網(wǎng)絡(luò)對(duì)抗2安全問(wèn)題概述防止線路上傳輸?shù)男畔⒌男姑芊乐惯B網(wǎng)計(jì)算機(jī)中存儲(chǔ)的信息的泄密防止對(duì)網(wǎng)絡(luò)運(yùn)行的破壞

修改參數(shù)；路由器、服務(wù)器“忙死”國(guó)外統(tǒng)計(jì)： 70%的安全問(wèn)題出自內(nèi)部 好奇、惡意安全問(wèn)題2網(wǎng)絡(luò)攻擊與防御-緒論安全威脅消極的侵入威脅：不具破壞性 （被動(dòng)威脅）積極的侵入威脅：具破壞性 （主動(dòng)威脅）2.1常見(jiàn)的安全威脅與攻擊3網(wǎng)絡(luò)攻擊與防御-緒論1、以析出傳輸內(nèi)容為目的的竊聽(tīng)。2、以獲知通信參與雙方（或多方）用戶名為目的的竊聽(tīng)，推斷所傳信息的性質(zhì)和內(nèi)容。3、以獲得訪問(wèn)口令從而進(jìn)一步越權(quán)使用和推斷傳輸數(shù)據(jù)內(nèi)容為目的的竊聽(tīng)。4、分析網(wǎng)絡(luò)業(yè)務(wù)流（有/沒(méi)有，頻率，方向，序列，類型，數(shù)量等分布）的情報(bào)偵察活動(dòng)，分析關(guān)鍵的或重要的信息源位置。消極的侵入威脅：4網(wǎng)絡(luò)攻擊與防御-緒論1、意在攪亂通信過(guò)程的對(duì)傳輸信息進(jìn)行重復(fù)和增加時(shí)延的活動(dòng)。2、以破壞傳輸內(nèi)容為目的的篡改數(shù)據(jù)活動(dòng)。3、以破壞通信能力為目的的蜂涌活動(dòng)，如故意加入大量負(fù)荷，企圖使網(wǎng)絡(luò)擁塞等。如DOS攻擊（拒絕服務(wù)攻擊）4、盜用他人名義和口令越權(quán)訪問(wèn)(修改)重要數(shù)據(jù)的活動(dòng)。5、破壞通信連接，使傳輸中斷的活動(dòng)。

6、偽裝他人提供欺騙數(shù)據(jù)的活動(dòng)。

積極的侵入威脅：5網(wǎng)絡(luò)攻擊與防御-緒論7、破壞網(wǎng)絡(luò)資源的活動(dòng)。如破壞路由選擇過(guò)程，包括篡改路由表和惡意刪除文件等。8、否認(rèn)參與過(guò)通信；9、使拒絕服務(wù)：妨礙或中斷通信；10、內(nèi)部攻擊：系統(tǒng)的合法用戶以非故意或非授權(quán)方式進(jìn)行的動(dòng)作（如計(jì)算機(jī)病毒）；積極的侵入威脅（續(xù)）：6網(wǎng)絡(luò)攻擊與防御-緒論截獲篡改偽造中斷消極攻擊積極攻擊目的站源站源站源站源站目的站目的站目的站被動(dòng)攻擊主動(dòng)攻擊7網(wǎng)絡(luò)攻擊與防御-緒論OSI規(guī)定網(wǎng)絡(luò)安全是通過(guò)14種服務(wù)和8種機(jī)制實(shí)現(xiàn)的。這14種服務(wù)是：1、對(duì)等實(shí)體鑒別服務(wù)用于使用戶確認(rèn)與之建立起會(huì)話的對(duì)等實(shí)體確確實(shí)實(shí)就是想要與之通信的用戶。2、數(shù)據(jù)源鑒別服務(wù)保證所得到的數(shù)據(jù)是從真正的數(shù)據(jù)源來(lái)的，而不是來(lái)自假冒數(shù)據(jù)源。3、訪問(wèn)控制服務(wù)保證未經(jīng)授權(quán)的用戶不能訪問(wèn)特定的資源。補(bǔ)安全服務(wù)8網(wǎng)絡(luò)攻擊與防御-緒論4、連接保密服務(wù)使第N層用戶確信它的數(shù)據(jù)在第N層連接上傳送是安全的。5、無(wú)連接保密服務(wù)保證在服務(wù)數(shù)據(jù)單元(SDU)中的所有用戶數(shù)據(jù)是可信的，也即安全的。