黄河-网络信息安全课件-第1章-概述

北京航空航天大学软件学院课程大纲1概述2基本网络安全技术（密码学基础，完整性服务，鉴别服务，数字签名，PKI）3TCP/IP网络安全协议（IPSec,SSL,SSH,SOCKS,HTTPS）4企业级网络安全技术（访问控制和防火墙技术，ＶＰＮ，入侵检测技术）５Internet应用层安全技术(PGP,HTTPS,IIS安全性)６高级网络安全技术（IPv6,无线网络安全）７实验课2020/4/7Page1北京航空航天大学软件学院第一章网络安全概述1.1网络安全现状1.2网络安全定义(ITU-TX.800)及目标1.3网络安全策略1.4ISO/OSI网络安全体系结构1.5典型网络安全模型1.6网络安全标准及评测体系2020/4/7Page2北京航空航天大学软件学院网络安全网络安全是指对网络系统的硬件、软件及其中的数据实施保护，使网络信息不因偶然或者恶意攻击而遭到破坏、更改或泄露，并且保证网络系统连续、可靠、正常地运行，保证网络服务不中断。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。2020/4/7Page3北京航空航天大学软件学院网络安全现状2020/4/7Page4EmailWebISP门户网站E-Commerce电子交易复杂程度时间Internet变得越来越重要2020/4/7北京航空航天大学软件学院5网络安全问题日益突出……混合型威胁(RedCode,Nimda)拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒(LoveLetter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量2020/4/7北京航空航天大学软件学院6北京航空航天大学软件学院为什么网络安全变得非常重要进行网络攻击变得越来越简单越来越多的个人或公司连入Internet并不是所有的用户都具有基本的安全知识2020/4/7Page7北京航空航天大学软件学院理解Internet领域WhatisInternet?TheInternetisaworldwideIPnetwork,thatlinkscollectionofdifferentnetworksfromvarioussources,governmental,educationalandcommercial.Internet为什么不安全Internet的设计思想技术泄密2020/4/7Page8北京航空航天大学软件学院理解Internet领域（续1）Internet的设计思想开放式、流动的和可访问异构的网络多数应用是客户机/服务器模式网络允许部分匿名用户2020/4/7Page9北京航空航天大学软件学院理解Internet领域(续2)技术泄密普通用户可以得到各种攻击工具对攻击行为比较感兴趣，喜欢尝试和冒险从攻击行为中牟利以攻击行为为职业2020/4/7Page10北京航空航天大学软件学院安全漏洞(database,Webserver)hacked-OShacked1.System(OS)2.Network3.Applications(db)HolesUserid,Password,PIN,creditcard#2020/4/7Page11北京航空航天大学软件学院Internet安全性研究的开始1988年11月3日，第一个“蠕虫”被放到Internet上。在几小时之内，数千台机器被传染，Internet陷入瘫痪。“蠕虫”的作者RobertMorrisJ.r被判有罪，接受三年监护并被罚款。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数百台（或数千台）机器，那一天标志着Internet安全性研究的开始。2020/4/7Page12北京航空航天大学软件学院“黑客”RichardStallmanGNU计划的创始人DennisRichie、KenThompsonandBrianKernighanUnix和C语言的开发者LinusTorvaldsLinuxKernel开发者2020/4/7Page13北京航空航天大学软件学院“入侵者”KevinMitink从电话耗子开始，入侵过军事、金融、软件公司和其他技术公司。已经获释。JustinTannerPeterson在试图获得6位数的欺骗性电汇时被捕。2020/4/7Page14北京航空航天大学软件学院•开放的网络外部环境–越来越多的基于网络的应用–企业的业务要求网络连接的不间断性•来自内部的安全隐患•有限的防御措施•错误的实现、错误的安全配置•糟糕的管理和培训•黑客的攻击网络风险难以消除2020/4/7Page15北京航空航天大学软件学院第一章网络安全概述1.1网络安全现状1.2网络安全定义(ITU-TX.800)及目标1.3网络安全策略1.4ISO/OSI网络安全体系结构1.5典型网络安全模型1.6网络安全等级与标准1.7网络安全评测认证体系2020/4/7Page16北京航空航天大学软件学院网络安全定义安全攻击安全机制安全服务ITU-TX.800标准将“网络安全”从三个层面进行逻辑定义:NETWORK2020/4/7Page17北京航空航天大学软件学院网络安全定义(续)安全攻击(securityattack):损害机构所拥有信息的安全的任何行为；安全机制（securitymechanism）:设计用于检测、预防安全攻击或者恢复系统的方法；安全服务（securityservice）:采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的能力.2020/4/7Page18北京航空航天大学软件学院安全攻击-攻击分类被动攻击进行网络窃听，截取数据包并进行分析，从中窃取重要的敏感信息。