信息安全导论

• 应用安全措施
– SSL安全网关 – WEB应用防火墙 – 基于硬件介质数字证书进行 身份认证 – 密码软键盘 – Https WebService – 源代码漏洞扫描
• 主机安全措施
– – – – 安全访问网关（堡垒主机） SysLog日志服务器 防病毒网关 服务器负载均衡
信息安全防范-网站安全防护技术
信息安全导论
信息管理与工程系 杜光辉
为何信息安全是如此重要？
• 15000份的医疗日志垃圾桶中在被发现 • 30000个用户密码在Internet上公布 • 推广的照片提前出现在新闻书刊上 • 银行支付数百万元给勒索者 • 25位开发部的同事跳槽至竞争者公司 • 盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业 损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。 • INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。 • 电脑入侵：电脑黑客入侵每年以45%的速率在增长。 • 电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。 • 病 毒：起过10000个病毒经常性的影响我的电脑及每月有150-200 新的病毒产生。
信息安全事件汇编
2011-2012年信息安全领域的重要事件
1.伊朗核电站遭受蠕虫病毒攻击 2. RSA遭黑客攻击
3.中央情报局遭黑客攻击
4.日本三菱旗下军工企业遭黑客入侵 5.日本军工企业IHI网页遭黑客攻
6.美国供水系统遭黑客破坏
7.美国一安全情报智库遭黑客攻陷据称因未加密 8.2011-06-02 金山官网惊现伟哥图片 疑似黑客上门逼债
.CN根域名被攻击
8月25日凌晨，国家域名解析节点受到拒绝服务攻 击，大量.cn域名和.com.cn无法解析。据工信部数据显 示，攻击时峰值流量较平常激增近1000倍，而事件的始 作俑者竟道出本意要攻击游戏私服网。
2014年度
有史以来最大的比特别失窃案
全球最大Bitcoin交易平台Mt.Gox申请破产。报道 称，其他Bitcoin网络交易平台包括Coinbase、Circle及 BTC China发共同声明证实Mt.Gox申请破产。
• 4eBay数据的大泄漏
5月22日，eBay正要求近1.28亿活跃用户全部重新 设置密码，此前这家零售网站透露黑客能从该网站获取 密码、电话号码、地址及其他个人数据。
信息安全技术
信息安全防范-网站安全防护技术
• 网络安全措施
– – – – IP防火墙 入侵检测及入侵防护系统 带宽管理 网络链路负载均衡
本地网络
可信任的网络，如受保护 的公司或企业内部网络
外部网络
不可信任的网络，如开 放式的因特网

外网访问内网、内网访问外网的所有通信过程都必须 经过防火墙。 只有防火墙安全策略允许的通信才允许通过。
防火墙技术-演进
包过滤 防火墙 应用代理 防火墙 状态检测 防火墙
根据配置的ACL规则 部署在受信网络与非 比包过滤防火墙具有 ，允许一些数据包通 本地网络 受信网络之间，代替 部网络 更高的智能性和安全 过，同时阻塞其它数 各种网络客户端执行 性。会话成功建立连 不可信任的网络，如开 据包。ACL规则可以 可信任的网络，如受保护 应用层连接，即提供 接以后，记录状态信 放式的因特网 的公司或企业内部网络 根据网络层协议（如 代理服务。与包过滤 息并实时更新，所有 源/目的IP）中的地址 防火墙不同的是，其 会话数据都要与状态 信息或者传输层（如 所有访问都在应用层 表信息相匹配，否则 源/目的端口等）信息 中进行控制。 会话将被阻断。 制定。
9.全球最牛黑客离奇暴毙
美国着名黑客巴纳拜· 杰克曾利用黑客技术令提款机狂吐钞票，成为 全球最牛黑客。 他本打算在7月31日“黑帽”黑客会议上，展示入侵植入式心脏起搏器 的“遥控杀人”绝技。 然而7月25日，就在这项“黑客绝技”曝光前夕，杰克突然神秘死亡。 美警方不排除是由于“遥控杀人”技术惹火烧身。
2014年度
• OpenSSL出现“Heartbleed”
该漏洞在互联网又称为“heartbleed bug”，中文名称叫做“心脏出血” 、““击穿心脏””等。 Heartbleed漏洞，这项严重缺陷(CVE-2014-0160)的产生是由于未 能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界 检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围 的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内 容就会以每次64KB的速度进行泄露。
现代防火墙基本为上述三种类型防火墙的综合体， 即采用状态检测型包过滤技术，同时提供透明应用代理功能。
防火墙技术-功能
防火墙
安全域策略 包过滤 黑名单
ASPF ARP防攻击
NAT 攻击防范 双机热备
ALG Web过滤
防火墙技术-安全域概念的引进
传统防火墙通常都基于接口进行策略配置，网络管理员需 要为每一个接口配置安全策略。 防火墙的端口朝高密度方向发展，基于接口的策略配置方 式给网络管理员带来了极大的负担，安全策略的维护工作量成 倍增加，从而也增加了因为配置引入安全风险的概率。
• 2013年信息安全领域的重要事件
1. 棱镜门事件
2. 黑客网上叫卖7天酒店会员信息
台菲黑客大战
5月12日，在菲律宾海岸警卫队射杀台湾渔民事件过后不久，台湾多 个官网被来自菲律宾的IP攻击，之后，台湾骇客立即反击攻陷菲律宾DNS 伺服器，最终以菲律宾黑客求饶告终。
Struts2漏洞
7月17日，红色警报拉响：Struts2再曝高危漏洞， 该漏洞可直接导致服务器被远程控制，引起数据泄漏。 包括淘宝、京东、腾讯在内的多家大型互联网厂商及政 府、金融机构网站均受影响，7月17日甚至因此被称为 中国互联网安全灾难日。
防火墙技术
防火墙作为维护网络安全的关键设备， 在当今网络安全防范体系架构中发挥着极
其重要的作用。
Байду номын сангаас
防火墙技术
Internet的开放性导致网络安全威胁无处不在
未授权资源访问 ARP攻击泛滥 拒绝服务攻击 各种协议漏洞攻击 非法资源访问 …… Internet
防火墙技术-定义

一种放置于本地网络和外部网络之间的防御系统，外 部网络和本地网络之间交互的所有数据流都需要经过 防火墙的处理之后，才能决定能否将这些数据放行， 一旦发现异常数据流，防火墙就将其拦截下来，实现 对本地网络的保护功能。