網(wǎng)絡(luò)安全課件

網(wǎng)絡(luò)培訓班

網(wǎng)絡(luò)安全

:網(wǎng)絡(luò)安全

置網(wǎng)絡(luò)安全概述

同安全技術(shù)

同網(wǎng)絡(luò)常用攻擊工具簡介

目防火墻系統(tǒng)介紹

鼠網(wǎng)絡(luò)安全實例分析

2011年6月30日12時42網(wǎng)絡(luò)安全2

分

:網(wǎng)絡(luò)安全概述

囿什么是計算機信息系統(tǒng)安全

凰計算機安全的基本要求

f網(wǎng)絡(luò)安全應(yīng)考慮的一般原則

鼠侵襲的類型

鼠計算機安全的衡量指標

凰安全對策

囿安全級別的劃分

2011年6月30日12時42網(wǎng)絡(luò)安全3

分

:什么是計算機信息系統(tǒng)安那修

卷訐算機信息系統(tǒng)安全是指計算機系統(tǒng)的

?硬件、軟件、數(shù)據(jù)受到保護，不因偶然

?的或惡意的原因而遭到破壞、更改、顯

?露，系統(tǒng)連續(xù)正常運行。

:-我們要保護的：計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)；

■:我們需要的：穩(wěn)定而合乎要求的運行環(huán)境；

e-我們要防止的：因偶然的或惡意的原因而遭到破壞、

.更改、顯露；

2-我們的目標：系統(tǒng)能連續(xù)正常運行。

2011年6月30日12時42網(wǎng)絡(luò)安全4

分

計算機安全的基本要求磔觸

凰安全保密(Secrecy/Con行dentiality)

安全保密是指防止對信息的非授權(quán)訪問。這也許是信

息安全最重要的要求。

凰完整性(Integrity)/精確性(Accuracy

完整性是指信息在存儲或傳輸過程中不被破壞、不丟

失、或不被未經(jīng)授權(quán)的惡意的或偶然的修改。

副可用性(Availability)

可用性是指計算機系統(tǒng)的硬件和軟件保持有效的運行,

并且系統(tǒng)在發(fā)生災難時能夠快速完全的恢復。。

2011年6月30日12時42網(wǎng)絡(luò)安全5

分

:網(wǎng)絡(luò)安全應(yīng)考慮的一般原

富需求、風險、代價平衡分析的原則

■綜合性、整體性原則

口一致性原則

可易操作性原則

■適應(yīng)性、靈活性原則

解可評價性原則

2011年6月30日12時42網(wǎng)絡(luò)安全6

分

:侵襲的類型

常入侵：侵襲者通過非法途徑進入計算機

系統(tǒng)，向合法用戶一樣使用計算機。如

盜用口令、使用系統(tǒng)后門。

目拒絕服務(wù)：是一種旨在徹底地阻止用戶

合法使用自己的計算機資源的一種侵襲

如郵件炸彈、TCPSYN淹沒等。

冒盜竊信息：偷盜有用的數(shù)據(jù)信息。

2011年6月30日12時42網(wǎng)絡(luò)安全7

分

:計算機安全的衡量指標

廓脆弱點(vulnerability)：脆弱點是系統(tǒng)

