信息與網(wǎng)絡(luò)安全概述

防火墻及入侵檢測技術(shù),任課教師：路凱E-mail:lukai0373,課程總體目標(biāo),1.了解防火墻出現(xiàn)的意義,2.了解網(wǎng)絡(luò)中的安全策略,3.掌握防火墻的基本概念和相關(guān)術(shù)語,4.掌握防火墻的關(guān)鍵技術(shù),5.能夠配置防火墻常見功能,6.學(xué)會防火墻的實(shí)際應(yīng)用,7.能夠配置和使用入侵檢測系統(tǒng),課程進(jìn)程表,防火墻的高級應(yīng)用防火墻病毒檢查防火墻日志查看,Vpn的基本原理Vpn的配置Vpn的具體應(yīng)用,信息安全概論防火墻基本概念防火墻基本功能防火墻工作模式防火墻地址轉(zhuǎn)換,第1-4周,第5-8周,第9-12周,第13-16周,入侵檢測系統(tǒng)原理入侵檢測系統(tǒng)配置和使用復(fù)習(xí),考核方式,考試課期末成績=筆試成績*60%+平時(shí)成績*40%平時(shí)成績包括出勤和上機(jī)實(shí)驗(yàn),信息與網(wǎng)絡(luò)安全概述,名詞概念澄清,信息安全網(wǎng)絡(luò)安全信息與網(wǎng)絡(luò)安全網(wǎng)絡(luò)與信息安全統(tǒng)稱：信息安全,你心目中的信息安全？,電影中的密電碼、間諜、特工電話竊聽，破譯密碼網(wǎng)絡(luò)黑客計(jì)算機(jī)病毒都是，但不全面,對信息安全的錯(cuò)誤認(rèn)識,黑客,什么是信息安全？,信息是一種資產(chǎn)，它像其他重要的資產(chǎn)一樣，具有很大價(jià)值，因此需要給予適當(dāng)?shù)谋Ｗo(hù)信息安全的目的就是要保護(hù)信息免受各方面的威脅，盡可能地減少損失什么是信息？信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義通常情況下，可以把信息理解為消息、信號、數(shù)據(jù)、情報(bào)和知識,信息安全的主要特征,保密性：確保信息只被授權(quán)人訪問。防被動(dòng)攻擊。保證信息不被泄漏給未經(jīng)授權(quán)的人。完整性：防主動(dòng)攻擊。防止信息被未經(jīng)授權(quán)的篡改。可用性：保證信息及信息系統(tǒng)在任何需要時(shí)可為授權(quán)者所用?？煽匦裕簩π畔⒓靶畔⑾到y(tǒng)實(shí)施安全監(jiān)控不可否認(rèn)性：防抵賴,為何需要信息安全？,從國家的角度講，信息安全要保護(hù)的是國家的“信息邊疆”隨著通信技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展，國家各級黨政機(jī)關(guān)電子政務(wù)網(wǎng)絡(luò)的普遍建設(shè)和應(yīng)用，使得計(jì)算機(jī)網(wǎng)絡(luò)中涉及國家機(jī)密的信息安全面臨極大的威脅，已經(jīng)成為敵對勢力竊取的主要目標(biāo)。,為何需要信息安全？,從公眾的角度講，信息安全保護(hù)的是公眾信息系統(tǒng)和信息服務(wù)隨著社會信息化步伐的加快，人們對信息系統(tǒng)和信息服務(wù)的依賴性也越來越強(qiáng)，這意味著信息系統(tǒng)更容易受到安全威脅的攻擊，而且，一旦被攻擊，造成的影響也就越來越大。公眾網(wǎng)與專用網(wǎng)的互連互通，各種信息資源的共享，又加大了實(shí)現(xiàn)信息安全訪問控制的難度。分布式計(jì)算的趨勢，在很大程度上，減弱了集中式安全控制的有效性。,為何需要信息安全？,從商業(yè)角度講，信息安全保護(hù)的是商業(yè)資產(chǎn)信息又是重要的資產(chǎn)。信息的保密性、完整性和可用性對維持相關(guān)機(jī)構(gòu)的競爭優(yōu)勢、現(xiàn)金流動(dòng)、盈利性、合法性和商業(yè)形象等至關(guān)重要。,信息與網(wǎng)絡(luò)安全概述,信息與網(wǎng)絡(luò)安全的本質(zhì)和內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性信息安全的六大目標(biāo)網(wǎng)絡(luò)安全的主要威脅網(wǎng)絡(luò)安全的攻擊手段網(wǎng)絡(luò)安全的八大機(jī)制,推薦電影,戰(zhàn)爭游戲（WarGames）黑客帝國系列防火墻（Firewall）第十三層（TheThirteenthFloor）黑客（Hackers）約翰尼記憶術(shù)（JohnnyMnemonic）無懈可擊國產(chǎn),推薦電影,社交網(wǎng)絡(luò),信息與網(wǎng)絡(luò)安全的本質(zhì)和內(nèi)容,網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。