第1章网络安全概述3

网络安全技术与应用参考资料网络攻击防护编码设计，北京希望电子出版社，谭毓安编写密码编码学与网络安全----原理与实践电子工业出版社，杨明等译攻击与防护网络安全与使用防护技术人民邮电出版社，董玉格等编著第一章网络安全概述本章学习目标本章主要讲述网络安全的基础知识，通过本章的学习，读者应掌握以下内容：网络安全的定义及网络安全威胁安全服务及安全机制网络安全策略及制定原则网络各层的安全性你收到了比尔-盖茨的邮件？一用户打开的收件箱，发现一封署名为比尔-盖茨的邮件。其实，这是一个传播迅猛、Sobig病毒变种Sobig-C的化身！Sobig-C可以自身复制而且利用自身的SMTP以附件的形式进行自动复制和发送，还可以通过开放的网络袭击共享文件。病毒的另外一个特点是，Sobig-C病毒还伪装了邮件地址。在发现的一些病毒邮件中，发送的地址赫然标明了“bill@microsoft.com”。谁动了我的电脑？一个作家习惯于在深夜的家中写作，每当她写完一个篇章后就休息去了，到第二天再把稿子发给催稿的编辑。但有一天，她发现一篇还没有发出去的稿子，署了一个陌生的名字，在另一家媒体上刊登出来了。她吓了一跳，写稿子时身边又没有别人，又没有发给其它的编辑，究竟是谁窃取了她的小说呢？信息时代的生活这是一个真实的故事，元凶就是她的网友。当她舒适地一边在ＱＱ上和网友亲密地聊天，一边在奋力地在键盘上敲击时，那个网友通过一种网络监控软件，监控着她的一举一动，看她电脑硬盘的资料，就像看他自己的硬盘。甚至她在键盘上的每一次敲击，他都可以监控得到，所以获取她的小说是多么的轻而易举。网银受害者欲集体起诉工行工行网银受害者集体维权联盟”（)根据联盟500成员留下的资料，有16位来自上海，损失金额高达40余万元。[广东]李光明，佛山，520元；李莎恩，广州，3000元；吴志伟，广州，6000元；陈姝君、宋慧星，深圳，900元；周辉，深圳，1520元；周志芳，广州，1754元；张正威，深圳，2781元；杨年鹏，广州，2360元；刘丽娜，深圳，444.05元；李刚华，深圳，6700元；黄奕柱，顺德，12500元；熊早丰，深圳，1993.1元；游国颖，顺德，2030元.1.1网络安全的基本概念1.1.1网络安全的基本概念网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和漏露，保证网络系统的正常运行、网络服务不中断。1.1.2网络安全威胁网络安全具备四个方面的特征，即机密性、完整性、可用性及可控性。1.基本的安全威胁信息泄露、完整性破坏、拒绝服务、非法使用2．主要的可实现的威胁主要的渗入威胁有：假冒、旁路、授权侵犯主要的植入威胁有：特洛伊木马、陷门江民反病毒中心公布了2006上半年度十大病毒排行：2006上半年度十大病毒排行：2006上半年统计据江民科技反病毒中心统计，从2006年1月1日到2006年6月28日，反病毒中心共截获新病毒33358种，江民KV病毒预警中心显示，1至6月全国共有7322453台计算机感染了病毒，监测发现新老病毒发作次数总计178931441次（包括同台电脑同一病毒感染多种文件数）。20年来，破坏力最大十大病毒据美国《Techweb》网站1.CIH1998年6月爆发，造成2000万-8000万美元的损失。2.梅利莎（Melissa）1999年3月26日爆发，造成3亿-6亿美元的损失。3.Iloveyou2000年5月3日爆发于中国香港，造成100亿-150亿美元损失。4.红色代码(CodeRed)2001年7月13日爆发，给全球带来26亿美元损失。5.SQLSlammer2003年1月25日爆发，50万台服务器被攻击，经济损失较小。20年来，破坏力最大十大病毒6.冲击波（Blaster，2003年)2003年夏爆发，造成20亿-100亿美元损失。7.