第一章網(wǎng)絡安全概述

課程名稱：計算機網(wǎng)絡安全教材：《計算機網(wǎng)絡安全》《網(wǎng)絡安全技術項目化教程》教師：梁存E-mail：liangcun121206@126.comTel評方式：總評=30%平時成績+70%期末成績平時成績包括考勤、課堂紀律、平時作業(yè)等。期末考試為筆試，總分100分，涉及填空題，單選題，判斷題，計算題，綜合題。課程概覽項目1：網(wǎng)絡安全概述（虛擬機）項目2：網(wǎng)絡攻擊與防范（探測系統(tǒng)密碼+IPS$空連接）項目3：拒絕服務與數(shù)據(jù)庫安全(ddos攻擊,漏洞)項目4：計算機病毒與密碼(宏病毒,木馬加殼)項目5：安全防護與入侵檢測（sniffer軟件）項目6：加密技術與虛擬專用網(wǎng)（加密軟件，PGP，VPN）項目7：防火墻技術（系統(tǒng)防火墻，天網(wǎng)防火墻）項目8：網(wǎng)絡應用服務安全配置（搭建WEB，F(xiàn)TP）項目9：無線網(wǎng)絡安全（無線路由）本課程實驗第一章網(wǎng)絡安全概述1.1網(wǎng)絡安全的內(nèi)涵1.2網(wǎng)絡安全分析1.3網(wǎng)絡安全的現(xiàn)狀和發(fā)展趨勢背景據(jù)國外媒體報道，全球計算機行業(yè)協(xié)會(CompTIA)近日評出了“全球最急需的10項IT技術”，結果安全和防火墻技術排名首位。全球最急需的10項IT技術:1.安全/防火墻/數(shù)據(jù)隱私類技術。6．軟件。

2．網(wǎng)絡/網(wǎng)絡基礎設施。7．應用層面技術。

3．操作系統(tǒng)。8．特定編程語言。

4．硬件。9．Web技術。

5．非特定性服務器技術。10．RF移動/無線技術。由上可見，排名第一的，就是安全問題，這說明安全方面的問題是全世界都急需解決的問題，我們所面臨的網(wǎng)絡安全狀況有多尷尬，可想而知。背景在網(wǎng)絡高速發(fā)展的過程中，人們在享受網(wǎng)絡帶來便利的同時，網(wǎng)絡的安全也日益受到威脅。網(wǎng)絡攻擊行為日趨復雜，各種方法相互融合，使網(wǎng)絡安全防御更加困難。黑客攻擊行為組織性更強，攻擊目標從單純的追求“榮耀感”向獲取多方面實際利益的方向轉移，網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)絡仿冒等的出現(xiàn)和日趨泛濫；背景智能手機、平板電腦等無線終端的處理能力和功能通用性提高，使其日趨接近個人計算機，針對這些無線終端的網(wǎng)絡攻擊已經(jīng)開始出現(xiàn)，并將進一步發(fā)展。總之，網(wǎng)絡安全問題變得更加錯綜復雜，影響將不斷擴大，很難在短期內(nèi)得到全面解決。安全問題已經(jīng)擺在了非常重要的位置上，網(wǎng)絡安全如果不加以防范，會嚴重地影響到網(wǎng)絡的應用。1995年，米特尼克闖入許多計算機網(wǎng)絡，偷竊了2萬個信用卡號，他曾闖入“北美空中防務指揮系統(tǒng)”，破譯了美國著名的“太平洋電話公司”在南加利福尼亞州通信網(wǎng)絡的“改戶密碼”，入侵過美國DEC等5家大公司的網(wǎng)絡，造成8000萬美元的損失。1999年，臺灣大學生陳盈豪制造的CIH病毒在4月26日發(fā)作，引起全球震撼，有6千多萬臺計算機受害。2002年，黑客用DDos攻擊影響了13個根DNS中的8個，作為整個Internet通信路標的關鍵系統(tǒng)遭到嚴重的破壞。2006年，“熊貓燒香”木馬致使我國數(shù)百萬計算機用戶受到感染，并波及周邊國家。2007年2月，“熊貓燒香”制作者李俊被捕。2008年，一個全球性的黑客組織，利用ATM欺詐程序在一夜之間從世界49個城市的銀行中盜走了900萬美元。