計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)第3章.ppt

1、2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),第3章 網(wǎng)絡(luò)安全概述,“安全”一詞在字典中被定義為“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”和“為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。 隨著經(jīng)濟(jì)信息化的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全要求越來(lái)越高，尤其自InternetIntranet應(yīng)用發(fā)展以來(lái)，網(wǎng)絡(luò)的安全已經(jīng)涉及到國(guó)家主權(quán)等許多重大問(wèn)題。隨著“黑客”工具技術(shù)的日益發(fā)展，使用這些工具所需具備的各種技巧和知識(shí)在不斷減少，從而造成的全球范圍內(nèi)“黑客”行為的泛濫，導(dǎo)致了一個(gè)全新戰(zhàn)爭(zhēng)形式的出現(xiàn)，即網(wǎng)絡(luò)安全技術(shù)的大戰(zhàn)。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),第3章 網(wǎng)絡(luò)安全概述,本章主

2、要講授： 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全的特征 威脅網(wǎng)絡(luò)安全的因素 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 網(wǎng)絡(luò)安全的安全策略 網(wǎng)絡(luò)安全解決的方案 網(wǎng)絡(luò)安全的分類,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),3.1.1 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。它涉及的領(lǐng)域相當(dāng)廣泛。這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。下面給出網(wǎng)絡(luò)安全的一個(gè)通用定義： 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡

3、意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),（l）運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。 （2）網(wǎng)絡(luò)上系統(tǒng)信息的安全。 （3）網(wǎng)絡(luò)上信息傳播的安全，即信息傳播后果的安全。 （4）網(wǎng)絡(luò)上信息內(nèi)容的安全，即我們討論的狹義的“信息安全”。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),3.1.2 網(wǎng)絡(luò)安全的特征 （1）保密性：信息不泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用的特性。 （2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程

4、中保持不被修改、不被破壞和丟失的特性。 （3）可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即當(dāng)需要時(shí)應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。 （4）可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),3.1.3 網(wǎng)絡(luò)安全的威脅 (1)非授權(quán)訪問(wèn)（unauthorized access）：一個(gè)非授權(quán)的人的入侵。 (2)信息泄露（disclosure of information）：造成將有價(jià)值的和高度機(jī)密的信息暴露給無(wú)權(quán)訪問(wèn)該信息的人的所有問(wèn)題。 (3)拒絕服務(wù)（denial

5、 of service）：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問(wèn)題。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),3.1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 主機(jī)安全技術(shù)。 身份認(rèn)證技術(shù)。 訪問(wèn)控制技術(shù)。 密碼技術(shù)。 防火墻技術(shù)。 安全審計(jì)技術(shù)。 安全管理技術(shù)。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),3.1.5 網(wǎng)絡(luò)安全的安全策略 網(wǎng)絡(luò)用戶的安全責(zé)任：該策略可以要求用戶每隔一段時(shí)間改變其口令；使用符合一定準(zhǔn)則的口令；執(zhí)行某些檢查，以了解其賬戶是否被別人訪問(wèn)過(guò)等。重要的是，凡是要求用戶做到的，都應(yīng)明確地定義。 系統(tǒng)管理員的安全責(zé)

6、任：該策略可以要求在每臺(tái)主機(jī)上使用專門的安全措施、登錄標(biāo)題報(bào)文、監(jiān)測(cè)和記錄過(guò)程等，還可列出在連接網(wǎng)絡(luò)的所有主機(jī)中不能運(yùn)行的應(yīng)用程序。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.1 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí),正確利用網(wǎng)絡(luò)資源：規(guī)定誰(shuí)可以使用網(wǎng)絡(luò)資源，他們可以做什么，他們不應(yīng)該做什么等。如果用戶的單位認(rèn)為電子郵件文件和計(jì)算機(jī)活動(dòng)的歷史記錄都應(yīng)受到安全監(jiān)視，就應(yīng)該非常明確地告訴用戶，這是其政策。 檢測(cè)到安全問(wèn)題時(shí)的對(duì)策：當(dāng)檢測(cè)到安全問(wèn)題時(shí)應(yīng)該做什么？應(yīng)該通知誰(shuí)？這些都是在緊急的情況下容易忽視的事情。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,計(jì)算機(jī)網(wǎng)絡(luò)

