信息與網(wǎng)絡(luò)安全概述(PPT-47張)課件

1、信息與網(wǎng)絡(luò)安全概述信息與網(wǎng)絡(luò)安全概述信息與網(wǎng)絡(luò)安全的本質(zhì)和內(nèi)容計算機網(wǎng)絡(luò)的脆弱性信息安全的六大目標網(wǎng)絡(luò)安全的主要威脅網(wǎng)絡(luò)安全的攻擊手段網(wǎng)絡(luò)安全的八大機制信息與網(wǎng)絡(luò)安全的本質(zhì)和內(nèi)容網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。信息安全是對信息的保密性、完整性和可用性的保護，包括物理安全、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全、信息內(nèi)容安全和信息基礎(chǔ)設(shè)施安全等。網(wǎng)絡(luò)安全主要涉及網(wǎng)絡(luò)安全威脅的主要類型、網(wǎng)絡(luò)攻擊的手段、網(wǎng)絡(luò)安全機制、網(wǎng)絡(luò)安全技術(shù)以及信息安全等級標準等方面內(nèi)容。信息與網(wǎng)絡(luò)安全的目標進不來拿不走看不懂改不了跑不了信息安全概念與技術(shù)的發(fā)展信息安全的概念與技術(shù)是隨著人們的需求，隨著計算機、通信與網(wǎng)絡(luò)等信息技術(shù)

2、的發(fā)展而不斷發(fā)展的。單機系統(tǒng)的信息保密階段網(wǎng)絡(luò)信息安全階段信息保障階段網(wǎng)絡(luò)信息安全階段該階段中，除了采用和研究各種加密技術(shù)外，還開發(fā)了許多針對網(wǎng)絡(luò)環(huán)境的信息安全與防護技術(shù)（被動防御）：安全漏洞掃描技術(shù)、安全路由器、防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)攻防技術(shù)、網(wǎng)絡(luò)監(jiān)控與審計技術(shù)等。1988年莫里斯蠕蟲爆發(fā)對網(wǎng)絡(luò)安全的關(guān)注與研究CERT成立信息保障階段信息保障（IA）概念與思想是20世紀90年代由美國國防部長辦公室提出。定義：通過確保信息和信息系統(tǒng)的可用性、完整性、可控性、保密性和不可否認性來保護信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護、探測和反應(yīng)能力以恢復(fù)系統(tǒng)的功能。美國國家安全局制定的信息保障技術(shù)

3、框架IATF，提出“縱深防御策略”DiD（Defense-in-Depth Strategy）。信息保障階段不僅包含安全防護的概念，更重要的是增加了主動和積極的防御觀念。計算機網(wǎng)絡(luò)的脆弱性體系結(jié)構(gòu)的脆弱性。網(wǎng)絡(luò)體系結(jié)構(gòu)要求上層調(diào)用下層的服務(wù)，上層是服務(wù)調(diào)用者，下層是服務(wù)提供者，當(dāng)下層提供的服務(wù)出錯時，會使上層的工作受到影響。網(wǎng)絡(luò)通信的脆弱性。網(wǎng)絡(luò)安全通信是實現(xiàn)網(wǎng)絡(luò)設(shè)備之間、網(wǎng)絡(luò)設(shè)備與主機節(jié)點之間進行信息交換的保障，然而通信協(xié)議或通信系統(tǒng)的安全缺陷往往危及到網(wǎng)絡(luò)系統(tǒng)的整體安全。網(wǎng)絡(luò)操作系統(tǒng)的脆弱性。目前的操作系統(tǒng)，無論是Windows、UNIX還是Netware都存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)