中容易被攻擊的地方。

削威脅(threat)：威脅是系統(tǒng)可能的的危

險，危險可能是利用系統(tǒng)弱點的人(系

統(tǒng)破壞者和間諜)、事(不完善的設(shè)備

和事件(火災和洪水)。

富對策(countermeasure)：對策是保護系

統(tǒng)的技術(shù)。

2011年6月30日12時42網(wǎng)絡(luò)安全8

分

:脆弱點

物理：大樓和機房。鎖、門衛(wèi)和生物測定設(shè)備（如指

紋、聲波紋、簽名）可以提供重要的第一道防線以防

止侵入。

副自然：自然災難和環(huán)境威脅。如火災、洪水、地震、

灰塵、濕度等。

硬件和軟件：硬件故障、軟件錯誤、以及硬件連接不

正確和軟件安裝不正確等。

媒體：磁盤、磁帶和打印品可能被偷和毀壞等。

輻射：電子設(shè)備發(fā)射的電信號和電磁輻射可能被破譯。

通信：信息被截取、錯投和偽造等，通信線路被分接、

破壞等。

人：系統(tǒng)管理員沒有被培訓、或犯罪等。

2011年6月30日12時42網(wǎng)絡(luò)安全9

分

:威脅

富自然和物理威脅：使每一個物理設(shè)備處

于危險中的威脅，如火災、洪水、電力

故障以及其它災難。

目無意的威脅：因無知帶來的危險。

目有意的威脅：這就是安全產(chǎn)品極力防止

的危險，它來自兩個方面：外部人士與

內(nèi)部人員。

2011年6月30日12時42網(wǎng)絡(luò)安全10

分

:對策

匐計算機安全：保護存放在計算機系統(tǒng)中信息的

安全。計算機安全主要關(guān)心控制系統(tǒng)及系統(tǒng)中

數(shù)據(jù)的訪問權(quán)限的操作系統(tǒng)特征。

通信安全：保護信息通過電話、電纜、微波、

衛(wèi)星等傳輸時的安全。通信安全主要關(guān)心對計

算機系統(tǒng)的網(wǎng)絡(luò)訪問，和增進連接到外部世界

的系統(tǒng)的安全的技術(shù)。

物理安全：保護物理計算機設(shè)備不受自然災難

和入侵者破壞。物理安全方法包括傳統(tǒng)的鎖和

鑰匙，以及先進的技術(shù)，如智能卡和生物測定

設(shè)備。

2011年6月30日12時42網(wǎng)絡(luò)安全11

分

:安全對策

避免(Avoidance)

與轉(zhuǎn)移(Transfer)

減少威脅(ReductionofThreat)

解減少脆弱點(ReductionofVulnerability)

實時發(fā)現(xiàn)(Real-timeDetection)

與非實時發(fā)現(xiàn)(Non-real-timeDetection)

減少影響(ReductionofImpact)

菖實時恢復(Real-timeRecovery)

非實時恢復(Non-real-timeRecovery)

2011年6月30日12時42網(wǎng)絡(luò)安全

分

安全級別的劃分

NCSC(NationalComputerSecurityCenter)領(lǐng)導著計

算機和網(wǎng)絡(luò)安全的研究工作，研制計算機安全技術(shù)標

準，它在1983年提出了“可信計算機系統(tǒng)評測標

準“(TCSEC-TrustedComputerSystemEvaluation

Criteria),規(guī)定了安全計算機的基本準則。1987年又發(fā)

布了“可用網(wǎng)絡(luò)說明"(TNLTrustedNetwork

Interpretation),規(guī)定了一個安全網(wǎng)絡(luò)的基本準則，根據(jù)

不同的安全強度要求，將網(wǎng)絡(luò)分為四級安全模型。

解在TCSEC準則中將計算機系統(tǒng)的安全分為了四大類,

依次為D、C、B和A,A是最高的一類，每一類都代表

一個保護敏感信息的評判準則，并且一類比一類嚴格。

2011年6月30日12時42網(wǎng)絡(luò)安全13

分

安全級別的劃分

D類：最小的保護。這是最低的一類，不再分

級，這類是那些通過評測但達不到較高級別安

全要求的系統(tǒng)。早期商用系統(tǒng)屬于這一類。

C類：無條件的保護。C類提供的無條件的保護

也就是“需要則知道"(need-to-known)的保護,

又分兩個子類。

-C1：無條件的安全保護。這是C類中較低的一個子

類，提供的安全策略是無條件的訪問控制，具有識

別與授權(quán)的責任。早期的UNIX系統(tǒng)屬于這一類。

-C2：有控制的存取保護。這是C類中較高的一個子

類，除了提供C1中的策略與責任外，還有訪問保護

和審計跟蹤功能。如SCOUNIXo

2011年6月30日12時42網(wǎng)絡(luò)安全14

分

安全級別的劃分

囿B類：屬強制保護，要求系統(tǒng)在其生成的

數(shù)據(jù)結(jié)構(gòu)中帶有標記，并要求提供對數(shù)

