计算机网络安全原理（第2版）课件 第1章 绪论

第一章绪论内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信主机：计算机和非计算机设备信道：有线与无线网络设备：集线器、交换机、路由器等计算机网络计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信互联网（internet或internetwork）因特网（Internet）计算机网络因特网：多层次ISP结构的网络计算机网络结构和组成第一层ISP大公司本地ISP大公司大公司公司本地ISP本地ISP校园网局域网局域网局域网第二层ISP第二层ISPIXPIXP第一层ISP第二层ISP本地ISP本地ISP本地ISP本地ISP第一层ISP第一层第二层第三层本地ISP第二层ISP本地ISP本地ISP本地ISP本地ISP第二层ISP本地ISP本地ISP第二层ISP企业用户住宅用户单位用户主机B主机A校园用户因特网：边缘部分+核心部分计算机网络结构和组成核心部分边缘部分主机网络路由器接入网边缘部分：主机+接入网计算机网络结构和组成核心部分：大量网络+路由器计算机网络结构和组成H1H5H2H4H3H6发送的分组路由器AEDBC网络核心部分主机网络的体系结构(architecture)：计算机网络的各层及其协议的集合协议（protocol）：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定，三要素：语法、语义、同步网络体系结构网络体系结构从网络体系结构上分析分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子计算机网络的脆弱性计算机网络的脆弱性问题一：分组交换Internet是基于分组交换的，这使得它比电信网（采用电路交换）更容易受攻击：所有用户共享所有资源，给予一个用户的服务会受到其它用户的影响；攻击数据包在被判断为是否恶意之前都会被转发到受害者！(很容易被DoS攻击)；路由分散决策，流量无序。计算机网络的脆弱性问题二：认证与可追踪性Internet没有认证机制，任何一个终端接入即可访问全网（而电信网则不是，有UNI、NNI接口之分），这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下，路由器不具备数据追踪功能（Why？），因此没有现实的方法验证一个数据包是否来自于其所声称的地方。攻击者通过IP欺骗隐藏来源。计算机网络的脆弱性问题三：尽力而为(best-effort)因特网采取的是尽力而为策略：把网络资源的分配和公平性完全寄托在终端的自律上是不现实的（DDoS利用的就是这一点）计算机网络的脆弱性问题四：匿名与隐私普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息（如邮件）有人提出新的体系：终端名字与地址分离OntheInternet,nobodyknowsyouareadog;OntheInternet,allknowsyouarenotadog!计算机网络的脆弱性计算机网络的脆弱性计算机网络的脆弱性问题五：对全球网络基础实施的依赖全球网络基础设施不提供可靠性、安全性保证，这使得攻击者可以放大其攻击效力：一些不恰当的协议设计导致一些（尤其是畸形的）数据包比其它数据包耗费更多的资源（如TCPSYN包比其它的TCP包占用的目标资源更多）；Internet是一个大“集体”，其中有很多的不安全的系统计算机网络的脆弱性问题六：无尺度网络无尺度网络的典型特征是网络中的大部分结点只和很少结点连接，而有极少数结点与非常多的结点连接。这种关键结点（称为“枢纽”或“集散结点”）的存在使得无尺度网络对意外故障有强大的承受能力（删除大部分网络结点而不会引发网络分裂），但面对针对枢纽结点的协同性攻击时则显得脆弱（删除少量枢纽结点就能让无尺度网络分裂成微小的孤立碎片）。CDNLoop攻击计算机网络的脆弱性问题七：互联网的级联特性互联网是一个由路由器将众多小的网络级联而成的大网络。当网络中的一条通讯线路发生变化时，附近的路由器会通过“边界网关协议(BGP)”向其邻近的路由器发出通知。这些路由器接着又向其他邻近路由器发出通知，最后将新路径的情况发布到整个互联网。也就是说，一个路由器消息可以逐级影响到网络中的其它路由器，形成“蝴蝶效应”。“网络数字大炮”计算机网络的脆弱性问题八：中间盒子（MiddleBox）违背了“端到端原则”，从源端到目的端的数据分组的完整性无法被保证，互联网透明性逐渐丧失中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子清华大学段海新教授团队关于中间盒子主要研究成果中间盒子清华大学段海新教授：中间盒子从具体的网络协议上分析（将在后续章节中介绍）TCP/IP体系中的很多协议，如ARP、IP、ICMP、TCP、UDP、HTTP、DNS等，也存在可被攻击者利用的缺陷计算机网络的脆弱性内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6定义：是指计算机网络中的硬件资源和信息资源的安全性，它通过网络信息的产生、存储、传输和使用过程来体现，包括：网络设备（包括设备上运行的网络软件）的安全性，使其能够正常地提供网络服务；网络中信息的安全性，即网络系统的信息安全。