计算机网络安全(余).ppt

第10章计算机网络安全 本章主要内容 计算机网络安全概念及采取的相关策略访问控制技术计算机病毒与防治防火墙技术入侵检测技术数据加密技术其它安全技术简介实训指导 10 1计算机网络安全的概述 计算机网络安全的概念从狭义的保护角度来看 计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害 从广义来说 凡是涉及到计算机网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论都是计算机网络安全的研究领域 保密性 信息不泄露给非授权的用户 实体或过程 或供其利用的特性 完整性 数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修改 不被破坏和丢失的特性 可用性 可被授权实体访问并按需求使用的特性 即当需要时应能存取所需的信息 真实性 信息不被恶意修改的特性 可控性 对信息的传播及内容具有控制能力 影响计算机网络安全的主要因素 来自操作系统或应用系统方面的因素 黑客攻击的因素 病毒的因素 设备受损的因素 管理方面的因素 计算机网络安全策略 安全策略是指一个特定环境中 为保证提供一定级别的安全保护所必须遵守的规则 安全策略包括严格的管理 先进的技术和相关的法律 安全策略决定采用何种方式和手段来保证网络系统的安全 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提 物理安全是保护计算机网络设备 设施以及其它实体免遭地震 水灾 火灾和雷击等环境事故以及人为操作失误及各种计算机犯罪行为导致的破坏过程 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问 它是保证网络安全最重要的核心策略之一 通过入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制等多种形式实现访问控制 数据加密策略 信息加密 在保护网络安全尤其是数据信息的安全方面有着不可替代 无可比拟的作用 数据加密技术是包括算法 协议 管理的庞大体系 加密算法是基础 密码协议是关键 密钥管理是保障 防火墙控制策略 防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障 它是位于两个网络之间执行控制策略的系统 用来限制外部非法用户访问内部网络资源 通过建立起来的相应网络通信监控系统来隔离内部和外部网络 以阻挡外部网络的侵入 防止偷窃或起破坏作用的恶意攻击 网络入侵检测技术 入侵检测的定义为识别针对计算机或网络资源的恶意企图和行为 并对此做出反应的过程 它不仅检测来自外部的入侵行为 同时也检测来自内部用户的未授权活动 入侵检测应用了以攻为守的策略 它所提供的数据不仅有可能用来发现合法用户滥用特权 还有可能在一定程度上提供追究入侵者法律责任的有效证据 备份和恢复技术 用备份和镜像技术提高完整性 有害信息的过滤 对于计算机网络 由于使用人群的特定性 必须要对网络的有害信息加以过滤 防止一些色情 暴力和反动信息危害学生的身心健康 必须采用一套完整的网络管理和信息过滤相结合的系统 网络安全管理规范 在网络安全中 除了采用技术措施之外 制定有关规章制度 对于确保网络安全 可靠地运行将起到十分有效的作用 计算机网络的安全问题 不仅是设备 技术的问题 更是管理的问题 10 2访问控制技术 访问控制是指为了限制访问主体对访问客体的访问权限 访问主体也称为发起者 是一个主动的实体 如用户 进程 服务等 访问客体是指需要保护的资源 如信息资源 处理资源 通信资源和物理资源等 访问控制的一般模型 用一个简单的命题来描述的话 可以表示为 谁 Who 对哪些资源 What 能进行怎样的权限 How 操作 访问控制矩阵实例 几种常用的访问控制模型 自主访问控制 Discretionaryaccesscontrol 简称DAC 允许对象的属主来制定针对该对象的保护策略 强制访问控制模型 MandatoryaccesscontrolModel 简称MAC 是一种等级访问控制策略 它们主要特点是系统对主机和客体实行强制访问控制 在实施访问控制时 系统先对主体和客体的用户不能改变他们的安全级别或对象的安全属性 基于角色的访问控制模型 Role basedAccessModel 