660 likes | 842 Views
第 6 章 网络安全. 主 要 内 容. 第一节 网络安全概述 第二节 威胁网络安全的因素 第三节 网络遭受攻击的形式 第四节 网络安全防范措施 第五节 网络安全解决方案 第六节 防火墙实用技术 第七节 MS Proxy Server 的安全 第八节 Windows NT 中的 Web 安全. 第一节 网络安全概述. 主 要 内 容. 网络安全的含义 网络安全的标准 网络安全的特征 网络安全的结构层次 主要的网络安全威胁. 6.1.1 网络安全的含义.
E N D
主 要 内 容 • 第一节 网络安全概述 • 第二节 威胁网络安全的因素 • 第三节 网络遭受攻击的形式 • 第四节 网络安全防范措施 • 第五节 网络安全解决方案 • 第六节 防火墙实用技术 • 第七节 MS Proxy Server的安全 • 第八节 Windows NT中的Web安全
主 要 内 容 • 网络安全的含义 • 网络安全的标准 • 网络安全的特征 • 网络安全的结构层次 • 主要的网络安全威胁
6.1.1 网络安全的含义 网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。简单来讲,网络安全可包括如下三个部分: l 系统不被侵入。 l 数据不丢失。 l 网络中的计算机不被病毒感染。
6.1.2 网络安全的标准 1.运行系统安全 2.网络上系统信息的安全 3.网络上信息传播的安全 4.网络上信息内容的安全
6.1.3 网络安全的特征 网络安全应具有以下四个方面的特征: l保密性 l完整性 l可用性 l可控性
6.1.4 网络安全的结构层次 网络的安全层次分为物理安全、控制安全、服务安全和协议安全。 1.物理安全 l自然灾害、物理损坏、设备故障、意外事故等。 l电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入、痕迹泄露。 l操作失误、意外疏漏。 l计算机系统机房环境的安全漏洞。
6.1.4 网络安全的结构层次 2.控制安全 l计算机操作系统的安全控制 主要用于保护存储在硬盘上的信息和数据。 l网络接口模块的安全控制 在网络环境下对来自其他机器的网络通信进程进行安全控制。 l网络互联设备的安全控制 对整个子网内所有主机的传输信息和运行状态进行安全监测和控制。
6.1.4 网络安全的结构层次 3.服务安全 服务安全包括:对等实体认证服务、访问控制服务、数据加密服务、数据完整性服务、数据源点认证服务、禁止否认服务等。
6.1.4 网络安全的结构层次 4.TCP/IP协议安全 TCP/IP协议安全主要用于解决下列问题: lTCP/IP协议数据流采用明文传输。 l源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。 l源路由选择欺骗(Source Routing spoofing)。 l路由信息协议攻击(RIP Attacks)。 l鉴别攻击(Authentication Attacks)。 lTCP序列号欺骗攻击(TCP SYN Flooding Attack ),简称SYN攻击。 l易欺骗性(Ease of spoofing)。
6.1.5 主要的网络安全威胁 1.网络安全威胁的表现形式 l自然灾害、意外事故。 l计算机犯罪。 l人为行为,例如使用不当,安全意识差等。 l“黑客”行为,由于黑客的入侵或侵扰。 l内部泄密。 l外部泄密。 l信息丢失。 l电子谍报,例如信息流量分析、信息窃取等。 l信息战。 l网络协议中的缺陷。
l 假冒合法用户 l非授权访问 l干扰系统的正常运行 l破坏数据完整 l传播病毒 l窃听 l重传 l伪造 l篡改 l服务封锁攻击 l行为否认 6.1.5 主要的网络安全威胁 2.网络安全威胁的特征
主 要 内 容 • 内部因素 • 各种外部威胁 • 病毒简介
6.2.1 内部因素 1.操作系统的脆弱性 2.计算机系统的脆弱性 3.协议安全的脆弱性 4.数据库管理系统安全的脆弱性 5.人为因素
6.2.2 各种外部威胁 1.物理威胁 2.网络威胁 (1)网络连接 (2)网络媒介 3.身份鉴别 4.病毒感染 5.系统漏洞
病毒简介 病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。多数病毒程序都有如下共同的组成部分: 复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。 (1)病毒的分类 文件病毒、引导病毒、混合型病毒、异形病毒 、宏病毒 (2)病毒的传播方式 病毒一旦进入系统以后,通常用以下两种方式传播: l通过磁盘的关键区域:主要感染工作站。 l通过可执行文件:主要感染服务器。 (3)病毒的工作方式 变异 、触发 、破坏
病毒简介 (6)网络病毒的特点 传染方式多 、传染速度快 、清除难度大 、破坏性强 、激发形式多样 、潜在性 (7)常见的网络病毒 电子邮件病毒 、Java程序病毒 、ActiveX病毒 、网页病毒 (8)网络对病毒的敏感性 对文件病毒的敏感性 、对引导病毒的敏感性 、对宏病毒的敏感性
病毒简介 (9)网络计算机病毒的防治 第一,加强网络管理人员的网络安全意识,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件; 第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。 (10)防毒、杀毒软件的选择 选购防毒软件,需要注意的指标包括:扫描速度、正确识别率、误报率、技术支持水平、升级的难易程度、可管理性和警示手段等
主 要 内 容 • 服务封锁攻击 • 电子邮件攻击 • 缓冲区溢出攻击 • 网络监听攻击 • 黑客技术
6.3.1 服务封锁攻击 • 服务封锁攻击是指一个用户占有大量的共享资源,使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源的可用性,这些资源可以是CPU时间、磁盘空间、MODEM、打印机,甚至是系统管理员的时间。 • 服务封锁攻击是针对IP的核心进行的。 • 服务封锁攻击的方式很多
