1 / 43

第 1 章 网络安全概述

第 1 章 网络安全概述. 上海市教育高地建设项目 高等院校规划教材. 上海市精品课程 网络安全技术. 网络安全技术与实践. 主编贾铁军 副主编嵩天 俞小怡 苏庆刚 沈学东 编著 罗宜元 王福 陈国秦 宋少婷. 目 录. 3. 7. 2. 4. 6. 1. 5. 1.2 网络安全的威胁 及隐患. * 1.5 物理安全与隔离技术. * 1.6 构建虚拟局域网实验. 1.4 网络安全技术研究现状及趋势. 1.1 网络安全的概念及内容. * 1.7 本章小结. 1.3 网络安全技术概述. 上海市精品课程 网络安全技术.

sharvani-amir
Download Presentation

第 1 章 网络安全概述

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第1章 网络安全概述 上海市教育高地建设项目 高等院校规划教材 上海市精品课程 网络安全技术 网络安全技术与实践 主编贾铁军 副主编嵩天 俞小怡 苏庆刚 沈学东 编著 罗宜元 王福 陈国秦 宋少婷

  2. 目 录 3 7 2 4 6 1 5 1.2 网络安全的威胁及隐患 *1.5 物理安全与隔离技术 *1.6 构建虚拟局域网实验 1.4 网络安全技术研究现状及趋势 1.1 网络安全的概念及内容 *1.7 本章小结 1.3 网络安全技术概述 上海市精品课程 网络安全技术

  3. 教 学 目 标 上海市精品课程 网络安全技术 教学目标 ● 掌握网络安全的概念、目标和内容 ● 理解网络安全面临的威胁及脆弱性 ● 掌握网络安全技术概念、种类和模型 ● 理解网络安全研究现状与趋势 ● 了解物理(实体安全)与隔离技术 ● 了解构建虚拟局域网VLAN方法 重点 重点

  4. 1.1网络安全概念及内容 1.1.1 网络安全的概念及目标 案例1-1 全球重大数据泄露事件频发,针对性攻击持续增多。 根据赛门铁克2013年10月的《安全分析报告》,发现全球近几年最严重的一起重大数据泄露事件,已造成1.5亿用户的个人资料被泄露,到目前为止所知的数据泄露事件中,被泄露最多的信息为用户的真实姓名、证件账号(如社会保险卡卡号)和出生日期等重要信息,而且各种有针对性的攻击也持续增多。 • 1. 信息安全与网络安全的概念 • 国际标准化组织(ISO)对信息安全定义是:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。

  5. 1.1网络安全概念及内容 1.1.1 网络安全的概念及目标 我国《计算机信息系统安全保护条例》将信息安全定义为:计算机信息系统的安全保护,应当保障计算机及其相关的配套设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统安全运行。主要防止信息被非授权泄露、更改、破坏或使信息被非法的系统辨识与控制,确保信息的完整性、保密性、可用性和可控性。主要涉及物理(实体)安全、运行(系统)安全与信息(数据)安全三个层面,如图1-1所示。 图1-1 一种信息安全的层次模型

  6. 1.1网络安全概念及内容 1.1.1 网络安全的概念及目标 计算机网络安全(Computer Network Security)简称网络安全,是指利用计算机网络技术、管理、控制和措施,保证网络系统及数据(信息)的保密性、完整性、网络服务可用性、可控性和可审查性受到保护。即保证网络系统的硬件、软件及系统中的数据资源得到完整、准确、连续运行与服务不受干扰破坏和非授权使用。狭义上,网络安全是指计算机及其网络系统资源和数据(信息)资源不受有害因素的威胁和危害。广义上,凡是涉及到计算机网络信息安全属性特征(保密性、完整性、可用性、可控性、可审查性)的相关知识、技术、管理、理论和方法等,都是网络安全的研究领域。

  7. 1.1网络安全概念及内容 1.1.1 网络安全的概念及目标 2. 网络安全的目标及特征 网络安全问题包括两方面的内容,一是网络的系统安全,二是网络的信息(数据)安全,而网络安全的最终目标和关键是保护网络的信息(数据)安全。 网络安全的目标是指计算机网络在信息的采集、存储、处理与传输的整个过程中,根据安全需求,达到相应的物理上及逻辑上的安全防护、监控、反应恢复和对抗的能力。网络安全的最终目标就是通过各种技术与管理手段,实现网络信息系统的保密性、完整性、可用性、可控性和可审查性。其中保密性、完整性、可用性是网络安全的基本要求。网络信息安全5大要素, 反映了网络安全的特征和目标要求,如图1-2所示。 (1)保密性 (2)完整性 (3)可用性 (4)可控性 (5)可审查性 图1-2 网络安全特征及目标

