計(jì)算機(jī)網(wǎng)絡(luò)安全概述說(shuō)課材料

計(jì)算機(jī)網(wǎng)絡(luò)安全概述*網(wǎng)絡(luò)安全概述2難點(diǎn)

網(wǎng)絡(luò)安全關(guān)鍵技術(shù)*網(wǎng)絡(luò)安全概述3網(wǎng)絡(luò)安全為什么重要？網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會(huì)生活的各個(gè)方面；電子商務(wù)、電子政務(wù)、電子銀行等無(wú)不關(guān)注網(wǎng)絡(luò)安全； 至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點(diǎn)，也是技術(shù)研究的熱門領(lǐng)域，同時(shí)也是國(guó)家和政府的行為。國(guó)家安全委員會(huì)（中國(guó)國(guó)家機(jī)關(guān)）報(bào)告指出，到2013年，全球網(wǎng)民數(shù)量達(dá)到22億，其中亞洲網(wǎng)民數(shù)量將占到43%，而中國(guó)網(wǎng)民占到全球的17%。截至2016年12月底，我國(guó)網(wǎng)民規(guī)模達(dá)7.31億，全年共計(jì)新增網(wǎng)民4299萬(wàn)人?；ヂ?lián)網(wǎng)普及率為53.2%，較2015年底提升了2.9個(gè)百分點(diǎn)。

中國(guó)網(wǎng)民規(guī)模和互聯(lián)網(wǎng)普及率新網(wǎng)民互聯(lián)網(wǎng)接入設(shè)備使用情況至2016年12月，我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)6.95億，較2015年底增加7550萬(wàn)人。網(wǎng)民中使用手機(jī)上網(wǎng)人群的占比由2015年的90.1%提升至95.1%，提升5個(gè)百分點(diǎn)，網(wǎng)民手機(jī)上網(wǎng)比例在高基數(shù)基礎(chǔ)上進(jìn)一步攀升。中國(guó)手機(jī)網(wǎng)民規(guī)模及其占網(wǎng)民比例*網(wǎng)絡(luò)安全概述82016年度中國(guó)被篡改網(wǎng)頁(yè)的網(wǎng)站2016年網(wǎng)絡(luò)安全事件類型分布圖計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅2014年，共發(fā)現(xiàn)中文釣魚網(wǎng)站55063個(gè)，較之2013年有所下降，但仍居于高位。圖中

描述了全球中文釣魚網(wǎng)站數(shù)量按年統(tǒng)計(jì)趨勢(shì)。該圖顯示近兩年的中文釣魚網(wǎng)站數(shù)量同比2012年大幅增加。網(wǎng)絡(luò)釣魚已成為威脅網(wǎng)絡(luò)安全的突出問題，網(wǎng)絡(luò)安全形勢(shì)與挑戰(zhàn)日益嚴(yán)重*網(wǎng)絡(luò)安全概述11*網(wǎng)絡(luò)安全概述12數(shù)據(jù)2015年10月，《InformationWeek》研究部和埃森哲咨詢公司全球安全調(diào)查，調(diào)查全面揭示了商業(yè)計(jì)算環(huán)境所面臨的各種威脅。在受訪者當(dāng)中，有57%的美國(guó)公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經(jīng)歷了拒絕服務(wù)攻擊。*網(wǎng)絡(luò)安全概述13網(wǎng)絡(luò)安全的重要性信息安全空間將成為傳統(tǒng)的國(guó)界、領(lǐng)海、領(lǐng)空的三大國(guó)防和基于太空的第四國(guó)防之外的第五國(guó)防，稱為cyber-space。*網(wǎng)絡(luò)安全概述1438屆世界電信日的主題*網(wǎng)絡(luò)安全概述15網(wǎng)絡(luò)脆弱性的原因“INTERNET的美妙之處在于你和每個(gè)人都能互相連接,INTERNET的可怕之處在于每個(gè)人都能和你互相連接”*網(wǎng)絡(luò)安全概述16網(wǎng)絡(luò)脆弱性的原因*網(wǎng)絡(luò)安全概述17網(wǎng)絡(luò)脆弱性的原因1.開放性的網(wǎng)絡(luò)環(huán)境2.協(xié)議本身的缺陷

