信息安全概论

存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供
服务。 拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类
攻击，它是一类个人或多人利用Internet协议组的某些工具，
拒绝合法用户对目标系统（如服务器）和信息的合法访问的 攻击。
常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、
PDRR安全模型
采用一切手段（主要指静态防护 手段）保护信息系统的五大特性 。 检测本地网络的安全漏洞和存在的非 法信息流，从而有效阻止网络攻击
保护
检测
信息 保障
恢复
及时恢复系统，使其尽快正常对外提供服 务，是降低网络攻击造成损失的有效途径
响应
对危及网络安全的事件和行为做出反应，阻止 对信息系统的进一步破坏并使损失降到最低
网络不安全的原因
自身缺陷＋开放性＋黑客攻击
内因 – 人们的认识能力和实践能力的局限性 – 系统规模 • Windows 3.1 ——300万行代码 • Windows 2000 ——5000万行代码 – Internet从建立开始就缺乏安全的总体构 想和设计 – TCP/IP协议是在可信环境下，为网络互联 专门设计的，缺乏安全措施的考虑
1.1
引言：信息社会的挑战
• 信息化与国家安全——社会稳定 • 1999年4月，河南商都热线一个BBS，一张说交通银行郑州 支行行长携巨款外逃的帖子，造成了社会的动荡，三天十 万人上街排队，挤兑10亿 • 2001年2月8日春节，新浪网遭受攻击，电子邮件服务器瘫 痪了18个小时，造成几百万用户无法正常的联络 • 网上不良信息腐蚀人们的灵魂 –色情资讯业日益猖獗 –网上赌博盛行
的信息，为下一步入侵提供帮助。
主要包括：扫描技术、体系结构刺探、系统信息服务收集等。 目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术：网络安全防御中的一项重要技术，其原
窃取、篡改、伪造都是破坏系统信息完整性的行为）
可用性（Availability） ：合法用户在需要的时候，可以正确使用 所需的信息而不遭服务拒绝。（系统的可用性与保密性之间存在一 定的矛盾） 信息的可控性：即出于国家和机构的利益和社会管理的需要，保证 管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵 犯。 信息的不可否认性：即信息的行为人要为自己的信息行为负责，提 供保证社会依法管理需要的公证、仲裁信息证据。
1.1
引言：信息社会的挑战
• 信息化与国家安全——信息战 –1990年海湾战争，被称为“世界上首次全面信息战”。 美军通过向带病毒芯片的打印机设备发送指令，致使 伊拉克军队系统瘫痪，轻易地摧毁了伊军的防空系统。 多国部队运用精湛的信息技术,仅以伤亡百余人的代价 取得了歼敌十多万的成果. –在科索沃战争中，美国的电子专家成功侵入了南联盟 防空体系的计算机系统。当南联盟军官在计算机屏幕 上看到敌机目标的时候，天空上其实什么也没有。通 过这种方法，美军成功迷惑了南联盟，使南联盟浪费 了大量的人力物力资源。
电子邮件炸弹等多种方式。
阻塞类攻击（2/2）
DoS攻击的后果： 使目标系统死机； 使端口处于停顿状态； 在计算机屏幕上发出杂乱信息、改变文件名称、删除关键 的程序文件； 扭曲系统的资源状态，使系统的处理速度降低。
控制类攻击
控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。
1.1
引言：信息社会的挑战
• 2000年2月7日10:15，垃圾邮件堵死了YAHOO网站除邮件服 务等三个站点之外的所有服务器，YAHOO大部分网络服务 陷入瘫痪。第二天，世界最著名的网络拍卖行eBay因袭击 而瘫痪。 • 美国有线新闻网CNN的网站随后也因袭击而瘫痪近2个小时； 顶级购物网站亚马逊也被迫关闭1个多小时。 • 此后又有一些著名网站被袭：Zdnet，Etrade，Excite， Datek，……到2月17日为止，黑客攻击个案已增至17宗。 • 引起美国道琼斯股票指数下降了200多点。 • 成长中的高科技股纳斯达克股票也下跌了80点。
