1、.第一章第一章 网络安全概述网络安全概述张玉清张玉清国家计算机网络入侵防范中心国家计算机网络入侵防范中心2022-5-23.22022-5-23网络入侵与防范讲义2内容安排内容安排o 1.1 网络安全基础知识网络安全基础知识o 1.2 网络安全的重要性网络安全的重要性o 1.3 网络安全的主要威胁因素网络安全的主要威胁因素o 1.4 网络攻击过程网络攻击过程o 1.5 网络安全策略及制订原则网络安全策略及制订原则o 1.6 网络安全体系设计网络安全体系设计o 1.7 常用的防护措施常用的防护措施o 1.8 小结小结2022-5-23.32022-5-23网络入侵与防范讲义31.1 网络安全基础
2、知识网络安全基础知识o “安全”的含义(Security or Safety?) 平安,无危险;保护,保全;平安,无危险;保护,保全; 远离危险的状态或特性;远离危险的状态或特性;o 计算机安全 保护计算机系统,使其没有危险,不受威保护计算机系统,使其没有危险,不受威胁,不出事故。胁,不出事故。2022-5-23.42022-5-23网络入侵与防范讲义4安全的概念 “如果把一封信锁在保险柜中,把保险柜藏如果把一封信锁在保险柜中,把保险柜藏起来,然后告诉你去看这封信,这并不是安起来,然后告诉你去看这封信,这并不是安全,而是隐藏;相反,如果把一封信锁在保全,而是隐藏;相反,如果把一封信锁在保险柜中
3、,然后把保险柜及其设计规范和许多险柜中,然后把保险柜及其设计规范和许多同样的保险柜给你,以便你和世界上最好的同样的保险柜给你,以便你和世界上最好的开保险柜的专家能够研究锁的装置,而你还开保险柜的专家能够研究锁的装置,而你还是无法打开保险柜去读这封信,这才是安是无法打开保险柜去读这封信,这才是安全全” -Bruce Schneier2022-5-23.5网络安全定义网络安全定义o网络安全网络安全的一个通用定义指网络信息的一个通用定义指网络信息系统的硬件、软件及其系统中的数据系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的破受到保护,不因偶然的或者恶意的破坏、更改、泄露,系统能连续、
4、可靠、坏、更改、泄露,系统能连续、可靠、正常地运行,服务不中断。正常地运行,服务不中断。o网络安全网络安全简单的说是在网络环境下能简单的说是在网络环境下能够识别和消除不安全因素的能力够识别和消除不安全因素的能力 。2022-5-23.6网络安全定义网络安全定义o网络安全在不同的环境和应用中有不同的解释。网络安全在不同的环境和应用中有不同的解释。o运行系统安全。包括计算机系统机房环境的保护,法律政策的运行系统安全。包括计算机系统机房环境的保护,法律政策的保护,计算机结构设计安全性考虑,硬件系统的可靠安全运行保护,计算机结构设计安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数
5、据库系统的安全,电,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。本质上是保护系统的合法操作和正常运磁信息泄露的防护等。本质上是保护系统的合法操作和正常运行。行。o网络上系统信息的安全。包括用户口令鉴别、用户存取权限控网络上系统信息的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。算机病毒防治和数据加密等。o网络上信息传播的安全。包括信息过滤等。它侧重于保护信息网络上信息传播的安全。包括信息过滤等。它侧重于保护信息的保密性、真实性和完整性。避免攻
6、击者进行有损于合法用户的保密性、真实性和完整性。避免攻击者进行有损于合法用户的行为。本质上是保护用户的利益和隐私。的行为。本质上是保护用户的利益和隐私。2022-5-23.72022-5-23网络入侵与防范讲义7网络安全的基本需求网络安全的基本需求 o 可靠性可靠性o 可用性可用性o 保密性保密性o 完整性完整性o 不可抵赖性不可抵赖性o 可控性可控性o 可审查性可审查性o 真实性真实性机密性完整性抗抵赖性可用性2022-5-23.82022-5-23网络入侵与防范讲义82022-5-23.9网络安全内容网络安全内容o 这里的网络安全主要指通过各种计算机、网络、密码技这里的网络安全主要指通过各
