资源预览内容
第1页 / 共48页
第2页 / 共48页
第3页 / 共48页
第4页 / 共48页
第5页 / 共48页
第6页 / 共48页
第7页 / 共48页
第8页 / 共48页
第9页 / 共48页
第10页 / 共48页
亲,该文档总共48页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
信息与网络安全概述信息与网络安全概述信息与网络安全概述信息与网络安全的本质和内容计算机网络的脆弱性信息安全的六大目标网络安全的主要威胁网络安全的攻击手段网络安全的八大机制信息与网络安全的本质和内容网络安全从其本质上来讲就是网络上的信息安全。信息安全是对信息的保密性、完整性和可用性的保护,包括物理安全、网络系统安全、数据安全、信息内容安全和信息基础设施安全等。网络安全主要涉及网络安全威胁的主要类型、网络攻击的手段、网络安全机制、网络安全技术以及信息安全等级标准等方面内容。信息与网络安全的目标进不来进不来拿不走拿不走看不懂看不懂改不了改不了跑不了跑不了信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求,随着计算机、通信与网络等信息技术的发展而不断发展的。网络信息安全阶段该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术(被动防御):安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。信息保障阶段信息保障(IA)概念与思想是20世纪90年代由美国国防部长办公室提出。定义:通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统的功能。美国国家安全局制定的信息保障技术框架IATF,提出“纵深防御策略”DiD(Defense-in-Depth Strategy)。信息保障阶段不仅包含安全防护的概念,更重要的是增加了主动和积极的防御观念。计算机网络的脆弱性体系结构的脆弱性。体系结构的脆弱性。网络体系结构要求上层调用下层的服务,上层是服务调用者,下层是服务提供者,当下层提供的服务出错时,会使上层的工作受到影响。网络通信的脆弱性。网络通信的脆弱性。网络安全通信是实现网络设备之间、网络设备与主机节点之间进行信息交换的保障,然而通信协议或通信系统的安全缺陷往往危及到网络系统的整体安全。网络操作系统的脆弱性。网络操作系统的脆弱性。目前的操作系统,无论是Windows、UNIX还是Netware都存在安全漏洞,这些漏洞一旦被发现和利用将对整个网络系统造成巨大的损失。网络应用系统的脆弱性。网络应用系统的脆弱性。随着网络的普及,网络应用系统越来越多,网络应用系统也可能存在安全漏洞,这些漏洞一旦被发现和利用将可能导致数据被窃取或破坏,应用系统瘫痪,甚至威胁到整个网络的安全。网络管理的脆弱性。网络管理的脆弱性。在网络管理中,常常会出现安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当和人事管理漏洞等,这种人为造成的安全漏洞也会威胁到整个网络的安全。信息安全的六大目标信信 息息 安安 全全可靠性可用性真实性保密性完整性不可抵赖性可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性包括:硬件可靠性软件可靠性通讯可靠性人员可靠性环境可靠性可用性可用性即网络信息系统在需要时,允许授权用户或实体使用的特性;或者是网络信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。真实性确保网络信息系统的访问者与其声称的身份是一致的;确保网络应用程序的身份和功能与其声称的身份和功能是一致的;确保网络信息系统操作的数据是真实有效的数据。保密性保密性是防止信息泄漏给非授权个人或实体,只允许授权用户访问的特性。保密性是一种面向信息的安全性,它建立在可靠性和可用性的基础之上,是保障网络信息系统安全的基本要求。完整性完整性是信息在未经合法授权时不能被改变的特性,也就是信息在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输。不可抵赖性不可抵赖性也称作不可否认性,即在网络信息系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。网络安全的主要威胁主主 要要 威威 胁胁内部窃密和破坏窃听和截收非法访问(以未经授权的方式使用网络资源)破坏信息的完整性(通过篡改、删除和插入等方式破坏信息的完整性)冒充(攻击者利用冒充手段窃取信息、入侵系统、破坏网络正常通讯或欺骗合法主机和合法用户。)流量分析攻击(分析通信双方通信流量的大小,以期获得相关信息。)其他威胁(病毒、电磁泄漏、各种自然灾害、战争、失窃、操作失误等)信息与网络安全的攻击手段物理破坏窃听数据阻断攻击数据篡改攻击数据伪造攻击数据重放攻击盗用口令攻击中间人攻击缓冲区溢出攻击分发攻击野蛮攻击SQL注入攻击计算机病毒蠕虫后门攻击欺骗攻击拒绝服务攻击特洛伊木马 网络信息系统网络信息系统内部人员威胁内部人员威胁拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击计算机病毒计算机病毒信息泄漏、信息泄漏、篡改、破坏篡改、破坏后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫社会工程社会工程天灾天灾系统系统Bug网络攻击被动攻击窃听或者偷窥流量分析被动攻击非常难以检测,但可以防范源目的sniffer网络攻击主动攻击可以检测,但难以防范主动攻击:指攻击者对某个连接的中的主动攻击:指攻击者对某个连接的中的PDUPDU进行各种进行各种处理处理( (更改、删除、迟延、复制、伪造等更改、删除、迟延、复制、伪造等) )阻断攻击篡改攻击伪造攻击重放攻击拒绝服务攻击物理破坏攻击者可以直接接触到信息与网络系统的硬件、软件和周边环境设备。