被动攻击不会导致对系统中所含信息的任何改动，而且系统的操作和状态也不被改变，因此被动攻击主要威胁信息的保密性。不易被检测。主动攻击意在篡改系统中所含信息或者改变系统的状态及操作：冒充、篡改、抵赖、非授权访问、非法登陆、信息或网络服务破坏等。可以被检测。2020/4/7Page19北京航空航天大学软件学院安全攻击-网络威胁信息安全包括数据安全和系统安全数据安全受到四个方面的威胁设信息是从源地址流向目的地址，那么正常的信息流向是：信息源信息目的地2020/4/7Page20北京航空航天大学软件学院安全威胁-中断威胁导致正在使用的信息系统毁坏或不能使用的攻击，破坏可用性（availability）。如切断网络通信线路、损坏网络服务、使文件系统的瘫痪等。信息源信息目的地2020/4/7Page21北京航空航天大学软件学院安全威胁-侦听威胁一个非授权方介入系统的攻击，破坏保密性(confidentiality).非授权方可以是一个人，一个程序，一台微机。这种攻击包括搭线窃听，文件或程序的不正当拷贝。信息源信息目的地2020/4/7Page22北京航空航天大学软件学院安全威胁-修改威胁一个非授权方不仅介入系统而且在系统中‘瞎捣乱’的攻击，破坏完整性（integrity）.这些攻击包括改变数据文件，改变程序使之不能正确执行，修改报文内容等。信息源信息目的地2020/4/7Page23北京航空航天大学软件学院安全威胁-伪造威胁一个非授权方将伪造的客体插入系统中，破坏其真实性（authenticity）的攻击。包括网络中插入虚假信息，或者在文件中追加记录等。信息源信息目的地2020/4/7Page24北京航空航天大学软件学院安全攻击-冒充攻击一个实体假装成另外一个实体。在鉴别过程中，获取有效鉴别序列，在以后冒名重播的方式获得部分特权。2020/4/7Page25北京航空航天大学软件学院安全攻击-重放攻击获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变，则容易被第三者获取，并用于冒名重放。2020/4/7Page26北京航空航天大学软件学院安全攻击-修改攻击信息被改变，延时，重排：如报文中的“允许张三读机密帐簿”可被修改成“允许李四读机密帐簿”。2020/4/7Page27北京航空航天大学软件学院安全攻击-拒绝服务攻击破坏网络设备或服务的正常运行，导致其无法提供正常服务。将整个网络扰乱，扰乱的方法是发送大量垃圾信息使网络过载，以降低系统性能。2020/4/7Page28北京航空航天大学软件学院网络信息安全目标IntegrityConfidentialityAvailability2020/4/7Page29北京航空航天大学软件学院网络信息安全目标(续)机密性(Confidentiality)计算机系统的资源应该仅能由授权实体读取完整性(Integrity)资源只能由授权实体修改可用性(Availability)一旦用户得到访问某一资源的权限，该资源就应该能够随时为他使用2020/4/7Page30北京航空航天大学软件学院第一章网络安全概述1.1网络安全现状1.2网络安全定义(ITU-TX.800)及目标1.3网络安全策略1.4ISO/OSI网络安全体系结构1.5典型网络安全模型1.6网络安全等级与标准1.7网络安全评测认证体系2020/4/7Page31北京航空航天大学软件学院网络安全策略（定义）安全策略:指在一特定的环境内,为保证网络提供一定级别的安全保护能力所遵守的一系列规则.安全策略不仅包括安全技术（机制、协议等）,还包括安全管理、法律约束以及安全教育等。2020/4/7Page32北京航空航天大学软件学院网络安全策略（分类）物理安全策略防止网络设备免受自然灾害、人为破坏和搭线攻击等；访问控制策略保证网络资源不被非法访问和使用；保证网络安全的核心策略；防火墙控制策略信息加密策略网络安全管理策略2020/4/7Page33北京航空航天大学软件学院网络安全策略—访问控制策略入网访问控制哪些用户能登陆到服务器并获取网络资源、控制用户入网的时间以及允许登陆的工作站网络的权限控制哪些用户可以访问哪些网络资源目录级安全控制控制用户对目录、文件、设备的访问属性网络服务器安全控制限制用户在服务器控制台上执行的一系列操作（安装删除软件、服务器登陆时间、关闭时间限制）网络检测和锁定控制对网络资源访问实施监控，锁定非法访问帐号等2020/4/7Page34北京航空航天大学软件学院网络安全策略-安全管理策略从管理角度保障网络安全性：指定信息安全政策、风险评估、安全控制目标与方式选择、制定安全规范、职工安全意识培训等BS7799（ISO/IEC17799）：《信息安全管理体系标准》ISMS（InformationSecurityManagementSystem）2020/4/7Page35北京航空航天大学软件学院第一章网络安全概述1.1网络安全现状1.2网络安全定义(ITU-TX.800)及目标1.3网络安全策略1.4ISO/OSI网络安全体系结构1.5典型网络安全模型1.6网络安全等级与标准1.7网络安全评测认证体系2020/4/7Page36北京航空航天大学软件学院1.4ISO/OSI网络安全体系结构ISO7498-2(1989):OSI参考模型的安全体系结构;(GB/T9387-2)该体系结构主要包括:安全服务安全机制安全管理2020/4/7Page37北京航空航天大学软件学院安全服务身份认证(鉴别Authentication)确认用户、主机及数据源的身份访