物聯(lián)網(wǎng)信息安全 課件 第6章 6.1 應(yīng)用層安全需求

應(yīng)用層安全需求計(jì)算機(jī)學(xué)院一.概述二.安全問題三.技術(shù)需求四.結(jié)語概述傳統(tǒng)的骨干網(wǎng)絡(luò)交換設(shè)備都是基于2-3層網(wǎng)絡(luò)結(jié)構(gòu)所設(shè)計(jì)，它們?yōu)榫W(wǎng)絡(luò)提供了最為基礎(chǔ)的構(gòu)架，確保了骨干網(wǎng)的大容量、高速率。但是，隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，更多的功能與服務(wù)都將通過4-7層網(wǎng)絡(luò)來實(shí)現(xiàn)。隨著4-7層網(wǎng)絡(luò)應(yīng)用的增多，安全問題難以避免。在4-7層網(wǎng)絡(luò)上如何保證安全性呢？隨著針對網(wǎng)絡(luò)應(yīng)用層的病毒、黑客以及漏洞攻擊的不斷爆發(fā)，目前面臨的安全方面的挑戰(zhàn)主要集中在應(yīng)用層，所以解決的辦法也不能像普通防火墻一樣在網(wǎng)絡(luò)層解決。安全性的保障應(yīng)該是從應(yīng)用層著手。傳統(tǒng)的防火墻、防病毒網(wǎng)關(guān)都是基于2-3層網(wǎng)絡(luò)設(shè)計(jì)的，存在著巨大的安全漏洞及隱患。1應(yīng)用層面臨的安全問題概述1應(yīng)用層面臨的安全問題七層網(wǎng)絡(luò)概述傳統(tǒng)的網(wǎng)絡(luò)安全體系架構(gòu)通常是由2-3層（數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層）設(shè)備組成的，對數(shù)據(jù)包只能進(jìn)行2-3層的分析和處理，因而存在巨大的缺陷。近來大多數(shù)攻擊都有一些共同的特點(diǎn)，那就是針對應(yīng)用層攻擊、蔓延速度快等。傳統(tǒng)的2-3層網(wǎng)絡(luò)安全體系，其防范措施要么是等待下載補(bǔ)丁程序，要么是關(guān)閉某些端口。這些措施不但費(fèi)時費(fèi)力，而且有一點(diǎn)事后諸葛的味道，無法徹底保證網(wǎng)絡(luò)系統(tǒng)的安全。而網(wǎng)絡(luò)安全是一個完整的體系，針對4-7層的攻擊也日益增多，因此，4-7層的網(wǎng)絡(luò)安全同樣不可忽視。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅應(yīng)用層威脅，主要包括下面幾種形式：病毒、蠕蟲、木馬、不受歡迎應(yīng)用程序、遠(yuǎn)程攻擊、人員威脅等。1)病毒、蠕蟲和木馬（1）病毒。計(jì)算機(jī)病毒是一個破壞計(jì)算機(jī)的正常運(yùn)行的程序，使之無法正常使用。（2）蠕蟲。蠕蟲的定義是指“通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”。（3）木馬。木馬一詞用來形容不屬于任何特定類別的所有滲透。2）不受歡迎應(yīng)用程序（1）Rootkit。Rootkit是一種惡意程序，它能在隱瞞自身存在的同時賦予Internet攻擊者不受限制的系統(tǒng)訪問權(quán)。（2）廣告軟件。廣告軟件是可支持廣告宣傳的軟件的簡稱。（3）間諜軟件。此類別包括所有在未經(jīng)用戶同意/了解的情況下發(fā)送私人信息的應(yīng)用程序。（4）潛在的不安全應(yīng)用程序。許多合法程序用于簡化聯(lián)網(wǎng)計(jì)算機(jī)的管理。但如果使用者動機(jī)不純，它們也可能被惡意使用。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅

