計算機(jī)網(wǎng)絡(luò)安全第一章

網(wǎng)絡(luò)安全主講：馬進(jìn)2006年6月15日第一講課程說明課程學(xué)時安排

成績比例總學(xué)時 45考試 70％ 作業(yè) 20％ 考勤 10％

教學(xué)內(nèi)容網(wǎng)絡(luò)安全概論1防火墻技術(shù)2PKI技術(shù)

3虛擬專用網(wǎng)絡(luò)4教學(xué)內(nèi)容（續(xù)）入侵檢測技術(shù)5病毒防護(hù)技術(shù)

6補(bǔ)充內(nèi)容7本課程對學(xué)生的要求了解和掌握網(wǎng)絡(luò)與信息安全的基本原理和相關(guān)技術(shù)關(guān)注國內(nèi)外最新研究成果和發(fā)展動態(tài)具有網(wǎng)絡(luò)與信息安全的理論基礎(chǔ)和基本實踐能力第一章網(wǎng)絡(luò)安全概論

1.1信息安全概念與技術(shù)的發(fā)展1.2信息安全管理的地位

1.3網(wǎng)絡(luò)攻擊簡介

1.4引言1安全產(chǎn)品類型

1.5引言信息安全：防止任何對數(shù)據(jù)進(jìn)行未授權(quán)訪問的措施，或者防止造成信息有意無意泄漏、破壞、丟失等問題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險、免于威脅的狀態(tài)或特性。網(wǎng)絡(luò)安全：計算機(jī)網(wǎng)絡(luò)環(huán)境下的信息安全。1.1信息的安全需求保密性：對信息資源開放范圍的控制。（數(shù)據(jù)加密、訪問控制、防計算機(jī)電磁泄漏等安全措施）完整性：保證計算機(jī)系統(tǒng)中的信息處于“保持完整或一種未受損的狀態(tài)”。（任何對系統(tǒng)信息應(yīng)有特性或狀態(tài)的中斷、竊取、篡改、偽造都是破壞系統(tǒng)信息完整性的行為。）可用性：合法用戶在需要的時候，可以正確使用所需的信息而不遭服務(wù)拒絕。（系統(tǒng)的可用性與保密性之間存在一定的矛盾。）網(wǎng)絡(luò)不安全的原因自身缺陷＋開放性＋黑客攻擊信息安全概念與技術(shù)的發(fā)展

信息安全的概念與技術(shù)是隨著人們的需求，隨著計算機(jī)、通信與網(wǎng)絡(luò)等信息技術(shù)的發(fā)展而不斷發(fā)展的。單機(jī)系統(tǒng)的信息保密階段網(wǎng)絡(luò)信息安全階段信息保障階段1.2單機(jī)系統(tǒng)的信息保密階段信息保密技術(shù)的研究成果：發(fā)展各種密碼算法及其應(yīng)用： DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）、RSA（公開密鑰體制）、ECC（橢圓曲線離散對數(shù)密碼體制）等。計算機(jī)信息系統(tǒng)安全模型和安全評價準(zhǔn)則： 訪問監(jiān)視器模型、多級安全模型等；TCSEC（可信計算機(jī)系統(tǒng)評價準(zhǔn)則）、ITSEC（信息技術(shù)安全評價準(zhǔn)則）等。網(wǎng)絡(luò)信息安全階段

該階段中，除了采用和研究各種加密技術(shù)外，還開發(fā)了許多針對網(wǎng)絡(luò)環(huán)境的信息安全與防護(hù)技術(shù)：（被動防御） 安全漏洞掃描技術(shù)、安全路由器、防火墻技術(shù)、入侵檢測技術(shù)、網(wǎng)絡(luò)攻防技術(shù)、網(wǎng)絡(luò)監(jiān)控與審計技術(shù)等。 當(dāng)然在這個階段中還開發(fā)了許多網(wǎng)絡(luò)加密、認(rèn)證、數(shù)字簽名的算法和信息系統(tǒng)安全評估準(zhǔn)則（如CC通用評估準(zhǔn)則）。1988年莫里斯蠕蟲爆發(fā)對網(wǎng)絡(luò)安全的關(guān)注與研究CERT成立信息保障階段信息保障（IA）概念與思想的提出：20世紀(jì)90年代由美國國防部長辦公室提出。定義：通過確保信息和信息系統(tǒng)的可用性、完整性、可控性、保密性和不可否認(rèn)性來保護(hù)信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護(hù)、探測和反應(yīng)能力以恢復(fù)系統(tǒng)的功能。信息保障階段

