计算机网络安全

计算机网络安全副标题内容提要一、计算机网络面临的主要威胁二、计算机网络不安全因素三、计算机网络安全概念四、计算机网络安全体系结构一、计算机网络面临的主要威胁1、计算机网络中受到威胁的实体：各类计算机（服务器、工作站等）一、计算机网络面临的主要威胁网络通信设备（路由器、交换机、集线器、调制解调器、加密机等）1、计算机网络中受到威胁的实体：一、计算机网络面临的主要威胁存放数据的媒体（磁带、磁盘、光盘等）1、计算机网络中受到威胁的实体：一、计算机网络面临的主要威胁传输线路、供配电系统1、计算机网络中受到威胁的实体：一、计算机网络面临的主要威胁防雷系统和抗电磁干扰系统等1、计算机网络中受到威胁的实体：一、计算机网络面临的主要威胁主机可能会受到非法入侵者的攻击2、计算机网络系统面临威胁一、计算机网络面临的主要威胁网络中的敏感数据有可能泄露或被修改2、计算机网络系统面临威胁一、计算机网络面临的主要威胁

从内部网向公网传送的信息可能被他人窃听或篡改等2、计算机网络系统面临威胁一、计算机网络面临的主要威胁威胁描述窃听网络中传输的敏感信息被窃听。重传攻击者事先获得部分或全部信息,以后将此信息发送给接收者。伪造攻击者将伪造的信息发送给接收者。篡改攻击者对合法用户之间的通讯信息进行修改、删除、插入，再发送给接收者。非授权访问通过假冒、身份攻击、系统漏洞等手段，获取系统访问权，从而使非法用户进入网络系统读取、删除、修改、插入信息等。 拒绝服务攻击攻击者使系统响应减慢甚至瘫痪，阻止合法用户获得服务。行为否认通讯实体否认已经发生的行为。旁路控制攻击者发掘系统的缺陷或安全脆弱性。电磁/射频截获攻击者从电子或机电设备所发出的无线射频或其它电磁辐射中提取信息。人员疏忽授权的人为了利益或由于粗心将信息泄漏给未授权人。一、计算机网络面临的主要威胁一、计算机网络面临的主要威胁获取机密或敏感数据的访问权黑客刺探特定目标的通常动机跟踪或监视目标系统的运行（跟踪分析）扰乱目标系统的正常运行一、计算机网络面临的主要威胁窃取钱物或服务黑客刺探特定目标的通常动机免费使用资源（例如，计算机资源或免费使用网络）向安全机制进行技术挑战二、计算机网络不安全因素1、不安全的主要因素偶发性因素：如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。二、计算机网络不安全因素自然灾害：各种自然灾害（如地震、风暴、泥石流、建筑物破坏等）。1、不安全的主要因素二、计算机网络不安全因素人为因素：不法之徒利用计算机网络或潜入计算机房，篡改系统数据、窃用系统资源、非法获取机密数据和信息、破坏硬件设备、编制计算机病毒等。此外，管理不好、规章制度不健全、有章不循、安全管理水平低、人员素质差、操作失误、渎职行为等都会对计算机网络造成威胁。1、不安全的主要因素二、计算机网络不安全因素攻击举例描述监视明文监视网络，获取未加密的信息。解密通信数据通过密码分析，破解网络中传输的加密数据。口令嗅探使用协议分析工具，捕获用于各类系统访问的口令。通信量分析不对加密数据进行解密，而是通过对外部通信模式的观察，获取关键信息。2、对计算机网络的主要攻击——被动攻击二、计算机网络不安全因素攻击举例描述修改传输中的数据截获并修改网络中传输的数据。重放将旧的消息重新反复发送，造成网络效率降低。会话拦截未授权使用一个已经建立的会话。伪装成授权的用户这类攻击者将自己伪装成他人，未授权访问资源和信息。利用系统软件的漏洞攻击者探求以系统权限运行的软件中存在的脆弱性。利用主机或网络信任攻击者通过操纵文件，使虚拟/远方主机提供服务，从而获得信任。利用恶意代码攻击者向系统内植入恶意代码，或诱骗用户去执行恶意代码。利用缺陷攻击者利用协议中的缺陷来欺骗用户或重定向通信量。拒绝服务ICMP炸弹，在网络中扩散垃圾包，向邮件中心发送垃圾邮件2、对计算机网络的主要攻击——主动攻击二、计算机网络不安全因素2、对计算机网络的主要攻击——临近攻击邻近攻击是指未授权者可物理上接近网络、系统或设备，从而可以修改、收集信息，或使系统拒绝访问。接近网络可以是秘密进入或公开，也可以是两者都有。攻击举例描述修改数据或收集信息攻击者获取系统管理权，从而修改或窃取信息，如：IP地址、登陆的用户名和口令等。系统干涉攻击者获取系统访问权，从而干涉系统的正常运行。物理破坏获取系统物理设备访问权，从而对设备进行物理破坏。二、计算机网络不安全因素2、对计算机网络的主要攻击——内部人员攻击攻击举例描述恶意修改数据或安全机制内部人员直接使用网络，具有系统的访问权。因此，内部人员攻击者比较容易实施未授权操作或破坏数据。擅自连接网络对涉密网络具有物理访问能力的人员，擅自将机密网络与密级较低，或公共网络连接，违背安全策略和保密规定。隐通道隐通道是未授权的通信路径，用于从本地网向远程站点传输盗取的信息。物理损坏或破坏对系统具有物理访问权限地工作人员，对系统故意破坏或损坏。非恶意修改数据由于缺乏知识或粗心大意，修改或破坏数据或系统信息。物理损坏或破坏由于渎职或违反操作规程，对系统的物理设备造成意外损坏或破坏。二、计算机网络不安全因素2、对计算机网络的主要攻击——分发攻击攻击举例描述在设备生产时修改软硬件当软件和硬件在生产线上时，通过修改软硬件配置来实施这类攻击。在产品分发时修改软硬件在产品分发期内修改软硬件配置（如安装窃听设备）。二、计算机网络不安全因素3、不安全的主要原因互联网具有开放性网络的技术是全开放的国际性网络安全面临的是一个国际化的挑战自由性用户可以自由地使用和发布各种类型的信息不安全性二、计算机网络不安全因素3、不安全的主要原因操作系统软件自身的不安全性，以及系统设计时的疏忽或考虑不周而留下的“破绽”，都给危害网络安全的人留下了许多“后门”。

