计算机网络安全技术与实训第1章

-1-第1章计算机网络安全的基础知识[学习目标]1.理解计算机网络的组成及网络安全的主要威胁2.清楚网络安全的定义和所涉及的问题3.了解计算机网络安全的现状及发展状况4.了解常用的各种网络安全技术及安全标准本章要点计算机网络的组成及TCP/IP参考模型计算机网络安全的主要威胁计算机网络安全的概念及网络安全的要素计算机网络安全采用的技术和安全机制计算机网络安全的标准和发展趋势引言计算机网络安全技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。随着计算机和通信技术的发展，在全社会计算机网络和Internet将会进入一个无处不有、无所不在的境地。经济、文化、军事和社会活动将会十分依赖于计算机网络。计算机网络已成为国家重要的基础设施。网络的安全和可靠性问题已成为世界各国共同关注的焦点。Internet的跨国界、无主管、不设防、缺乏法律约束性，在为各国带来机遇的同时也带来了巨大的风险。各种大型公司或单位通过网络与用户或其他相关行业系统之间进行交流，提供各种网上的信息服务，但在这些网络用户中，存在竞争对手和恶意破坏者，这种人会不断地寻找网络上的漏洞，企图潜入内部网。一旦网络被入侵，机密的数据和资料就会被窃取，网络会被破坏，会给用户带来不可估量的损失。网络安全问题的最典型的例子之一是：1994年闯入花旗银行被盗案。据美国联邦调查局提供的资料，俄罗斯圣彼得堡的一伙电脑黑客在1994年闯入花旗银行的计算机系统，盗得1000万美元，并把这笔钱转移至美国、芬兰、荷兰、德国、爱尔兰等七个不同国家的银行。黑客攻击的典型例子是：1996年黑客修改美国官方网站。黑客将美国司法部的主页被改为“美国不公正部”。黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情-2-报局”改为“中央愚蠢局”。1998年，美国国家航空及太空总署（NASA）、美国海军及全美10多所著名大学采用微软的WindowsNT及Windows95操作系统的计算机同时遭到黑客袭击。这一次的袭击造成了许多军方和大学计算机系统的瘫痪。黑客成功侵入了印度原子研究中心，篡改了该研究中心的主页，并获得了印度核科学家在核试验期间交流的电子邮件。计算机病毒问题的典型例子之一是：1998年“CIH”病毒。它被认为是有史以来第一种在全球范围内造成巨大破坏的计算机病毒，导致无数台计算机的数据遭到破坏。在全球范围内造成了巨大的损失。CIH病毒是一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Chat模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。通过网络传播的CIH病毒，经济损失达12亿。互联网安全公司赛门铁克2007年评出了十大互联网安全事件：1.数据窃取：超过9400万名用户的Visa和MasterCard信用卡信息被黑客窃取。2.WindowsVista安全问题：微软今年为WindowsVista推出了16款安全补丁，将来，更多的恶意软件作者会把目光集中在Vista身上。3.垃圾邮件比例创下了历史新高：垃圾邮件发送者开始采取更复杂的方式来散播垃圾邮件，诸如发送伪装的PDF文件，在电子邮件主题中假装认识你，以及通过电子贺卡发送Storm蠕虫病毒等。4.黑客工具成为赚钱工具：不仅黑客的攻击手段越来越高明，而且还通过出售黑客工具获取利润。5.“钓鱼”式攻击依然肆虐。通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、或信用卡详细信息）。6.可信的知名网站成为黑客攻击目标。7.僵尸程序：僵尸程序（Bots，一种偷偷安装在用户计算机上使未经授权的用户能远程控制计算机的程序）成为黑客窃取受保护信息的主要手段。8.Web插件攻击：ActiveX控件是最易遭受攻击的Web插件。9.黑客在网上拍卖软件漏洞。10.虚拟机安全问题突出。