第11章网络安全技术

第11章网络安全技术11.1网络安全基础11.2网络安全体系结构11.3网络安全的常用技术-2-第11章网络安全技术达州职业技术学院信息工程系11.1网络安全基础11.1.1什么是网络安全？从狭义的角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，确保计算机和计算机网络系统的硬件、软件及其系统中的数据，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统能连续可靠正常的运行，网络服务不中断。计算机网络安全从其本质上来讲就是系统的信息安全。计算机网络安全是一门涉及计算机科学、网络技术、电子技术、密码技术、信息安全技术、应用数学等等多种学科的综合性科学。从广义的角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以，广义的计算机网络安全还包括信息设备的物理安全性，如场地环境保护、防火措施、静电防护、防水、防潮措施、电源保护、空调设备、计算机辐射等。-3-第11章网络安全技术达州职业技术学院信息工程系11.1.2网络安全基本要素1．机密性：确保信息不暴露给未授权的实体或进程。2．完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。3．可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。4．可控性：可以控制授权范围内的信息流向及行为方式。5．可审查性：对出现的网络安全问题提供调查的依据和手段。-4-第11章网络安全技术达州职业技术学院信息工程系11.1.3网络安全面临的主要威胁根据各种网络威胁产生的原因，我们把网络威胁归纳为以下4类：1.软件系统自身的安全缺陷导致的威胁（1）操作系统和应用软件自身存在着安全漏洞。（2）网络环境中的网络协议存在安全漏洞。2.非法进行网络操作带来的威胁（1）拒绝服务的攻击（2）非授权访问网络资源（3）网络病毒3.网络设施本身和运行环境因素的影响造成的威胁4.网络规划、运行管理上的不完善带来的威胁-5-第11章网络安全技术达州职业技术学院信息工程系11.1.4黑客对网络的常见攻击手段黑客对网络的攻击手段可以说多种多样，下面介绍几种常见攻击手段。1．通过获取口令，进行口令入侵2．放置特洛伊木马程序进行攻击3．拒绝服务攻击4．电子邮件攻击5．采取欺骗技术进行攻击6．寻找系统漏洞，入侵系统7．利用缓冲区溢出攻击系统-6-第11章网络安全技术达州职业技术学院信息工程系11.1.5网络安全的重要性就目前网络应用和发展情况来看，计算机网络安全的重要性具体表现在以下几个方面。1．随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂、系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量的不断增加，软件规模的空前膨胀，任何隐含的缺陷、失误、人为的破坏都会造成巨大的损失。2．利用网络环境处理各类数据信息是信息化时代的发展趋势，这其中包括个人邮件资料和隐私，一些部门、机构、企业的机密文件和商业信息，甚至是有关国家发展和安全的政治、经济、军事以及国防的重要数据，这些数据信息不仅涉及到个人和团体的利益，更主要的是可能关系一个国家的安全与稳定。-7-第11章网络安全技术达州职业技术学院信息工程系而正是这些数据信息是不法分子和敌对势力攻击的目标。为了确保网络中各类数据信息的安全，显然就离不开一套完善的网络安全防范体系的支持。3．当前，仍有大量网络用户只关注网络系统的功能，而忽视网络的安全，往往在碰到网络安全事件后，才被动地从发生的现象中注意系统应用的安全问题。广泛存在着重应用轻安全，安全意识淡薄的普遍现象。因此，加强网络安全知识的宣传和教育，学习有关网络安全的法律法规和一定的防范技术，也是保护网络安全的一项重要工作。-8-第11章网络安全技术达州职业技术学院信息工程系11.2网络安全体系结构11.2.1网络安全系统模型11.2.2ISO的网络安全体系结构标准11.2.3计算机系统安全等级评价标准11.2.4建立网络安全策略-9-第11章网络安全技术达州职业技术学院信息工程系11.2.1网络安全系统模型网络安全系统实际上是在一定的法律法规、安全标准的规范下，根据具体应用需求和规定的安全策略的指导下，使用有关安全技术手段和措施所组成的用以控制网络之间信息流动的部件的集合，是一个准许或拒绝网络通信的具有保障网络安全功能的系统。一个完整的网络信息安全系统至少包括三个层次，并且三者缺一不可，它们共同构成网络信息安全系统的基本模型，如下图所示。政策、法律法规、安全策略加密访问控制用户验证管理审计网络信息安全模型图-10-第11章网络安全技术达州职业技术学院信息工程系这三个层次是：（1）法律政策，包括规章制度、安全标准、安全策略以及网络安全教育。它是安全的基石，是建立安全管理的标准和方法；（2）技术方面的措施，如防火墙技术、防病毒、信息加密、身份验证以及访问控制等；（3）审计与管理措施，包括技术措施与社会措施。实际应用中，主要有实时监控、提供安全策略改变的能力以及对安全系统实施审计、管理和漏洞检查等措施。当系统一旦出现了问题，审计与监控可以提供问题的再现、责任追查和重要数据恢复等保障。-11-第11章网络安全技术达州职业技术学院信息工程系11.2.2ISO的网络安全体系结构标准安全体系结构的目的是从技术上保证安全目标全部准确地实现，包括确定必要的安全服务、安全机制和技术管理以及它们在系统上的配置。国际标准化组织在ISO7498－2中描述的开放系统互连OSI安全体系结构确立了5种基本安全服务和8种安全机制。1．安全服务网络的安全服务定义了网络的各层可以提供的安全功能，这些功能可以在几层同时提供，也可由某一层提供。OSI安全体系结构的5个安全服务项目分别是：（1）鉴别服务（2）访问控制（3）机密性服务（4）数据完整性（5）抗抵赖服务-12-第11章网络安全技术达州职业技术学院信息工程系2．