第3章網(wǎng)絡(luò)安全概述

2023/6/5第3章網(wǎng)絡(luò)安全概述 "安全"一詞在字典中被定義為"遠(yuǎn)離危險的狀態(tài)或特性"和"為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施". 隨著經(jīng)濟(jì)信息化的迅速發(fā)展,計算機(jī)網(wǎng)絡(luò)對安全要求越來越高,尤其自Internet／Intranet應(yīng)用發(fā)展以來,網(wǎng)絡(luò)的安全已經(jīng)涉及到國家主權(quán)等許多重大問題.隨著"黑客"工具技術(shù)的日益發(fā)展,使用這些工具所需具備的各種技巧和知識在不斷減少,從而造成的全球范圍內(nèi)"黑客"行為的泛濫,導(dǎo)致了一個全新戰(zhàn)爭形式的出現(xiàn),即網(wǎng)絡(luò)安全技術(shù)的大戰(zhàn). 第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第1頁。2023/6/5第3章網(wǎng)絡(luò)安全概述 本章主要講授： １．網(wǎng)絡(luò)安全的含義 ２．網(wǎng)絡(luò)安全的特征 ３．威脅網(wǎng)絡(luò)安全的因素 ４．網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ５．網(wǎng)絡(luò)安全的安全策略 ６．網(wǎng)絡(luò)安全解決的方案 ７．網(wǎng)絡(luò)安全的分類第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第2頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識 3.1.1網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全.它涉及的領(lǐng)域相當(dāng)廣泛.這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅.從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的##性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域.下面給出網(wǎng)絡(luò)安全的一個通用定義： 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第3頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識 〔l〕運(yùn)行系統(tǒng)安全,即保證信息處理和傳輸系統(tǒng)的安全. 〔2〕網(wǎng)絡(luò)上系統(tǒng)信息的安全. 〔3〕網(wǎng)絡(luò)上信息傳播的安全,即信息傳播后果的安全. 〔4〕網(wǎng)絡(luò)上信息內(nèi)容的安全,即我們討論的狹義的"信息安全".

第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第4頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識3.1.2網(wǎng)絡(luò)安全的特征〔1〕##性：信息不泄露給非授權(quán)的用戶、實(shí)體或過程,或供其利用的特性.〔2〕完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性.〔3〕可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性,即當(dāng)需要時應(yīng)能存取所需的信息.網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊.〔4〕可控性：對信息的傳播及內(nèi)容具有控制能力.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第5頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識3.1.3網(wǎng)絡(luò)安全的威脅<1>非授權(quán)訪問〔unauthorizedaccess〕：一個非授權(quán)的人的入侵.<2>信息泄露〔disclosureofinformation〕：造成將有價值的和高度##的信息暴露給無權(quán)訪問該信息的人的所有問題.<3>拒絕服務(wù)〔denialofservice〕：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問題.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第6頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識3.1.4網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)●主機(jī)安全技術(shù).●身份認(rèn)證技術(shù).●訪問控制技術(shù).●密碼技術(shù).●防火墻技術(shù).●安全審計技術(shù).●安全管理技術(shù).第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第7頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識3.1.5網(wǎng)絡(luò)安全的安全策略●網(wǎng)絡(luò)用戶的安全責(zé)任：該策略可以要求用戶每隔一段時間改變其口令；使用符合一定準(zhǔn)則的口令；執(zhí)行某些檢查,以了解其賬戶是否被別人訪問過等.重要的是,凡是要求用戶做到的,都應(yīng)明確地定義.●系統(tǒng)管理員的安全責(zé)任：該策略可以要求在每臺主機(jī)上使用專門的安全措施、登錄標(biāo)題報文、監(jiān)測和記錄過程等,還可列出在連接網(wǎng)絡(luò)的所有主機(jī)中不能運(yùn)行的應(yīng)用程序.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第8頁。2023/6/53.1網(wǎng)絡(luò)安全基礎(chǔ)知識●正確利用網(wǎng)絡(luò)資源：規(guī)定誰可以使用網(wǎng)絡(luò)資源,他們可以做什么,他們不應(yīng)該做什么等.如果用戶的單位認(rèn)為電子郵件文件和計算機(jī)活動的歷史記錄都應(yīng)受到安全監(jiān)視,就應(yīng)該非常明確地告訴用戶,這是其政策.●檢測到安全問題時的對策：當(dāng)檢測到安全問題時應(yīng)該做什么？應(yīng)該通知誰？這些都是在緊急的情況下容易忽視的事情.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第9頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素計算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：●"黑客"的攻擊●計算機(jī)病毒●巨絕服務(wù)攻擊〔DenialofServiceAttack〕第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第10頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素3.2.1安全威脅的類型●非授權(quán)訪問.這主要的是指對網(wǎng)絡(luò)設(shè)備以及信息資源進(jìn)行非正常使用或超越權(quán)限使用●假冒合法用戶,主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán),以達(dá)到占用合法用戶資源的目的●數(shù)據(jù)完整性受破壞●干擾系統(tǒng)的正常運(yùn)行,改變系統(tǒng)正常運(yùn)行的方向,以及延時系統(tǒng)的響應(yīng)時間●病毒●通信線路被竊聽等第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第11頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素

