1.1 通信網(wǎng)絡及網(wǎng)絡安全

通信網(wǎng)絡安全與防護通信技術與指揮教研室引言：課程內(nèi)涵演化通信網(wǎng)通信安全計算機網(wǎng)絡Internet信息安全計算機安全Cyberspace網(wǎng)絡信息安全計算機網(wǎng)絡安全網(wǎng)絡空間安全電信技術與互聯(lián)網(wǎng)技術的融合：全IP化、QoS、寬帶網(wǎng)絡攻防演變：不止是技術，還有安全管理、法規(guī)標準/course/WZU-1450158225溫州大學《網(wǎng)絡系統(tǒng)安全》廈門大學《網(wǎng)絡空間安全技術基礎》/course/XMU-1206357803北京理工大學《網(wǎng)絡安全——應用技術與工程實踐》https://www.icourse163.org/course/BIT-1449611164華為《HCIA-Security華為認證安全工程師在線課程/portal/courses/coursev1:HuaweiX+EBGTC00000189+2018.9/about教學資料不僅是一門課程更是一個領域，安全的范疇很廣泛總學時：3222+8+2第一章概述學時：4第二章網(wǎng)絡信息安全學時：4第三章網(wǎng)絡設備安全學時：2+4第四章網(wǎng)絡攻擊技術學時：4+2第五章網(wǎng)絡防護技術學時：4+2第六章網(wǎng)絡安全協(xié)議學時：4考試學時：2課程安排課程設計第一章概述《通信網(wǎng)絡安全與防護》1.1通信網(wǎng)絡及網(wǎng)絡安全1.2網(wǎng)絡安全面臨的威脅1.3網(wǎng)絡安全體系結構

1.4PDRR網(wǎng)絡安全模型

1.5網(wǎng)絡安全基本原則

主要內(nèi)容通信網(wǎng)是指在一定范圍內(nèi)將通信線（電）路、信道終端、復用終端、交換設備、入網(wǎng)接口設備、網(wǎng)絡監(jiān)控設備和各種用戶設備，按一定方式相互連接，用于達成通信聯(lián)絡的網(wǎng)絡體系。它是信息化社會的基礎設施。1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念按使用對象，通信網(wǎng)分為公用網(wǎng)、專用網(wǎng)1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念公用網(wǎng)專用網(wǎng)按通信手段，可分為光纖通信網(wǎng)、微波通信網(wǎng)等1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念光纖通信網(wǎng)衛(wèi)星通信網(wǎng)根據(jù)子網(wǎng)的功能可以分為業(yè)務網(wǎng)、傳送網(wǎng)和支撐網(wǎng)1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念功能與用途劃分傳送網(wǎng)支撐網(wǎng)業(yè)務網(wǎng)業(yè)務網(wǎng)是指向公眾提供電信業(yè)務的網(wǎng)絡，包括固定電話網(wǎng)、移動電話網(wǎng)、互聯(lián)網(wǎng)、IP電話網(wǎng)、數(shù)據(jù)通信網(wǎng)等

1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念固定電話網(wǎng)移動電話網(wǎng)互聯(lián)網(wǎng)IP電話網(wǎng)數(shù)據(jù)通信網(wǎng)傳送網(wǎng)是指數(shù)字信號傳送網(wǎng)，包括骨干傳送網(wǎng)和接入網(wǎng)1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念骨干傳送網(wǎng)接入網(wǎng)支撐網(wǎng)包括信令網(wǎng)、數(shù)字同步網(wǎng)和電信管理網(wǎng)。1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念支撐網(wǎng)包括信令網(wǎng)數(shù)字同步網(wǎng)電信管理網(wǎng)信令網(wǎng)管理網(wǎng)同步網(wǎng)支撐網(wǎng)固定電話網(wǎng)移動電話網(wǎng)互聯(lián)網(wǎng)SDH/SONET光傳送網(wǎng)