信息安全是對信息的保密性、完整性和可用性的保護(hù)，包括物理安全、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全、信息內(nèi)容安全和信息基礎(chǔ)設(shè)施安全等。網(wǎng)絡(luò)安全主要涉及網(wǎng)絡(luò)安全威脅的主要類型、網(wǎng)絡(luò)攻擊的手段、網(wǎng)絡(luò)安全機(jī)制、網(wǎng)絡(luò)安全技術(shù)以及信息安全等級標(biāo)準(zhǔn)等方面內(nèi)容。,信息與網(wǎng)絡(luò)安全的目標(biāo),進(jìn)不來,拿不走,看不懂,改不了,跑不了,信息安全概念與技術(shù)的發(fā)展,信息安全的概念與技術(shù)是隨著人們的需求，隨著計(jì)算機(jī)、通信與網(wǎng)絡(luò)等信息技術(shù)的發(fā)展而不斷發(fā)展的。,單機(jī)系統(tǒng)的信息保密階段,網(wǎng)絡(luò)信息安全階段,信息保障階段,網(wǎng)絡(luò)信息安全階段,該階段中，除了采用和研究各種加密技術(shù)外，還開發(fā)了許多針對網(wǎng)絡(luò)環(huán)境的信息安全與防護(hù)技術(shù)（被動(dòng)防御）：安全漏洞掃描技術(shù)、安全路由器、防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)攻防技術(shù)、網(wǎng)絡(luò)監(jiān)控與審計(jì)技術(shù)等。,信息保障階段,信息保障（IA）概念與思想是20世紀(jì)90年代由美國國防部長辦公室提出。定義：通過確保信息和信息系統(tǒng)的可用性、完整性、可控性、保密性和不可否認(rèn)性來保護(hù)信息系統(tǒng)的信息作戰(zhàn)行動(dòng)，包括綜合利用保護(hù)、探測和反應(yīng)能力以恢復(fù)系統(tǒng)的功能。美國國家安全局制定的信息保障技術(shù)框架IATF，提出“縱深防御策略”DiD（Defense-in-DepthStrategy）。信息保障階段不僅包含安全防護(hù)的概念，更重要的是增加了主動(dòng)和積極的防御觀念。,計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性,體系結(jié)構(gòu)的脆弱性。網(wǎng)絡(luò)體系結(jié)構(gòu)要求上層調(diào)用下層的服務(wù)，上層是服務(wù)調(diào)用者，下層是服務(wù)提供者，當(dāng)下層提供的服務(wù)出錯(cuò)時(shí)，會使上層的工作受到影響。網(wǎng)絡(luò)通信的脆弱性。網(wǎng)絡(luò)安全通信是實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間、網(wǎng)絡(luò)設(shè)備與主機(jī)節(jié)點(diǎn)之間進(jìn)行信息交換的保障，然而通信協(xié)議或通信系統(tǒng)的安全缺陷往往危及到網(wǎng)絡(luò)系統(tǒng)的整體安全。網(wǎng)絡(luò)操作系統(tǒng)的脆弱性。目前的操作系統(tǒng)，無論是Windows、UNIX還是Netware都存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將對整個(gè)網(wǎng)絡(luò)系統(tǒng)造成巨大的損失。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的脆弱性。隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)應(yīng)用系統(tǒng)也可能存在安全漏洞，這些漏洞一旦被發(fā)現(xiàn)和利用將可能導(dǎo)致數(shù)據(jù)被竊取或破壞，應(yīng)用系統(tǒng)癱瘓，甚至威脅到整個(gè)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)管理的脆弱性。