《计算机网络管理与安全技术 教学课件 ppt 作者 黄中伟 第6章 网络安全基础》由会员分享,可在线阅读,更多相关《计算机网络管理与安全技术 教学课件 ppt 作者 黄中伟 第6章 网络安全基础(36页珍藏版)》请在金锄头文库上搜索。
1、第6章 网络安全基础 由于网络本身所具有的开放性和网络规模以及应用领域的逐步扩大,也必然存在着各种网络安全上的隐患。 因此,在网络化、信息化不断普及的今天,如何最大限度地减少、避免、防止各类对网络造成的威胁,确保网络的安全运行,是摆在我们面前亟待妥善解决的一项具有重大战略意义的课题。 本章将从网络安全基础知识、网络安全系统、网络安全的常见技术手段等几个方面出发,介绍网络安全的定义、网络面临哪些主要威胁、网络安全系统的基本模型、安全系统的评价标准、建立网络安全策略以及目前所采用的主要网络安全技术等方面进行讲解。,6.1 网络安全概述 6.1.1什么是网络安全 6.1.2理解网络安全的含义 6.1
2、.3网络安全要素 6.1.4网络安全面临的主要威胁 6.1.5黑客对网络的常见攻击手段 6.1.6网络安全的重要性,6.1.1什么是网络安全 网络安全是一个系统性概念,不仅包括网络信息的存储安全,还要涉及信息的产生、传输和使用过程中的安全,应该说网络节点处的安全和通信链路上的安全共同构成了网络系统的安全体系。 国际标准化组织(ISO)在ISO 7498-2文献中指出:安全就是最大程度地减少数据和资源被攻击的可能性。,什么是网络安全? 从狭义的角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,确保计算机和计算机网络系统的硬件、软件及其系统中的数据,不
3、因偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统能连续可靠正常的运行,网络服务不中断。计算机网络安全从其本质上来讲就是系统的信息安全。计算机网络安全是一门涉及计算机科学、网络技术、电子技术、密码技术、信息安全技术、应用数学等等多种学科的综合性科学。 从广义的角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性,如场地环境保护、防火措施、静电防护、防水、防潮措施、电源保护、空调设备、计算机辐射等。,6.1.2理解网络安全的含义 架构网络的最终目的就是为了利用网络的物理或
4、逻辑的环境,实现各类信息的有条件的共享,因此,网络安全从其本质上来讲就是网络上的信息安全。由于网络信息在传输、利用和处理的不同环节中都会涉及到安全问题,因此,网络的安全问题已成为信息化时代人们关心的热门话题。,由于对网络资源的使用情况不同,所处角度的不一致,对网络安全问题的理解程度和关心的重点也会各异。 对于最终用户; 对于信息提供者、系统运营商以及网络管理者; 对于政府管理部门; 对于社会教育和意识形态。,6.1.3网络安全要素 1保密性 2完整性 3可用性 4可控性 5不可否认性,6.1.4网络安全面临的主要威胁 根据各种网络威胁产生的原因,我们把网络威胁归纳为以下4类: 1.软件系统自身
5、的安全缺陷导致的威胁 (1)操作系统和应用软件自身存在着安全漏洞。 (2)网络环境中的网络协议存在安全漏洞。 2.非法进行网络操作带来的威胁 (1)拒绝服务的攻击 (2)非授权访问网络资源 (3)网络病毒 3.网络设施本身和运行环境因素的影响造成的威胁 4.网络规划、运行管理上的不完善带来的威胁,6.1.5黑客对网络的常见攻击手段 黑客对网络的攻击手段可以说多种多样,下面介绍几种常见攻击手段。 1通过获取口令,进行口令入侵 2放置特洛伊木马程序进行攻击 3拒绝服务攻击 4电子邮件攻击 5采取欺骗技术进行攻击 6寻找系统漏洞,入侵系统 7利用缓冲区溢出攻击系统,6.1.6网络安全的重要性 就目前
