第01章 网安全概述

第一章网络安全概述主要内容1.1网络安全与网络安全特性1.2网络安全的含义1.3网络安全特性1.4主要安全威胁1.5网络的不安全因素1.6网络攻击类型1.7网络安全模型1.8网络安全体系结构1.9安全等级1.10安全关机及其作用辨析1.1网络安全与网络安全特性网络的重要作用政府水利中国互联网信息中心http://目前网络发展状况统计网民规模突破5.38亿增长速度进一步放缓手机超越台式电脑

成为第一大上网终端手机视频用户规模激增

手机微博用户涨幅明显

IPv6地址数大幅增长进入全球排名三甲截至2012年6月底，我国拥有IPv6地址数量为12499块/32，相比上年底增速达到33.0%。在全球的排名由2011年6月的第15位迅速提升至目前的第3位，仅次于巴西（65728块/32）和美国（18694块/32）国家相关网络安全中心违法和不良信息举报中心目前网络存在的主要安全问题恶意程序与漏洞RAT:remoteaccesstrojan（远程访问特洛伊木马）目前网络的存在的主要安全问题1995-2004年网络安全漏洞发现情况统计历史上的计算机网络安全事件CodeRed，2001年7月19日利用MicrosoftIIS漏洞传播，20日开始攻击白宫网站迅速感染近40万主机历史上的计算机网络安全事件CodeRed2001年7月19日历史上的计算机网络安全事件CodeRedII,2002年8月4日利用IIS的缓冲区溢出漏洞，通过TCP的80端口传播，并且该病毒变种在感染系统后会释放出黑客程序。历史上的计算机网络安全事件Nimda,2001年9月18日（半小时之内就传遍了世界

）感染几乎所有的Windows系统利用MSIIS漏洞利用CodeRed后门利用文件共享利用电子邮件和OutlookExpress的漏洞利用网页浏览历史上的计算机网络安全事件“冲击波”（2003年）冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。历史上的计算机网络安全事件“震荡波”（2004年）震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。

时间、地点和人物时间：2004年4月29日地点：德国北部罗滕堡镇沃芬森小村，人口为920人物：斯文-雅尚，母亲维洛妮卡经营着一个电脑服务部震荡波

传播5月1日开始传播5月3日全球约有1800万台电脑感染，我国约有数以十万计的电脑感染震荡波5月第1周，微软德国总部热线电话由每周400个猛增到3.5万个5月8日9时到10时，瑞星公司接到用户求助电话2815个

传播震荡波游戏结束微软公司德国总部悬赏25万元5月7日，斯文-雅尚的同学将其告发，斯文被警察逮捕为对付“我的末日”和“贝果”等病毒，在改写病毒程序时，设计出名为“网络天空A”的病毒变体，形成“震荡波”病毒程序震荡波“熊猫烧香”（2007年）熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用。历史上的计算机网络安全事件感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件在硬盘各个分区下生成文件autorun.inf和setup.exe通过U盘、移动硬盘或共享文件夹、系统默认共享、IE漏洞、QQ漏洞、系统弱口令等途径传播终止杀毒软件和防火墙程序禁止用户使用GHOST恢复系统熊猫烧香历史上的计算机网络安全事件“扫荡波”(2008年)同冲击波和震荡波一样，也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件，大批用户关闭自动更新以后，这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。“木马下载器”(2009年)本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃历史上的计算机网络安全事件“鬼影病毒”（2010年）该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。历史上的计算机网络安全事件“极虎病毒”（2010年）计算机进程中莫名其妙的有ping.exe

和rar.exe进程，cpu占用很高，并且这两个进程无法结束。极虎病毒最大的危害是造成系统文件被篡改，同时基于计算机和网络的帐户信息可能会被盗，如银行帐户、支付帐户以及重要的电子邮件帐户等。历史上的计算机网络安全事件宝马病毒（2011年）

BMW病毒是一款高危病毒，该病毒能够连环感染BIOS(主板芯片程序)、MBR(硬盘主引导区)和Windows系统文件，使受害电脑无论重装系统、格式化硬盘，还是换掉硬盘都无法彻底清除病毒。传播途径：网页广告挂马或捆绑游戏外挂，欺骗用户关闭安全软件后实施攻击。

