計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)（微課版）課件 第1章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述CONTENTSCONTENTS01網(wǎng)絡(luò)安全簡(jiǎn)介02網(wǎng)絡(luò)安全的發(fā)展階段03網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議04開放系統(tǒng)互連參考模型05TCP/IP參考模型06網(wǎng)絡(luò)安全模型與體系結(jié)構(gòu)第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全簡(jiǎn)介1.1.1網(wǎng)絡(luò)安全的定義1.1.2網(wǎng)絡(luò)安全的重要性1.1.3網(wǎng)絡(luò)安全脆弱性的原因1.1.4網(wǎng)絡(luò)安全的基本要素1.1.5網(wǎng)絡(luò)安全面臨的威脅第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常第運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及網(wǎng)絡(luò)上的信息的保密性、完整性、可用性、可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。1.1.1網(wǎng)絡(luò)安全的定義第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1.2網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡(luò)信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1.3網(wǎng)絡(luò)安全脆弱性的原因從整體上看，網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、應(yīng)用和控制過程中存在的一切可能被攻擊者利用從而造成安全危害的缺陷都是脆弱性。網(wǎng)絡(luò)系統(tǒng)遭受損失最根本的原因在于其本身存在的脆弱性，網(wǎng)絡(luò)系統(tǒng)的脆弱性主要來源于以下幾個(gè)方面。1．開放性的網(wǎng)絡(luò)環(huán)境2．操作系統(tǒng)的缺陷3．應(yīng)用軟件的漏洞4．人為因素第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1.4網(wǎng)絡(luò)安全的基本要素由于網(wǎng)絡(luò)安全受到威脅的多樣性、復(fù)雜性及網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性，在設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的安全時(shí)，應(yīng)該努力達(dá)到安全目標(biāo)。一個(gè)安全的網(wǎng)絡(luò)具有下面五個(gè)特征：保密性、完整性、可靠性、可用性和不可抵賴性。1．保密性2．完整性3．可靠性4．可用性5．不可抵賴性第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1.5網(wǎng)絡(luò)安全面臨的威脅計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅包括對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；還有可能是外來黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用等，目前網(wǎng)絡(luò)安全存在的主要威脅，如圖1.4所示。1．網(wǎng)絡(luò)內(nèi)部威脅2．網(wǎng)絡(luò)外部威脅第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1.6網(wǎng)絡(luò)安全發(fā)展趨勢(shì)隨著信息技術(shù)和信息產(chǎn)業(yè)的發(fā)展，網(wǎng)絡(luò)和信息安全問題及其對(duì)經(jīng)濟(jì)發(fā)展、國(guó)家安全和社會(huì)穩(wěn)定的重大影響，正日益突出的顯示出來，主要表現(xiàn)在以下幾個(gè)方面。（1）信息與網(wǎng)絡(luò)安全的防護(hù)能力弱，信心安全意識(shí)低。（2）基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國(guó)外，缺乏自主知識(shí)產(chǎn)權(quán)產(chǎn)品。（3）信息犯罪在我國(guó)有快速發(fā)展蔓延的趨勢(shì)。（4）我國(guó)信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足要求。