计算机网络安全技术培训课件(PPT 46页)

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,47,第,9,章 计算机,网,网络安全技,术,术,9,.1,网络安全概述,9,.2,网络安全技术,计算机网络技术,9.1,网络安全概,述,述,9.1.1,网络面临的,威,威胁,1,、人为的无,意,意失误,2,、人为的恶,意,意攻击,3,、网络软件,系,系统的漏洞,和,和后门,4,、 病毒感,染,染,5,、隐私及机,密,密资料的存,储,储和传输,冒名顶替,废物搜寻,身份识别错,误,误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不,周,周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威,胁,胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,9.1.1,网络安全威胁,虚拟专用网,防火墙,访问控制,防病毒,入侵检测,网络安全整,体,体框架(形,象,象图),中国被黑网,站,站一览表,国内外黑客,组,组织,网络病毒,红色代码,尼姆达,冲击波,震荡波,ARP,病毒,病毒性木马,工行密码盗,取,取,木马,其它后门工,具,具,安全威胁实,例,例,用户使用一,台,台计算机,D,访问位于网,络,络中心服务,器,器,S,上的,webmail,邮件服务，,存,存在的安全,威,威胁：,U,在输入用户,名,名和口令时,被,被录像,机器,D,上有,key logger,程序，记录,了,了用户名和,口,口令,机器,D,上存放用户,名,名和密码的,内,内存对其他,进,进程可读，,其,其他进程读,取,取了信息，,或,或这段内存,没,没有被清0,就,就分配给了,别,别的进程，,其,其他进程读,取,取了信息,用户名和密,码,码被自动保,存,存了,用户名和密,码,码在网络上,传,传输时被监,听,听（共享介,质,质、或,arp,伪造）,机器,D,上被设置了,代,代理，经过,代,代理被监听,安全威胁实,例,例（续）,查看邮件时,被,被录像,机器,D,附近的无线,电,电接收装置,接,接收到显示,器,器发射的信,号,号并且重现,出,出来,屏幕记录程,序,序保存了屏,幕,幕信息,浏览邮件时,的,的临时文件,被,被其他用户,打,打开,浏览器,cache,了网页信息,临时文件仅,仅,仅被简单删,除,除，但是硬,盘,盘上还有信,息,息,由于,DNS,攻击，连接,到,到错误的站,点,点，泄漏了,用,用户名和密,码,码,由于网络感,染,染了病毒，,主,主干网瘫痪,，,，无法访问,服,服务器,服务器被,DOS,攻击，无法,提,提供服务,9.1.2,网络安全的,定,定义,理解角度,网络安全是,指,指网络系统,的,的硬件、软,件,件及其系统,中,中的数据受,到,到保护，不,因,因偶然的或,者,者恶意的原,因,因而遭到破,坏,坏、更改、,泄,泄露，系统,可,可以连续可,靠,靠正常地运,行,行，网络服,务,务不中断。,个人用户：,防,防止他人侵,犯,犯自己的利,益,益和隐私,网络运行和,管,管理者：保,证,证资源安全,、,、抵制黑客,攻,攻击,安全保密部,门,门：过滤有,害,害信息、避,免,免机要信息,泄,泄露,社会教育和,意,意识形态,：,：控制网络,内,内容,9.1.3,网,络,络,安,安,全,全,的,的,特,特,征,征,（1,）,）保,密,密,性,性,confidentiality：,信,息,息,不,不,泄,泄,露,露,给,给,非,非,授,授,权,权,的,的,用,用,户,户,、,、,实,实,体,体,或,或,过,过,程,程,，,，,或,或,供,供,其,其,利,利,用,用,的,的,特,特,性,性,。,。