  8. 1.1网络安全概念及内容 1.网络安全涉及的主要内容 从网络安全技术及应用相关的内容方面,网络安全涉及的内容包括:操作系统安全、数据库安全、网络站点安全、病毒与防护、访问控制、加密与鉴别等几个方面,具体内容将在以后分别进行具体详实的介绍。从层次结构上,也可以将网络安全所涉及的内容概括为:物理安全、运行安全、系统安全、应用安全和管理安全五个方面。 (1)物理安全 (2)运行安全 (3)系统安全 (4)应用安全 (5)管理安全 1.1.2 网络安全涉及的内容及侧重点 网络安全所涉及的内容

  9. 1.1网络安全概念及内容 1.1.2 网络安全涉及的内容及侧重点 从体系结构方面,网络信息安全的主要内容及其相互关系,如图1-4所示。 从网络安全攻防体系方面,可以将网络安全研究的主要内容概括成两个体系:攻击技术和防御技术。该体系研究内容以后将陆续介绍,如图1-5所示。 图1-4 网络信息安全的内容及关系 图1-5网络安全攻防体系

  10. 1.1网络安全概念及内容 1.1.2 网络安全涉及的内容及侧重点 2.网络安全保护范畴及重点 实际上,网络安全涉及的内容对不同人员、机构或部门各有侧重点: (1)网络安全研究人员 (2)网络安全工程师 (3)网络安全评估人员 (4)网络安全管理员或主管 (5)安全保密监察人员 (6)军事国防相关人员 讨论思考 (1)什么是信息安全?网络安全?网络安全目标是什么? (2)网络安全所研究的主要内容是什么? (3)网络安全与信息安全相关内容及其关系如何?

  11. 1.2 网络安全的威胁及隐患 1.2.1 国内外网络安全的现状 案例1-2 我国网络遭受攻击近况。据国家互联网应急中心CNCERT监测和国家信息安全漏洞共享平台CNVD发布的数据,2014年2月10日至16日一周境内被篡改网站数量为8965个,比上周增长79.7%;境内被植入后门的网站数量为1168个;针对境内网站的仿冒页面数量为181个。其中,政府网站被篡改418个、植入后门的35个。感染网络病毒的主机数量约为69万个,新增信息安全漏洞280个。 另据国家互联网应急中心(CNCERT)的数据显示,中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现,2013年1月1日至2月28日,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机;其中位于美国的2194台控制服务器控制了中国境内128.7万台主机,无论是按照控制服务器数量还是按照控制中国主机数量排名,美国都名列第一

  12. 1.2 网络安全的威胁及隐患 1.2.1 国内外网络安全的现状 国内外网络安全威胁的现状及主要因由,主要涉及以下5个方面: (1)法律法规和管理不完善 (2)企业和政府的侧重点不一致 (3)网络安全规范和标准不统一 (4)网络安全技术和手段滞后 (5)网络安全风险和隐患增强 注意:计算机病毒防范技术、网络防火墙技术和入侵检测技术,常被称为网络安全技术的三大主流。

  13. 1.2 网络安全的威胁及隐患 1.2.2 网络安全威胁类型及途径 表1-1 网络安全的主要威胁种类

  14. 1.2 网络安全的威胁及隐患 1.2.2 网络安全威胁类型及途径 网络主要应用包括:电子商务、网上银行、股票证券、网游、下载软件或流媒体等都存在大量安全隐患。一是这些网络应用本身的安全性问题,开发商都将研发的产品发展成更开放更广泛的支付/交易营销平台、网络交流社区,用户名、账号和密码等信息成为黑客的主要目标;二是网络应用也成为黑客攻击、病毒传播等主要威胁及途径。如图1-6所示。 图1-6 网络安全主要威胁及途径

  15. 1.2 网络安全的威胁及隐患 (1)网络系统面临的安全隐患 计算机网络面临的隐患及风险主要包括7个方面: ① 系统漏洞及复杂性。 ② 网络共享性。 ③ 网络开放性。 ④ 身份认证难。 ⑤ 传输路径与结点不安全。 ⑥ 信息聚集度高。 ⑦ 边界难确定。 (2)网络服务协议的安全风险 1.2.3 网络安全隐患及风险 1. 网络系统安全隐患及风险