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.2網(wǎng)絡(luò)安全的發(fā)展階段1.2.1通信安全階段1.2.2計(jì)算機(jī)安全階段1.2.3信息技術(shù)安全階段1.2.4信息保障階段第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.2.1通信安全階段20世紀(jì)40年代~70年代，通信技術(shù)還不發(fā)達(dá)，電腦只是零散地位于不同的地點(diǎn)，信息系統(tǒng)的安全局限于保證電腦的物理安全以及面對(duì)電話、電報(bào)、傳真等信息交換過程中存在的安全問題。把電腦安置在相對(duì)安全的地點(diǎn)，不容許生人接近，就可以保證數(shù)據(jù)的安全性。但是，信息是必須要交流的，如果這臺(tái)電腦的數(shù)據(jù)需要讓別人讀取，而需要數(shù)據(jù)的人在異地，那么只能將數(shù)據(jù)復(fù)制到介質(zhì)上，派專人秘密送到目的地，復(fù)制到電腦再讀取數(shù)據(jù)。即使是這樣，也不是完美無(wú)缺的，誰(shuí)來保證信息傳遞員的安全？因此這個(gè)階段人強(qiáng)調(diào)的信息系統(tǒng)安全性更多的是信息的保密性，重點(diǎn)是通過密碼技術(shù)解決通信保密問題，主要是保證數(shù)據(jù)的保密性與完整性，對(duì)于安全理論和技術(shù)的研究也只側(cè)重于密碼學(xué)，這一階段的信息安全可以簡(jiǎn)單地稱為通信安全。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.2.2計(jì)算機(jī)安全階段20世紀(jì)80年代，計(jì)算機(jī)的應(yīng)用范圍不斷擴(kuò)大，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用進(jìn)入了實(shí)用化和規(guī)模化階段，人們利用通信網(wǎng)絡(luò)把獨(dú)立的計(jì)算機(jī)系統(tǒng)連接起來共享資源，信息安全問題也逐漸受到重視。人們對(duì)安全的關(guān)注已經(jīng)逐漸擴(kuò)展為保密性、完整性和可用性為目標(biāo)的計(jì)算機(jī)安全階段。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.2.3信息技術(shù)安全階段20世紀(jì)90年代，信息的主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗的攻擊等，網(wǎng)絡(luò)安全的重點(diǎn)是確保信息在存儲(chǔ)、處理、傳輸過程中及信息系統(tǒng)不被破壞，確保合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施，即轉(zhuǎn)變到了強(qiáng)調(diào)信息的保密性、完整性、可控性、可用性的信息安全階段。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.2.4信息保障階段20世紀(jì)90年代后期，隨著電子商務(wù)等行業(yè)的發(fā)展，網(wǎng)絡(luò)安全衍生出了諸如可控性、不可否認(rèn)性等其他原則和目標(biāo)。此時(shí)對(duì)安全性有了新的需求?？煽匦允菍?duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控管理；不可否認(rèn)性是保證行為人不能否認(rèn)自己的行為。信息安全也轉(zhuǎn)化為從整體角度考慮其體系建設(shè)的信息保障階段，也稱為網(wǎng)絡(luò)信息安全階段。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.3網(wǎng)絡(luò)體系結(jié)構(gòu)與協(xié)議1.3.1網(wǎng)絡(luò)體系結(jié)構(gòu)的概念1.3.2網(wǎng)絡(luò)體系的分層結(jié)構(gòu)1.3.3網(wǎng)絡(luò)協(xié)議的概念1.3.4網(wǎng)絡(luò)層次結(jié)構(gòu)中的相關(guān)概念第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.3.1網(wǎng)絡(luò)體系結(jié)構(gòu)的概念網(wǎng)絡(luò)體系結(jié)構(gòu)是指整個(gè)網(wǎng)絡(luò)系統(tǒng)的邏輯組成和功能分配，定義和描述了一組用于計(jì)算機(jī)及其通信設(shè)施之間互連的標(biāo)準(zhǔn)和規(guī)范的集合。研究網(wǎng)絡(luò)體系結(jié)構(gòu)的目的在于定義計(jì)算機(jī)網(wǎng)絡(luò)各個(gè)組成部分的功能，以便在統(tǒng)一的原則指導(dǎo)下進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì)、使用和發(fā)展。1．層次結(jié)構(gòu)的概念2．層次結(jié)構(gòu)的主要內(nèi)容3．層次結(jié)構(gòu)劃分原則4．