7、种计算机、网络、密码技术和信息安全技术,保护在公有通信网络中传输、交换术和信息安全技术,保护在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力,不涉及网络可靠性、信息可控播及内容具有控制能力,不涉及网络可靠性、信息可控性、可用性和互操作性等领域。性、可用性和互操作性等领域。o 网络安全的主体网络安全的主体是保护网络上的数据和通信的安全。是保护网络上的数据和通信的安全。n数据安全性是一组程序和功能,用来阻止对数据进行非授权的泄漏、转移、修改和破坏。n通信安全性是一些保护措施,要求在电信中采用保密安全性、传
8、输安全性、辐射安全性的措施,并依要求对具备通信安全性的信息采取物理安全性措施。2022-5-23.102022-5-23网络入侵与防范讲义101.2 网络安全的重要性网络安全的重要性o 随着网络的快速普及,网络以其开放、共享的特性随着网络的快速普及,网络以其开放、共享的特性对社会的影响也越来越大。对社会的影响也越来越大。 n 网络上各种新业务的兴起,比如电子商务、电子政务、电子货币、网络银行,以及各种专业用网的建设,使得各种机密信息的安全问题越来越重要 。n 计算机犯罪事件逐年攀升,已成为普遍的国际性问题。随着我国信息化进程脚步的加快,利用计算机及网络发起的信息安全事件频繁出现,我们必须采取有
9、力的措施来保护计算机网络的安全。2022-5-23.112022-5-23网络入侵与防范讲义11信息化与国家安全信息化与国家安全信息战信息战o “谁掌握了信息,控制了网络,谁将拥有整谁掌握了信息,控制了网络,谁将拥有整个世界。个世界。” 美国著名未来学家阿尔温美国著名未来学家阿尔温.托尔勒托尔勒o “今后的时代,控制世界的国家将不是靠军今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。事,而是信息能力走在前面的国家。” 美国总统克林顿美国总统克林顿o “信息时代的出现,将从根本上改变战争的信息时代的出现,将从根本上改变战争的进行方式。进行方式。” 美国前陆军参谋长沙利文上将美
10、国前陆军参谋长沙利文上将2022-5-23.12我国互联网网络安全环境我国互联网网络安全环境(CNNIC-10.6)o 截至截至2010年年6月底,中国网民数量达到月底,中国网民数量达到4.2亿亿o 半年有半年有59.2%的网民遇到过病毒或木马的网民遇到过病毒或木马攻击攻击o 半年有半年有30.9%的网民账号或密码被盗过的网民账号或密码被盗过o 网络安全问题仍然制约着中国网民深层次网络安全问题仍然制约着中国网民深层次的网络应用发展的网络应用发展2022-5-23.132022-5-23网络入侵与防范讲义13网络安全现状(续)网络安全现状(续)o 恶意代码肆虐,病毒数量爆炸式增长恶意代码肆虐,病
11、毒数量爆炸式增长n 据卡巴斯基实验室数据显示,在过去的15年(1992 - 2007)间,发现了约200万个新恶意软件,而仅在2008和2009年两年,就发现了超过3000万个新恶意软件。 2022-5-23.14卡巴斯基实验室收集到的恶意程序总量卡巴斯基实验室收集到的恶意程序总量 2022-5-23.15近十年主要漏洞发布与蠕虫爆发时间间隔表近十年主要漏洞发布与蠕虫爆发时间间隔表蠕虫名称蠕虫名称漏洞发布时间漏洞发布时间爆发时间爆发时间时间间隔时间间隔Ramen06/23/200001/18/2001185天天Sadmind/IIS12/14/199905/08/2001210天天CodeRe
12、d 红色代码红色代码04/06/200107/19/2001104天天Nimda 尼姆达尼姆达05/15/200109/18/2001125天天Slapper07/30/200209/04/200245天天Blaster 冲击波冲击波07/16/200308/11/200325天天Sasser 震荡波震荡波04/13/200404/30/200417天天Zotob08/09/200508/16/20057天天Mocbot 魔波魔波08/08/200608/14/20066天天MyInfect 麦英麦英04/03/200704/01/2007-1天天Conficker10/23/200811/0
13、7/2008152022-5-23.16近十年主要漏洞发布与蠕虫爆发时间间隔表近十年主要漏洞发布与蠕虫爆发时间间隔表2022-5-23.172022-5-23网络安全漏洞库的研究17安全漏洞的威胁安全漏洞的威胁o 漏洞导致安全威胁漏洞导致安全威胁n近年来,计算机病毒、木马、蠕虫和黑客攻击等日益流行,对国家政治、经济和社会造成危害,并对Internet及国家关键信息系统构成严重威胁。绝大多数的安全威胁是利用系统或软件中存在的安全漏洞来达到破坏系统、窃取机密信息等目的,由此引发的安全事件也层出不穷。如2009年暴风影音漏洞导致了大规模的断网事件,2010年微软极光漏洞导致Google被攻击事件。
