第三章 网络安全

第三章网络安全

NEXT3.1网络安全概述

3.2

常见的网络黑客攻击技术

3.3

主要的网络安全技术

第三章网络安全

3.1.1网络安全的定义和评估NEXT3.1网络安全概述

3.1.2网络安全的主要威胁3.1.3网络安全保障体系

3.1.4我国网络安全的主要问题3.1.5网络安全策略

3.1网络安全概述

3.1.1网络安全的定义和评估NEXT1.网络安全的定义

计算机网络安全是指网络系统中硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意地破坏、被非法使用。

3.1.1网络安全的定义和评估

网络安全管理的目标是保证网络中的信息安全，整个系统应能满足以下要求：

保证数据的完整性

保证系统的保密保证数据的可获性

信息的不可抵赖性信息的可信任性NEXT3.1.1网络安全的定义和评估

NEXT2．网络安全的评估

美国国防部制订了“可信计算机系统标准评估准则”（习惯称为“桔黄皮书”），将多用户计算机系统的安全级别从低到高划分为四类七级，即D1．C1．C2．B1．B2．B3．A1。我国的计算机信息系统安全保护等级划分准则（GB17859-1999）中规定了计算机系统安全保护能力的五个等级.3.1.2网络安全的主要威胁1．威胁数据完整性的主要因素

（1）人员因素（2）灾难因素（3）逻辑问题（4）硬件故障（5）网络故障NEXT3.1.2网络安全的主要威胁2．威胁数据保密性的主要因素（1）直接威胁（2）线缆连接（3）身份鉴别（4）编程（5）系统漏洞NEXT3.1.3网络安全保障体系

