数据通信与网络技术 课件 第8章 网络安全

第8章网络安全本章提要网络安全概述网络安全标准和等级防火墙技术（重点）计算机病毒防范技术（重点）8.1网络安全概述网络安全概念网络安全的主要特性交换机网络安全系统功能1.网络安全概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改泄露，系统连续、可靠、正常地运行，网络服务不中断。广义上，凡是涉及网络上信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是网络信息安全要研究的领域。狭义的网络信息安全是指网络上信息内容的安全性，即保护信息的秘密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗和盗用等有损合法用户利益的行为,保护合法用户的利益和隐私。2.网络安全的主要特性1.保密性

信息不泄露给非授权用户、实体或过程，或供其利用的特性。

2.完整性据未经授权不能进行改变的特性。3.可用性可被授权实体访问并按需求使用的特性。4.可控性可控性是指对信息的传播及内容具有控制能力。5.不可否认性网络通信双方在信息交互过程种，确信参与者本身以及参与者所提供的信息的真实同一性，及所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。3.网络安全系统功能身份认证认证就是识别和证实，是验证通信双方身份的有效手段，它对于开放系统环境中的各种信息安全有重要的作用。用户向系统请求服务时，要出示自己的身份证明，如输入(UserID和Password)等。而系统应具备查验用户身份证明的能力，对于用户的输入，能够明确判断该用户是否来自合法用户。访问控制访问控制是针对越权使用的防御措施，其基本任务是防止非法用户进入系统以及防止合法用户对系统资源的非法使用。在开放系统中，对网络资源的使用应制定一些规则，包括用户可以访问的资源和可以访问用户各自具备的读、写和其他操作的权限。3.网络安全系统功能数据完整性数据完整性是针对非法的篡改信息、文件和业务流而设置的防范措施，以保证资源可获得性。数据完整性服务可以保证信息流、单个信息或信息中指定的字段，保证接收方所接收的信息与发送方的信息是一致的，在传送过程中没有被复制、插入、删除等对信息进行破坏的行为。数据完整性服务又可分为恢复和无恢复两类。数据保密性数据保密性是针对信息泄露的防御措施，它可分为信息保密、选择数据段保密与业务流保密等。保密性服务是为了防止被攻击而对网络传输的信息进行保护。根据传送的信息的安全要求不同，选择不同的保密级别。最广泛的服务是保护两个用户之间在一段时间内传送的所有用户数据，同时也可以对某个信息中的特定域进行保护。3.网络安全系统功能防抵赖防抵赖是针对对方进行抵赖的访问措施,用来保证收发双方不能对已发送或已接收的信息子以否认,一旦出现发送方对发送信息的过程予以否认,或接收方对已接收的信息予以否认时,防抵赖服务提供记录,说明否认方是错误的。防抵赖服务对电子商务活动是非常有用的。密钥管理密钥管理是以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,就会对通信安全造成威胁。为对密钥的产生、存储、传递和定期更换进行有效的控制而引入密钥管理机制,对增加网络的安全性和抗攻击性非常重要。3.网络安全系统功能攻击监控通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。检查安全漏洞通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。8.2网络安全标准和等级应用计算机信息系统安全等级划分主要有两种一种是依据美国国防部发布的评估计算机系统安全等级的桔皮书，将计算机安全等级划分为4类8级，即A2、A1、B3、B2、B1、C2、C1、D；另一种是依据我国颁布的《计算机信息系统安全保护等级划分准则》（GB17859—1999），将计算机安全等级划分为5级。8.2网络安全标准和等级我国的信息系统的安全保护等级划分如下：第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全，国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。8.2网络安全标准和等级第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级：信息系统受到破坏后,会对国家安全造成特别严重的损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。8.3防火墙技术防火墙技术最初是针对Internet不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。