2013年高校骨干教师培训——网络信息安全培训

2013年高校骨干教师培训网络信息安全技术河南牧业经济学院2013年7月本次培训主要内容网络安全概述网络攻防技术操作系统安全配置信息加密技术数字签名技术发展历程培训目的培训目的了解网络安全的现状了解网络安全的研究范围理解信息安全的防护体系掌握信息安全的主要技术了解网络安全的趋势培训重点重点掌握OS安全配置服务器OS安全客户端OS安全黑客技术口令破解工具综合扫描器拒绝服务攻击木马缓冲区溢出信息攻防技术信息加密算法对称加密算法非对称加密算法数字签名技术数字签名数字证书信息加密技术一、网络安全概述网络安全现状分析12网络安全的定义3信息安全的特性4网络安全的防护体系5网络脆弱性分析1.1网络安全现状分析网络使用情况现状研究的重要性1.1.1目前互联网使用情况据中国互联网络信息中心（CNNIC）2013年1月发布的第31次中国互联网络发展状况统计报告显示：截至2012年12月底，中国网民数量达到5.64亿，互联网普及率为42.1%(2012年6月份的数据是39.9%)。手机网民规模达到4.20亿，我国网民中农村人口规模达到1.56亿。截至2012年12月底，受访中小企业中，使用计算机办公的比例为91.3%，使用互联网的比例为78.5%，固定宽带普及率为71.0%，开展在线销售、在线采购的比例分别为25.3%和26.5%，利用互联网开展营销推广活动的比例为23.0%。病毒、木马肆虐网页挂马钓鱼网站猛增现状AB网络犯罪集团化D黑客与时俱进C1.1.2网络安全现状典型的网络安全事件发生在我们身边的网络安全事件你还记得多少？2011年——资料泄露年，躺着也中枪。“乞丐”太出名，黑客更“钟爱”。病毒更“专业”，威胁更巨大。微博成载体，人人变“蠕虫”。“毒二代”横行，Duqu成“神偷”。“网络钓鱼”高速壮大，网络生活“步步小心”2012年十大网络安全事件盘点比较热门的网络欺诈QQ视频诈骗网络游戏交易诈骗网上虚假中奖诈骗网购诈骗网络付款诈骗微博诈骗1.2网络安全的定义网络安全信息安全1.2.1网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。1.2.2网络信息安全因此研究网络安全问题实际上包括两方面的内容：一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。信息安全的研究主要涉及到哪些方面呢？信息传输安全和信息存储安全（2010年三级网络计算机等级考试试题）。进不来拿不走改不了跑不了看不懂1.2.3研究网络安全的目的1.3网络脆弱性原因分析INTERNET的美妙之处在于:——你和每个人都能互相连接;INTERNET的可怕之处在于:——每个人都能和你互相连接。网络绝对隐私权的时代已一去不复返了1993年《纽约时报》曾刊登过一幅卡通漫画，上面有一句令网民至今还津津乐道的名言：“在互联网上，没有人知道你是一条狗。”但现在互联网另一端的人不但知道你是“一条狗”，甚至还知道“你”是一条什么品种的狗、血统是否纯正等各种私人信息……开放性的网络环境协议本身的缺陷操作系统的漏洞人为因素网络脆弱性的原因1.4网络信息安全的特性信息安全的特性信息安全的发展历程信息安全涉及知识领域机密性：防止泄密完整性：防止篡改可用性：防止中断可控性：防止非法利用不可否认性：防止抵赖1.4.1信息安全的特性年代关注的重点保障措施时代标志20世纪40、50年代通信保密加密和基于计算机规则的访问控制《保密通信的信息理论》20世纪70年代计算机安全计算机系统不被他人非法授权使用可信计算机评估准则20世纪90年代网络安全如何防止通过网络对联网计算机进行攻击“莫里斯”蠕虫事件21世纪信息保障信息及信息系统的保障1.4.2信息安全的发展历程1.4.3信息安全涉及知识领域信息安全是一门技术性学科不排除建立在深奥的理论基础上数论、量子密码；数据挖掘、聚类分析、序列理论；神经网络、自学习机、智能决策；计算机体系、操作系统内核、网络协议；……更多的是设计方案和具体操作安全加固、管理策略；嵌入式、B/S、C/S；编写程序、分析取证等信息（网络）安全涉及方面应用安全系统安全网络安全管理安全物理安全网络安全面临的威胁类型常见的攻击方式网络安全的防护体系网络安全技术1.5网络安全的防护体系1.5.1网络安全面临的威胁类型病毒蠕虫后门拒绝服务非授权访问暴力猜解物理威胁系统漏洞利用嗅探冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁网络安全威胁病毒、木马程序(冰河,灰鸽子…)端口扫描技术(Nmap,protscanner…)拒绝服务攻击(DoS和DDoS)缓冲区溢出口令破解(lc5,fakegina)社会工程学1.5.2常见的攻击方式黑客攻击网络过程拒绝服务攻击DoS--DenialofService：凡是能导致合法用户不能够访问正常网络服务的行为都是“拒绝服务攻击”。DoS最主要的目的是：造成被攻击服务器资源耗尽或系统崩溃而无法提供服务。服务本身无伤害；可使提供服务的信任度下降，影响公司的声誉以及用户对网络服务的使用。常见的DoS攻击：①带宽攻击：以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉。②连通性攻击：用大量的连接请求冲击计算机，最终导致计算机无法响应和处理合法用户的请求。