4、和利用將對整個網(wǎng)絡(luò)系統(tǒng)造成巨大的損失。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的脆弱性。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)應(yīng)用系統(tǒng)也可能存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將可能導(dǎo)致數(shù)據(jù)被竊取或破壞，應(yīng)用系統(tǒng)癱瘓，甚至威脅到整個網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)管理的脆弱性。在網(wǎng)絡(luò)管理中，常常會出現(xiàn)安全意識淡薄、安全制度不健全、崗位職責(zé)混亂、審計不力、設(shè)備選型不當(dāng)和人事管理漏洞等，這種人為造成的安全漏洞也會威脅到整個網(wǎng)絡(luò)的安全。信息安全的六大目標信 息 安 全可靠性可用性真實性保密性完整性不可抵賴性可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性?？煽啃园ǎ河布煽啃攒浖煽啃酝ㄓ嵖煽啃匀藛T可靠性環(huán)

5、境可靠性可用性可用性即網(wǎng)絡(luò)信息系統(tǒng)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性；或者是網(wǎng)絡(luò)信息系統(tǒng)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)的特性。真實性確保網(wǎng)絡(luò)信息系統(tǒng)的訪問者與其聲稱的身份是一致的；確保網(wǎng)絡(luò)應(yīng)用程序的身份和功能與其聲稱的身份和功能是一致的；確保網(wǎng)絡(luò)信息系統(tǒng)操作的數(shù)據(jù)是真實有效的數(shù)據(jù)。保密性保密性是防止信息泄漏給非授權(quán)個人或?qū)嶓w，只允許授權(quán)用戶訪問的特性。保密性是一種面向信息的安全性，它建立在可靠性和可用性的基礎(chǔ)之上，是保障網(wǎng)絡(luò)信息系統(tǒng)安全的基本要求。完整性完整性是信息在未經(jīng)合法授權(quán)時不能被改變的特性，也就是信息在生成、存儲或傳輸過程中保證不被偶然或蓄意地刪除、修改、偽造

6、、亂序、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、正確存儲和正確傳輸。不可抵賴性不可抵賴性也稱作不可否認性，即在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中所有參與者都不可能否認或抵賴曾經(jīng)完成的操作的特性。網(wǎng)絡(luò)安全的主要威脅主 要 威 脅內(nèi)部竊密和破壞竊聽和截收非法訪問(以未經(jīng)授權(quán)的方式使用網(wǎng)絡(luò)資源)破壞信息的完整性(通過篡改、刪除和插入等方式破壞信息的完整性)冒充(攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網(wǎng)絡(luò)正常通訊或欺騙合法主機和合法用戶。)流量分析攻擊(分析通信雙方通信流量的大小，以期獲得相關(guān)信息。)其他威脅(病毒、電磁泄漏、各種自然災(zāi)害、戰(zhàn)爭、失竊

7、、操作失誤等)信息與網(wǎng)絡(luò)安全的攻擊手段物理破壞竊聽數(shù)據(jù)阻斷攻擊數(shù)據(jù)篡改攻擊數(shù)據(jù)偽造攻擊數(shù)據(jù)重放攻擊盜用口令攻擊中間人攻擊緩沖區(qū)溢出攻擊分發(fā)攻擊野蠻攻擊SQL注入攻擊計算機病毒蠕蟲后門攻擊欺騙攻擊拒絕服務(wù)攻擊特洛伊木馬 網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部人員威脅拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息泄漏、篡改、破壞后門、隱蔽通道蠕蟲社會工程天災(zāi)系統(tǒng)Bug網(wǎng)絡(luò)攻擊被動攻擊竊聽或者偷窺流量分析被動攻擊非常難以檢測，但可以防范源目的sniffer網(wǎng)絡(luò)攻擊主動攻擊可以檢測，但難以防范主動攻擊：指攻擊者對某個連接的中的PDU進行各種處理(更改、刪除、遲延、復(fù)制、偽造等)阻斷攻擊篡改攻擊偽造攻擊重放攻擊拒絕服務(wù)

