第一章网络安全概述

课程名称：计算机网络安全教材：《计算机网络安全》《网络安全技术项目化教程》教师：梁存E-mail：liangcun121206@126.comTel评方式：总评=30%平时成绩+70%期末成绩平时成绩包括考勤、课堂纪律、平时作业等。期末考试为笔试，总分100分，涉及填空题，单选题，判断题，计算题，综合题。课程概览项目1：网络安全概述（虚拟机）项目2：网络攻击与防范（探测系统密码+IPS$空连接）项目3：拒绝服务与数据库安全(ddos攻击,漏洞)项目4：计算机病毒与密码(宏病毒,木马加壳)项目5：安全防护与入侵检测（sniffer软件）项目6：加密技术与虚拟专用网（加密软件，PGP，VPN）项目7：防火墙技术（系统防火墙，天网防火墙）项目8：网络应用服务安全配置（搭建WEB，FTP）项目9：无线网络安全（无线路由）本课程实验第一章网络安全概述1.1网络安全的内涵1.2网络安全分析1.3网络安全的现状和发展趋势背景据国外媒体报道，全球计算机行业协会(CompTIA)近日评出了“全球最急需的10项IT技术”，结果安全和防火墙技术排名首位。全球最急需的10项IT技术:1.安全/防火墙/数据隐私类技术。6．软件。