14、2022-5-23.180 day漏洞漏洞o 0 day漏洞,又称零日漏洞,指在安全补丁漏洞,又称零日漏洞,指在安全补丁发布前被了解和掌握的漏洞信息。利用发布前被了解和掌握的漏洞信息。利用0 day漏洞的攻击称为漏洞的攻击称为0 day攻击。攻击。n 2006年9月27日,微软提前发布MS06-055漏洞补丁,修补了一个严重等级的IE图像处理漏洞。事实上,这个漏洞在当时属于零日漏洞,因为在微软公布补丁之前一个星期就已经出现了利用这个漏洞的网马。o 谁在使用谁在使用0 day漏洞:漏洞:n 安全部门、渗透测试人员、黑客、甚至是蠕虫2022-5-23.19网络安全现状(续)网络安全现状(续)o 攻
15、击者需要的技术水平逐渐降低,手段更加攻击者需要的技术水平逐渐降低,手段更加灵活,联合攻击急剧增多灵活,联合攻击急剧增多n 攻击工具易于从网络下载n 网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力n 新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊 2022-5-23.20网络安全现状(续)网络安全现状(续)o 网络攻击趋利性增强、顽固性增加网络攻击趋利性增强、顽固性增加n 木马类病毒的利益威胁最为严重;n 病毒传播的趋利性日益突出;n 病毒的反杀能力不断增强;n 网络攻击的组织性、趋利性、专业性和定向性继续加强,地下产业链逐步形成。2022-5-23.21熊猫烧香案主犯李俊获刑四年熊
16、猫烧香案主犯李俊获刑四年 o 2007年年9月月24日,湖北省仙日,湖北省仙桃市人民法院公开开庭审理了桃市人民法院公开开庭审理了倍受社会各界广泛关注的被告倍受社会各界广泛关注的被告人李俊、王磊、张顺、雷磊破人李俊、王磊、张顺、雷磊破坏计算机信息系统罪一案。被坏计算机信息系统罪一案。被告人李俊、王磊、张顺、雷磊告人李俊、王磊、张顺、雷磊因犯破坏计算机信息系统罪,因犯破坏计算机信息系统罪,分别被判处有期徒刑四年、二分别被判处有期徒刑四年、二年六个月、二年、一年。年六个月、二年、一年。 2022-5-23.222022-5-23.23公开制作销售木马下载器网站公开制作销售木马下载器网站o 软件价格表
17、n老版本TrojanDefender系列生成器价格:1000 不卖小马,生成器一次买断,不管更新,我们可以给您定做生成器。只卖一家,售出后此系列软件我们将永远不做更新和出售。n新版本HDDInjector系列软件价格: V1.0 版本下载者型小马:RMB.300 V1.0 版本下载者生成器:RMB.2500 V1.1 版本不配置小马,只卖生成器 价格:RMB.5000o 购买方式 1.下载站内测试程序测试效果 2.如果您对程序感兴趣请联系购买客服购买2022-5-23.24案例案例“顶狐顶狐”病毒网上银行盗窃案病毒网上银行盗窃案o2007年年12月月16日,日,“3.5”特大网上银行盗窃案的特
18、大网上银行盗窃案的8名主要名主要犯罪嫌疑人全部落入法网。犯罪嫌疑人全部落入法网。8名疑犯在网上以虚拟身份联系,名疑犯在网上以虚拟身份联系,纠集成伙,虽不明彼此身份,却配合密切,分工明确,有人制纠集成伙,虽不明彼此身份,却配合密切,分工明确,有人制作木马病毒,有人负责收集信息,有人提现,有人收赃,在不作木马病毒,有人负责收集信息,有人提现,有人收赃,在不到一年时间里窃得人民币到一年时间里窃得人民币300余万元。徐伟冲提供信息,金星余万元。徐伟冲提供信息,金星通过网上购买游戏点卡,转手倒卖给湖南长沙的通过网上购买游戏点卡,转手倒卖给湖南长沙的“宝宝宝宝”,即,即陈娜。因信息太多,忙不过来,金星又在
19、网上将信息倒卖给陈娜。因信息太多,忙不过来,金星又在网上将信息倒卖给“小胖小胖”,“小胖小胖”再转卖他人提现。陆瑛娜则不停地在网上购再转卖他人提现。陆瑛娜则不停地在网上购游戏点卡,她到外地制作了两张假身份证,在数家银行开了账游戏点卡,她到外地制作了两张假身份证,在数家银行开了账户,忙着到苏州、昆山、常州等周边地区银行去取赃款。户,忙着到苏州、昆山、常州等周边地区银行去取赃款。o2008年年4月月11日,无锡市滨湖区法院对一起公安部挂牌督办日,无锡市滨湖区法院对一起公安部挂牌督办的重大网络犯罪案件作出了一审判决,被告人金星的重大网络犯罪案件作出了一审判决,被告人金星 、徐伟冲、徐伟冲 、陆瑛娜、
