《计算机网络 教学课件 ppt 作者孙学军 第10章》由会员分享,可在线阅读,更多相关《计算机网络 教学课件 ppt 作者孙学军 第10章(71页珍藏版)》请在金锄头文库上搜索。
1、第 10 章 网络安全,10.1 计算机网络安全 计算机网络中资源共享和信息安全是一对矛盾,随着计算机资源共享的进一步加强,随之而来的网络安全问题也日益突出。 10.1.1 计算机安全的概念 安全是指这样一种机制:只有被授权的人才能使用其相应的资源。对于计算机安全,目前国际上还没有一个统一的定义。 我国提出的定义:计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常工作。 从技术上讲,计算机安全主要有以下几种: 1. 实体安全 实体安全又称物理安全,主要是指主机、计算机网络硬件设备、各种通信线路和信息存储设备等物理实体造成的信息泄漏、丢失或服务中断
2、。,第 10 章 网络安全,产生的原因: (1)电磁辐射与搭线窃听 (2)盗用 (3)偷窃 (4)硬件故障 (5)超负荷 (6)火灾及自然灾害 2. 系统安全 系统安全是指主机操作系统本身的安全,如系统中用户账号和口令设置、文件和目录存取权限设置、系统安全管理设置、服务程序使用管理等。,第 10 章 网络安全,(1)系统本身安全性不足 (2)未授权的存取 (3)越权使用 (4)保证文件系统的完整性 3. 信息安全 信息安全是指保障信息不会被非法阅读、修改和泄露。主要包括软件安全和数据安全。对信息安全的威胁:信息泄漏和信息破坏。 信息泄漏指由于偶然或人为因素将一些重要信息为别人所获,造成信息泄密
3、。信息破坏则可能由于偶然事故和人为因素故意破坏信息的正确性、完整性和可用性,第 10 章 网络安全,10.1.2 网络安全的概念 计算机网络安全是指网络系统中用户共享的软、硬件等各种资源的安全,防止各种资源不受到有意和无意的各种破坏,不被非法侵用等。 10.1.3 网络安全面临的主要威胁 计算机网络系统的安全威胁来自多方面,可以分为被动攻击和主动攻击两类。 被动攻击:不修改信息内容,如偷听、监视、非法查询、非法调用信息等; 主动攻击:破坏数据的完整性,删除、冒充合法数据或制造假的数据进行欺骗,甚至干扰整个系统的正常运行。 一般认为,黑客攻击、计算机病毒和拒绝服务攻击三个方面是计算机网络系统受到
4、的主要威胁。,第 10 章 网络安全,1. 黑客攻击 是指黑客非法进入网络并非法使用网络资源。例如:通过网络监听获取网络用户的账号和密码;非法获取网络传输的数据;通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;突破防火墙等。 (1)非授权访问 攻击者或非法用户通过避开系统访问控制系统,对网络设备及资源进行非正常使用,获取保密信息。 1)假冒用户 2)假冒主机 IP盗用 IP诈骗 (2)对信息完整性的攻击,第 10 章 网络安全,攻击者通过改变网络中信息的流向或次序,修改或重发甚至删除某些重要信息,使被攻击者受骗,做出对攻击者有意的响应,或恶意增添大量无用的信息,干扰合法用户的正常使用。 2
5、. 计算机病毒 计算机病毒是一种能将自己复制到别的程序中的程序,它会影响计算机的能力,使计算机不能正常工作。计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。 3. 拒绝服务攻击 通过对网上的服务实体进行连续干扰,或使其忙于执行非服务性操作,短时间内大量消耗内存、CPU或硬盘资源,使系统繁忙以致瘫痪,无法为正常用户提供服务,称为拒绝服务攻击。有时,入侵者会从不同的地点联合发动攻击,造成服务器拒绝正常服务,这样的攻击称为分布式拒绝服务攻击。,第 10 章 网络安全,10.1.4 网络系统的安全漏洞 互联网实现资源共享的背后,有很多技术上的漏洞。许多提供使用灵活性
