3.24k likes | 3.45k Views
信息与网络安全. 中山大学信息与网络中心 李磊 博士 lilei@mail.sysu.edu.cn 2007 年 8 月. 主要参考文献. 李磊,网络工程师考前辅导,清华大学出版社, 2007 祝晓光,网络安全设备与技术,清华大学出版社, 2004 Andrews S. Tanenbaum ,计算机网络(第 4 版),清华大学出版社, 2004 阙喜戎、孙锐、龚向阳、王纯编著,信息安全原理及应用,清华大学出版社, 2003 卢昱、林琪,网络安全技术,中国物资出版社, 2001 齐丁,计算机信息系统安全等级保护基本知识介绍,广东省公安厅网监处,内部资料.
E N D
信息与网络安全 中山大学信息与网络中心 李磊 博士 lilei@mail.sysu.edu.cn 2007年8月
主要参考文献 • 李磊,网络工程师考前辅导,清华大学出版社,2007 • 祝晓光,网络安全设备与技术,清华大学出版社,2004 • Andrews S. Tanenbaum,计算机网络(第4版),清华大学出版社,2004 • 阙喜戎、孙锐、龚向阳、王纯编著,信息安全原理及应用,清华大学出版社,2003 • 卢昱、林琪,网络安全技术,中国物资出版社,2001 • 齐丁,计算机信息系统安全等级保护基本知识介绍,广东省公安厅网监处,内部资料
信息与网络安全概论 信息加密技术 消息摘要 实体认证 数字签名与数字水印 数字证书 密钥管理 网络安全的体系结构 网络接口层安全协议 网际层安全协议 传输层安全协议 应用层安全协议 虚拟专用网VPN 防火墙 入侵检测 网络安全标准 安全策略的制定与实施 计算机病毒 目录
信息与网络安全概述 • 信息与网络安全的本质和内容 • 计算机网络的脆弱性 • 信息安全的六大目标 • 网络安全的主要威胁 • 网络安全的攻击手段 • 网络安全的八大机制
信息与网络安全的本质和内容 • 网络安全从其本质上来讲就是网络上的信息安全。 • 信息安全是对信息的保密性、完整性和可用性的保护,包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设施安全等。 • 网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。
信息与网络安全的目标 进不来 拿不走 看不懂 改不了 跑不了
信息安全概念与技术的发展 • 信息安全的概念与技术是随着人们的需求,随着计算机、通信与网络等信息技术的发展而不断发展的。 单机系统的信息保密阶段 网络信息安全阶段 信息保障阶段
1988年莫里斯蠕虫爆发 对网络安全的关注与研究 CERT成立 网络信息安全阶段 • 该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术(被动防御): • 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。
信息保障阶段 • 信息保障(IA)概念与思想是20世纪90年代由美国国防部长办公室提出。 • 定义:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。 • 美国国家安全局制定的信息保障技术框架IATF,提出“纵深防御策略”DiD(Defense-in-Depth Strategy)。 • 信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。
计算机网络的脆弱性 • 体系结构的脆弱性。网络体系结构要求上层调用下层的服务,上层是服务调用者,下层是服务提供者,当下层提供的服务出错时,会使上层的工作受到影响。 • 网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障,然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。 • 网络操作系统的脆弱性。目前的操作系统,无论是Windows、UNIX还是Netware都存在安全漏洞,这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。 • 网络应用系统的脆弱性。随着网络的普及,网络应用系统越来越多,网络应用系统也可能存在安全漏洞,这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏,应用系统瘫痪,甚至威胁到整个网络的安全。 • 网络管理的脆弱性。在网络管理中,常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等,这种人为造成的安全漏洞也会威胁到整个网络的安全。
信息安全的六大目标 • 可靠性 • 可用性 • 真实性 • 保密性 • 完整性 • 不可抵赖性 信 息 安 全
可靠性 • 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。 • 可靠性包括: • 硬件可靠性 • 软件可靠性 • 通讯可靠性 • 人员可靠性 • 环境可靠性
可用性 • 可用性即网络信息系统在需要时,允许授权用户或实体使用的特性;或者是网络信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
真实性 • 确保网络信息系统的访问者与其声称的身份是一致的; • 确保网络应用程序的身份和功能与其声称的身份和功能是一致的; • 确保网络信息系统操作的数据是真实有效的数据。
