模塊一單元1計(jì)算機(jī)網(wǎng)絡(luò)安全概述

?網(wǎng)絡(luò)安全與配置

刻世忠

Tel/p>

E-mail:lsz_80@l63.com

灌坊職業(yè)學(xué)院

［本課程的主要內(nèi)容:

-1、校園網(wǎng)中所受到的各種攻擊的分析

■2、校園網(wǎng)中采用的主要防護(hù)技術(shù)

-3、校園網(wǎng)中主要工作的操作系統(tǒng)平臺環(huán)

境的配置

■4、校園網(wǎng)中網(wǎng)絡(luò)安全工程的管理與實(shí)現(xiàn)

模塊一校園網(wǎng)中所受到的

各種攻擊的分析

■單元1、計(jì)算機(jī)網(wǎng)絡(luò)安全概述

■單元2、黑客常用各種攻擊的分析

［單元1計(jì)算機(jī)網(wǎng)絡(luò)安全概述

■1、網(wǎng)絡(luò)安全定義

-2、網(wǎng)絡(luò)安全的基本要素

-3、信息安全的發(fā)展歷程

■4、網(wǎng)絡(luò)安全涉及的內(nèi)容

■5、網(wǎng)絡(luò)安全模型及安全策略

I.問題:

安全是什么?

1、網(wǎng)絡(luò)安全的定義

計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保

障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施

（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保

障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)

揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

j1、網(wǎng)絡(luò)安全的定義

從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安

全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)

據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到

破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，

網(wǎng)絡(luò)服務(wù)不中斷。

廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、

完整性、可用性、可控性和不可否認(rèn)性的相關(guān)技

術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。

網(wǎng)絡(luò)脆弱性的原因

“INTERNET的美妙之處在于你

和每個(gè)人都能互相連接，INTERNET的

可怕之處在于每個(gè)人都能和你互相連

接力

網(wǎng)絡(luò)脆弱性的原因

?1.開放性的網(wǎng)絡(luò)環(huán)境

?2.協(xié)議本身的缺陷

?3.操作系統(tǒng)的漏洞

?4.人為因素

!了解發(fā)生過的網(wǎng)絡(luò)安全事件!

問題:

你認(rèn)為怎樣才能保障安全?

2、網(wǎng)絡(luò)安全的要素

保密性一confidentiality

完整性一integrity

可用性一availability

可控性一controllability

不可否認(rèn)性一Non-repudiation

2、網(wǎng)絡(luò)安全的要素

1、機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。加

密機(jī)制。防泄密

2、完整性：只有得到允許的人才能修改實(shí)體或進(jìn)程，并

且能夠判別出實(shí)體或進(jìn)程是否已被修改。完整性鑒別

機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)。

訪問控制，消息摘要。防篡改

3、可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占

用所有的資源而阻礙授權(quán)者的工作。

用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)；使靜態(tài)

信息可見，動(dòng)態(tài)信息可操作。防中斷

?2、網(wǎng)絡(luò)安全的要素

［可控性：可控性主要指對危害國家信息（包括利用加

密的非法通信活動(dòng)）的監(jiān)視審計(jì)。控制授權(quán)范圍內(nèi)的

信息流向及行為方式。

使用授權(quán)機(jī)制，控制信息傳播范圍、內(nèi)容，必要時(shí)能

恢復(fù)密鑰，實(shí)現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。

5、不可否認(rèn)性：對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手

段。使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊

者、破壞者、抵賴者“逃不脫”，并進(jìn)一步對網(wǎng)絡(luò)出

現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的

可審查性。

一般通過數(shù)字簽名來提供不可否認(rèn)服務(wù)。

3、信息安全發(fā)展歷程

■1、通信保密階段

保密性、完整性

■2、計(jì)算機(jī)安全階段

保密性、完整性和可用性

■3、信息技術(shù)安全階段

保密性、完整性、可用性和可控性

■4、信息保障階段

保密性、完整性、可用性、可控性和不可

否認(rèn)性

&4、網(wǎng)絡(luò)安全涉及的內(nèi)容

管理安全人為核心的策略和管理。

應(yīng)用安全應(yīng)用軟件開發(fā)平臺、應(yīng)用系統(tǒng)。

系統(tǒng)安全操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)。

網(wǎng)絡(luò)安全網(wǎng)絡(luò)運(yùn)行、網(wǎng)絡(luò)訪問控制。

物理安全前提。環(huán)境、設(shè)備、媒體。

故事:

