网 络 安 全 主 讲:马 进 2006年6月15日 第一讲.

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

专题六 语文课程标准修订对“实验稿”作了哪些修改和调整
国家域名系统 中国信息社会的中枢神经 中国互联网络信息中心(CNNIC).
计算机网络教程 任课教师:孙颖楷.
第 三 章 网络安全 3.1 网络安全概述 3.2 常见的网络黑客攻击技术 3.3 主要的网络安全技术 NEXT.
——Windows98与Office2000(第二版) 林卓然编著 中山大学出版社
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第三章 信息安全保障体系 主讲教师:董庆宽 研究方向:密码学与信息安全
网页设计师的职业成长规律 主讲:刘万辉 淮安信息职业技术学院.
初级会计电算化 (用友T3) 制作人:张爱红.
中国长江三峡工程开发总公司组织机构 决策层 咨询 总经理 党群系统 总公司 党 组 管理层 实施层 技术委员会(环境及文物保护委员会)
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 02 认识虚拟局域网 计算机网络技术专业.
实用操作系统概念 张惠娟 副教授 1.
2.3 网络域名及其管理.
基于解释性语言的手机跨平台架构 Sloan Yi. Qt MTK.
课程中心 课程中心培训方案 上海泰泽信息技术有限公司
计算机基础知识 丁家营镇九年制学校 徐中先.
格物资讯开放ICON库 V1R1.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
计算机网络原理 徐明伟
第二讲 搭建Java Web开发环境 主讲人:孙娜
Chinese Virtual Observatory
R in Enterprise Environment 企业环境中的R
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
存储系统.
李杰 首都经济贸易大学 安全与环境工程学院 个人主页:
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SVN服务器的搭建(Windows) 柳峰
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
Visual Studio Team System 简介
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第17章 网站发布.
网络安全概论 网络与信息安全研究所 HFUT DSP Lab 苏兆品
Windows 7 的系统设置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
实用网络营销基础 冯英健 2006年8月6日 首页.
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
厂商—型号 荣耀-HiRouter-H1 外观设计 产品类型:无线路由器 建议零售价格:149元 上市时间:2017 年 5月
C语言程序设计 主讲教师:陆幼利.
学习目标 1、什么是字符集 2、字符集四个级别 3、如何选择字符集.
微机系统的组成.
第四章 团队音乐会序幕: 团队协作平台的快速创建
DQMClientDim.cxx及双光子练习
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
IT 安全 第 9节 通信和网络控制.
iSIGHT 基本培训 使用 Excel的栅栏问题
深 圳 职 业 技 术 学 院 SHENZHEN POLYTECHNIC
第1章 网络安全概述 13:43:19. 第1章 网络安全概述 13:43:19 第一章 网络安全概述 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。本章主要介绍网络安全的概念、威胁网络安全的因素、网络安全防护体系及网络安全的评估标准等方面的内容。
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
基于列存储的RDF数据管理 朱敏
第四章 UNIX文件系统.
第十七讲 密码执行(1).
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
热静力排空气阀 斯派莎克工程(中国)有限公司 基础培训课程.
学习数据结构的意义 (C语言版) 《数据结构》在线开放课程 主讲人:李刚
入侵检测技术 大连理工大学软件学院 毕玲.
网页版报名流程 Step 4 点击“详情”查阅具体岗位信息,输入身份数据及申请序列码进行最终报名
实验六、COM类型病毒分析实验 实验开发教师: 刘乃琦 谌黔燕.
IT 安全 第 1节 安全目标.
Presentation transcript:

网 络 安 全 主 讲:马 进 2006年6月15日 第一讲

课 程 说 明 课程学时安排 成绩比例 总学时 45 考试 70% 作业 20% 考勤 10%

教 学 内 容 1 网络安全概论 2 防火墙技术 3 PKI技术 4 虚拟专用网络

教 学 内 容(续) 5 入侵检测技术 6 病毒防护技术 7 补充内容

本 课 程 对 学 生 的 要 求 了解和掌握网络与信息安全的基本原理和相关技术 关注国内外最新研究成果和发展动态 具有网络与信息安全的理论基础和基本实践能力

1 第一章 网络安全概论 引言 信息安全概念与技术的发展 信息安全管理的地位 网络攻击简介 安全产品类型 1.1 1.2 1.3 1.4 1.5 安全产品类型

引 言 1.1 信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。 网络安全:计算机网络环境下的信息安全。

