《{企业通用培训}计算机网络安全技术培训讲义PPT46页》由会员分享,可在线阅读,更多相关《{企业通用培训}计算机网络安全技术培训讲义PPT46页(46页珍藏版)》请在金锄头文库上搜索。
1、第9章 计算机网络安全技术,9.1 网络安全概述,9.1.1 网络面临的威胁,1、人为的无意失误,2、人为的恶意攻击,3、网络软件系统的漏洞和后门,4、 病毒感染,5、隐私及机密资料的存储和传输,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,9.1.1 网络安全威胁,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全整体框架(形象图),中国被黑网站一览表,国内外黑客组织,网络病毒,红色代码
2、尼姆达 冲击波 震荡波 ARP病毒 病毒性木马 工行密码盗取 木马 其它后门工具,安全威胁实例,用户使用一台计算机D访问位于网络中心服务器S上的webmail邮件服务,存在的安全威胁: U在输入用户名和口令时被录像 机器D上有key logger程序,记录了用户名和口令 机器D上存放用户名和密码的内存对其他进程可读,其他进程读取了信息,或这段内存没有被清0就分配给了别的进程,其他进程读取了信息 用户名和密码被自动保存了 用户名和密码在网络上传输时被监听(共享介质、或arp伪造) 机器D上被设置了代理,经过代理被监听,安全威胁实例(续),查看邮件时被录像 机器D附近的无线电接收装置接收到显示器发
3、射的信号并且重现出来 屏幕记录程序保存了屏幕信息 浏览邮件时的临时文件被其他用户打开 浏览器cache了网页信息 临时文件仅仅被简单删除,但是硬盘上还有信息 由于DNS攻击,连接到错误的站点,泄漏了用户名和密码 由于网络感染了病毒,主干网瘫痪,无法访问服务器 服务器被DOS攻击,无法提供服务,9.1.2 网络安全的定义,理解角度,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不中断。,个人用户:防止他人侵犯自己的利益和隐私,网络运行和管理者:保证资源安全、抵制黑客攻击,安全保密部门:过滤有害信息、避
4、免机要信息泄露,社会教育和意识形态 :控制网络内容,9.1.3 网络安全的特征,(1)保密性confidentiality:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 (2)完整性integrity:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性availability:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 (4)可控性controllability:对信息的传播及内容具有控制能力。 (5)可审查性:出现的安全问题时提供
5、依据与手段,9.1.4 影响网络安全的主要因素(1),网络的缺陷 因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。 例如:多数底层协议为广播方式,多数应用层协议为明文传输,缺乏保密 与认证机制,因此容易遭到欺骗和窃听 软件及系统的“漏洞”及后门 随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我
6、们常用的操作系统,无论是Windows 还是UNIX 几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一,影响网络安全的主要因素(2),黑客的攻击 黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20 多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力”强的
7、特点,构成了网络安全的主要威胁。 网络普及,安全建设滞后 网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意识不强,即使应用了最好的安全设备也经常达不到预期效果,9.2 网络安全保障体系,安全管理与审计,物理层安全,网络层安全,传输层安全,应用层安全,链路层 物理层,网络层,传输层,应用层 表示层 会话层,审计与监控 身份认证 数据加密 数字签名 完整性鉴别 端到端加密 访问控制 链路加密 物理信道安全 物理隔离,访问控制 数据机密性 数据完整性,用户认证 防抵赖 安全审计,网络安全层次,层次 模型,网络安全技术,实现安全目标,用户 安全,服务可用,9.2 网络安全机制,安全机制可分
8、为两类 :安全服务与安全系统管理,2、网络安全技术,1、 安全机制,9.2.1 物理隔离,主要分两种: 双网隔离计算机 物理隔离网闸,双网隔离计算机,解决每人2台计算机的问题 1台计算机,可以分时使用内网或外网 关键部件 硬盘 网线 软盘/USB/MODEM等 共享部件 显示器 键盘/鼠标 主板/电源 硬盘* 原理 切换关键部件,简单双网隔离计算机,外网硬盘,内网硬盘,外网网线,内网网线,公共部件,控制卡,控制开关,复杂双网隔离计算机,内网硬盘,外网网线,内网网线,公共部件,控制卡,远端设备,使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分 充分使用UTP中的8芯,减少一根网线,物理隔离网闸的
