第8章网络安全与维护

高等职业教育“十二五”规划教材计算机网络基础与实训网络安全与维护第8章8.1网络安全概述8.2计算机病毒及黑客入侵8.3因特网防火墙技术第8章第8章网络安全与维护《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化，来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。互联网时代隐私无所遁形据《中国网民权益保护调查报告(2015)》中的数据显示，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等；63.4%的网民个人网上活动信息被泄露过，包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。当今互联网时代，上当受骗有些时候甚至跟情商、智商无关。现实生活中几乎每个人都有接收过垃圾短信与电话，甚至有时候，接收到的信息极为精准，你的姓名，工作等，对方都一清二楚，而这就是信息遭到泄露的表现。在个人信息保护方面，我们落后于世界上很多国家，尤其是欧美发达国家。在各种商业服务高度互联网化的今天，在大数据技术的助力下，个人想要拥有隐私成了一个特别奢侈的事情。所以说：互联网时代信息安全防范比技术更重要。物联网时代安全问题不容忽视作为继计算机、互联网与移动通信网之后的又一次信息产业浪潮，物联网实现了物与物的相联、人与物的对话。相比于互联网，物联网拥有更大的市场空间和产业机遇。然而，迅猛发展的同时，物联网作为一个复杂庞大的系统，也面临着更大的安全挑战。据媒体报道，2010年，在美国拉斯维加斯举办的黑客大会上，美国著名黑客巴纳比•杰克，成功地演示了如何入侵安装有两种不同系统的ATM，并当场让ATM吐出钱，他因为那次演示而一战成名。而杰克后来计划演示另一项黑客技术，通过入侵心脏除颤器和心脏起搏器来“遥控杀人”。杰克声称，他可以在距离目标50英尺的范围内侵入心脏起搏器，并让起搏器释放出足以致人死亡的830V电压，而且他已经发现了多家厂商生产的心脏起搏器的安全漏洞。特斯拉的安全系统存在很多易遭受黑客攻击的漏洞并不是什么鲜为人知的秘密。但是这一次，中国黑客实现的攻击却是以一种“非接触式远程攻击”的方式实现的，即攻击者不接触车体本身，就可以实现远程入侵。这意味着，在车主尚未知觉的情况下，攻击者就能轻易把你的特斯拉牢牢掌控在手中。这群中国黑客成功破解了特斯拉，并把它变成了自己的遥控汽车这群中国黑客成功破解了特斯拉，并把它变成了自己的遥控汽车据悉，这群来自于腾讯科恩实验室的中国黑客们还上传了一段完整的“演示”视频，向大家演示了攻破特斯拉的几种正确打开方式：斯诺登是一名美国中情局的职员，同时还负责美国国安局的一个秘密项目。这个项目是美国在监视自己的公民，包括所有的日常通信和上网都被美国政府监视了，而且这个秘密计划还涉及了很多美国很有名的大公司，比如我们都知道的苹果、谷歌、雅虎这些公司都参与了这个监视计划。现在斯诺登作为这个项目的技术负责人主动把这个绝密计划曝光给媒体，也就是把美国政府最机密的东西都曝光了，然后斯诺登现在跑到香港暂时避难。到香港后斯诺登又透露了很多秘密给媒体，说美国政府连续几年都在攻击其他国家的网络，还入侵中国的网络，窃取各种情报。网络安全从本质上来讲就是网络上的信息安全，网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它涉及的领域相当广泛，这是因为在目前的公用通信网络中存在着各种各样的安全漏洞。从广义来说,凡是涉及到网络上的信息的保密性、完整性、可用性和可控性的相关技术和理论，都是网络安全所要研究的领域。8.1网络安全的概述第8章网络安全与维护8.1网络安全概述8.1.1网络安全简介网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全应具备四个特征：保密性、完整性、可用性、可控性。网络安全应具备四个特征。保密性，信息不泄露给非授权的用户、实体或过程，或供其利用的特性；完整性，数据未经授权不能改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；可用性，可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息，网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性，对信息的传播及内容具有控制能力要解决网络安全的问题必须制定好网络安全的安全策略，策略主要考虑：1.网络用户的安全责任，2.系统管理员的安全责任，3.正确利用网络资源，4.检测到安全问题时的对策四个方面。1.网络用户的安全责任：要求用户每隔一段时间改变其口令；使用符合一定准则的口令；执行某些检查，以了解其账户是否被别人访问过等等。重要的是，凡是要求用户做到的，都应明确地定义。2.系统管理员的安全责任：该策略可以要求在每台主机上使用专门的安全措施、登录标题报文、监测和记录过程等，还可列出在连接网络的所有主机中不能运行的应用程序3.正确利用网络资源，规定谁可以使用网络资源，他们可以做什么，不应该做什么等。如果用户的单位认为电子邮件和计算机活动的历史记录都应受到安全监视，就应该非常明确地告诉用户，这是其政策。4.检测到安全问题时的对策：当检测到安全问题时应该做什么，应该通知谁，这些都是在紧急的情况下容易忽视的事情.不要使用明显与个人有关的信息：黑客会从你的社交媒体账户上搜索你所有信息，因此假如你使用你宠物的名字做密码，那麻烦就来了。不要使用字典里有的词：黑客会使用字典数据来破解密码。混合使用不常用的字符：可以用一个自己容易记住的短语但是替换其中的一些字符，如Myd0gha2B1g3ars!