第10章 網(wǎng)絡(luò)安全

第10章網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)隨著“大數(shù)據(jù)時(shí)代”的到來，越來越多人的學(xué)習(xí)、工作和生活離不開計(jì)算機(jī)網(wǎng)絡(luò)，隨之出現(xiàn)的是各類網(wǎng)絡(luò)安全問題。部分人出于各種目的，對(duì)網(wǎng)絡(luò)進(jìn)行破壞，使正常的網(wǎng)絡(luò)受到各種安全威脅。大家在上網(wǎng)過程中，如何應(yīng)對(duì)這些問題？引子【知識(shí)目標(biāo)】1.學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)安全基本概念。2.學(xué)習(xí)數(shù)據(jù)加解密基本原理。3.學(xué)習(xí)網(wǎng)絡(luò)防火墻安全防護(hù)實(shí)現(xiàn)方法?！炯寄苣繕?biāo)】1.掌握分析網(wǎng)絡(luò)面臨的各種安全問題的技能。2.具備使用安全軟件的能力?！舅仞B(yǎng)目標(biāo)】1.培養(yǎng)探究科學(xué)規(guī)律的精神。2.培養(yǎng)不怕困難、勇攀高峰的意志品質(zhì)。3.培養(yǎng)嚴(yán)謹(jǐn)細(xì)致的作風(fēng)。學(xué)習(xí)目標(biāo)10.1網(wǎng)絡(luò)安全簡(jiǎn)介10.1概述網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)通信面臨著各種各樣的威脅，消除安全威脅，才能達(dá)到網(wǎng)絡(luò)及信息安全的目標(biāo)。本節(jié)主要講述：1、網(wǎng)絡(luò)安全的定義2、網(wǎng)絡(luò)面臨的安全威脅3、計(jì)算機(jī)網(wǎng)絡(luò)及信息安全的目標(biāo)10.1.1網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。10.1.2網(wǎng)絡(luò)面臨的安全威脅（1）截獲（Interception）。攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。（2）中斷（Interruption）。攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。（3）篡改（Modification）。攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。（4）偽造（Fabrication）。攻擊者偽造信息在網(wǎng)絡(luò)上傳送。網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊10.1.3計(jì)算機(jī)網(wǎng)絡(luò)及信息安全的目標(biāo)1．機(jī)密性機(jī)密性是指保證信息不能被非授權(quán)訪問，即非授權(quán)用戶得到信息也無法知曉信息內(nèi)容，因而不能使用。2．完整性完整性是只有得到允許的人才能修改實(shí)體或者進(jìn)程，并且能夠判別出實(shí)體或者進(jìn)程是否已被修改。3．可用性可用性是信息資源服務(wù)功能和性能可靠性的度量，涉及到物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用和用戶等多方面的因素，是對(duì)信息網(wǎng)絡(luò)總體可靠性的要求。10.1.3計(jì)算機(jī)網(wǎng)絡(luò)及信息安全的目標(biāo)4．可控性可控性主要指對(duì)危害國(guó)家信息（包括利用加密的非法通信活動(dòng)）的監(jiān)視審計(jì)。5．不可否認(rèn)性不可否認(rèn)性是對(duì)出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“逃不脫”，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性，一般通過數(shù)字簽名等技術(shù)來實(shí)現(xiàn)不可否認(rèn)性。10.2網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)10.2概述隨著網(wǎng)絡(luò)應(yīng)用的普及，黑客發(fā)起的網(wǎng)絡(luò)攻擊也越來越多，攻擊的方式和手段也不斷更新，研究黑客入侵過程，是為了做好網(wǎng)絡(luò)安全的防范工作。本節(jié)主要講述：1、黑客入侵攻擊的一般過程2、網(wǎng)絡(luò)安全所涉及的技術(shù)10.2 .1黑客入侵攻擊的一般過程黑客入侵攻擊的一般過程如下所述：（1）確定攻擊的目標(biāo)。（2）收集被攻擊對(duì)象的有關(guān)信息。（3）利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。（4）建立模擬環(huán)境，進(jìn)行模擬攻擊。（5）實(shí)施攻擊。（6）清除痕跡。10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)1．網(wǎng)絡(luò)掃描掃描器的作用：（1）檢測(cè)主機(jī)是否在線。（2）掃描目標(biāo)系統(tǒng)開放的端口，有的還可以測(cè)試端口的服務(wù)信息。（3）獲取目標(biāo)操作系統(tǒng)的敏感信息。（4）破解系統(tǒng)口令。（5）掃描其他系統(tǒng)敏感信息。10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)2．網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽是黑客在LAN中常用的一種技術(shù)，它在網(wǎng)絡(luò)中監(jiān)聽別人的數(shù)據(jù)包，監(jiān)聽的目的是分析數(shù)據(jù)包，從而獲得一些敏感信息，如賬號(hào)和密碼等。