教学重点和难点:网络安全的策略;黑客攻击的常见方法;网络安全的解决方案。第11章 计算机网络安全 网络安全从其本质上来讲就是网络上的信息安
全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络
服务不中断。11.1.1 计算机网络安全的定义 11.1 概述 计算机网络的安全性问题包括两方面的内容:11.1.2 网络安全的内
容 11.1 概述 系统安全 信息安全11.1 概述 一个安全的计算机网络应该具有以下几个特点: 可靠性 可用性 保密性 完整性
不可抵赖性1. 网络实体安全 如机房的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的的安装及配置等。2
. 软件安全 如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改,不受病毒的侵害等。11.1 概述 3. 网络数据安
全 如保护网络信息的数据安全不被非法存取,保护其完整一致等。4. 网络安全管理 如运行时突发事件的安全处理等,包括采取计算机安全技
术,建立安全管理制度,开展安全审计,进行风险分析等。11.1 概述 (1)截获:攻击者从网络上窃听信息。(2)中断:攻击者有意中断
网络上的通信。(3)篡改:攻击者有意更改网络上的信息。(4)伪造:攻击者使假的信息在网络上传输。 11.1.3 计算机网络面临的威
胁 11.1 概述 计算机网络上的通信面临的威胁主要包括:上述的四种威胁可以分为两类:即被动攻击和主动攻击。 1.是来自外部的不安
全因素,即网络上存在的攻击。2.是来自网络系统本身的。3.是网络应用安全管理方面的原因,网络管理者缺乏网络安全的警惕性,忽视网络安
全,或对网络安全技术缺乏了解,没有制定切实可行的网络安全策略和措施。4.是网络安全协议的原因。10.1.4 网络不安全的原因 1
1.1 概述 网络不安全的原因是多方面的,主要包括:1. 在安全监测和评估方面,包括网络、保密性以及操作系统的检测与评估。2. 在
安全体系结构方面制定的OSI网络安全体系结构,包括安全服务和安全机制,主要解决网络信息系统中的安全与保密问题。11.1.5 网络安
全措施 11.1 概述 对等实体鉴别服务访问控制服务数据保密服务数据完整性服务数据源鉴别服务禁止否认服务11.1 概述 OSI安全
服务主要包括:11.1 概述 3. 安全管理可以两方面技术管理行政管理系统安全管理安全服务管理安全机制管理安全事件处理安全审计管理
安全恢复管理密钥管理重点是设立安全组织机构、安全人事管理和安全责任管理与监督等。11.1.6 网络安全策略 11.1 概述 安全策
略包括两个部分总体的策略具体的规则用于阐明公司安全政策的总体思想。用于说明什么活动是被允许的,什么活动是被禁止的。(1)不把内部网
络和外部网络相连,因此一切都被禁止。(2)除那些被明确允许之外,一切都被禁止。(3)除那些被明确禁止之外,一切都被允许。(4)一切
都被允许,当然也包括那些本来被禁止的。11.1 概述 1. 网络安全策略的等级 网络安全策略可分为4个等级(1)网络用户的安全责任
(2)系统管理员的安全责任(3)正确利用网络资源(4)检测到网络安全问题时的对策11.1 概述 2. 网络安全策略的内容一个好的网
络安全性策略应包括如下内容: 网络安全管理主要是配合行政手段,从技术上实现安全管理,从范畴上讲,涉及四个方面:11.1 概述 3.
