电子政务网络和信息安全

网络安全和管理晓庄学院网络中心闵宇锋Mail:minyf@njxzc.edu.cn南京晓庄学院网络中心12当前网络安全现状当前网络安全热点话题大规模业务网络安全系统建设网络管理提纲南京晓庄学院网络中心13当前网络安全现状当前网络安全热点话题大规模业务网络安全系统建设网络管理南京晓庄学院网络中心14复杂程度Internet技术的飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间南京晓庄学院网络中心15网络发展现状不断增加的新应用不断加入的网络互联网的广泛应用人员安全意识不足南京晓庄学院网络中心16黑客的发展趋势198019851990199520012003时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加南京晓庄学院网络中心17CERT的报告年1999200020012002攻击事件9,85921,75652,65882,094报告的攻击事件的发展趋势：（年增长率100%左右）系统漏洞的发展趋势：（年增长率超过100%左右）年1999200020012002系统漏洞4171,0902,4374,129南京晓庄学院网络中心18网络存在的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫南京晓庄学院网络中心19造成安全威胁的主要根源网络建设之初忽略了安全问题；仅仅建立了物理安全机制；TCP/IP协议族软件本身缺乏安全性；操作系统本身及其配置的安全性；安全产品配置的安全性；来自内部网用户的安全威胁；缺乏有效的手段监视、评估网络的安全性；电子邮件病毒、Web页面中存在恶意的Java/ActiveX控件；应用服务的访问控制、安全设计存在漏洞。南京晓庄学院网络中心110网络信息安全的发展阶段三个阶段：通信保密阶段：以密码学研究为主计算机系统安全阶段：以单机操作系统安全研究为主网络信息系统安全阶段：开始进行信息安全体系研究南京晓庄学院网络中心111通信保密阶段40年代－70年代重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性主要安全威胁是搭线窃听、密码学分析主要保护措施是加密重要标志1949年Shannon发表的《保密通信的信息理论》1977年美国国家标准局公布的数据加密标准（DES）1976年由Diffie与Hellman在“NewDirectionsinCryptography”一文中提出了公钥密码体制南京晓庄学院网络中心112计算机系统安全阶段70－80年代重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性主要安全威胁扩展到非法访问、恶意代码、脆弱口令等主要保护措施是安全操作系统设计技术（TCB）主要标志是1983年美国国防部公布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充TNI和TDI南京晓庄学院网络中心113网络信息系统安全阶段90年代以来重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN主要标志是提出了新的安全评估准则CC（ISO15408）、IPv6安全性设计南京晓庄学院网络中心114网络信息安全的含义网络信息安全网络系统的硬件、软件及其系统中的信息受到保护保护在通信网络中传输、交换和存储的信息的机密性、完整信和真实性对信息的传播及内容具有控制能力不受偶然的或者恶意的原因而遭到破坏、更改、泄露系统连续可靠的运行网络服务不中断南京晓庄学院网络中心115用户（企业、个人）的角度涉及个人隐私或商业利益的信息机密性、完整性、真实性避免其他人或对手的损害和侵犯窃听、冒充、篡改、抵赖不受其他用户的非法访问非授权访问、破坏南京晓庄学院网络中心116网络运行和管理者对本地网络信息的访问、读写等操作受到保护和控制避免出现“后门”、病毒、非法存取、拒绝服务、网络资源非法专用、非法控制制止和防御网络“黑客”的攻击南京晓庄学院网络中心117安全保密部门非法的、有害的或涉及国家机密的信息进行过滤和防堵避免通过网络泄漏避免信息的泄密对社会的危害、对国家造成巨大的损失南京晓庄学院网络中心118网络和信息安全问题综述系统安全信息安全南京晓庄学院网络中心119系统安全（狭义的网络安全）作用点：对计算机网络与计算机系统可用性的威胁，主要表现在访问控制方面。外显行为：网络被阻塞，黑客行为，计算机病毒等，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施：防止入侵，检测入侵，抵抗入侵，系统恢复。南京晓庄学院网络中心120系统安全（狭义的网络安全）因特网网络对国民经济的影响在加强信息对抗的威胁在增加研究安全漏洞以防之因特网电力交通通讯控制广播工业金融医疗研究攻防技术以阻之南京晓庄学院网络中心121信息安全（狭义的）作用点：对所处理的信息机密性与完整性的威胁，主要表现在加密方面。外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。防范措施：加密，认证，数字签名，完整性技术（VPN)南京晓庄学院网络中心122信息窃取信息冒充信息篡改信息抵赖信息机密性加密技术完整性技术认证技术数字签名南京晓庄学院网络中心123文化安全（内容安全）作用点：有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。外显行为：黄色、反动信息泛滥，敌对的意识形态信息涌入，互联网被利用作为串联工具，传播迅速，影响范围广。