《第1章计算机操作系统概述》由会员分享,可在线阅读,更多相关《第1章计算机操作系统概述(72页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术网络安全技术相关注意事项v网络安全技术学习的目的网络安全技术学习的目的v工具网站工具网站http:/ v网络攻击与防范网络攻击与防范 v拒绝服务和数据库安全拒绝服务和数据库安全 v计算机病毒与木马计算机病毒与木马v安全防护与入侵检测安全防护与入侵检测 v加密技术与虚拟专用网加密技术与虚拟专用网 vCISCO PIXCISCO PIX防火墙防火墙学习目标v了解常见的网络攻击方法了解常见的网络攻击方法v掌握网络的安全状况以及防护方法掌握网络的安全状况以及防护方法v熟知网络安全管理的基本技能熟知网络安全管理的基本技能v了解网络安全的高端技术了解网络安全的高端技术v考取考取国家信息安全认证
2、管理师国家信息安全认证管理师第一章 网络安全基础 v网络安全的概念网络安全的概念v常见的安全威胁与攻击常见的安全威胁与攻击v安全的标准安全的标准v网络安全的现状和发展趋势网络安全的现状和发展趋势 1.1 为什么研究网络安全v目前研究网络安全已经不只为了信息和数目前研究网络安全已经不只为了信息和数据的安全性。据的安全性。v网络安全已经渗透到国家的经济、军事等网络安全已经渗透到国家的经济、军事等领域。领域。v目前政府上网已经大规模的发展起来,电目前政府上网已经大规模的发展起来,电子政务工程已经在全国启动。政府网络的子政务工程已经在全国启动。政府网络的安全直接代表了国家的形象。安全直接代表了国家的形
3、象。19991999年到年到20012001年,一些政府网站,遭受了四次大的年,一些政府网站,遭受了四次大的黑客攻击事件。黑客攻击事件。为什么研究网络安全v第一次在第一次在9999年年1 1月份左右,美国黑客组织月份左右,美国黑客组织“美国地美国地下军团下军团”联合了波兰的、英国的黑客组织以及世联合了波兰的、英国的黑客组织以及世界上的黑客组织,有组织地对我们国家的政府网界上的黑客组织,有组织地对我们国家的政府网站进行了攻击。站进行了攻击。v我国计算机犯罪的增长速度超过了传统的犯罪,我国计算机犯罪的增长速度超过了传统的犯罪,19971997年年2020多起,多起,19981998年年142142
4、起,起,19991999年年908908起,起,20002000年上半年年上半年14201420起,再后来就没有办法统计了。起,再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握行业的各项业务。近几年已经破获和掌握100100多起,多起,涉及的金额几个亿。涉及的金额几个亿。v20002000年年2 2月份黑客攻击的浪潮,是互连网问世以来月份黑客攻击的浪潮,是互连网问世以来最为严重的黑客事件。最为严重的黑客事件。9999年年4 4月月2626日,台湾人编制日,台湾人编制的的CIHCIH病毒的大爆发,有统
5、计说我国大陆受其影响病毒的大爆发,有统计说我国大陆受其影响的的PCPC机总量达机总量达3636万台之多。有人估计在这次事件万台之多。有人估计在这次事件中,经济损失高达近中,经济损失高达近1212亿元。亿元。为什么研究网络安全v9999年年4 4月,河南商都热线一个月,河南商都热线一个BBSBBS,一张说交通银一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提了十多亿。的动荡,三天十万人上街排队,一天提了十多亿。v20012001年年2 2月月8 8日正是春节,新浪网遭受攻击,电子日正是春节,新浪网遭受攻击,电子邮件
6、服务器瘫痪了邮件服务器瘫痪了1818个小时,造成了几百万的用个小时,造成了几百万的用户无法正常的联络。户无法正常的联络。v19961996年年4 4月月1616日,美国金融时报报道,接入日,美国金融时报报道,接入InternetInternet的计算机,达到了平均每的计算机,达到了平均每2020秒钟被黑客秒钟被黑客成功地入侵一次的新记录。成功地入侵一次的新记录。国际网络安全现状v计算机网络应急技术处理协调中心计算机网络应急技术处理协调中心CERT/CC CERT/CC 1988-20051988-2005年统计报告年统计报告年度年度1995199519961996199719971998199
