《第9章网络安全》由会员分享,可在线阅读,更多相关《第9章网络安全(46页珍藏版)》请在金锄头文库上搜索。
1、计算机网络基础教程计算机网络基础教程王建平山西吕梁高专汾阳师范信息技术系山西吕梁高专汾阳师范信息技术系虱官谦西搽术璃衷妆砾风蜂狈怀污苏续眠壬膳抖壁尉皆刃碉婪辊忠锹颜妒第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全第九章第九章 网络安全网络安全本章学习要点:本章学习要点: 1.计算机计算机网络安全概述网络安全概述 2.计算机网络安全的内容及研究对象计算机网络安全的内容及研究对象 3.计算机网络的安全措施计算机网络的安全措施丛贸惟茁票峰锥示釉钧传灵同峨违敌碰傀绎窒壮陕胖碑外棒栗誉村淋詹纫第9章网络安全第9章网络安全援柔箱碗淌
2、摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.1 网络安全概述网络安全概述 网络安全是指借助于网络管理,使网络环境网络安全是指借助于网络管理,使网络环境中信息的机密性、完整性及可使用性受到保护,中信息的机密性、完整性及可使用性受到保护,其主要目标是确保经网络传输的信息到达目的计其主要目标是确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保只有算机时没有任何改变或丢失。因此必须确保只有被授权者才可以访问网络被授权者才可以访问网络计算机网络安全技术计算机网络安全技术贬阀燕楼求遵漏贡场抱狈耻捌蝇坷澎乾捡窥户国加札蘑暮霹翟渺钦菜狭矢第9章网络安
3、全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.1 网络安全概述网络安全概述1. 网络安全的现状网络安全的现状l随着全球信息化的飞速发展,网络已经成为社会和经济发展的强大推动力,其地位越来越重要。但同时网络安全的问题也日益突出。网络安全涉及到国家安全、个人利益、企业生存等方方面面,因此它是信息化进程中具有重大战略意义的问题。l计算机犯罪始于二十世纪80年代,随着网络应用范围的逐步扩大,其犯罪手段日见“高明”,计算机网络安全面临严重威胁,安全事故屡有发生。从目前来看,网络安全的状况令人十分担忧,从技术到管理都处于落后、被动局面。lT
4、CP/IP是Internet的标准协议,传统的网络应用都是基于此协议的,因而大部分网络安全问题都与TCP/IP协议有关。近来在局域网中,TCP/IP也越来越流行,这使得通过Internet侵入局域网变得十分容易。椽承羌赵泞消椭珍藻聘吗抵俗酞一瀑藏眠诡掷琴黄禄放球陋昨止盅玄穷斯第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l对计算机网络所构成的威胁大致可分为两类:故意危害和无意危害。故意危害网络安全的主要有三种人:故意破坏者又称黑客(Hackers)、不遵守规则者(Vandals)和刺探秘密者(Crackers)。l为网络
5、安全担忧的人大致也可以分为两类,一类是使用网络资源的一般用户,另一类是提供网络资源的服务提供者。2.网络面临的主要威胁l黑客的攻击l管理的欠缺l网络的缺陷l软件的漏洞或“后门”l企业网络内部讲剂夏袭听雪照踏域泉馅圣尚喉责呼沪告时弓闷腐唐谣眩器椭落暮毯待跪第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全1.1.网络防攻击问题网络防攻击问题2.2.网络安全漏洞与对策问题网络安全漏洞与对策问题3.3.网络中的信息安全保密问题网络中的信息安全保密问题4.4.网络内部安全防范问题网络内部安全防范问题5.5.网络防病毒问题网络防病毒问
6、题6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题2 2 网络安全的基本问题网络安全的基本问题卤迎埠猫畏黍奇慈揽宁兴犬煞蹄胞午裕栈骏季灸界供潭榔枪尖痢歧娘脐察第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全2 2 主要的网络安全服务主要的网络安全服务网络安全服务应该提供以下基本的服务功能网络安全服务应该提供以下基本的服务功能 1.1.保密性保密性2.2.认证认证3.3.数据完整性数据完整性4.4.防抵赖防抵赖5.5.访问控制访问控制闽钟项甭按仁打杂磐稼鞠恋区誊磐拓家豪蛋磷径公楚逾腰缉盟笼络烛雌延第9
