计算机网络安全概述-

2023/12/6可编辑1第一章网络安全概述本章主要内容：第一节网络安全简介第二节网络安全面临的威胁第三节网络安全关键技术第四节网络安全的法律法规2023/12/6可编辑2知识点

网络安全的定义网络面临的安全威胁、漏洞网络安全关键技术：加密、鉴别、认证网络安全法规2023/12/6可编辑3难点网络安全关键技术2023/12/6可编辑4网络安全为什么重要？网络应用已渗透到现代社会生活的各个方面；电子商务、电子政务、电子银行等无不关注网络安全； 至今，网络安全不仅成为商家关注的焦点，也是技术研究的热门领域，同时也是国家和政府的行为。国家安全委员会（中国国家机关）报告指出，到2013年，全球网民数量达到22亿，其中亚洲网民数量将占到43%，而中国网民占到全球的17%。*网络安全概述5截至2016年12月底，我国网民规模达7.31亿，全年共计新增网民4299万人。互联网普及率为53.2%，较2015年底提升了2.9个百分点。

中国网民规模和互联网普及率*网络安全概述6新网民互联网接入设备使用情况*网络安全概述7至2016年12月，我国手机网民规模达6.95亿，较2015年底增加7550万人。网民中使用手机上网人群的占比由2015年的90.1%提升至95.1%，提升5个百分点，网民手机上网比例在高基数基础上进一步攀升。中国手机网民规模及其占网民比例*网络安全概述82023/12/6可编辑92016年度中国被篡改网页的网站2016年网络安全事件类型分布图*网络安全概述10计算机网络面临的安全威胁*网络安全概述112014年，共发现中文钓鱼网站55063个，较之2013年有所下降，但仍居于高位。图中

描述了全球中文钓鱼网站数量按年统计趋势。该图显示近两年的中文钓鱼网站数量同比2012年大幅增加。网络钓鱼已成为威胁网络安全的突出问题，网络安全形势与挑战日益严重2023/12/6可编辑122023/12/6可编辑13数据2015年10月，《InformationWeek》研究部和埃森哲咨询公司全球安全调查，调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中，有57%的美国公司表示在过去一年中曾遭受病毒攻击，34%曾受到蠕虫的攻击，18%经历了拒绝服务攻击。2023/12/6可编辑14网络安全的重要性信息安全空间将成为传统的国界、领海、领空的三大国防和基于太空的第四国防之外的第五国防，称为cyber-space。2023/12/6可编辑1538届世界电信日的主题2023/12/6可编辑16网络脆弱性的原因“INTERNET的美妙之处在于你和每个人都能互相连接,INTERNET的可怕之处在于每个人都能和你互相连接”2023/12/6可编辑17网络脆弱性的原因2023/12/6可编辑18网络脆弱性的原因1.开放性的网络环境2.协议本身的缺陷3.操作系统的漏洞4.人为因素2023/12/6可编辑19罗伯特•莫里斯1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特·莫里斯（22岁）制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CIH到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫的发展愈演愈烈。2023/12/6可编辑20凯文•米特尼克凯文•米特尼克是美国20世纪最著名的黑客之一，他是《社会工程学》的创始人1979年（15岁）他和他的伙伴侵入了“北美空中防务指挥系统”，翻阅了美国所有的核弹头资料，令大人不可置信。不久破译了美国“太平洋电话公司”某地的改户密码，随意更改用户的电话号码。2023/12/6可编辑21网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，网络服务不中断。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。2023/12/6可编辑22网络安全的主要特征如下：网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、可用性、可控性、可审查性。可靠性是前提；可控性是指信息系统对信息内容和传输具有控制能力的特征；可审查行是出现安全问题时提供依据与手段2023/12/6可编辑23网络安全的主要特征如下：大多数情况下，网络安全更侧重强调网络信息的保密性、完整性和有效性即（CIA）保密性——信息加密时防止信息非法泄露的最基本手段完整性——数据备份是防范信息完整性遭到破换的最有效手段有效性——授权用户按需访问2023/12/6可编辑24第一节网络安全简介

物理安全逻辑安全操作系统安全联网安全2023/12/6可编辑251.1.1物理安全1．防盗像其他的物体一样，计算机也是偷窃者的目标，例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值，因此必须采取严格的防范措施，以确保计算机设备不会丢失。2023/12/6可编辑262．防火计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。人为事故是指由于操作人员不慎，吸烟、乱扔烟头等，使充满易燃物质（如纸片、磁带、胶片等）的机房起火，当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。2023/12/6可编辑273．防静电静电是由物体间的相互摩擦、接触而产生的，计算机显示器也会产生很强的静电。静电产生后，由于未能释放而保留在物体内，会有很高的电位（能量不大），从而产生静电放电火花，造成火灾。还可能使大规模集成电器损坏，这种损坏可能是不知不觉造成的。2023/12/6可编辑284．防雷击利用引雷机理的传统避雷针防雷，不但增加雷击概率，而且产生感应雷，而感应雷是电子信息设备被损坏的主要杀手，也是易燃易爆品被引燃起爆的主要原因。雷击防范的主要措施是，根据电气、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护；根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多级层保护。2023/12/6可编辑295．防电磁泄漏电子计算机和其他电子设备一样，工作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。2023/12/6可编辑30