单一的DoS攻击一般是采用一对一的方式，当攻击的计算机CPU速度低、内存小或网络带宽小等各项性能指标不高时，效果是明显的。DoS攻击的分类以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等）以消耗服务器链路的有效带宽为目的（例如：蠕虫）攻击者目标主机SYNSYN/ACKACK等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK应答.........不应答不应答重新发送SYN攻击的原理（2）死亡之pingSYNFloodLand攻击泪珠（Teardrop）攻击行行色色的DoS攻击1)攻击者攻击诸客户主机以及分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序)。攻击准备：代理程序DDoS(分布式拒绝服务)攻击（1）3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。DDoS(分布式拒绝服务)攻击（2）DDoS和DoS小结DDoS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDoS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；DoS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DoS攻击手段有Teardrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。人员安全安全培训安全意识安全管理物理安全计算环境安全运行人边界安全灾难恢复备份与基础设施网络安全证书系统监控检测安全评估授权系统技术人员安全安全培训安全意识安全管理物理安全计算环境安全运行人边界安全灾难恢复备份与基础设施网络安全证书系统监控检测安全评估授权系统技术安全管理中：人是核心，技术是保证，运行是关键。1.5.3网络安全的防护体系虚拟专用网防火墙访问控制防病毒入侵检测网络安全整体框架(形象图)信息加密安全审计身份认证防火墙技术防病毒技术入侵检测技术漏洞扫描1.5.4网络安全技术信息加密技术密码学的定义12数据加密技术3加密算法二、信息加密技术信息隐藏：看不到，找不到信息加密：看不懂，难理解信息锁定：看到了，带不走信息需要安全保密2.1密码学概述2.1.1密码学的定义2.1.2密码体制的分类2.1.1密码学的定义密码学（Cryptology）——研究如何实现秘密通信的科学。密码编码学（Cryptography）——主要研究对信息进行编码实现信息保密性的科学。密码分析学（Cryptanalytics）——主要研究加密消息的破译或消息的伪造。明文加密密文解密主要术语加密系统:由密码算法、所有可能的明文、密文及密钥组成。密码算法：密码算法也叫密码(cipher),适用于加密和解密的数学函数.(通常情况下,有两个相关的函数：一个用于加密,一个用于解密)。明文(plaintext)：未被加密的消息。密文(ciphertext)：被加密的消息。密钥(key)：密钥就是参与加密及解密算法的关键数据。没有它明文不能变成密文,密文不能解译成明文。加密算法E解密算法D原始明文密文明文P加密密钥KE解密密钥KD它必须满足P=D（KD，E（KE，P））函数！对称密钥体制非对称密钥体制2.1.2密码体制的分类2.2数据加密技术数据加密技术主要分为数据存储加密和数据传输加密。数据存储加密技术文件级加密数据库级加密介质级加密嵌入式加密设备应用加密数据传输加密技术数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。（1）链路加密不但要加密报文，还要加密报头。要传输到下一个节点必须解密再加密，直到到达目的节点。在一个网络节点，链路加密仅在通信链路上提供安全性,消息以明文形式存在。因此所有节点在物理上必须是安全的，否则就会泄漏明文内容。节点1节点2节点n解密加密密文密文明文链路加密存在的问题：①要求链路两端加密设备同步，频繁同步给网络性能及管理带来负作用。②加密小部分数据也需要使得所有传输数据被加密，增加了开销。③保证每一个节点的安全性开销高。④由于加解密钥相同，密钥需秘密保存。密钥分配在链路加密系统中就成了一个问题。（2）节点加密在操作方式上节点加密与链路加密是类似的。但它不允许消息在节点中以明文存在，用另外的密钥在节点的安全模块中对消息进行加密。节点加密要求报头和路由信息以明文形式传输，以便节点能够处理信息。节点1节点2节点n解密加密密文密文安全模块用另外的密钥对消息进行加密形成密文消息报头、路由明文密文（3）端-端加密数据在从源点到终点的传输过程中始终以密文形式存在。消息在被传输时到达终点之前不进行解密。它不允许对消息的目的地址进行加密。不能掩盖被传输消息的源点与终点，因此对于防止攻击者分析通信业务是脆弱的。节点1节点2节点n解密加密密文消息报头、路由密文密文明文密文2.3加密算法2.3.1古典密码2.3.2对称密钥算法2.3.3公开密钥算法2.3.1古典密码古典密码采用手工或机械操作实现加解密，实现起来相对简单。古典密码大体上可分为两类:（1）代替密码技术（2）换位密码技术代替密码：明文中每一个字符被替换成密文中的另外一个字符。四类典型的代替密码：简单代替密码、多名码代替密码、多字母代替密码、多表代替密码换位密码。古典密码：代替密码技术