計(jì)算機(jī)網(wǎng)絡(luò)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全副標(biāo)題內(nèi)容提要一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅1、計(jì)算機(jī)網(wǎng)絡(luò)中受到威脅的實(shí)體：各類計(jì)算機(jī)（服務(wù)器、工作站等）一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)、集線器、調(diào)制解調(diào)器、加密機(jī)等）1、計(jì)算機(jī)網(wǎng)絡(luò)中受到威脅的實(shí)體：一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅存放數(shù)據(jù)的媒體（磁帶、磁盤、光盤等）1、計(jì)算機(jī)網(wǎng)絡(luò)中受到威脅的實(shí)體：一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅傳輸線路、供配電系統(tǒng)1、計(jì)算機(jī)網(wǎng)絡(luò)中受到威脅的實(shí)體：一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅防雷系統(tǒng)和抗電磁干擾系統(tǒng)等1、計(jì)算機(jī)網(wǎng)絡(luò)中受到威脅的實(shí)體：一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅主機(jī)可能會(huì)受到非法入侵者的攻擊2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威脅一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威脅一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅

從內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽(tīng)或篡改等2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威脅一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅威脅描述竊聽(tīng)網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽(tīng)。重傳攻擊者事先獲得部分或全部信息,以后將此信息發(fā)送給接收者。偽造攻擊者將偽造的信息發(fā)送給接收者。篡改攻擊者對(duì)合法用戶之間的通訊信息進(jìn)行修改、刪除、插入，再發(fā)送給接收者。非授權(quán)訪問(wèn)通過(guò)假冒、身份攻擊、系統(tǒng)漏洞等手段，獲取系統(tǒng)訪問(wèn)權(quán)，從而使非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改、插入信息等。 拒絕服務(wù)攻擊攻擊者使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止合法用戶獲得服務(wù)。行為否認(rèn)通訊實(shí)體否認(rèn)已經(jīng)發(fā)生的行為。旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性。電磁/射頻截獲攻擊者從電子或機(jī)電設(shè)備所發(fā)出的無(wú)線射頻或其它電磁輻射中提取信息。人員疏忽授權(quán)的人為了利益或由于粗心將信息泄漏給未授權(quán)人。一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅獲取機(jī)密或敏感數(shù)據(jù)的訪問(wèn)權(quán)黑客刺探特定目標(biāo)的通常動(dòng)機(jī)跟蹤或監(jiān)視目標(biāo)系統(tǒng)的運(yùn)行（跟蹤分析）擾亂目標(biāo)系統(tǒng)的正常運(yùn)行一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅竊取錢物或服務(wù)黑客刺探特定目標(biāo)的通常動(dòng)機(jī)免費(fèi)使用資源（例如，計(jì)算機(jī)資源或免費(fèi)使用網(wǎng)絡(luò)）向安全機(jī)制進(jìn)行技術(shù)挑戰(zhàn)二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素1、不安全的主要因素偶發(fā)性因素：如電源故障、設(shè)備的機(jī)能失常、軟件開(kāi)發(fā)過(guò)程中留下的某種漏洞或邏輯錯(cuò)誤等。二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素自然災(zāi)害：各種自然災(zāi)害（如地震、風(fēng)暴、泥石流、建筑物破壞等）。1、不安全的主要因素二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素人為因素：不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)或潛入計(jì)算機(jī)房，篡改系統(tǒng)數(shù)據(jù)、竊用系統(tǒng)資源、非法獲取機(jī)密數(shù)據(jù)和信息、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒等。此外，管理不好、規(guī)章制度不健全、有章不循、安全管理水平低、人員素質(zhì)差、操作失誤、瀆職行為等都會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成威脅。