其目的是保护网络设备、软件、数据，使其能够被合法用户正常使用或访问，同时要免受非授权的使用或访问计算机网络安全网络是否安全主要通过“安全属性”来评估安全属性的种类（一般都包括：机密性、完整性和可用性）、名称、内涵并不统一，不同的人、不同时期、不同领域会有所差别网络安全属性（1/7）机密性（Confidentiality或Security）也称为“保密性”，对信息资源开放范围的控制，不让不应知晓的人知道秘密。机密性的保护措施主要包括：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络截获和窃听等安全属性（2/7）完整性（Integrity）包括系统完整性和数据完整性。系统完整性是指系统不被非授权地修改；数据完整性是使信息保持完整、真实或未受损状态，任何篡改、伪造信息应用特性或状态等行为都会破坏信息的完整性。保护措施主要包括：严格控制对系统中数据的写访问，只允许许可的当事人进行更改。安全属性（3/7）可用性（Availability）资源只能由合法的当事人使用。资源可以是信息，也可以是系统。大多数情况下，可用性主要是指系统的可用性可用性的保护措施主要有：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口，提供安全的访问工具安全属性（4/7）不可否认性（Non-repudiation）也称为“不可抵赖性”，是指通信双方在通信过程中，对于自己所发送或接收的消息不可抵赖。数据收发双方都不能伪造所收发数据的证明：信息发送者无法否认已发出的信息，信息接收者无法否认已经接收的信息保护措施主要包括：数字签名、可信第三方认证技术。安全属性（5/7）其它安全属性可靠性（Reliability）可信性（DependabilityorTrusty）：不统一，主流观点：可靠+安全安全属性（6/7）安全属性(7/7)（方滨兴院士）属性空间以保护信息为主的属性以保护系统为主的属性可用性可控性机密性可鉴别性可用性：系统可以随时提供给授权者使用：系统运行稳定（稳定性）、可靠（可靠性）、易于维护（可维护性），在最坏情况下至少要保证系统能够为用户提供最核心的服务（可生存性）可鉴别性：保证信息的真实状态是可以鉴别的，即信息没有被篡改（完整性）、身份是真实的（真实性）、对信息的操作是不可抵赖的（不可抵赖性）机密性：保证信息在产生、传输、处理和存储的各个环节中不被非授权获取以及非授权者不可理解的属性可控性：系统对拥有者来说是可掌控的，管理者能够分配资源（可管理性），决定系统的服务状态（可记账性），溯源操作的主体（可追溯性），审查操作是否合规（可审计性）定义：信息系统安全、信息自身安全和信息行为安全的总称，目的是保护信息和信息系统免遭偶发的或有意的非授权泄露、修改、破坏或失去处理信息的能力，实质是保护信息的安全属性，如机密性、完整性、可用性和不可否认性等信息安全定义：指计算机硬件、软件以及其中的数据的安全性（机密性、完整性、可用性、可控性等）不受自然和人为有害因素的威胁和危害计算机安全网络空间（Cyberspace）网络空间安全网络空间（Cyberspace）俄罗斯：信息空间中的一个活动范围，其构成要素包括互联网和其它电信网络的通信信道，还有确保其正常运转以及确保在其上所发生的任何形式的人类（个人、组织、国家）活动的技术基础设施。按此定义，网络空间包含设施、承载的数据、人以及操作网络空间安全网络空间（Cyberspace）网络空间安全网络空间（Cyberspace）网络空间安全网络空间（Cyberspace）网络空间安全网络空间安全（CyberspaceSecurity）网络空间安全网络空间安全（CyberspaceSecurity）方滨兴：在信息通信技术的硬件、代码、数据、应用4个层面，围绕着信息的获取、传输、处理、利用4个核心功能，针对网络空间的设施、数据、用户、操作4个核心要素来采取安全措施，以确保网络空间的机密性、可鉴别性、可用性、可控性4个核心安全属性得到保障，让信息通信技术系统能够提供安全、可信、可靠、可控的服务，面对网络空间攻防对抗的态势，通过信息、软件、系统、服务方面的确保手段、事先预防、事前发现、事中响应、事后恢复的应用措施，以及国家网络空间主权的行使，既要应对信息通信技术系统及其所受到的攻击，也要应对信息通信技术相关活动的衍生出政治安全、经济安全、文化安全、社会安全与国防安全的问题网络空间安全网络空间安全（CyberspaceSecurity）网络空间安全网络空间安全网络空间安全一级学科论证报告给出的网络空间安全知识体系网络空间安全美国NICE列出的网络空间安全知识体系计算机网络安全、网络安全、信息安全、网络信息安全、计算机安全、网络空间安全这些概念的内涵和外延在不同文献中有差异同样的内容，不同高校的专业（或课程或学科方向）名称、教材（或著作）名称可能不同，百花齐放！讨论：几个概念的关系内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6网络安全威胁因素

