《計(jì)算機(jī)安全概述》PPT課件.ppt

1、1,計(jì)算機(jī)安全,虞闖 沈陽理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,2,理解安全與不安全概念,討論：舉例說明什么是不安全？ 安全：沒有危險(xiǎn)；不受威脅；不出事故；沒有損失； 計(jì)算機(jī)系統(tǒng)是由計(jì)算機(jī)及相關(guān)配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，并按應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。,3,不安全的典型案例病毒與網(wǎng)絡(luò)蠕蟲,1986年初在巴基斯坦，巴錫特(Basit）和阿姆杰德(Amjad）兩兄弟編寫的Pakistan病毒（即Brain） 1988年11月，美國康乃爾大學(xué)的學(xué)生Morris編制的名為蠕蟲計(jì)算機(jī)病毒，造成經(jīng)濟(jì)損失約1億美元 美麗殺手 1999年 ，經(jīng)濟(jì)損失超過12億美元!

2、愛蟲病毒 2000年5月，損失超過100億美元以上 紅色代碼 2001年7月 ，直接經(jīng)濟(jì)損失超過26億美元 2001年9月， 尼姆達(dá)蠕蟲，約5.9億美元的損失 2003年1月25日，“2003蠕蟲王” ，對(duì)網(wǎng)絡(luò)上的SQL數(shù)據(jù)庫攻擊 2003年8月12日“沖擊波”爆發(fā),4,典型案例計(jì)算機(jī)犯罪,1996年7月9日，北京市海淀區(qū)法院。原告：北大心理學(xué)系93級(jí)研究生 薛燕戈。被告： 同班、同寢室、同鄉(xiāng)張男。4月9日1.8萬美元全獎(jiǎng)/4月12日10:16冒名郵件。經(jīng)調(diào)解賠償精神與經(jīng)濟(jì)損失12000元。結(jié)局：薛燕戈 赴美成行（密執(zhí)安大學(xué)）。張 男 “夢(mèng)斷北京”（丹佛大學(xué)） 1998年6月24日上海證卷交易

3、所某營業(yè)部發(fā)現(xiàn)有人委托交易1億股上海建工股票，卻找不到營業(yè)部有任何人委托此筆交易，當(dāng)即撤消此筆交易，但是已經(jīng)成交2100股，損失2.6億元 1998年9月21日晚，郝景文（揚(yáng)州市工商行職員），通過假冒終端在11分鐘內(nèi)向16個(gè)活期帳戶充值72萬元。隨后恢復(fù)線路的正常連接，并在1小時(shí)內(nèi)從8個(gè)儲(chǔ)蓄所提取26萬元，心虛逃竄，現(xiàn)已緝拿歸案，判處死刑。,5,2006年病毒排行之首熊貓燒香,6,網(wǎng)絡(luò)釣魚(Phishing) 假銀行：如假中國銀行域名www.bank-off-，真www.bank-of-；假中國工商銀行，真 學(xué)歷查詢假網(wǎng)站 假中華慈善總會(huì)騙印度洋海嘯捐款 假網(wǎng)上訂票 假免費(fèi)贈(zèng)送QQ幣,典型案例

4、網(wǎng)絡(luò)欺詐,7,安全的關(guān)注點(diǎn),通信保密 計(jì)算機(jī)安全 網(wǎng)絡(luò)安全 信息保障,8,安全的概念,“安全”一詞是指將服務(wù)與資源的脆弱性降到最低限度。脆弱性是指計(jì)算機(jī)系統(tǒng)的任何弱點(diǎn)。 國際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。 所謂計(jì)算機(jī)安全定義如下：研究如何預(yù)防和檢測(cè)計(jì)算機(jī)系統(tǒng)用戶的非授權(quán)行為。,9,安全需求(屬性）,可靠性 （Realibility) 可用性 （Availability） 保密性 （Confidentiality） 完整性（Integrity） 可控性 （Contr