其實(shí)網(wǎng)絡(luò)監(jiān)聽也是網(wǎng)絡(luò)管理員經(jīng)常使用的一個(gè)工具，主要用來監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息，比如Wireshark就是許多系統(tǒng)管理員手中的必備工具。另外，分析數(shù)據(jù)包對(duì)于防范黑客非常重要，網(wǎng)絡(luò)監(jiān)聽工具和網(wǎng)絡(luò)掃描工具一樣，是把“雙刃劍”，因此要正確地對(duì)待它。10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)3．木馬特洛伊木馬，英文叫做“TrojanHorse”，它是一種基于遠(yuǎn)程控制的黑客工具（病毒程序）。常見的普通木馬一般是客戶端/服務(wù)端（C/S）模式，客戶端/服務(wù)端之間采用TCP/UDP的通信方式，攻擊者控制的是相應(yīng)的客戶端程序，服務(wù)器端程序是木馬程序，木馬程序被植入了毫不知情的用戶的計(jì)算機(jī)中。以“里應(yīng)外合”的工作方式，服務(wù)程序通過打開特定的端口并進(jìn)行監(jiān)聽（Listen），這些端口好像“后門”一樣，所以，也有人把特洛伊木馬叫做后門工具。攻擊者所掌握的客戶端程序向該端口發(fā)出請(qǐng)求（ConnectRequest），木馬便和它連接起來了，攻擊者就可以使用控制器進(jìn)入計(jì)算機(jī)，通過客戶端程序命令達(dá)到控制服務(wù)器端的目的。木馬工作原理10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)4．DoS攻擊拒絕服務(wù)（DenialofService，DoS）攻擊廣義上可以指任何導(dǎo)致網(wǎng)絡(luò)設(shè)備（服務(wù)器、防火墻、交換機(jī)、路由器等）不能正常提供服務(wù)的攻擊，現(xiàn)在一般指的是針對(duì)服務(wù)器的DoS攻擊。這種攻擊可能就使網(wǎng)線被拔下，或者網(wǎng)絡(luò)的堵塞等，最終的結(jié)果是正常用戶不能使用他所需要的服務(wù)。黑客使用DoS攻擊有以下的目的：（1）使服務(wù)器崩潰并讓其他人也無法訪問。（2）黑客為了冒充某個(gè)服務(wù)器，就對(duì)它進(jìn)行DoS攻擊，使其癱瘓。（3）黑客為了安裝的木馬啟動(dòng)，要求系統(tǒng)重啟，DoS攻擊可以用于強(qiáng)制服務(wù)器重啟。10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)5．網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)防毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)及病毒清除技術(shù)。（1）病毒預(yù)防技術(shù)計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)傳染和破壞。實(shí)際上這是一種動(dòng)態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。（2）病毒檢測(cè)技術(shù)計(jì)算機(jī)病毒的檢測(cè)技術(shù)是指通過一定的技術(shù)手段判定出特定計(jì)算機(jī)病毒的一種技術(shù)。它有兩種，一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長(zhǎng)度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)。另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)。（3）病毒清除技術(shù)目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對(duì)其進(jìn)行分析研究而研制出來的具有相應(yīng)殺毒功能的軟件。10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)6．加密解密技術(shù)數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密的基本思想是偽裝明文以隱蔽其真實(shí)內(nèi)容，即將明文偽裝成密文。偽裝明文的操作稱為加密，加密時(shí)所使用的信息變換規(guī)則稱為加密算法。由密文恢復(fù)出原明文的過程稱為解密。解密時(shí)所采用的信息變換規(guī)則稱作解密算法。加密和解密過程10.2 .2網(wǎng)絡(luò)安全所涉及的技術(shù)7．防火墻技術(shù)保護(hù)網(wǎng)絡(luò)安全的最主要手段之一是構(gòu)筑防火墻（Firewall）。防火墻是一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，是由硬件和軟件構(gòu)成的用來在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)。在設(shè)計(jì)防火墻時(shí)，人們認(rèn)為防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)是“可信賴的網(wǎng)絡(luò)”（TrustedNetwork），而外部網(wǎng)絡(luò)是“不可信賴的網(wǎng)絡(luò)”（UntrustedNetwork）。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。防火墻結(jié)構(gòu)10.3密碼學(xué)基本概念10.3 概述