2009年，韓國遭受有史以來最猛烈的一次黑客攻擊。韓國總統(tǒng)府、國會、國情院和國防部等國家機關，以及金融界、媒體和防火墻企業(yè)網(wǎng)站遭受攻擊，造成網(wǎng)站一度無法訪問。2010年，“維基解密”網(wǎng)站在《紐約時報》、《衛(wèi)報》和《鏡報》配合下，在網(wǎng)上公開了多達9.2萬份的駐阿美軍秘密文件，引起軒然大波。2011年，堪稱中國互聯(lián)網(wǎng)史上最大泄密事件發(fā)生。12月中旬，CSDN網(wǎng)站用戶數(shù)據(jù)庫被黑客在網(wǎng)上公開，大約600余萬個注冊郵箱賬號和與之對應的明文密碼泄露。2012年1月12日，CSDN泄密的兩名嫌疑人已被刑事拘留。其中一名為北京籍黑客，另一名為外地黑客。以上僅僅是一些個案，事實上，這樣的案例不勝枚舉，而且計算機犯罪案件有逐年增加的趨勢。據(jù)美國的一項研究顯示，全球互聯(lián)網(wǎng)每39秒就發(fā)生了一次黑客事件，其中大部分黑客沒有固定的目標。因此，網(wǎng)絡系統(tǒng)必須有足夠強大的安全體系，無論是局域網(wǎng)還是廣域網(wǎng)，無論是單位還是個人，網(wǎng)絡安全的目標是全方位在防范各種威脅以確保網(wǎng)絡信息的保密性、完整性和可用性。1.1網(wǎng)絡安全的內(nèi)涵1.1.1網(wǎng)絡安全的定義網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全涉及的內(nèi)容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于如何防范外部非法攻擊，管理方面則側重于內(nèi)部人為因素的管理。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡應用必須考慮和必須解決的一個重要問題。1.1.2網(wǎng)絡安全的特征網(wǎng)絡安全一般應包括了以下五個基本特征：保密性：確保信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：確保數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：確?？杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。可控性：確保對信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕捍_保出現(xiàn)的安全問題時提供依據(jù)與手段。1.1網(wǎng)絡安全的內(nèi)涵1.3.2網(wǎng)絡安全所涉及的內(nèi)容網(wǎng)絡安全是一門交叉學科，除了涉及數(shù)學、通信、計算機等自然科學外，還涉及法律、心理學等社會科學，是一個多領域的復雜系統(tǒng)。一般地，把網(wǎng)絡安全涉及的內(nèi)容分為物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、管理安全等五個方面，如圖1-2所示。1.物理安全物理安全，也稱實體安全，是指保護計算機設備、設施(網(wǎng)絡及通信線路)免遭地震、水災、火災等自然災害和環(huán)境事故(如電磁污染等)，以及人為操作失誤及計算機犯罪行為導致的破壞。保證計算機信息系統(tǒng)各種設備的物理安全，是整個計算機信息系統(tǒng)安全的前提。物理安全主要包括以下3個方面。(1)環(huán)境安全：對系統(tǒng)所有環(huán)境的安全保護，如區(qū)域保護(電子監(jiān)控)和災難保護(災難的預警、應急處理、恢復等)。