《信息安全技術(shù)與實(shí)施培訓(xùn)教材》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息安全技術(shù)與實(shí)施培訓(xùn)教材（34頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,序言,隨著科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息安全已經(jīng)成為國(guó)家安全的重要組成部分。近年來(lái)，在黨中央、國(guó)務(wù)院的領(lǐng)導(dǎo)下，我國(guó)信息安全保障工作取得了明顯成效，建設(shè)了一批信息安全基礎(chǔ)設(shè)施，加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理，為維護(hù)國(guó)家安全與社會(huì)穩(wěn)定、保障和促進(jìn)信息化健康發(fā)展發(fā)揮了重要作用。但是，我國(guó)信息安全保障工作仍存在一些亟待解決的問(wèn)題：網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平不高，應(yīng)急處理能力不強(qiáng)；信息安全管理和技術(shù)人才缺乏，關(guān)鍵技術(shù)整

2、體上還比較落后，產(chǎn)業(yè)缺乏核心競(jìng)爭(zhēng)力；信息安全法律法規(guī)和標(biāo)準(zhǔn)不完善；全社會(huì)的信息安全意識(shí)不強(qiáng)，信息安全管理薄弱等。與此同時(shí)，網(wǎng)上有害信息傳播、病毒入侵和網(wǎng)絡(luò)攻擊日趨嚴(yán)重，網(wǎng)絡(luò)泄密事件屢有發(fā)生，網(wǎng)絡(luò)犯罪呈快速上升趨勢(shì)，境內(nèi)外敵對(duì)勢(shì)力針對(duì)廣播電視衛(wèi)星、有線電視和地面網(wǎng)絡(luò)的攻擊破壞活動(dòng)和利用信息網(wǎng)絡(luò)進(jìn)行的反動(dòng)宣傳活動(dòng)日益猖獗，嚴(yán)重危害公眾利益和國(guó)家安全，影響了我國(guó)信息化建設(shè)的健康發(fā)展。隨著我國(guó)信息化進(jìn)程的逐步推進(jìn)，特別是互聯(lián)網(wǎng)的廣泛應(yīng)用，信息安全還將面臨更多新的挑戰(zhàn)。,信息安全技術(shù)與實(shí)施,目 錄,物理實(shí)體安全與防護(hù),2,密碼技術(shù)與應(yīng)用,4,信息安全概述,3,1,網(wǎng)絡(luò)攻擊與防范,3,3,數(shù)字身份認(rèn)證,3

3、,5,目 錄,入侵檢測(cè)技術(shù)與應(yīng)用,7,操作系統(tǒng)安全防范,9,防火墻技術(shù)與應(yīng)用,3,6,計(jì)算機(jī)病毒與防范,3,8,無(wú)線網(wǎng)絡(luò)安全與防范,3,10,第,1,章,信息安全概述,本章內(nèi)容,信息安全,介紹,1.1,黑客的概念及黑客文化,1.2,針對(duì)信息安全的攻擊,1.3,網(wǎng)絡(luò)安全體系,1.4,信息安全的三個(gè)層次,1.5,引導(dǎo)案例：,2009,年,1,月，法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的一臺(tái)計(jì)算機(jī)受病毒入侵，迅速擴(kuò)散到整個(gè)網(wǎng)絡(luò)，一度不能啟動(dòng)，海軍全部戰(zhàn)斗機(jī)也因無(wú)法“下載飛行指令”而停飛兩天。僅僅是法國(guó)海軍內(nèi)部計(jì)算機(jī)系統(tǒng)的時(shí)鐘停擺，法國(guó)的國(guó)家安全就出現(xiàn)了一個(gè)偌大的黑洞。設(shè)想，若一個(gè)國(guó)家某一系統(tǒng)或領(lǐng)域的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出

