计算机网络安全概述

第1章计算机网络安全概述本章主要内容网络安全的基本概念和特征网络的脆弱性和威胁网络安全体系结构网络安全措施网络安全级别本章要求了解网络安全的含义掌握网络安全特征(涵义)熟悉网络安全技术了解网络系统的脆弱性熟悉网络系统的威胁掌握网络安全分类了解网络信息安全的措施知道著名的网络安全策略模型熟悉网络安全措施了解网络信息安全立法掌握网络安全管理本章分为五小节：1．1计算机网络安全的概念1．2网络面临的不安全因素1．3网络安全体系结构1．4网络安全措施1．5网络安全级别1．1计算机网络安全的概念1.1.1计算机网络概述计算机网络技术是由现代通信技术和计算机技术的高速发展、密切结合而产生和发展的。计算机网络技术是20世纪最伟大的科学技术成就之一，而计算机网络的发展速度又超过了世界上任何一种其他科学技术的发展速度。1．计算机网络的概念•计算机网络是利用通信线路把多个计算机系统和通信设备相连，在系统软件及协议的支持下而形成的一种复杂的计算机系统。根据功能的强弱和覆盖范围的大小划分，计算机网络可分为广域网、城域网和局域网。广域网覆盖的范围大，一般可从几十公里到几万公里。例如一个大城市、一个地区、一个国家或洲际间建立的网络都属于广域网。广域网的规模大，功能强，也很复杂，利用广域网可实现较大范围内的资源共享和信息传递。•城域网一般是指建立在大城市、大都市区域的计算机网络，覆盖城市的大部分或全部地域，也叫大都市区域网。局域网覆盖范围有限，一般在几公里之内，属于一个部门或单位组建的小型网络，通常在一个工厂、学校、机关、建筑物内使用。•局域网组网方便，使用灵活，一般具有较高的传输速率。现在由于网络交换技术、互连技术的更加成熟，局域网的范围越来越小，上千米或几公里范围内的网络通常都是由多个局域网互连形成的复合网（互连网）。•根据应用范围和管理性质来看，计算机网络又有公用网和专用网两类。公用网也叫通用网，一般由政府的电信部门组建、控制和管理，网络内的数据传输和交换设备可租用给任何个人或部门使用；专用网通常是由某一部门、某一系统、某机关、学校、公司等组建、管理和使用的。部分的广域网是公用网，多数局域网属于专用网，有些广域网也可用作专用网，如广电网、铁路网等。2．计算机网络的功能计算机网络的功能主要有资源共享和信息传输。资源共享是计算机网络的功能之一。网络的基本资源包括硬件资源、软件资源和数据资源，共享资源即共享网中的硬件、软件和数据库资源。信息传输也是计算机网络的基本功能之一。在网络中，通过通信线路可实现主机与主机、主机与终端之间数据和程序的快速传输。除此之外，计算机网络还有实时的集中管理、均衡负荷和分布式处理、扩展服务范围、提高可靠性等功能。3．计算机网络的特点虽然各种计算机网络系统的具体用途、系统结构、信息传输方式等各不相同，但各种网络系统都具有一些共同的特点，如可靠性高，可扩充性强，易于操作和维护，效率高，成本低等。4．网络的组成(1)资源子网和通信子网从网络系统功能的角度看，计算机网络是由资源子网和通信子网组成的。资源子网是由各计算机系统和终端设备、软件和可供共享的数据库等组成。资源子网负责全网面向应用的数据处理工作，向用户提供数据处理能力、数据存储能力、数据管理能力和数据输入输出能力以及其他数据资源。•通信子网是由通信硬件（通信设备和通信线路等）和通信软件组成，其功能是为网中用户互相访问和共享各种网络资源提供必要的通信手段和通信服务。(2)计算机网络硬件从系统组成的角度看，计算机网络是由硬件部分和软件部分组成的。计算机网络的硬件主要包括主机、终端、用于信息变换和信息交换的通信节点设备、通信线路和网络互连设备等。主机（Host）负责网络中的数据处理、执行网络协议、进行网络控制和管理等工作，也包括供用户共享访问的数据库的管理，它与其他主机系统连网后构成网络中的主要资源；终端是用户访问网络的设备，其的主要作用是把用户输入的信息转变为适合传送的信息送到网络上，或把网络上其他节点输出的经过通信线路的信息转变为用户所能识别的信息。计算机网络中所说的终端是指用户用机，即客户机，而不是指一般所说的简易终端。