已阅读5页,还剩36页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
02.05.2020,.,Page1,02.05.2020,.,Page2,第1章网络安全技术概述,02.05.2020,.,Page3,1.1网络安全的基本问题,网络安全的定义:从本质上讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断;,02.05.2020,.,Page4,广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。,02.05.2020,.,Page5,网络安全的特征(1)保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。(2)完整性:数据未经授权不能进行改变的特性。(3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。(4)可控性:对信息的传播及内容具有控制能力。,02.05.2020,.,Page6,网络安全现状,系统的脆弱性Internet的无国际性TCP/IP本身在安全方面的缺陷网络建设缺少安全方面的考虑(安全滞后)安全技术发展快、人员缺乏安全管理覆盖面广,涉及的层面多。,02.05.2020,.,Page7,安全工作的目的,进不来,拿不走,改不了,跑不了,看不懂,02.05.2020,.,Page8,网络安全涉及知识领域,02.05.2020,.,Page9,综合而言,网络安全的基本问题包括物理安全威胁、操作系统的安全缺陷、网络协议的安全缺陷、应用软件的实现缺陷、用户使用的缺陷和恶意程序六个方面。,02.05.2020,.,Page10,1.1.1物理安全威胁,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。,02.05.2020,.,Page11,目前主要的物理安全威胁包括以下三大类:1自然灾害、物理损坏和设备故障。这类安全威胁的特点是突发性、自然因素性、非针对性。这类安全威胁只破坏信息的完整性和可用性,无损信息的秘密性。2电磁辐射、乘虚而入和痕迹泄露。这类安全威胁的特点是难以察觉性、人为实施的故意性和信息的无意泄露性。这类安全威胁只破坏信息的秘密性,无损信息的完整性和可用性。,02.05.2020,.,Page12,3操作失误和意外疏忽。这类安全威胁的特点是人为实施的无意性和非针对性。这类安全威胁只破坏信息的完整性和可用性,无损信息的秘密性。,02.05.2020,.,Page13,1.1.2操作系统的安全缺陷,操作系统的脆弱性(1)操作系统体系结构本身就是不安全的一种因素。(2)操作系统可以创建进程,即使在网络的节点上同样也可以进行远程进程的创建与激活,更令人不安的是被创建的进程具有可以继续创建进程的权力。(3)网络操作系统提供的远程过程调用服务以及它所安排的无口令入口也是黑客的通道。,02.05.2020,.,Page14,1安全缺陷的检索CVE(CommonVulnerabilitiesandExposures)是信息安全确认的一个列表或者词典,它在不同的信息安全缺陷的数据库之间提供一种公共索引,是信息共享的关键。有了CVE检索之后,一个缺陷就有了一个公共的名字,从而可以通过CVE的条款检索到包含该缺陷的所有数据库。,02.05.2020,.,Page15,2UNIX操作系统的安全缺陷(1)远程过程调用(RPC)(2)Sendmail,02.05.2020,.,Page16,3Windows系列操作系统的安全缺陷(1)UnicodeUnicode是ISO发布的统一全球文字符号的国际标准编码,它是一种双字节的编码。通过向IIS服务器发出一个包括非法UnicodeUTF-8序列的URL,攻击者可以迫使服务器逐字“进入或退出”目录并执行任意脚本,这种攻击称为目录转换攻击。Hfnetchk是一个用来帮助网络管理员判断系统所打补丁情况的工具。,02.05.2020,.,Page17,(2)ISAPI缓冲区溢出在安装IIS的时候,多个ISAPI被自动安装。ISAPI允许开发人员使用多种动态链接库DLLs来扩展IIS服务器的性能。如果安装了IIS服务器,并没有打过补丁,那么该系统可能会受到控制IIS服务器的这种攻击。,02.05.2020,.,Page18,1.1.3网络协议的安全缺陷,网络系统都使用的TCP/IP协议、FTP、E-mail、NFS等都包含着许多影响网络安全的因素,存在许多漏洞。1TCP序列号预计2路由协议缺陷3网络监听,02.05.2020,.,Page19,典型的TCP协议攻击/安全缺陷LAND攻击:将TCP包中的源地址、端口号和目的地址、端口号设成相同。将地址字段均设成目的机器的IP地址。若对应的端口号处于激活(等待)状态,LAND攻击可使目的机器死机或重新启动。攻击奏效的原因出于TCP的可靠性。攻击利用TCP初始连接建立期间的应答方式存在的问题。攻击的关键在于server和client由各自的序列号。注:i)初始序列号各方随机自选。,02.05.2020,.,Page20,ii)己方针对对方序列号发出的应答(确认)号对方上次的序列号+1.iii)己方发出的(非初始)序列号己方上次的序列号+1己方收到的应答号。各方每次发送以上iii)和ii)。例:正常情况下的三次握手与通信:客户端服务端=客SequenceNum=1001(初始),02.05.2020,.,Page21,客SequenceNum=100111002客Ack=499915000(以上完成三次握手)客SequenceNum=100211003客Ack=500015001=服Ack=100311004服SequenceNum=500015001。