安全是什么？打不垮1.2网络安全的含义网络安全泛指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏。系统连续可靠正常地运行，网络服务不被中断。网络安全的内容系统安全信息安全网络设备的硬件、操作系统和应用软件的安全网络安全的内容系统安全信息安全各种信息的存储、传输安全，具体体现在信息的保密性、完整性及不可抵赖性方面建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。网络安全的内容

网络安全基本概念物理实体安全软件安全数据安全安全管理网络安全的内容

网络安全基本概念物理实体安全软件安全数据安全安全管理环境安全设备安全存储介质安全物理实体安全环境安全：对系统所在环境的安全保护，如区域保护和灾难保护(参见《电子计算机机房设计规范》、《计算站场地技术条件》、《计算站场地安全要求》)。

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏，防止线路截获，抗电磁干扰及电源保护等。

存储介质安全存储介质安全目的是保护存储在存储介质上的信息。存储介质数据的安全删除是为了防止被删除的敏感数据被他人恢复；包括存储介质的物理销毁（如存储介质粉碎等）和存储介质数据的彻底销毁（如消磁等），防止存储介质数据删除或销毁后被他人恢复而泄露信息；存储介质数据防盗是防止存储介质数据被非法拷贝等存储介质数据的防毁，防止意外或故意的破坏使存储介质数据的丢失。

网络安全的内容

网络安全基本概念物理实体安全软件安全数据安全安全管理保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。网络安全的内容

网络安全基本概念物理实体安全软件安全数据安全安全管理保护数据不被非法存取，确保其完整性、一致性、机密性等网络安全的内容

网络安全基本概念物理实体安全软件安全数据安全安全管理以技术为基础，配以行政手段的管理活动1.3网络安全特性网络安全特性是描述和评价网络安全的主要指标网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性含义：提供正确服务的连续性可靠度平均无故障时间（MTBF）网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性含义：可以提供正确服务的能力是对系统服务正常和异常状态交互变化过程的一种量化是可靠性和可维护性的综合描述可用性分为：瞬时可用性、稳态可用性思考：可靠性是否等于可用性网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性冗余中断网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性含义：网络失效后在规定时间内可修复到规定功能的能力反映网络可维护性高低的参数是表示在单位时间内完成修复的概率和平均修复时间MTTR网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性控制网络信息的流向以及用户的行为方式，是对所管辖的网络、主机和资源的访问行为进行有效的控制和管理。高层访问控制低层访问控制访问控制矩阵非法访问网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性在网络安全特性中，系统信息等不被未授权的用户获知。加密截获网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性在网络安全特性中，阻止非法实体对交换数据的修改、插入和删除摘要修改网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性对用户身份的合法性、真实性进行确认，以防假冒口令等伪造网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性防止发送方在发送数据后抵赖自己曾发送过此数据，或者接收方在收到数据后抵赖自己曾收过此数据。数字签名抵赖网络安全特性网络的可靠性网络的可用性网络的可维护性网络访问的可控性数据的保密性数据的完整性用户身份的可鉴别性用户的不可抵赖性用户行为的可信性？行为认证行为不可信思考题思考：根据网络安全的主要特性，总结一下网络安全的安全原则都包含哪些方面？保密性、完整性、可鉴别性、不可抵赖性、可用性、可控性拒绝服务攻击邮件炸弹特洛伊木马内部泄密网络可用性破坏后门、隐蔽通道蠕虫网络假冒、未授权访问、抵赖1.4主要安全威胁黑客攻击主要安全威胁信息泄漏敏感数据在有意、无意中被泄漏、丢失或透露给某个未授权的实体。包括信息在传输中被丢失或泄漏；通过网络攻击进入存放敏感信息的主机后非法复制；通过对信息的流向、流量、通信频度和长度参数的分析，推测出有用的信息。主要安全威胁完整性破坏非法实体对交换数据进行修改、插入、替换和删除服务拒绝（DOS）网络系统的服务能力下降或者丧失原因：一是受到攻击所致二是由于系统或组件在物理上或者逻辑上遭到破坏而中断服务。