保密性 • 保密性是防止信息泄漏给非授权个人或实体,只允许授权用户访问的特性。 • 保密性是一种面向信息的安全性,它建立在可靠性和可用性的基础之上,是保障网络信息系统安全的基本要求。
完整性 • 完整性是信息在未经合法授权时不能被改变的特性,也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。 • 完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输。
不可抵赖性 • 不可抵赖性也称作不可否认性,即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。
网络安全的主要威胁 • 内部窃密和破坏 • 窃听和截收 • 非法访问(以未经授权的方式使用网络资源) • 破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性) • 冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。) • 流量分析攻击(分析通信双方通信流量的大小,以期获得相关信息。) • 其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等) 主 要 威 胁
物理破坏 窃听 数据阻断攻击 数据篡改攻击 数据伪造攻击 数据重放攻击 盗用口令攻击 中间人攻击 缓冲区溢出攻击 分发攻击 野蛮攻击 SQL注入攻击 计算机病毒 蠕虫 后门攻击 欺骗攻击 拒绝服务攻击 特洛伊木马 信息与网络安全的攻击手段
天灾 后门、隐蔽通道 黑客攻击 特洛伊木马 计算机病毒 网络信息系统 信息泄漏、篡改、破坏 拒绝服务攻击 社会工程 逻辑炸弹 内部人员威胁 蠕虫 系统Bug
社会工程 • 我们通常把基于非计算机的欺骗技术叫做社会工程。社会工程中,攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息,所以受害人相信他。 • 社会工程的核心是,攻击者设法伪装自己的身份并设计让受害人泄密私人信息。这些攻击的目标是搜集信息来侵入计算机系统的,通常通过欺骗某人使之泄露出口令或者在系统中建立个新帐号。
网络攻击 被动攻击 • 窃听或者偷窥 • 流量分析 sniffer 源 目的 被动攻击非常难以检测,但可以防范
网络攻击 主动攻击:指攻击者对某个连接的中的PDU进行各种处理(更改、删除、迟延、复制、伪造等) 阻断攻击 篡改攻击 伪造攻击 重放攻击 拒绝服 务攻击 主动攻击可以检测,但难以防范
物理破坏 • 攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏,使系统无法正常工作,甚至导致程序和数据无法恢复。
窃听 • 一般情况下,攻击者侦听网络数据流,获取通信数据,造成通信信息外泄,甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer 攻击(sniffer attack)。 • sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。
数据阻断攻击 • 攻击者在不破坏物理线路的前提下,通过干扰、连接配置等方式,阻止通信各方之间的数据交换。 阻断攻击
数据篡改攻击 • 攻击者在非法读取数据后,进行篡改数据,以达到通信用户无法获得真实信息的攻击目的。 篡改攻击
数据伪造攻击 • 攻击者在了解通信协议的前提下,伪造数据包发给通讯各方,导致通讯各方的信息系统无法正常的工作,或者造成数据错误。 伪造攻击
数据重放攻击 • 攻击者尽管不了解通信协议的格式和内容,但只要能够对线路上的数据包进行窃听,就可以将收到的数据包再度发给接收方,导致接收方的信息系统无法正常的工作,或者造成数据错误。 重放攻击
盗用口令攻击 • 盗用口令攻击(password-based attacks) • 攻击者通过多种途径获取用户合法账号进入目标网络,攻击者也就可以随心所欲地盗取合法用户信息以及网络信息;修改服务器和网络配置;增加、篡改和删除数据等等。
中间人攻击 • 中间人攻击(man-in-the-middle attack)是指通过第三方进行网络攻击,以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。 • 中间人攻击类似于身份欺骗,被利用作为中间人的的主机称为Remote Host(黑客取其谐音称之为“肉鸡”)。网络上的大量的计算机被黑客通过这样的方式控制,将造成巨大的损失,这样的主机也称做僵尸主机。
缓冲区溢出攻击 • 缓冲区溢出(又称堆栈溢出)攻击是最常用的黑客技术之一。攻击者输入的数据长度超过应用程序给定的缓冲区的长度,覆盖其它数据区,造成应用程序错误,而覆盖缓冲区的数据恰恰是黑客的入侵程序代码,黑客就可以获取程序的控制权。
后门攻击 • 后门攻击(backdoor attack)是指攻击者故意在服务器操作系统或应用系统中制造一个后门,以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。
欺骗攻击 • 欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息,欺骗对方,以达到攻击的目的。
拒绝服务攻击 • DoS(Denial of Service,拒绝服务攻击)的目的是使计算机或网络无法提供正常的服务。常见的方式是:使用极大的通信量冲击网络系统,使得所有可用网络资源都被消耗殆尽,最后导致网络系统无法向合法的用户提供服务。 • 如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击,就可以极大地提高DoS攻击的威力,这种方式称为DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。