矛與盾

網(wǎng)絡(luò)安全不是目標(biāo)，而是過程。

05、網(wǎng)絡(luò)安全模型及安全策略

■(1)網(wǎng)絡(luò)安全模型

■(2)網(wǎng)絡(luò)安全策略

(1)網(wǎng)絡(luò)安全模型

完全理想的網(wǎng)絡(luò)通信模型

對通信網(wǎng)的攻擊

對通信網(wǎng)的攻擊類型解決方案：

(1).中斷維護(hù)、檢修

(2).截獲數(shù)據(jù)加密

(3).篡改鑒別/認(rèn)證

(4).偽造鑒別/認(rèn)證

入侵者(Hacker)的攻擊:

防范措施：防火墻

內(nèi)部和透過防火墻人員的攻擊:

入侵者

防范措施：入侵檢測系統(tǒng)和安全審計(jì)

使用惡意代碼（計(jì)算機(jī)病毒和木馬）的攻擊:

非法用戶

|EJ<

秘密通道

防范措施：反病毒和木馬技術(shù)

網(wǎng)絡(luò)安全模型:反病毒技術(shù)

S

TD

和

安

全

審

計(jì)

任何安全方案都不是萬能的，方案的選擇應(yīng)在效益和

損失之間尋求一個(gè)平衡點(diǎn)，一般的原則是：破壞安全

系統(tǒng)的代價(jià)要高于安全系統(tǒng)被破壞后造成的損失。

(2)網(wǎng)絡(luò)安全策略

■①網(wǎng)絡(luò)安全威脅

■②網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀

①網(wǎng)絡(luò)安全威脅

1目前還沒有統(tǒng)一網(wǎng)絡(luò)安全威脅的分類。

常見的網(wǎng)絡(luò)安全威脅：

?信息泄露

?破壞信息的完整性

?拒絕服務(wù)

?非法使用

?竊聽

?業(yè)務(wù)流分析

?假冒

①網(wǎng)絡(luò)安全威脅

?旁路控制

?授權(quán)侵犯

?木馬

?陷阱門

?抵賴

?重放

?計(jì)算機(jī)病毒

?業(yè)務(wù)欺騙

?人員不慎

②網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀

■網(wǎng)絡(luò)安全技術(shù)體系

■網(wǎng)絡(luò)安全技術(shù)支撐

■主流網(wǎng)絡(luò)安全技術(shù)

■專業(yè)網(wǎng)絡(luò)安全技術(shù)

■應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)

■網(wǎng)絡(luò)安全管理

■最新發(fā)展

4網(wǎng)絡(luò)安全技術(shù)體系

系統(tǒng)（主機(jī)和備份反病母掃描、評估一安全操作系安

服務(wù)器）安全恢復(fù)入侵檢測審計(jì)分析統(tǒng)全

ft*訪問控制防火墻SET電

管'碼技術(shù)網(wǎng)絡(luò)隔離PGP子

子網(wǎng)（局域網(wǎng)）網(wǎng)絡(luò)監(jiān)控

商

安全技術(shù)安全網(wǎng)管

務(wù)

通信安全技術(shù)PKISSL

VPNHTTPS

網(wǎng)絡(luò)安全管理安全法規(guī)安全技術(shù)特殊行業(yè)領(lǐng)域的安全管理和

標(biāo)準(zhǔn)法規(guī)和標(biāo)準(zhǔn)規(guī)章制度

、網(wǎng)絡(luò)安全支撐技術(shù)

力碼、認(rèn)證、數(shù)字簽名和其它各種密碼協(xié)議

統(tǒng)稱為密碼技術(shù)。

-數(shù)據(jù)加密算法標(biāo)準(zhǔn)的提出和應(yīng)用、公鑰加密思

想的提出是其發(fā)展的重要標(biāo)志。

-認(rèn)證、數(shù)字簽名和各種密碼協(xié)議則從不同的需

求角度將密碼技術(shù)進(jìn)行延伸。認(rèn)證技術(shù)包括消息

認(rèn)證和身份鑒別。數(shù)字簽名技術(shù)可以理解為手寫

簽名在信息電子化的替代技術(shù)，主要用以保證數(shù)

