計算機網(wǎng)絡(luò)安全

計算機網(wǎng)絡(luò)安全副標題內(nèi)容提要一、計算機網(wǎng)絡(luò)面臨的主要威脅二、計算機網(wǎng)絡(luò)不安全因素三、計算機網(wǎng)絡(luò)安全概念四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)一、計算機網(wǎng)絡(luò)面臨的主要威脅1、計算機網(wǎng)絡(luò)中受到威脅的實體：各類計算機（服務器、工作站等）一、計算機網(wǎng)絡(luò)面臨的主要威脅網(wǎng)絡(luò)通信設(shè)備（路由器、交換機、集線器、調(diào)制解調(diào)器、加密機等）1、計算機網(wǎng)絡(luò)中受到威脅的實體：一、計算機網(wǎng)絡(luò)面臨的主要威脅存放數(shù)據(jù)的媒體（磁帶、磁盤、光盤等）1、計算機網(wǎng)絡(luò)中受到威脅的實體：一、計算機網(wǎng)絡(luò)面臨的主要威脅傳輸線路、供配電系統(tǒng)1、計算機網(wǎng)絡(luò)中受到威脅的實體：一、計算機網(wǎng)絡(luò)面臨的主要威脅防雷系統(tǒng)和抗電磁干擾系統(tǒng)等1、計算機網(wǎng)絡(luò)中受到威脅的實體：一、計算機網(wǎng)絡(luò)面臨的主要威脅主機可能會受到非法入侵者的攻擊2、計算機網(wǎng)絡(luò)系統(tǒng)面臨威脅一、計算機網(wǎng)絡(luò)面臨的主要威脅網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改2、計算機網(wǎng)絡(luò)系統(tǒng)面臨威脅一、計算機網(wǎng)絡(luò)面臨的主要威脅

從內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽或篡改等2、計算機網(wǎng)絡(luò)系統(tǒng)面臨威脅一、計算機網(wǎng)絡(luò)面臨的主要威脅威脅描述竊聽網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽。重傳攻擊者事先獲得部分或全部信息,以后將此信息發(fā)送給接收者。偽造攻擊者將偽造的信息發(fā)送給接收者。篡改攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再發(fā)送給接收者。非授權(quán)訪問通過假冒、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問權(quán)，從而使非法用戶進入網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改、插入信息等。 拒絕服務攻擊攻擊者使系統(tǒng)響應減慢甚至癱瘓，阻止合法用戶獲得服務。行為否認通訊實體否認已經(jīng)發(fā)生的行為。旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性。電磁/射頻截獲攻擊者從電子或機電設(shè)備所發(fā)出的無線射頻或其它電磁輻射中提取信息。人員疏忽授權(quán)的人為了利益或由于粗心將信息泄漏給未授權(quán)人。一、計算機網(wǎng)絡(luò)面臨的主要威脅一、計算機網(wǎng)絡(luò)面臨的主要威脅獲取機密或敏感數(shù)據(jù)的訪問權(quán)黑客刺探特定目標的通常動機跟蹤或監(jiān)視目標系統(tǒng)的運行（跟蹤分析）擾亂目標系統(tǒng)的正常運行一、計算機網(wǎng)絡(luò)面臨的主要威脅竊取錢物或服務黑客刺探特定目標的通常動機免費使用資源（例如，計算機資源或免費使用網(wǎng)絡(luò)）向安全機制進行技術(shù)挑戰(zhàn)二、計算機網(wǎng)絡(luò)不安全因素1、不安全的主要因素偶發(fā)性因素：如電源故障、設(shè)備的機能失常、軟件開發(fā)過程中留下的某種漏洞或邏輯錯誤等。二、計算機網(wǎng)絡(luò)不安全因素自然災害：各種自然災害（如地震、風暴、泥石流、建筑物破壞等）。1、不安全的主要因素二、計算機網(wǎng)絡(luò)不安全因素人為因素：不法之徒利用計算機網(wǎng)絡(luò)或潛入計算機房，篡改系統(tǒng)數(shù)據(jù)、竊用系統(tǒng)資源、非法獲取機密數(shù)據(jù)和信息、破壞硬件設(shè)備、編制計算機病毒等。