计算机网络应用课件ch9-计算机网络安全

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,9,章 计算机网络安全,9.1,网络安全概述,9.2,网络攻击,9.3,计算机病毒,9.4,防火墙技术,9.5,信息加密技术,作业,1,9.1,网络安全概述,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,9.1.1,网络安全的目标,9.1.2,网络不安全因素,9.1.3,网络安全的基本措施,2,9.1.1,网络安全的目标,3,机密性,：网络信息的内容不会被未授权的第三方所知。,完整性,：信息在存储或传输时不得被未授权的第三方修改、破坏。,可用性,：得到授权的实体在需要时可访问数据，攻击者不得占用资源而阻碍被授权者使用数据。,可控性,：可以控制授权范围内的信息流向及行为方式。,可审查性,：对出现的网络安全问题提供调查的依据和手段。,9.1.2,网络不安全因素,4,自然灾害：火灾、水灾或地震的破坏，以及环境（湿度、温度、污染）等的影响。,网络系统出错,用户操作不当,人为有意造成的网络威胁,网络攻击,计算机病毒,9.1.3,网络安全的基本措施,5,通过对特定网段、服务的访问控制体系，阻止攻击发生。,建立严格的用户身份认证和使用权限体系，防止攻击者假冒合法用户。,安装杀毒软件，及时和定时对系统进行检测和处理。,设置防火墙，监控、记录并限制对内部资源的非法访问。,对传输和存储的重要数据加密，可使攻击者不能了解、修改敏感信息。,预备良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。,9.2,网络攻击,网络攻击是指任何未经授权而进入或者试图进入其他计算机网络的行为。这种行为包括对整个网络的攻击，也包括对网络中的服务器或单个计算机的攻击。,9.2.1,保密信息窃取,9.2.2,拒绝服务攻击,9.2.3,缓冲区溢出攻击,9.2.4,欺骗攻击,6,9.2.1,保密信息窃取,7,使用社交手段骗取用户名和密码,发布免费软件，内含盗取计算机信息的功能，还有些利用病毒程序将用户的数据发送到外部网络，导致信息泄露。,监听或拦截网络传输数据，非法窃取其他用户的信息,攻击者使用数据推理，恶意从公开信息推测出敏感信息。,9.2.2,拒绝服务攻击,8,此攻击使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。,SYN,Flooding,是,DoS,攻击的一种形式。一个系统支持的连接数量有限，攻击者向目标系统发送大量的虚假的通信请求，阻塞正常用户的连接请求。,(Denial of Service,DoS),TCP,连接的三次握手,9.2.3,缓冲区溢出攻击,9,这是一种通过往程序的缓冲区写入精心安排的超长内容，造成缓冲区溢出，从而破坏程序的堆栈，改变程序的执行逻辑，使程序转而执行其他预设指令，以达到攻击目的的攻击方法。,缓冲区溢出是一种相当普遍的缺陷，也是一种非常危险的缺陷，在各种系统软件、应用软件中广泛存在。缓冲区溢出可以导致程序运行失败、系统死机等后果。如果攻击者利用缓冲区溢出使计算机执行预设的非法程序，则可能获得系统特权，执行各种非法操作。,缓冲区溢出攻击,10,用户内存中程序映像的安排,内存低端,内存高端,程序段,(,程序的机器代码,和只读数据,),数据段,(,程序的静态数据,),堆栈段,(,程序的动态数据,),局部变量空间,(,缓冲区,),BP,(,基址指针寄存器,),RET,(,返回地址,),参数空间,(,函数调用参数,),栈底,栈顶,9.2.4,欺骗攻击,11,常用的欺骗攻击方式有：,DNS,欺骗攻击,Email,欺骗攻击,Web,欺骗攻击,IP,欺骗攻击,9.3,计算机病毒,计算机病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,9.3.1,计算机病毒的特点,9.3.2,计算机病毒的分类,9.3.3,计算机病毒的常见症状,9.3.4,恶意病毒的“四大家族”,9.3.5,计算机病毒的防范,12,9.3.1,计算机病毒的特点,13,寄生性,：寄生在其他程序之中，而在未启动这个程序之前，它是不易被人发觉的。,传染性,：计算机病毒可通过各种可能的渠道，如,U,盘、计算机网络去传染其他的计算机。,潜伏性,：一个编制精巧的计算机病毒程序，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染。,破坏性,：可导致计算机内的文件删除或不同程度的破坏。,可触发性,：病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。,9.3.2,计算机病毒的分类,14,按病毒存在的媒体,引导区型病毒,：主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的,“,主引导记录,”,和破坏磁盘上的文件分区表。,文件型病毒,：也称为寄生病毒。它通常感染扩展名为,COM,、,EXE,、,SYS,等类型的文件。,宏病毒,：是寄存在,Office,文档上的宏代码病毒，它影响对文档的各种操作。,计算机病毒的分类,15,按病毒的破坏能力,无害型,：除了传染时减少磁盘的可用空间外，对系统没有其它影响。,无危险型,：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。,危险型,：这类病毒在计算机系统操作中造成严重的错误。,非常危险型,：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。,9.3.3,计算机病毒的常见症状,16,计算机系统运行速度减慢,计算机系统经常无故发生死机,计算机系统中的文件长度发生变化,计算机存储的容量异常减少,丢失文件或文件损坏,计算机屏幕上出现异常显示,文件的日期、时间、属性等发生变化,WORD,或,EXCEL,提示执行“宏”,9.3.4,恶意病毒的“四大家族”,17,宏病毒,在,Word,打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，出现不能打印文件、,Office,文档无法保存或另存为等情况，或直接删除文件等等。