1.防火墙基本概念防火墙(Firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域(securityzone)之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。防火墙结构示意图1.防火墙基本概念在2015年我国发布的编号为GB/T20281—2015国家标准《信息安全技术防火墙安全技术要求和测试评价方法》中对防火墙的定义为“部署于不同安全域之间，具备网络层访问控制及过滤功能，并具备应用层协议分析、控制及内容检测等功能，能够适用于IPv4、IPv6等不同的网络环境的安全网关产品”。2.防火墙的作用防火墙的主要作用通常包括以下几点：1.提供基础组网和防护功能防火墙能够满足企业环境的基础组网和基本的攻击防御需求。2.记录和监控网络存取与访问作为单一的网络接入点，所有进出信息都必须通过防火墙，所以防火墙可以收集关于系统和网络使用和误用的信息并做出日志记录。3.限定内部用户访问特殊站点防火墙通过用户身份认证(如IP地址等)来确定合法用户，并通过事先确定的完全检查策略来决定内部用户可以使用的服务以及可以访问的网站。2.防火墙的作用4.限制暴露用户点利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响，同时保护一个网段不受来自网络内部其他网段的攻击,保障网络内部敏感数据的安全。5.网络地址转换防火墙可以作为部署NAT（NetworkAddressTranslation，网络地址转换）的逻辑地址来缓解地址空间短缺的问题，并消除在变换ISP（InternetServiceProvider，互联网服务提供商）时带来的重新编址的麻烦。6.虚拟专用网防火墙还支持具有Internet服务特性的企业内部网络技术体系——虚拟专用网络（VirtualPrivateNetwork，VPN）。通过VPN将企事业单位在地域上分布在世界各地的局域网或专用子网有机联成一个整体。3.防火墙的主要类型网络层防火墙网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。网络层防火墙也称为数据包过滤（PacketFiltering）防火墙。该技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。3.防火墙的主要类型网络层防火墙数据包过滤防火墙的缺点有两个：一是非法访问，一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。防火墙规则也能从另一种较宽松的角度来制定，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，如来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如HTTP或是FTP)，也能经由通信协议、TTL值、来源的网域名称或网段等属性来进行过滤。3.防火墙的主要类型应用层防火墙应用层防火墙工作在TCP/IP堆栈的“应用层”，应用层防火墙可以拦截进出某应用程序的所有封包，它针对特定的网络应用服务协议，使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用层防火墙也称为应用层代理服务器防火墙或应用层网关，防火墙在数据包流入和流出两种方向上都有“代理服务器”的能力，这样它就可以保护主体和客体，防止其直接联系。代理服务器可以在其中进行协调，这样它就可以过滤和管理访问，也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现，如用户和用户组访问的LDAP。3.防火墙的主要类型数据库防火墙数据库防火墙系统串联部署在数据库服务器之前，解决数据库应用侧和运维侧两方面的问题，是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙技术部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界（Firewall、IDS/IPS等）防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。4.防火墙的体系结构防火墙的体系结构有三种：双重宿主主机体系结构屏蔽主机体系结构屏蔽子网体系结构4.防火墙的体系结构双宿/多宿主机体系结构双宿/多宿主机体系结构防火墙（Dual-Homed/Multi-HomedFirewall）又称为双宿/多宿防火墙，它是一种拥有至少具有两个网络接口，连接到不同网络上的防火墙。它是由双宿/多宿主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。4.防火墙的体系结构

