第1章网络安全技术

网络安全技术主要内容网络安全基础网络攻击与防范拒绝服务和数据库安全计算机病毒与木马安全防护与入侵检测加密技术与虚拟专用网CISCOPIX防火墙学习目标了解常见的网络攻击方法掌握网络的安全状况以及防护方法熟知网络安全管理的基本技能了解网络安全的高端技术第一章网络安全基础网络安全的概念常见的安全威胁与攻击安全的标准网络安全的现状和发展趋势1.1为什么研究网络安全目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的经济、军事等领域。目前政府上网已经大规模的发展起来，电子政务工程已经在全国启动。政府网络的安全直接代表了国家的形象。1999年到2001年，一些政府网站，遭受了四次大的黑客攻击事件。为什么研究网络安全第一次在99年1月份左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织，有组织地对我们国家的政府网站进行了攻击。我国计算机犯罪的增长速度超过了传统的犯罪，1997年20多起，1998年142起，1999年908起，2000年上半年1420起，再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起，涉及的金额几个亿。2000年2月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。99年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿元。为什么研究网络安全99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提了十多亿。2001年2月8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成了几百万的用户无法正常的联络。1996年4月16日，美国金融时报报道，接入Internet的计算机，达到了平均每20秒钟被黑客成功地入侵一次的新记录。国内网络安全现状国家计算机网络应急技术处理协调中心CNCERT/CC国内网络安全现状国家计算机网络应急技术处理协调中心CNCERT/CC国内网络安全现状国家计算机网络应急技术处理协调中心CNCERT/CC国内网络安全现状国家计算机网络应急技术处理协调中心CNCERT/CC国内网络安全现状国家计算机网络应急技术处理协调中心CNCERT/CC国内网络安全现状国家计算机网络应急技术处理协调中心CNCERT/CC1.2安全的概念一种能够识别和消除不安全因素的能力。安全是一个持续的过程。网络安全（NetworkSecurity）是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。安全的概念国际标准化组织（ISO）7498-2安全体系结构文献定义了安全就是最小化资产和资源的漏洞。资产可以指任何事物。漏洞是指任何可以造成破坏系统或信息的弱点。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的内容和要素从内容看，网络安全大致包括4个方面：网络实体安全软件安全数据安全安全管理从特征上看，网络安全包括5个基本要素：机密性完整性可用性可控性可审查性安全模型通信双方想要传递某个信息，需建立一个逻辑上的信息通道。通信主体可以采取适当的安全机制，包括以下两个部分：对被传送的信息进行与安全相关的转换，包括对消息的加密和认证。两个通信主体共享不希望对手知道的秘密信息，如密钥等。网络安全模型策略防护防火墙加密机杀毒软件检测隐患扫描入侵检测响应安全模型之MPDRR安全模型之MPDRR的解释安全体系ISO（国际标准化组织）1989年制定的ISO/IEC7489-2，给出了ISO/OSI参考模型的安全体系结构。在OSI参考模型中增设了安全服务、安全机制和安全管理，并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。定义了5大类安全服务，提供这些服务的8大类安全机制以及相应的开放系统互联的安全管理。安全体系安全体系安全体系－安全服务服务目的鉴别服务（认证）提供身份验证的过程，用于在于保证信息的可靠性。访问控制确定一个用户或服务可能用到什么样的系统资源，查看还是改变。一旦一个用户认证通过，操作系统上的访问控制服务确定此用户将能做些什么。数据保密性这个服务保护数据不被未授权的暴露。数据保密性防止被动威胁，包括一些用户想用packetsniffer来读取网线上的数据。数据完整性这个服务通过检查或维护信息的一致性来防止主动的威胁。抗抵赖性服务（不可否定性）不可否定性是防止参与交易的全部或部分的抵赖。比如说在网络上，一个人发送了一封Email信息或一些数据，如ping包或SYN包，然后说“我并没有发送”。不可否定性可以防止这种来自源端的欺骗。安全体系－安全机制安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证数据的保密性，数据的完整性和不可否定性，但实施在每种服务时你需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层。安全体系－安全机制安全服务依赖于安全机制的支持。ISO安全体系结构提出了8种基本的安全机制，将一个或多个安全机制配置在适当层次上以实现安全服务。加密机制数字签名机制访问控制机制数据完整性机制认证（鉴别）机制通信业务填充机制路由选择控制机制公证机制安全标准OSI安全体系的安全标准技术安全服务可信计算机评估标准（TCSEC）我国的计算机安全等级划分与相关标准安全标准－TCSEC安全等级安全标准－我国安全标准等级名称第一级用户自主保护第二级系统审计保护第三级安全标记保护第四级结构化保护第五级访问验证保护安全目标保障网络安全的基本目标就是要能够具备安全保护能力、隐患发现能力、应急反应能力和信息对抗能力。安全保护能力隐患发现能力应急反应能力信息对抗能力1.3常见的安全威胁与攻击网络系统自身的脆弱性安全威胁威胁和攻击的来源网络安全的现状和发展趋势设计、规划企业的整体安全方案信息化进程网络系统自身的脆弱性硬件系统软件系统网络和通信协议缺乏用户身份鉴别机制缺乏路由协议鉴别机制缺乏保密性TCP/UDP的缺陷TCP/IP服务的脆弱性安全威胁-企业网络现状分析企业网络拓扑结构企业网络中的应用企业网络的结构特点网络系统现状分析－企业网络拓扑结构网络应用企业网络面临的安全风险企业网络的安全风险风险举例之一：设备防盗、防毁风险举例之二：线路老化风险举例之三：停电风险举例之四：抗电磁辐射风险举例之五：安全拓扑风险举例之六：安全路由风险举例之七：信息存储风险风险举例之八：信息传输的风险风险举例之九：信息访问安全威胁和攻击的来源内部操作不当内部管理漏洞来自外部的威胁和犯罪企业的安全需求具体需求举例之一：子网之间的访问控制具体需求举例之二：地址转换与IP复用具体需求举例之三：对员工的信息审计具体需求举例之四：企业网站保护具体需求举例之五：信息传输加密具体需求举例之六：企业整体病毒防护具体需求举例之七:不同服务器的访问控制安全方案设计原则需求、风险、代价平衡分析原则综合性、总体性原则一致性原则易操作性原则适应性及灵活性原则多重保护原则分布实施原则安全机制与技术安全机制访问控制机制加密机制认证交换机制数字签名机制数据流分析机制路由控制机制业务流量填充机制安全技术防火墙技术加密技术鉴别技术数字签名技术入侵检测技术审计监控技术病毒防治技术备份与恢复技术安全机制与技术身份鉴别访问控制数据加密病毒防护入侵检测安全评估备份与恢复身份鉴别基于口令、用户名的身份认证基于主体特征的身份认证:如指纹基于IC卡和PIN号码的认证基于CA证书的身份认证其他的认证方式基于口令、用户名的身份认证内网与外网的访问控制数据加密数据机密性保护数据完整性性保护数据源发性保护数据机密性保护数据完整性保护数据源发性保护病毒防护病毒扫描过程入侵监测系统安全评估（漏洞扫描）备份与恢复关键设备的备份数据备份Web服务企业面保护灾难恢复关键设备的恢复数据的备份Web站点保护安全管理与安全服务安全管理制定相应的管理制度制定相应的策略安全服务网络安全咨询网络安全专业培训网络安全检测网络安全管理应急相应服务