信息保障技術(shù)框架IATF：由美國國家安全局制定，提出“縱深防御策略”DiD（Defense-in-DepthStrategy）。在信息保障的概念下，信息安全保障的PDRR模型的內(nèi)涵已經(jīng)超出了傳統(tǒng)的信息安全保密，而是保護(hù)（Protection）、檢測（Detection）、響應(yīng)（Reaction）和恢復(fù)（Restore）的有機(jī)結(jié)合。信息保障階段不僅包含安全防護(hù)的概念，更重要的是增加了主動和積極的防御觀念。保護(hù)檢測恢復(fù)響應(yīng)信息保障采用一切手段（主要指靜態(tài)防護(hù)手段）保護(hù)信息系統(tǒng)的五大特性。及時恢復(fù)系統(tǒng)，使其盡快正常對外提供服務(wù)，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑對危及網(wǎng)絡(luò)安全的事件和行為做出反應(yīng)，阻止對信息系統(tǒng)的進(jìn)一步破壞并使損失降到最低PDRR安全模型檢測本地網(wǎng)絡(luò)的安全漏洞和存在的非法信息流，從而有效阻止網(wǎng)絡(luò)攻擊PD量RR安全盒模型注意梨：保護(hù)賤、檢決測、讀恢復(fù)廉、響樂應(yīng)這腥幾個常階段賽并不痛是孤酬立的棄，構(gòu)尚建信遺息安橋全保供障體飽系必醉須從膜安全藝的各擺個方果面進(jìn)類行綜菜合考姻慮，伙只有派將技志術(shù)、肢管理封、策牲略、吉工程辭過程欠等方岔面緊洞密結(jié)達(dá)合，暫安全舟保障哄體系拘才能蘭真正秒成為寇指導(dǎo)榴安全經(jīng)方案境設(shè)計幟和建糟設(shè)的辦有力眠依據(jù)鎮(zhèn)。信息銅保障糟體系咳的組兔成法律月與政額策體愚系標(biāo)準(zhǔn)穩(wěn)與規(guī)肥范體瘦系人才醫(yī)培養(yǎng)歸體系產(chǎn)業(yè)矩支撐猾體系技術(shù)交保障除體系組織祖管理繪體系信息近安全尤管理刮的地檔位（1/濾8）1.跳3預(yù)警W保護(hù)P檢測響應(yīng)恢復(fù)反擊DRRC人政策技術(shù)信息初安全艱管理逼的地淘位（2/呈8）我國86拳3信息他安全傭?qū)＜肄p組博跌采眾息長推林出了WP繁DR螺RC安全映體系頓模型溪。該模邁型全酸面涵病蓋了撫各個秧安全離因素堤，突屢出了順人、諷策略光、管巧理的死重要螺性，訓(xùn)反映即了各予個安位全組刺件之藍(lán)間的吉內(nèi)在考聯(lián)系夫。人——核心政策（包潔括法昌律、糟法規(guī)后、制詠度、昆管理相）——橋梁技術(shù)——落實瓶在WP僵DR朋RC六個紅環(huán)節(jié)筐的各醒個方昂面，呼在各聯(lián)個環(huán)蛙節(jié)中環(huán)起作躁用信息副安全陸管理桑的地隸位（3/流8）預(yù)警猾：根據(jù)拐以前鍬掌握沒系統(tǒng)形的脆霞弱性路和了等解當(dāng)呼前的腿犯罪司趨勢您，預(yù)鼓測未挖來可取能受課到的爆攻擊嘉和危嫩害。雖然耳目前In債te從rn晝et是以怒光速味傳播紛的，忌但攻對擊過蕩程還飯是有符時間尋差和鐵空間助差。如果軋只以應(yīng)個人階的能才力實揭施保信護(hù)，釋結(jié)果繭永遠(yuǎn)塑是保鍵障能副力小怪于或突等于僑攻擊篩能力捉，只承有變能成舉降國體胖制、余協(xié)作聞機(jī)制政，才拿可能腔做到惜保障亭能力敞大于杯等于調(diào)攻擊俱能力昏。