第3讲-计算机网络安全概述

第1章网络安全防范技术概述本章主要内容•网络安全的基本概念和特征•网络的脆弱性和威胁•网络安全体系结构•网络安全措施•网络安全级别1．1计算机网络安全的概念1.1.1计算机网络概述1．计算机网络的概念•计算机网络是利用通信线路把多个计算机系统和通信设备相连，在系统软件及协议的支持下而形成的一种复杂的计算机系统。2．计算机网络的功能•计算机网络的功能主要有资源共享和信息传输。•资源共享是计算机网络的功能之一。网络的基本资源包括硬件资源、软件资源和数据资源，共享资源即共享网中的硬件、软件和数据库资源。•信息传输也是计算机网络的基本功能之一。在网络中，通过通信线路可实现主机与主机、主机与终端之间数据和程序的快速传输。1.1.2.网络安全的含义•网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因无意或故意威胁而遭到破坏、更改、泄露，保证网络系统连续、可靠、正常地运行。从不同角度谈网络安全：•用户：网络系统可靠运行；网络中存储和传输的信息完整、可用和保密。•网络运行和管理者：网络资源安全，有访问控制措施，无“黑客”和病毒攻击。•安全保密部门：防有害信息出现，防敏感信息泄露。•社会教育和意识形态：控制有害信息的传播权限设置•完全控制•修改•读取和运行•列出文件夹目录•读取•写入•特别权限上机案例操作：•在windows系统中，文件和文件夹都可以设置，如果系统中的某些文件只提供系统给特定用户使用，那么就要禁止其他用户随意使用那些软件。设置文件夹权限•在控制面板下创建新用户hj,属于user组，在本地用户下创建test目录，安全选项卡中设置拒绝hj用户对test文件夹进行读取，当以hj用户进入系统后看看能不能打开test文件夹中的内容。并以截图的方式进行提交步骤•设置hj用户可对test文件进行读取，但不能进行修改和写入操作。以截图方式进行提交步骤从不同环境和应用解释网络安全：•运行系统安全：保证信息处理和传输系统的安全。即网络系统环境保护，系统硬件的可靠运行，系统结构设计安全，系统软件及数据库安全等。•系统信息安全：保证在信息处理和传输系统中存储和传输的信息安全。如信息不被非法访问、散布、窃取、篡改、删除、识别和使用等。即保证网络信息的完整性、可用性和保密性。1.1.3.网络安全的特征(几个特性)•系统的可靠性：保证网络系统不因各种因素的影响而中断正常工作.•数据的完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。保护网络系统中存储和传输的软件(程序)与数据不被非法修改.•数据的可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；保证软件(程序)和数据能被合法用户访问和正常利用•数据的保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。利用密码技术对数据进行加密处理，保证在系统中存储和网络上传输的数据不被无关人员识别。•问题1：如果网络传输过程中数据被hacker更改，是破坏网络安全的什么特性？•问题2：数据在传输过程中，被非法用户访问，是破坏网络安全的哪条特性？•问题3：通常数据在传输过程中都需要加密，是为了保护网络安全的哪条特性？•问题4：网络在使用过程中经常断网1.2网络面临的不安全因素1．网络系统的脆弱性（漏洞）2．网络系统的威胁：无意威胁、故意威胁，被动攻击、主动攻击3．网络结构的安全隐患1.2.1网络系统的脆弱性（漏洞）操作系统的脆弱性NOS为维护方便而预留的无口令入口是黑客的通道。•计算机系统本身的脆弱性数据的可访问性：数据可容易地被拷贝而不留任何痕迹硬件和软件故障：硬盘故障、电源故障、芯片主板故障操作系统和应用软件故障电磁泄漏：网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成信息泄漏存在超级用户（administrator），如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者•数据的可访问性进入系统的用户可方便地拷贝系统数据而不留任何痕迹；网络用户在一定的条件下，可以访问系统中的所有数据，并可将其拷贝、删除或破坏掉。•电磁泄漏计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成有用信息甚至机密信息泄漏。