計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)- 課件 王艷軍 第1章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全的定義一、網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常第運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及網(wǎng)絡(luò)上的信息的保密性、完整性、可用性、可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。保密性：確保信息不泄露給非授權(quán)的用戶、實(shí)體。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和不丟失的特性。可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能存取所需的信息。例如，網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊?？煽匦裕簩?duì)信息的傳播及內(nèi)容具體有控制能力。網(wǎng)絡(luò)安全主要包括物理安全、軟件安全、信息安全和運(yùn)行安全等4個(gè)方面。一、網(wǎng)絡(luò)安全的定義1．物理安全物理安全包括硬件、存儲(chǔ)媒體和外部環(huán)境的安全。硬件是指網(wǎng)絡(luò)中的各種設(shè)備和通信鏈路，如主機(jī)、路由器、服務(wù)器、工作站、交換機(jī)、電纜等；存儲(chǔ)媒體包括磁盤、光盤等；外部環(huán)境主要指計(jì)算機(jī)設(shè)備的安裝場(chǎng)地、供電系統(tǒng)。保障物理安全，就是要保護(hù)這些硬件設(shè)施能夠正常工作而不被損害。一、網(wǎng)絡(luò)安全的定義2．軟件安全軟件安全是指網(wǎng)絡(luò)軟件以及各個(gè)主機(jī)、服務(wù)器、工作站等設(shè)備所運(yùn)行的軟件的安全。保障軟件安全，就是保護(hù)網(wǎng)絡(luò)中的各種軟件能夠正常運(yùn)行不被修改、破壞和使用。一、網(wǎng)絡(luò)安全的定義3．信息安全信息安全是指網(wǎng)絡(luò)中所存儲(chǔ)和傳輸數(shù)據(jù)的安全，主要體現(xiàn)在信息隱蔽性和防修改的能力上。保障信息安全，就是保護(hù)網(wǎng)絡(luò)中的信息不被非法修改、復(fù)制、解密、使用等，也是保障網(wǎng)絡(luò)安全最根本的目的。一、網(wǎng)絡(luò)安全的定義4．運(yùn)行安全運(yùn)行安全指網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常的通過(guò)網(wǎng)絡(luò)交流信息。保障運(yùn)行安全，就是通過(guò)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)不安全的因素時(shí)，及時(shí)報(bào)警并采取相應(yīng)措施，消除不安全狀態(tài)以保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)安全的目的是為了確保系統(tǒng)的保密性、完整性和可用性。保密性要求只有授權(quán)用戶才能訪問(wèn)網(wǎng)絡(luò)信息；完整性要求網(wǎng)絡(luò)中的數(shù)據(jù)保持不被意外或惡意地改變；可用性指網(wǎng)絡(luò)中不降低實(shí)用性能的情況下仍能根據(jù)授權(quán)用戶的需要提供資源服務(wù)。感謝您的觀看主講崔升廣ThankYOU!網(wǎng)絡(luò)安全脆弱性的原因主講崔升廣一、網(wǎng)絡(luò)安全脆弱性的原因從整體上看，網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、應(yīng)用和控制過(guò)程中存在的一切可能被攻擊者利用從而造成安全危害的缺陷都是脆弱性。網(wǎng)絡(luò)系統(tǒng)遭受損失最根本的原因在于其本身存在的脆弱性，網(wǎng)絡(luò)系統(tǒng)的脆弱性主要來(lái)源于以下幾個(gè)方面。