20、方少宏因构成信用卡诈骗罪和盗窃罪,分别被判处、陆瑛娜、方少宏因构成信用卡诈骗罪和盗窃罪,分别被判处十四年至三年不等的有期徒刑。十四年至三年不等的有期徒刑。2022-5-23.252022-5-23网络入侵与防范讲义25 演示演示2022-5-23.262022-5-23网络入侵与防范讲义261.3 网络安全的主要威胁因素网络安全的主要威胁因素o 信息系统自身安全的脆弱性信息系统自身安全的脆弱性o 操作系统与应用程序漏洞操作系统与应用程序漏洞o 安全管理问题安全管理问题o 黑客攻击黑客攻击o 网络犯罪网络犯罪2022-5-23.27信息系统自身的安全脆弱性信息系统自身的安全脆弱性o 信息系统脆弱
21、性信息系统脆弱性,指信息系统的硬件资源、通信资,指信息系统的硬件资源、通信资源、软件及信息资源等,因可预见或不可预见甚至源、软件及信息资源等,因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效,从而使系统处于异常状态,甚至崩溃和功能失效,从而使系统处于异常状态,甚至崩溃瘫痪等的根源和起因。瘫痪等的根源和起因。o 这里我们从以下三个层面分别进行分析:这里我们从以下三个层面分别进行分析:n硬件组件n软件组件n网络和通信协议2022-5-23.28硬件组件的安全隐患硬件组件的安全隐患o 信息系统硬件组件安全隐患多源于设计,主信息系
22、统硬件组件安全隐患多源于设计,主要表现为物理安全方面的问题。要表现为物理安全方面的问题。o 硬件组件的安全隐患除在管理上强化人工弥硬件组件的安全隐患除在管理上强化人工弥补措施外,采用软件程序的方法见效不大。补措施外,采用软件程序的方法见效不大。 在设计、选购硬件时,应尽可能减少或在设计、选购硬件时,应尽可能减少或消除硬件组件的安全隐患消除硬件组件的安全隐患2022-5-23.29软件组件的安全隐患软件组件的安全隐患o 软件组件的安全隐患来源于设计和软件工程软件组件的安全隐患来源于设计和软件工程实施中遗留问题:实施中遗留问题:n 软件设计中的疏忽n 软件设计中不必要的功能冗余、软件过长过大n 软
23、件设计部按信息系统安全等级要求进行模块化设计n 软件工程实现中造成的软件系统内部逻辑混乱2022-5-23.30网络和通信协议的安全隐患网络和通信协议的安全隐患o 协议:指计算机通信的共同语言,是通信双协议:指计算机通信的共同语言,是通信双方约定好的彼此遵循的一定规则。方约定好的彼此遵循的一定规则。o TCP/IP协议簇是目前使用最广泛的协议,协议簇是目前使用最广泛的协议,但其已经暴露出许多安全问题。但其已经暴露出许多安全问题。n TCP序列列猜测n 路由协议缺陷n 数据传输加密问题n 其它应用层协议问题2022-5-23.31TCP/IP协议簇脆弱性原因协议簇脆弱性原因o 支持支持Inter
24、net运行的运行的TCP/IP协议栈最初设计的协议栈最初设计的应用环境是相互信任的,其设计原则是简单、可扩应用环境是相互信任的,其设计原则是简单、可扩展、尽力而为,只考虑互联互通和资源共享问题,展、尽力而为,只考虑互联互通和资源共享问题,并未考虑也无法兼顾解决网络中的安全问题并未考虑也无法兼顾解决网络中的安全问题o 基于基于TCP/IP的的Internet是在可信任网络环境中是在可信任网络环境中开发出来的成果,体现在开发出来的成果,体现在TCP/IP协议上的总体构协议上的总体构想和设计本身,基本未考虑安全问题,并不提供人想和设计本身,基本未考虑安全问题,并不提供人们所需的安全性和保密性们所需的
25、安全性和保密性2022-5-23.32操作系统与应用程序漏洞操作系统与应用程序漏洞o 操作系统是用户和硬件设备的中间层,操作系统一操作系统是用户和硬件设备的中间层,操作系统一般都自带一些应用程序或者安装一些其它厂商的软般都自带一些应用程序或者安装一些其它厂商的软件工具。件工具。o 应用软件在程序实现时的错误,往往就会给系统带应用软件在程序实现时的错误,往往就会给系统带来漏洞。漏洞也叫脆弱性(来漏洞。漏洞也叫脆弱性(Vulnerability),是),是计算机系统在硬件、软件、协议的具体实现或系统计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。安全策略上存在的缺陷和不足。