简称RBAC 的基本思想是将权限分配给一定的角色 用户通过不同的角色获得角色所拥有的权限 根据应用环境的不同 访问控制主要有以下三种 网络访问控制主机 操作系统访问控制应用程序访问控制 10 3计算机病毒与防治 计算机病毒 中华人民共和国计算机信息系统安全保护条例 中的定义为 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 计算机病毒主要特点 传染性潜伏性破坏性可触发性寄生性隐蔽性非法性 计算机病毒对计算机的影响计算机病毒对计算机系统或数据的破坏影响计算机运行速度计算机病毒给用户造成严重的心理压力 网络病毒 已经成为计算机网络安全的最大威胁之一 而网络病毒中又以蠕虫病毒出现最早 传播最为广泛 蠕虫病毒的传播可以分为3个基本模块 扫描模块 攻击模块和复制模块 计算机病毒的防治要从防毒 查毒和杀毒三方面来进行 系统对于计算机病毒的实际防治能力和效果也要从防毒能力 查毒能力和解毒能力三方面来评判 10 4防火墙技术 防火墙 是一种将内部网和外部网分开的技术方法或手段 是内部网与外部网之间的第一道屏障 实际上是一种隔离技术 是在两个网络通信的时候执行的一种访问控制手段 它能容许用户同意的人或数据进入网络 同时将用户不同意的人和数据拒之门外 最大限度地阻止网络中不明身份的人或数据访问受保护的网络 防止发生更改 复制和毁坏受保护网络中的数据 防火墙的主要技术 包过滤技术 PacketFiltering 是在网络层依据系统的过滤规则 对数据包进行选择和过滤 这种规则又称为访问控制表 ACLs 包括两种基本类型 无状态检查的包过滤和有状态检查的包过滤 其区别在于后者通过记住防火墙的所有通信状态 并根据状态信息来过滤整个通信流 而不仅仅是包 网络地址翻译 NAT NetworkAddressTranslation 最初的设计目的是增加在专用网络中可使用的IP地址数 但现在则用于屏蔽内部主机 NAT防火墙包括静态翻译 动态翻译 负载平衡翻译 网络冗余翻译等基本的翻译模式 应用级代理开发代理的最初目的是对Web进行缓存 减少冗余访问 但现在主要用于防火墙 代理服务器通过侦听网络内部客户的服务请求 检查并验证其合法性 若合法 它将作为一台客户机一样向真正的服务器发出请求并取回所需信息 最后再转发给客户 代理的工作流程如图 防火墙的分类 按技术分类 1 过滤型 包过滤型产品是防火墙的初级产品 其技术依据是网络中的分包传输技术 2 代理型 代理型防火墙也称为代理服务器 其安全性要高于包过滤型产品 并已经开始向应用层发展 代理服务器位于客户机与服务器之间 完全阻挡了二者间的数据交流 3 监测型 监测型防火墙是新一代的产品 它实际已经超越了最初的防火墙定义 监测型防火墙能够对各层的数据进行主动的 实时的监测 并在对这些数据分析的基础上 它能够有效地判断出各层中的非法入侵 按结构分类 1 双目主机结构 主要由一台双目主机构成 具有两个网络接口 分别连接到内部网和外部网 充当转发器 主机可以充当与这些接口相连的路由器 能够把IP数据包从一个网络接口转发到另一个网络接口 2 屏蔽主机结构 使用一个单独的路由来提供与内部网相连主机即壁垒主机的服务 在这种安全体系结构中 主要的安全措施是数据包过滤 3 屏蔽子网结构 屏蔽子网结构防火墙是通过添加隔离内外网的边界网络为屏蔽主机结构增添另一个安全层 这个边界网络有时候称为非军事区 10 5入侵检测技术 入侵检测系统 IDS 是用于检测任何损害或企图损害系统的机密性 完整性或可用性等行为的一种网络安全技术 它通过监视受保护系统的状态和活动采用异常检测或误用检测的方式 发现非授权或恶意的系统及网络行为 为防范入侵行为提供有效手段 是由硬件和软件组成 用来检测系统或网络以发现可能的入侵或攻击的行为 从系统构成上来看 入侵检测系统至少包括数据源 分析引擎和响应三个基本模块 入侵检测体系结构图 入侵检测系统的分类 基于网络的入侵检测系统NIDS NetworkIntrusionDetectionSystem 基于主机的入侵检测系统 HostIntrusionDetectionSystem 分布式入侵检测系统 DistributedIntrusionDetectionSystem 主要的入侵检测系统的介绍 Snort 开放源码网络入侵检测系统 TheOpenSourceNetworkIntrusionDetectionSystem