,（2,）,）完,整,整,性,性,integrity：,数,据,据,未,未,经,经,授,授,权,权,不,不,能,能,进,进,行,行,改,改,变,变,的,的,特,特,性,性,，,，,即,即,信,信,息,息,在,在,存,存,储,储,或,或,传,传,输,输,过,过,程,程,中,中,保,保,持,持,不,不,被,被,修,修,改,改,、,、,不,不,被,被,破,破,坏,坏,和,和,丢,丢,失,失,的,的,特,特,性,性,。,。,（3,）,）可用,性,性,availability：,可被,授,授权,实,实体,访,访问,并,并按,需,需求,使,使用,的,的特,性,性，,即,即当,需,需要,时,时应,能,能存,取,取所,需,需的,信,信息,。,。网,络,络环,境,境下,拒,拒绝,服,服务,、,、破,坏,坏网,络,络和,有,有关,系,系统,的,的正,常,常运,行,行等,都,都属,于,于对,可,可用,性,性的,攻,攻击,。,。,（4,）,）可控,性,性,controllability：,对信,息,息的,传,传播,及,及内,容,容具,有,有控,制,制能,力,力。,（5,）,）可审,查,查性：出,现,现的,安,安全,问,问题,时,时提,供,供依,据,据与,手,手段,9.1.4,影响,网,网络,安,安全,的,的主,要,要因,素,素（1）,网络,的,的缺,陷,陷,因特,网,网在,设,设计,之,之初,对,对共,享,享性,和,和开,放,放性,的,的强,调,调，,使,使得,其,其在,安,安全,性,性方,面,面存,在,在先,天,天的,不,不足,。,。其,赖,赖以,生,生存,的,的,TCP/IP,协议,族,族在,设,设计,理,理念,上,上更,多,多的,是,是考,虑,虑该,网,网络,不,不会,因,因局,部,部故,障,障而,影,影响,信,信息,的,的传,输,输，,基,基本,没,没有,考,考虑,安,安全,问,问题,，,，故,缺,缺乏,应,应有,的,的安,全,全机,制,制。,因,因此,它,它在,控,控制,不,不可,信,信连,接,接、,分,分辨,非,非法,访,访问,、,、辨,别,别身,份,份伪,装,装等,方,方面,存,存在,着,着很,大,大的,缺,缺陷,，,，从,而,而构,成,成了,对,对网,络,络安,全,全的,重,重要,隐,隐患,。,。,例如,：,：多,数,数底,层,层协,议,议为,广,广播,方,方式,，,，多,数,数应,用,用层,协,协议,为,为明,文,文传,输,输，,缺,缺乏,保,保密,与,与认,证,证机,制,制，,因,因此,容,容易,遭,遭到,欺,欺骗,和,和窃,听,听,软件及,系,系统的,“,“漏洞,”,”及后,门,门,随着软,件,件及网,络,络系统,规,规模的,不,不断增,大,大，系,统,统中的,安,安全漏,洞,洞或“,后,后门”,也,也不可,避,避免的,存,存在，,比,比如我,们,们常用,的,的操作,系,系统，,无,无论是,Windows,还是,UNIX,几乎都,存,存在或,多,多或少,的,的安全,漏,漏洞，,众,众多的,服,服务器,、,、浏览,器,器、桌,面,面软件,等,等等都,被,被发现,存,存在很,多,多安全,隐,隐患。,任,任何一,个,个软件,系,系统都,可,可能会,因,因为程,序,序员的,一,一个疏,忽,忽或设,计,计中的,一,一个缺,陷,陷等原,因,因留下,漏,漏洞。,这,这也成,为,为网络,的,的不安,全,全因素,之,之一,影响网,络,络安全,的,的主要,因,因素（2）,黑客的,攻,攻击,黑客技,术,术不再,是,是一种,高,高深莫,测,测的技,术,术，并,逐,逐渐被,越,越来越,多,多的人,掌,掌握。,目,目前，,世,世界上,有,有20,多,多万,个,个免费,的,的黑客,网,网站，,这,这些站,点,点从系,统,统漏洞,入,入手，,介,介绍网,络,络攻击,的,的方法,和,和各种,攻,攻击软,件,件的使,用,用，这,样,样，系,统,统和站,点,点遭受,攻,攻击的,可,可能性,就,就变大,了,了。