在網(wǎng)絡(luò)管理中，常常會出現(xiàn)安全意識淡薄、安全制度不健全、崗位職責(zé)混亂、審計(jì)不力、設(shè)備選型不當(dāng)和人事管理漏洞等，這種人為造成的安全漏洞也會威脅到整個(gè)網(wǎng)絡(luò)的安全。,信息安全的六大目標(biāo),信息安全,可靠性可用性真實(shí)性保密性完整性不可抵賴性,可靠性,可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性?？煽啃园ǎ河布煽啃攒浖煽啃酝ㄓ嵖煽啃匀藛T可靠性環(huán)境可靠性,可用性,可用性即網(wǎng)絡(luò)信息系統(tǒng)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性；或者是網(wǎng)絡(luò)信息系統(tǒng)部分受損或需要降級使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性。,真實(shí)性,確保網(wǎng)絡(luò)信息系統(tǒng)的訪問者與其聲稱的身份是一致的；確保網(wǎng)絡(luò)應(yīng)用程序的身份和功能與其聲稱的身份和功能是一致的；確保網(wǎng)絡(luò)信息系統(tǒng)操作的數(shù)據(jù)是真實(shí)有效的數(shù)據(jù)。,保密性,保密性是防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，只允許授權(quán)用戶訪問的特性。保密性是一種面向信息的安全性，它建立在可靠性和可用性的基礎(chǔ)之上，是保障網(wǎng)絡(luò)信息系統(tǒng)安全的基本要求。,完整性,完整性是信息在未經(jīng)合法授權(quán)時(shí)不能被改變的特性，也就是信息在生成、存儲或傳輸過程中保證不被偶然或蓄意地刪除、修改、偽造、亂序、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成、正確存儲和正確傳輸。,不可抵賴性,不可抵賴性也稱作不可否認(rèn)性，即在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作的特性。,網(wǎng)絡(luò)安全的主要威脅,主要威脅,內(nèi)部竊密和破壞竊聽和截收非法訪問(以未經(jīng)授權(quán)的方式使用網(wǎng)絡(luò)資源)破壞信息的完整性(通過篡改、刪除和插入等方式破壞信息的完整性)冒充(攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網(wǎng)絡(luò)正常通訊或欺騙合法主機(jī)和合法用戶。)流量分析攻擊(分析通信雙方通信流量的大小，以期獲得相關(guān)信息。)其他威脅(病毒、電磁泄漏、各種自然災(zāi)害、戰(zhàn)爭、失竊、操作失誤等),信息與網(wǎng)絡(luò)安全的攻擊手段,物理破壞竊聽數(shù)據(jù)阻斷攻擊數(shù)據(jù)篡改攻擊數(shù)據(jù)偽造攻擊數(shù)據(jù)重放攻擊盜用口令攻擊中間人攻擊緩沖區(qū)溢出攻擊,分發(fā)攻擊野蠻攻擊SQL注入攻擊計(jì)算機(jī)病毒蠕蟲后門攻擊欺騙攻擊拒絕服務(wù)攻擊特洛伊木馬,網(wǎng)絡(luò)攻擊,被動(dòng)攻擊竊聽或者偷窺流量分析,被動(dòng)攻擊非常難以檢測，但可以防范,源,目的,sniffer,網(wǎng)絡(luò)攻擊,主動(dòng)攻擊可以檢測，但難以防范,主動(dòng)攻擊：指攻擊者對某個(gè)連接的中的PDU（協(xié)議數(shù)據(jù)單元）進(jìn)行各種處理(更改、刪除、遲延、復(fù)制、偽造等),阻斷攻擊,篡改攻擊,偽造攻擊,重放攻擊,拒絕服務(wù)攻擊,物理破壞,攻擊者可以直接接觸到信息與網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和周邊環(huán)境設(shè)備。通過對硬件設(shè)備、網(wǎng)絡(luò)線路、電源、空調(diào)等的破壞，使系統(tǒng)無法正常工作，甚至導(dǎo)致程序和數(shù)據(jù)無法恢復(fù)。,竊聽,一般情況下，攻擊者偵聽網(wǎng)絡(luò)數(shù)據(jù)流，獲取通信數(shù)據(jù)，造成通信信息外泄，甚至危及敏感數(shù)據(jù)的安全。其中的一種較為普遍的是sniffer攻擊（snifferattack）。