计算机网络安全第11章.ppt

,计算机网络技术,教学重点和难点：网络安全的策略；黑客攻击的常见方法；网络安全的解决方案。,第11章 计算机网络安全,计算机网络技术,网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。,11.1.1 计算机网络安全的定义,11.1 概述,计算机网络技术,计算机网络的安全性问题包括两方面的内容：,11.1.2 网络安全的内容,11.1 概述,系统安全 信息安全,计算机网络技术,11.1 概述,一个安全的计算机网络应该具有以下几个特点：,可靠性 可用性 保密性 完整性 不可抵赖性,计算机网络技术,1.网络实体安全 如机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的的安装及配置等。2.软件安全 如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改，不受病毒的侵害等。,11.1 概述,计算机网络技术,3.网络数据安全 如保护网络信息的数据安全不被非法存取，保护其完整一致等。4.网络安全管理 如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等。,11.1 概述,计算机网络技术,（1）截获：攻击者从网络上窃听信息。（2）中断：攻击者有意中断网络上的通信。（3）篡改：攻击者有意更改网络上的信息。（4）伪造：攻击者使假的信息在网络上传输。,11.1.3 计算机网络面临的威胁,11.1 概述,计算机网络上的通信面临的威胁主要包括：,上述的四种威胁可以分为两类：即被动攻击和主动攻击。,计算机网络技术,1.是来自外部的不安全因素，即网络上存在的攻击。2.是来自网络系统本身的。3.是网络应用安全管理方面的原因，网络管理者缺乏网络安全的警惕性，忽视网络安全，或对网络安全技术缺乏了解，没有制定切实可行的网络安全策略和措施。4.是网络安全协议的原因。,10.1.4 网络不安全的原因,11.1 概述,网络不安全的原因是多方面的，主要包括：,计算机网络技术,1.在安全监测和评估方面，包括网络、保密性以及操作系统的检测与评估。2.在安全体系结构方面制定的OSI网络安全体系结构，包括安全服务和安全机制，主要解决网络信息系统中的安全与保密问题。,11.1.5 网络安全措施,11.1 概述,计算机网络技术,对等实体鉴别服务访问控制服务数据保密服务数据完整性服务数据源鉴别服务禁止否认服务,11.1 概述,OSI安全服务主要包括：,计算机网络技术,11.1 概述,3.安全管理可以两方面,技术管理,行政管理,系统安全管理安全服务管理安全机制管理安全事件处理安全审计管理安全恢复管理密钥管理,重点是设立安全组织机构、安全人事管理和安全责任管理与监督等。,计算机网络技术,11.1.6 网络安全策略,11.1 概述,安全策略包括两个部分,总体的策略,具体的规则,用于阐明公司安全政策的总体思想。,用于说明什么活动是被允许的，什么活动是被禁止的。,计算机网络技术,（1）不把内部网络和外部网络相连，因此一切都被禁止。（2）除那些被明确允许之外，一切都被禁止。（3）除那些被明确禁止之外，一切都被允许。（4）一切都被允许，当然也包括那些本来被禁止的。,11.1 概述,1.网络安全策略的等级,网络安全策略可分为4个等级,计算机网络技术,（1）网络用户的安全责任（2）系统管理员的安全责任（3）正确利用网络资源（4）检测到网络安全问题时的对策,11.1 概述,2.网络安全策略的内容,一个好的网络安全性策略应包括如下内容：,计算机网络技术,网络安全管理主要是配合行政手段，从技术上实现安全管理，从范畴上讲，涉及四个方面：,11.1 概述,3.网络安全策略,(1)物理安全策略(2)访问控制策略(3)信息加密策略(4)网络安全管理策略,计算机网络技术,物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生；抑制和防止电磁泄漏是物理安全策略的一个主要问题。,11.1 概述,（1）物理安全策略,计算机网络技术,入网访问控制 网络的权限控制 目录级安全限制 属性级安全控制,11.1 概述,网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 防火墙控制,（2）访问控制策略,计算机网络技术,11.1 概述,（3）信息加密策略,是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。,信息加密的目的,计算机网络技术,11.1 概述,链路加密端点加密节点加密,（3）信息加密策略,网络加密常用的方法,计算机网络技术,确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。,11.1 概述,（4）网络安全管理策略,网络安全管理策略包括：,计算机网络技术,黑客是英文hacker的译音，原意为热衷于电脑程序的设计者，指对于任何计算机操作系统的奥秘都有强烈兴趣的人。入侵者（攻击者）指怀着不良的企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。黑客指利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。