2．网络/网络基础设施。7．应用层面技术。

3．操作系统。8．特定编程语言。

4．硬件。9．Web技术。

5．非特定性服务器技术。10．RF移动/无线技术。由上可见，排名第一的，就是安全问题，这说明安全方面的问题是全世界都急需解决的问题，我们所面临的网络安全状况有多尴尬，可想而知。背景在网络高速发展的过程中，人们在享受网络带来便利的同时，网络的安全也日益受到威胁。网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。黑客攻击行为组织性更强，攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移，网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥；背景智能手机、平板电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展。总之，网络安全问题变得更加错综复杂，影响将不断扩大，很难在短期内得到全面解决。安全问题已经摆在了非常重要的位置上，网络安全如果不加以防范，会严重地影响到网络的应用。1995年，米特尼克闯入许多计算机网络，偷窃了2万个信用卡号，他曾闯入“北美空中防务指挥系统”，破译了美国著名的“太平洋电话公司”在南加利福尼亚州通信网络的“改户密码”，入侵过美国DEC等5家大公司的网络，造成8000万美元的损失。1999年，台湾大学生陈盈豪制造的CIH病毒在4月26日发作，引起全球震撼，有6千多万台计算机受害。2002年，黑客用DDos攻击影响了13个根DNS中的8个，作为整个Internet通信路标的关键系统遭到严重的破坏。2006年，“熊猫烧香”木马致使我国数百万计算机用户受到感染，并波及周边国家。2007年2月，“熊猫烧香”制作者李俊被捕。2008年，一个全球性的黑客组织，利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。2009年，韩国遭受有史以来最猛烈的一次黑客攻击。韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站遭受攻击，造成网站一度无法访问。2010年，“维基解密”网站在《纽约时报》、《卫报》和《镜报》配合下，在网上公开了多达9.2万份的驻阿美军秘密文件，引起轩然大波。2011年，堪称中国互联网史上最大泄密事件发生。12月中旬，CSDN网站用户数据库被黑客在网上公开，大约600余万个注册邮箱账号和与之对应的明文密码泄露。2012年1月12日，CSDN泄密的两名嫌疑人已被刑事拘留。其中一名为北京籍黑客，另一名为外地黑客。以上仅仅是一些个案，事实上，这样的案例不胜枚举，而且计算机犯罪案件有逐年增加的趋势。据美国的一项研究显示，全球互联网每39秒就发生了一次黑客事件，其中大部分黑客没有固定的目标。因此，网络系统必须有足够强大的安全体系，无论是局域网还是广域网，无论是单位还是个人，网络安全的目标是全方位在防范各种威胁以确保网络信息的保密性、完整性和可用性。1.1网络安全的内涵1.1.1网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于如何防范外部非法攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。1.1.2网络安全的特征网络安全一般应包括了以下五个基本特征：保密性：确保信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：确保数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：确保可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性：确保对信息的传播及内容具有控制能力。可审查性：确保出现的安全问题时提供依据与手段。1.1网络安全的内涵1.3.2网络安全所涉及的内容网络安全是一门交叉学科，除了涉及数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学，是一个多领域的复杂系统。一般地，把网络安全涉及的内容分为物理安全、网络安全、系统安全、应用安全、管理安全等五个方面，如图1-2所示。1.物理安全物理安全，也称实体安全，是指保护计算机设备、设施(网络及通信线路)免遭地震、水灾、火灾等自然灾害和环境事故(如电磁污染等)，以及人为操作失误及计算机犯罪行为导致的破坏。保证计算机信息系统各种设备的物理安全，是整个计算机信息系统安全的前提。物理安全主要包括以下3个方面。(1)环境安全：对系统所有环境的安全保护，如区域保护(电子监控)和灾难保护(灾难的预警、应急处理、恢复等)。(2)设备安全：主要包括设备的防盗、防毁(接地保护)、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。(3)媒体安全：包括媒体数据的安全及媒体本身的安全。2.网络安全在网络安全中，在内部网与外部网之间，可以设置防火墙来实现内外网的隔离和访问控制，是保护内部网安全的最主要的措施，同时也是最有效、最经济的措施之一。网络安全检测工具通常是一个网络安全性的评估分析软件或者硬件，用此类工具可以检测出系统的漏洞或潜在的威胁，以达到增强网络安全性的目的。备份是为了尽可能快地全面恢复运行计算机系统所需要的数据和系统信息。备份不仅在网络系统硬件出现故障或人为操作失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时也是系统灾难恢复的前提之一。3.系统安全一般，人们对网络和操作系统的安全很重视，而对数据库的安全不够重视，其实数据库系统也是一种很重要的系统软件，与其他软件一样需要保护。4.应用安全应用安全建立在系统平台之上，人们普遍会重视系统安全，而忽视应用安全。主要原因有：①对应用安全缺乏认识；②应用系统过于灵活，需要掌握较高的相关安全技术。网络安全、系统安全和数据安全的技术实现有很多固定的规则，应用安全则不同，客户的应用往往各不相同，必须投入相对更多的人力物力，而且没有现成的工具，只能根据经验来手动完成。5.管理安全安全是一个整体，完整的安全解决方案不仅包括物理安全、网络安全、系统安全和应用安全等技术手段，还需要以人为核心的策略和管理支持。网络安全至关重要的往往不是技术手段，而是对人的管理。无论采用了多么先进的技术设备，只要安全管理上有漏洞，那么这个系统的安全就没有保障。在网络安全管理中，专家们一致认为是“30%的技术，70%的管理”。同时，网络安全不是一个目标，而是一个过程，而且是一个动态的过程。这是因为制约安全的因素都是动态变化的，必须通过一个动态的过程来保证安全。例如，Windows操作系统经常发布安全漏洞，在没有发现系统漏洞之前，大家可能认为自己的系统是安全的，实际上系统已经处于威胁之中了，所以要及时地更新补丁。安全是相对的，没有绝对的安全，需要根据客户的实际情况，在实用和安全之间找一个平衡点。从总体上来看，网络安全涉及网络系统的多个层次和多个方面，同时，也是一个动态变化的过程。网络安全实际上是一个系统工程，既涉及对外部攻击的有效防范，又包括制定完善的内部安全保障制度；既涉及防病毒攻击，又涵盖实时检测、防黑客攻击等内容。因此，网络安全解决方案不应仅仅提供对于某种安全隐患的防范能力，还应涵盖对于各种可能造成网络安全问题隐患的整体防范能力；同时，还应该是一种动态的解决方案，能够随着网络安全需求的增加而不断改进和完善。1.3网络安全的现状和发展趋势1.3.1概况2008年，两大公司用不同的标准对新增病毒进行了统计，得出相同的结论：2008年的病毒数量比2007年有很大增长（瑞星统计为增长12倍以上，金山统计为增长48倍）。其中“网页挂马”所传播的木马、后门等病毒占据90%以上，网页浏览已经成为病毒传播的最主要渠道。从病毒的运作模式看2008年病毒多采用下载器关闭安全软件，然后下载大量盗号木马到用户电脑的方式盗取用户网游账号、网银账号等虚拟财产，再发送到黑客的数据库，具有极其明显的经济利益特征。1.3.2电脑病毒疫情统计1.3网络安全的现状和发展趋势瑞星公司2004-2008年新增病毒样本数统计瑞星公司分析2008年各类病毒比例图2.金山安全中心2008年电脑病毒疫情统计金山安全中心分析2008年各类病毒比例图1.3.3计算机病毒、木马的特点分析1.病毒制造趋于“机械化”2.病毒制造具有明显的模块化、专业化特征3.病毒产业互联网化（1）漏洞的挖掘和交易