sniffer是指能解讀、監(jiān)視、攔截網(wǎng)絡(luò)數(shù)據(jù)交換并且閱讀數(shù)據(jù)包的程序或設(shè)備。,數(shù)據(jù)阻斷攻擊,攻擊者在不破壞物理線路的前提下，通過干擾、連接配置等方式，阻止通信各方之間的數(shù)據(jù)交換。,阻斷攻擊,數(shù)據(jù)篡改攻擊,攻擊者在非法讀取數(shù)據(jù)后，進(jìn)行篡改數(shù)據(jù)，以達(dá)到通信用戶無法獲得真實(shí)信息的攻擊目的。,篡改攻擊,數(shù)據(jù)偽造攻擊,攻擊者在了解通信協(xié)議的前提下，偽造數(shù)據(jù)包發(fā)給通訊各方，導(dǎo)致通訊各方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯(cuò)誤。,偽造攻擊,數(shù)據(jù)重放攻擊,攻擊者盡管不了解通信協(xié)議的格式和內(nèi)容，但只要能夠?qū)€路上的數(shù)據(jù)包進(jìn)行竊聽，就可以將收到的數(shù)據(jù)包再度發(fā)給接收方，導(dǎo)致接收方的信息系統(tǒng)無法正常的工作，或者造成數(shù)據(jù)錯(cuò)誤。,重放攻擊,盜用口令攻擊,盜用口令攻擊（password-basedattacks）攻擊者通過多種途徑獲取用戶合法賬號進(jìn)入目標(biāo)網(wǎng)絡(luò)，攻擊者也就可以隨心所欲地盜取合法用戶信息以及網(wǎng)絡(luò)信息；修改服務(wù)器和網(wǎng)絡(luò)配置；增加、篡改和刪除數(shù)據(jù)等等。,中間人攻擊,中間人攻擊（man-in-the-middleattack）是指通過第三方進(jìn)行網(wǎng)絡(luò)攻擊，以達(dá)到欺騙被攻擊系統(tǒng)、反跟蹤、保護(hù)攻擊者或者組織大規(guī)模攻擊的目的。中間人攻擊類似于身份欺騙，被利用作為中間人的的主機(jī)稱為RemoteHost（黑客取其諧音稱之為“肉雞”）。網(wǎng)絡(luò)上的大量的計(jì)算機(jī)被黑客通過這樣的方式控制，將造成巨大的損失，這樣的主機(jī)也稱做僵尸主機(jī)。,緩沖區(qū)溢出攻擊,緩沖區(qū)溢出（又稱堆棧溢出）攻擊是最常用的黑客技術(shù)之一。攻擊者輸入的數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)的長度，覆蓋其它數(shù)據(jù)區(qū)，造成應(yīng)用程序錯(cuò)誤，而覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是黑客的入侵程序代碼，黑客就可以獲取程序的控制權(quán)。,后門攻擊,后門攻擊（backdoorattack）是指攻擊者故意在服務(wù)器操作系統(tǒng)或應(yīng)用系統(tǒng)中制造一個(gè)后門，以便可以繞過正常的訪問控制。攻擊者往往就是設(shè)計(jì)該應(yīng)用系統(tǒng)的程序員。,欺騙攻擊,欺騙攻擊可以分為地址欺騙、電子信件欺騙、WEB欺騙和非技術(shù)類欺騙。攻擊者隱瞞個(gè)人真實(shí)信息，欺騙對方，以達(dá)到攻擊的目的。,拒絕服務(wù)攻擊,DoS（DenialofService，拒絕服務(wù)攻擊）的目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。常見的方式是：使用極大的通信量沖擊網(wǎng)絡(luò)系統(tǒng)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致網(wǎng)絡(luò)系統(tǒng)無法向合法的用戶提供服務(wù)。如果攻擊者組織多個(gè)攻擊點(diǎn)對一個(gè)或多個(gè)目標(biāo)同時(shí)發(fā)動(dòng)DoS攻擊，就可以極大地提高DoS攻擊的威力，這種方式稱為DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊。,分發(fā)攻擊,攻擊者在硬件和軟件的安裝配置期間，利用分發(fā)過程去破壞；或者是利用系統(tǒng)或管理人員向用戶分發(fā)帳號和密碼的過程竊取資料。,野蠻攻擊,野蠻攻擊包括字典攻擊和窮舉攻擊。字典攻擊是使用常用的術(shù)語或單詞列表進(jìn)行驗(yàn)證，攻擊取決于字典的范圍和廣度。由于人們往往偏愛簡單易記的口令，字典攻擊的成功率往往很高。