《安全及其技术进展网络与信息安全及其前沿技术课件》由会员分享,可在线阅读,更多相关《安全及其技术进展网络与信息安全及其前沿技术课件(46页珍藏版)》请在金锄头文库上搜索。
1、网络与信息安全技术及其进展第1页,共46页。22022年8月7日内容提要信息安全理论信息安全的界定网络与信息安全涵盖范围网络与信息安全框架网络安全新技术带来的困惑 攻击技术挑战网络安全网络自身安全缺陷未来网络面临的威胁网络安全前沿技术 安全技术及其进展网络环境下的密码学研究 网络环境下的信息对抗 网络环境下的安全体系结构 信息伪装与其它新理论和新方法 进一步的讨论第2页,共46页。信息安全理论Part 第3页,共46页。42022年8月7日什么是信息安全 国内方面沈昌祥院士把信息安全分为实体安全运行安全数据安全管理安全教科书中定义的计算机安全包括实体安全软件安全运行安全数据安全等级保护条例计算
2、机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全维护。安全保护的直接对象是计算机信息系统,实现安全保护的关键因素是人第4页,共46页。52022年8月7日什么是信息安全 国外方面信息安全管理体系要求标准(BS7799)信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报。涉及的是机密性、完整性、可用性。教科书信息安全就是对信息的机密性、完整性、可用性的保护。美国信息安全重点实验室信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。第5页,共46页。62022年8月7日信息安全发展
3、脉络 通信保密阶段(4070s,COMSEC)以密码学研究为主,重在数据安全层面的研究 计算机系统安全阶段(7080s,INFOSEC)开始针对信息系统的安全进行研究,重在物理安全层与运行安全层,兼顾数据安全层 网络信息系统安全阶段(90s,NETSEC)开始针对信息安全体系进行研究,重在运行安全与数据安全层,兼顾内容安全层第6页,共46页。72022年8月7日信息安全两种主要观点信息安全分层结构面向应用信息安全框架内容安全内容安全数据安全数据安全实体安全实体安全运行安全运行安全完整性可用性机密性信息安全金三角结构 面向属性信息安全框架第7页,共46页。82022年8月7日网络与信息安全涵盖范
4、围物理安全保证系统至少能保证系统至少能 提供基本的服务提供基本的服务运行安全运行安全保保证证系系统统的的机机密密性性,使使得得系系统统任任何时候不被非何时候不被非 授权人所恶意利用。授权人所恶意利用。保保障障网网络络的的正正常常运运行行,确确保保系系统统时时刻刻能能为为授授权权人提供基本服务。人提供基本服务。数据安全数据安全保证数据的发送保证数据的发送源头不被伪造源头不被伪造保证数据在传输、存储保证数据在传输、存储 过程中不被获取并解析过程中不被获取并解析保证数据在传输、保证数据在传输、存储等过程中不存储等过程中不被非法修改被非法修改保证系统的可用性,使得发布 者无法否认所发布的信息内容保证系
5、统不以电磁等保证系统不以电磁等 方式向外泄漏信息。方式向外泄漏信息。第8页,共46页。92022年8月7日内容安全内容安全数据安全数据安全运行安全运行安全物理安全网络与信息安全涵盖范围路由欺骗 域名欺骗 对传递信息进行对传递信息进行 捕获并解析捕获并解析删除局部内容删除局部内容 或附加特定内容或附加特定内容阻断信息传输系统,使得被 传播的内容不能送达目的地第9页,共46页。102022年8月7日网络与信息安全涵盖范围 这些层面具有相同的 性质,都可以归并为真实 性。其中,完整性是真实 性的子集,是表示内容因 未被修改而是真实的第10页,共46页。112022年8月7日网络与信息安全涵盖范围保证
