网络与系统安全实验1.ppt

1、网络与系统安全实验概 述,一、要 求,目标： 理解信息安全的基本原理和技术; 了解一些最新研究成果; 掌握网络与信息安全的理论基础,具备研究与实践的基本能力。 方式：讲授+实验 考试：报告和作业,二、三个关键概念,1、计算机安全（Computer Security） 对于一个自动化的信息系统，采取保护措施确保信息系统资源（包括硬件、软件、固件、信息/数据和通信）的保密性、完整性、可用性。NIST计算机安全手册 2、网络安全（ Network Security ） 保护数据在传输中安全的方法 3、互联网安全（ Internet Security ） 保护数据安全通过互联网络的方法,三、网络安全的

2、核心需求,网络安全核心地位的三个关键目标 保密性（Confidentiality） 数据保密性 隐私性 完整性（Integrity）（含不可否认性、真实性） 数据完整性 系统完整性 可用性（Availability） 真实性（Authenticity） 可追朔性（Accountability）,四、OSI安全框架,1、安全攻击，security attack 任何危及系统信息安全的活动。 2、安全服务，security service 加强数据处理系统和信息传输的安全性的一种服务。目的在于利用一种或多种安全机制阻止安全攻击。 3、安全机制，security mechanism 用来保护系统免受

3、侦听、阻止安全攻击及恢复系统的机制。,1、安全攻击,攻击/威胁？ 攻击的类型 被动攻击 主动攻击,1、安全攻击-被动攻击,1、安全攻击-被动攻击,在未经用户同意和认可的情况下将信息泄露给系统攻击者，但不对数据信息做任何修改。 常见手段： 搭线监听； 无线截获； 其他截获。 不易被发现。 重点在于预防 ，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。,1、安全攻击主动攻击,1、安全攻击主动攻击,涉及某些数据流的篡改或虚假流的产生。 通常分为： 假冒； 重放； 篡改消息； 拒绝服务。 能够检测出来。 不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。,2、

4、安全机制（X.800）,特定的安全机制（specific security mechanisms）: 加密， 数字签名， 访问控制，数据完整性， 认证交换，流量填充，路由控制，公证等 普遍的安全机制（pervasive security mechanisms）: 可信功能，安全标签，事件检测， 安全审计跟踪，安全恢复等,3、安全服务 ( X.800 ),可认证性 - assurance that the communicating entity is the one claimed 访问控制 - prevention of the unauthorized use of a resource

5、机密性 - Confidentiality-protection of data from unauthorized disclosure 完整性 - Integrity- assurance that data received is as sent by an authorized entity 不可否认性- Non-repudiation- protection against denial by one of the parties in a communication 可用性 - availability,五、网络安全模型,五、网络安全模型,设计安全服务应包含四个方面内容： 设计执行

6、安全相关传输的算法 产生算法所使用的秘密信息 设计分配和共享秘密信息的方法 指明通信双方使用的协议，该协议利用安全算法和秘密信息实现安全服务,六、国外网络安全标准（1）,美国国防部TCSEC可信计算机系统标准评估准则(桔皮书)。 该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A1级： A1级：验证设计级； B3级：安全域级 B2级：结构化保护级 B1级：标记安全保护级 完全可信网络安全（B1、B

7、2、B3）； C2级：受控存取保护级； C1级：自主安全保护剂 D级：不可信网络安全。 问题：以保密和单点机为主。,六、国外网络安全标准（2）,欧洲ITSEC 与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。,六、国外网络安全标准（3）,加拿大CTCPEC 该

8、标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。 美国联邦准则(FC) 该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。,六、国外网络安全标准（4）,信息技术安全评价通用准则(CC) CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分

9、为11类 63族,将保障分为7类 29族。 99.7通过国际标准化组织认可,为ISO/IEC 15408信息技术安全评估准则。,七、安全产品类型,八、教材和参考书,教材 1、网络安全实验教程（2版），刘建伟，张卫东，清华大学出版社 2、计算机系统安全实验教程，陈波，于泠等，机械工业出版社，2009年2月. 3、密码编码学与网络安全原理与实践(第三版)， William Stallings美著. 刘玉 珍,王丽娜,傅建明等译，电子工业出版社，2004. 参考书 1、马建峰，马卓著，Security access in wireless local area networks， Springer,

10、 2009. 2、王育民，刘建伟编著，通信网的安全理论与技术，西安电子科技出版社3、胡道元、闵京华编著，网络安全（第一版），清华大学出版社. 4、 阙喜戎，孙锐等编著，信息安全原理及应用，清华大学出版. 5、 刘建伟，王育民编著，网络安全技术与实践（2版），清华大学出版社 6、 曹天杰，张永平等编著，计算机系统安全，高等教育出版社。 7、 张波云，鄢喜爱等编著，操作系统安全，人民邮电出版社. 8、 卿斯汉,等编著，操作系统安全（第2版），清华大学出版社. 9. 杨国富，等编著，网络操作系统安全，清华大学出版社.,实验一 网络设备配置与使用,目 录,一、实验目的 二、实验原理 三、实验环境 四、

11、实验内容 五、实验报告,一、实验目的,了解网络信息安全环境的软硬件系统 了解网络综合布线 了解网络互连设备 掌握网络设备的配置与使用,二、实验原理,（一）网络信息安全环境的软硬件系统 1. 硬件系统 防火墙 网络入侵检测系统（NIDS） 虚拟专用网络（VPN） 物理隔离网卡 路由器 交换机 集线器,二、实验原理,（一）网络信息安全环境的软硬件系统 2. 软件系统 脆弱性扫描系统 病毒防护系统 身份认证系统 网络攻防软件 主机入侵检测软件 因特网非法外联监控软件,二、实验原理,二、实验原理,二、实验原理,（二）网络综合布线,二、实验原理,（三）网络互连设备 1. 路由器 工作在OSI的第三层 网

12、络互连与路由选择 根据IP地址转发数据 实质上是一台微型计算机 CPU OS RAM ROM,二、实验原理,（三）网络互连设备 2. 交换机 工作在OSI的第二层 三层交换机 主机互连 根据MAC地址转发数据 组成 高速背板 交换引擎（矩阵） 接口模板,三、实验环境,PC机或笔记本 路由器 交换机 网线,四、实验内容,（一）路由器配置 1. 观察和记录给定型号路由器的端口 2. 使用线缆正确连接路由器和PC 3. 配置路由器 路由器配置思路：配置之前，需要将组网需求具体化、详细化，包括组网目的、路由器在互联网中的角色、子网的划分、广域网类型和传输介质的选择、网络安全策略和网络可靠性需求等，然后根据以上要素绘出一个清晰完整的组网图。 4. 多路由器连接,四、实验内容,（二）NAT的配置 1. NAT (Network Address Translation) 2. 内部网络地址与外部网络地址 3.