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。窮舉攻擊采用排列組合的方式生成密碼。一般從長度為1的口令開始，按長度遞增進(jìn)行嘗試攻擊。,SQL注入攻擊,攻擊者利用被攻擊主機(jī)的SQL數(shù)據(jù)庫和網(wǎng)站的漏洞來實(shí)施攻擊，入侵者通過提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果獲得攻擊者想得知的數(shù)據(jù)，從而達(dá)到攻擊目的。,計(jì)算機(jī)病毒與蠕蟲,計(jì)算機(jī)病毒（ComputerVirus）是指編制者編寫的一組計(jì)算機(jī)指令或者程序代碼，它能夠進(jìn)行傳播和自我復(fù)制，修改其他的計(jì)算機(jī)程序并奪取控制權(quán)，以達(dá)到破壞數(shù)據(jù)、阻塞通信及破壞計(jì)算機(jī)軟硬件功能的目的。蠕蟲也是一種程序，它可以通過網(wǎng)絡(luò)等途徑將自身的全部代碼或部分代碼復(fù)制、傳播給其他的計(jì)算機(jī)系統(tǒng)，但它在復(fù)制、傳播時(shí)，不寄生于病毒宿主之中。蠕蟲病毒是能夠是寄生于被感染主機(jī)的蠕蟲程序，具有病毒的全部特成，通常利用計(jì)算機(jī)系統(tǒng)的漏洞在網(wǎng)絡(luò)上大規(guī)模傳播。,特洛伊木馬,特洛伊木馬簡稱木馬，它由兩部分組成：服務(wù)器程序和控制器程序，當(dāng)主機(jī)被裝上服務(wù)器程序，攻擊者就可以使用控制器程序通過網(wǎng)絡(luò)來控制主機(jī)。木馬通常是利用蠕蟲病毒、黑客入侵或者使用者的疏忽將服務(wù)器程序安裝到主機(jī)上的。,網(wǎng)絡(luò)安全的八大機(jī)制,數(shù)據(jù)加密機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制數(shù)字簽名機(jī)制實(shí)體認(rèn)證機(jī)制業(yè)務(wù)填充機(jī)制路由控制機(jī)制公證機(jī)制,數(shù)據(jù)加密機(jī)制,密碼技術(shù)是保障信息安全的核心技術(shù)。消息被稱為明文。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密。加了密的消息稱為密文。而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)。信息加密也是現(xiàn)代密碼學(xué)主要組成部分。,訪問控制機(jī)制,訪問控制的目的是防止對信息資源的非授權(quán)訪問和非授權(quán)使用信息資源。它允許用戶對其常用的信息庫進(jìn)行適當(dāng)權(quán)限的訪問，限制他隨意刪除、修改或拷貝信息文件。訪問控制技術(shù)還可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡(luò)中的活動(dòng)，及時(shí)發(fā)現(xiàn)并拒絕“黑客”的入侵。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時(shí)，根據(jù)每個(gè)用戶的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和基于角色的訪問控制（RBAC）,數(shù)據(jù)完整性機(jī)制,是保護(hù)數(shù)據(jù)，以免未授權(quán)的數(shù)據(jù)亂序、丟失、重放、插入和纂改。數(shù)據(jù)完整性機(jī)制的兩個(gè)方面單個(gè)數(shù)據(jù)單元或字段的完整性（不能防止單個(gè)數(shù)據(jù)單元的重放）數(shù)據(jù)單元串或字段串的完整性,還要加上順序號、時(shí)間標(biāo)記和密碼鏈,數(shù)字簽名機(jī)制,傳統(tǒng)簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化，基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被自動(dòng)驗(yàn)證,實(shí)體認(rèn)證機(jī)制,用于認(rèn)證交換的技術(shù)認(rèn)證信息，如口令密碼技術(shù)被認(rèn)證實(shí)體的特征為防止重放攻擊，常與以下技術(shù)結(jié)合使用時(shí)間戳兩次或三次握手?jǐn)?shù)字簽名