Download
1 / 132
1.36k likes | 1.49k Views
网络安全概述. 网络安全概述. 网络安全的概念 网络安全的内容 网络安全面临的问题 网络安全的客观必要性 常见的网络信息攻击模式 网络安全保障体系 网络安全工作的目的. 什么是网络安全(五要素) 可用性 : 授权实体有权访问数据 机密性 : 信息不暴露给未授权实体或进程 完整性 : 保证数据不被未授权修改 可控性 : 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段. 网络安全的内容. 物理安全 网络安全 传输安全 应用安全 用户安全. 21%. 48%. 72%. 89%.
E N D
网络安全概述 • 网络安全的概念 • 网络安全的内容 • 网络安全面临的问题 • 网络安全的客观必要性 • 常见的网络信息攻击模式 • 网络安全保障体系 • 网络安全工作的目的
什么是网络安全(五要素) • 可用性: 授权实体有权访问数据 • 机密性: 信息不暴露给未授权实体或进程 • 完整性: 保证数据不被未授权修改 • 可控性: 控制授权范围内的信息流向及操作方式 • 可审查性:对出现的安全问题提供依据与手段
网络安全的内容 • 物理安全 • 网络安全 • 传输安全 • 应用安全 • 用户安全
21% 48% 72% 89% 网络安全面临的问题 外国政府 竞争对手 黑客 不满的雇员 來源: CSI / FBI Computer Crime Survey, March 1998.
网络安全威胁的来源 1.外部渗入(penetration) 未被授权使用计算机的人; 2.内部渗入者 被授权使用计算机,但不能访问某些数据、程序或资源,它包括: -冒名顶替:使用别人的用户名和口令进行操作; -隐蔽用户:逃避审计和访问控制的用户; 3.滥用职权者: 被授权使用计算机和访问系统资源,但滥用职权者。
网络安全威胁的几种类型 废物搜寻 间谍行为 冒名顶替 身份识别错误 窃听 偷窃 拨号进入 不安全服务 线缆连接 物理威胁 算法考虑不周 网络安全威胁 配置 随意口令 系统漏洞 身份鉴别 初始化 编程 口令破解 乘虚而入 口令圈套 代码炸弹 病毒 特洛伊木马 更新或下载
网络安全面临严峻挑战 • 网上犯罪形势不容乐观 • 有害信息污染严重 • 网络病毒的蔓延和破坏 • 网上黑客无孔不入 • 机要信息流失与信息间谍潜入 • 网络安全产品的自控权 • 信息战的阴影不可忽视 • 互联网正以巨大的力度和广度 • 冲击和改造着社会、经济、生活的传统模式 • 互联网正在成为社会公众强烈依赖的社会重要基 础设施 • 互联网安全正在成为普遍关注的焦点
网上犯罪形势不容乐观 • 计算机犯罪以100%的速度增加 • 网上攻击事件每年以10倍速度增涨 • 银行的电子购物账户密码曝光事件增多 • 2000年2月7日攻击美国知名网站案件: • 损失$12亿,影响百万网民 • Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet • 网上勒索、诈骗不断:用户信用卡被曝光 • 美国网络安全造成损失$170亿/年 • 美国金融界计算机犯罪损失$100亿/年
有害信息污染严重 • 黄色信息:涉及1%网站,10亿美元年营业额 • 邪教信息:法轮功160多个反宣传网站 • 虚假新闻:美校园炸弹恐吓事件、网上股市欺诈 • 宣扬暴力:炸药配方、帮助自杀 • 政治攻击:考克斯报告、政治演变论
网络病毒的蔓延和破坏 • 10年内以几何级数增长 • 病毒达55000种(2000.12 亚洲计算机反病毒大会) • 网络病毒有更大的破坏性 • 1988年莫里斯事件(UNIX/Email) 6000台、$9000万 • 1998年4月的CIH病毒 2000万台计算机 • 1999年2月的梅利莎案件(Window/Email) $12亿 • 2000年5月4日的我爱你病毒 $87亿 • 2001年7、8月红色代码(CodeRed)到目前为止 $26亿
网上黑客无孔不入 • 美国网络屡遭扫荡 • 军事、政治、经济 • 美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史 • 全球网络危机四伏 • 非法侵入、破坏系统、窃取机密 • 中国网络不断被侵入 • 五一中美黑客大战800多网站被黑 • 黑客是一些发自好奇、寻求刺激、富有挑战的家伙 • 是一群以攻击网络,搜寻并破坏信息为了的无赖; • 是一帮为了扬名,专与政府作对的极端分子; • 是一些恐怖主义分子或政治、军事、商业和科技间谍。