网络不安全的原因
外因
网络不安全的原因
Insider（内部人员）威胁必须引起高度重视 国内外从事信息安全的专业人士，通过调查
逐步认识到，媒体炒得火热的外部入侵事件，
充其量占到所有安全事件的20%-30%，而 70%-80%的安全事件来自于内部。
1.2
信息安全概念与技术的发展
信息安全的概念与技术是随着人们的需求，随着计算机、
1.1
引言：信息社会的挑战
• 网络信息安全问题的严峻性 – 涉及国家政治、经济、文化、社会各个层面。 – 网络安全造成的损失越来越大。 – 攻击手段越来越高，越来越复杂，攻击者实施 攻击所需要的技术水平越来越低。 – 攻击的范围越来越大，所需时间越来越短。
1.1
高
引言：信息社会的挑战
新型的跨主机工具 隐秘且高级的扫描工具 数据包欺骗 窃听 拒绝服务 分布式攻击工具 www攻击
1.1
引言：信息社会的挑战
• 1999年4月26日，台湾人编制的CIH病毒的大爆发，有统计 说我国大陆受其影响的PC机总量达36万台之多。有人估计 在这次事件中，经济损失高达近12亿RMB • 据美国加利福尼亚州的名为“电脑经济”的研究机构发布 的初步统计数据，2001年“尼姆达”蠕虫大爆发两天之后， 全球约有4500万台电脑被感染，造成的损失达到26亿USD。 后续几天里，“尼姆达”病毒所造成的损失还将以每天10 至15亿USD的速度增加
1
第一章 信息安全概论（I）
1.1 1.2 1.3 1.4
引言：信息社会的挑战
信息安全概念与技术的发展
信息安全管理的地位 网络攻击简介
1.1
•
引言：信息社会的挑战
信息技术处在蓬勃发展阶段，新思想、新技术、
新产品层出不穷，带来了无穷发展空间的同时，
也带来许多新问题：
1. 骇客<Cracker>（与黑客<Hacker>区别）攻击搅得全 球不安 2. 计算机病毒网上肆虐 3. 蠕虫、木马等在互联网上大行其道 4. 白领犯罪造成巨大商业损失 5. 数字化能力的差距造成世界上不平等竞争 6. 信息战阴影威胁数字化和平
状态或特性。
网络安全：计算机网络环境下的信息安全。
信息的安全需求（CIA三要素）
保密性（Confidentiality） ：对信息资源开放范围的控制。（数据
加密、访问控制、防计算机电磁泄漏等安全措施）
完整性（Integrity ）：保证计算机系统中的信息处于“保持完整或 一种未受损的状态”。（任何对系统信息应有特性或状态的中断、
网络不安全的原因
CERT/CC关于系统漏洞的报告
网络不安全的原因
网络安全漏洞发展趋势 利用漏洞发动攻击的速度加快： Symantec统计，2004年上半年，漏洞公布到攻击代 码出现时间：5.8天 威胁程度不断增加 2004年1-6月，有攻击代码的漏洞中64%属于高度危 险，36%属于中度危险 漏洞利用分析人员兴趣的变化 Web应用的漏洞越来越多 Symantec统计，2004年上半年公布了479个与Web应 用有关的漏洞，占总数的39%
通信与网络等信息技术的发展而不断发展的。
单机系统的信息保密阶段 网络信息安全阶段 信息保障阶段
单机系统的信息保密阶段
信息保密技术的研究成果：
① 发展各种密码算法及其应用：
DES（数据加密标准）、RSA（公开密钥 体制）等。 ② 计算机信息系统安全模型和安全评价准则
网络信息安全阶段
1988年莫里斯蠕虫爆发 对网络安全的关注与研究 CERT成立 该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网 络环境的信息安全与防护技术：（被动防御） 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网 络攻防技术、网络监控与审计技术等。 当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法 和信息系统安全评估准则（如CC通用评估准则）。
1.1
引言：信息社会的挑战
• 信息化与国家安全——经济安全
