网络安全技术.ppt

第10章网络安全与网络管理技术的研究 网络安全的基本概念 网络安全的重要性 网络安全问题已经成为信息化社会的一个焦点问题 每个国家只能立足于本国 研究自己的网络安全技术 培养自己的专门人才 发展自己的网络安全产业 才能构筑本国的网络与信息安全防范体系 网络安全领域中的一些观念问题 网络安全与现实社会安全关系网络安全与网络新技术的关系网络安全与密码学的关系 网络虚拟社会与现实社会的关系 网络安全技术研究内容分类 网络攻击分类 网络攻击手段的分类 DoS攻击的分类 DDoS攻击过程 防火墙技术 防火墙技术 防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统 它包括硬件和软件 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用 防止内部受到外部非法用户的攻击 防火墙的基本概念 防火墙 为内部网络建立安全边界 securityperimeter 构成防火墙系统的两个基本部件 包过滤路由器 packetfilteringrouter 应用级网关 applicationgateway 组合方式有多种 防火墙系统的结构也有多种形式 包过滤路由器 包过滤路由器的结构 路由器按照系统内部设置的分组过滤规则 即访问控制表 检查每个分组的源IP地址 目的IP地址 决定该分组是否应该转发 包过滤规则一般是基于部分或全部报头的内容 对于TCP报头信息可以是 源IP地址 目的IP地址 协议类型 IP选项内容 源TCP端口号 目的TCP端口号 TCPACK标识 包过滤的工作流程 包过滤路由器作为防火墙的结构 应用级网关的概念 多归属主机 multi homedhost 典型的多归属主机结构 应用级网关 应用代理 applicationproxy 防火墙的系统结构 堡垒主机的概念一个双归属主机作为应用级网关可以起到防火墙作用 处于防火墙关键部位 运行应用级网关软件的计算机系统叫做堡垒主机 典型防火墙系统系统结构分析 采用一个过滤路由器与一个堡垒主机组成的S B1防火墙系统结构 包过滤路由器的转发过程 S B1配置的防火墙系统中数据传输过程 S B2 B2防火墙系统结构 S B2 B2配置的防火墙系统结构层次结构 S B1 S B1防火墙系统结构 S B1 S B1配置的防火墙系统层次结构 网络防攻击与入侵检测技术 网络防攻击与入侵检测技术 网络攻击方法分析目前黑客攻击大致可以分为8种基本的类型 系统类入侵攻击缓冲区溢出攻击欺骗类攻击拒绝服务攻击对防火墙的攻击利用病毒攻击木马程序攻击后门攻击 入侵检测的基本概念 入侵检测系统IDS 识别对计算机和网络资源恶意使用行为的系统监测和发现可能存在的攻击行为 来自系统外部的入侵行为 来自内部用户的非授权行为 相应的防护手段 网络防攻击技术 服务攻击 applicationdependentattack 对网络提供某种服务的服务器发起攻击 造成该网络的 拒绝服务 denial of server 使网络工作不正常 非服务攻击 applicationindependentattack 不针对某项具体应用服务 而是基于网络层等低层协议而进行的 使得网络通信设备工作严重阻塞或瘫痪 拒绝服务攻击的目的 消耗带宽消耗系统资源使系统与应用崩溃 网络防攻击主要问题需要研究的几个问题 网络可能遭到哪些人的攻击 攻击类型与手段可能有哪些 如何及时检测并报告网络被攻击 如何采取相应的网络安全策略与网络安全防护体系 网络安全漏洞与对策的研究 网络信息系统的运行涉及 计算机硬件与操作系统网络硬件与网络软件数据库管理系统应用软件网络通信协议网络安全漏洞也会表现在以上几个方面 网络中的信息安全问题 信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击 信息传输安全问题的4种基本类型 入侵检测系统框架结构 入侵检测系统IDS的基本功能 监控 分析用户和系统的行为检查系统的配置和漏洞评估重要的系统和数据文件的完整性对异常行为的统计分析 识别攻击类型 并向网络管理人员报警对操作系统进行审计 跟踪管理 识别违反授权的用户活动 入侵检测的基本方法 对各种事件进行分析 从中发现违反安全策略的行为是入侵检测系统的核心功能 入侵检测系统按照所采用的检测技术可以分为 异常检测 误用检测 两种方式的结合 入侵检测系统分类 按照检测的对象和基本方法 基于主机的入侵检测系统基于网络的入侵检测系统基于目标的入侵检测系统基于应用的入侵检测系统根据入侵检测的工作方式 离线检测系统在线检测系统 基于主机的入侵检测系统的基本结构 基于网络的入侵检测系统的基本结构 网络防病毒技术 恶意传播代码的基本概念 恶意传播代码 maliciousmobilecode MMC 是一种软件程序 它能够从一台计算机传播到另一台计算机 从一个网络传播到一个网络 目的是在网络和系统管理员不知情的情况下 对系统进行故意地修改 恶意传播代码包括病毒 木马 蠕虫 脚本攻击代码 以及恶意的Internet代码 病毒类型 引导型病毒可执行文件病毒宏病毒混合病毒特洛伊木马型病毒Internet语言病毒 2004年 2005年手机病毒发展的情况 