5、ollability） 不可抵賴性（Nonrepudiation） 問責(zé)性（Accountability）,10,可靠性（Reliability) 指信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。度量指標(biāo)： 抗毀性 指系統(tǒng)在人為破壞下的可靠性 生存性 隨機(jī)破壞下系統(tǒng)的可靠性 有效性 是基于業(yè)務(wù)性能的可靠性,11,可用性（Availability) 指信息可被授權(quán)實(shí)體訪問并按需求使用的特性，是系統(tǒng)面向用戶的安全性能。一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來度量。 【拒絕攻擊服務(wù)】（denial of service DoS):阻止對(duì)資源的授權(quán)訪問或者推遲時(shí)間關(guān)鍵的操作。,12,機(jī)

6、密性(Confidentiality) 也稱保密性，指信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。機(jī)密性是在可靠性和可用性基礎(chǔ)上，保障信息安全的重要手段。,13,完整性(Integrity) 指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，既信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。,14,不可抵賴性(Non-repudiation) 指在信息交互過程中，確信參與者的真實(shí)同一性，既所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。 分為：發(fā)送方不可否認(rèn)和遞送方不可否認(rèn)。(也有接受方不可否認(rèn)。),15,可控性 （Controllabili

7、ty）,指對(duì)合法用戶根據(jù)其權(quán)限限制其不同的對(duì)數(shù)據(jù)的操作范圍，同時(shí)對(duì)非法用戶進(jìn)行監(jiān)視、審計(jì)，對(duì)信息的使用、傳播有控制力。使信息和信息系統(tǒng)時(shí)刻處于合法所有者或使用者的有效控制之下。,16,問責(zé)性（Accountability）,審計(jì)信息有選擇地保存和保護(hù)，以便影響安全的行為可以被追溯到責(zé)任方。,17,18,其他安全需求 可審查性 真實(shí)性 認(rèn)證 訪問控制 不同的系統(tǒng)關(guān)注不同的需求（即不同的安全屬性），如用戶關(guān)注隱私，網(wǎng)警關(guān)注可控；有的系統(tǒng)要求不可否認(rèn)（電子交易），有的要求可否認(rèn)（匿名BBS）。,19,計(jì)算機(jī)系統(tǒng)安全涉及的內(nèi)容 物理安全：環(huán)境安全、設(shè)備安全、媒體安全 運(yùn)行安全：風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份

8、與恢復(fù)、應(yīng)急響應(yīng) 信息安全：操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問控制、加密與鑒別,20,21,安全問題,時(shí)間,高級(jí)入侵者,發(fā)現(xiàn)新漏洞,原始的探詢,漏洞的工具,被分發(fā),初級(jí)入侵者使,用原始工具,開發(fā)出自動(dòng)的,掃描,/,探詢工具,自動(dòng)掃描,/,探詢工,具被廣泛使用,入侵者開始使用,新的探詢工具,系統(tǒng),弱點(diǎn),22,安全問題(續(xù)),1. 應(yīng)用中的安全威脅 所有的軟件都存在漏洞。比如常用的操作系統(tǒng)Windows或者UNIX及其他各種應(yīng)用軟件：各種WWW服務(wù)器、瀏覽器、FTP服務(wù)器、郵件服務(wù)器等；一些安全產(chǎn)品，如防火墻、VPN等都存在大量安全漏洞。 2. 設(shè)計(jì)中的問題 Internet網(wǎng)絡(luò)協(xié)

9、議的安全機(jī)制存在先天不足，另外協(xié)議還具有許多安全漏洞。,23,安全問題(續(xù)),3. 配置中的問題 默認(rèn)的用戶名、口令和開放的服務(wù)端口。由于維護(hù)人員沒有審核這些設(shè)置、限制這些用戶的權(quán)限、更改默認(rèn)的口令，以及關(guān)閉不必要的服務(wù)端口等，往往會(huì)被攻擊者利用，造成網(wǎng)絡(luò)癱瘓或機(jī)密被竊取。 4. 管理中的問題 網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要保障。計(jì)算機(jī)安全很大程度上取決于優(yōu)秀的管理人員，任何安全產(chǎn)品和安全設(shè)施都需要管理人員的維護(hù)、跟蹤和審核。,24,安全問題的表現(xiàn)形式,病毒（包括蠕蟲）的擴(kuò)散 垃圾郵件的泛濫 網(wǎng)頁數(shù)據(jù)的篡改 不良信息的傳播 黒客行為 計(jì)算機(jī)犯罪,25,安全威脅,安全威脅 對(duì)

