模块一单元1计算机网络安全概述VIP

»网络安全与配置

刻世忠

Tel/p>

E-mail:lsz_80@l63.com

灌坊职业学院

［本课程的主要内容:

-1、校园网中所受到的各种攻击的分析

■2、校园网中采用的主要防护技术

-3、校园网中主要工作的操作系统平台环

境的配置

■4、校园网中网络安全工程的管理与实现

模块一校园网中所受到的

各种攻击的分析

■单元1、计算机网络安全概述

■单元2、黑客常用各种攻击的分析

［单元1计算机网络安全概述

■1、网络安全定义

-2、网络安全的基本要素

-3、信息安全的发展历程

■4、网络安全涉及的内容

■5、网络安全模型及安全策略

I.问题:

安全是什么?

1、网络安全的定义

计算机信息系统的安全保护，应当保

障计算机及其相关的和配套的设备、设施

（含网络）的安全，运行环境的安全，保

障信息的安全，保障计算机功能的正常发

挥，以维护计算机信息系统的安全运行。

《计算机信息系统安全保护条例》

j1、网络安全的定义

从本质上讲，网络安全就是网络上的信息安

全，是指网络系统的硬件、软件和系统中的数

据受到保护，不受偶然的或者恶意的攻击而遭到

破坏、更改、泄露，系统连续可靠正常地运行，

网络服务不中断。

广义上讲，凡是涉及到网络上信息的保密性、

完整性、可用性、可控性和不可否认性的相关技

术和理论都是网络安全所要研究的领域。

网络脆弱性的原因

“INTERNET的美妙之处在于你

和每个人都能互相连接，INTERNET的

可怕之处在于每个人都能和你互相连

接力

网络脆弱性的原因

•1.开放性的网络环境

•2.协议本身的缺陷

•3.操作系统的漏洞

•4.人为因素

!了解发生过的网络安全事件!

问题:

你认为怎样才能保障安全?

2、网络安全的要素

保密性一confidentiality

完整性一integrity

可用性一availability

可控性一controllability

不可否认性一Non-repudiation

2、网络安全的要素

1、机密性：确保信息不暴露给未授权的实体或进程。加

密机制。防泄密

2、完整性：只有得到允许的人才能修改实体或进程，并

且能够判别出实体或进程是否已被修改。完整性鉴别

机制，保证只有得到允许的人才能修改数据。

访问控制，消息摘要。防篡改

3、可用性：得到授权的实体可获得服务，攻击者不能占

用所有的资源而阻碍授权者的工作。

用访问控制机制，阻止非授权用户进入网络；使静态

信息可见，动态信息可操作。防中断

।2、网络安全的要素

［可控性：可控性主要指对危害国家信息（包括利用加

密的非法通信活动）的监视审计。控制授权范围内的

信息流向及行为方式。

使用授权机制，控制信息传播范围、内容，必要时能

恢复密钥，实现对网络资源及信息的可控性。

5、不可否认性：对出现的安全问题提供调查的依据和手

段。使用审计、监控、防抵赖等安全机制，使得攻击

者、破坏者、抵赖者“逃不脱”，并进一步对网络出

现的安全问题提供调查依据和手段，实现信息安全的

可审查性。

一般通过数字签名来提供不可否认服务。

3、信息安全发展历程

■1、通信保密阶段

保密性、完整性

■2、计算机安全阶段

保密性、完整性和可用性

■3、信息技术安全阶段

保密性、完整性、可用性和可控性

■4、信息保障阶段

保密性、完整性、可用性、可控性和不可

否认性

&4、网络安全涉及的内容

管理安全人为核心的策略和管理。

应用安全应用软件开发平台、应用系统。

系统安全操作系统、数据库系统。

网络安全网络运行、网络访问控制。

物理安全前提。环境、设备、媒体。

故事:

矛与盾

网络安全不是目标，而是过程。

05、网络安全模型及安全策略

■(1)网络安全模型

■(2)网络安全策略

(1)网络安全模型

完全理想的网络通信模型

对通信网的攻击

对通信网的攻击类型解决方案：

(1).中断维护、检修

(2).截获数据加密

(3).篡改鉴别/认证

(4).伪造鉴别/认证

入侵者(Hacker)的攻击:

防范措施：防火墙

内部和透过防火墙人员的攻击:

入侵者

防范措施：入侵检测系统和安全审计

使用恶意代码（计算机病毒和木马）的攻击:

非法用户

|EJ<

秘密通道

防范措施：反病毒和木马技术

网络安全模型:反病毒技术

S

TD

和

安

全

审

计

任何安全方案都不是万能的，方案的选择应在效益和

损失之间寻求一个平衡点，一般的原则是：破坏安全

系统的代价要高于安全系统被破坏后造成的损失。

(2)网络安全策略

■①网络安全威胁

■②网络安全技术现状

①网络安全威胁

1目前还没有统一网络安全威胁的分类。

常见的网络安全威胁：

•信息泄露

•破坏信息的完整性

•拒绝服务

•非法使用

•窃听

•业务流分析

・假冒

①网络安全威胁

•旁路控制

•授权侵犯

•木马

•陷阱门

•抵赖

•重放

•计算机病毒

•业务欺骗

•人员不慎

②网络安全技术现状

■网络安全技术体系

■网络安全技术支撑

■主流网络安全技术

■专业网络安全技术

■应用网络安全系统

■网络安全管理

■最新发展

4网络安全技术体系

系统（主机和备份反病母扫描、评估一安全操作系安

服务器）安全恢复入侵检测审计分析统全

ft*访问控制防火墙SET电

管'码技术网络隔离PGP子

子网（局域网）网络监控

商

安全技术安全网管

务

通信安全技术PKISSL

VPNHTTPS

网络安全管理安全法规安全技术特殊行业领域的安全管理和

标准法规和标准规章制度

、网络安全支撑技术

力码、认证、数字签名和其它各种密码协议

统称为密码技术。

-数据加密算法标准的提出和应用、公钥加密思

想的提出是其发展的重要标志。

-认证、数字签名和各种密码协议则从不同的需

求角度将密码技术进行延伸。认证技术包括消息

认证和身份鉴别。数字签名技术可以理解为手写

签名在信息电子化的替代技术，主要用以保证数

据的完整性、有效性和不可抵赖性等

I.网络安全支撑技术

•噂问控制是网络安全防范和保护的主要技术,它的主

要目的是保证网络资源不被非法使用和访问。访问控

制技术规定何种主体对何种客体具有何种操作权力。

访问控制是网络安全理论的重要方面，主要包括人员

限制、数据标识、权限控制、类型控制和风险分析。

访问控制技术一般与身份验证技术一起使用，赋予不

同身份的用户以不同的操作权限，以实现不同安全级

别的信息分级管理。

•数据和网络备份、恢复也属于网络安全的支撑技术范

围

卜网络安全支撑技术

・PKI是一种遵循既定标准的密钥管理平台，

它能够为所有网络应用提供加密和数字签

名等密码服务及所必需的密钥和证书管理

体系。简单来说，PKI就是利用公钥理论和

技术建立的提供安全服务的基础设施。PKI

技术是信息安全技术的核心，也是电子商

务的关键和基础技术。

&主流网络安全技术

■防火墙技术是将内部网络与外部网之间的访问进行全

面控制的一种机制，一般是由一组设备构成，这些设

备可能包括路由器、计算机等硬件，也可能包含有软

件，或者同时包含硬件和软件。这些设备在物理上或

逻辑上将内部网和外部网隔离开来，使得外网和内网

的所有网络通信必须经过防火墙，从而可以进行各种

的灵活的网络访问控制，对内部网进行尽可能的安全

保障，提高内部网的安全性和健壮性防火墙技术是当

前市场上最为流行的网络安全技术，防火墙已成为网

络建设的一个基本配置。

主流网络安全技术

