计算机网络安全1-绪论

1、第一章 绪 论 内容提要：计算机网络面临的主要要挟 计算机网络不平安要素 计算机网络平安概念 计算机网络平安体系构造计算机网络平安技术开展趋势 1.1 计算机网络面临的主要要挟1.1.1 计算机网络中遭到要挟的实体： 各类计算机效力器、任务站等 网络通讯设备路由器、交换机、集线器、调制解调器、加密机等 存放数据的媒体磁带机、磁盘机、光盘等 传输线路、供配电系统， 防雷系统和抗电磁干扰系统等 1.1.2 计算机网络系统面临要挟 主机能够会遭到非法入侵者的攻击 网络中的敏感数据有能够泄露或被修正 从内部网向共网传送的信息能够被他人窃听或篡改等等。 威 胁描 述窃听网络中传输的敏感信息被窃听。重传攻

2、击者将事先获得部分或全部信息重新发送给接收者。伪造攻击者将伪造的信息发送给接收者。篡改攻击者对通讯信息进行修改、删除、插入，再发送。非授权访问通过假冒、身份攻击、系统漏洞等手段，获取系统访问权拒绝服务攻击攻击者使系统响应减慢甚至瘫痪，阻止合法用户获得服务。行为否认通讯实体否认已经发生的行为。旁路控制攻击者发掘系统的缺陷或安全脆弱性。电磁/射频截获攻击者从电磁辐射中提取信息。人员疏忽授权的人为了利益或由于粗心将信息泄漏给未授权人。典型的网络平安要挟 1.1.3 计算机病毒的要挟 1988年11月发生了互联网络蠕虫worm事件，也称莫里斯蠕虫案。 1999年4月26日，CIH病毒迸发，俄罗斯十多万

3、台电脑瘫痪，韩国二十四万多台电脑受影响，马来西亚十二个股票买卖所受损害。 计算机病毒可以严重破坏程序和数据、使网络的效率和作用大大降低、使许多功能无法正常运用、导致计算机系统的瘫痪。 全球已发现6万余种计算机病毒 据统计，计算机病毒所呵斥的损失，占网络经济损失的76%。恶意攻击的潜在对手国家黑客恐惧份子/计算机恐惧份子有组织计算机犯罪其他犯罪成员国际新闻社工业竞争不满的雇员 刺探特定目的的通常动机 获取或敏感数据的访问权；跟踪或监视目的系统的运转跟踪分析；扰乱目的系统的正常运转；窃取钱物或效力；免费运用资源例如，计算机资源或免费运用网络；向平安机制进展技术挑战。1.2 计算机网络不平安要素1.

4、2.1 不平安的主要要素偶发性要素：如电源缺点、设备的机能失常、软件开发过程中留下的某种破绽或逻辑错误等。自然灾祸：各种自然灾祸如地震、风暴、泥石流、建筑物破坏等。人为要素：一些不法之徒，利用计算机网络或潜入计算机房，篡改系统数据、窃用系统资源、非法获取数据和信息、破坏硬件设备、编制计算机病毒等。此外，管理不好、规章制度不健全、有章不循、平安管理程度低、人员素质差、操作失误、渎职行为等都会对计算机网络呵斥要挟。对计算机网络的主要攻击 1被动攻击 攻击举例描 述监视明文监视网络，获取未加密的信息。解密通信数据通过密码分析，破解网络中传输的加密数据。 口令嗅探 使用协议分析工具，捕获用于各类系统访

5、问的口令。 通信量分析 不对加密数据进行解密，而是通过对外部通信模式的观察，获取关键信息。 对计算机网络的主要攻击 2自动攻击 攻击举例描 述修改传输中的数据截获并修改网络中传输的数据。重放将旧的消息重新反复发送，造成网络效率降低。会话拦截未授权使用一个已经建立的会话。伪装成授权的用户这类攻击者将自己伪装成他人，未授权访问资源和信息。利用系统软件的漏洞攻击者探求以系统权限运行的软件中存在的脆弱性。利用主机或网络信任攻击者操纵文件，使主机提供服务，从而获得信任。利用恶意代码攻击者向系统内植入恶意代码；或使用户去执行恶意代码。利用缺陷攻击者利用协议中的缺陷来欺骗用户或重定向通信量。拒绝服务攻击者有

6、很多实施拒绝服务的攻击方法对计算机网络的主要攻击 3临近攻击 临近攻击是指未授权者可物理上接近网络、系统或设备，从而可以修正、搜集信息，或使系统回绝访问。接近网络可以是进入或公开，也可以是两者都有。 攻击举例描 述修改数据或收集信息攻击者获取系统管理权，从而修改或窃取信息，如：IP地址、登陆的用户名和口令等。 系统干涉攻击者获取系统访问权，从而干涉系统的正常运行。 物理破坏获取系统物理设备访问权，从而对设备进行物理破坏。 对计算机网络的主要攻击 4内部人员攻击 攻击举例描 述恶意修改数据或安全机制内部人员直接使用网络，具有系统的访问权。因此，内部人员攻击者比较容易实施未授权操作或破坏数据。 擅

