的 • 其它方面造成负面效应，例如使用的便利性。
网络安全事件的有关报道
据联邦调查局统计，美国每年因网络安全造成的损 失高达75亿美元。
据美国金融时报报道，世界上平均每20秒就发生一 次入侵国际互联网络的计算机安全事件，三分之一的防 火墙被突破。
美国联邦调查局计算机犯罪组负责人吉姆 • 塞特 尔称：给我精选10名 “黑客” ，组成个1个小组，90 天内，我将使美国趴下。
案例一的教训
• 在遭到黑客攻击后应采取的措施
– 关键数据的备份 – 主机日志检查与备份 – 主机的服务端口的关闭 – 主机可疑进程的检查 – 主机帐号的修改 – 防火墙的策略修改 – 启用防火墙日志详细记录 – 避免使用的危险进程 – 利用Disk Recovery技术对硬盘数据进行恢复
案例二：中国电信信息港
或 • 政府机密。
为什么研究信息安全?
• “计算机系统必须防范谁”？ • 使用调制解调器侵入我们的一般网络系统 • 增强口令安全性 • 搭线窃听和密码分析，监视计算机和电缆的电子发射，甚至瞄准 • 计算机房的“暗箱操作”侵入重要的情报部门网络系统 •？
为什么研究信息安全?
• “你能在安全方面付出多大代价？” • 安全问题的部分代价是直接的财政开支，诸如建立防火墙网关需要额外 • 的路由器和计算机。通常，容易忽视设置和运行网关的管理费用。而且 • 还有一些更微妙的开支：方便性、生产性甚至道德问题引起的开支。 • 过分的安全性可能像过低的安全性一样有害过度追求安全性可能在系统
• 本质上讲：保护—— 网络系统的硬件，软件，数据
•
防止——系统和数据遭受破坏，更改，泄露
•
保证——系统连续可靠正常地运行，服务不中断
• 广义上讲：领域——涉及到网络信息的保密性，完整性，可
•
用性，真实性，可控性的相关技术和理论
• 两个方面：技术方面—— 防止外部用户的非法入侵
•
管理方面—— 内部员工的教育和管理
target
DDOS攻击两阶段
– 第一阶段—控制大量主机 • 利用系统的漏洞获得大量主机系统的控制权， 并安装DDoS 工具；Linux imapd, Solaris rpc 、 rstatd, Windows；
– 第二个阶段，发起攻击： • 向目标发送大量的TCP/UDP/ICMP包，导致 系统资源耗尽或网络拥塞，从而使目标系统 或网络不能响应正常的请求。
破坏数据完整性 • 以非法手段窃得对数据的使用权，删除、修改、插入或重发某些 重要信息，以取得有益于攻击者的响应 • 恶意添加，修改数据，以干扰用户的正常使用
信息网络中存在的威胁
拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程
序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被 排斥而不能进入计算机网络系统或不能得到相应的服务。
信息安全意味着平衡
• 找出适当的安全性平衡点是一件棘手的、 却完全必要的事
• 只有从两个极端对组织机构的安全风险进 行恰当评估后才可能做到。
• 安全的相对性：赔钱的生意没人做
•
信息网络中存在的威胁
非授权访问 • 没有预先经过同意，就使用网络或计算机资源被看作非授权访问。
信息泄漏或丢失 • 敏感数据在有意或无意中被泄漏出去或丢失
信息的定义

一般认为，信息是关于客观事实的可通讯的知识。
这是因为：

第一，信息是客观世界各种事物的特征的反映。这
些特征包

括事物的有关属性状态，如时间、地点、程度和方
式等等。

第二，信息是可以通讯的。大量的信息需要通过各
种仪器设

备获得。

第三，信息形成知识。人们正是通过人类社会留下
的各种形

式的信息来认识事物、区别事物和改造世界的。
信息是有价值的

信息的价值 = 使用信息所获得的收益 ─ 获取信
息所用成本

所以信息具备了安全的保护特性
信息安全的定义
• 国际标准化组织(ISO)的定义为：“为数据处理系统建立和采用的技 术和管
• 理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因 遭
• 到破坏、更改和泄露”。 •
从几个方面来考虑安全
•
提高人员的安全意识
为什么研究信息安全?
• “我们力图保护的是些什么资源？”答案并不总是明确的。 • 一个打算破坏或冒领一台主机的黑客通常将对该主机全部资源进行访
问： • 例如访问文件、存储设备、电话线等。 • 某些黑客最感兴趣的是滥用主机名，而对主机专门资源并不感兴趣， • 他们利用这些主机名，暗渡陈仓，向外连接其他可能更感兴趣的目标。 • 有些人可能对机器中的数据感兴趣，不管它们是否是公司的敏感材料
超过50%的攻击来自内部，其次Leabharlann 黑客.CIA HOMEPAGE
USAF
被黑的WEB页面
DOJ HOMEPAGE HOMEPAGE
11/29/96
案例一：某电子商务网站
现象
• 主服务器遭到黑客攻击后瘫痪 • 在启用备份服务器后，数据大部分被删除 • 有CheckPoint 防火墙，但防火墙行同虚设 • 主机上没有作过多配置，存在大量的服务 • 安装了pcAnywhere远程控制软件
• 遭到黑客DDoS攻击 • 服务器被瘫痪，无法提供正常的服务 • 来源地址有3000多个，多数来自与国内 • 有一部分攻击主机是电信内部的IP地址
案例二的教训
• 加强对骨干网设备的监控 • 减少骨干网上主机存在的漏洞 • 在受到攻击时，迅速确定来源地址，在
路由器和防火墙上作一些屏蔽 • 实现IDS和防火墙的联动
拒绝服务攻击
• DoS 攻击
– land , teardrop, – SYN flood – ICMP : smurf
– Router: remote reset , UDP port 7, – Windows: Port 135, 137,139(OOB), terminal server – Solaris : – Linux:
分布式拒绝服务（DDOS）
• 以破坏系统或网络的 可用性为目标
• 常用的工具：
– Trin00,
handler
– TFN/TFN2K,
– Stacheldraht
agent
client
... DoS ...
• 很难防范
• 伪造源地址，流量加 密，因此很难跟踪
ICMP Flood / SYN Flood / UDP Flood