劃分層次結(jié)構(gòu)的優(yōu)越性第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.3.2網(wǎng)絡(luò)體系的分層結(jié)構(gòu)網(wǎng)絡(luò)體系都是按層的方式來組織的，每一層都能完成一組特定的、有明確含義的功能，每一層的目的都是向上一層提供一定的服務(wù)，而上一層不需要知道下一層是如何實(shí)現(xiàn)服務(wù)的。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.3.3網(wǎng)絡(luò)協(xié)議的概念連網(wǎng)的計(jì)算機(jī)以及網(wǎng)絡(luò)設(shè)備之間要進(jìn)行數(shù)據(jù)與控制信息的成功傳遞就必須共同遵守網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)協(xié)議包含了3個(gè)方面的內(nèi)容：語(yǔ)義、語(yǔ)法和時(shí)序。語(yǔ)義：規(guī)定通信的雙方準(zhǔn)備“講什么”，即需要發(fā)出何種控制信息，完成何種動(dòng)作以及做出何種應(yīng)答。語(yǔ)法：規(guī)定了通信雙方“如何講”，即確定用戶數(shù)據(jù)與控制信息的結(jié)構(gòu)、格式、數(shù)據(jù)編碼等。時(shí)序：又可稱為“同步”，規(guī)定了雙方“何時(shí)進(jìn)行通信”，即事件實(shí)現(xiàn)順序的詳細(xì)說明。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.3.4網(wǎng)絡(luò)層次結(jié)構(gòu)中的相關(guān)概念網(wǎng)絡(luò)層次結(jié)構(gòu)中包含實(shí)體、接口、服務(wù)等相關(guān)概念。1．實(shí)體2．接口3．服務(wù)4．層間通信5．服務(wù)訪問點(diǎn)（ServiceAccessPoint）6.協(xié)議數(shù)據(jù)單元（ProtocolDataUnit，PDU）7．接口數(shù)據(jù)單元（InterfaceDataUnit，IDU）第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.4開放系統(tǒng)互連參考模型1.4.1OSI參考模型1.4.2OSI參考模型各層的功能1.4.3OSI參考模型數(shù)據(jù)傳輸過程第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.4.1OSI參考模型OSI模型將計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議分為七層，OSI參考模型的層次是相互獨(dú)立的，每一層都有各自獨(dú)立的功能，這7層由低至高分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層，每一層完成通信中的一部分功能，并遵循一定的通信協(xié)議，該協(xié)議具有如下特點(diǎn)。（1）網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)均有相同的層次。（2）不同節(jié)點(diǎn)的同等層具有相同的功能。（3）同節(jié)點(diǎn)內(nèi)相鄰層之間通過接口通信。（4）每一層可以使用下層提供的服務(wù)，并向其上層提供服務(wù)。（5）僅在最低層進(jìn)行直接數(shù)據(jù)傳送。第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.4.2OSI參考模型各層的功能OSI參考模型并非指一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)，它僅僅規(guī)定了每一層的功能，為網(wǎng)絡(luò)的設(shè)計(jì)規(guī)劃出一張藍(lán)圖，各個(gè)網(wǎng)絡(luò)設(shè)備或軟件生產(chǎn)廠商都可以按照這張藍(lán)圖來設(shè)計(jì)和生產(chǎn)自己的網(wǎng)絡(luò)設(shè)備或軟件，盡管設(shè)計(jì)和生產(chǎn)出的網(wǎng)絡(luò)產(chǎn)品的樣式、外觀各不相同，但它們應(yīng)該具有相同的功能。1．物理層2．?dāng)?shù)據(jù)鏈路3．網(wǎng)絡(luò)層4．傳輸層5．會(huì)話層6．表示層7．應(yīng)用層第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.4.3OSI參考模型數(shù)據(jù)傳輸過程層次結(jié)構(gòu)模型中數(shù)據(jù)的實(shí)際傳輸過程，如圖1.18所示。發(fā)送進(jìn)程傳輸給接收進(jìn)程數(shù)據(jù)，實(shí)際上是經(jīng)過發(fā)送方各層從上到下傳輸?shù)轿锢韨鬏斀橘|(zhì)，通過物理傳輸介質(zhì)傳輸?shù)浇邮辗?，再?jīng)過從下到上各層的傳遞，最后到達(dá)接收進(jìn)程。1．?dāng)?shù)據(jù)解封裝2．