第三章-网络安全教学课件

第第 三三 章章 网络安全网络安全NEXTNEXT3.1 3.1 网络安全概述网络安全概述 3.23.2 常见的网络黑客攻击技术常见的网络黑客攻击技术 3.33.3 主要的网络安全技术主要的网络安全技术第第 三三 章章 网络安全网络安全3.1.1网络安全的定义和评估NEXTNEXT3.1网络安全概述3.1.2网络安全的主要威胁3.1.3网络安全保障体系3.1.4我国网络安全的主要问题3.1.5网络安全策略3.1 网络安全概述网络安全概述 3.1.1网络安全的定义和评估NEXTNEXT1.网络安全的定义计算机网络安全是指网络系统中硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意地破坏、被非法使用。3.1.1 网络安全的定义和评估网络安全的定义和评估网络安全管理的目标是保证网络中的信息安全，整个系统应能满足以下要求：保证数据的完整性保证系统的保密保证数据的可获性信息的不可抵赖性信息的可信任性NEXTNEXT3.1.1 网络安全的定义和评估网络安全的定义和评估NEXTNEXT2 网络安全的评估美国国防部制订了“可信计算机系统标准评估准则”（习惯称为“桔黄皮书”），将多用户计算机系统的安全级别从低到高划分为四类七级，即D1C1C2B1B2B3A1。我国的计算机信息系统安全保护等级划分准则（GB17859-2019）中规定了计算机系统安全保护能力的五个等级.3.1.2 网络安全的主要威胁网络安全的主要威胁1 1威胁数据完整性的主要因素威胁数据完整性的主要因素（1）人员因素（2）灾难因素（3）逻辑问题（4）硬件故障（5）网络故障NEXTNEXT3.1.2 网络安全的主要威胁网络安全的主要威胁2 2威胁数据保密性的主要因素威胁数据保密性的主要因素（1）直接威胁（2）线缆连接（3）身份鉴别（4）编程（5）系统漏洞NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系 安全保障系统由物理安全、网络安全、信息安全几个方面组成。NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系1、物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全设备安全媒体安全NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系2、网络安全网络安全包括系统（主机、服务器）安全、反病毒、系统安全检测、入侵检测（监控）、审计分析、网络运行安全、备份与恢复应急、局域网、子网安全、访问控制（防火墙）、网络安全检测等。NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系2、网络安全(1)内外网隔离及访问控制系统(2)内部网不同网络安全域的隔离及访问控制(3)网络安全检测(4)审计与监控(5)网络反病毒(6)网络备份系统NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系3、信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。信息传输安全（动态安全）包括主体鉴别、数据加密、数据完整性鉴别、防抵赖；信息存储安全包括（静态安全）数据库安全、终端安全;信息内容审计可防止信息泄密。NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系（1）鉴别（2）数据传输安全系统（3）数据存储安全系统（4）信息内容审计系统NEXTNEXT3、信息安全3.1.3 网络安全保障体系网络安全保障体系（1）安全管理原则网络信息系统的安全管理主要基于三个原则：多人负责原则 任期有限原则 职责分离原则 4、安全管理NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系（2）安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。4、安全管理NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系具体工作是：根据工作的重要程度，确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。制订相应的机房出入管理制度。制订严格的操作规程。制订完备的系统维护制度。制订应急措施。4、安全管理NEXTNEXT3.1.3 网络安全保障体系网络安全保障体系中国国家信息安全测评认证中心（CNNS）从七个层次提出了对一个具有高等级安全要求的计算机网络系统提供安全防护保障的安全保障体系，以系统、清晰和循序渐进的手段解决复杂的网络安全工程实施问题。（1）实体安全（2）平台安全（3）数据安全（4）通信安全（5）应用安全（6）运行安全（7）管理安全4、安全管理NEXTNEXT3.1.4 我国网络安全的主要问题我国网络安全的主要问题 计算机网络近几年在我国的应用已经十分普及，相应地也出现了许多安全问题，成为网络发展的重要障碍，浪费了大量的物力、财力、人力。目前我国网络安全的现状不容乐观。