TCPIP协议-浙江工业大学(1).ppt

计算机网络安全,陈庆章 2012年11月20日,网络安全定义和基本要求,网络安全定义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,基本要求：网络通信的保密性,要求通信双方的通信内容是保密的。 这一方面要求通信的内容不能被第三方所窃取； 也要求万一被别人窃取后，也不能得到信息的具体内容。,基本要求：网络数据的完整性,要保证接收到的信息是完整的。这不是指收到的信息是不是有完整的意义，而是说在传输的过程中数据没有被修改。 要求接收到的信息或数据和发送方所发出的信息是完全一致的。 如果发出的信息是“请付给甲100元”，收到的信息是“请付给甲10000元”，数据的完整性就被破坏了。,基本要求：网络身份的确认性,在网络的通信中如何确定通信者的身份也是一个重要的问题。打电话可以从语音识别身份，写信可以从笔迹识别身份，网络通信中如何识别身份？(生理特征？持有物？) 如果收到总经理的邮件：“请付给乙方10000元”。如何确认此信一定是总经理发来的？,基本要求：通信的不可抵赖性,网络通信全部是电子形式的文档。收到的信息经打印机打印出来后和一般的文档没有什么不同。 甲给乙一份邮件，“请发货100件”。等乙发完货向甲收款时，甲说我没有要你发货。有什么办法使甲不能抵赖所发的信息？,计算机网络安全的分类,根据中国国家计算机安全规范，计算机的安全大致可分为三类： 1）实体安全。包括机房、线路、主机等； 2）网络安全。包括网络的畅通、准确以及网上信息的安全； 3）应用安全。包括程序开发运行、I/O、数据库等的安全。,安全问题来自何方？,黑客入侵 国家利益、商业利益、个人谋利 内部攻击 病毒侵入 秘密信息泄露 硬件和软件后门,安全的威胁,黑客概念,英文：Hacker、Intruder(入侵者)、Cracker(破坏者) 简单理解：是资料的窃取者或信息系统入侵者 原意：熟悉某种电脑系统，并具有极高的技术能力，长时间将心力投注在信息系统的研发，并且乐此不疲的人。 当前共识：在信息/网络世界中，仰仗着自己的技术能力，咨意非法进出他人信息系统，视法律与社会规范于不顾的角色。,谁是黑客,业余电脑爱好者。多半是对网络技术有兴趣的学生，也许是信息技术相关行业的从业人员。 职业的入侵者。这些人把入侵当成事业，认真系统地整理所有可能发生的系统弱点，熟悉各种信息安全攻防工具。 电脑高手。可能是天才的学生，也可能是熟练的电脑工程师，他们对网络、操作系统的运作了若指掌。 Hacker级的Cracker。也许你所使用的操作系统就是出自他的设计，也许你使用的系统安全工具就是他开发的。,黑客的目的,信息战- 国家利益 商业对手-窃取机密资料 个人谋利-盗用别人钱财 好奇心与成就感 盗用系统资源,危害实例,诋毁政府-公司形象 商业机密泄露 电子欺骗抵赖 破坏主机,联邦调查局的主页被修改 当当书店遭遇黑客入侵破坏,状告8848网站 Bill Gates信用卡在利用电子商务登记会员时被盗用 Love病毒 当天感染用户40万， 全球损失$100 million,危害,内部攻击,计算机犯罪、黑客攻击等非法攻击行为70%来自于内部网络; 内部攻击频发的原因： 局域网是黑客和计算机迷学习练习的最好场所； 被害单位的财富和信息过于集中而又疏于内部管理； 个别品质低下的内部人员对本单位信息环境熟悉又加剧了其作案和被外部人勾结引诱的可能性； 管理者信息安全意识不强，缺乏对职员的信息安全教育； 内部攻击的主要手段有：冒名顶替、修改网卡内码、使用黑客工具等。,病毒感染：计算机病毒定义,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,摘自中华人民共和国计算机信息系统安全保护条例第28条,病毒感染：典型的现象,Word、Excel文件打不开； 重要文件被破坏或丢失； 打开邮件后，系统死机； 计算机莫迷奇妙奏起音乐； 计算机分区丢失； 内存不足、速度越来越慢； ,病毒感染：感染现象举例,WIN95.HPS病毒发作现象,病毒感染：感染现象举例,现在BO黑客工具只要你在网上，你的机器内部的重要文件随时有可能被 其它怀有不良企图的人所窃取。,WIN95.Murburg病毒发作现象,病毒感染：传播过程示意,病毒,1 创造,2 感染,3 传播,4 发病,5 发现,6 解决方法,7 灭绝,秘密信息泄露,各类电磁辐射：显示设备、通信线路等； 涉密设备或网络连入因特网； 存储介质和设备硬件； 设备和软件的漏洞,硬件和软件后门,国内流行操作系统：例Win98 计算机主要集成电路芯片：例PIII CPU 一些国外进口的应用软件； 主要的网络互连设备，如路由器,隐患成因,难以控制知识产权；如路由器、OS、集成电路 高端网络安全产品国外厂商一统天下：如防火墙 信息安全意识淡薄，疏于防范； 信息社会的职业道德教育内容和体系不健全； 对信息安全技术的研究缺乏和浮躁 ,迫切要解决的问题,认证,如何加强网络安全,安全对策,对网站的攻击 修改主页，拒绝服务,商业机密泄露 电子欺骗,破坏主机系统 窃取信息,系统后门,政府-企业上网,安全路由器/安全服务器 Linux方案,第一、防火墙技术,防火墙（Firewall）是在两个网络之间执行访问控制策略的硬件或软件系统，目的是保护网络不被他人侵扰。 