双宿/多宿主机体系结构双宿/多宿主机体系结构防火墙位于内外网络之间，阻止内外网络之间的IP通信，禁止一个网络将数据包发往另一个网络。两个网络之间的通信通过应用层数据共享和应用层代理服务的方法来实现，一般情况下都会在上面使用代理服务器，内网计算机想要访问外网的时候，必需先经过代理服务器的验证。这种体系结构是存在漏洞的，比如双重宿主主机是整个网络的屏障，一旦被黑客攻破，那么内部网络就会对攻击者敞开大门，所以一般双重宿主机会要求有强大的身份验证系统来阻止外部非法登陆的可能性。4.防火墙的体系结构屏蔽主机体系结构屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护。4.防火墙的体系结构屏蔽主机体系结构防火墙由过滤路由器和堡垒主机构成，防火墙会强迫所有外部网络对内部网络的连接全部通过包过滤路由器和堡垒主机，堡垒主机就相当于是一个代理服务器，也就是说，包过滤路由器提供了网络层和传输层的安全，堡垒主机提供了应用层的安全，路由器的安全配置使得外网系统只能访问到堡垒主机，这个过程中，包过滤路由器是否正确配置和路由表是否收到安全保护是这个体系安全程度的关键，如果路由表被更改，指向堡垒主机的路由记录被删除，那么外部入侵者就可以直接连入内网。。4.防火墙的体系结构屏蔽主机体系结构的优点（1）屏蔽主机体系结构比双宿/多宿主机体系结构具有更高的安全特性。（2）内部网络用户访问外部网络较为方便、灵活，在被屏蔽路由器和堡垒主机不允许内部用户直接访问外部网络，则用户通过堡垒主机提供的代理服务访问外部资源。（3）由于堡垒主机和屏蔽路由器同时存在，使得堡垒主机可以从部分安全事务中解脱出来，从而可以以更高的效率提供数据包过滤或代理服务。4.防火墙的体系结构屏蔽子网体系结构屏蔽子网体系结构是最安全的防火墙体系结构，本质上同屏蔽主机防火墙一样，但增加了一层保护体系——周边网络（DMZ）。堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。4.防火墙的体系结构屏蔽子网体系结构