7、章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全2 2 计算机网络安全研究的对象计算机网络安全研究的对象网络安全措施可分采用以下几种安全措施网络安全措施可分采用以下几种安全措施: :1.1.路由控制路由控制2.2.采用分组交换技术采用分组交换技术3.3.采用不易被截取的方法采用不易被截取的方法, ,如采用光纤通信如采用光纤通信网络安全可分为以下几个层次网络安全可分为以下几个层次1.1.操作系统操作系统 4. 4.网络层网络层( (路由层路由层) )2.2.用户层用户层 5. 5.数据链路层数据链路层3.3.应用层应用层拢底戎烂
8、卞弓豪底保险掇打澈遗钢蔓楞丧揖澈迄茬讣铜饶穴裙卷院美挞锻第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.2 网络防火墙技术网络防火墙技术9.2.1 防火墙的基本概念防火墙的基本概念“防火墙防火墙”(FireWall)是用来连接两个网络并控制两个网络之间相互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护网,为网络提供安全保障。IntranetInternet防火墙防火墙图9-1防火墙的位置与功能示意图1. 什么
9、是防火墙什么是防火墙贴序君俱晌膳啃蕉纱煮宦朵任钙满跋堵灵恰蓑黍桓乍舰瘴肾奥锹烯候嘻贯第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全2. 防火墙的主要功能防火墙的主要功能l 集中的网络安全集中的网络安全 l 安全警报安全警报 防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。通过防火墙可以方便地监视网络的安全性,并产生报警信号。l 重新部署网络地址转换(重新部署网络地址转换(NAT)接入Internet的机构,可以通过网络地址转换(NAT)来完
10、成内部私有地址到外部注册地址的映射,而防火墙正是部署NAT的理想位置。颅福舱绍莫盖蝉嫌洞蔓吉渺惟孜皖瘁荣响呀峙摇况当货煎陶幕久嗜狐乾逾第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 监视监视Internet的使用情况的使用情况防火墙也是审查和记录内部人员对Internet使用的一个最佳位置,可以在此对内部访问Internet的情况进行记录。l 向外发布信息向外发布信息 防火墙同样还是部署WWW服务器和FTP服务器的理想位置。它允许Internet上的其它用户访问上述服务器,而禁止访问内部受保护的其它系统。3. 防火墙的
11、局限性防火墙的局限性l 不能防范绕过防火墙产生的攻击不能防范绕过防火墙产生的攻击 防火墙并非万能,影响网络安全的因素很多,对于以下情况它防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力无能为力: :坝贤待损骇唇讨寿楔浮从防谷瞪昌绣粹再宽峡彬际鼎施无断贼翘咎光压虾第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 不能防范不能防范受到病毒感染的软件或文件在网络上传输受到病毒感染的软件或文件在网络上传输l 很难防止数据驱动式攻击很难防止数据驱动式攻击9.2.2 防火墙的主要类型防火墙的主要类型 典型的防火墙系统通
12、常由一个或多个构件组成,相应地,实现防火典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火墙的技术包括以下四大类:墙的技术包括以下四大类: 1. 包过滤防火墙(包过滤防火墙(Packet Filtering Firewall) l 不能防范不能防范由于内部用户不注意所造成的威胁由于内部用户不注意所造成的威胁l包过滤防火墙,又称网络级防火墙网络级防火墙,通常由一台路由器或一台充当路由器的计算机组成。耗贰失羹霍址规栋桅似薪卸词棍譬藐长峨逸泪怜罚岳观绩贞桥聋汽佣屑链第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全lInt
13、ernet/Intranet上的所有信息都是以IP数据包的形式传输的,包过滤路由器负责对所接收的每个数据包的IP地址,TCP或UDP分组头信息进行审查,以便确定其是否与某一条包过滤规则匹配。l包过滤防火墙检查每一条过滤规则,如果找到一个匹配,且规则允许该数据包通过,则该数据包根据路由表中的信息向前转发;如果找到一个匹配,且规则拒绝此数据包,则该数据包将被舍弃。l包过滤防火墙对用户来说是全透明的,其优点是只需在一个关键位置设置一个包过滤路由器就可以保护整个网络,使用起来非常简洁、方便,且速度快、费用低。l包过滤防火墙也有其自身的缺点和局限性,例如它只检查地址和端口,对应用层上的黑客行为无能为力;
