第1章網(wǎng)絡(luò)安全

計算機(jī)網(wǎng)絡(luò)安全技術(shù)

（第三版）1第一章計算機(jī)網(wǎng)絡(luò)安全概述2本章主要內(nèi)容

KeyQuestions1:網(wǎng)絡(luò)安全簡介2:信息安全的發(fā)展歷程3:網(wǎng)絡(luò)存在的安全問題4：網(wǎng)絡(luò)安全技術(shù)5：網(wǎng)絡(luò)安全的現(xiàn)狀6：網(wǎng)絡(luò)安全法規(guī)與標(biāo)準(zhǔn)3網(wǎng)絡(luò)安全綜述

NetworkSecurity

2003年截至11月底，中國互聯(lián)網(wǎng)上用戶數(shù)已超過7800萬，居世界第二位。2007年中國互聯(lián)網(wǎng)用戶規(guī)模達(dá)1.82億人。2010年12月底，我國網(wǎng)民規(guī)模達(dá)到4.57億，寬帶普及率接近100%。2011年12月底，中國網(wǎng)民規(guī)模突破5億，達(dá)到5.13億,中國手機(jī)網(wǎng)民規(guī)模達(dá)到3.56億45新增加病毒統(tǒng)計（2003～2010年）6網(wǎng)絡(luò)安全的重要性

7網(wǎng)絡(luò)安全為什么重要？網(wǎng)絡(luò)應(yīng)用已滲透到現(xiàn)代社會生活的各個方面；電子商務(wù)、電子政務(wù)、電子銀行等無不關(guān)注網(wǎng)絡(luò)安全；至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點，也是技術(shù)研究的熱門領(lǐng)域，同時也是國家和政府的行為；8網(wǎng)絡(luò)安全影響到國家的安全和主權(quán)小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。美國中央情報局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗關(guān)之際換入伊拉克所購的電腦打印機(jī)中----------9網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)的安全將成為傳統(tǒng)的國界、領(lǐng)海、領(lǐng)空的三大國防和基于太空的第四國防之外的第五國防，稱為cyber-space。101.1.2網(wǎng)絡(luò)脆弱性的原因“INTERNET的美妙之處在于你和每個人都能互相連接,INTERNET的可怕之處在于每個人都能和你互相連接”111.1.2網(wǎng)絡(luò)脆弱性的原因121.1.2網(wǎng)絡(luò)脆弱性的原因

1.開放性的網(wǎng)絡(luò)環(huán)境2.協(xié)議本身的缺陷

3.操作系統(tǒng)的漏洞

4.人為因素

13典型的網(wǎng)絡(luò)安全事件141516通信保密階段20世紀(jì)40年代--70年代又稱通信安全時代重點是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的機(jī)密性與完整性主要安全威脅是搭線竊聽、密碼學(xué)分析主要保護(hù)措施是加密技術(shù)主要標(biāo)志1949年Shannon發(fā)表的《保密通信的信息理論》1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)1976年Diffie和hellman在《NewDirectionsinCryptography》一文中所提出的公鑰密碼體制17計算機(jī)安全階段20世紀(jì)70年代--80年代重點是確保計算機(jī)系統(tǒng)中硬件、軟件及正在處理、存儲、傳輸信息的機(jī)密性、完整性和可用性主要安全威脅擴(kuò)展到非法訪問、惡意代碼、脆弱口令等主要保護(hù)措施是安全操作系統(tǒng)設(shè)計技術(shù)（TCB）主要標(biāo)志：1983年美國國防部公布的可信計算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）--將操作系統(tǒng)的安全級別分為4類7個級別（D、C1、C2、B1、B2、B3、A1）18信息系統(tǒng)安全階段

20世紀(jì)90年代以來重點需要保護(hù)信息，確保信息在存儲、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等主要保護(hù)措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、PKI、VPN、安全管理等主要標(biāo)志是提出了新的安全評估準(zhǔn)則CC（ISO15408、GB/T18336）19信息安全保障階段

