Download
1 / 59
590 likes | 822 Vues
网络安全. 陈庆章 浙江工业大学计算机学院 qzchen@zjut.edu.cn 13968068831. 计算机信息系统的安全隐患 关于安全的解决方案 网络攻击的现状和演示. 主要议题. 安全问题来自何方?. 安全的威胁. 黑客入侵 国家利益、商业利益、个人谋利 内部攻击 病毒侵入 秘密信息泄露 硬件和软件后门. 黑客概念. 英文: Hacker 、 Intruder( 入侵者 ) 、 Cracker( 破坏者 ) 简单理解: 是资料的窃取者或信息系统入侵者
E N D
网络安全 陈庆章 浙江工业大学计算机学院 qzchen@zjut.edu.cn 13968068831
计算机信息系统的安全隐患 关于安全的解决方案 网络攻击的现状和演示 主要议题
安全的威胁 • 黑客入侵 • 国家利益、商业利益、个人谋利 • 内部攻击 • 病毒侵入 • 秘密信息泄露 • 硬件和软件后门
黑客概念 • 英文:Hacker、Intruder(入侵者)、Cracker(破坏者) • 简单理解:是资料的窃取者或信息系统入侵者 • 原意:熟悉某种电脑系统,并具有极高的技术能力,长时间将心力投注在信息系统的研发,并且乐此不疲的人。 • 当前共识:在信息/网络世界中,仰仗着自己的技术能力,咨意非法进出他人信息系统,视法律与社会规范于不顾的角色。
谁是黑客 • 业余电脑爱好者。多半是对网络技术有兴趣的学生,也许是信息技术相关行业的从业人员。 • 职业的入侵者。这些人把入侵当成事业,认真系统地整理所有可能发生的系统弱点,熟悉各种信息安全攻防工具。 • 电脑高手。可能是天才的学生,也可能是熟练的电脑工程师,他们对网络、操作系统的运作了若指掌。 • Hacker级的Cracker。也许你所使用的操作系统就是出自他的设计,也许你使用的系统安全工具就是他开发的。
黑客的目的 • 信息战- 国家利益 • 商业对手-窃取机密资料 • 个人谋利-盗用别人钱财 • 好奇心与成就感 • 盗用系统资源
诋毁政府-公司形象 商业机密泄露 电子欺骗抵赖 破坏主机 危害实例 危害 联邦调查局的主页被修改 当当书店遭遇黑客入侵破坏,状告8848网站 Bill Gates信用卡在利用电子商务登记会员时被盗用 Love病毒 当天感染用户40万,全球损失$100 million
内部攻击 • 计算机犯罪、黑客攻击等非法攻击行为70%来自于内部网络; • 内部攻击频发的原因: ①局域网是黑客和计算机迷学习练习的最好场所; ②被害单位的财富和信息过于集中而又疏于内部管理; ③个别品质低下的内部人员对本单位信息环境熟悉又加剧 了其作案和被外部人勾结引诱的可能性; ④管理者信息安全意识不强,缺乏对职员的信息安全教育; • 内部攻击的主要手段有:冒名顶替、修改网卡内码、使用黑客工具等。
病毒感染:计算机病毒定义 • 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 • 摘自《中华人民共和国计算机信息系统安全保护条例》第28条
病毒感染:典型的现象 • Word、Excel文件打不开; • 重要文件被破坏或丢失; • 打开邮件后,系统死机; • 计算机莫迷奇妙奏起音乐; • 计算机分区丢失; • 内存不足、速度越来越慢; • ……
病毒感染:感染现象举例 WIN95.HPS病毒发作现象
病毒感染:感染现象举例 WIN95.Murburg病毒发作现象 现在BO黑客工具只要你在网上,你的机器内部的重要文件随时有可能被 其它怀有不良企图的人所窃取。
病毒感染:传播过程示意 病毒 7 灭绝 1 创造 6 解决方法 2 感染 5 发现 3 传播 4 发病
秘密信息泄露 • 各类电磁辐射:显示设备、通信线路等; • 涉密设备或网络连入因特网; • 存储介质和设备硬件; • 设备和软件的漏洞…
