计算机网络安全专题讲座

1、第一讲 计算机网络安全概述解决网络安全问题的策略要解决好网络安全问题，为计算机网络系统运行提供一个良好的环境，需要在三方面努力，即：网络安全硬件、网络安全软件和网络安全服务。网络安全硬件包括：防火墙、虚拟专用网、独立专用网、入侵检测系统、认证令牌与卡、生物识不系统、加密机与芯片。网络安全软件包括：安全内容治理、防火墙、虚拟专用网、入侵检测系统、安全3A（authorization authentication administration/accounting，即授权、认证和治理/收费）、加密。其中网络安全内容治理包括防病毒、网络操纵和邮件扫描等。网络安全服务包括：顾问咨询、设计实施、支持维护

2、、教育培训、安全培训。网络安全及其学科的定义 网络安全是一门设计计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到爱护，不因偶然的或者恶意的因素而受到破坏、更改或泄漏，系统可正常地运行。 本质上讲，网络安全确实是网络信息安全；从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可操纵性的相关技术和理论差不多上网络安全研究的领域。信息安全及定义 信息安全（information security）是指信息的保密性（confidentiality）、完整性（integrity

3、）、可用性（availability）的保持。 信息的保密性是指保障信息只为那些被授权使用的人使用；信息的完整性是指信息在传输、存储、处理和利用的过程中不被篡改、丢失、缺损等；信息的可用性是指被授使用的人在需要使用信息的时候即可使用信息。4、网络防火墙 网络防火墙技术是一种用来加强网络之间访问操纵，防止外部网络用户以非法手段通过外部网络进入内部网络，访问或破坏网络资源，爱护内部网络资源的一种安全技术。 防火墙能够是硬件也能够是软件，还能够是软件硬件结合起来实现，它通过对两个网络之间传输的数据包按既定的安全策略来实施检查以决定网络之间的访问是否被同意，防火墙也负责实时监控网络运行状态。 防火墙是

4、一种差不多的网络安全防护工具，是网络安全的第一道防线，它可识不并阻挡许多黑客攻击行为，然而它也对下列入侵无能为力，如：通过防火墙以外的其它手段侵入网络的攻击；来自内部的蓄意或过失性操作所带来的威胁；传输已感染病毒的软件或文件所带来的威胁；数据驱动型攻击。 防火前一般被置于：单位内部网络与互联网的接口处；单位内部各VLAN之间；单位总部与各分支机构之间。5、入侵检测技术 入侵检测技术是一种利用系统审计记录及时发觉并报告系统中的未授权访问和异常事件存在的一种安全技术。入侵检测技术的工作效率受到审计记录和知识库的阻碍。 入侵检测产品要紧包含传感器（sensor）与操纵台（console）两部分。传感

5、器采集、分析数据并生成安全事件，而操纵台则起中央治理作用，负责与治理员沟通，以及时对差不多检测到的威胁采取措施。 入侵检测产品可分为基于网络的、基于主机的混合型三类。6、信息系统安全 信息系统安全技术要紧涉及到加密、解密和公钥基础设施。要保证一个信息系统的安全，包括如下四个方面的内容：1）数据传输安全性即采纳数据加密来保证数据在公网上的传输不被第三者窃取，如结合对称密钥和公开密钥加密技术实现的数字信封技术。2）数据完整性即保证数据在传输过程不被篡改，散列函数和数字签名是常用的保证数据完整性的技术。多重数字签名可保证多方通信时的数据完整性。3）身份验证即采纳口令字技术、公开密钥技术或数字签名技术

6、以及数字证书技术等来实现对通信双方进行身份真实性确认的一种安全技术。4）不可抵赖性即通过数字签名、数字证书等技术来确保信息发送或接收时带有特有的、不可复制的信息，以保证通信双方在交易时不发生纠纷。第二讲 密码学概述与公开密钥体系基础密码学 密码学（cryptology）是研究秘密书写的原理和破译密码的方法的一门科学，要紧包括紧密相关的两个方面：意识密码编码学（cryptography），要紧研究如何设计出好的密码体制的方法，爱护信息不被侦破；二是密码分析学（cryptanalysis），研究攻破一个密码系统的方法，回复被隐藏起来的信息。密码系统 一个密码系统包括明文（cleartext或pla