6、的应用软件变成了入侵者的工具。一些网络登录服务,如Telnet,在向用户提供了很大的使用自由和权限的同时,也带来很大的安全问题,为此,需要有复杂的认证方式和防火墙以限制其权限和范围。网络文件系统NFS、文件传输协议FTP等简单灵活的应用也因信息安全问题而在使用时受到限制。网络上明文传输的方便性,同时也为窃听提供了方便。 网络系统的安全漏洞大致可以分为3个方面: 1. 网络漏洞 包括网络传输时对协议的信任以及网络传输的漏洞,比如IP欺骗和信息腐蚀(篡改网络上传播的信息)就是利用网络传输时对IP和DNS的信任。,第 10 章 网络安全,嗅包器(sniff)是长期驻留在网络上的一种程序,利用网络信息
7、明文传送的弱点,可以监视记录各种信息包。由于TCP/IP对所传送的信息不进行数据加密,黑客只要在用户的IP包经过的一条路径上安装嗅包器程序就可以窃取用户的口令。 2. 服务器漏洞 服务进程bug(错误)和配置错误,这些漏洞常被用来获取对系统的访问权,任何对外提供服务的主机都有可能被攻击。 在校园网中存在着许多虚弱的口令,长期使用而不更改,甚至有些系统没有口令,这对网络系统安全产生了严重的威胁。 其他漏洞:访问权限不严格;网络主机之间、甚至超级管理员之间存在着过度的信任;防火墙本身技术的漏洞等。,第 10 章 网络安全,3. 操作系统漏洞 操作系统可能存在安全漏洞,著名的Internet蠕虫事件
8、就是由UNIX的安全漏洞引发的。 此外,在网络管理、人员管理等方面也可能存在一些漏洞,也给不法分子以可乘之机。,第 10 章 网络安全,10.2 网络安全策略 10.2.1 网络安全的内容与要求 随着网络技术和应用的迅速发展,人们对系统安全也提出了新的要求。主要有以下几个方面: 1. 保密性 保密性包含两点: (1)保证计算机及网络系统的硬件、软件和数据只为合法用户服务,可以采用专用的加密线路实现。 (2)由于无法绝对防止非法用户截取网络上的数据,因此必须采用数据加密技术以确保数据本身的保密性。 2. 完整性 完整性是指应确保信息在传递过程中的一致性,即收到的肯定是发出的。,第 10 章 网络
9、安全,3. 可用性 在提供信息安全的同时,不能降低系统可用性。 4. 身份认证 身份认证的目的是为了证实用户身份是否合法、是否有权使用信息资源。 5. 不可抵赖性 不可抵赖性或称不可否认性。通过记录参与网络通信的双方的身份认证、交易过程和通信过程等,使任一方无法否认其过去所参与的活动。 6. 安全协议的设计 协议安全性的保证通常有两种方法:用形式化方法来证明和用经验来分析协议的安全性。,第 10 章 网络安全,7. 存取控制 存取控制也称为访问控制,即对接入网络的权限加以控制,并规定每个用户的接入权限。 10.2.2 网络安全策略 1. 网络安全策略的一般性原则 (1)综合分析网络风险 (2)
10、系统性原则 (3)易操作性原则 (4)灵活性原则 (5)技术与制度,第 10 章 网络安全,2. 制定网络安全策略的方法 在制定网络安全策略时有两种不同的逻辑方式: (1)凡是没有明确表示允许的就要被禁止; (2)凡是没有明确表示禁止的就要被允许。 为了网络的安全与管理,在网络安全策略上往往采用第一种思想方法,明确地限定用户的访问权限与能够使用的服务。这与限定用户在网络访问的“最小权限”的原则相符合,即仅给予用户能完成其任务所需要的最小访问权限和可以使用的服务类型,以方便网络的管理。 3 网络安全策略的层次结构,第 10 章 网络安全,第 10 章 网络安全,10.3 网络安全措施 网络的主要
11、安全措施包括:物理访问控制、逻辑访问控制、组织控制、人员控制、操作控制、应用程序开发控制、服务控制、工作站控制、数据传输保护等。 1. 网络服务器的安全措施 (1)口令管理 (2)用户权限 (3)文件/目录的访问控制 (4)系统配置,第 10 章 网络安全,2. 网络通信安全措施 (1)建立物理安全的传输介质 在网络中使用光纤传送数据可以防止信息被窃取,因为任何对光纤的直接插入都可以被检测出来,而且因为没有电磁辐射而不能通过电磁感应窃取数据。 (2)对传输数据进行加密 保密数据在进行数据通信时应加密,包括链路加密和端到端加密。对传输数据进行加密的算法,例如RSA公用密钥算法。加密文件和公用密钥