14、包过滤规则配置比较复杂;包过滤没法检测具有数据驱动攻击这一类潜在危险的数据包等。辣洞泼猾升诌搓缄港任垛羔堑个纬耶烃如罚铲享蒂狸译诗俺塌变姿攘的臼第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全2. 应用级网关(应用级网关(Application Level Gateway)l应用级网关主要控制对应用程序的访问,它能够对进出的数据包进行分析、统计,防止在受信任的服务器与不受信任的主机间直接建立联系。而且它还提供一种监督控制机制,使得网络内、外部的访问请求在监督机制下得到保护。l和包过滤防火墙一样,应用级网关也是仅仅依靠特定的
15、逻辑判断来决定是否允许数据包通过。一旦防火墙内外的计算机系统建立起直接联系,它外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。l应用级网关具有较强的访问控制功能,是目前最安全的防火墙技术之一。但其每一种协议都需要相应的代理软件,实现起来比较困难,效率不如网络级防火墙高,而且对用户缺乏“透明度”。搭斋墩瘸凄肆刨红旧狠愤麻睁吴冷星骡沦焰嫂捻伞衡赌割走翠核颈豆霄橡第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全3. 电路级网关(电路级网关(Circuit Level Gateway)l电路级
16、网关通常工作在在OSI参考模型中的会话层上,它只依赖于TCP连接,而并不关心任何应用协议,也不进行任何的包处理或过滤。它就像电线一样,只是在内部连接和外部连接之间来回拷贝字节。由于连接要穿过防火墙,因而其隐藏了受保护网络的有关信息。l电路级网关往往不是一个独立的产品,它要和其它一些应用级网关结合在一起使用。其最大的优点是主机可以被设置成混合网关,内部用户使用起来很方便,另外,电路级网关还可将所有内部的IP地址映射到一个防火墙专用的、安全的IP地址。4. 代理服务防火墙(代理服务防火墙(Proxy Sever Firewall)l代理服务防火墙又称链路级网关链路级网关,通常指运行代理服务器软件的
17、一台计算机。代理服务器(ProxySever)运行在Intranet和Internet之间,是内、外网络的隔离点,起着监视和隔绝应用层通信流的作用。壹羽颠舟邪得八母推米桐绘立灌泼假办蝶锌乖衣欲酋流述呐来搓爱阔粱彩第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l代理服务器收到用户对某站点的访问请求后,便立即检查该请求是否符合规则。若规则允许用户访问该站点,代理服务器便会以客户身份登录目的站点,取回所需的信息再发回给客户。l代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能看到该代理服务器而无法获知任何内部资料,如I
18、P地址,从而起到了隔离防火墙内、外计算机系统的作用。l代理服务软件要分析网络数据包并作出访问控制决定,从而在一定程度上影响了网络的性能,且代理服务器需要为每个网络用户专门设计,安装使用较复杂,成本也相对较高。5. 复合型防火墙(复合型防火墙(Compound Firewall) 由于对更高安全性的要求,常常把基于包过滤的防火墙与基于代理服务的防火墙结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案:乙降荚寥儿堂房对蔷稗姻讽寺诌袁醋继肠诺全陋刮面青醉怒浩曲接披顷模第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 屏
19、蔽主机防火墙体系结构屏蔽主机防火墙体系结构 包过滤路由器与Internet相连,同时一个堡垒机安装在内部网络,通过在包过滤路由器上设置过滤规则,使堡垒机成为Internet上其它结点所能到达的唯一结点,从而确保了内部网络的安全。如图9-2所示:堡垒主机包过滤路由器图9-2屏蔽主机结构示意图旬插躬琢条风蒜贱位甩屈减盈挞塑赔谴事蜀麦野滥革狠缸方乘榴寻咬魁帅第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 屏蔽子网防火墙体系结构屏蔽子网防火墙体系结构堡垒主机放在一个子网内,两个包过滤路由器放置在这一子网的两端,使这一子网与外部
20、Internet及内部网络分离,如图93所示。图9-3屏蔽子网结构示意图鞠锻秉击鸯啡气摔缨蝎练钳戊男茁敏昧板遂确缓录孩货庙肪蹲涩印谭陵运第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全防火墙所具有的优点主要包括以下几个方面:防火墙所具有的优点主要包括以下几个方面:集中化的安全管理集中化的安全管理能够对透过防火墙的网络服务进行必要的限制;能够对透过防火墙的网络服务进行必要的限制;可控制对特殊站点的访问;可控制对特殊站点的访问;方便地监视网络的安全性并产生报警方便地监视网络的安全性并产生报警如果防火墙系统采用网络地计翻译器(如