加,上,上现在,还,还缺乏,针,针对网,络,络犯罪,卓,卓有成,效,效的反,击,击和跟,踪,踪手段,，,，这些,都,都使得,黑,黑客攻,击,击具有,隐,隐蔽性,好,好，“,杀,杀伤力,”,”强的,特,特点，,构,构成了,网,网络安,全,全的主,要,要威胁,。,。,网络普,及,及，安,全,全建设,滞,滞后,网络硬,件,件建设,如,如火如,荼,荼，网,络,络管理,尤,尤其是,安,安全管,理,理滞后,，,，用户,安,安全意,识,识不强,，,，即使,应,应用了,最,最好的,安,安全设,备,备也经,常,常达不,到,到预期,效,效果,9.2,网络安,全,全保障,体,体系,安全管,理,理与审,计,计,物理层,安,安全,网络层安全,传输层安全,应用层安全,链路层,物理层,网络层,传输层,应用层,表示层,会话层,审计与监控,身份认证,数据加密,数字签名,完整性鉴别,端到端加密,访问控制,链路加密,物理信道安,全,全,物理隔离,访问控制,数据机密性,数据完整性,用户认证,防抵赖,安全审计,网络安全层,次,次,层次,模型,网络安全技,术,术,实现安全目,标,标,用户,安全,服务可用,9.2,网络安全机,制,制,安全机制可,分,分为两类,：,：安全服务,与,与安全系统,管,管理,加密机制,数字签名机制,访问控制机制,数据完整性机制,认证交换机制,防业务流分析机制,路由控制机制,公证机制,2,、网络安全,技,技术,1,、,安全机制,数据加密,技术,物理隔离,防火墙技术,入侵检测,技术,病毒防护技术,跟踪审计技术,9.2.1,物理隔离,主要分两种,：,：,双网隔离计,算,算机,物理隔离网,闸,闸,双网隔离计,算,算机,解决每人2,台,台计算机的,问,问题,1台计算机,，,，可以分时,使,使用内网或,外,外网,关键部件,硬盘,网线,软盘/,USB/MODEM,等,共享部件,显示器,键盘/鼠标,主板/电源,硬盘*,原理,切换关键部,件,件,简单双网隔,离,离计算机,外网硬盘,内网硬盘,外网网线,内网网线,公共部件,控制卡,控制开关,复杂双网隔,离,离计算机,内网硬盘,外网网线,内网网线,公共部件,控制卡,远端设备,使用控制卡,上,上的翻译功,能,能将硬盘分,为,为逻辑上独,立,立的部分,充分使用,UTP,中的8芯，,减,减少一根网,线,线,物理隔离网,闸,闸的基本原,理,理,采用数据“,摆,摆渡”的方,式,式实现两个,网,网络之间的,信,信息交换,在任意时刻,，,，物理隔离,设,设备只能与,一,一个网络的,主,主机系统建,立,立非,TCP/IP,协议的数据,连,连接，即当,它,它与外部网,络,络相连接时,，,，它与内部,网,网络的主机,是,是断开的，,反,反之亦然。,任何形式的,数,数据包、信,息,息传输命令,和,和,TCP/IP,协议都不可,能,能穿透物理,隔,隔离设备。,物,物理隔离设,备,备在网络的,第,第7层讲数,据,据还原为原,始,始数据文件,，,，然后以“,摆,摆渡文件”,形,形式传递原,始,始数据。,物理隔离实,现,现基本原理,（,（1）,物理隔离实,现,现基本原理,（,（2）,内外网模块,连,连接相应网,络,络实现数据,的,的接收及预,处,处理等操作,；,；,交换模块采,用,用专用的高,速,速隔离电子,开,开关实现与,内,内外网模块,的,的数据交换,，,，保证任意,时,时刻内外网,间,间没有链路,层,层连接；,数据只能以,专,专用数据块,方,方式静态地,在,在内外网间,通,通过网闸进,行,行“摆渡”,，,，传送到网,闸,闸另一侧；,集成多种,安,安全技术,手,手段，采,用,用强制安,全,全策略，,对,对数据内,容,容进行安,全,全检测，,保,保障数据,安,安全、可,靠,靠的交换,。,。