第6章计算机网络安全.ppt

计算机网络技术基础,任课老师:,第6章 计算机网络安全,本章要点 6.1 网络安全概述 6.2 数据安全 6.3 计算机病毒 6.4 黑客攻击及防范 6.5 防火墙技术,本章要点： 网络安全 数据安全 计算机病毒 黑客攻击及防范 防火墙的发展方向,6.1关于网络安全,6.1.1 网络安全的定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。,6.1.2 网络安全面临的威胁,1. 造成网络安全威胁的原因 人为的恶意攻击，是计算机网络面临的最大威胁，敌对方的攻击和计算机犯罪都属于这一类。 网络软件的漏洞和“后门”。 网络的缺陷。,2.基本的威胁,信息泄漏或丢失 破坏数据完整性 拒绝服务攻击 非授权访问,3.主要的可实现的威胁,(1)渗入威胁 假冒：这是大多数黑客采用的攻击方法。 旁路控制：攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”，利用这些“特征”，攻击者绕过守卫者防线渗入系统内部。 授权侵犯：也称为内部威胁，授权用户将其权限用于其他未授权的目的。,(2)植入威胁,特洛伊木马：攻击者在正常的软件中隐藏一段用于其他目的的程序(即特洛伊木马)，这种隐藏的程序段常常以安全攻击作为其最终目标。 陷阱：陷阱是在某个系统或某个文件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。,4.病毒,病毒是能够通过修改其他程序而“感染”它们的一种程序，修改后的程序里面包含了病毒程序的一个副本，这样它们就能够继续感染其他程序。通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。,6.1.3操作系统的安全问题,1.漏洞和后门 漏洞 在计算机网络安全领域，“漏洞”是指硬软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。,安全漏洞的类型,允许拒绝服务的漏洞。 允许有限权限的本地用户未经授权提高其权限的漏洞。 允许外来团体(在远程主机上)未经授权访问网络的漏洞。,漏洞对网络安全的影响,漏洞影响Internet的可靠性和可用性；漏洞导致Internet上黑客入侵和计算机犯罪；漏洞致使Internet遭受网络病毒和其他软件的攻击。,（2）后门,后门是软件、硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令。这些口令无论是被攻破，还是只掌握在制造者手中，都对使用者的系统安全构成严重的威胁。,（3）漏洞和后门的区别,漏洞和后门是不同的，漏洞是不可避免的，无论是硬件还是软件都存在着漏洞；而后门是完全可以避免的。漏洞是难以预知的，而后门是人为故意设置的。,2.操作系统的安全,（1）Unix操作系统 Unix系统的安全性：控制台安全是Unix系统安全的一个重要方面，当用户从控制台登录到系统上时，系统会提示一些系统的有关信息。提示用户输入用户的使用账号，用户输入账号的内容显示在终端屏幕上，而后提示用户输入密码，为了安全起见，此时用户输入的密码则不会显示在终端屏幕上。如果用户输入错误口令超过3次后，系统将锁定用户，禁止其登录，这样可以有效防止外来系统的侵入。,Unix系统的安全漏洞,Unix系统的安全性较高，在Internet中应用广泛。不过，Unix系统也存在着这样一些安全漏洞：Sendmail漏洞、Passwd漏洞、Ping命令问题、Telnet问题、网络监听漏洞等，这些已知的漏洞都已经有了补救的方法。,（2）Windows 2000操作系统,Windows 2000的安全性 Windows 2000中提供了安全支持提供者界面（SSPI），利用API函数提供完整的认证功能，SSPI为C/S双方的身份认证提供了上层应用的API，屏蔽了网络安全协议的实现细节，大大减少了为支持多方认证而需要实现协议的代码,Windows 2000的安全漏洞,资源共享漏洞、资源共享密码漏洞、Unicode漏洞、全拼输入法漏洞、Windows 2000的账号泄露问题、空登录问题等。这些漏洞除了空登录问题需要更改文件格式从FAT32到NTFS外，其余的漏洞在Microsoft最新推出的补丁中已经得到纠正。,3.Windows XP操作系统,(1)Windows XP的安全性 Windows XP增加了许多新的安全功能。Internet连接防火墙适合保护本机的Internet连接，能较好地防止端口扫描和拒绝服务攻击。Windows XP支持多用户加密文件系统，使得用户能够以安全方式在Web服务器上存储相对敏感的信息，而不必担心数据被窃取或者在传输途中被他人读取。此外，Windows XP对访问控制方面的策略做了改进，并且支持智能卡的使用，使得基于智能卡的安全技术应用更为方便。,(2)Windows XP的安全漏洞,Windows XP存在有以下漏洞：UPnP拒绝服务漏洞、GDI拒绝服务漏洞、终端服务IP地址欺骗漏洞等。随着Windows XP的使用，可能还会有其他漏洞出现，不过Microsoft的工程师也会不懈努力，推出更新补丁。,6.2数据安全,6.2.1 数据加密 1.加密机制 加密是提供信息保密的核心方法。按照密钥的类型不同，加密算法可分为对称密钥算法和非对称密钥算法两种。