7、安全受到的威脅包括： “黑客”的攻擊 計(jì)算機(jī)病毒 巨絕服務(wù)攻擊（Denial of Service Attack）,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2.1 安全威脅的類型 非授權(quán)訪問(wèn)。這主要的是指對(duì)網(wǎng)絡(luò)設(shè)備以及信息資源進(jìn)行非正常使用或超越權(quán)限使用 假冒合法用戶，主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)，以達(dá)到占用合法用戶資源的目的 數(shù)據(jù)完整性受破壞 干擾系統(tǒng)的正常運(yùn)行，改變系統(tǒng)正常運(yùn)行的方向，以及延時(shí)系統(tǒng)的響應(yīng)時(shí)間 病毒 通信線路被竊聽等,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2

8、.2 操作系統(tǒng)的脆弱性 (1)其體系結(jié)構(gòu)本身就是不安全的一種因素。 (2)另一個(gè)原因在于它可以創(chuàng)建進(jìn)程，即使在網(wǎng)絡(luò)的節(jié)點(diǎn)上同樣也可以進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活，更令人不安的是被創(chuàng)建的進(jìn)程具有可以繼續(xù)創(chuàng)建過(guò)程的權(quán)力。 (3)網(wǎng)絡(luò)操作系統(tǒng)提供的遠(yuǎn)程過(guò)程調(diào)用（RPC）服務(wù)以及它所安排的無(wú)口令入口也是黑客的通道。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2.3 計(jì)算機(jī)系統(tǒng)的脆弱性 (1)計(jì)算機(jī)系統(tǒng)的脆弱性主要來(lái)自于操作系統(tǒng)的不安全性，在網(wǎng)絡(luò)環(huán)境下，還來(lái)源于通信協(xié)議的不安全性。 (2)存在超級(jí)用戶，如果入侵者得到了超級(jí)用戶口令，整個(gè)系統(tǒng)將完全受控于入侵者。 (

9、3) 計(jì)算機(jī)可能會(huì)因硬件或軟件故障而停止運(yùn)轉(zhuǎn)，或被入侵者利用并造成損失。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2.4 協(xié)議安全的脆弱性 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)都使用的TCPIP協(xié)議以及FTP、E-mail、NFS等都包含著許多影響網(wǎng)絡(luò)安全的因素，存在許多漏洞。眾所周知的是 Robert Morries在 VAX機(jī)上用 C編寫的一個(gè)GUESS軟件，它根據(jù)對(duì)用戶名的搜索猜測(cè)機(jī)器密碼口令的程序自在1988年11月開始在網(wǎng)絡(luò)上傳播以后，幾乎每年都給Internet造成上億美元的損失。 黑客通常采用Sock、TCP預(yù)測(cè)或使用遠(yuǎn)程訪問(wèn)（RPC）進(jìn)行直接掃描等方

10、法對(duì)防火墻進(jìn)行攻擊。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2.5 數(shù)據(jù)庫(kù)管理系統(tǒng)安全的脆弱性 由于數(shù)據(jù)管理系統(tǒng)（DBMS）對(duì)數(shù)據(jù)庫(kù)的管理是建立在分級(jí)管理的概念上的，因此，DBMS的安全也是可想而知。另外，DBMS的安全必須與操作系統(tǒng)的安全配套，這無(wú)疑是一個(gè)先天的不足之處。 3.2.6 人為的因素 不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理，但又大多數(shù)缺少安全管理員，特別是高素質(zhì)的網(wǎng)絡(luò)管理員。此外，缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范，缺少定期的安全測(cè)試與檢查，更缺少安全監(jiān)控。令人擔(dān)憂的許多網(wǎng)絡(luò)系統(tǒng)已使用多年，但網(wǎng)絡(luò)管理員與用戶的注冊(cè)、口令等還是處于缺省狀態(tài)。