1、不安全的主要因素二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素攻擊舉例描述監(jiān)視明文監(jiān)視網(wǎng)絡(luò)，獲取未加密的信息。解密通信數(shù)據(jù)通過(guò)密碼分析，破解網(wǎng)絡(luò)中傳輸?shù)募用軘?shù)據(jù)?？诹钚崽绞褂脜f(xié)議分析工具，捕獲用于各類系統(tǒng)訪問(wèn)的口令。通信量分析不對(duì)加密數(shù)據(jù)進(jìn)行解密，而是通過(guò)對(duì)外部通信模式的觀察，獲取關(guān)鍵信息。2、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的主要攻擊——被動(dòng)攻擊二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素攻擊舉例描述修改傳輸中的數(shù)據(jù)截獲并修改網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。重放將舊的消息重新反復(fù)發(fā)送，造成網(wǎng)絡(luò)效率降低。會(huì)話攔截未授權(quán)使用一個(gè)已經(jīng)建立的會(huì)話。偽裝成授權(quán)的用戶這類攻擊者將自己偽裝成他人，未授權(quán)訪問(wèn)資源和信息。利用系統(tǒng)軟件的漏洞攻擊者探求以系統(tǒng)權(quán)限運(yùn)行的軟件中存在的脆弱性。利用主機(jī)或網(wǎng)絡(luò)信任攻擊者通過(guò)操縱文件，使虛擬/遠(yuǎn)方主機(jī)提供服務(wù)，從而獲得信任。利用惡意代碼攻擊者向系統(tǒng)內(nèi)植入惡意代碼，或誘騙用戶去執(zhí)行惡意代碼。利用缺陷攻擊者利用協(xié)議中的缺陷來(lái)欺騙用戶或重定向通信量。拒絕服務(wù)ICMP炸彈，在網(wǎng)絡(luò)中擴(kuò)散垃圾包，向郵件中心發(fā)送垃圾郵件2、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的主要攻擊——主動(dòng)攻擊二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素2、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的主要攻擊——臨近攻擊鄰近攻擊是指未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，從而可以修改、收集信息，或使系統(tǒng)拒絕訪問(wèn)。接近網(wǎng)絡(luò)可以是秘密進(jìn)入或公開(kāi)，也可以是兩者都有。攻擊舉例描述修改數(shù)據(jù)或收集信息攻擊者獲取系統(tǒng)管理權(quán)，從而修改或竊取信息，如：IP地址、登陸的用戶名和口令等。系統(tǒng)干涉攻擊者獲取系統(tǒng)訪問(wèn)權(quán)，從而干涉系統(tǒng)的正常運(yùn)行。物理破壞獲取系統(tǒng)物理設(shè)備訪問(wèn)權(quán)，從而對(duì)設(shè)備進(jìn)行物理破壞。二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素2、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的主要攻擊——內(nèi)部人員攻擊攻擊舉例描述惡意修改數(shù)據(jù)或安全機(jī)制內(nèi)部人員直接使用網(wǎng)絡(luò)，具有系統(tǒng)的訪問(wèn)權(quán)。因此，內(nèi)部人員攻擊者比較容易實(shí)施未授權(quán)操作或破壞數(shù)據(jù)。擅自連接網(wǎng)絡(luò)對(duì)涉密網(wǎng)絡(luò)具有物理訪問(wèn)能力的人員，擅自將機(jī)密網(wǎng)絡(luò)與密級(jí)較低，或公共網(wǎng)絡(luò)連接，違背安全策略和保密規(guī)定。隱通道隱通道是未授權(quán)的通信路徑，用于從本地網(wǎng)向遠(yuǎn)程站點(diǎn)傳輸盜取的信息。物理?yè)p壞或破壞對(duì)系統(tǒng)具有物理訪問(wèn)權(quán)限地工作人員，對(duì)系統(tǒng)故意破壞或損壞。非惡意修改數(shù)據(jù)由于缺乏知識(shí)或粗心大意，修改或破壞數(shù)據(jù)或系統(tǒng)信息。物理?yè)p壞或破壞由于瀆職或違反操作規(guī)程，對(duì)系統(tǒng)的物理設(shè)備造成意外損壞或破壞。二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素2、對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的主要攻擊——分發(fā)攻擊攻擊舉例描述在設(shè)備生產(chǎn)時(shí)修改軟硬件當(dāng)軟件和硬件在生產(chǎn)線上時(shí)，通過(guò)修改軟硬件配置來(lái)實(shí)施這類攻擊。在產(chǎn)品分發(fā)時(shí)修改軟硬件在產(chǎn)品分發(fā)期內(nèi)修改軟硬件配置（如安裝竊聽(tīng)設(shè)備）。二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素3、不安全的主要原因互聯(lián)網(wǎng)具有開(kāi)放性網(wǎng)絡(luò)的技術(shù)是全開(kāi)放的國(guó)際性網(wǎng)絡(luò)安全面臨的是一個(gè)國(guó)際化的挑戰(zhàn)自由性用戶可以自由地使用和發(fā)布各種類型的信息不安全性二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素3、不安全的主要原因操作系統(tǒng)軟件自身的不安全性，以及系統(tǒng)設(shè)計(jì)時(shí)的疏忽或考慮不周而留下的“破綻”，都給危害網(wǎng)絡(luò)安全的人留下了許多“后門”。

