信息安全技術(shù)與實施培訓(xùn)教材

單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,序言,隨著科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國國民經(jīng)濟和社會信息化進程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強，信息安全已經(jīng)成為國家安全的重要組成部分。近年來，在黨中央、國務(wù)院的領(lǐng)導(dǎo)下，我國信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護國家安全與社會穩(wěn)定、保障和促進信息化健康發(fā)展發(fā)揮了重要作用。但是，我國信息安全保障工作仍存在一些亟待解決的問題：網(wǎng)絡(luò)與信息系統(tǒng)的防護水平不高，應(yīng)急處理能力不強；信息安全管理和技術(shù)人才缺乏，關(guān)鍵技術(shù)整體上還比較落后，產(chǎn)業(yè)缺乏核心競爭力；信息安全法律法規(guī)和標準不完善；全社會的信息安全意識不強，信息安全管理薄弱等。與此同時，網(wǎng)上有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)絡(luò)犯罪呈快速上升趨勢，境內(nèi)外敵對勢力針對廣播電視衛(wèi)星、有線電視和地面網(wǎng)絡(luò)的攻擊破壞活動和利用信息網(wǎng)絡(luò)進行的反動宣傳活動日益猖獗，嚴重危害公眾利益和國家安全，影響了我國信息化建設(shè)的健康發(fā)展。隨著我國信息化進程的逐步推進，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息安全還將面臨更多新的挑戰(zhàn)。,信息安全技術(shù)與實施,目 錄,物理實體安全與防護,2,密碼技術(shù)與應(yīng)用,4,信息安全概述,3,1,網(wǎng)絡(luò)攻擊與防范,3,3,數(shù)字身份認證,3,5,目 錄,入侵檢測技術(shù)與應(yīng)用,7,操作系統(tǒng)安全防范,9,防火墻技術(shù)與應(yīng)用,3,6,計算機病毒與防范,3,8,無線網(wǎng)絡(luò)安全與防范,3,10,第,1,章,信息安全概述,本章內(nèi)容,信息安全,介紹,1.1,黑客的概念及黑客文化,1.2,針對信息安全的攻擊,1.3,網(wǎng)絡(luò)安全體系,1.4,信息安全的三個層次,1.5,引導(dǎo)案例：,2009,年,1,月，法國海軍內(nèi)部計算機系統(tǒng)的一臺計算機受病毒入侵，迅速擴散到整個網(wǎng)絡(luò)，一度不能啟動，海軍全部戰(zhàn)斗機也因無法“下載飛行指令”而停飛兩天。僅僅是法國海軍內(nèi)部計算機系統(tǒng)的時鐘停擺，法國的國家安全就出現(xiàn)了一個偌大的黑洞。設(shè)想，若一個國家某一系統(tǒng)或領(lǐng)域的計算機網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不勝枚舉。目前，美國政府掌握著信息領(lǐng)域的核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)交換機的核心技術(shù)基本掌握在美國企業(yè)的手中。微軟操作系統(tǒng)、思科交換機的交換軟件甚至打印機軟件中嵌入美國中央情報局的后門軟件已經(jīng)不是秘密，美國在信息技術(shù)研發(fā)和信息產(chǎn)品的制造過程中就事先做好了日后對全球進行信息制裁的準備。,1.1,信息安全介紹,隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來越多的人親身體會到了信息化給人們帶來的實實在在的便利與實惠，然后任何事情都有兩面性，信息化在給經(jīng)濟帶來實惠的同時，也產(chǎn)生了新的威脅。目前“信息戰(zhàn)”已經(jīng)是現(xiàn)代戰(zhàn)爭克敵制勝的法寶，例如科索沃戰(zhàn)爭、海灣戰(zhàn)爭。尤其是美國“,9.11,事件”給世界各國的信息安全問題再次敲響了警鐘，因為恐怖組織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還有眾多公司的數(shù)據(jù)。,自,2003,年元旦以來，蠕蟲病毒“沖擊波”對全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程度的攻擊，制造了一場規(guī)?？涨暗幕ヂ?lián)網(wǎng)“網(wǎng)癱”災(zāi)難事件。迄今為止，許多組織、單位、實體仍然沒有完全走出“沖擊波”和“震蕩波”的陰影，而,2007,年的“熊貓燒香”又給互聯(lián)網(wǎng)用戶留下了深刻印象。計算機攻擊事件正以每年,64%,的速度增加。另據(jù)統(tǒng)計，全球約,20,秒鐘就有一次計算機入侵事件發(fā)生，,Internet,上的網(wǎng)絡(luò)防火墻約,1/4,被突破，約有,70%,以上的網(wǎng)絡(luò)信息主管人員報告因機密信息泄露而受到了損失。