,物理隔离,技,技术的应,用,用,涉密网和,非,非涉密网,之,之间,物理隔离,技,技术的优,缺,缺点,优点：,中断直接,连,连接强大的检,查,查机制最高的安,全,全性,缺点：,对协议不,透,透明，对,每,每一种协,议,议都要一,种,种具体的,实,实现,效率低,9.2.2,防火墙技,术,术,防火墙的概念和,功,功能,1,、防火墙,的,的概念,：,：防火墙,是,是设置在,不,不同网络,或,或网络安,全,全域之间,的,的一系列,部,部件的组,合,合，它是,建,建立在两,个,个网络或,网,网络安全,域,域边界上,的,的实现安,全,全策略和,网,网络通信,监,监控的系,统,统或系统,集,集，,它强制执,行,行对内部,网,网络（如,校,校园网）,和,和外部网,络,络（如,Internet,）的访问,控,控制，是,不,不同网络,或,或网络安,全,全域之间,的,的唯一出,入,入口，并,通,通过建立,一,一整套规,则,则和策略,来,来监测、,限,限制、转,换,换跨越防,火,火墙的数,据,据流，实,现,现保护内,部,部网络的,目,目的。,9.2.2,防,火,火,墙,墙,技,技,术,术,防,火,火,墙,墙的,概,概,念,念,和,和,功,功,能,能,强,化,化,网,网,络,络,安,安,全,全,策,策,略,略,对,网,网,络,络,存,存,取,取,和,和,访,访,问,问,进,进,行,行,监,监,控,控,审,审,计,计,防,止,止,易,易,受,受,攻,攻,击,击,的,的,服,服,务,务,防,止,止,内,内,部,部,信,信,息,息,的,的,外,外,泄,泄,2,、防火墙的功能,防,火,火,墙,墙的,类,类,型,型,总,体,体,分,分,为,为,两,两,大,大,类,类,：,：,包,包,过,过,滤,滤,型,型,防,防,火,火,墙,墙,、,、,应,应,用,用,代,代,理,理,型,型,防,防,火,火,墙,墙,包,过,过,滤,滤,型,型,：,：,分包传输,包具有特定信息（数据源地址、目标地址、,TCP/UDP,源端口和目标端口等）,优点是简单实用，缺点是无法识别恶意侵入,应,用,用,代,代,理,理,型,型,：,：,代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。,优点是安全性高，缺点是影响系统整体性能,不,能,能,防,防,范,范,绕,绕,过,过,防,防,火,火,墙,墙,的,的,攻,攻,击,击,不,能,能,防,防,止,止,数,数,据,据,驱,驱,动,动,式,式,攻,攻,击,击,。,。,难,以,以,避,避,免,免,来,来,自,自,内,内,部,部,的,的,攻,攻,击,击,。,。,防,火,火,墙,墙的,缺,缺,陷,陷,一,般,般,的,的,防,防,火,火,墙,墙,不,不,能,能,防,防,止,止,受,受,到,到,病,病,毒,毒,感,感,染,染,的,的,软,软,件,件,或,或,文,文,件,件,的,的,传,传,输,输,。,。,9.2.3,网,络,络,病,病,毒,毒,防,防,护,护,网,络,络病,毒,毒,病,毒,毒,是,是,一,一,种,种,寄,寄,生,生,在,在,普,普,通,通,程,程,序,序,中,中,、,、,且,且,能,能,够,够,将,将,自,自,身,身,复,复,制,制,到,到,其,其,他,他,程,程,序,序,、,、,并,并,通,通,过,过,执,执,行,行,某,某,些,些,操,操,作,作,，,，,破,破,坏,坏,系,系,统,统,或,或,干,干,扰,扰,系,系,统,统,运,运,行,行,的,的,“,“,坏,坏,”,”,程,程,序,序,。,。,网,络,络,传,传,播,播,途,途,径,径,:,文,件,件,下,下,载,载,(,浏,览,览,或,或,FTP,下,载,载,),电,子,子,邮,邮,件,件,(,邮,件,件,附,附,件,件,),9.2.3,网,络,络,病,病,毒,毒,防,防,护,护,网,络,络病,毒,毒,的,的,特,特,点,点,1,、,传,传,染,染,方,方,式,式,多,多,2,、,传,传,染,染,速,速,度,度,快,快,3,、,清,清,除,除,难,难,度,度,大,大,4,、,破,破,坏,坏,性,性,强,强,5,、,针,针,对,对,性,性,强,强,6,、,激,激,发,发,形,形,式,式,多,多,样,样,9.2,3