此外，管理不好、規(guī)章制度不健全、有章不循、安全管理水平低、人員素質(zhì)差、操作失誤、瀆職行為等都會對計算機網(wǎng)絡(luò)造成威脅。1、不安全的主要因素二、計算機網(wǎng)絡(luò)不安全因素攻擊舉例描述監(jiān)視明文監(jiān)視網(wǎng)絡(luò)，獲取未加密的信息。解密通信數(shù)據(jù)通過密碼分析，破解網(wǎng)絡(luò)中傳輸?shù)募用軘?shù)據(jù)?？诹钚崽绞褂脜f(xié)議分析工具，捕獲用于各類系統(tǒng)訪問的口令。通信量分析不對加密數(shù)據(jù)進行解密，而是通過對外部通信模式的觀察，獲取關(guān)鍵信息。2、對計算機網(wǎng)絡(luò)的主要攻擊——被動攻擊二、計算機網(wǎng)絡(luò)不安全因素攻擊舉例描述修改傳輸中的數(shù)據(jù)截獲并修改網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。重放將舊的消息重新反復發(fā)送，造成網(wǎng)絡(luò)效率降低。會話攔截未授權(quán)使用一個已經(jīng)建立的會話。偽裝成授權(quán)的用戶這類攻擊者將自己偽裝成他人，未授權(quán)訪問資源和信息。利用系統(tǒng)軟件的漏洞攻擊者探求以系統(tǒng)權(quán)限運行的軟件中存在的脆弱性。利用主機或網(wǎng)絡(luò)信任攻擊者通過操縱文件，使虛擬/遠方主機提供服務，從而獲得信任。利用惡意代碼攻擊者向系統(tǒng)內(nèi)植入惡意代碼，或誘騙用戶去執(zhí)行惡意代碼。利用缺陷攻擊者利用協(xié)議中的缺陷來欺騙用戶或重定向通信量。拒絕服務ICMP炸彈，在網(wǎng)絡(luò)中擴散垃圾包，向郵件中心發(fā)送垃圾郵件2、對計算機網(wǎng)絡(luò)的主要攻擊——主動攻擊二、計算機網(wǎng)絡(luò)不安全因素2、對計算機網(wǎng)絡(luò)的主要攻擊——臨近攻擊鄰近攻擊是指未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，從而可以修改、收集信息，或使系統(tǒng)拒絕訪問。接近網(wǎng)絡(luò)可以是秘密進入或公開，也可以是兩者都有。攻擊舉例描述修改數(shù)據(jù)或收集信息攻擊者獲取系統(tǒng)管理權(quán)，從而修改或竊取信息，如：IP地址、登陸的用戶名和口令等。系統(tǒng)干涉攻擊者獲取系統(tǒng)訪問權(quán)，從而干涉系統(tǒng)的正常運行。物理破壞獲取系統(tǒng)物理設(shè)備訪問權(quán)，從而對設(shè)備進行物理破壞。二、計算機網(wǎng)絡(luò)不安全因素2、對計算機網(wǎng)絡(luò)的主要攻擊——內(nèi)部人員攻擊攻擊舉例描述惡意修改數(shù)據(jù)或安全機制內(nèi)部人員直接使用網(wǎng)絡(luò)，具有系統(tǒng)的訪問權(quán)。因此，內(nèi)部人員攻擊者比較容易實施未授權(quán)操作或破壞數(shù)據(jù)。擅自連接網(wǎng)絡(luò)對涉密網(wǎng)絡(luò)具有物理訪問能力的人員，擅自將機密網(wǎng)絡(luò)與密級較低，或公共網(wǎng)絡(luò)連接，違背安全策略和保密規(guī)定。隱通道隱通道是未授權(quán)的通信路徑，用于從本地網(wǎng)向遠程站點傳輸盜取的信息。物理損壞或破壞對系統(tǒng)具有物理訪問權(quán)限地工作人員，對系統(tǒng)故意破壞或損壞。非惡意修改數(shù)據(jù)由于缺乏知識或粗心大意，修改或破壞數(shù)據(jù)或系統(tǒng)信息。物理損壞或破壞由于瀆職或違反操作規(guī)程，對系統(tǒng)的物理設(shè)備造成意外損壞或破壞。二、計算機網(wǎng)絡(luò)不安全因素2、對計算機網(wǎng)絡(luò)的主要攻擊——分發(fā)攻擊攻擊舉例描述在設(shè)備生產(chǎn)時修改軟硬件當軟件和硬件在生產(chǎn)線上時，通過修改軟硬件配置來實施這類攻擊。在產(chǎn)品分發(fā)時修改軟硬件在產(chǎn)品分發(fā)期內(nèi)修改軟硬件配置（如安裝竊聽設(shè)備）。二、計算機網(wǎng)絡(luò)不安全因素3、不安全的主要原因互聯(lián)網(wǎng)具有開放性網(wǎng)絡(luò)的技術(shù)是全開放的國際性網(wǎng)絡(luò)安全面臨的是一個國際化的挑戰(zhàn)自由性用戶可以自由地使用和發(fā)布各種類型的信息不安全性二、計算機網(wǎng)絡(luò)不安全因素3、不安全的主要原因操作系統(tǒng)軟件自身的不安全性，以及系統(tǒng)設(shè)計時的疏忽或考慮不周而留下的“破綻”，都給危害網(wǎng)絡(luò)安全的人留下了許多“后門”。

