计算机网络技术与应用课件-第9章-网络安全与本地安全管理

Li_zhihui第9章网络安全与本地安全管理第9章网络安全与本地安全管理教学目标：通过介绍网络安全的基本概念、网络安全机制、网络安全目标以及黑客一般使用的攻击技术，使学生能够对计算机网络信息安全有一个较全面的认识。不仅了解信息是商品，信息是社会发展的重要资源，更重要的是使学生了解网络中存在的众多不安全因素，使学生对网络信息传递以及本地信息安全给予足够的重视。第9章网络安全与本地安全管理教学内容9.1网络安全概述9.2网络安全技术9.3网络攻击技术9.4本地安全管理9.1网络安全概述9.1.1网络安全目标9.1.2网络安全隐患9.1.3何谓网络攻击9.1.1网络安全目标网络安全从其本质上讲就是网络上的信息安全。具体来讲，网络安全就是要求计算机网络系统能够真正、全面、有效地对网络的各种资源（硬件、软件和数据）进行保护，确保网络结点的安全和通信链路的安全。安全目标1、可靠性可靠性是指网络信息系统能够在规定的条件和时间内完成规定功能的特性。它是网络系统安全的最基本要求之一。2、完整性完整性是指网络数据未经授权不能进行改变的特性。体现在保持网络数据在生成、存储或传输过程中不被修改、破坏或丢失，属于计算机系统和数据传输的安全目标。续3、可用性可用性是指网络信息可被授权实体访问并按需求使用的特性。体现在网络用户有需求时，允许其在访问权限范围内存取所需信息，或当网络部分受损后仍能为授权用户提供有效的服务等，属于网络服务的安全目标。4、真实性真实性也称作不可抵赖性，在网络信息交互过程中，参与者的真实性、交互信息的真实性，均属于对网络信任的安全目标。续5、保密性保密性是指网络信息传输不被泄露的特性，是网络安全目标最为重要的内容。它是在可靠性和可用性基础上，保障网络信息安全的重要手段，属于网络传输信道的安全目标。6、可控性可控性是指对网络信息的传播以及网络内容的监管具有可控制能力的特性。当网络安全出现问题时，可作为网络法律法规调查的依据与量刑的证据。可控性特征是网络实现网络安全目标的有力保障。9.1.2网络安全隐患网络安全隐患是网络安全的潜在侵害，网络面临的安全隐患很多，大致可以分为三类：第一类：自然环境因素，如地震、水灾、火灾、战争等原因造成的网络中断、系统损坏、数据丢失等等。第二类：系统自身因素，如系统存在漏洞，服务设置不当等等。第三类：人为破坏因素，即由恶意破坏者（黑客或骇客）制造的网络病毒、网络攻击等，其目的是企图通过各种手段破坏网络公共资源，盗窃他人私有信息等。网络安全隐患主要原因1．Internet是一个开放的网络，黑客利用开放网络所固有的缺陷入侵网络中的计算机系统。2．Internet上的数据传输是基于TCP/IP通信协议。这些协议无法保障信息不被窃取，缺乏安全控制机制。3．Internet上的通信业务所使用的网络操作系统均或多或少存在着安全脆弱性问题。4．Internet上的通信数据多数在存储、传输过程中没有加密保护和进行签字认证。5．Internet中普通终端客户占有很大的比例，这些客户群体对网络应用中存在的安全隐患，以及防范网络攻击等没有足够的认识。9.1.3何谓网络攻击网络攻击主要分为以下两类：1、被动攻击：攻击者通过监视和分析某一协议的数据单元，以获得某些重要信息。。2、主动攻击：攻击者利用网络本身的缺陷对网络实施攻击。9.2网络安全技术9.2.1防火墙技术9.2.2入侵检测技术9.2.3安全扫描技术9.2.4加密技术9.2.5认证和数字签名技术9.2.6其它网络安全技术9.2.1防火墙技术1、防火墙系统一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。•屏蔽路由器是一个多端口的IP路由器，它从IP包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以及其它一些IP选项，依据IP规则对IP包进行过滤检查，以判断是否放行。