26、o 漏洞一旦被发现,就可以被攻击者用来在未授权的漏洞一旦被发现,就可以被攻击者用来在未授权的情况下访问或破坏系统,从而导致危害计算机系统情况下访问或破坏系统,从而导致危害计算机系统安全的行为。安全的行为。2022-5-23.332022-5-23网络安全漏洞库的研究33安全漏洞急剧增长安全漏洞急剧增长o 漏洞数量急剧增长漏洞数量急剧增长n自2000年以来,每年发现的漏洞数量都在千数量级,并且不断增长,仅2009年一年就报告了6601个新漏洞。IBM X-Force 2009 Trend and Risk Report2022-5-23.34安全漏洞(以微软为例)安全漏洞(以微软为例)o 系统安
27、全漏洞系统安全漏洞n 微软每周都有数个修正档需要更新n 2008年微软公布了78个漏洞补丁n 微软MS08-067漏洞引发“扫荡波”o 困境困境n 无法知道哪些机器没有安装漏洞补丁n 知道哪些机器但是找不到机器在哪里n 机器太多不知如何做起2022-5-23.352022-5-23网络入侵与防范讲义35网络安全现状(续)网络安全现状(续)o 安全漏洞数量增长较快,安全漏洞数量增长较快,0 day攻击频繁攻击频繁n 常用系统的安全漏洞保持递增趋势;n 路由器、交换机等网络硬件设备的严重级别漏洞增多;n 针对漏洞的攻击程序呈现出目的性强、时效性高的趋势,0 day攻击现象严重。n 各类应用软件的安
28、全漏洞尚未引起足够重视。2022-5-23.362022-5-23网络安全漏洞库的研究36防范中心公布漏洞情况防范中心公布漏洞情况国家安全漏洞库国家安全漏洞库国家安全漏洞库漏洞列表( http:/)国家安全漏洞库一条漏洞具体信息2022-5-23.37信息系统面临的安全威胁信息系统面临的安全威胁o 基本威胁基本威胁o 威胁信息系统的主要方法威胁信息系统的主要方法o 威胁和攻击的来源威胁和攻击的来源2022-5-23.38基本威胁基本威胁o 安全的基本目标是实现信息的机密性、完整安全的基本目标是实现信息的机密性、完整性、可用性。对信息系统这性、可用性。对信息系统这3个基本目标的个基本目标的威胁即
29、是基本威胁。威胁即是基本威胁。n 信息泄漏n 完整性破坏n 拒绝服务n 未授权访问2022-5-23.39基本威胁基本威胁1信息泄漏信息泄漏o 信息泄漏指敏感数据在有意或无意中被泄漏、信息泄漏指敏感数据在有意或无意中被泄漏、丢失或透露给某个未授权的实体。丢失或透露给某个未授权的实体。o 信息泄漏包括:信息在传输中被丢失或泄漏;信息泄漏包括:信息在传输中被丢失或泄漏;通过信息流向、流量、通信频度和长度等参通过信息流向、流量、通信频度和长度等参数等分析,推测出有用信息。数等分析,推测出有用信息。2022-5-23.40基本威胁基本威胁2完整性破坏完整性破坏o 以非法手段取得对信息的管理权,通过未授
30、以非法手段取得对信息的管理权,通过未授权的创建、修改、删除和重放等操作而使数权的创建、修改、删除和重放等操作而使数据的完整性受到破坏据的完整性受到破坏2022-5-23.41基本威胁基本威胁3拒绝服务拒绝服务o 信息或信息系统资源等被利用价值或服务能信息或信息系统资源等被利用价值或服务能力下降或丧失。力下降或丧失。o 产生服务拒绝的原因:产生服务拒绝的原因:n 受到攻击所致。攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的系统负载,从而导致系统的资源对合法用户的服务能力下降或丧失。n 信息系统或组件在物理上或逻辑上受到破坏而中断服务。2022-5-23.42基本威胁基本威胁4未授
31、权访问未授权访问o 未授权实体非法访问信息系统资源,或授权未授权实体非法访问信息系统资源,或授权实体超越权限访问信息系统资源。实体超越权限访问信息系统资源。o 非法访问主要有:假冒和盗用合法用户身份非法访问主要有:假冒和盗用合法用户身份攻击、非法进入网络系统进行违法操作,合攻击、非法进入网络系统进行违法操作,合法用户以未授权的方式进行操作等形式。法用户以未授权的方式进行操作等形式。2022-5-23.43威胁信息系统的主要方法威胁信息系统的主要方法o 冒充冒充o 旁路控制旁路控制o 破坏信息的完整性破坏信息的完整性o 破坏系统的可用性破坏系统的可用性o 重放重放o 截收和辐射侦测截收和辐射侦测