6.3.2 电子邮件攻击 现在的电子邮件攻击主要表现如下形式: l窃取、篡改数据 l伪造邮件 l服务封锁 l病毒
6.3.3 缓冲区溢出攻击 缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会引发缓冲区溢出。 攻击者可以设置一个超过限缓冲区长度的字符串,然后植入缓冲区,向一个空间有限的缓冲区植入超长字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重时可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级权限
6.3.4 网络监听攻击 在网络中,当信息进行传播的时候,可以利用 某种工具,将网络接口设置在监听的模式,从而截获网络中正在传播的信息,然后进行攻击。
6.3.5 黑客技术 黑客(Hacker)一般是指计算机网络的非法入侵者。 1.黑客的攻击步骤 信息收集,对系统的安全弱点进行探测与分析,实施攻击。 2.黑客的手法 (1)口令的猜测或获取:字典攻击 、假登录程序 、密码探测程序 、修改系统。 (2)IP欺骗与窥探 (3)扫描 (4)缓冲区溢出
6.3.5 黑客技术 3.防黑客技术 (1)防字典攻击和口令保护 (2)预防窥探 (3)防止IP欺骗 (4)建立完善的访问控制策略 (5)信息加密 (6)其他安全防护措施
6.3.5 黑客技术 4.黑客攻击的处理对策 (1)发现黑客 (2)处理原则 (3)发现黑客后的处理对策 l不理睬。 l使用write或者talk工具询问他们究竟想要做什么。 l跟踪这个连接,找到入侵者的来路和身份 l管理员可以使用一些工具来监视入侵者。 l杀死这个进程来切断入侵者与系统的连接。拔下调制解调器或网线,或者关闭服务器。 l找出安全漏洞并修补漏洞,再恢复系统。 l最后,记录下整个事件的发生发展过程,归档保存,并从中吸取经验教训。
主 要 内 容 • 保护策略 • 专用网络的保护 • 个人计算机系统的保护 • 上网防范措施
6.4.1 保护策略 1.用备份和镜像技术提高数据可靠性 2.创建安全的网络环境 3.数据加密 4.防治病毒 5.安装补丁程序 6.仔细阅读日志 7.提防虚假的安全 8.构筑防火墙
6.4.2 专用网络的保护 1.窃听与监视 2.身份鉴别 3.局域网的漏洞 4.过分复杂的安全配置 5.管理失误是最严重的问题
6.4.3 个人计算机系统的保护 1.防备来自网络的病毒 2.不运行来历不明的软件 3.加强计算机密码管理
6.4.4 上网防范措施 1.设置警告提示 2.使用多种浏览器软件 3.及时进行软件升级 4.手工修改注册表 5.使用病毒检测防护软件
主 要 内 容 • 网络信息安全模型 • 安全策略设计依据 • 网络安全解决方案 • 网络安全技术措施 • 网络安全的评估
6.5.1 网络信息安全模型 1.政策、法律、法规 2.增强的用户认证 3.授权 4.加密 5.审计与监控
6.5.2 安全策略设计依据 制订网络安全策略时应考虑如下因素: l 对于内部用户和外部用户分别提供哪些服务程序。 l初始投资额和后续投资额(新的硬件、软件及工作人员)。 l方便程度和服务效率的平衡。 l复杂程度和安全等级的平衡。 l网络性能。
6.5.3 网络安全解决方案 1.信息包筛选 2.应用网关 3.加密与确认
6.5.4 网络安全技术措施 (1)物理层的安全防护:主要通过制定物理层的管理规范和措施来提供安全解决方案。 (2)链路层的安全防护:主要是利用链路加密措施对数据进行加密保护。它加密所有用户数据并在目的结点完成解密。 (3)网络层的安全防护:网络层主要采用防火墙作为安全防护手段,实现初级安全防护。也可以根据一些安全协议实施加密保护。还可进行入侵检测。 (4)传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层应支持对等实体认证服务、 访问控制服务、 数据保密服务、 数据完整性服务、 数据源点认证服务。 (5)应用层的安全防护:可以实施强大的基于用户的身份认证,还可加强数据的备份和恢复环节。
6.5.4 网络安全技术措施 在实际的安全设计中,往往综合采用下列技术措施: 1.身份验证 2.访问授权(Authorization) 3.实时侵入检测技术 4.网络分段 5.选择集线器 6.VLAN技术 7.VPN技术 8.防火墙技术
6.5.5 网络安全的评估 网络系统的安全措施应实现如下目标: l对存取的控制; l保持系统和数据的完整; l能够对系统进行恢复和对数据进行备份。
主 要 内 容 • 防火墙技术概述 • 防火墙的类型 • 防火墙的配置
6.6.1 防火墙技术概述 1.防火墙的组成部分 包过滤器、链路级网关和应用级网关或代理服务器。 典型的防火墙如图所示。
6.6.1 防火墙技术概述 2.防火墙的作用 弥补网络服务的脆弱性、 控制对网络的存取、集中的安全管理、 网络使用情况的记录及统计 3.防火墙的局限性 绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。 4.基本防火墙壁设计 在设计防火墙时必须确定:防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。 防火墙有两种相反的行为准则: 拒绝没有特别允许的任何服务 l 允许没有特别拒绝的任何服务
6.6.2 防火墙的类型 1.包过滤防火墙 如图所示 :
6.6.2 防火墙的类型 2.代理防火墙 由代理服务器和过滤路由器组成,它将过滤器和软件代理技术结合在一起。 3.双宿主机防火墙 该防火墙是用主机来执行安全管制功能。一台双宿主机配置有多个网卡,分别连接不同的网络。
6.6.3 防火墙的配置 1.包过滤路由器 2.双宿主网关 双宿主网关仅用一个代理服务器(如图所示),代理服务器就是安装于双宿主机的代理服务器软件。