操作系統(tǒng)體系結(jié)構(gòu)的不安全隱患是計(jì)算機(jī)系統(tǒng)不安全的根本原因之一。

操作系統(tǒng)不安全的另一原因在于它可以創(chuàng)建進(jìn)程，支持進(jìn)程的遠(yuǎn)程創(chuàng)建與激活，支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建進(jìn)程的權(quán)利。操作系統(tǒng)的無(wú)口令入口，以及隱蔽通道。操作系統(tǒng)存在安全問(wèn)題二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素3、不安全的主要原因數(shù)據(jù)庫(kù)存在著許多不安全性。二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素3、不安全的主要原因從安全的角度來(lái)說(shuō)，沒(méi)有絕對(duì)安全的通訊線路。二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素3、不安全的主要原因網(wǎng)絡(luò)安全管理問(wèn)題三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念1、定義計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念1、定義網(wǎng)絡(luò)安全技術(shù)和理論信息的保密性信息的完整性信息的可用性信息的不可否認(rèn)性信息的可控性三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念1、定義網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念2、計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)保密性數(shù)據(jù)保護(hù)數(shù)據(jù)隔離通信流保護(hù)保密性三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念2、計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)完整性完整性人為因素非人為因素三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念2、計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)可用性避免受到攻擊避免未授權(quán)使用防止進(jìn)程失敗三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念2、計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)不可否認(rèn)性數(shù)據(jù)的接收者提供數(shù)據(jù)發(fā)送者身份及原始發(fā)送時(shí)間的證據(jù)；數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)已交付接收者（某些情況下，包括接收時(shí)間）的證據(jù)；審計(jì)服務(wù)提供了信息交換中各涉及方的可審計(jì)性三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念2、計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)可控性指對(duì)信息的傳播及內(nèi)容具有控制能力，保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理，確保某個(gè)實(shí)體（人或系統(tǒng)）身份的真實(shí)性，也可以確保執(zhí)法者對(duì)社會(huì)的執(zhí)法管理行為。三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念3、計(jì)算機(jī)網(wǎng)絡(luò)安全層次物理安全邏輯安全操作系統(tǒng)安全聯(lián)網(wǎng)安全三、計(jì)算機(jī)網(wǎng)絡(luò)安全概念4、計(jì)算機(jī)網(wǎng)絡(luò)安全所涉及的內(nèi)容網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)的攻擊手段與防范措施網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)犯罪偵查網(wǎng)絡(luò)安全教育網(wǎng)絡(luò)安全法律網(wǎng)絡(luò)安全檢測(cè)技術(shù)網(wǎng)絡(luò)安全理論與政策安全管理，安全審計(jì)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定，安全評(píng)測(cè)及認(rèn)證四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全模型OSI安全體系結(jié)構(gòu)P2DR模型網(wǎng)絡(luò)安全技術(shù)四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)1、網(wǎng)絡(luò)安全模型四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)2、OSI安全體系結(jié)構(gòu)——安全服務(wù)鑒別服務(wù)訪問(wèn)控制服務(wù)數(shù)據(jù)機(jī)密性服務(wù)數(shù)據(jù)完整性服務(wù)抗抵賴性服務(wù)四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)對(duì)付典型網(wǎng)絡(luò)威脅的安全服務(wù)安全威脅安全服務(wù)假冒攻擊鑒別服務(wù)非授權(quán)侵犯訪問(wèn)控制服務(wù)竊聽(tīng)攻擊數(shù)據(jù)機(jī)密性服務(wù)完整性破壞數(shù)據(jù)完整性服務(wù)服務(wù)否認(rèn)抗抵賴服務(wù)拒絕服務(wù)鑒別服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)完整性服務(wù)等四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)2、OSI安全體系結(jié)構(gòu)——安全機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制鑒別交換機(jī)制通信業(yè)務(wù)流填充機(jī)制路由控制公證機(jī)制四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)3、P2DR模型P2DR模型示意圖四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)3、P2DR模型Protection保護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來(lái)實(shí)現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。Detection在P2DR模型，檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具。Response響應(yīng)在安全系統(tǒng)中占有最重要的地位，是解決潛在安全問(wèn)題的最有效辦法。Policy安全策略是整個(gè)網(wǎng)絡(luò)安全的依據(jù)。策略一旦制訂，應(yīng)當(dāng)作為整個(gè)網(wǎng)絡(luò)系統(tǒng)安全行為的準(zhǔn)則。四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)3、P2DR模型P2DR理論給人們提出了新的安全概念，安全不能依靠單純的靜態(tài)防護(hù)，也不能依靠單純的技術(shù)手段來(lái)解決。

P2DR安全模型也存在一個(gè)明顯的弱點(diǎn)，就是忽略了內(nèi)在的變化因素。

四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)物理安全措施環(huán)境安全設(shè)備安全媒體安全四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)傳輸安全技術(shù)數(shù)據(jù)傳輸加密技術(shù)數(shù)據(jù)完整性鑒別技術(shù)數(shù)字簽名四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)內(nèi)外網(wǎng)隔離技術(shù)采用防火墻技術(shù)可以將內(nèi)部網(wǎng)絡(luò)的與外部網(wǎng)絡(luò)進(jìn)行隔離，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)。四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)入侵檢測(cè)技術(shù)入侵檢測(cè)的目的就是提供實(shí)時(shí)的檢測(cè)及采取相應(yīng)的防護(hù)手段，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見(jiàn)操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為，阻止黑客的入侵。四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)訪問(wèn)控制技術(shù)訪問(wèn)控制是維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)計(jì)算機(jī)資源的重要手段，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)審計(jì)技術(shù)審計(jì)技術(shù)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，記錄系統(tǒng)產(chǎn)生的各類事件。四、計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)4、網(wǎng)絡(luò)安全技術(shù)安全性檢測(cè)技術(shù)網(wǎng)絡(luò)安全檢測(cè)（漏洞檢測(cè)）是對(duì)網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估