UDP“洪水”使两个或两个以上系统之间产生巨大UDP数据包由ECHO/CHARGEN服务引起ECHO作用是由接收端将接收到的数据内容返回到发送端，CHARGEN则随机返回字符服务拒绝（DOS）

UDP“洪水”攻击者假冒一台主机向另一台主机的服务端口发送数据ECHO服务或CHARGEN服务自动回复两台主机之间互相回送，形成大量数据包。当多台主机之间相互产生回送数据包，最终会导致系统瘫痪

拒绝服务类攻击服务拒绝（DOS）

UDP“洪水”杜绝UDP“洪水”攻击的最好办法是

关掉不必要的TCP/IP服务配置防火墙以阻断来自Internet的UDP服务请求，但此举可能会阻断一些正常的UDP服务请求

拒绝服务类攻击服务拒绝（DOS）

SYN“洪水”利用TCP连接中三次握手过程的缺陷的拒绝服务攻击SYN“洪水”的攻击方法是：攻击者用伪造的地址向目标主机发出大量初始化的SYN包。目标主机会因其SYN/ACK得不到确认，保持相应的连接直到超时。当连接请求超时时，会拒绝新的连接请求

拒绝服务类攻击服务拒绝（DOS）

拒绝服务类攻击SYN洪水的攻击过程SYN（我可以连接吗？）SYN（我可以连接吗？）SYN（我可以连接吗？）SYN（我可以连接吗？）SYN（我可以连接吗？）为何还没回应攻击者受害者ACK（当然可以）/SYN（请确认！）不理你,就是让你白等服务拒绝（DOS）以破坏系统或网络的可用性为目标很难防范伪造源地址，流量加密，很难跟踪客户端目标......DoSICMPFlood/SYNFlood/UDPFlood分布式拒绝服务攻击（DDOS）

分布式拒绝服务攻击步骤1黑客不安全的计算机攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标1扫描程序Internet分布式拒绝服务攻击步骤2黑客被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序2Internet分布式拒绝服务攻击步骤3黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制计算机发送命令3主机黑客被控制的计算机(代理端)Internet分布式拒绝服务攻击步骤4黑客被控制的计算机(代理端)黑客发送控制命令给主机准备启动对目标系统的攻击4目标系统主机InternetInternet分布式拒绝服务攻击步骤5主机发送攻击信号给被控制计算机开始对目标系统发起攻击5黑客主机被控制的计算机(代理端)目标系统Internet分布式拒绝服务攻击步骤6黑客主机被控制的计算机(代理端)目标系统目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应DDOS攻击成功6用户拒绝访问

DDOS攻击的效果由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。即在短短一小时内可以入侵数千台主机,并使某台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码

分布式拒绝服务攻击分布式拒绝服务攻击（DDOS）对付DDoS攻击的方法定期扫描现有网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理在骨干节点配置防火墙

分布式拒绝服务攻击分布式拒绝服务攻击（DDOS）对付DDoS攻击的方法用足够的机器承受黑客攻击充分利用网络设备保护网络资源限制SYN/ICMP流量

分布式拒绝服务攻击分布式拒绝服务攻击（DDOS）对付正在进行DDoS攻击的方法方法一：检查攻击来源，并通过网段管理员将机器关掉方法二：找出攻击者所经过的路由，把攻击屏蔽掉方法三：在路由器上滤掉ICMP

分布式拒绝服务攻击分布式拒绝服务攻击（DDOS）主要安全威胁未授权访问未授权实体非法访问系统资源，或授权实体超越权限访问系统资源。主要通过假冒和盗用合法用户身份方式非法进入网络系统进行非法操作主要安全威胁假冒某个未授权的实体(人或系统)假装成另一个不同的可能授权实体，使系统相信其是一个合法的用户，进而非法获取系统的访问权限或得到额外的特权