用于信息变换和信息交换的通信节点设备主要有通信控制处理机、调制解调器、集中器和多路复用器等。通信控制处理机是在数据通信系统或计算机网络系统中执行通信控制与处理功能的设备；调制解调器是把用户数据设备与模拟通信线路连接起来的一种接口设备，它主要实现数字信号与模拟信号的变换功能；集中器是设置在终端密集处完成终端侧的通信处理与复用的设备；多路复用器是实现多路信号在同一条线路上的传输的设备。通信线路是传输信息的媒体。计算机网络中的通信线路有有线线路（包括双绞线、同轴电缆、光纤等）和无线线路（包括微波线路和卫星线路等）。网络互连设备可将两个或两个以上的网络连接起来，构成一个更大的互连网络系统。常用的网络互连设备有网桥、路由器、交换机和网关等。(3)计算机网络软件在计算机网络系统中，每个用户都可享用系统中的各种资源，因此，系统必须能按用户的请求为用户提供相应的服务，对所涉及的信息数据进行控制和管理。网络中的这些服务、控制和管理工作都是由网络软件完成的。计算机网络软件通常包括网络操作系统软件、网络协议软件、网络管理软件、网络通信软件和网络应用软件等。1.1.2.网络安全的含义“网络安全”可理解为“网络系统不存在任何威胁的状态”为防范各种威胁，如病毒入侵和破坏、计算机犯罪、主动或被动攻击等而采取的措施，可保证网络安全。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因无意或故意威胁而遭到破坏、更改、泄露，保证网络系统连续、可靠、正常地运行。从不同角度谈网络安全：•用户：网络系统可靠运行；网络中存储和传输的信息完整、可用和保密。•网络运行和管理者：网络资源安全，有访问控制措施，无“黑客”和病毒攻击。•安全保密部门：防有害信息出现，防敏感信息泄露。•社会教育和意识形态：控制有害信息的传播从不同环境和应用解释网络安全：•运行系统安全：保证信息处理和传输系统的安全。即网络系统环境保护，系统硬件的可靠运行，系统结构设计安全，系统软件及数据库安全等。•系统信息安全：保证在信息处理和传输系统中存储和传输的信息安全。如信息不被非法访问、散布、窃取、篡改、删除、识别和使用等。即保证网络信息的完整性、可用性和保密性。1.1.3.网络安全的特征(几个特性)•系统的可靠性：保证网络系统不因各种因素的影响而中断正常工作•数据的完整性：保护网络系统中存储和传输的软件(程序)与数据不被非法改变•数据的可用性：保证软件(程序)和数据能被合法用户访问和正常利用•数据的保密性：利用密码技术对数据进行加密处理，保证在系统中存储和网络上传输的数据不被无关人员识别。1.2网络面临的不安全因素1．网络系统的脆弱性（漏洞）2．网络系统的威胁：无意威胁、故意威胁，被动攻击、主动攻击3．网络结构的安全隐患1.2.1网络系统的脆弱性（漏洞）•操作系统的脆弱性•计算机系统本身的脆弱性•电磁泄漏•数据的可访问性•通信系统和通信协议的脆弱性•数据库系统的脆弱性•存储介质的脆弱操作系统的脆弱性NOS体系结构本身就是不安全的--操作系统程序的动态连接性。操作系统可以创建进程，这些进程可在远程节点上创建与激活，被创建的进程可以继续创建进程。NOS为维护方便而预留的无口令入口也是黑客的通道。计算机系统本身的脆弱性数据的可访问性：数据可容易地被拷贝而不留任何痕迹硬件和软件故障：硬盘故障、电源故障、芯片主板故障操作系统和应用软件故障电磁泄漏：网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成信息泄漏存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者电磁泄漏计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成有用信息甚至机密信息泄漏。数据的可访问性进入系统的用户可方便地拷贝系统数据而不留任何痕迹；网络用户在一定的条件下，可以访问系统中的所有数据，并可将其拷贝、删除或破坏掉。