2第1章 网络安全概述.ppt

1、贾铁军 沈学东 苏庆刚等编著 机械工业出版社,网络安全技术及应用,第1章 网络安全概述,本章要点 网络安全概念、技术特征、研究目标及内容 网络面临的威胁及其因素分析 网络安全模型、安全保障体系和关键技术 保护网络信息安全法律法规 安全技术评估标准和准则 网络安全设计与建设的原则和步骤,网络安全技术及应用,第1章 网络安全概述,教学目标 掌握网络安全概念、技术特征、研究目标及内容 了解网络面临的威胁及其因素分析 掌握网络安全模型、安全保障体系和关键技术 了解保护网络信息安全法律法规 理解安全技术评估标准和准则 掌握网络安全设计与建设的原则和步骤,网络安全技术及应用,第1章 网络安全概述,1.1

2、网络安全概述 1.1.1 网络安全的概念及技术特征 1. 网络安全的概念 计算机网络安全（Computer Network Security，简称网络安全）是指利用网络管理控制和技术措施，保证在网络环境中数据的机密性、完整性、网络服务可用性和可审查性受到保护。保证网络系统的硬件、软件及其系统中的数据资源得到完整、准确、连续运行和服务不受到干扰破坏和非授权使用。网络的安全问题实际上包括网络的系统安全和信息安全，而保护网络的信息安全是网络安全的最终目标和关键，因此，网络安全的实质是网络的信息安全。,网络安全技术及应用,第1章 网络安全概述,计算机网络安全的另一种理解： 计算机网络安全是指网络系统的

3、硬件、软件以及系统中的数据受到保护，不受偶然或者恶意的原因而遭到破坏、更改、泄漏、确保系统能连续可靠正常的运行，网络服务不中断。其本质即为网络信息安全。 计算机网络安全是一门涉及计算机科学、网络技术、通信技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学，,信息安全（Information Security）指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识与控制。即确保信息的完整性、保密性，可用性和可控性。信息安全是计算机、通信工程、数学等领域的交叉学科。 信息安全技术（Information Security Technology）是指在信息系统的物

4、理层、运行层，以及对信息自身的保护（数据层）及攻击（内容层）的层面上，所反映出的对信息自身与信息系统在可用性、机密性与真实性方面的保护与攻击的技术。,网络安全技术及应用,第1章 网络安全概述,2. 网络安全的技术特征 保密性、完整性、可用性、可控性、不可否认性 其中：保密性、完整性、可用性是信息安全的基本要求。 保证信息安全，最根本的就是保证信息安全的基本特征发挥作用。因此，网络信息安全5个特征也反映了网络安全的基本属性、要素与技术方面的重要特征。,网络安全技术及应用,第1章 网络安全概述,1.1.2 网络安全的研究目标及内容 1. 网络安全研究目标 在计算机和通信领域的信息传输、存储与处理的

5、整个过程中，提供物理上、逻辑上的防护、监控、反应恢复和对抗的能力，以保护网络信息资源的保密性、完整性、可控性和抗抵赖性。网络安全的最终目标是保障网络上的信息安全。 解决网络安全问题需要安全技术、管理、法制、教育并举，从安全技术方面解决信息网络安全问题是最基本的方法。,网络安全技术及应用,第1章 网络安全概述,2. 网络安全的内容 网络信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别等七个方面。 信息安全各部分相关内容及其相互关系，如图所示。,网络安全技术及应用,第1章 网络安全概述,1.1.3 网络安全的威胁 1. 网络安全的威胁类型（部分）,网络安全技术及应用,

6、第1章 网络安全概述,典型的网络威胁及其关系,2. 网络安全威胁的发展趋势 从发展趋势来看，现在的病毒已经由从前的单一传播、单种行为，变成依赖互联网传播，具有电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段于一身的广义的“新病毒”。今后恶意代码、网络安全威胁和攻击机制的发展将具有以下特点： (1) 连通性、扩散性、分布广泛性。 (2) 黑客技术与病毒传播结合。 (3) 扩散快且更加具有欺骗性。 (4) 利用系统漏洞和更新将成为病毒有力的传播方式。,网络安全技术及应用,第1章 网络安全概述,2. 网络安全威胁的发展趋势 (5) 无线网络技术的发展使远程网络攻击的可能性加大。 (6)

7、信息战及各种境内外情报人员将越来越多地通过网络渠道搜集情报和窃取资料。 (7) 超级蠕虫病毒的大规模扩散。 (8) 各种攻击技术的隐秘性增强，常规手段难以识别。 (9) 分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性。 (10) 威胁范围更广泛，甚至一些政府部门的超级计算机资源将成为攻击者利用的跳板。 (11) 网络管理安全问题日益突出。,网络安全技术及应用,第1章 网络安全概述,1.2 网络安全风险分析 1.2.1 网络系统安全分析 从网络系统特征安全方面看，互联网具有开放性、国际性和自由性的特征，也给网络带来了不安全性因素，主要因由及表现有6个方面： (1) 网络的共享性 (2)

8、 网络的开放性 (3) 系统漏洞和复杂性 (4) 边界的不确定性 (5) 传输路径的不确定性 (6) 信息的高度聚集性 从网络服务协议方面看也存在很多安全漏洞。,网络安全技术及应用,第1章 网络安全概述,1.2.2 操作系统安全分析 操作系统软件自身固有的“漏洞”不安全性，以及系统设计与开发时的疏忽或考虑不周而留下的“破绽”，都给网络安全留下了许多隐患。 1.2.3 数据库的安全问题 数据库存在许多不安全因素。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核窃取信息资源等。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性和并发控制。 1.

