计算机网络安全第一章

网络安全主讲：马进2006年6月15日第一讲课程说明课程学时安排

成绩比例总学时 45考试 70％ 作业 20％ 考勤 10％

教学内容网络安全概论1防火墙技术2PKI技术

3虚拟专用网络4教学内容（续）入侵检测技术5病毒防护技术

6补充内容7本课程对学生的要求了解和掌握网络与信息安全的基本原理和相关技术关注国内外最新研究成果和发展动态具有网络与信息安全的理论基础和基本实践能力第一章网络安全概论

1.1信息安全概念与技术的发展1.2信息安全管理的地位

1.3网络攻击简介

1.4引言1安全产品类型

1.5引言信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：计算机网络环境下的信息安全。1.1信息的安全需求保密性：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施）完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为。）可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。（系统的可用性与保密性之间存在一定的矛盾。）网络不安全的原因自身缺陷＋开放性＋黑客攻击信息安全概念与技术的发展

信息安全的概念与技术是随着人们的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。单机系统的信息保密阶段网络信息安全阶段信息保障阶段1.2单机系统的信息保密阶段信息保密技术的研究成果：发展各种密码算法及其应用： DES（数据加密标准）、RSA（公开密钥体制）、ECC（椭圆曲线离散对数密码体制）等。计算机信息系统安全模型和安全评价准则： 访问监视器模型、多级安全模型等；TCSEC（可信计算机系统评价准则）、ITSEC（信息技术安全评价准则）等。网络信息安全阶段

该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术：（被动防御） 安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。 当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则（如CC通用评估准则）。1988年莫里斯蠕虫爆发对网络安全的关注与研究CERT成立信息保障阶段信息保障（IA）概念与思想的提出：20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。信息保障阶段

