第九章 網絡安全.ppt

1、第9章 網絡安全,9.1 網絡安全概述,9.1.1 網絡安全的基本要素 網絡安全的基本要素是實現信息的機密性、完整性、可用性、可控性、可審查性、不可抵賴性和合法性。 機密性：確保信息不暴露給未授權的實體或進程。 完整性：只有得到允許的人才能修改數據，并且能夠判別出數據是否已被篡改。 可用性：得到授權的實體在需要時可訪問數據。 可控性：可以控制授權范圍內的信息流向及行為方式。 可審查性：對出現的網絡安全問題提供調查的依據和手段。 不可抵賴性：確保發(fā)送消息的人不能否認其所發(fā)過的消息。 合法性：每個想獲得訪問的實體都必須經過鑒別或身份驗證。,9.1 網絡安全概述,9.1.2 網絡安全面臨的威脅 典型

2、的網絡安全威脅主要包括以下幾個方面： 1.信息泄露或丟失 2.數據完整性破壞 3.拒絕服務 4.非授權防問 5.特洛伊木馬 6.系統安全威脅 7.病毒/蠕蟲 8.內外部泄密,9.1 網絡安全概述,9.1.3 網絡安全防護技術 局域網在防范這些安全威脅時，網絡管理員可以綜合運用下面這些常用防護技術來面對和解決。： 1.數據加密技術 2.身份認證技術 3.訪問控制技術 4.網絡防病毒技術 5.黑客防范技術 6.防火墻技術 7.入侵檢測技術,9.2 局域網病毒防范,9.2.1 計算機病毒的定義 計算機病毒（Computer Virus）在中華人民共和國計算機信息系統安全保護條例中被明確定義，病毒“指

3、編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。此定義具有法律效力和權威性。,9.2 局域網病毒防范,9.2.2 計算機病毒特點 1.計算機病毒的共同特征 1）傳染性 2）非授權性 3）隱蔽性 4）潛伏性 5）破壞性,9.2 局域網病毒防范,9.2.2 計算機病毒特點 2.計算機病毒的新特征 1）感染速度快 2）擴散面廣 3）傳播形式復雜多樣 4）難于徹底清除 5）破壞性大 6）可激發(fā)性 7）潛在性,9.2 局域網病毒防范,9.2.3 計算機病毒的防范技術 （1）加強局域網使用者的安全意識，對日常工作中隱藏的病毒危害增加警覺

4、性。 （2）使用正版軟件。 （3）從可靠渠道下載軟件。 （4）安裝網絡版反病毒軟件，并及時進行升級，定期掃描。 （5）對電子郵件提高警惕，對來歷不明的郵件不要輕易打開。 （6）定期、不定期的備份重要文件。,9.3 網絡黑客防范,9.3.1 網絡黑客的定義 “他們瞄準一臺計算機，對它進行控制，然后毀壞它?！边@是1995年美國拍攝第一部有關黑客的電影戰(zhàn)爭游戲中，對“黑客”概念的描述。 從信息安全這個角度來說，“黑客”的普遍含意是特指對電腦系統的非法侵入者。,9.3 網絡黑客防范,9.3.2 網絡黑客常用的攻擊手段 1.獲取口令 2.放置特洛伊木馬程序 3.WWW的欺騙技術 4.電子郵件攻擊 5.網

5、絡監(jiān)聽 6.拒絕服務攻擊和分布式拒絕服務攻擊（DoS 和DDoS） 7.尋找系統漏洞 8.利用帳號進行攻擊 9.偷取特權,9.3 網絡黑客防范,9.3.3 防范網絡黑客的常用措施 對于個人計算機用戶來說，可以采用以下措施來防范黑客攻擊。 （1）安裝殺毒軟件以及軟件防火墻，并經常升級殺毒軟件，更新病毒代碼庫，定期對系統進行全面殺毒。 （2）經常升級系統及應用軟件補丁，系統補丁的安裝可以到控制面板中開啟系統的“自動更新”完成，應用軟件的補丁需要到軟件的官方網站下載安裝。 （3）防范木馬程序。木馬程序會竊取植入計算機中的有用信息，因此也要防止被黑客植入木馬程序，常用的辦法有： 下載文件后先不要急于使

6、用，應用殺毒軟件先進行檢測是否安全，起到提前預防的作用。 打開“開始”“程序”“啟動”菜單，看是否有不明的運行項目，如果有則刪除。 將注冊表下的所有以“Run”為前綴的可疑程序全部刪除。,9.3 網絡黑客防范,9.3.3 防范網絡黑客的常用措施 （4）關閉不需要的系統服務，每個開放的服務就像一扇開啟的門，都有可能會被黑客悄悄地進入?？梢缘皆诳刂泼姘逯须p擊“管理工具”圖標，打開“管理工具”窗口，雙擊“服務”圖標，在打開的“服務”窗口中可以查看系統服務的運行情況，雙擊不需要的服務，單擊“停止”按鈕即可。 （5）為所有帳號設置足夠復雜的密碼，用戶弱口令不但會被黑客利用，現在不少病毒也是利用系統的弱口