计算机取证技术 计算机取证 computerforensics 的基本概念 主动防御技术对计算机犯罪的行为进行分析 以确定罪犯与犯罪的电子证据 并以此为重要依据提起诉讼对受侵犯的计算机与网络设备与系统进行 扫描与破解 对入侵的过程进行重构 完成有法律效力的电子证据的获取 保存 分析 出示 计算机取证的基本概念 对于构建对入侵者有威慑力的主动网络防御体系有着重要的意义 是一个极具挑战性的研究课题 计算机取证技术与相关法律 法规的研究 制定已经迫在眉睫 计算机取证方法 静态取证模型 计算机取证方法 动态取证模型 蜜罐 honeypot 通过模拟一个主机 服务器或其他网络设备 给攻击者提供一个容易攻击的目标 转移网络攻击者对有价值的资源的注意力 保护网络有价值的资源 通过对攻击者的攻击目标 企图 行为与破坏方式等数据的收集 分析 了解网络安全状态 研究相应的对策 对入侵者的行为和操作过程进行记录 为起诉入侵者搜集有用的证据 蜜罐技术分类 研究型蜜罐的部署与维护都很复杂 主要用于研究 军事或重要的政府部门 实用型蜜罐作为产品 主要用于大型企业 机构的安全保护 蜜罐在研究中需要注意的问题 如何防止攻击者利用蜜罐作为跳板 发动对第三者的入侵 增加了系统的复杂性 会出现更多的漏洞 可能会导致系统遭到更多的攻击 维护需要花费很多的精力和时间 如果不去维护 会产生新的问题 获取电子证据的合法性问题 网络业务持续性规划技术 灾难恢复与业务可持续性在概念上的区别 JonWilliamToigo DisasterRecoveryPlanningPreparingfortheUnthinkable ThirdEdition 除了9 11事件所产生的社会与政治后果 这场灾难很特别的一点 或许是发现如此众多的受到影响的机构 竟然没有任何灾难恢复规划 对于世贸中心的440多家商业机构 曼哈顿区被电力 通信和设备中断所影响的成千上万的公司 还有五角大楼中众多的政府机构 只有一小部分 或许是200家 有预先制订的灾难恢复规划 灾难恢复与业务可持续性在概念上的区别 灾难 一般是指洪水 飓风与地震之类的自然灾害所造成的危害 已经有所指的特定领域 信息技术领域中所指的是 由于网络环境中出现的问题 导致基于网络的计算机系统业务流程的非计划性中断 造成业务流程的非计划性中断的原因除了洪水 飓风与地震之类的自然灾害 恐怖活动之外 还有网络攻击 病毒与内部人员的破坏 以及其他不可抗拒的因素 突发事件会造成网络与信息系统 硬件与软件的损坏 以及密钥系统与数据的丢失 关键业务流程的非计划性中断 针对各种可能发生的情况 提前做好预防突发事件出现造成重大后果的预案 控制突发事件对关键业务流程所造成的影响 将 灾难恢复规划 的术语改为 业务持续性规划 会更恰当些 业务持续性规划的基本内容 规划的方法风险分析方法数据恢复规划 数据恢复规划 数据分类鉴别数据的影响等级网络分级备份策略存储手段与制度异地存储的安全性 远程镜像记录存储的备份方案实施数据恢复终端用户的恢复策略应急决策机制数据恢复评估 网络安全服务与密码学应用技术 网络安全服务与安全标准 网络安全服务应该提供以下基本的服务功能 数据保密 dataconfidentiality 认证 authentication 数据完整 dataintegrity 防抵赖 non repudiation 访问控制 accesscontrol 加密与认证技术 密码算法与密码体制的基本概念数据加密与解密的过程 密码体制 密码体制是两个基本构成要素 加密 解密算法 密钥对称密码体制非对称密码体制 对称密钥 symmetriccryptography 密码体系 对称加密的特点 非对称密钥 asymmetriccryptography 密码体系 非对称密钥密码体系的特点 公共蜜钥基础设施PKI结构 密钥长度密钥长度与密钥个数 数字信封技术 数字签名技术 数字签名技术的分类 不可否认签名防失败签名盲签名群签名 身份认证技术的发展 身份认证可以通过三种基本途径之一或它们的组合实现 所知 knowledge 个人所掌握的密码 口令所有 possesses 个人身份证 护照 信用卡 钥匙 个人特征 characteristics 个人特征 容貌肤色发质身材姿势手印指纹脚印唇印颅相 口音脚步声体味视网膜血型遗传因子笔迹习惯性签字打字韵律在外界刺激下的反应 信息隐藏技术 信息隐藏技术 信息隐藏的基本模型 网络安全应用技术研究 网络安全应用技术研究 IP安全电子邮件安全Web安全VPN技术网络信息过滤技术 IPSec协议 认证头AH协议封装安全载荷ESP协议Internet安全关联密钥管理协议ISAKMPInternet密钥交换IKE协议 IPSec安全体系结构 VPN技术 隧道技术密码技术密钥管理技术用户和设备认证技术 隧道分类 第二层隧道 L2TP 帧中继网络 ATM网络 封装的数据链路层采用PPP协议第三层隧道 基于MPLS的VPN技术RFC2917 Web安全技术的研究 Web攻击的方法的类型 网络管理技术 网络管理技术 网络管理的基本概念网络管理涉及以下三个方面 网络服务提供是指向用户提供新的服务类型 增加网络设备 提高网络性能 网络维护是指网络性能监控 故障报警