环境和灾害因素温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的有意：人为的恶意攻击、违纪、违法和犯罪无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果网络安全威胁因素

系统自身因素计算机系统硬件系统的故障软件组件：操作平台软件、应用平台软件和应用软件网络和通信协议系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实网络安全威胁因素在系统的设计、开发过程中有如下因素会导致系统、软件漏洞：系统基础设计错误导致漏洞编码错误导致漏洞安全策略实施错误导致漏洞实施安全策略对象歧义导致漏洞系统设计／实施时相关人员刻意留下后门网络安全威胁因素漏洞不仅存在，而且层出不穷，Why?方案的设计可能存在缺陷从理论上证明一个程序的正确性是非常困难的一些产品测试不足，匆匆投入市场为了缩短研制时间，厂商常常将安全性置于次要地位系统中运行的应用程序越来越多，相应的漏洞也就不可避免地越来越多网络安全威胁因素漏洞不仅存在，而且层出不穷，Why?网络安全威胁因素漏洞不仅存在，而且层出不穷，Why?网络攻击是指采用技术或非技术手段，利用目标网络信息系统的安全缺陷，破坏网络信息系统的安全属性的措施和行为，其目的是窃取、修改、伪造或破坏信息或系统，以及降低、破坏网络和系统的使用效能网络攻击要求：了解每种具体攻击的含义，破坏的安全属性，基本的防御策略/思想网络攻击从发起攻击的来源来分，可将攻击分为三类：外部攻击、内部攻击和行为滥用

网络攻击分类（1）从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击被动攻击：攻击者监听网络通信时的报文流，从而获取报文内容或其它与通信有关的秘密信息，主要包括内容监听（或截获）和通信流量分析监听：针对通信内容通信流量（/通信量/信息量）分析：针对通信形式

网络攻击分类（2）从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击主动攻击：指攻击者需要对攻击目标发送攻击报文，或者中断、重放、篡改目标间的通信报文等手段来达到欺骗、控制、瘫痪目标，劫持目标间的通信链接，中断目标间的通信等目的针对通信的主动攻击：中断，伪造、重放、修改（或篡改）通信报文针对网络或信息的主动攻击：扫描、缓冲区溢出、拒绝服务攻击、恶意代码……

网络攻击分类（2）Stallings：网络攻击分类网络攻击分类（3）截获篡改伪造中断消极攻击积极攻击目的站源站源站源站源站目的站目的站目的站被动攻击主动攻击Icove分类：基于经验术语分类方法网络攻击分类（4）病毒和蠕虫资料欺骗拒绝服务非授权资料拷贝侵扰软件盗版特洛伊木马隐蔽信道搭线窃听会话截持

IP欺骗口令窃听越权访问扫描逻辑炸弹陷门攻击隧道伪装电磁泄露服务干扰

一般攻击过程足迹追踪：TargetFootprinting远端扫描：RemoteScaning资源列举：ResourceEnumerating权限获取：AccessGaining权限提升：PrivilegeEscalating设置后门：BackdoorsCreating毁踪灭迹：TracksCovering一般攻击过程英国皇家国防研究所于2020年9月发布报告，提出了“网络空间作战和防御反应框架”，将网络空间作战分为七类：侦察/企图渗透；渗透和权限升级；持续监视与间谍活动；数据过滤；数据操纵或破坏；系统危害(虚拟)；物理效应。网络空间作战美军将“计算机网络作战（ComputerNetworkOperations,CNO）”分为：①计算机网络攻击（CNA），是指通过计算机网络扰乱、否认、功能或性能降级、损毁计算机和计算机网络内的信息、计算机或网络本身的行为；②计算机网络利用（CNE），是指从目标信息系统或网络收集信息并加以利用的行为；③计算机网络防御（CND），是指使用计算机网络分析、探测、监控和阻止攻击、入侵、扰乱以及对网络的非授权访问。网络空间作战内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6网络安全保障体系组织管理体系技术防护体系系统运行体系组织机构人员编制制度标准教育培训系统建设系统运维物理安全防护电磁安全防护信息安全防护网络、计算环境、基础设施、应用系统应急响应网络安全模型以建模的方式给出解决安全问题的过程和方法，主要包括：准确描述构成安全保障机制的要素以及要素之间的相互关系；准确描述信息系统的行为和运行过程；准确描述信息系统行为与安全保障机制之间的相互关系