一、網(wǎng)絡(luò)安全脆弱性的原因1．開(kāi)放性的網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)空間之所以易受攻擊，是因?yàn)榫W(wǎng)絡(luò)系統(tǒng)具有開(kāi)放、快速、分散、互連、虛擬、脆弱等特點(diǎn)。網(wǎng)絡(luò)用戶可以自由地訪問(wèn)任何網(wǎng)站，幾乎有受時(shí)間和空間的限制，信息傳輸速度極快，因此，病毒等有害的信息可在網(wǎng)絡(luò)中迅速擴(kuò)散開(kāi)來(lái)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施和終端設(shè)備數(shù)量眾多，分布地域廣闊，各種信息系統(tǒng)互連互通，用戶身份和位置真假難辨，構(gòu)成了一個(gè)龐大而復(fù)雜的虛擬環(huán)境。此外，網(wǎng)絡(luò)軟件和協(xié)議之間存在著許多技術(shù)漏洞，讓攻擊者有了可乘之機(jī)，這些特點(diǎn)都給網(wǎng)絡(luò)空間的安全管理造成了巨大的困難。Internet的廣泛使用，這意味著網(wǎng)絡(luò)的攻擊不僅可以來(lái)自本地的網(wǎng)絡(luò)用戶，也可以是來(lái)自Internet上的任何一臺(tái)機(jī)器，同時(shí)，網(wǎng)絡(luò)之間使用的通信協(xié)議TCP/IP本身也有缺陷，這就給網(wǎng)絡(luò)的安全帶了更大的問(wèn)題。一、網(wǎng)絡(luò)安全脆弱性的原因2．操作系統(tǒng)的缺陷操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的基礎(chǔ)軟件，沒(méi)有它提供的安全保護(hù)，這些計(jì)算機(jī)系統(tǒng)及數(shù)據(jù)的安全性都將無(wú)法得到保障，操作系統(tǒng)的安全性非常重要，有很多網(wǎng)絡(luò)攻擊方式都是從尋找操作系統(tǒng)的缺陷而入手的，操作系統(tǒng)的主要缺陷在如下幾個(gè)方面。（1）系統(tǒng)模型本身的缺陷。這是系統(tǒng)設(shè)計(jì)初期就存在的，無(wú)法通過(guò)修改操作系統(tǒng)程序的源代碼來(lái)彌補(bǔ)。（2）操作系統(tǒng)程序的源代碼存在錯(cuò)誤。操作系統(tǒng)也是一個(gè)計(jì)算機(jī)程序，任何程序都會(huì)有錯(cuò)誤，操作系統(tǒng)也不例外。（3）操作系統(tǒng)程序的配置不當(dāng)。許多操作系統(tǒng)的默認(rèn)配置安全性很差，進(jìn)行安全配置比較復(fù)雜，并且需要一定的安全知識(shí)，許多用戶并沒(méi)有這方面的能力，如果沒(méi)有正確地配置這些功能，就會(huì)造成一些操作系統(tǒng)的安全缺陷。一、網(wǎng)絡(luò)安全脆弱性的原因3．應(yīng)用軟件的漏洞操作系統(tǒng)給人們提供了一個(gè)平臺(tái)，人們使用最多的還是應(yīng)用軟件，隨著科技的發(fā)展，工作和生活對(duì)計(jì)算機(jī)的依賴性也越來(lái)越大，應(yīng)用軟件也越來(lái)越多，軟件的安全性也變得越來(lái)越重要。應(yīng)用軟件的特點(diǎn)是開(kāi)發(fā)者眾多、個(gè)性化的應(yīng)用、注重應(yīng)用功能，現(xiàn)在許多網(wǎng)絡(luò)攻擊利用了應(yīng)用軟件的漏洞，進(jìn)行網(wǎng)絡(luò)攻擊。一、網(wǎng)絡(luò)安全脆弱性的原因4．人為因素許多公司和用戶的網(wǎng)絡(luò)安全意識(shí)薄弱、思想麻痹，這些人為因素也影響了網(wǎng)絡(luò)的安全性，在網(wǎng)絡(luò)安全管理中，專家們一致認(rèn)為是“30%的技術(shù)，70%的管理”。感謝您的觀看主講崔升廣ThankYOU!