據(jù)流的監(jiān)視，B類又分三個子類：

-B1：標記安全保護，是B類中的最低子類，

除滿足C類要求外，要求提供數(shù)據(jù)標記。

-B2：結(jié)構(gòu)安全保護，是B類中的中間子類，

除滿足B1要求外，要實行強制性的控制。

-B3：安全域保護，是B類中的最高子類，提

供可信設(shè)備的管理和恢復，即使計算機崩潰,

也不會泄露系統(tǒng)信息。

2011年6月30日12時42網(wǎng)絡(luò)安全15

分

:安全級別的劃分

[fA類：經(jīng)過驗證的保護，是安全系統(tǒng)等級

的最高類，這類系統(tǒng)可建立在具有結(jié)構(gòu)

規(guī)范和信息流密閉的形式模型基礎(chǔ)之上

-A1：經(jīng)過驗證保護。

TCSEC共定義了四類7級可信計算機

系統(tǒng)準則，銀行界一般都使用滿足C2級

或更高的計算機系統(tǒng)。

2011年6月30日12時42網(wǎng)絡(luò)安全16

分

::安全技術(shù)

i身份驗證

副訪問控制

鼠加密

匐防火墻技術(shù)

?記帳

2011年6月30日12時42網(wǎng)絡(luò)安全17

分

:身份驗證

冒身份驗證(IdentificationandAuthentication)是

一致性驗證的一種，驗證是建立一致性

證明的一種手段。身份驗證主要包括驗

證依據(jù)、驗證系統(tǒng)和安全要求。

fIdentification是指用戶向系統(tǒng)出示自己的

身份證明，最簡單的方法是輸入UserID

和password。而Authentication則是系統(tǒng)查

驗用戶的身份證明。

2011年6月30日12時42網(wǎng)絡(luò)安全18

分

:訪問控制

目訪問控制(AccessControl)功能控制和定義

一個對象對另一個對象的訪問權(quán)限。在

面向?qū)ο蟮陌踩到y(tǒng)中，所有資源、程

序甚至用戶都是對象。安全系統(tǒng)必須有

一組規(guī)劃，當一個對象要訪問另一個對

象時，系統(tǒng)可根據(jù)這些規(guī)劃確定是否允

許這一訪問。

冒最常見的訪問控制是Unix系統(tǒng)的文件與

目錄的訪問權(quán)限控制。

2011年6月30日12時42網(wǎng)絡(luò)安全19

分

:加密

?富加密是一種很古老的保護信息安全的方

:法，在現(xiàn)代計算機安全中，它也起著很

?重要的作用。如PGP(PrettyGoodPrivacy)、

?數(shù)據(jù)加密標準(DES)等。

:副加密方法有兩種：公共密鑰加密和專用

?密鑰加密。

2011年6月30日12時42網(wǎng)絡(luò)安全20

分

:專用密鑰加密

冒專用密鑰加密具有對稱性，即加密密鑰

也可以用作解密。最有名的專用密鑰加

密系統(tǒng)就是數(shù)據(jù)加密標準(DES),這個標

準現(xiàn)在由美國國家安全局和國家標準與

技術(shù)局來管理。另一個系統(tǒng)是國際數(shù)據(jù)

加密算法(IDEA),它比DES的加密性好,

而且商要的計算機功能也不么強。IDEA

加密標準由PGP(PrettyGoodPrivacy)系統(tǒng)

