计算机网络教程网络安全

1、Teacher Training College计算机网络教程计算机网络教程.韩维良青海师范大学教师教育学院HTeacher Training College计算机网络教程计算机网络教程.本章学习要求：了解：网络安全的重要性 掌握：网络安全技术研究的基本问题 掌握：网络安全策略制定的方法与基本内容 了解：网络安全问题的鉴别的基本概念 掌握：网络防火墙的基本概念 了解：网络文件的备份与恢复的基本方法 了解：网络防病毒的基本方法 掌握：网络管理的基本概念 Teacher Training College计算机网络教程计算机网络教程. 网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于

2、本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。Teacher Training College计算机网络教程计算机网络教程. 网络防攻击问题 网络安全漏洞与对策问题网络中的信息安全保密问题网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题Teacher Training College计算机网络教程计算机网络教程.服务攻击: 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击: 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪

3、。Teacher Training College计算机网络教程计算机网络教程.网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？Teacher Training College计算机网络教程计算机网络教程.信息存储安全与信息传输安全 信息存储安全 保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；信息传输安全 保证信息在网络传输的过程中不被泄露与不被攻击； Teacher Training College计算机网络教程计算机网络教程.将明文变换成密文的过程称为；将密文经过逆变换恢复成明文的过程称为。

4、加密过程密文明文信息源结点信息源结点解密过程密文明文信息目的结点信息目的结点Teacher Training College计算机网络教程计算机网络教程.是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。Teacher Training College计算机网络教程计算机网络教程

5、. 目前，70%的病毒发生在计算机网络上；连网微型机病毒的传播速度是单机的20倍，网络服务器消除病毒所花的时间是单机的40倍；电子邮件病毒可以轻易地使用户的计算机瘫痪，有些网络病毒甚至会破坏系统硬件。 Teacher Training College计算机网络教程计算机网络教程.如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？Teacher Training College计算机网络教程计算机网络教程. 网络安全服务应该提供的基本服务功能：数据保密（data confidentiality）认证（authe

6、ntication） 数据完整（data integrity） 防抵赖（non-repudiation） 访问控制（access control） Teacher Training College计算机网络教程计算机网络教程. 企业内部网有哪些网络资源与服务需要提供给外部用户访问？企业内部用户有哪些需要访问外部网络资源与服务？可能对网络资源与服务安全性构成威胁的因素有哪些？哪些资源需要重点保护？可以采取什么方法进行保护？发现网络受到攻击之后如何处理？Teacher Training College计算机网络教程计算机网络教程. 网络安全策略包括技术与制度两个方面。只有将二者结合起来，才能有效保

7、护网络资源不受破坏； 在制定网络安全策略时，一定要注意限制的范围；网络安全策略首先要保证用户能有效地完成各自的任务同时，也不要引发用户设法绕过网络安全系统，钻网络安全系统空子的现象；一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾，应该使网络管理员与网络用户都乐于接受与执行。 Teacher Training College计算机网络教程计算机网络教程. 制定网络安全策略的两种思想：一是凡是没有明确表示允许的就要被禁止，二是凡是没有明确表示禁止的就要被允许；在网络安全策略上一般采用第一种方法，明确地限定用户在网络中访问的权限与能够使用的服务；符合于规定用户在网络访问“最小权限”的原则

8、，给予用户能完成任务所“必要”的访问权限与可以使用的服务类型，又便于网络的管理。 Teacher Training College计算机网络教程计算机网络教程. 要维护网络系统的有序运行，还必须规定网络管理员与网络用户各自的责任；网络安全问题来自外部、内部两个方面；任何一个网点的内部网络安全策略的变化都会影响到另一个相关网点用户的使用，这就存在多个网点之间的网络安全与管理的协调问题；多个网点之间要相互访问，因此带来了内部用户与外部用户两方面的管理问题。 Teacher Training College计算机网络教程计算机网络教程. 要求网络管理员与网络用户能够严格地遵守网络管理规定与网络使用方

9、法，正确地使用网络；要求从技术上对网络资源进行保护；如果网络管理员与网络用户不能严格遵守网络管理条例与使用方法，再严密的防火墙、加密技术也无济于事；必须正确地解决网络安全教育与网络安全制度之间的关系，切实做好网络管理人员与网络用户的正确管理与使用网络的培训，从正面加强网络安全教育。 Teacher Training College计算机网络教程计算机网络教程. Internet网点与Intranet网点的网络管理中心的网络管理员，对网点的日常网络管理、网络安全策略与使用制度的修改和发布负有全部责任；当网点的网络安全策略的修改涉及其他网点时，相关网点的网络管理员之间需要通过协商，协调网络管理、网