3.2.2操作系統(tǒng)的脆弱性<1>其體系結(jié)構(gòu)本身就是不安全的一種因素.<2>另一個原因在于它可以創(chuàng)建進(jìn)程,即使在網(wǎng)絡(luò)的節(jié)點(diǎn)上同樣也可以進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活,更令人不安的是被創(chuàng)建的進(jìn)程具有可以繼續(xù)創(chuàng)建過程的權(quán)力.<3>網(wǎng)絡(luò)操作系統(tǒng)提供的遠(yuǎn)程過程調(diào)用〔RPC〕服務(wù)以及它所安排的無口令入口也是黑客的通道.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第12頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素 3.2.3計算機(jī)系統(tǒng)的脆弱性<1>計算機(jī)系統(tǒng)的脆弱性主要來自于操作系統(tǒng)的不安全性,在網(wǎng)絡(luò)環(huán)境下,還來源于通信協(xié)議的不安全性.<2>存在超級用戶,如果入侵者得到了超級用戶口令,整個系統(tǒng)將完全受控于入侵者.<3>計算機(jī)可能會因硬件或軟件故障而停止運(yùn)轉(zhuǎn),或被入侵者利用并造成損失.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第13頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素 3.2.4協(xié)議安全的脆弱性 當(dāng)前計算機(jī)網(wǎng)絡(luò)系統(tǒng)都使用的TCP／IP協(xié)議以及FTP、E-mail、NFS等都包含著許多影響網(wǎng)絡(luò)安全的因素,存在許多漏洞.眾所周知的是RobertMorries在VAX機(jī)上用C編寫的一個GUESS軟件,它根據(jù)對用戶名的搜索猜測機(jī)器密碼口令的程序自在1988年11月開始在網(wǎng)絡(luò)上傳播以后,幾乎每年都給Internet造成上億美元的損失. 黑客通常采用Sock、TCP預(yù)測或使用遠(yuǎn)程訪問〔RPC〕進(jìn)行直接掃描等方法對防火墻進(jìn)行攻擊.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第14頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素 3.2.5數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性 由于數(shù)據(jù)管理系統(tǒng)〔DBMS〕對數(shù)據(jù)庫的管理是建立在分級管理的概念上的,因此,DBMS的安全也是可想而知.另外,DBMS的安全必須與操作系統(tǒng)的安全配套,這無疑是一個先天的不足之處. 3.2.6人為的因素 不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理,但又大多數(shù)缺少安全管理員,特別是高素質(zhì)的網(wǎng)絡(luò)管理員.此外,缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范,缺少定期的安全測試與檢查,更缺少安全監(jiān)控.令人擔(dān)憂的許多網(wǎng)絡(luò)系統(tǒng)已使用多年,但網(wǎng)絡(luò)管理員與用戶的注冊、口令等還是處于缺省狀態(tài).第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第15頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素 3.2.7各種外部威脅 <1>物理威脅 <2>網(wǎng)絡(luò)威脅 <3>身份鑒別 <4>編程 <5>系統(tǒng)漏洞

第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第16頁。2023/6/53.2威脅網(wǎng)絡(luò)安全的因素 3.2.8防范措施 〔1〕用備份和鏡像技術(shù)提高數(shù)據(jù)完整性 〔2〕防毒 〔3〕補(bǔ)丁程序 〔4〕提高物理安全 〔5〕構(gòu)筑因特網(wǎng)防火墻 〔6〕廢品處理守則 〔7〕仔細(xì)閱讀日志 〔8〕加密 〔9〕提防虛假的安全第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第17頁。2023/6/53.3網(wǎng)絡(luò)安全分類