通过对硬件设备、网络线路、电源、空调等的破坏,使系统无法正常工作,甚至导致程序和数据无法恢复。窃听一般情况下,攻击者侦听网络数据流,获取通信数据,造成通信信息外泄,甚至危及敏感数据的安全。其中的一种较为普遍的是sniffer 攻击(sniffer attack)。sniffer是指能解读、监视、拦截网络数据交换并且阅读数据包的程序或设备。数据阻断攻击攻击者在不破坏物理线路的前提下,通过干扰、连接配置等方式,阻止通信各方之间的数据交换。阻断攻击数据篡改攻击攻击者在非法读取数据后,进行篡改数据,以达到通信用户无法获得真实信息的攻击目的。篡改攻击数据伪造攻击攻击者在了解通信协议的前提下,伪造数据包发给通讯各方,导致通讯各方的信息系统无法正常的工作,或者造成数据错误。伪造攻击数据重放攻击攻击者尽管不了解通信协议的格式和内容,但只要能够对线路上的数据包进行窃听,就可以将收到的数据包再度发给接收方,导致接收方的信息系统无法正常的工作,或者造成数据错误。重放攻击盗用口令攻击盗用口令攻击(password-based attacks)攻击者通过多种途径获取用户合法账号进入目标网络,攻击者也就可以随心所欲地盗取合法用户信息以及网络信息;修改服务器和网络配置;增加、篡改和删除数据等等。中间人攻击中间人攻击(man-in-the-middle attack)是指通过第三方进行网络攻击,以达到欺骗被攻击系统、反跟踪、保护攻击者或者组织大规模攻击的目的。中间人攻击类似于身份欺骗,被利用作为中间人的的主机称为Remote Host(黑客取其谐音称之为“肉鸡”)。网络上的大量的计算机被黑客通过这样的方式控制,将造成巨大的损失,这样的主机也称做僵尸主机。缓冲区溢出攻击缓冲区溢出(又称堆栈溢出)攻击是最常用的黑客技术之一。攻击者输入的数据长度超过应用程序给定的缓冲区的长度,覆盖其它数据区,造成应用程序错误,而覆盖缓冲区的数据恰恰是黑客的入侵程序代码,黑客就可以获取程序的控制权。后门攻击后门攻击(backdoor attack)是指攻击者故意在服务器操作系统或应用系统中制造一个后门,以便可以绕过正常的访问控制。攻击者往往就是设计该应用系统的程序员。欺骗攻击欺骗攻击可以分为地址欺骗、电子信件欺骗、WEB欺骗和非技术类欺骗。攻击者隐瞒个人真实信息,欺骗对方,以达到攻击的目的。拒绝服务攻击DoS(Denial of Service,拒绝服务攻击)的目的是使计算机或网络无法提供正常的服务。常见的方式是:使用极大的通信量冲击网络系统,使得所有可用网络资源都被消耗殆尽,最后导致网络系统无法向合法的用户提供服务。如果攻击者组织多个攻击点对一个或多个目标同时发动DoS攻击,就可以极大地提高DoS攻击的威力,这种方式称为DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。分发攻击攻击者在硬件和软件的安装配置期间,利用分发过程去破坏;或者是利用系统或管理人员向用户分发帐号和密码的过程窃取资料。野蛮攻击野蛮攻击包括字典攻击和穷举攻击。字典攻击是使用常用的术语或单词列表进行验证,攻击取决于字典的范围和广度。由于人们往往偏爱简单易记的口令,字典攻击的成功率往往很高。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。穷举攻击采用排列组合的方式生成密码。一般从长度为1的口令开始,按长度递增进行尝试攻击。SQL注入攻击攻击者利用被攻击主机的SQL数据库和网站的漏洞来实施攻击,入侵者通过提交一段数据库查询代码,根据程序返回的结果获得攻击者想得知的数据,从而达到攻击目的。计算机病毒与蠕虫计算机病毒(Computer Virus)是指编制者编写的一组计算机指令或者程序代码,它能够进行传播和自我复制,修改其他的计算机程序并夺取控制权,以达到破坏数据、阻塞通信及破坏计算机软硬件功能的目的。蠕虫也是一种程序,它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他的计算机系统,但它在复制、传播时,不寄生于病毒宿主之中。蠕虫病毒是能够是寄生于被感染主机的蠕虫程序,具有病毒的全部特成,通常利用计算机系统的漏洞在网络上大规模传播。特洛伊木马特洛伊木马简称木马,它由两部分组成:服务器程序和控制器程序,当主机被装上服务器程序,攻击者就可以使用控制器程序通过网络来控制主机。木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务器程序安装到主机上的。网络安全的八大机制数据加密机制访问控制机制数据完整性机制数字签名机制实体认证机制业务填充机制路由控制机制公证机制数据加密机制密码技术是保障信息安全的核心技术。消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。加了密的消息称为密文。而把密文转变为明文的过程称为解密。信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代密码学主要组成部分。