  16. 1.2 网络安全的威胁及隐患 (1)体系结构的漏洞 (2)创建进程的隐患 (3)服务及设置风险 (4)配置和初始化错误 3.网络数据库的安全风险 4.防火墙的局限性 5.网络安全管理及其他问题 实际上,网络安全是一项系统工程,需要各方面协同管理。 1.2.3 网络安全隐患及风险 2.操作系统的漏洞及隐患

  17. 1.2 网络安全的威胁及隐患 案例1-3 中国网络安全问题非常突出.随着互联网技术和应用的快速发展,中国大陆地区互联网用户数量急剧增加。据估计,到2020年,全球网络用户将上升至50亿户,移动用户将上升100亿户。我国2013年互联网用户数已达到6.48亿,移动互联网用户数达到4.61亿。网民规模、宽带网民数、国家顶级域名注册量三项指标仍居世界第一,互联网普及率稳步提升。然而各种操作系统及应用程序的漏洞不断出现,相比西方发达国家,我国网络安全技术、互联网用户安全防范能力和意识较为薄弱,极易成为境内外黑客攻击利用的主要目标。 1.2.4 网络安全威胁的发展态势

  18. 1.2 网络安全的威胁及隐患 1.2.4 网络安全威胁的发展态势 讨论思考 (1)什么说计算机网络存在着的安全漏洞和隐患? (2)计算机网络安全面临的主要威胁类型和途径有哪些? (3)网络安全威胁的发展趋势是什么? 2014年网络安全与管理趋势的十大预测,包括10个方面: ①随着社交媒体和移动终端持续升温,大数据冲击时代即将到来. ②随着混合云模式、大宗商品化软硬定义的数据中心(SDDC)等趋势日益深入,未来的数据中心将发生根本性的变革。 ③“物联网”时代带来新挑战。 ④“分布式数据”将对消费者带来困扰。 ⑤针对企业的应用程序商店将得到普及。 ⑥人们将过分依赖和相信网络应用程序。 ⑦身份认证将成为主流。 ⑧网络欺诈者、数据窃取者和网络罪犯将关注社交网络。 ⑨3D打印技术将为网络犯罪提供新可能。 ⑩采取更积极的举措保护私人信息。

  19. 1.3 网络安全技术概述 网络安全技术(Network Security Technology)是指计算机网络系统及其在数据采集、存储、处理和传输过程中,保障网络信息安全属性特征(保密性、完整性、可用性、可控性、可审查性)的各种相关技术和措施。狭义上是指保障网络系统及数据在采集、存储、处理和传输过程中的安全(最终目标和关键是保护网络的数据安全),采取的各种技术手段、机制、策略和措施等。广义上是指保护网络安全的各种技术手段、机制、策略和措施等。 1.3.1 网络安全技术概述 1.网络安全技术相关概念

  20. 1.3 网络安全的概念及内容 案例1-4 网络安全技术分类。某银行以网络安全业务价值链的概念,将网络安全技术分为预防保护类、检测跟踪类和响应恢复类等三大类,如图1-7所示。 图1-7 常用网络安全关键技术 2. 常用网络安全技术种类

  21. 1.3 网络安全的概念及内容 1.3.2 网络安全常用模型 网络安全通用模型如图1-8所示,不足是并非所有情况都通用。 图1-8 网络安全通用模型 1. 网络安全通用模型

  22. 1.3 网络安全的概念及内容 图1-9 网络安全PDRR模型 1.3.2 网络安全常用模型 2.网络安全PDRR模型 常用的描述网络安全整个过程和环节的网络安全模型为PDRR模型:防护(Protection)、检测(Detection)、响应(Reaction)和恢复(Recovery),如图1-9所示

  23. 1.3 网络安全的概念及内容 1.3.2 网络安全常用模型 2.网络安全PDRR模型 在此模型的基础上,以“检查准备、防护加固、检测发现、 快速反映、确保恢复、反省改进”的原则,经过改进得到另一个网络系统安全生命周期模型—— IPDRRR Inspection, Protection,Detection,Reaction, Recovery,Reflection)模型,如图1-10所示。 图1-10系统安全生命周期模型

  24. 1.3 网络安全的概念及内容 1.3.2 网络安全常用模型 3. 网络访问安全模型 黑客攻击威胁:一是访问威胁,二是服务威胁。对非授权访问的安全机制可分为两类:一是网闸功能,二是内部的安全控制,若非授权用户得到访问权,第二道防线将对其进行防御,包括各种内部监控和分析,以检查入侵者。如图1-8所示。 图1-8 网络访问安全模型