操作系统体系结构的不安全隐患是计算机系统不安全的根本原因之一。

操作系统不安全的另一原因在于它可以创建进程，支持进程的远程创建与激活，支持被创建的进程继承创建进程的权利。操作系统的无口令入口，以及隐蔽通道。操作系统存在安全问题二、计算机网络不安全因素3、不安全的主要原因数据库存在着许多不安全性。二、计算机网络不安全因素3、不安全的主要原因从安全的角度来说，没有绝对安全的通讯线路。二、计算机网络不安全因素3、不安全的主要原因网络安全管理问题三、计算机网络安全概念1、定义计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。三、计算机网络安全概念1、定义网络安全技术和理论信息的保密性信息的完整性信息的可用性信息的不可否认性信息的可控性三、计算机网络安全概念1、定义网络安全的具体含义会随着“角度”的变化而变化。三、计算机网络安全概念2、计算机网络安全目标保密性数据保护数据隔离通信流保护保密性三、计算机网络安全概念2、计算机网络安全目标完整性完整性人为因素非人为因素三、计算机网络安全概念2、计算机网络安全目标可用性避免受到攻击避免未授权使用防止进程失败三、计算机网络安全概念2、计算机网络安全目标不可否认性数据的接收者提供数据发送者身份及原始发送时间的证据；数据的发送者提供数据已交付接收者（某些情况下，包括接收时间）的证据；审计服务提供了信息交换中各涉及方的可审计性三、计算机网络安全概念2、计算机网络安全目标可控性指对信息的传播及内容具有控制能力，保证信息和信息系统的授权认证和监控管理，确保某个实体（人或系统）身份的真实性，也可以确保执法者对社会的执法管理行为。三、计算机网络安全概念3、计算机网络安全层次物理安全逻辑安全操作系统安全联网安全三、计算机网络安全概念4、计算机网络安全所涉及的内容网络安全体系结构网络的攻击手段与防范措施网络安全设计网络安全设备网络犯罪侦查网络安全教育网络安全法律网络安全检测技术网络安全理论与政策安全管理，安全审计网络安全标准制定，安全评测及认证四、计算机网络安全体系结构安全体系结构网络安全模型OSI安全体系结构P2DR模型网络安全技术四、计算机网络安全体系结构1、网络安全模型四、计算机网络安全体系结构2、OSI安全体系结构——安全服务鉴别服务访问控制服务数据机密性服务数据完整性服务抗抵赖性服务四、计算机网络安全体系结构对付典型网络威胁的安全服务安全威胁安全服务假冒攻击鉴别服务非授权侵犯访问控制服务窃听攻击数据机密性服务完整性破坏数据完整性服务服务否认抗抵赖服务拒绝服务鉴别服务、访问控制服务、数据完整性服务等四、计算机网络安全体系结构2、OSI安全体系结构——安全机制加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务流填充机制路由控制公证机制四、计算机网络安全体系结构3、P2DR模型P2DR模型示意图四、计算机网络安全体系结构3、P2DR模型Protection保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。Detection在P2DR模型，检测是非常重要的一个环节，检测是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具。Response响应在安全系统中占有最重要的地位，是解决潜在安全问题的最有效办法。Policy安全策略是整个网络安全的依据。策略一旦制订，应当作为整个网络系统安全行为的准则。四、计算机网络安全体系结构3、P2DR模型P2DR理论给人们提出了新的安全概念，安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来解决。

P2DR安全模型也存在一个明显的弱点，就是忽略了内在的变化因素。

四、计算机网络安全体系结构4、网络安全技术物理安全措施环境安全设备安全媒体安全四、计算机网络安全体系结构4、网络安全技术数据传输安全技术数据传输加密技术数据完整性鉴别技术数字签名四、计算机网络安全体系结构4、网络安全技术内外网隔离技术采用防火墙技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护。四、计算机网络安全体系结构4、网络安全技术入侵检测技术入侵检测的目的就是提供实时的检测及采取相应的防护手段，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为，阻止黑客的入侵。四、计算机网络安全体系结构4、网络安全技术访问控制技术访问控制是维护计算机网络系统安全、保护计算机资源的重要手段，是保证网络安全最重要的核心策略之一。四、计算机网络安全体系结构4、网络安全技术审计技术审计技术是记录用户使用计算机网络系统进行所有活动的过程，记录系统产生的各类事件。四、计算机网络安全体系结构4、网络安全技术安全性检测技术网络安全检测（漏洞检测）是对网络的安全性进行评估