3.操作系統(tǒng)的漏洞

4.人為因素

*網(wǎng)絡(luò)安全概述18羅伯特?莫里斯1988年，莫里斯蠕蟲病毒震撼了整個(gè)世界。由原本寂寂無(wú)名的大學(xué)生羅伯特·莫里斯（22歲）制造的這個(gè)蠕蟲病毒入侵了大約6000個(gè)大學(xué)和軍事機(jī)構(gòu)的計(jì)算機(jī)，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達(dá)到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。*網(wǎng)絡(luò)安全概述19凱文?米特尼克凱文?米特尼克是美國(guó)20世紀(jì)最著名的黑客之一，他是《社會(huì)工程學(xué)》的創(chuàng)始人1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國(guó)所有的核彈頭資料，令大人不可置信。不久破譯了美國(guó)“太平洋電話公司”某地的改戶密碼，隨意更改用戶的電話號(hào)碼。*網(wǎng)絡(luò)安全概述20網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。*網(wǎng)絡(luò)安全概述21網(wǎng)絡(luò)安全的主要特征如下：網(wǎng)絡(luò)安全的最終目標(biāo)就是通過各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、可用性、可控性、可審查性?？煽啃允乔疤?；可控性是指信息系統(tǒng)對(duì)信息內(nèi)容和傳輸具有控制能力的特征；可審查行是出現(xiàn)安全問題時(shí)提供依據(jù)與手段*網(wǎng)絡(luò)安全概述22網(wǎng)絡(luò)安全的主要特征如下：大多數(shù)情況下，網(wǎng)絡(luò)安全更側(cè)重強(qiáng)調(diào)網(wǎng)絡(luò)信息的保密性、完整性和有效性即（CIA）保密性——信息加密時(shí)防止信息非法泄露的最基本手段完整性——數(shù)據(jù)備份是防范信息完整性遭到破換的最有效手段有效性——授權(quán)用戶按需訪問*網(wǎng)絡(luò)安全概述23第一節(jié)網(wǎng)絡(luò)安全簡(jiǎn)介

物理安全邏輯安全操作系統(tǒng)安全聯(lián)網(wǎng)安全*網(wǎng)絡(luò)安全概述241.1.1物理安全1．防盜像其他的物體一樣，計(jì)算機(jī)也是偷竊者的目標(biāo)，例如盜走軟盤、主板等。計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)本身的價(jià)值，因此必須采取嚴(yán)格的防范措施，以確保計(jì)算機(jī)設(shè)備不會(huì)丟失。

*網(wǎng)絡(luò)安全概述252．防火計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為事故或外部火災(zāi)蔓延引起的。電氣設(shè)備和線路因?yàn)槎搪贰⑦^載、接觸不良、絕緣層破壞或靜電等原因引起電打火而導(dǎo)致火災(zāi)。人為事故是指由于操作人員不慎，吸煙、亂扔煙頭等，使充滿易燃物質(zhì)（如紙片、磁帶、膠片等）的機(jī)房起火，當(dāng)然也不排除人為故意放火。外部火災(zāi)蔓延是因外部房間或其他建筑物起火而蔓延到機(jī)房而引起火災(zāi)。

*網(wǎng)絡(luò)安全概述263．防靜電靜電是由物體間的相互摩擦、接觸而產(chǎn)生的，計(jì)算機(jī)顯示器也會(huì)產(chǎn)生很強(qiáng)的靜電。靜電產(chǎn)生后，由于未能釋放而保留在物體內(nèi)，會(huì)有很高的電位（能量不大），從而產(chǎn)生靜電放電火花，造成火災(zāi)。還可能使大規(guī)模集成電器損壞，這種損壞可能是不知不覺造成的。

*網(wǎng)絡(luò)安全概述274．防雷擊利用引雷機(jī)理的傳統(tǒng)避雷針防雷，不但增加雷擊概率，而且產(chǎn)生感應(yīng)雷，而感應(yīng)雷是電子信息設(shè)備被損壞的主要?dú)⑹?，也是易燃易爆品被引燃起爆的主要原因。雷擊防范的主要措施是，根?jù)電氣、微電子設(shè)備的不同功能及不同受保護(hù)程序和所屬保護(hù)層確定防護(hù)要點(diǎn)作分類保護(hù)；根據(jù)雷電和操作瞬間過電壓危害的可能通道從電源線到數(shù)據(jù)通信線路都應(yīng)做多級(jí)層保護(hù)。

