第1 章 网络安全概述.pptx

第一章 网络安全概述 第一章 网络安全概述1.1 网络安全的内涵1.2 网络安全分析1.3 网络安全的现状和发展趋势1.1 网络安全的内涵 n n 1.1.1 1.1.1 网络安全的定义 网络安全的定义n n 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常 偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息 地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。真实性和可控性的相关技术和理论都是网络安全的研究领域。n n 网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方 网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于如何防范外部非法攻击，面相互补充，缺一不可。技术方面主要侧重于如何防范外部非法攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息 管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须 数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。考虑和必须解决的一个重要问题。n n 1.1.2 1.1.2 网络安全的特征 网络安全的特征n n 网络安全一般应包括了以下五个基本特征：网络安全一般应包括了以下五个基本特征：n n 保密性：确保信息不泄露给非授权用户、实体或过程，或供 保密性：确保信息不泄露给非授权用户、实体或过程，或供其利用的特性。其利用的特性。n n 完整性：确保数据未经授权不能进行改变的特性。即信息在 完整性：确保数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。存储或传输过程中保持不被修改、不被破坏和丢失的特性。n n 可用性：确保可被授权实体访问并按需求使用的特性。即当 可用性：确保可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破 需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。坏网络和有关系统的正常运行等都属于对可用性的攻击。n n 可控性：确保对信息的传播及内容具有控制能力。可控性：确保对信息的传播及内容具有控制能力。n n 可审查性：确保出现的安全问题时提供依据与手段。可审查性：确保出现的安全问题时提供依据与手段。1.1 网络安全的内涵 1.2 网络安全分析n n1.2.11.2.1物理安全物理安全n n网络的物理安全是整个网络系统安全的前提，网络的物理安全是整个网络系统安全的前提，也是整个组织安全策略的基本元素。总体来说物理也是整个组织安全策略的基本元素。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获等，因此要尽量避免网络的物电磁干扰；线路截获等，因此要尽量避免网络的物理安全风险，对于足够敏感的数据和一些关键的网理安全风险，对于足够敏感的数据和一些关键的网络基础设施，可以在物理上和多数公司用户分开，络基础设施，可以在物理上和多数公司用户分开，并采用增加的身份验证技术（如智能卡登录、生物并采用增加的身份验证技术（如智能卡登录、生物验证技术等）控制用户对其物理上的访问，从而减验证技术等）控制用户对其物理上的访问，从而减少安全破坏的可能性。少安全破坏的可能性。n n 1.2.2 1.2.2 网络结构安全 网络结构安全n n 网络拓扑结构设计也直接影响到网络系统的安全性。当 网络拓扑结构设计也直接影响到网络系统的安全性。当外部与内部网络进行通信时，内部网络的机器安全就会受到 外部与内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也可能影响在同一网络上的许多其他系统。透过 威胁，同时也可能影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上 网络传播，还会影响到连上Internet/Intranet Internet/Intranet 的其他的网络；的其他的网络；因此，我们在设计时有必要将公开服务器（因此，我们在设计时有必要将公开服务器（WEB WEB、DNS DNS、EMAIL EMAIL 等）和外网及内部其他业务网络进行必要的隔离，避 等）和外网及内部其他业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在 只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。到达主机之前就应该遭到拒绝。1.2 网络安全分析n n 1.2.3 1.2.3 系统安全 系统安全n n 系统的安全是指整个网络操作系统和网络硬件平台是否 系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。不管基于桌面的、网络的操作系统，还是 可靠且值得信任。不管基于桌面的、网络的操作系统，还是基于 基于UNIX UNIX、Windows Windows 以及其他类型操作系统，都不可避免的 以及其他类型操作系统，都不可避免的存在诸多的安全隐患，如非法存取、远程控制、缓冲区溢出 存在诸多的安全隐患，如非法存取、远程控制、缓冲区溢出以及系统后门等。从各个操作系统厂商不断发布的安全公告 以及系统后门等。从各个操作系统厂商不断发布的安全公告以及系统补丁可见一二。可以确切的说：没有完全安全的操 以及系统补丁可见一二。可以确切的说：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可 选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而 靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之 且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者 前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。