第6章 计算机网络安全.ppt

第6章计算机网络安全 第6章计算机网络安全 学习目标掌握网络安全的定义 网络的安全机制 了解网络安全面临的威胁及产生威胁的原因掌握安全等级的标准 漏洞和后门的区别了解数据加密 压缩和备份技术掌握计算机病毒知识与防护方法了解黑客攻击的目的和手段 掌握防范黑客的措施掌握防火墙的知识和使用方法 了解防火墙技术的发展方向 第6章计算机网络安全 教学内容6 1关于网络安全6 2操作系统安全6 3数据安全6 4计算机病毒6 5黑客攻击及防范6 6防火墙技术本章要点小结 6 1关于网络安全 6 1 1网络安全简介6 1 2网络安全面临的威胁6 1 3网络出现安全威胁的原因6 1 4网络安全机制 6 1 1网络安全简介 网络安全是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的因素或者恶意的攻击而遭到破坏 更改 泄露 确保系统能连续 可靠 正常地运行 网络服务不中断 网络安全主要是指网络上的信息安全 网络安全包括物理安全 逻辑安全 操作系统安全 网络传输安全 6 1 1 物理安全 物理安全是指用来保护计算机硬件和存储介质的装置和工作程序 物理安全包括防盗 防火 防静电 防雷击和防电磁泄漏等内容 屏蔽是防电磁泄漏的有效措施 屏蔽主要有电屏蔽 磁屏蔽和电磁蔽三种类型 6 1 1 逻辑安全 计算机的逻辑安全需要用口令字 文件许可 加密 检查日志等方法来实现 措施限制登录的次数 对试探操作加上时间限制 把重要的文档 程序和文件加密 限制存取非本用户自己的文件 除非得到明确的授权 跟踪可疑的 未授权的存取企图等等 6 1 1 操作系统安全 操作系统必须能区分用户 防止他们相互干扰 一些安全性高 功能较强的操作系统可以为计算机的每个用户分配账户 不同账户有不同的权限 操作系统不允许一个用户修改由另一个账户产生的数据 6 1 1 网络传输安全 访问控制服务 用来保护计算机和联网资源不被非授权使用 通信安全服务 用来认证数据的保密性和完整性 以及各通信的可信赖性 如基于互联网的电子商务就依赖并广泛采用通信安全服务 6 1 2网络安全面临的威胁 6 1 3网络出现安全威胁的原因 薄弱的认证环节易被监视的系统有欺骗性的主机地址有缺陷的局域网服务和相互信任的主机复杂的设置和控制无法估计主机的安全性 6 1 4网络安全机制 1 加密机制按照密钥的类型不同 对称密钥算法和非对称密钥算法两种按照密码体制的不同 分为序列密码算法和分组密码算法两种访问控制机制防止未经授权的用户非法使用系统资源数据完整性机制包括数据单元的完整性和数据序列的完整性两个方面 6 1 4网络安全机制 2 数字签名机制具有可证实性 不可否认性 不可伪造性和不可重用性交换鉴别机制口令密码技术特征实物公证机制流量填充机制路由控制机制 6 2操作系统安全 6 2 1安全等级的标准6 2 2漏洞和后门6 2 3操作系统的安全问题 6 2 1安全等级的标准 1 美国的 可信计算机系统评估准则 TCSEC 分为D C B A级 由低到高简称橙皮书 DOS Windows3 x及Windows95 不在工作组方式中 属于D级某些UNIX Novell3 x或更高版本 WindowsNT属于C1级一些UNIX Windows2000 WindowsXP属于C2级的计算机操作系统 6 2 1安全等级的标准 2 中国国家标准 计算机信息安全保护等级划分准则 2001年1月1日执行第一级用户自主保护级 第二级系统审计保护级 第三级安全标记保护级 第四级结构化保护级 第五级安全域级保护级 6 2 2漏洞和后门 漏洞 指硬件 软件或策略上的缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限漏洞是不可避免的后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令是完全可以避免的 6 2 3操作系统的安全问题 UNIXC2级安全标准 引进了用户权限级别的增强特性Windows2000符合TCSEC的C2级安全标准 其服务器版本有部分程序符合B1级安全标准 WindowsXP符合TCSEC的C2级安全标准 WindowsXP提供了自主访问控制保护 并具有对主体责任和它们的初始做审计的能力 6 3数据安全 6 3 1数据加密与解密6 3 2数据压缩6 3 3数据备份 6 3 1数据加密与解密 术语密文 通过加密的手段 