lǐng)域，同時(shí)也是國家和政府的行為；,網(wǎng)絡(luò)安全影響到人民生活的信息安全,網(wǎng)絡(luò)安全直接影響人民生活的信息安全。 隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用，政府、軍隊(duì)大量的機(jī)密文件和重要數(shù)據(jù)，企業(yè)的商業(yè)秘密乃至個(gè)人信息都存儲在計(jì)算機(jī)中，一些不法之徒千方百計(jì)地“闖入”網(wǎng)絡(luò)，竊取和破壞機(jī)密材料及個(gè)人信息。據(jù)專家分析，我國80%的網(wǎng)站是不安全的，40%以上的網(wǎng)站可以輕易被入侵。 網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉：存儲在計(jì)算機(jī)中的信息不知不覺被刪除；在數(shù)據(jù)庫中的記錄不知道何時(shí)被修改；正在使用的計(jì)算機(jī)卻不知道何故突然“死機(jī)”,網(wǎng)絡(luò)安全影響到經(jīng)濟(jì)信息的安全。,網(wǎng)絡(luò)不安全經(jīng)濟(jì)信息就不安全。 信息技術(shù)與信息產(chǎn)業(yè)已成為當(dāng)今世界經(jīng)濟(jì)與社會(huì)發(fā)展的主要驅(qū)動(dòng)力。但網(wǎng)絡(luò)是把“雙刃劍”，世界各國的經(jīng)濟(jì)每年都因信息安全問題遭受巨大損失。 據(jù)介紹，目前美國、德國、英國、法國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失達(dá)數(shù)百億美元。其中2005 年，英國有500萬人僅被網(wǎng)絡(luò)詐騙就造成經(jīng)濟(jì)損失達(dá)5億美元。,網(wǎng)絡(luò)安全影響到國家的安全和主權(quán),美國對伊拉克的網(wǎng)絡(luò)根本不屑一顧，它瞄準(zhǔn)的是更高意義上的信息戰(zhàn)。 就在第一次海灣戰(zhàn)爭期間，伊拉克從法國購得一批網(wǎng)絡(luò)打印機(jī)，美國特工得知此事，將一塊固化病毒程序的芯片與某打印機(jī)中的芯片調(diào)了包，并且在空襲發(fā)起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計(jì)算機(jī)系統(tǒng)癱瘓，使其防空指揮控制系統(tǒng)失靈，指揮文書只能靠汽車傳遞，在整個(gè)戰(zhàn)爭中都處于被動(dòng)挨打的局面 美國中央情報(bào)局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗(yàn)關(guān)之際換入伊拉克所購的電腦打印機(jī)中- 小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。,網(wǎng)絡(luò)安全影響到國家的安全和主權(quán),時(shí)光荏苒，十二年的歲月匆匆，美國不但開發(fā)出“芯片細(xì)菌“這樣可怕的信息進(jìn)攻武器(可以毀壞計(jì)算機(jī)內(nèi)集成電路的生物)，通信技術(shù)更是日新月異，各種無線信號的截獲手段層出不窮. 2000年歐盟的一份報(bào)告指出，美國國家安全局建立的一個(gè)代號“梯隊(duì)“的全球電子監(jiān)聽偵測網(wǎng)絡(luò)系統(tǒng)一直在竊取世界各國的情報(bào)，該系統(tǒng)動(dòng)用了120顆衛(wèi)星，無論你使用的是電話，手機(jī)，傳真機(jī)或者計(jì)算機(jī)，只要你傳輸?shù)男畔⒗镉忻绹踩指信d趣的東西，就會(huì)被記錄在案。,網(wǎng)絡(luò)安全影響到國家的安全和主權(quán),據(jù)稱，在阿富汗戰(zhàn)爭中，本拉登就是一直不用手機(jī)，以此與美軍周旋。