有关黑客对计算机网络安全的威胁方面的报道已经屡见不鲜。而内部工作人员的疏忽甚至有意充当间谍对网络安全已构成更大的威胁。内部工作人员能较多地接触内部信息，工作中的任何大意都可能给信息安全带来威胁。无论是有意的攻击，还是无意的误操作，都会给系统带来不可估量的损失。虽然目前大多数的攻击者只是恶作剧似地使用篡改网站主页、拒绝服务等攻击，但当攻击者的技术达到某个层次后，他们就可以窃听网络上的信息，窃取用户密码、数据库等信息，还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，可以删除数据库内容，摧毁网络结点，释放计算机病毒等。网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。-3-安全性是互联网技术中最关键也最容易被忽视的问题。许多组织都建立了庞大的网络体系，但在多年的使用中可能从未考虑过安全问题，直到网络安全受到威胁，才不得不采取安全措施。随着计算机网络的广泛使用和网络之间数据传输量的急剧增长，网络安全的重要性愈加突出。综上所述，网络必须有足够强大的安全措施。无论是局域网还是广域网，无论是单位还是个人，网络安全的目标是全方位地防范各种威胁以确保网络信息的保密性、完整性和可用性。1.1计算机网络的基础知识1.1.1什么是计算机网络计算机网络就是利用通信设备和通信线路将分散在地里位置不同的功能独立的计算机连接在一起，在相应软件的支持下和若干的协议实现资源共享和数据通信的系统。资源共享和网络安全是一对矛盾。网络越大，安全问题就越突出，安全保障的困难就越大。随着计算机网络技术的飞速发展和应用的普及，国际互联网的用户大幅度增加，从我们在享受互联网给工作、生活、学习带来各种便利的同时，也承受了因网络安全性不足而造成的诸多损失。近年来，互联网上黑客横行、病毒猖獗、有害数据泛滥、犯罪事件不断发生，暴露了众多的安全问题，引起了人们的高度重视。1.1.2计算机网络的组成从完成的功能上看，网络由资源子网和通信子网组成。资源子网：由主机，终端，终端控制器，连网外设和各种软件资源和数据资源组成。其功能为向网络用户提供各种网络资源和网络服务，进行全网数据处理业务。通信子网：由通信控制功能的专用计算机和通信线路及其它通信设备组成。其功能为完成全网数据传输，转发等通信处理工作。对于计算机网络的安全来说，它包括两个部分：一是资源子网中各计算机系统的安全性；二是通信子网中的通信设备和通信线路的安全性。1.1.3计算机网络的分类网络从覆盖的地域范围大小可分为局域网、城域网和广域网。1.局域网(LocalAreaNetwork，LAN)往往是一个企业或一个部门内部组建的网络。如果没有和外部的网络连接，网络随具有一定的安全性。但也不能忽视内部信息泄漏和数据丢失以及物理的损坏。-4-2.城域网(MetropolitanAreaNetwork，MAN)在一个城市中形成的网络，覆盖面较大。会产生更多的不安全隐患。主要考虑采用加密技术和防止黑客攻击。3.广域网(WideAreaNetwork，WAN)是跨越省市或跨越国境，乃至和全世界各地实现网络的互联。广域网的网络不安全因素最多，必须高度重视，严格控制。按照通信介质将网络分为：有线网和无线网。l.有线网：采用同轴电缆，双绞线，有线电话线，光纤利用有线电视天线，甚至电力线的计算机网络。对于采用光纤介质的网络，由于抗干扰能力强，没有电磁信号泄漏，比其它有线介质较安全。2.无线网：无线电话网，语音广播网，价格低廉、使用方便，但保密性和安全性差。无线电视网，普及率高，但无法在一个频道上和用户进行实时交互。微波通信网，通信保密性和安全性较好，卫星通信网，有较大的不安全隐患。由于无线网络节省了布线成本，使用方便灵活，适用于复杂的地理位置和空间环境。随着无线网络的日益发展和普及，企业、学校和个人越来越多地使用无线网卡、无线路由器和移动通信设备，无线产品安全性更加薄弱。使得应用网络安全技术更加重要。按网络的拓扑结构来分，将网络可分为：总线型网络、环型网络、星型网络、树型网络、网状型网络。