8、攻擊物理破壞攻擊者可以直接接觸到信息與網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和周邊環(huán)境設(shè)備。通過對硬件設(shè)備、網(wǎng)絡(luò)線路、電源、空調(diào)等的破壞，使系統(tǒng)無法正常工作，甚至導(dǎo)致程序和數(shù)據(jù)無法恢復(fù)。竊聽一般情況下，攻擊者偵聽網(wǎng)絡(luò)數(shù)據(jù)流，獲取通信數(shù)據(jù)，造成通信信息外泄，甚至危及敏感數(shù)據(jù)的安全。其中的一種較為普遍的是sniffer 攻擊（sniffer attack）。sniffer是指能解讀、監(jiān)視、攔截網(wǎng)絡(luò)數(shù)據(jù)交換并且閱讀數(shù)據(jù)包的程序或設(shè)備。數(shù)據(jù)阻斷攻擊攻擊者在不破壞物理線路的前提下，通過干擾、連接配置等方式，阻止通信各方之間的數(shù)據(jù)交換。阻斷攻擊數(shù)據(jù)篡改攻擊攻擊者在非法讀取數(shù)據(jù)后，進行篡改數(shù)據(jù)，以達到通信用戶無法獲得真實信息

9、的攻擊目的。篡改攻擊數(shù)據(jù)偽造攻擊攻擊者在了解通信協(xié)議的前提下，偽造數(shù)據(jù)包發(fā)給通訊各方，導(dǎo)致通訊各方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯誤。偽造攻擊數(shù)據(jù)重放攻擊攻擊者盡管不了解通信協(xié)議的格式和內(nèi)容，但只要能夠?qū)€路上的數(shù)據(jù)包進行竊聽，就可以將收到的數(shù)據(jù)包再度發(fā)給接收方，導(dǎo)致接收方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯誤。重放攻擊盜用口令攻擊盜用口令攻擊（password-based attacks）攻擊者通過多種途徑獲取用戶合法賬號進入目標網(wǎng)絡(luò)，攻擊者也就可以隨心所欲地盜取合法用戶信息以及網(wǎng)絡(luò)信息；修改服務(wù)器和網(wǎng)絡(luò)配置；增加、篡改和刪除數(shù)據(jù)等等。中間人攻擊中間人攻擊（man-in-the-

10、middle attack）是指通過第三方進行網(wǎng)絡(luò)攻擊，以達到欺騙被攻擊系統(tǒng)、反跟蹤、保護攻擊者或者組織大規(guī)模攻擊的目的。中間人攻擊類似于身份欺騙，被利用作為中間人的的主機稱為Remote Host（黑客取其諧音稱之為“肉雞”）。網(wǎng)絡(luò)上的大量的計算機被黑客通過這樣的方式控制，將造成巨大的損失，這樣的主機也稱做僵尸主機。緩沖區(qū)溢出攻擊緩沖區(qū)溢出（又稱堆棧溢出）攻擊是最常用的黑客技術(shù)之一。攻擊者輸入的數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)的長度，覆蓋其它數(shù)據(jù)區(qū)，造成應(yīng)用程序錯誤，而覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是黑客的入侵程序代碼，黑客就可以獲取程序的控制權(quán)。后門攻擊后門攻擊（backdoor attack）是指

11、攻擊者故意在服務(wù)器操作系統(tǒng)或應(yīng)用系統(tǒng)中制造一個后門，以便可以繞過正常的訪問控制。攻擊者往往就是設(shè)計該應(yīng)用系統(tǒng)的程序員。欺騙攻擊欺騙攻擊可以分為地址欺騙、電子信件欺騙、WEB欺騙和非技術(shù)類欺騙。攻擊者隱瞞個人真實信息，欺騙對方，以達到攻擊的目的。拒絕服務(wù)攻擊DoS（Denial of Service，拒絕服務(wù)攻擊）的目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。常見的方式是：使用極大的通信量沖擊網(wǎng)絡(luò)系統(tǒng)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致網(wǎng)絡(luò)系統(tǒng)無法向合法的用戶提供服務(wù)。如果攻擊者組織多個攻擊點對一個或多個目標同時發(fā)動DoS攻擊，就可以極大地提高DoS攻擊的威力，這種方式稱為DDoS（Dist

