模塊一單元1計算機網絡安全概述

?網絡安全與配置

刻世忠

Tel/p>

E-mail:lsz_80@l63.com

灌坊職業(yè)學院

［本課程的主要內容:

-1、校園網中所受到的各種攻擊的分析

■2、校園網中采用的主要防護技術

-3、校園網中主要工作的操作系統(tǒng)平臺環(huán)

境的配置

■4、校園網中網絡安全工程的管理與實現

模塊一校園網中所受到的

各種攻擊的分析

■單元1、計算機網絡安全概述

■單元2、黑客常用各種攻擊的分析

［單元1計算機網絡安全概述

■1、網絡安全定義

-2、網絡安全的基本要素

-3、信息安全的發(fā)展歷程

■4、網絡安全涉及的內容

■5、網絡安全模型及安全策略

I.問題:

安全是什么?

1、網絡安全的定義

計算機信息系統(tǒng)的安全保護，應當保

障計算機及其相關的和配套的設備、設施

（含網絡）的安全，運行環(huán)境的安全，保

障信息的安全，保障計算機功能的正常發(fā)

揮，以維護計算機信息系統(tǒng)的安全運行。

《計算機信息系統(tǒng)安全保護條例》

j1、網絡安全的定義

從本質上講，網絡安全就是網絡上的信息安

全，是指網絡系統(tǒng)的硬件、軟件和系統(tǒng)中的數

據受到保護，不受偶然的或者惡意的攻擊而遭到

破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，

網絡服務不中斷。

廣義上講，凡是涉及到網絡上信息的保密性、

完整性、可用性、可控性和不可否認性的相關技

術和理論都是網絡安全所要研究的領域。

網絡脆弱性的原因

“INTERNET的美妙之處在于你

和每個人都能互相連接，INTERNET的

可怕之處在于每個人都能和你互相連

接力

網絡脆弱性的原因

?1.開放性的網絡環(huán)境

?2.協(xié)議本身的缺陷

?3.操作系統(tǒng)的漏洞

?4.人為因素

!了解發(fā)生過的網絡安全事件!

問題:

你認為怎樣才能保障安全?

2、網絡安全的要素

保密性一confidentiality

完整性一integrity

可用性一availability

可控性一controllability

不可否認性一Non-repudiation

2、網絡安全的要素

1、機密性：確保信息不暴露給未授權的實體或進程。加

密機制。防泄密

2、完整性：只有得到允許的人才能修改實體或進程，并

且能夠判別出實體或進程是否已被修改。完整性鑒別

機制，保證只有得到允許的人才能修改數據。

訪問控制，消息摘要。防篡改

3、可用性：得到授權的實體可獲得服務，攻擊者不能占

用所有的資源而阻礙授權者的工作。

用訪問控制機制，阻止非授權用戶進入網絡；使靜態(tài)

信息可見，動態(tài)信息可操作。防中斷

?2、網絡安全的要素

［可控性：可控性主要指對危害國家信息（包括利用加

密的非法通信活動）的監(jiān)視審計。控制授權范圍內的

信息流向及行為方式。

使用授權機制，控制信息傳播范圍、內容，必要時能

恢復密鑰，實現對網絡資源及信息的可控性。

5、不可否認性：對出現的安全問題提供調查的依據和手

段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊

者、破壞者、抵賴者“逃不脫”，并進一步對網絡出

現的安全問題提供調查依據和手段，實現信息安全的

可審查性。

一般通過數字簽名來提供不可否認服務。

3、信息安全發(fā)展歷程

■1、通信保密階段

保密性、完整性

■2、計算機安全階段

保密性、完整性和可用性

■3、信息技術安全階段

保密性、完整性、可用性和可控性

■4、信息保障階段

保密性、完整性、可用性、可控性和不可

否認性

&4、網絡安全涉及的內容

管理安全人為核心的策略和管理。

應用安全應用軟件開發(fā)平臺、應用系統(tǒng)。

系統(tǒng)安全操作系統(tǒng)、數據庫系統(tǒng)。

網絡安全網絡運行、網絡訪問控制。

物理安全前提。環(huán)境、設備、媒體。

故事:

矛與盾

網絡安全不是目標，而是過程。

05、網絡安全模型及安全策略

■(1)網絡安全模型

■(2)網絡安全策略

(1)網絡安全模型

完全理想的網絡通信模型

對通信網的攻擊

對通信網的攻擊類型解決方案：

(1).中斷維護、檢修

(2).截獲數據加密

(3).篡改鑒別/認證

(4).偽造鑒別/認證

入侵者(Hacker)的攻擊:

