12-網絡安全講解課件

2023年7月27日第1頁網絡安全2023年7月27日第2頁教學目標了解網絡安全面臨的風險，常見的網絡攻擊手段。了解網絡安全防范的主要內容理解網絡安全防范的體系結構理解網絡安全技術和協(xié)議掌握網絡病毒的防治了解網絡機房安全2023年7月27日第3頁教學重點網絡安全的主要威脅網絡安全的體系結構網絡安全策略網絡病毒與防治2023年7月27日第4頁教學過程網絡安全概述

網絡安全防范體系

網絡安全技術

網絡安全協(xié)議

網絡病毒與防治

網絡機房安全

2023年7月27日第5頁12.1網絡安全概述

網絡安全風險

網絡攻擊手段

常見網絡攻擊手段分析

網絡安全的目標

網絡安全防范的主要內容

網絡安全的概念網絡安全（NetworkSecurity）是指網絡系統(tǒng)中的硬件、軟件及數(shù)據(jù)受到保護，不因偶然或者惡意原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。網絡安全保證網絡數(shù)據(jù)的可用性、完整性和保密性。2023年7月27日第6頁2023年7月27日第7頁網絡安全風險

與人有關的風險

與硬件和網絡設計有關的風險

與協(xié)議和軟件有關的風險

與Internet訪問有關的風險

與人有關的風險

入侵者或攻擊者利用社會工程或窺探獲取用戶口令網絡管理員在文件服務器上不正確地創(chuàng)建或配置用戶ID、工作組以及它們的相關權力，導致文件和注冊路徑易受攻擊網絡管理員忽視了拓撲連接中的硬件配置的安全漏洞網絡管理員忽視了操作系統(tǒng)或應用配置的安全漏洞由于對安全政策缺乏適當?shù)奶峁┖屯ㄐ?，導致文件或網絡路徑的蓄意的、或者無意的誤用不忠或不滿的員工濫用他們的訪問權限閑置的計算機或終端依然連接網絡用戶或管理員選擇了易于猜出的口令離開機房時未鎖門員工將磁盤或備份磁帶丟棄在公共的垃圾桶內管理員忘記消除已離開公司員工的訪問權2023年7月27日第8頁與硬件和網絡設計有關的：底層風險無線傳輸易被竊聽使用租賃線路的網絡易于受到竊聽，如VPN通過互聯(lián)網集線器對全數(shù)據(jù)段傳輸進行廣播，易受竊聽（交換設備提供點對點的通信，限制了數(shù)據(jù)傳輸?shù)嘏c發(fā)送和接收節(jié)點的可獲取性）如果閑置的集線器、路由器或者服務器端口沒有失效，易被黑客訪問和利用如果路由器未被適當配置以標志內部子網，外部網絡的用戶就可以讀到私有地址連接在網絡設備上的調制解調器用于接收進入呼叫，如果未做適當?shù)姆雷o，也會成為安全漏洞電信或遠程用戶使用的撥號訪問服務器，可能沒有被仔細設置安全處理和監(jiān)視有敏感數(shù)據(jù)的計算機可能和向公眾開放的計算機在同一子網2023年7月27日第9頁與協(xié)議和軟件有關的風險：高層風險TCP/IP的安全漏洞。例如：IP地址可以被輕易偽造、校驗和欺騙、UDP無須認證以及TCP只要求非常簡單的認證服務器之間的信任連接使得黑客可能由一個小漏洞而得以訪問整個網絡網絡操作系統(tǒng)軟件通常包含“后門”或者安全漏洞。除非網絡管理員進行定期更新，否則黑客容易利用這些漏洞如果網絡操作系統(tǒng)允許服務器操作者退出到DOS提示符方式，那么入侵者就可以運行毀滅性的的命令行程序管理員在安裝完操作系統(tǒng)或應用程序后，可能會接受默認的安全選項。默認的選項通常不是最優(yōu)的。應用程序之間的事務處理。例如，數(shù)據(jù)庫與基于Web的表格之間可能為竊聽留下空間2023年7月27日第10頁與Internet訪問有關的風險

防火墻設置不當，沒有足夠的防護作用。當用戶通過InternetTelnet或者FTP連接到公司站點，用戶ID和口令將以純文本方式進行傳遞。任何監(jiān)視網絡的人都可窺探到用戶ID的口令，并用它來訪問系統(tǒng)。黑客可能由工作組、郵件列表或者用戶在網上填寫的表格得知用戶ID的信息用戶連接到Internet聊天室時，可能會受到其他用戶的攻擊，使得屏幕上充滿了無用字符，最終終止對話黑客入侵系統(tǒng)后，可能會放置“拒絕服務”攻擊。拒絕服務攻擊在系統(tǒng)因信息泛濫或其他干擾而失效時發(fā)生。2023年7月27日第11頁2023年7月27日第12頁網絡攻擊手段