,信息安全涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息安全主要表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來（不加嚴格區(qū)分）。實際上，叫信息安全比較全面、科學(xué)。,信息安全問題已引起了各國政府的高度重視，建立了專門的機構(gòu)，并出臺了相關(guān)標準與法規(guī)。,1.1.1,信息安全的概念,信息安全的概念是隨著計算機化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來的。當前對信息安全的說法比較多，計算機安全、計算機信息系統(tǒng)安全、網(wǎng)絡(luò)安全、信息安全的叫法同時并存（事實上有區(qū)別，各自的側(cè)重點不同）。,ISO,對計算機系統(tǒng)安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。,計算機網(wǎng)絡(luò)安全的概念：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。,建立網(wǎng)絡(luò)安全保護措施的目的：,確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。,針對信息安全，目前沒有公認的定義。美國國家安全電信和信息系統(tǒng)安全委員會（,NSTISSC,）對信息安全做如下定義：信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護。,信息安全涉及個人權(quán)益、企業(yè)生存、金融風險防范、社會穩(wěn)定和國家安全，它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全、國家信息安全的總和。,1.1.2,信息安全的內(nèi)容,網(wǎng)絡(luò)信息,安全的內(nèi)容,物,理,安,全,1,防靜電,防盜,防雷擊,防火,防電磁泄漏,2,用戶身份認證,訪問控制,加密,安全管理,邏,輯,安,全,操,作,系,統(tǒng),安,全,3,聯(lián),網(wǎng),安,全,4,訪問控制服務(wù),通信安全服務(wù),1.,物理安全,物理安全是指用來保護計算機網(wǎng)絡(luò)中的傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機房設(shè)施安全的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。,物理上的安全威脅主要涉及對計算機或人員的訪問。策略和多，如將計算機系統(tǒng)和關(guān)鍵設(shè)備布置在一個安全的環(huán)境中，銷毀不再使用的敏感文檔，保持密碼和身份認證部件的安全性，鎖住便攜式設(shè)備等。物理安全更多的是依賴于行政的干預(yù)手段并結(jié)合相關(guān)技術(shù)。如果沒有基礎(chǔ)的物理保護，物理安全是不可能實現(xiàn)的。,2.,網(wǎng)絡(luò)安全,計算機網(wǎng)絡(luò)的邏輯安全主要通過用戶身份認證、訪問控制、加密、安全管理等方法來實現(xiàn)。,（,1,）用戶身份認證。身份證明是所有安全系統(tǒng)不可或缺的一個組件。它是區(qū)別授權(quán)用戶和入侵者的唯一方法。為了實現(xiàn)對信息資源的保護，并知道何人試圖獲取網(wǎng)絡(luò)資源的訪問權(quán)，任何網(wǎng)絡(luò)資源擁有者都必須對用戶進行身份認證。,（,2,）訪問控制。訪問控制是制約擁護連接特定網(wǎng)絡(luò)、計算機與應(yīng)用程序，獲取特定類型數(shù)據(jù)流量的能力。訪問控制系統(tǒng)一般針對網(wǎng)絡(luò)資源進行安全控制區(qū)域劃分，實施區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一個許可或拒絕訪問的集中控制點。,（,3,）加密。,即,即使訪問,控,控制和身,份,份驗證系,統(tǒng),統(tǒng)完全有,效,效，在數(shù),據(jù),據(jù)信息通,過,過網(wǎng)絡(luò)傳,送,送時，企,業(yè),業(yè)仍然可,能,能面臨被,竊,竊聽的風,險,險。事實,上,上，低成,本,本和連接,的,的簡單性,已,已使,Internet,成為企業(yè),內(nèi),內(nèi)和企業(yè),間,間通信的,一,一個極為,誘,誘人的媒,介,介。同時,，,，無線網(wǎng),絡(luò),絡(luò)的廣泛,使,使用也在,進,進一步加,大,大網(wǎng)絡(luò)數(shù),據(jù),據(jù)被竊聽,的,的風險。,加,加密技術(shù),用,用于針對,竊,竊聽提供,保,保護，它,通,通過信息,只,只能被具,有,有解密數(shù),據(jù),據(jù)所需密,鑰,鑰的人員,讀,讀取來提,供,供信息的,安,安全保護,。,。它與第,三,三方是否,通,通過,Internet,截取數(shù)據(jù),包,包無關(guān)，,因,因為數(shù)據(jù),即,即使在網(wǎng),絡(luò),絡(luò)上被第,三,三方截取,，,，它也無,法,法獲取信,息,息的本義,。,。