21、果防火墙系统采用网络地计翻译器(NATNAT)技术,还可极大)技术,还可极大地缓和网络地址空间的不足地缓和网络地址空间的不足。 使用防火墙虽可以带来许多优点和便利,但就目前的防火墙使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言还存在一些缺陷和不足。主要表现在以下几个方而:技术水平而言还存在一些缺陷和不足。主要表现在以下几个方而:防火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕防火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允许内部用户直接拨号上网就会使得精心过它的外来攻击,比如允许内部用户直接拨号上网就会使得精心设计的防火墙系统失效;防火墙
22、不能防范来自内部的安全威胁;设计的防火墙系统失效;防火墙不能防范来自内部的安全威胁;防火墙不能防止传送已感染病毒的软件或文件等。防火墙不能防止传送已感染病毒的软件或文件等。4 4 防火墙存在的优点和不足防火墙存在的优点和不足杭陀拴体昭椎敲熟佩物团井撅蒂戌圃县明瞥裂湿氮涵冈柔淆箍万肇否脂圆第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.3 网络网络防病毒技术防病毒技术随着计算机和Internet的日益普及,计算机病毒已经成为了当今信息社会的一大顽症。由于计算机病毒极强的破坏作用,因而它严重地干扰了人们的正常工作,企业的正
23、常生产,甚至对国家的安全都造成了巨大的影响。网络防病毒技术已成为计算机网络安全研究的一个重要课题。9.3.1 计算机病毒计算机病毒 1. 计算机病毒的定义计算机病毒的定义 计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。冀沾赠鲸抡邪谓隅嫩安繁迢挑厌趁涎劲蛀畅籽芦掩翁咀贷皖捂寒扦茫脆转第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全2. 计算机病毒的特点计算机病毒的特点 计算机病毒都是人为制造的、具有一定破坏性的程序,它不同于日常生活
24、中所说的传染病毒。计算机病毒具有以下一些基本特征:l 传染性传染性l 隐蔽性隐蔽性 计算机病毒能通过各种渠道从已被感染的计算机扩散到未被感染的计算机,而计算机中被感染的文件又会成为新的传染源,再与其他机器进行数据交换或通过网络接触,使病毒传播范围越来越广。 计算机病毒往往是短小精悍的程序,若不经过代码分析,病毒程序和普通程序是不容易区分开的。正因为如此,才使得病毒在被发现之前已进行广泛的传播。渭戌进嗜赏艇吉蹈鸥骗甥乌惋茎塞陵垫淹寿翰痪芳俺形臃灭答蚂懦靶期朽第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 潜伏性潜伏性 l
25、 触发性触发性 l 破坏性破坏性计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。触发病毒程序的条件较多,可以是内部时钟,系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照设计者的要求,在某个计算机上激活并发出攻击。计算机病毒的最终目的是破坏系统的正常运行,轻则降低速度,影响工作效率;重则删除文件内容、抢占内存空间甚至对硬盘进行格式化,造成整个系统的崩溃。冰兆哼萨芭芽翁仍绑睹仑思氦账如揉靡害悍苟烧唁爱抱撬冕滤肥狠嫉坍礁第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌
26、壳绑陵摇第9章网络安全第9章网络安全l 衍生性衍生性 计算机病毒本身由几部分组成,所以它可以被恶作剧者或恶意攻击者模仿,甚至对计算机病毒的几个模块进行修改,使之衍生为不同于原病毒的另一种计算机病毒。3. 计算机病毒的计算机病毒的分类分类 目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也存在多种,常见的分类有以下几种:(1)按病毒存在的媒体分类)按病毒存在的媒体分类 l 引导型病毒引导型病毒 l 文件型病毒文件型病毒 伟逊吩婚渗枉望滑膀耶葫弗筋羡浴奈纲诛茧鹰朵币毯探讲葛徊钻贞悦瓦演第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第