6、信息是真实可信的保证信息是真实可信的 其发布者不被冒充,来其发布者不被冒充,来源不被伪造,内容不被源不被伪造,内容不被篡改。主要防范技术是篡改。主要防范技术是校验与认证技术校验与认证技术第11页,共46页。122022年8月7日网络与信息安全涵盖范围这些层面都反映出机密性特性这些层面都反映出机密性特性其中可控性是机密性的子集,其中可控性是机密性的子集,是表示为保护机密性而进行是表示为保护机密性而进行访问控制访问控制第12页,共46页。132022年8月7日网络与信息安全涵盖范围保证信息与信息系统不被 非授权者所获取和使用。主要防范技术是密码技术第13页,共46页。142022年8月7日网络与信
7、息安全涵盖范围这些层面都反映出可用性属性。其中这些层面都反映出可用性属性。其中 抗否认性可看作是可用性的子集,是抗否认性可看作是可用性的子集,是 为了保证系统确实能够遵守游戏规则为了保证系统确实能够遵守游戏规则 不被恶意使用所反映的可用性的属性不被恶意使用所反映的可用性的属性第14页,共46页。152022年8月7日网络与信息安全涵盖范围保证信息与信息系统可被授权人保证信息与信息系统可被授权人 员正常使用。员正常使用。主要防护措施是确保信息与信息主要防护措施是确保信息与信息 系统处于一个可信的环境之下系统处于一个可信的环境之下第15页,共46页。162022年8月7日网络与信息安全涵盖范围信息
8、安全金三角 机密性 真实性 可用性 (完整性)第16页,共46页。172022年8月7日网络与信息安全框架属性属性层次层次 机密性真实性可用性物理安全防泄漏抗恶劣环境数据安全抗非授权访问正常提供服务运行安全防解析发布/路由 内容真实抗否认内容安全信息解析路由/内容欺骗信息阻断第17页,共46页。182022年8月7日信息安全的界定结论是指在信息系统的物理层、运行层,以及对信息自身的保护(数据层)及攻击(内容层)的层面上,所反映出的对信息自身与信息系统在可用性、机密性与真实性方面的保护与攻击的技术随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性,
9、进而又发展为 攻(击)、防(范)、(检)测、控(制)、管(理)、评(估)等多方面的基础理论和实施技术现代信息系统中的信息安全,核心问题是密码理论及其应用,其基础是可信信息系统的构作与评估第18页,共46页。网 络 安 全Part 从务虚的角度看第19页,共46页。202022年8月7日未来网络演变的假定从总体角度来看,近期安全技术不会有根本性改变 TCP/IP协议不会发生根本变化 遍布世界的巨型资产不会轻易退出历史舞台 带宽的提高仅是量的变化,并不会带来技术层面上质的变化无线网的出现则表明接入方式的变化,等效于以太网时期的广播效应,也不会带来安全方面的本质问题防范对象仍为资源的恶意消耗与业务的
10、盗用第20页,共46页。212022年8月7日新技术带来的困惑 在新技术出现后,期待着新的安全技术的突破IPv6为网络安全的保护带来了灾难性的影响 IPv6的倡导者将着重点放在了保护数据安全之上,将网络安全问题交付给终端用户 IPv6无法解决一些目前存在的网络安全问题 无法完全解决目前广泛存在的DoS攻击,更无法有效的防止DoS攻击无法有效防止针对协议本身的攻击,如SYN flood攻击无法解决口令攻击,也无法防止利用缓冲区溢出进行的攻击。第21页,共46页。222022年8月7日新技术带来的困惑cont.第22页,共46页。232022年8月7日实际网络安全状况美国历年被攻击的情况美国历年被
11、攻击的情况引自引自ComputerEmergenceResponseTeam,CERT第23页,共46页。242022年8月7日19951995 20022002世界出现漏洞情况 第24页,共46页。252022年8月7日20032003上半年漏漏洞洞趋势 Symantec公司发现了1432个新漏洞,比去年同期增加了12%,其中:n 中、高级威胁度的漏洞是最常见的,且更易于被利用发动攻击n攻击者着重针对较新的漏洞发起攻击n整型错误漏洞(由于无法正确处理数据类型为整型的变量而导致的一种程序缺陷)和定时分析和旁道漏洞数目突然增加n微软Internet Explorer、IIS 发现了几个新漏洞第2