分发攻击 • 攻击者在硬件和软件的安装配置期间,利用分发过程去破坏;或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。
野蛮攻击 • 野蛮攻击包括字典攻击和穷举攻击。 • 字典攻击是使用常用的术语或单词列表进行验证,攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令,字典攻击的成功率往往很高。 • 如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始,按长度递增进行尝试攻击。
SQL注入攻击 • 攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击,入侵者通过提交一段数据库查询代码,根据程序返回的结果获得攻击者想得知的数据,从而达到攻击目的。
计算机病毒与蠕虫 • 计算机病毒(Computer Virus)是指编制者编写的一组计算机指令或者程序代码,它能够进行传播和自我复制,修改其他的计算机程序并夺取控制权,以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。 • 蠕虫也是一种程序,它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统,但它在复制、传播时,不寄生于病毒宿主之中。 • 蠕虫病毒是能够是寄生于被感染主机的蠕虫程序,具有病毒的全部特成,通常利用计算机系统的漏洞在网络上大规模传播。
特洛伊木马 • 特洛伊木马简称木马,它由两部分组成:服务器程序和控制器程序,当主机被装上服务器程序,攻击者就可以使用控制器程序通过网络来控制主机。 • 木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。
网络安全的八大机制 • 数据加密机制 • 访问控制机制 • 数据完整性机制 • 数字签名机制 • 实体认证机制 • 业务填充机制 • 路由控制机制 • 公证机制
数据加密机制 • 密码技术是保障信息安全的核心技术。 • 消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。 • 加了密的消息称为密文。而把密文转变为明文的过程称为解密。 • 信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代密码学主要组成部分。
访问控制机制 • 访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问,限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。 • 访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。 • 自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)
附加一个量 比较这个量 接收方 发送方 数据完整性机制 • 是保护数据,以免未授权的数据乱序、丢失、重放、插入和纂改。 • 数据完整性机制的两个方面 • 单个数据单元或字段的完整性(不能防止单个数据单元的重放) • 数据单元串或字段串的完整性 还要加上顺序号、时间标记和密码链
数字签名机制 传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证
实体认证机制 • 用于认证交换的技术 • 认证信息,如口令 • 密码技术 • 被认证实体的特征 • 为防止重放攻击,常与以下技术结合使用 • 时间戳 • 两次或三次握手 • 数字签名
路由控制机制 • 路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。其基本功能为: • 路由选择 路由可以动态选择,也可以预定义,以便只用物理上安全的子网、中继或链路进行连接和/或传输; • 路由连接 在监测到持续的操作攻击时,端系统可能同志网络服务提供者另选路由,建立连接; • 安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告,要求回避某些特定的子网、中继或链路进行连接和/或传输。
业务填充机制 • 所谓的业务填充即使在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难,是一种制造假的通信、产生欺骗性数据单元或在数据单元中产生数据的安全机制。该机制可用于提供对各种等级的保护,用来防止对业务进行分析,同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。 • 可利用该机制不断地在网络中发送伪随机序列, 使非法者无法区分有用信息和无用信息。
公证机制 • 有关在两个或多个实体之间通信的数据的性质, 如完整性、原发、时间和目的地等能够借助公证机制而得到确保。 • 这种保证是由第三方公证人提供的。公证人为通信实体所信任, 并掌握必要信息以一种可证实方式提供所需的保证。 • 每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信和公证方进行通信