安全保障系统由物理安全、网络安全、信息安全几个方面组成。

NEXT3.1.3网络安全保障体系

1、物理安全

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：

环境安全设备安全媒体安全NEXT3.1.3网络安全保障体系2、网络安全

网络安全包括系统（主机、服务器）安全、反病毒、系统安全检测、入侵检测（监控）、审计分析、网络运行安全、备份与恢复应急、局域网、子网安全、访问控制（防火墙）、网络安全检测等。NEXT3.1.3网网络络安安全全保保障障体体系系2、网网络络安安全全内外外网网隔隔离离及及访访问问控控制制系系统统内部部网网不不同同网网络络安安全全域域的的隔隔离离及及访访问问控控制制网络络安安全全检检测测审计计与与监监控控网络络反反病病毒毒网络络备备份份系系统统NEXT3.1.3网网络络安安全全保保障障体体系系3、信信息息安安全全主要要涉涉及及到到信信息息传传输输的的安安全全、、信信息息存存储储的的安安全全以以及及对对网网络络传传输输信信息息内内容容的的审审计计三三方方面面。。信息息传传输输安安全全（动动态态安安全全））包包括括主主体体鉴鉴别别、、数数据据加加密密、、数数据据完完整整性性鉴鉴别别、、防防抵抵赖赖；；信信息息存存储储安安全全包包括括（（静静态态安安全全））数数据据库库安安全全、、终终端端安安全全;信信息息内内容容审审计计可可防防止止信信息息泄泄密密。。NEXT3.1.3网网络络安安全全保保障障体体系系（1））鉴鉴别别（2））数数据据传传输输安安全全系系统统（3））数数据据存存储储安安全全系系统统（4）信信息息内内容容审审计计系系统统NEXT3、信信息息安安全全3.1.3网网络络安安全全保保障障体体系系（1）安安全全管管理理原原则则网络络信信息息系系统统的的安安全全管管理理主主要要基基于于三三个个原原则则：多人人负负责责原原则则任期期有有限限原原则则职责责分分离离原原则则4、安安全全管管理理NEXT3.1.3网网络安安全保障障体系（2）安安全管理理的实现现信息系统统的安全全管理部部门应根根据管理理原则和和该系统统处理数数据的保保密性，，制订相相应的管管理制度度或采用用相应的的规范。。4、安全管管理NEXT3.1.3网网络安安全保障障体系具体工作作是：①根据据工作的的重要程程度，确确定该系系统的安安全等级级。②根据据确定的的安全等等级，确确定安全全管理的的范围。。③制订订相应的的机房出出入管理理制度。。④制订订严格的的操作规规程。⑤制订订完备的的系统维维护制度度。⑥制订订应急措措施。4、安全管管理NEXT3.1.3网网络安安全保障障体系中国国家家信息安安全测评评认证中中心（CNNS）从七七个层次次提出了了对一个个具有高高等级安安全要求求的计算算机网络络系统提提供安全全防护保保障的安安全保障障体系，，以系统统、清晰晰和循序序渐进的的手段解解决复杂杂的网络络安全工工程实施施问题。。（1）实实体安全全（（2））平台安安全（（3）数据据安全（4）通通信安全全（（5））应用安安全（（6）运行行安全（7）管管理安全全4、安全管管理NEXT3.1.4我我国网网络安全全的主要要问题计算机网网络近几几年在我我国的应应用已经经十分普普及，相相应地也也出现了了许多安安全问题题，成为为网络发发展的重重要障碍碍，浪费费了大量量的物力力、财力力、人力力。目前前我国网网络安全全的现状状不容乐乐观。NEXT3.1.5网网络络安全策策略对于国内内IT企企业、、政府、、教育、、科研部部门来说说，完善善的网络络安全策策略应从从以下几几个方面面入手：：1、成立立网络安安全领导导小组2、制订订一套完完整的安安全方案案3、用安安全产品品和技术术处理加加固系统统4、制定定并贯彻彻安全管管理制度度5、建立立完善的的安全保保障体系系6、选择择一个好好的安全全顾问公公司NEXT3.2常常见的网网络黑客客攻击技技术3.2.1网网络络攻击的的发展趋趋势3.2.2常见的网络攻攻击方3.2.3缓缓冲区区溢出攻击3.2.4网网络监监听攻击3.2.5IP欺骗攻击NEXT3.2常常见的网网络黑客攻击击技术3.2.6端端口口扫3.2.7口口令令攻攻击击3.2.8计计算算机机病病毒毒3.2.9特特洛洛伊木马3.2.10电子邮邮件攻击3.2.11网页攻攻击NEXT3.2常常见的网网络黑客攻击击技术3.2.1网网络攻攻击的发展趋趋势近几年里，网网络攻击技术术和攻击工具具有了新的发发展趋势，使使借助Internet运行业务的机机构面临着前前所未有的风风险。网络攻攻击表现出以以下发展趋势势：自动化程度和和攻击速度提提高。攻击工具越来来越复杂。发现安全漏洞洞越来越快。。越来越高的防防火墙渗透率率。越来越不对称称的威胁。