防范措施：设置因特网关，监测、控管。南京晓庄学院网络中心124对文化安全的保护因特网用户有害信息泛滥信息来源不确定.打击目标机动性强.主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获南京晓庄学院网络中心125当前网络安全现状当前网络安全热点话题大规模业务网络安全系统建设网络管理南京晓庄学院网络中心126网络安全界当前的热点问题一、病毒(蠕虫病毒)二、DOS攻击南京晓庄学院网络中心127病毒的定义计算机病毒为什么叫做病毒。首先，与医学上的病毒不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的病毒概念引申而来。南京晓庄学院网络中心128直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。病毒的定义南京晓庄学院网络中心129病毒的产生那么究竟它是如何产生的呢？其过程可分为：程序设计--传播--潜伏--触发、运行--实行攻击。究其产生的原因不外乎以下几种：开个玩笑，一个恶作剧。产生于个别人的报复心理。用于版权保护。用于特殊目的。南京晓庄学院网络中心130病毒的历史计算机病毒在计算机诞生不久后就出现了，其前身只不过是程序员闲来无事而编写的趣味程序；后来，才发展出了诸如破坏文件、修改系统参数、干扰计算机的正常工作等的恶性病毒南京晓庄学院网络中心131传统病毒的特性1.计算机病毒的程序性(可执行性)2.计算机病毒的传染性3.计算机病毒的潜伏性4.计算机病毒的可触发性5.计算机病毒的破坏性6.攻击的主动性7.病毒的针对性南京晓庄学院网络中心1328.病毒的非授权性9.病毒的隐蔽性10.病毒的衍生性11.病毒的寄生性(依附性)12.病毒的不可预见性13.计算机病毒的欺骗性14.计算机病毒的持久性传统病毒的特性南京晓庄学院网络中心133蠕虫是什么？南京晓庄学院网络中心134蠕虫蠕虫（Worm）是通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。1982年，Shock和Hupp根据TheShockwaveRider一书中的一种概念提出了一种“蠕虫”（Worm）程序的思想。这种“蠕虫”程序常驻于一台或多台机器中，并有自动重新定位(autorelocation)的能力。如果它检测到网络中的某台机器未被占用，它就把自身的一个拷贝（一个程序段）发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中，并且能识别它占用的哪台机器。“蠕虫”由两部分组成：一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。“蠕虫”程序不一定是有害的。论证了“蠕虫”程序可用作为Ethernet网络设备的一种诊断工具，它能快速有效地检测网络。南京晓庄学院网络中心135无害的蠕虫（蚕）南京晓庄学院网络中心136蠕虫病毒的罪恶病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万美元美丽杀手1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元爱虫病毒2000年5月至今众多用户电脑被感染，损失超过100亿美元以上红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元求职信2001年12月至今大量病毒邮件堵塞服务器，损失达数百亿美元Sql蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元南京晓庄学院网络中心137蠕虫病毒的特点蠕虫也是一种病毒，因此具有病毒的共同特征。普通病毒需要的寄生,通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。蠕虫复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策。南京晓庄学院网络中心138蠕虫病毒和普通病毒的对比病毒类别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机南京晓庄学院网络中心139蠕虫病毒的传播蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种：第一种：软件上的缺陷和人为上的缺陷如远程溢出，微软ie和outlook的自动执行漏洞等等。第二种：社会工程学(socialengineering)计算机用户的疏忽。南京晓庄学院网络中心140蠕虫病毒特征分析1.利用系统漏洞的恶性蠕虫病毒分析--企业用户(局域网络)红色代码,尼姆达和sql蠕虫等，共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击。特点：这种漏洞比较普遍病毒很容易的传播攻击的对象大都为服务器造成的网络堵塞现象严重南京晓庄学院网络中心141Sql蠕虫病毒样例：2003年1月26号爆发的sql蠕虫攻击对象：攻击的是微软数据库系MicrosoftSQLServer2000漏洞信息：利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞，SQLServer监听UDP的1434端口，客户端可以通过发送消息到这个端口来查询目前可用的连接方式（连接方式可以是命名管道也可以是TCP），但是此程序存在严重漏洞，当客户端发送超