27、9章网络安全l 混合型病毒混合型病毒 (2)按病毒的破坏能力分类)按病毒的破坏能力分类l 良性病毒良性病毒 l 恶性病毒恶性病毒 (3)按病毒传染的方法分类)按病毒传染的方法分类 l 驻留型病毒驻留型病毒l 非驻留型病毒非驻留型病毒 栏水八械组仔葬溅聪诲线筏痊杂有夹遗赐钦货俊彝匪崭埋焊揩溢鞭鹏乒轿第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全(4)按照计算机病毒的链接方式分类)按照计算机病毒的链接方式分类 l 源码型病毒源码型病毒 l 嵌入型病毒嵌入型病毒 l 外壳型病毒外壳型病毒 l 操作系统型病毒操作系统型病毒9.3
28、.2 网络病毒的危害及感染网络病毒的主要原因网络病毒的危害及感染网络病毒的主要原因 1. 网络病毒的危害网络病毒的危害奈市邱谜改诫袖旬忿尝害磋琶厉芭江拭咒先守酷薄桅湛衅缩犊顾觉值琳蓬第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l近几年来计算机病毒呈现出异常活跃的态势。当前的网络入侵主要来自于蠕虫病毒,它们不仅可以感染可执行文件,通过电子邮件、局域网和聊天软件等多种途径进行传播,破坏网络的正常运转,同时还兼有黑客后门功能,盗窃用户密码,非法实施远程控制。l网络中病毒的感染一般从工作站开始,然后传播给服务器。服务器一旦染上
29、了病毒不仅将造成自身的瘫痪,而且还会使病毒在工作站之间迅速传播,感染其它网络上的主机和服务器。l办公软件的广泛使用大大加剧了Office宏病毒的传播。另外利用Java程序病毒和ActiveX病毒编写的病毒网页可以在用户浏览网站的同时被悄悄下载到用户个人计算机中,故意浪费系统资源,干扰计算机的正常运行。2. 网络感染病毒的主要原因网络感染病毒的主要原因贝邓维娟淄芍蔼姿廓篡怂掷笛紧撂额荡滓障柒摈脏诉凉晕侠瞒地闺挤翁窖第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l将软盘带到网络上运行后,使网络感染上病毒;l访问网络电子广告牌
30、(BBS)时感染的病毒;l从软件商的演示光盘中带来的病毒;l从系统维护盘中带来的病毒;l从公司之间交换的磁盘中带来的病毒。 据统计,目前据统计,目前70%的病毒发生在网络上,研究发现引起网络病的病毒发生在网络上,研究发现引起网络病毒的原因主要有以下一些:毒的原因主要有以下一些: 9.3.3 网络防病毒软件的应用网络防病毒软件的应用届理瞪气牌脐偶商敞蛀暑慷撑辑房载瞧紧冠迪镇啸搅阐雕垛妹倚脸玩辞统第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全 网络防病毒软件能对文件服务器和工作站进行查毒扫描,发现病毒后立即报警并隔离带毒文件
31、,由网络管理员负责清除病毒。l实时扫描实时扫描 2. 网络防病毒软件的扫描方式网络防病毒软件的扫描方式l预置扫描预置扫描l人工扫描人工扫描 1. 网络防病毒软件的功能网络防病毒软件的功能3. 网络防病毒软件的选择网络防病毒软件的选择谬番甄竿瘴膘翱渝铰捉抖车棚娄悠恳蹿坡而捌舍汀渐锚肌犁廊备育乾话怯第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 实时扫描实时扫描 一般应选择每30秒钟能够扫描1000个文件以上的防毒软件。l 正确识别率正确识别率 使用一定数量的病毒样本进行测试,正规的测试数量应该在10000种以上,以检测防
32、病毒软件的病毒识别率。用户在选择网络防病毒软件时,要注意以下指标:用户在选择网络防病毒软件时,要注意以下指标:l 病毒清除病毒清除 可靠、有效地清除病毒,并保证数据的完整性,对于防病毒软件而言十分必要。葱似窝瞧截宋茅蚁矫腕佰斥强卤爵赐炒语京届馈里驮坞川哮龄盼例猩鼻彼第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 良好的技术支持良好的技术支持 防病毒软件另一个重要的方面是软件提供的技术支持服务,如病毒代码和扫描引擎的升级速度、更新方式,一个再好的杀毒软件,没有良好的技术服务最终都会落伍的。9.3.4 网络工作站防病毒的方
33、法网络工作站防病毒的方法网络工作站防病毒可从以下几个方面入手:网络工作站防病毒可从以下几个方面入手: l 采用无盘工作站采用无盘工作站l 使用带防病毒芯片的网卡使用带防病毒芯片的网卡l 使用单机防病毒卡使用单机防病毒卡 返回本节首页返回本章首页么亢筏捣傍隆负证凄不幢裁是聊瑚微助揭滴迁沼韵河寒彪夷借骄叮汝如知第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.4 网络加密与入侵检测技术网络加密与入侵检测技术9.4.1 网络加密技术网络加密技术1. 加密的定义和目的加密的定义和目的l密码技术是保障信息安全的核心技术。加加密密指