的操作权限，将其完成的操作限制在最小的范围内。1.2 网络安全分析1.2 网络安全分析n n 1.2.5 1.2.5 管理的安全 管理的安全n n 管理是网络中安全最重要的部分。责权不明，安全管理制度不健全及缺乏可 管理是网络中安全最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其他一些 操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其他一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与 安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多 即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。层次的记录，及时发现非法入侵行为。n n 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是把健全的管理制度和严格管理相结合。保障网络的安全运行，使 最可行的做法是把健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。一旦上述的安 其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安 全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是局域网建设过程中重要的一环。全建设是局域网建设过程中重要的一环。1.2 网络安全分析1.3网络安全的现状和发展趋势n n1.3.11.3.1概况概况n n20082008年，两大公司用不同的标准对新增病毒进行了年，两大公司用不同的标准对新增病毒进行了统计，得出相同的结论：统计，得出相同的结论：20082008年的病毒数量比年的病毒数量比20072007年有很大增长（瑞星统计为增长年有很大增长（瑞星统计为增长1212倍以上，金山统倍以上，金山统计为增长计为增长4848倍）。其中倍）。其中“网页挂马网页挂马”所传播的木马、所传播的木马、后门等病毒占据后门等病毒占据90%90%以上，网页浏览已经成为病毒以上，网页浏览已经成为病毒传播的最主要渠道。从病毒的运作模式看传播的最主要渠道。从病毒的运作模式看20082008年病年病毒多采用下载器关闭安全软件，然后下载大量盗号毒多采用下载器关闭安全软件，然后下载大量盗号木马到用户电脑的方式盗取用户网游账号、网银账木马到用户电脑的方式盗取用户网游账号、网银账号等虚拟财产，再发送到黑客的数据库，具有极其号等虚拟财产，再发送到黑客的数据库，具有极其明显的经济利益特征。明显的经济利益特征。n n 1.3.2 1.3.2 电脑病毒疫情统计 电脑病毒疫情统计1.3网络安全的现状和发展趋势瑞星公司2004-2008 年新增病毒样本数统计 瑞星公司分析2008 年各类病毒比例图 2.金山安全中心2008 年电脑病毒疫情统计金山安全中心分析2008 年各类病毒比例图 1.3.3 计算机病毒、木马的特点分析1.1.病毒制造趋于病毒制造趋于“机械化机械化”2.2.病毒制造具有明显的模块化、专业化特征病毒制造具有明显的模块化、专业化特征3.3.病毒产业互联网化病毒产业互联网化（11）漏洞的挖掘和交易）漏洞的挖掘和交易（22）网页挂马的策略）网页挂马的策略（33）网页挂马常用的漏洞）网页挂马常用的漏洞漏洞名称 漏洞名称 在别利用漏洞中所占比例 在别利用漏洞中所占比例Adobe Flash Player Adobe Flash Player 18%18%RealPlayer 10/11 RealPlayer 10/11 10%10%Microsoft Date Access Components(ms06-Microsoft Date Access Components(ms06-014)014)8%8%Windows ant(ms07-017)Windows ant(ms07-017)8%8%迅雷看看 迅雷看看 ActiveX ActiveX 7%7%暴风影音 暴风影音 ActiveX ActiveX 7%7%PPLIVE ActiveX PPLIVE ActiveX 7%7%PPS ActiveX PPS ActiveX 7%7%Microsoft Office 2003(ms08-011)Microsoft Office 2003(ms08-011)5%5%Microsoft Office(ms08-056)Microsoft Office(ms08-056)5%5%Windows Media Player(ms08-053)Windows Media Player(ms08-053)3%3%Microsoft GDI+(ms08-021)Microsoft GDI+(ms08-021)3%3%超星阅读器 超星阅读器ActiveX ActiveX 3%3%联众世界 联众世界ActiveX ActiveX 3%3%新浪 新浪ActiveX ActiveX 3%3%百度搜霸 百度搜霸ActiveX ActiveX 3%3%说明：以上数据来源于瑞星全球反病毒监测网 说明：以上数据来源于瑞星全球反病毒监测网表1-1 常用软件被利用统计表1.3.4 病毒互联网化的影响1.3.4 1.3.4 病毒互联网化的影响 病毒互联网化的影响1.1.互联网化制造病毒的三大手段 互联网化制造病毒的三大手段病毒产业的互联网化，使得黑客可以利用互联网来加速病毒的制造，提高制造病毒的效率。黑 病毒产业的互联网化，使得黑客可以利用互联网来加速病毒的制造，提高制造病毒的效率。黑客常用的三大手段包括：客常用的三大手段包括：采用效率更高的病毒生产软件，这些软件可以通过加壳、加花等方式，把已有病毒改造成杀 采用效率更高的病毒生产软件，这些软件可以通过加壳、加花等方式，把已有病毒改造成杀毒软件无法识别的版本，从而可以自动生产出大量新木马病毒。