網(wǎng)絡(luò)安全講義第1章

1、課程名稱：網(wǎng)絡(luò)信息安全與防范技術(shù)學(xué)時：56（含34學(xué)時講授，20學(xué)時實驗，2學(xué)時機動、復(fù)習(xí)）學(xué)分：3.5教學(xué)目標：了解網(wǎng)絡(luò)安全所包含的廣泛的內(nèi)容，及影響安全的具體內(nèi)容; 掌握基本的安全技術(shù)。（非 常用軟件要知道，常用軟件要會用）前續(xù)課程： 計算機網(wǎng)絡(luò)教材:網(wǎng)絡(luò)安全基礎(chǔ)教程與實訓(xùn)（楊誠,尹少平,北京大學(xué)出版社）參考書: 計算機網(wǎng)絡(luò)技術(shù)；信息安全概論（牛少彰，北京郵電大學(xué)出版社）；因特網(wǎng)考核方式：70%30%平時成績含：作業(yè)（書面、實驗）；到課情況；課堂紀律等。第1章 網(wǎng)絡(luò)安全概論第2章 IP數(shù)據(jù)報結(jié)構(gòu)第3章 密碼技術(shù)第4章 windows2000系統(tǒng)安全第5章 病毒分析與防御第6章 應(yīng)用服務(wù)安全

2、第7章 防火墻技術(shù)第8章 入侵檢測系統(tǒng)第9章 網(wǎng)絡(luò)攻擊與防范第10章 VPN技術(shù)網(wǎng)絡(luò)安全基礎(chǔ)教程與實訓(xùn)第1章 網(wǎng)絡(luò)安全概論1.1 網(wǎng)絡(luò)安全概念1.2 網(wǎng)絡(luò)安全所產(chǎn)生的威脅1.3 協(xié)議安全分析1.4 網(wǎng)絡(luò)安全標準1.5 網(wǎng)絡(luò)安全組件1.6 安全策略的制定與實施本章教學(xué)要求：學(xué)習(xí)網(wǎng)絡(luò)安全概念、網(wǎng)絡(luò)安全威脅、網(wǎng)絡(luò)安全標準、網(wǎng)絡(luò)安全組件、安全策略的制定與實施。1.1 網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全已成為影響網(wǎng)絡(luò)效能的重要因素。Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。1）開放性的網(wǎng)絡(luò) 網(wǎng)絡(luò)技術(shù)的開放 面臨多方破壞和攻擊。如線路、協(xié)議、軟硬件等。2）自由的網(wǎng)絡(luò)

3、對用戶使用無任何技術(shù)約束 自由訪問網(wǎng)絡(luò)、自由的使用發(fā)布各種類型的信息1.1.1 網(wǎng)絡(luò)安全的概念機密性完整性可用性只有得到授權(quán)的實體才能修改數(shù)據(jù)，且能判斷數(shù)據(jù)是否已被篡改有授權(quán)的實體在需要時可訪問數(shù)據(jù)可控性可以控制授權(quán)范圍內(nèi)的信息流向及行為方式可審查性可以對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段（一）網(wǎng)絡(luò)安全5要素：、確保信息不暴露給未授權(quán)的實體或進程（二）網(wǎng)絡(luò)安全定義1、狹義：指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害；2、廣義：所有涉及到計算機網(wǎng)絡(luò)上信息的機密性、完整性、可用性、可控性、可審查性的相關(guān)技術(shù)和理論。1.1.2 網(wǎng)絡(luò)安全現(xiàn)狀缺乏網(wǎng)絡(luò)安全意識；信息安全管理

4、規(guī)范和標準不統(tǒng)一；企業(yè)、政府著重點不同；投入不足、重技術(shù)、輕管理等。1.2 網(wǎng)絡(luò)安全所產(chǎn)生的威脅1.2.1 網(wǎng)絡(luò)中存在的威脅1 非授權(quán)訪問：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行非法操作、合法用戶以未授權(quán)方式進行操作等；2 泄漏或丟失信息：敏感數(shù)據(jù)被有意泄漏或無意丟失；3 破壞數(shù)據(jù)完整性：非法刪除、修改、重發(fā)重要信息等；4 拒絕服務(wù)攻擊：干擾網(wǎng)絡(luò)服務(wù)系統(tǒng)，影響正常用戶使用；5 利用網(wǎng)絡(luò)傳播病毒 1.2.2 主機網(wǎng)絡(luò)安全 通常情況下，人們考慮計算機的安全是從兩個方面著手，一個是主機安全，一個是網(wǎng)絡(luò)安全。 主機安全主要是考慮保護合法用戶對于授權(quán)資源的使用，防止非法入侵者對于系統(tǒng)資源的侵占與破壞。