信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略”DiD（Defense-in-DepthStrategy）。在信息保障的概念下，信息安全保障的PDRR模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。信息保障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。保护检测恢复响应信息保障采用一切手段（主要指静态防护手段）保护信息系统的五大特性。及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低PDRR安全模型检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击PD量RR安全盒模型注意梨：保护贱、检决测、读恢复廉、响乐应这腥几个常阶段赛并不痛是孤酬立的弃，构尚建信遗息安桥全保供障体饱系必醉须从膜安全艺的各摆个方果面进类行综菜合考姻虑，伙只有派将技志术、肢管理封、策牲略、吉工程辞过程欠等方岔面紧洞密结达合，暂安全舟保障哄体系拘才能兰真正秒成为寇指导榴安全经方案境设计帜和建糟设的办有力眠依据镇。信息铜保障糟体系咳的组兔成法律月与政额策体愚系标准稳与规肥范体瘦系人才医培养归体系产业矩支撑猾体系技术交保障除体系组织祖管理绘体系信息近安全尤管理刮的地档位（1/滤8）1.跳3预警W保护P检测响应恢复反击DRRC人政策技术信息初安全艰管理逼的地淘位（2/呈8）我国86拳3信息他安全佣专家辫组博跌采众息长推林出了WP繁DR螺RC安全映体系顿模型溪。该模迈型全酸面涵病盖了抚各个秧安全离因素堤，突屡出了顺人、讽策略光、管巧理的死重要螺性，训反映即了各予个安位全组刺件之蓝间的吉内在考联系夫。人——核心政策（包洁括法昌律、糟法规后、制咏度、昆管理相）——桥梁技术——落实瓶在WP僵DR朋RC六个红环节筐的各醒个方昂面，呼在各联个环蛙节中环起作躁用信息副安全陆管理桑的地隶位（3/流8）预警猾：根据拐以前锹掌握没系统形的脆霞弱性路和了等解当呼前的腿犯罪司趋势您，预鼓测未挖来可取能受课到的爆攻击嘉和危嫩害。虽然耳目前In债te从rn昼et是以怒光速味传播纷的，忌但攻对击过荡程还饭是有符时间寻差和铁空间助差。如果轧只以应个人阶的能才力实揭施保信护，释结果茧永远塑是保键障能副力小怪于或突等于侨攻击筛能力捉，只承有变能成举降国体胖制、余协作闻机制政，才拿可能腔做到惜保障亭能力敞大于杯等于调攻击俱能力昏。信息育安全从管理疲的地视位（4/钢8）保护批：采用禾一切夸手段臭保护誉信息谁系统茅的保筹密性魄、完燥整性酿、可徒用性循、可穷控性气和不础可否惊认性真。我国暴已提松出实善行计蛾算机处信息倍系统帅的等温级保茎护问哈题，团应该隆依据踪蝶不同原等级钓的系愈统安苹全要棒求完亏善自涨己系辛统的批安全耽功能游和安短全机辰制。现有筋技术垒和产锯品十纯分丰骡富。信息京安全坊管理列的地蒸位（5/套8）检测港：利用捧高技检术提赚供的忧工具漠来检兔查系凝统存伙在的冶，可弯能提咱供黑庸客攻鞠击、叼病毒代泛滥顷等等婶的脆宁弱性门。具备迟相应淋的技绑术工澡具形成坦动态卡检测造制度建立务报告迅协调挽机制信息爷安全左管理便的地恰位（6/离8）响应嘉：对于老危及庭安全叫的事毕件、倚行为灿、过窄程，迹及时晕做出帐响应送的处最理，佩杜绝旨危害忍进一便步扩紧大，雷使得部系统杏力求录提供烛正常刑的服想务。通过护综合笛建立讲起来周响应宽的机留制，息如报臂警、页跟踪拔、处食理（踩封堵烫、隔魔离、味报告钩）等嫂；提高首实时旬性，矮形成撞快速意响应粥的能捕力。信息坝安全泡管理假的地装位（7/众8）恢复搁：对所多有数马据进角行备茫份，脏并采筒用容忘错、桑冗余街、替叨换、想修复会和一筒致性屋保证歌等相网应技庸术迅军速恢件复系津统运缺转。信息振安全哈管理存的地膊位（8/辉8）反击枯：利用制高技衡术工见具，抬提供病犯罪抖分子驱犯罪弱的线地索、猴犯罪撞依据独，依墨法侦两查犯翁罪分桑子处谦理犯草罪案菠件，幸要求蛾形成燥取证拴能力约和打按击手正段，钱依法灯打击何犯罪对和网年络恐高怖主可义分映子。相关葵技术哑及工舒具：钓取证侍、证昂据保纵全、黑举证树、起陆诉、弱打击满、媒锻体修店复、续媒体跑恢复挨、数蚊据检税查、奖完整久性分瞧析、诞系统米分析坝、密际码分朴析破楼译、同追踪饰。网络炕攻击粒简介实施驶有效那的网挡络攻踩击必附须掌该握相户应的争知识洋，选悔择恰客当的吗攻击绞手段半，采纽奉用合贴理的宰方法歌与步躬骤，虏才能度取得炮预期夫的效伟果。什么泛是网膏络攻悟击？1.储4什么膝是网困络攻疗击网络挣攻击央：网络滨攻击店者利洗用目勤前网沈络通拨信协奏议（锡如TC岛P/补IP协议蒸）自践身存照在的挥或因与配置育不当抓而产框生的滋安全标漏洞非、用皇户使度用的涝操作欢系统宵内在嫌缺陷隆或者赏用户樱使用孤的程掩序语不言本莫身所听具有脂的安主全隐小患等短，通腊过使约用网鄙络命筋令、大从In档te滴rn爱et上下岔载的割专用礼软件虚或者霉攻击慎者自包己编榜写的腥软件熊，非撇法进蜓入本木地或幸远程屋用户盒主机草系统县，非卡法获颤得、漏修改族、删赚除用米户系多统的居信息湾以及祝在用模户系叫统上俊添加窜垃圾剃、色些情或淹者有泥害信秆息（懒如特绒洛伊宰木马材）等烂一系锻列过复程的恳总称划。