硬件和软件后门 • 国内流行操作系统:例Win98 • 计算机主要集成电路芯片:例PIII CPU • 一些国外进口的应用软件; • 主要的网络互连设备,如路由器…
Rate % 1 2 3 4 5 6 7 8 30+ 90+ 1 X 2X 3X 4X 5X 6X 7X 8MDI-X-or-8MDI Fast SwitcHub-8mi 20 70 Collision 10 50 5 35 20 1 100 M 10 Tx/Rx 5 PWR Full Duplex 1 Config Link Util% Demo SNMP Filter% Select/Link Status Forward% Diag 10 M/ 100 M Full/Half 隐患成因 • 难以控制知识产权;如路由器、OS、集成电路 • 高端网络安全产品国外厂商一统天下:如防火墙 • 信息安全意识淡薄,疏于防范; • 信息社会的职业道德教育内容和体系不健全; • 对信息安全技术的研究缺乏和浮躁 • ……
是谁在网络的另一端? X Internet IP 数据包 IP 数据包 IP 数据包 IP 数据包 IP 数据包 IP 数据包 IP 数据包 迫切要解决的问题 —认证
网络安全的基本要求 • 通信的保密性 • 要求通信双方的通信内容是保密的。 • 这一方面要求通信的内容不能被第三方所窃取; • 也要求万一被别人窃取后,也不能得到信息的具体内容。
网络安全的基本要求 • 数据的完整性 • 要保证接收到的信息是完整的。这不是指收到的信息是不是有完整的意义,而是说在传输的过程中数据没有被修改。 • 要求接收到的信息或数据和发送方所发出的信息是完全一致的。 如果发出的信息是“请付给甲100元”,收到的信息是“请付给甲10000元”,数据的完整性就被破坏了。
网络安全的基本要求 • 身份的确认性 • 在网络的通信中如何确定通信者的身份也是一个重要的问题。打电话可以从语音识别身份,写信可以从笔迹识别身份,网络通信中如何识别身份?(生理特征?持有物?) 如果收到总经理的邮件:“请付给乙方10000元”。如何确认此信一定是总经理发来的?
网络安全的基本要求 • 通信的不可抵赖性 • 网络通信全部是电子形式的文档。收到的信息经打印机打印出来后和一般的文档没有什么不同。 甲给乙一份邮件,“请发货100件”。等乙发完货向甲收款时,甲说我没有要你发货。有什么办法使甲不能抵赖所发的信息?
防火墙产品 入侵检测产品 • 数据加密 VPN • PKI认证机构CA • 安全支付网关 • 电子商务安全软件 网络防病毒网关 安全对策 对网站的攻击 修改主页,拒绝服务 商业机密泄露 电子欺骗 破坏主机系统 窃取信息
系统后门 • 安全路由器 • 安全服务器 • Linux方案 • 单机上网产品 • 内外网安全隔离卡 • 安全主机 • 防火墙 安全对策 政府-企业上网
屏蔽与干扰 从信号源上防护 • 防幅射(主机、显示器) • 通信线路 • 输入与输出设备
防病毒产品 • 可查出各类文件形式中的病毒 • 拥有较好的启发式扫描技术 • 通过安全认证 • 安装前先对系统进行查毒 • 良好的清除病毒能力 • 快速的查毒速度 • 实时的监控功能 • 完善的升级设计
加密传输 • 密钥技术 • 加密设备 网络层、链路层加密机 • 身份认证
公钥私钥体制 • 通信双方各有一对公钥和私钥 • 将自己公钥公布 • 发送方使用对方的公钥加密要发送的数据 • 接收方使用自己私钥对收到的数据解密
加密方法 • 替代密码: 使用一种符号来替代另一种 • 单字符密码: 用一个字母来替换另一个 明文: abcdefghijklmnopqrstuvwxyz 规则 密文: mnbvcxzasdfghjklpoiuytrewq 例如: 明文: bob. i love you. alice 密文: nkn. s gktc wky. mgsbc XOR是最简单和有效的加密方法?
