《[高中教育]第11章计算机网络安全》由会员分享,可在线阅读,更多相关《[高中教育]第11章计算机网络安全(38页珍藏版)》请在金锄头文库上搜索。
1、第11章 计算机网络安全,11.1 概述 11.2 网络黑客攻击 11.3 网络安全解决方案,11.1 概述,11.1.1计算机网络安全的定义 网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管
2、理。,11.1.2 网络安全的内容,计算机网络的安全性问题实际上包括两方面的内容:一是网络的系统安全。二是网络的信息安全。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以定义为:保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务;后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。 一个安全的计算机网络应该具有以下几个特点:1. 可靠性;2. 可用性;3. 保密性;4. 完整性;5. 不可抵赖性(不可否认性 ). 概括起来讲,网络信息安全就是通过计算机技术、通信技术、密码技术和安全技术保护在公用网络
3、中存储、交换和传输信息的可靠性、可用性、保密性、完整性和不可抵赖性的技术。,11.1.2 网络安全的内容,从技术角度看,网络安全的内容大体包括4个方面: 1. 网络实体安全 如机房的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的的安装及配置等。 2. 软件安全 如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改,不受病毒的侵害等。,11.1.2 网络安全的内容,3. 网络数据安全 如保护网络信息的数据安全不被非法存取,保护其完整一致等。 4. 网络安全管理 如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析
4、等内容。 由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证计算机网络自身的安全性为目标。,11.1.3 计算机网络面临的威胁,计算机网络上的通信面临的威胁主要包括: (1)截获,攻击者从网络上窃听信息。 (2)中断,攻击者有意中断网络上的通信。 (3)篡改,攻击者有意更改网络上的信息。 (4)伪造,攻击者使假的信息在网络上传输 上述的四种威胁可以分为两类:即被动攻击和主动攻击。其中截获信息被称为被动攻击,攻击者只是被动地观察和分析信息,而不干扰信息流,一般用于对网络上传输的信息内容进行了解。中断
5、、篡改和伪造信息被称为主动攻击,主动攻击对信息进行各种处理,如有选择的更改、删除或伪造等。,11.1.4 网络不安全的原因,网络不安全的原因是多方面的,主要包括: 第一,是来自外部的不安全因素,即网络上存在的攻击。在网络上,存在着很多的敏感信息,有许多信息都是一些有关国家政府的、军事的、科学研究的、经济的以及金融方面的信息,有些别有用心的人企图通过网络攻击的手段截获信息。 第二,是来自网络系统本身的,如网络中存在着硬件、软件、通信、操作系统或其它方面的缺陷与漏洞,给网络攻击者以可乘之机。这是黑客能够实施攻击的根本,也是一些网络爱好者利用网络存在的漏洞,编制攻击程序的练习场所。,11.1.4 网
6、络不安全的原因,第三,是网络应用安全管理方面的原因,网络管理者缺乏网络安全的警惕性,忽视网络安全,或对网络安全技术缺乏了解,没有制定切实可行的网络安全策略和措施。 第四,是网络安全协议的原因。在互联网上使用的协议是TCP/IP,其IPv4版在设计之初没有考虑网络安全问题,从协议的根本上缺乏安全的机制,这是互联网存在安全威胁的主要原因 。,11.1.5 网络安全措施,1. 在安全监测和评估方面,包括网络、保密性以及操作系统的检测与评估。网络操作系统的检测与评估又是首要的,国际上目前主要参照美国计算机中心于1983年(后来多次修订)发表的可信任计算机标准评价准则(简称TCSEC),把计算机操作系统
7、分为4个等级(A、B、C、D)和8个级别,D级最低,A级最高。一般的操作系统的安全都处于D与A级之间,例如著名的Unix操作系统属于C1级。 2. 在安全体系结构方面目前主要参照ISO于1989年制定的OSI网络安全体系结构,包括安全服务和安全机制,主要解决网络信息系统中的安全与保密问题。,11.1.5 网络安全措施,OSI加密机制主要包括加密机制、数字签名机制、访问控制机制、数据完整性机制、交换鉴别机制、业务流量填充机制、路由控制机制和公证机制等。加密机制是提供数据保密最常用的方法。数字签名机制是防止网络通信中否认、伪造、冒充和篡改的常用方法之一。 3. 安全管理可以分为技术管理和行政管理两
8、方面。技术管理包括系统安全管理、安全服务管理、安全机制管理、安全事件处理、安全审计管理、安全恢复管理和密钥(以后介绍)管理等。行政管理的重点是设立安全组织机构、安全人事管理和安全责任管理与监督等。,11.1.6 网络安全策略,网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息,一般来说,安全策略包括两个部分:一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想,而具体的规则用于说明什么活动是被允许的,什么活动是被禁止的。 1. 网络安全策略的等级 网络安全策略可分为以下4个等级: (1)不把内部网络和外部网络相连,因此一切都被禁止。 (2)除那些被明确允