7、intext）字母空间，密钥（key）和算法（algorithm），其中算法和密钥是差不多单元。算法是一些公式，法则，给定明文与密文之间的变换方法。密钥能够看作是算法的参数。Polybius校验表加密 Polybius校验表由一个5*5的网格组成，网格中包含26个英文字母，其中I和J在同一格中。每一个字母被转换成两个数字，即第一个字母所在的行数，第二个是字母所在的列数。如字母A就对应着11，字母B对应着12，以此类推。使用这种密码能够将明文“message”置换为密文“32 15 43 43 11 22 15”。密码体制分类 按对明文的加密方式的不同，传统的密码体制能够分为两类：一类方式中，将

8、明文字符串分成多个字符的组，逐一进行加密得到密码，被称作流密码或序列密码。密码攻击 依照攻击的方式不同，密码攻击可分为主动攻击（active at tack）和被动攻击（passive at tack）两类。采纳截获密文进行分析的攻击叫被动攻击；采纳删除、修改、增添、重放、伪造等手段破坏系统正常通信并进行密码分析的攻击叫主动攻击。凯撒密码 “凯撒密码”是古罗马凯撒大帝用来爱护重要军情的加密系统。它是一种替代密码，通过将字母按顺序推后起k位起到加密作用。假定选择字母按顺序推后3位作为密码，那么指令：RETURN TO ROME加密后就成为：UHWXUA WR URPH。 只要通信双方通过某安全渠

9、道明白了密钥k，则密码和解密过程就专门容易进行。 但通常情况下明文和密文空间中元素个数n均专门小，且0=kn，因此，要破解任意密码最多只需尝试n次即可得到有意义的明文，这种攻击称作穷举攻击（Exhaustive key search）。简单置换密码系统DES 数据加密标准（data encryption standard，DES）出自IBM，并在1997年被美国政府正式采纳，在爱护金融数据的安全中它得到广泛应用，通常自动取款机ATM差不多上用DES.9、对称密码体制的总结：同一个密钥，既用于加密也用于解密；加密与解密速度快；安全性高；所得到的密文紧凑；要在收发双方安全地传递密钥，在现实环境下专

10、门难做到；通信参与者数目较大时，系统所需密钥数与参与者的数目的平方成正比，密钥治理难度专门大，故对称密码体制专门难用于参与者数目较多的情况；对称加密技术不适合于数字签名和不可否认性操纵。10、公钥密码体制 公开密钥体制中，每个用户U均拥有两个密钥，一个是加密密钥K，另一个是解密密钥Ke，另一个是解密密钥Kd，且关于任意可能的消息m，均有（即要求）：PK1:D(Kd，E(Ke，m)=m 如此，假定A要发信息给B，则A只要从公告环境中均查到B的加密密钥Keb即可完成信息的加密：E(Keb，m)=c；而当B收到11、数字签名 数字签名的差不多要求是：收方能依照信任的第三方来证明报文内容的真实性；发方

11、不能依照自己的利益要求，事后对报文真实性进行否认；收方不能依照自己的利益要求对报文或签名进行伪造。12、数字签名的过程要确认用户身份，发送方应该具备一对用于数字签名的密钥对KDSe和KDSd，且对任意消息m满足下式：PK4:E(KDSe，D(KDSd，m)=m数据发送方在签名时执行：c=D(KDSd，m)接收方在确认发送方身份时执行：m=E(KDSe，c)=E(KDSe，D(KDSd，m)现在，KDSe、KDSd均是数据发送方的签名密钥，几乎所有人均能够执行同意者的操作，读出m，然而只有发送方才能产生如下偶对：(m，D(KDSd，m)，故使用那个偶对能够对所有人公布一个确认发送者身份的消息，能

12、够防止发送者事后否认。假如要保证只有授权用户才能够读消息，则在发送消息的时候能够加入授权者的公钥，收发双方操作如下：发送方：c=E(Ke b，D(KDSd a，m)接收方：E(KDSe a，D(Kd b，c)=E(KDSe a，D(Kd b，E(Ke b，D(KDSd a，m)=m如此，尽管其他用户明白KDSe a和c然而他们不明白B的私钥Kd b，故也不能解密出m，秘密消息就被安全传送到B了。13、公钥密码体制的特点 1）两个密钥，一个用于加密另一个用于解密 2）加密体制是安全的 3）发送者不必分发密钥给同意者，故不用建立专用渠道用于密钥分发与治理，也不存在密钥被截获的可能性 4）系统分发的

13、密钥数只是用户的公钥，与用户数量一致 5）支持数字签名 6）加密和解密过程较之于对称密钥体制为慢 7）可能导致密文变长14、RSA密码体制RSA算法是最闻名的公开密码体制，1978年提出，基于大数分解(NP)的难度。其公开密钥e和私人密钥d是一对大素数的函数，从一个公开密钥e和密文c中恢复出明文m的难度等价于分解两个大素数之积n。RSA算法过程：首先是设计密钥，然后是对消息加密，最后是对密文解密。设计密钥先产生两个足够大的强质数p、q(通常为百余位长)。可得p与q的乘积n=p*q。再由p和q算出另一个数z=(p-1)*(q-1)，然后再选取一个与z互素的奇数e(1ez)，称e为公开指数；从那个