•代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。如：用户级的身份认证、日志记录和帐号管理。9.2.1防火墙技术2、防火墙控制1）内部子网与外网的访问控制2）内部子网与DMZ区的访问控制3）DMZ区与外网的访问控制4）远程用户对内网的访问控制5）防火墙的其它控制1）内部子网与外网的访问控制2）内部子网与DMZ区的访问控制3）DMZ区与外网的访问控制4）远程用户对内网的访问控制5）防火墙的其它控制防火墙的其它控制：可基于时间在防火墙上制定访问控制策略。如上班时间只能访问内网，不允许访问外网；可在防火墙上设置IP地址与MAC地址绑定。如Bind192.168.1.2to005054BB71A6，防止其他用户假冒192.168.1.2用户上网。可在防火墙上设置流量控制。如当某主机或用户的流量达到其设定的极限值则将阻断其连接等。可基于高层协议在防火墙上制定相应的应用控制。如HTTP协议的GET、POST、HEAD控制；FTP协议的GET、PUT控制等等。9.2.1防火墙技术3、防火墙的局限性防火墙属于被动防御设备，也有其不足之处，如：•源于内部的攻击，防火墙一般不提供保护；•不通过防火墙的接入，防火墙无法控制；•数据驱动型攻击，防火墙很难防范；•防火墙自身的反攻击能力不够，容易成为攻击的首选目标；•完全新的攻击手段，防火墙无法动态调整自己的策略做出相应的防御。9.2.2入侵检测技术1、入侵检测系统（IntrusionDetectionSystem，IDS）是近年出现的新型网络安全技术之一。对网络系统的运行状态提供实时的检测，并及时报告网络系统中违反安全策略的行为。IDS的主要功能：•监视、分析用户及系统活动；•核查系统配置和漏洞；•识别已知攻击的活动模式并向系统管理员报警；•异常行为模式的统计分析；•评估系统重要资源和数据文件的完整性；•操作系统的审计跟踪管理并识别用户违反安全策略的行为等。9.2.2入侵检测技术2、IDS入侵检测模型1）基于主机模型2）基于网络的模型3）基于分布式模型1）基于主机模型2）基于网络的模型3）基于分布式模型基于分布式模型，通常的配置为：(1)在需要监视的服务器上安装监视模块(agent)，向管理服务器报告并上传证据，提供跨平台的入侵监视解决方案。(2)在需要监视的网络路径上放置监视模块(sensor)，向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。9.2.2入侵检测技术3、IDS的局限性入侵检测系统也有其应用的局限性，如：•IDS存在资源和处理能力的局限性，其中NIDS具有网络局限性；•IDS不能处理加密后的数据等。9.2.3安全扫描技术1、安全扫描概念采用相应的安全扫描技术对计算机系统或其它网络设备进行安全检测，使网络系统潜在的脆弱性暴露出来，以寻找可能存在的安全隐患或系统可能被利用的漏洞，及时发现并更正修补，实现对系统的安全保护。安全扫描技术通常有被动策略和主动策略两种。•被动策略一般基于主机。•主动策略则一般基于网络。续2、常见的安全扫描技术（1）端口扫描（PortScan）（2）漏洞扫描（VulnerabilityScan）（3）WEB应用扫描（WebInspectScan）9.2.4加密技术1、加密技术概述加密技术是实现网络安全的核心技术之一，加密技术所起的作用是其它安全技术无法替代的。“加密”就是对原来的“明文”按照某种加密算法进行变换处理，使其成为难以理解的“密文”。加密过程的逆处理过程称之为“解密”。用于加密和解密的数字序列称为“密钥”。续2、加密技术1）古典加密技术2）对称加密技术3）非对称加密技术1）古典加密技术古典加密技术主要有两种基本算法：替代算法和置换移位法。替代算法：指明文的字母由其它字母、数字或符号所代替的一种加密法。最著名的替代算法是恺撒密码。其原理很简单，就是单字母替换。