信息的安全需求 保密性:对信息资源开放范围的控制。 (数据加密、访问控制、防计算机电磁泄漏等安全措施) 完整性:保证计算机系统中的信息处于“保持完整或一种未受损的状态”。 (任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。) 可用性:合法用户在需要的时候,可以正确使用所需的信息而不遭服务拒绝。 (系统的可用性与保密性之间存在一定的矛盾。)

网络不安全的原因 自身缺陷+开放性+黑客攻击

信息安全概念与技术的发展 1.2 信息安全的概念与技术是随着人们的需求,随着计算机、通信与网络等信息技术的发展而不断发展的。 单机系统的信息保密阶段 网络信息安全阶段 信息保障阶段

单机系统的信息保密阶段 信息保密技术的研究成果: 发展各种密码算法及其应用: DES(数据加密标准)、RSA(公开密钥体制)、ECC(椭圆曲线离散对数密码体制)等。 计算机信息系统安全模型和安全评价准则: 访问监视器模型、多级安全模型等;TCSEC(可信计算机系统评价准则)、ITSEC(信息技术安全评价准则)等。

网络信息安全阶段 1988年莫里斯蠕虫爆发 对网络安全的关注与研究 该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术:(被动防御) 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。 当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则(如CC通用评估准则)。 1988年莫里斯蠕虫爆发 对网络安全的关注与研究 CERT成立

信息保障阶段 信息保障(IA)概念与思想的提出:20世纪90年代由美国国防部长办公室提出。 定义:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。

信息保障阶段 信息保障技术框架IATF:由美国国家安全局制定,提出“纵深防御策略”DiD(Defense-in-Depth Strategy)。 在信息保障的概念下,信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密,而是保护(Protection)、检测(Detection)、响应(Reaction)和恢复(Restore)的有机结合。 信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。

PDRR安全模型 信息 保障 保护 检测 恢复 响应 采用一切手段(主要指静态防护手段)保护信息系统的五大特性。 检测本地网络的安全漏洞和存在的非法信息流,从而有效阻止网络攻击 信息 保障 恢复 响应 及时恢复系统,使其尽快正常对外提供服务,是降低网络攻击造成损失的有效途径 对危及网络安全的事件和行为做出反应,阻止对信息系统的进一步破坏并使损失降到最低

PDRR安全模型 注意: 保护、检测、恢复、响应这几个阶段并不是孤立的,构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。

信息保障体系的组成 法律与政策体系 标准与规范体系 人才培养体系 产业支撑体系 技术保障体系 组织管理体系

信息安全管理的地位(1/8) 1.3 预警 W 保护 P 检测 响应 恢复 反击 D R C 人 政策 技术

信息安全管理的地位(2/8) 我国863信息安全专家组博采众长推出了WPDRRC安全体系模型。 该模型全面涵盖了各个安全因素,突出了人、策略、管理的重要性,反映了各个安全组件之间的内在联系。 人——核心 政策(包括法律、法规、制度、管理)——桥梁 技术——落实在WPDRRC六个环节的各个方面,在各个环节中起作用

信息安全管理的地位(3/8) 预警:根据以前掌握系统的脆弱性和了解当前的犯罪趋势,预测未来可能受到的攻击和危害。 虽然目前Internet是以光速传播的,但攻击过程还是有时间差和空间差。 如果只以个人的能力实施保护,结果永远是保障能力小于或等于攻击能力,只有变成举国体制、协作机制,才可能做到保障能力大于等于攻击能力。

信息安全管理的地位(4/8) 保护:采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。 我国已提出实行计算机信息系统的等级保护问题,应该依据不同等级的系统安全要求完善自己系统的安全功能和安全机制。 现有技术和产品十分丰富。

信息安全管理的地位(5/8) 检测:利用高技术提供的工具来检查系统存在的,可能提供黑客攻击、病毒泛滥等等的脆弱性。 具备相应的技术工具 形成动态检测制度 建立报告协调机制

信息安全管理的地位(6/8) 响应:对于危及安全的事件、行为、过程,及时做出响应的处理,杜绝危害进一步扩大,使得系统力求提供正常的服务。 通过综合建立起来响应的机制,如报警、跟踪、处理(封堵、隔离、报告)等; 提高实时性,形成快速响应的能力。