21世紀(jì)以來重點放在保障國家信息基礎(chǔ)設(shè)施不被破壞，確保信息基礎(chǔ)設(shè)施在受到攻擊的前提下能夠最大限度地發(fā)揮作用主要安全威脅發(fā)展到集團(tuán)、國家的有組織的對信息基礎(chǔ)設(shè)施進(jìn)行攻擊等主要保護(hù)措施是災(zāi)備技術(shù)、建設(shè)面向網(wǎng)絡(luò)恐怖與網(wǎng)絡(luò)犯罪的國際法律秩序與國際聯(lián)動的網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)技術(shù)主要標(biāo)志是美國推出的“保護(hù)美國計算機(jī)空間”（PDD-63）的體系框架20安全的概念

計算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運行。

二、計算機(jī)系統(tǒng)安全的概念

21網(wǎng)絡(luò)安全的定義：廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。

從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷；22網(wǎng)絡(luò)安全的要素保密性—confidentiality完整性—integrity可用性—availability可控性—controllability不可否認(rèn)性—Non-repudiation23安全工作的目的進(jìn)不來拿不走改不了跑不了看不懂24安全的要素1、機(jī)密性：確保信息不暴露給未授權(quán)的實體或進(jìn)程。加密機(jī)制。防泄密

2、完整性：只有得到允許的人才能修改實體或進(jìn)程，并且能夠判別出實體或進(jìn)程是否已被修改。完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，hash；數(shù)據(jù)順序完整，編號連續(xù)，時間正確。3、可用性：得到授權(quán)的實體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。使靜態(tài)信息可見，動態(tài)信息可操作。防中斷二、計算機(jī)系統(tǒng)安全的概念

25安全的要素4、可控性：可控性主要指對危害國家信息（包括利用加密的非法通信活動）的監(jiān)視審計?？刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。使用授權(quán)機(jī)制，控制信息傳播范圍、內(nèi)容，必要時能恢復(fù)密鑰，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。5、不可否認(rèn)性：對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“逃不脫"，并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。

二、計算機(jī)系統(tǒng)安全的概念

26網(wǎng)絡(luò)安全涉及知識領(lǐng)域27應(yīng)用安全系統(tǒng)安全網(wǎng)絡(luò)安全物理安全信息（網(wǎng)絡(luò)）安全涉及方面管理安全28常見的攻擊方式社會工程SocialEngineering病毒virus（蠕蟲Worm）木馬程序Trojan拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDos欺騙：IPspoofing,Packetmodification；ARPspoofing,郵件炸彈Mailbombing口令破解Passwordcrack29攻擊的工具標(biāo)準(zhǔn)的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)30網(wǎng)絡(luò)安全的防護(hù)體系

31網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)加密身份認(rèn)證防火墻技術(shù)防病毒技術(shù)入侵檢測技術(shù)漏洞掃描安全審計32密碼技術(shù)數(shù)據(jù)加密：主要用于數(shù)據(jù)傳輸中的安全

加密算法：對稱加密、非對稱加密數(shù)字簽名：主要用于電子交易33訪問控制技術(shù)入網(wǎng)訪問控制---用戶名和口令網(wǎng)絡(luò)權(quán)限的控制---用戶權(quán)限的等級對資源的控制文件設(shè)備（服務(wù)器、交換機(jī)、防火墻）34網(wǎng)絡(luò)安全不是個目標(biāo)，而是個過程35安全漏洞被利用的周期變化安全漏洞被公布與相應(yīng)的蠕蟲出現(xiàn)之間的時間間隔所出現(xiàn)的蠕蟲發(fā)現(xiàn)時間利用漏洞漏洞公布時間時間差Witty（維迪）2004.3.22Realsecure緩沖區(qū)溢出2004.3.202MS-Blaster（沖擊波）2003.8.11MS03-026：RPC緩沖區(qū)溢出2003.7.1625Slammer(蠕蟲王)2003.1.24MS02-039：SQL緩沖區(qū)溢