NEXTNEXT3.1.5 网络安全策略网络安全策略 对于国内对于国内IT IT 企业、政府、教育、科研部门来说，完企业、政府、教育、科研部门来说，完善的网络安全策略应从以下几个方面入手：善的网络安全策略应从以下几个方面入手：1、成立网络安全领导小组、成立网络安全领导小组 2、制订一套完整的安全方案、制订一套完整的安全方案 3、用安全产品和技术处理加固系统、用安全产品和技术处理加固系统 4、制定并贯彻安全管理制度、制定并贯彻安全管理制度 5、建立完善的安全保障体系、建立完善的安全保障体系 6、选择一个好的安全顾问公司、选择一个好的安全顾问公司 NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.1 网络攻击的发展趋势网络攻击的发展趋势 3.2.2 常见的网络攻击方常见的网络攻击方3.2.3 缓冲区溢出攻击缓冲区溢出攻击 3.2.4 网络监听攻击网络监听攻击3.2.5 IP欺骗攻击欺骗攻击 NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术 3.2.6 端口扫端口扫3.2.7 口令攻击口令攻击 3.2.8 计算机病毒计算机病毒 3.2.9 特洛伊木马特洛伊木马 3.2.10 电子邮件攻击电子邮件攻击3.2.11 网页攻击网页攻击 NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.1 网络攻击的发展趋势网络攻击的发展趋势 近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险。网络攻击表现出以下发展趋势：自动化程度和攻击速度提高。攻击工具越来越复杂。发现安全漏洞越来越快。越来越高的防火墙渗透率。越来越不对称的威胁。对基础设施将形成越来越大的威胁。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.2 常见的网络攻击方式常见的网络攻击方式网络攻击的方式主要分为三类。第一类是服务拒绝攻击第二类是利用型攻击第三类是信息收集型攻击NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.3 缓冲区溢出攻击缓冲区溢出攻击 1 1、缓冲区溢出的原理、缓冲区溢出的原理 缓冲区是内存中存放数据的地方，在程序试图将数据放到机器内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出。NEXTNEXT3.2常见的网络黑客攻击技术2 2、缓冲区溢出漏洞攻击方式、缓冲区溢出漏洞攻击方式缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是最高权限。(1)在程序的地址空间里安排适当的代码(2)将控制程序转移到攻击代码的形式(3)植入综合代码和流程控制NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.3 缓冲区溢出攻击缓冲区溢出攻击3 3、缓冲区溢出的防范、缓冲区溢出的防范 目前缓冲区溢出漏洞的保护方法有：（1）正确的编写代码。（2）非执行的缓冲区。（3）检查数组边界。（4）程序指针完整性检查。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.4 网络监听攻击网络监听攻击 由于局域网中采用广播方式，因此，在某个广播由于局域网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。而黑客通过对信息包域中可以监听到所有的信息包。而黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息进行分析，就能获取局域网上传输的一些重要信息 1 1、网络监听、网络监听 在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术 3.2.4 网络监听攻击网络监听攻击 2 2、网络监听的发现防范、网络监听的发现防范（1）发现可能存在的网络监听。用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。或者向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术 3.2.4 网络监听攻击网络监听攻击（2）对网络监听的防范措施 从逻辑或物理上对网络分段以交换式集线器代替共享式集线器使用加密技术划分VLANNEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.5IP欺骗攻击 这种攻击方式主要应用于用IP协议传送的报文中。IP欺骗就是伪造他人的源IP地址。IP欺骗技术只能实现对某些特定的运行FreeTCP/IP协议的计算机进行攻击。一般来说，任何使用SunRPC调用的配置、利用IP地址认证的网络服务、MIT的XWindow系统、R服务等这些服务易受到IP欺骗攻击。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.6 端口扫描端口扫描1 1、端口扫描、端口扫描 一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。扫描大致可分为端口扫描、系统信息扫描、漏洞扫描几种。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.6 端口扫描端口扫描 2 2、端口扫描的防范、端口扫描的防范防范端口扫描的方法有两个：（1）关闭闲置和有潜在危险的端口。（2）通过防火墙或其他安全系统检查各端口，有端口扫描的症状时，立即屏蔽该端口。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.7 口令攻击口令攻击1 1、口令攻击的方法、口令攻击的方法口令供给一般有三种方法：一是通过网络监听非法得到用户口令二是在知道用户的账号后（如电子邮件前面的部分）利用一些专门软件强行破解用户口令。三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大。NEXTNEXT3.2.7 口令攻击口令攻击2 2、防范口令攻击、防范口令攻击以下口令是不建议使用的：l口令和用户名相同。l口令为用户名中的某几个邻近的数字或字母。l口令为连续或相同的字母或数字。l将用户名颠倒或加前后缀作为口令。3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.7 口令攻击口令攻击以下口令是不建议使用的：l使用姓氏的拼音或单位名称的缩写作为口令。