你能举几个例子么？

IP欺骗IP欺骗是依靠其他计算机IP地址来欺骗第三者信任，是经过认证获准连接的相互关系

欺骗类攻击被利用者攻击者XT:S:攻击

IP欺骗原理TSX互相信任DoS攻击探测ISN规律SYN(我是S，可以连接吗？)SYN|ACK猜出的正确序号,ACK(我是S，确认连接)T：

IP欺骗防范放弃基于IP地址的信任策略包过滤使用加密法配置服务器

IP欺骗

DNS欺骗①请求的IP地址②向其他DNS请求③结果()④结果()⑤向C发出连接请求其他DNS服务器B(DNS服务器)C()ADNS工作过程

DNS特性DNS对其本身无法解析的域名,会自动向其他DNS服务器查询为提高效率,DNS会将所有已查询到的结果存入缓存

DNS欺骗

DNS欺骗的基本思路让DNS服务器的缓存中存有错误的IP地址(即在DNS缓存中存放一个伪造的缓存记录)攻击者需要做两件事，第一伪造一个用户的DNS请求；第二伪造一个查询应答

DNS欺骗

DNS欺骗①请求的IP地址②向其他DNS请求③伪造结果()其他DNS服务器B(DNS服务器)C()ADNS欺骗的过程④请求的IP地址⑤伪造结果()主要安全威胁网络可用性的破坏：破坏网络可以提供正确服务的能力使合法用户不能正常访问网络资源使有严格时间要求的服务不能及时得到响应摧毁系统主要安全威胁重放攻击者对截获的某次合法数据进行拷贝，而后出于非法的目的而重新发送。特洛伊木马等恶意代码特洛伊木马是指一类恶意的妨害安全的计算机程序或者攻击手段。它是指一个应用程序表面上在执行一个任务，而实际上却在执行另外的任务特洛伊木马是把有预谋的功能藏在公开的功能之中，掩盖其真实企图的程序由两部分组成，一是服务器程序（服务器端），另一是控制器程序（客户端）

特洛伊木马服务器端(服务器程序)：服务器端安装在被控制的计算机中，一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的客户端(控制器程序)：客户端是控制者所使用的，用于对受控的计算机进行控制

特洛伊木马网络系统控制器程序客户端服务器端服务器程序(木马程序)

木马的分类

特洛伊木马远程访问型密码发送型键盘记录型毁坏型FTP型

木马的分类

特洛伊木马能访问受害人硬盘,对其进行控制能使远程控制者在本地机器上上传和下载文件、截取屏幕等

远程访问型密码发送型键盘记录型毁坏型FTP型

木马的分类

特洛伊木马目的是找到所有隐藏密码，并发至指定邮箱木马不会在每次启动Windows时重启大多数使用25端口发送E--mail

远程访问型

密码发送型键盘记录型毁坏型FTP型

木马的分类

特洛伊木马将受害者敲击的键盘，完整记录在文件中随着Windows启动而启动

远程访问型密码发送型

键盘记录型毁坏型FTP型

木马的分类

特洛伊木马毁坏并且删除文件自动地删除用户计算机上的所有.DLL、INI或EXE等文件

远程访问型密码发送型键盘记录型

毁坏型FTP型

木马的分类

特洛伊木马该木马打开用户计算机的21端口可以不使用密码，只用FTP客户端程序来连接，并且可以进行最高权限的上传下载

远程访问型密码发送型键盘记录型毁坏型

FTP型

木马的隐藏方法

特洛伊木马任务栏任务管理器win.ini文件system.ini文件注册表

木马的隐藏方法

特洛伊木马Visible:FalseShowInTaskBar:False任务栏任务管理器win.ini文件system.ini文件注册表

木马的隐藏方法

特洛伊木马CTRL+ALT+DEL打开任务管理器将程序设为“系统服务”任务栏任务管理器win.ini文件system.ini文件注册表

木马的隐藏方法

特洛伊木马Run和load命令加载伪装为：command.exe任务栏任务管理器win.ini文件system.ini文件注册表

木马的隐藏方法

特洛伊木马在[Boot]正确:shell=explorer.exe错误:shell=explorer.exe

文件名任务栏任务管理器win.ini文件system.ini文件注册表

木马的隐藏方法

特洛伊木马HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY\USER\****\Software\Microsoft\Windows\CurrentVersion\Run文件的扩展名为.exe任务栏任务管理器win.ini文件system.ini文件注册表