对基础设施将将形成越来越越大的威胁。。NEXT3.2常常见的网网络黑客攻击击技术3.2.2常常见的网网络攻击方式式网络攻击的方方式主要分为为三类。第一类是服务拒绝攻击击第二类是利用型攻击第三类是信息收集型攻攻击NEXT3.2常常见的网网络黑客攻击击技术3.2.3缓缓冲冲区溢出攻击击1、缓冲区溢溢出的原理缓冲区是内存存中存放数据据的地方，在在程序试图将将数据放到机机器内存中的的某一个位置置的时候，因因为没有足够够的空间就会会发生缓冲区区溢出。NEXT3.2常常见的网网络黑客攻击击技术2、缓冲区溢溢出漏洞攻击击方式缓冲区溢出漏漏洞可以使任任何一个有黑黑客技术的人人取得机器的的控制权甚至至是最高权限限。(1)在程序的地址址空间里安排排适当的代码码(2)将控制程序转转移到攻击代代码的形式(3)植入综合合代码和流程程控制NEXT3.2常常见的网网络黑客攻击击技术3.2.3缓缓冲冲区溢出攻击击3、缓冲区溢溢出的防范目前缓冲区溢溢出漏洞的保保护方法有：：（1）正确的编写写代码。（2）非执行的缓缓冲区。（3）检查数组边边界。（4）程序指针完完整性检查。。NEXT3.2常常见的网网络黑客攻击击技术3.2.4网网络络监听攻击由于局域网中中采用广播方方式，因此，，在某个广播播域中可以监监听到所有的的信息包。而而黑客通过对对信息包进行行分析，就能能获取局域网网上传输的一一些重要信息息1、网网络监监听在网络络中，，当信信息进进行传传播的的时候候，可可以利利用工工具，，将网网络接接口设设置在在监听听的模模式，，便可可将网网络中中正在在传播播的信信息截截获或或者捕捕获到到，从从而进进行攻攻击。。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.4网网络监听听攻击2、网络络监听的的发现防防范（1）发发现可能能存在的的网络监监听。用正确的的IP地地址和错错误的物物理地址址ping，运运行监听听程序的的机器会会有响应应。或者向网网上发大大量不存存在的物物理地址址的包，，由于监监听程序序要分析析和处理理大量的的数据包包会占用用很多的的CPU资源，，这将导导致性能能下降。。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.4网网络监听听攻击（2）对对网络监监听的防防范措施施从逻辑或或物理上上对网络络分段以交换式式集线器器代替共共享式集集线器使用加密密技术划分VLANNEXT3.2常常见的的网络黑黑客攻击击技术3.2.5IP欺骗攻攻击这种攻击击方式主主要应用用于用IP协议传送送的报文文中。IP欺骗就是是伪造他他人的源源IP地址。IP欺骗技术术只能实实现对某某些特定定的运行行FreeTCP/IP协议的计计算机进进行攻击击。一般般来说，，任何使使用SunRPC调用的配配置、利利用IP地址认证证的网络络服务、、MIT的XWindow系统、R服务等这这些服务务易受到到IP欺骗攻击击。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.6端端口扫描描1、端口口扫描一个端口口就是一一个潜在在的通信信通道，，也就是是一个入入侵通道道。对目目标计算算机进行行端口扫扫描，能能得到许许多有用用的信息息，从而而发现系系统的安安全漏洞洞。进行扫描描的方法法很多，，可以是是手工进进行扫描描，也可可以用端端口扫描描软件进进行。扫描大致致可分为为端口扫扫描、系系统信息息扫描、、漏洞扫扫描几种种。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.6端端口扫描描2、端口口扫描的的防范防范端口口扫描的的方法有有两个：：（1）关闭闲闲置和有有潜在危危险的端端口。（2）通过防防火墙或或其他安安全系统统检查各各端口，，有端口口扫描的的症状时时，立即即屏蔽该该端口。。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.7口口令攻击击1、口令令攻击的的方法口令供给给一般有有三种方方法：一是通过过网络监监听非法法得到用用户口令令二是在知知道用户户的账号号后（如如电子邮邮件@前面的部部分）利利用一一些专门门软件强强行破解解用户口口令。三是在获获得一个个服务器器上的用用户口令令文件（（此文件件成为Shadow文件）后后，用暴暴力破解解程序破破解用户户口令，，该方法法的使用用前提是是黑客获获得口令令的Shadow文件。此此方法在在所有方方法中危危害最大大。NEXT3.2.7口口令攻击击2、防范范口令攻攻击以下口令令是不建建议使用用的：口令和用用户名相相同。口令为用用户名中中的某几几个邻近近的数字字或字母母。