*網(wǎng)絡(luò)安全概述285．防電磁泄漏電子計(jì)算機(jī)和其他電子設(shè)備一樣，工作時(shí)要產(chǎn)生電磁發(fā)射。電磁發(fā)射包括輻射發(fā)射和傳導(dǎo)發(fā)射。這兩種電磁發(fā)射可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成計(jì)算機(jī)的信息泄露。

屏蔽是防電磁泄漏的有效措施，屏蔽主要有電屏蔽、磁屏蔽和電磁屏蔽三種類型。

*網(wǎng)絡(luò)安全概述29

計(jì)算機(jī)的邏輯安全需要用口令字、文件許可、查賬等方法來(lái)實(shí)現(xiàn)?？梢韵拗频卿浀拇螖?shù)或?qū)υ囂讲僮骷由蠒r(shí)間限制；可以用軟件來(lái)保護(hù)存儲(chǔ)在計(jì)算機(jī)文件中的信息；限制存取的另一種方式是通過硬件完成，在接收到存取要求后，先詢問并校核口令，然后訪問列于目錄中的授權(quán)用戶標(biāo)志號(hào)。此外，有一些安全軟件包也可以跟蹤可疑的、未授權(quán)的存取企圖，例如，多次登錄或請(qǐng)求別人的文件。

1.1.2邏輯安全*網(wǎng)絡(luò)安全概述301.1.3操作系統(tǒng)安全

操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。同一計(jì)算機(jī)可以安裝幾種不同的操作系統(tǒng)。如果計(jì)算機(jī)系統(tǒng)可提供給許多人使用，操作系統(tǒng)必須能區(qū)分用戶，以便于防止他們相互干擾。一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為計(jì)算機(jī)的每一位用戶分配賬戶。通常，一個(gè)用戶一個(gè)賬戶。操作系統(tǒng)不允許一個(gè)用戶修改由另一個(gè)賬戶產(chǎn)生的數(shù)據(jù)。

*網(wǎng)絡(luò)安全概述311.1.4聯(lián)網(wǎng)安全

聯(lián)網(wǎng)的安全性只能通過以下兩方面的安全服務(wù)來(lái)達(dá)到：

1．訪問控制服務(wù)：用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。

2．通信安全服務(wù)：用來(lái)認(rèn)證數(shù)據(jù)機(jī)要性與完整性，以及各通信的可信賴性。*網(wǎng)絡(luò)安全概述32

軟件漏洞網(wǎng)絡(luò)協(xié)議漏洞安全管理漏洞網(wǎng)絡(luò)系統(tǒng)面臨的威脅1.2網(wǎng)絡(luò)安全漏洞與威脅*網(wǎng)絡(luò)安全概述33

軟件漏洞（flaw）是指在設(shè)計(jì)與編制軟件時(shí)沒有考慮對(duì)非正常輸入進(jìn)行處理或錯(cuò)誤代碼而造成的安全隱患，軟件漏洞也稱為軟件脆弱性（vulnerability）或軟件隱錯(cuò)（bug）。軟件漏洞產(chǎn)生的主要原因是軟件設(shè)計(jì)人員不可能將所有輸入都考慮周全，因此，軟件漏洞是任何軟件存在的客觀事實(shí)。軟件產(chǎn)品通常在正式發(fā)布之前，一般都要相繼發(fā)布α版本、β版本和γ版本供反復(fù)測(cè)試使用，目的就是為了盡可能減少軟件漏洞。*網(wǎng)絡(luò)安全概述34網(wǎng)絡(luò)協(xié)議漏洞類似于軟件漏洞，是指網(wǎng)絡(luò)通信協(xié)議不完善而導(dǎo)致的安全隱患。截止到目前，Internet上廣泛使用的TCP/IP協(xié)議族幾乎所有協(xié)議都發(fā)現(xiàn)存在安全隱患*網(wǎng)絡(luò)安全概述35網(wǎng)絡(luò)安全技術(shù)只是保證網(wǎng)絡(luò)安全的基礎(chǔ)，網(wǎng)絡(luò)安全管理才是發(fā)揮網(wǎng)絡(luò)安全技術(shù)的根本保證。因此，網(wǎng)絡(luò)安全問題并不是一個(gè)純技術(shù)問題，從網(wǎng)絡(luò)安全管理角度看，網(wǎng)絡(luò)安全首先應(yīng)當(dāng)是管理問題。許多安全管理漏洞只要提高安全管理意識(shí)完全可以避免，如常見的系統(tǒng)缺省配置、脆弱性口令和信任關(guān)系轉(zhuǎn)移等。*網(wǎng)絡(luò)安全概述361.2.2系統(tǒng)漏洞造成的威脅