机要信息流失与信息间谍潜入 • 国家机密信息、企业关键信息、个人隐私 • Web发布、电子邮件、文件传送的泄漏 • 预谋性窃取政治和经济情报 • CIA统计入侵美国要害系统的案件 • 年增长率为30% • 我国信息网络发展必然成为其重要目标
网络安全产品的自控权 • 安全产品 • 隐通道、嵌入病毒、缺陷、可恢复密钥 • 大量外购安全产品缺少自控权 • 我国缺少配套的安全产品控制政策和机制 • 我国安全产业还比较稚嫩 • 是重大安全隐患之一
信息战的阴影不可忽视 • 有组织、大规模的网络攻击预谋行为: • 国家级、集团级 • 无硝烟的战争: • 跨国界、隐蔽性、低花费、跨领域 • 高技术性、情报不确定性 • 美国的“信息战执行委员会”: • 网络防护中心(1999年) • 信息作战中心(2000年) • 网络攻击演练(2000年) • 要害目标: • 金融支付中心、证券交易中心 • 空中交管中心、铁路调度中心 • 电信网管中心、军事指挥中心
网络的脆弱性 • 网络的扩展与业务负荷膨胀: • 信息量半年长一倍,网民年增涨30% • 网络带宽瓶颈和信息拥挤 • 社会与经济对网络的巨大经济依赖性: • 20%股市、25%产品、30%金融、40%人口 • 灾难情况下的网络脆弱性 • “AOL”96年10小时瘫痪: • 影响700万用户 • 安全的模糊性 网络的开放性 • 技术的公开性 人类的天性
安全的模糊性 • 安全是相对的,不易明确安全的目标 • 安全是复杂的,不易认清存在的问题 • 安全是广泛的,不易普及安全的知识 • 安全链条:链条的强度等于其最弱一环的强度(木桶原理:网络安全最薄弱之处好比木桶壁上最短的木块,也是黑客对网络攻击的首选之处。)
网络的开放性 • 互联机制提供了广泛的可访问性 • Client-Server模式提供了明确的攻击目标 • 开放的网络协议和操作系统为入侵提供了线索 • 用户的匿名性为攻击提供了机会
技术的公开性 • 如果不能集思广益,自由地发表对系统的建议,则会增加系统潜在的弱点被忽视的危险,因此Internet要求对网络安全问题进行坦率公开地讨论。 • 基于上述原则,高水平的网络安全资料与工具在Internet中可自由获得。
人类的天性 • 好奇心 这扇门为什么锁上,我能打开吗? • 惰性和依赖心理 安全问题应由专家来关心 • 恐惧心理 家丑不可外扬
网络攻击形式 • 按网络服务分: • E-Mail、FTP、Telnet、R服务、IIS • 按技术途径分: • 口令攻击、Dos攻击、种植木马 • 按攻击目的分: • 数据窃取、伪造滥用资源、篡改数据
主要攻击与威胁 ——十大攻击手段 1.Dos:使目标系统或网络无法提供正常服务 网络Flooding:syn flooding、 ping flooding 、DDos 系统Crash: Ping of death、泪滴、 land 、WinNuke 应用Crash/Overload:利用应用程序缺陷,如长邮件 2.扫描探测:系统弱点探察 SATAN、ISS 、Cybercop Scanner 、 ping (嗅探加 密口令,口令文件)
3.口令攻击:弱口令 • 口令窃取:嗅探器、偷窥、社会工程(垃圾、便条、伪装查询) • 口令猜测:常用字—无法获得加密的口令-强力攻击 • 口令Crack:字典猜测、字典攻击—可获得加密的口令(嗅探加密口令,口令文件) • 4.获取权限,提升权限(root/administrator) • 猜/crack root口令、缓冲区溢出、利用NT注册表、访问和利用高权限控制台、利用启动文件、利用系统或应用Bugs • 5. 插入恶意代码: • 病毒、特洛伊木马(BO)、后门、恶意Applet
6.网络破坏: 主页篡改、文件删除、毁坏OS 、格式化磁盘 7. 数据窃取: 敏感数据拷贝、监听敏感数据传输---共享媒介/服务器监听/远程监听RMON 8.伪造、浪费与滥用资源: 违规使用 9.篡改审计数据: 删除、修改、权限改变、使审计进程失效 10. 安全基础攻击: 防火墙、路由、帐户修改,文件权限修改。
我国网络安全现状 • 硬件设备上严重依赖国外 • 网络安全管理存在漏洞 • 网络安全问题还没有引起人们的广泛重视 • 安全技术有待研究 • 美国和西方国家对我过进行破坏、渗透和污染 • 启动了一些网络安全研究项目 • 建立一批国家网络安全基础设施
Hacker (黑客) Master (主攻手) M M M Zombie (僵尸) z z z z z z z z Target (目标机) 美2.7黑客案件的攻击方式 分布式拒决服务(DDoS)
