企业信息化培训07

企业信息化傅建明武汉大学计算机学院fujms@public.wh.hb.cn谢谢罗敏博士第七章网络信息安全网络信息安全的概念网络信息安全的常用技术网络信息安全的概念网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠地运行，网络服务不中断。网络安全性指计算机机密性、完整性和可用性的实现。网络安全性可用性授权实体有权访问数据。机密性信息不暴露给未授权实体或进程。完整性保证数据不被未授权修改。网络信息安全的常用技术防火墙技术入侵检测技术反病毒技术内外网隔离技术VPN技术电子邮件的安全7.1防火墙技术有关知识和概念体系结构防火墙的设计7.1.1有关知识和概念防火墙的概念Internet防火墙指能增强网络安全性的（一组）系统或一种装置。它是由软件或硬件设计组合而成，通常位于局域网/内部网与Internet/外部网之间，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络不被破坏，防止内部网的敏感数据被窃取。所以防火墙实际上可以作为内部网和外部网之间的一种访问控制设备。它可以是路由器，也可以是个人主机、主系统或一批主系统，用于把网络或子网同子网外的可能是不安全的系统隔离。7.1.1有关知识和概念防火墙的访问控制：1.服务控制，决定哪些服务可以被访问2.方向控制，决定哪些方向的服务请求被发起3.用户控制，哪些用户可以访问服务（本地用户，远程用户）4.行为控制，控制具体的服务过程7.1.1有关知识和概念防火墙的应用：1.设立单一阻塞点2.提供NAT，对外可以隐藏内部IP，可计费3.作为IPSec的平台（性能管理、安全管理、故障管理、计费管理、配置管理）7.1.1有关知识和概念防火墙的优点防止易受攻击的服务控制访问网点集中安全性增强保密，强化私有权有关网络使用、滥用的纪录和统计政策执行7.1.1有关知识和概念防火墙的主要组成部分：网络政策（高级的、低级的）先进的验证工具包过滤应用网关防火墙设计的基本方针只允许访问特定的服务只拒绝访问特定的服7.1.1有关知识和概念防火墙的缺点不能防范恶意的知情者不能防范不通过它的连接几乎不能防范病毒只能用来防备已知的威胁，不能防备新的未知的威胁7.1.1有关知识和概念按位置分：个人防火墙（主机）企业防火墙（网络）按实现方式分：软件防火墙硬件防火墙软硬一体化防火墙按技术分：包过滤器应用层网关电路层网关7.1.2防火墙体系结构双宿主主机防火墙被屏蔽主机被屏蔽子网其它7.1.2防火墙体系结构堡垒主机bastionhost是网络安全的一个边界点，可以作为应用层网关和电路层网关的服务平台。双宿主主机防火墙双宿主主机防火墙被屏蔽主机被屏蔽主机被屏蔽子网被屏蔽子网7.1.3防火墙的设计包过滤防火墙–网络层(IP层)应用层防火墙–应用层–NAT代理服务包过滤防火墙包过滤防火墙数据包的处理信息：源IP地址/目的IP地址源端口/目的端口IP协议域-TCP,UDP,ICMP.RIP,OSPF…TCP标志位ACKICMPtype包过滤防火墙设计要求：1.外网的主机可以访问内网的SMTP服务器（25）2.内网的主机可以访问外网的SMTP服务器（25）3.除1，2外不允许其他流量通过该防火墙包过滤防火墙互联网防火墙1243局域网内部用户外部用户SMTP服务SMTP服务包过滤防火墙规则号源地址目的地址协议类型源端口目的端口动作ACK位A1外部地址内部地址TCP102425passanyB2内部地址外部地址TCP251024passACKC3内部地址外部地址TCP102425passanyD4外部地址内部地址TCP251024passACKE5anyanyanyanyanydropany包过滤防火墙-状态检查clientserver发出连接请求建立半连接server’s响应建立连接连接已建立连接已建立TCP连接的建立SYNSYN-ACKACK应用层网关增加验证功能/实现应用服务。应用层网关，也称为代理服务器，proxy，broker，Agent，传递消息。电路层网关应用：Web，BBS，FTP，EMAIL，QQSocks4TCP协议；Socks5TCP/UDP，IPv6，身份验证，DNS，RFC1928，1929；HTTPAgent：80防火墙的发展1.功能：包过滤：基于状态检查的包过滤基于内容的信息过滤非法信息/垃圾邮件/端口扫描/拒绝服务/病毒/木马/蠕虫…VPN，VirtualPrivateNetworkIDS防火墙的发展2.性能：千兆防火墙，专用芯片（ASIC芯片，NP）快速算法stress-test-强力测试规则数性能防火墙的发展3.管理：WebGUIConsole/CLI安全，认证4.抗攻击：scanning，firewalk，SNMPwalk7.2入侵检测技术入侵检测的任务入侵检测的原理入侵检测的方法7.2入侵检测技术入侵：指任何试图危及计算机资源的完整性、机密性或可用性的行为。入侵的分类：1.入侵者只获得系统访问权限，即获得了普通级别的系统帐号和口令并登录主机，不做破坏性的工作2.入侵者进入系统后，毁坏改变数据3.入侵得到部分或整个系统的控制权修改系统帐户、口令、修改日志、安装后门、木马等4.拒绝服务的攻击，入侵者并没有获得系统的访问权，而是利用一些拒绝服务的攻击程序，引起网络挂起或重新启动.7.2入侵检测技术入侵的来源：1.外部入侵者：未授权的用户2.内部入侵者：逾越了合法访问权限的系统授权用户,如：伪装者：盗用秘密用户：躲过审计7.2入侵检测技术网络中的安全威胁主要有：1.身份窃取，用户身份在通信时被非法窃取2.假冒，指非法用户假冒合法用户身份获取敏感信息的行为3.