我国计算机犯罪的增长速度超过了传统的犯罪：97年 20 几起，98年142起，99年908起，2000年上半年1420 起 利用计算机实施金融犯罪已经渗透到了我国金融行业 的各项业务：近几年已经破获和掌握100多起，涉及金 额几个亿
“纵深防御策略”DiD（Defense-in-Depth Strategy）。
在信息保障的概念下，信息安全保障的PDRR模型的内涵 已经超出了传统的信息安全保密，而是保护（Protection）、 检测（Detection）、响应（Reaction）和恢复（Restore）的有 机结合。 信息保障阶段不仅包含安全防护的概念，更重要的是增加 了主动和积极的防御观念。
下一代 • Flash threats • Massive wormdriven DDoS
• Damaging
• 攻击范围和时间的变化
区域网络
多个局域网
Minutes
第三代
单个局域网
Days
Weeks
第二代
• Macro viruses • Denial of service
• Distributed
1.4
网络攻击简介
实施有效的网络攻击必须掌握相应的知识，选 择恰当的攻击手段，采用合理的方法与步骤，才能 取得预期的效果。
1.4
网络攻击简介
1.4
网络攻击简介
什么是网络攻击
网络攻击：网络攻击者利用目前网络通信协议（如
TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、 用户使用的操作系统内在缺陷或者用户使用的程序语言本身 所具有的安全隐患等，通过使用网络命令、从Internet上下载 的专用软件或者攻击者自己编写的软件，非法进入本地或远 程用户主机系统，非法获得、修改、删除用户系统的信息以 及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木 马）等一系列过程的总称。
信息保障阶段
信息保障（IA）概念与思想的提出：20世纪90年代由美国国
防部长办公室提出。
定义：通过确保信息和信息系统的可用性、完整性、可控性、 保密性和不可否认性来保护信息系统的信息作战行动，包括 综合利用保护、探测和反应能力以恢复系统的功能。
信息保障阶段
信息保障技术框架IATF：由美国国家安全局制定，提出
1.1
引言：信息社会的挑战
• 信息安全是信息化可持续发展的保障
• 信息化与国家安全——政治安全
2001年初，美国前国务卿奥尔布赖特在国会讲：“中
国为了发展经济，不得不连入互连网。互连网在中国
的发展，使得中国的民主，真正地到来了。” 香港《广角镜》月刊七月号文章：中情局对付中国的
《十条诫令》
口令截获与破解仍然是最有效的口令攻击手段，进一步的发
展应该是研制功能更强的口令破解程序；木马技术目前着重研 究更新的隐藏技术和秘密信道技术；缓冲区溢出是一种常用的
攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进
行攻击，现在研究制造缓冲区溢出。
探测类攻击
信息探测型攻击主要是收集目标系统的各种与网络安全有关
常见的网络攻击手段
① 阻塞类攻击
② 控制类攻击
③ 探测类攻击 ④ 欺骗类攻击 ⑤ 漏洞类攻击 ⑥ 破坏类攻击
注意：在一次网络攻击中，并非只使用上述六种攻击手段中
的某一种，而是多种攻击手段相综合，取长补短，发挥各自 不同的作用。
阻塞类攻击（1/2）
阻塞类攻击企图通过强制占有信道资源、网络连接资源、
• 攻击复杂度与攻击者的技术水平
工具
攻击者的 知识水平
ห้องสมุดไป่ตู้
手动探测 自动扫描
图形化界面
后门程序 破坏审计 干扰通信 偷窃信息 攻击已知漏洞 口令破解 自我复制程序 网管探测
低
1980
猜口令
攻击者
1990 1995
1985
2000
1.1
目标和破坏 的范围
全面框架
引言：信息社会的挑战
快速变化的威胁
Seconds
单个pc
第一代
• Boot viruses
denial of service • Blended threats
payload worms
1980s
1990s
Today
Future
1.1
引言：信息社会的挑战
信息安全：防止任何对数据进行未授权访问的措施，
或者防止造成信息有意无意泄漏、破坏、丢失等
问题的发生，让数据处于远离危险、免于威胁的