计算机的逻辑安全需要用口令字、文件许可、查账等方法来实现。可以限制登录的次数或对试探操作加上时间限制；可以用软件来保护存储在计算机文件中的信息；限制存取的另一种方式是通过硬件完成，在接收到存取要求后，先询问并校核口令，然后访问列于目录中的授权用户标志号。此外，有一些安全软件包也可以跟踪可疑的、未授权的存取企图，例如，多次登录或请求别人的文件。

1.1.2逻辑安全2023/12/6可编辑311.1.3操作系统安全

操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以便于防止他们相互干扰。一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。

2023/12/6可编辑321.1.4联网安全

联网的安全性只能通过以下两方面的安全服务来达到：

1．访问控制服务：用来保护计算机和联网资源不被非授权使用。

2．通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。2023/12/6可编辑33

软件漏洞网络协议漏洞安全管理漏洞网络系统面临的威胁1.2网络安全漏洞与威胁2023/12/6可编辑34

软件漏洞（flaw）是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患，软件漏洞也称为软件脆弱性（vulnerability）或软件隐错（bug）。软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全，因此，软件漏洞是任何软件存在的客观事实。软件产品通常在正式发布之前，一般都要相继发布α版本、β版本和γ版本供反复测试使用，目的就是为了尽可能减少软件漏洞。2023/12/6可编辑35网络协议漏洞类似于软件漏洞，是指网络通信协议不完善而导致的安全隐患。截止到目前，Internet上广泛使用的TCP/IP协议族几乎所有协议都发现存在安全隐患2023/12/6可编辑36网络安全技术只是保证网络安全的基础，网络安全管理才是发挥网络安全技术的根本保证。因此，网络安全问题并不是一个纯技术问题，从网络安全管理角度看，网络安全首先应当是管理问题。许多安全管理漏洞只要提高安全管理意识完全可以避免，如常见的系统缺省配置、脆弱性口令和信任关系转移等。2023/12/6可编辑371.2.2系统漏洞造成的威胁

网络安全威胁是指事件对信息资源的可靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害，网络安全威胁根据威胁产生的因素可以分为自然和人为两大类。2023/12/6可编辑38网络安全威胁自然因素人为因素硬件故障；软件故障；电源故障；电磁干扰电磁辐射意外损坏蓄意攻击删除文件；格式化硬盘自然灾害网络攻击；计算机病毒；滥用特权特洛伊木马；网络窃听；邮件截获带电拔插；系统断电破坏保密性破坏完整性和有效性破坏保密性、完整性和有效性图1.5

网络安全威胁分类及破坏目标2023/12/6可编辑39网络安全威胁来自网络边界内部或外部，蓄意攻击还可以分为内部攻击和外部攻击，由于内部人员位于信任范围内，熟悉敏感数据的存放位置、存取方法、网络拓扑结构、安全漏洞及防御措施，而且多数机构的安全保护措施都是“防外不防内”，因此，许多数蓄意攻击来自内部而不是外部。2023/12/6可编辑40

主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此，如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。

被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。

2023/12/6可编辑41交换鉴别机制数据加密访问控制认证和数字签名技术防火墙技术入侵检测技术1.3网络安全的关键技术2023/12/6可编辑421.交换鉴别机制交换鉴别机制是通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有：

1．口令：由发送方给出自己的口令，以证明自己的身份，接收方则根据口令来判断对方的身份。

2．密码技术：发送方和接收方各自掌握的密钥是成对的。接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。在许多情况下，密码技术还和时间标记、同步时钟、双方或多方握手协议、数字签名、第三方公证等相结合，以提供更加完善的身份鉴别。

3．特征实物：例如IC卡、指纹、声音频谱等。2023/12/6可编辑432.加密机制加密是提供信息保密的核心方法。按照密钥的类型不同，加密算法可分为对称密钥算法和非对称密钥算法两种。按照密码体制的不同，又可以分为序列密码算法和分组密码算法两种。加密算法除了提供信息的保密性之外，它和其他技术结合，例如hash函数，还能提供信息的完整性。加密技术不仅应用于数据通信和存储，也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏，这就是软件加密技术。2023/12/6可编辑443.访问控制机制访问控制可以防止未经授权的用户非法使用系统资源，这种服务不仅可以提供给单个用户，也可以提供给用户组的所有用户。访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术，分为高层访问控制和低层访问控制。高层访问控制包括身份检查和权限确认，是通过对用户口令、用户权限、资源属性的检查和对比来实现的。低层访问控制是通过对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制。2023/12/6可编辑454.公证机制网络上鱼龙混杂，很难说相信谁不相信谁。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清，可以找一个大家都信任的公证机构，各方的交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁。2023/12/6可编辑46在真实世界，对用户的身份认证基本方法可以分为这三种：(1)根据你所知道的信息来证明你的身份(whatyouknow，你知道什么)；(2)根据你所拥有的东西来证明你的身份(whatyouhave，你有什么)；(3)直接根据独一无二的身体特征来证明你的身份(whoyouare，你是谁)，比如指纹、面貌等。在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。2023/12/6可编辑47以下罗列几种常见的认证形式：静态密码

智能卡

短信密码

动态口令

数字签名

生物识别

2023/12/6可编辑484.数字签名机制数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。用于辨识数据签署人的身份，并标明签署人对数据中所有信息的认可。数字签名机制主要解决