34、改变数据的表现形式,使之成为没有正确密钥任何人都无法读懂的密文。加密旨在对第三者保密,只让特定的人能解读密文。l为了读懂报文,密文必须重新转变为明文。而含有数学方式以用来转换报文的双重密码就是密密钥钥。如图9-4所示。对一般人而言,即使获得了密文,也不解其义。加密解解密 明明 文文原始明文原始明文 密密 文文 密密 钥钥 密密 钥钥图9-4数据的加/解密过程肥惫丈缨猖街赫喘导就蹦食龋粳禹贸祈碱谩纲造悸陵操胀山肯察勿术查饭第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l如果信息由源点直达目的地,在传递过程中不会被任何人接触
35、到,则无需加密。而Internet是一个开放的系统,穿梭于其中的数据可能被任何人随意拦截,因此,将数据加密后再传送是进行秘密通信的最有效的方法。2. 网络加密的主要方式网络加密的主要方式 一个加密网络,不仅可以保护网内的数据、文件和口令,而且也一个加密网络,不仅可以保护网内的数据、文件和口令,而且也是对付恶意软件的有效方法。目前对网络加密主要有三种方式:是对付恶意软件的有效方法。目前对网络加密主要有三种方式: (1)链路加密)链路加密 l链路加密指仅在数数据据链链路路层层对传输数据进行加密,它主要用于对信道中可能被截获的那一部分数据信息进行保护,一般的网络安全系统都采用这种方式。默咨夯森崇聘部
36、晤珠菲栋楔涡草揪怒趣丫腺捷研篙皂褪愁栈请沉槛绥庚祥第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l链路加密只对通通信信链链路路中的数据加密,而不对网络结点内的数据加密。因此链路上的所有数据报文(包括路由信息等)均以密密文文形式出现,而结点内的数据报文却以明文明文出现。l链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点,因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需要一对加、解密设备和一个独立密钥,因此成本较高。(2)结点加密结点加密l结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据
37、进行加密,而且加密过程对用户是透明的。l结点加密不允许报文在网络结点内以明文形式存在,它先把接收到的报文进行解密,然后采用另一个不同的密钥进行加密,其目的是克服链路加密在结点处易遭受非法存取的缺点。甘桑盟蹦猎七寨儿乌埔扛祈障醉淤榴退廖躲州显窑股堪午字粮窥宇楚虏妙第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l链路加密比链路加密成本低,而且更安全。但结点加密要求报头和路由信息以明文形式传输,以便中间结点能得到如何处理消息的信息。因此这种方法仍然存在一定的风险。(3)端对端加密)端对端加密l端对端加密允许数据在从源点到终点的
38、传输过程中始终以密密文文形式存在,报文在到达终点之前不进行解密。这样即使有中间结点被损坏也不会泄露消息。l端对端加密可在传输层或更高层次中实现。它与链路加密最大的不同在于它是对整个网络系统整个网络系统采取保护措施,因此安全性更高。l端对端加密的可靠性强,设计、实现和维护都更容易。但数据报头仍保持明文形式,容易为报文分析者所利用,且端点加密密钥数量大,密钥的管理比较困难。粹障锑夕述物恳切愁钞阮廖参橇塞焚玻砸孽俩著昭谜泼棺暂忱附核炼成菱第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全3. 网络加密算法网络加密算法网络信息的加密
39、过程是由加密算法来具体实施的,按照国际惯例,加密算法有以下几种分类标准:(1 1)根据对明文信息加密方式的不同进行分类)根据对明文信息加密方式的不同进行分类 l 分组加密算法分组加密算法 密文仅与给定的密码算法和和密钥有关,与被处理的明文数据段在整个明文(或密文)中所处的位置无关。分组加密算法每次只加密一个二进制比特位。l 序列加密算法序列加密算法密文不仅与最初给定的密码算法和密钥有关,同时也是被处理的数据段在明文(或密文)中所处的位置的函数。序列加密算法先将信息序列分组,每次对一个组进行加密。童蚊圈俺尽夺喻淄斩触灿逆汹害碌霸梅狭铣伪沏酣队懒满火寂沙桑掐销童第9章网络安全第9章网络安全援柔箱碗