使用。

2011年6月30日12時42網(wǎng)絡(luò)安全21

分

:公共密鑰加密

冒公共密鑰加密使用兩個不同的密鑰，因

此是一種不對稱的加密系統(tǒng)。它的一個

密鑰是公開的，而系統(tǒng)的基本功能也是

有公共密鑰的人可以訪問的，公共密鑰

可以保存在系統(tǒng)目錄內(nèi)或保存在未加密

的電子郵件信息中。它的另一個密鑰是

專用的，它用來加密信息但公共密鑰可

以解密該信息，它也可以對公共密鑰加

密的信息解密。

2011年6月30日12時42網(wǎng)絡(luò)安全22

分

::防火墻技術(shù)

副防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安

全防范的系統(tǒng)，可被認為是一種訪問控

制機制，用于確定哪些內(nèi)部服務(wù)允許外

部訪問，以及允許哪些外部服務(wù)訪問內(nèi)

部服務(wù)。

目防火墻有三種類型：包過濾路由器、應(yīng)

用級網(wǎng)關(guān)（或代理服務(wù)器）、線路級網(wǎng)關(guān)。

2011年6月30日12時42網(wǎng)絡(luò)安全23

分

:記帳

冒在系統(tǒng)中保留一個日志文件，與安全相

關(guān)的事件可以記在日志文件中，以便于

事后調(diào)查和分析，追查有關(guān)責任者，發(fā)

現(xiàn)系統(tǒng)安全的弱點。

凰如Unix的syslog可以記錄系統(tǒng)的一些日志。

另外，可以采用專用的記帳程序來對關(guān)

心的網(wǎng)絡(luò)系統(tǒng)進行記帳。

2011年6月30日12時42網(wǎng)絡(luò)安全24

分

:網(wǎng)絡(luò)常用攻擊工具簡介

鼠掃描器

鼠口令“入侵者”

鼠特洛伊木馬

囿Sniffer

匐其它工具

2011年6月30日12時42網(wǎng)絡(luò)安全25

分

:掃描器

冒掃描器是自動檢測遠程或本地主機安全

性弱點的程序。真正的掃描器是TCP端

口掃描器，這種程序可以選通TCP/IP端

口和服務(wù)（如telnet或FTP）,并記錄目

標的回答。通過這種胃法，可以收集到

關(guān)于目標主機的有用信息。

置掃描器的主要屬性有：

-尋找一臺機器或一個網(wǎng)絡(luò)；

-一旦發(fā)現(xiàn)一臺機器，可以找出機器正在運行

的服務(wù)；

-測試具有漏洞的那些服務(wù)。

2011年6月30日12時42網(wǎng)絡(luò)安全26

分

:流行的掃描器

fNSS（網(wǎng)絡(luò)安全掃描器）

NSS是一個Perl語言寫的掃描器，它可以

執(zhí)行下列常規(guī)檢查：

*^Sendmail

令匿名FTP

令NFS出口

令TFTP

令Hosts.equiv

OXhost

dStrobe（超級優(yōu)化TCP端口檢測程序）

Strobe是一個TCP端口掃描器，它可以記

錄指定機器的所有開放端口。

2011年6月30日12時42網(wǎng)絡(luò)安全27

分

:流行的掃描器

fSATAN（安全管理員的網(wǎng)絡(luò)分析工具）

SATAN用于掃描遠程主機的許多已知的

漏洞，其中：

-FTPD弱點和可寫的FTP目錄

-NFS弱點

-NIS弱點

-RSH弱點

-Sendmail

-X服務(wù)器弱點

2011年6月30日12時42網(wǎng)絡(luò)安全28

分

:防御掃描器的辦法

鼠使用詳細的日志；

??