木马的清除方法

特洛伊木马找木马文件结束木马进程删除木马程序修改注册表……

木马的清除方法

特洛伊木马利用网络防火墙利用病毒防火墙利用其他途径找木马文件结束木马进程删除木马程序修改注册表……

木马的清除方法

特洛伊木马CTRL+ALT+DEL可打开任务管理器结束进程找木马文件结束木马进程删除木马程序修改注册表……

木马的清除方法

特洛伊木马木马通常保存在%systemroot%或%systemroot%\system32目录下直接删除（不要进回收站）找木马文件结束木马进程删除木马程序修改注册表……

木马的清除方法

特洛伊木马冰河木马程序：Kernel32.exe

Sysexplr.exeHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run双击“默认”字符串,删除数据内容(C:\Windows\System32\Kernel32.exe)找木马文件结束木马进程删除木马程序修改注册表……

木马的清除方法

特洛伊木马HKEY_CLASSES_ROOT\txtfile\shell\open\command双击“默认”字符串,删除数据内容(C:\Windows\System32\notepad.exe%)重启系统，删除%systemroot%\system32目录下的两个文件找木马文件结束木马进程删除木马程序修改注册表……

特洛伊木马特洛伊木马的防范必须提高防范意识使用杀毒软件或木马专杀工具观察系统异常，及时断开网络及时修补漏洞并关闭可疑端口运行实时监控程序主要安全威胁后门（陷门）程序或系统设计时插入的一小段程序；从操作系统到应用程序，任何一个环节都有可能被开发者留下“后门”；在程序开发期间后门是为了测试这个模块或是为了更改和增强模块的功能而设定的。在软件交付使用时，有的程序员没有去掉它，这样居心不良的人就可以隐蔽地访问它了。思考：后门与漏洞的区别？后门与漏洞的区别一般概念上看后门——有意行为、可以避免漏洞——无意行为、不可避免、难以预知、软硬件均有今后怎么评判？历史上的“后门”事件2005年下半年，SONYBMG音乐娱乐软件曾经被反病毒厂商指出它在刺探用户的资料；2007年，索尼U盘附带的指纹识别软件“MicroVaultUSM-F”会在用户的计算机里安装一个文件，不但会隐藏起来，还能躲过一些防毒扫描工具的检查。奇虎360“后门”事件QQ大战360事件主要安全威胁抵赖l