LIDS LinuxIntrusionDetectionSystem 即Linux入侵检测系统EMERALD EventMonitoringEnablingResponsestoAnomalousLiveDisturbances 它是针对于Solaris系统的AAFID AutonomousAgentsForIntrusionDetection 自治代理入侵检测系统GrlDS Grpah basedIntrusionDetectionSystem 基于图形的入侵检测系统 10 6数据加密技术 数据加密技术是指对信息进行重新编码 从而达到隐藏信息内容 使非法用户无法获取信息真实内容的一种技术手段 相关术语 密码系统 CryptoSystem 密码学 Cryptology 加密 Encryption 解密 Decrytion 密码算法 CryptographicAlgorithm 密钥 Key 破译 数据加密技术分类 1 数据传输加密技术 目的是对传输中的数据流加密 常用的方法有线路加密和端到端加密两种 2 数据存储加密技术 目的是防止在存储环节上的数据失密 可分为密文存储和存取控制两种 3 数据完整性鉴别技术 目的是对介入信息的传送 存取 处理的人员的备份和相关数据内容进行验证 达到保密的要求 4 密钥管理技术 为了数据使用的方便 数据加密在许多场合集中表现为密钥的应用 因此密钥往往是保密与窃密的主要对象 各种加密算法简介 1 PGP和公共密钥加密体系 公共密钥加密算法采用了两个密钥的加密机制 它用一个密钥加密 而用另一个密钥解密 PGP PrettyGoodPrivacy 就是一个基于公共密钥加密体系的加密软件 2 SSL S HTTP和S MIME SSL S HTTP和S MIME是3个加密协议 可以用来保证Internet的安全 SSL SecureSocketsLayer 即安全套接层 是Netscape开发的一种加密方法 S HTTP即安全HTTP 是另一种在Internet上提供安全服务的协议 它是个高层协议 S MIME SecureMultipurposeInternetMailExtensions 即安全多用途Internet邮件扩展 是一个用于电了邮件或其他类型的Internet消息的加密标准 3 SSH SecureShell 和stelnet SSH和stelnet程序可以使用户安全地登录远程系统并保证链路安全 SSH是一组用为替代rsh rlogin和rcp的程序 它提供了更好的安全性 SSLeay是实现了SSL协议的软件 它是免费的 4 PAM PluggableAuthenticationModules 新版本的RedHatLinux附带了一个叫做 PAM 的统一认证安案 PAM允许用户改变认证方法和需求 并且封装了所有打开地认证方法 5 Kerberos Kerberos是由麻省理工学院的AthenaProject开发的身份验证系统 每当用户登录时 Kerberos验证用户的身份 使用口令 并且提供一种向网络上其他服务器和主机证明用户身份的方式 10 7其它安全技术简介 备份与恢复 备份简单地说就是保留一套后备系统 保存数据的副本 做到有备无患 数据的恢复就是将数据恢复到事故之前的状态 数据恢复总是与备份相对应 实际上可以看成备份操作的逆过程 备份是恢复的前提 恢复是备份的目的 无法恢复的备份是没有意义的 VPN技术 VPN VirtualPrivateNetwork 是采用隧道技术以及加密 身份认证等方法 在公共网络上构建企业网络的技术 隧道技术是VPN的核心 隧道是基于网络协议在两点或两端建立的通信 隧道由隧道开通器和隧道终端器建立 隧道开通器的任务是在公用网络中开出一条隧道 隧道交换的优点 1 隧道交换可以将访问导向相应的隧道终端器 使不同的网络用户进入不同的网段 实现网络虚拟工作组和权限控制 2 隧道交换根据RADIUS服务器的用户信息 开通到企业内部服务器的隧道 避免了在企业内外部防火墙之间设置应用服务器的麻烦 既不影响防火墙的安全性 又方便了数据访问 3 隧道到达企业内部网络后 可以使用企业内部地址 提高了网络的安全性 4 隧道交换可以平衡企业服务器的工作负载 5 隧道交换可以在不同ISP之间开通隧道 使隧道灵活拓展 因此在VPN领域 网络服务商之间的合作前景十分广阔 10 8实训 实训1 WEB站点的访问控制的实现实训目标 某校园网建立了学院的