7、令進行傳播的。,9.3 網絡黑客防范,9.3.3 防范網絡黑客的常用措施 針對服務器及企業(yè)用戶來說，可以采用的黑客防范措施有： （1）安裝殺毒軟件以及軟件防火墻（有條件可以使用硬件防火墻），經常升級殺毒軟件，更新病毒代碼庫，定期對系統進行全面殺毒，這樣上網時即便有黑客攻擊，網絡安全也是有保障的。 （2）經常升級系統及應用軟件補丁。 （4）不要輕易打開來歷不明的可疑的文件，不輕易打開郵箱中的附件，在打開前先使用殺毒軟件掃描一下；不要回陌生人的郵件。 （5）關閉不需要的系統服務和不必要的端口。 （6）杜絕Guest賬戶的入侵。,9.3 網絡黑客防范,9.3.3 防范網絡黑客的常用措施 （7）更換管

8、理員賬戶。Administrator賬戶擁有最高的系統權限，一旦該賬戶被人利用，后果不堪設想。 （8）封堵黑客的后門。 刪掉不必要的協議。 關閉“文件和打印共享”。 禁止建立空連接。 （9）隱藏IP地址。 （10）拒絕惡意代碼。,9.4 防火墻技術,9.4.1 防火墻定義 防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它提供信息安全服務，實現網絡和信息安全的基礎設施。,9.4 防火墻技術,9.4.2 防火墻

9、的功能 1.強化網絡安全策略 2.對網絡存取和訪問進行監(jiān)控審計 3.防止內部信息外泄,9.4 防火墻技術,9.4.3 防火墻的類型 1.包過濾防火墻 包過濾防火墻（Packet Filtering）作用在網絡層和傳輸層，它根據分組包頭源地址、目的地址和端口號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發(fā)到相應的目的地出口端，其余數據包則被從數據流中丟棄。,9.4 防火墻技術,9.4.3 防火墻的類型 2.應用代理防火墻 應用代理防火墻作用在應用層，檢查所有應用層的信息包，通過對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的作用。,9.4 防火墻技術,9.

10、4.3 防火墻的類型 3.狀態(tài)檢測防火墻 狀態(tài)檢測防火墻不僅保持了簡單包過濾防火墻的優(yōu)點，性能較好，同時對應用是透明的，這對于安全性有了大幅提升。它摒棄了簡單包過濾防火墻僅僅考查進出網絡的數據包而不關心數據包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護連接。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，生存狀態(tài)表。對該連接的后續(xù)數據包，只要符合狀態(tài)表，就可以通過。適合網絡流量大的環(huán)境。,9.4 防火墻技術,9.4.3 防火墻的類型 4.復合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法和基于代理服務的方法結合起來，形成

11、復合型防火墻產品。復合型防火墻把防病毒、內容過濾整合到防火墻中，其中還包括VPN、IDS功能。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。,9.4 防火墻技術,9.4.4 防火墻的體系結構 1篩選路由式體系結構 這種體系結構極為簡單，路由器作為內部網和外部網的唯一過濾設備，如下圖所示。,9.4 防火墻技術,9.4.4 防火墻的體系結構 2雙宿主主機體系結構 雙宿主主機專門用作內部網和外部網的分界線。該主機安裝了兩塊網卡，分別連接到兩個網絡，如下圖所示。,9.4 防火墻技術,9.4.4 防火墻的體系結構 3屏蔽主機式體系結構 屏蔽主機防火墻

12、比雙宿主機防火墻更安全。屏蔽主機防火墻體系結構是在防火墻的前面增加了屏蔽路由器，如下圖所示。,9.4 防火墻技術,9.4.4 防火墻的體系結構 4屏蔽子網式體系結構 屏蔽子網防火墻體系結構添加額外的安全層到主機屏蔽體系結構中，即通過添加周邊網絡更進一步地把內部網絡與外部網絡隔離，如下圖所示。,9.5 入侵檢測技術,9.5.1 入侵檢測的概念 入侵檢測是指“通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。,9.5 入侵檢測技術,9.5.2 入侵檢測系統基本組成及分類 IETF（互聯網網絡工程組）將一個入侵檢測系統分為四個組件：事件產生器（Event Generators）、事件分析器（Event Analyzers）、響應單元（Response Units）；事件數據庫（Event Databases）。 根據檢測對象的不同，入侵檢測系統可分為主機型和網絡型。,9.5 入侵檢測技術,9.5. 入侵檢測的過程 信息收集 1）系統和網絡日志文件 2）非正常的目錄和文件改變 3）非正常的程序執(zhí)行,9.5 入侵