安全机制网络安全机制定义了实现网络安全服务所使用的可能方法。一种安全服务可由一种或数种安全机制支持，一种安全机制也可支持多种安全服务。按照OSI网络安全体系结构的定义，网络安全服务所需的网络安全机制包括以下8类：（1）加密机制（2）数字签名机制（3）访问控制机制（4）数据完整性机制（5）鉴别交换机制（6）业务流填充机制（7）路由控制机制（8）公证机制-13-第11章网络安全技术达州职业技术学院信息工程系11.2.3计算机系统安全等级评价标准由于对信息系统和安全产品的安全性评估事关国家安全和利益，任何国家不会轻易相信和接受由别的国家所作的评估结果，为保险起见，一般情况下还是要通过自己的测试才认为可靠。因此没有一个国家会把事关国家安全利益的信息安全产品和安全可信性建立在别的评估基础上，而是在充分借鉴别的国家标准的前提下，制订自己的安全评估标准。近几年来，随着我国信息化建设的迅猛发展，国家对计算机信息系统安全问题非常关注，为此公安部提出并组织制定了强制性国家标准《计算机信息安全保护等级划分准则》，该准则于1999年9月13日经国家质量技术监督局发布。-14-第11章网络安全技术达州职业技术学院信息工程系1.美国国防部和国家标准局的《可信计算机系统标准评估准则》（“桔皮书”）（TCSEC）它将计算机安全由低到高分为四类7级：D、C1、C2、B1、B2、B3、A。见下表：级别名称特征A验证设计安全级形式化的最高级描述和验证，形式化的隐蔽通道分析，非形式化的代码一致性证明B3安全域级安全内核，高抗渗透能力B2结构化安全保护级面向安全的体系结构，遵循最小授权原则，有较好的抗渗透能力，对所有的主体和客体提供访问控制保护，对系统进行隐蔽通道分析B1标记安全保护级在C2安全级上增加安全策略模型，数据标记（安全和属性），托管访问控制C2访问控制环境保护级访问控制，以用户为单位进行广泛的审计C1选择性安全保护级有选择的访问控制，用户与数据分离，数据以用户组为单位进行保护D最低安全保护级保护措施很少，没有安全功能-15-第11章网络安全技术达州职业技术学院信息工程系美国国防部的标准自问世以来，一直是评估多用户主机和小型操作系统的标准。其他方面，如数据库安全、网络安全也一直是通过这本美国国防部标准的桔皮书进行解释和评估的，如可信任网络解释（TrustedNetworkInterpretation）和可信任数据库解释（TrustedDatabaseInterpretation）等。2.欧共体的信息技术安全评测准则（ITSEC）ITSEC在安全特征和安全保证之间提供了明显的区别,它定义了7个评估级别。-16-第11章网络安全技术达州职业技术学院信息工程系11.2.4建立网络安全策略1．网络安全策略的定义所谓安全策略，是针对那些被允许进入访问网络资源的人所规定的、必须遵守的规则，是保护网络系统中软、硬件资源的安全、防止非法的或非授权的访问和破坏所提供的全局的指导，或者说，是指网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方面因素，所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。-17-第11章网络安全技术达州职业技术学院信息工程系2．确定网络安全目标对于网络的建设者和运行者来说，实现网络安全的第一要务是必须明确本网络的业务定位、所提供的服务类型和提供服务的对象。在确定网络安全目标时，必须考虑如下问题：（1）系统所提供的服务和对安全性的需求（2）易用性和安全性（3）安全的代价和风险-18-第11章网络安全技术达州职业技术学院信息工程系3．制定安全策略的原则在制定网络安全策略时，应遵循以下几方面的原则：（1）可用性原则（2）可靠性原则（3）动态性原则（4）系统性原则（5）后退性原则-19-第11章网络安全技术达州职业技术学院信息工程系4．网络安全策略包括的内容（1）物理安全；（2）访问控制；（3）信息加密；（4）网络用户的安全责任；（5）系统管理员的安全责任；（6）安全管理策略；（7）检测到安全问题时的策略。-20-第11章网络安全技术达州职业技术学院信息工程系11.3网络安全的常用技术11.3.1防火墙技术11.3.2网络入侵检测系统11.3.3安全漏洞扫描与网络监听11.3.4病毒防范技术11.3.5加密技术11.3.6认证技术11.3.7数据备份与恢复技术11.3.8虚拟专用网（VPN）技术-21-第11章网络安全技术达州职业技术学院信息工程系11.3.1防火墙技术1.防火墙的概念2.防火墙的主要功能3.防火墙技术4.防火墙的选购-22-第11章网络安全技术达州职业技术学院信息工程系1.防火墙的概念现在通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它是指隔离在内部（本地）网络与外界网络之间的一道防御系统，是这一类防范措施的总称。通过它可以隔离风险区域（如Internet或有一定风险的网络）与安全区域（如局域网，也就是内部网络）的连接，同时不会妨碍人们对风险区域的访问。它是一种设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。一般由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和外部网之间的访问控制。-23-第11章网络安全技术达州职业技术学院信息工程系路由器Internet防火墙交换机用户内部网外部网网络管理平台内网服务器群外网服务器群-24-第11章网络安全技术达州职业技术学院信息工程系2.防火墙的主要功能1．防火墙是网络安全的屏障2．防火墙能控制对特殊站点的访问3．对网络存取访问进行记录和统计4．防止内部网络信息的外泄5．地址转换(NAT)-25-第11章网络安全技术达州职业技术学院信息工程系3.防火墙技术目前在实际应用中所使用的防火墙产品有很多,但从其采用的技术来看主要包括两类:包过滤技术和应用代理技术,实际的防火墙产品往往由这两种技术的演变扩充或复合而形成的。具体来说主要包括：简单包过