ZXR10 產(chǎn)品操作維護標準培訓資料：R10-A-CH-網(wǎng)絡安全概述

網(wǎng)絡安全概述v1.0課程目標通過本章的學習，您可以獲得以下收獲了解什么是網(wǎng)絡安全了解引起網(wǎng)絡不安全的因素了解網(wǎng)絡安全面臨的威脅內(nèi)容提要什么是網(wǎng)絡安全引起網(wǎng)絡不安全的因素網(wǎng)絡安全面臨的威脅什么是計算機網(wǎng)絡？計算機網(wǎng)絡，就是把地理分散的計算機與外設利用通信線路互連成一個系統(tǒng)，從而使眾多的計算機可以方便地交互信息，共享資源。Internet網(wǎng)絡發(fā)展歷史階段二：70’s－80’s階段三：80’s－至今階段一：50’s－60’sInternetlan網(wǎng)絡安全的定義網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。網(wǎng)絡安全的屬性保密性－信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性－數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊?？煽匦裕瓕π畔⒌膫鞑ゼ皟?nèi)容具有控制能力?？蓪彶樾裕霈F(xiàn)安全問題時提供審查的依據(jù)與手段。用戶（個人、企業(yè)等）的安全需求Internet個人隱私商業(yè)利益?zhèn)€人用戶企業(yè)用戶網(wǎng)絡運行和管理者的安全需求DOS&DDOS黑客陷門病毒非法存取運行和管理者非法占用和非法控制安全保密部門的網(wǎng)絡安全需求Internet非法信息國家機密信息有害信息內(nèi)容提要什么是網(wǎng)絡安全引起網(wǎng)絡不安全的因素網(wǎng)絡安全面臨的威脅引起網(wǎng)絡不安全的因素（一）操作系統(tǒng)的脆弱性操作系統(tǒng)其體系結構本身可能就是一種不安全的因素由于操作系統(tǒng)可以創(chuàng)建進程，即使在網(wǎng)絡的節(jié)點上同樣也可以進行遠程進程的創(chuàng)建與激活，而且被創(chuàng)建的進程具有可以繼續(xù)創(chuàng)建過程的權力網(wǎng)絡操作系統(tǒng)提供的遠程過程調(diào)用（RPC）服務以及它所安排的無口令入口也常常是黑客的入侵通道引起網(wǎng)絡不安全的因素（二）計算機系統(tǒng)的脆弱性存在超級用戶，如果入侵者得到了超級用戶口令，整個系統(tǒng)將完全受控于入侵者計算機可能會因硬件或軟件故障而停止運轉(zhuǎn)，或被入侵者利用并造成損失計算機系統(tǒng)上運行的軟件本身存在安全漏洞的引起網(wǎng)絡不安全的因素（三）協(xié)議安全的脆弱性當前計算機網(wǎng)絡系統(tǒng)都使用的TCP/IP協(xié)議以及FTP、E-mail、NFS等都包含著許多影響網(wǎng)絡安全的因素，存在許多漏洞黑客通常采用Sock、TCP預測或使用遠程訪問（RPC）進行直接掃描等方法對防火墻進行攻擊引起網(wǎng)絡不安全的因素（四）數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性由于數(shù)據(jù)管理系統(tǒng)（DBMS）對數(shù)據(jù)庫的管理是建立在分級管理的概念上的，因此DBMS的安全也存在隱患DBMS的安全必須與操作系統(tǒng)的安全配套，由于操作系統(tǒng)本身也存在安全隱患，所以這是DBMS一個先天的不足之處引起網(wǎng)絡不安全的因素（五）管理的因素不管是什么樣的網(wǎng)絡系統(tǒng)都離不開人的管理，但又大多數(shù)缺少安全管理員，特別是高素質(zhì)的網(wǎng)絡管理員缺少網(wǎng)絡安全管理的技術規(guī)范，缺少定期的安全測試與檢查，更缺少安全監(jiān)控，比如許多網(wǎng)絡系統(tǒng)已使用多年，但網(wǎng)絡管理員與用戶的注冊名或口令等還處于缺省狀態(tài)引起網(wǎng)絡不安全的因素（六）其他各種外部因素網(wǎng)絡設備所存放的環(huán)境安全因素，比如電源的健壯性，環(huán)境的溫度、濕度、潔凈程度以及防雷、防靜電、防水、防火、防電磁干擾等是否符合要求物理鏈路工作不正常遭受意外破壞，包括人為和自然的破壞內(nèi)容提要什么是網(wǎng)絡安全引起網(wǎng)絡不安全的因素網(wǎng)絡安全面臨的威脅網(wǎng)絡安全面臨的威脅大類非授權訪問，這主要的是指對網(wǎng)絡設備以及