主要由4个部件组成，分别为周边网络、外部路由器、内部路由器以及堡垒主机。与屏蔽主机体系结构相比，它多了一层防护体系就是周边网络（DMZ），周边网络相当于是一个防护层介于外网和内网之间，周边网络内经常放置堡垒主机和对外开放的应用服务器，比如web服务器。4.防火墙的体系结构屏蔽子网体系结构周边网络也称为“停火区”或“非军事区”（DeMilitarisedZone，DMZ），通过DMZ网络直接进行信息传输是被严格禁止的，外网路由器负责管理外部网到DMZ网络的访问，为了保护内部网的主机，DMZ只允许外部网络访问堡垒主机和应用服务器，把入站的数据包路由到堡垒主机。不允许外部网络访问内网。内部路由器可以保护内部网络不受外部网络和周边网络侵害，内部路由器只允许内部网络访问堡垒主机，然后通过堡垒主机的代理服务器来访问外网。外部路由器在DMZ向外网的方向只接受由堡垒主机向外网的连接请求。在屏蔽子网体系结构中，堡垒主机位于周边网络，为整个防御系统的核心，堡垒主机运行应用级网关，比如各种代理服务器程序，如果堡垒主机遭到入侵，那么有内部路由器的保护，可以使得其不能进入内部网络。4.防火墙的体系结构屏蔽子网体系结构的优点：（1）由外部路由器和内部路由器构成了双层防护体系，入侵者难以突破。（2）外部用户访问服务资源时无需进入内部网络，在保证服务的情况下提高了内部网络安全性。（3）外部路由器和内部路由器上的过滤规则复制避免了路由器失效产生的安全隐患。（4）堡垒主机由外部路由器的过滤规则和本机安全机制共同防护，用户只能访问堡垒主机提供的服务。（5）即使入侵者通过堡垒主机提供服务中的缺陷控制了堡垒主机，由于内部防火墙将内部网络和周边网络隔离，入侵者也无法通过监听周边网络获取内部网络信息。8.4计算机病毒防范技术计算机网络技术的迅速发展和广泛应用，也给计算机病毒增加了新的传播途径。计算机网络正逐渐成为病毒传播的首要途径，同时也出现了大量的网络病毒，如何防止计算机病毒的入侵并保护计算机网络安全，已经成为人们面临的一项重要而紧迫的任务。1.计算机病毒的概述计算机病毒是一段人为编制的计算机程序代码，这段代码一旦进入计算机系统并得以执行，它就会搜寻符合其感染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我复制的目的。《中华人民共和国计算机信息系统安全保护条例》中，对计算机病毒所做的定义是：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”这个定义具有法律性和权威性。自从1987年发现第1例计算机病毒以来，计算机病毒的发展经历了以下几个主要阶段：DOS引导阶段、DOS可执行文件阶段、网络及蠕虫阶段、视窗阶段、宏病毒阶段和互联网阶段。1.计算机病毒的概述计算机病毒的特征任何计算机病毒都是人为制造的具有一定破坏性的程序。它们与生物病毒不同，但也有相似之处。概括起来，计算机病毒具有传染性、主动性、潜伏性、隐蔽性、破坏性、可触发性等主要特征。1.计算机病毒的概述计算机病毒的特征（1）传染性传染性是病毒的基本特征。设计者总是希望病毒能够感染更多的程序、计算机系统或网络系统，以达到最大的侵害目的。（2）主动性病毒程序是为了侵害他人的计算机系统或网络系统。（3）潜伏性计算机病毒具有依附于其他程序的能力，所以计算机病毒具有寄生能力。1.计算机病毒的概述（4）隐蔽性计算机病毒往往会借助各种技巧来隐藏自己的行踪，保护自己，从而做到在被发现及清除之前，能够在更广泛的范围内进行传染和传播，期待发作时可以造成更大的破坏性。（5）破坏性破坏性是计算机病毒的目的。任何病毒只要侵入系统，都会对系统和应用程序产生不同程度的影响。轻者会降低计算机工作效率，占用系统资源；重者可导致系统瘫痪。（6）可触发性计算机病毒一般都有一个或者几个触发条件，当满足该触发条件后计算机病毒便会开始发作。2.计算机病毒的分类计算机病毒的分类方法主要有以下几种。1.按照计算机病毒攻击的机型分类根据病毒攻击的机型可分为攻击微型计算机的病毒、攻击工作站的病毒、攻击小型计算机的病毒、攻击中、大型计算机的病毒。2.按照计算机病毒攻击的操作系统分类根据计算机病毒攻击的操作系统可分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒、攻击OS/2系统的病毒、攻击Macintosh系统的病毒以及其它操作系统上的病毒（如手机病毒、PDA病毒等）。3.按照计算机病毒的链接方式分类根据计算机病毒的链接方式可分为源码型病毒、嵌入型病毒、外壳(Shell)型病毒和操作系统型病毒四种。2.计算机病毒的分类4.按照计算机病毒的传播媒介分类根据病毒的传播媒介可分为单机病毒和网络病毒。5.按照病毒的破坏情况分类根据病毒的破坏情况可分为良性病毒和恶性病毒。良性和恶性是相比较而言的，不可轻视任何一种病毒对计算机系统造成的损害。6.按照病毒的寄生对象方式分类根据病毒的寄生对象方式可分为引导型病毒、文件型病毒、混合型病毒。7.按照病毒的驻留方式分类根据病毒的驻留方式可分为驻留内存型和不驻留内存型。8.按广义病毒概念分类蠕虫(worm)、逻辑炸弹(logicbomb)、特洛伊木马(TrojanHorse)、陷门、细菌(Germ)3.计算机病毒的入侵途径计算机病毒进入系统传播主要有以下几种途径。1.不可移动的计算机硬件设备这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少但破坏力极强，目前尚无较好的检测手段对付。2.可移动的存储设备如U盘、CD、软盘、移动硬盘等都可以是传播病毒的路径，3.网络将网络上带有病毒的文件、邮件下载或接收后打开或运行时，病毒就会扩散到网络中的计算机上。4.通信系统通过点对点通信系统和无线通信信道也可传播计算机病毒。目前出现的手机病毒就是利用无线信道传播的。4.计算机病毒的清除计算机病毒的清除（杀毒）是指将感染病毒的文件中的病毒模块摘除，并使之恢复为可以正常使用的文件的过程。病毒的清除原理（1）引导型病毒的清除引导型病毒的物理载体是磁盘。消除这类计算机病毒的基本思想是：用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。4.计算机病毒的清除（2）文件型病毒的清除覆盖型文件病毒是一种破坏型病毒，由于该病毒硬性地覆盖掉了一部分宿主程序，使宿主程序被破坏，即使把病毒杀掉，程序也已经不能修复。对覆盖型的文件只能将其彻底删除，没有挽救原来文件的余地。如果没有备份，将造成很大的损失。（3）清除交叉感染病毒有时一台计算机内同时潜伏着几种病毒，当一个健康程序在这个计算机上运行时，会感染多种病毒，引起交叉感染。4.计算机病毒的清除染毒后采取的措施