9、基本原理,采用数据“摆渡”的方式实现两个网络之间的信息交换 在任意时刻,物理隔离设备只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,反之亦然。 任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离设备。物理隔离设备在网络的第7层讲数据还原为原始数据文件,然后以“摆渡文件”形式传递原始数据。,物理隔离实现基本原理(1),物理隔离实现基本原理(2),内外网模块连接相应网络实现数据的接收及预处理等操作; 交换模块采用专用的高速隔离电子开关实现与内外网模块的数据交换,保证任意时刻内外网间没有链路层连接; 数据只能以专用数据
10、块方式静态地在内外网间通过网闸进行“摆渡”,传送到网闸另一侧; 集成多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换。,物理隔离技术的应用,涉密网和非涉密网之间,物理隔离技术的优缺点,优点: 中断直接连接 强大的检查机制 最高的安全性 缺点: 对协议不透明,对每一种协议都要一种具体的实现 效率低,9.2.2 防火墙技术,防火墙的概念和功能,1、防火墙的概念 :防火墙是设置在不同网络或网络安全域之间的一系列部件的组合,它是建立在两个网络或网络安全域边界上的实现安全策略和网络通信监控的系统或系统集,,它强制执行对内部网络(如校园网)和外部网络(如Internet
11、)的访问控制,是不同网络或网络安全域之间的唯一出入口,并通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流,实现保护内部网络的目的。,9.2.2 防火墙技术,防火墙的概念和功能,强化网络安全策略,对网络存取和访问进行监控审计,防止易受攻击的服务,防止内部信息的外泄,防火墙的类型,总体分为两大类:包过滤型防火墙、应用代理型防火墙,包过滤型:,应用代理型:,不能防范绕过防火墙的攻击,不能防止数据驱动式攻击。,难以避免来自内部的攻击。,防火墙的缺陷,一般的防火墙不能防止受到病毒感染的软件或文件的传输。,9.2.3 网络病毒防护,网络病毒 病毒是一种寄生在普通程序中、且能够将自身复制到其他程
12、序、并通过执行某些操作,破坏系统或干扰系统运行的“坏”程序。,网络传播途径:文件下载(浏览或FTP下载) 电子邮件(邮件附件),9.2.3 网络病毒防护,网络病毒的特点,1、传染方式多 2、传染速度快 3、清除难度大 4、破坏性强 5、针对性强 6、激发形式多样,9.2,3 网络病毒防护,常见的网络病毒,1、电子邮件病毒 2、Java程序病毒 3、ActiveX病毒 4、网页病毒,9.2.3 网络病毒防护,9.2.3 网络病毒的防治,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品,9.2.4 入侵检测技术 (第二防线),9.2.4.1 入侵者常用手段,1、 信息收集,2、
13、对系统安全薄弱点的探测,3、 网络攻击,SNMP、TraceRout程序、Whois服务、DNS服务、Finger协议、Ping实用程序,利用自编的程序 利用公开的工具,目标系统中安装探测软件 在受损系统中获得访问权,9.2.4 入侵检测技术(第二防线),9.2.4.2 入侵防范措施,选用安全的密码,并经常修改密码; 应及时取消调离或停止工作的雇员帐号,及无用帐号; 实施存取控制措施; 确保数据的安全性和完整性;原有数据要和现行数据保持完全一致。 安装防火墙或入侵检测系统,及时发现并阻止入侵行为。 个人其它防范措施 :使用不同密码、不透露个人信息,9.2.5 访问控制(1),广义的访问控制功能
14、包括鉴别、授权和记账等 鉴别(Authentication):辨别用户是谁的过程。 授权(Authorization)对完成认证过程的用户授予相应权限,解决用户能做什么的问题。在一些访问控制的实现中,认证和授权是统一在一起的 记账(Accounting);统计用户做过什么的过程,通常使用消耗的系统时间、接收和发送的数据量来量度。 Tacacs、Tacacs+、Radius等技术能实现这三种功能。,9.2.5 访问控制(2),RADIUS协议 针对远程用户Radius(Remote Authentication Dialin User service)协议,采用分布式的Client/Server
15、结构完成密码的集中管理和其他访问控制功能;网络用户(Client)通过网络访问服务器(NAS)访问网络,NAS同时作为Radius结构的客户端,认证、授权和计帐的3A功能通过NAS和安全服务器(Secutity Server)或Radius服务器之间的Radius协议过程完成,而用户的控制功能在NAS实现。,访问控制(3),TACAS协议 TACACS (Terminal Access Controller Access Control System-终端访问控制系统)是历史上用于UNIX系统的认证协议,它使远程访问服务器将用户的登录信息发送到认证服务器以确定用户是否可以访问给定系统。TACA
16、CS对数据并不加密,因此它的安全性要差一些,针对这种情况,又设计了TACACS+和RADIUS协议。,访问控制(4),TACACS+协议 由Cisco公司提出,在此协议中,当用户试图登录时,NAS将询问安全服务做什么,安全服务器通常知NAS输入用户名和密码,然后,发送接受或拒绝响应信息给NAS。用户登录进入之后,对于每一条用户输入的命令,NAS都将提请安全服务器进行授权。,访问控制(5),TACACS+协议的应用,9.2.6 数据加密概述,9.2.6 数据加密技术 (最后防线),数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。,只有指定的用户和网络设备才能解译加密数据,从根本上解决网络安全的两大主要需求,即网络服务的可用性和信息的完整性。,9.2.6 密码技术的基本概念,9.2.6 数据加密技术 (最后防线),密码技术是网络信息安全与保密的核心和关键。通过密码
