数据通信与网络技术PPT课件(共10章)第8章-网络安全

第第8章章 网络安全网络安全2本章提要本章提要网络安全概述网络安全概述网络安全标准和等级网络安全标准和等级防火墙技术防火墙技术（重点）（重点）计算机病毒防范技术计算机病毒防范技术（重点）（重点）38.1网络网络安全概述安全概述网络安全概念网络安全概念网络安全的主要特性网络安全的主要特性交换机交换机网络安全系统功能网络安全系统功能41.网络安全概念网络安全概念网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改泄露，系统连续、可靠、正常地运行，网络服务不中断。广义上，凡是涉及网络上信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是网络信息安全要研究的领域。狭义的网络信息安全是指网络上信息内容的安全性，即保护信息的秘密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗和盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。52.网络安全的主要特性网络安全的主要特性1.保密性 信息不泄露给非授权用户、实体或过程，或供其利用的特性。2.完整性据未经授权不能进行改变的特性。3.可用性可被授权实体访问并按需求使用的特性。4.可控性可控性是指对信息的传播及内容具有控制能力。5.不可否认性网络通信双方在信息交互过程种，确信参与者本身以及参与者所提供的信息的真实同一性，及所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。63.网络安全系统功能网络安全系统功能身份身份认证认证认证就是识别和证实，是验证通信双方身份的有效手段，它对于开放系统环境中的各种信息安全有重要的作用。用户向系统请求服务时，要出示自己的身份证明，如输入(User ID和 Password)等。而系统应具备查验用户身份证明的能力，对于用户的输入，能够明确判断该用户是否来自合法用户。访问访问控制控制访问控制是针对越权使用的防御措施，其基本任务是防止非法用户进入系统以及防止合法用户对系统资源的非法使用。在开放系统中，对网络资源的使用应制定一些规则，包括用户可以访问的资源和可以访问用户各自具备的读、写和其他操作的权限。73.网络安全系统功能网络安全系统功能数据完整性数据完整性数据完整性是针对非法的篡改信息、文件和业务流而设置的防范措施，以保证资源可获得性。数据完整可以保证信息流、单个信息或信息中指定的字段，保证接收方所接收的信息与发送方的信息是一致的，在传送过程中没有被复制、插入、删除等对信息进行破坏的行为。数据完整又可分为恢复和无恢复两类。数据数据保密性保密性数据保密性是针对信息泄露的防御措施，它可分为信息保密、选择数据段保密与业务流保密等。保密是为了防止被攻击而对网络传输的信息进行保护。根据传送的信息的安全要求不同，选择不同的保密级别。最广泛的服务是保护两个用户之间在一段时间内传送的所有用户数据，同时也可以对某个信息中的特定域进行保护。83.网络安全系统功能网络安全系统功能防防抵赖抵赖防抵赖是针对对方进行抵赖的访问措施,用来保证收发双方不能对已发送或已接收的信息子以否认,一旦出现发送方对发送信息的过程予以否认,或接收方对已接收的信息予以否认时,防抵赖服务提供记录,说明否认方是错误的。防抵赖服务对电子商务活动是非常有用的。密钥管理密钥管理密钥管理是以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,就会对通信安全造成威胁。为对密钥的产生、存储、传递和定期更换进行有效的控制而引入密钥管理机制,对增加网络的安全性和抗攻击性非常重要。93.网络安全系统功能网络安全系统功能攻击监控攻击监控通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。检查安全漏洞检查安全漏洞通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。108.2网络安全网络安全标准和等级标准和等级应用计算机信息系统安全应用计算机信息系统安全等级划分等级划分主要有主要有两种两种n一种是依据美国国防部发布的评估计算机系统安全等级的桔皮书，将计算机安全等级划分为4类8级，即A2、A1、B3、B2、B1、C2、C1、D；n另一种是依据我国颁布的计算机信息系统安全保护等级划分准则（GB 178591999），将计算机安全等级划分为5级。118.2网络安全网络安全标准和等级标准和等级我国的信息系统的安全保护等级划分如下：我国的信息系统的安全保护等级划分如下：第一级第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全，国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。128.2网络安全网络安全标准和等级标准和等级第四级第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级第五级：信息系统受到破坏后,会对国家安全造成特别严重的损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。