搜索
第八章网络安全张海旸zhhy@bupt.edu.cn计算机科学与技术学院2008,CL网络技术与应用第2页主要内容网络安全的相关概念网络的安全威胁网络安全策略网络安全措施与机制防范计算机病毒2008,CL网络技术与应用第3页威胁网络安全的大事件1994年末,俄罗斯人弗拉基米尔·利文与其伙伴向CITYBANK银行在纽约的计算机主机发动攻击,窃取了1100万美元1997年4月23日,中国互联网络信息中心(CNNIC)站点遭到黑客攻击,CNNIC的主页被换成骷髅头像2001年7月13日,利用微软IIS的漏洞,“红色代码”病毒从网络服务器上传播开来,一周之内感染了近40万台服务器,据估计多达100万台计算机受到感染,损失约26亿美元。7月20日,这些被感染的电脑自动对美国白宫的官方网站发动攻击2005年,黑客模仿中国工商银行、中国银行等金融机构的网站,设计了类似的网页,通过“网络钓鱼”欺骗银行用户,窃取用户存款2008,CL网络技术与应用第4页什么是网络安全?网络安全:网络系统的硬件、软件及其系统中的数据受到保护,不会因偶然的或恶意的原因而遭到破坏、更改和泄露,网络系统可连续、可靠、正常地运行,并提供相应的网络服务网络系统不存在任何威胁状态安全的计算机网络的特征:网络系统的可靠性:不会因外界影响而中断正常工作软件和数据的完整性:不会被非法操作软件和数据的可用性:能够正常运行软件和数据的保密性:不被无权限的人识别2008,CL网络技术与应用第5页威胁网络安全的原因自身缺陷+开放性+黑客攻击网络自身的安全缺陷•协议不安全•协议本身会泄漏口令•IP地址很容易被发现、伪造和更改•TCP/IP协议缺乏对通信双方真实身份的鉴别机制•某些协议经常运行一些无关的程序•服务器本身需要读写特权•网络服务不安全•密码保密措施不强•服务内部可能隐藏着一些错误的信息•有些服务本身尚未完善,难于区分出错原因•有些服务设置复杂,很难完善地设立•某些服务使用了CGI,信息很容易被窃取网络开放性•基于公开的协议体系•远程访问使得各种攻击无需到现场就能得手•连接是基于主机上的社团彼此信任的原则黑客(HACKER)•定义:“非法入侵者”•起源:60年代•目的:基于兴趣非法入侵基于利益非法入侵信息战2008,CL网络技术与应用第6页威胁来自哪里?“INTERNET的美妙之处在于你和每个人都能互相连接,INTERNET的可怕之处在于每个人都能和你互相连接”2008,CL网络技术与应用第7页网络安全威胁:主动攻击vs被动攻击主动攻击被动攻击对通信的威胁对系统安全的威胁对传输信息的干扰防止方法中断通信、篡改报文、伪造报文截获报文恶意程序:病毒、蠕虫、木马、逻辑炸弹无更改、拒绝服务、伪造连接初始化无加密+鉴别加密“攻击”:任何的非授权行为、可能使一个网络受到破坏的所有行为2008,CL网络技术与应用第8页对传输数据的攻击方式2008,CL网络技术与应用第9页恶意程序计算机病毒(Virus):在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码特洛伊木马(TrojanHorses):伪装潜伏,不会自我繁殖,也不会刻意地去感染其他文件,通过伪装成应用程序吸引用户下载执行或安装,非授权功能和声称功能一起执行计算机蠕虫(Worm):独立程序、大量复制、可以通过网络传播逻辑炸弹(LogicBombs):嵌入正常程序中,在满足某种特殊条件时“爆炸”,执行特殊功能2008,CL网络技术与应用第10页恶意程序分类恶意程序需要宿主可独立存在逻辑炸弹特洛伊木马病毒蠕虫能自我复制2008,CL网络技术与应用第11页网络安全脆弱性的表现计算机系统和操作系统的脆弱性,如系统故障、Windows系统的漏洞或BUG、存储介质的脆弱性计算机网络的脆弱性,如电磁泄露、通信系统和协议的弱点…数据库系统的脆弱性2008,CL网络技术与应用第12页网络安全隐患示例:不稳定因素(1)Cookie:自动记录用户网络访问信息的小程序。