9、2.4 防火墙的局限性 防火墙可以阻止基于IP 包头的攻击和非信任地址的访问，但无法阻止基于数据内容的黑客攻击和病毒入侵，同时也无法控制内部网络之间的攻击行为。 1.2.5 管理及其他问题 3分技术7分管理,网络安全技术及应用,第1章 网络安全概述,1.3 网络安全模型及保障体系 1.3.1 网络安全通用模型 1. 网络安全通用模型,网络安全技术及应用,第1章 网络安全概述,2. 网络访问安全模型 对非授权访问的安全机制可分为两类：第一类是网闸功能，包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击；第二类是内部的安全控制，一旦非授权用户或软件攻击得到访

10、问权，第二道防线将对其进行防御，包括各种内部控制的监控和分析，以检查入侵者。如图所示。,网络安全技术及应用,第1章 网络安全概述,1.3.2 网络信息安全保障体系 1. 网络信息安全保障关键因素 网络信息安全保障包括以下四个方面：信息安全策略、信息安全管理、信息安全运作和信息安全技术。 信息安全策略包括信息安全的战略和信息安全的政策和标准；而信息安全管理、信息安全运作和信息安全技术则是“企业、人与系统”的三元关系： 管理是企业管理行为，主要包括安全意识、组织结构和审计监督；运作是日常管理的行为（包括运作流程和对象管理）；技术是信息系统的行为（包括安全服务和安全基础设施）。,网络安全技术及应用,

11、第1章 网络安全概述,2. 网络信息安全保障总体框架 我国某金融机构的网络信息安全保障体系总体框架，如图所示。,网络安全技术及应用,第1章 网络安全概述,2. 网络信息安全保障总体框架 信息安全保障体系架构包括五个部分： (1)信息安全战略 (2)信息安全政策和标准 (3)信息安全管理 (4)信息安全运作 (5)信息安全技术,网络安全技术及应用,第1章 网络安全概述,1.3.3 网络安全关键技术 1. 网络安全关键技术主要包括： (1) 身份认证（Identity and Authentication Management） (2) 访问管理（Access Management） (3) 加密

12、（Cryptograghy） (4) 防恶意代码（Anti-Malicode） (5) 加固（Hardening） (6) 监控（Monitoring） (7) 审核跟踪（Audit Trail） (8) 备份恢复（Backup and Recovery）,网络安全技术及应用,第1章 网络安全概述,2. 网络安全关键技术的特点 网络安全技术的发展具有多维主动、综合性、智能化、全方位防御等特点。 (1)物理隔离 (2) 逻辑隔离 (3)防御网络攻击 (4)防御网络上的病毒 (5)身份认证 (6) 加密通信和虚拟专用网 (7) 入侵检测和主动防卫 (8)网管、审计和取证,网络安全技术及应用,第1章

13、 网络安全概述,1.4 保护网络信息安全法律法规 我国网络信息安全立法体系框架分为三个层面： 第一个层面：法律。主要指由全国人民代表大会及其常委会通过的法律规范。 第二个层面：行政法规。主要指国务院为执行宪法和法律而制定的法律规范。 第三个层面：地方性法规、规章、规范性档。主要指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范这些规范性档。,网络安全技术及应用,第1章 网络安全概述,1.5 安全技术评估标准和准则 1.5.1 国外网络安全评估标准 由美国国防部1

14、983年制定的5200.28安全标准可信计算系统评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），即网络安全橙皮书或桔皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。它将安全分为4 个方面：安全政策、可说明性、安全保障和文档。这4 个方面又分为7 个安全级别，从低到高依次为D1、C1、C2、B1、B2、B3和A1 级。,网络安全技术及应用,第1章 网络安全概述,安全级别分类：,网络安全技术及应用,第1章 网络安全概述,1.5.2 国内安全评估通用准则 我国计算机安全保护等级划分,网络安全技术及应用,第1章 网络安全概

15、述,1.6 网络安全设计与建设的原则和步骤 1.6.1 网络安全设计的原则 在进行网络系统安全方案设计、规划时，应遵循以下7项基本原则： (1) 综合性、整体性原则 (2) 需求、风险、代价平衡的原则 (3)一致性原则 (4)易操作性原则 (5) 分步实施原则 (6) 多重保护原则 (7) 可评价性原则,网络安全技术及应用,第1章 网络安全概述,1.6.2 网络安全建设的基本原则 网络建设需要确定具体合理的安全指标，以检验建设达到的安全级别。在具体实施时，应当根据不同的网络结构分别参照不同的国际条款，按照具体建设原则进行实现，才能保证网络安全。 (1)内部网的安全 (2) Internet接口安全 (3) Extranet接口的安全 (4) 移动用户接入内部网的安全 (5)数据库安全保护 (6)服务器安全保护 (7)客户端安全,网络安全技术及应用,第1章 网络安全概述,1.6.3 网络安全设计的步骤 根据信息安全标准和网络安全设计的原则,可以确定网络安全设计的5个步骤: (1) 明确安全需求，进行风险分析 (2) 选择并确定网络安全措施 (3) 方案实施 (4) 网络试验及运行 (5) 优化及改进,网络安全技术及应用,第1章 网络