信息育安全從管理疲的地視位（4/鋼8）保護(hù)批：采用禾一切夸手段臭保護(hù)譽(yù)信息誰系統(tǒng)茅的保籌密性魄、完燥整性釀、可徒用性循、可窮控性氣和不礎(chǔ)可否驚認(rèn)性真。我國暴已提松出實善行計蛾算機(jī)處信息倍系統(tǒng)帥的等溫級保莖護(hù)問哈題，團(tuán)應(yīng)該隆依據(jù)蹤蝶不同原等級釣的系愈統(tǒng)安蘋全要棒求完虧善自漲己系辛統(tǒng)的批安全耽功能游和安短全機(jī)辰制。現(xiàn)有筋技術(shù)壘和產(chǎn)鋸品十純分豐騾富。信息京安全坊管理列的地蒸位（5/套8）檢測港：利用捧高技檢術(shù)提賺供的憂工具漠來檢兔查系凝統(tǒng)存伙在的冶，可彎能提咱供黑庸客攻鞠擊、叼病毒代泛濫頃等等嬸的脆寧弱性門。具備遲相應(yīng)淋的技綁術(shù)工澡具形成坦動態(tài)卡檢測造制度建立務(wù)報告迅協(xié)調(diào)挽機(jī)制信息爺安全左管理便的地恰位（6/離8）響應(yīng)嘉：對于老危及庭安全叫的事畢件、倚行為燦、過窄程，跡及時暈做出帳響應(yīng)送的處最理，佩杜絕旨危害忍進(jìn)一便步擴(kuò)緊大，雷使得部系統(tǒng)杏力求錄提供燭正常刑的服想務(wù)。通過護(hù)綜合笛建立講起來周響應(yīng)寬的機(jī)留制，息如報臂警、頁跟蹤拔、處食理（踩封堵燙、隔魔離、味報告鉤）等嫂；提高首實時旬性，矮形成撞快速意響應(yīng)粥的能捕力。信息壩安全泡管理假的地裝位（7/眾8）恢復(fù)擱：對所多有數(shù)馬據(jù)進(jìn)角行備茫份，臟并采筒用容忘錯、桑冗余街、替叨換、想修復(fù)會和一筒致性屋保證歌等相網(wǎng)應(yīng)技庸術(shù)迅軍速恢件復(fù)系津統(tǒng)運(yùn)缺轉(zhuǎn)。信息振安全哈管理存的地膊位（8/輝8）反擊枯：利用制高技衡術(shù)工見具，抬提供病犯罪抖分子驅(qū)犯罪弱的線地索、猴犯罪撞依據(jù)獨，依墨法偵兩查犯翁罪分桑子處謙理犯草罪案菠件，幸要求蛾形成燥取證拴能力約和打按擊手正段，錢依法燈打擊何犯罪對和網(wǎng)年絡(luò)恐高怖主可義分映子。相關(guān)葵技術(shù)啞及工舒具：釣取證侍、證昂據(jù)?？v全、黑舉證樹、起陸訴、弱打擊滿、媒鍛體修店復(fù)、續(xù)媒體跑恢復(fù)挨、數(shù)蚊據(jù)檢稅查、獎完整久性分瞧析、誕系統(tǒng)米分析壩、密際碼分樸析破樓譯、同追蹤飾。網(wǎng)絡(luò)炕攻擊粒簡介實施駛有效那的網(wǎng)擋絡(luò)攻踩擊必附須掌該握相戶應(yīng)的爭知識洋，選悔擇恰客當(dāng)?shù)膯峁艚g手段半，采紐奉用合貼理的宰方法歌與步躬驟，虜才能度取得炮預(yù)期夫的效偉果。什么泛是網(wǎng)膏絡(luò)攻悟擊？1.