网站设计师使用它们来为你提供方便而高效的服务。但同时通过使用这些小程序,商业公司和网络入侵者能够轻易获得你机器上的信息Java:有无数利用Java的漏洞成功入侵为你提供服务的服务器的案例。CGI:通用网关接口,嵌在HTML文档中的小程序,实现用户信息的获取(如解释处理表单、计数器等)。2008,CL网络技术与应用第13页不稳定因素(2)电子邮件病毒:超过85%的人使用互联网是为了收发电子邮件,没有人统计其中有多少用户正使用直接打开附件的邮件阅读软件。2000年,“爱虫(ILoveYou)”病毒发作时,全世界有数不清的人惶恐地发现,自己存放在电脑上的重要的文件、不重要的文件,已经被删得干干净净。认证和授权:每当有窗口弹出,问使用者是不是使用本网站的某某认证时,绝大多数人会毫不犹豫地按下“Yes”。2008,CL网络技术与应用第14页不稳定因素(3)微软的软件:产品越做越大,发现漏洞之后用来堵住漏洞的补丁也越做越大,但是又有多少普通用户真正会去下载它们?自由软件:有了自由软件,才有互联网今天的繁荣。自由软件要求所有结果必须公开,据说让全世界的程序员一起来查找漏洞,效率会很高。这要求网络管理员有足够的责任心和技术能力根据最新的修补方法消除漏洞。2008,CL网络技术与应用第15页不稳定因素(4)ICP(内容服务商):我们提供私人信息,ICP让我们注册,并提供免费服务,获得巨大的注意力,以及注意力带来的风险投资。这是标准的注意力经济模式。网络管理员:可以得到我们的个人资料、看我们的信、知道我们的信用卡号码,如果做些手脚的话,还能通过网络控制我们的机器。我们只能期望他们技术高超、道德高尚。2008,CL网络技术与应用第16页网络安全策略防护操作系统安全防护、网络安全防护和信息安全防护检测根据入侵事件的特征、发现攻击响应对于检测到的攻击进行处理恢复系统恢复和信息恢复2008,CL网络技术与应用第17页网络安全机制分为两类与安全服务有关,用来实现安全服务与管理功能有关,用来加强对安全系统的管理ISO7498-2建议的安全机制:加密机制:使用密文传输数字签名机制:验证用户身份、防止抵赖访问控制机制:确定访问权限数据完整机制:防止数据在传输中被修改认证交换机制:用于验证用户身份防业务流分析机制:访止攻击者对业务流分析路由控制机制:增强传输安全性公证机制:由第三方来认证2008,CL网络技术与应用第18页网络安全措施安全立法安全管理网络实体安全保护系统访问控制数据加密保护2008,CL网络技术与应用第19页安全措施之一:数据加密数据加密既可以防止攻击者窃取网络机密信息,也可以检测出他们对数据的插入、删除、修改及滥用有效数据的各种行为2008,CL网络技术与应用第20页安全措施之二:防火墙互联网防火墙(Firewall):在内部网与互联网连接的接口处放置的设备,用于保护内部网不受外来者的入侵构筑防火墙是目前保护网络安全的最主要手段防火墙是企业内部网与Internet间的一道屏障,可以保护企业网不受来自外部的非法用户的入侵,也可以控制企业内部网与Internet间的数据流量2008,CL网络技术与应用第21页防火墙的结构防火墙将内部网和Internet分开,它实际上是一种隔离技术(从物理上隔离内部网与外部网)它包括硬件和软件,安装的位置一定是在内部网络与外部网络之间双向检测:防止内部信息外泄,防止外部恶意信息进入服务器外部网络防火墙服务器内部网络2008,CL网络技术与应用第22页防火墙的分类:包过滤防火墙基于路由器技术,网络层设备防火墙检查数据包中的IP地址,根据系统管理员设定的过滤规则,确定是否允许该包通过结构简单、便于管理、造价低不能防止IP地址欺骗攻击2008,CL网络技术与应用第23页防火墙的分类:应用网关又称代理服务器(proxy),应用层设备针对特定应用协议,为内部用户提供安全访问外部服务的机制可以针对包的内容进行过滤访问速度较慢、瓶颈问题2008,CL网络技术与应用第24页应用代理的工作原理双向服务2008,CL网络技术与应用第25页典型的Internet防火墙包过滤防火墙和应用网关配合使用防火墙的局限:不能完全防范外部刻意的人为攻击不能防范内部用户攻击不能防止内部用户因误操作而造成口令失密受到的攻击很难防止病毒或者受病毒感染的文件的传输。