第三章 网络安全

第三章网络安全NEXT3.1网络安全概述3.2常见的网络黑客攻击技术3.3主要的网络安全技术第三章网络安全3.1.1网络安全的定义和评估NEXT3.1网络安全概述3.1.2网络安全的主要威胁3.1.3网络安全保障体系3.1.4我国网络安全的主要问题3.1.5网络安全策略3.1网络安全概述3.1.1网络安全的定义和评估NEXT1.网络安全的定义计算机网络安全是指网络系统中硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意地破坏、被非法使用。3.1.1网络安全的定义和评估网络安全管理的目标是保证网络中的信息安全，整个系统应能满足以下要求：保证数据的完整性保证系统的保密保证数据的可获性信息的不可抵赖性信息的可信任性NEXT3.1.1网络安全的定义和评估NEXT2．网络安全的评估美国国防部制订了“可信计算机系统标准评估准则”（习惯称为“桔黄皮书”），将多用户计算机系统的安全级别从低到高划分为四类七级，即D1．C1．C2．B1．B2．B3．A1。我国的计算机信息系统安全保护等级划分准则（GB17859-1999）中规定了计算机系统安全保护能力的五个等级.3.1.2网络安全的主要威胁1．威胁数据完整性的主要因素（1）人员因素（2）灾难因素（3）逻辑问题（4）硬件故障（5）网络故障NEXT3.1.2网络安全的主要威胁2．威胁数据保密性的主要因素（1）直接威胁（2）线缆连接（3）身份鉴别（4）编程（5）系统漏洞NEXT3.1.3网络安全保障体系安全保障系统由物理安全、网络安全、信息安全几个方面组成。NEXT3.1.3网络安全保障体系1、物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全设备安全媒体安全NEXT3.1.3网络安全保障体系2、网络安全网络安全包括系统（主机、服务器）安全、反病毒、系统安全检测、入侵检测（监控）、审计分析、网络运行安全、备份与恢复应急、局域网、子网安全、访问控制（防火墙）、网络安全检测等。NEXT3.1.3网络安全保障体系2、网络安全(1)内外网隔离及访问控制系统(2)内部网不同网络安全域的隔离及访问控制(3)网络安全检测(4)审计与监控(5)网络反病毒(6)网络备份系统NEXT3.1.3网络安全保障体系3、信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。信息传输安全（动态安全）包括主体鉴别、数据加密、数据完整性鉴别、防抵赖；信息存储安全包括（静态安全）数据库安全、终端安全;信息内容审计可防止信息泄密。NEXT3.1.3网络安全保障体系（1）鉴别（2）数据传输安全系统（3）数据存储安全系统（4）信息内容审计系统NEXT3、信息安全3.1.3网络安全保障体系（1）安全管理原则网络信息系统的安全管理主要基于三个原则：多人负责原则任期有限原则职责分离原则4、安全管理NEXT3.1.3网络安全保障体系（2）安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。4、安全管理NEXT3.1.3网络安全保障体系具体工作是：①根据工作的重要程度，确定该系统的安全等级。②根据确定的安全等级，确定安全管理的范围。③制订相应的机房出入管理制度。④制订严格的操作规程。⑤制订完备的系统维护制度。⑥制订应急措施。4、安全管理NEXT3.1.3网络安全保障体系中国国家信息安全测评认证中心（CNNS）从七个层次提出了对一个具有高等级安全要求的计算机网络系统提供安全防护保障的安全保障体系，以系统、清晰和循序渐进的手段解决复杂的网络安全工程实施问题。（1）实体安全（2）平台安全（3）数据安全（4）通信安全（5）应用安全（6）运行安全（7）管理安全4、安全管理NEXT3.1.4我国网络安全的主要问题计算机网络近几年在我国的应用已经十分普及，相应地也出现了许多安全问题，成为网络发展的重要障碍，浪费了大量的物力、财力、人力。目前我国网络安全的现状不容乐观。NEXT3.1.5网络安全策略对于国内IT企业、政府、教育、科研部门来说，完善的网络安全策略应从以下几个方面入手：1、成立网络安全领导小组2、制订一套完整的安全方案3、用安全产品和技术处理加固系统4、制定并贯彻安全管理制度5、建立完善的安全保障体系6、选择一个好的安全顾问公司NEXT3.2常见的网络黑客攻击技术3.2.1网络攻击的发展趋势3.2.2常见的网络攻击方3.2.3缓冲区溢出攻击3.2.4网络监听攻击3.2.5IP欺骗攻击NEXT3.2常见的网络黑客攻击技术3.2.6端口扫3.2.7口令攻击3.2.8计算机病毒3.2.9特洛伊木马3.2.10电子邮件攻击3.2.11网页攻击NEXT3.2常见的网络黑客攻击技术3.2.1网络攻击的发展趋势近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险。网络攻击表现出以下发展趋势：自动化程度和攻击速度提高。攻击工具越来越复杂。发现安全漏洞越来越快。越来越高的防火墙渗透率。越来越不对称的威胁。对基础设施将形成越来越大的威胁。NEXT3.2常见的网络黑客攻击技术3.2.2常见的网络攻击方式网络攻击的方式主要分为三类。第一类是服务拒绝攻击第二类是利用型攻击第三类是信息收集型攻击NEXT3.2常见的网络黑客攻击技术3.2.3缓冲区溢出攻击1、缓冲区溢出的原理缓冲区是内存中存放数据的地方，在程序试图将数据放到机器内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出。NEXT3.2常见的网络黑客攻击技术2、缓冲区溢出漏洞攻击方式缓冲区溢出漏洞可以使任何一个有黑客技术的人取得机器的控制权甚至是最高权限。