這種方,法,法可在整,個,個企業(yè)網(wǎng),絡(luò),絡(luò)中使用,，,，包括在,企,企業(yè)內(nèi)部,（,（內(nèi)部網(wǎng),）,）、企業(yè),之,之間（外,部,部網(wǎng)）或,通,通過公共,Internet,在虛擬專,用,用網(wǎng)（,VPN,）中傳送,私,私人數(shù)據(jù),。,。加密技,術(shù),術(shù)主要包,括,括對稱式,和,和非對稱,式,式兩種，,都,都有許多,不,不同的密,鑰,鑰算法來,實,實現(xiàn)。,（,4,）安全管,理,理。安全,系,系統(tǒng)應(yīng)當,允,允許由授,權(quán),權(quán)人進行,監(jiān),監(jiān)視和控,制,制。使用,驗,驗證的任,何,何系統(tǒng)都,需,需要某種,集,集中授權(quán),來,來驗證這,些,些身份，,而,而無論它,是,是,UNIX,主機、,WindowsNT,域控制器,還,還是,Novell DirectorySerrvices,（,NDS,）服務(wù)器,上,上的,/etc/passwd,文件。由,于,于能查看,歷,歷史記錄,，,，如突破,防,防火墻的,多,多次失敗,嘗,嘗試，安,全,全系統(tǒng)可,以,以為那些,負,負責保護,信,信息資源,的,的人員提,供,供寶貴的,信,信息。一,些,些更新的,安,安全規(guī)范,，,，如,IPSEC,，需要包,含,含策略規(guī),則,則數(shù)據(jù)庫,。,。要使系,統(tǒng),統(tǒng)正確運,行,行，就必,須,須管理所,有,有這些要,素,素。但是,，,，管理控,制,制臺本身,也,也是安全,系,系統(tǒng)的另,一,一個潛在,故,故障點。,因,因此，必,須,須確保這,些,些系統(tǒng)在,物,物理上得,到,到安全保,護,護，請確,保,保對管理,控,控制臺的,任,任何登錄,進,進行驗證,。,。,3.,操作系統(tǒng),安,安全。,計算機操,作,作系統(tǒng)擔,負,負著龐大,的,的資源管,理,理，頻繁,的,的輸入輸,出,出控制以,及,及不可間,斷,斷的用戶,與,與操作系,統(tǒng),統(tǒng)之間的,通,通信任務(wù),。,。由于操,作,作系統(tǒng)具,有,有一權(quán)獨,大,大的特點,，,，所有針,對,對計算機,和,和網(wǎng)絡(luò)的,入,入侵及非,法,法訪問都,是,是以攫取,操,操作系統(tǒng),的,的最高權(quán),限,限作為入,侵,侵的目的,。,。因此，,操,操作系統(tǒng),安,安全的內(nèi),容,容就是采,用,用各種技,術(shù),術(shù)手段和,采,采用合理,的,的安全策,略,略，降低,系,系統(tǒng)的脆,弱,弱性。與,過,過去相比,，,，如今的,操,操作系統(tǒng),性,性能更先,進,進、功能,更,更豐富，,因,因而對使,用,用者來說,更,更便利，,但,但是也增,加,加了安全,漏,漏洞。要,減,減少操作,系,系統(tǒng)的安,全,全漏洞，,需,需要對操,作,作系統(tǒng)予,以,以合理配,置,置、管理,和,和監(jiān)控。,做,做到這點,的,的秘訣在,于,于集中、,自,自動管理,機,機構(gòu)（企,業(yè),業(yè)）內(nèi)部,的,的操作系,統(tǒng),統(tǒng)安全，,而,而不是分,散,散、人工,管,管理每臺,計,計算機。,實,實際上，,如,如果不集,中,中管理操,作,作系統(tǒng)安,全,全，相應(yīng),的,的成本和,風,風險就會,非,非常高。,目,目前所知,道,道的安全,入,入侵事件,，,，一半以,上,上緣于操,作,作系統(tǒng)根,本,本沒有合,理,理配置，,或,或者沒有,經(jīng),經(jīng)常核查,及,及監(jiān)控。,操,操作系統(tǒng),都,都是以默,認,認安全設(shè),置,置類配置,的,的，因而,極,極容易受,到,到攻擊。,那些人工,更,更改了服,務(wù),務(wù)器安全,配,配置的用,戶,戶，把技,術(shù),術(shù)支持部,門,門的資源,都,都過多地,消,消耗于幫,助,助用戶處,理,理口令查,詢,詢上，而,不,不是處理,更,更重要的,網(wǎng),網(wǎng)絡(luò)問題,。,。考慮到,這,這些弊端,，,，許多管,理,理員任由,服,服務(wù)器操,作,作系統(tǒng)以,默,默認狀態(tài),運,運行。這,樣,樣一來，,服,服務(wù)器可,以,以馬上投,入,入運行，,但,但卻大大,增,增大了安,全,全風險。,現(xiàn)有技術(shù),可,可以減輕,管,管理負擔,。,。要加強,機,機構(gòu)（企,業(yè),業(yè)）網(wǎng)絡(luò),內(nèi),內(nèi)操作系,統(tǒng),統(tǒng)的安全,，,，需要做,到,到以下三,方,方面：,首先對網(wǎng),絡(luò),絡(luò)上的服,務(wù),務(wù)器進行,配,配置應(yīng)該,在,在一個地,方,方進行，,大,大多數(shù)用,戶,戶大概需,要,要數(shù)十種,不,不同的配,置,置。然后,，,，這些配,置,置文件的,一,一個鏡像,或,或一組鏡,像,像在軟件,的,的幫助下,可,可以通過,網(wǎng),網(wǎng)絡(luò)下載,。,。軟件能,夠,夠自動管,理,理下載過,程,程，不需,要,要為每臺,服,服務(wù)器手,工,工下載。,此,此外，即,使,使有些重,要,要的配置,文,文件，也,不,不應(yīng)該讓,本,本地管理,員,員對每臺,服,服務(wù)器分,別,別配置，,最,最好