网络安全策略(1) 物理安全策略(2) 访问控制策略(3) 信息加密策略(4) 网络安全管理策略物理安全策略的目的是保护计算机系
统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机
系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生;抑制和防止电磁泄漏是
物理安全策略的一个主要问题。11.1 概述 (1) 物理安全策略① 入网访问控制② 网络的权限控制③ 目录级安全限制④ 属性级安全
控制11.1 概述 ⑤ 网络服务器安全控制⑥ 网络监测和锁定控制⑦ 网络端口和节点的安全控制⑧ 防火墙控制(2) 访问控制策略11
.1 概述 (3) 信息加密策略是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。信息加密的目的11.1 概述 链路加密
端点加密节点加密 (3) 信息加密策略网络加密常用的方法确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理
制度,制定网络系统的维护制度和应急措施等。 11.1 概述 (4) 网络安全管理策略网络安全管理策略包括: 黑客是英文hack
er的译音,原意为热衷于电脑程序的设计者,指对于任何计算机操作系统的奥秘都有强烈兴趣的人。 入侵者(攻击者)指怀着不良的企图,闯入
远程计算机系统甚至破坏远程计算机系统完整性的人。 黑客指利用通信软件通过网络非法进入他人系统,截获或篡改计算机数据,危害信息安全的
电脑入侵者。11.2.1 黑客 11.2 网络黑客攻击 1.收集目标计算机的信息。2.寻求目标计算机的漏洞和选择合适的入侵方法。3
. 留下“后门”。 4. 清除入侵记录。 11.2 网络黑客攻击 黑客攻击的步骤 扫描是网络攻击的第一步,通过扫描可以直接截
获数据包进行信息分析、密码分析或流量分析等。通过扫描查找漏洞如开放端口、注册用户及口令、系统漏洞等。11.2.2 扫描11.2 网
络黑客攻击 11.2 网络黑客攻击 扫描有手工扫描和利用端口扫描软件。手工扫描是利用各种命令,如Ping、Tracert、Hos
t等。使用端口扫描软件是利用扫描器进行扫描。常用的扫描器软件有1. PorScan PorScan2.SATAN3.网络安全扫描器
NSS 4.Strobe 在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作
站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。11.2.3 Sniffer 11.2 网络黑客攻击 Sniffer,中
文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。1.网络技术与设备简介 Sniffor程序是一种利用以太网的特性把网络适配卡(
NIC,一般为以太同卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信
息包。 11.2 网络黑客攻击 2.网络监听原理11.2 网络黑客攻击 3. Snifffer的分类软件硬件NetXray、Pac
ketboy、Net monitor。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。“特洛伊木马”(tr
ojan horse)简称“木马”,是一种计算机程序,它驻留在目标计算机里。在目标计算机系统启动的时候,自然启动,在某一端口进行侦
听。11.2.4 特洛伊木马 11.2 网络黑客攻击 服务器程序控制器程序 完整的木马程序一般由两个组成:1. 口令攻击2. 拒绝
服务的攻击3. 网络监听4. 缓冲区溢出5. 电子邮件攻击6. 其它攻击方法11.2.5 常见的黑客攻击方法 11.2 网络黑客攻
击 物理层安全防护; 链路层安全保护; 网络层安全防护; 传输层安全防护; 应用层安全防护。11.3 网络安全解决方案 1. 安
全使用以Windows 2000 Server为例,正确地使用操作系统。2. 消除漏洞在使用某种操作系统时,应经常进行安全检测及查
找漏洞,关注系统漏洞的发布以及补丁程序的发布,并及时下载、安装在系统中。11.3.1 操作系统安全使用 11.3 网络安全解决方案
3. 安全策略配置11.3.1 操作系统安全使用 11.3 网络安全解决方案 进入安全策略设置界面进行安全策略设置,包括: 账户
密码策略 账户锁定策略 审核策略 用户权力指派 安全选项防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目
的是保护网络不被可疑人侵扰。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的
通信。通常,防火墙就是位于内部网或Web站点与Internet之间的一个路由器或一台计算机,又称为堡垒主机。 11.3.2 防火墙
11.3 网络安全解决方案 11.3 网络安全解决方案 (1) 所有进出网络的通信流都应该通过防火墙;(2) 所有穿过防火墙的通
信流都必须有安全策略和计划的确认和授权;(3) 理论上说,防火墙是穿不透的。11.3 网络安全解决方案 1. 防火墙的功能11.3
网络安全解决方案 2. 防火墙的分类(1)包过滤路由器(2)应用型防火墙(3)主机屏蔽防火墙(4)子网屏蔽防火墙(1) 系统要尽
量与公网隔离,要有相应的安全连接措施。(2) 不同的工作范围的网络既要采用防火墙、安全路由器、保密网关等相互隔离,又要在政策循序时
保证互通。(3) 为了提供网络安全服务,各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性、业务流填充、路
由控制、公证、鉴别审计等安全机制,并有相应的安全管理。11.3.3 网络的安全防范建议 11.3 网络安全解决方案 (4) 远程客
户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。(5) 网络和网络安全设备要经受住相应的安全测试。(6) 在相应的网络层次和级别上设立密钥管理中心、访问控制中心、安全鉴别服务器、授权服务器等,负责访问控制以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动。11.3 网络安全解决方案 (7) 信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的篡改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击,保护信息的机密性,保证信息和系统的完整性。(8) 涉及保密的信息在传输过程中,在保密装置以外不以明文形式出现。11.3 网络安全解决方案 |
|
