網絡安全課件

網絡培訓班

網絡安全

:網絡安全

置網絡安全概述

同安全技術

同網絡常用攻擊工具簡介

目防火墻系統(tǒng)介紹

鼠網絡安全實例分析

2011年6月30日12時42網絡安全2

分

:網絡安全概述

囿什么是計算機信息系統(tǒng)安全

凰計算機安全的基本要求

f網絡安全應考慮的一般原則

鼠侵襲的類型

鼠計算機安全的衡量指標

凰安全對策

囿安全級別的劃分

2011年6月30日12時42網絡安全3

分

:什么是計算機信息系統(tǒng)安那修

卷訐算機信息系統(tǒng)安全是指計算機系統(tǒng)的

?硬件、軟件、數據受到保護，不因偶然

?的或惡意的原因而遭到破壞、更改、顯

?露，系統(tǒng)連續(xù)正常運行。

:-我們要保護的：計算機系統(tǒng)的硬件、軟件、數據；

■:我們需要的：穩(wěn)定而合乎要求的運行環(huán)境；

e-我們要防止的：因偶然的或惡意的原因而遭到破壞、

.更改、顯露；

2-我們的目標：系統(tǒng)能連續(xù)正常運行。

2011年6月30日12時42網絡安全4

分

計算機安全的基本要求磔觸

凰安全保密(Secrecy/Con行dentiality)

安全保密是指防止對信息的非授權訪問。這也許是信

息安全最重要的要求。

凰完整性(Integrity)/精確性(Accuracy

完整性是指信息在存儲或傳輸過程中不被破壞、不丟

失、或不被未經授權的惡意的或偶然的修改。

副可用性(Availability)

可用性是指計算機系統(tǒng)的硬件和軟件保持有效的運行,

并且系統(tǒng)在發(fā)生災難時能夠快速完全的恢復。。

2011年6月30日12時42網絡安全5

分

:網絡安全應考慮的一般原

富需求、風險、代價平衡分析的原則

■綜合性、整體性原則

口一致性原則

可易操作性原則

■適應性、靈活性原則

解可評價性原則

2011年6月30日12時42網絡安全6

分

:侵襲的類型

常入侵：侵襲者通過非法途徑進入計算機

系統(tǒng)，向合法用戶一樣使用計算機。如

盜用口令、使用系統(tǒng)后門。

目拒絕服務：是一種旨在徹底地阻止用戶

合法使用自己的計算機資源的一種侵襲

如郵件炸彈、TCPSYN淹沒等。

冒盜竊信息：偷盜有用的數據信息。

2011年6月30日12時42網絡安全7

分

:計算機安全的衡量指標

廓脆弱點(vulnerability)：脆弱點是系統(tǒng)