操作系統(tǒng)體系結(jié)構(gòu)的不安全隱患是計算機系統(tǒng)不安全的根本原因之一。

操作系統(tǒng)不安全的另一原因在于它可以創(chuàng)建進程，支持進程的遠程創(chuàng)建與激活，支持被創(chuàng)建的進程繼承創(chuàng)建進程的權(quán)利。操作系統(tǒng)的無口令入口，以及隱蔽通道。操作系統(tǒng)存在安全問題二、計算機網(wǎng)絡(luò)不安全因素3、不安全的主要原因數(shù)據(jù)庫存在著許多不安全性。二、計算機網(wǎng)絡(luò)不安全因素3、不安全的主要原因從安全的角度來說，沒有絕對安全的通訊線路。二、計算機網(wǎng)絡(luò)不安全因素3、不安全的主要原因網(wǎng)絡(luò)安全管理問題三、計算機網(wǎng)絡(luò)安全概念1、定義計算機網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。三、計算機網(wǎng)絡(luò)安全概念1、定義網(wǎng)絡(luò)安全技術(shù)和理論信息的保密性信息的完整性信息的可用性信息的不可否認性信息的可控性三、計算機網(wǎng)絡(luò)安全概念1、定義網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。三、計算機網(wǎng)絡(luò)安全概念2、計算機網(wǎng)絡(luò)安全目標保密性數(shù)據(jù)保護數(shù)據(jù)隔離通信流保護保密性三、計算機網(wǎng)絡(luò)安全概念2、計算機網(wǎng)絡(luò)安全目標完整性完整性人為因素非人為因素三、計算機網(wǎng)絡(luò)安全概念2、計算機網(wǎng)絡(luò)安全目標可用性避免受到攻擊避免未授權(quán)使用防止進程失敗三、計算機網(wǎng)絡(luò)安全概念2、計算機網(wǎng)絡(luò)安全目標不可否認性數(shù)據(jù)的接收者提供數(shù)據(jù)發(fā)送者身份及原始發(fā)送時間的證據(jù)；數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)已交付接收者（某些情況下，包括接收時間）的證據(jù)；審計服務提供了信息交換中各涉及方的可審計性三、計算機網(wǎng)絡(luò)安全概念2、計算機網(wǎng)絡(luò)安全目標可控性指對信息的傳播及內(nèi)容具有控制能力，保證信息和信息系統(tǒng)的授權(quán)認證和監(jiān)控管理，確保某個實體（人或系統(tǒng)）身份的真實性，也可以確保執(zhí)法者對社會的執(zhí)法管理行為。三、計算機網(wǎng)絡(luò)安全概念3、計算機網(wǎng)絡(luò)安全層次物理安全邏輯安全操作系統(tǒng)安全聯(lián)網(wǎng)安全三、計算機網(wǎng)絡(luò)安全概念4、計算機網(wǎng)絡(luò)安全所涉及的內(nèi)容網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)的攻擊手段與防范措施網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)犯罪偵查網(wǎng)絡(luò)安全教育網(wǎng)絡(luò)安全法律網(wǎng)絡(luò)安全檢測技術(shù)網(wǎng)絡(luò)安全理論與政策安全管理，安全審計網(wǎng)絡(luò)安全標準制定，安全評測及認證四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全模型OSI安全體系結(jié)構(gòu)P2DR模型網(wǎng)絡(luò)安全技術(shù)四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)1、網(wǎng)絡(luò)安全模型四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