大无极.F（Sobig.F，2003年)2003年8月19日爆发，带来50亿-100亿美元损失。8.贝革热（Bagle，2004年)2004年1月18日爆发，给全球带来数千万美元损失9.MyDoom(2004年)2004年1月26日爆发，在高峰时期，导致网络加载时间慢50%以上。10.Sasser(2004年)2004年4月30日爆发，给全球带来数千万美元损失。1.认证服务：实体认证、数据源认证2.访问控制：防止对任何资源的非授权访问，3.数据机密性服务：加密4.数据完整性服务：使消息的接收者能够发现消息是否被修改，是否被攻击者用假消息换掉。5.不可否认服务：防止对数据源以及数据提交的否认1.1.3安全服务加密机制数字签名机制访问控制机制数据完整性机制流量填充机制路由控制机制公证机制1.1.4安全机制1.2.1网络安全现状据统计，目前全球平均每20秒就会发生一起Internet主机被入侵的事件，美国75%~85%的网站抵挡不住黑客攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。目前全球已发现病毒5万余种，并仍以每天10余种的速度增长。有资料显示，病毒所造成的损失占网络经济损失的76%。中国工程院院士沈昌祥说：“构筑信息与网络安全防线事关重大、刻不容缓。”1.2网络安全现状及对策来自互联网的威胁据美国FBI统计,95%的入侵未被发现；FBI和CSI对484家公司调查，发现：有31%员工滥用Internet；有16%来自内部未授权的存取；有14%专利信息被窃取；有12%内部人员的财务欺骗；有11%资料或网络的破坏；有超过70%的安全威胁来自企业内部。来自互联网的威胁2000年中国国家信息安全课题组的《国家信息安全报告》指出，若以9分为满分计算，中国的信息安全强度只有5.5分；2000年，在中国见诸报端的网络犯罪接近30起，内容涉及金融欺诈、诽谤、非法入侵、知识产权、泄密等。中国国内80％的网络存在安全隐患，20％的网站有严重安全问题；来自互联网的威胁据统计，在全球范围内，由于信息系统的脆弱性，导致的经济损失每年达数亿美元，并且呈逐年上升的趋势。据美国《金融时报》报道，现在平均每20秒就发生一次入侵计算机网络的事件；超过1/3的互联网被攻破。1．网络系统软件自身的安全问题：安全漏洞及时弥补2．网络系统中数据库的安全问题：数据的安全性、完整性和并发控制3．传输的安全与质量：防窃听、可靠性4．网络安全管理问题：安全管理、管理安全5．各种人为因素：病毒黑客人员的疏忽1.2.2主要的网络安全问题1.2.3网络安全策略1．物理安全策略：硬件实体和通信链路工作环境2．访问控制策略：（1）入网访问控制（2）网络的权限控制（3）目录级安全控制（4）属性安全控制（5）网络服务器安全控制（6）网络监测和锁定控制（7）网络端口和节点的安全控制3．信息加密策略：对称密码算法和非对称密码算法4．安全管理策略：a确定安全管理等级和安全管理范围；b制订有关网络操作使用规程和人员出入机房管理制度；c制定网络系统的维护制度和应急措施等。d安全管理的落实是实现网络安全的关键。1.2.4制定安全策略的原则（1）可用性原则：安全但不影响性能（2）可靠性原则：稳定可靠（3）动态性原则：适应变化（4）系统性原则：全面详尽（5）后退性原则：多层次、多方位1.3网络体系结构及各层的安全性1.3.1OSI参考模型应用层表示层会话层传输层网络层链路层物理层A主机B主机对等层通信应用层表示层会话层传输层网络层链路层物理层基于OSI的通信模型结构数据链路层网络层传输层会话层表示层应用层7-6接口6-5接口5-4接口4-3接口3-2接口2-1接口物理层数据链路层网络层传输层会话层表示层应用层7-6接口6-5接口5-4接口4-3接口3-2接口2-1接口物理层系统A系统B应用层协议表示层协议会话层协议传输层协议网络层协议数据链路层协议物理层协议第7层第6