在不同的网站使用不同的密码：因为黑客一旦攻破或获取到你其中一个账户，就会用相同的信息来攻击其他网站。保证密码安全存放：最好将密码写下来随身携带。在设置网络密码时应该遵循以下原则：8.1.2网络安全面临的威胁及原因网络安全威胁是指对网络信息的一种潜在的侵害,威胁的实施称为攻击。网络安全面临的威胁主要表现为三类，信息泄露、拒绝服务和信息破坏。其中信息泄露、信息破坏也可能造成系统拒绝服务。信息泄露：指敏感数据在有意或无意中被泄露出去或丢失。通常包括：信息在传播中丢失或泄露；信息在存储介质中丢失或泄露；通过建立隐蔽通道窃取敏感信息等。拒绝服务：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户不能进入计算机网络系统或不能得到相应的服务。影响、危害计算机网络安全的因素分为自然和人为两类。自然因素包括：各种自然灾害，如水、火、雷、电、风暴、烟尘、虫害、鼠害、海啸和地震等；系统的环境和场地条件，如温度、湿度、电源、地线和其它防护设施不良造成的威胁；电磁辐射和电磁干扰的威胁；硬件设备老化，可靠性下降的威胁。人为因素又有无意和故意之分。无意事件包括：操作失误、意外损失、编程缺陷、意外丢失、管理不善、无意破坏。人为故意的破坏包括：敌对势力蓄意攻击、各种计算机犯罪。攻击是一种故意性威胁，故意性威胁是指对计算机网络的有意图、有目的的威胁。人为的恶意攻击是计算机网络所面临的最大威胁，对手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。由于网络软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰成了攻击者进行攻击的首选目标。8.1.3安全机制为了实现网络的安全,我们可以采用下面一些安全机制。1．交换鉴别机制交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有：口令（由发方实体提供，收发实体检测）、密码技术（将交换的数据加密，只有合法用户才能解密，得出有意义的明文）。在许多情况下，与其他技术一起使用，如时间标记和同步时钟；双方或三方“握手”；数字签名和公证机构。将来可能利用用户的实体特征或所有权——指纹识别和身份卡等进行交换鉴别。2．访问控制机制访问控制是按事先确定的规则决定主体对客体的访问是否合法（先授权）。如一个主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，并附带向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。3．加密机制加密是提供数据保密的最常用方法。无论是网络传输中使用的安全传输协议，还是安全手段或安全措施，它们都需要使用加密算法和相应的解密算法。安全机制加密与解密过程长久以来，人们发明了各种各样的加密方法，为便于研究，通常把这些方法分为传统加密方法和现代加密方法两大类。前者的共同特点是采用单钥技术，即加密和解密过程中使用同一密钥，所以它也称为对称式加密方法；而后者的共同特点是采用双钥技术，也就是加密和解密过程中使用两个不同的密钥，它也称为非对称式加密方法。用加密的方法与其他技术相结合，可以提供数据的保密性和完整性。安全机制4．业务流量填充机制这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。一般方法是在保密装置无信息传输时，连续发出随机序列，使得非法者不知哪些是有用信息、哪些是无用信息。5．数据完整性机制完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。保证数据完整性的一般方法是：发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数，它本身是经过加密的。接收实体是一个对应的标记，并将所产生的标记与接收的标记相比较，以确定在传输进程中数据是否被修改过。安全机制6．数字签名机制数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对当通信双方发生争执时可能产生的下面的安全问题：否认——发送者事后不承认自己发送过接收者提交的文件。伪造——接收者伪造一份文件，声称它来自发送者。冒充——在网上的某个人冒充某一个用户身份接收或发送信息。篡改——接收者对收到的信息进行部分篡改，破坏原意安全机制7．路由控制机制在一个大型网络中，自源节点到目的节点可能有多条线路，路由控制机制可使信息发送者选择安全的路由，以保证数据安全。8．公证机制公证制度是一项具有超前性、预防性的法律制度，体现和谐理念和法治精神，是现代法治国家法律体系重要和必不可少的组成部分。在一个大型网络中，使用这个网络的所有用户并不都是诚实可信的，同时也可能由于系统故障等原因使传输中的信息丢失、迟到等，这很可能引起谁承担责任的问题。解决这个问题，就需要有一个各方都信任的实体——公证机构，提供公证服务、仲裁出现的问题，一旦引入公证机制，通信双方进行数据通信时必须经过这个机构来转换，以确保公证机构能得到必要的信息，供以后仲裁。安全机制一般说来，计算机网络系统的安全威胁主要来自病毒和黑客攻击。计算机病毒给人们带来无穷的烦恼。早期的病毒通过软盘相互传染，随着网络时代的到来，病毒通过电子邮件等方式大面积的传播严重威胁着网络和计算机的安全。尤其是新型的集黑客技术、特洛伊木马技术和蠕虫技术三者一体的计算机病毒更是防不胜防。而现代黑客从以系统为主的攻击转变为以网络为主的攻击，这些攻击可能造成网络的瘫痪和巨大的经济损失。8.2计算机病毒及黑客入侵电脑病毒是一种具有自我复制能力的计算机程序