12、ributed Denial of Service，分布式拒絕服務(wù)）攻擊。分發(fā)攻擊攻擊者在硬件和軟件的安裝配置期間，利用分發(fā)過程去破壞；或者是利用系統(tǒng)或管理人員向用戶分發(fā)帳號和密碼的過程竊取資料。野蠻攻擊野蠻攻擊包括字典攻擊和窮舉攻擊。字典攻擊是使用常用的術(shù)語或單詞列表進行驗證，攻擊取決于字典的范圍和廣度。由于人們往往偏愛簡單易記的口令，字典攻擊的成功率往往很高。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。窮舉攻擊采用排列組合的方式生成密碼。一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。SQL注入攻擊攻擊者利用被攻擊主機的SQL數(shù)據(jù)庫和網(wǎng)站的漏洞來實施攻擊，入侵者通過提交一段數(shù)據(jù)庫查

13、詢代碼，根據(jù)程序返回的結(jié)果獲得攻擊者想得知的數(shù)據(jù)，從而達到攻擊目的。計算機病毒與蠕蟲計算機病毒（Computer Virus）是指編制者編寫的一組計算機指令或者程序代碼，它能夠進行傳播和自我復(fù)制，修改其他的計算機程序并奪取控制權(quán)，以達到破壞數(shù)據(jù)、阻塞通信及破壞計算機軟硬件功能的目的。蠕蟲也是一種程序，它可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼復(fù)制、傳播給其他的計算機系統(tǒng)，但它在復(fù)制、傳播時，不寄生于病毒宿主之中。蠕蟲病毒是能夠是寄生于被感染主機的蠕蟲程序，具有病毒的全部特成，通常利用計算機系統(tǒng)的漏洞在網(wǎng)絡(luò)上大規(guī)模傳播。特洛伊木馬特洛伊木馬簡稱木馬，它由兩部分組成：服務(wù)器程序和控制器程序，當(dāng)

14、主機被裝上服務(wù)器程序，攻擊者就可以使用控制器程序通過網(wǎng)絡(luò)來控制主機。木馬通常是利用蠕蟲病毒、黑客入侵或者使用者的疏忽將服務(wù)器程序安裝到主機上的。網(wǎng)絡(luò)安全的八大機制數(shù)據(jù)加密機制訪問控制機制數(shù)據(jù)完整性機制數(shù)字簽名機制實體認證機制業(yè)務(wù)填充機制路由控制機制公證機制數(shù)據(jù)加密機制密碼技術(shù)是保障信息安全的核心技術(shù)。消息被稱為明文。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密。加了密的消息稱為密文。而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)。信息加密也是現(xiàn)代密碼學(xué)主要組成部分。訪問控制機制訪問控制的目的是防止對信息資源的非授權(quán)訪問和非授權(quán)使用信息資源。它允許

15、用戶對其常用的信息庫進行適當(dāng)權(quán)限的訪問，限制他隨意刪除、修改或拷貝信息文件。訪問控制技術(shù)還可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡(luò)中的活動，及時發(fā)現(xiàn)并拒絕“黑客”的入侵。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時，根據(jù)每個用戶的任務(wù)特點使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）數(shù)據(jù)完整性機制是保護數(shù)據(jù)，以免未授權(quán)的數(shù)據(jù)亂序、丟失、重放、插入和纂改。數(shù)據(jù)完整性機制的兩個方面單個數(shù)據(jù)單元或字段的完整性（不能防止單個數(shù)據(jù)單元的重放）數(shù)據(jù)單元串或字段串的完整性發(fā)送方接收方附加一個量比較這個量還要加上順序

16、號、時間標記和密碼鏈數(shù)字簽名機制傳統(tǒng)簽名的基本特點: 能與被簽的文件在物理上不可分割 簽名者不能否認自己的簽名 簽名不能被偽造 容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求: 能與所簽文件“綁定” 簽名者不能否認自己的簽名 簽名不能被偽造 容易被自動驗證實體認證機制用于認證交換的技術(shù)認證信息，如口令密碼技術(shù)被認證實體的特征為防止重放攻擊，常與以下技術(shù)結(jié)合使用時間戳兩次或三次握手數(shù)字簽名路由控制機制路由控制機制可使信息發(fā)送者選擇特殊的路由，以保證連接、傳輸?shù)陌踩?。其基本功能為：路由選擇 路由可以動態(tài)選擇，也可以預(yù)定義，以便只用物理上安全的子網(wǎng)、中繼或鏈路進行連接和/或傳輸；路由連接 在監(jiān)測到持

