单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,序言,随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分近年来,在党中央、国务院的领导下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障和促进信息化健康发展发挥了重要作用但是,我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体上还比较落后,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱等与此同时,网上有害信息传播、病毒入侵和网络攻击日趋严重,网络泄密事件屡有发生,网络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖獗,严重危害公众利益和国家安全,影响了我国信息化建设的健康发展随着我国信息化进程的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新的挑战。
信息安全技术与实施,目 录,物理实体安全与防护,2,密码技术与应用,4,信息安全概述,3,1,网络攻击与防范,3,3,数字身份认证,3,5,目 录,入侵检测技术与应用,7,操作系统安全防范,9,防火墙技术与应用,3,6,计算机病毒与防范,3,8,无线网络安全与防范,3,10,第,1,章,信息安全概述,本章内容,信息安全,介绍,1.1,黑客的概念及黑客文化,1.2,针对信息安全的攻击,1.3,网络安全体系,1.4,信息安全的三个层次,1.5,引导案例:,2009,年,1,月,法国海军内部计算机系统的一台计算机受病毒入侵,迅速扩散到整个网络,一度不能启动,海军全部战斗机也因无法“下载飞行指令”而停飞两天仅仅是法国海军内部计算机系统的时钟停摆,法国的国家安全就出现了一个偌大的黑洞设想,若一个国家某一系统或领域的计算机网络系统出现问题或瘫痪,这种损失和危害将是不可想象的,而类似的事件不胜枚举目前,美国政府掌握着信息领域的核心技术,操作系统、数据库、网络交换机的核心技术基本掌握在美国企业的手中微软操作系统、思科交换机的交换软件甚至打印机软件中嵌入美国中央情报局的后门软件已经不是秘密,美国在信息技术研发和信息产品的制造过程中就事先做好了日后对全球进行信息制裁的准备。
1.1,信息安全介绍,随着全球互联网的迅猛发展,越来越多的人亲身体会到了信息化给人们带来的实实在在的便利与实惠,然后任何事情都有两面性,信息化在给经济带来实惠的同时,也产生了新的威胁目前“信息战”已经是现代战争克敌制胜的法宝,例如科索沃战争、海湾战争尤其是美国“,9.11,事件”给世界各国的信息安全问题再次敲响了警钟,因为恐怖组织摧毁的不仅仅是世贸大厦,随之消失的还有众多公司的数据自,2003,年元旦以来,蠕虫病毒“冲击波”对全球范围内的互联网发起了不同程度的攻击,制造了一场规模空前的互联网“网瘫”灾难事件迄今为止,许多组织、单位、实体仍然没有完全走出“冲击波”和“震荡波”的阴影,而,2007,年的“熊猫烧香”又给互联网用户留下了深刻印象计算机攻击事件正以每年,64%,的速度增加另据统计,全球约,20,秒钟就有一次计算机入侵事件发生,,Internet,上的网络防火墙约,1/4,被突破,约有,70%,以上的网络信息主管人员报告因机密信息泄露而受到了损失信息安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科由于目前信息的网络化,信息安全主要表现在网络安全上,所以目前将网络安全与信息安全等同起来(不加严格区分)。
实际上,叫信息安全比较全面、科学信息安全问题已引起了各国政府的高度重视,建立了专门的机构,并出台了相关标准与法规1.1.1,信息安全的概念,信息安全的概念是随着计算机化、网络化、信息化的逐步发展提出来的当前对信息安全的说法比较多,计算机安全、计算机信息系统安全、网络安全、信息安全的叫法同时并存(事实上有区别,各自的侧重点不同)ISO,对计算机系统安全的定义为:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露计算机网络安全的概念:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性建立网络安全保护措施的目的:,确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等针对信息安全,目前没有公认的定义美国国家安全电信和信息系统安全委员会(,NSTISSC,)对信息安全做如下定义:信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家安全,它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全、国家信息安全的总和1.1.2,信息安全的内容,网络信息,安全的内容,物,理,安,全,1,防静电,防盗,防雷击,防火,防电磁泄漏,2,用户身份认证,访问控制,加密,安全管理,逻,辑,安,全,操,作,系,统,安,全,3,联,网,安,全,4,访问控制服务,通信安全服务,1.,物理安全,物理安全是指用来保护计算机网络中的传输介质、网络设备、机房设施安全的各种装置与管理手段。