14、e值找出另一个值d(1dz)，满足e*d=1 mod(z)。舍弃p和q(但绝不能泄露)。由此而得到的两组数(n，e)和(n，d)分不被称为公开密钥和秘密密钥，或简称为公钥和私钥。加密关于明文M，用公钥(n，e)加密可得到密文C：C=Me mod(n)解密关于密文C，用私钥(n，d)解密可得到明文M。M=Cd mod(n)当定义先用私钥(n，d)进行解密后，然后用公钥(n，e)进行加密，确实是数字签名。第三讲 防火墙基础防火墙的概念防火前是设置在不同网络或网络安全域之间的一系列部件的集合，它执行预先制定好的访问操纵策略，决定内部网络与外部网络之间的访问方式。作为一种隔离技术，防火墙一方面要拒绝未

15、经授权的用户访问网络或存取敏感数据；另一方面要保证合法用户不受阻碍地使用防火墙的作用网络安全的屏障，即通过执行精心设计的网络安全策略，防火墙能够阻止不安全的服务访问网络，最大限度地保证网络安全。能够强化网络安全策略，即通过将网络安全配置集中在防火墙进行，既减少组织与治理的苦恼，还更经济。对网络存取和访问进行监控审计。在假如所有通信都必须通过防火墙来完成，则防火墙能够对通信内容进行日志记录和网络情况统计。当网络被攻击时能够及时报警并采取措施。防止内部网络信息的外泄。通过防火墙对内部网络的划分，可实现对内部网络重点网段的隔离，从而减少重点网段敏感数据对全网安全带来的阻碍。同时使用防火墙屏蔽内部网络

16、的细节，能够减少诸如Finger.、DNS等服务带来的不良阻碍。除了安全作用，防火墙还支持VPN。防火墙工作原理 依照防火墙功能实现在TCP/IP模型中的层次，防火墙工作原理能够分为三类：一是分组过滤技术，在网络层实现防火墙功能；一是代理服务技术，在应用层实现防火墙功能；一是状态检测技术，在网络层、传输层和应用层实现防火墙功能。分组过滤技术 本技术基于路由器技术，通常由分组过滤路由器对IP分组进行分组选择，同意或拒绝特定的IP分组。 分组过滤的依据要紧有源IP、目的IP、源端口、目的端口。 基于源或目的IP的过滤依照制定的安全规则，将具有特定IP特性的分组过滤掉，从而实现对内部网络的爱护。分组

17、过滤技术的优点： 逻辑简单；价格廉价；对网络性能阻碍小；对用户透明性好；与具体的应用程序无关；易于安装。 分组过滤技术的缺点：配置基于分组过滤的防火墙，需要对TCP、IP以及各种应用协议有较深入的了解，否则容易配置出错。过滤过程只能对网络层的数据包进行判不，无法满足一些专门的安全要求，如身份鉴不机制无法实现。代理服务技术代理服务技术是由一个高层的应用网关作为代理服务器，同意来自外部的应用连接请求，在代理服务器上进行安全检查后，再与被爱护的应用服务器连接，使得外部用户能够在受操纵的前提下使用内部网络的服务。同时内部网络到外部网络的连接请求也在该网关的监控下进行，从而保证内部网络得到更好的爱护。

18、代理服务技术的特点：由于代理服务作用于应用层，它能够理解应用层上的协议，因此能够作更复杂更细致的访问操纵；由于所有进出服务器的客户请求均要通过代理网关的检查，故详细的注册和审计记录变得可行；认证、授权等高层安全操纵手段能够方便地应用于代理服务器上，故内部网络能够得到更好的爱护。然而代理服务工作过程对用户不透明，用户使用时要对不同的协议和服务设置不同的代理，使用过程不方便。状态检测技术 状态检测技术既像分组过滤技术一样在IP层上检测IP地址和端口，对数据包进行过滤；也能够同代理服务一样，在应用层上对数据包的内容进行检查，应用高层的网络安全协议。 状态检测技术采纳一个在网关上执行网络安全策略的软件

