《{安全生产管理}7网络安全》由会员分享,可在线阅读,更多相关《{安全生产管理}7网络安全(51页珍藏版)》请在金锄头文库上搜索。
1、第7章 计算机网络安全技术,郑州工业应用技术学院,本章内容,网络安全管理,网络安全概述,棱镜门(斯诺登事件),棱镜计划(PRISM);是一项由美国国家安全局自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”。 英国卫报和美国华盛顿邮报2013年6月6日报道,美国国家安全局(NSA)和联邦调查局(FBI)于2007年启动了一个代号为“棱镜”的秘密监控项,显示NSA和FBI直接接入微软、谷歌、苹果、Facebook、雅虎等9家网络巨头的中心服务器,可以实时跟踪用户电邮、聊天记录、视频、音频、文件、照片等上网信息,全面监控特定目标及其联系人的一举一动,Stuxnet(震
2、网),震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。 作为世界上首个网络“超级破坏性武器”Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭受攻击的重灾区,60%的个人电脑感染了这种病毒。而且进入了伊朗的核电站,控制了离心机的控制系统,修改了很多参数,导致伊朗核浓缩两三年没有进展。,随着计算机网络的发展,网络在给我带来便捷的同时,网络中的安全问题也日趋严重。,7.1 网络安全,网络安的全(ISO)定义: 为数据处理系统建立和采取的技术与管理方面的安全保护,保护计算机硬件、软
3、件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。,7.1.1 网络安全面临的威胁,计算机网络上的通信面临以下两大类威胁:被动攻击和主动攻击。,被动攻击 截获:指攻击者从网络上窃听他人的通信内容。 在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU,以便了解所交换的数据的某种性质。但不干扰信息流。 这种被动攻击又称为流量分析 。,主动攻击主要有: (1) 篡改故意篡改网络上传送的报文。这种攻击方式有时也称为更改报文流。 (2) 恶意程序种类繁多,对网络安全威胁较大的主要包括:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。 (3) 拒绝服务指攻击者向互联网上的某个
4、服务器不停地发送大量分组,使该服务器无法提供正常服务,甚至完全瘫痪。,7.1.2 网络攻击方法, 密码破解 密码破解即设法得到合法用户的密码获得访问授权。 破解方法: 猜测法:使用字典攻击,从密码数据库逐一取出密码尝试。 设法偷取密码:截获密码破译或者使密码保护失效。, 网络监听 网络监听通过工具获取想要的密码和其他信息。监听方法就是将网络接口设置在监听模式,源源不断截取网络上传输的信息。 网络监听可以在网络任何一个位置实施。, 拒绝服务攻击 拒绝服务攻击网络攻击者(黑客)采用具有破坏性的方法阻塞目标网络的资源,使系统没有剩余资源给其他用户使用。 拒绝服务攻击问题也一直得不到合理的解决,究其原
5、因是因为网络协议本身的安全缺陷。 攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。,网络协议本身的安全缺陷: 目前的互联网络所采用的主流协议TCP/IP,由于在其设计初期人们过分强调其开发性和便利性,没有仔细考虑其安全性,因此很多的网络协议都存在严重的安全漏洞,给Internet留下了许多安全隐患。另外,有些网络协议缺陷造成的安全漏洞还会被黑客直接用来攻击受害者系统。,分布式拒绝服务 DDoS,若从互联网上的成百上千的网站集中攻击一个网站,使网络过载而崩溃,则称为分布式拒绝服务
6、DDoS (Distributed Denial of Service)。 有时也把这种攻击称为网络带宽攻击或连通性攻击。,黑客,黑客是一个中文词语,皆源自英文hacker,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,现在很多时候成为网络攻击者的代名词。,Kevin Mitnick 凯文米特尼克,凯文米特尼克是世界上最著名的黑客之一,第一个被美国联邦调查局通缉的黑客。 1979年,15岁的米特尼克和他的朋友侵入了北美空中防务指挥系统。,1983年,19岁凯文米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的的电脑,而被判
7、在加州的青年管教所管教了6个月。 1988年,凯文米特尼克被执法当局逮捕,原因是:DEC指控他从公司网络上盗取了价值100万美元的软件,并造成了400万美元损失。,莫里斯蠕虫(Morris Worm),时间 1988年 肇事者 罗伯特塔潘莫里斯, 美国康奈尔大学学生,其父是美国国家安全局安全专家 机理 利用sendmail, finger 等服务的漏洞,消耗CPU资源,拒绝服务 影响 Internet上大约6000台计算机感染,占当时Internet 联网主机总数的10%,造成9600万美元的损失 黑客从此真正变黑,黑客伦理失去约束,黑客传统开始中断。,2001年中美黑客大战,事件背景和经过
8、中美军机南海4.1撞机事件为导火线 4月初,以PoizonB0 x、pr0phet为代表的美国黑客组织对国内站点进行攻击,约300个左右的站点页面被修改 4月下旬,国内红(黑)客组织或个人,开始对美国网站进行小规模的攻击行动,4月26日有人发表了 “五一卫国网战”战前声明,宣布将在5月1日至8日,对美国网站进行大规模的攻击行动。 各方都得到第三方支援 各大媒体纷纷报道,评论,中旬结束大战,中经网数据有限公司,中国科学院心理研究所,国内某政府网站,国内某大型商业网站,美国劳工部网站,美国某节点网站,美国某大型商业网站,美国某政府网站,黑客对网络攻击的影响: 通过窃听等方式截获信息造成信息泄漏或丢
