第一章 计算机网络安全概述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,欢迎大家来到我的课堂,计算机网络安全技术,主讲,:,侯晓磊,E-mail: Hou2009hao,成绩设置概况,成绩分布：平时成绩,10%,（出勤、提问）,实践成绩,20%,（作业、上机）,卷面成绩,70%,（期末考试）,共计,15,周上课时间，每周,4,课时，,1-5,周全理论，,6-15,周每周,2,课时理论，,2,课时实验。,实验大纲,计算机网络安全是一门实践性较强的课程，学生通过一定数量网络安全操作实践训练，能有效地巩固和加深对课程基本内容的理解。本课程要求学生完成下列实验：,实验一、,windows,网络通信分析（,2,学时）,认识,PCAP,抓包工具，来抓网络数据包；,用,ethereal,捕获并分析数据包；,实验二、以太网的监听（,2,学时）,网络监听工具的安装及使用,监听的检测,实验三、使用,SuperScan,实现网络端口扫描（,2,学时）,了解端口扫描技术的原理,掌握端口扫描技术的方法,实验四、简单防火墙的配置（,2,学时）,了解防火墙的工作原理,初步掌握防火墙的配置方法,实验五、入侵检测技术 （,2,学时）,了解入侵检测技术的原理,学会在,LINUX,下配置简单的入侵检测系统,实验六、建立不死账号 （,2,学时）,了解注册表,掌握注册表在账号激活方面的作用。,实验七、,Windows2000Server,系统的安全配置,（,2,学时）,初步了解,Windows2000Server,系统,初步掌握,Windows2000Server,系统的配置,实验八、备份与恢复（,2,学时）,利用,WINDOWS,自带的工具备份与恢复,利用,Easyrecovery,工具备份与恢复,复习考试（,4,学时）,网络与信息安全综述,网络信息时代，人们越来越依赖信息进行研究和决策，信息的完整性、安全性决定了研究和决策的水平。互联网是人类文明的巨大成就，它给人们带来了巨大的便利，其意义可以与造纸术和印刷术相比。但是，计算机网络是开放的系统，具有众多的不安全因素，如何保证网络中计算机和信息的安全是一个重要且复杂的问题。,前言,1.,信息安全发展势在必行,随着信息技术的发展和信息化建设的高速推进，为信息安全产业的发展带来了前所未有的机遇。根据,IDC,数据分析显示，目前安全市场的增长远远高于整个,IT,市场的增长。 政府、电信、金融等部门和行业对信息安全的投入加大成为推动市场的主要动力，随着电子商务、电子政务等信息化应用的不断深入，对于数据的安全保障、不可否认性等安全机制的要求日益提升，使得信息安全人才在维护信息安全方面的作用将越来越突出。,前言,2.,信息安全人才需求旺盛,信息安全人才，即受过计算机网络技术、信息安全教育，懂得计算机技术和信息安全方面的知识并且能够解决实际问题的专门人才，在维护信息安全、保障网络运行中起着基础和决定性的作用。,截止,2009,年底，设置信息安全本科专业的高校已经有七十余所，这些高校为社会输出了一大批较高水平的信息安全人才，但是其数量远远无法满足社会的需要。据不完全统计，仅上海一地信息安全人才缺口就达到十万，而现有高校每一届信息安全人才培养数量不足万人，人才供需矛盾显著。,我国目前现状分析,1.,我国信息安全专业建设刚刚起步,2000,年以后，高校信息安全专业建设有了飞速的发展，有多所学校建立了信息安全专业，形成了从本科生到博士研究生的培养梯队。但是由于开设时间短，各个高校之间的培养方式和侧重点都存在差异，出现了多样化的办学思路。,不同的办学思路一方面体现了各高校的办学特色和学科优势，在学科发展初期是一种有益的探索和尝试；从另外一方面也体现出我国高等教育体系中缺乏对信息安全人才培养的统一规划和指导，尚未形成科学合理的教学模式。,我国目前现状分析,2.,专业基础课程难度大、内容多,信息安全领域的知识覆盖面广、学习难度大，其中信息安全专业的,核心课程,包含密码学、数字水印技术、访问控制、信息对抗、网络安全技术等，这些课程往往建立在大量抽象、复杂的数学模型及计算机网络基础上，并且在课程学习之前，就需要对线性代数、离散数学、计算机网络等基础课程有较深的掌握和理解。