19、引擎(检测模块)，对网络通信额各层实施检测分析，提取相关的通信和状态信息，并在一个称作动态链接表的数据表中存储和更新，为下一个通信检查提供数据。假如一个访问违反了网络安全策略，检测模块将拒绝访问并在日志中作出记录。 状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用RPC和用户数据包UDP之类端口，其安全级不就更高了。 状态监测防火墙安全性高，然而它会降低网络的速度，安全策略配置过程也比较复杂。防火墙体系结构屏蔽路由器结构这是最差不多的结构，能够由专门的路由器来实现，也能够使用主机来实现，屏蔽路由器作为内外网连接的唯一通道，要求所有报文均在此同意检查，过滤未授权的报文。这一结构一旦被

20、攻破，专门难发觉；同时这种结构也专门难识不不同德用户。双穴主机网关结构 这是一台装有两张网卡的主机做防火墙，两块网卡分不与受爱护网络和外部网络相连，堡垒主机上运行防火墙软件，负责对过往的数据包进行检查。其结构图可表示为：本结构优于屏蔽路由器结构的地点时堡垒主机系统能够维护系统日志、硬件复制日志或远程日志，对日后检查有利；但本结构不能确定哪些主机可能已被入侵；另外本结构下，假如堡垒主机被攻陷，则所有内部网络均暴露在黑客面前。屏蔽主机网关结构 在屏蔽主机网关结构中外部网络与内部网络之间增设一个包过滤路由器，并在其上建立包过滤规则，使得堡垒主机是外部网络能够见到的唯一主机，从而起到爱护内部网络的作用

21、。 本结构中，网关的差不多操纵策略均由安装在路由器和堡垒主机上的软件决定，假如攻击者设法登陆到上面，则内部网络中的主机就将受到专门大威胁，情况就与双穴主机网关结构类似了。屏蔽子网结构 这种结构是在内部网络和外部网络之间建立一个被隔离的子网，再用两台分组过滤路由器将这一子网与外部网络和内部网络连接起来，能够再选择性地设置一个堡垒主机支持终端交互或作为应用网关代理，其结构图可表示： 此结构中，假如攻击者试图完全破坏防火墙，他必须重新配置内部路由器和外部路由器，既要不切断连接又要保证不把自己锁在不处，还要注意自己不能被发觉，尽管能够实现然而难度较大。 假如治理员设置路由器禁止访问或只能被内部网络中某

22、些主机访问，则攻击成功的可能性就专门小了；此种情况下，攻击者得先侵入堡垒主机，然后进入内部网络主机，再返回来破坏屏蔽路由器，整个过程还要注意不能被发觉，难度专门大。防火墙技术存在如下不足无法阻止来自内部网络的攻击。而有过半数网络攻击事件正是来自内部网络。防火墙对信息流的操纵缺乏灵活性。防火墙工作过程往前依靠于治理员设置的网络安全规则，绝不试图对规则进行调整；而治理员在设置规则时或过于严格或过于宽松，专门难做到“恰到好处”。攻击发生后，利用防火墙保存的信息专门难调查取证。第四讲 入侵检测技术入侵网络入侵是指试图破坏信息系统的完整性、机密性、可靠性的任何网络活动。入侵检测入侵检测(Intrusio

23、n Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上能够获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时爱护，在网络系统受到危害之前拦截和响应入侵。 因此，入侵检测系统被认为是防火墙之后的第二道安全闸门，它在不阻碍网络性能的情况下能对网络进行监测。入侵检测分类依照检测对象的不同，入侵检测系统可分为：基于主机的入侵检测系统这类入侵检测系统通常安装在被爱护的主机上，要紧对该主机的网络连接、系统审计日志进行实时的分析与

24、检查，当发觉可疑行为和安全违规事件时，系统就向治理员报警以便采取措施。入侵检测专家系统(Intrusion Detection Expert System，IDES)就属于这类，它是一个独立于系统、应用环境、系统弱点和入侵类型的实时入侵检测专家系统。该系统能够看作是一个基于规则的模式匹配系统，审计记录一旦产生就与相应的描述模型中的特定信息进行比较，确定使用什么规则来更新描述模型、检测异常活动和报告检测异常结果。规则和描述模型（缺） 基于入侵检测系统一般安装在需要爱护的网段中，实时监视网段中传输的各种数据包，并对这些数据进行分析，假如发觉入侵行为和可疑事件，入侵检测系统就会发出警报甚至切断网络。