防范措施：防火墻

內部和透過防火墻人員的攻擊:

入侵者

防范措施：入侵檢測系統(tǒng)和安全審計

使用惡意代碼（計算機病毒和木馬）的攻擊:

非法用戶

|EJ<

秘密通道

防范措施：反病毒和木馬技術

網絡安全模型:反病毒技術

S

TD

和

安

全

審

計

任何安全方案都不是萬能的，方案的選擇應在效益和

損失之間尋求一個平衡點，一般的原則是：破壞安全

系統(tǒng)的代價要高于安全系統(tǒng)被破壞后造成的損失。

(2)網絡安全策略

■①網絡安全威脅

■②網絡安全技術現狀

①網絡安全威脅

1目前還沒有統(tǒng)一網絡安全威脅的分類。

常見的網絡安全威脅：

?信息泄露

?破壞信息的完整性

?拒絕服務

?非法使用

?竊聽

?業(yè)務流分析

?假冒

①網絡安全威脅

?旁路控制

?授權侵犯

?木馬

?陷阱門

?抵賴

?重放

?計算機病毒

?業(yè)務欺騙

?人員不慎

②網絡安全技術現狀

■網絡安全技術體系

■網絡安全技術支撐

■主流網絡安全技術

■專業(yè)網絡安全技術

■應用網絡安全系統(tǒng)

■網絡安全管理

■最新發(fā)展

4網絡安全技術體系

系統(tǒng)（主機和備份反病母掃描、評估一安全操作系安

服務器）安全恢復入侵檢測審計分析統(tǒng)全

ft*訪問控制防火墻SET電

管'碼技術網絡隔離PGP子

子網（局域網）網絡監(jiān)控

商

安全技術安全網管

務

通信安全技術PKISSL

VPNHTTPS

網絡安全管理安全法規(guī)安全技術特殊行業(yè)領域的安全管理和

標準法規(guī)和標準規(guī)章制度

、網絡安全支撐技術

力碼、認證、數字簽名和其它各種密碼協(xié)議

統(tǒng)稱為密碼技術。

-數據加密算法標準的提出和應用、公鑰加密思

想的提出是其發(fā)展的重要標志。

-認證、數字簽名和各種密碼協(xié)議則從不同的需

求角度將密碼技術進行延伸。認證技術包括消息

認證和身份鑒別。數字簽名技術可以理解為手寫

簽名在信息電子化的替代技術，主要用以保證數

據的完整性、有效性和不可抵賴性等

I.網絡安全支撐技術

?噂問控制是網絡安全防范和保護的主要技術,它的主

要目的是保證網絡資源不被非法使用和訪問。訪問控

制技術規(guī)定何種主體對何種客體具有何種操作權力。

訪問控制是網絡安全理論的重要方面，主要包括人員

限制、數據標識、權限控制、類型控制和風險分析。

訪問控制技術一般與身份驗證技術一起使用，賦予不

同身份的用戶以不同的操作權限，以實現不同安全級

別的信息分級管理。

?數據和網絡備份、恢復也屬于網絡安全的支撐技術范

圍

卜網絡安全支撐技術

?PKI是一種遵循既定標準的密鑰管理平臺，

它能夠為所有網絡應用提供加密和數字簽

名等密碼服務及所必需的密鑰和證書管理

體系。簡單來說，PKI就是利用公鑰理論和

技術建立的提供安全服務的基礎設施。PKI

技術是信息安全技術的核心，也是電子商

務的關鍵和基礎技術。

&主流網絡安全技術

■防火墻技術是將內部網絡與外部網之間的訪問進行全

面控制的一種機制，一般是由一組設備構成，這些設

備可能包括路由器、計算機等硬件，也可能包含有軟

件，或者同時包含硬件和軟件。這些設備在物理上或

邏輯上將內部網和外部網隔離開來，使得外網和內網

的所有網絡通信必須經過防火墻，從而可以進行各種

的靈活的網絡訪問控制，對內部網進行盡可能的安全

保障，提高內部網的安全性和健壯性防火墻技術是當

前市場上最為流行的網絡安全技術，防火墻已成為網

絡建設的一個基本配置。

主流網絡安全技術

?VPN技術利用不可信的公網資源建立可信的虛擬專

用網，是保證局域網間通信安全的少數可行的方

案之一。VPN既可在TCP/IP協(xié)議族的鏈路層實現

（比如L2F、PPTP等安全協(xié)議），也可在網絡層實

現（IPSec）,其中更多情況下在網絡層實現。

作為最近幾年才興起的網絡安全技術，VPN在國內

的應用也就是最近兩三年的事情，但隨著企業(yè)網

絡用戶的迅速增加，VPN技術有著廣闊的應用前景。

主流網絡安全技術

?入侵檢測技術是一種主動保護自己的網絡和系統(tǒng)