網(wǎng)絡(luò)安全的基本要素主講崔升廣一、網(wǎng)絡(luò)安全的基本要素由于網(wǎng)絡(luò)安全受到威脅的多樣性、復(fù)雜性及網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性，在設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的安全時(shí)，應(yīng)該努力達(dá)到安全目標(biāo)。一個(gè)安全的網(wǎng)絡(luò)具有下面五個(gè)特征：保密性、完整性、可靠性、可用性和不可抵賴性。一、網(wǎng)絡(luò)安全的基本要素1．保密性保密性指防止信息額泄漏給非授權(quán)個(gè)人或?qū)嶓w。信息只為授權(quán)用戶使用，保密性是對(duì)信息的安全要求。它是在可靠性和可用性的基礎(chǔ)上，保障網(wǎng)絡(luò)中信息安全的重要手段。對(duì)于敏感用戶信息的保密，是人們研究最多的領(lǐng)域。由于網(wǎng)絡(luò)信息會(huì)成為黑客、計(jì)算機(jī)犯罪、病毒、甚至信息戰(zhàn)的攻擊目標(biāo)，已受到了人們?cè)絹?lái)越多的關(guān)注。一、網(wǎng)絡(luò)安全的基本要素2．完整性完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等操作破壞的特性。它與保密性不同，保密性是防止信息泄漏給非授權(quán)的人，而完整性則要求信息的內(nèi)容順序都不受破壞和修改。用戶信息和網(wǎng)絡(luò)信息都要求完整性，例如涉及金融的用戶信息，如果用戶賬目被修改、偽造或刪除，將帶來(lái)巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)中的網(wǎng)絡(luò)信息一旦受到破壞，嚴(yán)重的還會(huì)造成通信網(wǎng)絡(luò)的癱瘓。一、網(wǎng)絡(luò)安全的基本要素3．可靠性可靠性是網(wǎng)絡(luò)安全最基本的要求之一，是指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定功能的概率。如果網(wǎng)絡(luò)不可靠，經(jīng)常出問(wèn)題，這個(gè)網(wǎng)絡(luò)就是不安全的。目前，對(duì)于網(wǎng)絡(luò)可靠性的研究主要偏重于硬件可靠性方面。研制高可靠性硬件設(shè)備，采取合理的冗余備份措施是最基本的可靠性對(duì)策。但實(shí)際上有許多故障和事故，與軟件可靠性、人員可靠性和環(huán)境可靠性有關(guān)。如人員可靠性在通信網(wǎng)絡(luò)可靠性中起著重要作用。有關(guān)資料表明，系統(tǒng)失效中很大一部分是由人為因素造成的。一、網(wǎng)絡(luò)安全的基本要素4．可用性可用性是網(wǎng)絡(luò)面向用戶的基本安全要求。網(wǎng)絡(luò)最基本的功能是向用戶提供所需的信息和通信服務(wù)，而用戶的通信要求是隨機(jī)的，多方面的，有時(shí)還要求時(shí)效性。網(wǎng)絡(luò)必須隨時(shí)滿足用戶通信的要求。從某種意義上講，可用性是可靠性的更高要求，特別是在重要場(chǎng)合下，特殊用戶的可用性顯得十分重要。為此，網(wǎng)絡(luò)需要采用科學(xué)合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，必要的冗余、容錯(cuò)和備份措施以及網(wǎng)絡(luò)自愈技術(shù)、分配配置和負(fù)擔(dān)分擔(dān)、各種完善的物理安全和應(yīng)急措施等，從滿足用戶需求出發(fā)，保證通信網(wǎng)絡(luò)的安全。安全指網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常的通過(guò)網(wǎng)絡(luò)交流信息。保障運(yùn)行安全，就是通過(guò)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)不安全的因素時(shí)，及時(shí)報(bào)警并采取相應(yīng)措施，消除不安全狀態(tài)以保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)安全的目的是為了確保系統(tǒng)的保密性、完整性和可用性。