儲4什么膝是網(wǎng)困絡(luò)攻療擊網(wǎng)絡(luò)掙攻擊央：網(wǎng)絡(luò)濱攻擊店者利洗用目勤前網(wǎng)沈絡(luò)通撥信協(xié)奏議（錫如TC島P/補(bǔ)IP協(xié)議蒸）自踐身存照在的揮或因與配置育不當(dāng)抓而產(chǎn)框生的滋安全標(biāo)漏洞非、用皇戶使度用的澇操作歡系統(tǒng)宵內(nèi)在嫌缺陷隆或者賞用戶櫻使用孤的程掩序語不言本莫身所聽具有脂的安主全隱小患等短，通臘過使約用網(wǎng)鄙絡(luò)命筋令、大從In檔te滴rn愛et上下岔載的割專用禮軟件虛或者霉攻擊慎者自包己編榜寫的腥軟件熊，非撇法進(jìn)蜓入本木地或幸遠(yuǎn)程屋用戶盒主機(jī)草系統(tǒng)縣，非卡法獲顫得、漏修改族、刪賺除用米戶系多統(tǒng)的居信息灣以及祝在用模戶系叫統(tǒng)上俊添加竄垃圾剃、色些情或淹者有泥害信稈息（懶如特絨洛伊宰木馬材）等爛一系鍛列過復(fù)程的懇總稱劃。常見鼻的網(wǎng)型絡(luò)攻津擊手尿段阻塞腫類攻載擊控制菊類攻征擊探測復(fù)類攻個擊欺騙古類攻騰擊漏洞碌類攻腎擊破壞眨類攻他擊注意述：在一拜次網(wǎng)貴絡(luò)攻剖擊中亡，并捐非只愉使用輸上述端六種扣攻擊孫手段兵中的哀某一壓種，蜜而是堵多種渠攻擊令手段功相綜扯合，恥取長斃補(bǔ)短尺，發(fā)盈揮各截自不級同的糾作用小。阻塞夠類攻裂擊（1/描2）阻塞猶類攻魄擊企坊圖通稼過強(qiáng)迎制占模有信坡道資悔源、跳網(wǎng)絡(luò)異連接鉛資源薄、存分儲空盆間資您源，潔使服細(xì)務(wù)器連崩潰開或資咽源耗蠢盡無宵法對針外繼閣續(xù)提箱供服擋務(wù)。拒絕恨服務(wù)充攻擊滅（Do累S，De搬ni壩al伸o之f填Se西rv卡ic旱e）是由典型刷的阻照塞類克攻擊賞，它坑是一終類個跳人或許多人錄利用In午te迅rn叫et協(xié)議受組的棍某些以工具碧，拒部絕合嶺法用迫戶對凍目標(biāo)雹系統(tǒng)?。ㄈ缗惴?wù)膨器）姜和信甘息的拴合法慢訪問躺的攻錄擊。常見折的方繞法：TC爸P緊SY輪N洪泛皇攻擊活、La概nd攻擊篩、Sm研ur晚f攻擊夫、電絡(luò)子郵蒙件炸捷彈等路多種束方式營。阻塞蛛類攻歸擊（2/吸2）Do勾S攻擊給的后撞果：使目秒標(biāo)系宮統(tǒng)死偵機(jī)；使端葡口處皺于停提頓狀掛態(tài)；在計易算機(jī)著屏幕充上發(fā)獨出雜贈亂信焦息、隙改變說文件宜名稱為、刪嗎除關(guān)傲鍵的打程序墓文件安；扭曲策系統(tǒng)磁的資躲源狀值態(tài)，稱使系港統(tǒng)的塘處理泡速度案降低示?？刂婆晤惞蓳艨刂茓鹦凸灀羰欠活惲_試圖仙獲得統(tǒng)對目竊標(biāo)機(jī)拒器控餐制權(quán)炭的攻濁擊。最常蹦見的皺三種橋：口漿令攻抗擊、閱特洛村伊木趨馬、穩(wěn)緩沖縣區(qū)溢嫁出攻促擊?？诹罱方孬@防與破茶解仍然良是最婦有效臘的口差令攻蹄擊手廈段，鉤進(jìn)一悄步的械發(fā)展爸應(yīng)該功是研逗制功膽能更子強(qiáng)的糊口令秩破解倆程序才；木馬罩技術(shù)目前王著重幅研究茄更新征的隱葉藏技越術(shù)和姐秘密希信道告技術(shù)并；緩沖庭區(qū)溢啞出是一衛(wèi)種常皮用的聯(lián)攻擊挑技術(shù)暑，早此期利績用系浪統(tǒng)軟轉(zhuǎn)件自妨身存攪在的灣緩沖傲區(qū)溢互出的邁缺陷誘進(jìn)行羽攻擊類，現(xiàn)貌在研艦究制排造緩浩沖區(qū)驗溢出辦。探測敏類攻軌擊信息望探測叨型攻再擊主昏要是扒收集噸目標(biāo)餓系統(tǒng)墓的各繪種與丙網(wǎng)絡(luò)墓安全攝有關(guān)灶的信扎息，失為下蒙一步某入侵粥提供復(fù)幫助厲。主要汗包括廁：掃普描技散術(shù)、送體系攏結(jié)構(gòu)煩刺探訓(xùn)、系毅統(tǒng)信夢息服咳務(wù)收乎集等腹。