层第5层第4层第3层第2层第1层物理传输信道数据链路层网络层3-2接口2-1接口物理层中间节点网络层协议数据链路层协议物理层协议物理传输信道OSI/RM的信息流动SHPHNHDHL7L6L5L4L3L2L1L7L6L5L4L3L2L1传输媒体交换数据单元的名称系统A数据L7DATAPHL6DATASHL5DATAPHL4DATANH01010110101001011010110110101010DTL3DATADH比特数据帧数据包报文报文报文报文AH系统B数据L7DATAPHL6DATAL5DATAL4DATA01010110101001011010110110101010L3DATAAHDT数据应用进程数据应用进程物理层物理层是OSI/RM的最低层。它直接与物理信道相连，起到数据链路层和传输媒体之间的逻辑接口作用，提供建立、维护和释放物理连接的方法，实现在物理信道上进行比特流传输的功能。传输媒体01001011010110110101010L2DATA比特流发送端数据链路层的数据物理层01001011010110110101010L2DATA比特流物理层接收端数据链路层的数据网络安全的层次在物理层，可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。在数据链路层，点对点的链路可以采用通信保密机进行加密和解密，当信息离开一台机器时进行加密，而进入另外一台机器时进行解密。但是这种方案无法适应需要经过多个路由器的通信信道，因为在每个路由器上都需要进行加密和解密，在这些路由器上将出现潜在的安全隐患。网络安全的层次在网络层，防火墙技术被用来处理信息在网络内外边界的流动，它可以确定来自哪些地址的信息可以或者禁止访问哪些目的地址的主机。在传输层，这个连接可以被端到端的加密，也就是进程到进程间的加密。虽然这些解决方案都有一定的作用，并且有很多人正在试图提高这些技术，但是它们都不能提出一种充分通用的办法来解决身份认证和不可否认问题。要解决这些问题必须在应用层。网络安全的层次应用层的安全主要是指针对用户身份进行认证并且建立起安全的通信信道，诸如电子邮件、HTTP等特定应用的安全问题，能够提供包括身份认证、不可否认、数据保密、数据完整性检查乃至访问控制等功能。但是在应用层并没有一个统一的安全方案。网络安全的层次1.3.2TCP/IP参考模型应用层网络接口层传输层网络层接口头IP头TCP头数据接口校验和IP头TCP头数据TCP头数据数据TCP/IP协议集传输层应用层TCPUDPSMTPFTPDNSSNMPNFSHTTPTEL-NET网络接口层LANMANWAN网际层IPICMPIGMPARPRARP1.3.3网络各层的安全性简介应用层的安全性传输层的安全性网络层的安全性传输层应用层TCPUDPSMTPFTPDNSSNMPNFSHTTPTEL-NET网络接口层LANMANWAN网际层IPICMPIGMPARPRARP2002年互联网八大网络安全事件黑客冒用eBay帐户个人PC被攻击机率大增木马程序也偷窥天下没有免费的午餐电脑安全成筹码黑客锁定亚洲服务器无线上网成为新目标主动式解决方案未雨绸缪黑客冒用eBay帐户2002年3月底，美国华盛顿著名艺术家GloriaGeary在eBay拍卖网站的帐户，被黑客利用来拍卖IntelPentium芯片。由于黑客已经更改了帐户密码，使得真正的帐户主人GloriaGeary在察觉被黑客入侵后，反而无法进入自己的帐户，更别提紧急删除这起造假拍卖事件了个人PC被攻击机率大增911事件后，美国政府部门和企业为了防范恐怖份子攻击电脑系统，相对重视系统安全的防护工作，使得黑客转换容易下手的攻击目标：一般个人用户。权威单位指出，当个人电脑用户在完全未采用防毒软件保护的情况下，使用宽频上网，24小时内必定会有一打以上的黑客“接管”你的电脑。接下来病毒、木马程序和从安全漏