1Total118ComputerSystemSecurity1ComputerSystemSecurityComputerSystemSecurity张载龙主讲南京邮电大学信息网络技术研究所江苏省通信与网络技术工程研究中心Email:zlzhang@njupt.edu.cnTotal118ComputerSystemSecurity2课程内容课程内容z计算机系统安全概述、物理安全和可靠性z操作系统概述z网络基础知识与Internetz密码学基础及其应用(消息认证与数字签名)z公开密钥基础设施PKI及身份认证z计算机系统安全与访问控制z数据库系统安全与入侵检测z防火墙z攻击与应急响应z计算机病毒的防治zIP安全与安全套接层(SSL)协议z网络安全技术Total118ComputerSystemSecurity3参考书目参考书目1、曹天杰等,计算机系统安全,高等教育出版社,2003年9月第1版。2、StallingsW.,密码编码学与网络安全:原理与实践,3rdEdition.3、(美)基亚斯,网络安全技术;水利水电出版社4、(美)DavidJ.Stang等,计算机网络安全奥秘;电子工业出版社5、(美)WilliamStallings,网络安全要素;人邮出版社6、(美)MerikeKaeo,网络安全性设计;人邮出版社Total118ComputerSystemSecurity4安全网站安全网站中国黑客联盟(中国昀大昀专业黑客组织):(主服务域名)20CN网络安全小组:中国鹰派联盟网:……黑客软件专业下载中心(中国黑客下载基地黑客工具下载):考核方式考核方式1、平时上课考勤占30%。2、考试占70%。Total118ComputerSystemSecurity5Ch1计算机系统安全概述计算机系统安全概述§1.1计算机系统安全概述1.1.1计算机系统安全的现状1.1.2计算机系统安全的概念1.1.3安全威胁1.1.4信息系统安全技术1.1.5计算机系统安全应解决的问题1.1.6安全体系结构§1.2计算机系统的物理安全1.2.1物理安全概述1.2.2场地与机房1.2.3电磁泄漏1.2.4TEMPEST1.2.5磁盘的安全1.2.6通信线路的安全§1.3计算机系统的可靠性1.3.1可靠性、可用性和可维修性1.3.2完美性1.3.3容错性1.3.4磁盘阵列Total118ComputerSystemSecurity6§§1.11.1计算机系统安全概述计算机系统安全概述1.1.11.1.1计算机系统安全的现状计算机系统安全的现状z信息技术:成为信息时代的核心技术和中坚力量,作为各科技术的领头羊,它影响和决定着现代技术的走向。z信息产业:电子商务、电子政务、电子税务、电子海关、网上银行、电子证券、网络书店、网上拍卖、网络防伪、网上选举等等,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。z网上资源越来越丰富。2Total118ComputerSystemSecurity7网络的复杂性1.LAN联入WAN中。2.向商业伙伴(客户、供应商)开放自己的网络。3.外部网接入Internet。内部网络资源提供给日益增多的机构内部、外部人员。随着接触网络的人增加,保护网络资源免受侵犯成为昀为关注的问题。网络越来越庞大1.1.背景背景Total118ComputerSystemSecurity8国际化:网络的攻击不仅来自本地网络的用户,它可以来自Internet上的任何一台机器。社会化:全球信息化飞速发展,信息化系统已成为国家关键基础设施,如电信、电子商务、金融网络等,社会对计算机网络的依赖日益增强。开放化:网络的技术是全开放的,任何人、任何团体都能获得。9网络安全的根源:开放性和资源共享。个人化:随着网络应用的深入,人类的生活越来越离不开网络,人们可自由地访问网络、使用和发布各类信息,但同时也面临着来自网络的安全威胁。