信息安全概況課件

信息與網(wǎng)絡(luò)安全概況

中科院信息安全技術(shù)工程研究中心北京中科安勝信息技術(shù)有限公司

蔣建春2000年11月30日內(nèi)容提綱網(wǎng)絡(luò)安全威脅概述因特網(wǎng)安全問題網(wǎng)絡(luò)安全保障系統(tǒng)結(jié)束語網(wǎng)絡(luò)安全威脅概述計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展模式計(jì)算機(jī)網(wǎng)絡(luò)的安全需求計(jì)算網(wǎng)絡(luò)的威脅種類初始時(shí)期~1988研究人員UNIX專家現(xiàn)在研究人員商業(yè)人員新手專家學(xué)生Internet用戶類型變化初始時(shí)期~1988研究信息交換現(xiàn)在研究信息交換金融數(shù)據(jù)個(gè)人信息電子商務(wù)個(gè)人通信娛樂教育Internet使用的變化Internet的優(yōu)勢(shì)和困惑訪問信息及時(shí)信息豐富多彩:集成文字/聲音/圖像不同的社會(huì)文化便宜的通信費(fèi)有利于電子商務(wù)開展沒有統(tǒng)一犯罪法律松散的網(wǎng)絡(luò)管理國與國之間“數(shù)字空間邊界不確定”安全問題嚴(yán)重網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施的依賴關(guān)系1988年蠕蟲事件1.協(xié)議攻擊(主機(jī)之間信任關(guān)系)2.破解弱口令(口令字典庫)3.程序漏洞(SendmailFinger)效果:6000多臺(tái)主機(jī)受到影響美國政府響應(yīng):CERT成立圖CERT/CC應(yīng)急事件處理示意圖攻擊的復(fù)雜度和入侵的技術(shù)知識(shí)示意圖安全相關(guān)數(shù)據(jù)FBI估計(jì),美國每年損失高達(dá)75億美元4/16/96,金融時(shí)報(bào)報(bào) 道,每20秒侵入一臺(tái) INTERNET計(jì)算機(jī)8/21/95,俄羅斯黑客 侵入花旗銀行系統(tǒng), 損失高達(dá)1160萬美元

安全相關(guān)數(shù)據(jù)如果20分鐘產(chǎn)生一種新病毒，通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)計(jì)算機(jī)每20分鐘感染一次，每天開機(jī)聯(lián)網(wǎng)2小時(shí)。則:一年以內(nèi)一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)可能會(huì)被最新病毒感染2190次。各國政府重視信息和網(wǎng)絡(luò)安全

自90年起,英國,法國和荷蘭帶頭,歐洲開始聯(lián)合研制歐洲共同的安全評(píng)測(cè)標(biāo)準(zhǔn),于91頒布ITSEC(信息技術(shù)安全評(píng)測(cè)標(biāo)準(zhǔn))93,加拿大頒布CTCPEC(加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測(cè)標(biāo)準(zhǔn))在上述標(biāo)準(zhǔn)基礎(chǔ)上,美國,加拿大和歐洲研制CC(信息技術(shù)安全評(píng)測(cè)公共標(biāo)準(zhǔn)),于94頒布0.9版,于96頒布1.0版 各國政府重視信息和網(wǎng)絡(luò)安全

96,1,美國公布六十年代后第二個(gè)電信法96,5,NRC(美國國家研究院)出版<密碼在信息社會(huì)安全中的作用>長(zhǎng)篇報(bào)告96,6-7,美國舉行兩次<密鑰托管>聽政會(huì)96,9,NCSA舉行第五屆信息戰(zhàn)研討會(huì)96,10,美國發(fā)布<CLIPPER4>副總統(tǒng)令1997－2000，美國NIST征集AES2001年，美國出臺(tái)AESFIPS 各大企業(yè)重視信息和網(wǎng)絡(luò)安全HP公司推出ICF(國際密碼架構(gòu)),CMW---HPUXB1級(jí)操作系統(tǒng),NORMAN防火墻DIGITAL公司推出獨(dú)具特色的TUNNEL(隧道),防火墻和TP監(jiān)視器產(chǎn)品NOVELL公司的NETWARE4.1于95,8被NCSC確定為C2級(jí)安全網(wǎng)絡(luò)SUN,IBM,ORACLE,GEMPLUS,SYBASEBULL,微軟等均十分重視安全產(chǎn)品

