第章網絡安全概述

2023/5/24計算機網絡安全1計算機網絡安全技術2023/5/24計算機網絡安全2第1章 網絡安全概述1.1網絡安全研究的動因及不安全主要因素1.2網絡安全的定義及特征1.3網絡安全的主要威脅1.4網絡安全策略與安全等級1.5網絡安全管理技術及新技術1.6網絡信息安全機制本章要點：

3信息安全的若干典型問題軍事秘密通信、私密郵件，怎樣不讓截獲者看到？通信雙方如何確認信息沒有丟失？通信雙方如何確認信息沒有損壞或遭惡意篡改？多人公用一臺電腦，如何保證個人的文件不被其他人看到、打開、修改？電腦不隨身攜帶時，如何避免他人打開使用？計算機病毒怎么工作的，如何防范？4

信息安全的若干典型問題校園網的服務器如何避免黑客的進入和篡改，被篡改后，如何恢復？企業(yè)內網維護人員違規(guī)操作怎么辦？互聯(lián)網如何過濾色情、反動的網站？公安部門怎么抓捕在互聯(lián)網上造謠的，盜竊的，．．．安全部門怎么通過互聯(lián)網收集恐怖分子的行蹤？國家之間的網絡戰(zhàn)如何打？5

2012年的典型安全威脅1、2012年3月份，黑客組織Anonymous揚言要干掉整個互聯(lián)網以給“SOPA法案(禁止網絡盜版法案)，華爾街及黑心銀行家，前者的保護傘政府”等一點顏色看看。Anonymous計劃對所有13臺DNS域名根服務器發(fā)起大規(guī)模DDoS行動，屆時在瀏覽器中輸入所有域名都將返回錯誤頁面，使得不少用戶屆時將認為網絡無法使用。2012年8月，維基解密表示，自己的網站遭受到了持續(xù)的DDOS（拒絕服務）黑客攻擊，導致網站在一周多的時間里反應遲緩或無法登錄。6

2012年的典型安全威脅2、信息泄露事件愈演愈烈2012年1月，亞馬遜旗下美國電子商務網站Zappos遭到黑客網絡攻擊，2400萬用戶信息被竊取。2012年3月，東軟集團被曝商業(yè)秘密外泄，約20名員工因涉嫌侵犯公司商業(yè)秘密被警方抓捕。損失高達4000余萬.2012年3月，央視3.15晚會曝光招商銀行、中國工商銀行、中國農業(yè)銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導致部分用戶銀行卡賬號被盜。2012年5月，1號店90萬用戶信息被500元叫賣。有媒體從90萬全字段的用戶信息資料上進行了用戶信息驗證，結果表明大部分用戶數(shù)據屬真實信息。個人信息的泄露將會導致詐騙、勒索甚至威脅人身安全的事件發(fā)生頻率增高，讓人心悸.2012年7月，京東、雅虎、Linkedin和安卓論壇累計超過800萬用戶信息泄密，而且讓人堪憂的是，部分網站的密碼和用戶名稱是以未加密的方式儲存在純文字檔案內，意味著所有人都可使用這些信息2012年7月，三星電子員工向LGD泄密AMOLED技術被起訴。2012年8月，銀行外包后臺成泄密重災區(qū)，江蘇銀行1個月賣千份客戶資料。同月，上海數(shù)十萬條新生兒信息遭倒賣，出自市衛(wèi)生局數(shù)據庫外包維護工作人員。2012年9月，美國媒體報道：有黑客組織聲稱破解了聯(lián)邦調查局（FBI）主管的筆記本電腦，獲得了1200萬蘋果iOS用戶UDID、用戶名、設備名稱、設備類型、蘋果推送通知服務記錄、電話號碼、地址、等重要內容。2012年11月，“三通一達”等多家快遞公司客戶信息遭販賣。快遞單號的信息被大面積泄露，甚至衍生出多個專門交易快遞單號信息的網站。這些交易網站顯示，被交易的快遞單號來自包括申通、圓通、中通、韻達在內的多個快遞公司，“淘單114”還寫著“單號來源于各地快遞員”。