信息資源進行非正常使用或超越權限使用假冒合法用戶，主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權，以達到占用合法用戶資源的目的數(shù)據(jù)完整性受破壞，或數(shù)據(jù)發(fā)生泄露干擾網(wǎng)絡的正常運行，更改網(wǎng)絡運行參數(shù)由病毒引發(fā)的不良后果TCP/IP協(xié)議中的網(wǎng)絡安全威脅數(shù)據(jù)鏈路層安全威脅網(wǎng)絡層安全威脅傳輸層安全威脅應用層安全威脅數(shù)據(jù)鏈路層安全威脅與VLAN相關的威脅MAC攻擊威脅DHCP攻擊威脅ARP攻擊威脅生成樹協(xié)議攻擊威脅網(wǎng)絡層安全威脅資源耗竭型攻擊：DoS攻擊，主要以使設備停止服務性功能為目的。欺騙攻擊：偽造數(shù)據(jù)包進行攻擊，如偽造源IP地址等來獲取某些權限。對傳輸層的攻擊：從而阻隔上層協(xié)議和主機之間的交互，采用會話劫持來獲取權限，或竊聽數(shù)據(jù)、偽造數(shù)據(jù)注入。對路由協(xié)議的攻擊：會阻斷路由器和新老鄰居對等體之間的交互、重定向流量、注入虛假信息等來阻斷用戶合法的數(shù)據(jù)流。網(wǎng)絡層安全威脅（續(xù)一）針對控制層面的IP服務的攻擊：如針對DHCP、DNS、NTP等的攻擊，影響它們的正常工作。未授權接入攻擊：試圖對受限系統(tǒng)進行非授權接入的攻擊。利用軟件弱點的攻擊：如果軟件的弱點被利用，會對路由器的機密性、完整性和可用性造成極大危害，也會影響數(shù)據(jù)層面的流量。惡意的網(wǎng)絡探測：對目標進行信息收集，以期找尋系統(tǒng)的弱點或漏洞，為將來可能的攻擊做準備。網(wǎng)絡層安全威脅（續(xù)二）由于網(wǎng)絡層的安全技術種類繁多，本系列課程將分以下四個方面來闡述：管理平面的安全措施控制平面的安全措施數(shù)據(jù)平面的安全措施業(yè)務平面的安全措施傳輸層安全威脅傳輸層存在兩個協(xié)議——傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP），因此針對傳輸層的威脅主要是用于影響TCP和UDP協(xié)議的，常見的威脅有：TCPSYNfloodingUDPfloodingCrikeyCRCflooding傳輸層安全威脅（續(xù)）傳輸層也支持多種安全服務：對等實體認證服務訪問控制服務數(shù)據(jù)保密服務數(shù)據(jù)完整性服務數(shù)據(jù)源點認證服務應用層安全威脅常見的屬于應用層的協(xié)議有：簡單郵件傳輸協(xié)議（SMTP）文件傳輸協(xié)議（FTP）超文本傳輸協(xié)議（HTTP）遠程連接服務標準協(xié)議（TELNET）簡單網(wǎng)絡管理協(xié)議（SNMP）域名系統(tǒng)（DNS）應用層安全威脅（續(xù)一）常見的應用層安全威脅主要有以下三方面：來自于病毒的威脅：各種類型的病毒會提升黑客權限、獲取保密信息、更改刪除文件、擾亂正常的網(wǎng)絡流量。2007年春天，熊貓燒香短短3個月，造成了超過一千萬的個人及企業(yè)用戶中毒，直接及間接經(jīng)濟損失超過數(shù)億元以應用層安全威脅（續(xù)二）間諜、黑客軟件：根據(jù)微軟的定義，“間諜軟件是一種泛指執(zhí)行特定行為，如播放廣告、搜集個人信息、或更改你計算機配置的軟件，這些行為通常未經(jīng)你同意”。間諜軟件主要通過ActiveX控件下載安裝、IE瀏覽器漏洞和免費軟件綁定安裝進入用戶的計算機中，會自動收集機密和隱私信息傳送給黑客、占用正常流量的帶寬、較差的間諜軟件還會引發(fā)被入侵主機的一系列漏洞。2007年6月黑客成功攻入美國五角大樓，造成1500臺電腦癱瘓，美國軍方對此“充滿畏懼和擔憂”應用層安全威脅（續(xù)三）帶寬濫用：主要表現(xiàn)為P2P和即時通訊軟件消耗了大量帶寬，輕則影響企業(yè)業(yè)務無法正常運作，重則致使企業(yè)IT系統(tǒng)癱瘓。它們將大量的帶寬浪費在與工作無關流量上，造成了投資的浪費和效率的降低。另一方面，P2P使得文件共享和發(fā)送更加容易，帶來了潛在的信息安全風險。德國互聯(lián)網(wǎng)調(diào)研機構ipoque稱，P2P已經(jīng)徹底統(tǒng)治了當今的互聯(lián)網(wǎng)，其中50-90％的總流量都來自P2P程序。

網(wǎng)絡安全解決方案概述對于網(wǎng)絡存在的不同層面上的威脅，我們可以通過配置一些安全功能來防范或杜