发信者事后否认曾经发送过某些消息：l

收信者事后否认曾经接收过某些消息；通信量分析攻击者根据数据交换的出现、消失、数量或频率变化而提取用户有用的信息。内部网1.5网络的不安全因素计算机系统和网络自身的脆弱性（内因）网络的开放性（环境）威胁存在的普遍性（外因）管理的困难性（管理）WormVirusHacker内部攻击80％威胁存在的普遍性内部操作不当黑客攻击恶意程序拒绝服务攻击其他因素：自然灾害、物理故障、信息的窃听、篡改和重发、系统入侵、攻击方法易用性和工具易用性等。Ping洪流攻击病毒蠕虫特洛伊安全管理的困难网络和系统管理工作变得越来越困难安全政策不明确：目标不明、责任不清（出现安全问题不容易分清楚是谁的责任）动态变化的环境：业务发展，人员流动（内部人员的破坏）社会问题道德问题（道德素质跟不上也是网络安全的隐患）立法问题（对如何确定什么样网络行为是违法的不是很明确）国际间的协作问题政治、文化、法律等障碍（不同国家对网络行为的理解是不一样的）复习什么是网络安全？网络安全的内容包括？网络安全的特性有哪些方面？1.6网络攻击类型被动攻击，被动攻击（passiveattacks）的攻击者只是窃听或监视数据传输，即取得中途的信息。这里的被动指攻击者不对数据进行任何修改。窃听到的数据如果是明文，则会出现消息泄漏，否则进行通信流量分析（如流量的变化，词语出现的频率如the，to等）特点：不容易被发现攻击手段：是截获措施：加密，数据填充等被动攻击主动攻击，（activeattacks）以某种方式修改消息内容或生成假消息，分为中断、篡改和伪造。中断破坏了网络的可用性攻击类型篡改又分为：重放攻击和改变消息改变消息破坏了网络数据的完整性重放攻击是修改了信息源（例如源地址）同时也是鉴别失败的原因，前后两次不是同一个用户攻击类型伪造攻击者伪造大量的合法消息，可能产生DOS重放攻击在重放攻击中，用户捕获一系列事件（或一些数据单元），然后重发。例如，假设用户A要向用户C的账号转一些钱。用户A与C都在银行B有账号。用户A向银行B发一个电子消息，请求转账用户C捕获这个消息，然后向银行再发一次这个消息。银行B不知道这是个非法消息，会再次从用户A的账号转钱。因此，用户C得到两笔钱：一笔是授权的，一笔是用重放攻击得到的。1.7网络安全模型网络安全模型安全传输技术包含以下两个基本部分：(1)消息的安全传输，包括对消息的加密和认证。加密的目的是将消息按一定的方式重新编码以使敌手无法读懂（保证传输过程信息的机密性）。认证的目的是为了检查发送者的身份(保重源头的真实性)(2)发送双方共享的某些秘密信息，如加密密钥。网络安全模型为了获得消息的安全传输，还需要一个可信的第三方，其作用是负责向通信双方分发秘密信息或者在通信双方有争议时进行仲裁。

网络安全模型一个安全的网络通信必须考虑以下4个方面：(1)

加密算法；（DES，RSA）(2)

用于加密算法的密钥如何选取（长度）(3)

密钥的发布和共享（密钥本身的安全）；(4)使用加密算法和密钥以获得安全服务所需的协议

（如何传递这些信息，方式、顺序等）

P2DR模型网络安全网络安全策略PolicyDetection检测Protection防护响应ResponseRecovery恢复P2DR模型Policy(安全策略)网络安全策略一般包括两部分：总体的安全策略和具体的安全规则。总体的安全策略用于阐述本部门的网络安全的总体思想和指导方针；具体的安全规则是根据总体安全策略提出的具体的网络安全实施规则，它用于说明网络上什么活动是被允许的，什么活动是被禁止的。

一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。Protection（防护）防护就是对系统的保护，主要是修补系统和网络缺陷，增加系统安全性能，从而消除攻击和入侵的条件防护可分为三类：系统安全防护、网络安全防护和信息安全防护。系统安全防护指操作系统的安全防护，即各个操作系统的安全配置、使用和打补丁等，不同操作系统有不同的防护措施和相应的安全工具。Protection（防护）网络安全防护指网络管理的安全及网络传输的安全。信息安全防护指数据本身的保密性、完整性和可用性，数据加密就是信息安全防护的重要技术。

Protection（防护）通常采用的防护技术有：数据加密，身份验证，访问控制，授权和虚拟网络(VPN)技术；防火墙技术，安全扫描，入侵检测，路由过滤，数据备份和归档，物理安全，安全管理等。Detection（检测）防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事件，特别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就要启动检测系统进行检测。

攻击者如果穿过防护系统，检测系统就会将其检测出来检测与防护的区别防护主要是修补系统和网络缺陷，增加系统安全性能，从而消除攻击和入侵的条件，避免攻击的发生；检测是根据入侵事件的特征进行的。因黑客往往是利用网络和系统缺陷进行攻击的，因此，入侵事件的特征一般与系统缺陷特征有关。在P2DR模型中，防护和检测有互补关系。Response（响应）系统一旦检测出入侵，响应系统则开始响应，进行事件处理。响应工作可由特殊部门----计算机紧急响应小组负责。我国的第一个计算机紧急响应小组是中国教育与科研计算机网络建立的，简称“CCERT”。

