信息安全基础与策略主要内容n 一 信息安全概况n 二 入侵手段n 三 安全概念与安全体系n 四 安全技术n 五 安全策略一 信息安全概况n安全威胁n威胁来源n产品和市场n国家安全战略n研究与开发n安全人才一安全威胁n政府、军事、邮电和金融网络是黑客攻击的主要目标即便已经拥有高性能防火墙等安全产品,依然抵挡不住这些黑客对网络和系统的破坏据统计,几乎每20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过100亿美元美国每年网络安全因素造成的损失达170亿美元一安全威胁n2003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统,窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料n2001年中美黑客网上大战时,国内外的上千个门户网站遭到破坏安全威胁n2003年1月25日,互联网上出现一种新型高危蠕虫病毒“2003蠕虫王”全球25万台计算机遭袭击,全世界范围内损失额最高可达12亿美元n美欲用电脑赢战争,网络特种兵走入无硝烟战场过去几天来,数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件正当美国士兵被大量派往海湾之时,美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。
安全威胁n中国国内80%网站有安全隐患,20网站有严重安全问题n中国的银行过去两年损失1.6亿人民币n利用计算机网络进行的各类违法行为在中国以每年30%的速度递增,而已发现的黑客攻击案只占总数的30%威胁来源n网络和系统的自身缺陷与脆弱性n网络及其协议的开放性n黑客攻击与计算机病毒n国家、政治、商业和个人利益冲突020406080100120140160200020012002200320042005年份市场规模(亿美元)00.050.10.150.20.250.3增长率世界网络安全产品市场95.50%45.00%5.00%4.50%4.00%3.50%1.50%1.00%0.00%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%100.00%1防病毒防火墙授权和认证VPN入侵检测漏洞扫描加密与数字签名企业级系统扫描和专家管理系统其它国内安全产品使用年份050001000015000200002500030000350004000020002001200220032004市场规模(万美元)47.00%48.00%49.00%50.00%51.00%52.00%53.00%54.00%55.00%56.00%57.00%58.00%增长率中国网络安全产品市场产品和市场n中国信息安全产品测评认证中心每年认证的安全产品达十几类,上百种。
n 19982000 安全产品300多个n 20012002 安全产品600多个n几百家国内外厂商,投资金额巨大国家安全战略n1998年5月22日,克林顿政府颁布对关键基础设施保护的政策:第63号总统令,2000年颁布信息系统保护国家计划v1.0n2002年9月18日和20日,布什政府颁布保护网络空间的国家战略(草案)和美国国家安全战略n 2003年2月14日布什政府颁布保护网络空间的国家战略 和反恐国家战略国家安全战略n2002年7月19日“国家信息安全保障体系战略研讨会”在北京科技会堂召开,由中国工程院和国家信息化工作办公室主办,由交大信息安全体系结构研究中心承办n2003年4月6日“信息安全保障发展战略研讨会”在北京燕京饭店举办,由信息安全国家重点实验室主办学术研究和技术开发n国家863信息安全技术主题课题n研究所和重点实验室n高校的专业方向安全人才需求n国家重点科研项目的需求n专业安全产品公司的需求n应用行业的管理、应用和维护的需求n对网络信息安全人才的需求在今后几年内将超过100万,但专业的网络与信息安全机构在国内却屈指可数n网络信息安全已经初步形成一个产业,根据权威职业调查机构的预测表明,信息安全人才必将成为信息时代最热门的抢手人才。
主要内容n 一 信息安全概况n 二 入侵手段n 三 安全概念与安全体系n 四 安全技术n 五 安全策略攻击:欺骗攻击:窃听攻击:数据窃取攻击:数据篡改攻击:系统弱密码入侵攻击:拒绝服务(Dos)常见DOS工具Bonk通过发送大量伪造的UDP数据包导致系统重启动 TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃 SynFlood通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动 Bloop 通过发送大量的ICMP数据包导致系统变慢甚至凝固 Jolt 通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动 实例:SynFlood现象n攻击者伪造源地址,发出Syn请求n服务器端性能变慢,以及死机n服务器上所以服务都不能正常使用SynFlood原理Syn 伪造源地址(1.1.1.1)IP:211.100.23.11.1.1.1(TCP连接无法建立,造成TCP等待超时)Ack 大量的伪造数据包发向服务器端攻击:DDOS攻击n美国几个著名的商业网站(例如Yahoo、eBay、CNN、Amazon、等)遭受黑客大规模的攻击,造成这些高性能的商业网站长达数小时的瘫痪而据统计在这整个行动中美国经济共损失了十多亿美元。