計(jì)算網(wǎng)絡(luò)的威脅類型竊取口令：用來獲取別的用戶口令的方法；社會(huì)工程：通過交談方式獲取到不該得到的信息；錯(cuò)誤和后門：利用系統(tǒng)沒有滿足其規(guī)范要求，或替換有危害的軟件版本；認(rèn)證失效：攻破使用的認(rèn)證機(jī)制；協(xié)議失效：協(xié)議本身不正確的設(shè)計(jì)或?qū)崿F(xiàn)；信息泄漏：使用系統(tǒng)如finger或DNS獲取必要的管理員信息和網(wǎng)絡(luò)正確的操作信息，但也可能被攻擊者利用；拒絕服務(wù)：阻止用戶使用系統(tǒng)；威脅來源與后果黑客入侵來自內(nèi)部的攻擊不良信息的侵入秘密信息的泄漏破壞信息系統(tǒng)和網(wǎng)絡(luò)資源造成信息系統(tǒng)和網(wǎng)絡(luò)癱瘓INTERNET商業(yè)的經(jīng)濟(jì)損失系統(tǒng)固有安全缺陷路由器的安全隱患ANONYMOUSFTP的安全隱患TELNET的安全隱患口令文件的安全隱患X11的安全隱患FINGER的安全隱患GOPHER的安全隱患單獨(dú)用戶和自己數(shù)據(jù)添加用戶安裝或卸載軟件遠(yuǎn)程結(jié)點(diǎn)管理Internet連接管理信息安全目標(biāo)信息保密性信息完整性信息可用性信息可控性信息不可抵賴性計(jì)算機(jī)網(wǎng)絡(luò)的安全目標(biāo)網(wǎng)絡(luò)資源的可用性：無論何時(shí)，網(wǎng)絡(luò)資源必須是可用的，如抗擊拒絕服務(wù)攻擊。網(wǎng)絡(luò)資源的保密性：網(wǎng)絡(luò)服務(wù)要求能防止敏感服務(wù)信息泄露，要求只有在授權(quán)的條件下，才能獲取服務(wù)信息。網(wǎng)絡(luò)資源的完整性：網(wǎng)絡(luò)服務(wù)必須按服務(wù)者提供的信息內(nèi)容不能被非授權(quán)篡改，不管是有意或故意，完整性是對(duì)信息的準(zhǔn)確性和可靠性的評(píng)價(jià)指標(biāo)。網(wǎng)絡(luò)資源使用的非否認(rèn)（抗抵賴）性：取證網(wǎng)絡(luò)運(yùn)行的可控性：根據(jù)特殊要求，可以控制網(wǎng)絡(luò)運(yùn)行、資源授權(quán)等網(wǎng)絡(luò)安全問題協(xié)議安全服務(wù)端安全通信傳輸安全客戶端安全TCP/IP協(xié)議安全LINK協(xié)議層安全：SNIFF

attackICMP協(xié)議安全:ECHOattackCovertChannelARP協(xié)議安全:ARP欺騙IP協(xié)議安全：IP地址偽造、路由欺騙TCP協(xié)議安全：SYNFloodUDP協(xié)議安全：DNS欺騙應(yīng)用協(xié)議安全:明文傳輸網(wǎng)絡(luò)分段/加密/一次性口令過濾ICMP包長(zhǎng)久保留ARPCACHE內(nèi)容\設(shè)置AR安全服務(wù)器限制RIP功能、禁止源路由、IP地址認(rèn)證檢測(cè)加密等等服務(wù)端安全

操作系統(tǒng)安全服務(wù)程序安全系統(tǒng)管理配置安全通信傳輸安全

插入攻擊竊聽重放攻擊篡改數(shù)據(jù)干擾客戶端安全計(jì)算機(jī)病毒破解或竊取用戶口令未經(jīng)授權(quán)操作使用計(jì)算機(jī)安裝黑客程序非安全的操作系統(tǒng)應(yīng)用程序漏洞用戶弱的安全意識(shí)網(wǎng)絡(luò)安全保障措施數(shù)據(jù)加密機(jī)制數(shù)據(jù)簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性檢查認(rèn)證機(jī)制系統(tǒng)脆弱性檢測(cè)構(gòu)筑防火墻系統(tǒng)接上入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)安全攻擊測(cè)試應(yīng)急系統(tǒng)安全管理制定網(wǎng)絡(luò)安全使用制度系統(tǒng)管理員及使用者的安全培訓(xùn)選擇網(wǎng)絡(luò)安全產(chǎn)品整體安全