数据窃取，指非法用户截获通信网络的数据4.否认，知通信方事后否认曾经参与某次活动的行为5.非授权访问6.拒绝服务，指合法用户的正常申请被拒绝、延迟、更改等7.错误路由入侵检测的任务识别入侵者和入侵行为检测和监视已成功的安全突破为对抗措施及时提供重要信息入侵检测，IntrusionDetection，对入侵行为的发觉。它通过在系统（计算机）网络中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，IDS）。安全模型PDR模型：P（t）D（t）+R（t）PreventionDetectionResponse黑客：1.scriptkiddy2.利用已有的漏洞和弱点，编制新的工具3.发现已有的系统的漏洞和弱点入侵检测的功能IDS的功能：1.检测并分析用户和系统的活动2.检查系统的配置和漏洞-scanning3.评估系统关键资源和数据文件的完整性4.识别已知的攻击行为5.统计分析异常行为6.管理操作系统日志，并识别违反安全策略的用户活动入侵检测的原理事件产生器活动记录规则集时钟审计记录/网络包/应用程序记录更新记录增添或修改已经存在的规则匹配规则集并生成异常记录动态产生新的活动记录入侵检测系统的分类根据审计数据的来源可基于主机的IDS保护关键位置的服务器，实时监视可疑的连接、系统日志、非法访问的入侵等。一般通过分析审计记录确认是否有入侵发生.Filemonitor(R,W,E,B);registertablemonitor;memorymonitor;portmonitor.基于网络的IDS通过连接在网络的站点捕获网上的数据包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。基于agent的IDS入侵检测的方法异常检测误用检测异常入侵检测分析用户正常的行为活动，并建立统计概率模型，然后观察系统的行为，决定在何种程序上将一个行为标识为“异常”。该方法只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况，误警较高。异常入侵检测例：用户名时间戳主机用户主机命令参数行为Aam192.168.0.1192.168.0.10cat/etc/passwdAam192.168.0.1192.168.0.10vi.cAam192.168.0.1192.168.0.10gcc……常用算法：Bayes，HMM，神经网络，……优点：可以检测未知的攻击误用入侵检测是基于已知的系统缺陷和入侵模式；假设能精确的编码攻击特征。检测：按先定义好的入侵模式匹配当前用户的活动，若匹配则有入侵。常用算法：规则，专家系统，Petrinet……误用入侵检测例：1.%cp/bin/sh/usr/spool/mail/root2.%chmod4755/usr/spool/mail/root3.%touchx4.%mailrootx5.%/usr/spool/mail/root6.root%检测结果当前用户的活动有4种可能：1.入侵但非异常，……漏检2.非入侵且异常，……误检3.非入侵且非异常4.入侵且异常入侵检测系统指标1可靠性，容错能力，可连续运行TolearanceIntrusionSystem2.可用性3.可测性4.适应性，适应环境的变化（未知攻击）1.实时性--PDR2.准确性，——falsepositive误检MDADfalsenegative漏检MD5.安全性，IDS本身安全入侵检测系统发展和困难系统的漏洞百出，入侵行为表现为不确定性、复杂性、多样性等。关键的问题：1.高效的检测算法2.入侵模式的自动生成及确认3.实时监测、响应4.入侵描述语言XML、数据标准化5.数据捕获，20M，30M，50M6.IDS间的协同7.IDS评估8.容侵研究7.3反病毒技术基本知识病毒的特征病毒的分类反病毒技术病毒的预防措施7.3反病毒技术《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”7.3反病毒技术其产生的原因有：（1）、一些计算机爱好者出于好奇或兴趣；（2）、产生于个别人的报复心理。（3）、来源于软件加密。（4）、产生于游戏。（5）、用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。（6）、由于政治、经济和军事等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电脑。7.3反病毒技术其特征可以归纳为传染性，非授权性，隐蔽性，潜伏性，破坏性，不可预见性和可触发性。计算机病毒的传染性是指病毒具有把自身复制到其它程序的能力，是病毒的基本特征。非授权性强调病毒程序的执行对用户是未知的，即病毒的执行具有某种主动性。隐蔽性是指病毒生存的必要条件。病毒的非授权性，隐蔽性，潜伏性使得病毒的行为是不可预见的，病毒的触发条件越多，则传染性越强，但同时其隐蔽性和潜伏性降低。病毒的分类按传染方式分：–引导型病毒–文件型病毒–混合型病毒按连接方式分：–源码型病毒–入侵型病毒–操作系统型病毒–外壳型病毒按破坏性分：–良性病毒–恶性病毒计算机病毒的状态静态病毒，指存在于辅助存储介质(如软盘、硬盘、磁带、CD-ROM)上的计算机病毒。静态病毒不能产生传染和破坏作用。动态病毒，指进入了计算机内存的计算机病毒，它必定是随病毒宿主的运行而运行，如使用寄生了病毒的软、硬盘启动机器，或执行染有病毒的程序文件时进入内存的。计算机病毒的组成病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成，