《信息安全基础知识2》由会员分享,可在线阅读,更多相关《信息安全基础知识2(30页珍藏版)》请在金锄头文库上搜索。
1、1/30信息安全基础知识信息安全基础知识1. 了解信息安全基本概念信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。2. 了解网络安全主要概念及意义网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传
2、输时受到机密性、完整性和真实性的保护。网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。3.了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)产生安全隐患的产生原因:1.网络通信协议的不安全2.计算机病毒的入侵3.黑客的攻击4 操作系统和应用软件的安全漏洞5.防火墙自身带来的安全漏洞分类:分为主动攻击 和被动攻击主动攻击包含攻击者访问他所需信息的故意行为。 比如远程登录到指定机器的端口 25 找出公司运行的邮件服务器的信息;伪造无效 IP 地址去连接服务器,使接受到错误
3、IP 地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是2/30很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击主要是收集信息而不是进行访问, 数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。从攻击的目的来看,可以有拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击;从攻击的切入点来看,有缓冲区溢出攻击、系统设置漏洞的攻击等;从攻击的纵向实施过程来看,又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等;从攻击的类型来看,包括对各种操作系
4、统的攻击、对网络设备的攻击、对特定应用系统的攻击等4.了解安全分类(技术缺陷,配置缺陷,策略缺陷,人为缺陷等)技术缺陷:现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防
5、火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;3/30三
6、、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对 IP 地址和端口号或者协议内容的, 而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。配置缺陷:于交换机和路由器而言,它们的主要作用是进行数据的转发,因此在设备自身的安全性方面考虑的就不是很周全。
7、在默认的情况下,交换机和路由器的许多网络服务端口都是打开的,这就是等于为黑客预留了进入的通道策略缺陷:计算机信息安全问题主要在于信息技术和管理制度两个方面,所以相应的安全防范策略也必须从达两个方面人手,形成技术与管理、操作与监管并行的系统化安全保障体系。人为缺陷:人为攻击是指通过攻击系统的弱点,以便达到破坏、 欺骗、窃取数据等目的,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成经济上和政治上不可估量的损失。人为攻击又分为偶然事故和恶意攻击两种。偶然事故虽然没有明显的恶意企图和目的,但它仍会使信息受到严重破坏。恶意攻击是有目的的破坏。恶意攻击又分为被动攻击和主动攻击两种。被
8、动攻击是指在不干扰网络信息系统正常工作的情况下,进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。主动攻击是指以各种方式有选择地破坏信息,如修 改、删除、伪造、添加、重放、乱序、冒充、制造病毒等4/30。5.了解网络安全的实现目标和主要技术措施在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年 365 天、一天 24 小时地监视网络系统的状态。这些工作仅靠人工完成是不可能的。所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,以保证计算机网络的安全。计算机网络的安全性主要包括网络服务的可用性(Availability)、网络信息的保密性(Confidentiality
9、)和网络信息的完整性(Intergrity)。下面把与之相关的几个重要的网络安全技术做一下介绍。杀毒软件与一般单机的杀毒软件相比,杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在:首先,杀病毒技术的发展日益国际化。世界上每天有 13 种到 50 种新病毒出现,并且 60%的病毒均通过 Internet 传播, 病毒发展有日益跨越疆界的趋势, 杀病毒企业的竞争也随之日益国际化。其次,杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台,并实现软件安装、升级、配置的中央管理及自动化,要达到这样的要求需要大量工程师几年的技术积累。第三,杀毒软件面临着 Internet
10、的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口,也就是说要支持所有企业可能用到的 Internet 协议及邮件系统,能适应并且及时跟上瞬息万变的 Internet 时代步伐。 现今 60%以上的病毒是通过 Internet传播,可以说 Internet 的防毒能力成为杀病毒软件的关键技术,在这方面,国际的杀毒软件如: Norton、McAfee、熊猫卫士走到了前面,它们均可以支持所有的 Internet协议,辨识出其中病毒。当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护, 企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序,对技术、服务和管理的要
11、求比较高。 国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势,但在企业级的某些特殊性能上存在差距。例如管理方面,一个企业要管理 1000 台机器,Norton 的 SRC 有一台管理器就可以处理,它可以自动分发,自动安装到所有机器里,使管理人员节省很多时间,减少重复劳动。另外,企业级需要更安5/30全的保护,现在政府上网、企业上网都会遇到很多国际病毒,国内部分厂商在这些方面尚待改进。防火墙网络安全中系统安全产品使用最广泛的技术就是防火墙技术,即在 Internet 和内部网络之间设一个防火墙。目前在全球连入 Internet 的计算机中约有三分之一是处于防火墙保护之下。对
12、企业网络用户来说,如果决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。防火墙的技术实现通常是基于所谓“包过滤“技术, 而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如 TCP/IP 等)以及服务请求的类型(如ft
13、p、www 等)等。除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用, 现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。当然,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍, 因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅
14、增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(NetScreen)技术公司推出了第三代防火墙,其内置的专用 ASIC 处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。需要说明的是,并不是所有网络用户都需要安装防火墙,一般而言,只有对个体网络安全有特别要求,而又需要和 Internet 联网的企业网、公司网,才建议使用防火墙。6/30另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。加密技术网络安全的另一个非常重要的手段就是加密技术, 它的思想核心就是既然网络本身并不安全可靠,那么所
15、有重要信息就全部通过加密处理。加密的技术主要分两种:单匙技术这种技术无论加密还是解密都是用同一把钥匙(secret key)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等),他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。双匙技术此技术使用两个相关互补的钥匙:一
16、个称为公用钥匙(public key),另一个称为私人钥匙(secret key)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人-即使是发信者-能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。 现有软件如 Internet 免费提供的 PGP (Pretty GoodPrivacy)可直接实现这些功能。加密技术主要有两个用途,一是加密信息,正如上面介绍的;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先7/30用自己的私人钥匙署