11、,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2.7 各種外部威脅 (1)物理威脅 (2)網(wǎng)絡(luò)威脅 (3)身份鑒別 (4)編程 (5)系統(tǒng)漏洞,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.2 威脅網(wǎng)絡(luò)安全的因素,3.2.8 防范措施 （1）用備份和鏡像技術(shù)提高數(shù)據(jù)完整性 （2）防毒 （3）補(bǔ)丁程序 （4）提高物理安全 （5）構(gòu)筑因特網(wǎng)防火墻 （6）廢品處理守則 （7）仔細(xì)閱讀日志 （8）加密 （9）提防虛假的安全,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.3 網(wǎng)絡(luò)安全分類,根據(jù)中國(guó)國(guó)家計(jì)算機(jī)安全規(guī)范，計(jì)算機(jī)的安全大致可分為

12、三類： （1）實(shí)體安全，包括機(jī)房、線路、主機(jī)等 （2）網(wǎng)絡(luò)與信息安全，包括網(wǎng)絡(luò)的暢通、準(zhǔn)確以及網(wǎng)上信息的安全 （3）應(yīng)用安全，包括程序開發(fā)運(yùn)行、IO、數(shù)據(jù)庫(kù)等的安全,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.3 網(wǎng)絡(luò)安全分類,3.3.1 基本安全類 基本安全類包括訪問(wèn)控制、授權(quán)、認(rèn)證、加密以及內(nèi)容安全。 3.3.2 管理與記賬類 管理與記賬類安全包括安全的策略的管理、實(shí)時(shí)監(jiān)控、報(bào)警以及企業(yè)范圍內(nèi)的集中管理與記賬。 3.3.3 網(wǎng)絡(luò)互聯(lián)設(shè)備安全類 網(wǎng)絡(luò)互聯(lián)設(shè)備包括路由器、通信服務(wù)器、交換機(jī)等，網(wǎng)絡(luò)互聯(lián)設(shè)備安全正是針對(duì)上述這些互聯(lián)設(shè)備而言的，它包括路由安全管理、遠(yuǎn)程訪問(wèn)服務(wù)器安全管

13、理、通信服務(wù)器安全管理以及交換機(jī)安全管理等等。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,3.3.4 連接控制類 連接控制類包括負(fù)載均衡、可靠性以及流量管理等。 由于網(wǎng)絡(luò)安全范圍的不斷擴(kuò)大；如今的網(wǎng)絡(luò)安全不再是 僅僅保護(hù)內(nèi)部資源的安全，還必須提供附加的服務(wù)，例如， 用戶確認(rèn)、通過(guò)保密、甚至于安全管理傳統(tǒng)的商務(wù)交易機(jī) 制，如訂貨和記賬等。 3.4.1 網(wǎng)絡(luò)信息安全模型 一個(gè)完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三類措施： 社會(huì)的法律政策，企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育 技術(shù)方面的措施，如防火墻技術(shù)、防病毒。信息加密、身份確認(rèn)以及授權(quán)等 審計(jì)與管理措施，包括技術(shù)與社會(huì)措

14、施,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,3.4.2 安全策略設(shè)計(jì)依據(jù) 在制定網(wǎng)絡(luò)安全策略時(shí)應(yīng)當(dāng)考慮如下因素： 對(duì)于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序 初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員） 方便程度和服務(wù)效率 復(fù)雜程度和安全等級(jí)的平衡 網(wǎng)絡(luò)性能,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,3.4.3 網(wǎng)絡(luò)安全解決方案 (1)信息包篩選,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,(2)

15、應(yīng)用中繼器,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,(3)保密與確認(rèn) “保密”可以保證當(dāng)一個(gè)信息被送出后，只有預(yù)定的接收者能夠閱讀和加以解釋。它可以防止竊聽，并且允許在公用網(wǎng)絡(luò)上安全地傳輸機(jī)密的或者專用的信息。 “確認(rèn)”意味著向信息（郵件、數(shù)據(jù)、文件等）的接收者保證發(fā)送是該信息的擁有者，并且意味著，數(shù)據(jù)在傳輸期間不會(huì)被修改。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,3.4.4 網(wǎng)絡(luò)安全性措施 要實(shí)施一個(gè)完整的網(wǎng)絡(luò)安全系統(tǒng)，至少應(yīng)該包括三