7、819991999漏洞数漏洞数 171171345345311311262262417417200020002001200120022002200320032004200420052005(1 1、2 2季度季度)109010902437243741254125378437843780378028742874国内网络安全现状v国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心CNCERT/CCCNCERT/CC20042004年网年网络络安全事件安全事件报报告与往年数量比告与往年数量比较较646861.2 安全的概念v一种能够识别和消除不安全因素的能力。一种能够识别和消除不安
8、全因素的能力。v安全是一个持续的过程。安全是一个持续的过程。v网络安全(网络安全(Network SecurityNetwork Security)是一门涉是一门涉及计算机科学、网络技术、通信技术、密及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。信息论等多种学科的综合性科学。安全的概念v国际标准化组织(国际标准化组织(ISOISO)7498-27498-2安全体系结构文献安全体系结构文献定义了安全就是最小化资产和资源的漏洞。资产定义了安全就是最小化资产和资源的漏洞。资产可以指任何事物。漏洞是指任何可
9、以造成破坏系可以指任何事物。漏洞是指任何可以造成破坏系统或信息的弱点。统或信息的弱点。v网络安全是指网络系统的硬件、软件及其系统中网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。行,网络服务不中断。 网络安全的内容和要素v从内容看,网络安全大致包括从内容看,网络安全大致包括4 4个方面:个方面: 网络实体安全 软件安全 数据安全 安全管理 v从特征上看,网络安全包括从特征上看,网络安全包括5 5个基本要素:个基本要
10、素:机密性完整性可用性可控性可审查性安全模型 v通信双方想要传递某个信息,需建立一个逻辑上通信双方想要传递某个信息,需建立一个逻辑上的信息通道。通信主体可以采取适当的安全机制,的信息通道。通信主体可以采取适当的安全机制,包括以下两个部分包括以下两个部分 :对被传送的信息进行与安全相关的转换,包括对消息的加密和认证。 两个通信主体共享不希望对手知道的秘密信息,如密钥等。 网络安全模型v策略策略v防护防护防火墙加密机杀毒软件v检测检测隐患扫描入侵检测v响应响应安全模型之MPDRR安全模型之MPDRR的解释安全体系 vISOISO(国际标准化组织)国际标准化组织)19891989年制定的年制定的IS
11、O/IEC ISO/IEC 7489-27489-2,给出了给出了ISO/OSIISO/OSI参考模型的安全体系结构。参考模型的安全体系结构。v在在OSIOSI参考模型中增设了安全服务、安全机制和安参考模型中增设了安全服务、安全机制和安全管理,并给出了全管理,并给出了OSIOSI网络层次、安全服务和安全网络层次、安全服务和安全机制之间的逻辑关系。机制之间的逻辑关系。v定义了定义了5 5大类安全服务,提供这些服务的大类安全服务,提供这些服务的8 8大类安大类安全机制以及相应的开放系统互联的安全管理。全机制以及相应的开放系统互联的安全管理。 安全体系安全体系安全体系安全服务服务 目的 鉴别服务 (
12、认证) 提供身份验证的过程,用于在于保证信息的可靠性。访问控制 确定一个用户或服务可能用到什么样的系统资源,查看还是改变。一旦一个用户认证通过,操作系统上的访问控制服务确定此用户将能做些什么。 数据保密性 这个服务保护数据不被未授权的暴露。数据保密性防止被动威胁,包括一些用户想用packet sniffer来读取网线上的数据。 数据完整性 这个服务通过检查或维护信息的一致性来防止主动的威胁。 抗抵赖性服务(不可否定性) 不可否定性是防止参与交易的全部或部分的抵赖。比如说在网络上,一个人发送了一封Email信息或一些数据,如ping包或SYN包,然后说“我并没有发送”。不可否定性可以防止这种来自
13、源端的欺骗。 安全体系安全机制v安全机制是一种技术,一些软件或实施一个或更安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。多安全服务的过程。ISOISO把机制分成特殊的和普遍把机制分成特殊的和普遍的。的。v一个特殊的安全机制是在同一时间只对一种安全一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证机制的一个例子。尽管可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但数据的保密性,数据的完整性和不可否定性,但实施在每种服务时你需要不同的加密技术。实施在每