32、o 陷门陷门o 特洛伊木马特洛伊木马o 抵赖抵赖2022-5-23.44威胁方法威胁方法1冒充冒充o 某个未授权的实体假装成另一个不同的实体,某个未授权的实体假装成另一个不同的实体,进而非法获取系统的访问权利或得到额外特进而非法获取系统的访问权利或得到额外特权权o 攻击者可以进行下列假冒:攻击者可以进行下列假冒:n 假冒管理者发布命令和调阅密件;n 假冒主机欺骗合法主机及合法用户n 假冒网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源n 接管合法用户欺骗系统,占用合法用户资源2022-5-23.45威胁方法威胁方法2旁路控制旁路控制o 攻击者为信息系统等鉴别或者访问控制
33、机制攻击者为信息系统等鉴别或者访问控制机制设置旁路。设置旁路。o 为了获取未授权的权利,攻击者会发掘系统为了获取未授权的权利,攻击者会发掘系统的缺陷或安全上的某些脆弱点,并加以利用,的缺陷或安全上的某些脆弱点,并加以利用,以绕过系统访问控制而渗入到系统内部以绕过系统访问控制而渗入到系统内部2022-5-23.46威胁方法威胁方法3破坏信息完整性破坏信息完整性o 攻击者可从三个方面破坏信息到完整性:攻击者可从三个方面破坏信息到完整性:n 篡改:改变信息流的次序、时序、流向、内容和形式;n 删除:删除消息全部和一部分;n 插入:在消息中插入一些无意义或有害信息。2022-5-23.47威胁方法威胁
34、方法4-破坏系统可用性破坏系统可用性o 攻击者可以从以下三个方面破坏系统可用性:攻击者可以从以下三个方面破坏系统可用性:n 使合法用户不能正常访问网络资源;n 使有严格时间要求的服务不能即时得到响应;n 摧毁系统。如,物理破坏网络系统和设备组件使网络不可用,或破坏网络结构。2022-5-23.48威胁方法威胁方法5重放重放o 攻击者截收有效信息甚至是密文,在后续攻攻击者截收有效信息甚至是密文,在后续攻击时重放所截收的消息。击时重放所截收的消息。2022-5-23.49威胁方法威胁方法6截收与辐射侦测截收与辐射侦测o 攻击者通过搭线窃听和对电磁辐射探测等方攻击者通过搭线窃听和对电磁辐射探测等方法
35、截获机密信息,或者从流量、流向、通信法截获机密信息,或者从流量、流向、通信总量和长度等参数分析出有用信息。总量和长度等参数分析出有用信息。2022-5-23.50威胁方法威胁方法7陷门陷门o 在某个(硬件、软件)系统和某个文件中设在某个(硬件、软件)系统和某个文件中设计的计的“机关机关”,使得当提供特定的输入条件,使得当提供特定的输入条件时,允许违反安全策略而产生非授权的影响时,允许违反安全策略而产生非授权的影响o 陷门通常是设计时插入的一小段程序,用来陷门通常是设计时插入的一小段程序,用来测试模块或者为程序员提供一些便利。开发测试模块或者为程序员提供一些便利。开发后期会去掉这些陷门,可能会基
36、于某种目的后期会去掉这些陷门,可能会基于某种目的得到保留得到保留o 陷门被利用,会带来严重后果陷门被利用,会带来严重后果2022-5-23.51威胁方法威胁方法8特洛伊木马特洛伊木马o 指一类恶意的妨害安全的计算机程序或者攻指一类恶意的妨害安全的计算机程序或者攻击手段。击手段。o 形象的来说,是指:一个应用程序表面上在形象的来说,是指:一个应用程序表面上在执行一个任务,实际上却在执行另一个任务。执行一个任务,实际上却在执行另一个任务。以达到泄漏机密信息甚至破坏系统的目的。以达到泄漏机密信息甚至破坏系统的目的。2022-5-23.52威胁方法威胁方法9抵赖抵赖o 通信的某一方出于某种目的而出现下
37、列抵赖通信的某一方出于某种目的而出现下列抵赖行为:行为: n 发信者事后否认曾经发送过某些消息n 发信者事后否认曾经发送过的某些消息的内容n 收信者事后否认曾经接受过某些消息n 收信者事后否认曾经接受过某些消息的内容2022-5-23.53威胁和攻击来源威胁和攻击来源o 内部操作不当内部操作不当n 信息系统内部工作人员越权操作、违规操作或其他不当操作,可能造成重大安全事故。 o 内部管理不严造成信息系统安全管理失控内部管理不严造成信息系统安全管理失控n 信息体系内部缺乏健全管理制度或制度执行不力,给内部工作人员违规和犯罪留下缝隙。o 来自外部的威胁与犯罪来自外部的威胁与犯罪n 从外部对信息系统
38、进行威胁和攻击的实体主要有黑客、信息间谍、计算机犯罪人员三种。2022-5-23.542022-5-23网络入侵与防范讲义54网络安全主要威胁来源网络安全主要威胁来源网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、篡信息丢失、篡改、销毁改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫2022-5-23.552022-5-23网络入侵与防范讲义55熊猫烧香熊猫烧香冲击波病毒冲击波病毒振荡波病毒振荡波病毒CIH病毒病毒2022-5-23.562022-5-23网络入侵与防范讲义56木马攻击木马攻击网站主页被黑