中容易被攻擊的地方。

削威脅(threat)：威脅是系統(tǒng)可能的的危

險，危險可能是利用系統(tǒng)弱點的人(系

統(tǒng)破壞者和間諜)、事(不完善的設備

和事件(火災和洪水)。

富對策(countermeasure)：對策是保護系

統(tǒng)的技術。

2011年6月30日12時42網絡安全8

分

:脆弱點

物理：大樓和機房。鎖、門衛(wèi)和生物測定設備（如指

紋、聲波紋、簽名）可以提供重要的第一道防線以防

止侵入。

副自然：自然災難和環(huán)境威脅。如火災、洪水、地震、

灰塵、濕度等。

硬件和軟件：硬件故障、軟件錯誤、以及硬件連接不

正確和軟件安裝不正確等。

媒體：磁盤、磁帶和打印品可能被偷和毀壞等。

輻射：電子設備發(fā)射的電信號和電磁輻射可能被破譯。

通信：信息被截取、錯投和偽造等，通信線路被分接、

破壞等。

人：系統(tǒng)管理員沒有被培訓、或犯罪等。

2011年6月30日12時42網絡安全9

分

:威脅

富自然和物理威脅：使每一個物理設備處

于危險中的威脅，如火災、洪水、電力

故障以及其它災難。

目無意的威脅：因無知帶來的危險。

目有意的威脅：這就是安全產品極力防止

的危險，它來自兩個方面：外部人士與

內部人員。

2011年6月30日12時42網絡安全10

分

:對策

匐計算機安全：保護存放在計算機系統(tǒng)中信息的

安全。計算機安全主要關心控制系統(tǒng)及系統(tǒng)中

數據的訪問權限的操作系統(tǒng)特征。

通信安全：保護信息通過電話、電纜、微波、

衛(wèi)星等傳輸時的安全。通信安全主要關心對計

算機系統(tǒng)的網絡訪問，和增進連接到外部世界

的系統(tǒng)的安全的技術。

物理安全：保護物理計算機設備不受自然災難

和入侵者破壞。物理安全方法包括傳統(tǒng)的鎖和

鑰匙，以及先進的技術，如智能卡和生物測定

設備。

2011年6月30日12時42網絡安全11

分

:安全對策

避免(Avoidance)

與轉移(Transfer)

減少威脅(ReductionofThreat)

解減少脆弱點(ReductionofVulnerability)

實時發(fā)現(Real-timeDetection)

與非實時發(fā)現(Non-real-timeDetection)

減少影響(ReductionofImpact)

菖實時恢復(Real-timeRecovery)

非實時恢復(Non-real-timeRecovery)

2011年6月30日12時42網絡安全

分

安全級別的劃分

NCSC(NationalComputerSecurityCenter)領導著計

算機和網絡安全的研究工作，研制計算機安全技術標

準，它在1983年提出了“可信計算機系統(tǒng)評測標

準“(TCSEC-TrustedComputerSystemEvaluation

Criteria),規(guī)定了安全計算機的基本準則。1987年又發(fā)

