第2章网络安全技术

第2章网络安全技术教学目的和要求•计算机网络安全技术逐渐成为信息网络发展的关键技术，人类步入信息社会后，信息这一社会发展的重要战略资源更是需要网络安全技术的有力保障，才能形成社会发展的推动力。•通过本章学习，要求学生掌握计算机网络安全的概念，网络操作系统安全，防火墙技术，虚拟专用网（VPN）技术和网络入侵检测等内容。关键词汇•防火墙Firewall；•虚拟专用网（VPN）VirtualPrivateNetwork；•企业内部虚拟网（IntranetVPN）；•企业扩展虚拟网（ExtranetVPN）；•隧道协议TunnelingProtocol；•入侵检测系统（IDS）IntrusionDetectionSystem2.1网络安全概述明确计算机网络安全的基本概念以及安全的重要性，认识目前Internet上主要存在的安全隐患，了解计算机网络系统面临的几种威胁和计算机网络系统的脆弱性，以及计算机网络安全技术的研究内容、研究现状和研究动向。•2.1.1计算机网络安全的概念•2.1.2计算机网络系统面临的威胁•2.1.3计算机网络系统的脆弱性•2.1.4计算机网络安全技术的研究内容和发展过程2.1.1计算机网络安全的概念•1．计算机网络安全的定义•2．Internet上存在的主要安全隐患2.1.1计算机网络安全的概念•1．计算机网络安全的定义•国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术与管理的安全保护，保护计算机硬件、软件和数据不受偶然和恶意的原因遭到破坏、更改和泄露。由此，•我们可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。2.1.1计算机网络安全的概念•2．Internet上存在的主要安全隐患•1）Internet是一个开放的、无控制机构的网络。•2）Internet的数据传输是基于TCP/IP通信协议进行的，但这些协议缺乏缺乏安全措施。•3）Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题，而且会直接影响网络安全服务。•4）在计算机上存储、传输和处理的电子信息时，信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着信誉来维系的。•5）使用电子邮件来传输重要机密信息会存在着很大的危险。电子邮件存在着被拆看、误投和伪造的可能性。•6）计算机病毒通过Internet的传播，给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪，或者数据和文件的丢失。2.1.1计算机网络安全的概念•3．计算机网络安全的重要性计算机网络安全的重要性具体体现在以下几个方面：•1）计算机网络往往成为敌对势力、不法分子的攻击目标。•2）计算机系统之间的存取控制、逻辑连接数量不断增加，软件规模的空前膨胀，任何隐藏的缺陷、失误都能造成巨大损失。•3）计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐射环境，……，这些环境都会比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。•4）随着计算机系统的广泛应用，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。•5）计算机网络安全问题涉及许多学科领域，这将是一个非常复杂的综合问题，它随着系统应用环境的变化而不断变化。2.1.2计算机网络系统面临的威胁随着现代计算机系统功能日渐复杂，计算机网络体系日渐增强，对社会产生巨大的影响，但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受到黑客、恶意软件和其他不轨的攻击。2.1.2计算机网络系统面临的威胁•影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的。归结起来，针对网络安全的威胁主要5个方面：•1.硬件实体的威胁和攻击•2.对信息的威胁和攻击•3.网络软件的漏洞和“后门”•4.计算机犯罪•5.计算机病毒对实体的威胁和攻击主要指对计算机及其外部设备和网络的威胁和攻击，如各种自然灾害、人为破坏、设备故障、电磁干扰、战争破坏以及各种媒体的被盗和丢失等。对信息的威胁和攻击主要表现为两种，即信息泄漏和信息破坏。(1)无意失误(2)黑客攻击•网络软件系统不是百分之百的无缺陷和无漏洞的，这些恰恰是黑客进行攻击的首选目标。•软件的“后门”是软件公司的设计编程人员为了自便而设置的，潜在破坏大。是指针对和利用信息系统，通过非法操作或通过其他手段故意泄露、窃取或破坏系统中的机密信息，并造成重大的经济损失或严重的社会、政治不良影响，危害了系统实体和信息安全，对信息系统的完整性和正常运行造成危害后果的不法行为。•计算机病毒是计算机犯罪的是一种新的衍化形式，它是通过运行一段程序干扰或破坏系统正常工作的一种手段，其产生和蔓延给计算机网络信息系统的安全带来严重威胁和巨大的损失。•计算机病毒危害极大。2.1.3计算机网络系统的脆弱性随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性起着十分重要的作用。2.1.3计算机网络系统的脆弱性•1.操作系统安全的脆弱性•2.网络安全的脆弱性•3.数据库管理系统安全的脆弱性•4.防火墙的局限性•5.其他方面的原因2.1.4计算机网络安全技术的研究内容和发展过程•1.网络安全技术的研究内容•2.安全技术的研究现状和动向（1）实体硬件安全（2）软件系统安全（3）网络安全防护（4）数据信息安全（5）病毒防治技术（6）网络站点安全1.50年代，计算机应用范围很小，安全问题并不突出。70年代以来，推动了密码学的应用和发展。