(1)在程序的地址空间里安排适当的代码(2)将控制程序转移到攻击代码的形式(3)植入综合代码和流程控制NEXT3.2常见的网络黑客攻击技术3.2.3缓冲区溢出攻击3、缓冲区溢出的防范目前缓冲区溢出漏洞的保护方法有：（1）正确的编写代码。（2）非执行的缓冲区。（3）检查数组边界。（4）程序指针完整性检查。NEXT3.2常见的网络黑客攻击技术3.2.4网络监听攻击由于局域网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息1、网络监听在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。NEXT3.2常见的网络黑客攻击技术3.2.4网络监听攻击2、网络监听的发现防范（1）发现可能存在的网络监听。用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。或者向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。NEXT3.2常见的网络黑客攻击技术3.2.4网络监听攻击（2）对网络监听的防范措施从逻辑或物理上对网络分段以交换式集线器代替共享式集线器使用加密技术划分VLANNEXT3.2常见的网络黑客攻击技术3.2.5IP欺骗攻击这种攻击方式主要应用于用IP协议传送的报文中。IP欺骗就是伪造他人的源IP地址。IP欺骗技术只能实现对某些特定的运行FreeTCP/IP协议的计算机进行攻击。一般来说，任何使用SunRPC调用的配置、利用IP地址认证的网络服务、MIT的XWindow系统、R服务等这些服务易受到IP欺骗攻击。NEXT3.2常见的网络黑客攻击技术3.2.6端口扫描1、端口扫描一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。扫描大致可分为端口扫描、系统信息扫描、漏洞扫描几种。NEXT3.2常见的网络黑客攻击技术3.2.6端口扫描2、端口扫描的防范防范端口扫描的方法有两个：（1）关闭闲置和有潜在危险的端口。（2）通过防火墙或其他安全系统检查各端口，有端口扫描的症状时，立即屏蔽该端口。NEXT3.2常见的网络黑客攻击技术3.2.7口令攻击1、口令攻击的方法口令供给一般有三种方法：一是通过网络监听非法得到用户口令二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令。三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大。NEXT3.2.7口令攻击2、防范口令攻击以下口令是不建议使用的：口令和用户名相同。口令为用户名中的某几个邻近的数字或字母。口令为连续或相同的字母或数字。将用户名颠倒或加前后缀作为口令。3.2常见的网络黑客攻击技术NEXT3.2常见的网络黑客攻击技术3.2.7口令攻击以下口令是不建议使用的：使用姓氏的拼音或单位名称的缩写作为口令。使用自己或亲友的生日作为口令。使用常用英文单词作为口令。口令长度小于6位数。NEXT3.2常见的网络黑客攻击技术3.2.8计算机病毒1、网络环境下计算机病毒的特点在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性、可触发性等计算机病毒的共性外，还具有一些新的特点：①感染速度快。②扩散面广。③传播的形式复杂多样。④难于彻底清除。⑤破坏性大。NEXT3.2常见的网络黑客攻击技术3.2.8计算机病毒2、新病毒的主要技术趋势新的计算机病毒每天都在增加，这些病毒的主要技术趋势是：（1）利用漏洞的病毒开始增多。（2）病毒向多元化、混合化发展。（3）有网络特性的病毒增多。（4）针对即时通讯软件的病毒大量涌现。NEXT3.2常见的网络黑客攻击技术3.2.8计算机病毒3、近年来造成重大破坏的病毒（1）CIH病毒（2）红色代码CodeRed（3）尼姆达Nimda（4）新欢乐时光VBS.KJ（5）SQL蠕虫王（6）冲击波BlasterNEXT3.2常见的网络黑客攻击技术3.2.9特洛伊木马特洛伊木马的攻击手段，就是将一些“后门”、“特殊通道”程序隐藏在某个软件里，使使用该软件的人无意识的中招，成为被攻击，被控制的对象。由于木马是客户端服务器程序，所以黑客一般是利用别的途径如邮件、共享将木马安放到被攻击的计算机中。木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中，因为windows的一些系统文件在这两个位置，误删了文件系统可能崩溃。典型的木马程序有BO、NetXray、流光等。NEXT3.2常见的网络黑客攻击技术3.2.9特洛伊木马1、BO（1）BO的安装只要在电脑上运行BO服务器自安装程序boserve.exe，就可以安装BO服务器了。（2）BO的功能IP地址搜索功能、文件管理功能包括网络控制功能、进程控制功能超媒体控制功能、系统控制功能NEXT3.2常见的网络黑客攻击技术（3）识别与清除BO的方法下面介绍几种识别与清除BO的方法：BO服务器安装后，将在Windows的SYSTEM子目录下生成WINDLL.DLL文件，可以直接删除WINDLL.DLL文件。在C:\WINDOWS\SYSTEM子目录下是否有一个标着“.EXE”(空格.EXE)且没有任何图标的小程序，或者连EXE都没有(如果不显示文件扩展名)，只是一个空行。由于这时“.EXE”程序在后台运行，所以不能在Windows系统中直接删除它。清除的方法是，重新启动电脑系统，让它在DoS方式下运行。NEXT3.2常见的网络黑客攻击技术3.2.9特洛伊木马然后，进入SYSTEM子目录，将BO服务器程序（在DoS下显示为EXE～1）的属性改为非隐含，这样就可以删除它。BO服务器程序能够在Windows启动时自动执行，是在注册表的NEXT3.2常见的网络黑客攻击技术3.2.9特洛伊木马HKEY_LOCAL_MACHINE\Software\Microsoft\Win