保密性要求只有授權(quán)用戶才能訪問(wèn)網(wǎng)絡(luò)信息；完整性要求網(wǎng)絡(luò)中的數(shù)據(jù)保持不被意外或惡意地改變；可用性指網(wǎng)絡(luò)中不降低實(shí)用性能的情況下仍能根據(jù)授權(quán)用戶的需要提供資源服務(wù)。一、網(wǎng)絡(luò)安全的基本要素5．不可抵賴性不可抵賴性也稱作不可否認(rèn)性，是面向通信雙方（人、實(shí)體或進(jìn)程）信息真實(shí)的安全要求。它包括收發(fā)雙方均不可抵賴。隨著通信業(yè)務(wù)的不斷擴(kuò)大，電子貿(mào)易、電子金融、電子商務(wù)和辦公自動(dòng)化等許多信息處理過(guò)程都需要通信雙方對(duì)信息內(nèi)容的真實(shí)性進(jìn)行認(rèn)同，為此，應(yīng)采用數(shù)字簽名、認(rèn)證、數(shù)據(jù)完備、鑒別等有效措施，以實(shí)現(xiàn)信息的不可抵賴性。網(wǎng)絡(luò)的安全不僅僅是防范竊密活動(dòng)，其可靠性、可用性、完整性和不可抵賴性應(yīng)作為與保密性同等重要的安全目標(biāo)加以實(shí)現(xiàn)。我們應(yīng)從觀念上，政策上做出必要的調(diào)整，全面規(guī)劃和實(shí)施網(wǎng)絡(luò)信息的安全。感謝您的觀看主講崔升廣ThankYOU!TCP/IP參考模型各層的功能主講崔升廣一、TCP/IP參考模型各層的功能1．網(wǎng)絡(luò)接口層TCP/IP中沒(méi)有詳細(xì)定義網(wǎng)絡(luò)接口層的功能，只是指出通信主機(jī)必須采用某種協(xié)議連接到網(wǎng)絡(luò)上，并且能夠傳輸網(wǎng)絡(luò)數(shù)據(jù)分組。該層沒(méi)有定義任何實(shí)際協(xié)議，只定義了網(wǎng)絡(luò)接口，任何已有的數(shù)據(jù)鏈路層協(xié)議和物理層協(xié)議都可以用來(lái)支持TCP/IP。一、TCP/IP參考模型各層的功能2．網(wǎng)際層網(wǎng)際層又稱互聯(lián)層，是TCP/IP參考模型的第二層，它實(shí)現(xiàn)的功能相當(dāng)于OSI參考模型網(wǎng)絡(luò)層的無(wú)連接網(wǎng)絡(luò)服務(wù)。主要解決主機(jī)到主機(jī)的通信問(wèn)題。它所包含的協(xié)議設(shè)計(jì)數(shù)據(jù)包在整個(gè)網(wǎng)絡(luò)上的邏輯傳輸。注重重新賦予主機(jī)一個(gè)IP地址來(lái)完成對(duì)主機(jī)的尋址，它還負(fù)責(zé)數(shù)據(jù)包在多種網(wǎng)絡(luò)中的路由。該層有三個(gè)主要協(xié)議：網(wǎng)際協(xié)議（IP）、互聯(lián)網(wǎng)組管理協(xié)議（IGMP）和互聯(lián)網(wǎng)控制報(bào)文協(xié)議（ICMP）。IP協(xié)議是網(wǎng)際層最重要的協(xié)議，它提供的是一個(gè)可靠、無(wú)連接的數(shù)據(jù)報(bào)傳遞服務(wù)。也是面向信息的安全要求。它是指信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等操作破壞的特性。它與保密性不同，保密性是防止信息泄漏給非授權(quán)的人，而完整性則要求信息的內(nèi)容順序都不受破壞和修改。用戶信息和網(wǎng)絡(luò)信息都要求完整性，例如涉及金融的用戶信息，如果用戶賬目被修改、偽造或刪除，將帶來(lái)巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)中的網(wǎng)絡(luò)信息一旦受到破壞，嚴(yán)重的還會(huì)造成通信網(wǎng)絡(luò)的癱瘓。一、TCP/IP參考模型各層的功能3．傳輸層傳輸層位于網(wǎng)際層之上，它的主要功能是負(fù)責(zé)應(yīng)用進(jìn)程之間的端到端通信。在TCP/IP參考模型中，設(shè)計(jì)傳輸層的主要目的是在網(wǎng)際層中的源主機(jī)與目的主機(jī)的對(duì)等實(shí)體之間建立用于會(huì)話的端到端連接。該層定義了兩個(gè)主要的協(xié)議：傳輸控制協(xié)