当系统感染病毒后，应立即采取以下措施进行处理，以恢复系统或受损部分。（1）隔离

当计算机感染病毒后，可将其与其他计算机进行隔离，避免相互复制和通信。当网络中某节点感染病毒后，网络管理员必须立即切断该节点与网络的连接，以避免病毒扩散到整个网络。（2）报警

病毒感染点被隔离后，要立即向网络系统安全管理人员报警。4.计算机病毒的清除（3）查毒源接到报警后，系统安全管理人员可使用相应的防病毒系统鉴别受感染的机器和用户，检查那些经常引起病毒感染的节点和用户，并查找病毒的来源。（4）采取应对方法和对策系统安全管理人员要对病毒的破坏程度进行分析检查，并根据需要采取有效的病毒清除方法和对策。（5）修复前备份数据

在对病毒进行清除前，尽可能将重要的数据文件备份，以防在使用防病毒软件或其他清除工具查杀病毒时，破坏重要数据文件。4.计算机病毒的清除（6）清除病毒

重要数据备份后，运行查杀病毒软件，并对相关系统进行扫描。发现有病毒，立即清除。若可执行文件中的病毒不能清除，应将其删除，然后再安装相应的程序，（7）重启和恢复

病毒被清除后，重新启动计算机，再次用防病毒软件检测系统中是否还有病毒，并将被破坏的数据进行恢复。5.计算机病毒的防治

计算机病毒的防范是网络安全体系的一部分，应该与防黑客和灾难恢复等方面综合考虑形成一整套安全体制。防病毒软件、防火墙技术、入侵检测技术等相互协调形成一整套的解决方案，才是最有效的网络安全。5.计算机病毒的防治用户病毒防范措施（1）安装杀毒软件和个人防火墙安装正版的杀毒软件，并注意及时升级病毒库，定期对计算机进行查毒杀毒，每次使用外来磁盘前也应对磁盘进行杀毒。正确设置防火墙规则，预防黑客入侵，防止木马盗取机密信息。（2）禁用预览窗口功能电子邮件客户端程序大都允许用户不打开邮件直接预览。由于预览窗口具有执行脚本的能力，某些病毒只需预览就能够发作，所以应该禁止预览窗口功能。5.计算机病毒的防治（3）不要随便下载文件不要随便登录不明网站，有些网站缺乏正规管理，很容易成为病毒传播的源头。下载软件应选择正规的网站，下载后应立即进行病毒检测。（4）备好启动盘，并设置写保护在对计算机系统进行检查、修复和手工杀毒时，通常要使用无毒的启动盘，使设备在较为干净的环境下进行操作。同时，尽量不用U盘、移动硬盘或其他移动存储设备启动计算机，而用本地硬盘启动。5.计算机病毒的防治（5）安装防病毒工具和软件

为了防止病毒的入侵，一定要在计算机中安装防病毒软件，并选择