Internet的四个特点:Total118ComputerSystemSecurity9网络的脆弱性和复杂性增加了威胁和攻击的可能性:¾86年Basit和Amjad兄弟两编写了Pakistan病毒(brain)。¾88年美康乃尔大学Morris编制蠕虫病毒通过英特网传播。¾96年8月,美司法部网页→“不公正部”。9月,“中央情报局”→“中央愚蠢局”。12月,黑客侵入美空军全球网并肆意改动其主页,迫使美国防部一度关闭其他80多个军方网址。¾98年,Hacker侵入扬州工行系统,转移72万至其户头,并提取26万⎯⎯国内首例利用计算机盗取银行巨款案。¾00年春节黑客攻击Yahoo和Sina等国内外网站,造成重大经济损失。6月,香港特区政府网站主页受Hacker攻击,服务被迫暂停。¾01年南海撞机事件引发中美黑客大战。¾02年10月21日,国际Internet核心的13个根服务器,遭受有史以来规模昀大、昀复杂的“DDoS”,持续1小时左右。¾03年1月“2003蠕虫王”病毒席卷全球Internet。直接后果:美花旗银行13000个ATM不能交易;国内电信、移动、网通等Internet运营商网络出现阻塞和瘫痪。¾E-mail侵权案件、泄密事件不断。¾前不久南海台湾附近海域地震。¾……2.2.安全问题安全问题Total118ComputerSystemSecurity10黑客、网络恐怖分子、信息战部队“黑客”一词在信息安全范畴内的普遍含意:特指对电脑系统的非法侵入者。¾黑客(hacker):对技术的局限性有充分认识,具有OS和编程语言方面的高级知识,热衷编程,查找漏洞,表现自我。他们不断追求更深的知识,并公开其发现,与其他人分享;主观上无破坏数据的企图。¾骇客(cracker):以破坏系统为目标。¾“红客”(honker):中国的一些黑客的自称。美国警方:把所有涉及到“利用”、“借助”、“通过”或“阻挠”计算机的犯罪行为都定为hacking。入侵者是谁?Total118ComputerSystemSecurity11作为一种新的犯罪形态,计算机犯罪归为四种:1)破坏计算机:指以计算机作为犯罪行为客体,加以暴力或技术性的破坏。2)擅用信息系统:指无权使用信息系统的人擅自使用。3)滥用信息系统:指以计算机为工具,进行欺诈、侵占、散布非法信息等各种犯罪的行为。4)破坏安全系统:指以技术性的方法破坏信息系统在安全方面所采取的措施。计算机犯罪的种类Total118ComputerSystemSecurity12计算机犯罪与传统的犯罪相比有许多不同的特点:¾危害性:犯罪后果严重。成本低,传播快,范围广。¾知识性:智慧型白领犯罪,年轻、专业化。¾隐蔽性:侦破与取证困难。¾广域性:作案场所不受地理区域的限制。计算机犯罪的特点3Total118ComputerSystemSecurity13有:硬件、OS、网络协议、DB系统、计算机病毒、管理疏漏,内部作案。3.3.安全隐患安全隐患1)硬件设备的安全隐患CPU:Intel公司在奔腾IIICPU中加入处理器序列号,由该序列号可追查到产生文件和数据的任何机器。网络设备:我国计算机网络使用的绝大部分网络设备及网络软件等都是进口的,其安全隐患不容忽视。一些交换机和路由器有远程诊断和服务功能,可远程进入系统了解情报、越权控制。更有甚者,国外某著名网络公司以“跟踪服务”为由,在路由器中设下“机关”、可将网络中用户的包信息同时送一份到其公司总部。Total118ComputerSystemSecurity142)OS体系结构造成其本身的安全隐患OS历来为一些大公司所垄断,其源程序都不公开,在安全机制方面存在诸多漏洞和隐患。黑客能轻而易举地从“后门”进入系统,取得系统控制权,并危及计算机处理或存储的重要数据。a)、I/O、系统服务程序等都可用打补丁方式进行动态连接。b)、为实现通用性、可裁剪性,可安装的其他公司的软件包往往是OS的一部分,需要与OS有同样的访问特权。