常见鼻的网型络攻津击手尿段阻塞肿类攻载击控制菊类攻征击探测复类攻个击欺骗古类攻腾击漏洞碌类攻肾击破坏眨类攻他击注意述：在一拜次网贵络攻剖击中亡，并捐非只愉使用输上述端六种扣攻击孙手段兵中的哀某一压种，蜜而是堵多种渠攻击令手段功相综扯合，耻取长毙补短尺，发盈挥各截自不级同的纠作用小。阻塞够类攻裂击（1/描2）阻塞犹类攻魄击企坊图通稼过强迎制占模有信坡道资悔源、跳网络异连接铅资源薄、存分储空盆间资您源，洁使服细务器连崩溃开或资咽源耗蠢尽无宵法对针外继阁续提箱供服挡务。拒绝恨服务充攻击灭（Do累S，De搬ni坝al伸o之f填Se西rv卡ic旱e）是由典型刷的阻照塞类克攻击赏，它坑是一终类个跳人或许多人录利用In午te迅rn叫et协议受组的棍某些以工具碧，拒部绝合岭法用迫户对冻目标雹系统恰（如陪服务膨器）姜和信甘息的拴合法慢访问躺的攻录击。常见折的方绕法：TC爸P紧SY轮N洪泛皇攻击活、La概nd攻击筛、Sm研ur晚f攻击夫、电络子邮蒙件炸捷弹等路多种束方式营。阻塞蛛类攻归击（2/吸2）Do勾S攻击给的后撞果：使目秒标系宫统死侦机；使端葡口处皱于停提顿状挂态；在计易算机著屏幕充上发独出杂赠乱信焦息、隙改变说文件宜名称为、删吗除关傲键的打程序墓文件安；扭曲策系统磁的资躲源状值态，称使系港统的塘处理泡速度案降低示。控制盼类攻泽击控制婶型攻闷击是帆一类罗试图仙获得统对目窃标机拒器控餐制权炭的攻浊击。最常蹦见的皱三种桥：口浆令攻抗击、阅特洛村伊木趋马、稳缓冲县区溢嫁出攻促击。口令椒截获防与破茶解仍然良是最妇有效腊的口差令攻蹄击手厦段，钩进一悄步的械发展爸应该功是研逗制功胆能更子强的糊口令秩破解俩程序才；木马罩技术目前王着重幅研究茄更新征的隐叶藏技越术和姐秘密希信道告技术并；缓冲庭区溢哑出是一卫种常皮用的联攻击挑技术暑，早此期利绩用系浪统软转件自妨身存搅在的湾缓冲傲区溢互出的迈缺陷诱进行羽攻击类，现貌在研舰究制排造缓浩冲区验溢出办。探测敏类攻轨击信息望探测叨型攻再击主昏要是扒收集吨目标饿系统墓的各绘种与丙网络墓安全摄有关灶的信扎息，失为下蒙一步某入侵粥提供复帮助厉。主要汗包括厕：扫普描技散术、送体系拢结构烦刺探训、系毅统信梦息服咳务收乎集等腹。目前贩正在领发展涉更先抽进的娱网络镇无踪殖迹信局息探茶测技续术。网络俘安全缸扫描棕技术散：网络厌安全脆防御易中的窗一项笛重要秋技术乏，其眉原理瓣是采势用模侮拟攻耗击的列形式邀对目园标可顾能存扣在的查已知朵安全狠漏洞顺进行繁逐项筒检查趁。它合既可社用于葵对本鱼地网鸭络进尾行安军全增服强，召也可绢被网顽络攻失击者惰用来述进行床网络处攻击迁。欺骗呜类攻容击欺骗乌类攻鱼击包抄括IP欺骗饱和假喂消息硬攻击蹈，前键一种叙通过吉冒充拘合法接网络墓主机碌骗取娱敏感债信息陆，后论一种益攻击截主要扩是通添过配旋制或框设置老一些宪假信秆息来琴实施司欺骗师攻击寨。主要汤包括经：AR点P缓存杯虚构泽、DN聋S高速仆缓存法污染呀、伪昼造电爱子邮沉件等层。漏洞榨类攻天击针对萝扫描杜器发瘦现的分网络加系统相的各色种漏每洞实火施的凤相应罪攻击胡，伴痒随新单发现耽的漏池洞，网攻击拌手段婆不断直翻新却，防拨不胜炼防。漏洞奇（Ho艳le）：系怒统硬痒件或薪者软充件存伴在某哪种形枝式的馒安全需方面凤的脆治弱性驾，这胜种脆翻弱性抖存在纷的直拖接后萍果是疮允许夕非法滚用户林未经霞授权毕获得垫访问匙权或柱提高梯其访命问权臂限。要找访到某熄种平库台或对者某桌类安适全漏塔洞也秋是比哑较简解单的皂。在In桥te缠rn侵et上的汗许多墨站点鼠，不脱论是饭公开漆的还哄是秘笼密的炭，都毁提供洁漏洞猾的归卡档和鸦索引东等。软晕件港漏阿洞每周腿平均罚发现齿的新眯漏洞虫数破坏量类攻毕击破坏捆类攻献击指火对目撇标机师器的数各种饿数据常与软呼件实潮施破鲜坏的集一类头攻击托，包谎括计译算机宽病毒耀、逻昆辑炸境弹等竭攻击劳手段便。逻辑奇炸弹垂与计醉算机犁病毒法的主顶要区繁别：撕逻辑只炸弹页没有床感染护能力垂，它绩不会怀自动护传播鬼到其姨他软糕件内匪。注意不：由于仇我国笼使用螺的大衣多数寄系统丘都是玻国外召进口苹的，繁其中晚是否隔存在渐逻辑字炸弹务，应引该保亭持一僚定的坛警惕虹。对持于机怀要部浩门中蚂的计田算机者系统挣，应哪该以舟使用拌自己殿开发蠢的软中件为面主。威胁丑的现熄状和棉趋势几小颈时时间几周/几个膀月几天几分通钟几秒锯钟90年代卫初90年代死中90年代撇末20倚0020郑03第I类人工仁响应:有可搬能“Flash”ThreatsFileViruses第II太I类人工奔响应:不可若能自动声响应:不太近可能主动衫阻挡:有可喜能第II类人工雅响应:很难/不可截能自动揉响应:有可持能MacroVirusese-mailWormsBlendedThreat