在此次對伊開戰(zhàn)的第一天的空襲中，就是因?yàn)樾l(wèi)星偵聽系統(tǒng)“打聽“到薩達(dá)姆可能停留的地點(diǎn)，所以才發(fā)動(dòng)如此突然的打擊。美國軍事分析人士近日就警告伊拉克的平民與記者們不要用衛(wèi)星電話，因?yàn)槊儡娹Z炸機(jī)是根據(jù)衛(wèi)星電話信號進(jìn)行跟蹤、定位以及投彈的。,網(wǎng)絡(luò)安全的重要性,網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。,3.信息安全的發(fā)展歷程,通信保密階段 COMSEC(Communication Security) :信息的保密性 信息安全階段 INFOSEC(Information Security)：信息的保密性、完整性、可用性。 網(wǎng)絡(luò)信息系統(tǒng)安全階段(Information Assurance) ：信息的保密性、完整性、可用性、可控性、抗抵賴性、真實(shí)性。,3、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素 （ 網(wǎng)絡(luò)脆弱性的原因 ）,(1)開放性的網(wǎng)絡(luò)環(huán)境: (2)計(jì)算機(jī)硬件安全缺陷 (3)計(jì)算機(jī)軟件安全缺陷 (4)通信網(wǎng)絡(luò)安全缺陷 (5)協(xié)議本身的缺陷 (6)操作系統(tǒng)的漏洞 (7)應(yīng)用軟件的實(shí)現(xiàn)缺陷 (8)用戶管理缺陷 (9)惡意攻擊 (10)Internet網(wǎng)絡(luò)存在的安全漏洞 (11)人為因素 (12)電磁輻射,(1)開放性的網(wǎng)絡(luò)環(huán)境,“ INTERNET的美妙之處在于你和每個(gè)人都能互相連接, INTERNET的可怕之處在于每個(gè)人都能和你互相連接 ”,（2）計(jì)算機(jī)硬件安全缺陷,主要是指計(jì)算機(jī)的處理器、內(nèi)存、硬盤等存在的安全缺陷，如CPU中存在的邏輯炸彈,(3)計(jì)算機(jī)軟件安全缺陷,(1)陷門:陷門是一個(gè)程序模塊的秘密未記入文檔的入口一般陷門是在程序開發(fā)時(shí)插入的一小段程序,是用于測試這個(gè)模塊或是為了連接將來的更改和升級程序或者是為了將來民生故障后,為程序員提供方便等合法用途。 通常在程序開發(fā)后期去掉這些陷門。但是由于各種有意或無意的原因，陷門也可能被保下來。陷門一旦被原來的的病毒程序員利用，或被他人發(fā)現(xiàn)，將會(huì)帶來嚴(yán)重的安全后果。比如：可能利用陷門在程序中建立隱蔽通道,甚至植入一些隱蔽的病毒程序等。 非法利用陷門可以使原來相互隔離的網(wǎng)絡(luò)信息形成某種隱蔽的關(guān)聯(lián)，進(jìn)而可以非法訪問網(wǎng)絡(luò)，達(dá)到竊取、更改、偽造和破壞的目的。,(2)操作系統(tǒng)的安全漏洞： 操作系統(tǒng)是硬件和軟件應(yīng)用程序之間接口的程序模塊，它是整個(gè)計(jì)算機(jī)信息系統(tǒng)的核心控制軟件。系統(tǒng)的安全體現(xiàn)在整個(gè)操作系統(tǒng)之中。 操作系統(tǒng)的安全是深層次的安全，其主要的安全功能包括：存儲器保護(hù)(限定存儲區(qū)和地址重定位,保護(hù)存儲的信息)、文件保護(hù)(保護(hù)用戶和系統(tǒng)文件，防止非授權(quán)用戶訪問)、訪問控制以及用戶認(rèn)證(識別請求訪問的用戶權(quán)限和身份)。 操作系統(tǒng)的安全漏洞主要有以下四個(gè)方面： I/O非法訪問、訪問控制的混亂、不完全的中介、操作系統(tǒng)陷門。,(3)計(jì)算機(jī)軟件安全缺陷,(3)數(shù)據(jù)庫的安全漏洞：數(shù)據(jù)庫系統(tǒng)的安全策略部分由操作系統(tǒng)來完成，部分由強(qiáng)化DBMS自身安全措施來完成。