2008,CL网络技术与应用第26页远程用户和网络的安全控制虚拟专用网(VPN)基于Internet的公用开放的传输媒体,通过加密和验证等安全机制建立虚拟的数据传输通道,以保障在公共网上传输私有数据信息不被窃取、篡改,从而向用户提供相当于专用网络的安全服务2008,CL网络技术与应用第27页防范计算机病毒:病毒的分类(1)按寄生方式引导型:感染引导扇区文件型:感染可执行文件宏病毒:感染MSOFFICE文档混合型按与被传染程序的连接方式外壳病毒:不修改源程序,附着在其首尾源码病毒:将自身程序源码插入高级语言源程序中入侵型病毒:将自身连接于被传染程序中,替代其部分功能模块操作系统病毒:取代操作系统的部分模块2008,CL网络技术与应用第28页病毒的分类(2)按感染形态文件型病毒:在文件执行时感染千面人病毒:每次繁殖产生不同的病毒特征码!木马与蠕虫:木马伪装成应用程序进入,伺机执行恶意行为蠕虫通过网络在计算机间传播黑客型病毒:通过网络走后门,发黑色信件,瘫痪网络。2008,CL网络技术与应用第29页常见的中病毒症状程序忽然运行缓慢文件莫名其妙的出现和消失程序的长度或目标文件被改变屏幕上出现怪异的代码屏幕上条目混乱可用盘空间忽然无故减少CHKDSK和SCANDISK命令返回错误值文件名字忽然无故被更改硬盘驱动器无法访问未做大量网络数据传输,但ADSLmodem灯异常快速闪烁…2008,CL网络技术与应用第30页防范计算机病毒的基本方法个人计算机防护:使用网络防病毒软件工作站防护:无盘工作站使用单机防病毒卡使用网络防病毒卡2008,CL网络技术与应用第31页黑客攻击和防范常见的黑客攻击方式口令破解、连接盗用、服务拒绝、网络窃听、数据篡改、地址欺骗、社会工程、恶意扫描、数据驱动攻击黑客攻击的步骤信息收集获得对系统的访问权限破坏系统或盗取信息消除入侵痕迹防止黑客入侵办法防火墙2008,CL网络技术与应用第32页黑客攻击方式(1)口令破解:攻击者可通过获取口令文件然后运用口令破解工具获得口令也可通过猜测或窃听等方式获取口令;连接盗用:在合法的通信连接建立后攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接从而假冒被接管方与对方通信;服务拒绝:攻击者可直接发动攻击也可通过控制其它主机发起攻击使目标瘫痪,如发送大量的数据洪流阻塞目标;2008,CL网络技术与应用第33页黑客攻击方式(2)网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息;数据篡改:攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性;地址欺骗:攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任;社会工程:攻击者可通过各种社交渠道获得有关目标的结构使用情况安全防范措施等有用信息从而提高攻击成功率;2008,CL网络技术与应用第34页黑客攻击方式(3)恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞进而发起攻击;基础设施破坏:攻击者可通过破坏DNS或路由信息等基础设施使目标陷于孤立;数据驱动攻击:攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标。2008,CL网络技术与应用第35页保证网络安全的经典技术(1)防御网络病毒接受不明电子邮件,下载软件(.zip.exe等)时应特别加以注意Web服务器的安全预防措施规范帐号管理,去掉一些