《网络安全基础知识ppt课件》由会员分享,可在线阅读,更多相关《网络安全基础知识ppt课件(67页珍藏版)》请在金锄头文库上搜索。
1、网路安全及黑客攻防,制作人:王明辉,第一.课程简介,计算机网络安全基础:包括信息安全、网络安全、病毒、黑客以及基本网络技术等。 基本的黑客攻击技术:包括基本命令、扫描、监听、入侵、后门、隐身、恶意代码等。 基本的防御技术:包括系统安全、加密、防火墙、隔离闸、入侵检测、IP安全、Web安全等。目的是使同学们可以进一步了解网络基本知识,掌握初步的黑客攻击技术,提高网络安全意识。,引入,研究网络安全的意义?,不只为了个人信息和数据的安全,网络安全已经渗透到社会各个领域,甚至影响到国家的政治、经济、军事等。,网络安全与政治,2011年8月国家互联网应急中心披露,全国有十分之一的政府部门网站(电子政务工
2、程)遭遇黑客篡改,其中包括国防部、水利部、国土资源部、最高人民检察院等。 2010年9月江西宜黄发生拆迁自焚事件, 18日宜黄政府网站遭遇黑客攻击,出现“放了钟如九”的字样,当地政府只能暂时关闭网站。,知识链接电子政务工程,“一站两网四库十二金” 一站:政府门户网站:http:/ 两网:指政务内网和政务外网 四库:人口、法人单位、地理空间和自然资源、宏观经济等四个基础数据库 十二金:办公业务资源系统、金关、金税和金融监督(含金卡)、宏观经济管理、金财、金盾、金审、社会保障、金农、金质和金水等12个业务系统。,网络安全与经济,利用计算机网络实施金融犯罪已经渗透到了我国金融行业的各项业务。 200
3、3年,甘肃省一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。 电线杆上随处可见的“代理抓肉鸡”广告。,网络安全与社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。 99年4月河南商都热线一个BBS,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提了十多亿。 我国计算机犯罪的增长速度超过了传统的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后来就没有办法统计了。,网络安全与军事,在第二次世界大战中,美国破译了日本人的密码,将日
4、本的舰队几乎全歼,重创了日本海军。 目前的军事战争更是信息化战争,下面是美国三位知名人士对目前网络的描述。 美国著名未来学家阿尔温托尔勒说过“谁掌握了信息,控制了网络,谁将拥有整个世界。 美国前总统克林顿说过“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家”。,学习目标,了解网络安全的基本知识 6课时 熟悉常用网络安全攻击技术 12课时 熟悉常用网络安全防御技术 12课时,学习完本课程,您应该能够:,Part1计算机网络安全基础,第一讲 信息安全概念 信息安全目标CIA 信息安全的发展 信息安全研究内容及关系 网络安全概念 网络安全的威胁 网络安全的层次 网络安全的研究内容
5、 网络安全的模型 网络信息安全立法,1 信息安全概念,信息化:根据最新公布的2006-2020国家信息化发展战略,信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,实现国家现代化。 信息化6要素:开发利用信息资源,建设国家信息网络,推进信息技术应用,发展信息技术和产业,培育信息化人才,制定和完善信息化政策。,数字化:是将各种形式的信息转变为可以度量的数据,再把数据建立起适当的数字化模型,把它们转变为一系列二进制代码,引入计算机内部,进行统一处理,这就是数字化的基本过程。如数码相机、数字电视。 数字化优点:便于存储、加工、处理、传输。,广义上,信息安全是保证信息各环节的安全性。
6、它是一门涉及计算机技术、网络技术、通信技术、密码技术、数论、信息论、法律、心理学等多种学科的综合性学科。 狭义上,信息安全是指信息网络的硬件、软件及其数据受到保护,不遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。,2信息安全目标CIA,完整性Integrity,保密性Confidentiality,可用性Availability,信息安全目标CIA,保密性Confidentiality:保证信息不被非授权访问和即使非授权用户得到信息也无法知晓信息内容。 (访问控制、数据加密等安全措施) 完整性Integrity:维护信息的一致性,即信息在生成、传输、存储和使用过程中不被非授权篡
7、改。 (消息摘要算法等安全措施) 可用性Availability:保障信息资源随时可提供服务的能力特性,合法用户在需要的时候,可以正确使用需要的信息,而不遭拒绝。,3信息安全的发展,计算机信息系统安全模型和计算机安全评价准则。,开发了很多网络环境下的信息安全与防护技术,开发了网络加密、认证、数字签名。,提出了信息保障的PDRR模型,通信保密阶段,发展各种密码算法,单机系统的信息保密阶段,网络信息安全阶段,信息保障阶段,知识链接美国可信计算机安全评价标准TCSEC,美国国防部开发的计算机安全标准可信任计算机标准评价准则(Trusted Computer Standards Evaluation
8、Criteria:TCSEC),也是网络安全橙皮书。 自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。,D级-低级保护:是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。属于这个级别的操作系统有:DOS和Windows98等。,C1-自主安全保护:又称选择性安全保护. 有某种程度的保护,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。早期的UNIX系统属于该级别。,C2-受控存储控制:使用附加身份验证,系统用