信息安全管理的地位(7/8) 恢复:对所有数据进行备份,并采用容错、冗余、替换、修复和一致性保证等相应技术迅速恢复系统运转。

信息安全管理的地位(8/8) 反击:利用高技术工具,提供犯罪分子犯罪的线索、犯罪依据,依法侦查犯罪分子处理犯罪案件,要求形成取证能力和打击手段,依法打击犯罪和网络恐怖主义分子。 相关技术及工具:取证、证据保全、举证、起诉、打击、媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译、追踪。

网络攻击简介 1.4 实施有效的网络攻击必须掌握相应的知识,选择恰当的攻击手段,采用合理的方法与步骤,才能取得预期的效果。 什么是网络攻击?

什么是网络攻击 网络攻击:网络攻击者利用目前网络通信协议(如TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。

常见的网络攻击手段 阻塞类攻击 控制类攻击 探测类攻击 欺骗类攻击 漏洞类攻击 破坏类攻击 注意:在一次网络攻击中,并非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥各自不同的作用。

阻塞类攻击(1/2) 阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击(DoS,Denial of Service)是典型的阻塞类攻击,它是一类个人或多人利用Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。 常见的方法:TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。

阻塞类攻击(2/2) DoS攻击的后果: 使目标系统死机; 使端口处于停顿状态; 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件; 扭曲系统的资源状态,使系统的处理速度降低。

控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。 口令截获与破解仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;木马技术目前着重研究更新的隐藏技术和秘密信道技术;缓冲区溢出是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。

探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。 主要包括:扫描技术、体系结构刺探、系统信息服务收集等。 目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术:网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强,也可被网络攻击者用来进行网络攻击。

欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。 主要包括:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。

漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击,伴随新发现的漏洞,攻击手段不断翻新,防不胜防。 漏洞(Hole):系统硬件或者软件存在某种形式的安全方面的脆弱性,这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。 要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点,不论是公开的还是秘密的,都提供漏洞的归档和索引等。

软 件 漏 洞 每周平均发现的新漏洞数

破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。 逻辑炸弹与计算机病毒的主要区别:逻辑炸弹没有感染能力,它不会自动传播到其他软件内。 注意:由于我国使用的大多数系统都是国外进口的,其中是否存在逻辑炸弹,应该保持一定的警惕。对于机要部门中的计算机系统,应该以使用自己开发的软件为主。

威胁的现状和趋势 “Flash” Threats 时间 “Warhol” Threats Blended Threats 第 III 类 人工响应: 不可能 自动响应: 不太可能 主动阻挡: 有可能 “Flash” Threats 几秒钟 “Warhol” Threats 第 II 类 人工响应: 很难/不可能 自动响应:有可能 几分钟 Blended Threats 几小时 第 I 类 人工响应:有可能 e-mail Worms 几天 Macro Viruses 几周/几个月 File Viruses 90年代初 90年代中 90年代末 2000 2003 2004 时间

两种安全防护模型 响应式安全防护模型:基于特定威胁的特征,目前绝大多数安全产品均基于这种模型 通过名字识别攻击 根据需要进行响应 减轻损失 事后恢复 主动式安全防护模型:以识别和阻挡未知威胁为主导思想 早期预警技术 有效的补丁管理 主动识别和阻挡技术

安全产品类型 1.5 根据我国目前信息网络系统安全的薄弱环节,近几年应重点发展安全保护、安全检测与监控类产品,相应发展应急响应和灾难恢复类产品。 信息保密产品 用户授权认证产品 安全平台/系统 安全检测与监控产品

信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品 密 码 加 产 品 密 钥 管 理 产 品 高 性 能 加 密 芯 片 产 品 数 字 签 名 产 品 数 字 证 书 管 理 系 统 用 户 安 全 认 证 卡 智 能 IC 卡 鉴 别 与 授 权 服 务 器 安 全 操 作 系 统 安 全 数 据 库 系 统 Web 安 全 平 台 安 全 路 由 器 与 虚 拟 专 用 网 络 产 品 网 络 病 毒 检 查 预 防 和 清 除 产 品 网 络 安 全 隐 患 扫 描 检 测 工 具 网 络 安 全 监 控 及 预 警 设 备 网 络 信 息 远 程 监 控 系 统 网 情 分 析 系 统

谢 谢!