Response（响应）响应的主要工作可分为两种：紧急响应和恢复处理。紧急响应就是当安全事件发生时采取的应对措施；恢复处理是指事件发生后，把系统恢复到原来状态或比原来更安全的状态。

Response（响应）恢复也包括系统恢复和信息恢复两方面内容。系统恢复是指修补缺陷和消除后门，不让黑客再利用这些缺陷入侵系统。

一般说来，黑客第一次入侵是利用系统缺陷，在入侵成功后，黑客就在系统中留下一些后门，如安装木马程序，因此尽管缺陷被补丁修复，黑客还可再通过他留下的后门入侵系统。

Response（响应）信息恢复是指恢复丢失的数据。丢失数据可能是由于黑客入侵所致，也可能是系统故障、自然灾害等原因所致。

通过数据备份等完成数据回复。P2DR安全模型的弱点忽略了内在的变化因素。人员的流动人员的素质差异策略贯彻的不稳定性

1.8网络安全体系结构国际标准化组织ISO于1989年2月公布的ISO7498-2“网络安全体系结构”文件，给出了OSI参考模型的安全体系结构，简称OSI安全体系结构。

OSI安全体系结构主要包括网络安全机制和网络安全服务两方面的内容，并给出了OSI网络层次、安全机制和安全服务之间的逻辑关系。

5大网络安全服务8大网络安全机制

五大网络安全服务鉴别服务（Authentication）

对对方实体的合法性、真实性进行确认，以防假冒。这里的实体可以是用户或进程；

访问控制服务（AccessControl）

用于防止未授权用户非法使用系统资源。它包括用户身份认证，用户的权限确认。这种保护服务可提供给用户组。五大网络安全服务数据完整性服务（Integrity）阻止非法实体对交换数据的修改、插入、删除

数据保密服务（Confidentiality）

为了防止网络中各个系统之间交换的数据被截获或被非法存取而造成泄密，提供密码加密保护。

五大网络安全服务抗抵赖性服务

防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据。由两种服务组成：一是不得否认发送：二是不得否认接收（通过签名确认）1.加密机制加密是提供信息保密的核心方法。对称密钥算法和非对称密钥算法（按密码体制）序列密码算法和分组密码算法（按加密方式）加密算法除了提供信息的保密性之外，它和其他技术结合，例如hash函数，还能提供信息的完整性等，是网络安全的基石。八大网络安全机制1.加密机制加密技术也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏，这就是相对于数据加密技术的软件加密技术。八大网络安全机制你知道有哪些软件加密技术么？软件加密技术密码表加密软件自校验方式序列号加密许可证管理方式光盘加密钥匙盘加密硬件加密（加密狗）密码表加密系统在软件执行过程中的一些重要地方询问密码；简单；不便软件自校验方式软件装入硬盘时，安装程序会自动记录计算机硬件的奇偶校验和软件安装的磁道位置等信息，或者做特殊的标记，自动修改安装程序，此后运行时会自动校验此信息被拷贝到另外的计算机上，运行环境变化了稳定、可靠用户更换计算机硬件、压缩硬盘等不能执行序列号加密软件试用期不需交费，期满后需购买序列号很普遍，卡巴斯基、金山毒霸缺陷：容易破解许可证管理方式安装软件时，对正版用户计算机硬件进行检测，获得硬件的特殊指纹信息，经过算法（计算将指纹信息及软件自身的安装序列号进行运算）得到代表这个计算机硬件的一串数据，并进行挂册（上传）。若是正版的用户可以从开发商那得到注册码（确认码），输入注册码后可以运行软件实际就是将软件和硬件进行“捆绑”缺点：软件开发商的服务工作量巨大Office2003才用此种加密方式钥匙盘方式在软盘的特殊磁道写入一定信息以便运行时校验加密简单可靠、成本低软驱被占用？软盘已破损光盘加密常见于单击游戏软件启动时判断光驱中光盘上是否存在特定的文件，若不存在则用户没有正版光盘，拒绝运行检查光盘的物理信息（正版光盘采用人工坏道技术，盗版者无法刻录光盘）---高精度的仿刻硬件加密加密锁---加密狗安装在USB接口的硬件软件运行时，程序向插在计算机上的加密狗发出查询命令，加密狗迅速计算查询并给出响应，正确的响应保证软件继续运行，没有加密狗，程序不能运行。有商业价值的软件经常采用加密狗来保护。2.访问控制机制访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术。访问控制还可以直接支持数据机密性、数据完整性、可用性以及合法使用的安全目标（访问控制矩阵）。分为哪两种形式？2.访问控制机制分为高层(application)访问控制和低层(networkprotocal)访问控制。高层（应用层）：对用户口令、用户权限、资源属性的检查和对比来实现的低层：对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制3.数据完整性机制