访问控制 • 物理隔离设备 硬盘隔离卡、网闸 • 访问控制权设置 • 防火墙
国际互联网 防火墙 在不安全的网络环境中构造一个相对安全的子网环境 路由器 防火墙 客户端 FTP/HTTP 代理 服务器 FTP 服务器 SMTP 服务器 应用服务器
安全检测和监控 • 漏洞扫描 OS漏洞、应用服务漏洞、木马侦测 网络配置漏洞、口令漏洞等 • 在线入侵检测系统 IDS
备份 • 数据备份 • 设备备份 • 电源 • 异地备份 冗灾 • 管理人员备份
是谁读到了我的信? internet IP 数据包 IP 数据包 IP 数据包 IP 数据包 IP 数据包 IP 数据包 IP 数据包 目前的有效途径 ——加密 我截获了无数个 password
信息技术的迅猛发展,是黑客产生的基础 --- 个人计算机性能的提高 --- 应用软件,应用水平的提高 --- 互联网成为人们从事各项活动的主要舞台 互联网缺乏安全控制机制,是黑客存在的条件 --- 互联网不为某个政府或组织所控制 --- 最初的考虑主要是网络的连接,而不是网络安全 --- 互联网缺乏必要的安全控制机制 互联网资源为黑客滋生提供了技术条件 --- 互联网上很容易查找到黑客网址。 --- 免费下载各种黑客软件,网上阅读及交流 攻防技术的发展背景
现代攻击者的特点 • 技术化 • --- 掌握网络技术进行网络攻击的前提 • --- 一些黑客甚至是 “高手” • 年轻化 • --- 1998年7年江西省169信息网全线瘫痪,嫌疑人仅19岁 • --- ISS创始人16岁便攻入联邦调查局网络 • 社会化 • --- 来自于各个层次、来自于不同年龄段 • --- 动机各自不同 • 地点复杂化 • --- 上网途径复杂化、可能是世界上的任何一个地方 • --- 追查攻击来源十分困难
网络攻击的防范 • 提高网络安全意识 --- 采取必要的防范措施 • 依法强化管理 --- 健全完善的发规,强化网络管理 • 加强网络出口管理 --- 网络边界采取必要的访问控制机制 防火墙 --- 完善的加密,身份认证体制 • 开发先进的网络安全产品 --- 不依靠进口产品 --- 大力开发自主知识版权的信息安全产品 • 加强国际合作
典型网络攻击 • 拒绝服务攻击 • IP炸弹、邮件炸弹 • 恶意程序码 • 病毒(Virus)和后门程序(Backdoor) • BO (Back Orifice)攻击 • 网络监听 • 网络信息包监听、电脑系统监听 • 密码破解
网络中常见的攻击 • 特洛伊木马(Trojan horse) 一种执行超出程序定义之外的程序。如一个编译程序除了执行编译任务以外,还把用户的源程序偷偷地copy下来,这种编译程序就是一种特洛伊木马。
网络中常见的攻击 • 逻辑炸弹(logic bomb) • 一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如CIH,每当系统时间为26日的时候,便在BIOS中写入一大堆垃圾信息,造成系统瘫痪。 • 逻辑炸弹是计算机病毒的一种。计算机病毒(computer virus),一种会“传染”和起破坏作用的程序。
网络中常见的攻击 • 主机欺骗 • 黑客可以发送虚假的路由信息到他想进行欺骗的一台主机,如主机A。这种假冒的信息也将发送到目标主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息经常表示到网络上的一台不工作或没有使用的主机,如主机B。这样,任何要发送到主机B的信息都会转送到黑客的计算机,而主机A和网关还认为信息是流向了主机B。一旦黑客成功地将他或她的计算机取代了网络上的一台实际主机,就实现了主机欺骗。
网络中常见的攻击 • Java和ActiveX攻击 • 黑客会将“特洛伊木马”程序插入到Java对象库。当一个用户的浏览器下载Java对象库时,隐藏的“特洛伊木马”程序就会和类库一起进入用户的系统并伺机发作。当某种键入的组合或鼠标点击的组合发生时,“特洛伊木马”程序就会发作和起作用。一旦“特洛伊木马”窃取了用户的口令并将他传送到黑客所在的机器
网络中常见的攻击 • 使用探视软件 • 几乎有网络路由器的地方都有探视程序(Sniffer Program)。探视程序是一种分析网络流量的网络应用程序。一般来说,这种软件收集的数据太多,对黑客不是很有用。但是,这种软件对黑客仍然是有吸引力的,因为黑客可以再加一个应用程序接口(API)。通过这个API,可以控制探视程序只是收集和管理具有某种格式的数据,例如口令。
网络中常见的攻击 • SMTP攻击: • 缓冲器过载(buffer overrun)攻击。缓冲器过载是一种常见的email攻击,此时,有些人的电子邮件信箱会塞满垃圾邮件,直到系统瘫痪。 • 秘密命令攻击(Backdoor Command Raids)通常是通过邮件的附件来发动的。特洛伊木马程序将秘密地隐藏在电子邮件中,当你双击邮件列表时,此特洛伊木马将从附件中滑出
BO 攻击演示 • 特洛伊木马攻击的原理是利用用户的大意或系统的漏洞,在被攻击主机上放置特殊的程序 • 这个特殊的程序作为一个服务运行于被攻击的主机上,开放一个自定义的端口, • 攻击者可以利用客户端软件连接到该端口,这样就可以象在目标主机上操作一样达到控制被攻击主机的目的 • 典型的特洛伊木马攻击软件有BO2000、冰河等
冰河攻击实例 目的:网络上某个黑客通过网络取某公司一名员工电脑中 的重要资料。
冰河攻击实例 1.在网络上下载一黑客工具:冰河。