  25. 1.3 网络安全的概念及内容 网络安全的关键是预防,“防患于未然”是最好的保障, 同时做好内网与外网的隔离保护。可以通过如图1-9所示 的网络安全防御模型构建的系统保护内网。 图1-9 网络安全防御模型 讨论思考 (1)什么是网络安全技术? (2)常用网络安全技术有哪些种类?请举例说明? (3)网络安全模型的作用是什么?主要介绍那几个模型? 4.网络安全防御模型

  26. 1.4 网络安全技术研究现状及趋势 1.4.1 国内外网络安全技术研究现状 1.国外网络安全技术的现状 (1)构建完善网络安全保障体系 (2)优化安全智能防御技术 (3)强化云安全信息关联分析 (4)加强安全产品测评技术 (5)提高网络生存(抗毁)技术 (6)优化应急响应技术 (7)新密码技术的研究

  27. 1.4 网络安全技术研究现状及趋势 1.4.1 国内外网络安全技术研究现状 2. 我国网络安全技术方面的差距 (1)安全意识差,忽视风险分析 (2)急需自主研发的关键技术 (3)安全检测防御薄弱 (4)安全测试与评估不完善 (5)应急响应能力欠缺 (6)强化系统恢复技术不足

  28. 1.4 网络安全技术研究现状及趋势 1.4.2 网络安全技术的发展态势 网络安全的发展态势主要体现在以下几个方面: (1)网络安全技术水平不断提高 (2)安全管理技术高度集成 (3)新型网络安全平台 (4)高水平的服务和人才 (5)特殊专用安全工具 案例1-6 国际互联网安全联盟DMARC.由于全球知名互联网公司多次出现网站被黑、域名被更改及诈骗性邮件等网络安全问题,在2012年由谷歌、微软、雅虎、网易等15家组建成立,仅1年多时间就使约19.76亿的电子邮箱用户受益,约为全球33亿电子邮箱用户中2/3,每月拦截上亿封诈骗性邮件。2013年中国互联网安全联盟成立.由网易、百度、腾讯、新浪、微软、阿里巴巴集团及支付宝七家企业依照相关法律、法规,在平等互利、共同发展、优势互补、求同存异的原则下共同发起组建,制定了《互联网企业安全漏洞披露与处理公约》.其中,拥有超过5.3亿邮箱用户的网易公司,已经取得了重大成果. 讨论思考 (1) 国外网络安全先进性主要体系在哪方面? (2) 我国网络安全存在的主要差距? (3) 网络安全发展趋势体现在哪几个方面?

  29. *1.5 物理安全与隔离技术 1.5.1 物理安全的概念及内容 (1) 物理安全。也称实体安全,指保护计算机网络设备、设施及其他媒介免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施及过程。主要是对计算机及网络系统的环境、场地、设备和人员等方面,采取的各种安全技术和措施。 物理安全是整个计算机网络系统安全的重要基础和保障。 1. 物理安全的概念

  30. *1.5 物理安全与隔离技术 1.5.1 物理安全的概念及内容 物理安全的内容主要包括环境安全、设备安全和媒体安全三个方面,主要指五项防护,简称5防:防盗、防火、防静电、防雷击、防电磁泄漏。特别是,应当加强对重点数据中心、机房、服务器、网络及其相关设备和媒体等物理安全的防护。 2. 物理安全的内容及措施

  31. *1.5 物理安全与隔离技术 1. 媒体及其数据的安全保护 媒体及其数据安全保护, 是指对媒体数据和媒体本身的安全保护。 (1)媒体安全   主要指对媒体及其数据的安全保管,目的是保护存储在媒体上重要资料。安全措施:媒体的防盗与防毁,防毁指防霉和防砸及其他可能的破坏。 (2)媒体数据安全 媒体数据安全主要指对媒体数据的保护。为了防止被删除或被销毁的敏感数据被他人恢复,必须对媒体机密数据进行安全删除或安全销毁。   保护媒体数据安全的措施主要有三个方面: ①媒体数据的防盗,如防止媒体数据被非法拷贝; ②媒体数据的销毁,包括媒体的物理销毁(如媒体粉碎等)和媒体数据的彻底销毁(如消磁等),防止媒体数据删除或销毁后被他人恢复而泄露信息; ③媒体数据的防毁,防止意外或故意的破坏使媒体数据的丢失。 1.5.2 媒体安全与物理隔离技术

  32. *1.5 物理安全与隔离技术 2. 物理隔离技术 物理隔离技术是在原有安全技术的基础上发展起来的一种安全防护技术。物理隔离技术的目的是通过将威胁和攻击进行隔离,在可信网络之外 和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。 1) 物理隔离的安全要求 2) 物理隔离技术的三个阶段 物理隔离的技术手段及优缺点和典型产品,如表1-2所示。 3) 物理隔离的性能要求 1.5.2 媒体安全与物理隔离技术

  33. *1.5 物理安全与隔离技术 表1-2 物理隔离主要技术手段 讨论思考 (1)物理安全的内容主要包括哪些? (2)物理隔离技术手段主要有哪些?