6、選擇字段保密服務(wù)保證一大組數(shù)據(jù)中的某個(gè)或某些特定數(shù)據(jù)元素是安全的。7、業(yè)務(wù)流保密服務(wù)可以使敵對(duì)方不可能從分析用戶的業(yè)務(wù)流來(lái)獲取情報(bào)。補(bǔ)安全服務(wù)（續(xù)）9網(wǎng)絡(luò)攻擊與防御-緒論8、可恢復(fù)連接完整性服務(wù)對(duì)連接中的所有用戶數(shù)據(jù)實(shí)行保護(hù)，不會(huì)被修改、刪除和插入，在發(fā)生故障時(shí)還可采取恢復(fù)措施。9、無(wú)恢復(fù)連接完整性服務(wù)，在發(fā)生故障時(shí)不采取恢復(fù)措施。10、選擇字段連接完整性服務(wù)保證服務(wù)數(shù)據(jù)單元中選定的數(shù)據(jù)字段的內(nèi)容不被篡改、刪除、插入或者重復(fù)。11、無(wú)連接完整性服務(wù)提供對(duì)無(wú)連接協(xié)議數(shù)據(jù)單元的完整性保護(hù)。補(bǔ)安全服務(wù)（續(xù)）10網(wǎng)絡(luò)攻擊與防御-緒論12、選擇字段無(wú)連接完整性服務(wù)保證無(wú)連接協(xié)議數(shù)據(jù)單元中選定的數(shù)據(jù)字段不被改變。13、帶源驗(yàn)證的來(lái)源不可否認(rèn)服務(wù)能識(shí)別每一個(gè)發(fā)送源，并使發(fā)送了數(shù)據(jù)的用戶無(wú)法否認(rèn)。14、帶交付驗(yàn)證的交付不可否認(rèn)服務(wù)給發(fā)送用戶保證數(shù)據(jù)正確地交付給目的用戶，并且使得接收了數(shù)據(jù)的用戶無(wú)法否認(rèn)。補(bǔ)安全服務(wù)（續(xù)）11網(wǎng)絡(luò)攻擊與防御-緒論提供上述安全服務(wù)的八種安全機(jī)制：（1）加密機(jī)制用于對(duì)數(shù)據(jù)本身進(jìn)行加密，使其成為密文。（2）偽裝業(yè)務(wù)流是一種擾亂機(jī)制，有意在網(wǎng)絡(luò)中傳輸一些無(wú)意義的數(shù)據(jù)，或者在有用數(shù)據(jù)中加上一些沒(méi)用的比特、字節(jié)或其它數(shù)據(jù)塊等假信息。（3）數(shù)字簽名是在普通數(shù)據(jù)中加上一些密文（類似指紋信息）。接收方的數(shù)字簽名，發(fā)送方的數(shù)字簽名。補(bǔ)安全機(jī)制12網(wǎng)絡(luò)攻擊與防御-緒論（4）數(shù)據(jù)完整性是指數(shù)據(jù)沒(méi)有被非法破壞或篡改過(guò)。類似于數(shù)據(jù)鏈路層的差錯(cuò)控制，一般是通過(guò)校驗(yàn)的辦法來(lái)實(shí)現(xiàn)。（5）身份鑒別機(jī)制①通信對(duì)方鑒別檢驗(yàn)對(duì)方的身份，鑒別其真?zhèn)魏驮L問(wèn)權(quán)限?！鴨畏借b別，只有一方檢驗(yàn)另一方的身份?！ハ噼b別，每一方都要檢驗(yàn)對(duì)方的身份。通信過(guò)程中反復(fù)進(jìn)行，按規(guī)律或隨機(jī)抽檢。補(bǔ)安全機(jī)制（續(xù)）13網(wǎng)絡(luò)攻擊與防御-緒論②數(shù)據(jù)發(fā)方鑒別防衛(wèi)欺騙數(shù)據(jù)，收方鑒別發(fā)方身份。（6）訪問(wèn)控制機(jī)制用來(lái)防止未經(jīng)授權(quán)的用戶訪問(wèn)特定的資源，或者防止未經(jīng)授權(quán)用戶對(duì)特定網(wǎng)絡(luò)資源的使用。