计算机网络管理与安全技术 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 李艇 网管与安全5

《计算机网络管理与安全技术 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 李艇 网管与安全5》由会员分享，可在线阅读，更多相关《计算机网络管理与安全技术 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 李艇 网管与安全5（107页珍藏版）》请在金锄头文库上搜索。

1、计算机网络管理与安全技术,李 艇 02w123,网络安全学习内容,一、网络安全理论基础 u 安全服务及安全机制 u 网络安全体系及评估标准 u 密码学基本原理 u 网络加密与密钥管理 u 安全威胁,学习内容,二、网络安全技术 l 协议层安全 l 认证机制 l 加密技术 l 防火墙技术 l 网络防病毒技术,三、网络安全工具 防火墙 加密软件 入侵检测 杀毒软件 安全审计软件 操作系统工具,学习内容,参考文献,张红旗 著 清华大学出版社.24元 .Chris Brenton（译）.第二版.电子工业出版社.45元. http:/ 网络安全技术教程黄鑫等编著.中国电力出版社.33元. http:/ww

2、w1. http:/www. http:/,第5章 网络安全基础,为什么要学习网络安全 网络安全涉及的领域 安全问题的实质 安全问题现状 网络安全的概念 网络系统面临的威胁 计算机网络系统的脆弱性 网络安全技术的研究内容和发展过程 计算机网络安全的三个层次 网络安全的设计和基本原则 安全技术评价标准,5.1网络安全概述,1 为什么要学习网络安全： 信息共享与信息安全总是互相矛盾的。 计算机犯罪的日益增多对网络的安全运行和进一步发展提出了挑战。 要保证网络的安全以及保证网络上数据的完整性 Internet的发展使人们不再把信息安全局限于局部范围，而是扩展到网络互连的世界范围。 安全技术得到新

3、的发展，内容极为丰富。,通信网络的安全 信息的安全 系统平台的安全 数据库系统的安全 网络站点的安全 电子商务平台的安全,2 网络安全涉及的领域,系统安全：保证系统正常运行； 信息安全：保证系统数据的保密性、完整 性和可用性；,3 安全问题的实质,信息安全要解决的三个问题 保密性： 防止信息泄漏或提供给非授权实体使用，信息只能由授权实体使用； 完整性： 系统的数据不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入或破坏。数据只能由授权实体修改； 可用性： 数据和通信服务在需要时允许授权个人或实体使用，网络资源在需要时即可使用。,3 安全问题的实质,1. 几个案例 1999年3月:外电报道， 昆

4、明两家商业银行，因内外勾结进行计算机犯罪，损失3.7亿； 1999年7月：几大部委联合发出紧急通知：重要网络必须从物理上与Internet断开； 2003/08： “Sobig”蠕虫病毒的变种冲击波蠕虫快速传播，蠕虫的副本复制速度在半天内快速增加到了每小时14000个。8天内导致全球电脑用户损失高达20亿美元之多 .,4 安全问题现状,2.全球网络安全问题 用户方面： 旧的安全管理体制不能满足网络发展的需要； 网络安全技术远远落后于网络应用； 在网络建设的同时，往往忽视网络安全建设。,4 安全问题现状,攻击者方面 攻击者层次不断提高 黑客专业化，往往掌握了深层次网络技术和协议 攻击点越来越多

5、诸多网络、通信协议缺乏有效的安全机制 攻击代价越来越小 一人一机、安座家中便能发起攻击； 攻击手段越来越先进 计算机性能大幅提升，为破译密码、口令提供了 先进手段,4 安全问题现状,3.我国网络面临的安全威胁 多数信息系统被国外产品垄断！ 美国军方拒绝使用Cisco路由器； 美国严禁出口56位密钥以上的DES（数据加密标准）加密技术和产品到中国； 我国提出军队骨干交换机全部国产化； 我国现有信息安全专业人才只有3000人左右 (本2100/专1400） 与2000年相比，信息安全人才的薪资在2003上涨了16%，而且这种趋势仍在继续。 “首席信息安全官”、“首席黑客”、“首席隐私保护官”之类的

6、职务在2003年出现新的工作。,4 安全问题现状,4.网络入侵者 Phreaking(飞客) 电话网入侵者 Hacker(黑客) 操作系统原理研究 善意入侵 Cracker(骇客) 恶意入侵 拒绝服务 信息盗窃,4 安全问题现状,5 网络安全的概念,1计算机网络安全的定义 从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害. 从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。,计算机网络的安全性定义： 保障网络信息的保密性、完整性、网络服务可用性和可审查性。即要求网

7、络保证其信息系统资源的完整、准确和具有一定的传播范围，并能及时提供所有用户所选择地网络服务。,5 网络安全的概念,2计算机网络安全的重要性 1）成为敌对势力、不法分子的攻击目标。 2）存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。 3）计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐射环境，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。,4）随着计算机系统的广泛应用，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。 5）计算机网络安全问题涉及许多学科领域，是一个非常复杂的综合问

8、题，随着系统应用环境的变化而不断变化。 6）从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从现象注意系统应用的安全问题 。,6 网络系统面临的威胁,1 计算网络系统面临的威胁 2 安全威胁的来源 3 威胁的具体表现形式,返回本章首页,1计算机网络系统面临的威胁,1对硬件实体的威胁和攻击 2对信息的威胁和攻击 3同时攻击软、硬件系统 4计算机犯罪,返回本节,2安全威胁的来源,1天灾 2人祸 3系统本身的原因,返回本节,3 威胁的具体表现形式,1）伪装 2）非法连接 3）非授权访问 4）拒绝服务 5）抵赖 6）信息泄露,3 威胁的具体表现形式-伪装 使用SMTP命令发送伪装邮件

