12-网络安全讲解课件

2023年7月27日第1页网络安全2023年7月27日第2页教学目标了解网络安全面临的风险，常见的网络攻击手段。了解网络安全防范的主要内容理解网络安全防范的体系结构理解网络安全技术和协议掌握网络病毒的防治了解网络机房安全2023年7月27日第3页教学重点网络安全的主要威胁网络安全的体系结构网络安全策略网络病毒与防治2023年7月27日第4页教学过程网络安全概述

网络安全防范体系

网络安全技术

网络安全协议

网络病毒与防治

网络机房安全

2023年7月27日第5页12.1网络安全概述

网络安全风险

网络攻击手段

常见网络攻击手段分析

网络安全的目标

网络安全防范的主要内容

网络安全的概念网络安全（NetworkSecurity）是指网络系统中的硬件、软件及数据受到保护，不因偶然或者恶意原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全保证网络数据的可用性、完整性和保密性。2023年7月27日第6页2023年7月27日第7页网络安全风险

与人有关的风险

与硬件和网络设计有关的风险

与协议和软件有关的风险

与Internet访问有关的风险

与人有关的风险

入侵者或攻击者利用社会工程或窥探获取用户口令网络管理员在文件服务器上不正确地创建或配置用户ID、工作组以及它们的相关权力，导致文件和注册路径易受攻击网络管理员忽视了拓扑连接中的硬件配置的安全漏洞网络管理员忽视了操作系统或应用配置的安全漏洞由于对安全政策缺乏适当的提供和通信，导致文件或网络路径的蓄意的、或者无意的误用不忠或不满的员工滥用他们的访问权限闲置的计算机或终端依然连接网络用户或管理员选择了易于猜出的口令离开机房时未锁门员工将磁盘或备份磁带丢弃在公共的垃圾桶内管理员忘记消除已离开公司员工的访问权2023年7月27日第8页与硬件和网络设计有关的：底层风险无线传输易被窃听使用租赁线路的网络易于受到窃听，如VPN通过互联网集线器对全数据段传输进行广播，易受窃听（交换设备提供点对点的通信，限制了数据传输地与发送和接收节点的可获取性）如果闲置的集线器、路由器或者服务器端口没有失效，易被黑客访问和利用如果路由器未被适当配置以标志内部子网，外部网络的用户就可以读到私有地址连接在网络设备上的调制解调器用于接收进入呼叫，如果未做适当的防护，也会成为安全漏洞电信或远程用户使用的拨号访问服务器，可能没有被仔细设置安全处理和监视有敏感数据的计算机可能和向公众开放的计算机在同一子网2023年7月27日第9页与协议和软件有关的风险：高层风险TCP/IP的安全漏洞。例如：IP地址可以被轻易伪造、校验和欺骗、UDP无须认证以及TCP只要求非常简单的认证服务器之间的信任连接使得黑客可能由一个小漏洞而得以访问整个网络网络操作系统软件通常包含“后门”或者安全漏洞。除非网络管理员进行定期更新，否则黑客容易利用这些漏洞如果网络操作系统允许服务器操作者退出到DOS提示符方式，那么入侵者就可以运行毁灭性的的命令行程序管理员在安装完操作系统或应用程序后，可能会接受默认的安全选项。默认的选项通常不是最优的。应用程序之间的事务处理。例如，数据库与基于Web的表格之间可能为窃听留下空间2023年7月27日第10页与Internet访问有关的风险

防火墙设置不当，没有足够的防护作用。当用户通过InternetTelnet或者FTP连接到公司站点，用户ID和口令将以纯文本方式进行传递。任何监视网络的人都可窥探到用户ID的口令，并用它来访问系统。黑客可能由工作组、邮件列表或者用户在网上填写的表格得知用户ID的信息用户连接到Internet聊天室时，可能会受到其他用户的攻击，使得屏幕上充满了无用字符，最终终止对话黑客入侵系统后，可能会放置“拒绝服务”攻击。拒绝服务攻击在系统因信息泛滥或其他干扰而失效时发生。2023年7月27日第11页2023年7月27日第12页网络攻击手段

截获（或阻断）

窃听

修改

伪造

重播（重发）

截获合法的数据进行复制，然后在网络中多次重新发送，从而影响信宿的正常工作业务否认

2023年7月27日第13页常见网络攻击手段分析拒绝服务攻击（DOS）

泛洪攻击

端口扫描

利用TCP报文的标志进行攻击

分片IP报文攻击

带源路由选项的IP报文

IP地址欺骗

针对路由协议的攻击

针对设备转发表的攻击

Script/ActiveX攻击

--利用协议实现原理进行攻击2023年7月27日第14页网络安全的目标（1）

机密性

信息不被泄露给非授权用户、实体或过程，或供其利用完整性

信息未经授权不能进行改变，即信息在存储或传输过程中不被修改、不被破坏可用性

信息可被授权用户或实体访问，并按需求进行使用2023年7月27日第15页网络安全的目标（2）

真实性

保证信息来源正确，并防止信息伪造不可否认性

建立有效的责任机制，防止用户或实体否认其行为2023年7月27日第16页网络安全防范的主要内容

计算机病毒危害计算机系统和网络安全的破坏性程序黑客犯罪

利用高科技手段，盗取密码以入侵他人计算机网络，非法获得信息、盗用特权等2023年7月27日第17页12.2网络安全防范体系

网络安全体系结构的框架

网络安全防范体系层次

网络安全防范体系设计准则网络安全防范策略

网络安全定义安全攻击损害机构所拥有的信息安全的任何行为安全机制用于检测、预防安全攻击或者恢复系统的机制安全服务采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务2023年7月27日第18页2023年7月27日第19页网络安全体系结构的框架