4、現(xiàn)問(wèn)題或癱瘓，這種損失和危害將是不可想象的，而類似的事件不勝枚舉。目前，美國(guó)政府掌握著信息領(lǐng)域的核心技術(shù)，操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換機(jī)的核心技術(shù)基本掌握在美國(guó)企業(yè)的手中。微軟操作系統(tǒng)、思科交換機(jī)的交換軟件甚至打印機(jī)軟件中嵌入美國(guó)中央情報(bào)局的后門軟件已經(jīng)不是秘密，美國(guó)在信息技術(shù)研發(fā)和信息產(chǎn)品的制造過(guò)程中就事先做好了日后對(duì)全球進(jìn)行信息制裁的準(zhǔn)備。,1.1,信息安全介紹,隨著全球互聯(lián)網(wǎng)的迅猛發(fā)展，越來(lái)越多的人親身體會(huì)到了信息化給人們帶來(lái)的實(shí)實(shí)在在的便利與實(shí)惠，然后任何事情都有兩面性，信息化在給經(jīng)濟(jì)帶來(lái)實(shí)惠的同時(shí)，也產(chǎn)生了新的威脅。目前“信息戰(zhàn)”已經(jīng)是現(xiàn)代戰(zhàn)爭(zhēng)克敵制勝的法寶，例如科索沃戰(zhàn)爭(zhēng)、海灣戰(zhàn)爭(zhēng)。

5、尤其是美國(guó)“,9.11,事件”給世界各國(guó)的信息安全問(wèn)題再次敲響了警鐘，因?yàn)榭植澜M織摧毀的不僅僅是世貿(mào)大廈，隨之消失的還有眾多公司的數(shù)據(jù)。,自,2003,年元旦以來(lái)，蠕蟲病毒“沖擊波”對(duì)全球范圍內(nèi)的互聯(lián)網(wǎng)發(fā)起了不同程度的攻擊，制造了一場(chǎng)規(guī)?？涨暗幕ヂ?lián)網(wǎng)“網(wǎng)癱”災(zāi)難事件。迄今為止，許多組織、單位、實(shí)體仍然沒(méi)有完全走出“沖擊波”和“震蕩波”的陰影，而,2007,年的“熊貓燒香”又給互聯(lián)網(wǎng)用戶留下了深刻印象。計(jì)算機(jī)攻擊事件正以每年,64%,的速度增加。另?yè)?jù)統(tǒng)計(jì)，全球約,20,秒鐘就有一次計(jì)算機(jī)入侵事件發(fā)生，,Internet,上的網(wǎng)絡(luò)防火墻約,1/4,被突破，約有,70%,以上的網(wǎng)絡(luò)信息主管人員報(bào)告因

6、機(jī)密信息泄露而受到了損失。,信息安全涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。由于目前信息的網(wǎng)絡(luò)化，信息安全主要表現(xiàn)在網(wǎng)絡(luò)安全上，所以目前將網(wǎng)絡(luò)安全與信息安全等同起來(lái)（不加嚴(yán)格區(qū)分）。實(shí)際上，叫信息安全比較全面、科學(xué)。,信息安全問(wèn)題已引起了各國(guó)政府的高度重視，建立了專門的機(jī)構(gòu)，并出臺(tái)了相關(guān)標(biāo)準(zhǔn)與法規(guī)。,1.1.1,信息安全的概念,信息安全的概念是隨著計(jì)算機(jī)化、網(wǎng)絡(luò)化、信息化的逐步發(fā)展提出來(lái)的。當(dāng)前對(duì)信息安全的說(shuō)法比較多，計(jì)算機(jī)安全、計(jì)算機(jī)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、信息安全的叫法同時(shí)并存（事實(shí)上有區(qū)別，各自的側(cè)重點(diǎn)不同）。,ISO,對(duì)計(jì)算機(jī)系統(tǒng)安

