第1章網絡安全

計算機網絡安全技術

（第三版）1第一章計算機網絡安全概述2本章主要內容

KeyQuestions1:網絡安全簡介2:信息安全的發(fā)展歷程3:網絡存在的安全問題4：網絡安全技術5：網絡安全的現(xiàn)狀6：網絡安全法規(guī)與標準3網絡安全綜述

NetworkSecurity

2003年截至11月底，中國互聯(lián)網上用戶數(shù)已超過7800萬，居世界第二位。2007年中國互聯(lián)網用戶規(guī)模達1.82億人。2010年12月底，我國網民規(guī)模達到4.57億，寬帶普及率接近100%。2011年12月底，中國網民規(guī)模突破5億，達到5.13億,中國手機網民規(guī)模達到3.56億45新增加病毒統(tǒng)計（2003～2010年）6網絡安全的重要性

7網絡安全為什么重要？網絡應用已滲透到現(xiàn)代社會生活的各個方面；電子商務、電子政務、電子銀行等無不關注網絡安全；至今，網絡安全不僅成為商家關注的焦點，也是技術研究的熱門領域，同時也是國家和政府的行為；8網絡安全影響到國家的安全和主權小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。美國中央情報局采用“偷梁換拄”的方法，將帶病毒的電腦打印機芯片，趁貨物驗關之際換入伊拉克所購的電腦打印機中----------9網絡安全的重要性網絡的安全將成為傳統(tǒng)的國界、領海、領空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。101.1.2網絡脆弱性的原因“INTERNET的美妙之處在于你和每個人都能互相連接,INTERNET的可怕之處在于每個人都能和你互相連接”111.1.2網絡脆弱性的原因121.1.2網絡脆弱性的原因

1.開放性的網絡環(huán)境2.協(xié)議本身的缺陷

3.操作系統(tǒng)的漏洞

4.人為因素

13典型的網絡安全事件141516通信保密階段20世紀40年代--70年代又稱通信安全時代重點是通過密碼技術解決通信保密問題，保證數(shù)據(jù)的機密性與完整性主要安全威脅是搭線竊聽、密碼學分析主要保護措施是加密技術主要標志1949年Shannon發(fā)表的《保密通信的信息理論》1977年美國國家標準局公布的數(shù)據(jù)加密標準(DES)1976年Diffie和hellman在《NewDirectionsinCryptography》一文中所提出的公鑰密碼體制17計算機安全階段20世紀70年代--80年代重點是確保計算機系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸信息的機密性、完整性和可用性主要安全威脅擴展到非法訪問、惡意代碼、脆弱口令等主要保護措施是安全操作系統(tǒng)設計技術（TCB）主要標志：1983年美國國防部公布的可信計算機系統(tǒng)評估準則（TCSEC）--將操作系統(tǒng)的安全級別分為4類7個級別（D、C1、C2、B1、B2、B3、A1）18信息系統(tǒng)安全階段

20世紀90年代以來重點需要保護信息，確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施。強調信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網絡入侵、病毒破壞、信息對抗的攻擊等主要保護措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN、安全管理等主要標志是提出了新的安全評估準則CC（ISO15408、GB/T18336）19信息安全保障階段

21世紀以來重點放在保障國家信息基礎設施不被破壞，確保信息基礎設施在受到攻擊的前提下能夠最大限度地發(fā)揮作用主要安全威脅發(fā)展到集團、國家的有組織的對信息基礎設施進行攻擊等主要保護措施是災備技術、建設面向網絡恐怖與網絡犯罪的國際法律秩序與國際聯(lián)動的網絡安全事件的應急響應技術主要標志是美國推出的“保護美國計算機空間”（PDD-63）的體系框架20安全的概念

計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。

二、計算機系統(tǒng)安全的概念

21網絡安全的定義：廣義上講，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。

從本質上講，網絡安全就是網絡上的信息安全，是指網絡系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷；22網絡安全的要素保密性—confidentiality完整性—integrity可用性—availability可控性—controllability不可否認性—Non-repudiation23安全工作的目的進不來拿不走改不了跑不了看不懂24安全的要素1、機密性：確保信息不暴露給未授權的實體或進程。加密機制。防泄密

2、完整性：只有得到允許的人才能修改實體或進程，并且能夠判別出實體或進程是否已被修改。完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，hash；數(shù)據(jù)順序完整，編號連續(xù)，時間正確。3、可用性：得到授權的實體可獲得服務，攻擊者不能占用所有的資源而阻礙授權者的工作。用訪問控制機制，阻止非授權用戶進入網絡。使靜態(tài)信息可見，動態(tài)信息可操作。防中斷二、計算機系統(tǒng)安全的概念

25安全的要素4、可控性：可控性主要指對危害國家信息（包括利用加密的非法通信活動）的監(jiān)視審計?？刂剖跈喾秶鷥鹊男畔⒘飨蚣靶袨榉绞?。使用授權機制，控制信息傳播范圍、內容，必要時能恢復密鑰，實現(xiàn)對網絡資源及信息的可控性。5、不可否認性：對出現(xiàn)的安全問題提供調查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“逃不脫"，并進一步對網絡出現(xiàn)的安全問題提供調查依據(jù)和手段，實現(xiàn)信息安全的可審查性。

二、計算機系統(tǒng)安全的概念

26網絡安全涉及知識領域27應用安全系統(tǒng)安全網絡安全物理安全信息（網絡）安全涉及方面管理安全28常見的攻擊方式社會工程SocialEngineering病毒virus（蠕蟲Worm）木馬程序Trojan拒絕服務和分布式拒絕服務攻擊Dos&DDos欺騙：IPspoofing,Packetmodification；ARPspoofing,郵件炸彈Mailbombing口令破解Passwordcrack29攻擊的工具標準的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網絡包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)30網絡安全的防護體系

31網絡安全技術數(shù)據(jù)加密身份認證防火墻技術防病毒技術入侵檢測技術漏洞掃描安全審計32密碼技術數(shù)據(jù)加密：主要用于數(shù)據(jù)傳輸中的安全

加密算法：對稱加密、非對稱加密數(shù)字簽名：主要用于電子交易33訪問控制技術入網訪問控制---用戶名和口令網絡權限的控制---用戶權限的等級對資源的控制文件設備（服務器、交換機、防火墻）34網絡安全不是個目標，而是個過程35安全漏洞被利用的周期變化安全漏洞被公布與相應的蠕蟲出現(xiàn)之間的時間間隔所出現(xiàn)的蠕蟲發(fā)現(xiàn)時間利用漏洞漏洞公布時間時間差Witty（維迪）2004.3.22Realsecure緩沖區(qū)溢出2004.3.202MS-Blaster（沖擊波）2003.8.11MS03-026：RPC緩沖區(qū)溢出2003.7.1625Slammer(蠕蟲王)2003.1.24MS02-039：SQL緩沖區(qū)溢