25、基于网络的入侵检测系统自成系统，它的运行可不能给原网络与系统增加任何负担。 网络安全监视器(Network Security Monitor)就属于基于网络的入侵检测系统，它并不检测主机的审计记录，而是通过在局域网上主动地监视网络信息流来追踪可疑的行为。它第一次直接将网络数据流作为审计数据来源，因此能够在不将数据转换为统一格式的情况下完成对异种主机的监控。 实际应用中，专门多网络安全解决方案均同时采纳了这两种互补的入侵检测技术。依照入侵检测系统使用的检测方法不同，能够将入侵检测系统分为基于攻击特征 模式匹配的入侵检测系统和基于行为统计分析的入侵检测系统。1） 模式匹配法，要紧适用于对已知攻击方

26、法的攻击行为进行检测。它通过分析攻击原理与过程，提取相关特征，建立攻击特征库，对截获的数据包进行分析和模式匹配，从而发觉攻击行为。这种方法的优点是识不准确，误报率低，但其缺点也明显，即对未知攻击方法的攻击行为却无能为力，同时当新的攻击方法被发觉时，需及时更新特征库。2）缺 统计分析法的优点是它能够“学习”用户的使用适应，从而有较高的检出率和可用性；然而较之于前一种方法，它的误报率高专门多；另外，它的“学习”能力，也给入侵者以机会，入侵者能够通过逐步的“训练”来使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。入侵检测系统与防火墙的配合使用由入侵检测技术与防火墙技术的特点可知，将入侵检测系

27、统与防火墙配合使用，能够极大地提高网络安全防备能力。 入侵检测系统与防火墙的结合方式有专门多种，常见的有：入侵检测引擎放在防火墙之外。这种情况下，入侵检测系统能接收到防火墙外网口的所有信息，治理员能够清晰地看到所有来自Internet的攻击，从而能够设置防火墙的安全策略，将攻击挡在门外。入侵检测引擎放在防火墙之内。这种情况下，只有穿透防火墙的攻击才可能被入侵检测系统检测到，治理员能够清晰地看到哪些攻击是未被防火墙过滤掉的，从而能够改善防火墙的安全策略。防火墙内外均有入侵检测引擎。这种情况下，能够检测到来自内部和外部的所有攻击，治理员能够清晰地看出是否有攻击穿透防火墙，所发生的攻击是来自网络内部

28、依旧外部等，从而能够对自己所面临的网络安全威胁有一个比较全面的了解。将入侵检测引擎装在其它关键位置。有时受爱护网络上的部分主机或部分子网重要性异于其它部分，能够在其上设置入侵检测引擎，从而对网络中的关键位置是否受到攻击进行准确推断。网络数据包截获即从网络通信设施上猎取通信数据包，事实上是一把双刃剑，一方面，网络治理员能够用于监听网络流量，开发网络应用的程序员能够用于实现网络应用程序；另一方面，黑客能够用于刺探网络上传输的机密信息。网卡工作模式与包截获以太网中，以太网卡有两种接收模式，即混杂模式和非混杂模式。混杂模式下，网卡接收所有数据包，不管目的地址是否是自己；非混杂模式下，网卡只接收目的地址

29、为自己的数据包已广播数据包(组播数据帧)。故，要截获以太网上的数据包，要让网卡工作于混杂模式。第五讲 计算机病毒防治计算机病毒的定义从不同角度，能够给计算机病毒作不同的定义。1984年，计算机病毒之父弗雷德科恩博士(Fred Cohen)把它定义为：“计算机病毒是一种计算机程序，它通过修改其它程序把自身或其演化体插入它们中，从而感染它们。” 国外最流行的定义是：“计算机病毒，是一段附着在其他程序上的能够实现自我生殖的程序代码。” 1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全爱护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入破坏计算机功

30、能或者毁坏数据，阻碍计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒的产生过程计算机病毒从产生到最终对计算机系统产生破坏作用全过程能够分为如下几个时期：程序设计期。计算机病毒作为一个软件“产品”，也有其分析、设计与实现的过程，即“制造者”将自己的企图利用某一门程序设计语言表现出来的过程。随着计算机程序设计语言的进展，现在掌握一定计算机程序设计初级知识的人都能够设计出计算机病毒来。孕育期。即“制造者”将自己的“作品”想方设法地传播出去，如感染一个流行程序再将被感染的流行程序广为流传。埋伏期。计算机病毒要想达到自己的目的，一般要在爆发之前先行完成足够多次的自我复制，并入侵到尽可能多的计算机系统中去，以求被激活后能够破坏更多的计算机资源。 计算机病毒在被激活之前的漫长的时刻即为埋伏期。在这一时期的计算机病毒除了非法占用存储空间外并无其它破坏行为。发作期。带有破坏机制的计算机病毒会在遇到某一特定的条件时发作，并完成预期的破坏活动。如某一特定日期的出现(如3月6日、4月26日)或某一指