物聯(lián)網信息安全 課件 第6章 6.1 應用層安全需求

應用層安全需求計算機學院一.概述二.安全問題三.技術需求四.結語概述傳統(tǒng)的骨干網絡交換設備都是基于2-3層網絡結構所設計，它們?yōu)榫W絡提供了最為基礎的構架，確保了骨干網的大容量、高速率。但是，隨著網絡應用的不斷發(fā)展，更多的功能與服務都將通過4-7層網絡來實現(xiàn)。隨著4-7層網絡應用的增多，安全問題難以避免。在4-7層網絡上如何保證安全性呢？隨著針對網絡應用層的病毒、黑客以及漏洞攻擊的不斷爆發(fā)，目前面臨的安全方面的挑戰(zhàn)主要集中在應用層，所以解決的辦法也不能像普通防火墻一樣在網絡層解決。安全性的保障應該是從應用層著手。傳統(tǒng)的防火墻、防病毒網關都是基于2-3層網絡設計的，存在著巨大的安全漏洞及隱患。1應用層面臨的安全問題概述1應用層面臨的安全問題七層網絡概述傳統(tǒng)的網絡安全體系架構通常是由2-3層（數(shù)據鏈路層和網絡層）設備組成的，對數(shù)據包只能進行2-3層的分析和處理，因而存在巨大的缺陷。近來大多數(shù)攻擊都有一些共同的特點，那就是針對應用層攻擊、蔓延速度快等。傳統(tǒng)的2-3層網絡安全體系，其防范措施要么是等待下載補丁程序，要么是關閉某些端口。這些措施不但費時費力，而且有一點事后諸葛的味道，無法徹底保證網絡系統(tǒng)的安全。而網絡安全是一個完整的體系，針對4-7層的攻擊也日益增多，因此，4-7層的網絡安全同樣不可忽視。1應用層面臨的安全問題應用層安全威脅應用層威脅，主要包括下面幾種形式：病毒、蠕蟲、木馬、不受歡迎應用程序、遠程攻擊、人員威脅等。1)病毒、蠕蟲和木馬（1）病毒。計算機病毒是一個破壞計算機的正常運行的程序，使之無法正常使用。（2）蠕蟲。蠕蟲的定義是指“通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓”。（3）木馬。木馬一詞用來形容不屬于任何特定類別的所有滲透。2）不受歡迎應用程序（1）Rootkit。Rootkit是一種惡意程序，它能在隱瞞自身存在的同時賦予Internet攻擊者不受限制的系統(tǒng)訪問權。（2）廣告軟件。廣告軟件是可支持廣告宣傳的軟件的簡稱。（3）間諜軟件。此類別包括所有在未經用戶同意/了解的情況下發(fā)送私人信息的應用程序。（4）潛在的不安全應用程序。許多合法程序用于簡化聯(lián)網計算機的管理。但如果使用者動機不純，它們也可能被惡意使用。1應用層面臨的安全問題應用層安全威脅