网络安全模型DoD提出：防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）

PDRR模型加密机制数字签名机制访问控制机制认证机制信息隐藏防火墙技术入侵检测系统脆弱性检测数据完整性检测攻击性检测数据备份数据恢复系统恢复应急策略应急机制应急手段入侵过程分析安全状态评估防护检测响应恢复ISC提出

P2DR模型

P2DR2模型保护(Protection)检测(Detection)响应(Response)备份(Recovery)策略(Policy)时间TimeIATF从整体、过程的角度看待信息安全问题，认为稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施，其代表理论为“深度防护战略”。IATF强调人、技术、操作三个核心要素，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施，为建设信息保障系统及其软硬件组件定义了一个过程，依据纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全

IATF框架IATF定义的三要素中，人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，同时也是最脆弱的。人是第一位的要素：安全管理的重要性针对人的攻击：社会工程学攻击

IATF框架CGS框架内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6ISO于1988年发布了ISO7498-2标准，即开放系统互联(OSI，OpenSystemInterconnection)安全体系结构标准，该标准等同于国家标准的GB/T9387.2-1995。1990年，ITU决定采用ISO7498-2作为其X.800推荐标准。因此，X.800和ISO7498-2标准基本相同。1998年，RFC2401给出了Internet协议的安全结构，定义了IPsec适应系统的基本结构，这一结构的目的是为IP层传输提供多种安全服务网络安全体系结构提供了安全服务和安全机制的一般性描述（这些安全服务和安全机制都是网络系统为保证安全所配置的哪些部分、哪些位置必须配备哪些安全服务和安全机制），指明在网络系统中，并规定如何进行安全管理安全体系结构ISO安全机制与安全服务ISO7498-2定义了5类安全服务、8种特定的安全机制、5种普遍性安全机制，确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置、OSI安全体系的管理。定义：指加强数据处理系统和信息传输的安全性的处理过程或通信服务，主要利用一种或多种安全机制对攻击进行反制来实现安全服务鉴别（authentication）或认证提供通信中的对等实体和数据来源的鉴别，是最基本的安全服务，是对付假冒攻击的有效方法。鉴别可以分为对等实体鉴别和数据源鉴别

5种安全服务（1/5）访问控制（AccessControl）访问控制就是对某些确认了身份（即进行了身份认证）的实体，在其访问资源时进行控制，是实现授权（authorization）的一种主要方式用于防止在未得到授权的情况下使用某一资源

5种安全服务（2/5）数据机密性服务保护信息（数据）不泄露或不泄露给那些未授权掌握这一信息的实体两类：数据机密性服务，使攻击者想要从某个数据项中推导出敏感信息十分困难；业务流机密性服务，使得攻击者很难通过观察通信系统的业务流来获得敏感信息。

5种安全服务（3/5）数据完整性服务用于防止数据在存储、传输等处理过程中被非授权修改，主要包括3种类型：连接完整性服务、无连接完整性服务及选择字段完整性服务

5种安全服务（4/5）抗抵赖（不可抵赖或不可否认）服务有数据原发证明的抗抵赖。为数据的接收者提供数据的原发证据，使发送者不能抵赖发送过这些数据或否认发送过这些内容；有交付证明的抗抵赖。为数据的发送者提供数据交付证据，使接收者不能抵赖收到过这些数据或否认接收内容。

