网 络 安 全 主 讲：马 进 2006年6月15日 第一讲

课 程 说 明 课程学时安排 成绩比例 总学时 45 考试 70％ 作业 20％ 考勤 10％

教 学 内 容 1 网络安全概论 2 防火墙技术 3 PKI技术 4 虚拟专用网络

教 学 内 容（续） 5 入侵检测技术 6 病毒防护技术 7 补充内容

本 课 程 对 学 生 的 要 求 了解和掌握网络与信息安全的基本原理和相关技术 关注国内外最新研究成果和发展动态 具有网络与信息安全的理论基础和基本实践能力

1 第一章 网络安全概论 引言 信息安全概念与技术的发展 信息安全管理的地位 网络攻击简介 安全产品类型 1.1 1.2 1.3 1.4 1.5 安全产品类型

引 言 1.1 信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。 网络安全：计算机网络环境下的信息安全。

信息的安全需求 保密性：对信息资源开放范围的控制。 （数据加密、访问控制、防计算机电磁泄漏等安全措施） 完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。 （任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。） 可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。 （系统的可用性与保密性之间存在一定的矛盾。）

网络不安全的原因 自身缺陷＋开放性＋黑客攻击

信息安全概念与技术的发展 1.2 信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。 单机系统的信息保密阶段 网络信息安全阶段 信息保障阶段

单机系统的信息保密阶段 信息保密技术的研究成果： 发展各种密码算法及其应用： DES（数据加密标准）、RSA（公开密钥体制）、ECC（椭圆曲线离散对数密码体制）等。 计算机信息系统安全模型和安全评价准则： 访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。

网络信息安全阶段 1988年莫里斯蠕虫爆发 对网络安全的关注与研究 该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术：（被动防御） 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。 当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则（如CC通用评估准则）。 1988年莫里斯蠕虫爆发 对网络安全的关注与研究 CERT成立

信息保障阶段 信息保障（IA）概念与思想的提出：20世纪90年代由美国国防部长办公室提出。 定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。

信息保障阶段 信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略”DiD（Defense-in-Depth Strategy）。 在信息保障的概念下，信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。

PDRR安全模型 信息 保障 保护 检测 恢复 响应 采用一切手段（主要指静态防护手段）保护信息系统的五大特性。 检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击 信息 保障 恢复 响应 及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径 对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低

PDRR安全模型 注意： 保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。

信息保障体系的组成 法律与政策体系 标准与规范体系 人才培养体系 产业支撑体系 技术保障体系 组织管理体系

信息安全管理的地位（1/8） 1.3 预警 W 保护 P 检测 响应 恢复 反击 D R C 人 政策 技术

信息安全管理的地位（2/8） 我国863信息安全专家组博采众长推出了WPDRRC安全体系模型。 该模型全面涵盖了各个安全因素，突出了人、策略、管理的重要性，反映了各个安全组件之间的内在联系。 人——核心 政策（包括法律、法规、制度、管理）——桥梁 技术——落实在WPDRRC六个环节的各个方面，在各个环节中起作用

信息安全管理的地位（3/8） 预警：根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。 虽然目前Internet是以光速传播的，但攻击过程还是有时间差和空间差。 如果只以个人的能力实施保护，结果永远是保障能力小于或等于攻击能力，只有变成举国体制、协作机制，才可能做到保障能力大于等于攻击能力。

信息安全管理的地位（4/8） 保护：采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。 我国已提出实行计算机信息系统的等级保护问题，应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制。 现有技术和产品十分丰富。

信息安全管理的地位（5/8） 检测：利用高技术提供的工具来检查系统存在的，可能提供黑客攻击、病毒泛滥等等的脆弱性。 具备相应的技术工具 形成动态检测制度 建立报告协调机制

信息安全管理的地位（6/8） 响应：对于危及安全的事件、行为、过程，及时做出响应的处理，杜绝危害进一步扩大，使得系统力求提供正常的服务。 通过综合建立起来响应的机制，如报警、跟踪、处理（封堵、隔离、报告）等； 提高实时性，形成快速响应的能力。

信息安全管理的地位（7/8） 恢复：对所有数据进行备份，并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。

信息安全管理的地位（8/8） 反击：利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。 相关技术及工具：取证、证据保全、举证、起诉、打击、媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译、追踪。

网络攻击简介 1.4 实施有效的网络攻击必须掌握相应的知识，选择恰当的攻击手段，采用合理的方法与步骤，才能取得预期的效果。 什么是网络攻击？

什么是网络攻击 网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。

常见的网络攻击手段 阻塞类攻击 控制类攻击 探测类攻击 欺骗类攻击 漏洞类攻击 破坏类攻击 注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。

阻塞类攻击（1/2） 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统（如服务器）和信息的合法访问的攻击。 常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。

阻塞类攻击（2/2） DoS攻击的后果： 使目标系统死机； 使端口处于停顿状态； 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件； 扭曲系统的资源状态，使系统的处理速度降低。

控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。 口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。

探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。 主要包括：扫描技术、体系结构刺探、系统信息服务收集等。 目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。

欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。 主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。

漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。 漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。 要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。

软 件 漏 洞 每周平均发现的新漏洞数

破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。 逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。 注意：由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。

威胁的现状和趋势 “Flash” Threats 时间 “Warhol” Threats Blended Threats 第 III 类 人工响应: 不可能 自动响应: 不太可能 主动阻挡: 有可能 “Flash” Threats 几秒钟 “Warhol” Threats 第 II 类 人工响应: 很难/不可能 自动响应:有可能 几分钟 Blended Threats 几小时 第 I 类 人工响应:有可能 e-mail Worms 几天 Macro Viruses 几周/几个月 File Viruses 90年代初 90年代中 90年代末 2000 2003 2004 时间

两种安全防护模型 响应式安全防护模型：基于特定威胁的特征，目前绝大多数安全产品均基于这种模型 通过名字识别攻击 根据需要进行响应 减轻损失 事后恢复 主动式安全防护模型：以识别和阻挡未知威胁为主导思想 早期预警技术 有效的补丁管理 主动识别和阻挡技术

安全产品类型 1.5 根据我国目前信息网络系统安全的薄弱环节，近几年应重点发展安全保护、安全检测与监控类产品，相应发展应急响应和灾难恢复类产品。 信息保密产品 用户授权认证产品 安全平台/系统 安全检测与监控产品

信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品 密 码 加 产 品 密 钥 管 理 产 品 高 性 能 加 密 芯 片 产 品 数 字 签 名 产 品 数 字 证 书 管 理 系 统 用 户 安 全 认 证 卡 智 能 IC 卡 鉴 别 与 授 权 服 务 器 安 全 操 作 系 统 安 全 数 据 库 系 统 Web 安 全 平 台 安 全 路 由 器 与 虚 拟 专 用 网 络 产 品 网 络 病 毒 检 查 预 防 和 清 除 产 品 网 络 安 全 隐 患 扫 描 检 测 工 具 网 络 安 全 监 控 及 预 警 设 备 网 络 信 息 远 程 监 控 系 统 网 情 分 析 系 统

谢 谢！