将明文变换为晦涩难懂的信息称为密文 密码体制 加密和解密都是通过特定的算法来实现的 该算法称为密码体制密钥 由使用密码体制的用户随机选取的 唯一能控制明文与密文转换的关键信息称为密钥 密钥通常是随机字符串 6 3 1 密钥加密技术 也称为对称加密 SymmetricEncryption 加密和解密过程都使用同一密钥通信双方都必须具备这个密钥 并保证该密钥不被泄漏 6 3 1 块加密和流加密 块加密是指对定长的数据块进行加密数据块之间的关系不依赖于加密过程 流加密是指数据流的加密加密过程带有反馈性 即前一字节加密的结果作为后一字节加密的密钥 6 3 1 替代密码和换位密码 替代密码是指明文中每一个字符被密文中另一个字符所替代传送大量的文本 容易被别人破解换位密码不隐藏原来明文中的字符 它只是按照一定的密钥将明文中的字符打乱 6 3 1 数据加密标准DES 1976年11月23日 DES DataEncryptionStandard 被采纳作为美国联邦的一个标准 并授权在非密级政府通信中使用DES是分组算法的一种 是一种对称算法 DES算法以64位为分组对数据进行加密 64位为一组的明文从算法的一端输入 另一端输出64位一组的密文 加密和解密时的密钥并不相同 6 3 1 公钥加密技术 1976年 美国密码学家Diffie和Helleman提出使用一个密码对其中一个用来加密 称为加密密钥 又称公钥另一个用于解密 称为解密密钥 又称私钥公钥和私钥在数学上相互关联 公钥可以对外界公开 而私钥自己保管 必须严格保密 6 3 2数据压缩 是通过减少计算机中所存储数据或者通信传播中数据的冗余度达到增大数据密度最终使数据的存储空间减少的技术 6 3 2 数据压缩的分类 静态数据压缩指压缩前源消息集到码字集之间的映射是固定的出现在被压缩数据中的源消息每次都被映射为同一码字动态数据压缩指源消息集到码字集的映射会随着压缩进度的变化而变化 6 3 2 评价数据压缩的标准 据压缩速度应用于网络传输时数据压缩率应用于数据存储中常用的评价标准冗余度 平均源信息长度 压缩率 6 3 2 常见的数据压缩工具 WinZipWinRAR 6 3 3数据备份 数据备份是把文件或数据从原来存储的位置复制到其它位置的过程目的为了在发生威胁数据安全的灾害时保护数据 将数据遭受破坏的程度减少到最小恢复数据取回原来备份的数据的过程 6 3 3 数据备份的种类 完全备份指对指定位置的所有数据都备份 它占用较大的空间 备份过程的时间也较长增量备份指数据有变化时对变化的部分进行备份 它占用空间小 时间短 系统备份是指对整个系统进行备份 它一般定期进行 占用空间较大 时间较长 6 3 3 数据备份的常用方法 为软盘备份磁带备份光盘备份优盘备份移动硬盘备份本机多个硬盘备份和网络备份 6 4计算机病毒 6 4 1计算机病毒的特性和分类6 4 2计算机病毒的识别及防治6 4 3网络病毒的识别及防治 6 4 1计算机病毒的特性和分类 中华人民共和国计算机信息系统安全保护条例 的定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 该定义具有法律性和权威性 6 4 1 计算机病毒的特性 传染性破坏性隐蔽性潜伏性未经授权而执行不可预知性 6 4 1 计算机病毒的分类 系统引导病毒文件型病毒复合型病毒宏病毒 6 4 2计算机病毒的识别及防治 计算机病毒的预防要做到管理与技术相结合 管理手段专机专用 特别是重要的机器要防止无关人员上机 技术手段安装正版软件 不用盗版软件 6 4 2 清除病毒 备份自己的重要数据和文件马上杀毒若是杀毒结束后仍然怀疑有未清除的病毒 就停止使用该计算机 把病毒向病毒监测中心汇报 最好把怀疑样本送到反病毒研究中心 6 4 2 常用杀毒软件简介 瑞星杀毒软件金山毒霸AntiViralToolkitPro3 0 AVP 6 4 3 网络病毒的识别及防治 基于工作站的防治方法可以把防病毒功能集成在一个芯片上 安装于网络工作站 以便经常性地保护工作站及其通往服务器的途径基于服务器的防治方法大都采用了以NLM NetwWareLoadableModule 可装载模块技术进行程序设计 以服务器为基础 提供实时扫描病毒能力 6 4 3 网络反病毒技术的特点 网络反病毒技术的安全度取决于 木桶理论 木桶理论 认为 整个系统的安全防护能力 取决于系统中安全防护能力最薄弱的环节网络反病毒技术尤其是网络病毒实时监测技术应符合 最小占用 