,11.2.1 黑客,11.2 网络黑客攻击,计算机网络技术,1收集目标计算机的信息。2寻求目标计算机的漏洞和选择合适的入侵方法。3.留下“后门”。4.清除入侵记录。,11.2 网络黑客攻击,黑客攻击的步骤,计算机网络技术,扫描是网络攻击的第一步，通过扫描可以直接截获数据包进行信息分析、密码分析或流量分析等。通过扫描查找漏洞如开放端口、注册用户及口令、系统漏洞等。,11.2.2 扫描,11.2 网络黑客攻击,计算机网络技术,11.2 网络黑客攻击,扫描有手工扫描和利用端口扫描软件。手工扫描是利用各种命令，如Ping、Tracert、Host等。使用端口扫描软件是利用扫描器进行扫描。,常用的扫描器软件有,1.PorScan PorScan,2SATAN,3网络安全扫描器NSS,4Strobe,计算机网络技术,在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据）。,11.2.3 Sniffer,11.2 网络黑客攻击,Sniffer，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。,1网络技术与设备简介,计算机网络技术,Sniffor程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太同卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。,11.2 网络黑客攻击,2网络监听原理,计算机网络技术,11.2 网络黑客攻击,3.Snifffer的分类,软件硬件,NetXray、Packetboy、Net monitor。,硬件的Sniffer通常称为协议分析仪，一般都是商业性的，价格也比较贵。,计算机网络技术,“特洛伊木马”（trojan horse）简称“木马”，是一种计算机程序，它驻留在目标计算机里。在目标计算机系统启动的时候，自然启动，在某一端口进行侦听。,11.2.4 特洛伊木马,11.2 网络黑客攻击,服务器程序控制器程序,完整的木马程序一般由两个组成：,计算机网络技术,1.口令攻击2.拒绝服务的攻击3.网络监听4.缓冲区溢出5.电子邮件攻击6.其它攻击方法,11.2.5 常见的黑客攻击方法,11.2 网络黑客攻击,计算机网络技术,物理层安全防护；链路层安全保护；网络层安全防护；传输层安全防护；应用层安全防护。,11.3 网络安全解决方案,计算机网络技术,1.安全使用以Windows 2000 Server为例，正确地使用操作系统。2.消除漏洞在使用某种操作系统时，应经常进行安全检测及查找漏洞，关注系统漏洞的发布以及补丁程序的发布，并及时下载、安装在系统中。,11.3.1 操作系统安全使用,11.3 网络安全解决方案,计算机网络技术,3.安全策略配置,11.3.1 操作系统安全使用,11.3 网络安全解决方案,进入安全策略设置界面进行安全策略设置，包括：,账户密码策略 账户锁定策略 审核策略 用户权力指派 安全选项,计算机网络技术,防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。通常，防火墙就是位于内部网或Web站点与Internet之间的一个路由器或一台计算机，又称为堡垒主机。,11.3.2 防火墙,11.3 网络安全解决方案,计算机网络技术,11.3 网络安全解决方案,计算机网络技术,(1)所有进出网络的通信流都应该通过防火墙；(2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权；(3)理论上说，防火墙是穿不透的。,11.3 网络安全解决方案,1.防火墙的功能,计算机网络技术,11.3 网络安全解决方案,2.防火墙的分类,（1）包过滤路由器（2）应用型防火墙（3）主机屏蔽防火墙（4）子网屏蔽防火墙,计算机网络技术,(1)系统要尽量与公网隔离，要有相应的安全连接措施。(2)不同的工作范围的网络既要采用防火墙、安全路由器、保密网关等相互隔离，又要在政策循序时保证互通。(3)为了提供网络安全服务，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性、业务流填充、路由控制、公证、鉴别审计等安全机制，并有相应的安全管理。,11.3.3 网络的安全防范建议,11.3 网络安全解决方案,计算机网络技术,(4)远程客户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。(5)网络和网络安全设备要经受住相应的安全测试。(6)在相应的网络层次和级别上设立密钥管理中心、访问控制中心、安全鉴别服务器、授权服务器等，负责访问控制以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动。,11.3 网络安全解决方案,计算机网络技术,(7)信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的篡改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击，保护信息的机密性，保证信息和系统的完整性。(8)涉及保密的信息在传输过程中，在保密装置以外不以明文形式出现。,11.3 网络安全解决方案,