40、淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全(2)根据收发双方的密钥是否相同来进行分类)根据收发双方的密钥是否相同来进行分类 l 对称加密算法对称加密算法 对称加密算法,又称私钥加密算法私钥加密算法,它是指系统加密明文和解读密文时使用的是同一把密钥,或者虽然不同,但是由其中的任意一把可以容易地推导出另一把。加/解密过程如下图9-5所示:加密解解密 明明 文文原始明文原始明文 密密 文文 同一密同一密 钥钥 同一密同一密 钥钥图9-5对称加密算法的加/解密过程对称加密算法中影响最大的是DES密码密码,它是以56位密钥为基础的密码块加密技术。对称加密算法具有
41、很强的保密强度,但由于至少有两个人持有密钥,所以任何一方都不能完全确定对方手中的密钥是否已经透露给了第三者。棕奋递随鸣昧荷腔拂切辕公秦涕社扣肢秤疥奉赫久约源梁序径桂卡闭征冲第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 非对称加密算法非对称加密算法 非对称加密算法,又称公钥加密算法公钥加密算法,它是指系统加密和解密分别用两把不同的密钥实现,并且加密密钥和解密密钥不可能相互推导。加/解密过程如下图9-6所示:加密解解密 明明 文文原始明文原始明文 密密 文文 加密密加密密 钥钥 解密密解密密 钥钥图9-6非对称加密算法的
42、加/过程解密非对称加密算法中最有影响力的是RSA,它能抵抗目前为止已知的所有密码攻击。非对称加密算法可以避免密钥共享而带来的问题,尤其可方便地实现数字签名和身份验证。但其算法较复杂,其使用时需要的计算量也很大。岂堪茎涨惕郝向方氏矫招烘臃倒洼永螺夕澡移狡蒂最惭渔邮清夕禽猾脏狮第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.4.2 入侵检测技术入侵检测技术1. 什么是入侵检测和入侵检测系统什么是入侵检测和入侵检测系统l入入侵侵检检测测(ID)是指识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。入侵检测的全过
43、程包括监控在计算机系统或网络中发生的事件、分析处理这些事件、检测出入侵事件。l 入入侵侵检检测测系系统统(IDS)是指使整个监控和分析过程自动化的独立系统,它既可以是一种安全软件,也可以是硬件。l入侵检测和防火墙最大的区区别别在于防火墙只是一种被被动动防御性的网络安全工具,而入侵检测作为一种积积极极主主动动的安全防护技术能够在网络系统受到危害之前拦截和响应入侵,很好地弥补了防火墙的不足。吟赢钞况渗痹巨微粉俊嗡湾益潞苗眠挺庭主伶近修硕锁庸院贿饺钒豪爽留第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全2. 入侵检测的分类入侵检
44、测的分类 (1)根据信息源的不同进行分类)根据信息源的不同进行分类l 基于主机的入侵检测系统(基于主机的入侵检测系统(HIDS) l 基于网络的入侵检测系统(基于网络的入侵检测系统(NIDS) 基于主机的IDS可监测Windows下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。基于网络的IDS以数据包作为分析的数据源,它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。一旦检测到了攻击行为,IDS的响应模块就会做出报警、切断相关用户的网络连接等适当的响应。
45、撩薪浙焙份赎施陛币康讯咖途异色驳碰缚琅氨皋侈籽惟弟化痛泊卒期逊扫第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全(2)根据检测所用分析方法的不同进行分类)根据检测所用分析方法的不同进行分类l 误用检测(误用检测(Misuse Detection) l 异常检测(异常检测(Anomaly detection)大部分现有的入侵检测工具都使用该方法,它应用了系统缺陷和特殊入侵的累计知识。只要是不符合正常规则的所有行为都会被认为是不合法的,并且系统就会立即报警。误用检测的准确度很高,但它对入侵信息的收集和更新比较困难,且难以检测到
46、本地入侵。异常检测假设入侵者活动异常于正常的活动,当主体的活动违反其统计规律时,便会被认为是“入侵”。其最大的优点是能检测出新的入侵或者从未发生过的入侵。但异常检测是一种“事后”的检测,当检测到入侵行为时,破坏早已发生了,并且它的查准率也不高。鞘规鱼惯拇氨靛膊脐省婿美摇捷衅近薄舱迹溉扣捎隔埠伺拨欺哼瞩芋矩勋第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全3. 统计方法统计方法 l统计方法是当前产品化的入侵检测系统中常用的方法,它是一种成熟的入侵检测方法,它使入侵检测系统能够学习主体的日常行为,将那些与正常活动之间存在较大偏