原则保证网络反病毒技术和网络本身都能发挥出应有的正常功能网络反病毒技术的兼容性是网络防毒的重点与难点 6 5黑客攻击及防范 6 5 1黑客攻击的目的与手段6 5 2特洛伊木马攻击和远程控制6 5 3邮件炸弹与拒绝服务6 5 4发现黑客6 5 5防范黑客的措施 6 5 1黑客攻击的目的与手段 定义利用某种计算机技术或其它手段 善意或恶意地进入其非授权范围以内的计算机或网络空间的人攻击的目的为了窃取信息 获取口令 控制中间站点和获得超级用户权限 6 5 1 黑客攻击的手段 扫描器指自动监测远程或本地主机安全性弱点的程序网络监听指获取在网络上传输的信息 6 5 2 特洛伊木马攻击和远程控制 特洛伊木马是一个包含在一个合法程序中的非法程序 该非法程序被用户在不知情的状态下被执行一般有两个程序服务器程序控制器程序 6 5 2 特洛伊木马控制远程计算机的过程 木马服务端程序的植入通过下载的软件 交互脚本 利用系统漏洞木马将入侵主机信息发送给攻击者通过一定的方式把入侵主机的信息木马程序启动并发挥作用黑客通过控制器端的软件来命令木马 6 5 3邮件炸弹 邮件炸弹是指在短时间内连续发送大量的邮件给同一收件人 使得收件人的信箱爆满至崩溃而无法正常收发邮件垃圾邮件是指将同一邮件一次寄给多个收件人 一般的垃圾邮件不会对收件人邮箱造成伤害 6 5 3 拒绝服务概述 简称DoS DenialofService 是指有大批量非法的用户请求使计算机硬件 软件或者两者同时失去工作能力 使得当前的系统不可访问并因此拒绝合法的用户服务请求 6 5 4发现黑客 管理员发现有其他人使用超级用户的帐号登录系统 某个用户短期内通过不同地址多次登录 原来不活跃的用户 最近突然十分活跃 多出一些未授权的用户等 6 5 5防范黑客的措施 事前阶段 系统安装防火墙 进行正确配置 对管理员和用户进行培训 事中阶段加强监控 监测 尽早发现异常 及时中止非法进程 事后阶段夺回控制权 断开网络 恢复系统和数据 提高系统的安全性 更新安全策略 重新连接网络 6 5 5 黑客入侵防护体系的模型 6 6防火墙技术 6 6 1防火墙的概念与功能特点6 6 2防火墙的基本类型6 6 3防火墙产品选购策略和使用6 6 4防火墙技术的发展方向 6 6 1防火墙的概念 防火墙是具有以下特征的计算机硬件或软件由内到外和由外到内的所有访问都必须通过它只有本地安全策略所定义的合法访问才被允许通过它防火墙本身无法被穿透 6 6 1 防火墙的功能特点 通过防火墙可以定义一个关键点防止外来入侵监控网络的安全若有异常给出报警提示提供网络地址转换功能 缓解IP地址资源紧张集中化的安全管理对网络访问进行记录和统计 6 6 1 防火墙的基本准则 过滤不安全服务过滤非法用户访问特殊站点 6 6 2防火墙的基本类型 包过滤防火墙代理服务器防火墙状态监视器防火墙 6 6 2 包过滤防火墙 通过在网络中的适当位置对数据包进行过滤根据检查数据流中每个数据包的源地址 目的地址 所有的TCP端口号和TCP链路状态等要素依据一组预定义的规则 以允许合乎逻辑的数据包通过防火墙进入到内部网络将不合乎逻辑的数据包加以删除 6 6 2 代理服务器防火墙 代理服务器运行在两个网络之间它对于客户来说像是一台真的服务器一样 而对于外界的服务器来说 它又是一台客户机 当代理服务器接收到用户的请求后 会检查用户请求的站点是否符合公司的要求 如果公司允许用户访问该站点的话 代理服务器会像一个客户一样 去那个站点取回所需信息再转发给客户 6 6 2 状态监视器防火墙 采用了一个在网关上执行网络安全策略的软件引擎 称之为检测模块 检测模块在不影响网络正常工作的前提下 采用抽取相关数据的方法对网络通信的各层实施监测 抽取部分数据 即状态信息 并动态地保存起来作为以后指定安全决策的参考 6 6 3防火墙产品选购策略和使用 CheckpointFirewall 美国老牌 NetScreen 完全基于硬件 天融信网络卫士东大阿尔派网眼 适用于交换路由双环境 清华紫光UnisFirewall 定位于大型ISP 未来的防火墙应该既有高安全性又有高效率 重新设计技术架构 比如在包过滤中引入鉴别授权机制 复变包过滤 虚拟专用防火墙 多级防火墙等将是未来可能发展的方向 本章要点小结 网络安全包括物理安全 逻辑安全 操作系统安全 网络传输安全 橙皮书 TCSEC 为计算机的安全级别进行分类 由低到高分为D C B A级 漏洞 是指硬件 软件或策略上的缺陷 后门是软硬件制造者为了进行非授权访问而在程序中故意设置的