开设配套的实践课程需要专业的教学平台，实施较为困难。,我国目前现状分析,3.,实践教学环境搭建困难,安全隐患与安全威胁的排查能力是需要在大量的实践中不断积累经验，不断实际操作方能提升的，所以在完成理论知识的学习后，实践课程的补充尤为重要。但是在实际操作过程中，搭建存在安全隐患或者安全威胁的实践环境往往需要较长时间，同时搭建过程中，由于各种因素的影响，无法保证每次环境的一致性，很难确保信息安全实践环境的反复重现。,回顾世界网络安全重大事件,1.,史上十大最具威胁病毒,2. 2009,年全球十大网络安全事件,最新网络安全新闻：,2010,年,1,月,4,日,-10,日，我国境内政府网站被篡改攻击,178,个，较前一周猛增长,409%,，因此，应尽快建立全民网络信息安全体系。,2010,年电脑病毒首“恶”是谁？,最新网络安全新闻：,2010,年电脑病毒首“恶”现身,“极虎”木马下载器,已全面爆发，仅,7,日一天，就有,100390,台电脑感染该病毒，到目前为止，被袭击用户超过,50,万台，其威力比“熊猫烧香”猛上数十倍！,电脑开机后自动提示系统文件丢失，进程中还莫名出现,rar.exe,和,ping.exe,，不仅占有大量系统资源，并无法结束该进程。,第一章,计算机网络安全概述,福州大学管理学院 谢夜香,教学内容,知识点：网络安全的概念；标准；责任；目标；网络漏洞及安全隐患；网络安全的发展趋势。,重 点：网络安全的概念、网络漏洞及安 全隐患。,了解：网络安全的发展趋势。,1 网络安全的概念,1.1.1,信任与网络安全,（,1,）安全,VS,网络安全字面含义,网络安全本质上讲就是网络上信息的安全。,（,2,）网络安全通用定义,是指网络系统的硬件、软件及其系统中的数据受到保护，不会因偶然或恶意 的原因遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,1.1.1,信任与网络安全,（,3,）从不同的角度来看是不同的：,从用户的角度来说,从网络运行和管理者的角度来说（网吧管理 系统）,从安全保密部门来说（绿坝）,从社会教育和意识形态的角度来说（网络严打）,因此，网络安全在不同的环境和应用中得到不同的解释。,1.1.1,信任与网络安全,运行系统的安全,网络上系统信息的安全,网络上系统传播的安全,网络上信息内容的安全，即狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性。,1.1.1,信任与网络安全,（,4,）网络安全本书的定义：,是通过各种计算机、网络、密码技术和信息技术，保护在,公用通信网路,中传输、交换和存储的信息的,机密性、完整性和真实性,，并对信息的传播及内容具有控制能力。,（,5,）在网络环境中对信任的理解,信任就是人们按规定行事的可能性。,（,SSL,）,secure sockets layer,最可信,局域网（内部网络）用户,不可信,包括内部用户和远程的认证用户,最不可信,Internet,服务器和远程未认证用户,1.1.1,信任与网络安全,OSI,安全体系结构的安全技术标准,ISO,OSI,可信计算机评估标准,NCEC,TCSEC,（指出安全级别）,TCSEC,是指,1985,年美国国防部（,DOD,）颁布的,DOD,可信计算机系统评估准则,，又称（,DOD85,）,1.1.2,网络安全标准,我国计算机安全等级划分与相关标准,CC,标准,1999,年被,ISO,推为国际标准，,2001,年被中国推为国标。,五级准则，等级越高，安全级别就越高。,1.1.2,网络安全标准,1,、不同的用户安全责任是不同的。,2,、用户不仅要意识到安全的存在，而且要知道不遵守规则可能导致的后果。