6、网络应用和发展情况来看,计算机网络安全的重要性具体表现在以下几个方面。 1随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂、系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量的不断增加,软件规模的空前膨胀,任何隐含的缺陷、失误、人为的破坏都会造成巨大的损失。,2利用网络环境处理各类数据信息是信息化时代的发展趋势,这其中包括个人邮件资料和隐私,一些部门、机构、企业的机密文件和商业信息,甚至是有关国家发展和安全的政治、经济、军事以及国防的重要数据,这些数据信息不仅涉及到个人和团体的利益,更主要的是可能关系一个国家的安全与稳定。而正是这些数据信息是不法分子和敌
7、对势力攻击的目标。为了确保网络中各类数据信息的安全,显然就离不开一套完善的网络安全防范体系的支持。 3当前,仍有大量网络用户只关注网络系统的功能,而忽视网络的安全,往往在碰到网络安全事件后,才被动地从发生的现象中注意系统应用的安全问题。广泛存在着重应用轻安全,安全意识淡薄的普遍现象。因此,加强网络安全知识的宣传和教育,学习有关网络安全的法律法规和一定的防范技术,也是保护网络安全的一项重要工作。,6.2 网络信息安全系统 6.2.1网络信息安全系统模型 6.2.2 ISO的网络安全体系结构标准 6.2.3 计算机系统安全等级评价标准 6.2.4建立网络安全策略,网络安全并不只是简单的网络安全防护
8、设施的叠加,而是一个涉及到法律法规、安全管理制度和标准、安全策略、安全服务、安全技术手段以及具体安全防护设备的一个极其复杂的系统,尤其对于越来越庞大的互联网络来说更是如此。,什么是网络安全系统? 网络安全系统实际上是在一定的法律法规、安全标准的规范下,根据具体应用需求和规定的安全策略的指导下,使用有关安全技术手段和措施所组成的用以控制网络之间信息流动的部件的集合,是一个准许或拒绝网络通信的具有保障网络安全功能的系统。,一个完整的网络信息安全系统至少包括三个层次,并且三者缺一不可,它们共同构成网络信息安全系统的基本模型,如下图所示。,这三个层次是: (1)法律政策,包括规章制度、安全标准、安全策
9、略以及网络安全教育。它是安全的基石,是建立安全管理的标准和方法; (2)技术方面的措施,如防火墙技术、防病毒、信息加密、身份验证以及访问控制等; (3)审计与管理措施,包括技术措施与社会措施。实际应用中,主要有实时监控、提供安全策略改变的能力以及对安全系统实施审计、管理和漏洞检查等措施。当系统一旦出现了问题,审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。,6.2.2 ISO的网络安全体系结构标准 安全体系结构的目的是从技术上保证安全目标全部准确地实现,包括确定必要的安全服务、安全机制和技术管理以及它们在系统上的配置。 国际标准化组织在ISO74982中描述的开放系统互连OSI安全
10、体系结构确立了5种基本安全服务和8种安全机制。,1安全服务 网络的安全服务定义了网络的各层可以提供的安全功能,这些功能可以在几层同时提供,也可由某一层提供。OSI安全体系结构的5个安全服务项目分别是: (1)鉴别服务 (2)访问控制 (3)机密服务 (4)数据完整性 (5)抗抵赖服务,2安全机制 网络安全机制定义了实现网络安全服务所使用的可能方法。一种安全服务可由一种或数种安全机制支持,一种安全机制也可支持多种安全服务。按照OSI网络安全体系结构的定义,网络安全服务所需的网络安全机制包括以下8类: (l)加密机制 (2)数字签名机制 (3)访问控制机制 (4)数据完整性机制 (5)鉴别交换机制
11、 (6)业务流填充机制 (7)路由控制机制 (8)公证机制,6.2.3 计算机系统安全等级评价标准 当前,网络与信息安全问题日益突出,黑客攻击、信息泄密以及病毒泛滥所带来的危害引起了世界各国尤其是信息发达国家的高度重视。20世纪70年代后期,特别是进入90年代以来,美国、德国、英国、加拿大、澳大利亚、法国等西方发达国家为了解决计算机系统及产品的安全评估问题,纷纷制订并实施了一系列安全标准。如:美国国防部制订的“彩虹”系列标准,其中最具影响力的是“可信计算机系统标准评估准则”(简称TCSEC,桔皮书)。,由于对信息系统和安全产品的安全性评估事关国家安全和利益,任何国家不会轻易相信和接受由别的国家