（2）网页挂马的策略（3）网页挂马常用的漏洞漏洞名称在别利用漏洞中所占比例AdobeFlashPlayer18%RealPlayer10/1110%MicrosoftDateAccessComponents(ms06-014)8%Windowsant(ms07-017)8%迅雷看看ActiveX7%暴风影音ⅡActiveX7%PPLIVEActiveX7%PPSActiveX7%MicrosoftOffice2003(ms08-011)5%MicrosoftOffice(ms08-056)5%WindowsMediaPlayer(ms08-053)3%MicrosoftGDI+(ms08-021)3%超星阅读器ActiveX3%联众世界ActiveX3%新浪ActiveX3%百度搜霸ActiveX3%说明：以上数据来源于瑞星全球反病毒监测网表1-1常用软件被利用统计表1.3.4病毒互联网化的影响1.3.4病毒互联网化的影响1.互联网化制造病毒的三大手段病毒产业的互联网化，使得黑客可以利用互联网来加速病毒的制造，提高制造病毒的效率。黑客常用的三大手段包括：①采用效率更高的病毒生产软件，这些软件可以通过加壳、加花等方式，把已有病毒改造成杀毒软件无法识别的版本，从而可以自动生产出大量新木马病毒。这类机器自动制造的病毒，占据了新增病毒的很大部分。②租用更好的服务器、更大的带宽，为“木马下载器”下载病毒提供硬件上的便利。由于黑客产业的丰厚利润，黑客团伙有经济条件改善自己的“生产环境”，以求更丰厚的利润。③利用互联网论坛、博客等，雇佣“软件民工”来编写更强的驱动，加入木马中与杀毒软件对抗。现在很多木马病毒都会自带Rootkits驱动，这些驱动可以关闭杀毒软件、修改系统设置和文件，使木马更容易入侵用户电脑。而编写Rootkits在很大程度上属于“体力劳动”，普通计算机专业大学生经过几个月的编程训练即可胜任此工作。大量软件民工的加入，使得黑客产业链条更趋向“正规化、专业化”，效率也更高。2.病毒互联网化的影响病毒制造的互联网化，使得整个黑客产业制造病毒的效率大大提高，从而给反病毒厂商带来很多问题。如：①新病毒巨量增加、单个病毒的生存期缩短，现有病毒监测技术无法及时截获新样本。②即使能够截获，则每天高达数十万的新样本数量，也在严重考验着反病毒厂商对于病毒的分析、处理能力。③即使能够分析处理，则如何能够让用户在最短时间内获取相应的病毒库，成为一个重要的问题。

针对以上的问题，杀毒软件的设计思想、设计初衷就面临巨大的改变：应该把病毒阻挡在电脑之外，在盗号木马、病毒刚刚出现在互联网上，还没有来得及对客户端（用户电脑）发动攻击时即将其屏蔽。这种技术的实现，需要杀毒软件的完全互联网化，让互联网本身成为一个巨大的杀毒软件。3.直接影响用户对整个互联网行业的信心①木马点击器侵袭搜索引擎②Flash插件漏洞侵袭视频网站等③木马带来假流量，动摇新经济基础④盗号木马危及网游、网银等⑤盗号木马侵袭网络下载1.3.5反病毒技术发展趋势“云安全（CloudSecurity）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。云安全是我国企业创造的概念，在国际云计算领域独树一帜。“云安全”技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。目前，瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全卫士、卡卡上网安全助手等众多杀毒厂商都在布局“云安全”领域，相继推出了各自的“云安全”解决方案。瑞星基于“云安全”策略开发的2009新品，每天拦截数百万次木马攻击，其中2009年1月8日一天就达到了765万余次。趋势科技“云安全”已经在全球建立了5大数据中心，几万部在线服务器。据悉，“云安全”可以支持平均每天55亿条点击查询，每天收集分析2.5亿个样本，资料库第一次命中率就可以达到99%。借助“云安全”，趋势科技现在每天阻断的病毒感染最高达1000万次。我们有理由相信，“云安全”将是大势所趋，而“云安全”时代的到来，也必将伴随着安全行业的一场巨大变革。实验：虚拟机技术1.虚拟机技术虚拟机(VirtualMachine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件，可以在一台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如可以安装操作系统、安装应用程序、访问网络资源等等。对于用户而言，它只是运行在用户物理计算机上的一个应用程序，但是对于在虚拟机中运行的应用程序而言，它就是一台真正的计算机。因此，当在虚拟机中进行软件评测时，可能系统一样会崩溃，但是，崩溃的只是虚拟机上的操作系统，而不是物理计算机上的操作系统，并且，使用虚拟机的“Undo”(恢复)功能，可以马上恢复虚拟机到安装软件之前的状态。