(2)設備安全：主要包括設備的防盜、防毀(接地保護)、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。(3)媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。2.網(wǎng)絡安全在網(wǎng)絡安全中，在內(nèi)部網(wǎng)與外部網(wǎng)之間，可以設置防火墻來實現(xiàn)內(nèi)外網(wǎng)的隔離和訪問控制，是保護內(nèi)部網(wǎng)安全的最主要的措施，同時也是最有效、最經(jīng)濟的措施之一。網(wǎng)絡安全檢測工具通常是一個網(wǎng)絡安全性的評估分析軟件或者硬件，用此類工具可以檢測出系統(tǒng)的漏洞或潛在的威脅，以達到增強網(wǎng)絡安全性的目的。備份是為了盡可能快地全面恢復運行計算機系統(tǒng)所需要的數(shù)據(jù)和系統(tǒng)信息。備份不僅在網(wǎng)絡系統(tǒng)硬件出現(xiàn)故障或人為操作失誤時起到保護作用，也在入侵者非授權訪問或對網(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時也是系統(tǒng)災難恢復的前提之一。3.系統(tǒng)安全一般，人們對網(wǎng)絡和操作系統(tǒng)的安全很重視，而對數(shù)據(jù)庫的安全不夠重視，其實數(shù)據(jù)庫系統(tǒng)也是一種很重要的系統(tǒng)軟件，與其他軟件一樣需要保護。4.應用安全應用安全建立在系統(tǒng)平臺之上，人們普遍會重視系統(tǒng)安全，而忽視應用安全。主要原因有：①對應用安全缺乏認識；②應用系統(tǒng)過于靈活，需要掌握較高的相關安全技術。網(wǎng)絡安全、系統(tǒng)安全和數(shù)據(jù)安全的技術實現(xiàn)有很多固定的規(guī)則，應用安全則不同，客戶的應用往往各不相同，必須投入相對更多的人力物力，而且沒有現(xiàn)成的工具，只能根據(jù)經(jīng)驗來手動完成。5.管理安全安全是一個整體，完整的安全解決方案不僅包括物理安全、網(wǎng)絡安全、系統(tǒng)安全和應用安全等技術手段，還需要以人為核心的策略和管理支持。網(wǎng)絡安全至關重要的往往不是技術手段，而是對人的管理。無論采用了多么先進的技術設備，只要安全管理上有漏洞，那么這個系統(tǒng)的安全就沒有保障。在網(wǎng)絡安全管理中，專家們一致認為是“30%的技術，70%的管理”。同時，網(wǎng)絡安全不是一個目標，而是一個過程，而且是一個動態(tài)的過程。這是因為制約安全的因素都是動態(tài)變化的，必須通過一個動態(tài)的過程來保證安全。例如，Windows操作系統(tǒng)經(jīng)常發(fā)布安全漏洞，在沒有發(fā)現(xiàn)系統(tǒng)漏洞之前，大家可能認為自己的系統(tǒng)是安全的，實際上系統(tǒng)已經(jīng)處于威脅之中了，所以要及時地更新補丁。安全是相對的，沒有絕對的安全，需要根據(jù)客戶的實際情況，在實用和安全之間找一個平衡點。從總體上來看，網(wǎng)絡安全涉及網(wǎng)絡系統(tǒng)的多個層次和多個方面，同時，也是一個動態(tài)變化的過程。網(wǎng)絡安全實際上是一個系統(tǒng)工程，既涉及對外部攻擊的有效防范，又包括制定完善的內(nèi)部安全保障制度；既涉及防病毒攻擊，又涵蓋實時檢測、防黑客攻擊等內(nèi)容。因此，網(wǎng)絡安全解決方案不應僅僅提供對于某種安全隱患的防范能力，還應涵蓋對于各種可能造成網(wǎng)絡安全問題隱患的整體防范能力；同時，還應該是一種動態(tài)的解決方案，能夠隨著網(wǎng)絡安全需求的增加而不斷改進和完善。