每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务保证该系统单元的安全2023年7月27日第20页网络安全防范体系层次

2023年7月27日第21页物理环境的安全性（物理层安全）通信线路的安全、物理设备的安全、机房的安全操作系统的安全性（系统层安全）操作系统本身的缺陷、操作系统的安全配置、病毒对操作系统的威胁网络的安全性（网络层安全）网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测手段、网络设施防病毒应用的安全性（应用层安全）Web服务、电子邮件系统、DNS等管理的安全性（管理层安全）安全技术和设备的管理、安全管理制度、部门与人员的组织规则等2023年7月27日第22页网络安全防范体系设计准则

网络信息安全的木桶原则：对信息进行均衡全面的保护网络信息安全的整体性原则

：尽可能快速恢复安全性评价与平衡原则

标准化与一致性原则

技术与管理相结合原则

统筹规划，分步实施原则

等级性原则：安全层次与安全级别动态发展原则

易操作性原则

㈠物理安全策略

网络安全策略实施物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

㈡访问控制策略二、网络安全策略实施访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。㈡访问控制策略二、网络安全策略实施⑴入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为3个步骤：用户名的识别与验证用户口令的识别与验证用户账号的默认限制检查㈡访问控制策略二、网络安全策略实施⑵网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。我们可以根据访问权限将用户分为以下几类：123审计用户，负责网络的安全控制与资源使用情况的审计

一般用户，系统管理员根据他们的实际需要为他们分配操作权限特殊用户(即系统管理员)㈡访问控制策略二、网络安全策略实施⑶目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：2)读权限(Read)3)写权限(Write)1)系统管理员权限(Supervisor)㈡访问控制策略二、网络安全策略实施⑶目录级安全控制5)删除权限(Erase)6)修改权限(Modify)7)文件查找权限(FileScan)4)创建权限(Create)8)存取控制权限(AccessControl)㈡访问控制策略二、网络安全策略实施⑷属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。㈡访问控制策略二、网络安全策略实施⑸网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。㈡访问控制策略二、网络安全策略实施⑹网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。㈡访问控制策略二、网络安全策略实施⑺网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。㈢信息加密策略二、网络安全策略实施信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为：常规密码算法公钥密码算法㈣防病毒技术二、网络安全策略实施从软件功能上，可分为网络防病毒技术和单机防病毒技术。单机防病毒软件一般安装在单台PC机上，对整个PC机起到清除病毒、分析扫描的作用。而网络防病毒软件则能够保护整个网络，避免遭到病毒的攻击。㈤防火墙技术防火墙有硬件和软件两种。放置在被保护网络和其他网络的边界，接收被保护网络的进出数据流，并根据防火墙所配置的访问控制策略进行过滤或其他操作。可以保护网络资源不受外部的入侵，也可拦截从被保护网络向外传送的信息。㈥网络入侵检测技术二、网络安全策略实施入侵技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。是防火墙后的第二道门。㈦网络安全管理策略确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。2023年7月27日第36页12.3网络安全技术

防火墙技术

加密技术

入侵检测技术

身份验证和存取控制VPN

2023年7月27日第37页防火墙技术

防火墙的分类

包过滤防火墙

代理防火墙

网络地址转换-NAT监测型防火墙

常见防火墙产品

CheckPoint的FireWall-1Juniper网络Netscreen3COMOfficeConnectFirewallCiscoPIX2023年7月27日第38页加密技术

数据加密技术是最基本的网络安全技术。对称加密算法非对称加密算法2023年7月27日第39页入侵检测技术

也叫网络实时监控技术，通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应。2023年7月27日第40页入侵检测系统基本部分

数据采集子系统数据分析子系统控制台子系统数据库管理子系统

2023年7月27日第41页VPN

隧道技术

把各种协议的数据帧或数据包重新封装在新的包头中进行发送新的包头提供了路由信息，所以封装的负载数据可以在互联网上进行传递加/解密技术

密钥管理技术

使用者与设备身份认证技术

2023年7月27日第42页12.4网络安全协议

SSH

SSL协议

IPSec协议

2023年7月27日第43页SSH

SSH是SecureShell的缩写，是一种为了在不安全的网络上提供安全的远程登录和安全的网络服务而设计的协议。

包括三个主要部分传输层协议提供一些认证、信任和完整性。

用户认证协议层认证连接到服务器的客户端的用户。

连接协议提供可用作多种目的通道。

2023年7月27日第44页SSL协议

SSL的目的：在网络应用软件之间提供安全、可信赖的传输服务。“安全”表示透过SSL建立的连线可防范外界任何可能的窃听或监控，“可信赖”表示经由SSL连线传输的资料不会失真。SSL的特点SSL与应用协定无关

SSL双方利用公众钥匙（publickey）技术识别对方的身份

SSL连接是受加密保护的

SSL连线是可信赖的

2023年7月27日第45页IPSec协议

IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AuthenticationHeader（AH）、封装安全载荷协议EncapsulatingSecurityPayload（ESP）、密钥管理协议InternetKeyExchange（IKE）和用于网络认证及加密的一些算法等。

IPsec提供三个主要范围上的安全：鉴定性，它验证正在通信的个体；完整性，它确保数据不被改变；保密性，它确保数据不被截获和查看。

2023年7月27日第46页IPSec基本工作原理

2023年7月27日第47页12.5网络病毒与防治

网络病毒的特点

网络病毒的防治

网络防毒/杀毒软件

2023年7月27日第48页网络病毒的特点

破坏性强

传播性强

具有潜伏性和可激发性

针对性强

扩散面广，传播途径多变

2023年7月27日第49页网络病毒的防治