（7）路由控制機(jī)制保證數(shù)據(jù)只在認(rèn)為安全可靠的部件上傳輸。（8）第三方公證機(jī)制用于由第三方來(lái)保證信息內(nèi)容的安全性和正確性。補(bǔ)安全機(jī)制（續(xù)）14網(wǎng)絡(luò)攻擊與防御-緒論非法侵入檢測(cè)。安全審計(jì)的目的在于跟蹤和分析違反安全的行為。ISO/IEC10164-9、ISO/IEC10164-7。安全日志用于審計(jì)追查：補(bǔ)安全告警和審計(jì)15網(wǎng)絡(luò)攻擊與防御-緒論安全事件的種類；事件中通信連接的雙方用戶標(biāo)識(shí)符；事件發(fā)生的時(shí)間；與通信過(guò)程有關(guān)的物理資源；通信中的密鑰或口令等(如能獲得)；檢測(cè)到此事件的安全服務(wù)功能。安全日志：

補(bǔ)安全告警和審計(jì)（續(xù)）16網(wǎng)絡(luò)攻擊與防御-緒論所有安全問(wèn)題的根源： 安全漏洞（大） 薄弱環(huán)節(jié)（?。?.2安全問(wèn)題根源17網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)漏洞可能由以下因素引起：網(wǎng)絡(luò)物理連接網(wǎng)絡(luò)電磁耦合網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)網(wǎng)絡(luò)設(shè)備的協(xié)議棧網(wǎng)絡(luò)設(shè)備的應(yīng)用程序網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)網(wǎng)絡(luò)用戶行為安全漏洞18網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)物理連接與外界連通就有合法者進(jìn)來(lái)，要避免非法者進(jìn)來(lái)網(wǎng)絡(luò)電磁耦合沒(méi)有物理連通，但通過(guò)電磁輻射可以接收，通過(guò)電磁干擾和耦合可以注入網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)有合法者使用，要避免非法者偷用網(wǎng)絡(luò)協(xié)議的安全缺陷避免被惡意誤用19網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)設(shè)備的應(yīng)用程序有合法者使用，要避免非法者偷用網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)有合法讀寫，要避免組合分析和非法讀寫網(wǎng)絡(luò)用戶行為好奇的和惡意的20網(wǎng)絡(luò)攻擊與防御-緒論要“上鎖”，提前消除漏洞要“檢查”，及時(shí)發(fā)現(xiàn)漏洞要“監(jiān)視”，及時(shí)發(fā)現(xiàn)入侵者漏洞是不可避免存在的積極防御包括：網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全評(píng)估網(wǎng)絡(luò)安全監(jiān)測(cè)用假目標(biāo)欺騙21網(wǎng)絡(luò)攻擊與防御-緒論內(nèi)聯(lián)：全內(nèi)部域?qū)＞€DDN幀中繼……內(nèi)部域內(nèi)部專用內(nèi)部域相對(duì)比較安全22網(wǎng)絡(luò)攻擊與防御-緒論內(nèi)聯(lián)：通過(guò)外部域內(nèi)部域相對(duì)不安全專線DDN幀中繼……外部租用23網(wǎng)絡(luò)攻擊與防御-緒論外聯(lián)：內(nèi)部網(wǎng)與外部網(wǎng)互連內(nèi)部域外部域外部域相對(duì)更不安全HackCrack黑客24網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)信息安全的要素： 