10、络安全策略与使用制度的修改问题；网络管理中心应该定期或不定期地发布网点的网络安全策略、网络资源、网络服务与网络使用制度的变化情况。 Teacher Training College计算机网络教程计算机网络教程. 设计网络安全策略需要回答以下问题：打算要保护哪些网络资源？ 哪类网络资源可以被哪些用户使用？什么样的人可能对网络构成威胁？如何保证能可靠及时地实现对重要资源的保护？在网络状态变化时，谁来负责调整网络安全策略？Teacher Training College计算机网络教程计算机网络教程. 分析网络中有哪些资源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成威胁，以及如何保护这些资

11、源；对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和破坏的潜在因素，确定威胁的类型；了解对网络资源安全构成威胁的来源与类型，才能针对这些问题提出保护方法。Teacher Training College计算机网络教程计算机网络教程. 定义网络使用与责任定义需要回答以下问题： 允许哪些用户使用网络资源；允许用户对网络资源进行哪些操作；谁来批准用户的访问权限；谁具有系统用户的访问权限；网络用户与网络管理员的权利、责任是什么。 Teacher Training College计算机网络教程计算机网络教程. 网络攻击者要入侵网络，第一关是要通过网络访问控制的用户身份认证系统；保护用户口令

12、主要需要注意两个问题。一是选择口令，二是保证口令不被泄露，并且不容易被破译；网络用户在选择自己的口令时，应该尽量避免使用自己与亲人的名字、生日、身份证号、电话号码等容易被攻击者猜测的字符或数字序列。Teacher Training College计算机网络教程计算机网络教程.用户责任主要包括以下基本内容：用户只使用允许使用的网络资源与服务，不能采用不正当手段使用不应使用的资源； 用户了解在不经允许让其他用户使用他的账户后可能造成的危害与他应该承担的责任； 用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造成的后果以及用户要承担的责任； 用户了解为什么需要定期或不定期地更换账户密码；明确用

13、户数据是用户自己负责备份，还是由网络管理员统一备份，凡属于用户自己负责备份的数据，用户必须按规定执行备份操作；明白泄露信息可能危及网络系统安全，了解个人行为与系统安全的关系。 Teacher Training College计算机网络教程计算机网络教程. 网络管理员对网络系统安全负有重要的责任；网络管理员需要对网络结构、网络资源分布、网络用户类型与权限以及网络安全检测方法有更多知识。Teacher Training College计算机网络教程计算机网络教程. 网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力，网络管理员口令的泄露对网络安全会构成极其严重的威胁。 网络

14、管理员必须利用各种网络运行状态监测软件与设备，对网络系统运行状态进行监视、记录与处理。 了解网络系统所使用的系统软件、应用软件，以及硬件中可能存在的安全漏洞，了解在其他网络系统中出现的各种新的安全事件，监视网络关键设备、网络文件系统与各种网络服务的工作状态，审计状态记录，发现疑点问题与不安全因素立即处理。Teacher Training College计算机网络教程计算机网络教程. 保护方式 当网络管理员发现网络安全遭到破坏时，立即制止非法入侵者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故的性质与原因，尽量减少这次安全事故造成的损害；跟踪方式 发现网络存在非法入侵者的活动时，不是立

15、即制止入侵者的活动，而是采取措施跟踪非法入侵者的活动，检测非法入侵者的来源、目的、非法访问的网络资源，判断非法入侵的危害，确定处理此类非法入侵活动的方法。Teacher Training College计算机网络教程计算机网络教程. 鉴别网络安全问题可以从5个方面进行：访问点（access points）系统配置（system configuration）软件缺陷（software bugs）内部威胁（insider threats）物理安全性（physical security） Teacher Training College计算机网络教程计算机网络教程. .主机1工作站局域网1局域网1拨

16、号线路专用线路访问点2访问点2访问点3访问点3访问点1访问点1路由器1终端服务器modem主机2局域网2局域网2路由器2modemTeacher Training College计算机网络教程计算机网络教程. 防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。 Teacher Training College计算机网络教程计算机网络教程. 服务器外部网络外部网络防火墙服务器内部网络内部网络Teacher Training College计算机网络教程计算机网络教程.：防火墙通过检查所有进出内部网

17、络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界；：包过滤路由器（packet filtering router）和应用级网关（application gateway）；最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；Teacher Training College计算机网络教程计算机网络教程. 包过滤路由器 包过滤路由器按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址、

18、目的IP地址、协议类型 、IP选项内容 、源TCP端口号 、目的TCP端口号 、TCP ACK标识等。Teacher Training College计算机网络教程计算机网络教程.Teacher Training College计算机网络教程计算机网络教程.防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，实现成本。其缺点只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意入侵。Teacher Training C

