网络安全第1章概述

网络安全第1章概述第一页，共60页。课程介绍课程目标课程基础课程内容课程建议第二页，共60页。课程目标课程名称：网络安全课程目的：提高安全意识全面掌握基本的网络安全知识理解和设计网络安全解决方案为进一步的网络安全理论研究和实践工作打基础第三页，共60页。课程基础先修课程：计算机网络、密码学、信息安全基础等第四页，共60页。课程内容第一部分概述第二部分网络安全基础TCPIP深入理解网络安全威胁分析网络身份认证第三部分网络安全技术防火墙VPN计算机病毒IDS网络扫描第四部分其他无线网络安全网络安全管理课程总结第五页，共60页。教材：《网络安全》（第2版）北京邮电大学出版社，徐国爱等编著参考《信息安全概论》，北邮出版社，牛少彰主编《信息安全学》，机械工业出版社，周学广等编《网络信息安全技术》，西电科技出版社，周明全等编网络相关资源第六页，共60页。课程建议课程建议：听课，了解基础的网络信息安全知识广泛阅读资料、集中精力到少数专题紧跟国内外网络信息安全现状和技术前沿尽可能的技术讨论和实践第七页，共60页。1概况1.1网络安全概念1.2网络安全事件1.3网络安全重要性第八页，共60页。1.1网络安全概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

第九页，共60页。重要特性保密性信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性可被授权实体访问并按需求使用的特性。即当需要时能否存取所需

的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可认证性包括对等实体认证和数据源点认证两个方面的特性。可控性对信息的传播及内容具有控制能力。可审查性出现安全问题时提供依据与手段。第十页，共60页。网络对安全性有极高的要求，网络中的关键应用和关键数据越来越多，如何保障关键业务数据的安全性成为网络运维中非常关键的工作。

第十一页，共60页。1.2网络安全事件

在过去的2013年里，国内外网络安全领域硝烟四起，网络安全事故也是隔三岔五曝。

第十二页，共60页。12306新版上线就曝漏洞

新版中国铁路客户服务中心12306网站在上线第一天(12月6日)，就被发现存在漏洞。漏洞发现者指出，12306网站漏洞泄露用户信息，可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。另一个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”，该漏洞可能导致后期订票软件泛滥，造成订票不公。铁路总公司对此回应，“上线当晚漏洞已经弥补”，但12306的安全性也由此被人们打上一个大大的问号。

第十三页，共60页。腾讯7000多万QQ群数据公开泄露

2013年11月20日，国内知名漏洞网站乌云曝光称，腾讯QQ群关系数据被泄露，在迅雷上很容易就能找到数据下载链接。据测试，该数据包括QQ号、用户备注的真实姓名、年龄、社交关系网甚至从业经历等大量个人隐私。数据库解压后超过90G，有7000多万个QQ群信息，12亿多个部分重复的QQ号码。随后腾讯公司回应称，此次QQ群泄露的只是2011年之前的数据，黑客攻击的漏洞也已经修复。不过这么大规模数据在网上公开，由此引发的后遗症很难消除。目前已有网站打出“精准营销”的旗号，根据QQ用户的真实姓名、爱好、经历、从业特征发送垃圾邮件;更让人担心的是，这些数据可能被不法分子利用进行诈骗。如果一个人的真实姓名和QQ号、群关系都在网上暴露出来，诈骗信息将更加难以防范。第十四页，共60页。第十五页，共60页。酒店开房记录大规模泄露

8月，国内一大批快捷酒店开房记录被泄露，泄露住客开房信息的如家等酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统，慧达驿站在服务器上实时存储了这些酒店客户的记录，包括客户名、身份证号、开房日期和房间号等隐私信息。随之而来的，在线查询部分酒店住客信息的网站也开始出现，并迅速在网上流传。很多网友在登录该网站后也都发微博直呼，“上面查询到的信息真是太准了，姓名、手机号、身份证都对得上。”第十六页，共60页。第十七页，共60页。超级网银曝授权漏洞