通信系统与通信协议的脆弱性通信系统的弱点：网络系统的通信线路面对各种威胁就显得非常脆弱TCP/IP及FTP、E-mail、等都存在安全漏洞，如FTP的匿名服务浪费系统资源，E-mail中潜伏着电子炸弹、病毒等威胁互联网安全，中使用的通用网关接口程序、JavaApplet程序等都能成为黑客的工具，黑客采用TCP预测或远程访问直接扫描等攻击防火墙数据库系统的脆弱性由于DBMS对数据库的管理是建立在分级管理的概念上的，因此，DBMS存在安全隐患。另外，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。黑客通过探访工具可强行登录和越权使用数据库数据；数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。存储介质的脆弱性软硬盘中存储大量的信息，这些存储介质很容易被盗窃或损坏，造成信息的丢失。介质的剩磁效应：废弃的存储介质中往往残留有关信息。1.2.2．网络系统的威胁网络系统的威胁主要表现有：非法授权访问，假冒合法用户，病毒破坏，线路窃听，干扰系统正常运行，修改或删除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。案例1-1：2008年元旦期间，一种名为“木马下载器20480”的病毒在网上现身，这种病毒会下载大量盗号程序，给用户的系统安全和财产带来威胁。另外，国家计算机病毒应急处理中心也发出预报，2007年12月31日至2008年1月6日，将定期发作“求职信”（Worm_Klez.E)病毒，属于电子邮件螨虫病毒类型。目前，全球的计算机病毒已达10万种，几乎每天都有几种新病毒或病毒变种出现。案例1-2：2007年底，著名互联网安全公司赛门铁克评出10大互联网安全事件：1）数据窃取。超过9400万名用户的Visa和MasterCard信用卡信息被黑客窃取。2）WindowsVista安全问题。微软公司今年为WindowsVista推出了16款安全补丁，将来更多的恶意软件会把目光集中在Vista身上。3）垃圾邮件。垃圾邮件比例创下了历史新高。4）黑客工具成为赚钱工具。今年，不仅黑客的攻击手段越来越高明，而且还通过出售黑客工具获取利润。5）“钓鱼”式攻击依然肆虐。6）可信的知名网站成为黑客攻击目标。7）僵尸程序。8）Web插件攻击。ActiveX控件事最易遭受攻击的Web插件。9）黑客在网上拍卖软件漏洞。10）虚拟机安全问题突出。(1)无意威胁无意威胁是在无预谋的情况下破坏了系统的安全性、可靠性或信息资源的完整性等。无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，不可避免的人为错误、误操作，电源故障和自然灾害等。(2)有意威胁•有意威胁实际上就是“人为攻击”。由于网络本身存在脆弱性，因此总有某些人或某些组织想方设法利用网络系统达到某种目的，如从事工业、商业或军事情报的搜集工作的间谍、黑客，他们对网络系统的安全构成了主要威胁。•对系统的攻击范围，可从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的、敏感的信息。•这些攻击又可分为被动攻击和主动攻击。被动攻击是指攻击者只通过观察网络线路上的信息，而不干扰信息的正常流动，如被动地搭线窃听或非授权地阅读信息。主动攻击是指攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。被动攻击和主动攻击有四种具体类型：窃听：攻击者未经授权浏览了信息资源。这是对信息保密性的威胁，例如通过搭线捕获线路上传输的数据等。发送方接收方攻击者被动攻击(窃听)中断(Interruption)：攻击者中断正常的信息传输，使接收方收不到信息，正常的信息变得无用或无法利用，这是对信息可用性的威胁，例如破坏存储介质、切断通信线路、侵犯文件管理系统等。发送方攻击者中断接收方篡改(Modification)：攻击者未经授权而访问了信息资源，并篡