計(jì)算機(jī)網(wǎng)絡(luò)安全概述及環(huán)境搭建

第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述及環(huán)境搭建 主要內(nèi)容 1 1 1網(wǎng)絡(luò)安全的發(fā)展史 1 網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生互聯(lián)網(wǎng)較強(qiáng)的開(kāi)放性 分散性和交互性等特點(diǎn) 提供信息共享 信息服務(wù)和信息交流同時(shí)帶來(lái)很多安全問(wèn)題 1 1 1網(wǎng)絡(luò)安全的發(fā)展史 2 網(wǎng)絡(luò)安全的現(xiàn)狀目前各種領(lǐng)域的計(jì)算機(jī)犯罪和網(wǎng)絡(luò)侵權(quán)行為在數(shù)量 規(guī)模 手段的方面都已經(jīng)到了令人吃驚的地步 美國(guó)每年由于網(wǎng)絡(luò)安全問(wèn)題而遭受的經(jīng)濟(jì)損失超過(guò)170億美元 德國(guó) 英國(guó)也均在數(shù)十億美元以上 法國(guó)為100億法郎 日本 新加坡問(wèn)題也很?chē)?yán)重 我國(guó)的網(wǎng)絡(luò)安全事件的發(fā)生率也在不斷的上升 據(jù)我國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 簡(jiǎn)稱(chēng)CNCERT CC 統(tǒng)計(jì) 2007年上半年我國(guó)發(fā)生的各類(lèi)網(wǎng)絡(luò)安全事件數(shù)大大超出了06年 甚至有些事件超出了06年全年該類(lèi)事件的總和 1 1 1網(wǎng)絡(luò)安全的發(fā)展史 3 網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)1 實(shí)施網(wǎng)絡(luò)攻擊主體的變化網(wǎng)絡(luò)攻擊行為已經(jīng)從原先的由好奇心重 喜歡炫耀攻防能力的興趣型黑客群向更具犯罪思想的贏利型的攻擊人群過(guò)渡 2 網(wǎng)絡(luò)攻擊的主要手段的變化網(wǎng)絡(luò)攻擊的手段很多 主要包含拒絕服務(wù)攻擊 非法接入 IP欺騙 網(wǎng)絡(luò)嗅探 中間人攻擊 木馬攻擊以及信息垃圾等 隨著攻擊技術(shù)的不斷發(fā)展 攻擊的手段也由原來(lái)單一的攻擊手段向結(jié)合多種攻擊手段的綜合性攻擊發(fā)展 如網(wǎng)絡(luò)嗅探 拒絕服務(wù) 木馬等攻擊手段的結(jié)合將帶來(lái)更大的危害 3 企業(yè)內(nèi)部對(duì)安全威脅的認(rèn)識(shí)的變化隨著企業(yè)網(wǎng)絡(luò)邊界安全體系的基本完善 網(wǎng)絡(luò)安全事件仍然不斷發(fā)生 內(nèi)部員工安全管理上的不足和員工上網(wǎng)使用不當(dāng)?shù)刃袨閹?lái)的安全風(fēng)險(xiǎn)更為嚴(yán)重 1 1 2網(wǎng)絡(luò)安全的定義 國(guó)際標(biāo)準(zhǔn)化組織 ISO 對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù) 保護(hù)計(jì)算機(jī)硬件 軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞 更改和泄露 1 1 3網(wǎng)絡(luò)安全的相關(guān)法規(guī) 保證計(jì)算機(jī)網(wǎng)絡(luò)的安全不僅取決于在技術(shù)上的進(jìn)步 還依賴(lài)社會(huì)法律 法規(guī)的完善 西方發(fā)達(dá)國(guó)家 特別是美國(guó)和日本是計(jì)算機(jī)網(wǎng)絡(luò)安全上的立法比較完善的國(guó)家 而一般的發(fā)展中國(guó)家和第三世界國(guó)家網(wǎng)絡(luò)安全上的立法還不夠完善 在我國(guó) 政府對(duì)信息安全和網(wǎng)絡(luò)安全問(wèn)題非常重視 并積極推動(dòng)網(wǎng)絡(luò)安全管理和安全立法工作 目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫(xiě)入中華人民共和國(guó)憲法 1982年8月23日寫(xiě)入中華人民共和國(guó)商標(biāo)法 于1984年3月12日寫(xiě)入中華人民共和國(guó)專(zhuān)利法 于1988年9月 日寫(xiě)入中華人民共和國(guó)保守國(guó)家秘密法 于1993年9月2日寫(xiě)入中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法 近些年 我國(guó)還陸續(xù)頒布了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法 