布了“可用網絡說明"(TNLTrustedNetwork

Interpretation),規(guī)定了一個安全網絡的基本準則，根據

不同的安全強度要求，將網絡分為四級安全模型。

解在TCSEC準則中將計算機系統(tǒng)的安全分為了四大類,

依次為D、C、B和A,A是最高的一類，每一類都代表

一個保護敏感信息的評判準則，并且一類比一類嚴格。

2011年6月30日12時42網絡安全13

分

安全級別的劃分

D類：最小的保護。這是最低的一類，不再分

級，這類是那些通過評測但達不到較高級別安

全要求的系統(tǒng)。早期商用系統(tǒng)屬于這一類。

C類：無條件的保護。C類提供的無條件的保護

也就是“需要則知道"(need-to-known)的保護,

又分兩個子類。

-C1：無條件的安全保護。這是C類中較低的一個子

類，提供的安全策略是無條件的訪問控制，具有識

別與授權的責任。早期的UNIX系統(tǒng)屬于這一類。

-C2：有控制的存取保護。這是C類中較高的一個子

類，除了提供C1中的策略與責任外，還有訪問保護

和審計跟蹤功能。如SCOUNIXo

2011年6月30日12時42網絡安全14

分

安全級別的劃分

囿B類：屬強制保護，要求系統(tǒng)在其生成的

數據結構中帶有標記，并要求提供對數

據流的監(jiān)視，B類又分三個子類：

-B1：標記安全保護，是B類中的最低子類，

除滿足C類要求外，要求提供數據標記。

-B2：結構安全保護，是B類中的中間子類，

除滿足B1要求外，要實行強制性的控制。

-B3：安全域保護，是B類中的最高子類，提

供可信設備的管理和恢復，即使計算機崩潰,

也不會泄露系統(tǒng)信息。

2011年6月30日12時42網絡安全15

分

:安全級別的劃分

[fA類：經過驗證的保護，是安全系統(tǒng)等級

的最高類，這類系統(tǒng)可建立在具有結構

規(guī)范和信息流密閉的形式模型基礎之上

-A1：經過驗證保護。

TCSEC共定義了四類7級可信計算機

系統(tǒng)準則，銀行界一般都使用滿足C2級

或更高的計算機系統(tǒng)。

2011年6月30日12時42網絡安全16

分

::安全技術

i身份驗證

副訪問控制

鼠加密

匐防火墻技術

?記帳

2011年6月30日12時42網絡安全17

分

:身份驗證

冒身份驗證(IdentificationandAuthentication)是

一致性驗證的一種，驗證是建立一致性

證明的一種手段。身份驗證主要包括驗

證依據、驗證系統(tǒng)和安全要求。

fIdentification是指用戶向系統(tǒng)出示自己的

身份證明，最簡單的方法是輸入UserID

和password。而Authentication則是系統(tǒng)查

驗用戶的身份證明。

2011年6月30日12時42網絡安全18

分

:訪問控制

目訪問控制(AccessControl)功能控制和定義

一個對象對另一個對象的訪問權限。在

面向對象的安全系統(tǒng)中，所有資源、程

序甚至用戶都是對象。安全系統(tǒng)必須有

一組規(guī)劃，當一個對象要訪問另一個對

象時，系統(tǒng)可根據這些規(guī)劃確定是否允

許這一訪問。

冒最常見的訪問控制是Unix系統(tǒng)的文件與

目錄的訪問權限控制。

2011年6月30日12時42網絡安全19

分

:加密

?富加密是一種很古老的保護信息安全的方

:法，在現代計算機安全中，它也起著很

?重要的作用。如PGP(PrettyGoodPrivacy)、

?數據加密標準(DES)等。

:副加密方法有兩種：公共密鑰加密和專用

?密鑰加密。

2011年6月30日12時42網絡安全20

分

:專用密鑰加密

冒專用密鑰加密具有對稱性，即加密密鑰

也可以用作解密。最有名的專用密鑰加

密系統(tǒng)就是數據加密標準(DES),這個標

準現在由美國國家安全局和國家標準與

技術局來管理。另一個系統(tǒng)是國際數據

加密算法(IDEA),它比DES的加密性好,

而且商要的計算機功能也不么強。IDEA

加密標準由PGP(PrettyGoodPrivacy)系統(tǒng)

使用。

2011年6月30日12時42網絡安全21

分

:公共密鑰加密

冒公共密鑰加密使用兩個不同的密鑰，因

此是一種不對稱的加密系統(tǒng)。它的一個

密鑰是公開的，而系統(tǒng)的基本功能也是

有公共密鑰的人可以訪問的，公共密鑰

可以保存在系統(tǒng)目錄內或保存在未加密

的電子郵件信息中。它的另一個密鑰是

專用的，它用來加密信息但公共密鑰可

以解密該信息，它也可以對公共密鑰加

密的信息解密。

2011年6月30日12時42網絡安全22

分

::防火墻技術

副防火墻是在內部網與外部網之間實施安

全防范的系統(tǒng)，可被認為是一種訪問控

制機制，用于確定哪些內部服務允許外

部訪問，以及允許哪些外部服務訪問內

部服務。

目防火墻有三種類型：包過濾路由器、應

用級網關（或代理服務器）、線路級網關。

2011年6月30日12時42網絡安全23

分

:記帳

冒在系統(tǒng)中保留一個日志文件，與安全相

關的事件可以記在日志文件中，以便于

事后調查和分析，追查有關責任者，發(fā)

現系統(tǒng)安全的弱點。

凰如Unix的syslog可以記錄系統(tǒng)的一些日志。

另外，可以采用專用的記帳程序來對關

心的網絡系統(tǒng)進行記帳。

2011年6月30日12時42網絡安全24

分

:網絡常用攻擊工具簡介

鼠掃描器

鼠口令“入侵者”