截獲（或阻斷）

竊聽

修改

偽造

重播（重發(fā)）

截獲合法的數(shù)據(jù)進行復制，然后在網絡中多次重新發(fā)送，從而影響信宿的正常工作業(yè)務否認

2023年7月27日第13頁常見網絡攻擊手段分析拒絕服務攻擊（DOS）

泛洪攻擊

端口掃描

利用TCP報文的標志進行攻擊

分片IP報文攻擊

帶源路由選項的IP報文

IP地址欺騙

針對路由協(xié)議的攻擊

針對設備轉發(fā)表的攻擊

Script/ActiveX攻擊

--利用協(xié)議實現(xiàn)原理進行攻擊2023年7月27日第14頁網絡安全的目標（1）

機密性

信息不被泄露給非授權用戶、實體或過程，或供其利用完整性

信息未經授權不能進行改變，即信息在存儲或傳輸過程中不被修改、不被破壞可用性

信息可被授權用戶或實體訪問，并按需求進行使用2023年7月27日第15頁網絡安全的目標（2）

真實性

保證信息來源正確，并防止信息偽造不可否認性

建立有效的責任機制，防止用戶或實體否認其行為2023年7月27日第16頁網絡安全防范的主要內容

計算機病毒危害計算機系統(tǒng)和網絡安全的破壞性程序黑客犯罪

利用高科技手段，盜取密碼以入侵他人計算機網絡，非法獲得信息、盜用特權等2023年7月27日第17頁12.2網絡安全防范體系

網絡安全體系結構的框架

網絡安全防范體系層次

網絡安全防范體系設計準則網絡安全防范策略

網絡安全定義安全攻擊損害機構所擁有的信息安全的任何行為安全機制用于檢測、預防安全攻擊或者恢復系統(tǒng)的機制安全服務采用一種或多種安全機制以抵御安全攻擊、提高機構的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務2023年7月27日第18頁2023年7月27日第19頁網絡安全體系結構的框架

每一個系統(tǒng)單元都對應于某一個協(xié)議層次，需要采取若干種安全服務保證該系統(tǒng)單元的安全2023年7月27日第20頁網絡安全防范體系層次

2023年7月27日第21頁物理環(huán)境的安全性（物理層安全）通信線路的安全、物理設備的安全、機房的安全操作系統(tǒng)的安全性（系統(tǒng)層安全）操作系統(tǒng)本身的缺陷、操作系統(tǒng)的安全配置、病毒對操作系統(tǒng)的威脅網絡的安全性（網絡層安全）網絡層身份認證、網絡資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測手段、網絡設施防病毒應用的安全性（應用層安全）Web服務、電子郵件系統(tǒng)、DNS等管理的安全性（管理層安全）安全技術和設備的管理、安全管理制度、部門與人員的組織規(guī)則等2023年7月27日第22頁網絡安全防范體系設計準則

網絡信息安全的木桶原則：對信息進行均衡全面的保護網絡信息安全的整體性原則

：盡可能快速恢復安全性評價與平衡原則

標準化與一致性原則

技術與管理相結合原則

統(tǒng)籌規(guī)劃，分步實施原則

等級性原則：安全層次與安全級別動態(tài)發(fā)展原則

易操作性原則

㈠物理安全策略

網絡安全策略實施物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器和打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。

㈡訪問控制策略二、網絡安全策略實施訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。㈡訪問控制策略二、網絡安全策略實施⑴入網訪問控制

入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為3個步驟：用戶名的識別與驗證用戶口令的識別與驗證用戶賬號的默認限制檢查㈡訪問控制策略二、網絡安全策略實施⑵網絡的權限控制網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。我們可以根據(jù)訪問權限將用戶分為以下幾類：123審計用戶，負責網絡的安全控制與資源使用情況的審計