中國(guó)互聯(lián)網(wǎng)域名注冊(cè)實(shí)施細(xì)則 等法規(guī)性文件 并在新刑法中明確了計(jì)算機(jī)犯罪與計(jì)算機(jī)違法行為的區(qū)別 1 1 4網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn) 1 國(guó)際的評(píng)價(jià)標(biāo)準(zhǔn)在國(guó)際上 發(fā)布于1985年的美國(guó)國(guó)防部可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn) TrustedComputerStandardsEvaluationCriteria TCSEC 即網(wǎng)絡(luò)安全橙皮書(shū) 是世界上第一個(gè)關(guān)于信息產(chǎn)品安全的評(píng)價(jià)標(biāo)準(zhǔn) 1 1 4網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn) 2 國(guó)內(nèi)的評(píng)價(jià)標(biāo)準(zhǔn)在我國(guó)根據(jù) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 1999年10月經(jīng)過(guò)國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計(jì)算機(jī)安全保護(hù)劃分為以下五個(gè)級(jí)別 第四級(jí) 第三級(jí) 第二級(jí) 第一級(jí) 結(jié)構(gòu)化保護(hù) 安全標(biāo)記保護(hù)級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) 用戶(hù)自主保護(hù)級(jí) 第五級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí) 1 2 1網(wǎng)絡(luò)安全威脅的來(lái)源 1 內(nèi)部威脅 1 錯(cuò)誤使用和濫用關(guān)鍵 敏感數(shù)據(jù)和計(jì)算資源 無(wú)論是有不滿(mǎn)情緒的員工的故意破壞 還是沒(méi)有訪問(wèn)關(guān)鍵系統(tǒng)權(quán)限的員工因誤操作而進(jìn)入關(guān)鍵系統(tǒng) 由此而造成的數(shù)據(jù)泄露 偷竊 損壞或刪除將給企業(yè)帶來(lái)很大的負(fù)面影響 2 因不當(dāng)使用Internet接入而降低生產(chǎn)率 不當(dāng)使用Internet資源不但會(huì)浪費(fèi)員工的時(shí)間 還會(huì)增加計(jì)算機(jī)網(wǎng)絡(luò)的負(fù)擔(dān) 降低了人員與網(wǎng)絡(luò)的工作效率 3 如果工作人員發(fā)送 接收和查看攻擊性材料 可能會(huì)形成敵意的工作環(huán)境 從而增大內(nèi)耗 通常 對(duì)內(nèi)部威脅的防御往往只能通過(guò)對(duì)內(nèi)部員工的教育來(lái)解決 使之理解網(wǎng)絡(luò)安全的重要性 如提示員工保管好自己的帳號(hào)和密碼 不要讓別人來(lái)使用 密碼還需妥善保管且需定期更換 另外 還要警惕不要輕易直接打開(kāi)外來(lái)的文件 而是先經(jīng)過(guò)病毒掃描后再進(jìn)行打開(kāi) 1 2 1網(wǎng)絡(luò)安全威脅的來(lái)源 2 外部威脅外部威脅主要來(lái)自網(wǎng)絡(luò)外部的入侵 這種入侵行為通常不易被發(fā)現(xiàn) 造成的影響也比較嚴(yán)重 而且當(dāng)今來(lái)之外部的威脅也越來(lái)越多 發(fā)動(dòng)這種攻擊或入侵行為的可能來(lái)自網(wǎng)絡(luò)外部的任何人 如黑客或者網(wǎng)絡(luò)安全愛(ài)好者 因此對(duì)攻擊的目的和來(lái)源也很難判斷 數(shù)據(jù)通信鏈路很容易進(jìn)行接入竊聽(tīng) 因此它往往是不安全的 也很容易成為外部威脅的目標(biāo) 如果與互聯(lián)網(wǎng)相連 則最容易受到此類(lèi)的攻擊 對(duì)外部威脅的防范也有很多方法 可以對(duì)數(shù)據(jù)通信鏈路進(jìn)行加密 例如 使用虛擬專(zhuān)用網(wǎng) VPN 技術(shù)對(duì)不安全的通信鏈路進(jìn)行加密傳輸 也可以通過(guò)設(shè)置訪問(wèn)控制列表 ACL 來(lái)限制某些通信數(shù)據(jù)等 1 2 2網(wǎng)絡(luò)安全威脅的種類(lèi) 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 1 物理安全性物理安全也即物理環(huán)境的安全性 它包括通信線路的安全 物理設(shè)備的安全 