7

2012年的典型安全威脅3、

2012年Android智能手機已經占據智能手機市場75%的市場份額。在中國，Android手機的智能市場占有率更是超過9成，這樣一個主流移動操作系統(tǒng)已經引起黑客和無良公司極大的興趣。目前，在澳大利亞和美國，針對Android的惡意攻擊比率（ThreatExposureRate,TER）甚至已經超過PC。4、

APT攻擊持續(xù)不減愈演愈烈

APT（AdvancedPersistentThreat）的典型代表當屬“火焰”。2012年5月，一種破壞力巨大的全新電腦蠕蟲病毒“火焰”（Flame）被發(fā)現(xiàn)，這種病毒正在中東地區(qū)大范圍傳播，其中伊朗受病毒影響最嚴重。該病毒可以通過USB存儲器以及網絡復制和傳播，并能接受來自世界各地多個服務器的指令。感染“火焰”病毒的電腦將自動分析自己的網絡流量規(guī)律，自動錄音，記錄用戶密碼和鍵盤敲擊規(guī)律，并將結果和其他重要文件發(fā)送給遠程操控病毒的服務器。一旦完成搜集數(shù)據任務，這些病毒還可自行毀滅，不留蹤跡。5、無線安全再次引起警鐘

8信息安全體系的發(fā)展歷程2023/5/24計算機網絡安全9技術缺陷經濟利益所趨利用Internet炫耀個人才能1.1 網絡安全研究的動因2023/5/24計算機網絡安全10網絡不安全的主要因素：互聯(lián)網具有的不安全性操作系統(tǒng)存在的安全問題數(shù)據的安全問題

數(shù)據的安全性、完整性、并發(fā)控制

傳輸線路的安全問題網絡安全管理問題缺少安全管理人員缺少安全管理的技術規(guī)范缺少定期的安全測試與檢查缺少安全監(jiān)控2023/5/24計算機網絡安全111.2網絡安全的定義及特征計算機系統(tǒng)安全：為數(shù)據處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據不因偶然和惡意的原因遭到破壞、更改和泄露。計算機網絡安全：是通過采用各種技術和管理措施，保證在一個網絡環(huán)境里，信息數(shù)據的機密性、完整性及可用性受到保護。2023/5/24計算機網絡安全12網絡安全五大特征:

1.完整性：保持信息原樣。

2.保密性：信息不暴露給未經授權的人或進程。

3.可用性：正異常均可使用信息。4.可控性：可以對信息流向和行為方式進行控制。

5.可審查性：當網絡出現(xiàn)安全問題時，能夠提供調查的依據和手段。2023/5/24計算機網絡安全13網絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲1.3網絡安全的主要威脅2023/5/24計算機網絡安全14人為的疏忽人為的惡意攻擊網絡軟件的漏洞非授權訪問信息泄漏或丟失破壞數(shù)據完整性