5、其最常用的辦法是利用操作系統(tǒng)的功能，如用戶認證、文件訪問權(quán)限控制、記帳審計等。 網(wǎng)絡(luò)安全主要考慮的是網(wǎng)絡(luò)上主機之間的訪問控制，防止來自外部網(wǎng)絡(luò)的入侵，保護數(shù)據(jù)在網(wǎng)上傳輸時不被泄密和修改。其最常用的方法是防火墻、加密等。 有些安全需求兩者都不能完成，如用戶如果希望制定下面的網(wǎng)絡(luò)訪問策略：“在正常上班場所（規(guī)定時間和IP地址）可以遠程登錄；在家中（指定IP地址）可以遠程登錄，但只能使用郵件程序；其它地點不能遠程登錄” 。主機網(wǎng)絡(luò)安全技術(shù)主機網(wǎng)絡(luò)安全技術(shù)：一種結(jié)合主機安全和網(wǎng)絡(luò)安全的邊緣安全技術(shù)。3）用戶可以根據(jù)網(wǎng)絡(luò)訪問的訪問者及發(fā)生訪問的時間、地點和行為來決定是否允許訪問繼續(xù)進行，以使同一用戶在不

6、同場所擁有不同的權(quán)限，從而保證合法用戶的權(quán)限不被非法侵害。IP地址、端口號、協(xié)議、MAC地址等；用戶、資源權(quán)限、訪問時間等；1）主機網(wǎng)絡(luò)安全技術(shù)通常通過運行在被保護主機上的軟件來實現(xiàn)。2）一種主動防御的安全技術(shù)，結(jié)合網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)特性和操作系統(tǒng)特性來設(shè)置安全策略；1.2.3 主機網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu)主機網(wǎng)絡(luò)安全系統(tǒng)要建立在被保護的主機上，且作用于網(wǎng)絡(luò)體系統(tǒng)結(jié)構(gòu)中的應(yīng)用層、傳輸層、網(wǎng)絡(luò)層。在不同的層次中，實現(xiàn)不同的安全策略。1 應(yīng)用層：是網(wǎng)絡(luò)訪問的網(wǎng)絡(luò)特性和操作系統(tǒng)特性的最佳結(jié)合點。分析主機提供服務(wù)的應(yīng)用協(xié)議，如DNS、FTP等，應(yīng)用用戶設(shè)置的策略；身份驗證2 傳輸層：是實現(xiàn)加密傳輸?shù)氖走x層；3

7、 網(wǎng)絡(luò)層：是實現(xiàn)訪問控制的首選層；用戶非用戶級訪問安全檢查（加解密）規(guī)則集用戶認證模塊合法用戶部 源 問 制內(nèi) 資 訪 控用戶級服務(wù)資源非用戶級服務(wù)資源系統(tǒng)資源控制文件用戶資源控制文件外部網(wǎng)絡(luò)訪問主機網(wǎng)絡(luò)安全層系統(tǒng)資源主機網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)模型外部資源訪問控制外部資源可完成的功能：1）安全檢查：實現(xiàn)對進出數(shù)據(jù)包的過濾、加密/解密；2）內(nèi)部資源訪問控制：對網(wǎng)絡(luò)用戶的權(quán)限進行控制，以保護本系統(tǒng)資源?？衫孟到y(tǒng)資源控制文件、用戶資源控制文件等來實現(xiàn)；3）外部資源訪問控制：控制用戶對系統(tǒng)之外網(wǎng)絡(luò)資源的訪問。1.3 協(xié)議安全分析1.3.1 物理層安全網(wǎng)絡(luò)設(shè)備和線路的不可用1.3.2 網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層的協(xié)議

8、主要有IP、ICMP、ARP等；安全威脅主要有IP欺騙和ICMP攻擊。IP欺騙：把源IP地址改成一個錯誤的IP地址；利用源路由IP數(shù)據(jù)包，讓它僅僅被用于一個特殊的路徑中傳輸；如Smurf 攻擊。一個Smurf攻擊向大量的遠程主機發(fā)送一系列的ping請求命令。黑客把源IP地址替換成想要攻擊的目標主機的IP地址。所有的遠程計算機都響應(yīng)這些ping請求，然后對目標地址進行回復(fù)而不是回復(fù)給攻擊者的IP地址。目標IP地址將被大量的ICMP包淹沒而不能有效的工作。 ICMP攻擊：ICMP用于在IP主機、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息。ICMP攻擊

9、來消耗帶寬，使系統(tǒng)癱瘓。比如，可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機發(fā)起“Ping of Death”（死亡之Ping）攻擊?！癙ing of Death” 攻擊的原理是：如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時，主機就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使主機死機1.3.3 傳輸層安全傳輸層的協(xié)議主要是TCP和UDP，TCP提供數(shù)據(jù)可靠傳輸，而UDP不提供可靠性、差錯恢復(fù)等功能。SSL（安全套接層協(xié)議）是基于TCP的，使用密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸。