17、續(xù)的操作攻擊時，端系統(tǒng)可能同志網(wǎng)絡(luò)服務(wù)提供者另選路由，建立連接；安全策略 攜帶某些安全標簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼或路。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要求回避某些特定的子網(wǎng)、中繼或鏈路進行連接和/或傳輸。業(yè)務(wù)填充機制所謂的業(yè)務(wù)填充即使在業(yè)務(wù)閑時發(fā)送無用的隨機數(shù)據(jù)，增加攻擊者通過通信流量獲得信息的困難，是一種制造假的通信、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生數(shù)據(jù)的安全機制。該機制可用于提供對各種等級的保護，用來防止對業(yè)務(wù)進行分析，同時也增加了密碼通訊的破譯難度。發(fā)送的隨機數(shù)據(jù)應(yīng)具有良好的模擬性能，能夠以假亂真。該機制只有在業(yè)務(wù)填充受到保密性服務(wù)時才有效。可利用該機制不

18、斷地在網(wǎng)絡(luò)中發(fā)送偽隨機序列, 使非法者無法區(qū)分有用信息和無用信息。公證機制有關(guān)在兩個或多個實體之間通信的數(shù)據(jù)的性質(zhì), 如完整性、原發(fā)、時間和目的地等能夠借助公證機制而得到確保。這種保證是由第三方公證人提供的。公證人為通信實體所信任, 并掌握必要信息以一種可證實方式提供所需的保證。每個通信實例可使用數(shù)字簽名、加密和完整性機制以適應(yīng)公證人提供的服務(wù)。當(dāng)這種公證機制被用到時, 數(shù)據(jù)便在參與通信的實體之間經(jīng)由受保護的通信和公證方進行通信普適性安全機制安全標簽事件檢測審計跟蹤安全恢復(fù)1、不是井里沒有水，而是你挖的不夠深。不是成功來得慢，而是你努力的不夠多。2、孤單一人的時間使自己變得優(yōu)秀，給來的人一個驚

19、喜，也給自己一個好的交代。3、命運給你一個比別人低的起點是想告訴你，讓你用你的一生去奮斗出一個絕地反擊的故事，所以有什么理由不努力!4、心中沒有過分的貪求，自然苦就少?？诶锊徽f多余的話，自然禍就少。腹內(nèi)的食物能減少，自然病就少。思緒中沒有過分欲，自然憂就少。大悲是無淚的，同樣大悟無言。緣來盡量要惜，緣盡就放。人生本來就空，對人家笑笑，對自己笑笑，笑著看天下，看日出日落，花謝花開，豈不自在，哪里來的塵埃!5、心情就像衣服，臟了就拿去洗洗，曬曬，陽光自然就會蔓延開來。陽光那么好，何必自尋煩惱，過好每一個當(dāng)下，一萬個美麗的未來抵不過一個溫暖的現(xiàn)在。6、無論你正遭遇著什么，你都要從落魄中站起來重振旗鼓，要繼續(xù)保持熱忱，要繼續(xù)保持微笑，就像從未受傷過一樣。7、生命的美麗，永遠展現(xiàn)在她的進取之中;就像大樹的美麗，是展現(xiàn)在它負勢向上高聳入云的蓬勃生機中;像雄鷹的美麗，是展現(xiàn)在它搏風(fēng)擊雨如蒼天之魂的翱翔中;像江河的美麗，是展現(xiàn)在它波濤洶涌一瀉千里的奔流中。8、有些事，不可避免地發(fā)生，陰晴圓缺皆有規(guī)律，我們只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改變它的軌跡。9、與其埋怨世界，不如改變自己。管好自己的心，做好自己的事，比什么都強。人生無完美，曲折亦風(fēng)景。別把失去看得過重