物理威脅系統(tǒng)漏洞威脅身份鑒別威脅線纜連接威脅有害程序威脅2023/5/24計算機網絡安全151.3.1物理威脅

物理安全是一個非常簡單的概念，即不允許其他人拿到或看到不屬于自己的東西。目前，計算機和網絡中所涉及的物理威脅主要有以下幾個方面：竊?。喊ǜ`取設備、信息和服務等。廢物搜尋間諜行為：采用不道德的手段獲取有價值的信息的行為。假冒：一個實體假扮另一個實體，在網絡中從事非法操作的行為。20呼23汽/5分/1閃9計算遵機網煩絡安版全161.需3.鏈2系統(tǒng)濤漏洞暢威脅漏洞是方法拐、管瞧理和技術交上存在烤缺陷滴而造揭成，豎而這質個缺默陷可杠以降肝低系退統(tǒng)的延安全判性。民目前森，由枕系統(tǒng)哈漏洞據所造潛成的瞎威脅喚主要防表現(xiàn)駐在以士下幾兵個方廚面：不安誰全服胳務：指民繞過刪設備會的安叨全系赴統(tǒng)所懼提供遙的服無務。誓主要有碼網絡超蠕蟲創(chuàng)等。配置喘和初分始化爪錯誤20誦23釘/5清/1供9計算棋機網姿絡安沃全171.淚3.漢3身份挑鑒別吊威脅身份萌鑒別是指付對網黨絡訪異問者連的身唉份真錄偽進漆行鑒絡別。臘目前城，身蟲份鑒悠別威船脅主桑要包粥括以蝴下幾宅個方受面：口令旺圈套口令單破解算法挖考慮爽不周編輯敲口令20乘23面/5型/1霸9計算熄機網爬絡安尼全181.妖3.割4線纜脾連接稀威脅線纜瓦連接灘威脅主要戶指借恰助網鳴絡傳蓬輸介豪質（日線纜減）對畏系統(tǒng)口造成廳的威熱脅，磚主要雨包括蓮以下妹幾個邁方面客：竊聽漠：是使沖用專劇用的懷工具艱或設智備連代接到蒜通信懼線纜夕上，顛通過僚檢測釋從線赴纜上濫發(fā)射愈出來辣的電兼磁波補來獲酸得所瓶需要比的信懲號。撥號叮進入壤：指利蠶用調泄制解雀調器吸等設唐備，貫通過薪撥號姐方式檔遠程伴登錄引并訪齒問網銜絡。陪當攻司擊者范已經糧擁有潔目標帖網絡厭的用插戶賬梅戶時勺，就鄙會對迫網絡半造成及很大哲的威啞脅。冒名遣頂替鋸：指通雁過使通用別洽人的拘用戶渠賬戶基和密苦碼獲策得對棟網絡叫及其婚數(shù)據悠、程恒序的酷使用碧能力焦。20畢23剝/5遠/1辯9計算仆機網返絡安別全191.退3.民5有害鳴程序沿威脅有害千程序左造成濱的威喂脅主規(guī)要包程括以朽下幾葬個方或面：病毒扮：計算交機病鐘毒是合一個悶程序介，是斃一段券可執(zhí)睜行的寒代碼捎。邏輯粗炸彈臟：當滿脈足某倚個特遲定條佛件時侄就發(fā)磁作。伏具有螺病毒吵的潛顧伏性哀。特洛耀伊木紛馬：一個慣包含挑在一郵個合圖法程侍序中由的非摧法的司程序喜。間諜熟軟件才：一種田新的狹安全截威脅樓。黑客揉：黑客非指非獻法入辛侵別歉人計虎算機烤系統(tǒng)辦的人隆，他份們通孕常帶診有某種目宮的，搜通過哈系統(tǒng)獎漏洞另非法適入侵傻。20軟23酸/5摟/1麻9計算賠機網煩絡安勸全2020異23份/5饞/1事9計算妻機網旗絡安因全211.嬸4安全刮策略嶼和安蒙全等治級1.青4.敘1安全仇策略制定穴安全技策略憤通常族從以盤下幾旱個方右面來媽考慮寨：1．物畜理安建全策似略3．加險密策敢略4．防疤火墻放控制遵策略2．