數(shù)據(jù)庫系統(tǒng)存放的數(shù)據(jù)往往比計(jì)算機(jī)系統(tǒng)本身的價(jià)值大得多，必須加以特別保護(hù)。如定期備份等。,(3)計(jì)算機(jī)軟件安全缺陷,(4)通信網(wǎng)絡(luò)安全缺陷,(1)網(wǎng)絡(luò)拓樸結(jié)構(gòu)的安全缺陷:一旦網(wǎng)絡(luò)的拓樸邏輯被選定,必定要選擇一種適合這種拓樸邏輯的工作方式與信息的傳輸方式,如果這種選擇和配置不當(dāng),將為網(wǎng)絡(luò)安全埋下隱患。 (2)網(wǎng)絡(luò)硬件的安全缺陷： a、 如網(wǎng)橋的安全隱患： 一是廣播風(fēng)暴，由于網(wǎng)橋不阻擋網(wǎng)絡(luò)中的廣播信息當(dāng)網(wǎng)絡(luò)的規(guī)模較大時(shí)，有可能引起整個(gè)網(wǎng)絡(luò)全被廣播信息填滿，直到寶劍癱瘓 二是當(dāng)與外部網(wǎng)絡(luò)互聯(lián)時(shí)，網(wǎng)橋會(huì)把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)合二為一，成為一個(gè)網(wǎng)絡(luò)，雙方都向?qū)Ψ介_放自己的網(wǎng)絡(luò)資源。,三是由于網(wǎng)橋基于“最佳效果”來傳送數(shù)據(jù)信息包，可能會(huì)引起數(shù)據(jù)丟失，這為網(wǎng)絡(luò)的安全埋下了很大隱患。 b、路由器的安全隱患： 路由器的功能：路由與交換，靜態(tài)路由與動(dòng)態(tài)路由，其中動(dòng)態(tài)路由存在較大安全隱 ，主要是IP的的冒用和路由表的惡意修改。 (3)TCP/IP協(xié)議的安全漏洞 通信網(wǎng)的運(yùn)行機(jī)制基于通信協(xié)議,各種傳輸協(xié)議之間的不一致性,也會(huì)大影響網(wǎng)絡(luò)的安全質(zhì)量。,(4)通信網(wǎng)絡(luò)安全缺陷,(4)網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞 Finger的漏洞 匿名FTP的漏洞 遠(yuǎn)程登錄的漏洞 電子郵件的漏洞 (5)口令設(shè)置的漏洞 A.口令是網(wǎng)絡(luò)信息系統(tǒng)中最常用的安全與保密措施之一。但是實(shí)際上網(wǎng)絡(luò)用戶中謹(jǐn)慎設(shè)置口令的用戶卻很少。 B.口令攻擊成為毀滅性“隱患”?？诹罟羰蔷W(wǎng)絡(luò)管理漏洞造成的一種安全隱患。曾有專家在因特網(wǎng)上選擇了幾個(gè)網(wǎng)站，用字典攻擊法在給出用戶名的條件下，測出70%的用戶口令密碼只用了30多分鐘。,(4)通信網(wǎng)絡(luò)安全缺陷,(5)協(xié)議本身的缺陷,網(wǎng)絡(luò)傳輸離不開通信協(xié)議協(xié)議本身就有著不同層次、不同方面的漏洞。如TCP/IP協(xié)議棧各個(gè)層次的攻擊有以下幾個(gè)方面： （1）網(wǎng)絡(luò)應(yīng)用層的安全隱患。如攻擊者可以利用FTP、Login（登錄）、Finger（用戶查詢）、Whois（域名查詢）、WWW等服務(wù)來獲取信息或取得權(quán)限。 （2）IP層通信的欺騙性。由于TCP/IP本身的缺陷，IP層數(shù)據(jù)包是不需要認(rèn)證的，攻擊者可以假冒別的用戶進(jìn)行通信，即IP欺騙。 （3）局域網(wǎng)網(wǎng)中以太網(wǎng)協(xié)議的數(shù)據(jù)傳輸機(jī)制是廣播發(fā)送，使得系統(tǒng)和網(wǎng)絡(luò)具有易被監(jiān)視性。在網(wǎng)絡(luò)上，黑客能用嗅探軟件監(jiān)聽到口令和其他敏感信息。