l使用自己或亲友的生日作为口令。l使用常用英文单词作为口令。l口令长度小于6位数。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.8 计算机病毒计算机病毒1 1、网络环境下计算机病毒的特点、网络环境下计算机病毒的特点 在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：感染速度快。扩散面广。传播的形式复杂多样。难于彻底清除。破坏性大。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.8 计算机病毒计算机病毒2 2、新病毒的主要技术趋势、新病毒的主要技术趋势 新的计算机病毒每天都在增加，这些病毒的主要技术趋势是：（1）利用漏洞的病毒开始增多。（2）病毒向多元化、混合化发展。（3）有网络特性的病毒增多。（4）针对即时通讯软件的病毒大量涌现。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.8 计算机病毒计算机病毒3 3、近年来造成重大破坏的病毒、近年来造成重大破坏的病毒 （1）CIH病毒（2）红色代码CodeRed（3）尼姆达Nimda（4）新欢乐时光VBS.KJ（5）SQL蠕虫王（6）冲击波BlasterNEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.9 特洛伊木马特洛伊木马特洛伊木马的攻击手段，就是将一些“后门”、“特殊通道”程序隐藏在某个软件里，使使用该软件的人无意识的中招，成为被攻击，被控制的对象。由于木马是客户端服务器程序，所以黑客一般是利用别的途径如邮件、共享将木马安放到被攻击的计算机中。木马的服务器程序文件一般位置是在c:windows和c:windowssystem中，因为windows的一些系统文件在这两个位置，误删了文件系统可能崩溃。典型的木马程序有BO、NetXray、流光等。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.9 特洛伊木马特洛伊木马1 1、BOBO（1）BO的安装只要在电脑上运行BO服务器自安装程序boserve.exe，就可以安装BO服务器了。（2）BO的功能IP地址搜索功能、文件管理功能包括网络控制功能、进程控制功能超媒体控制功能、系统控制功能NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术（3）识别与清除BO的方法下面介绍几种识别与清除BO的方法：BO服务器安装后，将在Windows的SYSTEM子目录下生成WINDLL.DLL文件，可以直接删除WINDLL.DLL文件。在C:WINDOWSSYSTEM 子目录下是否有一个标着“.EXE”(空格.EXE)且没有任何图标的小程序，或者连EXE都没有(如果不显示文件扩展名)，只是一个空行。由于这时“.EXE”程序在后台运行，所以不能在Windows系统中直接删除它。清除的方法是，重新启动电脑系统，让它在DoS方式下运行。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.9 特洛伊木马特洛伊木马然后，进入SYSTEM子目录，将BO服务器程序（在DoS下显示为EXE1）的属性改为非隐含，这样就可以删除它。BO服务器程序能够在Windows启动时自动执行，是在注册表的NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.9 特洛伊木马特洛伊木马HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun或HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices增加了一个程序“.EXE”，可以直接删除。大多数杀毒软件和防黑客软件也可以有效清除BO服务器程序。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术2 2、冰河、冰河 冰河的主要文件有两个。G_Server.exe是被监控端后台监控程序，G_Client.exe是监控端执行程序。冰河软件主要用于远程监控，具体功能包括:（1）自动跟踪目标机屏幕变化；（2）鼠标和键盘输入的完全模拟；（3）记录各种口令信息；（4）获取系统信息；（5）限制系统功能；（6）远程文件操作；（7）注册表操作；（8）发送信息；（9）点对点通讯。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.10 电子邮件攻击电子邮件攻击电子邮件攻击指通过发送电子邮件进行的网络攻击。有两种形式：一是通常所说的邮件炸弹二是电子邮件欺骗NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.11 网页攻击网页攻击网页攻击指一些恶意网页利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序的目的。NEXTNEXT3.2 常见的网络黑客攻击技术常见的网络黑客攻击技术3.2.11 网页攻击网页攻击防范网页攻击可使用设定安全级别、过滤指定网页、卸载或升级WSH、禁用远程注册表服务等方法。最好的方法还是安装防火墙和杀毒软件，并启动实时监控功能。有些杀毒软件可以对网页浏览时注册表发生的改变提出警告。NEXTNEXT 3.3 主要的网络安全技术主要的网络安全技术3.3.1安全技术概述安全技术目前的发展状况来看，大致可划分为基础安全技术和应用安全技术两个层面，分别针对一般性的信息系统和特定领域的应用系统提供安全保护。NEXTNEXT3.3 主要的网络安全技术主要的网络安全技术1、基础安全技术、基础安全技术基础安全技术大致包括以下几个方面：基础安全技术大致包括以下几个方面：l信息加密技术。