,1.1.3,网络安全责任,可以采用的方法：,1,、自身加强安全意识,2,、安全培训讲座,3,、安全警示,4,、政府加强法律法规的建设,1.1.3,网络安全责任,网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、,保密性、完整性、有效性、,可控性和拒绝否认性。,可靠性是前提；,可控性是指信息系统对信息内容和传输具有控制能力的特性；,拒绝否认性又称不可抵赖性；,1.1.4,网络安全目标,大多数情况下，网络安全更侧重强调网络信息的,保密性、完整性和有效性,即,（,CIA,）,1.1.4,网络安全目标,保密性,信息加密时防止信息非法泄露的最基本手段。,完整性,数据备份是防范信息完整性遭到破坏的最有效手段。,有效性,授权用户按需访问,研究网络与信息安全的必要性和社会意义,:,1.7.1,网络安全与政治,目前政府上网已经大规模地发展起来，电子政务工程已经在全国开展。政府网络的安全直接代表了国家的形象。,1999,年至今，一些政府网站，遭受了无数次大的黑客攻击事件。,研究网络与信息安全的必要性和社会意义,:,1.7.2,网络安全与经济,一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。当计算机网络因安全问题被破坏时，其经济损失是无法估计的。,我国计算机犯罪的增长速度超过了传统的犯罪，,1997,年,20,多起，,1998,年,142,起，,1999,年,908,起，,2000,年上半年,1420,起，再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握,100,多起，涉及的金额多达数亿元。,研究网络与信息安全的必要性和社会意义,:,1.7.3,网络安全与社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个谣言要大的多。,1999,年,4,月，河南商都热线一个,BBS,，,一张说交通银行郑州支行行长携巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提了十多亿。,研究网络与信息安全的必要性和社会意义,:,1.7.4,网络安全与军事,在第二次世界大战中，美国破译了日本的密码，将日本人的舰队几乎全歼，重创了日本海军。目前的军事战争更是信息化战争，谁掌握了战场上的制信息权，谁就将取得最后的胜利。,本节作业：,1.,列举,赛门铁克评出的“史上十大最具威胁的计算机病毒”？并至少写出你对其中的两种病毒的认识和切身感受？,2.,在众多网络安全威胁中，你认为哪个是最大威胁？为什么？,1.2,网络漏洞及安全隐患,利用网络结构缺陷而造成的漏洞是黑客能突破网络防护进入网络的主要手段之一。,TCP/IP,协议,“,苍蝇不盯无缝的蛋！,”,1.2.1,网络结构带来的风险和不安全因素,计算机网络设计缺陷包括以下两个方面内容：,物理结构的设计缺陷,网络系统的漏洞、协议的缺陷与后门,OSI,模型下的协议最理想的协议,TCP/IP,协议最实用的协议,具体表现在：,1,、物理网络结构易被窃听,（,1,）广播式网络的安全问题,最大特点是该通信子网中只有,一个公共通信通道,。,（,2,）点对点网络的安全问题,Internet,与广域网分组转发,路由器之间的连接,好奇或恶意攻击,具体表现在：,1,、物理网络结构易被窃听,（,3,）传输线路质量与安全问题,没有绝对安全的通信线路。,（,1,）容易被窃听和欺骗,（,2,）脆弱的,TCP/IP,服务,（,3,）缺乏安全策略,（,4,）配置的复杂性,2,、,TCP/IP,网络协议的设计缺陷：,1.,漏洞的等级,网络漏洞主要是指网络产品或系统存在的缺陷给网络带来的,不安全因素,，产生的主要原因是设计网络产品或系统时考虑不周到。,允许拒绝服务的漏洞（,C,类）,不太重要的漏洞，一般存在于网络操作系统中，不会破坏数据或使数据泄密，只会阻塞网络。,方法,：及时下载并安装系统补丁！,1.2.2,计算机网络系统的漏洞,1.,漏洞的等级,允许本地用户非法访问的漏洞（,B,类）,一般发生在多种平台的应用程序中，应用程序的漏洞引起的。