第1章網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

（第三版）1第一章計(jì)算機(jī)網(wǎng)絡(luò)安全概述2本章主要內(nèi)容

KeyQuestions1:網(wǎng)絡(luò)安全簡(jiǎn)介2:信息安全的發(fā)展歷程3:網(wǎng)絡(luò)存在的安全問(wèn)題4：網(wǎng)絡(luò)安全技術(shù)5：網(wǎng)絡(luò)安全的現(xiàn)狀6：網(wǎng)絡(luò)安全法規(guī)與標(biāo)準(zhǔn)3網(wǎng)絡(luò)安全綜述

NetworkSecurity

2003年截至11月底，中國(guó)互聯(lián)網(wǎng)上用戶(hù)數(shù)已超過(guò)7800萬(wàn)，居世界第二位。2007年中國(guó)互聯(lián)網(wǎng)用戶(hù)規(guī)模達(dá)1.82億人。2010年12月底，我國(guó)網(wǎng)民規(guī)模達(dá)到4.57億，寬帶普及率接近100%。2011年12月底，中國(guó)網(wǎng)民規(guī)模突破5億，達(dá)到5.13億,中國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)到3.56億45新增加病毒統(tǒng)計(jì)（2003～2010年）6網(wǎng)絡(luò)安全的重要性

7網(wǎng)絡(luò)安全為什么重要？網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會(huì)生活的各個(gè)方面；電子商務(wù)、電子政務(wù)、電子銀行等無(wú)不關(guān)注網(wǎng)絡(luò)安全；至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點(diǎn)，也是技術(shù)研究的熱門(mén)領(lǐng)域，同時(shí)也是國(guó)家和政府的行為；8網(wǎng)絡(luò)安全影響到國(guó)家的安全和主權(quán)小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場(chǎng)戰(zhàn)爭(zhēng)的屈辱。美國(guó)中央情報(bào)局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗(yàn)關(guān)之際換入伊拉克所購(gòu)的電腦打印機(jī)中----------9網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國(guó)界、領(lǐng)海、領(lǐng)空的三大國(guó)防和基于太空的第四國(guó)防之外的第五國(guó)防，稱(chēng)為cyber-space。101.1.2網(wǎng)絡(luò)脆弱性的原因“INTERNET的美妙之處在于你和每個(gè)人都能互相連接,INTERNET的可怕之處在于每個(gè)人都能和你互相連接”111.1.2網(wǎng)絡(luò)脆弱性的原因121.1.2網(wǎng)絡(luò)脆弱性的原因

1.開(kāi)放性的網(wǎng)絡(luò)環(huán)境2.協(xié)議本身的缺陷

3.操作系統(tǒng)的漏洞

4.人為因素

13典型的網(wǎng)絡(luò)安全事件141516通信保密階段20世紀(jì)40年代--70年代又稱(chēng)通信安全時(shí)代重點(diǎn)是通過(guò)密碼技術(shù)解決通信保密問(wèn)題，保證數(shù)據(jù)的機(jī)密性與完整性主要安全威脅是搭線竊聽(tīng)、密碼學(xué)分析主要保護(hù)措施是加密技術(shù)主要標(biāo)志1949年Shannon發(fā)表的《保密通信的信息理論》1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)1976年Diffie和hellman在《NewDirectionsinCryptography》一文中所提出的公鑰密碼體制17計(jì)算機(jī)安全階段20世紀(jì)70年代--80年代重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲(chǔ)、傳輸信息的機(jī)密性、完整性和可用性主要安全威脅擴(kuò)展到非法訪問(wèn)、惡意代碼、脆弱口令等主要保護(hù)措施是安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）主要標(biāo)志：1983年美國(guó)國(guó)防部公布的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）--將操作系統(tǒng)的安全級(jí)別分為4類(lèi)7個(gè)級(jí)別（D、C1、C2、B1、B2、B3、A1）18信息系統(tǒng)安全階段

20世紀(jì)90年代以來(lái)重點(diǎn)需要保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過(guò)程中及信息系統(tǒng)不被破壞，確保合法用戶(hù)的服務(wù)和限制非授權(quán)用戶(hù)的服務(wù)，以及必要的防御攻擊的措施。強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗的攻擊等主要保護(hù)措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測(cè)、PKI、VPN、安全管理等主要標(biāo)志是提出了新的安全評(píng)估準(zhǔn)則CC（ISO15408、GB/T18336）19信息安全保障階段