業(yè)務網(wǎng)、傳送網(wǎng)和支撐網(wǎng)之間的關系業(yè)務網(wǎng)傳送網(wǎng)1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念1.1通信網(wǎng)絡及網(wǎng)絡安全一、通信網(wǎng)絡基本概念根據(jù)子網(wǎng)的位置可以將通信網(wǎng)分為用戶網(wǎng)、接入網(wǎng)和核心網(wǎng)。核心網(wǎng)的作用是交換和傳送。相對于核心網(wǎng)，接入網(wǎng)介于交換設備和用戶之間，主要完成使用戶接入到核心網(wǎng)的任務。數(shù)字化寬帶化IP化1.1通信網(wǎng)絡及網(wǎng)絡安全二、通信網(wǎng)絡發(fā)展趨勢網(wǎng)絡安全是指信息的產(chǎn)生、存儲、分發(fā)、傳輸、處理全過程和整個通信網(wǎng)絡的信息安全保障。習近平總書記任中央網(wǎng)絡安全和信息化小組組長。沒有網(wǎng)絡安全，就沒有國家安全1.1通信網(wǎng)絡及網(wǎng)絡安全三、網(wǎng)絡安全超級工廠病毒（Stuxnet）在2010年7月開始爆發(fā)。第一個直接破壞現(xiàn)實世界中工業(yè)基礎設施的惡意代碼。伊朗核電站等5個工業(yè)設施遭到病毒攻擊，上千臺核電站關鍵設施一一離心機，因“中毒”超速運轉而損壞，核發(fā)展計劃被迫延緩兩年。三、網(wǎng)絡安全1.1通信網(wǎng)絡及網(wǎng)絡安全2013.6斯諾登事件1.1通信網(wǎng)絡及網(wǎng)絡安全2013.6斯諾登事件1.1通信網(wǎng)絡及網(wǎng)絡安全

2016年10月21日，美國東海岸（世界最發(fā)達地區(qū)）發(fā)生世界上癱瘓面積最大（大半個美國）、時間最長（6個多小時）的分布式拒絕服務（DDoS）攻擊。“物聯(lián)網(wǎng)破壞者”（“Mirai”未來）劫持網(wǎng)絡攝像頭（杭州制造），讓上百萬攝像頭同時請求訪問互聯(lián)網(wǎng)，造成網(wǎng)絡堵塞癱瘓。更有進一步攻擊，升級為PDoS（永久拒絕服務攻擊），清除設備里的所有文件。三、網(wǎng)絡安全1.1通信網(wǎng)絡及網(wǎng)絡安全