14、种服务时你需要不同的加密技术。v一般的安全机制都列出了在同时实施一个或多个一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用机制不同的另一个要素是一般安全机制不能应用到到OSIOSI参考模型的任一层。参考模型的任一层。安全体系安全机制v安全服务依赖于安全机制的支持。安全服务依赖于安全机制的支持。ISOISO安全体系结安全体系结构提出了构提出了8 8种基本的安全机制,将一个或多个安种基本的安全机制,将一个或多个安全机制配置在适当层次上以实现安全服务。全机制配置在适当层次上以实现安
15、全服务。 加密机制数字签名机制访问控制机制数据完整性机制认证(鉴别)机制通信业务填充机制路由选择控制机制公证机制 安全标准vOSIOSI安全体系的安全标准技术安全体系的安全标准技术安全服务v可信计算机评估标准(可信计算机评估标准(TCSECTCSEC)v我国的计算机安全等级划分与相关标准我国的计算机安全等级划分与相关标准安全标准TCSEC安全等级 安全标准我国安全标准等级等级名称名称第一级第一级用户自主保护用户自主保护第二级第二级系统审计保护系统审计保护第三级第三级安全标记保护安全标记保护第四级第四级结构化保护结构化保护第五级第五级访问验证保护访问验证保护安全目标 v保障网络安全的基本目标就是
16、要能够具备保障网络安全的基本目标就是要能够具备安全保护能力、隐患发现能力、应急反应安全保护能力、隐患发现能力、应急反应能力和信息对抗能力。能力和信息对抗能力。 安全保护能力隐患发现能力 应急反应能力 信息对抗能力 1.3 常见的安全威胁与攻击v网络系统自身的脆弱性网络系统自身的脆弱性 v安全威胁安全威胁 v威胁和攻击的来源威胁和攻击的来源 v网络安全的现状和发展趋势网络安全的现状和发展趋势v设计、规划企业的整体安全方案设计、规划企业的整体安全方案信息化进程网络系统自身的脆弱性v硬件系统硬件系统 v软件系统软件系统 v网络和通信协议网络和通信协议 缺乏用户身份鉴别机制 缺乏路由协议鉴别机制 缺乏
17、保密性 TCP/UDP的缺陷 TCP/IP服务的脆弱性 安全威胁-企业网络现状分析v企业网络拓扑结构企业网络拓扑结构v企业网络中的应用企业网络中的应用v企业网络的结构特点企业网络的结构特点网络系统现状分析企业网络拓扑结构网络应用企业网络面临的安全风险企业网络的安全风险风险举例之一:设备防盗、防毁风险举例之二:线路老化风险举例之三:停电风险举例之四:抗电磁辐射风险举例之五:安全拓扑风险举例之六:安全路由风险举例之七:信息存储风险风险举例之八:信息传输的风险风险举例之九:信息访问安全威胁和攻击的来源v内部操作不当内部操作不当 v内部管理漏洞内部管理漏洞 v来自外部的威胁和犯罪来自外部的威胁和犯罪
18、企业的安全需求具体需求举例之一:子网之间的访问控制具体需求举例之二:地址转换与IP复用具体需求举例之三:对员工的信息审计具体需求举例之四:企业网站保护具体需求举例之五:信息传输加密具体需求举例之六:企业整体病毒防护具体需求举例之七:不同服务器的访问控制安全方案设计原则v需求、风险、代价平衡分析原则需求、风险、代价平衡分析原则v 综合性、总体性原则综合性、总体性原则v 一致性原则一致性原则v 易操作性原则易操作性原则v 适应性及灵活性原则适应性及灵活性原则v 多重保护原则多重保护原则v 分布实施原则分布实施原则安全机制与技术v 安全机制安全机制v 访问控制机制访问控制机制v 加密机制加密机制v
19、认证交换机制认证交换机制v 数字签名机制数字签名机制v 数据流分析机制数据流分析机制v 路由控制机制路由控制机制v 业务流量填充机制业务流量填充机制v安全技术安全技术v防火墙技术防火墙技术v加密技术加密技术v鉴别技术鉴别技术v数字签名技术数字签名技术v入侵检测技术入侵检测技术v审计监控技术审计监控技术v病毒防治技术病毒防治技术v备份与恢复技术备份与恢复技术安全机制与技术v 身份鉴别身份鉴别v 访问控制访问控制v 数据加密数据加密v 病毒防护病毒防护v 入侵检测入侵检测v 安全评估安全评估v 备份与恢复备份与恢复身份鉴别v 基于口令、用户名的身份认证基于口令、用户名的身份认证v 基于主体特征的身
20、份认证基于主体特征的身份认证:如指纹如指纹v 基于基于IC卡和卡和PIN号码的认证号码的认证v 基于基于CA证书的身份认证证书的身份认证v 其他的认证方式其他的认证方式基于口令、用户名的身份认证内网与外网的访问控制数据加密v 数据机密性保护数据机密性保护v 数据完整性性保护数据完整性性保护v 数据源发性保护数据源发性保护数据机密性保护数据完整性保护数据源发性保护病毒防护病毒扫描过程入侵监测系统安全评估(漏洞扫描)备份与恢复v关键设备的备份关键设备的备份v数据备份数据备份vWeb服务企业面保护服务企业面保护v灾难恢复灾难恢复关键设备的恢复数据的备份Web站点保护安全管理与安全服务v 安全管理安全管理制定相应的管理制度制定相应的策略v 安全服务安全服务网络安全咨询网络安全专业培训网络安全检测网络安全管理应急相应服务