在收到QQ发来的一条链接，在打开也没有任何病毒提示的情况下，输入相应的资料，就会让别人完全控制你的银行账户？今年6月，“超级网银”授权漏洞风波爆发，安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作，短短24秒内10万元被骗。事实上，“超级网银”是一种标准化跨银行网上金融服务产品，能方便用户实时跨行管理不同的银行账户。问题在于一旦有不法分子恶意利用“超级网银”，通过欺诈手段获取他人银行账户的授权，就可以将对方账户余额全部偷走。业内评论指出，面对“超级网银”层出不穷的安全问题，银行的风险提示和安全防护能力仍有待加强，用户的风险防范意识也亟须进一步提高。

第十八页，共60页。第十九页，共60页。“棱镜门”事件爆发

2013年6月5日，美国前中情局(CIA)职员爱德华·斯诺顿披露给媒体两份绝密资料，一份资料称：美国国家安全局有一项代号为"棱镜"的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。另一份资料更加惊人，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录等秘密资料。此后斯诺登表示，美国政府早在数年前就入侵中国一些个人和机构的电脑网络，其中包括政府官员，商界人士甚至学校。斯诺登后来前往俄罗斯申请避难，获得俄罗斯政府批准。第二十页，共60页。第二十一页，共60页。比特币安全隐患

目前，比特币市场行情水涨船高。虽然它具有匿名性且独立存在，伪造可能性小，但是它几乎不受法规监管。所谓树大招风，在其疯涨的同时也带来了一系列安全隐患，被盗事件频出。

第二十二页，共60页。1.3网络安全重要性1）计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。2）随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。3）人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转，不可替代的，而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间，核辐射环境等等，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。第二十三页，共60页。4)随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。5）计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等等，因此是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。6）从认识论的高度看，人们往往首先关注系统功能，然后才被动的从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。第二十四页，共60页。2网络安全威胁2.1网络安全威胁表现2.2网络安全威胁分类2.3网络安全威胁根源2.4网络安全威胁趋势第二十五页，共60页。2.1网络安全威胁表现网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫第二十六页，共60页。网络安全威胁举例：网络协议的弱点:协议应用环境变化网络操作系统的漏洞：操作系统代码规模庞大、人的因素和需求的个性化应用系统设计的漏洞：与操作系统情况类似、硬件技术的落后网络系统设计的缺陷：合理的网络设计在节约资源的情况下，还可以提供较好的安全性，不合理的网络设计则成为网络的安全威胁。恶意攻击：包括来自合法用户的攻击网络物理设备：网络物理设备自身的电磁泄露所引起的漏洞所引起的隐患也是网络安全威胁的重要方面其他：来自信息资源内容的安全问题第二十七页，共60页。2.2网络安全威胁分类有害程序计算机病毒：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（ComputerVirus）。具有破坏性，复制性和传染性。蠕虫：是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序第二十八页，共60页。木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序网页内嵌恶意代码其它有害程序第二十九页，共60页。

网络攻击拒绝服务攻击：利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行的攻击行为后门攻击：利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击漏洞攻击：利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施的攻击网络扫描窃听：利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征信息的行为干扰：通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等其他网络攻击第三十页，共60页。信息破坏信息篡改：未经授权将信息系统中的信息更换为攻击者所提供的信息，例如网页篡改信息假冒：假冒他人信息系统收发信息信息泄漏：因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者信息窃取：未经授权用户利用可能的技术手段恶意主动获取信息系统中信息信息丢失：因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失其它信息破坏第三十一页，共60页。信息内容安全