12、一起构成“数据信封”,只有接收方的专用密钥才能打开。,第 10 章 网络安全,3. 设置防火墙 防火墙是互联网络上的首要安全技术。防火墙在开放与封闭的界面上构造了一个保护层,以防止不可预料的、潜在的破坏侵入网络,使得网络的安全性得到很好的保证。设置防火墙是目前互联网防范非法进入的有效的方法。在网络的边界设置防火墙,还可减轻网络中其他主机安全防范的负担。虽然仅靠防火墙无法保证网络完全不受外部非法侵入,但它可以明显起到保护隔离作用。 4. 拨号网络安全管理 拨号网络的用户存在着不确定性和广泛性的特点,因此,拨号功能的加入会影响并降低网络的安全性。可以通过以下措施进行网络安全性管理: (1)确认授权
13、用户的身份 可在路由器或登录服务器上采用用户及口令验证。,第 10 章 网络安全,(2)反向拨号 采用反向拨号等方法来检验用户的真实身份。 5. 安全审计 审计是网络安全的一项重要内容,应该在网络服务器中为网络系统中的各种服务项目设置审计日志。经常整理日志的内容可以发现异常,这是防范网络被非法侵入的基本手段之一。要根据网络的规模和安全的需要来确定审计日志的检查方式、检查时间等。 在检查中要特别注意那些违反安全性和一致性的内容,例如不成功的登录、未授权的访问或操作、网络挂起、长期不登录的用户、具有相同的用户名、用户密码的用户和脱离连接及其他规定的动作等。,第 10 章 网络安全,6. 检查系统进
14、程 经常不定期地检查系统进程,能及时发现服务失效的情况,而且还有助于发现攻击者设置的“特洛依木马”等。 7. 物理设备安全与人员安全措施 物理安全性包括机房的安全、网络设备(包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等)的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。 要加强网络管理人员的自身管理,限制特权用户的人数,明确管理人员各自的职能和级别权限。,第 10 章 网络安全,8. 设置陷阱和诱饵 防范网络非法侵入可分为主动方式和被动方式。在被动方式下,当系统安全管理员发现网络安全
15、遭到破坏时,应立即制止非法侵入活动并将入侵者驱逐出去,及时恢复网络的正常工作状态,尽量减少网络可能遭受的危害。 当系统的安全防范能力较强时可采用主动方式:在保证网络资源及各项网络服务不受损害的基础上,让非法入侵者继续活动,追踪入侵者并检测入侵者的来源、目的、非法访问的网络资源等,以取得可追究其责任的证据,减少今后的威胁。,第 10 章 网络安全,10.4 网络防病毒技术 10.4.1 计算机病毒及其危害 1. 计算机病毒的概念 计算机病毒是指进入计算机系统的一段程序或一组指令,它们能在计算机内反复地自我繁殖和扩散,危及计算机系统或网络的正常工作,造成不良后果,最终使计算机系统或网络发生故障乃至
16、瘫痪。 这种现象与自然界病毒在生物体内部繁殖、相互传染、最终引起生物体致病的过程极为相似,所以人们形象地称之为“计算机病毒”。,第 10 章 网络安全,最常见的病毒类型: (1)Boot区病毒 (2)感染文件的病毒 (3)多形体病毒 (4)隐含性病毒 (5)编码病毒 (6)蠕虫病毒 (7)特洛伊木马病毒 (8)定时炸弹 (9)逻辑炸弹 (10)宏病毒,第 10 章 网络安全,2. 计算机病毒对网络的危害 不断发展的网络使终端用户变得越来越强大,给予了他们强大的通信能力。但同时也正是巨大的网络使得计算机病毒的传播更方便。 计算机病毒对网络的危害主要有以下几方面: (l)计算机病毒通过“自我复制”传染其他程序,并与正常程序争夺网络系统资源。 (2)计算机病毒可破坏存储器中的大量数据,致使网络用户的信息蒙受损失。 (3)在网络环境下,病毒不仅侵害所使用的计算机系统,而且还可以通过网络迅速传染网络上的其他计算机系统。,第 10 章 网络安全,10.4.2 网络防病毒措施 引起网络病毒感染的主要原因是网络用户没有遵守网络使用制度,擅自使用没有检查的软盘,擅自下载未经检查的网络内容。网