,网络病,毒,毒防护,常见的网络,病,病毒,1,、电子,邮,邮件病,毒,毒,2,、,Java,程序病,毒,毒,3,、,ActiveX,病毒,4,、网页,病,病毒,9.2.3,网络病,毒,毒防护,9.2.3,网络病,毒,毒的防,治,治,以网为,本,本，多,层,层防御,，,，有选,择,择地加,载,载保护,计,计算机,网,网络安,全,全的网,络,络防病,毒,毒产品,病毒防范,计算机网络病毒的防治,1,、尽量少用超级用户登录,2,、严格控制用户的网络使用权限,3,、对某些频繁使用或非常重要的文件属性加以控制，以免被病毒传染,4,、对远程工作站的登录权限严格限制,9.2.4,入侵检,测,测技术,（,（第,二,二防线,）,）,9.2.4.1,入侵者,常,常用手,段,段,1,、,信,信息,收,收集,2,、,对,对系,统,统安,全,全薄,弱,弱点,的,的探,测,测,3,、 网络,攻,攻击,SNMP,、,TraceRout,程序、,Whois,服务、,DNS,服务、,Finger,协议、,Ping,实用程序,利用自编,的,的程序,利用公开,的,的工具,目标系统,中,中安装探,测,测软件,在受损系,统,统中获得,访,访问权,9.2.4,入侵检测,技,技术（第,二,二防线）,9.2.4.2,入侵防范,措,措施,选用安全,的,的密码，,并,并经常修,改,改密码；,应及时取,消,消调离或,停,停止工作,的,的雇员帐,号,号，及无,用,用帐号；,实施存取,控,控制措施,；,；,确保数据,的,的安全性,和,和完整性,；,；原有数,据,据要和现,行,行数据保,持,持完全一,致,致。,安装防火,墙,墙或入侵,检,检测系统,，,，及时发,现,现并阻止,入,入侵行为,。,。,个人其它,防,防范措施,：,：使用,不,不同密码,、,、不透露,个,个人信息,9.2.5,访问控制,（,（1）,广义的访,问,问控制功,能,能包括鉴,别,别、授权,和,和记账等,鉴别（,Authentication）：,辨别用户,是,是谁的过,程,程。,授权（,Authorization）,对完成认,证,证过程的,用,用户授予,相,相应权限,，,，解决用,户,户能做什,么,么的问题,。,。在一些,访,访问控制,的,的实现中,，,，认证和,授,授权是统,一,一在一起,的,的,记账（,Accounting）；,统计用户,做,做过什么,的,的过程，,通,通常使用,消,消耗的系,统,统时间、,接,接收和发,送,送的数据,量,量来量度,。,。,Tacacs、Tacacs+、Radius,等技术能,实,实现这三,种,种功能。,9.2.5,访问控制,（,（2）,RADIUS,协议,针对远程,用,用户,Radius（Remote AuthenticationDialinUserservice,）,）,协议，采,用,用分布式,的,的,Client/Server,结构完成,密,密码的集,中,中管理和,其,其他访问,控,控制功能,；,；网络用,户,户（,Client）,通过网络,访,访问服务,器,器（,NAS）,访问网络,，,，,NAS,同时作为,Radius,结构的客,户,户端，认,证,证、授权,和,和计帐的3,A,功能通过,NAS,和安全服,务,务器（,SecutityServer）,或,Radius,服务器之,间,间的,Radius,协议过程,完,完成，而,用,用户的控,制,制功能在,NAS,实现。,访问控制,（,（3）,TACAS,协议,TACACS （TerminalAccessController Access Control System-,终端访问,控,控制系统,）,）是历史,上,上用于,UNIX,系统的认,证,证协议，,它,它使远程,访,访问服务,器,器将用户,的,的登录信,息,息发送到,认,认证服务,器,器以确定,用,用户是否,可,可以访问,给,给定系统,。,。