據(jù)的完整性、有效性和不可抵賴性等

I.網(wǎng)絡(luò)安全支撐技術(shù)

?噂問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù),它的主

要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控

制技術(shù)規(guī)定何種主體對何種客體具有何種操作權(quán)力。

訪問控制是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員

限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、類型控制和風(fēng)險(xiǎn)分析。

訪問控制技術(shù)一般與身份驗(yàn)證技術(shù)一起使用，賦予不

同身份的用戶以不同的操作權(quán)限，以實(shí)現(xiàn)不同安全級

別的信息分級管理。

?數(shù)據(jù)和網(wǎng)絡(luò)備份、恢復(fù)也屬于網(wǎng)絡(luò)安全的支撐技術(shù)范

圍

卜網(wǎng)絡(luò)安全支撐技術(shù)

?PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，

它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽

名等密碼服務(wù)及所必需的密鑰和證書管理

體系。簡單來說，PKI就是利用公鑰理論和

技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI

技術(shù)是信息安全技術(shù)的核心，也是電子商

務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。

&主流網(wǎng)絡(luò)安全技術(shù)

■防火墻技術(shù)是將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)之間的訪問進(jìn)行全

面控制的一種機(jī)制，一般是由一組設(shè)備構(gòu)成，這些設(shè)

備可能包括路由器、計(jì)算機(jī)等硬件，也可能包含有軟

件，或者同時(shí)包含硬件和軟件。這些設(shè)備在物理上或

邏輯上將內(nèi)部網(wǎng)和外部網(wǎng)隔離開來，使得外網(wǎng)和內(nèi)網(wǎng)

的所有網(wǎng)絡(luò)通信必須經(jīng)過防火墻，從而可以進(jìn)行各種

的靈活的網(wǎng)絡(luò)訪問控制，對內(nèi)部網(wǎng)進(jìn)行盡可能的安全

保障，提高內(nèi)部網(wǎng)的安全性和健壯性防火墻技術(shù)是當(dāng)

前市場上最為流行的網(wǎng)絡(luò)安全技術(shù)，防火墻已成為網(wǎng)

絡(luò)建設(shè)的一個(gè)基本配置。

主流網(wǎng)絡(luò)安全技術(shù)

?VPN技術(shù)利用不可信的公網(wǎng)資源建立可信的虛擬專

用網(wǎng)，是保證局域網(wǎng)間通信安全的少數(shù)可行的方

案之一。VPN既可在TCP/IP協(xié)議族的鏈路層實(shí)現(xiàn)

（比如L2F、PPTP等安全協(xié)議），也可在網(wǎng)絡(luò)層實(shí)

現(xiàn)（IPSec）,其中更多情況下在網(wǎng)絡(luò)層實(shí)現(xiàn)。

作為最近幾年才興起的網(wǎng)絡(luò)安全技術(shù)，VPN在國內(nèi)

的應(yīng)用也就是最近兩三年的事情，但隨著企業(yè)網(wǎng)

絡(luò)用戶的迅速增加，VPN技術(shù)有著廣闊的應(yīng)用前景。

主流網(wǎng)絡(luò)安全技術(shù)

?入侵檢測技術(shù)是一種主動(dòng)保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)

免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計(jì)算機(jī)系統(tǒng)

或者網(wǎng)絡(luò)中收集、分析信息，檢測任何企圖破壞

計(jì)算機(jī)資源的完整性、機(jī)密性和可用性的行為，

即查看是否有違反安全策略的行為和遭到攻擊的

跡象，并做出相應(yīng)的反應(yīng)。

h主流網(wǎng)絡(luò)安全技術(shù)

?反病毒技術(shù)是查找和清除計(jì)算機(jī)病毒的主要技術(shù),

其原理就是在殺毒掃描程序中嵌入病毒特征碼引

擎，然后根據(jù)病毒特征碼數(shù)據(jù)庫來進(jìn)行對比式查

殺。這種方法簡單、有效，但只適用于已知病毒,

并且其特征庫需要不斷升級。

?網(wǎng)絡(luò)隔離技術(shù)通過特殊硬件實(shí)現(xiàn)鏈路層的斷開，

使得各種網(wǎng)絡(luò)攻擊與入侵失去了物理通路的基礎(chǔ),

從而避免了內(nèi)部網(wǎng)絡(luò)遭受外部攻擊的可能性。

專業(yè)網(wǎng)絡(luò)安全技術(shù)