鼠特洛伊木馬

囿Sniffer

匐其它工具

2011年6月30日12時42網絡安全25

分

:掃描器

冒掃描器是自動檢測遠程或本地主機安全

性弱點的程序。真正的掃描器是TCP端

口掃描器，這種程序可以選通TCP/IP端

口和服務（如telnet或FTP）,并記錄目

標的回答。通過這種胃法，可以收集到

關于目標主機的有用信息。

置掃描器的主要屬性有：

-尋找一臺機器或一個網絡；

-一旦發(fā)現一臺機器，可以找出機器正在運行

的服務；

-測試具有漏洞的那些服務。

2011年6月30日12時42網絡安全26

分

:流行的掃描器

fNSS（網絡安全掃描器）

NSS是一個Perl語言寫的掃描器，它可以

執(zhí)行下列常規(guī)檢查：

*^Sendmail

令匿名FTP

令NFS出口

令TFTP

令Hosts.equiv

OXhost

dStrobe（超級優(yōu)化TCP端口檢測程序）

Strobe是一個TCP端口掃描器，它可以記

錄指定機器的所有開放端口。

2011年6月30日12時42網絡安全27

分

:流行的掃描器

fSATAN（安全管理員的網絡分析工具）

SATAN用于掃描遠程主機的許多已知的

漏洞，其中：

-FTPD弱點和可寫的FTP目錄

-NFS弱點

-NIS弱點

-RSH弱點

-Sendmail

-X服務器弱點

2011年6月30日12時42網絡安全28

分

:防御掃描器的辦法

鼠使用詳細的日志；

??

副定期分析日志，特別是關心其中的異常

事件。

2011年6月30日12時42網絡安全29

分

:口令“入侵者”

f口令入侵者是指任何可以解開口令或者

屏蔽口令保護的程序?？诹钊肭终叨际?/p>

用“蠻力”——以很高的速度，一個口

令接一個口令地去試，最終找到正確的

口令。它經常利用有問題的而缺乏保護

的口令進行攻擊，這是最常見的攻擊方

式之一。

2011年6月30日12時42網絡安全30

分

:常用口令入侵者程序

0AlecMuffett的Crack用于破解加密

UNIX口令的最著名的工具，它現已程序

檢查網絡口令弱點的工業(yè)標準。

囿Jackal的CrackerJack是一個專為DOS

平臺設計的、著名的UNIX口令入住多

常SolarDesigner的JohntheRipper可運彳亍于

DOS/Windows95平臺的UNIX口令入侵

者。

富MichaelA.Quinlan的ZipCrack是用于破

解后綴是.zip的文件的口令。

2011年6月30日12時42網絡安全31

分

:防止口令入侵者的辦法

常使用安全的口令（不是字典中的詞，字

??母、數字、特殊字符混合使用）；

鼠經常修改口令。

2011年6月30日12時42網絡安全32

分

:特洛伊木馬

[I特洛伊木馬是包含在正常程序中的未經

*授權的代碼或程序，它提供了一些用戶

不知道的（也可能是不希望實現的）功

能。

1防止特洛伊木馬的辦法：

-不輕易使用不明底細的可執(zhí)行文件；

-檢測文件完整性（利用時間、長度等信息）；

-使用工具（如MD5、Hobgoblin等）。

2011年6月30日12時42網絡安全33

分

:Sniffer（嗅探器）

冒Sniffer既可以是硬件，也可以是軟件，它

用來接收在網絡上傳輸的信息。Sniffer是

一種很危險的工具，因為它們：

-可以截獲口令；

-可以截獲秘密的或專有的信息；

-可以被用來攻擊相鄰的網絡。

-如何挫敗一個Sniffer：

_力口密

口使用.全的網絡拓撲結構

2011年6月30日12時42網絡安全34

分

:其它工具

自郵件炸彈和列表鏈接；

??