,TACACS,对数据并,不,不加密，,因,因此它的,安,安全性要,差,差一些，,针,针对这种,情,情况，又,设,设计了,TACACS+,和,RADIUS,协议。,访问控制,（,（4）,TACACS+,协议,由,Cisco,公司提出，,在,在此协议中,，,，当用户试,图,图登录时，,NAS,将询问安全,服,服务做什么,，,，安全服务,器,器通常知,NAS,输入用户名,和,和密码，然,后,后，发送接,受,受或拒绝响,应,应信息给,NAS。,用户登录进,入,入之后，对,于,于每一条用,户,户输入的命,令,令，,NAS,都将提请安,全,全服务器进,行,行授权。,访问控制（5）,TACACS+,协议的应用,9.2.6,数据加密概,述,述,9.2.6,数据加密技,术,术 （最后,防,防线）,数据加密就,是,是按照确定,的,的密码算法,将,将敏感的明,文,文数据变换,成,成难以识别,的,的密文数据,，,，通过使用,不,不同的密钥,，,，可用同一,加,加密算法将,同,同一明文加,密,密成不同的,密,密文。,只有指定的,用,用户和网络,设,设备才能解,译,译加密数据,，,，从根本上,解,解决网络安,全,全的两大主,要,要需求，即,网,网络服务的,可,可用性和信,息,息的完整性,。,。,9.2,.,6,密码技术的,基,基本概念,9.2.6,数据加密技,术,术 （最后,防,防线）,密码技术是,网,网络信息安,全,全与保密的,核,核心和关键,。,。通过密码,技,技术的变换,或,或编码，可,以,以将机密、,敏,敏感的消息,变,变换成难以,读,读懂的乱码,型,型文字，以,此,此达到两个,目,目的：,其一，使不,知,知道如何解,密,密的“黑客,”,”不可能从,其,其截获的乱,码,码中得到任,何,何有意义的,信,信息,其二，使“,黑,黑客”不可,能,能伪造或篡,改,改任何乱码,型,型的信息。,9.2.6,常用数据加,密,密方法,9.2.6,数据加密技,术,术 （最后,防,防线）,单钥或对称,密,密码体制：,加,加密密钥和,解,解密密钥相,同,同，或从一,个,个可以推出,另,另一个。,双钥或非对,称,称密码体制,：,：加密密,钥,钥和解密密,钥,钥不相同，,从,从一个难于,推,推出另一个,。,。,优点：不存,在,在密钥管理,问,问题 、拥,有,有数字签名,功,功能,缺点：算法,比,比较复杂，,加,加、解密速,度,度慢,优点：加、,解,解密速度快,缺点：密钥,管,管理难；无,法,法解决消息,确,确认问题；,缺乏自动检,测,测密钥泄露,的,的能力,著名密码算,法,法介绍,9.2.6,数据加密技,术,术 （最后,防,防线）,1,、,DES,加密算法：,DES,是一种典型,的,的按分组方,式,式工作的密,码,码。其基本,思,思想是将二,进,进制序列的,明,明文分成每,64,位一组，用,长,长为,56,位的密钥对,其,其进行,16,轮代换和换,位,位加密，最,后,后形成密文,。,。,优点：加密,和,和解密的步,骤,骤完全相同,，,，,DES,芯片易于做,到,到标准化和,通,通用化,缺点：密钥,太,太短，影响,保,保密强度,著名密码算法介,绍,绍,9.2.6,数据加密技,术,术 （最后,防,防线）,2,、,RSA,加密算法：,RSA,加密算法是,非,非对称式加,密,密算法，也,是,是最著名的,公,公钥加密算,法,法。,RSA,加密算法通,常,常首先生成,一,一对,RSA,密钥，一个,是,是保密密钥,，,，由用户保,存,存；另一个,是,是公开密钥,，,，对外公开,，,，甚至可在,网,网络服务器,中,中注册。,优点：密钥,分,分配方便、,安,安全性高,缺点：速度,慢,慢,数字签名,9.2.6,数据加密技,术,术 （最后,防,防线）,实现数字签,名,名三点保证,：,：,1,、接收者能,够,够核实发送,者,者对报文的,签,签名。,2,、发送者事,后,后不能抵赖,对,对报文的签,名,名。,3,、接收者不,能,能伪造对报,文,文的签名。,演讲完毕，,谢,谢谢观看！,