5种安全服务（5/5）定义：用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程（或实现该过程的设备、系统、措施或技术）安全机制加密对网络通信中的数据进行密码变换以产生密文。通常情况下，加密机制需要有相应的密钥管理机制配合。加密可为数据或业务流信息提供机密性，并且可以作为其他安全机制的一部分或对安全机制起补充作用。对称加密与非对称（公开）加密8种特定安全机制(1/8)数字签名附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种附加数据或变换可以用来供接收者确认数据来源（真实性）、数据完整性，防止发送方抵赖，包括签名内容、时间（不可抵赖性），并保护数据，防止被人（例如接收者）伪造（真实性和完整性）两个过程：签名与验证签名8种特定安全机制(2/8)访问控制一种对资源访问或操作进行限制的安全机制。利用某个经鉴别的实体身份（主体）、关于该实体的信息（如在某个已知实体集里的资格）或该实体的权标，确定并实施实体的访问目标（客体）权限（操作）。还可以支持数据的机密性、完整性、可用性及合法使用等安全目标常见机制：DAC、MAC、RBAC8种特定安全机制(3/8)数据完整性保护避免未授权的数据乱序、丢失、重放、插入和篡改，包括两个方面：单个数据或字段的完整性，数据单元流或字段流的完整性常见机制：检验和、散列码、消息认证码（MAC）、现时（Nonce）8种特定安全机制(4/8)认证交换向验证方传递认证所需的信息，驱动实体认证。如果得到否定结果，则会导致连接拒绝或终止，也可产生一条安全审计记录或产生告警。可用于认证交换的信息主要包括：使用认证信息（如口令）；使用密码技术；使用该实体的特征或独一无二的物体（如指纹、虹膜）8种特定安全机制(5/8)通信业务填充也称为“流量填充”，是一种反通信业务分析技术，通过将一些虚假数据填充到协议数据单元中，达到抗通信业务分析的目的。这种机制只有在通信业务填充受到保护（如加密）时才有效。8种特定安全机制(6/8)路由选择机制使路由能动态地或预定地选取，使敏感数据只在具有适当保护级别的路由上传输。8种特定安全机制(7/8)公证保证在两个或多个实体之间通信的数据安全性，有时必须有可信任的第三方参与，如数据抗抵赖性等服务。第三方公证人掌握必要的信息，为通信实体所信任，以一种可证实方式向通信实体提供所需的保证。常见公证机制：数字证书认证中心（CA）、密钥分配中心（KDC）等8种特定安全机制(8/8)普遍性安全机制不是为任何特定的服务而特设的安全机制可信功能度安全标记事件检测安全审计安全恢复5种普遍性安全机制可信功能度5种普遍性安全机制安全标记5种普遍性安全机制事件检测与安全审计5种普遍性安全机制安全恢复5种普遍性安全机制ISO安全机制与安全服务ISO安全机制与安全服务说明：上述概念主要是ISO7498-2中的定义，主要针对的是OSI/RM中的通信安全，与本章前面介绍的网络安全属性中的一些同名概念（如完整性、机密性、不可抵赖性）略有差别，但核心思想是一致的安全机制与服务2020年4月发布的国家标准《GB/T25066-2020信息安全技术信息安全产品类别与代码》六大类：物理环境安全、通信网络安全、区域边界安全、计算环境安全、安全管理支持、其他思考所学到的网络安全知识点会在那类安全产品中出现网络安全产品内容提纲计算机网络安全2计算机网络安全威胁3网络安全模型4计算机网络及其脆弱性1网络安全机制、服务及产品5网络安全内容与组织6安全消息消息安全消息消息秘密信息秘密信息安全相关变换安全相关变换发送方接收方可信第三方（如仲裁者、秘密信息的分配者）信息通道攻击者网络通信安全模型安全消息消息安全消息消息秘密信息秘密信息安全相关变换安全相关变换发送方接收方可信第三方（如仲裁者、秘密信息的分配者）信息通道攻击者第4章PKI与数字证书第2章密码学基础知识KDC,CA加密第3章消息认证与身份认证散列MAC签名消息认证（源认证、完整性、真实性）、不可否认（数字签名）

IPsec/VPN

SSL/TLS/VPN

HTTPS/QUIC

DNSSEC

PGP

第6章IP及路由安全第7章传输层安全第8章DNS安全第9章Web应用安全第10章电子邮件安全第5章无线网络安全

WEP/WPA

安全传输解密验证（散列，MAC，签名）安全协议安全协议网络通信安全模型看门人访问通道操作者人（如黑客）软件（如病毒、木马、蠕虫）计算资源数据处理软件网络安全控制信息系统网络访问安全模型看门人访问通道操作者人（如黑客）软件（如病毒、木马、蠕虫）计算资源数据处理软件网络安全控制信息系统第3章消息认证与身份认证身份认证第12章网络防火墙边界控制第13章入侵检测与网络欺骗攻击检测第14章恶意代码恶意代码检测第9章Web应用安全第10章电子邮件安全电子邮件防护Web应用防护第11章拒绝服务攻击及防御拒绝服