釣訪問倘控制呢策略目的屑：對要簡訪問壞系統(tǒng)希的用確戶進纏行識仆別，氣對訪蜻問權館限進品行必啊要的巨控制旋。20回23擊/5編/1辱9計算栗機網位絡安適全221.芳4.芬2安全猛性指報標和居安全猾等級制定卸安全采策略首時，嚇往往普需要頭在安屯全性診和可殖用性而之間污采取閥一個坑折衷霸的方蠶案，蜻重點斃保證便一些節(jié)主要芝安全潤性的增指標扭。主閃要如珠：完整善性：在匹傳輸摘過程浩時，具數(shù)據患是否齊保持伐完整版。可用芒性：在滴系統(tǒng)勢發(fā)生閉故障付時，金數(shù)據惑是否搜會丟島失。保密闊性：在筐任何阿時候抵，數(shù)新?lián)惺岜环峭捶ǜ`錦取的促可能索。20領23纖/5鐘/1通9計算搜機網袋絡安津全2319先85年12月由摸美國所國防鹽部公啟布的美國歇可信林計算匪機安集全評墾價標才準（TC孔SE荷C）是護計算際機系錄統(tǒng)安泊全評舊估的桂第一傻個正雨式標斷準，所該標摔準最盯初只臉是軍鉤用標伴準，汽后來召延至蒸民用吳領域袖。TC瓦SE苗C將計策算機要系統(tǒng)編的安享全劃黑分為4個等智級7個級葡別。D類安牽全等脆級：D類安弊全等混級只家包括D1一個練級別哨。C類安婚全等幕級：該類睬安全療等級旦能夠漏酌情廈提供狂安全影保護肚，并窄為用慨戶的店行動伐和責脂任提朋供審柱計能設力。C類安貫全等宮級可忽劃分綿為C1和C2兩類殲。B類安燭全等舞級：B類安炸全等盈級可捉分為B1、B2和B3三類丑。A類安亡全等售級：A系統(tǒng)閱的安糠全級趣別最蠢高。雖目前涼，A類安需全等滋級只戰(zhàn)包含A1一個曾安全奴類別寫。20挑23恥/5第/1古9計算傅機網躁絡安僵全241物理組安全找技術2安全供隔離3訪問連控制4加密昏通道5入侵殊檢測6入侵幟保護1.貸5常用忌的網本絡安駐全管料理技醒術及林新技疫術7安全封掃描8蜜罐牢技術9物理驅隔離餅技術10災難梨恢復夾和備磁份技父術11上網張行為煙管理12統(tǒng)一革威脅詳管理20乏23喬/5裂/1滑9計算嘩機網仰絡安炭全258蜜罐抖技術蜜罐折（Ho研ne斷yp債ot）是享一種餃計算鉗機網員絡中凱專門撕為吸巷引并罰“誘角騙”銀那些通試圖伶非法約入侵泄他人給計算套機系啄統(tǒng)的春人而屑設計案的“疊陷阱令”系款統(tǒng)。1．葛蜜罐屆的概粉念：定義最：蜜罐級是一口種被孟偵聽魄、被開攻擊榆或已秋經被棋入侵卵的資吳源。(專家L.稀Sp度it奴zn熄er對其勞定義驢：蜜搬罐是企一種恭資源腦，它衡的價晝值是嘗被攻俘擊或棋攻陷)目的遭：是使飛系統(tǒng)苦處于刷被偵館聽、追被攻蓄擊狀悉態(tài)。作用滋：蜜罐零不會姐直接際提高息計算壺機網腦絡安秒全，面但它屯卻是鳳其他久安全險策略違所不殖可替罩代的底一種吸主動突攻擊云技術拾。20容23鄰/5杜/1拖9計算詞機網有絡安凈全262．塌蜜罐權的分圾類蜜罐言可以按分為附犧牲圖型蜜倒罐、貨外觀庫型蜜蔥罐和芝測量寫型蜜素罐3種基肉本類訓型。（1）犧漿牲型之蜜罐念：是一森臺簡森單的熟為某甲種特雀定攻鋤擊設貧計的弱計算崗機。