信息安全:
為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)���,保護(hù)計(jì)算機(jī)硬件���、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞����、更改和泄露�。
網(wǎng)絡(luò)安全:
1.2 信息安全特性
- 可用性 :確保授權(quán)用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)信息資產(chǎn)
- 完整性 :保護(hù)信息和信息的處理方法準(zhǔn)確而完整
- 機(jī)密性:確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息
1.3 網(wǎng)絡(luò)安全的威脅
- 主動(dòng)攻擊
以各種方式有選擇地破壞信息
添加�����、修改����、刪除、偽造�、重放、亂序���、冒充、病毒等 - 被動(dòng)攻擊
不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作
偵聽(tīng)����、截獲�����、竊取����、破譯和業(yè)務(wù)流量分析及電磁泄露等
惡意攻擊:特洛伊木馬���、黑客攻擊����、后門(mén)���、計(jì)算機(jī)病毒��、拒絕服務(wù)攻擊�、內(nèi)外部泄密����、蠕蟲(chóng)���、邏輯炸彈、信息丟失篡改銷(xiāo)毀
- 黑客攻擊:黑客使用計(jì)算機(jī)作為攻擊主體�,發(fā)送請(qǐng)求,被攻擊主機(jī)成為攻擊對(duì)象的遠(yuǎn)程系統(tǒng)�,進(jìn)而被竊取信息。
- 特洛伊木馬:特洛伊木馬通過(guò)電子郵件或注入免費(fèi)游戲一類(lèi)的軟件進(jìn)行傳播��,當(dāng)軟件或電子郵件附件被執(zhí)行后�����,特洛伊木馬被激活。特洛伊密碼釋放他的有效負(fù)載�����,監(jiān)視計(jì)算機(jī)活動(dòng)��,安裝后門(mén)程序�,或者向黑客傳輸信息。
- 拒絕服務(wù)攻擊DoS: 指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)暴力手段耗盡被攻擊對(duì)象的資源�����,目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)��,使目標(biāo)系統(tǒng)停止響應(yīng)甚至崩潰。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬���,文件系統(tǒng)空間容量,開(kāi)放的進(jìn)程或者允許的連接��。
最常見(jiàn)的DoS攻擊有對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的帶寬攻擊和連通性攻擊。
(1)帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)�����,使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡����,最后導(dǎo)致合法的用戶請(qǐng)求無(wú)法通過(guò)。
(2)連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)�����,使得所有可用的操作系統(tǒng)資源都被消耗殆盡����,最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。 - 分布式拒絕服務(wù)攻擊 DDoS:
(1)被攻擊主機(jī)上有大量等待的TCP連接;
(2) 網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包;
(3)源地址為假,制造高流量無(wú)用數(shù)據(jù) ����,造成網(wǎng)絡(luò)擁塞,使受害主機(jī)無(wú)法正常和外界通訊;
(4)利用受害主機(jī)提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求���,使主機(jī)無(wú)法處理所有正常請(qǐng)求;
(5)嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)��。 - 病毒: 寄生在宿主文件中,將病毒代碼嵌入到宿主文件中����,針對(duì)本地程序或文件����,宿主程序運(yùn)行時(shí)被觸發(fā)進(jìn)傳染。防治的關(guān)鍵是將病毒代碼從宿主文件中摘除�����。
- 蠕蟲(chóng): 獨(dú)立存在的程序個(gè)體�,通過(guò)自身拷貝進(jìn)行傳染�����。針對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)�����,通過(guò)系統(tǒng)漏洞進(jìn)行傳染�����。防治的關(guān)鍵是為系統(tǒng)打補(bǔ)丁��。
- 漏洞: 指硬件�、軟件或策略上的缺陷�,這種缺陷導(dǎo)致非法用戶 未經(jīng)授權(quán)而獲得訪問(wèn)系統(tǒng)的權(quán)限或提高其訪問(wèn)權(quán)限。有了這種訪問(wèn)權(quán)限�,非法用戶就可以為所欲為,從而造成對(duì)網(wǎng)絡(luò)安全的威脅�����。