12、5页,共46页。262022年8月7日20032003 上半年互联网安全威胁 整体攻击趋势全球80%的攻击事件是来自排前10位的攻击来源地平均每个企业每周大概遭到38次恶意攻击 对非公共服务的威胁增加 利用家庭和企业内部网络的常用网络服务,使得潜在受害者的数量大大增加 恶意代码趋势(补丁程序)将病毒、蠕虫、特洛伊木马和恶意代码的特征与服务器和互联网漏洞结合起来,以便发起、传播和扩散攻击的混合威胁数量上升了20 Windows 32恶意代码的复杂程度增加;Linux系统可能成为未来攻击的目标(zoo的几种复杂变种值得关注)窃取机密数据的行为有所增加 新的感染媒介中出现了即时消息和P2P 病毒Wi
13、n32.Blaster等蠕虫正在世界各地迅速蔓延 第26页,共46页。272022年8月7日攻击技巧对入侵技术知识第27页,共46页。282022年8月7日攻击技术挑战网络安全黑客工具的自动化程度及速度在不断提高攻击工具的攻击能力与复杂程度在不断提高 安全漏洞的暴露速度在不断加快 防火墙被渗透的机会不断增加 不对称的威胁程度在不断增加 针对基础设施的攻击带来的威胁不断增加拒绝服务攻击蠕虫 域名攻击 路由攻击 第28页,共46页。292022年8月7日网络自身安全缺陷协议本身会泄漏口令 连接可成为被盗用的目标 服务器本身需要读写特权 基于地址 密码保密措施不强 某些协议经常运行一些无关的程序 业
14、务内部可能隐藏着一些错误的信息 有些业务本身尚未完善,难于区分出错原因 有些业务设置复杂,很难完善地设立 使用CGI(Common Gateway Interface)的业务第29页,共46页。302022年8月7日未来网络面临的威胁超级蠕虫病毒的大规模扩散理论上在数分钟之内可感染近千万台机器。多态性、混合型、独立性、学习能力、针对P2P 应用系统面临威胁电力、工厂、交通、医院 利用程序自动更新存在的缺陷 网络程序(如杀毒软件)的共性,带来极度危险 针对路由或DNS的攻击 同时发生计算机网络攻击和恐怖袭击第30页,共46页。312022年8月7日网络安全防护模型PPDRRPPDRR网络网络 安
15、全安全第31页,共46页。322022年8月7日安全策略前沿技术 风险分析与安全评估 如何评估系统处于用户自主、系统审计、安全标记、结构化、访问验证等五个保护级的哪一级?漏洞扫描技术 基于关联的弱点分析技术 基于用户权限提升的风险等级量化技术 网络拓扑结构的发现,尤其是Peer to Peer 网络拓扑结构的发现拓扑结构综合探测技术(发现黑洞的存在)基于P2P的拓扑结构发现技术(解决局域网一类的问题)第32页,共46页。332022年8月7日系统防护前沿技术病毒防护,侧重于网络制导、移动终端防护病毒将始终伴随着信息系统而存在。随着移动终端的能力增强,病毒必将伴随而生 隔离技术 基于协议的安全岛
16、技术协议的变换与解析 单向路径技术确保没有直通路径 拒绝服务攻击的防护 DoS是个致命的问题,需要有解决办法访问控制技术 家庭网络终端(电器)、移动终端的绝对安全 多态访问控制技术第33页,共46页。342022年8月7日入侵检测前沿技术基于IPv6的入侵检测系统侧重于行为检测 向操作系统、应用系统中进行封装分布式入侵检测 入侵检测信息交换协议 IDS的自适应信息交换与防攻击技术 特洛伊木马检测技术 守护进程存在状态的审计 守护进程激活条件的审计 预警技术基于数据流的大规模异常入侵检测第34页,共46页。352022年8月7日应急响应前沿技术快速判定、事件隔离、证据保全 紧急传感器的布放,传感器高存活,网络定位 企业网内部的应急处理 企业网比外部网更脆弱,强化内部审计蜜罐技术(honeypot)蜜罐是指目的在于吸引攻击者、然后记录下一举一动的计算机系统,优点是大大减少了要分析的数据漏洞再现及状态模拟应答技术 沙盒技术,诱捕攻击行为 僚机技术 动态身份替换,攻击的截击技术 被攻系统躲避技术,异常负载的转配第35页,共46页。362022年8月7日灾难恢复前沿技术基于structure-f