一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限特殊用戶(即系統(tǒng)管理員)㈡訪問控制策略二、網絡安全策略實施⑶目錄級安全控制網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種：2)讀權限(Read)3)寫權限(Write)1)系統(tǒng)管理員權限(Supervisor)㈡訪問控制策略二、網絡安全策略實施⑶目錄級安全控制5)刪除權限(Erase)6)修改權限(Modify)7)文件查找權限(FileScan)4)創(chuàng)建權限(Create)8)存取控制權限(AccessControl)㈡訪問控制策略二、網絡安全策略實施⑷屬性安全控制當用文件、目錄和網絡設備時，網絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。㈡訪問控制策略二、網絡安全策略實施⑸網絡服務器安全控制網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。㈡訪問控制策略二、網絡安全策略實施⑹網絡監(jiān)測和鎖定控制網絡管理員應對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該賬戶將被自動鎖定。㈡訪問控制策略二、網絡安全策略實施⑺網絡端口和節(jié)點的安全控制網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證。㈢信息加密策略二、網絡安全策略實施信息加密的目的是保護網內的數(shù)據(jù)、文件、口令和控制信息，保護網上傳輸?shù)臄?shù)據(jù)。網絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密3種。據(jù)不完全統(tǒng)計，到目前為止，已經公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為：常規(guī)密碼算法公鑰密碼算法㈣防病毒技術二、網絡安全策略實施從軟件功能上，可分為網絡防病毒技術和單機防病毒技術。單機防病毒軟件一般安裝在單臺PC機上，對整個PC機起到清除病毒、分析掃描的作用。而網絡防病毒軟件則能夠保護整個網絡，避免遭到病毒的攻擊。㈤防火墻技術防火墻有硬件和軟件兩種。放置在被保護網絡和其他網絡的邊界，接收被保護網絡的進出數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問控制策略進行過濾或其他操作。可以保護網絡資源不受外部的入侵，也可攔截從被保護網絡向外傳送的信息。㈥網絡入侵檢測技術二、網絡安全策略實施入侵技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。是防火墻后的第二道門。㈦網絡安全管理策略確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規(guī)程和人員出入機房管理制度；制定網絡系統(tǒng)的維護制度和應急措施等。2023年7月27日第36頁12.3網絡安全技術

防火墻技術

加密技術

入侵檢測技術

身份驗證和存取控制VPN

2023年7月27日第37頁防火墻技術

防火墻的分類

包過濾防火墻

代理防火墻

網絡地址轉換-NAT監(jiān)測型防火墻

常見防火墻產品

CheckPoint的FireWall-1Juniper網絡Netscreen3COMOfficeConnectFirewallCiscoPIX2023年7月27日第38頁加密技術

數(shù)據(jù)加密技術是最基本的網絡安全技術。對稱加密算法非對稱加密算法2023年7月27日第39頁入侵檢測技術

也叫網絡實時監(jiān)控技術，通過硬件或軟件對網絡上的數(shù)據(jù)流進行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應。2023年7月27日第40頁入侵檢測系統(tǒng)基本部分

數(shù)據(jù)采集子系統(tǒng)數(shù)據(jù)分析子系統(tǒng)控制臺子系統(tǒng)數(shù)據(jù)庫管理子系統(tǒng)

2023年7月27日第41頁VPN

隧道技術

把各種協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包重新封裝在新的包頭中進行發(fā)送新的包頭提供了路由信息，所以封裝的負載數(shù)據(jù)可以在互聯(lián)網上進行傳遞加/解密技術

密鑰管理技術

使用者與設備身份認證技術

2023年7月27日第42頁12.4網絡安全協(xié)議

SSH

SSL協(xié)議

IPSec協(xié)議

2023年7月27日第43頁SSH

SSH是SecureShell的縮寫，是一種為了在不安全的網絡上提供安全的遠程登錄和安全的網絡服務而設計的協(xié)議。

包括三個主要部分傳輸層協(xié)議提供一些認證、信任和完整性。

用戶認證協(xié)議層認證連接到服務器的客戶端的用戶。

連接協(xié)議提供可用作多種目的通道。

2023年7月27日第44頁SSL協(xié)議

SSL的目的：在網絡應用軟件之間提供安全、可信賴的傳輸服務?！鞍踩北硎就高^SSL建立的連線可防范外界任何可能的竊聽或監(jiān)控，“可信賴”表示經由SSL連線傳輸?shù)馁Y料不會失真。SSL的特點SSL與應用協(xié)定無關

SSL雙方利用公眾鑰匙（publickey）技術識別對方的身份

SSL連接是受加密保護的

SSL連線是可信賴的

2023年7月27日第45頁IPSec協(xié)議

IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網絡數(shù)據(jù)安全的一整套體系結構，包括網絡認證協(xié)議AuthenticationHeader（AH）、封裝安全載荷協(xié)議EncapsulatingSecurityPayload（ESP）、密鑰管理協(xié)議InternetKeyExchange（IKE）和用于網絡認證及加密的一些算法等。

IPsec提供三個主要范圍上的安全：鑒定性，它驗證正在通信的個體；完整性，它確保數(shù)據(jù)不被改變；保密性，它確保數(shù)據(jù)不被截獲和查看。

2023年7月27日第46頁IPSec基本工作原理

2023年7月27日第47頁12.5網絡病毒與防治

網絡病毒的特點

網絡病毒的防治

網絡防毒/殺毒軟件

2023年7月27日第48頁網絡病毒的特點

破壞性強

傳播性強

具有潛伏性和可激發(fā)性

針對性強

擴散面廣，傳播途徑多變

2023年7月27日第49頁網絡病毒的防治