138.3 防火墙技术防火墙技术 防火墙技术最初是针对防火墙技术最初是针对Internet不安全因素不安全因素所采取的一种保护措施。顾名思义，防火墙就是所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。其目的就是防止外部网络用户未经授权的访问。141.防火墙基本概念防火墙基本概念防火墙(Firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域(security zone)之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。防火墙结构示意图防火墙结构示意图151.防火墙基本概念防火墙基本概念在2015年我国发布的编号为GB/T 202812015国家标准信息安全技术防火墙安全技术要求和测试评价方法中对防火墙的定义为“部署于不同安全域之间，具备网络层访问控制及过滤功能，并具备应用层协议分析、控制及内容检测等功能，能够适用于IPv4、IPv6等不同的网络环境的安全网关产品”。162.防火墙的作用防火墙的作用防火墙的主要作用通常包括以下几点：1.提供基础组网和防护功能提供基础组网和防护功能防火墙能够满足企业环境的基础组网和基本的攻击防御需求。2.记录和监控网络存取与访问记录和监控网络存取与访问作为单一的网络接入点，所有进出信息都必须通过防火墙，所以防火墙可以收集关于系统和网络使用和误用的信息并做出日志记录。3.限定内部用户访问特殊站点限定内部用户访问特殊站点防火墙通过用户身份认证(如IP地址等)来确定合法用户，并通过事先确定的完全检查策略来决定内部用户可以使用的服务以及可以访问的网站。172.防火墙的作用防火墙的作用4.限制暴露用户点限制暴露用户点利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响，同时保护一个网段不受来自网络内部其他网段的攻击,保障网络内部敏感数据的安全。5.网络地址转换网络地址转换防火墙可以作为部署NAT（Network Address Translation，网络地址转换）的逻辑地址来缓解地址空间短缺的问题，并消除在变换ISP（Internet Service Provider，互联网服务提供商）时带来的重新编址的麻烦。6.虚拟专用网虚拟专用网防火墙还支持具有Internet服务特性的企业内部网络技术体系虚拟专用网络（Virtual Private Network，VPN）。通过VPN将企事业单位在地域上分布在世界各地的局域网或专用子网有机联成一个整体。183.防火墙的主要类型防火墙的主要类型l网络层网络层防火墙防火墙网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。网络层防火墙也称为数据包过滤（数据包过滤（Packet Filtering）防火墙）防火墙。该技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。193.防火墙的主要类型防火墙的主要类型l网络层网络层防火墙防火墙数据包过滤防火墙的缺点有两个：一是非法访问，一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。防火墙规则也能从另一种较宽松的角度来制定，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，如来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如HTTP或是FTP)，也能经由通信协议、TTL值、来源的网域名称或网段等属性来进行过滤。203.防火墙的主要类型防火墙的主要类型l应用层应用层防火墙防火墙应用层防火墙工作在TCP/IP堆栈的“应用层应用层”，应用层防火墙可以拦截进出某应用程序的所有封包，它针对特定的网络应用服务协议，使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用层防火墙也称为应用层代理服务器防火墙或应用层网关应用层代理服务器防火墙或应用层网关，防火墙在数据包流入和流出两种方向上都有“代理服务器”的能力，这样它就可以保护主体和客体，防止其直接联系。代理服务器可以在其中进行协调，这样它就可以过滤和管理访问，也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现，如用户和用户组访问的LDAP。213.防火墙的主要类型防火墙的主要类型l数据库数据库防火墙防火墙数据库防火墙系统串联部署在数据库服务器之前数据库服务器之前，解决数据库应用侧和运维侧两方面的问题，是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙技术部署于应用服务器和数据库之间应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界（Firewall、IDS/IPS等）防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。224.防火墙的体系结构防火墙的体系结构防火墙的防火墙的体系结构有体系结构有三种三种：双