9、户在不是超级用户的情况下有权执行系统管理任务。能够达到C2级别的常见操作系统有: Unix系统 Novell 3.X或者更高版本 Windows NT、Windows 2000和Windows 2003,B1-标志安全保护:处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。AT&T System V 属于该级别。,B2结构化保护:它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。可信任的Xenix系统属于该级别。 B3-安全
10、区域:使用安装硬件的方式来加强域的安全,例如内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。Honeywell Federal Systems XTS-200系统属于该级别。,A级-验证设计级别(Verified Design):是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性。设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。,安全级别与通常计算机系统对比图,ms-dos、 Windows 98,早期的UNIX 系统,Windows NT、 2003 、lin
11、ux、 UNIX,可信任的Xenix系统,AT&T System V,Honeywell Federal Systems XTS-200,知识链接其他评价标准,知识链接信息保障PDRR模型,Protect,Detect,React,Restore,4信息安全研究内容及关系,6网络安全概念,计算机网络环境下的信息安全。,网络不安全的原因 自身缺陷+开放性+安全意识+黑客攻击,7网络安全的威胁,截获从网络上窃听他人的通信内容。 中断有意中断他人在网络上的通信。 篡改故意篡改网络上传送的报文。 伪造伪造信息在网络上传送。,安全威胁既可以是来源于外部的,也可以是来源于内部的,安全防御往往是从内部被攻破
12、的。,33/,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,只对信息进行监听而不修改,对信息进行故意修改,安全的威胁的分类,8网络安全的层次,先了解计算机网络的体系结构:将复杂网络通讯过程采取模块化处理方式-分层结构,每一层完成一个相对简单的特定功能,通过各层协调来实现整个网络通信功能。 OSI/RM模型、TCP/IP模型,邮政系统的分层结构,各层功能明确,且相互独立易于实现。 各层之间通过接口提供服务,各层实现技术的改变,不会影响其他层。 易于标准化。,分层的优点,OSI/RM体系结构,TCP/IP体系结构,知识链接TCP/IP协议
13、,IP协议是网络层不可靠、无连接的数据报传输服务。 IP数据报传输服务过程: 把从上层来的数据报分组,并封装成一个个IP数据包(报头+数据); 每个IP数据包由中间节点独立选择路由; IP数据包到达目的节点后,组装并交给上层。,IP分组交换示意图,IP地址,思考:主机的标识方法有哪些,分别在什么场合下使用?主机名 MAC地址 IP地址 域名 IP地址-网络层地址,主机在Internet上的标志方法。 IP地址与身份证号码一样,采用数值来表示,用32位二进制表示。 例:11011110101111100110111011100010 分段:11011110 10111110 01101110 1
14、1100010 转化十进制:222 . 190 . 110 . 226,IP地址的结构,32位的IP地址采用网络主机的层次结构. 如下图:,网络标识(网络号)的长度决定整个因特网中能包含多少个网络。主机标识(主机号)的长度决定每个网络能容纳多少台主机。 具有同一个网络位标识的主机能直接通信,不具有相同网络标识的不能直接通信。,IP地址现状,IP地址分配的不均衡性: 1.理论上说,IP地址一共可以有232=42.9亿个,但全球有60多亿的人口,不久的将来IPv4定义的有限地址空间将被逐渐耗尽 。 2.IP 地址没有合理的分配给各个国家和地区,美国占有绝大多数IP地址。美国现有IP地址 12亿左右
15、,平均每个美国人有4个IP地址。中国大约25个中国人1个IP地址(按13亿中国人计算)。美国人均IP地址是我们的一百倍。,目前广泛采用的私有地址、动态地址分配、无类域间路由和子网掩码等地址复用技术,以及收紧地址分配策略等政策手段,节约了大量的IPv4地址资源。 如:内部局域网保留地址 10.X.X.X 172.16.X.X172.31.X.X 192.168.X.X-192.168.X.X,IPv6技术采用128位地址 ,按保守方法估算IPv6实际可分配的地址,整个地球每平方米面积上可分配1000多个地址。,TCP协议,TCP是传输层上端到端的面向连接协议.,TCP建立连接三次握手机制,第一次
16、握手:建立连接时,客户端发送syn包(syn=X)到服务器,并进入SYN_SEND状态,等待服务器确认; 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=X+1),同时自己也发送一个SYN包(syn=Y),即SYN+ACK包,此时服务器进入SYN_RECV状态(SYN=Y,ACK=X+1); 第三次握手:客户端收到服务器的SYNACK包,向服务器发送确认包ACK(ack=Y+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。,知识链接 TCP关闭连接四次挥手机制,TCP的连接是全双工(可以同时发送和接收)连接,因此在关闭连接的时候,必须关闭传和送两个方向上的连接。 1、客户机给服务器一个FIN为1的TCP报文(FIn=1,X) 2、服务器接收FIN报文,并返回给客户端一个确认ACK报文ACK=X+1 3、同时服务器也发送一个FIN报文(FIN=1,Y) 4、客户机接收FIN+ACK报文,并回复ACK报文(ACK=Y+1),连接就结束了。,