,(6)操作系統(tǒng)的缺陷,（1）系統(tǒng)模型本身的缺陷。 （2）操作系統(tǒng)程序的源代碼存在Bug。例如：沖擊波病毒針對的就是Windows操作系統(tǒng)的RPC緩沖區(qū)溢出漏洞。 （3）操作系統(tǒng)程序的配置不正確。,漏洞的危害,由于技術(shù)水平和人為因素，計(jì)算機(jī)存在先天不足的硬件“缺陷”和后天不備的軟件“漏洞”。 據(jù)我國某電信公司介紹，2005年上半年發(fā)現(xiàn)計(jì)算機(jī)軟件中的新安全漏洞1862個(gè)，平均每天10個(gè)；每當(dāng)一個(gè)新安全漏洞被公布后，平均6天內(nèi)黑客就可以根據(jù)漏洞編寫出軟件實(shí)施攻擊；然而目前計(jì)算機(jī)廠商平均需要54天才能推出“漏洞補(bǔ)丁”軟件。,什么叫漏洞（Bug ）,漏洞（BUG）定義也分幾種，一種是致命性錯(cuò)誤，導(dǎo)致程序不可運(yùn)行的錯(cuò)誤。一種隱含錯(cuò)誤，只有出發(fā)到某種條件而引發(fā)的錯(cuò)誤，這應(yīng)該稱為漏洞吧。第三種缺陷這是最微小的BUG，解決這個(gè)問題可以不修改程序而在產(chǎn)品說明書中標(biāo)注。 軟件測試分兩個(gè)方面，分別是可行性測試和破壞性測試，可型性測試是為了證明系統(tǒng)可以運(yùn)行。 破壞測試主要是測試軟件的漏洞，其目的是為了發(fā)現(xiàn)軟件存在的被遺留的缺陷。,(7)應(yīng)用軟件的實(shí)現(xiàn)缺陷,輸入確認(rèn)錯(cuò)誤 訪問確認(rèn)錯(cuò)誤 設(shè)計(jì)錯(cuò)誤 配置錯(cuò)誤,(8)用戶管理缺陷,管理制度不健全 密碼口令使用不當(dāng) 系統(tǒng)備份不完整,(9)惡意攻擊,1、竊聽 2、流量分析 3、破壞完整性 4、重發(fā) 5、假冒 6、拒絕服務(wù) 7、資源的非授僅使用 8、干擾 9、病毒,常見的攻擊方式,社會(huì)工程 Social Engineering 病毒virus （ 蠕蟲Worm） 木馬程序Trojan 拒絕服務(wù)和分布式拒絕服務(wù)攻擊 Dos&DDos 欺騙：IP spoofing, Packet modification；ARP spoofing, 郵件炸彈 Mail bombing 口令破解 Password crack,常用的攻擊工具,標(biāo)準(zhǔn)的TCP/IP工具 (ping, telnet) 端口掃描和漏洞掃描 (ISS-Safesuit, Nmap, protscanner) 網(wǎng)絡(luò)包分析儀 (sniffer, network monitor) 口令破解工具 (lc3, fakegina) 木馬 (BO2k, 冰河, ),(10)Internet網(wǎng)絡(luò)存在的安全漏洞,系統(tǒng)認(rèn)證的薄弱性 系統(tǒng)的易被監(jiān)視性 有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī) 復(fù)雜的設(shè)備和控制 無法估計(jì)主機(jī)的安全性,(11)人為因素,人員的疏忽往往是造成安全漏洞的直接原因。很多公司和用戶的網(wǎng)絡(luò)安全意思溥弱、思想麻痹，這些管理上的人為因素直接影響著網(wǎng)絡(luò)安全。,(12)電磁輻射,電磁輻射導(dǎo)致的信息泄漏難以避免。 普通計(jì)算機(jī)顯示終端的電磁輻射，可以在幾米甚至一公里之外被接收和復(fù)現(xiàn)信息。 1997年3月24日，美國計(jì)算機(jī)安全專家尤金舒爾茨博士向英國媒體透露，海灣戰(zhàn)爭期間，一批荷蘭黑客曾將數(shù)以百計(jì)的軍事機(jī)密文件從美國政府的計(jì)算機(jī)網(wǎng)絡(luò)中獲取后提供給了伊拉克，對美軍的確切位置和武器裝備情況，甚至包括愛國者導(dǎo)彈的戰(zhàn)術(shù)技術(shù)參數(shù)一清二楚。