區(qū)別于后門(mén)��。后門(mén):是軟硬件制造者為了進(jìn)行非授權(quán)訪問(wèn)而在程序中故意設(shè)置的萬(wàn)能訪問(wèn)口令����,這些口令無(wú)論是被攻破����,還是只掌握在制造者手中,都對(duì)使用者的系統(tǒng)安全構(gòu)成嚴(yán)重的威脅���。
漏洞與后門(mén)是不同的���,漏洞是難以預(yù)知的�����,后門(mén)則是人為故意設(shè)置的。 - TCP劫持攻擊: A嘗試和B建立加密會(huì)話����,黑客劫持通訊�����,假裝是B���,然后和A交換密鑰,然后假裝是A和B建立會(huì)話����。
- IP欺騙:黑客更改原地址欺騙防火墻����,防火墻允許數(shù)據(jù)包通過(guò)����,將其誤認(rèn)為合法的通信�,欺騙后的數(shù)據(jù)包進(jìn)入內(nèi)聯(lián)網(wǎng)進(jìn)行破壞。
1.4 網(wǎng)絡(luò)安全的特征
- 保密性
網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶��、實(shí)體或過(guò)程���。即信息只為授權(quán)用戶使用���。
保密性是在可靠性和可用性基礎(chǔ)之上��,保障網(wǎng)絡(luò)信息安全的重要手段
常用的保密技術(shù)
(1) 物理保密:利用各種物理方法,如限制��、隔離����、掩蔽����、控制等措施�,保護(hù)信息不被泄露(鎖好柜�����、關(guān)好門(mén)���、看好人)
(2) 防竊聽(tīng):使對(duì)手偵收不到有用的信息
(3) 防輻射:防止有用信息以各種途徑輻射出去,例:防窺���。
(4) 信息加密:在密鑰的控制下�����,用加密算法對(duì)信息進(jìn)行加密處理���。即使對(duì)手得到了加密后的信息也會(huì)因?yàn)闆](méi)有密鑰而無(wú)法讀懂有效信息 - 完整性
網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地添加、刪除��、修改���、偽造����、亂序����、重放等破壞和丟失的特性
完整性是一種面向信息的安全性,它要求保持信息的原樣�,即信息的正確生成、正確存儲(chǔ)和正確傳輸
保障完整性的方法:
(1)良好的協(xié)議:通過(guò)各種安全協(xié)議可以有效地檢測(cè)出被復(fù)制的信息、被刪除的字段���、失效的字段和被修改的字段
(2)密碼校驗(yàn)和方法: 它是抗竄改和傳輸失敗的重要手段
(3)數(shù)字簽名:保障信息的真實(shí)性���,保證信息的不可否認(rèn)性
(4)公證:請(qǐng)求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性 - 可靠性
(1)系統(tǒng)能夠在規(guī)定條件和時(shí)間內(nèi)完成規(guī)定功能的特性�����,是所有網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行和建設(shè)的基本目標(biāo)����。
(2)通過(guò)抗毀性,生存性與有效性進(jìn)行衡量��。
(3)可靠性是在給定的時(shí)間間隔和給定條件下�����,系統(tǒng)能正確執(zhí)行其功能的概率�����。
(4)提高可靠性需要強(qiáng)調(diào)減少系統(tǒng)中斷(故障)的次數(shù)���。 - 可用性
(1)網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性�����。 即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)�����,允許授權(quán)用戶或?qū)嶓w 使用的特性���,或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使 用時(shí),仍能為授權(quán)用戶提供有效服務(wù)的特性
(2)可用性是系統(tǒng)在執(zhí)行任務(wù)的任意時(shí)刻能正常工作的概率����,一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量
(3)提高可用性需要強(qiáng)調(diào)減少從災(zāi)難中恢復(fù)的時(shí)間
(4)是產(chǎn)品可靠性、維修性和維修保障性的綜合反映����。 - 不可否認(rèn)性
(1)也稱作不可抵賴性���,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中,確信參與者的真實(shí)同一性
(2)所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾
保證不可否認(rèn)性的方法:
(1)利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息��, 利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息
(2)數(shù)字簽名技術(shù)是解決不可否認(rèn)性的手段之一 - 可控性
對(duì)信息的傳播及內(nèi)容具有控制能力
防止不良內(nèi)容的傳播