  34. *1.6 构建虚拟局域网实验 虚拟局域网(Virtual Local Area Network, VLAN)是一种将局域网设备从逻辑上划分成多个网段,从而实现虚拟工作组的数据交换技术。主要应用于交换机和路由器。 • 1.6.1 实验目的 (1)为网络安全试验做准备。 (2)网络安全实验可能对系统具有一定破坏性,虚拟局域网可以保护物理主机和网络的安全。 (3)利用 VMware Workstation 8.0 for Windows 虚拟机安装Windows8,可以实现在一台机器上同时运行多个操作系统,以及一些其他操作功能。

  35. *1.6 构建虚拟局域网实验 1.6.2实验要求及方法 • 1.实验要求 • (1) 预习准备 • (2) 注意事项及特别提醒 • (3) 注意实验步骤和要点 • 实验用时:2学时(90–120分钟) • 2.实验方法 • 构建虚拟局域网VLAN具有多种方法。可在Windows Server 2012运行环境下,安装虚拟机软件,即可建立虚拟机,也可以利用Windows自带的连接设置方法,通过“网上邻居”建立。

  36. 1.6 构建虚拟局域网实验 • 1.6.3 实验内容及步骤 • 利用VMware 8虚拟机安装Windows 8,并可建立VLAN。 • (1)安装VMware 8虚拟机。安装虚拟机界面,如图1-13及图1-14所示。 图1-13 VMware 8虚拟机安装界面 图1-14选择新建虚拟机等界面

  37. 1.6 构建虚拟局域网实验 图1-15 选择第三个设置 图1-16 选择Windows界面 1.6.3 实验内容及步骤 (2)使用VMware安装Windows8,开始创建一个新虚拟机。并选择默认安装。 (3)选择第三个设置,稍后再进行配置。然后,选择Windows。分别如图1-15及图1-16所示。

  38. 1.6 构建虚拟局域网实验 图1-17 设置虚拟机名称和安装位置 图1-18 设置虚拟机的处理器 1.6.3 实验内容及步骤 (4)设置虚拟机名称和安装位置。并设置虚拟机的处理器。分别如图1-17及图1-18所示。

  39. 1.6 构建虚拟局域网实验 图1-19 设置虚拟机内存 图1-20 配置虚拟机中的网络连接 1.6.3 实验内容及步骤 (5)设置虚拟机内存,对于2G或4G内存,建议设置为1024MB如图1-19所示。虚拟机中的网络连接配置,如图1-20所示。

  40. 1.6 构建虚拟局域网实验 图1-21 选择I/O控制器类型 图1-22 新建一个虚拟硬盘 1.6.3 实验内容及步骤 (6)选择I / O 控制器类型为“默认”,如图1-21所示。

  41. 1.6 构建虚拟局域网实验 图1-23 选择加载Win8 ISO镜像 图1-24 在设置中移去软盘 1.6.3 实验内容及步骤 (7) 加载Win8 ISO镜像及相关设置。

  42. 1.7 本章小结 本章小结 • 本章主要介绍了网络安全基本概念、网络安全技术和管理技术等基本概念、网络安全的目标及主要内容。结合案例介绍了计算机网络面临的威胁、类型及途径,以及网络安全威胁的发展的主要态势,并对产生网络安全的风险及隐患的系统问题、操作系统漏洞、网络数据库问题、防火墙局限性、管理和其他各种因素进行了概要分析.应理解学习网络安全的目的、重要现实意义和必要性。 • 网络安全的最终目标和关键是保护网络的信息资源安全,做好预防“防患于未然”是确保网络安全的最好举措。世上并无绝对的安全,网络安全是个系统工程,需要多方面互相配合、综合防范。 • 本章还概要地介绍了常用的网络安全关键技术(身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复)和网络安全模型。并概述了国内外网络安全建设与发展的现状,可以正视国际领先技术和国内存在的一些差距,以及网络安全技术的发展趋势。最后,简明扼要地概述了物理安全的概念、内容、媒体安全与物理隔离技术,以及网络安全实验前期准备所需的构建虚拟网的过程和主要方法等。

  43. 诚挚谢意!

More Related