7、自连接网络对涉密网络具有物理访问能力的人员，擅自将机密网络与密级较低，或公共网络连接，违背安全策略和保密规定。 隐通道隐通道是未授权的通信路径，用于从本地网向远程站点传输盗取的信息。 物理损坏或破坏对系统具有物理访问权限地工作人员，对系统故意破坏或损坏。 非恶意修改数据由于缺乏知识或粗心大意，修改或破坏数据或系统信息。 物理损坏或破坏由于渎职或违反操作规程，对系统的物理设备造成意外损坏或破坏。 1.2.2 不平安的主要缘由 1Internet具有不平安性 开放性的网络，导致网络的技术是全开放的，使得网络所面临的破坏和攻击来自多方面。 国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，而且

8、，可以来自Internet上的任何一个机器，也就是说，网络平安面临的是一个国际化的挑战。 自在性的网络，意味着网络最初对用户的运用并没有提供任何的技术约束，用户可以自在地访问网络，自在地运用和发布各种类型的信息。 TCP/IP存在平安破绽1.2.2 不平安的主要缘由 2操作系统存在平安问题 操作系统软件本身的不平安性，以及系统设计时的忽略或思索不周而留下的“破绽，都给危害网络平安的人留下了许多“后门。 操作系统的体系构造呵斥了不平安性。 操作系统不平安的另一缘由在于它可以创建进程，支持进程的远程创建与激活，支持被创建的进程承继创建进程的权益。 操作系统的无口令入口，以及隐蔽通道。 1.2.2

9、不平安的主要缘由 3数据的平安问题 数据库存在着许多不平安性。4数据的平安问题 从平安的角度来说，没有绝对平安的通讯线路。 5网络平安管理问题 1.3 计算机网络平安概念 1.3.1 计算机网络平安的定义 计算机网络平安是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的性、完好性及可运用性遭到维护。从广义来说，凡是涉及到网络上信息的严密性、完好性、可用性、不可否认性和可控性的相关技术和实际都是网络平安的研讨领域。网络平安的详细含义会随着“角度的变化而变化。 1.3.2 计算机网络平安目的 1严密性 指网络中的严密信息只能供经过允许的人员，以经过允许的方式运用，信息不泄露给非授权用

10、户、实体或过程，或供其利用。 严密性的要素如下： 数据维护：防止信息内容的泄露如网络中的数据流 数据隔离：提供隔离途径或采用过程隔离COMPUSEC技术等； 通讯流维护：数据的特征包括频率、数量、通讯流的目的地等，通讯流维护是指对通讯的特征信息，以及推断信息如命令构造等进展维护。 1.3.2 计算机网络平安目的 2完好性 指网络中的信息平安、准确与有效，不因种种不平安要素而改动信息原有的内容、方式与流向。确保信息在存储或传输过程中不被修正、不被破坏和丧失。 破坏信息的完好性有人为要素非人为要素1.3.2 计算机网络平安目的 3可用性 指网络资源在需求时即可运用，不因系统缺点或误操作等使资源丧失

11、或妨碍对资源的运用，是被授权实体按需求访问的特性。 网络可用性还包括在某些不正常条件下继续运转才干。 保证可用性的最有效的方法是提供一个具有普适平安效力的平安网络环境。 防止遭到攻击 防止未授权运用 防止进程失败 1.3.2 计算机网络平安目的 4不可否认性 “不可否认性平安效力提供了向第三方证明该实体确实参与了那次通讯的才干。数据的接纳者提供数据发送者身份及原始发送时间的证据； 数据的发送者提供数据已交付接纳者某些情况下，包括接纳时间的证据； 审计效力提供了信息交换中各涉及方的可审计性，这种可审计性记录了可用来跟踪某些人的相关事件，这些人应对其行为担任。 1.3.2 计算机网络平安目的 5可

12、控性 指对信息的传播及内容具有控制才干，保证信息和信息系统的授权认证和监控管理，确保某个实体人或系统身份的真实性，也可以确保执法者对社会的执法管理行为。1.3.3 网络平安研讨内容 网络平安体系构造； 网络的攻击手段与防备措施； 网络平安设计； 网络平安规范制定，平安评测及认证； 网络平安检测技术； 网络平安设备； 平安管理，平安审计； 网络犯罪侦查； 网络平安实际与政策； 网络平安教育； 网络平安法律。概括起来，网络平安包括三个重要部分即： 先进的技术：先进的平安技术是网络平安的根本保证，用户经过风险评价，决议所需的平安效力种类，选择相应的平安机制，然后集成先进的平安技术。严厉的管理：即使用