2017年5月12日爆發(fā)的“WannaCry”的勒索病毒，通過將系統(tǒng)中數(shù)據(jù)信息加密，使數(shù)據(jù)變得不可用，借機勒索錢財。病毒席卷近150個國家，教育、交通、醫(yī)療、能源網(wǎng)絡成為本輪攻擊的重災區(qū)。2018年8月3日，臺積電遭到勒索病毒入侵，幾個小時之內(nèi)，臺積電在中國臺灣地區(qū)的北、中、南三個重要生產(chǎn)基地全部停擺，造成約十幾億美元的營業(yè)損失。三、網(wǎng)絡安全1.1通信網(wǎng)絡及網(wǎng)絡安全1、網(wǎng)絡安全的研究領域信息安全:主要是信息保密網(wǎng)絡安全防護：對網(wǎng)絡入侵的防護，確保實體可信、行為可控、資源可管、事件可查、運行可靠。人員與網(wǎng)絡設施安全1.1通信網(wǎng)絡及網(wǎng)絡安全三、網(wǎng)絡安全2、網(wǎng)絡安全目標網(wǎng)絡的安全目標即為保證在一定的外部環(huán)境下，系統(tǒng)能夠正常、安全的工作而所需實現(xiàn)的安全特性。主要包括以下5種安全特性（1）保密性（2）完整性:完整性是數(shù)據(jù)或信息未經(jīng)授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、破壞和丟失的特性。1.1通信網(wǎng)絡及網(wǎng)絡安全三、網(wǎng)絡安全2、網(wǎng)絡安全目標（3）服務可用性服務可用性是一種可被授權實體訪問并按需求使用的特性，即當需要時被授權實體能否存取所需的信息。（4）可控性可控性是一種對信息的傳播及內(nèi)容具有控制能力的特性。即審計和跟蹤能力，從而在遭受攻擊可以審查責任。1.1通信網(wǎng)絡及網(wǎng)絡安全三、網(wǎng)絡安全2、網(wǎng)絡安全目標（5）信息流保護既要防止攻擊者在有用信息的空隙之間插入有害信息，也要防止攻擊者通過監(jiān)聽信息流流向和流量獲取信息。相應的保護措施有信息流填充等。1.1通信網(wǎng)絡及網(wǎng)絡安全三、網(wǎng)絡安全以下哪一項不是網(wǎng)絡安全目標？A.完整性B.可用性C.及時性D.保密性未授權的實體訪問系統(tǒng)資源，這樣做破壞了以下哪一個安全特性？A.可用性B.完整性C.可控性D.保密性1.1通信網(wǎng)絡及網(wǎng)絡安全三、網(wǎng)絡安全1.2網(wǎng)絡安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡安全形勢1.2網(wǎng)絡安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡安全形勢黨政機關、關鍵信息基礎設施等重要單位防護能力顯著增強，但DDoS攻擊呈現(xiàn)高發(fā)頻發(fā)態(tài)勢，攻擊組織性和目的性更加凸顯。1APT攻擊監(jiān)測與應急處置力度加大，釣魚郵件防范意識繼續(xù)提升，但APT攻擊逐步向各重要行業(yè)領域滲透，在重大活動和敏感時期更加猖獗。2數(shù)據(jù)風險監(jiān)測與預警防護能力提升，但數(shù)據(jù)安全防護意識依然薄弱，大規(guī)模數(shù)據(jù)泄露事件頻發(fā)。4重大安全漏洞應對能力不斷強化，但事件型漏洞和高危零日漏洞數(shù)量上升，信息系統(tǒng)面臨的漏洞威脅形勢更加嚴峻。31.2網(wǎng)絡安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡安全形勢惡意程序增量首次下降，但“灰色”應用程序大量出現(xiàn)，針對重要行業(yè)安全威脅更加明顯。5工業(yè)控制系統(tǒng)網(wǎng)絡安全在國家層面頂層設計進一步完善,但工業(yè)控制系統(tǒng)產(chǎn)品安全問題依然突出，新技術應用帶來新安全隱患更加嚴峻。7黑產(chǎn)資源得到有效清理，但惡意注冊、網(wǎng)絡賭博、勒索病毒、挖礦病毒等依然活躍，高強度技術對抗更加激烈。61.2網(wǎng)絡安全面臨威脅我國互聯(lián)網(wǎng)網(wǎng)絡安全形勢網(wǎng)絡在為人們提供巨大的方便的同時，受技術和社會因素的的影響，一直存在著多種安全缺陷，從而潛在著安全風險，主要包括：(1)物理安全風險(2)操作系統(tǒng)安全缺陷(3)網(wǎng)絡協(xié)議安全缺陷(4)應用軟件實現(xiàn)缺陷(5)用戶使用中的缺陷(6)惡意程序1.2網(wǎng)絡安全面臨威脅自然災害、物理損壞、設備故障電磁輻射、乘虛而入、痕跡泄漏操作失誤和疏忽1.2網(wǎng)絡安全面臨威脅一、物理安全威脅1.2CVE（CommonVulnerabilitiesExposures）-公共漏洞和暴露。就像是一個字典表，為廣泛認同的信息安全漏洞或者已經(jīng)暴露出的弱點給出一個公共的名稱。MS03026MS06040CVE-2014-0160（SSL“心臟出血”漏洞）CVE-2017-8464（Windows系統(tǒng)在解析快捷方式時存在遠程執(zhí)行任意代碼的高危漏洞，黑客可以通過U盤、網(wǎng)絡共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)，安全風險高危）....1.2網(wǎng)絡安全面臨威脅二、操作系統(tǒng)的安全缺陷1.2網(wǎng)絡安全面臨威脅二、操作系統(tǒng)的安全缺陷2015年1至6月Android手機漏洞Top61.2網(wǎng)絡安全面臨威脅1.2二、操作系統(tǒng)的安全缺陷SNMPHTTPFTPTCPUDPIPARPENET應用層運輸層網(wǎng)際層物理鏈路層以太網(wǎng)1.2網(wǎng)絡安全面臨威脅三、網(wǎng)絡協(xié)議的安全缺陷