病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。,一般的杀毒软件都可以清除宏病毒。,恶意病毒的“四大家族”,18,CIH,病毒,它是第一个能破坏硬件的病毒。它通过篡改主板,BIOS,里的数据，造成电脑开机就黑屏，使用户无法进行任何数据抢救和杀毒的操作。其变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常不仅删除硬盘上的文件还破坏硬盘的分区表，使得即使换了主板或其他电脑引导系统，染毒的硬盘上的数据挽回的机会很少。已经有很多,CIH,免疫程序诞生，包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕,CIH,了。,恶意病毒的“四大家族”,19,蠕虫病毒,蠕虫病毒以尽量多复制自身（像虫子一样大量繁殖）而得名，多感染电脑和占用系统、网络资源，造成,PC,和服务器负荷过重而死机，并以使系统内数据混乱为主要的破坏方式。例如著名的尼姆达病毒,(,利用,Windows,漏洞，不断拨号上网,),和,2006,年流行的“熊猫烧香”病毒。,蠕虫病毒的一般防治方法是：打好相应的系统补丁，使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。,恶意病毒的“四大家族”,20,木马病毒,通过电子邮件附件发出或者捆绑在其他的程序中。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的后门，使施种者可以远程操控被种者的电脑，任意进行文件删除、拷贝、改密码等非法操作，或使它定时地发送该用户的隐私到木马程序指定的地址。,恶意病毒的“四大家族”,21,木马病毒的主要种类：,网络游戏木马,-,记录用户输入，获取用户密码或者账号。,网银木马,-,盗取用户的卡号、密码，甚至安全证书。,即时通讯软件木马,-,对聊天窗口进行控制，来达到发送文件或消息的目的。,下载类木马,-,其功能是从网络上下载其他病毒程序或安装广告软件。,DOS,攻击木马,-,中毒计算机成为,DOS,攻击得力助手。如邮件炸弹木马，染毒计算机会随机生成各种各样主题的信件去对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。,9.3.5,计算机病毒的防范,22,及时下载系统更新，修补漏洞。,不要用来路不明的,U,盘、移动硬盘。如使用，要先用杀毒软件检测。,上网下载时，尽量上门户网站或选择可靠站点。,及时升级杀毒软件。,关闭不用的端口，减少被攻击的可能。,做好系统重要文件的备份工作。,计算机病毒的防范,23,网络防病毒系统,客户端防毒软件：检查各类文件，包括压缩文件,服务器端防毒软件：防止病毒在用户局域网内传播,针对群件的防毒软件：,群件,(GroupWare),是帮助群组协同工作的软件，如,Lotus,公司的,Domino/Notes,，紧密结合邮件、工作流、文档库等,针对黑客的防毒软件：通过,MAC,地址和权限列表的严格匹配，控制可能出现的用户超越权限的行为,计算机病毒的防范,24,选择防病毒软件的几个要素,提供软件的厂商的开发水平和服务水平,防毒技术的先进性和稳定性,软件的用户界面是否友好并且易于使用,扫描速度、病毒识别率、升级的难易度、警示手段、可管理性能,等,常用：,360,、金山、瑞星、腾讯、百度、卡巴斯基,9.4,防火墙技术,防火墙是一种保护计算机网络安全的技术型措施，它可以是软件，也可以是硬件，或两者结合。它是在两个网络之间执行访问控制策略的系统，目的是保护网络不被他人侵扰。,9.4.1,防火墙的基本功能,9.4.2,防火墙的类型,9.4.3,防火墙的体系结构,25,9.4.1,防火墙的基本功能,26,防火墙是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的。,外部网络,内部网络,Firewall,防火墙的基本功能,27,集中强化网络安全策略：可以将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。,对网络访问和存取进行监控与限制：记录访问日志；提供网络使用的统计数据；当发生可疑动作时及时报警。,可以通过,NAT,方便地部署内部网络的,IP,地址：既可增加内部网络的,IP,地址数量，同时可以屏蔽外网了解内部网络地址部署情况。,隔离网络中的不同网段：防止一个网段的问题扩散。,防火墙的基本功能,28,防火墙的局限性：,防火墙不能自动防御所有新的的网络安全威胁,防火墙难以防范网络病毒,防火墙降低了网络的可用性,防火墙无法防范内部攻击,防火墙自身的可靠性问题，容易成为网络瓶颈,9.4.2,防火墙的类型,29,（,1,）,包过滤型防火墙,(Packet Filtering),工作在网络层和传输层对数据包进行选择，又叫筛选路由器或筛选过滤器。,选择的依据是系统内设置的过滤逻辑，被称为访问控制表,(Access Control Table),。,通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。,防火墙的类型,30,包过滤的缺点：维护比较困难，不能彻底防止地址欺骗；没有对网络更高协议层的信息理解能力，对网络保护能力有限。,规则,协议,源,IP,地址,目标,IP,地址,源端口,目的端口,行为,1,TCP,Any,192.168.0.1,Any,HTTP,Accept,2,TCP,Any,192.168.0.2,Any,POP3 SMTP,Accept,3,UDP,Any,192.168.0.8,Any,53,Accept,4,IP,Any,192.168.0.253/24,Any,ICMP,Accept,5,An