免遭非法攻擊的網絡安全技術。它從計算機系統(tǒng)

或者網絡中收集、分析信息，檢測任何企圖破壞

計算機資源的完整性、機密性和可用性的行為，

即查看是否有違反安全策略的行為和遭到攻擊的

跡象，并做出相應的反應。

h主流網絡安全技術

?反病毒技術是查找和清除計算機病毒的主要技術,

其原理就是在殺毒掃描程序中嵌入病毒特征碼引

擎，然后根據病毒特征碼數據庫來進行對比式查

殺。這種方法簡單、有效，但只適用于已知病毒,

并且其特征庫需要不斷升級。

?網絡隔離技術通過特殊硬件實現鏈路層的斷開，

使得各種網絡攻擊與入侵失去了物理通路的基礎,

從而避免了內部網絡遭受外部攻擊的可能性。

專業(yè)網絡安全技術

系統(tǒng)和網絡的掃描和評估因其可預知主體受攻

擊的可能性、將要發(fā)生的行為和產生的后果，

而受到網絡安全業(yè)界的重視。這一技術的應用

可幫助識別檢測對象的系統(tǒng)資源，分析這一資

源被攻擊的可能指數，了解支撐系統(tǒng)本身的脆

弱性，評估所有存在的安全風險。一些非常重

要的專業(yè)應用網絡，例如銀行，不能承受一次

入侵帶來的損失，對掃描和評估技術有強烈的

需求。

為專業(yè)網絡安全技術

?監(jiān)控和審計是與網絡管理直接掛鉤的技術。監(jiān)控和審

計是通過對網絡通信過程中可疑、有害信息或行為進

行記錄以為事后處理提供依據，從而對計算機網絡犯

罪人員形成一個強有力的威懾和最終達到提高網絡整

體安全性的目的。局域網監(jiān)控系統(tǒng)是網絡監(jiān)控系統(tǒng)中

的一大類。局域網監(jiān)控能夠提供一套較好的內部網行

為監(jiān)控的機制，可以有效阻止來自內網的安全威脅。

不同企事業(yè)單位和性質網絡所提供的服務和業(yè)務之間

差別很大，可能的網絡安全威脅不盡相同，這就需要

網絡監(jiān)控技術針對不同的業(yè)務特性進行具體的監(jiān)控。

網絡監(jiān)控技術的專業(yè)特性很強，不同的局域網監(jiān)控系

統(tǒng)，其功能表現可能完全不同。

、專業(yè)網絡安全技術

?安全套接層協(xié)議(SSL,SecureSocketLayer)是由

Netscape公司1994年設計開發(fā)的安全協(xié)議，主要在傳

輸層提高應用程序之間的數據安全性。SSL協(xié)議的概

念可以被概括為：它是一個保證任何安裝了安全套接

層的客戶和服務器間事務安全的協(xié)議，該協(xié)議向基于

TCP/IP的客戶/服務器應用程序提供了客戶端和服務

器的鑒別、數據完整性及信息機密性等安全服務，目

的是為用戶提供Internet和企業(yè)內聯網的安全通信。

SSL采用了公開密鑰和對稱密鑰兩種加密：在建立連

接過程中采用公開密鑰；在會話過程中使用對稱密鑰。

加密的類型和強度則在兩端之間建立連接的過程中協(xié)

商決定，保證了客戶和服務器間事務的安全性。

1應用網絡安全系統(tǒng)

■安全電子交易協(xié)議(SET,SecurityElectronic

Transaction)是一個通過開放網盈進行安全資金支付的

技術標準，由VISA和MasterCard組織共同制定，于1997年

聯合推出。由于它得到了IBM、HP、Microsoft等很多大公

司的支持，已成為事實上的工業(yè)標準，目前已獲得IETF標

準的認可。

這是一個為Internet上進行在線交易而設立的一個開

放的、以電子貨幣為基礎的電子付款規(guī)范。SET在保留對

客戶信用卡認證的前提下，又增加了對商家身份的認證，

這對于需要支付貨幣的交易來講是至關重要的。SET將建

立一種能在Internet上安全使用銀行卡購物的標準，它能

夠將