網(wǎng)絡(luò)通信常見術(shù)語(yǔ)第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5TCP/IP參考模型1.5.1TCP/IP概述1.5.2TCP/IP參考模型各層的功能1.5.3OSI/ISO與TCP/IP參考模型比較1.5.4TCP/IP網(wǎng)際層協(xié)議1.5.5TCP/IP傳輸層協(xié)議1.5.6TCP/IP應(yīng)用層協(xié)議第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5.1TCP/IP概述TCP/IP是目前最流行的商業(yè)化網(wǎng)絡(luò)協(xié)議，盡管它不是某一標(biāo)準(zhǔn)化組織提出的正式標(biāo)準(zhǔn)，但它已經(jīng)被公認(rèn)為目前的工業(yè)標(biāo)準(zhǔn)或“事實(shí)標(biāo)準(zhǔn)”。因特網(wǎng)之所以能迅速發(fā)展，就是因?yàn)門CP/IP能夠適應(yīng)和滿足世界范圍內(nèi)數(shù)據(jù)通信的需求。1．TCP/IP協(xié)議的特點(diǎn)2．TCP/IP協(xié)議的缺點(diǎn)3．TCP/IP參考模型的層次第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5.2TCP/IP參考模型各層的功能TCP/IP參考模型各層的功能如下。1．網(wǎng)絡(luò)接口層2．網(wǎng)際層3．傳輸層4．應(yīng)用層第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5.3OSI/ISO與TCP/IP參考模型比較TCP/IP參考模型與OSI參考模型在設(shè)計(jì)上都采用了層次結(jié)構(gòu)的思想，不過層次劃分及使用的協(xié)議有很大的區(qū)別。無(wú)論是OSI參考模型還是TCP/IP參考模型都不是完美的，都存在某些缺陷。1．OSI參考模型的優(yōu)、缺點(diǎn)2．TCP/IP參考模型的優(yōu)、缺點(diǎn)第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5.4TCP/IP網(wǎng)際層協(xié)議在計(jì)算機(jī)網(wǎng)絡(luò)的眾多協(xié)議中，TCP/IP是應(yīng)用最廣泛的，在TCP/IP層次結(jié)構(gòu)包含的4個(gè)層次中，只有3個(gè)層次包含實(shí)際的協(xié)議。網(wǎng)際層的協(xié)議主要包括：網(wǎng)際協(xié)議、地址解析協(xié)議、網(wǎng)際控制消息協(xié)議和網(wǎng)際主機(jī)組管理協(xié)議。1．網(wǎng)際協(xié)議2．地址解析協(xié)議3．網(wǎng)際控制消息協(xié)議4．網(wǎng)際主機(jī)組管理協(xié)議第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5.5TCP/IP傳輸層協(xié)議傳輸層協(xié)議主要包括傳輸控制協(xié)議和用戶數(shù)據(jù)報(bào)協(xié)議。1．傳輸控制協(xié)議2．用戶數(shù)據(jù)報(bào)協(xié)議第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.5.6TCP/IP應(yīng)用層協(xié)議1．超文本傳輸協(xié)議2．文件傳送協(xié)議3．遠(yuǎn)程登錄協(xié)議4．簡(jiǎn)單郵件傳送協(xié)議5．域名解析協(xié)議6．簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議7．動(dòng)態(tài)主機(jī)配置協(xié)議第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.6網(wǎng)絡(luò)安全模型與體系結(jié)構(gòu)1.6.1PDRR安全模型1.6.2PPDR安全模型1.6.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.6.1PDRR安全模型PDRR即美國(guó)國(guó)防部提出的常見的“信息安全保障體系”，它概括了網(wǎng)絡(luò)安全的整個(gè)環(huán)節(jié)，包括防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）。PDRR模型的名稱也由這四個(gè)環(huán)節(jié)的英文單詞首字母結(jié)合而來的，這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期，如圖1.23。1．防護(hù)2．檢測(cè)3．響應(yīng)4．恢復(fù)

第1章計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.6.2PPDR安全模型保護(hù)（Protection）：保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn)的，主要有防火墻、加密和認(rèn)證等方法。檢測(cè)（Detection）：在PPDR模型中，檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)作出有效的響應(yīng)