10、在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道； 應(yīng)用程序只要采用SSL提供的一套SSL套接字API來替換標準的Socket套接字，就可以把程序轉(zhuǎn)換為SSL化的安全網(wǎng)絡(luò)程序，在傳輸過程中將由SSL協(xié)議實現(xiàn)數(shù)據(jù)機密性和完整性的保證TLS（傳輸層安全協(xié)議）由SSL3.0發(fā)展來，技術(shù)上基本相同。1.3.4 應(yīng)用層安全包括網(wǎng)絡(luò)安全、操作系統(tǒng)安全和數(shù)據(jù)庫安全。1.4 網(wǎng)絡(luò)安全標準 1.4.1 國外網(wǎng)絡(luò)安全標準與政策現(xiàn)狀1.4.2 ISO74982安全標準1.4.3 BS7799（ISO17799：2000）標準1.4.4 國內(nèi)安全標準、政策制定和實施情況由公安

11、部主持制定、國家技術(shù)標準局發(fā)布的中華人民共和國國家標準GB17895-1999計算機信息系統(tǒng)安全保護等級劃分準則已經(jīng)正式頒布。該準則將信息系統(tǒng)安全分為5個等級，分別是：自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數(shù)據(jù)完整性、審計、隱蔽信道分析、強制訪問控制、安全標記、可信路徑和可信恢復(fù)等，這些指標涵蓋了不同級別的安全要求。1.5 網(wǎng)絡(luò)安全組件1 防火墻：在兩個網(wǎng)絡(luò)之間加強訪問控制?？梢宰柚够贗P包頭的攻擊和非信任地址的 訪問，但不能阻止基于數(shù)據(jù)內(nèi)容的攻擊、病毒入侵和內(nèi)網(wǎng)的攻擊。2 掃描器：自動檢測遠程或本地主機安全弱點

12、。可發(fā)現(xiàn)系統(tǒng)的安全缺陷但無法發(fā)現(xiàn)正進行的入侵行為。3 防毒軟件：可查、殺病毒但不能有效阻止基于網(wǎng)絡(luò)的攻擊。4 安全審計系統(tǒng)：記錄網(wǎng)絡(luò)行為和主機操作。5 IDS（入侵檢測系統(tǒng)）：在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)控，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。1）功能 監(jiān)控、分析用戶和系統(tǒng)的活動； 核查系統(tǒng)配置和漏洞； 評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性； 識別攻擊的活動模式，向網(wǎng)管人員報警； 對異?；顒拥慕y(tǒng)計分析； 操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。2）分類 HIDS（主機型IDS）：用于保護運行關(guān)鍵應(yīng)用的服務(wù)器，通過監(jiān)視和分析主機的審計記錄和日志文

13、件來檢測入侵；通常是在主機上運行一個代理程序，它要求與操作系統(tǒng)內(nèi)核和服務(wù)緊密捆綁在一起，監(jiān)控各種系統(tǒng)事件，它根據(jù)主機行為特征庫對受檢測主機上的可疑行為進行采集、分析和判斷，并把警報信息發(fā)送給控制端程序，由管理員集中管理。 開發(fā)HIDS，要求對相關(guān)的操作系統(tǒng)非常了解，而且安裝在主機上的探頭（代理）必須非?？煽?，系統(tǒng)占用小，自身安全性要好，國內(nèi)專業(yè)從事HIDS的企業(yè)非常少。只有：理工先河的“金海豚”、CA的eTrust（包含類似于HIDS的功能模塊）、東方龍馬HIDS（純軟件的）、曙光GodEye等屈指可數(shù)的幾個產(chǎn)品,而且能支持的操作系統(tǒng)也基本上都是Solaris、Linux、Wondows 20

14、00非常少的幾個。 NIDS（網(wǎng)絡(luò)型IDS）：用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑信息，通過偵聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。NIDS是以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。攻擊特征庫數(shù)目多少以及數(shù)據(jù)處理能力，就決定了NIDS識別入侵行為的能力。 目前市場上最常見的入侵檢測系統(tǒng)，絕大多數(shù)大都是NIDS，比如東軟NetEye、聯(lián)想網(wǎng)御、上海金諾KIDS、NAI McAfee IntruShied、安氏LinkTrust等等 項目 HIDS NIDS 誤警 無 有 漏警 與技術(shù)水平相關(guān) 與數(shù)據(jù)處理能力相關(guān) 系統(tǒng)部署與維護 與網(wǎng)絡(luò)拓撲無關(guān) 與網(wǎng)絡(luò)拓撲有關(guān) 檢測規(guī)則 少量 大量 安全檢測 到達主機的所有事件 傳輸中的非加密信息檢測內(nèi)容 違規(guī)事件 攻擊方法或手段 HIDS和NIDS的比較：1.6 安全策略的制定與實施1.6.1 安全工作目的1）使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的可用性；2）使用授權(quán)機制，實現(xiàn)對