鼠拒絕服務(Denial-of-Service)工具;

耳病毒。

2011年6月30日12時42網絡安全35

分

防火墻系統(tǒng)介紹

副防火墻星連接網絡到因特網同時又保護

那個網落的最有效的辦法。

冒定義：所謂防火墻就是一個或一組網絡

設備（計算機或路由器等），可用來在兩上

或多個網絡間加強訪問校制。

-在學術界，也有人持不同的意見，他們認為

防火墻應是完全不同于路由器的設備，是可

在應用層對報文分組進行處理的網絡安全設

備，如雙宿主機、應用層網關等。而把硬件

加密設備、篩選路由器等工作在網絡層以下

的設備只看作防火墻的組成部件。

2011年6月30日12時42網絡安全36

分

[I防火墻是安全決策的焦點：把防火墻看

做阻塞點，所有進出的信息必須穿過這

個唯一的、狹窄的檢查點。防火墻為網

絡安全起到了把關的作用。

[I防火墻能強制安全策略：因特網的許多

服務是不安全的，防火墻是這些服務中

的“交通警察”，它執(zhí)行站點的安全策

略，僅僅允許“認可的”和符合規(guī)則的

服務通過。

2011年6月30日12時42網絡安全37

分

:防火墻能做什么

口防火墻能有效地記錄因特網活動：作為

訪問的唯一點，防火墻能在被保護的網

絡和外部網絡之間進行記錄。

tI防火墻可以限制信息的顯露：防火墻可

以用來隔離兩個網段，它能防止影響一

個網段的問題拿過整個網絡傳播。

I防火墻是設置網絡地址翻譯器(NAT)的最

住改置：網址翻譯器官助于緩和地址空

間的不足，并向使一個機構變換Internet

服務提供商時不必重新編號。

2011年6月30日12時42網絡安全38

分

:防火墻不能做什么

富防火墻不能防范惡意的知情者;

:副防火墻對不通過它的連接難有作為;

?副防火墻不能防備完全新的威脅；

:副防火墻不能防備病毒；

:副防火墻不能防止數據驅動式的攻擊。

2011年6月30日12時42網絡安全

防火墻的基本準則

匐一切未被允許的就是禁止的?；谠摐蕜t，防火墻應

封鎖所有信息流，然后對希望提供的服務逐項開放。

這是一種非常實用的方法，可以造成一種十分安全的

環(huán)境，因為只有經過仔細挑選的服務才被允許使用。

其弊端是，安全性高于用戶使用的方便性，用戶所能

使用的服務范圍受限制。

解一切未被禁止的就是允許的?；谠摐蕜t，防火墻應

轉發(fā)所有信息流，然后逐項屏蔽可能有害的服務。這

種方法構成了一種更為靈活的應用環(huán)境，可為用戶提

供更多的服務。其弊端是，在日益增多的網絡服務面

前，網管人員疲于奔命，特別是受保護的網絡范圍增

大時，很難提供可靠的安全防護。

2011年6月30日12時42網絡安全40

分

::防火墻的結構

防火墻的結構分為三種：基于路由器的過濾器、

主計算機網關和一個獨立的隔離網絡。

-建立防火墻的最簡單方法是使用可編程路由器作為

包過濾器，這種方案是目前用得最普遍的網絡互連

安全結構。路由器根據源/目的地址或包頭部的信息,

有選擇地使數據包通過或阻塞。

-基于主機的防火墻，具有更大的能力。通常用路由

器的防火墻監(jiān)控IP層的數據包，用計算機在應用層

實施控制。

-隔離網絡是位于外部網絡和內部網絡之間的網絡，

它使Internet和內部網絡都能對它進行存取，避免了

內部網絡與外部網絡的直接訪問。

2011年6月30日12時42網絡安全41

分

:防火墻的基本類型

口包過濾型(PacketFilter)

?口代理服務型(ProxyService)

:匐雙端主機防火墻(Dual-HomedHostFirewall)

?鼠屏蔽主機防火墻(ScreenedHostFirewall)

?解屏蔽子網防火墻(ScreenedSubnetFirewall)

2011年6月30日12時42網絡安全

分

:包過濾型

通

路-H

，

因

J力

一

過

商mHX

力

一

。

酚^

一

U苴

寧1

s色5

規(guī)MW

自U

包

。W

Hsaw包I.PI

鏘.IP

TsAAW

TP港JDCN/

口

TTC卷^

ne、

TC的

IP端

出

入

口

DP包

P/口I

rc口

一

u>n輸^

IC如

居

接P.J

到

規(guī)

口W

仃

允

魯

，