系統(tǒng)和網(wǎng)絡(luò)的掃描和評估因其可預(yù)知主體受攻

擊的可能性、將要發(fā)生的行為和產(chǎn)生的后果，

而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用

可幫助識別檢測對象的系統(tǒng)資源，分析這一資

源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆

弱性，評估所有存在的安全風(fēng)險(xiǎn)。一些非常重

要的專業(yè)應(yīng)用網(wǎng)絡(luò)，例如銀行，不能承受一次

入侵帶來的損失，對掃描和評估技術(shù)有強(qiáng)烈的

需求。

為專業(yè)網(wǎng)絡(luò)安全技術(shù)

?監(jiān)控和審計(jì)是與網(wǎng)絡(luò)管理直接掛鉤的技術(shù)。監(jiān)控和審

計(jì)是通過對網(wǎng)絡(luò)通信過程中可疑、有害信息或行為進(jìn)

行記錄以為事后處理提供依據(jù)，從而對計(jì)算機(jī)網(wǎng)絡(luò)犯

罪人員形成一個(gè)強(qiáng)有力的威懾和最終達(dá)到提高網(wǎng)絡(luò)整

體安全性的目的。局域網(wǎng)監(jiān)控系統(tǒng)是網(wǎng)絡(luò)監(jiān)控系統(tǒng)中

的一大類。局域網(wǎng)監(jiān)控能夠提供一套較好的內(nèi)部網(wǎng)行

為監(jiān)控的機(jī)制，可以有效阻止來自內(nèi)網(wǎng)的安全威脅。

不同企事業(yè)單位和性質(zhì)網(wǎng)絡(luò)所提供的服務(wù)和業(yè)務(wù)之間

差別很大，可能的網(wǎng)絡(luò)安全威脅不盡相同，這就需要

網(wǎng)絡(luò)監(jiān)控技術(shù)針對不同的業(yè)務(wù)特性進(jìn)行具體的監(jiān)控。

網(wǎng)絡(luò)監(jiān)控技術(shù)的專業(yè)特性很強(qiáng)，不同的局域網(wǎng)監(jiān)控系

統(tǒng)，其功能表現(xiàn)可能完全不同。

、專業(yè)網(wǎng)絡(luò)安全技術(shù)

?安全套接層協(xié)議(SSL,SecureSocketLayer)是由

Netscape公司1994年設(shè)計(jì)開發(fā)的安全協(xié)議，主要在傳

輸層提高應(yīng)用程序之間的數(shù)據(jù)安全性。SSL協(xié)議的概

念可以被概括為：它是一個(gè)保證任何安裝了安全套接

層的客戶和服務(wù)器間事務(wù)安全的協(xié)議，該協(xié)議向基于

TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)

器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全服務(wù)，目

的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信。

SSL采用了公開密鑰和對稱密鑰兩種加密：在建立連

接過程中采用公開密鑰；在會(huì)話過程中使用對稱密鑰。

加密的類型和強(qiáng)度則在兩端之間建立連接的過程中協(xié)

商決定，保證了客戶和服務(wù)器間事務(wù)的安全性。

1應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)

■安全電子交易協(xié)議(SET,SecurityElectronic

Transaction)是一個(gè)通過開放網(wǎng)盈進(jìn)行安全資金支付的

技術(shù)標(biāo)準(zhǔn)，由VISA和MasterCard組織共同制定，于1997年

聯(lián)合推出。由于它得到了IBM、HP、Microsoft等很多大公

司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得IETF標(biāo)

準(zhǔn)的認(rèn)可。

這是一個(gè)為Internet上進(jìn)行在線交易而設(shè)立的一個(gè)開

放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。SET在保留對

客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，

這對于需要支付貨幣的交易來講是至關(guān)重要的。SET將建

立一種能在Internet上安全使用銀行卡購物的標(biāo)準(zhǔn)，它能

夠?qū)?/p>