本质上，它遵循的是一种数据进行过滤的网络通信安全机制，只允许授权的通信，而禁止非授权的通信。 通常，防火墙就是位于内部网或Web站点与因特网之间的一台路由器或计算机。,在不安全的网络环境中构造一个相对安全的子网环境,路由器,客户端,FTP/HTTP 代理 服务器,应用服务器,SMTP 服务器,FTP 服务器,防火墙,防火墙,第二、屏蔽与干扰,从信号源上防护 防幅射（主机、显示器） 通信线路 输入与输出设备,第三、加密传输,密钥技术 加密设备 网络层、链路层加密机 身份认证,公钥私钥体制,通信双方各有一对公钥和私钥 将自己公钥公布 发送方使用对方的公钥加密要发送的数据 接收方使用自己私钥对收到的数据解密,第四、访问控制,物理隔离设备 硬盘隔离卡、网闸 访问控制权设置 防火墙,第五、安全检测和监控,漏洞扫描 OS漏洞、应用服务漏洞、木马侦测 网络配置漏洞、口令漏洞等 在线入侵检测系统 IDS,第六、备份,数据备份 设备备份 电源 异地备份 冗灾 管理人员备份,目前的有效途径,加密,我截获了无数个 password,网络攻击,攻防技术的发展背景,信息技术的迅猛发展，是黑客产生的基础 - 个人计算机性能的提高 - 应用软件，应用水平的提高 - 互联网成为人们从事各项活动的主要舞台 互联网缺乏安全控制机制， 是黑客存在的条件 - 互联网不为某个政府或组织所控制 - 最初的考虑主要是网络的连接，而不是网络安全 - 互联网缺乏必要的安全控制机制 互联网资源为黑客滋生提供了技术条件 - 互联网上很容易查找到黑客网址。 - 免费下载各种黑客软件，网上阅读及交流,现代攻击者的特点,技术化 - 掌握网络技术进行网络攻击的前提 - 一些黑客甚至是 “高手” 年轻化 - 1998年7年江西省169信息网全线瘫痪，嫌疑人仅19岁 - ISS创始人16岁便攻入联邦调查局网络 社会化 - 来自于各个层次、来自于不同年龄段 - 动机各自不同 地点复杂化 - 上网途径复杂化、可能是世界上的任何一个地方 - 追查攻击来源十分困难,网络攻击的防范,提高网络安全意识 - 采取必要的防范措施 依法强化管理 - 健全完善的发规，强化网络管理 加强网络出口管理 - 网络边界采取必要的访问控制机制 防火墙 - 完善的加密，身份认证体制 开发先进的网络安全产品 - 不依靠进口产品 - 大力开发自主知识版权的信息安全产品 加强国际合作,典型网络攻击,拒绝服务攻击 IP炸弹、邮件炸弹 恶意程序码 病毒(Virus)和后门程序(Backdoor) BO (Back Orifice)攻击 网络监听 网络信息包监听、电脑系统监听 密码破解,网络中常见的攻击,特洛伊木马（Trojan horse） 一种执行超出程序定义之外的程序。如一个编译程序除了执行编译任务以外，还把用户的源程序偷偷地copy下来，这种编译程序就是一种特洛伊木马。,网络中常见的攻击,逻辑炸弹（logic bomb） 一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如CIH，每当系统时间为26日的时候，便在BIOS中写入一大堆垃圾信息，造成系统瘫痪。 逻辑炸弹是计算机病毒的一种。计算机病毒（computer virus），一种会“传染”和起破坏作用的程序。,网络中常见的攻击,使用探视软件 几乎有网络路由器的地方都有探视程序（Sniffer Program）。探视程序是一种分析网络流量的网络应用程序。一般来说，这种软件收集的数据太多，对黑客不是很有用。但是，这种软件对黑客仍然是有吸引力的，因为黑客可以再加一个应用程序接口（API）。通过这个API，可以控制探视程序只是收集和管理具有某种格式的数据，例如口令。,网络中常见的攻击,SMTP攻击： 缓冲器过载（buffer overrun）攻击。缓冲器过载是一种常见的email攻击，此时，有些人的电子邮件信箱会塞满垃圾邮件，直到系统瘫痪。 秘密命令攻击（Backdoor Command Raids）通常是通过邮件的附件来发动的。特洛伊木马程序将秘密地隐藏在电子邮件中，当你双击邮件列表时，此特洛伊木马将从附件中滑出,BO 攻击演示,特洛伊木马攻击的原理是利用用户的大意或系统的漏洞，在被攻击主机上放置特殊的程序 这个特殊的程序作为一个服务运行于被攻击的主机上，开放一个自定义的端口， 攻击者可以利用客户端软件连接到该端口，这样就可以象在目标主机上操作一样达到控制被攻击主机的目的 典型的特洛伊木马攻击软件有BO2000、冰河等,冰河攻击实例,目的：网络上某个黑客通过网络取某公司一名员工电脑中 的重要资料。,冰河攻击实例,1在网络上下载一黑客工具：冰河。,冰河攻击实例,冰河攻击实例,2上传客户端程序到目标主机。,冰河攻击实例,3打开附件后木马程序的客户端程序加载到目标主机的 进程中。 并打开7626的端口。 TCP :1206 :0 LISTENING TCP :1222 :0 LISTENING TCP :7626 :0 LISTENING TCP :1