信息加密技术。l安全集成电路技术。安全集成电路技术。l安全管理和安全体系架构技术。安全管理和安全体系架构技术。l安全评估和工程管理技术。安全评估和工程管理技术。3.3.1安全技术概述NEXTNEXT3.3主要的网络安全技术2、应用安全技术、应用安全技术应用安全技术大致包括以下几个方面：应用安全技术大致包括以下几个方面：电磁泄露防护技术。电磁泄露防护技术。安全操作平台技术。安全操作平台技术。信息侦测技术。信息侦测技术。计算机病毒防范技术。计算机病毒防范技术。系统安全增强技术。系统安全增强技术。安全审计和入侵检测、预警技术。安全审计和入侵检测、预警技术。内容分级监管技术。内容分级监管技术。信息安全攻防技术。信息安全攻防技术。3.3.1安全技术概述NEXTNEXT3.3主要的网络安全技术 信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代密码学的主要组成部分。信息加密过程由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。1、DES密码密码 2、RSA加密3.3.2数据加密技术NEXTNEXT3.3主要的网络安全技术l访问控制技术是通过不同的手段和策略来实现访问控制技术是通过不同的手段和策略来实现对网络信息系统的访问控制，其目的是保护网对网络信息系统的访问控制，其目的是保护网络资源不被非法使用和访问。络资源不被非法使用和访问。l在访问控制中，客体是指网络资源在访问控制中，客体是指网络资源;主体是指对主体是指对客体访问的活动资源，主体是访问的发起者。客体访问的活动资源，主体是访问的发起者。3.3.3 访问控制技术访问控制技术NEXTNEXT3.3主要的网络安全技术 访问控制技术涉及的领域较广，根据控访问控制技术涉及的领域较广，根据控制策略的不同，访问控制技术可以划分为制策略的不同，访问控制技术可以划分为自主访问控制、强制访问控制自主访问控制、强制访问控制和和角色访问角色访问控制控制三种策略。三种策略。3.3.3 访问控制技术访问控制技术NEXTNEXT3.3 主要的网络安全技术主要的网络安全技术 信息确认技术通过严格限定信息的信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造、共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案篡改和假冒。一个安全的信息确认方案应该能使：应该能使：3.3.4信息确认技术NEXTNEXT3.3 主要的网络安全技术主要的网络安全技术合法的接收者能够验证他收到的消息是否真实；发信者无法抵赖自己发出的消息；除合法发信者外，别人无法伪造消息；发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。3.3.4信息确认技术NEXTNEXT3.3主要的网络安全技术1、防火墙简介、防火墙简介2、防火墙的种类、防火墙的种类3、防火墙产品、防火墙产品 3.3.5防火墙技术防火墙技术NEXTNEXT3.3主要的网络安全技术1、安全扫描的策略、安全扫描的策略 安全扫描通常采用两种策略安全扫描通常采用两种策略:第一种是第一种是被动式策略被动式策略 第二种是第二种是主动式策略主动式策略3.3.6 网络安全扫描技术网络安全扫描技术NEXTNEXT3.3主要的网络安全技术2、安全扫描的主要检测技术、安全扫描的主要检测技术 （1 1）基于应用的检测技术）基于应用的检测技术 （2 2）基于主机的检测技术）基于主机的检测技术 （3 3）基于）基于目标的漏洞检测技术目标的漏洞检测技术 （4 4）基于网络的检测技术基于网络的检测技术NEXTNEXT3.3.6 网络安全扫描技术网络安全扫描技术3.3.6 网络安全扫描技术网络安全扫描技术3、安全扫描技术的发展趋势、安全扫描技术的发展趋势 安全扫描软件今后的发展趋势有以下几点：安全扫描软件今后的发展趋势有以下几点：（1）使用插件（）使用插件（plugin）或者叫做功能模块技术。）或者叫做功能模块技术。（2）使用专用脚本语言。）使用专用脚本语言。（3）由安全扫描程序到安全评估专家系统。）由安全扫描程序到安全评估专家系统。4、安全扫描产品、安全扫描产品NEXTNEXT3.3主要的网络安全技术1、入侵检测系统的概念2、入侵检测系统技术3、入侵检测系统的分类4、入侵检测系统面临的主要问题及发展趋势5、入侵检测产品3.3.7网络入侵检测技术NEXTNEXT3.3主要的网络安全技术 黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。3.3.8黑客诱骗技术NEXTNEXT3.3主要的网络安全技术1、物理隔离和互联网信息的交流2、物理隔离的方案3.3.9物理隔离NEXTNEXT3.3主要的网络安全技术随着跨区域大中型企业的蓬勃发展以及企业信息化进程的加快，企业急需将位于不同地区甚至不同国家的分支机构纳入到总部的局域网之中，实现安全的资源共享。3.3.10VPNNEXTNEXT3.3主要的网络安全技术 虚拟专用网虚拟专用网（Virtual Private NetworkVirtual Private Network）是指在公共网络基础设施特别是是指在公共网络基础设施特别是InternetInternet上建上建设成的专用数据通信网络。设成的专用数据通信网络。IPSec IPSec是是IETFIETF（因特网工程任务组）提出的（因特网工程任务组）提出的IPIP安全标准。安全标准。NEXTNEXT3.3.10VPN习习 题题 331网络安全包含哪些内容？32“桔黄皮书”和我国的标准如何规定信息系统安全的等级？33如何构建完整的网络安全体系？34结合本单位实际分析我国的网络安全存在哪些安全问题。35黑客攻击主要有哪些手段？36安全扫描技术对网络的那些部分进行扫描，扫描哪些内容？37如何进行入侵检测？38什么是VPN技术？