总线型网络体现在早期使用的一种共享介质的局域网络。由于采用载波监听多路访问冲突检测的介质访问控制方法，黑客很容易在总线上监听截获别人的数据包。现在大多使用的以交换机为核心的星型或树型交换网络，由于连接交换机的各网络节点同属于一个广播域，网络的安全性也是较低的。1.1.4计算机网络的体系结构及TCP/IP参考模型网络的层次模型和协议的集合就构成了计算机网络的体系结构。国际标准化组织ISO的计算机与信息处理标准化技术委员会正式制订并颁布了“开放系统互联参考模型”即“OSI/RM”(OpenSystemInterconnectionReferenceModel)。该模型将网络分为7层：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。分层就是把一个复杂的问题划分为不同的局部问题来简化研究网络。各层上定义的功能和各层上规定的协议，指导着网络系统的设计和软、硬件产品的开发以及网络的应用。随着国际互联网的应用范围不断扩大，Internet网的TCP/IP参考模型已成为事实上的标准。TCP/IP参考模型将网络分为四层：主机接口层、网际层、传输层、应用层。TCP/IP是一个协议族，有上百个协议，利用协议的一些漏洞，在互联网上会出现多种不安全的问题。IP协议是网际层的主要协议。网际层发送数据报、处理路由选择和拥塞控制等问题。网际层定义了正式的IP数据报格式和协议，即IP协议（InternetProtocol）。它的主要功能是：无连接数据报传送、数据报路由选择和差错控制。IP将报文传送到目的主机后，不管传送正确与否都不进行检验，不回送确认，也不保证分组的正确顺序，这些功能都由TCP完成。对于各种帧格式和地址格式的物理网络，IP协议将物理地址转换为IP地址。-5-把各种不同的帧统一转换成IP数据报。屏蔽底层差异，提供一致性的服务。TELNETFTPSMTPTFTPSNMPDNSNFS，HTTPOthersTCPUDPIPICMPARPRARPEthernetTokenRingothers图1.1TCP/IP参考模型的四层及各层上的部分协议网际控制报文协议ICMP。由于IP协议不检查错和相应的控制，为此设计了ICMP。ICMP有三种类型报文：差错报文，控制报文，请求/应答报文。若某路由器发现有错误--立即向信源主机发送ICMP报文--信源主机纠正错误。TCP位于IP之上的传输层，提供面向连接的可靠的服务。有确认、超时重发、流量控制和拥塞控制等各种可靠性技术。TCP实现数据可靠传输，TCP对每个数据报的数据加以标记.接收方可用已收到的数据报标记与到来的进行比较,有重复可丢弃。UDP无差错恢复能力，是不可靠的服务。但其格式和协议比TCP简单，开销小。由于网络系统结构的特点，使得网络在诸多方面存在安全问题。如：开放性的网络环境；协议本身的缺陷；操作系统的漏洞；人为因素等。1.2计算机网络存在的安全问题1.2.1网络安全现状分析网络安全现状存在的问题包括：系统的脆弱性；Internet的无国际性；TCP/IP本身在安全方面的缺陷；网络建设缺少安全方面的考虑（安全滞后）；安全技术发展快、人员缺乏；安全管理覆盖面广，涉及的层面多。从已有的研究结果可以看出，现在的网络系统中存在着许多设计缺陷和情报机构有意埋伏的安全陷阱。例如在CPU芯片中，发达国家利用现有技术条件，可以加入无线发射接收功能，在操作系统、数据库管理系统或应用程序中能够预先安置从事情报搜集、受控激发的破坏程序。通过这些功能，可以接收特殊病毒；接收来自网络或空间的指令来触发CPU-6-的自杀程序；搜集和发送敏感信息；通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且，通过唯一识别CPU的序列号，可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统，根据预先的设定搜集敏感信息或进行定向破坏。常见的攻击方式有：社会工程SocialEngineerin