n这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视DDOS攻击示意图DDOS攻击的效果n由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具也就是说,在短短的一小时内可以入侵数千台主机并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击,这一数据量相当于1.04亿人同时拨打某公司的一部号码Anti-Anti-detectiondetectionpasswordpasswordguessingguessingself-replicatingself-replicatingcodecodepasswordpasswordtrackingtrackingexploitingexploitingknownknownvulnerabilitiesvulnerabilitiesdisablingdisablingauditsauditsbackbackdoorsdoorshijackinghijackingsessionssessionsstealthstealthdiagnosticsdiagnosticspacket forging,packet forging,spoofingspoofing攻击攻击工具工具攻击者需要的技能攻击者需要的技能Web-crawlerWeb-crawlerattacksattacks网络攻击发展趋势网络黑客特征n大多数黑客为16到25岁之间的男性n大多数黑客是“机会主义者”n高级黑客 安全知识+黑客工具+耐心n新互联网环境下出现的有明确政治、商业目的的职业黑客典型黑客攻击过程n自我隐藏n网络刺探和信息收集n确认信任的网络组成n寻找网络组成的弱点n利用弱点实施攻击n攻破后的善后工作主要内容n 一 信息安全概况n 二 入侵手段n 三 安全概念与安全体系n 四 安全技术n 五 安全策略安全涉及的因素ISO信息安全定义n为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
信息安全属性n保密性n完整性n真实性n可用性n可控性巨大的安全隐患n互联网正与通讯网,电视网结合,但科学家声称:互联网(至今)存在致命的弱点如果容纳高连接率节点的网络遭到黑客恶意的攻击,摧毁关键性骨干节点,则互联网瘫痪是一瞬间的事人民日报海外版2000年7月31日)安全防护理论模型安全是过程n安全存在于过程n安全不仅仅是一个产品,它是一个汇集了硬件、软件、网络、人以及他们之间相互关系和接口的系统n安全最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏,而是网络管理人员、企业经理人和用户对安全知识的忽视安全是个连续的过程安全体系结构防火墙防火墙安全网关安全网关VPNVPN反病毒反病毒风险评估风险评估入侵检测入侵检测审计分析审计分析用户用户/组管理组管理单机登录单机登录身份认证身份认证访问控制访问控制授权授权加密加密存储备份存储备份安全防护体系结构安全防护手段q 边界防护边界防护 防火墙 路由器 交换机q 节点防护节点防护 主机入侵检测 单机查杀病毒 安全审计 漏洞扫描q 区域防护区域防护 网络监控分析 网络查杀病毒 网络入侵检测q 核心防护核心防护 VPN CA 强身份认证 存储备份安全防护比例安全实施体系n安全法规与标准n安全策略n安全技术与产品n安全管理n安全人才与培训主要内容n一 信息安全概况n 二 入侵手段n 三 安全概念与安全体系n 四 安全技术n 五 安全策略网络信息安全的关键技术 常用的安全技术手段n加密技术n身份认证技术n防火墙技术n病毒防治技术n入侵检测技术nVPN技术加密解密明文密文原始明文加密技术n消息被称为明文。
用某种方法伪装消息以隐藏它的内容的过程称为加密,加了密的消息称为密文,而把密文转变为明文的过程称为解密n明文用M(消息)或P(明文)表示,密文用C表示加密函数E(M)=C;解密函数D(C)=M;nD(E(M)=M对称对称密码密码非对非对称密称密码码加密技术对称加密非对称加密身份认证n身份认证的过程n身份证实(Identity Verification)n“你是否是你所声称的你?”n身份识别(Identity Recognition)n“我是否知道你是谁?”n身份认证的方式n动态口令EPEPlogin:login:SmithSmithchallenge:6729330challenge:6729330response:response:开启认证卡电源开启认证卡电源60406040输入输入 PIN PIN 来启动认证来启动认证卡卡EPEP672933067293302188655218865521886552188655你你现在现在已已认证认证成功成功!输入输入 ChallengeChallenge输入输入 response response 动态口令举例 I In nt te er rn ne et t 防火墙的概念信任网络信任网络防火墙防火墙非信任网络非信任网络 防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问,以达到保护系统安全的目的。