13、网络的机构、企业和单位建立相宜的信息平安管理方法，加强内部管理，建立审计和跟踪体系，提高整体信息平安认识。威严的法律：平安的基石是社会法律、法规与手段，经过建立与信息平安相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。1.3.3 网络平安研讨内容1.4 计算机网络平安体系构造 研讨计算机网络平安的体系构造，就是研讨如何从管理和技术上保证网络的平安得以完好准确地实现，网络平安需求得以全面准确的满足。 OSI平安体系构造 网络平安技术 。 网络平安管理 网络平安政策法规与规范 1.4.1 OSI平安体系构造 1.平安效力 鉴别效力：提供对通讯中对等实体和数据来源的鉴别。访问控制效力：对资源提供

14、维护，以对抗非授权运用和支配。数据性效力：维护信息不被走漏或暴露给未授权的实体。分为数据性效力和业务流性效力。 数据完好性效力：对数据提供维护，以对抗未授权的改动、删除或替代。完好性效力有三种类型：衔接完好性效力，无衔接完好性效力，选择字段完好性效力。抗抵赖性效力：防止参与某次通讯交换的任何一方事后否认本次通讯或通讯内容。分为两种不同的方式：数据原发证明的抗抵赖，交付证明的抗抵赖。 对付典型网络要挟的平安效力安全威胁 安全服务 假冒攻击鉴别服务非授权侵犯访问控制服务窃听攻击数据机密性服务完整性破坏数据完整性服务服务否认抗抵赖服务拒绝服务鉴别服务、访问控制服务、数据完整性服务等1.4.1 OSI

15、平安体系构造 2.平安机制 加密机制 数字签名机制 访问控制机制 数据完好性机制 鉴别交换机制 通讯业务流填充机制 路由控制 公证机制1.4.2 网络平安技术 1物理平安措施 物理平安是维护计算机网络设备、设备以及其它媒体免遭地震、水灾、火灾等环境要素；人为操作失误；及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境平安：对系统所在环境的平安维护措施，如区域维护和灾难维护；设备平安：设备的防盗、防毁、防电磁信息辐射走漏、防止线路截获、抗电磁干扰及电源维护技术和措施等；媒体平安：媒体数据的平安及媒体本身的平安技术和措施。1.4.2 网络平安技术 2数据传输平安技术 物理平安是维护计算机

16、网络设备、设备以及其它媒体免遭地震、水灾、火灾等环境要素；人为操作失误；及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：数据传输加密技术：对传输中的数据流进展加密，以防止通讯线路上的窃听、走漏、篡改和破坏。三个不同层次来实现，即链路加密、节点加密、端到端加密。 数据完好性鉴别技术 防抵赖技术包括对源和目的地双方的证明，常用方法是数字签名。 1.4.2 网络平安技术 3内外网隔离技术 采用防火墙技术可以将内部网络的与外部网络进展隔离，对内部网络进展维护。4入侵检测技术 入侵检测的目的就是提供实时的检测及采取相应的防护手段，以便对进出各级局域网的常见操作进展实时检查、监控、报警和阻断，从而

17、防止针对网络的攻击与犯罪行为，阻止黑客的入侵。 1.4.2 网络平安技术 5访问控制技术 访问控制是维护计算机网络系统平安、维护计算机资源的重要手段，是保证网络平安最重要的中心战略之一。 6审计技术 审计技术是记录用户运用计算机网络系统进展一切活动的过程，记录系统产生的各类事件。 7平安性检测技术 网络平安检测破绽检测是对网络的平安性进展评价分析，经过实际性的方法扫描分析网络系统，检查系统存在的弱点和破绽，提出补求措施和平安战略的建议，到达加强网络平安性的目的。 1.4.2 网络平安技术 8防病毒技术 计算机病毒的防备是网络平安性建立中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种

18、技术。 9备份技术 采用备份技术可以尽能够快地全盘恢复运转计算机网络，所需的数据和系统信息。 10终端平安技术 主要处理终端的平安维护问题。 1.4.3 网络平安管理 据权威机构统计阐明：信息平安大约60%以上的问题是由管理方面缘由呵斥的。网络系统的平安管理主要基于三个原那么： 多人担任原那么 任期有限原那么 职责分别原那么1.4.4 网络平安政策法规与规范 网络信息平安规范是信息平安保证体系的重要组成部分，是政府进展宏观管理的重要根据。信息平安规范不仅关系到国家平安，同时也是维护国家利益的一种重要手段，有利于保证网络平安产品的可信性、实现产品的互联和互操作性，保证计算机网络系统的平安可靠。 目前，我国有章可循的国际国内信息平安规范一共有一百多条。1.5 计算机网络平安技术开展趋势 1.5.1 网络平安要挟开展趋势 与Internet更加严密地结合，传播极快，而更加注重欺骗性；利用系统破绽将成为病毒有力的传播方式；无线网络技术的开展，使的远程网络攻击的能够性加大；各种境外情报、谍报人员将经过信息网络渠道搜集情报和窃取资料；各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势；各种攻击技术的隐秘性加强，常规手段不能识别；分布式计算技术用于攻击的趋势加强，要挟密码的平安性；一些政府部门的超级计算机资源将成为攻击者利用的跳板；网络