如果不是生性多疑的伊拉克總統(tǒng)薩達(dá)姆對情報(bào)的真實(shí)性產(chǎn)生懷疑，海灣戰(zhàn)爭的進(jìn)程可能改寫。,典型的網(wǎng)絡(luò)安全事件,互聯(lián)網(wǎng)應(yīng)急中心（CERT）統(tǒng)計(jì)的網(wǎng)絡(luò)安全事件,網(wǎng)絡(luò)安全事件的預(yù)算計(jì)算公式,4.網(wǎng)絡(luò)安全威脅,網(wǎng)絡(luò)安全威脅分為兩大類: 一類是主動(dòng)攻擊型威脅,如網(wǎng)絡(luò)監(jiān)聽和黑客攻擊,這些威脅都是對方通過網(wǎng)絡(luò)通信連接進(jìn)行的。 另一類就是被動(dòng)型威脅，如計(jì)算機(jī)病毒、木馬、惡意軟件等。這種威脅一般是用戶通過某種途徑感染上的。如：使用了帶病毒的軟盤、光盤、U盤，訪問了帶病毒或木馬或惡意軟件的網(wǎng)頁，點(diǎn)擊了帶病毒或木馬或惡意軟件的圖片，接收了帶病毒或木馬或惡意軟件的郵件等。,1、計(jì)算機(jī)病毒 2、木馬 3、網(wǎng)絡(luò)監(jiān)聽 4、黑客攻擊 5、惡意軟件 6、天災(zāi)人禍,計(jì)算機(jī)信息系統(tǒng)面臨的威脅,典型的網(wǎng)絡(luò)安全威協(xié),授權(quán)侵犯：為某一特定目的被授權(quán)使用某個(gè)系統(tǒng)的的人，將該系統(tǒng)用作其他未授權(quán)的目的 旁路控制：攻擊者發(fā)掘系統(tǒng)的缺陷或弱點(diǎn)，從而滲入系統(tǒng) 拒絕服務(wù)：合法訪問被無條件拒絕和推遲 竊聽：在監(jiān)視通信的過程中獲得信息 電磁泄密：從設(shè)備發(fā)出的輻射中泄露信息 非法使用：資源被某個(gè)未授權(quán)的人或以未授權(quán)的方式使用,典型的網(wǎng)絡(luò)安全威協(xié),信息泄露：信息泄露給未授權(quán)實(shí)體 完整性破壞：對數(shù)據(jù)的未授權(quán)創(chuàng)建、修改或破壞造成數(shù)據(jù)一致性損害 假冒：一個(gè)實(shí)休假裝成另處一個(gè)實(shí)體 物理侵入：入侵者繞過物理控制而獲得對系統(tǒng)的訪問權(quán) 重放：出于非法目的而重新發(fā)送截獲的合法通信數(shù)據(jù)的拷貝,典型的網(wǎng)絡(luò)安全威協(xié),否認(rèn)：參與通信的一方事后否認(rèn)曾經(jīng)發(fā)生過的此次通信 資源耗盡：某一資源被故意超負(fù)荷使用，導(dǎo)致其他用戶的服務(wù)中斷 業(yè)務(wù)流分析：通過對業(yè)務(wù)流模式進(jìn)行觀察（有、無、數(shù)量、方向、頻率等）而使信息泄露給未授權(quán)實(shí)體 特洛伊木馬：含有覺察不出或無害程序段的軟件，當(dāng)它被運(yùn)行時(shí)，會(huì)損害用戶的安全,典型的網(wǎng)絡(luò)安全威協(xié),人員疏忽：一個(gè)授權(quán)的人出于某種動(dòng)機(jī)或由于粗心將信息泄露給未授權(quán)的人 陷門：在某個(gè)系統(tǒng)或者文件中預(yù)先設(shè)置的“機(jī)關(guān)”，使得當(dāng)提供特定的輸入時(shí)，允許違反安全策略。,造成網(wǎng)絡(luò)安全威脅的主要根源,1、系統(tǒng)或程序本身的設(shè)計(jì)不足：通過漏洞掃描工具可以發(fā)現(xiàn)系統(tǒng)或程序本身的設(shè)計(jì)不足。 