10、安全的潛在的侵害 攻擊 威脅的實(shí)施 安全策略 允許什么，不允許什么的陳述 安全機(jī)制 實(shí)現(xiàn)安全策略的方法，工具，過程,26,安全威脅,安全威脅的種類 主要表現(xiàn)：信息泄露、拒絕服務(wù)、信息破壞。 威脅來自多個(gè)方面。自然和人為兩類。 自然因素包括各種自然災(zāi)害 人為因素又有無意和故意之分。,27,安全威脅(續(xù)),（1）從威脅的來源看可分為內(nèi)部威脅和外部威脅 。 （2）從攻擊者的行為上看可以分成主動(dòng)威脅和被動(dòng)威脅 （3）從威脅的動(dòng)機(jī)上看分為偶發(fā)性威脅與故意性威脅,28,網(wǎng)絡(luò)存在的安全威脅,29,威脅的表現(xiàn)形式,（1）假冒 （2）未授權(quán)訪問 （3）拒絕服務(wù)（DoS） （4）否認(rèn)（抵賴） （5）竊聽 （6）篡

11、改 （7）復(fù)制與重放（重演）,30,威脅的表現(xiàn)形式(續(xù)),（8）業(yè)務(wù)流量、流向分析 （9）隱蔽信道 （10）人為失誤 （11）自然災(zāi)害與人為破壞 （12）邏輯炸彈 （13）后門（陷門） （14）惡意代碼 （15）不良信息,31,缺陷和漏洞的存在,軟件實(shí)現(xiàn)缺陷 操作系統(tǒng)缺陷 協(xié)議缺陷 用戶使用缺陷,32,33,34,信息系統(tǒng)脆弱性,系統(tǒng)脆弱性指系統(tǒng) 硬件資源 軟件 資源 信息資源 等，因可預(yù)見或不可預(yù) 見甚至惡意的原因，可能導(dǎo)致系統(tǒng)受到 破壞、更改、泄露和功能失效，從而使 系統(tǒng)處于異常狀態(tài)，甚至導(dǎo)致崩潰、癱 瘓的 根源和 起因 。,35,主要的脆弱性,硬件系統(tǒng) 操作系統(tǒng) 網(wǎng)絡(luò)協(xié)議 軟件實(shí)現(xiàn) 用戶

12、使用,36,安全威脅,安全威脅（ threat ）是對(duì)信息資產(chǎn) （屬于某個(gè)組織的有價(jià)值的信息或資 源）引起不期望事件而造成 損害的潛 在可能性。,37,威脅分類,信息安全的基本目標(biāo)是實(shí)現(xiàn)信息和信息 系統(tǒng)的真實(shí)、機(jī)密、可用和可控。 信息泄露 機(jī)密性破壞 完整性破壞 真實(shí)性破壞 拒絕服務(wù) 可用性破壞 非法使用 可控性破壞,38,基本攻擊類型,截獲/偵聽 中斷 篡改 假冒/偽造 非授權(quán)訪問/非法使用,39,40,41,42,43,各種攻擊所針對(duì)的安全屬性,截獲/偵聽 機(jī)密性 篡改 完整性 中斷 可用性 假冒與偽造 可用性/可審查性 非授權(quán)訪問/非法使用 可控性,44,保證信息安全關(guān)鍵技術(shù),1）如何保