密碼學(xué)包括密碼編碼學(xué)和密碼分析學(xué)，密碼編碼是將明文變成密文和把密文變成明文的技術(shù)，密碼分析是指在未知加密算法中使用的原始密鑰的情況下把密碼轉(zhuǎn)換成明文的步驟和運(yùn)算。10.3.1密碼體制分類1．對(duì)稱密碼算法和非對(duì)稱密碼算法根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同，可將密碼算法分成對(duì)稱密碼算法和非對(duì)稱密碼算法。2．分組密碼算法序和列密碼算法根據(jù)密碼算法對(duì)明文信息的加密方式進(jìn)行分類，可將密碼算法分成分組密碼算法序和列密碼算法。10.3.2常用密碼技術(shù)簡(jiǎn)介1．分組密碼算法

分組密碼算法是一種將消息（明文）分成等長(zhǎng)的組，在給定密鑰的控制下，使各組變換成相應(yīng)長(zhǎng)度的密文組的密碼算法。對(duì)稱密碼體制下常見的分組密碼算法。（1）DES算法（2）國(guó)際數(shù)據(jù)加密算法（IDEA）（3）其他分組算法RC5算法、AES算法等10.3.2常用密碼技術(shù)簡(jiǎn)介2．公開密鑰體制算法公開密鑰體制是這樣一種密碼體制：其密鑰成對(duì)互逆，且每對(duì)密鑰須滿足以下條件：①用一個(gè)密鑰加密的內(nèi)容，可以用另一個(gè)密鑰解密。②已知加解密算法和公開密鑰，要解出秘密密鑰是很難的，即不能由一個(gè)密鑰推導(dǎo)出另一個(gè)密鑰。因此，設(shè)計(jì)公開密鑰體制實(shí)質(zhì)上是構(gòu)造陷門單向函數(shù)。10.3.2常用密碼技術(shù)簡(jiǎn)介3．常見公開密鑰體制算法（1）RSA公開密鑰體制算法（2）ELGamal算法（3）橢圓曲線算法（EllipticCurveCryptography，ECC）（4）Rabin算法（5）背包算法10.4防火墻概述10.4 概述

防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法，實(shí)際上是一種隔離控制技術(shù)。采用防火墻在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問，也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上非法輸出。本節(jié)主要講述：1、防火墻原理2、防火墻的技術(shù)分類3、訪問控制列表工作原理10.4防火墻概述1．防火墻的基本原理

防火墻指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。從邏輯上講，防火墻是分離器、限制器，也是分析器，有效地監(jiān)控著內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。10.4防火墻概述2．防火墻的技術(shù)分類（1）包過濾技術(shù)（2）應(yīng)用代理網(wǎng)關(guān)技術(shù)（3）狀態(tài)檢測(cè)技術(shù)10.4防火墻概述3．訪問控制列表工作原理

ACL（訪問控制列表）是一種基于包過濾的流控制技術(shù)，在路由器中被廣泛采用。它可以有效地在三層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，既可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理。通過實(shí)施ACL，可以有效地部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略，也可以用來控制對(duì)LAN內(nèi)部資源的訪問能力，保障資源安全，但會(huì)增加路由器開銷，也會(huì)增加管理的復(fù)雜度和難度。10.5網(wǎng)絡(luò)安全技術(shù)的典型應(yīng)用情況10.5 WLAN的安全與防范實(shí)例一：校園網(wǎng)安全防御。

校園網(wǎng)以服務(wù)于教學(xué)、科研為宗旨，這決定了其必然是一個(gè)管理相對(duì)寬松的開放式系統(tǒng)，無法做到像企業(yè)網(wǎng)一樣進(jìn)行嚴(yán)格、統(tǒng)一的管理，這使得保障校園網(wǎng)安全成為一個(gè)大挑戰(zhàn)。某大學(xué)從自身情況出發(fā)，其安全方案主要包括以下兩個(gè)方面。1．網(wǎng)絡(luò)關(guān)鍵路由交換設(shè)備的安全配置2．采取靜態(tài)IP地址管理模式10.5 WLAN的安全與防范實(shí)例二：個(gè)人計(jì)算機(jī)安全防御。

個(gè)人計(jì)算機(jī)安全的一個(gè)關(guān)鍵問題在于計(jì)算機(jī)使用者，無論是無意的失誤、錯(cuò)誤的管理，還是人為的攻擊，都會(huì)嚴(yán)重威脅到系統(tǒng)安全，Windows常見的安全防范包括：1．殺毒軟件不可少。2．個(gè)人防火墻不可替代。3．分類設(shè)置密碼并使密碼盡可能地復(fù)雜。4．不下載來路不明的軟件及程序，不打開來歷不明的郵件及附件。5．警惕“網(wǎng)絡(luò)釣魚”。6．防范間諜軟件。7．只在必要時(shí)共享文件夾。8．不要隨意瀏覽黑客網(wǎng)站、色情網(wǎng)站。9．定期備份重要數(shù)據(jù)。10.6實(shí)訓(xùn)10