9、,3 威胁的具体表现形式-伪装 使用SMTP命令发送伪装邮件,3 威胁的具体表现形式-伪装 使用SMTP命令发送伪装邮件,3 威胁的具体表现形式-伪装 使用SMTP命令发送伪装邮件,盘符-Inetpub-mailroot-Drop,3 威胁的具体表现形式-伪装,盘符-Inetpub-mailroot-Drop-outlook,7）业务流分析 8）改动信息流 9）篡改或破坏数据 10）推断或演绎信息 11）非法篡改程序,威胁的具体表现形式,网络攻击基本原理,漏洞 系统漏洞 人为因素 后门 系统后门 特洛伊木马 系统服务 不完善 社会工程,网络攻击手段,被动攻击 这类攻击一般在信息系统的外部进行，

10、对信息网络本身一般不造成损坏，系统仍可正常运行，但有用的信息可能被盗窃并被用于非法目的。 主动攻击 这类攻击直接进入信息系统内部，往往会影响系统的运行、造成巨大的损失，并给信息网络带来灾难性的后果。,被动攻击,被动攻击一般是主动攻击的准备和前奏 信息窃取 密码破译 信息流量分析,被动攻击-信息窃取,内外攻击者从传输信道、存储介质等处窃取信息。如无线传输信号侦收、搭线窃听、盗窃文件等。,被动攻击-密码破译,对截获的已加密信息进行密码破译，从中获取有价值的信息；,A,8,F,Q,E,5,2,W,4,Z,C,B,Y,被动攻击-信息流量分析,对网络中的信息流量和信息流向进行分析，然后得出有价值的情报,

11、主动攻击,主动攻击将对信息系统本身造成致命的打击 入侵 假冒 篡改 插入 重放 阻塞 抵赖 病毒,返回本节,主动攻击-入侵,通过系统或网络的漏洞、远程访问、盗取口令、借系统管理之便等方法进入系统，非法查阅文件资料、更改数据、拷贝数据、甚至破坏系统、使系统瘫痪等，如系统管理员、内部操作员都较容易进入系统进行攻击，熟悉计算机系统的“黑客”也能轻易进入网络发起攻击。,假冒合法用户身份、执行与合法用户同样的操作；,主动攻击-假冒,主动攻击-篡改,篡改数据、文件、资料；,主动攻击-插入,在正常的数据流中插入伪造的信息或数据,主动攻击-重放,录制合法、正常的交互信息、然后在适当的时机重放；,使用投放巨量垃

12、圾电子邮件、无休止访问资源或数据库等手段造成网络的阻塞，影响正常运行；,主动攻击-阻塞,主动攻击-抵赖,实施某种行为后进行抵赖，如否认发送过或接受过文件,主动攻击-病毒,向系统注入病毒，病毒运行后可能损坏文件、使系统瘫痪，造成各种难以预料的后果。,网络攻击例子 - IP Spoofing攻击,前提： T和X之间具有相互信任关系； T和X采用TCP/IP协议并接入Internet； 攻击目标：冒充T与X通信,Internet,T,X,第一步：网络刺探,采用某方式获取T和X的信息(被动攻击-窃听),T,X,The IP address is.,第二步：阻塞T,向T发送大量不可达信息,Interne

13、t,T,X,Why so much requirement?!,第三步：假冒T,Internet,T,X,I am T, give me the Root Hahaha.,I am down!,OK,第四步：设置后门,Internet,T,X,I have set Back door, bye!,I just have a dream, what happened?,7 计算机网络系统的脆弱性,1 操作系统安全的脆弱性 2 网络安全的脆弱性 3 数据库管理系统安全的脆弱性 4 防火墙的局限性 5 其他方面的原因,返回本章首页,1 操作系统安全的脆弱性,1）操作系统结构体制本身的缺陷。 2）在网

14、络上传输文件，加载与安装程序。 3）有的进程可在网络的节点上进行远程的创建和激活。 4）操作系统中一些守护进程，实际上是一些系统进程，它们总是在等待一些条件的出现。,使用LophtCrack破解Windows NT/2000密码 SAM（安全帐号管理器）,使用LophtCrack破解Windows NT/2000密码 Lc3-选择Import-Import From PWDUMP File -l.txt文件,5）操作系统都提供远程过程调用（RPC）服务，而提供的安全验证功能却很有限。 ）操作系统安排的无口令入口，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用。,操作系统安全的脆弱性

15、,）尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值。(备注）,返回本节,操作系统安全的脆弱性,使用RedButton破解 Windows NT/2000密码,2 网络安全的脆弱性,使用TCP/IP协议的网络所提供的FTP、E-Mail等都包含许多不安全的因素，存在着许多漏洞。 网络的普及、信息的共享使信息被暴露的机会大大增多。特别是Internet网络就是一个不设防的开放大系统。 数据处理的可访问性和资源共享的目的性之间是一对矛盾。造成了计算机系统保密性的难度。,返回本节,3 数据库管理系统安全的脆弱性,大量的信息存储在各种各样的数据库中，而这些数据库系统在安全方面的考虑却很少。 数据库管理系统安全必须与操作系统的安全相配套。例如，DBMS的安全级别是B2级，那么操作系统的安全级别也应该是B2级，但实践中往往不是这样做的。,返回本节,4 防火墙的局限性,尽管利用防火墙可以保护安全网免受外部黑客的攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。 事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。,返回本节,5 其他