违反宪法和法律、行政法规的针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的组织串连、煽动集会游行的其他信息内容安全第三十二页，共60页。设备设施故障软硬件自身故障：信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等外围保障设施故障：保障信息系统正常运行所必须的外部设施出现故障，例如电力故障、外围网络故障等人为破坏事故：人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏等；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的其它设备设施故障第三十三页，共60页。环境灾害包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等(容灾系统）其他第三十四页，共60页。2.3网络安全威胁根源信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加第三十五页，共60页。2.4网络安全威胁趋势攻击手段的智能化攻击技术的集成化病毒与传统网络攻击手段的融合，病毒技术、攻击技术本身的集成攻击手段的工具化“一键式”攻击出现间接形式的攻击对目标实施攻击的“攻击者”可能本身也是受害者！第三十六页，共60页。1990 19952000 2008 20102013时间（年）高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求黑客攻击越来越容易实现，威胁程度越来越高第三十七页，共60页。针对基础设施、安全设备的攻击终端、用户系统——基础设施危害范围更大、造成损失更大、负面影响更大主机、服务器——安全设备安全设备“后面”往往毫无戒备，用户对安全设备的依赖性更大第三十八页，共60页。来自业务流程、信息内容的安全威胁垃圾信息（垃圾邮件、垃圾广告、……）有害信息（反动、色情、暴力、……）针对业务系统设计漏洞的攻击第三十九页，共60页。攻击手段与传统犯罪手段的结合各种形式的信息盗取各种形式的网络欺诈各种形式的网络敲诈第四十页，共60页。攻击组织的战争倾向黑客组织为集团服务黑客攻击用于战争黑客组织用户煽动民众情绪分发式攻击第四十一页，共60页。3网络安全技术3.1密码技术3.2身份认证3.3网络防护3.4其他第四十二页，共60页。3.1密码技术两类密码体制：对称加密：加密密钥只有合法的发送才知道，则该密码系统称为对称密码系统。加密密钥和解秘密钥可以很容易的相互得到，多数情况甚至相同；也称单钥密码系统、传统密码系统等。非对称密码：（如何实现陌生人之间的保密通信，如何防抵赖（鉴别接收方））。加密密钥公开、解秘密钥不公开；由加密密钥计算上无法得到解密密钥，加解密过程易于实现；非对称加密系统、双钥密码系统。第四十三页，共60页。第四十四页，共60页。数字签名技术手写签名、印章功能的电子模拟，针对电子数据数字签名至少应该满足：(也是手写签名的基本特性)签名者事后不能否认签名接收者能够验证签名，但任何其他人不能伪造签名双方关于签名发生争执时，仲裁者或第三方能够解决争执公钥密码更适合数字签名，对称密码也能实现数字签名第四十五页，共60页。第四十六页，共60页。3.2身份认证口令认证通过密码认证对称密码非对称密码生物认证第四十七页，共60页。PKI体系给某个人在网上传送一个机密文件，该文只想让那个人看到，如果用对称密码将文件加密，把加密后的文件传送给他后，又必须得让他知道解密用的密钥，这样就又出现了一个新的问题，如何保密的传输该密钥。

如果改用非对称密码的技术加密，如何才能确定这个公钥就是某个人的，假如得到了一个虚假的公钥，比如说想传给A一个文件，于是开始查找A的公钥，但是这时B从中捣乱,他把自己的公钥替换了A的公钥，让我们错误的认为B的公钥就是A的公钥，最终使用B的公钥加密文件，结果A无法打开文件，而B可以打开文件，这样B实现了对保密信息的窃取行为。因此就算是采用非对称密码技术，仍旧无法保证保密性的实现，那如何才能确切的得到我们想要的人的公钥呢？仲裁机构，或者说是一个权威的机构，它能准确无误的提供我们需要的人的公钥，这就是CA。

这实际上也是应用公钥技术的关键，即如何确认某个人真正拥有公钥（及对应的私钥）。在PKI中，为了确保用户的身份及他所持有密钥的正确匹配，公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心（CertificationAuthority，CA），来确认公钥拥有人的真正身份。就象公安局发放的身份证一样，认证中心发放一个叫"数字证书"的身份证明。

第四十八页，共60页。将公钥机制的功能进行规范化、系统化，便于规模化使用具体措施是：引入证书(certificate)，通过证书把公钥和身份关联起来第四十九页，共60页。3.3网络防护防火墙技术互联网非法获取内部数据第五十页，共60页。在网络中，防火墙是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

第五十一页，共60页。VPN技术VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源。

第五十二页，共60页。1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证数据在传输中的机密性发起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@