美国2.7黑客事件的启示 • 互联网正在成为国家重要基础设施 • 9800万网民 • 3000万人参予网上购物,$1000亿元交易额 • 14%的股市交易 • 互联网威胁给社会带来巨大冲击 • CNN的100万网民阅读网络新闻受阻 • Amason的820万注册用户无法购书 • 3天总损失高达$12亿 • 互联网安全问题正在进入国家战略层 • 克林顿2月16日召开网络安全高峰会议 • 支持$900万建立高科技安全研究所 • 拔款$20亿建基础设施打击网络恐怖活动
值得深思的几个问题 • 网络安全的全局性战略 • 黑客工具的公开化对策 • 网络安全的预警体系 • 应急反应队伍的建设
传统安全观念受到挑战 • 网络是变化的、风险是动态的 • 传统安全观侧重策略的技术实现 • 现代安全观强调安全的整体性,安全被看 成一个与环境相互作用的动态循环过程
网络安全策略 网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成而提出的,主要有三种: 1 直接风险控制策略(静态防御) 安全=风险分析+安全规则+直接的技术防御体系+安全监控 攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下的该模型存在着本质的缺陷。 2 自适应网络安全策略(动态性) 安全=风险分析+执行策略+系统实施+漏洞分析+实时响应 该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,自适应地填充“安全间隙”,从而提高网络系统的安全性。完善的网络安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防护。
网络安全策略(续) 3 智能网络系统安全策略(动态免疫力) 安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制。 模型中,“风险分析+安全策略”体现了管理因素;“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素;技术因素综合了防护、监控和恢复技术;“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。
网络网络安全防护体系 ( PDRR ) 随着信息网络的飞速发展,信息网络的安全防护技术已逐渐成为一个新兴的重要技术领域,并且受到政府、军队和全社会的高度重视。随着我国政府、金融等重要领域逐步进入信息网络,国家的信息网络已成为继领土、领海、领空之后的又一个安全防卫领域,逐渐成为国家安全的最高价值目标之一。可以说信息网络的安全与国家安全密切相关。
网络网络安全防护体系 ( PDRR ) 最近安全专家提出了信息保障体系的新概念,即:为了保障网络安全,应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命周期的主动防御。美国在信息保障方面的一些举措,如:成立关键信息保障办公室、国家基础设施保护委员会和开展对信息战的研究等等,表明美国正在寻求一种信息系统防御和保护的新概念,这应该引起我们的高度重视。
网络网络安全防护体系 (PDRR ) 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。
网络网络安全防护体系 ( PDRR ) • 保护 ( PROTECT ) 传统安全概念的继承,包括信息加密技术、访问控制技术等等。 • 检测 ( DETECT ) 从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。
网络网络安全防护体系 ( PDRR ) • 响应 ( RESPONSE ) 在遭遇攻击和紧急事件时及时采取措施,包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。 • 恢复 ( RECOVER ) 评估系统受到的危害与损失,恢复系统功能和数据,启动备份系统等。
网络安全保障体系 安全管理与审计 网络安全层次 用户 安全 物理层安全 网络层安全 传输层安全 应用层安全 OSI层次 模型 网络层 应用层 表示层 会话层 链路层 物理层 传输层 审计与监控 身份认证 数据加密 数字签名 完整性鉴别 端到端加密 访问控制 点到点链路加密 物理信道安全 网络安全技术 实现安全目标 • 访问控制 • 数据机密性 • 数据完整性 • 用户认证 • 防抵赖 • 安全审计
前同步码 报头 资料区 资料帧检查序列(FCS) 8个字节(不包括) 通常14个字节 46-1,500字节 固定4字节 以太帧与MAC地址 • 一、以太资料帧的结构图
