计算机通信网络安

计算机通信网络安第一页，共二十二页，2022年，8月28日前言:第二页，共二十二页，2022年，8月28日一.计算机通信网络安全的概念:

所谓计算机通信网络安全，是指根据网络特性通过相应的安全技术和措施防止计算机通信网络中的硬件、操作系统、应用软件和数据等遭到破坏，防止非特权用户窃取服务。也就是说，通过采取各种安全技术措施，防止计算机通信网络自然或人为破坏，确保网络正常运行。从网络的运行环节来分，网络安全有设备安全、数据传输安全、用户识别安全等几个方面。第三页，共二十二页，2022年，8月28日二.网络通信存在的安全威胁传输过程中的威胁自然因素系统自身的问题人为因素第四页，共二十二页，2022年，8月28日1.传输过程中的威胁1截获：信息被非法用户截获，这时接收方没有接收到应该接收的信息，从而使信息中途丢失。2窃听：信息虽然没有丢失，接收方也接收到了应该接收的信息，但该信息已被不该看的人看到。如果传输的信息是有关政治、军事或经济信息方面的重要信息，那么就有可能造成严重的问题。3）篡改：信息表面上虽然没有丢失，接收方也接收到了信息，但该信息在传输的过程中已被截获并被修改过，或插入了欺骗性的信息，实际上接收方所接收的信息是错误的。4）伪造：发送方并没有发送信息给接收方，而接收方收到的信息是第三方伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能会出现严重的后果。第五页，共二十二页，2022年，8月28日造成传输过程中的危险的原因是：

TCP/IP协议是因特网使用的最基本的通信协议，由于该协议在创建时只是想要扩展它，并没有想限制访问，因此，在定TCP/IP和其他相关协议时没有考虑其安全性。目前许多协议具有的能够支持本地的安全功能也是近几年才增加的。现存的TCP/IP协议有一些安全缺陷，它们是：易被窃听和欺骗、脆弱的TCP/IP服务、扩大了访问权限、复杂的配置等。

1）TCP/IP协议中存在的漏洞之一是无法证实一台主机的身份，并且比较容易冒充其他主机。在因特网这个特定环境下，要在主机之间提供安全并且秘密的传输信道是比较困难的。因此TCP/IP协议常常受到IP欺骗和网络窥探攻击。

2）很多基于TCP/IP的应用服务如：WWW服务、电子邮件服务，FTP服务和TFTP服务、Finger服务、其他的安全性极差的服务、软件漏洞等都在不同程度上存在着安全问题。特别是一些新的处于测试阶段的服务有更多的安全缺陷。

3）在因特网上，很多站点在防火墙的配置上几乎都无意识地扩大了访问的权限，结果权限被内部人员滥用，这种行为没有得到网络管理人员的有效制止，使黑客通过一些服务，从中获得了有用的信息。

4）由于访问控制的配置比较复杂，有时会出现错误的配置，结果使黑客有机可乘，给网络安全带来危害。第六页，共二十二页，2022年，8月28日

2.自然因素:

网络通信面临的威胁是各种各样的，它随着时间的变化而变化。有的威胁来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰等，例如服务器突然断电或者是灾害毁坏了网络。第七页，共二十二页，2022年，8月28日3.系统自身的问题

由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理，总是留有“窗口”或是“后门”，这就使得计算机的操作系统或网络软件的出现都不可能是无缺陷和漏洞的。实际运用的过程中由于其系统自身的不完善导致了安全隐患。

1)系统维护-------默认值不安全软件或操作系统的预设设置不科学，导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。

2)未修补系统-------软件和操作系统的各种补丁程序没有及时修复。内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。

3)内部安全问题--------对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。

第八页，共二十二页，2022年，8月28日4.人为因素1)．人为的无意失误。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。2)人为的恶意攻击。这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

第九页，共二十二页，2022年，8月28日三.解决措施加密系统容灾技术身份认证技术防火墙通信网络内部协议安全主机的操作系统安全和物理安全措施第十页，共二十二页，2022年，8月28日1.网络加密技术加密也可以提高终端和网络通信的安全，有三种方法加密传输数据。（１）链接加密在网络节点间加密，在节点间传输加密，传送到节点后解密，同节点之间用不同的密码。（２）节点加密与链接加密类似，不同的只是当数据在节点间传送时，不用明码格式传送，而是用特殊的加密硬件进行解密和重加密，这种专用硬件通常旋转在安全保险箱中。（３）首尾加密对进入网络的数据加密，然后待数据从网络传送出后再进行解密。网络本身并不会知道正在传诵的数据是加密的数据，这一方法的优点是网络上的每个用户（通常是每个机器的一个用户）可以有不同的加密关键词，并且网络本身不需要增添任何专门的加密设备。缺点是每个系统必须有一个加密设备和相应的软件（管理加密关键词）。或者每个系统必须自己完成加密工作（当数据传输速率是按兆位／秒的单位计算时，加密任务的计算量是非常大的）。终端数据加密是一种特殊情况，此时链接加密法和首尾加密法是一样的方法，终端和计算机都是即为节点又为终止端点。第十一页，共二十二页，2022年，8月28日通信数据加密常常不同于文件加密，加密所用的方法不应降低数据的传送速率，失去或者被歪曲了的数据不应当引起丢失更多的数据位，即解密进程应当能修复坏数据，而不能由于坏数据对整个文件或者系统登陆不能正确地进行。对于登陆会话，必须一次加密一个字节，特别是在UNIX系统的情况下，系统要将字返回给用户，更应一次加密一个字节。在网络中，每一链可能需要不同的加密关键字，这就提出了对加密关键词的管理、分配和替换问题。第十二页，共二十二页，2022年，8月28日2.系统容灾技术

一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。

第十三页，共二十二页，2022年，8月28日3.漏洞扫描措施

安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。第十四页，共二十二页，2022年，8月28日3.身份认证技术身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

1).静态密码用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。2).智能卡（IC卡）智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

3).短信密码短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。第十五页，共二十二页，2022年，8月28日4)动态口令牌

动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。

5).USBKEYUSBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。6)数字签名数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输，特别是电子商务是极其重要的。该技术主要是采用HASH函数（HASH(哈希)函数提供了这种计算转换的过程。主要是将用户的约定口令、智能卡和指纹、视网膜和声音等生理特征等，作为验证的条件。

第十六页，共二十二页，2022年，8月28日4.防火墙

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种计算机硬件和软件的结合，使Interne

t与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成.第十七页，共二十二页，2022年，8月28日防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

网络层防火墙:网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP)。也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。防火墙类型:第十八页，共二十二页，2022年，8月28日应用层防火墙应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。XML防火墙是一种新型态的应用层防火墙。第十九页，共二十二页，2022年，8月28日5.通信网络内部协议安全

通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着网络互联、路由选择控制、连接的建立和释放、资源的分配和使用等基本的网络运行功能，它们相当于通信网络的神经系统。而恶意攻击者往往选择通过对通信网内部协议的攻击，来达到控制网络的目的，这是通信网络安全防护所需注意的特点之一。攻击网络协议的方式主要是通过对协议数据的截获、破译、分析获得网络相关资源信息，并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏协议数据等方式扰乱网络正常协议的运行，造成非法入侵、用户相互否认、服务中断、拒绝服务等恶果。通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具，它们用来实现对协议数据的源发起点的实体认证和抗重放的协议完整性鉴别。在安全协议的设计过程中，如果能够做到对于一个完整的信令过程一次加密，则安全性能够得到保证。第二十页，共二十二页，2022年，8月28日6.主机操作系统安全和物理安全