7、全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。,計(jì)算機(jī)網(wǎng)絡(luò)安全的概念：通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。,建立網(wǎng)絡(luò)安全保護(hù)措施的目的：,確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。,針對(duì)信息安全，目前沒(méi)有公認(rèn)的定義。美國(guó)國(guó)家安全電信和信息系統(tǒng)安全委員會(huì)（,NSTISSC,）對(duì)信息安全做如下定義：信息安全是對(duì)信息、系統(tǒng)以及使用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。,信息安全涉及個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全，它是物理安全、網(wǎng)絡(luò)安

8、全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全、國(guó)家信息安全的總和。,1.1.2,信息安全的內(nèi)容,網(wǎng)絡(luò)信息,安全的內(nèi)容,物,理,安,全,1,防靜電,防盜,防雷擊,防火,防電磁泄漏,2,用戶身份認(rèn)證,訪問(wèn)控制,加密,安全管理,邏,輯,安,全,操,作,系,統(tǒng),安,全,3,聯(lián),網(wǎng),安,全,4,訪問(wèn)控制服務(wù),通信安全服務(wù),1.,物理安全,物理安全是指用來(lái)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中的傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房設(shè)施安全的各種裝置與管理手段。包括：防盜、防火、防靜電、防雷擊和防電磁泄露等。,物理上的安全威脅主要涉及對(duì)計(jì)算機(jī)或人員的訪問(wèn)。策略和多，如將計(jì)算機(jī)系統(tǒng)和關(guān)鍵設(shè)備布置在一個(gè)安全的環(huán)境中，銷毀不再使用的敏感文檔，保持

9、密碼和身份認(rèn)證部件的安全性，鎖住便攜式設(shè)備等。物理安全更多的是依賴于行政的干預(yù)手段并結(jié)合相關(guān)技術(shù)。如果沒(méi)有基礎(chǔ)的物理保護(hù)，物理安全是不可能實(shí)現(xiàn)的。,2.,網(wǎng)絡(luò)安全,計(jì)算機(jī)網(wǎng)絡(luò)的邏輯安全主要通過(guò)用戶身份認(rèn)證、訪問(wèn)控制、加密、安全管理等方法來(lái)實(shí)現(xiàn)。,（,1,）用戶身份認(rèn)證。身份證明是所有安全系統(tǒng)不可或缺的一個(gè)組件。它是區(qū)別授權(quán)用戶和入侵者的唯一方法。為了實(shí)現(xiàn)對(duì)信息資源的保護(hù)，并知道何人試圖獲取網(wǎng)絡(luò)資源的訪問(wèn)權(quán)，任何網(wǎng)絡(luò)資源擁有者都必須對(duì)用戶進(jìn)行身份認(rèn)證。,（,2,）訪問(wèn)控制。訪問(wèn)控制是制約擁護(hù)連接特定網(wǎng)絡(luò)、計(jì)算機(jī)與應(yīng)用程序，獲取特定類型數(shù)據(jù)流量的能力。訪問(wèn)控制系統(tǒng)一般針對(duì)網(wǎng)絡(luò)資源進(jìn)行安全控制區(qū)域劃

10、分，實(shí)施區(qū)域防御的策略。在區(qū)域的物理邊界或邏輯邊界使用一個(gè)許可或拒絕訪問(wèn)的集中控制點(diǎn)。,（,3,）加密。,即,即使訪問(wèn),控,控制和身,份,份驗(yàn)證系,統(tǒng),統(tǒng)完全有,效,效，在數(shù),據(jù),據(jù)信息通,過(guò),過(guò)網(wǎng)絡(luò)傳,送,送時(shí)，企,業(yè),業(yè)仍然可,能,能面臨被,竊,竊聽(tīng)的風(fēng),險(xiǎn),險(xiǎn)。事實(shí),上,上，低成,本,本和連接,的,的簡(jiǎn)單性,已,已使,Internet,成為企業(yè),內(nèi),內(nèi)和企業(yè),間,間通信的,一,一個(gè)極為,誘,誘人的媒,介,介。同時(shí),，,，無(wú)線網(wǎng),絡(luò),絡(luò)的廣泛,使,使用也在,進(jìn),進(jìn)一步加,大,大網(wǎng)絡(luò)數(shù),據(jù),據(jù)被竊聽(tīng),的,的風(fēng)險(xiǎn)。,加,加密技術(shù),用,用于針對(duì),竊,竊聽(tīng)提供,保,保護(hù)，它,通,通過(guò)信息,只,只能