2.80年代规定了操作系统的安全要求。3.进入90年代以来，出现了防火墙和适应网络通令的加密技术。有效地提高了网站的整体安全防护水平。4.近年来，随着信息高速公路的兴起，全球信息化建设步伐不断加快，网络的安全保密研究将会得到更进一步的发展。2.2网络操作系统安全根据计算机软件系统的组成，软件安全可划分为：应用软件安全、数据库安全、操作系统安全和网络软件安全。本节我们了解一下网络操作系统的安全问题，针对目前我们所使用的网络操作系统，了解一下目前我们最常采用的网络操作系统（UNIX/Linux操作系统、Windows系列操作系统）以及其提供的安全服务。认识和了解网络操作系统安全的脆弱性，着重认识了解UNIX/Linux操作系统安全。•2.2.1典型的网络操作系统•2.2.2网络操作系统安全的脆弱性•2.2.3网络操作系统的网络安全服务•2.2.4UNIX/Linux操作系统安全2.2.1典型的网络操作系统•一、Linux网络操作系统•二、Windows2000一、Linux网络操作系统•Linux网络操作系统•目前，在Internet的服务器上，Linux/Unix操作系统占了绝对的份额，而在个人计算机和局域网中，Windows系列成了主流，并且又逐步发展成Windows与Linux平分天下的局面。•Linux的发展过程•Linux的特点：•（1）免费软件•（2）多用户、多任务系统•（3）支持多种文件系统•（4）强大的网络功能二、Windows2000•Windows2000•1.Windows2000是以WindowsNT为内核推出的新一代图形界面操作系统平台。原名WindowsNT5.0。•（1）Windows2000Professional•（2）Windows2000Server(Windows2000服务器版)•（3）Windows2000AdvancedServer(Windows2000高级服务器版)•（4）Windoes2000DatacenterServer•2.Windows2000的在系统安全方面的优点2.2.2网络操作系统安全的脆弱性网络操作系统作为网络资源的管理者，其安全脆弱性必须引起我们足够的重视。网络操作系统存在的缺陷主要有如下几个方面：（1）操作系统体系结构不安全。这时计算机系统不安全的根本原因，例如：操作系统的程序可以动态链接，包括I/O的驱动程序与系统服务，都可以用打补丁的方式进行的。这种方法厂商可以使用，黑客同样也可以使用，这种动态链接也是计算机病毒产生的好环境。一个靠升级与打补丁开发的操作系统不可能从根本上解决的安全问题，当操作系统支持程序动态链接与数据动态交换又是现代系统继承和扩展的必备功能，因此这时互相矛盾的。（2）操作系统支持在网络上传输文件，包括可执行的映像文件――即在网络上加载程序。这样也破坏了系统的安全性。（3）操作系统可以创建进程，甚至支持在网络的节点上创建和激活远程进程，跟重要的使被创建的进程可以继承创建进程的权限。这一点与“NOS可以在网络上加载程序“结合起来就提供了可以在远端服务器上安装“间谍软件”的条件。若再加上把这种间谍软件以补丁的方式“打”在一个合法的用户上，尤其“打”在一个特权用户上，间谍软件就可以使系统进程与作业的监视程序都检测不到它的存在。（4）操作系统通常都提供守护进程（Daemon）。这种软件实质上是一些系统监测，它们总在等待一些条件的出现。一旦又满足需要的条件出现，程序便继续运行下去。这样的软件也是黑客可以利用的。（5）操作系统提供远程过程调用（RPC）服务，RPC服务本身也存在一些可以被非法用户利用的漏洞。（6）操作系统提供调试（Debug）程序。许的研制系统软件的人员，其基本技能就是开发补丁程序和系统调试器。掌握了这两种技术，他们就有条件从事黑客可以从事的事情。（7）操作系统安排的无口令入口是为系统开发人员提供的便捷入口，但它也是黑客的通道。另外，有些操作系统还有隐蔽的通道。上述所列举的事实充分说明，在网络操作系统中存在的各种各样安全隐患，实际上，网络操作系统的安全很复杂，涉及到体系结构问题、通信协议问题、网络管理员的安全意思以及管理水平等诸多方面。2.2.3网络操作系统的网络安全服务•1.网络安全服务机制的种类•2.Windows2000的安全服务框架2.2.3网络操作系统的网络安全服务•1.网络安全服务机制的种类为了提供一个安全的运行环境，现代网络操作系统均提供如下安全服务机制：•（1）认证•（2）授权•（3）数据完整性•（4）数据私有性在这几种安全服务中，认证时最重要的一种，这是因为在某种程度上所有其他的安全服务机制均依赖于它。2.2.3网络操作系统的网络安全服务•2.Windows2000的安全服务框架2.2.4UNIX/Linux操作系统安全•一、UNIX/Linux的历史发展和现状•二、UNIX/Linux的安全性•三、UNIX系统采用的加密体系•四、UNIX系统网络安全性•五、网络监视和入侵检测2.2.4UNIX/Linux操作系统安全•一、UNIX/Linux的历史发展和现状•UNIX在长期的发展过程中形成了多种不同的版本，从总体来看，其发展可以分为三个阶段：•第一阶段为UNIX的初始发展阶段，从1969年AT&T贝尔实验室创建UNIX操作系统伊始，到实验室内部的使用和完善，这个阶段UNIX从版本1发展到版本6.•第二阶段为20世纪80年代，这是UNIX的快速发展时期。•从20世纪90年代开始到现在，可以算作第三个阶段，即UNIX的完善阶段。•Linux是一个免费、自由的操作系统；目前，Linux比较成熟的商用版本主要有Redhat，Slakeware等。2.2.4UNIX/Linux操作系统安全•二、UNIX/Linux的安全性•UNIX是一个多用户、多任务的操作系统。UNIX的设计宗旨是要考虑安全的。•UNIX中仍然存在很多安全问题，其新功能的不断纳入及安全机制的错误配置或错误使用，都可能带来很多问题。2.2.4UNIX/Linux操作系统安全•三、UNIX系统采