根據(jù)中國國家計算機(jī)安全規(guī)范,計算機(jī)的安全大致可分為三類： 〔1〕實(shí)體安全,包括機(jī)房、線路、主機(jī)等 〔2〕網(wǎng)絡(luò)與信息安全,包括網(wǎng)絡(luò)的暢通、準(zhǔn)確以及網(wǎng)上信息的安全 〔3〕應(yīng)用安全,包括程序開發(fā)運(yùn)行、I／O、數(shù)據(jù)庫等的安全第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第18頁。2023/6/53.3網(wǎng)絡(luò)安全分類3.3.1基本安全類基本安全類包括訪問控制、授權(quán)、認(rèn)證、加密以及內(nèi)容安全.3.3.2管理與記賬類管理與記賬類安全包括安全的策略的管理、實(shí)時監(jiān)控、報警以及企業(yè)范圍內(nèi)的集中管理與記賬.3.3.3網(wǎng)絡(luò)互聯(lián)設(shè)備安全類網(wǎng)絡(luò)互聯(lián)設(shè)備包括路由器、通信服務(wù)器、交換機(jī)等,網(wǎng)絡(luò)互聯(lián)設(shè)備安全正是針對上述這些互聯(lián)設(shè)備而言的,它包括路由安全管理、遠(yuǎn)程訪問服務(wù)器安全管理、通信服務(wù)器安全管理以及交換機(jī)安全管理等等.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第19頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案3.3.4連接控制類 連接控制類包括負(fù)載均衡、可靠性以及流量管理等. 由于網(wǎng)絡(luò)安全范圍的不斷擴(kuò)大；如今的網(wǎng)絡(luò)安全不再是僅僅保護(hù)內(nèi)部資源的安全,還必須提供附加的服務(wù),例如,用戶確認(rèn)、通過##、甚至于安全管理傳統(tǒng)的商務(wù)交易機(jī)制,如訂貨和記賬等.3.4.1網(wǎng)絡(luò)信息安全模型 一個完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三類措施：●社會的法律政策,企業(yè)的規(guī)章制度及網(wǎng)絡(luò)安全教育●技術(shù)方面的措施,如防火墻技術(shù)、防病毒.信息加密、身份確認(rèn)以及授權(quán)等●審計與管理措施,包括技術(shù)與社會措施第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第20頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第21頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案3.4.2安全策略設(shè)計依據(jù)在制定網(wǎng)絡(luò)安全策略時應(yīng)當(dāng)考慮如下因素：●對于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序●初始投資額和后續(xù)投資額〔新的硬件、軟件及工作人員〕●方便程度和服務(wù)效率●復(fù)雜程度和安全等級的平衡●網(wǎng)絡(luò)性能第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第22頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案3.4.3網(wǎng)絡(luò)安全解決方案<1>信息包篩選第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第23頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案<2>應(yīng)用中繼器第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第24頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第25頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案 <3>##與確認(rèn) "##"可以保證當(dāng)一個信息被送出后,只有預(yù)定的接收者能夠閱讀和加以解釋.它可以防止竊聽,并且允許在公用網(wǎng)絡(luò)上安全地傳輸##的或者專用的信息. "確認(rèn)"意味著向信息〔郵件、數(shù)據(jù)、文件等〕的接收者保證發(fā)送是該信息的擁有者,并且意味著,數(shù)據(jù)在傳輸期間不會被修改.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第26頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案3.4.4網(wǎng)絡(luò)安全性措施 要實(shí)施一個完整的網(wǎng)絡(luò)安全系統(tǒng),至少應(yīng)該包括三類措施：●社會的法律、法規(guī)以及企業(yè)的規(guī)章制度和安全教育等外部軟件環(huán)境 ●技術(shù)方面的措施,如網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認(rèn)證以及防火墻技術(shù)●審計和管理措施,這方面措施同時也包含了技術(shù)與社會措施.第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第27頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案為網(wǎng)絡(luò)安全系統(tǒng)提供適當(dāng)安全的常用的方法：●修補(bǔ)系統(tǒng)漏洞●病毒檢查●加密●執(zhí)行身份鑒別●防火墻●捕捉闖入者●直接安全●空閑機(jī)器守則●廢品處理守則●口令守則第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第28頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案可以采取的網(wǎng)絡(luò)安全性措施有：●選擇性能優(yōu)良的服務(wù)器.服務(wù)器是網(wǎng)絡(luò)的核心；它的故障意味著整個網(wǎng)絡(luò)的癱瘓,因此,要求的服務(wù)應(yīng)具有：容錯能力.帶電熱插拔技術(shù),智能I／O技術(shù),以及具有良好的擴(kuò)展性●采用服務(wù)器備份.服務(wù)器備份方式分為冷備份與熱備份二種,熱備份方式由于實(shí)時性好,可以保證數(shù)據(jù)的完整性和連續(xù)性,得以廣泛采用的一種備份方式●對重要網(wǎng)絡(luò)設(shè)備、通信線路備份.通信故障就意味著正常工作無法進(jìn)行.所以,對于交換機(jī)、路由器以及通信線路最好都要有相應(yīng)的備份措施第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第29頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案3.4.5Internet安全管理<1>應(yīng)解決的安全問題<2>對Internet網(wǎng)的安全管理措施●安全##遵循的基本原則： 根據(jù)所面臨的安全問題,決定安全的策略. 根據(jù)實(shí)際需要綜合考慮,適時地對現(xiàn)有策略進(jìn)行適當(dāng)?shù)男薷?每當(dāng)有新的技術(shù)時就要補(bǔ)充相應(yīng)的安全策略. 構(gòu)造企業(yè)內(nèi)部網(wǎng)絡(luò),在Intranet和Internet之間設(shè)置"防火墻"以及相應(yīng)的安全措施.●完善管理功能●加大安全技術(shù)的開發(fā)力度第3章網(wǎng)絡(luò)安全概述全文共34頁，當(dāng)前為第30頁。2023/6/53.4網(wǎng)絡(luò)安全解決方案3.4.6網(wǎng)絡(luò)安全的評估●確定單位內(nèi)部是否已經(jīng)有了一套有關(guān)網(wǎng)絡(luò)安全的方案,如果有的話,將所有有關(guān)的文檔匯總；如果沒有的話,應(yīng)當(dāng)盡快制訂●對已有的網(wǎng)絡(luò)安全方案進(jìn)行審查●確定與網(wǎng)絡(luò)安全方案有關(guān)的人員,并確定對網(wǎng)絡(luò)資源