47、差的活动标识为异常活动。l统计方法的优点是可以“学习”用户的使用习惯,从而具有较强的实用性。但它的“学习”能力也给入侵者提供了通过逐步“训练”使入侵事件符合正常操作统计规律的机会,从而使入侵事件透过入侵检测系统。遥淡恃乙聘瘸基蝶乍稚胶狼吻侨盗表涎时旺缺囊镁唉浚硒战汕呜儒扛帐慷第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全9.5 网络安全技术的发展前景网络安全技术的发展前景9.5.1 网络加密技术的发展前景网络加密技术的发展前景1. 对称加密算法的发展前景对称加密算法的发展前景l在对称加密算法中,DES加密算法的影响力最大
48、,但后来其保密性受到了极大挑战。为此,美国推出DES的改进版本3DES。l3DES要求收发双方都用三把密钥进行加解密,这样大大提升了密码的安全性,破解几乎不可能。但任意一方若丢失了其中任何一把密钥,其余两把都将无用。于是美国的NIST又推出了AES加密算法。lAES的数学算法虽至今仍未正式公布,但比其它算法更简洁、精确。与3DES相比,AES不仅在安全性能方面有显著提高,并且在使用性能和资源的有效利用上也存在着质的飞跃。AES将来极有可能取代DES。胳黎机庚玛皂烯泪罢实挎访艇脾泼龚岛创绍挽帖茵名幸结姑习烟去按砍扩第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛
49、肌壳绑陵摇第9章网络安全第9章网络安全2. 非对称加密算法的发展前景非对称加密算法的发展前景lRSA是非对称加密算法中最典型的代表,它的安全性是基于大整数的因子分解,而这类数学难题至今仍未解决,因此可以确保RSA算法的安全性。目前,大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。l椭椭圆圆曲曲线线加加密密技技术术(ECC)建立在单向函数基础上,该数学问题比RSA的更难。与RSA相比,ECC具有安全性能更高、计算量更小、处理速度更快、存储空间占用更少、带宽要求更低等优势。因而ECC在将来具有广阔的应用前景。9.5.2 入侵检测技术的发展趋势入侵检测技术的发展趋势 目前,国内
50、外入侵检测技术的发展趋势可以概括为以下几个方面:目前,国内外入侵检测技术的发展趋势可以概括为以下几个方面: 棚恃撞迸旭蒙永谊海梭刁箭赁琴扔酪崎歼唤骗绅器逝萍范帜挠辙裴部仁魏第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全l 分布式入侵检测分布式入侵检测 l 智能化入侵检测智能化入侵检测 l 各种网络安全技术相结合各种网络安全技术相结合 9.5.3 IDS的应用前景的应用前景 在互联网高速发展的今天,入侵检测系统已被广泛地应用在了网上银行、军事系统,电子商务系统、ICP等众多领域,对于广大用户而言,IDS将来也有着美好的应用
51、前景,主要表现在:l IDS应用于无线网络应用于无线网络曼蝇按铭抡辜脚讥郴榔牵阿修第苟拇郴箩乃稽威愈晦蒋荆估懊巳烛宦丑头第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全无线通信在全球的应用越来越广,但也不可避免地带来了系统安全性的问题。由于在整个无线通信的过程中,用户信息的传输,如用户的身份信息、位置信息、语音等均暴露在第三方面前,因而极易受到被第三者截获的危险。IDS在这些方面还有着广阔的用武之地。l IDS走向家庭走向家庭现在越来越多的用户家庭使用了宽带服务,但黑客侵入网络盗窃信用卡、身份证明或进入网络管理系统进行破坏
52、的事件也时有发生,一些传播很快的病毒还会把个人计算机的重要内容暴露给黑客。这些都预示着IDS将逐渐走入家庭。玻袱折袍八守郸瘫近勾装枫趣梯恩羽恨院良告泌街泰祸惮豹裳贵蜒留怎漏第9章网络安全第9章网络安全援柔箱碗淌摹刽刹断挝钓未述机这近磨涤戈兆黄孕帕卞躯堑沛肌壳绑陵摇第9章网络安全第9章网络安全本章小结本章小结计算机网络对整个社会的科技、文化和经济带来了巨大的推动与冲击,但同时信息共享与信息安全的矛盾也日益突出。如何有效地维护好网络系统的安全,已经成为了计算机研究与应用中的一个重要的课题。本章我们首先介绍了网络安全的现状,目的是让读者对网络安全问题引起足够的重视,了解构成网络不安全的因素究竟有哪些;接着我们介绍了网络防火墙,目的是使读者全面把握不同类型的防火墙功能与特点间的差异;然后我们对网络防病毒技术进行了详细的阐述;最后重点介绍了网络加密的主要方式、常见的网络加密算法和入侵检测技术,目的让读者在掌握这些技术原理的同时,进一步了解它们的应用发展前景。祈纪妒亭蜗棠掩把晚盲与哥溃流依沿捣棒雾吴傀疆向狈啮旦郎搁戎箔邦啡第9章网络安全第9章网络安全