由于TCP/IP協(xié)議設計之初的目的是使網(wǎng)絡互連，缺乏安全性上的考慮，因此TCP/IP協(xié)議本身存在一些不安全的地方。如：TCP序列號預測；DNS攻擊；網(wǎng)絡監(jiān)聽（嗅探Sniffer)；ARP病毒；路由協(xié)議缺陷；無線破解。

由于TCP/IP協(xié)議設計之初的目的是使網(wǎng)絡互連，缺乏安全性上的考慮，因此TCP/IP協(xié)議本身存在一些不安全的地方。如：TCP序列號預測；DNS攻擊；網(wǎng)絡監(jiān)聽（嗅探Sniffer)；ARP病毒；路由協(xié)議缺陷；無線破解。1.2網(wǎng)絡安全面臨威脅三、網(wǎng)絡協(xié)議的安全缺陷以下哪些協(xié)議屬于網(wǎng)絡層？AARPBICMPCIGMPDOSPF在交換機的某個端口可以嗅探到其它端口傳輸?shù)膸瑔?？A可以

B不可以，因為集線器是共享式以太網(wǎng)可以監(jiān)聽，而交換機是交換式以太網(wǎng)不能監(jiān)聽1.2網(wǎng)絡安全面臨威脅三、網(wǎng)絡協(xié)議的安全缺陷IE瀏覽器IISSQLServer200Xrealplay瑞星、賽門鐵克等應用軟件是運行在操作系統(tǒng)之上的應用程序，如MicrosoftOffice、InternetExplorer等。軟件實現(xiàn)缺陷是由于程序員在編程時沒有考慮周全而造成的。1.2網(wǎng)絡安全面臨威脅四、應用軟件的安全缺陷1.2網(wǎng)絡安全面臨威脅四、應用軟件的安全缺陷OpenSSL心臟出血漏洞

OpenSSL心臟出血漏洞是2014年最危險的Web漏洞之一，可導致網(wǎng)站服務器被黑客監(jiān)聽，并在用戶毫無察覺的情況下泄漏姓名、年齡、性別、手機號碼、常用地址、身份證號碼、網(wǎng)銀賬密、購物網(wǎng)站支付密碼等敏感信息。漏洞曝出時國內(nèi)約有3萬余個網(wǎng)站受此漏洞影響。1.2網(wǎng)絡安全面臨威脅四、應用軟件的安全缺陷密碼易于被破解軟件使用的錯誤系統(tǒng)備份不完整

系統(tǒng)和網(wǎng)絡是由用戶（管理員）來操作的，由于用戶（管理員）缺乏安全知識，在使用和維護系統(tǒng)或網(wǎng)絡時給攻擊者提供了可乘之機是常見的安全問題。用戶使用的缺陷體現(xiàn)在以下幾個方面：大量打開端口危險缺省腳本軟件運行權限選擇不當1.2網(wǎng)絡安全面臨威脅五、用戶使用中的缺陷計算機病毒（computervirus）熊貓燒香計算機蠕蟲（computerworm）Morris特洛伊木馬（Trojanhorse）灰色軟件

上述五種安全威脅其共同特點是它們不是人們故意創(chuàng)造出來的，一般都是在設計、實現(xiàn)或者使用的某個環(huán)節(jié)出現(xiàn)了差錯而無意造成的。而惡意代碼則完全是人為創(chuàng)造出來，對網(wǎng)絡造成的威脅。1.2網(wǎng)絡安全面臨威脅六、惡意代碼1.2網(wǎng)絡安全面臨威脅六、惡意代碼技術黑灰產(chǎn)：木馬植入、釣魚網(wǎng)站、各類惡意軟件網(wǎng)絡黑賬號：多以惡意注冊、虛假認證、盜號