网络安全(1)

课程特点培养目标“具有分析、设计和实施信息安全系统的基本能力”内容广阔、涉及到许多其它领域的知识密码学计算机网络(TCP/IP)操作系统(UNIX和Windows)程序设计课程内容网络安全概论1网络攻击技术2网络防御技术3网络安全保障体系4本课程对学生的要求了解和掌握网络与信息安全的基本原理和相关技术具有网络与信息安全的理论基础和基本实践能力关注国内外最新研究成果和发展动态考核说明课程学时安排成绩比例总学时48考试70％平时30％参考教材网络安全，徐国爱、张淼、彭俊好编著，北京邮电大学出版社，2007。网络安全，胡道元、闵京华编著，清华大学版社，2008。网络安全技术与应用实践，刘远生主编，清华大学出版社，2010。参考书SECURITYPOWERTOOLS计算机安全超级工具集Author:BryanBurnsetc.Publisher:O’ReillyMedia,Inc.NumberofPages:781Published:2007-08参考书CryptographyandNetworkSecurity:PrinciplesandPractice(5thEdition)密码编码学与网络安全：原理与实践（第五版）Author:WilliamStallingsPublisher:PrenticeHallNumberofPages:744Published:2010-01-24参考资源国家互联网应急中心第一章网络安全概论1.1信息安全概念与技术的发展1.2安全产品类型1.3引言1引言•网络技术的飞速发展，Internet的普及，深刻地改变了人类的工作和生活方式。•但各种各样的不安全因素，对网络的安全运行、信息的安全传递构成了巨大的威胁。1.1网络面临的安全威胁2010年国家互联网应急中心共接收了10433件非扫描类网络安全事件报告，其中国外报告事件数量为5070件。所报告的网络安全事件集中在信息系统漏洞（占33.0%）、恶意代码（占19.6%）、网页挂马（占21.4%）和网页仿冒（占15.0%）等类型。网络面临的安全威胁—信息安全漏洞根据漏洞的危险程度，漏洞可分为高危漏洞、中危漏洞、低危漏洞。2010年新增漏洞3447个，包括高危漏洞649个（占19%）、中危漏洞987个（占29%）、低危漏洞1811个（占52%）。2010年，CNVD共收集、整理了649个高危漏洞，涵盖Microsoft、IBM、Apple、Linux、Adobe、Cisco、Mozilla、HP、Google、Sun等厂商的产品。其中涉及Microsoft产品的高危漏洞最多，占全部高危漏洞的17%。注：CNVD是国家信息安全漏洞共享平台的简称网络面临的安全威胁—信息安全漏洞根据影响对象的类型，漏洞可分为操作系统漏洞、应用程序漏洞、WEB应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞（如防火墙、入侵检测系统等）。如图所示，在CNVD2010年度收集整理的漏洞信息中，操作系统漏洞占16%，应用程序漏洞占62%，WEB应用漏洞占9%，数据库漏洞占4%，网络设备漏洞占6%，安全产品漏洞占3%。案例网络面临的安全威胁—网站安全网站被篡改网页挂马网页仿冒（网络钓鱼）网络面临的安全威胁—网站安全2010年，CNCERT监测到境内被篡改网站月度统计情况如下图所示。其中，每月被篡改网站数量平均为2904个。网络面临的安全威胁—网站安全2010年境内被篡改网站按域名类型进行统计，被篡改数量最多的是.com和.com.cn类域名网站，其多为企业、公司网站。不过值得注意的是，.gov.cn域名网站所占比例达到13.30%，.org.cn所占比例达到1.76%，.edu.cn域名网站所占比例达到1.15%。百度公司网站无法访问事件2010年1月12日上午7时左右，百度公司网站（baidu.com）突然无法访问。经查，百度公司的域名baidu.com是在美国域名注册服务商register.com公司注册的。综合各方提供的技术报告，与会专家分析认为，造成本次事件的原因是baidu.com域名的注册信息被非法篡改，致使baidu.com域名在全球的解析被错误指向，最终导致全球互联网用户无法正常访问baidu.com网站。参考：网络面临的安全威胁—网站安全2010年，境内政府网站被篡改数量为4635个，与2009年的2765个相比增加67.6%，政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护，某些政府网站被篡改后长期无人过问，还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。2010年CNCERT监测发现被篡改的部分省部级政府网站列表。网络面临的安全威胁—网站安全网页挂马是目前互联网黑色地下产业中进行最为猖獗的、对互联网安全危害较为严重的非法活动。一些针对新披露的信息安全漏洞制造的新型恶意代码往往会借网页挂马的方式进行大规模传播；网络中一些搜索热词或社会热点事件的出现引发了网民大量搜索和点击，相关页面也容易被黑客利用来挂马，达到快速传播恶意代码并控制大量用户主机的目的。网络面临的安全威胁—网站安全网页仿冒俗称网络钓鱼，这类事件是社会工程学欺骗原理结合网络技术的典型应用。2010年CNCERT共接到网页仿冒事件报告1566件，经归类合并后CNCERT成功处理了631件。在CNCERT接收到的这些网页仿冒事件中，被仿冒的大都是电子商务网站、金融机构网站、第三方在线支付站点、社区交友网站。