應用層威脅，主要包括下面幾種形式：病毒、蠕蟲、木馬、不受歡迎應用程序、遠程攻擊、人員威脅等。1應用層面臨的安全問題應用層安全威脅1應用層面臨的安全問題應用層安全威脅1)病毒、蠕蟲和木馬（1）病毒。計算機病毒是一個破壞計算機的正常運行的程序，使之無法正常使用。（2）蠕蟲。蠕蟲的定義是指“通過計算機網絡進行自我復制的惡意程序，泛濫時可以導致網絡阻塞和癱瘓”。（3）木馬。木馬一詞用來形容不屬于任何特定類別的所有滲透。1應用層面臨的安全問題應用層安全威脅1應用層面臨的安全問題應用層安全威脅2）不受歡迎應用程序（1）Rootkit。Rootkit是一種惡意程序，它能在隱瞞自身存在的同時賦予Internet攻擊者不受限制的系統(tǒng)訪問權。（2）廣告軟件。廣告軟件是可支持廣告宣傳的軟件的簡稱。（3）間諜軟件。此類別包括所有在未經用戶同意/了解的情況下發(fā)送私人信息的應用程序。（4）潛在的不安全應用程序。許多合法程序用于簡化聯(lián)網計算機的管理。但如果使用者動機不純，它們也可能被惡意使用。1應用層面臨的安全問題應用層安全威脅1應用層面臨的安全問題應用層安全威脅3）遠程攻擊許多特殊技術允許攻擊者危害遠程系統(tǒng)安全。它們分為多個類別。（1）DoS攻擊。DoS或拒絕服務，是一種使計算機資源對其目標用戶不可用的攻擊。受到DoS攻擊的計算機通常需要重新啟動，否則它們將無法正常工作。（2）DNS投毒。通過DNS（域名服務器）投毒方法，黑客可以欺騙任何計算機的DNS服務器，使其相信它們提供的虛假數(shù)據是合法、可信的。然后，虛假信息將緩存一段時間。1應用層面臨的安全問題應用層安全威脅（3）端口掃描。端口掃描控制網絡主機上是否有開放的計算機端口。（4）TCP去同步化。TCP去同步化是TCP劫持攻擊中使用的技術。（5）SMB中繼。SMBRelay和SMBRelay2是能夠對遠程計算機執(zhí)行攻擊的特殊程序。（6）ICMP攻擊。ICMP（Internet控制消息協(xié)議）是一種流行且廣泛使用的Internet協(xié)議。它主要由聯(lián)網計算機用于發(fā)送各種錯誤消息。1應用層面臨的安全問題應用層安全威脅1應用層面臨的安全問題應用層安全威脅4）人員威脅（1）駭客?！癈racker”的音譯，“破解者”的意思。從事惡意破解商業(yè)軟件、惡意入侵別人的網站等事務。（2）內部人員。內部人員的威脅常常是電腦安全的主要敵人。惡意系統(tǒng)管理員能夠造成預計之外的破壞效果。（3）帶寬濫用?！皫挒E用”是指對于企業(yè)網絡來說，非業(yè)務數(shù)據流消耗了大量帶寬，輕則影響企業(yè)業(yè)務無法正常運作，重則致使企業(yè)IT系統(tǒng)癱瘓。1應用層面臨的安全問題應用層安全威脅1應用層面臨的安全問題應用層安全威脅應用層實現(xiàn)的是各種具體應用業(yè)務，它所涉及的安全威脅主要來自下面幾個方面：如何實現(xiàn)用戶隱私信息的保護，同時又能正確認證用戶信息；不同訪問權限如何對同一數(shù)據庫內容進行篩選；信息泄露如何追蹤問題；10.1.1應用層面臨的安全問題應用層安全威脅電子產品和軟件的知識產權如何保護；惡意代碼以及各類軟件系統(tǒng)自身漏洞、可能的設計缺陷，黑客，各類病毒是物聯(lián)網應用系統(tǒng)的重要威脅；物聯(lián)網涉及范圍廣，目前海量數(shù)據信息處理和業(yè)務控制策略方面的技術還存在著安全性和可靠性的問題。10.1.1應用層面臨的安全問題2應用層安全技術需求安全技術需求如果從應用層的角度來看物聯(lián)網，物聯(lián)網可以看作是一個基于通信網、互聯(lián)網或專用網絡的，以提高物理世界的運行、管理、資源使用效率等水平為目標的大規(guī)模信息系統(tǒng)。這一信息系統(tǒng)的數(shù)據來自于感知層對物理世界的感應，并將產生大量引發(fā)應用層深度互聯(lián)和跨域協(xié)作需求的事件，從而使得上述大規(guī)模信息系統(tǒng)表現(xiàn)出如下特性。2應用層安全技術需求安全技術需求（1）數(shù)據實時采集，具有明顯實效特征物聯(lián)網中通過對物理世界信息的實時采集，基于所采集數(shù)據進行分析處理后，進行快速的反饋和管理，具有明顯的實效性特征，這就對應用層需要對信息進行快速處理提出了要求。。2應用層安全技術需求安全技術需求（2）事件高度并發(fā)，具有不可預見性對物理世界的感知往往具有多個維度，并且狀態(tài)處于不斷變化之中，因此會產生大量不可預見的事件，從而要求物聯(lián)網應用層具有更高的適應能力。2應用層安全技術需求安全技術需求（3）基于海量數(shù)據的分析挖掘感知層信息的實時采集特性決定了必然產生海量的數(shù)據，這除了存儲要求之外，更為重要的是基于這些海量數(shù)據的分析挖掘，預判未來的發(fā)展趨勢，才能實現(xiàn)實時的精準控制和決策支撐。2應用層安全技術需求安全技術需求（4）自主智能協(xié)同物聯(lián)網感知事件的實時性和并發(fā)性，需要應對大量事件應用的自動關聯(lián)和即時自主智能協(xié)同，提升對物聯(lián)網世界的綜合管理水平。應用層安全

物聯(lián)網(InternetofThings)被稱為繼計算機、互聯(lián)網之后的世界信息產業(yè)第三次革命技術浪潮，是目前通信信息領域最熱門的研究方向之一。伴隨物聯(lián)網應用的出