常用的漏洞掃描工具： A、金山毒霸漏洞掃描工具 B、MBSA2.0.1（Microsoft Baseline Security Analyzer, MBSA）安全漏洞檢測工具,可以到微軟公司的官方網(wǎng)站下載：/technet/security/tools/mbsa2/default.mspx MBSA的主要功能如下： （1）掃描Windows操作系統(tǒng)安全漏洞 （2）進(jìn)行IIS的寶劍分析 （3）進(jìn)行SQL Server的安全分析,造成網(wǎng)絡(luò)安全威脅的主要根源,2、網(wǎng)絡(luò)安全防護(hù)措施不完善 常用網(wǎng)絡(luò)安全防護(hù)措施有： A、軟硬件防火墻 B、網(wǎng)絡(luò)版病毒防護(hù)軟件 C、入侵檢測系統(tǒng) D、網(wǎng)絡(luò)隔離設(shè)備 3、缺乏系統(tǒng)的安全防護(hù)知識 （1）影響網(wǎng)絡(luò)安全的主要因素 A、人為失誤 B、病毒感染,造成網(wǎng)絡(luò)安全威脅的主要根源,C、來自網(wǎng)絡(luò)外部的攻擊 D、來自網(wǎng)絡(luò)內(nèi)部的攻擊 E、系統(tǒng)的漏洞及“后門” （2）安全分層控制方案 A、外部網(wǎng)絡(luò)傳輸控制層：為了保證與外部網(wǎng)絡(luò)連接的安全性，可以從以下四個(gè)方面來考慮： 一、虛擬專網(wǎng)（VPN）技術(shù) 二、身份驗(yàn)證技術(shù) 三、加密技術(shù) 四、網(wǎng)絡(luò)隔離技術(shù) B、內(nèi)/外網(wǎng)間訪問控制層：可以采用以下技術(shù)對內(nèi)/外網(wǎng)的訪問進(jìn)行控制：,造成網(wǎng)絡(luò)安全威脅的主要根源,A、防火墻 B、防毒網(wǎng)關(guān) C、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) D、代理服務(wù)器及路由器 E、安全掃描 F、入侵檢測 （3）內(nèi)部網(wǎng)絡(luò)訪問控制層：從內(nèi)部網(wǎng)絡(luò)訪問控制層進(jìn)行安全防護(hù)，可以采取以下5種措施： A、身份驗(yàn)證 B、權(quán)限控制 C、加密技術(shù) E、安全檢測,造成網(wǎng)絡(luò)安全威脅的主要根源,（4）數(shù)據(jù)存儲層：對數(shù)據(jù)的安全防護(hù)可以有以下多種不同方式： A、使用較安全的數(shù)據(jù)庫系統(tǒng) B、加密技術(shù) C、數(shù)據(jù)庫安全掃描 D、磁盤安全技術(shù) E、容災(zāi)方案 3、日常管理不善： （1） 媒體使用控制不嚴(yán) （2）用戶密碼管理不善 （3）用戶權(quán)限配置不合理 （4）網(wǎng)站訪問控制不嚴(yán) （5）軟件下載、安裝控制不嚴(yán) （6）機(jī)房安全管理不善。,5.網(wǎng)絡(luò)安全體系結(jié)構(gòu),網(wǎng)絡(luò)安全系統(tǒng)的功能,1.身份認(rèn)證 2.存取權(quán)限控制 3.數(shù)字簽名 4.數(shù)據(jù)完整性 5.審計(jì)追蹤 6.密鑰管理,網(wǎng)絡(luò)安全的標(biāo)準(zhǔn),OSI安全體系結(jié)構(gòu)的安全技術(shù)標(biāo)準(zhǔn) ISO在它所制定的國際標(biāo)準(zhǔn)ISO7498-2中描述了OSI安全體系結(jié)構(gòu)的5種安全服務(wù): 1.身份驗(yàn)證 2.訪問控制 3.數(shù)據(jù)保密 4.數(shù)據(jù)完整性 5.抗否認(rèn),可信計(jì)算機(jī)安全評估國際通用標(biāo)準(zhǔn) 在美國,國家計(jì)算機(jī)安全中心(NCSC)負(fù)責(zé)建立可信計(jì)算機(jī)產(chǎn)品的準(zhǔn)則。NCSC建立了可信計(jì)算機(jī)評估標(biāo)準(zhǔn)，TCSEC指出了一些安全等級，被稱作安全級別，其范圍從級別A到級別D：超A1、A1、B3、B2、B1、C2、C1、D1。 其中A是最高級別； 高級別在低級別的基礎(chǔ)上提供進(jìn)一步的安全保護(hù)。