聲犧牲畜型蜜卸罐一駁般放報置在慚易受笑攻擊程的地盟點，揭并假椒扮為削攻擊越的受客害括，為膨攻擊狡者提甘供極蒸好的較攻擊哈目標嶄。提舞取數(shù)碑據不誤容易隨；易深被利洞用攻災擊其頑他主思機。（2）外條觀型塞蜜罐驢：通常金由某見些應厲用服燒務的禍仿真分程序串構成機。僅捕僅對絡網絡白服務分進行鋒仿真斜，而竿不會滅導致取主機豪真正院被攻樣擊，尊從而刪蜜罐貨的安次全不誘會受地到威棍脅。（3）測幕量型倆蜜罐繼：綜合與了犧贊牲型行蜜罐弦和外艇觀型釘蜜罐鵝的特從點，城與犧螺牲型織蜜罐灑類似治，測請量型觀蜜罐崖為攻刃擊者全提供街了高去度可些信的粉系統(tǒng)弄；與顧外觀沃型蜜劈燕罐類胳似，險測量新型蜜怕罐非及常容悅易訪靠問，慨但攻共擊者付很難妨繞過衫。返回20鐘23霉/5察/1者9計算腰機網沾絡安筒全2711上網窯行為銹管理員工很上網嚼行為違管理惜（Em谷pl隱oy智ee造I袖nt另er昏ne這t示Ma季na奇ge擺me昨nt，EI套M）可愛以為榆政府痰監(jiān)管述部門忌、各孝行業(yè)孔信息邪主管績部門年及企扯業(yè)管客理用材戶提灘供幫懷助，據能有盒效平擴衡員怖工上崗網所春帶來妖的影境響，庫在開務放網百絡資贈源的抵同時哀，最枕大限去度地稀保障研網絡較資源嚴不被漲濫用友。EI恭M相關亮產品楊和應碗用已罪經過迅了以僵下幾慚個發(fā)語展階寸段：第一盾個階月段是IA業(yè)C（In磨te首rn桐et忽A唯cc飽es卵s捎Co哀nt木ro體l，In剛te星rn美et訪問勾控制）；第二墨個階旗段是IA假M（In欲te池rn慈et夏A越cc床es度s隔Ma捏na外ge磨me黑nt，In求te悼rn班et訪問步管理）。第三斥個階艘段即EI談M。屬裳于真演正的上網謙行為既管理宿階段，以發(fā)提高竭企業(yè)艙的工蟻作效漿率為往目的那，企餃業(yè)不有但建艦立相迅關上肉網策藏略，胡還進符一步天與企噴業(yè)信爭息系墓統(tǒng)的津安全希管理泡結合境起來送。20饑23希/5道/1扛9計算沖機網號絡安燈全28如圖1-閱1所示喇的是拜某一棟單位EI適M系統(tǒng)村的部粒署情餓況。字其中輸，EI獲M的核財心設廳備“轎網絡替行為意分析貪系統(tǒng)顫”可歐以接錢入單釘位的摩中心翻交換歷機，罰從中堡心交鐵換機倒獲得撐網絡果的流策量，鋼再通辭過“廚管理腰控制脊臺”幻玉進行俊實時鋸查看熔和統(tǒng)冰計分后析。圖1-倆1某單氧位網敲絡行渴為管剛理系飄統(tǒng)網穿絡示老意圖案例20針23足/5進/1賣9計算卸機網載絡安補全29一個迅完整毒的EI鼓M系統(tǒng)哄應具養(yǎng)有以息下的日功能珍：控制淺功能齒：可合功理分膠配不謹同部全門、呢員工凱的上差網權舞限。么還可絹以對屠代理葵軟件運進行江封堵支，防雄止不每允許午上外醉網的啄員工崇通過憲代理絕軟件鄭上外沃網。監(jiān)控具與審坡計功安能：可以駝將所壟有與疤上網頑相關傳的行便為記雪錄下采來。報表羅分析丹功能洋：可以構方便厘直觀蟻地統(tǒng)谷計分禽析員接工的甚上網街情況穿，據胡此掌潛握單爬位內估部網財絡的罪使用卵情況殃。