網(wǎng)絡(luò)安全威脅是指事件對(duì)信息資源的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性可能產(chǎn)生的危害，網(wǎng)絡(luò)安全威脅根據(jù)威脅產(chǎn)生的因素可以分為自然和人為兩大類。*網(wǎng)絡(luò)安全概述37網(wǎng)絡(luò)安全威脅自然因素人為因素硬件故障；軟件故障；電源故障；電磁干擾電磁輻射意外損壞蓄意攻擊刪除文件；格式化硬盤自然災(zāi)害網(wǎng)絡(luò)攻擊；計(jì)算機(jī)病毒；濫用特權(quán)特洛伊木馬；網(wǎng)絡(luò)竊聽；郵件截獲帶電拔插；系統(tǒng)斷電破壞保密性破壞完整性和有效性破壞保密性、完整性和有效性圖1.5

網(wǎng)絡(luò)安全威脅分類及破壞目標(biāo)*網(wǎng)絡(luò)安全概述38網(wǎng)絡(luò)安全威脅來(lái)自網(wǎng)絡(luò)邊界內(nèi)部或外部，蓄意攻擊還可以分為內(nèi)部攻擊和外部攻擊，由于內(nèi)部人員位于信任范圍內(nèi)，熟悉敏感數(shù)據(jù)的存放位置、存取方法、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、安全漏洞及防御措施，而且多數(shù)機(jī)構(gòu)的安全保護(hù)措施都是“防外不防內(nèi)”，因此，許多數(shù)蓄意攻擊來(lái)自內(nèi)部而不是外部。*網(wǎng)絡(luò)安全概述39

主動(dòng)攻擊包含攻擊者訪問他所需信息的故意行為。比如遠(yuǎn)程登錄到指定機(jī)器的端口找出公司運(yùn)行的郵件服務(wù)器的信息；偽造無(wú)效IP地址去連接服務(wù)器，使接受到錯(cuò)誤IP地址的系統(tǒng)浪費(fèi)時(shí)間去連接哪個(gè)非法地址。攻擊者是在主動(dòng)地做一些不利于你或你的公司系統(tǒng)的事情。正因?yàn)槿绱?，如果要尋找他們是很容易發(fā)現(xiàn)的。主動(dòng)攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。

被動(dòng)攻擊主要是收集信息而不是進(jìn)行訪問，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺察到。被動(dòng)攻擊包括嗅探、信息收集等攻擊方法。

*網(wǎng)絡(luò)安全概述40交換鑒別機(jī)制數(shù)據(jù)加密訪問控制認(rèn)證和數(shù)字簽名技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)1.3網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)*網(wǎng)絡(luò)安全概述411.交換鑒別機(jī)制交換鑒別機(jī)制是通過互相交換信息的方式來(lái)確定彼此的身份。用于交換鑒別的技術(shù)有：

1．口令：由發(fā)送方給出自己的口令，以證明自己的身份，接收方則根據(jù)口令來(lái)判斷對(duì)方的身份。

2．密碼技術(shù)：發(fā)送方和接收方各自掌握的密鑰是成對(duì)的。接收方在收到已加密的信息時(shí)，通過自己掌握的密鑰解密，能夠確定信息的發(fā)送者是掌握了另一個(gè)密鑰的那個(gè)人。在許多情況下，密碼技術(shù)還和時(shí)間標(biāo)記、同步時(shí)鐘、雙方或多方握手協(xié)議、數(shù)字簽名、第三方公證等相結(jié)合，以提供更加完善的身份鑒別。