包括:防盗、防火、防静电、防雷击和防电磁泄露等物理上的安全威胁主要涉及对计算机或人员的访问策略和多,如将计算机系统和关键设备布置在一个安全的环境中,销毁不再使用的敏感文档,保持密码和身份认证部件的安全性,锁住便携式设备等物理安全更多的是依赖于行政的干预手段并结合相关技术如果没有基础的物理保护,物理安全是不可能实现的2.,网络安全,计算机网络的逻辑安全主要通过用户身份认证、访问控制、加密、安全管理等方法来实现1,)用户身份认证身份证明是所有安全系统不可或缺的一个组件它是区别授权用户和入侵者的唯一方法为了实现对信息资源的保护,并知道何人试图获取网络资源的访问权,任何网络资源拥有者都必须对用户进行身份认证2,)访问控制访问控制是制约拥护连接特定网络、计算机与应用程序,获取特定类型数据流量的能力访问控制系统一般针对网络资源进行安全控制区域划分,实施区域防御的策略在区域的物理边界或逻辑边界使用一个许可或拒绝访问的集中控制点3,)加密即,即使访问,控,控制和身,份,份验证系,统,统完全有,效,效,在数,据,据信息通,过,过网络传,送,送时,企,业,业仍然可,能,能面临被,窃,窃听的风,险,险事实,上,上,低成,本,本和连接,的,的简单性,已,已使,Internet,成为企业,内,内和企业,间,间通信的,一,一个极为,诱,诱人的媒,介,介。
同时,,,,无线网,络,络的广泛,使,使用也在,进,进一步加,大,大网络数,据,据被窃听,的,的风险加,加密技术,用,用于针对,窃,窃听提供,保,保护,它,通,通过信息,只,只能被具,有,有解密数,据,据所需密,钥,钥的人员,读,读取来提,供,供信息的,安,安全保护,它与第,三,三方是否,通,通过,Internet,截取数据,包,包无关,,因,因为数据,即,即使在网,络,络上被第,三,三方截取,,,,它也无,法,法获取信,息,息的本义,这种方,法,法可在整,个,个企业网,络,络中使用,,,,包括在,企,企业内部,(,(内部网,),)、企业,之,之间(外,部,部网)或,通,通过公共,Internet,在虚拟专,用,用网(,VPN,)中传送,私,私人数据,加密技,术,术主要包,括,括对称式,和,和非对称,式,式两种,,都,都有许多,不,不同的密,钥,钥算法来,实,实现4,)安全管,理,理安全,系,系统应当,允,允许由授,权,权人进行,监,监视和控,制,制使用,验,验证的任,何,何系统都,需,需要某种,集,集中授权,来,来验证这,些,些身份,,而,而无论它,是,是,UNIX,主机、,WindowsNT,域控制器,还,还是,Novell DirectorySerrvices,(,NDS,)服务器,上,上的,/etc/passwd,文件。
由,于,于能查看,历,历史记录,,,,如突破,防,防火墙的,多,多次失败,尝,尝试,安,全,全系统可,以,以为那些,负,负责保护,信,信息资源,的,的人员提,供,供宝贵的,信,信息一,些,些更新的,安,安全规范,,,,如,IPSEC,,需要包,含,含策略规,则,则数据库,要使系,统,统正确运,行,行,就必,须,须管理所,有,有这些要,素,素但是,,,,管理控,制,制台本身,也,也是安全,系,系统的另,一,一个潜在,故,故障点因,因此,必,须,须确保这,些,些系统在,物,物理上得,到,到安全保,护,护,请确,保,保对管理,控,控制台的,任,任何登录,进,进行验证,3.,操作系统,安,安全计算机操,作,作系统担,负,负着庞大,的,的资源管,理,理,频繁,的,的输入输,出,出控制以,及,及不可间,断,断的用户,与,与操作系,统,统之间的,通,通信任务,由于操,作,作系统具,有,有一权独,大,大的特点,,,,所有针,对,对计算机,和,和网络的,入,入侵及非,法,法访问都,是,是以攫取,操,操作系统,的,的最高权,限,限作为入,侵,侵的目的,因此,,操,操作系统,安,安全的内,容,容就是采,用,用各种技,术,术手段和,采,采用合理,的,的安全策,略,略,降低,系,系统的脆,弱,弱性。
与,过,过去相比,,,,如今的,操,操作系统,性,性能更先,进,进、功能,更,更丰富,,因,因而对使,用,用者来说,更,更便利,,但,但是也增,加,加了安全,漏,漏洞要,减,减少操作,系,系统的安,全,全漏洞,,需,需要对操,作,作系统予,以,以合理配,置,置、管理,和,和监控做,做到这点,的,的秘诀在,于,于集中、,自,自动管理,机,机构(企,业,业)内部,的,的操作系,统,统安全,,而,而不是分,散,散、人工,管,管理每台,计,计算机实,实际上,,如,如果不集,中,中管理操,作,作系统安,全,全,相应,的,的成本和,风,风险就会,非,非常高目,目前所知,道,道的安全,入,入侵事件,,,,一半以,上,上缘于操,作,作系统根,本,本没有合,理,理配置,,或,或者没有,经,经常核查,及,及监控操,操作系统,都,都是以默,认,认安全设,置,置类配置,的,的,因而,极,极容易受,到,到攻击那些人工,更,更改了服,务,务器安全,配,配置的用,户,户,把技,术,术支持部,门,门的资源,都,都过多地,消,消耗于帮,助,助用户处,理,理口令查,询,询上,而,不,不是处理,更,更重要的,网,网络问题,。
考虑到,这,这些弊端,,,,许多管,理,理员任由,服,服务器操,作,作系统以,默,默认状态,运,运行这,样,样一来,,服,服务器可,以,以马上投,入,入运行,,但,但却大大,增,增大了安,全,全风险现有技术,可,可以减轻,管,管理负担,要加强,机,机构(企,业,业)网络,内,内操作系,统,统的安全,,,,需要做,到,到以下三,方,方面:,首先对网,络,络上的服,务,务器进行,配,配置应该,在,在一个地,方,方进行,,大,大多数用,户,户大概需,要,要数十种,不,不同的配,置,置然后,,,,这些配,置,置文件的,一,一个镜像,或,或一组镜,像,像在软件,的,的帮助下,可,可以通过,网,网络下载,软件能,够,够自动管,理,理下载过,程,程,不需,要,要为每台,服,服务器手,工,工下载此,此外,即,使,使有些重,要,要的配置,文,文件,也,不,不应该让,本,本地管理,员,员对每台,服,服务器分,别,别配置,,最,最好。