如：明文：Caesarwasagreatsoldier密文：Fdhvduzdvdjuhdwvroglhu恺撒密码将字母表用了一种顺序替代的方法来进行加密，上文密钥为3，即每个字母顺序推后3位。由于英文字母为26个，因此恺撒密码仅有26个可能的密钥，安全强度非常低。续置换移位法：指明文被置换后再位移的一种加密法。使用置换移位法最著名的一种密码称为维吉尼亚密码。如：对密钥字符，事先规定密钥字母a，b，c，d……y，z对应的移位数字：0，1，2，3……24，25。如密钥字符为deceptive，其加密过程：明文：wearediscoveredsaveyourself密钥：deceptivedeceptivedeceptive密文：zicvtwqngrzgvtwavzhcqyglmgj可以清晰的看到，密钥deceptive被重复使用。2）对称加密技术对信息的加密和解密都使用相同的密钥，也即一把钥匙开一把锁。这种加密方法可简化加密处理过程，只要密钥在交换阶段未曾泄露，那么机密性和报文完整性就可得以保证。3）非对称加密技术在现代的非对称加密体系中，密钥由一对公开密钥和私有密钥构成，简称公钥和私钥。公钥（用于加密的密钥）通过非保密方式向他人公开，而私钥（用于解密的密钥）留给个人妥善保存。9.2.5认证和数字签名技术认证技术主要解决网络通讯过程中双方的身份认证，数字签名是身份认证技术中的一种具体技术。认证过程通常涉及到加密和密钥交换。加密可使用对称加密、非对称加密以及两种加密方法的混合。常见的认证技术有：1、UserName/Password认证2、MD5认证3、基于PKI认证续PKI（PublicKeyInfrastructure）即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。使用公开密钥体系进行认证和加密，该种方法综合采用了消息-摘要算法、非对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。续如：9.2.6其它网络安全技术1、反病毒技术2、VPN技术VPN（VirtualPrivateNetwork）“虚拟专用网络”。虚拟专用网络可以理解为虚拟出来的企业内部专线，是通过Internet公共网络在局域网之间或单点之间安全地传递数据的技术。3、网络欺骗技术网络欺骗使入侵者相信网络系统存在一些有价值的信息资源（当然这些资源是伪造的或不重要的）或有可被利用的安全弱点，将入侵者引到这些错误的资源或看似漏洞的位置。9.3网络攻击技术9.3.1扫描技术9.3.2协议漏洞渗透9.3.3密码分析还原9.3.4应用漏洞分析与渗透9.3.5拒绝服务攻击9.3.6社会工程学9.3.7病毒与后门攻击9.3.1扫描技术扫描技术可检测Internet上的计算机当前是否处于活动状态、提供了何种的服务，以及更多相关的信息，主要使用的技术有Ping扫描、端口扫描和操作系统识别等。目前，扫描技术已经非常成熟，已经有大量的商业、非商业的扫描器投入使用。由于各种安全漏洞层出不穷，这就给netcat、nmap为代表的网络扫描工具以用武之地。9.3.2协议漏洞渗透作为Internet网络的核心协议，TCP/IP不断地得到安全的修补。然而，一些协议上的漏洞是无法通过修改来弥补的。黑客能利用这些固有的协议漏洞，开发出针对特定网络协议的网络攻击技术，常见的有：1、会话侦听与劫持技术2、地址欺骗技术续【举例】：假设有三台计算机A、B、C，其中C为攻击者。9.3.3密码分析还原为了保证数据的安全，最有效的办法之一就是对数据加密。攻击者在截获密文后，下一步要做的工作就是破解密码。根据密码分析出发点的不同，密码分析还原技术主要分为：1、密码还原技术2、密码猜测技术9.3.4应用漏洞分析与渗透任何应用程序都不可避免地存在着一些逻辑上的漏洞，操作系统也不例外。当这些漏洞对于网络系统的安全构成隐患时，往往就成为入侵者的攻击对象。应用漏