11、被具,有,有解密數(shù),據(jù),據(jù)所需密,鑰,鑰的人員,讀,讀取來(lái)提,供,供信息的,安,安全保護(hù),。,。它與第,三,三方是否,通,通過(guò),Internet,截取數(shù)據(jù),包,包無(wú)關(guān)，,因,因?yàn)閿?shù)據(jù),即,即使在網(wǎng),絡(luò),絡(luò)上被第,三,三方截取,，,，它也無(wú),法,法獲取信,息,息的本義,。,。這種方,法,法可在整,個(gè),個(gè)企業(yè)網(wǎng),絡(luò),絡(luò)中使用,，,，包括在,企,企業(yè)內(nèi)部,（,（內(nèi)部網(wǎng),）,）、企業(yè),之,之間（外,部,部網(wǎng)）或,通,通過(guò)公共,Internet,在虛擬專,用,用網(wǎng)（,VPN,）中傳送,私,私人數(shù)據(jù),。,。加密技,術(shù),術(shù)主要包,括,括對(duì)稱式,和,和非對(duì)稱,式,式兩種，,都,都有許多,不,不同的密,鑰,鑰算

12、法來(lái),實(shí),實(shí)現(xiàn)。,（,4,）安全管,理,理。安全,系,系統(tǒng)應(yīng)當(dāng),允,允許由授,權(quán),權(quán)人進(jìn)行,監(jiān),監(jiān)視和控,制,制。使用,驗(yàn),驗(yàn)證的任,何,何系統(tǒng)都,需,需要某種,集,集中授權(quán),來(lái),來(lái)驗(yàn)證這,些,些身份，,而,而無(wú)論它,是,是,UNIX,主機(jī)、,WindowsNT,域控制器,還,還是,Novell DirectorySerrvices,（,NDS,）服務(wù)器,上,上的,/etc/passwd,文件。由,于,于能查看,歷,歷史記錄,，,，如突破,防,防火墻的,多,多次失敗,嘗,嘗試，安,全,全系統(tǒng)可,以,以為那些,負(fù),負(fù)責(zé)保護(hù),信,信息資源,的,的人員提,供,供寶貴的,信,信息。一,些,些更新的,安

13、,安全規(guī)范,，,，如,IPSEC,，需要包,含,含策略規(guī),則,則數(shù)據(jù)庫(kù),。,。要使系,統(tǒng),統(tǒng)正確運(yùn),行,行，就必,須,須管理所,有,有這些要,素,素。但是,，,，管理控,制,制臺(tái)本身,也,也是安全,系,系統(tǒng)的另,一,一個(gè)潛在,故,故障點(diǎn)。,因,因此，必,須,須確保這,些,些系統(tǒng)在,物,物理上得,到,到安全保,護(hù),護(hù)，請(qǐng)確,保,保對(duì)管理,控,控制臺(tái)的,任,任何登錄,進(jìn),進(jìn)行驗(yàn)證,。,。,3.,操作系統(tǒng),安,安全。,計(jì)算機(jī)操,作,作系統(tǒng)擔(dān),負(fù),負(fù)著龐大,的,的資源管,理,理，頻繁,的,的輸入輸,出,出控制以,及,及不可間,斷,斷的用戶,與,與操作系,統(tǒng),統(tǒng)之間的,通,通信任務(wù),。,。由于操,作,作