3．特征實(shí)物：例如IC卡、指紋、聲音頻譜等。

*網(wǎng)絡(luò)安全概述422.加密機(jī)制加密是提供信息保密的核心方法。按照密鑰的類型不同，加密算法可分為對(duì)稱密鑰算法和非對(duì)稱密鑰算法兩種。按照密碼體制的不同，又可以分為序列密碼算法和分組密碼算法兩種。加密算法除了提供信息的保密性之外，它和其他技術(shù)結(jié)合，例如hash函數(shù)，還能提供信息的完整性。加密技術(shù)不僅應(yīng)用于數(shù)據(jù)通信和存儲(chǔ)，也應(yīng)用于程序的運(yùn)行，通過對(duì)程序的運(yùn)行實(shí)行加密保護(hù)，可以防止軟件被非法復(fù)制，防止軟件的安全機(jī)制被破壞，這就是軟件加密技術(shù)。

*網(wǎng)絡(luò)安全概述433.訪問控制機(jī)制訪問控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，這種服務(wù)不僅可以提供給單個(gè)用戶，也可以提供給用戶組的所有用戶。訪問控制是通過對(duì)訪問者的有關(guān)信息進(jìn)行檢查來(lái)限制或禁止訪問者使用資源的技術(shù)，分為高層訪問控制和低層訪問控制。高層訪問控制包括身份檢查和權(quán)限確認(rèn)，是通過對(duì)用戶口令、用戶權(quán)限、資源屬性的檢查和對(duì)比來(lái)實(shí)現(xiàn)的。低層訪問控制是通過對(duì)通信協(xié)議中的某些特征信息的識(shí)別、判斷，來(lái)禁止或允許用戶訪問的措施。如在路由器上設(shè)置過濾規(guī)則進(jìn)行數(shù)據(jù)包過濾，就屬于低層訪問控制。

*網(wǎng)絡(luò)安全概述444.公證機(jī)制網(wǎng)絡(luò)上魚龍混雜，很難說(shuō)相信誰(shuí)不相信誰(shuí)。同時(shí)，網(wǎng)絡(luò)的有些故障和缺陷也可能導(dǎo)致信息的丟失或延誤。為了免得事后說(shuō)不清，可以找一個(gè)大家都信任的公證機(jī)構(gòu)，各方的交換的信息都通過公證機(jī)構(gòu)來(lái)中轉(zhuǎn)。公證機(jī)構(gòu)從中轉(zhuǎn)的信息里提取必要的證據(jù)，日后一旦發(fā)生糾紛，就可以據(jù)此做出仲裁。

*網(wǎng)絡(luò)安全概述45在真實(shí)世界，對(duì)用戶的身份認(rèn)證基本方法可以分為這三種：(1)根據(jù)你所知道的信息來(lái)證明你的身份(whatyouknow，你知道什么)；(2)根據(jù)你所擁有的東西來(lái)證明你的身份(whatyouhave，你有什么)；(3)直接根據(jù)獨(dú)一無(wú)二的身體特征來(lái)證明你的身份(whoyouare，你是誰(shuí))，比如指紋、面貌等。在網(wǎng)絡(luò)世界中手段與真實(shí)世界中一致，為了達(dá)到更高的身份認(rèn)證安全性，某些場(chǎng)景會(huì)將上面3種挑選2中混合使用，即所謂的雙因素認(rèn)證。*網(wǎng)絡(luò)安全概述46以下羅列幾種常見的認(rèn)證形式：靜態(tài)密碼

智能卡

短信密碼

動(dòng)態(tài)口令

數(shù)字簽名

生物識(shí)別

*網(wǎng)絡(luò)安全概述474.數(shù)字簽名機(jī)制數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明。用于辨識(shí)數(shù)據(jù)簽署人的身份，并標(biāo)明簽署人對(duì)數(shù)據(jù)中所有信息的認(rèn)可。數(shù)字簽名機(jī)制主要解決以下安全問題：

1．必須可信 2.無(wú)法抵賴 3.無(wú)法偽造

4.不能重用 5.