按照密码体制的不同，又可以分为序列密码算法和分组密码算法两种。加密算法除了提供信息的保密性之外，与其他技术结合，例如hash函数，还能提供信息的完整性。,2.加密技术概述,（1）数据加密技术可以分为三类： 对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。 不对称型加密算法也称公开密钥算法，其特点是有两个密钥(即公用密钥和私有密钥)，只有二者搭配使用才能完成加密和解密的全过程。 不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。,（2）加密技术用于网络安全通常有两种形式：,面向网络服务的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。 面向网络应用服务的加密技术，不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求，对电子邮件等数据实现了端到端的安全保障。,（3）数据加密与解密中常用的几个术语：,明文：人和计算机容易读懂和理解的信息称为明文。明文既可以是文本、数字，也可以是语音、图像、视频等其他信息形式。 密文：通过加密的手段，将明文变换为晦涩难懂的信息称为密文。 加密：将明文转变为密文的过程。 解密：将密文还原为明文的过程，解密是加密的逆过程。 密码体制：窃密和解密都是通过特定的算法来实现的，该算法称为密码体制。 密钥：由使用密码体制的用户随机选取的，惟一能控制明文与密文转换的关键信息称为密钥，密钥通常是随机字符串。,3.对称加密技术,对称加密（Symmetric Encryption）也称为密钥加密（Secret-Key Entayption），加密和解密过程都使用同一密钥，通信双方都必须具备这个密钥，并保证这个密钥不被泄露。,(1)对称加密的模型,明文：作为算法输入的原始信息。 加密算法：加密算法可以对明文进行多种置换和转换。 共享的密钥：共享的保密密钥也是对算法的输入。算法实际进行的置换和转换由保密密钥决定。 密文：作为输出的混合信息。它由明文和保密密钥决定。对于给定的信息来讲，两种不同的密钥会产生两种不同的密文。 解密算法：这是加密算法的逆向算法。它以密文和同样的保密密钥作为输入，并生成原始明文。,(2)对称加密的要求,需要强大的加密算法。即使对手拥有一些密文和生成密文的明文，也不能破译密文或发现密钥。 发送方和接收方必须用安全的方式来获得保密密钥的副本，必须保证密钥的安全。如果有人发现了密钥，并知道了算法，则使用此密钥的所有通信便都是可读取的。,（3）对称加密的分类,块加密，是指对定长的数据块进行加密，数据块之间的关系不依赖于加密过程。即当两个数据块内容相同时，无论加密过程中的顺序怎样，得到的密文也完全相同。 流加密，是指数据流的加密，加密过程带有反馈性，即前一字节加密的结果作为后一字节加密的密钥。当两个数据块内容相同时，只要加密过程中的顺序不同，得到的密文就有所不同。可见，流加密方式具有更强的安全性。,（4）对称（密钥）加密的本质,替代密码是指明文中每一个字符被密文中另一个字符所替代。接收者对密文进行逆替换就能得出明文。 换位密码不隐藏原来明文中的字符，它只是按照一定的密钥将明文中的字符打乱，从而达到保密的效果。,(5)数据加密标准,计算机网络通信中对民用敏感信息加密。 电子转账系统。 保护用户文件：用户可自选密钥对重要文件加密，防止未授权用户窃密。 用于计算机用户识别系统中。,(6)国际数据加密算法,国际数据加密算法（IDEA）是在DES算法的基础上发展出来的，它克服了DES密钥太短的缺点。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。 类似于DES算法，IDEA也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同在于，IDEA采用软件实现和采用硬件实现同样快速。,4.公钥加密技术,用K1表示加密密钥，K2表示解密密钥，用函数表达式表示以上过程为 EK1(M)=C EK2(C)=M 在这个算法中，加密密钥可完全公开，因此被称做公用密钥，解密密钥也被称做私有密钥。以上过程可描述为发送方用公用密钥，通过加密算法，将信息加密后发送出去。接收方在收到密文后，用私有密钥将密文解密，恢复为明文。,(1)公钥密码体制基本模型,明文：作为算法输入的可读消息或数据。 加密算法：加密算法对明文进行各种各样的转换。 公共的和私有的密钥：选用的一对密钥，一个用来加密，一个用来解密。解密算法进行的实际转换取决于作为输入提供的公钥或私钥。 密文：作为输出生成的杂乱的消息，它取决于明文和密钥，对于给定的消息，两种不同的密钥会生成两种不同的密文。 解密算法：这种算法以密文和对应的私有密钥为输入，生成原始明文。,（2）公钥加密的通信过程,假设张三想要从李四处接收资料，在采用公钥加密体制时，张三用某种算法产生一对公钥和私钥，然后把公钥公开发布，李四得到公钥后，把资料加密，传送给张三，张三用自己的私钥解密，得到明文。,(3)RSA算法描述,RSA算法：选取两个长度相同的大素数p和q。计算n=pq，随机选取公钥e，使得e和(p-1)(q-1)互素。根据d=e-1(mod(p-1)(q-1)计算出d。注意d和e也互素，e和n是公钥，d是私钥。