1.3網(wǎng)絡安全的現(xiàn)狀和發(fā)展趨勢1.3.1概況2008年，兩大公司用不同的標準對新增病毒進行了統(tǒng)計，得出相同的結論：2008年的病毒數(shù)量比2007年有很大增長（瑞星統(tǒng)計為增長12倍以上，金山統(tǒng)計為增長48倍）。其中“網(wǎng)頁掛馬”所傳播的木馬、后門等病毒占據(jù)90%以上，網(wǎng)頁瀏覽已經(jīng)成為病毒傳播的最主要渠道。從病毒的運作模式看2008年病毒多采用下載器關閉安全軟件，然后下載大量盜號木馬到用戶電腦的方式盜取用戶網(wǎng)游賬號、網(wǎng)銀賬號等虛擬財產(chǎn)，再發(fā)送到黑客的數(shù)據(jù)庫，具有極其明顯的經(jīng)濟利益特征。1.3.2電腦病毒疫情統(tǒng)計1.3網(wǎng)絡安全的現(xiàn)狀和發(fā)展趨勢瑞星公司2004-2008年新增病毒樣本數(shù)統(tǒng)計瑞星公司分析2008年各類病毒比例圖2.金山安全中心2008年電腦病毒疫情統(tǒng)計金山安全中心分析2008年各類病毒比例圖1.3.3計算機病毒、木馬的特點分析1.病毒制造趨于“機械化”2.病毒制造具有明顯的模塊化、專業(yè)化特征3.病毒產(chǎn)業(yè)互聯(lián)網(wǎng)化（1）漏洞的挖掘和交易

（2）網(wǎng)頁掛馬的策略（3）網(wǎng)頁掛馬常用的漏洞漏洞名稱在別利用漏洞中所占比例AdobeFlashPlayer18%RealPlayer10/1110%MicrosoftDateAccessComponents(ms06-014)8%Windowsant(ms07-017)8%迅雷看看ActiveX7%暴風影音ⅡActiveX7%PPLIVEActiveX7%PPSActiveX7%MicrosoftOffice2003(ms08-011)5%MicrosoftOffice(ms08-056)5%WindowsMediaPlayer(ms08-053)3%MicrosoftGDI+(ms08-021)3%超星閱讀器ActiveX3%聯(lián)眾世界ActiveX3%新浪ActiveX3%百度搜霸ActiveX3%說明：以上數(shù)據(jù)來源于瑞星全球反病毒監(jiān)測網(wǎng)表1-1常用軟件被利用統(tǒng)計表1.3.4病毒互聯(lián)網(wǎng)化的影響1.3.4病毒互聯(lián)網(wǎng)化的影響1.互聯(lián)網(wǎng)化制造病毒的三大手段病毒產(chǎn)業(yè)的互聯(lián)網(wǎng)化，使得黑客可以利用互聯(lián)網(wǎng)來加速病毒的制造，提高制造病毒的效率。黑客常用的三大手段包括：①采用效率更高的病毒生產(chǎn)軟件，這些軟件可以通過加殼、加花等方式，把已有病毒改造成殺毒軟件無法識別的版本，從而可以自動生產(chǎn)出大量新木馬病毒。這類機器自動制造的病毒，占據(jù)了新增病毒的很大部分。②租用更好的服務器、更大的帶寬，為“木馬下載器”下載病毒提供硬件上的便利。由于黑客產(chǎn)業(yè)的豐厚利潤，黑客團伙有經(jīng)濟條件改善自己的“生產(chǎn)環(huán)境”，以求更豐厚的利潤。③利用互聯(lián)網(wǎng)論壇、博客等，雇傭“軟件民工”來編寫更強的驅動，加入木馬中與殺毒軟件對抗?，F(xiàn)在很多木馬病毒都會自帶Rootkits驅動，這些驅動可以關閉殺毒軟件、修改系統(tǒng)設置和文件，使木馬更容易入侵用戶電腦。而編寫Rootkits在很大程度上屬于“體力勞動”，普通計算機專業(yè)大學生經(jīng)過幾個月的編程訓練即可勝任此工作。