13、證機(jī)密性 信息加密 信息隱藏 業(yè)務(wù)流填充 2）如何保證完整性 完整性檢查（驗(yàn)證）與鑒別 數(shù)字簽名 ,45,3）如何保證可用性 授權(quán)與訪問控制 防火墻技術(shù) 入侵檢測(cè)技術(shù) 漏洞掃描技術(shù) 身份認(rèn)證技術(shù) 訪問控制技術(shù) 權(quán)限管理與審計(jì) 反病毒技術(shù) ,46,4）如何保證不可否認(rèn)性 數(shù)字簽名 身份認(rèn)證 安全審計(jì) 5）如何保證可控性 授權(quán)與訪問控制 安全評(píng)估 安全管理 ,47,6）對(duì)技術(shù)）/機(jī)制的支撐 安全協(xié)議 安全基礎(chǔ)設(shè)施,48,49,2006年度中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報(bào)告,2006年新增病毒數(shù)量狂增 ，以竊取用戶帳號(hào)密碼等個(gè)人虛擬財(cái)產(chǎn)信息的病毒占到總病毒數(shù)量的71.47。還出現(xiàn)了首個(gè)勒索病毒

14、,50,2006年度中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報(bào)告,黑客團(tuán)伙對(duì)抗殺毒軟件，從“暗偷”轉(zhuǎn)為“明搶” 編寫病毒攻擊網(wǎng)站植入病毒用戶感染（機(jī)器被黑客控制，構(gòu)成僵尸網(wǎng)絡(luò)Botnet）竊取用戶資料在網(wǎng)上出售,51,2006年度中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報(bào)告,流氓軟件得到控制 部分從良、部分轉(zhuǎn)變?yōu)榧兇獠《?52,2006年度中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報(bào)告,2006年十大病毒排行（瑞星提供） 1、熊貓燒香（Worm.Nimaya) 2、威金蠕蟲（Worm.Viking） 3、代理木馬下載器（Trojan.DL.Agent） 4、傳奇終結(jié)者（Trojan.PSW.Lmir） 5、

15、征途木馬（Trojan.PSW.Zhengtu） 6、QQ通行證（Trojan.PSW.QQPass） 7、威爾佐夫（Worm.Mail.Warezov） 8、調(diào)用門Rootkit（Rootkit.CallGate） 9、灰鴿子后門（Backdoor.Gpigeon） 10、魔獸木馬（Trojan.PSW.WoWar）,53,賽門鐵克公司第10期互聯(lián)網(wǎng)安全威脅報(bào)告,根據(jù)今年上半年監(jiān)測(cè)的數(shù)據(jù), 中國擁有的 僵尸網(wǎng)絡(luò) 電腦數(shù)目最多, 全世界共有470萬臺(tái), 而中國就占到了近20%.,54,55,提出未來515年以下15個(gè)領(lǐng)域發(fā)展的重點(diǎn)技術(shù)。 （九）網(wǎng)絡(luò)和信息安全技術(shù) 重點(diǎn)發(fā)展安全處理芯片和系統(tǒng)級(jí)芯片、安全操作系統(tǒng)、安全數(shù)據(jù)庫、信息隱藏、身份認(rèn)證、安全隔離、信息內(nèi)容安全、入侵檢測(cè)、網(wǎng)絡(luò)容災(zāi)、病毒防范等產(chǎn)品。 重點(diǎn)技術(shù)：密碼技術(shù) 安全處理芯片技術(shù) 電子認(rèn)證、責(zé)任認(rèn)定、授權(quán)管理技術(shù) 計(jì)算環(huán)境和終端安全處理技術(shù) 網(wǎng)絡(luò)和通信邊界安全技術(shù) 應(yīng)急響應(yīng)和災(zāi)難恢復(fù)技術(shù) 信息安全測(cè)評(píng)技術(shù),信息產(chǎn)業(yè)科技發(fā)展“十一五”規(guī)劃和2020年中長期規(guī)劃綱要,56,四、我國信息化發(fā)展的戰(zhàn)略重點(diǎn)