39、网站主页被黑信用卡被盗刷信用卡被盗刷信息被篡改信息被篡改2022-5-23.57安全管理问题安全管理问题o 管理策略不够完善,管理人员素质低下,用管理策略不够完善,管理人员素质低下,用户安全意识淡薄,有关的法律规定不够健全。户安全意识淡薄,有关的法律规定不够健全。o 管理上权责不分,缺乏培训意识,管理不够管理上权责不分,缺乏培训意识,管理不够严格。严格。o 缺乏保密意识,系统密码随意传播,出现问缺乏保密意识,系统密码随意传播,出现问题时相互推卸责任。题时相互推卸责任。2022-5-23.58黑客攻击黑客攻击o 黑客(黑客(hacker),源于英语动词),源于英语动词hack,意为,意为“劈,砍
40、劈,砍”,引申为,引申为“干了一件非常漂亮的工作干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,在早期麻省理工学院的校园俚语中,“黑客黑客”则有则有“恶作剧恶作剧”之意,尤指手法巧妙、技术高明的恶作之意,尤指手法巧妙、技术高明的恶作剧。剧。o 他们通常具有硬件和软件的高级知识,并有能力通他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。过创新的方法剖析系统。o 网络黑客的主要攻击手法有:获取口令、放置木马、网络黑客的主要攻击手法有:获取口令、放置木马、web欺骗技术、电子邮件攻击、通过一个节点攻欺骗技术、电子邮件攻击、通过一个节点攻击另一节点、网络监听、寻找系统漏洞、
41、利用缓冲击另一节点、网络监听、寻找系统漏洞、利用缓冲区溢出窃取特权等。区溢出窃取特权等。2022-5-23.59黑客起源黑客起源o起源地:起源地:n美国o精神支柱:精神支柱:n对技术的渴求n对自由的渴求o历史背景:历史背景:n越战与反战活动n马丁路德金与自由n嬉皮士与非主流文化n电话飞客与计算机革命o 中国黑客发展历史中国黑客发展历史n1998年印尼事件n1999年南联盟事件n绿色兵团南北分拆事件n中美五一黑客大战事件2022-5-23.602022-5-23网络入侵与防范讲义60黑客分类黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机计算机 为人民服务为人民服务漏洞
42、发现 - Flashsky软件破解 - 0 Day工具提供 - Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好,没有最好, 只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己,人不为己, 天诛地灭天诛地灭入侵者 -K.米特尼克CIH -陈盈豪攻击Yahoo -匿名恶恶渴求自由2022-5-23.612022-5-23网络入侵与防范讲义61脆弱性程度日益增加脆弱性程度日益增加信息网络系统的复杂性增加脆弱性程度网络系统日益复杂,网络系统日益复杂,安全隐患急剧增加,安
43、全隐患急剧增加,为黑客创造了客观为黑客创造了客观条件条件2022-5-23.62常见的黑客攻击及入侵技术的发展常见的黑客攻击及入侵技术的发展o 19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门会话劫持会话劫持擦除痕迹擦除痕迹嗅探嗅探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www 攻击攻击工具工具攻击者攻击者入侵者水平入侵者水平攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS 攻击攻击2005高高20
44、22-5-23.63网络犯罪网络犯罪o 网络数量大规模增长,网民素质参差不齐,而这一领域网络数量大规模增长,网民素质参差不齐,而这一领域的各种法律规范未能及时跟进,网络成为一种新型的犯的各种法律规范未能及时跟进,网络成为一种新型的犯罪工具、犯罪场所和犯罪对象。罪工具、犯罪场所和犯罪对象。 o 网络犯罪中最为突出的问题有:网络色情泛滥成灾,严网络犯罪中最为突出的问题有:网络色情泛滥成灾,严重危害未成年人的身心健康;软件、影视唱片的著作权重危害未成年人的身心健康;软件、影视唱片的著作权受到盗版行为的严重侵犯;电子商务备受诈欺困扰;信受到盗版行为的严重侵犯;电子商务备受诈欺困扰;信用卡被盗刷;购买的