•通信系统与通信协议的脆弱性通信系统的弱点：网络系统的通信线路面对各种威胁就显得非常脆弱TCP/IP及FTP、E-mail、等都存在安全漏洞，如FTP的匿名服务浪费系统资源，E-mail中潜伏着电子炸弹、病毒等威胁互联网安全，中使用的通用网关接口程序、JavaApplet程序等都能成为黑客的工具，黑客采用TCP预测或远程访问直接扫描等攻击防火墙•数据库系统的脆弱性黑客通过探访工具可强行登录和越权使用数据库数据；数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。•存储介质的脆弱性软硬盘中存储大量的信息，这些存储介质很容易被盗窃或损坏，造成信息的丢失。介质的剩磁效应：废弃的存储介质中往往残留有关信息。1.2.2．网络系统的威胁•网络系统的威胁主要表现有：非法授权访问，假冒合法用户，病毒破坏，线路窃听，干扰系统正常运行，修改或删除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。(1)无意威胁•无意威胁是在无预谋的情况下破坏了系统的安全性、可靠性或信息资源的完整性等。无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，不可避免的人为错误、误操作，电源故障和自然灾害等。(2)有意威胁•有意威胁实际上就是“人为攻击”。由于网络本身存在脆弱性，因此总有某些人或某些组织想方设法利用网络系统达到某种目的，如从事工业、商业或军事情报的搜集工作的间谍、黑客，他们对网络系统的安全构成了主要威胁。•对系统的攻击范围，可从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的、敏感的信息。•这些攻击又可分为被动攻击和主动攻击。被动攻击是指攻击者只通过观察网络线路上的信息，而不干扰信息的正常流动，如被动地搭线窃听或非授权地阅读信息。主动攻击是指攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。•被动攻击和主动攻击有四种具体类型：•窃听：攻击者未经授权浏览了信息资源。这是对信息保密性的威胁，例如通过搭线捕获线路上传输的数据等。发送方接收方攻击者被动攻击(窃听)•中断(Interruption)：攻击者中断正常的信息传输，使接收方收不到信息，正常的信息变得无用或无法利用，这是对信息可用性的威胁，例如破坏存储介质、切断通信线路、侵犯文件管理系统等。发送方攻击者中断接收方•篡改(Modification)：攻击者未经授权而访问了信息资源，并篡改了信息。这是对信息完整性的威胁，例如修改文件中的数据、改变程序功能、修改传输的报文内容等。攻击者篡改接收方发送方•伪造(Fabrication)：攻击者在系统中加入了伪造的内容。这也是对数据完整性的威胁，如向网络用户发送虚假信息、在文件中插入伪造的记录等。发送方攻击者伪造接收方(3)物理威胁•物理威胁就是影响物理安全的各种因素，如误操作损坏硬件设备(属无意威胁)；盗窃、破坏网络硬件或环境，搜寻废弃存储介质信息等(属有意威胁)。(4)网络威胁•网络威胁是指网络应用中给网络资源带来的新的安全威胁。如网络上存在电子窃听、借助于Modem入侵、冒名顶替(非法用户)入网等(属有意威胁)。(5)系统漏洞•系统漏洞也叫陷阱、后门，通常是操作系统开发者有意设置的，以便他们在用户失去对系统的访问权时能进入系统；也有些是无意造成的。这些安全漏洞就为黑客和非法入侵者提供了攻击系统的便利。(6)恶意程序•病毒、木马、蠕虫等都是一种能破坏计算机系统资源的特殊计算机程序(都是有意设置的)。它们具有一定破坏性。一旦发作，轻者会影响系统的工作效率，占用系统资源，重者会毁坏系统的重要信息，甚至使整个网络系统陷于瘫痪。网络结构的安全隐患•共享式设备带来的安全隐患：用HUB组网，所有数据在整个网上广播，入侵者可利用某台计算机对网络进行监听，以获取网上相应的数据包，再对其进行解包分析。而使用交换机组网，网上信息只能在通信双方间传输，因此可避免监听事件。•网络系统自身的安全漏洞：网络系统由于某种环境因素影响和技术条件限制，总是存在各种不足和安全漏洞，有些甚至可造成严重事故。这些漏洞由于时间的推移，往往被用户忽视，成为潜在的入侵渠道，对系统安全构成威胁。•来自内部的安全隐患：入侵者从内部计算机可容易地获得网络的结构，发现其他计算机的安全漏洞，然后进行各种伪装，骗取其他用户的信任，从而对其进行入侵。•来自互联网的安全隐患：连接互联网后，将面临来自外部的各种入侵尝试。