大量軟件民工的加入，使得黑客產(chǎn)業(yè)鏈條更趨向“正規(guī)化、專業(yè)化”，效率也更高。2.病毒互聯(lián)網(wǎng)化的影響病毒制造的互聯(lián)網(wǎng)化，使得整個黑客產(chǎn)業(yè)制造病毒的效率大大提高，從而給反病毒廠商帶來很多問題。如：①新病毒巨量增加、單個病毒的生存期縮短，現(xiàn)有病毒監(jiān)測技術無法及時截獲新樣本。②即使能夠截獲，則每天高達數(shù)十萬的新樣本數(shù)量，也在嚴重考驗著反病毒廠商對于病毒的分析、處理能力。③即使能夠分析處理，則如何能夠讓用戶在最短時間內(nèi)獲取相應的病毒庫，成為一個重要的問題。

針對以上的問題，殺毒軟件的設計思想、設計初衷就面臨巨大的改變：應該把病毒阻擋在電腦之外，在盜號木馬、病毒剛剛出現(xiàn)在互聯(lián)網(wǎng)上，還沒有來得及對客戶端（用戶電腦）發(fā)動攻擊時即將其屏蔽。這種技術的實現(xiàn)，需要殺毒軟件的完全互聯(lián)網(wǎng)化，讓互聯(lián)網(wǎng)本身成為一個巨大的殺毒軟件。3.直接影響用戶對整個互聯(lián)網(wǎng)行業(yè)的信心①木馬點擊器侵襲搜索引擎②Flash插件漏洞侵襲視頻網(wǎng)站等③木馬帶來假流量，動搖新經(jīng)濟基礎④盜號木馬危及網(wǎng)游、網(wǎng)銀等⑤盜號木馬侵襲網(wǎng)絡下載1.3.5反病毒技術發(fā)展趨勢“云安全（CloudSecurity）”計劃是網(wǎng)絡時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。云安全是我國企業(yè)創(chuàng)造的概念，在國際云計算領域獨樹一幟?！霸瓢踩奔夹g應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡服務，實時進行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。目前，瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士、卡卡上網(wǎng)安全助手等眾多殺毒廠商都在布局“云安全”領域，相繼推出了各自的“云安全”解決方案。瑞星基于“云安全”策略開發(fā)的2009新品，每天攔截數(shù)百萬次木馬攻擊，其中2009年1月8日一天就達到了765萬余次。趨勢科技“云安全”已經(jīng)在全球建立了5大數(shù)據(jù)中心，幾萬部在線服務器。據(jù)悉，“云安全”可以支持平均每天55億條點擊查詢，每天收集分析2.5億個樣本，資料庫第一次命中率就可以達到99%。借助“云安全”，趨勢科技現(xiàn)在每天阻斷的病毒感染最高達1000萬次。我們有理由相信，“云安全”將是大勢所趨，而“云安全”時代的到來，也必將伴隨著安全行業(yè)的一場巨大變革。實驗：虛擬機技術1.虛擬機技術虛擬機(VirtualMachine)指通過軟件模擬的具有完整硬件系統(tǒng)功能的、運行在一個完全隔離環(huán)境中的完整計算機系統(tǒng)。通過虛擬機軟件，可以在一臺物理計算機上模擬出一臺或多臺虛擬的計算機，這些虛擬機完全就像真正的計算機那樣進行工作，例如可以安裝操作系統(tǒng)、安裝應用程序、訪問網(wǎng)絡資源等等。對于用戶而言，它只是運行在用戶物理計算機上的一個應用程序，但是對于在虛擬機中運行的應用程序而言，它就是一臺真正的計算機。因此，當在虛擬機中進行軟件評測時，可能系統(tǒng)一樣會崩潰，但是，崩潰的只是虛擬機上的操作系統(tǒng)，而不是物理計算機上的操作系統(tǒng)，并且，使用虛擬機的“Undo”(恢復)功能，可以馬上恢復虛擬機到安裝軟件之前的狀態(tài)。