流量鉗控制京與帶展寬管療理：支持瞎對不授同員御工進悄行分播組，駛通過狀一段盼時間筑數(shù)據斯統(tǒng)計厭，限養(yǎng)定每妖個組歌的上武網流獸量，補對BT、電覺驢等P2椅P下載揪軟件曉進行損封堵器，避陪免其戒對網劑絡帶褲寬資雁源的述消耗截。返回20抖23檢/5膝/1梁9計算影機網哨絡安注全3012統(tǒng)一嚼威脅鈔管理仆（UT己M）1.扛U焰TM的定撒義UT提M（Un叫if聲ie膏d產Th哥re底at狀M敢an膚ag膨em詳en悄t，統(tǒng)侄一威采脅管橋理）借首先傲出現(xiàn)安在20中03年ID撕C（In窗te虜rn酒et壇D永at謝a駛Ce席nt結er，互卻聯(lián)網派數(shù)據司中心恨）的宵研究異報告愁中。UT磨M是一彈個以琴整合郵式安坡全設姐備為通代表露的安妨全產博品，政它由硬旁件、迷軟件西和網是絡技激術組橫成的曉具有犁專門嚴用途控的設斥備，主要絡提供繳了一門項或務多項賠安全淋功能影，將椅多種回安全雷特性渣集成廚于一拜個硬滅件設娛備里閘，構搬成一取個標令準的間統(tǒng)一專管理撿平臺晝。包括霜了防經火墻飛、入抗侵檢泰測與宵防護緣瑞（ID跳S/攜IP換S）、廁網關植防病陽毒等經功能六。20稈23刺/5宇/1反9計算旅機網僑絡安避全312．UT胞M的功額能UT帝M提供半了以槐下的剛功能傍：（1）整逮合網康絡安苗全。UT叛M的提貿出解砌決了除局域漠網絡擠必須擱管理腎多個降單功鞋能產刊品的典難題清。通胸過單及一的序操作仇系統(tǒng)禽與管皮理接稠口，記提供用一個盞能夠傾滿足垃多方牲位安染全需晌求的劫全功古能架搜構。（2）降究低技帽術復慰雜度辯。UT淚M安全跪設備撿中裝乞入了窗很多焰功能磁模塊致，提銅高了片局域急網的筑易用吃性。（3）簡墻化網松絡管在理。UT惜M的價顫值在堤于簡單化管再理，袍即以漆最精殺簡的皺單一鄭設備紙來達滅到所魔需要晶的網垮絡管迎理水肥平，沈并具否有快往速遷理移、速集中紡管理詳、節(jié)帽省成豬本的潛優(yōu)勢愛。20允23聰/5應/1初9計算哥機網鈔絡安裳全323．UT民M的發(fā)昆展UT形M設備乏可說皺是計外算機滋網絡丑安全蓬解決尺方案賺的一格個重王要突胃破。綜合傾分析籠目前校的網軌絡安財全產知品的化功能應，UT韻M具有顆顯著毅的優(yōu)漠點，謝而且薦相關攝的技項術正運在應霸用中錘不斷聲發(fā)展桑和完躺善。罪現(xiàn)在鏡，UT物M設備策已經蘿為用呀戶提寒供了淡分層幻玉安全酷（La籠ye床r歐Se蹤蝶cu哄ri模ty）的炭功能餓，它豈可以寸與用喉戶計早算機蓬上安閃裝的祖防病版毒軟寇件、淋在防秒火墻況上添震加的正防毒匆墻功斥能配震合工豎作，減為用煮戶提蠟供重喜重防恒護關紙卡。還另外燃，現(xiàn)丹在已敞經有衡廠商益開始母將Vo紡IP、路說由器屠等功迅能整艘合進UT元M設備豈中。20雅23感/5蘋/1尊9計算蹦機網屠絡安夏全33網絡五信息倚安全簡機制定義陽了實閃現(xiàn)網卷絡信寧息安買全服浸務的飯技術泡措施蛛，包攻括所腥使用骨的可階能方膽法，科主要帶就是金利用槳密碼陸算法洞對重餐要而