9、失。 恶意增加修改数据,破坏数据完整性。 拒绝服务攻击,不断对网络服务系统干扰,改变其正常作业流程。 利用网络传播病毒。,黑客攻击手段: 获取口令 (截获、破解) 放置特洛伊木马,侵入用户电脑。 网络监听。 系统漏洞。 窃取特权。, 程序攻击 利用危险程序对系统攻击,从而控制或破坏系统的目的。 病毒 特洛伊木马 后门,病毒 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。 计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。,计算机病毒是一个程序,一段可执行码。 具
10、有自我繁殖、互相传染以及激活再生等生物病毒特征。 计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。,特洛伊木马 一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。 植入对方电脑的是服务端,运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如实时通信软件密码等),黑客甚至可以利用这些打开的端口进入电脑系统。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。,后门 后门
11、程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。 在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在发布软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。, 欺骗攻击 欺骗攻击实质上就是一种冒充身份通过认证骗取信任的攻击方式。攻击者针对认证机制的缺陷,将自己伪装成可信任方,从而与受害者进行交流,最终攫取信息或是展开进一步攻击。,目前比较流行的欺骗攻击有: IP欺骗:使用其他计算机的IP来骗取连接,获得信息或者得到特权; 电子邮件欺骗:电子邮件发送方地址的欺骗; DNS欺骗:域名与IP
12、地址转换过程中实现的欺骗; Web欺骗:创造某个万维网网站的复制影像,从而达到欺骗网站用户目的的攻击。,7.2 网络安全管理,网络管理: 监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称,目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。,7.2.1 防火墙,防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施访问控制策略。 访问控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。 防火墙内的网络称为“可信的网络”(trusted network),而将外部的因特网称为“不可信的网络”(untrust
13、ed network)。 防火墙可用来解决内联网和外联网的安全问题。,防火墙在互连网络中的位置,内联网,可信的网络,不可信的网络,分组过滤 路由器,分组过滤 路由器,应用网关,外局域网,内局域网,防火墙,互联网,防火墙的里面,防火墙的外面,防火墙的功能,防火墙的功能有两个:阻止和允许。 “阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。 “允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。,防火墙技术一般分为两类,分组过滤路由器 是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转
14、发或者丢弃(即过滤)。过滤规则基于分组的网络层或运输层首部的信息,例如:源/目的 IP 地址、源/目的端口、协议类型(TCP 或 UDP)等。 分组过滤可以是无状态的,即独立地处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态,并根据这些状态信息来决定是否转发分组。,应用网关也称为代理服务器(proxy server) 它在应用层通信中扮演报文中继的角色。 一种网络应用需要一个应用网关,例如 万维网缓存就是一种万维网应用的代理服务器。 在应用网关中,可以实现基于应用层数据的过滤和高层用户鉴别。 所有进出网络的应用程序报文都必须通过应用网关。 应用网关也有一些缺点: 首先,每种应
15、用都需要一个不同的应用网关。 其次,在应用层转发和处理报文,处理负担较重。 另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。,7.2.2 入侵系统检测,防火墙试图在入侵行为发生之前阻止所有可疑的通信。 入侵检测系统 IDS (Intrusion Detection System)能够在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。,IDS 对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于 IDS 的“误报”率通常较高,多数情况不执行自动阻断)。 IDS 能用于检测多种网络攻击,包
16、括网络映射、端口扫描、DoS 攻击、蠕虫和病毒、系统漏洞攻击等。,两种入侵检测方法,基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。 这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。 基于特征的 IDS 只能检测已知攻击,对于未知攻击则束手无策。,两种入侵检测方法,基于异常的 IDS 通过观察正常运行的网络流量,学习正常流量的统计特性和规律。当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。,至今为止,大多数部署的 IDS 主要是基于特征的,尽管某些 IDS 包括了某些基于异常的特性。,7.2.3 数据加密技术,密码技术是保障信息安全的核心技术。加密指改变数据的表现形式,使之成为没有正确密钥任何人都无法读懂的密文。加密旨在对第三者保密,只让特定的人能解读密文。,为了读懂报文,密文必须重新转变为明文。而含有数学方式以用来转换报文的双重密码就是密钥。如图所示。对一般人而言,即使获