这类机器自动制造的病毒，毒软件无法识别的版本，从而可以自动生产出大量新木马病毒。这类机器自动制造的病毒，占据了新增病毒的很大部分。占据了新增病毒的很大部分。租用更好的服务器、更大的带宽，为 租用更好的服务器、更大的带宽，为“木马下载器 木马下载器”下载病毒提供硬件上的便利。由于黑客 下载病毒提供硬件上的便利。由于黑客产业的丰厚利润，黑客团伙有经济条件改善自己的 产业的丰厚利润，黑客团伙有经济条件改善自己的“生产环境 生产环境”，以求更丰厚的利润。，以求更丰厚的利润。利用互联网论坛、博客等，雇佣 利用互联网论坛、博客等，雇佣“软件民工 软件民工”来编写更强的驱动，加入木马中与杀毒软件对 来编写更强的驱动，加入木马中与杀毒软件对抗。现在很多木马病毒都会自带 抗。现在很多木马病毒都会自带Rootkits Rootkits 驱动，这些驱动可以关闭杀毒软件、修改系统设置 驱动，这些驱动可以关闭杀毒软件、修改系统设置和文件，使木马更容易入侵用户电脑。而编写 和文件，使木马更容易入侵用户电脑。而编写Rootkits Rootkits 在很大程度上属于 在很大程度上属于“体力劳动 体力劳动”，普，普通计算机专业大学生经过几个月的编程训练即可胜任此工作。大量软件民工的加入，使得 通计算机专业大学生经过几个月的编程训练即可胜任此工作。大量软件民工的加入，使得黑客产业链条更趋向 黑客产业链条更趋向“正规化、专业化 正规化、专业化”，效率也更高。，效率也更高。n n 2.2.病毒互联网化的影响 病毒互联网化的影响n n 病毒制造的互联网化，使得整个黑客产业制造病毒的效率大大提高，从而给反病 病毒制造的互联网化，使得整个黑客产业制造病毒的效率大大提高，从而给反病毒厂商带来很多问题。如：毒厂商带来很多问题。如：n n 新病毒巨量增加、单个病毒的生存期缩短，现有病毒监测技术无法及时截获新 新病毒巨量增加、单个病毒的生存期缩短，现有病毒监测技术无法及时截获新样本。样本。n n 即使能够截获，则每天高达数十万的新样本数量，也在严重考验着反病毒厂商 即使能够截获，则每天高达数十万的新样本数量，也在严重考验着反病毒厂商对于病毒的分析、处理能力。对于病毒的分析、处理能力。n n 即使能够分析处理，则如何能够让用户在最短时间内获取相应的病毒库，成为 即使能够分析处理，则如何能够让用户在最短时间内获取相应的病毒库，成为一个重要的问题。一个重要的问题。n n 针对以上的问题，杀毒软件的设计思想、设计初衷就面临巨大的改变：应该把 针对以上的问题，杀毒软件的设计思想、设计初衷就面临巨大的改变：应该把病毒阻挡在电脑之外，在盗号木马、病毒刚刚出现在互联网上，还没有来得及对 病毒阻挡在电脑之外，在盗号木马、病毒刚刚出现在互联网上，还没有来得及对客户端（用户电脑）发动攻击时即将其屏蔽。这种技术的实现，需要杀毒软件的 客户端（用户电脑）发动攻击时即将其屏蔽。这种技术的实现，需要杀毒软件的完全互联网化，让互联网本身成为一个巨大的杀毒软件。完全互联网化，让互联网本身成为一个巨大的杀毒软件。3.直接影响用户对整个互联网行业的信心木马点击器侵袭搜索引擎Flash 插件漏洞侵袭视频网站等木马带来假流量，动摇新经济基础盗号木马危及网游、网银等盗号木马侵袭网络下载1.3.5 反病毒技术发展趋势n n“云安全（云安全（Cloud Security Cloud Security）”计划是网络时代信息安全的最 计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断 新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行 等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到 推送到Server Server 端进行自动分析和处理，再把病毒和木马的解 端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。云安全是我国企业创造的概念，决方案分发到每一个客户端。云安全是我国企业创造的概念，在国际云计算领域独树一帜。在国际云计算领域独树一帜。n n“云安全 云安全”技术应用后，识别和查杀病毒不再仅仅依靠本地 技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的 分析以及处理。整个互联网就是一个巨大的“杀毒软件 杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。参与者越多，每个参与者就越安全，整个互联网就会更安全。n n 目前，瑞星、趋势、卡巴斯基、目前，瑞星、趋势、卡巴斯基、MCAFEE MCAFEE、SYMANTEC SYMANTEC、江民科技、江民科技、PANDA PANDA、金山、金山、360 360 安全卫士、卡卡上网安全助 安全卫士、卡卡上网安全助手等众多杀毒厂商都在布局 手等众多杀毒厂商都在布局“云安全 云安全”领域，相继推出了各 领域，相继推出了各自的 自的“云安全 云安全”解决方案。瑞星基于 解决方案。瑞星基于“云安全 云安全”策略开发的 策略开发的2009 2009 新品，每天拦截数百万次木马攻击，其中 新品，每天拦截数百万次木马攻击，其中2009 2009 年 年1 1 月 月8 8 日 日一天就达到了 一天就达到了765 765 万余次。趋势科技 万余次。趋势科技“云安全 云安全”已经在全球 已经在全球建立了 建立了5 5 大数据中心，几万部在线服务器。据悉，大数据中心，几万部在线服务器。据悉，“云安全 云安全”可以支持平均每天 可以支持平均每天55 55 亿条点击查询，每天收集分析 亿条点击查询，每天收集分析2.5 2.5 亿个 亿个样本，资料库第一次命中率就可以达到 样本，资料库第一次命中率就可以达到99%99%。借助。借助“云安全 云安全”，趋势科技现在每天阻断的病毒感染最高达，趋势科技现在每天阻断的病毒感染最高达1000 1000 万次。我 万次。我们有理由相信，们有理由相信，“云安全 云安全”将是大势所趋，而 将是大势所趋，而“云安全 云安全”时 时代的到来，也必将伴随着安全行业的一场巨大变革。代的到来，也必将伴随着安全行业的一场巨大变革。