口令为连连续或相相同的字字母或数数字。将用户名名颠倒或或加前后后缀作为为口令。。3.2常常见的的网络黑黑客攻击击技术NEXT3.2常常见的的网络黑黑客攻击击技术3.2.7口口令攻击击以下口令令是不建建议使用用的：使用姓氏氏的拼音音或单位位名称的的缩写作作为口令令。使用自己己或亲友友的生日日作为口口令。使用常用用英文单单词作为为口令。。口令长度度小于6位数。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.8计计算机病病毒1、网络络环境下下计算机机病毒的的特点在网络环环境下，，网络病病毒除了了具有可可传播性性、可执执行性、、破坏性性、可触触发性等等计算机机病毒的的共性外外，还具具有一些些新的特特点：①感染速速度快。。②扩散面面广。③传播的的形式复复杂多样样。④难于彻彻底清除除。⑤破坏性性大。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.8计计算机病病毒2、新病病毒的主主要技术术趋势新的计算算机病毒毒每天都都在增加加，这些些病毒的的主要技技术趋势势是：（1）利用漏漏洞的病病毒开始始增多。。（2）病毒向向多元化化、混合合化发展展。（3）有网络络特性的的病毒增增多。（4）针对即即时通讯讯软件的的病毒大大量涌现现。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.8计计算机病病毒3、近年年来造成成重大破破坏的病病毒（1）CIH病病毒（2）红红色代码码CodeRed（3）尼尼姆达Nimda（4）新欢欢乐时光VBS.KJ（5）SQL蠕虫王（6）冲击击波BlasterNEXT3.2常常见见的网络黑黑客攻击技技术3.2.9特特洛伊木木马特洛伊木马马的攻击手手段，就是是将一些““后门”、、“特殊通通道”程序序隐藏在某某个软件里里，使使用用该软件的的人无意识识的中招，，成为被攻攻击，被控控制的对象象。由于木马是是客户端服服务器程序序，所以黑黑客一般是是利用别的的途径如邮邮件、共享享将木马安安放到被攻攻击的计算算机中。木木马的服务务器程序文文件一般位位置是在c:\windows和c:\windows\system中，因为windows的一些系统统文件在这这两个位置置，误删了了文件系统统可能崩溃溃。典型的木马马程序有BO、NetXray、流光等。。NEXT3.2常常见见的网络黑黑客攻击技技术3.2.9特特洛伊木木马1、BO（1）BO的安装只要在电脑上上运行BO服服务器自安装装程序boserve.exe，就就可以安装BO服务器了了。（2）BO的的功能IP地址搜搜索功能、文文件管理功能能包括网络控制制功能、进程程控制功能超媒体控制功功能、系统控控制功能NEXT3.2常常见的网网络黑客攻击击技术（3））识别别与清清除BO的方法法下面介介绍几几种识识别与与清除除BO的方法法：BO服务器器安装装后，，将在在Windows的SYSTEM子目录录下下生生成WINDLL.DLL文件，，可以以直接接删除除WINDLL.DLL文件。。在C:\WINDOWS\SYSTEM子子目目录下下是否否有一一个标标着““.EXE”(空格格.EXE)且且没有有任何何图标标的小小程序序，或或者连连EXE都都没有有(如如果不不显示示文件件扩展展名)，只只是一一个空空行。。由于于这时时“.EXE””程序序在后后台运运行，，所以以不能能在Windows系统统中直直接删删除它它。清清除的的方法法是，，重新新启动动电脑脑系统统，让让它在在DoS方方式下下运行行。NEXT3.2常常见见的网网络黑黑客攻攻击技技术3.2.9特特洛洛伊木木马然后，，进入入SYSTEM子目录录，将将BO服务器器程序序（在在DoS下显示示为EXE～1）的属属性改改为非非隐含含，这这样就就可以以删除除它。。BO服务务器器程程序序能能够够在在Windows启动动时时自自动动执执行行，，是是在在注注册册表表的的NEXT3.2常常见见的的网网络络黑黑客客攻攻击击技技术术3.2.9特特洛洛伊伊木木马马HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices增加加了了一一个个程程序序““.EXE”，，可可以以直直接接删删除除。。大多多数数杀杀毒毒软软件件和和防防黑黑客客软软件件也也可可以以有有效效清清除除BO服务务器器程程序序。。NEXT3.2常常见见的的网网络络黑黑客客攻攻击击技技术术2、、冰冰河河冰河河的的主主要要文文件件有有两两个个。。G_Server.exe是被被监监控控端端后后台台监监控控程程序序，，G_Client.exe是监监控控端端执执行行程程序序。。