9、许之外,一切都被禁止。 (3)除那些被明确禁止之外,一切都被允许。 (4)一切都被允许,当然也包括那些本来被禁止的。,11.1.6 网络安全策略,2. 网络安全策略的内容 一个好的网络安全性策略应包括如下内容: (1)网络用户的安全责任 (2)系统管理员的安全责任 (3)正确利用网络资源 (4)检测到网络安全问题时的对策,11.1.6 网络安全策略,3. 网络安全策略 网络安全管理主要是配合行政手段,从技术上实现安全管理,从范畴上讲,涉及四个方面:物理安全策略、访问控制策略: 入网访问控制、 网络的权限控制、 目录级安全限制、 属性级安全控制、 网络服务器安全控制、 网络监测和锁定控制、 网络
10、端口和节点的安全控制、 防火墙控制;信息加密策略、网络安全管理策略。,11.2 网络黑客攻击,11.2.1 黑客 黑客是英文hacker的译音,原意为热衷于电脑程序的设计者,指对于任何计算机操作系统的奥秘都有强烈兴趣的人。黑客大都是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在,他们不断追求更深的知识,并公开他们的发现,与其它人分享,并且从来没有破坏数据的企图。黑客在微观的层次上考察系统,发现软件漏洞和逻辑缺陷。他们编程去检查软件的完整性。黑客出于改进的愿望,编写程序去检查远程机器的安全体系,这种分析过程是创造和提高的过程。,11.2 网络黑客攻击,黑客指利用通
11、信软件通过网络非法进入他人系统,截获或篡改计算机数据,危害信息安全的电脑入侵者。黑客们通过猜测程序对截获的用户账号和口令进行破译,以便进入系统后做更进一步的操作。黑客攻击的步骤包括以下步骤: 1收集目标计算机的信息 2寻求目标计算机的漏洞和选择合适的入侵方法 3. 留下“后门” 4. 清除入侵记录,11.2.2 扫描,扫描是网络攻击的第一步,通过扫描可以直接截获数据包进行信息分析、密码分析或流量分析等。通过扫描查找漏洞如开放端口、注册用户及口令、系统漏洞等。 扫描有手工扫描和利用端口扫描软件。手工扫描是利用各种命令,如Ping、Tracert、 Host等。使用端口扫描软件是利用扫描器进行扫描
12、。 常用的扫描器软件有: 1. PorScan;2SATAN;3网络安全扫描器NSS; 4Strobe。,11.2.3 Sniffer,Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令。,1网络技术与设备简介,数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,
13、不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。 在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。,2网络监听原理,Sniffor程
14、序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱(promiscuous)模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。并绕过标准的TCPIP堆栈,所以网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户
15、的身份进人了系统,那么不可能唤探到root的密码,因为不能运行Sniffer,3 Snifffer的分类,Sniffer分为软件和硬件两种,软件的Sniffer有 NetXray、Packetboy、Net monitor等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。,11.2.4 特洛伊木马,“特洛伊木马”(trojan horse)简称“木马”,是一种计算机程序,它驻留在目标计算机里。在目标计算机系统启动的时候,自然启动,并在某一端口
16、进行侦听。如果在该端口收到数据,对这些数据进行识别,然后按识别后的命令,在目标计算机上执行一些操作,比如,窃取口令,拷贝或删除文件或重新启动计算机,特洛伊木马隐藏着可以控制用户计算机系统,危害系统安全的功能,它可能造成用户资料泄漏,破坏或使整个系统崩溃。,11.2.5 常见的黑客攻击方法,1. 口令攻击 2. 拒绝服务的攻击 3. 网络监听 4. 缓冲区溢出 5. 电子邮件攻击 6. 其它攻击方法,11.3 网络安全解决方案,物理层的安全防护:在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。 链路层安全保护:主要是链路加密设备对数据加密保护。它对所有用户数据一起加密,用户数据
17、通过通信线路送到另一节点后解密。 网络层和安全防护:网络层的安全防护是面向IP包的。网络层主要采用防火墙作为安全防护手段,实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护。在网络层也可实施相应的入侵检测。,11.3 网络安全解决方案,传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层也支持多种安全服务:对等实体认证服务、访问控制服务、数据保密服务、数据完整服务、数据源点认证服务等。 应用层的安全防护:应用层的安全防护:原则上讲所有安全服务均可在应用层提供。在应用层可以实施强大的基于用户的身份认证。在应用层也是实施数据加密,访问控制的理想位置。在应用层还可加强数据的备份和恢复措施,