c)、网上传输、加载文件将带来安全隐患。远程进程的创建与激活,为安装“间谍”软件提供了条件。d)、OS存在隐蔽信道:进程间通过不受强制访问控制保护的通信途径。Total118ComputerSystemSecurity15网络协议都是由美国等国家开发或制定的标准。其安全机制也存在先天不足,协议还有许多安全漏洞。Internet应用协议中缺乏认证、保密等措施,也使攻击者较易得手。¾TCP/IP协议安全漏洞:♥包监视♥泄露♥地址欺骗♥序列号攻击♥路由攻击♥拒绝服务♥鉴别攻击¾应用层安全隐患:♥Finger♥FTP♥Telnet♥RPC♥E-mail♥SNMP♥NFS3)网络协议的安全隐患Total118ComputerSystemSecurity16数据库平台都是引进的,对国内用户犹如一个“黑匣子”。数据库的攻击分两大类:¾直接攻击:通过查询得到几个记录来直接搜索并确定敏感字段的值,昀成功的技术是形成一种特定的查询,它恰与一个数据项相匹配。¾间接攻击:依据一种或多种统计值推断出结果。统计攻击通过使用某些明显隐匿的统计量来推导出数据,例如,使用求和等统计数据来得到某些数据。4)数据库系统安全隐患Total118ComputerSystemSecurity17计算机病毒是一种能进行自我复制的程序,可通过多种方式植入到计算机中,通过Internet网植入病毒更容易。在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,因此,计算机病毒的防范是网络安全性建设中重要的一环。5)计算机病毒威胁Total118ComputerSystemSecurity186)管理疏漏,内部作案¾互联网上的计算机犯罪、黑客攻击等非法行为70%来自于内部网络。¾内部人员对本单位LAN的熟悉又加剧了其作案和被外部人勾结引诱的可能性。4Total118ComputerSystemSecurity194.4.我国信息安全现状我国信息安全现状用户认为目前网上交易存在的昀大问题¾安全性得不到保障:33.4%¾付款不方便:11.5%¾产品质量、售后服务及厂商信用得不到保障:33.0%¾送货耗时、渠道不畅:8.7%¾价格不够诱人:6.6%¾网上提供的信息不可靠:6.0%¾其它:0.8%Total118ComputerSystemSecurity20用户计算机一年内被入侵的情况¾被入侵过:47.1%¾没有被入侵过:43.0%¾不知道:9.9%用户更换Email帐号的密码的频度:¾1个月:8.8%¾3个月~半年:21.4%¾半年~1年:19.7%¾一直不换:50.1%Total118ComputerSystemSecurity21用户在网上主要采取的安全措施¾密码加密:36.9%¾防病毒软件:74.5%¾防火墙:67.6%¾电子签名:7.3%¾不清楚,由系统管理员负责:7.4%¾什么措施都不采用:3.6%Total118ComputerSystemSecurity222000年5月出版的《国家信息安全报告》指出,我国目前的信息安全度介于相对安全与轻度不安全之间。1).信息与网络安全的防护能力较弱。我国金融系统计算机网络现状:¾用不加锁的储柜存放资金——网络缺乏安全防护;¾让“公共汽车”运送钞票——网络缺乏安全保障;¾用“邮寄”传送资金——转账支付缺乏安全渠道;¾用“商店柜台”存取资金——授权缺乏安全措施;¾拿“平信”邮寄机密信息——敏感信息缺乏保密措施;等。2).对引进的信息技术和设备缺乏保护信息安全所必需的有效管理和技术改造。从发达国家和跨国公司引进和购买的关键信息技术和设备中,有一部分可能隐藏着“特洛伊木马”。但受技术水平等的限制,许多单位和部门对引进的关键信息设备可能预做手脚的情况却无从检测和排除,以致许多单位和部门几乎是“抱着定时炸弹”在工作。我国信息安全现状Total118Comp