副定期分析日志，特別是關(guān)心其中的異常

事件。

2011年6月30日12時42網(wǎng)絡(luò)安全29

分

:口令“入侵者”

f口令入侵者是指任何可以解開口令或者

屏蔽口令保護的程序?？诹钊肭终叨际?/p>

用“蠻力”——以很高的速度，一個口

令接一個口令地去試，最終找到正確的

口令。它經(jīng)常利用有問題的而缺乏保護

的口令進行攻擊，這是最常見的攻擊方

式之一。

2011年6月30日12時42網(wǎng)絡(luò)安全30

分

:常用口令入侵者程序

0AlecMuffett的Crack用于破解加密

UNIX口令的最著名的工具，它現(xiàn)已程序

檢查網(wǎng)絡(luò)口令弱點的工業(yè)標準。

囿Jackal的CrackerJack是一個專為DOS

平臺設(shè)計的、著名的UNIX口令入住多

常SolarDesigner的JohntheRipper可運彳亍于

DOS/Windows95平臺的UNIX口令入侵

者。

富MichaelA.Quinlan的ZipCrack是用于破

解后綴是.zip的文件的口令。

2011年6月30日12時42網(wǎng)絡(luò)安全31

分

:防止口令入侵者的辦法

常使用安全的口令（不是字典中的詞，字

??母、數(shù)字、特殊字符混合使用）；

鼠經(jīng)常修改口令。

2011年6月30日12時42網(wǎng)絡(luò)安全32

分

:特洛伊木馬

[I特洛伊木馬是包含在正常程序中的未經(jīng)

*授權(quán)的代碼或程序，它提供了一些用戶

不知道的（也可能是不希望實現(xiàn)的）功

能。

1防止特洛伊木馬的辦法：

-不輕易使用不明底細的可執(zhí)行文件；

-檢測文件完整性（利用時間、長度等信息）；

-使用工具（如MD5、Hobgoblin等）。

2011年6月30日12時42網(wǎng)絡(luò)安全33

分

:Sniffer（嗅探器）

冒Sniffer既可以是硬件，也可以是軟件，它

用來接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。Sniffer是

一種很危險的工具，因為它們：

-可以截獲口令；

-可以截獲秘密的或?qū)Ｓ械男畔ⅲ?/p>

-可以被用來攻擊相鄰的網(wǎng)絡(luò)。

-如何挫敗一個Sniffer：

_力口密

口使用.全的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

2011年6月30日12時42網(wǎng)絡(luò)安全34

分

:其它工具

自郵件炸彈和列表鏈接；

??

鼠拒絕服務(wù)(Denial-of-Service)工具;

耳病毒。

2011年6月30日12時42網(wǎng)絡(luò)安全35

分

防火墻系統(tǒng)介紹

副防火墻星連接網(wǎng)絡(luò)到因特網(wǎng)同時又保護

那個網(wǎng)落的最有效的辦法。

冒定義：所謂防火墻就是一個或一組網(wǎng)絡(luò)

設(shè)備（計算機或路由器等），可用來在兩上

或多個網(wǎng)絡(luò)間加強訪問校制。

-在學術(shù)界，也有人持不同的意見，他們認為

防火墻應(yīng)是完全不同于路由器的設(shè)備，是可

在應(yīng)用層對報文分組進行處理的網(wǎng)絡(luò)安全設(shè)

備，如雙宿主機、應(yīng)用層網(wǎng)關(guān)等。而把硬件

加密設(shè)備、篩選路由器等工作在網(wǎng)絡(luò)層以下

的設(shè)備只看作防火墻的組成部件。

2011年6月30日12時42網(wǎng)絡(luò)安全36

分

[I防火墻是安全決策的焦點：把防火墻看

做阻塞點，所有進出的信息必須穿過這

個唯一的、狹窄的檢查點。防火墻為網(wǎng)

絡(luò)安全起到了把關(guān)的作用。

[I防火墻能強制安全策略：因特網(wǎng)的許多

服務(wù)是不安全的，防火墻是這些服務(wù)中

的“交通警察”，它執(zhí)行站點的安全策

略，僅僅允許“認可的”和符合規(guī)則的

服務(wù)通過。

2011年6月30日12時42網(wǎng)絡(luò)安全37

分

:防火墻能做什么

口防火墻能有效地記錄因特網(wǎng)活動：作為

訪問的唯一點，防火墻能在被保護的網(wǎng)

絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。

tI防火墻可以限制信息的顯露：防火墻可

以用來隔離兩個網(wǎng)段，它能防止影響一

個網(wǎng)段的問題拿過整個網(wǎng)絡(luò)傳播。

I防火墻是設(shè)置網(wǎng)絡(luò)地址翻譯器(NAT)的最

住改置：網(wǎng)址翻譯器官助于緩和地址空

間的不足，并向使一個機構(gòu)變換Internet

服務(wù)提供商時不必重新編號。

2011年6月30日12時42網(wǎng)絡(luò)安全38

分

:防火墻不能做什么

富防火墻不能防范惡意的知情者;

:副防火墻對不通過它的連接難有作為;

?副防火墻不能防備完全新的威脅；

:副防火墻不能防備病毒；

:副防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。

2011年6月30日12時42網(wǎng)絡(luò)安全

防火墻的基本準則

匐一切未被允許的就是禁止的。基于該準則，防火墻應(yīng)

封鎖所有信息流，然后對希望提供的服務(wù)逐項開放。

這是一種非常實用的方法，可以造成一種十分安全的

環(huán)境，因為只有經(jīng)過仔細挑選的服務(wù)才被允許使用。

其弊端是，安全性高于用戶使用的方便性，用戶所能

使用的服務(wù)范圍受限制。

解一切未被禁止的就是允許的?；谠摐蕜t，防火墻應(yīng)

轉(zhuǎn)發(fā)所有信息流，然后逐項屏蔽可能有害的服務(wù)。這

種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可為用戶提

供更多的服務(wù)。其弊端是，在日益增多的網(wǎng)絡(luò)服務(wù)面

前，網(wǎng)管人員疲于奔命，特別是受保護的網(wǎng)絡(luò)范圍增

大時，很難提供可靠的安全防護。

2011年6月30日12時42網(wǎng)絡(luò)安全40

分

::防火墻的結(jié)構(gòu)

防火墻的結(jié)構(gòu)分為三種：基于路由器的過濾器、

主計算機網(wǎng)關(guān)和一個獨立的隔離網(wǎng)絡(luò)。

-建立防火墻的最簡單方法是使用可編程路由器作為

包過濾器，這種方案是目前用得最普遍的網(wǎng)絡(luò)互連

安全結(jié)構(gòu)。路由器根據(jù)源/目的地址或包頭部的信息,

有選擇地使數(shù)據(jù)包通過或阻塞。

-基于主機的防火墻，具有更大的能力。通常用路由

器的防火墻監(jiān)控IP層的數(shù)據(jù)包，用計算機在應(yīng)用層

實施控制。

-隔離網(wǎng)絡(luò)是位于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)，

它使Internet和內(nèi)部網(wǎng)絡(luò)都能對它進行存取，避免了

內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接訪問。

2011年6月30日12時42網(wǎng)絡(luò)安全41

分

:防火墻的基本類型

口包過濾型(PacketFilter)

?口代理服務(wù)型(ProxyService)

:匐雙端主機防火墻(Dual-HomedHostFirewall)

?鼠屏蔽主機防火墻(ScreenedHostFirewall)

?解屏蔽子網(wǎng)防火墻(ScreenedSubnetFirewall)

2011年6月30日12時42網(wǎng)絡(luò)安全

分

:包過濾型

通

路-H

，

因

J力

一

過

商mHX

力

一

。

酚^

一

U苴

寧1

s色5

規(guī)MW

自U

包

。W

Hsaw包I.PI

鏘.IP

TsAAW

TP港JDCN/

口

TTC卷^

ne、

TC的

IP端

出

入

口

DP包

P/口I

rc口

一

u>n輸^

IC如

居

接P.J

到

規(guī)

口W

仃

允

魯

，