,我國計(jì)算機(jī)安全等級劃分與相關(guān)標(biāo)準(zhǔn) 對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和社會(huì)安全，任何國家和不會(huì)輕易相信和接受由另的國家所作的評估結(jié)果。 為保險(xiǎn)起見，通常要通過本國標(biāo)準(zhǔn)的測試才被認(rèn)為可靠。 1989年我國公安部在充分借鑒國際標(biāo)準(zhǔn)的前提下，開始設(shè)計(jì)起草我國的法律和標(biāo)準(zhǔn)，制定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則的國家標(biāo)準(zhǔn)，并于1999年9月13日由國家質(zhì)量監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布，已于2001年1月1日執(zhí)行。,我國計(jì)算機(jī)安全等級劃分與相關(guān)標(biāo)準(zhǔn) GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則是我國計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)的核心，是實(shí)行計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度建設(shè)的重要基礎(chǔ)。將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了5個(gè)等級：,第一級：用戶自主保護(hù)級 第二級：系統(tǒng)審計(jì)保護(hù)級 第三級：安全標(biāo)記保護(hù)級 第四級：結(jié)構(gòu)化保護(hù)級 第五級：訪問驗(yàn)證保護(hù)級,網(wǎng)絡(luò)安全的要素（特征）,保密性confidentiality 完整性integrity 可用性availability 可控性controllability 不可否認(rèn)性Non-repudiation,網(wǎng)絡(luò)安全的要素,1、機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。加密機(jī)制。防泄密 2、完整性：只有得到允許的人才能修改實(shí)體或進(jìn)程，并且能夠判別出實(shí)體或進(jìn)程是否已被修改。完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù) 。防篡改 數(shù)據(jù)完整，hash； 數(shù)據(jù)順序完整，編號連續(xù)，時(shí)間正確。 3、可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò) 。使靜態(tài)信息可見，動(dòng)態(tài)信息可操作。 防中斷,網(wǎng)絡(luò)安全的要素,4、可控性：可控性主要指對危害國家信息（包括利用加密的非法通信活動(dòng)）的監(jiān)視審計(jì)?？刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機(jī)制，控制信息傳播范圍、內(nèi)容，必要時(shí)能恢復(fù)密鑰，實(shí)現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。 5、不可否認(rèn)性：對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“逃不脫“，并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。