12、所作的评估结果,为保险起见,一般情况下还是要通过自己的测试才认为可靠。因此没有一个国家会把事关国家安全利益的信息安全产品和安全可信性建立在别的评估基础上,而是在充分借鉴别的国家标准的前提下,制订自己的安全评估标准。 近几年来,随着我国信息化建设的迅猛发展,国家对计算机信息系统安全问题非常关注,为此公安部提出并组织制定了强制性国家标准计算机信息安全保护等级划分准则,该准则于1999年9月13日经国家质量技术监督局发布。,美国国防部公布的可信计算机系统标准评估准则(“桔皮书”)简介 可信计算机系统标准评估准则对多用户计算机系统安全级别的划分进行了规定。它将计算机安全由低到高分为四类7级:D1、C1
13、、C2、B1、B2、B3、A1。见下表:,美国国防部的标准自问世以来,一直是评估多用户主机和小型操作系统的标准。其他方面,如数据库安全、网络安全也一直是通过这本美国国防部标准的桔皮书进行解释和评估的,如可信任网络解释(Trusted Network Interpretation)和可信任数据库解释(Trusted Database Interpretation)等。,6.2.4建立网络安全策略 1网络安全策略的定义 所谓安全策略,是针对那些被允许进入访问网络资源的人所规定的、必须遵守的规则,是保护网络系统中软、硬件资源的安全、防止非法的或非授权的访问和破坏所提供的全局的指导,或者说,是指网络管
14、理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。,2确定网络安全目标 对于网络的建设者和运行者来说,实现网络安全的第一要务是必须明确本网络的业务定位、所提供的服务类型和提供服务的对象。 在确定网络安全目标时,必须考虑如下问题: (1)系统所提供的服务和对安全性的需求 (2)易用性和安全性 (3)安全的代价和风险,3制定安全策略的原则 在制定网络安全策略时,应遵循以下几方面的原则: (1)可用性原则 (2)可靠性原则 (3
15、)动态性原则 (4)系统性原则 (5)后退性原则,4网络安全策略包括的内容 (1)物理安全; (2)访问控制; (3)信息加密; (4)网络用户的安全责任; (5)系统管理员的安全责任; (6)安全管理策略; (7)检测到安全问题时的策略。,6.3 网络安全的常见技术措施 6.3.1 访问控制技术 6.3.2 网络入侵检测系统与安全漏洞扫描 6.3.3 病毒防范技术 6.3.4 加密技术 6.3.5 数据备份与恢复技术 6.3.6 建立完善的安全管理制度 6.3.7 加强主机安全,6.3.1访问控制技术 访问控制是网络安全防范和保护的主要方法,它的主要任务是保证网络资源不被非法使用和访问,而只
16、允许有访问权限的用户获得网络资源。同时控制用户可以访问的网络资源范围以及可以对网络资源进行的操作。它是保证网络安全最重要的核心策略之一。 1用于入网访问控制的设备防火墙 2通过路由器或交换机访问控制列表的设置实现访问控制功能 3对远程网络用户接入进行控制的技术虚拟专用网(VPN)技术 4基于用户名和口令的访问控制机制,6.3.2网络入侵检测系统与安全漏洞扫描 入侵检测能弥补防火墙在某些方面的不足,为网络安全提供实时的入侵监测,以及采取相应的防护手段。网络入侵检测分为基于网络的入侵检测和基于主机的入侵检测两种方式。 网络安全漏洞扫描实际上是通过模拟网络攻击的方式,提前获得可能被攻击的薄弱环节,为系统安全提供可信的分析报告,从而为提高网络安全性提供重要的依据。,6.3.3病毒防范技术 为了减少病毒在企业网络内部的传播,必须采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的预防、病毒的检测、以及杀毒技术,它们提供了完整的多级病毒保护系统,可以有效的保护网络不受病毒的侵害。,6.3.4加密技