16、類措施： 社會(huì)的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境 技術(shù)方面的措施，如網(wǎng)絡(luò)防毒、信息加密、存儲(chǔ)通信、授權(quán)、認(rèn)證以及防火墻技術(shù) 審計(jì)和管理措施，這方面措施同時(shí)也包含了技術(shù)與社會(huì)措施。,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,為網(wǎng)絡(luò)安全系統(tǒng)提供適當(dāng)安全的常用的方法： 修補(bǔ)系統(tǒng)漏洞 病毒檢查 加密 執(zhí)行身份鑒別 防火墻 捕捉闖入者 直接安全 空閑機(jī)器守則 廢品處理守則 口令守則,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,可以采取的網(wǎng)絡(luò)安全性措施有： 選擇性能優(yōu)良的服務(wù)器。服務(wù)器是網(wǎng)絡(luò)的核心；它的故障意味著

17、整個(gè)網(wǎng)絡(luò)的癱瘓，因此，要求的服務(wù)應(yīng)具有：容錯(cuò)能力。帶電熱插拔技術(shù)，智能IO技術(shù)，以及具有良好的擴(kuò)展性 采用服務(wù)器備份。服務(wù)器備份方式分為冷備份與熱備份二種，熱備份方式由于實(shí)時(shí)性好，可以保證數(shù)據(jù)的完整性和連續(xù)性，得以廣泛采用的一種備份方式 對(duì)重要網(wǎng)絡(luò)設(shè)備、通信線路備份。通信故障就意味著正常工作無(wú)法進(jìn)行。所以，對(duì)于交換機(jī)、路由器以及通信線路最好都要有相應(yīng)的備份措施,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,3.4.5 Internet安全管理 (1)應(yīng)解決的安全問(wèn)題 (2) 對(duì)Internet網(wǎng)的安全管理措施 安全保密遵循的基本原則： 根據(jù)所面臨的安全問(wèn)題，決

18、定安全的策略。 根據(jù)實(shí)際需要綜合考慮，適時(shí)地對(duì)現(xiàn)有策略進(jìn)行適當(dāng)?shù)男薷?，每?dāng)有新的技術(shù)時(shí)就要補(bǔ)充相應(yīng)的安全策略。 構(gòu)造企業(yè)內(nèi)部網(wǎng)絡(luò)，在Intranet和 Internet之間設(shè)置“防火墻”以及相應(yīng)的安全措施。 完善管理功能 加大安全技術(shù)的開發(fā)力度,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,3.4.6 網(wǎng)絡(luò)安全的評(píng)估 確定單位內(nèi)部是否已經(jīng)有了一套有關(guān)網(wǎng)絡(luò)安全的方案，如果有的話，將所有有關(guān)的文檔匯總；如果沒(méi)有的話，應(yīng)當(dāng)盡快制訂 對(duì)已有的網(wǎng)絡(luò)安全方案進(jìn)行審查 確定與網(wǎng)絡(luò)安全方案有關(guān)的人員，并確定對(duì)網(wǎng)絡(luò)資源可以直接存取的人或單位（部門） 確保所需要的技術(shù)能使網(wǎng)絡(luò)安全方案得以落實(shí) 確定內(nèi)部網(wǎng)絡(luò)的類型。因?yàn)榫W(wǎng)絡(luò)類型的不同直接影響到安全方案接口的選擇,2020年9月23日12時(shí)55分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),3.4 網(wǎng)絡(luò)安全解決方案,如果需要接入互聯(lián)網(wǎng)；則需要仔細(xì)檢查聯(lián)人互聯(lián)網(wǎng)后可能出現(xiàn)的影響網(wǎng)絡(luò)安全的事項(xiàng) 確定接入互聯(lián)網(wǎng)的方式，是拔號(hào)接入，還是低速的專線，是一條T1中速專線，還是一條T3高速專線 確定單位內(nèi)部能提供互聯(lián)網(wǎng)訪問(wèn)的用戶，并明確互聯(lián)網(wǎng)接入用戶是固定的還是移動(dòng)的 是否需要加密，如果需要加密，必須說(shuō)明要求的性質(zhì)，比如，是對(duì)