重要信息资源进行非法存取和访问,以达到保护系统安全的目的防火墙的基本功能n数据包过滤(Packet Filtering)n 网络地址转换(Network Address Translation)n 应用级代理(Proxy Service)n 身份认证(Authentication)n 虚拟专用网(Virtual Private Network防火墙的发展历程时间时间1基于路由器基于路由器的防火墙的防火墙2用户化的防火墙用户化的防火墙工具套件工具套件3建立在通用操作建立在通用操作系统上的防火墙系统上的防火墙4具有安全操作系统具有安全操作系统的防火墙的防火墙性能性能q 包过滤型包过滤型q 代理服务型代理服务型q 状态检测型状态检测型防火墙的体系结构n双重宿主主机结构双重宿主主机结构n 屏蔽主机结构屏蔽主机结构n 屏蔽子网结构屏蔽子网结构入侵检测的概念和作用入侵检测即通过从网络系统中的若干关键节点入侵检测即通过从网络系统中的若干关键节点并并信息,信息,网络中是否有违反安全策略的行为或者是否存在入网络中是否有违反安全策略的行为或者是否存在入侵行为它能够它能够提供提供、和和等多等多项功能,对项功能,对、和和进行实时监控,在网进行实时监控,在网络安全技术中起到了不可替代的作用。
络安全技术中起到了不可替代的作用入侵检测的主要功能 n 实时入侵检测与响应n 警报信息分类、查询功能n 引擎集中管理功能n 策略管理功能n 警报信息的统计和报表功能n 分级用户管理功能异常入侵检测原理误用入侵检测原理入侵检测系统的体系结构n 基于主机的入侵检测系统结构n 基于网络的入侵检测系统结构n 基于分布式的入侵检测系统结构传统VPN联网方式公司总部公司总部办事处办事处/SOHO公共网络公共网络VPN通道通道VPN设备设备VPN设备设备VPN设备设备VPN client基于OSI参考模型的VPN技术应用层表示层会晤层传输层网络层数据链路层物理层网络层攻击网络层攻击数据链路攻击数据链路攻击应用层攻击应用层攻击SETSSLIPSEC/VPN/防火墙VLAN,L2TP,PPTP信道加密安全协议安全协议应用层表示层会晤层传输层网络层数据链路层物理层发展历程最早出现的是专门为UNIX系统编写的一些只具有简单功能的小程序,多数由黑客在业余时间编写特点是功能单一,通常只能进行端口或CGI扫描等等;使用复杂,通常只有黑客才能够熟练使用;源代码开放Nmap即是其代表作品99年以前,出现的功能较为强大的商业化产品,特点是测试项数目较多,使用简单。
但是通常只是简单的把各个扫描测试项的执行结果罗列出来,直接提供给测试者而不对信息进行任何分析处理对结果的评估分析、报告功能很弱这时期的产品,主要功能还是扫描CyberCop和ISS Scanner是其中的代表近两年,主要商业化产品均运行Windows操作系统平台上,充分利用了WINDOWS平台上界面的友好性和开发的简单行正在进行由安全扫描程序到安全评估专家系统的过渡不但使用简单方便,能够将对单个主机的扫描结果整理,形成报表,能够并对具体漏洞提出一些解决方法但目前产品对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案系统分类n基于网络的安全评估产品n对关键网络及设备进行安全评估n 基于主机的安全评估产品n对关键主机进行安全评估n 专用安全评估产品n如数据库安全评估产品系统工作原理 I In nt te er rn ne et t 主要功能n网络安全评估功能n 评估分析结果报表n 服务检查功能n 隔离检查的功能n 实用工具 主要内容n 一 信息安全概况n 二 入侵手段n 三 安全概念与安全体系n 四 安全技术n 五 安全策略安全策略的概念n安全策略是一种处理安全问题的管理策略的描述。
策略要能对某个安全主题进行描绘,探讨其必要性和重要性,解释清楚什么该做什么不该做n安全策略必须遵循三个基本概念:确定性、完整性和有效性编制网络安全策略的目的n说明正在保护什么以及保护的原因n决定首先要保护的东西和付出相应代价的优先次序n根据安全的价值和机构内的不同部门制定明确的协议策略包含的基本内容n我们正在保护什么n保护的方法n责任n如何正确使用n后果的处理策略的基本组成n物理安全策略n互联网安全策略n数据访问控制、加密与备份安全策略n病毒防护安全策略n系统安全及授权策略 n身份认证策略n灾难恢复及事故处理、紧急响应策略 n口令管理策略 有效的安全策略平衡可用性、完整性和机密性木桶理论安全防护持之以恒小结n一 信息安全概况n 二 入侵手段n 三 安全概念与安全体系n 四 安全技术n 五 安全策略谢 谢!。