以太帧构成元素 解释及作用 前同步码 Send “I am ready, I will send message” 报头 必须有:发送者MAC地址 目的MAC地址 共12个字节 OR 长度字段中的字节总数信息(差错控制) OR 类型字段(说明以太帧的类型) 资料区 资料源IP 目的地IP 实际资料和协议信息 如果资料超过1,500 分解多个资料帧,使用序列号 如果不够46个字节,数据区末尾加1 FCS 保证接受到的资料就是发送出的资料。
MAC地址的前三个字节 制造商 00-00-0C CISCO 00-00-A2 BAY NETWORKS 00-80-D3 SHIVA 00-AA-00 INTEL 02-60-8C 3COM 08-00-09 HEWLET-PACKARD 08-00-20 SUN 08-00-5A IBM FF-FF-FF-FF-FF 广播地址
索引 物理位址 IP地址 类型 物理口(接口) 设备的物理地址 与物理位址对应的IP地址 这一行对应入口类型 入口1 入口2 入口N 地址解析协议 • 地址解析协议 注:数值2表示这个入口是非法的,数值3表示这种映像是动态的,数值4表示是静态的(如口不改变),数值1表示不是上述任何一种。 入口:ARP高速缓存。
TCP/IP • IP(Internet Protocol)网际协议,把要传输的一个文件分成一个个的群组,这些群组被称之为IP数据包,每个IP数据包都含有源地址和目的地址,知道从哪台机器正确地传送到另一台机器上去。IP协议具有分组交换的功能,不会因为一台机器传输而独占通信线路。TCP(Transport control Protocal)传输控制协议具有重排IP数据包顺序和超时确认的功能。IP数据包可能从不同的通信线路到达目的地机器,IP数据包的顺序可能序乱。TCP按IP数据包原来的顺序进行重排。IP数据包可能在传输过程中丢失或损坏,在规定的时间内如果目的地机器收不到这些IP数据包,TCP协议会让源机器重新发送这些IP数据包,直到到达目的地机器。TCP协议确认收到的IP数据包。超时机制是自动的,不依赖于通讯线路的远近。IP和TCP两种协议协同工作,要传输的文件就可以准确无误地被传送和接收
TCP/IP • TCP/IP协议族与OSI七层模型的对应关系,如下图所示
数据包是什么样的? TCP/IP/Ethernet 举例 对分组过滤而言:涉及四层 1. Ethernet layer 2. IP layer 3. TCP layer 4. data layer
在每层,分组由两部分构成:首标(头)和本体(数据)在每层,分组由两部分构成:首标(头)和本体(数据) 首标包含与本层有关的协议信息,本体包括本层的所有数据 每层分组要包括来自上层的所有信息,同时加上本层的首标,即封包 应用层包括的就是要传送出去的数据 分组与数据封包: Application layer (SMTP, Telnet, FTP, etc) Data Transport layer (TCP,UDP,ICMP) Header Data Internet Layer (IP) Header Header Data Network Access Layer (Ethernet, FDDI, ATM, etc) Header Header Header Data
该分组的类型,如AppleTalk数据包、Novell数据包、该分组的类型,如AppleTalk数据包、Novell数据包、 DECNET数据包等。 输送该分组的机器的 Ethernet地址(源址) 接收该分组的机器的 Ethernet 地址(宿址) Ethernet layer 1. 分组=Ethernet Header+Ethernet Body 2. Header 说明: 3. Ethernet Body 包含的是 IP 分组
IP源地址:4 bytes, eg. 172.16.244.34 IP的目的地址:同上 IP协议类型:说明 IP Body中是TCP分组或是 UDP分组,ICMP等 IP选择字段:常空,用于IP源路由或IP安全选项的标识 IP layer 1. IP分组=IP header + IP Body 2. IP header包括: 3. IP可将分组细分为更小的部分段(fragments),以便网络传输。 4. IP Body包含的是TCP分组。
版本 IHL 服务类型 总长度 标识 O 分段偏差 有效期 协议 报头校验和 源地址 宿地址 选项 填充 数据 O M F F IP 分组字段 32 BIT 过滤字段