保證信息的保密性（Confidentiality）完整性（Integrity）可用性（Availability）2.3網(wǎng)絡(luò)信息安全的內(nèi)涵25網(wǎng)絡(luò)攻擊與防御-緒論網(wǎng)絡(luò)信息安全的要素（新）： 保證信息的保密性（Confidentiality）私有完整性（Integrity）未變可用性（Availability）隨時(shí)真實(shí)性（Authenticity）可信實(shí)用性（Utility）不失占有性（Possession）版權(quán)26網(wǎng)絡(luò)攻擊與防御-緒論面對(duì)錯(cuò)誤和威脅，繼續(xù)提供服務(wù)的能力：在遭遇攻擊或錯(cuò)誤的情況下，能夠繼續(xù)提供核心服務(wù)，并及時(shí)恢復(fù)全部服務(wù)可存活性survivability可存活系統(tǒng)的主要功能要求：抵抗攻擊識(shí)別攻擊識(shí)別傷害程度恢復(fù)受損服務(wù)自動(dòng)演化（抵御新攻擊）27網(wǎng)絡(luò)攻擊與防御-緒論一、物理隔離，網(wǎng)閘物理隔離與邏輯隔離有很大的不同。物理隔離的哲學(xué)是不安全就不連網(wǎng)，要絕對(duì)保證安全。邏輯隔離的哲學(xué):在保證網(wǎng)絡(luò)正常使用的情況下，盡可能安全。兩者是完全不同的目標(biāo)。物理隔離的思路，源于兩臺(tái)完全不相連的計(jì)算機(jī)，使用者通過(guò)軟盤從一臺(tái)計(jì)算機(jī)向另一臺(tái)計(jì)算機(jī)拷貝數(shù)據(jù)，有時(shí)候大家形象地稱為“數(shù)據(jù)擺渡”。由于兩臺(tái)計(jì)算機(jī)沒(méi)有直接連接，就不會(huì)有基于網(wǎng)絡(luò)的攻擊威脅。補(bǔ)：信息安全的趨勢(shì)28網(wǎng)絡(luò)攻擊與防御-緒論二、邏輯隔離，防火墻在技術(shù)上，實(shí)現(xiàn)邏輯隔離的方式有很多，但主要是防火墻。防火墻在體系結(jié)構(gòu)上有不同的類型:有雙網(wǎng)口、有多網(wǎng)口。不同類型的防火墻在協(xié)議層次和工作機(jī)理上有明顯的不同。防火墻的主要評(píng)價(jià)指標(biāo)：性能、安全性和功能。實(shí)際上，這三者是相互矛盾、相互制約的。功能多、安全性好的技術(shù)，往往性能受影響;功能多也影響到系統(tǒng)的安全性。補(bǔ)：信息安全的趨勢(shì)29網(wǎng)絡(luò)攻擊與防御-緒論三、防御來(lái)自網(wǎng)絡(luò)的攻擊，抗攻擊網(wǎng)關(guān)網(wǎng)絡(luò)攻擊特別是拒絕服務(wù)攻擊（DoS），利用TCP/IP協(xié)議的缺陷，有的DoS攻擊是消耗帶寬，有的是消耗網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存?？构艟W(wǎng)關(guān)能識(shí)別正常服務(wù)的包，區(qū)分攻擊包。目前DDoS的攻擊能力可達(dá)到10萬(wàn)以上的并發(fā)攻擊，因此抗攻擊網(wǎng)關(guān)的防御能力必須達(dá)到10萬(wàn)以上。