两个大素数p和q不再需要，可以被丢弃，但是不能泄漏。,6.2.2数据备份,对备份系统的要求 数据备份的方式 导致数据丢失的原因 对备份的误解 数据备份的种类 数据备份的常用方法 数据备份目标,6.3计算机病毒,6.3.1 计算机病毒概述 什么是计算机病毒 计算机病毒的特性 病毒的分类,6.3.2 计算机病毒的识别及防治,计算机病毒引起的异常现象 计算机病毒的预防措施 清除病毒 常用杀毒软件简介,6.3.3网络病毒简介,网络病毒的特点 破坏性强 传播性强。 具有潜伏性和可激活性。 扩散面广。 传播速度快。 难以彻底清除。,6.3.3网络病毒简介,网络病毒的传播与表现 局域网：大多数公司使用局域网文件服务器，用户直接从文件服务器复制已感染的文件。 对等网：使用网络的另一种方式是对等网络，在端到端网络上，用户可以读出和写入每个连接的工作站上本地硬盘中的文件。 Internet：文件病毒可以通过Internet毫无困难地发送，而可执行文件病毒不能通过Internet在远程站点感染文件，此时Internet是文件病毒的载体。,6.3.4网络病毒的防治,网络反病毒技术的特点 （1）网络反病毒技术的安全度取决于“木桶理论”。 (2)网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则 .,6.3.4网络病毒的防治,网络病毒防护策略 防毒一定要实现全方位、多层次防毒 网关防毒是整体防毒的首要防线。 没有管理的防毒系统是无效的防毒系统。,6.3.4网络病毒的防治,网络防毒系统选型 操作简单、兼容性强 升级和扩展能力强 性能可靠,6.3.4网络病毒的防治,网络病毒的清除 网络环境中，病毒的传播速度较快，仅用单机防杀病毒产品已难以清除网络病毒，需要适用于局域网、广域网的全方位防杀病毒的产品。可在计算机网络系统中安装网络防毒服务器，在内部网络服务器上安装网络防毒软件，在单机上安装单机版防毒软件。,6.4.1 黑客攻击,黑客攻击的目的 确定目标 收集与攻击目标相关的信息，并找出系统的安全漏洞。 实施攻击。 黑客攻击的手段 黑客攻击通常采用扫描器和网络监听手段。,6.4.2 邮件炸弹与拒绝服务,邮件炸弹和垃圾邮件的区别 拒绝服务概述 通过电子邮件传播的病毒或黑客程序,6.4.3黑客的防范,发现黑客 黑客入侵防护体系的模型 防范黑客入侵的管理措施,6.5防火墙技术,1.防火墙的定义 防火墙是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制及更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。,2.防火墙的分类,根据防火墙实现原理的不同，通常将其分为包过滤防火墙、应用层防火墙(又称代理型防火墙)、状态检测防火墙和综合型防火墙等。 根据实现方式的不同，防火墙可以分为硬件防火墙和软件防火墙两种类型。硬件防火墙通过硬件和软件的组合来实现隔离内部网和外部网；软件防火墙通过纯软件的方式来实现隔离内部网和外部网。,3.防火墙的功能,控制进出网络的信息流向和信息包； 提供使用和流量的日志和审计； 隐藏内部IP地址及网络结构的细节； 提供虚拟专用网(VPN)功能。,6.5.2防火墙产品的选购和使用,1.常见防火墙产品 防火墙必须具备适用性； 防火墙必须能满足功能要求； 防火墙必须是经过权威认证的合法产品。,2.防火墙的选购,购买防火墙之前，首先要知道防火墙的最基本性能； 选购防火墙前，还应认真制定安全政策，也就是要制定一个周密计划； 在满足实用性、安全性的基础上，还要考虑经济性。,3.防火墙的使用,不同类型的防火墙，在不同网络系统中所起的作用也不同。一些防火墙在同一网络系统中的位置不同，作用也不同。所以防火墙的安装要由软件提供商来指导，并对网络管理员进行培训。 在日常的使用中，要注意实施定时的扫描和检查，发现系统有问题应及时排除故障和恢复系统；保证系统监控及防火墙之间的通信线路能够畅通无阻；全天候对主机系统进行监控、管理和维护。,4.防火墙在大型网络系统中的部署,在局域网内的VLAN之间控制信息流向时加入防火墙。 Intranet与Internet之间连接时加入防火墙。 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，总部的局域网和各分支机构连接时，一般通过公网ChinaPac、ChinaDDN和FrameRelay等连接，需要采用防火墙隔离，并利用某些软件提供的功能构成虚拟专网VPN。 总部的局域网和分支机构的局域网是通过Internet连接的，需要各自安装防火墙，并组成虚拟专网。,在远程用户拨号访问时，加入虚拟专网。 利用一些防火墙软件提供的负载平衡功能，ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。 两网对接时，可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(De-Militarized Zone，DMZ，非军事区，其名称来源于朝鲜战争的三八线)及存取安全控制，消除传统软件防火墙的瓶颈问题。,6.5.3防火墙技术的发展方向,未来的防火墙应该既有高安全性又有高效率。重新设计技术架构，比如在包过滤中引入鉴别授权机制、复变包过滤、虚拟专用防火墙、多级防火墙等将是未来可能发展的方向。,