19、ollege计算机网络教程计算机网络教程. 多归属主机又称为多宿主主机，它具有两个或两个以上的网络接口，每个网络接口与一个网络连接，具有在不同网络之间交换数据的路由能力（连接两个网络）。如果多归属主机连接了两个网络，它可以叫做双归属主机。只要能确定应用程序访问控制规则，就可以采用双归属主机作为应用级网关，在应用层过滤进出内部网络特定服务的用户请求与响应。应用代理是应用级网关的另一种形式，它是以存储转发方式检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。 Teacher Training College计算机网络教程计算机网络教程.代理服务器通过侦听网络内部客户的服务请求

20、，检查并验证其合法性，若合法，它将作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的入侵和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。Teacher Training College计算机网络教程计算机网络教程. Internet内部网络内部网络服务器工作站网络接口应用程序访问控制外部网络外部网络网络接口应用级网关应用级网关防火墙Teacher Training College计算机网络教程计

21、算机网络教程.外部网络外部网络代理服务器代理服务器防火墙内部网络内部网络真正服务器Internet客户实际的连接虚拟的连接实际的连接Teacher Training College计算机网络教程计算机网络教程. Checkpoint公司的Firewall-1防火墙Sonic System公司的Sonicwall防火墙NetScreen公司的NetScreen防火墙Alkatel公司的Internet Device防火墙NAI公司的Gauntlet防火墙 Teacher Training College计算机网络教程计算机网络教程. 网络数据可以进行归档与备份；归档是指在一种特殊介质上进行永久性

22、存储；网络数据备份是一项基本的网络维护工作；备份数据用于网络系统的恢复。Teacher Training College计算机网络教程计算机网络教程. 选择备份设备选择备份程序建立备份制度在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？ 怎样备份才可能在恢复系统时数据损失最少？ Teacher Training College计算机网络教程计算机网络教程. 70%的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右；从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占6%；从公司之

23、间交换的软盘带来的病毒约占2%；其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。Teacher Training College计算机网络教程计算机网络教程. 网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；（寄生性）当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作

24、，它将破坏程序与数据。 Teacher Training College计算机网络教程计算机网络教程. ：一是工作站，二是服务器；：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒； ：实时扫描、预置扫描与人工扫描；：客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。 Teacher Training College计算机网络教程计算机网络教程. 采用无盘工作站使用单机防病毒卡 使用网络防病毒卡预防的方法：数据的备份、病毒的表现特征、防病毒意识。 Teacher Training College计算机网络教程计算机网络教程. C

25、IH病毒工作原理 CIH病毒属于文件型病毒，只感染Windows9X下可执行文件。当受感染的.EXE文件执行后，该病毒便驻留内存中，并感染所接触到的其他格式执行程序。 CIH通过攻击BIOS，覆盖硬盘，进入Windows内核实现对硬盘的破坏。攻击BIOS。当CIH发作时，它会试图向BIOS中写入垃圾信息，BIOS中的内容会被彻底洗去。Teacher Training College计算机网络教程计算机网络教程.覆盖硬盘。CIH发作时，调节器用IOS-Send Command直接对硬盘进行存取，将垃圾代码以208个扇区为单位，循环写入硬盘，直到所有硬盘上的数据均被破坏为止。 进入Windows内

26、核。无论是要攻击BIOS，还是设法驻留内存来为病毒传播创造条件，对CIH这类病毒而言，关键是要进入Windows内核，取得核心级控制权。 Teacher Training College计算机网络教程计算机网络教程.2. CIH病毒防范措施 修改系统时间，跳过病毒的发作日。 有些电脑系统主板具备BIOS写保护跳线，但一般设置均为开，可将其拨至关的位置，这样可以防止病毒向BIOS写入信息。 检查CIH病毒的方法可采用压缩并解压缩文件的方式，如果解压缩出现问题，多半可以肯定有CIH1.2的存在，但用该方法不能判断CIH1.4病毒。 用户不要轻易启动从电子邮件或从网站上下载的未知软件。 由于病毒将垃

27、圾码写入硬盘，导致硬盘的数据是不能恢复，务必将重要数据备份，以免造成损失。 Teacher Training College计算机网络教程计算机网络教程.网络安全技术研究的基本问题包括：网络防攻击、网络安全漏洞与对策、网络的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复； 网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务； 制定网络安全策略就是研究造成信息丢失、系统损坏的各种可能，并提出对网络资源与系统的保护方法； 防火墙是根据一定的安全规定来检查、过滤网络之间传送的报文分组，以便确定这些报文分组的合法性； 网络管理则是指对网络应用系统的管理，它包括配置管理、故障管理、性能管理、安全管理、记账管理等部分。 Teacher Training College计算机网络教程计算机网络教程.网络信息系统的运