補(bǔ)：信息安全的趨勢(shì)30網(wǎng)絡(luò)攻擊與防御-緒論四、防止來(lái)自網(wǎng)絡(luò)上的病毒，防病毒網(wǎng)關(guān)傳統(tǒng)的病毒檢測(cè)和殺病毒是在客戶端完成。但是這種方式存在致命的缺點(diǎn)，如果某臺(tái)計(jì)算機(jī)發(fā)現(xiàn)病毒，說(shuō)明病毒已經(jīng)在單位內(nèi)部幾乎所有的計(jì)算機(jī)感染了。如果病毒是新的，舊的殺病毒軟件一般不能檢測(cè)和清除。應(yīng)在單位內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的連接處放置防病毒網(wǎng)關(guān)。如果出現(xiàn)新病毒，只需要更新防病毒網(wǎng)關(guān)，而不用更新每一個(gè)終端軟件。補(bǔ)：信息安全的趨勢(shì)31網(wǎng)絡(luò)攻擊與防御-緒論五、身份認(rèn)證，網(wǎng)絡(luò)的鑒別、授權(quán)和管理（AAA）系統(tǒng)80%的攻擊發(fā)生在內(nèi)部。內(nèi)部網(wǎng)的管理和訪問(wèn)控制，相對(duì)外部的隔離來(lái)講要復(fù)雜得多。外部網(wǎng)的隔離，基本上是禁止和放行，是一種粗顆粒的訪問(wèn)控制。內(nèi)部的網(wǎng)絡(luò)管理，要針對(duì)用戶來(lái)設(shè)置，你是誰(shuí)？怎么確認(rèn)你是誰(shuí)？你屬于什么組？該組的訪問(wèn)權(quán)限是什么？這是一種細(xì)顆粒的訪問(wèn)控制。根據(jù)IDC的報(bào)告，單位內(nèi)部的AAA系統(tǒng)是目前安全市場(chǎng)增長(zhǎng)最快的部分。補(bǔ)：信息安全的趨勢(shì)32網(wǎng)絡(luò)攻擊與防御-緒論六、加密通信和虛擬專用網(wǎng)，VPN單位的員工外出、移動(dòng)辦公、單位和合作伙伴之間、分支機(jī)構(gòu)之間通過(guò)公用的互聯(lián)網(wǎng)通信是必需的。因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場(chǎng)需求。IPSec已經(jīng)成為市場(chǎng)的主流和標(biāo)準(zhǔn)，不是IPSec的VPN在國(guó)際上已經(jīng)基本退出了市場(chǎng)。VPN的另外一個(gè)方向是向輕量級(jí)方向發(fā)展。補(bǔ)：信息安全的趨勢(shì)33網(wǎng)絡(luò)攻擊與防御-緒論七、入侵檢測(cè)和主動(dòng)防衛(wèi)，IDS互聯(lián)網(wǎng)暴露出不可避免的缺點(diǎn):易被攻擊，技術(shù)人員的好奇和技術(shù)恐怖主義使金融機(jī)構(gòu)、企業(yè)、學(xué)校等單位很難避免。針對(duì)黑客的攻擊，從技術(shù)路線上來(lái)講，早期的思路是加強(qiáng)內(nèi)部的網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用安全，安全掃描工具就是這樣一類產(chǎn)品。但是，掃描是一種被動(dòng)檢測(cè)的方式，入侵檢測(cè)和主動(dòng)防衛(wèi)（IDS）則不同，是一種實(shí)時(shí)交互的監(jiān)測(cè)和主動(dòng)防衛(wèi)手段。補(bǔ)：信息安全的趨勢(shì)34網(wǎng)絡(luò)攻擊與防御-緒論八、網(wǎng)管、審計(jì)和取證，集中網(wǎng)管網(wǎng)絡(luò)安全越完善，體系架構(gòu)就越復(fù)雜。管理網(wǎng)絡(luò)的多臺(tái)安全設(shè)備就越復(fù)雜，集中安全網(wǎng)管是目前安