目前販正在領(lǐng)發(fā)展涉更先抽進(jìn)的娛網(wǎng)絡(luò)鎮(zhèn)無蹤殖跡信局息探茶測技續(xù)術(shù)。網(wǎng)絡(luò)俘安全缸掃描棕技術(shù)散：網(wǎng)絡(luò)厭安全脆防御易中的窗一項笛重要秋技術(shù)乏，其眉原理瓣是采勢用模侮擬攻耗擊的列形式邀對目園標(biāo)可顧能存扣在的查已知朵安全狠漏洞順進(jìn)行繁逐項筒檢查趁。它合既可社用于葵對本魚地網(wǎng)鴨絡(luò)進(jìn)尾行安軍全增服強(qiáng)，召也可絹被網(wǎng)頑絡(luò)攻失擊者惰用來述進(jìn)行床網(wǎng)絡(luò)處攻擊遷。欺騙嗚類攻容擊欺騙烏類攻魚擊包抄括IP欺騙飽和假喂消息硬攻擊蹈，前鍵一種敘通過吉冒充拘合法接網(wǎng)絡(luò)墓主機(jī)碌騙取娛敏感債信息陸，后論一種益攻擊截主要擴(kuò)是通添過配旋制或框設(shè)置老一些憲假信稈息來琴實施司欺騙師攻擊寨。主要湯包括經(jīng)：AR點P緩存杯虛構(gòu)澤、DN聾S高速仆緩存法污染呀、偽晝造電愛子郵沉件等層。漏洞榨類攻天擊針對蘿掃描杜器發(fā)瘦現(xiàn)的分網(wǎng)絡(luò)加系統(tǒng)相的各色種漏每洞實火施的鳳相應(yīng)罪攻擊胡，伴癢隨新單發(fā)現(xiàn)耽的漏池洞，網(wǎng)攻擊拌手段婆不斷直翻新卻，防撥不勝煉防。漏洞奇（Ho艷le）：系怒統(tǒng)硬癢件或薪者軟充件存伴在某哪種形枝式的饅安全需方面鳳的脆治弱性駕，這勝種脆翻弱性抖存在紛的直拖接后萍果是瘡允許夕非法滾用戶林未經(jīng)霞授權(quán)畢獲得墊訪問匙權(quán)或柱提高梯其訪命問權(quán)臂限。要找訪到某熄種平庫臺或?qū)φ吣匙李惏策m全漏塔洞也秋是比啞較簡解單的皂。在In橋te纏rn侵et上的汗許多墨站點鼠，不脫論是飯公開漆的還哄是秘籠密的炭，都?xì)峁嵚┒椿臍w卡檔和鴉索引東等。軟暈件港漏阿洞每周腿平均罰發(fā)現(xiàn)齒的新瞇漏洞蟲數(shù)破壞量類攻畢擊破壞捆類攻獻(xiàn)擊指火對目撇標(biāo)機(jī)師器的數(shù)各種餓數(shù)據(jù)常與軟呼件實潮施破鮮壞的集一類頭攻擊托，包謊括計譯算機(jī)寬病毒耀、邏昆輯炸境彈等竭攻擊勞手段便。邏輯奇炸彈垂與計醉算機(jī)犁病毒法的主頂要區(qū)繁別：撕邏輯只炸彈頁沒有床感染護(hù)能力垂，它績不會懷自動護(hù)傳播鬼到其姨他軟糕件內(nèi)匪。注意不：由于仇我國籠使用螺的大衣多數(shù)寄系統(tǒng)丘都是玻國外召進(jìn)口蘋的，繁其中晚是否隔存在漸邏輯字炸彈務(wù)，應(yīng)引該保亭持一僚定的壇警惕虹。對持于機(jī)懷要部浩門中螞的計田算機(jī)者系統(tǒng)掙，應(yīng)哪該以舟使用拌自己殿開發(fā)蠢的軟中件為面主。威脅丑的現(xiàn)熄狀和棉趨勢幾小頸時時間幾周/幾個膀月幾天幾分通鐘幾秒鋸鐘90年代衛(wèi)初90年代死中90年代撇末20倚0020鄭03第I類人工仁響應(yīng):有可搬能“Flash”ThreatsFileViruses第II太I(xiàn)類人工奔響應(yīng):不可若能自動聲響應(yīng):不太近可能主動衫阻擋:有可喜能第II類人工雅響應(yīng):很難/不可截能自動揉響應(yīng):有可持能MacroVirusese-mailWormsBlendedThreat