数据完整性包括数据单元的完整性和数据序列的完整性两个方面。数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，看看产生的标记是否相同就可知道数据是否完整。3.数据完整性机制

数据完整性包括数据单元的完整性和数据序列的完整性两个方面。数据序列的完整性是指发出的数据分割为按序列号编排的许多单元时，在接收时还能按原来的序列把数据串联起来，而不要发生数据单元的丢失、重复、乱序、假冒等情况。4.数字签名机制数字签名机制主要解决以下安全问题：1．否认：事后发送者不承认文件是他发送的。2．接收者伪造：接收者伪造了一份文件，却声称是发送者发送的。3．冒充：冒充别人的身份在网上发送文件。4．篡改：接收者私自篡改文件内容(篡改就不能用发送者的公钥解密了）数字签名机制具有可证实性、不可否认性、不可伪造性和不可重用性。5.交换鉴别机制交换鉴别机制是通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有：1．口令：由发送方给出自己的口令，以证明自己的身份，接收方则根据口令来判断对方的身份。

2．特征实物：例如IC卡、指纹、声音频谱等5.交换鉴别机制3．密码技术：接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。（如数字签名,A－>B,(发送方用私钥加密Ea私(P），接受者用发送者的公钥解密Ea公(Ea私(P）)）。在许多情况下，密码技术还和时间标记、同步时钟、数字签名、第三方公证等相结合，以提供更加完善的身份鉴别。6.公证机制网络上鱼龙混杂，很难说相信谁不相信谁（主观的）。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误（客观的）。为了免得事后说不清，可以找一个大家都信任的公证机构（电信公司），各方的交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁

7.流量填充机制流量填充机制提供针对流量分析的保护外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。

流量填充机制能够保持流量基本恒定，因此观测者不能获取任何信息。流量填充的实现方法是：随机生成数据并对其加密，再通过网络发送。要注意： 填充的内容不被对方发现，自己又可以容易区别开来。7.流量填充机制8.路由控制机制

路由控制机制使得可以指定通过网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。路由选择控制机制使得路由能动态地或预定地选取，以便使用物理上安全的子网络、中继站或链路来进行通信，保证敏感数据只在具有适当保护级别的路由上传输

禁止否认与完整性的关系：数据的完整性通过摘要的对比来实现，而摘要一般是经过发送者非对称密钥加密体系的私钥加密的，从而也可以实现发送者的否认安全机制与安全服务的关系对照表1.9安全等级可信任计算机标准评估准则(TCSEC)

20世纪80年代，美国国防部基于军事计算机系统的保密需要，在20世纪70年代的基础理论研究成果“计算机保密模型”的基础上，制定了“可信任计算机标准评估准则”(TCSEC)，其后又制定了关于网络系统、数据库等方面的一系列安全解释，形成了安全信息系统体系结构的最早原则。至今，美国已研究出100余种达到TCSEC要求的安全系统产品，包括安全操作系统、安全数据库、安全网络部件等1.9安全等级七个等级四个级别：D级，C级，B级，A级D级：基本没有采用什么安全措施的系统，如DOS；

MS-Windows；APPLE的MacintoshSystem7.x等C1级C1级又称选择性安全保护系统

，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权限。文件的拥有者和超级用户可以改动文件中的访问属性，从而对不同的用户给予不同的访问权限。许多日常的管理工作由超级用户来完成，如创建新的组和新的用户。（典型的UNIX系统）

C2级

C2级别进一步限制用户