)2、OSI安全體系結(jié)構(gòu)——安全服務鑒別服務訪問控制服務數(shù)據(jù)機密性服務數(shù)據(jù)完整性服務抗抵賴性服務四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)對付典型網(wǎng)絡(luò)威脅的安全服務安全威脅安全服務假冒攻擊鑒別服務非授權(quán)侵犯訪問控制服務竊聽攻擊數(shù)據(jù)機密性服務完整性破壞數(shù)據(jù)完整性服務服務否認抗抵賴服務拒絕服務鑒別服務、訪問控制服務、數(shù)據(jù)完整性服務等四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)2、OSI安全體系結(jié)構(gòu)——安全機制加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制鑒別交換機制通信業(yè)務流填充機制路由控制公證機制四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)3、P2DR模型P2DR模型示意圖四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)3、P2DR模型Protection保護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的，主要有防火墻、加密、認證等方法。Detection在P2DR模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應和加強防護的依據(jù)，它也是強制落實安全策略的有力工具。Response響應在安全系統(tǒng)中占有最重要的地位，是解決潛在安全問題的最有效辦法。Policy安全策略是整個網(wǎng)絡(luò)安全的依據(jù)。策略一旦制訂，應當作為整個網(wǎng)絡(luò)系統(tǒng)安全行為的準則。四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)3、P2DR模型P2DR理論給人們提出了新的安全概念，安全不能依靠單純的靜態(tài)防護，也不能依靠單純的技術(shù)手段來解決。

P2DR安全模型也存在一個明顯的弱點，就是忽略了內(nèi)在的變化因素。

四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)物理安全措施環(huán)境安全設(shè)備安全媒體安全四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)傳輸安全技術(shù)數(shù)據(jù)傳輸加密技術(shù)數(shù)據(jù)完整性鑒別技術(shù)數(shù)字簽名四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)內(nèi)外網(wǎng)隔離技術(shù)采用防火墻技術(shù)可以將內(nèi)部網(wǎng)絡(luò)的與外部網(wǎng)絡(luò)進行隔離，對內(nèi)部網(wǎng)絡(luò)進行保護。四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)入侵檢測技術(shù)入侵檢測的目的就是提供實時的檢測及采取相應的防護手段，以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為，阻止黑客的入侵。四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)訪問控制技術(shù)訪問控制是維護計算機網(wǎng)絡(luò)系統(tǒng)安全、保護計算機資源的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)審計技術(shù)審計技術(shù)是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，記錄系統(tǒng)產(chǎn)生的各類事件。四、計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)安全性檢測技術(shù)網(wǎng)絡(luò)安全檢測（漏洞檢測）是對網(wǎng)絡(luò)的安全性進行評估