冰冰河河软软件件主主要要用用于于远远程程监监控控，，具具体体功功能能包包括括:（1）自自动动跟跟踪踪目目标标机机屏屏幕幕变变化化；；（2）鼠鼠标标和和键键盘盘输输入入的的完完全全模模拟拟；；（3）记记录录各各种种口口令令信信息息；；（4）获获取取系系统统信信息息；；（5）限限制制系系统统功功能能；；（6）远远程程文文件件操操作作；；（7）注注册册表表操操作作；；（8）发发送送信信息息；；（9）点点对对点点通通讯讯。。NEXT3.2常常见见的的网网络络黑黑客客攻攻击击技技术术3.2.10电电子子邮邮件件攻攻击击电子邮件件攻击指指通过发发送电子子邮件进进行的网网络攻击击。有两两种形式式：一是通常常所说的的邮件炸炸弹二是电子子邮件欺欺骗NEXT3.2常常见的的网络黑黑客攻击击技术3.2.11网网页页攻击网页攻击击指一些些恶意网网页利用用软件或或系统操操作平台台等的安安全漏洞洞，通过过执行嵌嵌入在网网页HTML超文本标标记语言言内的JavaApplet小应用程程序、javascript脚本语言言程序、、ActiveX软件部件件交互技技术支持持可自动动执行的的代码程程序，强强行修改改用户操操作系统统的注册册表及系系统实用用配置程程序，从从而达到到非法控控制系统统资源、、破坏数数据、格格式化硬硬盘、感感染木马马程序的的目的。。NEXT3.2常常见的的网络黑黑客攻击击技术3.2.11网网页页攻击防范网页页攻击可可使用设设定安全全级别、、过滤指指定网页页、卸载载或升级级WSH、禁用远远程注册册表服务务等方法法。最好的方方法还是是安装防防火墙和和杀毒软软件，并并启动实实时监控控功能。。有些杀杀毒软件件可以对对网页浏浏览时注注册表发发生的改改变提出出警告。。NEXT3.3主主要的的网络安安全技术术3.3.1安安全技术概述述安全技术目前前的发展状况况来看，大致致可划分为基基础安全技术术和应用安全全技术两个层层面，分别针针对一般性的的信息系统和和特定领域的的应用系统提提供安全保护护。NEXT3.3主要要的网络安全全技术1、基础安全全技术基础安全技术术大致包括以以下几个方面面：信息加密技术术。安全集成电路路技术。安全管理和安安全体系架构构技术。安全评估和工工程管理技术术。3.3.1安安全技术概述述NEXT3.3主要要的网络安全全技术2、应用安全全技术应用安全技术术大致包括以以下几个方面面：电磁泄露防护护技术。安安全全操作平台技技术。信息侦测技术术。计计算机病毒防防范技术。系统安全增强强技术。安安全全审计和入侵侵检测、预警警技术。内容分级监管管技术。信信息息安全攻防技技术。3.3.1安安全技术概述述NEXT3.3主要要的网络安全全技术信息加密是保保障信息安全全的最基本、、最核心的技技术措施和理理论基础。信信息加密也是是现代密码学学的主要组成成部分。信息息加密过程由由形形色色的的加密算法来来具体实施，，它以很小的的代价提供很很大的安全保保护。在多数数情况下，信信息加密是保保证信息机密密性的唯一方方法。1、DES密码2、RSA加密3.3.2数据加密技技术NEXT3.3主主要的网络络安全技术术访问控制技技术是通过过不同的手手段和策略略来实现对对网络信息息系统的访访问控制，，其目的是是保护网络络资源不被被非法使用用和访问。。在访问控制制中，客体体是指网络络资源;主主体是指对对客体访问问的活动资资源，主体体是访问的的发起者。。3.3.3访问问控制技术术NEXT3.3主主要的网络络安全技术术访问控制技技术涉及的的领域较广广，根据控控制策略的的不同，访访问控制技技术可以划划分为自主访问控控制、强制制访问控制制和角色访问控控制三种策略。。3.3.3访问问控制技术术NEXT3.3主主要的网络络安全技术术信息确认技技术通过严严格限定信信息的共享享范围来达达到防止信信息被非法法伪造、篡篡改和假冒冒。一个安安全的信息息确认方案案应该能使使：3.3.4信息确认认技术NEXT3.3主主要的网络络安全技术术①合法的接接收者能够够验证他收收到的消息息是否真实实；②发信者无无法抵赖自自己发出的的消息；③除合法发发信者外，，别人无法法伪造消息息；④发生争执执时可由第第三人仲裁裁。按照其具体体目的，信信息确认系系统可分为为消息确认认、身份确确认和数字字签名。3.3.4信息确认认技术NEXT3.3主主要的网络络安全技术术1、防火墙墙简介2、防火墙墙的种类3、防火墙墙产品3.3.5防火墙技技术NEXT3.3主主要的网络络安全技术术1、安全扫扫描的策略略安全扫描通通常采用两两种策略:第一种是被动式策略略第二种是主动式策略略3.3.6网网络安全扫扫描技术NEXT3.3主主要的网络络安全技术术2、安全扫扫描的主要要检测技术术（1）基于于应用的检检测技术（2）基于于主机的检检测技术（3）基于于目标的漏洞洞检测技术