访问控制机制访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问,限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)数据完整性机制是保护数据,以免未授权的数据乱序、丢失、重放、插入和纂改。数据完整性机制的两个方面单个数据单元或字段的完整性(不能防止单个数据单元的重放)数据单元串或字段串的完整性发送方发送方接收方接收方附加一个量附加一个量比较这个量比较这个量还要加上顺序号、时间标记和密码链还要加上顺序号、时间标记和密码链数字签名机制传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证实体认证机制用于认证交换的技术认证信息,如口令密码技术被认证实体的特征为防止重放攻击,常与以下技术结合使用时间戳两次或三次握手数字签名路由控制机制路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。其基本功能为:路由选择 路由可以动态选择,也可以预定义,以便只用物理上安全的子网、中继或链路进行连接和/或传输;路由连接 在监测到持续的操作攻击时,端系统可能同志网络服务提供者另选路由,建立连接;安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告,要求回避某些特定的子网、中继或链路进行连接和/或传输。业务填充机制所谓的业务填充即使在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难,是一种制造假的通信、产生欺骗性数据单元或在数据单元中产生数据的安全机制。该机制可用于提供对各种等级的保护,用来防止对业务进行分析,同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。可利用该机制不断地在网络中发送伪随机序列, 使非法者无法区分有用信息和无用信息。公证机制有关在两个或多个实体之间通信的数据的性质, 如完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任, 并掌握必要信息以一种可证实方式提供所需的保证。每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信和公证方进行通信普适性安全机制安全标签事件检测审计跟踪安全恢复1、不是井里没有水,而是你挖的不够深。不是成功来得慢,而是你努力的不够多。2、孤单一人的时间使自己变得优秀,给来的人一个惊喜,也给自己一个好的交代。3、命运给你一个比别人低的起点是想告诉你,让你用你的一生去奋斗出一个绝地反击的故事,所以有什么理由不努力!4、心中没有过分的贪求,自然苦就少。口里不说多余的话,自然祸就少。腹内的食物能减少,自然病就少。思绪中没有过分欲,自然忧就少。大悲是无泪的,同样大悟无言。缘来尽量要惜,缘尽就放。人生本来就空,对人家笑笑,对自己笑笑,笑着看天下,看日出日落,花谢花开,岂不自在,哪里来的尘埃!5、心情就像衣服,脏了就拿去洗洗,晒晒,阳光自然就会蔓延开来。阳光那么好,何必自寻烦恼,过好每一个当下,一万个美丽的未来抵不过一个温暖的现在。6、无论你正遭遇着什么,你都要从落魄中站起来重振旗鼓,要继续保持热忱,要继续保持微笑,就像从未受伤过一样。7、生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。8、有些事,不可避免地发生,阴晴圆缺皆有规律,我们只能坦然地接受;有些事,只要你愿意努力,矢志不渝地付出,就能慢慢改变它的轨迹。9、与其埋怨世界,不如改变自己。管好自己的心,做好自己的事,比什么都强。人生无完美,曲折亦风景。别把失去看得过重,放弃是另一种拥有;不要经常艳羡他人,人做到了,心悟到了,相信属于你的风景就在下一个拐弯处。10、有些事想开了,你就会明白,在世上,你就是你,你痛痛你自己,你累累你自己,就算有人同情你,那又怎样,最后收拾残局的还是要靠你自己。11、人生的某些障碍,你是逃不掉的。与其费尽周折绕过去,不如勇敢地攀登,或许这会铸就你人生的高点。12、有些压力总是得自己扛过去,说出来就成了充满负能量的抱怨。寻求安慰也无济于事,还徒增了别人的烦恼。13、认识到我们的所见所闻都是假象,认识到此生都是虚幻,我们才能真正认识到佛法的真相。钱多了会压死你,你承受得了吗?带,带不走,放,放不下。时时刻刻发悲心,饶益众生为他人。14、梦想总是跑在我的前面。努力追寻它们,为了那一瞬间的同步,这就是动人的生命奇迹。15、懒惰不会让你一下子跌倒,但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功,但会在不知不觉中积累你的成果。人生需要挑战,更需要坚持和勤奋!16、人生在世:可以缺钱,但不能缺德;可以失言,但不能失信;可以倒下,但不能跪下;可以求名,但不能盗名;可以低落,但不能堕落;可以放松,但不能放纵;可以虚荣,但不能虚伪;可以平凡,但不能平庸;可以浪漫,但不能浪荡;可以生气,但不能生事。17、人生没有笔直路,当你感到迷茫、失落时,找几部这种充满正能量的电影,坐下来静静欣赏,去发现生命中真正重要的东西。18、在人生的舞台上,当有人愿意在台下陪你度过无数个没有未来的夜时,你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号