21世紀(jì)以來(lái)重點(diǎn)放在保障國(guó)家信息基礎(chǔ)設(shè)施不被破壞，確保信息基礎(chǔ)設(shè)施在受到攻擊的前提下能夠最大限度地發(fā)揮作用主要安全威脅發(fā)展到集團(tuán)、國(guó)家的有組織的對(duì)信息基礎(chǔ)設(shè)施進(jìn)行攻擊等主要保護(hù)措施是災(zāi)備技術(shù)、建設(shè)面向網(wǎng)絡(luò)恐怖與網(wǎng)絡(luò)犯罪的國(guó)際法律秩序與國(guó)際聯(lián)動(dòng)的網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)技術(shù)主要標(biāo)志是美國(guó)推出的“保護(hù)美國(guó)計(jì)算機(jī)空間”（PDD-63）的體系框架20安全的概念

計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

二、計(jì)算機(jī)系統(tǒng)安全的概念

21網(wǎng)絡(luò)安全的定義：廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。

從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷；22網(wǎng)絡(luò)安全的要素保密性—confidentiality完整性—integrity可用性—availability可控性—controllability不可否認(rèn)性—Non-repudiation23安全工作的目的進(jìn)不來(lái)拿不走改不了跑不了看不懂24安全的要素1、機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。加密機(jī)制。防泄密

2、完整性：只有得到允許的人才能修改實(shí)體或進(jìn)程，并且能夠判別出實(shí)體或進(jìn)程是否已被修改。完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，hash；數(shù)據(jù)順序完整，編號(hào)連續(xù)，時(shí)間正確。3、可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)。使靜態(tài)信息可見(jiàn)，動(dòng)態(tài)信息可操作。防中斷二、計(jì)算機(jī)系統(tǒng)安全的概念

25安全的要素4、可控性：可控性主要指對(duì)危害國(guó)家信息（包括利用加密的非法通信活動(dòng)）的監(jiān)視審計(jì)?？刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機(jī)制，控制信息傳播范圍、內(nèi)容，必要時(shí)能恢復(fù)密鑰，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性。5、不可否認(rèn)性：對(duì)出現(xiàn)的安全問(wèn)題提供調(diào)查的依據(jù)和手段。使用審計(jì)、監(jiān)控、防抵賴(lài)等安全機(jī)制，使得攻擊者、破壞者、抵賴(lài)者“逃不脫"，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。

二、計(jì)算機(jī)系統(tǒng)安全的概念

26網(wǎng)絡(luò)安全涉及知識(shí)領(lǐng)域27應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)安全物理安全信息（網(wǎng)絡(luò)）安全涉及方面管理安全28常見(jiàn)的攻擊方式社會(huì)工程SocialEngineering病毒virus（蠕蟲(chóng)Worm）木馬程序Trojan拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDos欺騙：IPspoofing,Packetmodification；ARPspoofing,郵件炸彈Mailbombing口令破解Passwordcrack29攻擊的工具標(biāo)準(zhǔn)的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)30網(wǎng)絡(luò)安全的防護(hù)體系

31網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)加密身份認(rèn)證防火墻技術(shù)防病毒技術(shù)入侵檢測(cè)技術(shù)漏洞掃描安全審計(jì)32密碼技術(shù)數(shù)據(jù)加密：主要用于數(shù)據(jù)傳輸中的安全

加密算法：對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密數(shù)字簽名：主要用于電子交易33訪問(wèn)控制技術(shù)入網(wǎng)訪問(wèn)控制---用戶(hù)名和口令網(wǎng)絡(luò)權(quán)限的控制---用戶(hù)權(quán)限的等級(jí)對(duì)資源的控制文件設(shè)備（服務(wù)器、交換機(jī)、防火墻）34網(wǎng)絡(luò)安全不是個(gè)目標(biāo)，而是個(gè)過(guò)程35安全漏洞被利用的周期變化安全漏洞被公布與相應(yīng)的蠕蟲(chóng)出現(xiàn)之間的時(shí)間間隔所出現(xiàn)的蠕蟲(chóng)發(fā)現(xiàn)時(shí)間利用漏洞漏洞公布時(shí)間時(shí)間差Witty（維迪）2004.3.22Realsecure緩沖區(qū)溢出2004.3.202MS-Blaster（沖擊波）2003.8.11MS03-026：RPC緩沖區(qū)溢出2003.7.1625Slammer(蠕蟲(chóng)王)2003.1.24MS02-039：SQL緩沖區(qū)溢