,02.05.2020,.,Page23,02.05.2020,.,Page24,从第三次握手开始,因为每次服务器均得到自己的应答/确认号,即1002,而非5000,而该确认号为自己上次发出的,认为有错,则重发(非超时所致),由此无限循环。由于TCP是具有高优先权的内核级进程,可中断其它的正常操作系统以获得更多的内核资源来处理进入的数据。这样,无限循环很快就会消耗完系统资源而引起大多数系统死机。TCP在此的安全缺陷还在于:在连接初始化成功之后无任何形式的认证机制。TCP收到的数据包只要有正确的序列号就认为数据是可以接受的。一旦建立连接,就无法确定数据包源IP地址的真伪。,02.05.2020,.,Page25,1.1.4应用软件的实现缺陷,1输入确认错误2访问确认错误3特殊条件错误4设计错误5配置错误6竞争条件错误,02.05.2020,.,Page26,1.1.5用户使用的缺陷,1密码易于被破解2软件使用的错误3系统备份不完整,02.05.2020,.,Page27,1.1.6恶意代码,恶意代码是攻击、病毒和特洛伊木马的结合,它不但破坏计算机系统,给黑客流出后门,它还能够主动去攻击并感染别的机器。,02.05.2020,.,Page28,1.2网络安全体系结构,1.2.1安全控制1网络安全总体框架2安全控制(1)微机操作系统的安全控制(2)网络接口模块的安全控制(3)网络互连设备的安全控制,02.05.2020,.,Page29,1.2.2安全服务,1认证服务2访问控制服务3数据保密性服务4数据完整性服务5防抵赖服务,02.05.2020,.,Page30,1.2.3安全需求,1保密性2安全性3完整性4服务可用性5可控性6信息流保护,02.05.2020,.,Page31,1.3网络安全模型,一个最常见的安全模型就是PDRR模型。PDRR由4个英文单词的头一个字符组成:Protection(防护)、Detection(检测)、Response(响应)和Recovery(恢复)。这四个部分组成了一个动态的信息安全周期,是完整的安全策略。,02.05.2020,.,Page32,1.3.1防护这是网络安全策略PDRR模型中最重要的部分。防护可以分为三大类:系统安全防护、网络安全防护和信息安全防护。1风险评估与缺陷扫描2访问控制及防火墙3防病毒软件与个人防火墙4数据备份和归档5数据加密6鉴别技术7使用安全通信8系统安全评估标准,02.05.2020,.,Page33,1.3.2检测安全政策的第二个屏障是检测,即如果入侵发生就将其检测出来,这个工具就是入侵检测系统(IDS)。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。,02.05.2020,.,Page34,响应是已知一个入侵攻击事件发生之后,进行处理。恢复是入侵事件发生之后,把系统恢复到原来的状态,或者比原来更安全的状态。,1.3.3响应与恢复,02.05.2020,.,Page35,1.4网络安全防范体系及设计原则,1网络信息安全的木桶原则2网络信息安全的整体性原则3安全性评价与平衡原则4标准化与一致性原则5技术与管理相结合原则6统筹规划,分步实施原则7等级性原则8动态发展原则9易操作性原则,02.05.2020,.,Page36,网络安全解决方案,网络信息安全模型一个完整的网络信息安全系统至少包括三类措施:社会的法律政策,企业的规章制度及网络安全教育技术方面的措施,如防火墙技术、防病毒。信息加密、身份确认以及授权等审计与管理措施,包括技术与社会措施,02.05.2020,.,Page37,02.05.2020,.,Page38,政策、法律、法规是安全的基石,它是建立安全管理的标准和方法。第二部分为增强的用户认证,它是安全系统中属于技术措施的首道防线。用户认证的主要目的是提供访问控制。用户认证方法按其层次的不同可以根据以下3种情况提供认证。(1)用户持有的证件,如大门钥匙、门卡等。(2)用户知道的信息,如密码。(3)用户特有的特征,如指纹、声音和视网膜扫描等。,02.05.2020,.,Page39,授权主要是为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。加密主要满足如下的需求。(1)认证。识别用户身份,提供访问许可。(2)一致性。保证数据不被非法篡改。(3)隐密性。保证数据不被非法用户查看。(4)不可抵赖。使信息接收者无法否认曾经收到的信息。审计与监
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 安徽省宣城市2023-2024学年九年级上学期期末数学试题
- 2024年版:高端装备制造生产线融资租赁合同
- 2024-2030年中国双槽式清洗机项目可行性研究报告
- 2024全新年度企业师徒传承与品牌价值提升合同3篇
- 2024年特许经营合同的特许经营范围及权利义务
- 2024年玻璃幕墙制作安装合同
- 2024年标准化系统安装服务协议范本版B版
- 吕梁学院《会计学原理》2023-2024学年第一学期期末试卷
- 2024年度事业单位与境外专家劳动合同规范9篇
- 2024年桃树果苗采购合同样本3篇
- 区块链技术与应用学习通超星期末考试答案章节答案2024年
- 新质生产力背景下高质量职业教育教材建设的创新实践
- GB/T 22517.2-2024体育场地使用要求及检验方法第2部分:游泳场地
- 2024-2030年生命科学中的工业自动化行业市场现状供需分析及投资评估规划分析研究报告
- 三角形的高、中线与角平分线课件
- 在线教育平台行业五年发展洞察及发展预测分析报告
- 2023年部编版道德与法治五年级下册全册单元复习课教案
- 2024年江苏苏州市事业单位专业化青年人才定岗特选444人历年高频500题难、易错点模拟试题附带答案详解
- 学校食堂舆情处置预案
- 2024年大学生信息素养大赛(省赛)考试题库(含答案)
- 应用语言学智慧树知到答案2024年杭州师范大学
评论
0/150
提交评论