應(yīng)用層威脅，主要包括下面幾種形式：病毒、蠕蟲、木馬、不受歡迎應(yīng)用程序、遠(yuǎn)程攻擊、人員威脅等。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅1)病毒、蠕蟲和木馬（1）病毒。計(jì)算機(jī)病毒是一個破壞計(jì)算機(jī)的正常運(yùn)行的程序，使之無法正常使用。（2）蠕蟲。蠕蟲的定義是指“通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”。（3）木馬。木馬一詞用來形容不屬于任何特定類別的所有滲透。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅2）不受歡迎應(yīng)用程序（1）Rootkit。Rootkit是一種惡意程序，它能在隱瞞自身存在的同時賦予Internet攻擊者不受限制的系統(tǒng)訪問權(quán)。（2）廣告軟件。廣告軟件是可支持廣告宣傳的軟件的簡稱。（3）間諜軟件。此類別包括所有在未經(jīng)用戶同意/了解的情況下發(fā)送私人信息的應(yīng)用程序。（4）潛在的不安全應(yīng)用程序。許多合法程序用于簡化聯(lián)網(wǎng)計(jì)算機(jī)的管理。但如果使用者動機(jī)不純，它們也可能被惡意使用。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅3）遠(yuǎn)程攻擊許多特殊技術(shù)允許攻擊者危害遠(yuǎn)程系統(tǒng)安全。它們分為多個類別。（1）DoS攻擊。DoS或拒絕服務(wù)，是一種使計(jì)算機(jī)資源對其目標(biāo)用戶不可用的攻擊。受到DoS攻擊的計(jì)算機(jī)通常需要重新啟動，否則它們將無法正常工作。（2）DNS投毒。通過DNS（域名服務(wù)器）投毒方法，黑客可以欺騙任何計(jì)算機(jī)的DNS服務(wù)器，使其相信它們提供的虛假數(shù)據(jù)是合法、可信的。然后，虛假信息將緩存一段時間。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅（3）端口掃描。端口掃描控制網(wǎng)絡(luò)主機(jī)上是否有開放的計(jì)算機(jī)端口。（4）TCP去同步化。TCP去同步化是TCP劫持攻擊中使用的技術(shù)。（5）SMB中繼。SMBRelay和SMBRelay2是能夠?qū)h(yuǎn)程計(jì)算機(jī)執(zhí)行攻擊的特殊程序。（6）ICMP攻擊。ICMP（Internet控制消息協(xié)議）是一種流行且廣泛使用的Internet協(xié)議。它主要由聯(lián)網(wǎng)計(jì)算機(jī)用于發(fā)送各種錯誤消息。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅4）人員威脅（1）駭客。“Cracker”的音譯，“破解者”的意思。從事惡意破解商業(yè)軟件、惡意入侵別人的網(wǎng)站等事務(wù)。（2）內(nèi)部人員。內(nèi)部人員的威脅常常是電腦安全的主要敵人。惡意系統(tǒng)管理員能夠造成預(yù)計(jì)之外的破壞效果。（3）帶寬濫用?！皫挒E用”是指對于企業(yè)網(wǎng)絡(luò)來說，非業(yè)務(wù)數(shù)據(jù)流消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無法正常運(yùn)作，重則致使企業(yè)IT系統(tǒng)癱瘓。1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅應(yīng)用層實(shí)現(xiàn)的是各種具體應(yīng)用業(yè)務(wù)，它所涉及的安全威脅主要來自下面幾個方面：如何實(shí)現(xiàn)用戶隱私信息的保護(hù)，同時又能正確認(rèn)證用戶信息；不同訪問權(quán)限如何對同一數(shù)據(jù)庫內(nèi)容進(jìn)行篩選；信息泄露如何追蹤問題；10.1.1應(yīng)用層面臨的安全問題應(yīng)用層安全威脅電子產(chǎn)品和軟件的知識產(chǎn)權(quán)如何保護(hù)；惡意代碼以及各類軟件系統(tǒng)自身漏洞、可能的設(shè)計(jì)缺陷，黑客，各類病毒是物聯(lián)網(wǎng)應(yīng)用系統(tǒng)的重要威脅；物聯(lián)網(wǎng)涉及范圍廣，目前海量數(shù)據(jù)信息處理和業(yè)務(wù)控制策略方面的技術(shù)還存在著安全性和可靠性的問題。10.1.1應(yīng)用層面臨的安全問題2應(yīng)用層安全技術(shù)需求安全技術(shù)需求如果從應(yīng)用層的角度來看物聯(lián)網(wǎng)，物聯(lián)網(wǎng)可以看作是一個基于通信網(wǎng)、互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)的，以提高物理世界的運(yùn)行、管理、資源使用效率等水平為目標(biāo)的大規(guī)模信息系統(tǒng)。這一信息系統(tǒng)的數(shù)據(jù)來自于感知層對物理世界的感應(yīng)，并將產(chǎn)生大量引發(fā)應(yīng)用層深度互聯(lián)和跨域協(xié)作需求的事件，從而使得上述大規(guī)模信息系統(tǒng)表現(xiàn)出如下特性。2應(yīng)用層安全技術(shù)需求安全技術(shù)需求（1）數(shù)據(jù)實(shí)時采集，具有明顯實(shí)效特征物聯(lián)網(wǎng)中通過對物理世界信息的實(shí)時采集，基于所采集數(shù)據(jù)進(jìn)行分析處理后，進(jìn)行快速的反饋和管理，具有明顯的實(shí)效性特征，這就對應(yīng)用層需要對信息進(jìn)行快速處理提出了要求。。2應(yīng)用層安全技術(shù)需求安全技術(shù)需求（2）事件高度并發(fā)，具有不可預(yù)見性對物理世界的感知往往具有多個維度，并且狀態(tài)處于不斷變化之中，因此會產(chǎn)生大量不可預(yù)見的事件，從而要求物聯(lián)網(wǎng)應(yīng)用層具有更高的適應(yīng)能力。2應(yīng)用層安全技術(shù)需求安全技術(shù)需求（3）基于海量數(shù)據(jù)的分析挖掘感知層信息的實(shí)時采集特性決定了必然產(chǎn)生海量的數(shù)據(jù)，這除了存儲要求之外，更為重要的是基于這些海量數(shù)據(jù)的分析挖掘，預(yù)判未來的發(fā)展趨勢，才能實(shí)現(xiàn)實(shí)時的精準(zhǔn)控制和決策支撐。2應(yīng)用層安全技術(shù)需求安全技術(shù)需求（4）自主智能協(xié)同物聯(lián)網(wǎng)感知事件的實(shí)時性和并發(fā)性，需要應(yīng)對大量事件應(yīng)用的自動關(guān)聯(lián)和即時自主智能協(xié)同，提升對物聯(lián)網(wǎng)世界的綜合管理水平。應(yīng)用層安全

物聯(lián)網(wǎng)(InternetofThings)被稱為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后的世界信息產(chǎn)業(yè)第三次革命技術(shù)浪潮，是目前通信信息領(lǐng)域最熱門的研究方向之一。伴隨物聯(lián)網(wǎng)應(yīng)用的出