45、商品石沉大海,发出商品却收不回用卡被盗刷;购买的商品石沉大海,发出商品却收不回货款;更有甚者,侵入他人网站、系统后进行敲诈,制货款;更有甚者,侵入他人网站、系统后进行敲诈,制造、贩卖计算机病毒、木马或其它恶意软件,已经挑战造、贩卖计算机病毒、木马或其它恶意软件,已经挑战计算机和网络几十年之久的黑客仍然是网络的潜在危险。计算机和网络几十年之久的黑客仍然是网络的潜在危险。2022-5-23.64网络犯罪(续)网络犯罪(续)o 网络犯罪的类型网络犯罪的类型n 网络文化污染n 盗版交易n 网络欺诈n 妨害名誉n 侵入他人主页、网站、邮箱n 制造、传播计算机病毒n 网络赌博n 教唆、煽动各种犯罪,传授犯
46、罪方法2022-5-23.65网络犯罪(续)网络犯罪(续)o 打击网络犯罪面临的问题打击网络犯罪面临的问题 互联网本身缺陷 黑客软件泛滥 互联网的跨地域、跨国界性 网上商务存在的弊端 互联网性质的不确定性 司法标准不一2022-5-23.662022-5-23网络入侵与防范讲义66攻击案例:对日网络攻击攻击案例:对日网络攻击o 从从2003年年7月月31日晚间开始,国内一批黑客组织日晚间开始,国内一批黑客组织按约定对日本政府机关、公司和民间机构网站展开按约定对日本政府机关、公司和民间机构网站展开攻击攻击o 本次攻击历时五天,以宣扬本次攻击历时五天,以宣扬“爱国爱国”精神和发泄对精神和发泄对日不
47、满情绪为主要目的,通过篡改主页等技术手段,日不满情绪为主要目的,通过篡改主页等技术手段,在一定程度上达到了预期目的,对日本网站造成了在一定程度上达到了预期目的,对日本网站造成了某些破坏某些破坏 o 期间有十几家日本网站(包括可能是被误攻击的韩期间有十几家日本网站(包括可能是被误攻击的韩国、台湾网站)被攻击成功,页面被修改国、台湾网站)被攻击成功,页面被修改 2022-5-23.67对日网络攻击的调查对日网络攻击的调查2022-5-23.68对日网络攻击的调查(续)对日网络攻击的调查(续)2022-5-23.69对日网络攻击的调查(续)对日网络攻击的调查(续)2022-5-23.70攻击案例(攻
48、击案例(2):):利用利用DNS劫持攻击大型网站事件劫持攻击大型网站事件o2007年年11月月3日,部分用户在访问腾讯迷你首页网站日,部分用户在访问腾讯迷你首页网站( http:/ :利用利用DNS劫持攻击大型网站事件(续)劫持攻击大型网站事件(续)o2007年年11月月19日,无锡市公安局网警支队接报:当月日,无锡市公安局网警支队接报:当月5日至日至19日期间,全国部分地区的互联网用户在访问深圳市腾讯计算日期间,全国部分地区的互联网用户在访问深圳市腾讯计算机系统有限公司迷你网主页时,被错误指向到位于无锡市的病机系统有限公司迷你网主页时,被错误指向到位于无锡市的病毒服务器,造成上百万网民的电脑
49、受病毒感染,腾讯公司被迫毒服务器,造成上百万网民的电脑受病毒感染,腾讯公司被迫停止网站服务,造成重大经济损失。警方立即开展侦查,于同停止网站服务,造成重大经济损失。警方立即开展侦查,于同年年12月,分别在四川成都、江苏张家港、黑龙江东宁等地抓获月,分别在四川成都、江苏张家港、黑龙江东宁等地抓获6名犯罪嫌疑人。江苏省公安厅信息网络安全监察部门在马志名犯罪嫌疑人。江苏省公安厅信息网络安全监察部门在马志松等人使用的电脑硬盘中发现了用于攻击网站的破坏性程序。松等人使用的电脑硬盘中发现了用于攻击网站的破坏性程序。经审查,经审查,2007年年9月底至月底至11月中旬,这一团伙在成都市使用月中旬,这一团伙在
50、成都市使用编译好的劫持程序对上海、重庆、扬州等编译好的劫持程序对上海、重庆、扬州等10余个城市共计余个城市共计27台域名服务器实施攻击劫持,借机盗取网络游戏账号。台域名服务器实施攻击劫持,借机盗取网络游戏账号。o法院审理认为,法院审理认为,6名被告违反国家规定,对计算机信息系统功名被告违反国家规定,对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,后果严重,能进行干扰,造成计算机信息系统不能正常运行,后果严重,均已构成破坏计算机信息系统罪。马志松等均已构成破坏计算机信息系统罪。马志松等6名被告被江苏无名被告被江苏无锡滨湖区法院一审分别判处四年至一年不等有期徒刑。锡滨湖区法院一审分别