•VPN技术利用不可信的公网资源建立可信的虚拟专

用网，是保证局域网间通信安全的少数可行的方

案之一。VPN既可在TCP/IP协议族的链路层实现

（比如L2F、PPTP等安全协议），也可在网络层实

现（IPSec）,其中更多情况下在网络层实现。

作为最近几年才兴起的网络安全技术，VPN在国内

的应用也就是最近两三年的事情，但随着企业网

络用户的迅速增加，VPN技术有着广阔的应用前景。

主流网络安全技术

•入侵检测技术是一种主动保护自己的网络和系统

免遭非法攻击的网络安全技术。它从计算机系统

或者网络中收集、分析信息，检测任何企图破坏

计算机资源的完整性、机密性和可用性的行为，

即查看是否有违反安全策略的行为和遭到攻击的

迹象，并做出相应的反应。

h主流网络安全技术

•反病毒技术是查找和清除计算机病毒的主要技术,

其原理就是在杀毒扫描程序中嵌入病毒特征码引

擎，然后根据病毒特征码数据库来进行对比式查

杀。这种方法简单、有效，但只适用于已知病毒,

并且其特征库需要不断升级。

•网络隔离技术通过特殊硬件实现链路层的断开，

使得各种网络攻击与入侵失去了物理通路的基础,

从而避免了内部网络遭受外部攻击的可能性。

专业网络安全技术

系统和网络的扫描和评估因其可预知主体受攻

击的可能性、将要发生的行为和产生的后果，

而受到网络安全业界的重视。这一技术的应用

可帮助识别检测对象的系统资源，分析这一资

源被攻击的可能指数，了解支撑系统本身的脆

弱性，评估所有存在的安全风险。一些非常重

要的专业应用网络，例如银行，不能承受一次

入侵带来的损失，对扫描和评估技术有强烈的

需求。

为专业网络安全技术

•监控和审计是与网络管理直接挂钩的技术。监控和审

计是通过对网络通信过程中可疑、有害信息或行为进

行记录以为事后处理提供依据，从而对计算机网络犯

罪人员形成一个强有力的威慑和最终达到提高网络整

体安全性的目的。局域网监控系统是网络监控系统中

的一大类。局域网监控能够提供一套较好的内部网行

为监控的机制，可以有效阻止来自内网的安全威胁。

不同企事业单位和性质网络所提供的服务和业务之间

差别很大，可能的网络安全威胁不尽相同，这就需要

网络监控技术针对不同的业务特性进行具体的监控。

网络监控技术的专业特性很强，不同的局域网监控系

统，其功能表现可能完全不同。

、专业网络安全技术

•安全套接层协议(SSL,SecureSocketLayer)是由

Netscape公司1994年设计开发的安全协议，主要在传

输层提高应用程序之间的数据安全性。SSL协议的概

念可以被概括为：它是一个保证任何安装了安全套接

层的客户和服务器间事务安全的协议，该协议向基于

TCP/IP的客户/服务器应用程序提供了客户端和服务

器的鉴别、数据完整性及信息机密性等安全服务，目

的是为用户提供Internet和企业内联网的安全通信。

SSL采用了公开密钥和对称密钥两种加密：在建立连

接过程中采用公开密钥；在会话过程中使用对称密钥。

加密的类型和强度则在两端之间建立连接的过程中协

商决定，保证了客户和服务器间事务的安全性。

1应用网络安全系统

■安全电子交易协议(SET,SecurityElectronic

Transaction)是一个通过开放网盈进行安全资金支付的

技术标准，由VISA和MasterCard组织共同制定，于1997年

联合推出。由于它得到了IBM、HP、Microsoft等很多大公

司的支持，已成为事实上的工业标准，目前已获得IETF标

准的认可。

这是一个为Internet上进行在线交易而设立的一个开

放的、以电子货币为基础的电子付款规范。SET在保留对

客户信用卡认证的前提下，又增加了对商家身份的认证，

这对于需要支付货币的交易来讲是至关重要的。SET将建

立一种能在Internet上安全使用银行卡购物的标准，它能

够将