假冒央视“非常6+1栏目”钓鱼网站2010年1月下旬CNCERT接到举报，一些不法分子通过飞信、聊天工具以及垃圾邮件大量传播假冒央视“非常6+1栏目”的数十个钓鱼网站信息，极易使用户受到蒙骗，造成经济损失。对此，CNCERT及时组织协调万网志成和新网数码等国内域名注册商对监测发现的钓鱼网站域名开展专项治理行动，共关闭钓鱼网站27个，有效地打击了不法分子进行网络钓鱼的猖獗势头。此事件发生时正值春节临近，不法分子选择此时借用“中奖”、“送礼品”等幌子进行网络欺诈的活动更具迷惑性。具体参考网络面临的安全威胁—恶意代码恶意代码主要包括计算机病毒、蠕虫、木马、僵尸程序等。计算机病毒和蠕虫几年前是最为常见的恶意代码类型，对用户计算机的破坏力也较强。近年来，随着黑客地下产业链的进化，木马和僵尸程序以及一些助长其传播的恶意代码成为了黑客最经常利用的手段，也成为了用户安全防范的主要对象。网络面临的安全威胁—恶意代码木马是以盗取用户个人信息，甚至是以远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑，与战争中的“木马”战术十分相似，因而得名木马。按照功能分类，木马程序可进一步分为：盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其它木马七类。2010年CNCERT抽样监测结果显示，在利用木马控制服务器对主机进行控制的事件中，木马控制服务器IP总数为479626个，较2009年下降21.3%，木马受控主机IP总数为10317169个，较2009年大幅增长274.9%。网络面临的安全威胁—恶意代码僵尸程序是用于构建僵尸网络以形成大规模攻击平台的恶意代码。僵尸网络是被黑客集中控制的计算机群，其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为，如可同时对某目标网站进行分布式拒绝服务攻击，或发送大量的垃圾邮件等。2010年CNCERT抽样监测结果显示，僵尸网络控制服务器IP总数约为1.4万个，僵尸网络受控主机IP地址总数为562万余个。网络面临的安全威胁—恶意代码当前黑客地下产业中，以盗号木马、窃密木马、网银木马等为代表的木马类恶意代码比较流行，与之相比，蠕虫这种能造成大范围快速传播和影响的恶意代码显得较为“古典”。与“冲击波”蠕虫类似，“飞客”蠕虫利用的也是Windows操作系统的RPC远程连接调用服务存在的高危漏洞来侵入互联网上未能进行有效防护的主机，并通过局域网、U盘等方式快速传播。根据CNCERT的2010年12月抽样监测结果，全球互联网已经有超过6000万个主机IP感染“飞客”蠕虫，境内仍然是“重灾区”，有超过900万个主机IP被感染。网络面临的安全威胁—移动互联网安全2010年是3G网络迅速发展的一年，移动互联网智能终端迅速普及，应用程序日益丰富，生产成本不断降低，手机上网已经成为人们生活中随处可见的一景。伴随着互联网与移动网络的界限日渐模糊，互联网的安全问题也在移动网络中逐步突显。移动智能终端漏洞日益增多，恶意代码已开始出现并在移动互联网内快速蔓延，并被用于窃取用户的个人隐私信息、恶意订购各类增值业务或发送大量垃圾短信。网络面临的安全威胁—移动互联网安全2010年CNCERT抽样监测结果显示，境内感染“毒媒”手机木马的用户达2003515个，感染“手机骷髅”病毒的用户达831843个，感染“FC.MapUp.A”手机病毒的用户达216147个，感染“Boothelper.A”手机病毒的用户达1431个。网络不安全的原因自身缺陷＋开放性＋黑客攻击安全的几个概念信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。信息的安全需求保密性：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施）完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。）可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。信息安全概念与技术的发展信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。单机系统的信息保密阶段网络信息安全阶段信息保障阶段1.2单机系统的信息保密阶段信息保密技术的研究成果：①发展各种密码算法及其应用：DES（数据加密标准）、RSA（公开密钥体制）、ECC（椭圆曲线离散对数密码体制）等。②计算机信息系统安全模型和安全评价准则：访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。网络信息安全阶段该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术：（被动防御）安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则（如CC通用评估准则）。1988年莫里斯蠕虫爆发对网络安全的关注与研究CERT成立信息保障阶段信息保障（IA）概念与思想的提出：20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。信息保障阶段信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略”DiD（Defense-in-DepthStrategy）。在信息保障的概念下，信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。保护检测恢复响应信息保障采用一切手段（主