14、系統(tǒng)具,有,有一權(quán)獨(dú),大,大的特點(diǎn),，,，所有針,對(duì),對(duì)計(jì)算機(jī),和,和網(wǎng)絡(luò)的,入,入侵及非,法,法訪問(wèn)都,是,是以攫取,操,操作系統(tǒng),的,的最高權(quán),限,限作為入,侵,侵的目的,。,。因此，,操,操作系統(tǒng),安,安全的內(nèi),容,容就是采,用,用各種技,術(shù),術(shù)手段和,采,采用合理,的,的安全策,略,略，降低,系,系統(tǒng)的脆,弱,弱性。與,過(guò),過(guò)去相比,，,，如今的,操,操作系統(tǒng),性,性能更先,進(jìn),進(jìn)、功能,更,更豐富，,因,因而對(duì)使,用,用者來(lái)說(shuō),更,更便利，,但,但是也增,加,加了安全,漏,漏洞。要,減,減少操作,系,系統(tǒng)的安,全,全漏洞，,需,需要對(duì)操,作,作系統(tǒng)予,以,以合理配,置,置、管理,和,

15、和監(jiān)控。,做,做到這點(diǎn),的,的秘訣在,于,于集中、,自,自動(dòng)管理,機(jī),機(jī)構(gòu)（企,業(yè),業(yè)）內(nèi)部,的,的操作系,統(tǒng),統(tǒng)安全，,而,而不是分,散,散、人工,管,管理每臺(tái),計(jì),計(jì)算機(jī)。,實(shí),實(shí)際上，,如,如果不集,中,中管理操,作,作系統(tǒng)安,全,全，相應(yīng),的,的成本和,風(fēng),風(fēng)險(xiǎn)就會(huì),非,非常高。,目,目前所知,道,道的安全,入,入侵事件,，,，一半以,上,上緣于操,作,作系統(tǒng)根,本,本沒(méi)有合,理,理配置，,或,或者沒(méi)有,經(jīng),經(jīng)常核查,及,及監(jiān)控。,操,操作系統(tǒng),都,都是以默,認(rèn),認(rèn)安全設(shè),置,置類配置,的,的，因而,極,極容易受,到,到攻擊。,那些人工,更,更改了服,務(wù),務(wù)器安全,配,配置的用,戶,戶

16、，把技,術(shù),術(shù)支持部,門,門的資源,都,都過(guò)多地,消,消耗于幫,助,助用戶處,理,理口令查,詢,詢上，而,不,不是處理,更,更重要的,網(wǎng),網(wǎng)絡(luò)問(wèn)題,。,?？紤]到,這,這些弊端,，,，許多管,理,理員任由,服,服務(wù)器操,作,作系統(tǒng)以,默,默認(rèn)狀態(tài),運(yùn),運(yùn)行。這,樣,樣一來(lái)，,服,服務(wù)器可,以,以馬上投,入,入運(yùn)行，,但,但卻大大,增,增大了安,全,全風(fēng)險(xiǎn)。,現(xiàn)有技術(shù),可,可以減輕,管,管理負(fù)擔(dān),。,。要加強(qiáng),機(jī),機(jī)構(gòu)（企,業(yè),業(yè)）網(wǎng)絡(luò),內(nèi),內(nèi)操作系,統(tǒng),統(tǒng)的安全,，,，需要做,到,到以下三,方,方面：,首先對(duì)網(wǎng),絡(luò),絡(luò)上的服,務(wù),務(wù)器進(jìn)行,配,配置應(yīng)該,在,在一個(gè)地,方,方進(jìn)行，,大,大多數(shù)用,戶,戶大概需,要,要數(shù)十種,不,不同的配,置,置。然后,，,，這些配,置,置文件的,一,一個(gè)鏡像,或,或一組鏡,像,像在軟件,的,的幫助下,可,可以通過(guò),網(wǎng),網(wǎng)絡(luò)下載,。,。軟件能,夠,夠自動(dòng)管,理,理下載過(guò),程,程，不需,要,要為每臺(tái),服,服務(wù)器手,工,工下載。,此,此外，即,使,使有些重,要,要的配置,文,文件，也,不,不應(yīng)該讓,本,本地管理,員,員對(duì)每臺(tái),服,服務(wù)器分,別,別配置，,最,最好