機(jī)房的安全等 它主要涉及到 防火 防靜電 防雷擊 防電磁輻射和防盜等 例如 在機(jī)房?jī)?nèi)可配置UPS不間斷電源 以保證停電時(shí)或異常情況時(shí)切換到由UPS供電 使計(jì)算機(jī)系統(tǒng)內(nèi)存數(shù)據(jù)及程序不受影響 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 2 操作系統(tǒng)安全性該層次的安全問(wèn)題主要來(lái)自網(wǎng)絡(luò)中主機(jī)上使用的操作系統(tǒng)的安全 如WindowsNT 2000 XP 2003 vista系列 Linux Unix系列 Netware以及其他專(zhuān)用操作系統(tǒng) 其安全主要包括操作系統(tǒng)的安全配置 操作系統(tǒng)的漏洞檢測(cè) 操作系統(tǒng)的漏洞修補(bǔ)等 它是衡量網(wǎng)絡(luò)操作系統(tǒng)安全性 可靠性的依據(jù) 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 3 網(wǎng)絡(luò)的安全性網(wǎng)絡(luò)的安全問(wèn)題一般是指網(wǎng)絡(luò)信息的安全性 包括網(wǎng)絡(luò)身份認(rèn)證 網(wǎng)絡(luò)資源的訪問(wèn)控制 數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性 遠(yuǎn)程接入的安全 域名系統(tǒng)的安全 路由系統(tǒng)的安全 防火墻應(yīng)用 病毒防范和入侵檢測(cè)的手段等手段 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 4 應(yīng)用安全性該層次的安全考慮業(yè)務(wù)網(wǎng)絡(luò)對(duì)用戶(hù)提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性 應(yīng)用層安全要求能保護(hù)合法用戶(hù)對(duì)數(shù)據(jù)的合法存取 阻止非法用戶(hù)對(duì)數(shù)據(jù)進(jìn)行非授權(quán)的訪問(wèn) 轉(zhuǎn)移 修改和破壞 它包括身份認(rèn)證 訪問(wèn)控制 數(shù)據(jù)庫(kù)系統(tǒng)中數(shù)據(jù)的安全性等幾方面 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 5 管理安全性網(wǎng)絡(luò)安全管理主要包括安全技術(shù)和設(shè)備的管理 安全管理制度 部門(mén)與人員的組織規(guī)則等 管理的制度化將對(duì)整個(gè)網(wǎng)絡(luò)安全起著重要作用 嚴(yán)格的安全管理制度 明確的部門(mén)安全職責(zé)劃分 合理的人員角色配置都可以在很大程度上降低其他層次的安全漏洞 1 3 2網(wǎng)絡(luò)安全防御體系設(shè)計(jì) 網(wǎng)絡(luò)安全防御體系是一個(gè)動(dòng)態(tài)的 基于時(shí)間變化的概念 為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能 保證信息的完整性 可用性 可控性和不可否認(rèn)性 在設(shè)計(jì)網(wǎng)絡(luò)安全防御體系時(shí)需結(jié)合不同的安全保護(hù)因素 多層 安全互動(dòng)的安全防護(hù)將大大增加黑客攻擊的難度和成本 因此他們對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊也將大大減少 1 3 3網(wǎng)絡(luò)安全防御體系工作流程 1 攻擊前的防范攻擊前的防范主要是負(fù)責(zé)對(duì)日常的防御工作及對(duì)實(shí)時(shí)的消息進(jìn)行防御 一般防火墻作為第一道防范 負(fù)責(zé)控制進(jìn)入網(wǎng)絡(luò)的訪問(wèn)控制 即進(jìn)行了日常的防御工作 也對(duì)事實(shí)的消息進(jìn)行了防御 接著 系統(tǒng)漏洞檢測(cè)系統(tǒng) 安全評(píng)估軟件一個(gè)從內(nèi)一個(gè)從外 詳細(xì)地掃描安全漏洞并一一列舉系統(tǒng)的漏洞 并給出最佳解決方法 另外 郵件過(guò)濾系統(tǒng) PKI VPN等都是進(jìn)行日常的防御工作 1 3 3網(wǎng)絡(luò)安全防御體系工作流程 2 攻擊過(guò)程中的防范攻擊過(guò)程中的防范主要是負(fù)責(zé)對(duì)實(shí)時(shí)的攻擊做出反應(yīng) 預(yù)警系統(tǒng) 入侵檢測(cè)系統(tǒng)檢測(cè)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行進(jìn)一步檢查 綜合分析各種信息 動(dòng)態(tài)分析