,典型案例：,Sendmail,允许过程用户未经授权访问的漏洞（,A,类）,A,类漏洞是威胁最大的一种漏洞。一般由于系统管理较差或设置有误造成的。,方法：,注意系统安全日志。（,eventvwr.msc,）,1.2.2,计算机网络系统的漏洞,2.,系统安全漏洞,世界上所有发生的网络攻击事件中，,80%,以上是因为系统存在安全漏洞被内部或外部攻击者利用所造成的。,（,1,）潜在的安全漏洞,密码漏洞,软件漏洞,协议漏洞,1.2.2,计算机网络系统的漏洞,如何避免口令被破解？,1.,使用相对安全的口令。,口令不少于,6,位，应包含字母、数字和其他字符。,避免直接使用生日、姓名、电话号码等简单组合的口令。,定期或不定期的修改口令。,对某些网络服务的登录次数进行限定，防止猜解用户名和口令。,2.,使用加密技术（压缩包加密）,3.,使用证书,4.,记录账户登录日志。,缓冲区溢出,拒绝服务,恶意代码,（,2,）可利用的系统工具,Windows NT NBTSTAT,命令,Portscan,工具,数据包窃听器,1.2.2,计算机网络系统的漏洞,（,3,）不正确的系统设置,(,不断维护、更新,),（,4,）不完善的系统设计,3.,系统安全漏洞类型大体如下：,（,1,）软件漏洞,（,2,）结构漏洞,（没有安全措施）,（,3,）配置漏洞（不合理）,（,4,）管理漏洞（疏漏、大意）,（,5,）信任漏洞,1.2.2,计算机网络系统的漏洞,经常检查并及时更新软件补丁是个很好的习惯，特别是对,浏览器,和,操作系统,。,1.2.2,计算机网络系统的漏洞,从技术上来看，主要有以下几个方面：,网络系统软件自身的安全问题（,后门,）,网络系统中数据库的安全问题,其他威胁网络安全的典型因素,1.2.3,计算机网络技术的安全隐患,缓冲区溢出,是最常见，也是被黑客使用最多的攻击漏洞。,缓冲区,（,buffer,）是用来存储程序代码和数据的,临时区域,。,缓冲区溢出机制,缓冲区溢出漏洞攻击方式,缓冲区溢出保护,对策,1.2.4,缓冲区溢出,1.2.4.1,缓冲区溢出机制,向一个有限空间的缓冲区中植入超长的字符串可能会有两种结果：,过长的字符串,覆盖相邻的存储单元,，引起程序运行失败，严重的导致系统崩溃；,利用这种漏洞可以执行任意命令，甚至可以取得系统,Root,特级权限。,1.2.4.2,缓冲区溢出漏洞攻击方式：,攻击,root,程序，获得特权。,黑客要达到目的通常要完成两大任务：,在程序的地址空间里安排适当的代码,“植入法”,将控制程序转移到攻击代码的形式,寻求改变程序的执行流程，使它跳转到攻击代码。,跳转,1.2.4.3,缓冲区溢出保护方法：,正确的编写代码,非执行的缓冲区,检查数组边界,让程序代码的数据缓冲区地址空间不可执行。,跳转,“欺骗”不是“攻击”，而是个过程！,1. IP,地址欺骗,2. ARP,欺骗,(,可用,静态,ARP,表,),3. DNS,欺骗（可用,反向查询检查攻击,）,4.,对策,1.2.5,欺骗技术,“反向查询”,-,以名字来检验,IP,地址,1.3 网络安全发展趋势展望,1.3.1,网络安全的现状,1.,近几年网络安全回顾,2.,网络安全新趋势,“链接型”混合攻击；,平台化攻击；,恶意插件、垃圾邮件、数据窃取等手段。,1.3.2,网络安全技术的发展,从理论上讲，网络安全是建立在密码学和网络安全协议的基础上的。,从技术上讲，包括网络设备的硬件技术和软件技术。,对我国而言，关键是要有自主的知识产权和关键技术，从根本上摆脱对外国软硬件等技术的依赖。,1.3.3,建立主动防御体系,1.,主动防御，应对下一代安全隐患,硬件防护产品取代人工、软件防护；,2.,深度渗透打造综合防御,单独依靠防火墙仅仅能抵御,20%,左右的威胁；,应用层,IDS,（入侵检测系统）,IPS,（入侵防护系统）,3.,进入全面防御时代,用户从以下四点考虑安全建设的蓝图：,保护,Web,数据流的安全,部署对电子邮件的预防性保护措施,预防企业数据丢失,跟踪重要通信,要求课后完成,习题一,作业：,