,網(wǎng)絡(luò)安全涉及知識領(lǐng)域,應(yīng)用安全,系統(tǒng)安全,網(wǎng)絡(luò)安全,物理安全,信息（網(wǎng)絡(luò)）安全涉及方面,管理安全,網(wǎng)絡(luò)安全防護(hù)體系構(gòu)架,網(wǎng)絡(luò)安全評估,安全防護(hù),網(wǎng)絡(luò)安全服務(wù),系統(tǒng)漏洞掃描,網(wǎng)絡(luò)管理評估,病毒防護(hù)體系,網(wǎng)絡(luò)監(jiān)控,數(shù)據(jù)保密,網(wǎng)絡(luò)訪問控制,應(yīng)急服務(wù)體系,安全技術(shù)培訓(xùn),數(shù)據(jù)恢復(fù),網(wǎng)絡(luò)安全防護(hù)體系,6.網(wǎng)絡(luò)安全技術(shù),主機(jī)安全技術(shù) 訪問控制技術(shù) 數(shù)據(jù)加密技術(shù) 身份認(rèn)證技術(shù) 防火墻技術(shù) 防病毒技術(shù) 入侵檢測技術(shù) 漏洞掃描技術(shù) 安全審計(jì)技術(shù) 安全管理技術(shù),計(jì)算機(jī)信息安全的三個(gè)層次,1、安全立法： 2、安全管理 3、安全技術(shù),7.網(wǎng)絡(luò)安全現(xiàn)狀,系統(tǒng)的脆弱性 Internet的無國際性 TCP/IP本身在安全方面的缺陷 網(wǎng)絡(luò)建設(shè)缺少安全方面的考慮（安全滯后） 安全技術(shù)發(fā)展快、人員缺乏 安全管理覆蓋面廣，涉及的層面多。,美國網(wǎng)絡(luò)安全現(xiàn)狀,目前的現(xiàn)狀： 起步早，技術(shù)先進(jìn)，技術(shù)壟斷 美國的情況 引起重視：把信息領(lǐng)域作為國家的重要的基礎(chǔ)設(shè)施。 加大投資：2003年財(cái)政撥款1.057億美圓資助網(wǎng)絡(luò)安全研究， 2007年財(cái)政增至2.27億美圓。,美國提出的行動(dòng)框架是：,在高等教育中，使IT安全成為優(yōu)先課程； 更新安全策略，改善對現(xiàn)有的安全工具的使用； 提高未來的研究和教育網(wǎng)絡(luò)的安全性； 改善高等教育、工業(yè)界、政府之間的合作； 把高等教育中的相關(guān)工作納入國家的基礎(chǔ)設(shè)施保護(hù)工作之中。,我國網(wǎng)絡(luò)安全現(xiàn)狀,1. 用戶防范意識淡薄，網(wǎng)絡(luò)安全問題隨處可見 2. 基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國外，缺乏自主知識產(chǎn)權(quán)產(chǎn)品。 3. 信息犯罪在我國有快速發(fā)展蔓延的趨勢。 4. 我國信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足需要。,8、新形勢下就對網(wǎng)絡(luò)安全的策略,1、進(jìn)一步加大行業(yè)監(jiān)管力度，不斷提升政府的管理職能和效率 。 應(yīng)立足長遠(yuǎn)，因地制宜，對網(wǎng)絡(luò)安全進(jìn)行戰(zhàn)略規(guī)劃，在技術(shù)相對弱勢的情況下，采用非對稱戰(zhàn)略構(gòu)建網(wǎng)絡(luò)安全防御體系，利用強(qiáng)化管理體系來提高網(wǎng)絡(luò)安全整體水平。同時(shí)通過進(jìn)一步理順職能部門責(zé)權(quán)關(guān)系，逐步改變主管、監(jiān)管部門職能不匹配、重疊、交叉和相互沖突等不合理狀況，為網(wǎng)絡(luò)安全工作的有效開展創(chuàng)造最佳的監(jiān)管環(huán)境。,網(wǎng)絡(luò)安全應(yīng)對策略,第一，發(fā)揮監(jiān)管部門的主導(dǎo)作用，不斷強(qiáng)化和充實(shí)管理職能。 第二，盡快建立和完善與網(wǎng)絡(luò)信息安全