8月17日网络安全.ppt

网络安全 HUC 1网络安全概述 网络安全的重要性政务 商务 金融 军事 社会稳定等网络安全是一个跨多门学科的综合性科学包括 通信技术 网络技术 计算机软件 硬件设计技术 密码学等在理论上 网络安全是建立在密码学以及网络安全协议的基础上的从技术上 网络安全取决于两个方面 网络设备的硬件和软件的安全 以及设备的访问控制 引入 现实中的举例 电子门钥 认证挂窗帘 防止外人偷窥加锁 防小偷养狗 拒绝不受欢迎之客电围墙 篱笆 门卫 审查安装警报系统 摄像头 检测不速之客 网络安全事件 网络监听 服务器 网络监听者 屏幕输入用户名 abcde密码 12345 屏幕显示用户名 abcde密码 12345 网络安全事件 假冒站点 当浏览者输入时 实际访问的是服务器B 这样他的私人信息就可能被B非法获取 网络安全事件 不安全Email 网络安全事件 抵赖 2007年国内安全事件统计 国家计算机网络应急技术处理协调中心 CNCERT CC 成立于2000年10月 每半年公布全国的网络安全工作报告 根据 2007年网络安全工作报告 07年共接收到4390件非扫描类安全事件报告 与2006年相比 主要类型的安全事件数量均近成倍增加 网络仿冒事件数量由563件增加至1326件 增长率近1 4倍 垃圾邮件事件数量由587件增加至1197件 增长率达1倍 网页恶意代码事件数量由320件增加至1151件 增长率近2 6倍 07年网络威胁的特征 间谍软件危害超过电脑病毒危害网络钓鱼事件频出 增长势头有增无减漏洞被发现和漏洞病毒出现的时间间隔越来越短病毒传播方式和途径更加多样化 更加隐蔽病毒与木马的结合 bot 带有蠕虫性质的木马 将大量感染bot程序 僵尸程序 的主机 在控制者和被感染主机之间形成一个可一对多控制的网络 僵尸网络 botnet 再加上利用P2P的特性智能手机的出现 手机病毒呈上升趋势 1 常见的不安全因素 物理因素 物理设备的不安全 电磁波泄漏等系统因素 系统软 硬件漏洞 病毒感染 入侵网络因素 网络协议漏洞 会话劫持 数据篡改 网络拥塞 拒绝服务管理因素 管理员安全意识淡漠 误操作 2 网络不安全的原因 自身的缺陷 系统软硬件缺陷 网络协议的缺陷开放性系统开放 计算机及计算机通信系统是根据行业标准规定的接口建立起来的 标准开放 网络运行的各层协议是开放的 并且标准的制定也是开放的 业务开放 用户可以根据需要开发新的业务 黑客攻击基于兴趣的入侵基于利益的入侵信息战 3 常见攻击手段 社会工程 攻击者可通过各种社交渠道获得有关目标的结构 使用情况 安全防范措施等有用信息从而提高攻击成功率口令破解 攻击者可通过获取口令文件 然后运用口令破解工具获得口令 也可通过猜测或窃听等方式获取口令地址欺骗 攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任连接盗用 在合法的通信连接建立后 攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接 从而假冒被接管方与对方通信网络窃听 网络的开放性使攻击者可通过直接或间接窃听获取所需信息数据篡改 攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性 常见攻击手段 续 恶意扫描 攻击者可编制或使用现有扫描工具发现目标的漏洞 进而发起攻击基础设施破坏 攻击者可通过破坏DNS或路由信息等基础设施 使目标陷于孤立数据驱动攻击 攻击者可通过施放病毒 特洛伊木马 数据炸弹等方式破坏或遥控目标拒绝服务 攻击者可直接发动攻击 也可通过控制其它主机发起攻击 使目标瘫痪 如发送大量的数据洪流阻塞目标 拒绝服务攻击 4 网络安全的特征 机密性信息不泄漏给非授权的用户 实体或者过程的特性 完整性数据未经授权不能进行改变的特性 即信息在存储或传输过程中保持不被修改 不被破坏的特性 可用性可被授权实体访问并按需求使用的特性 即当需要时应能存取所需的信息 可控性对信息的传输及访问具有控制能力 访问控制即属于可控性 5 网络安全的主要任务 保障网络与系统安全 可靠 高效 可控 持续地运行保障信息机密 完整 可认证 不可否认地传输和使用 6 需要保护的对象 硬件服务器 路由器 主机 PC 工作站 等软件操作系统 应用软件等数据电子邮件 电子商务 电子政务 信息发布等 2网络安全模型 RFC2828 InternetSecurityGlossary X 800 SecurityArchitectureforOSI 安全攻击 损害机构所拥有信息的安全的任何行为 安全机制 设计用于检测 预防安全攻击或者恢复系统的机制 安全服务 用于提高机构的数据处理系统安全和信息传输安全的服务 用一种或多种安全机制来提供安全服务 安全服务致力于抵御安全攻击 安全攻击 主动攻击 更改数据流 或伪造假的数据流 伪装 masquerade 重放 replay 篡改 modification 拒绝服务 denialofservice 被动攻击 对传输进行偷听与监视 获得传输信息 报文分析流量分析 即冒名顶替 一般而言 伪装攻击的同时往往还伴随着其他形式的主动攻击 先被动地窃取通信数据 然后再有目的地重新发送 即修改报文的内容 或者对截获的报文延迟 重新排序 阻止或占据对通信设施的正常使用或管理 针对特定目标或是某个网络 窃听和分析所传输的报文内容 分析通信主机的位置 通信的频繁程度 报文长度等信息 常见攻击小结 中断 Interruption 可用性窃听 Interception 机密性修改 Modification 完整性伪造 Fabrication 认证 不可否认性 安全机制 加密 用加密算法对信息加密 保护信息的机密性数字签名 用签名算法对信息进行计算 计算结果附加于信息单元 用于身份认证 数据完整性和非否认服务访问控制 用于实施资源访问权限的机制数据完整性 用于确保信息的完整性身份认证 确保信息交换的实体是所声称的实体流量填充 填充信息 防止流量分析路由控制 能够为特定数据选择特定路由公证 采用可信任的第三方以确保一些信息交换的性质 安全服务 认证 Authentication 提供某个实体的身份保证对等实体认证数据源认证访问控制 Accesscontrol 保护资源 防止对它的非法使用和操纵数据机密性 Dataencryption 保护信息不被泄露数据完整性 Integrity 保护信息以防止非法篡改不可否认性 No repudiation 防止参与通信的一方事后否认可用性 Availability 确保系统的可用 X 800定义了五类安全服务 系统性质 上述安全服务的基础 密码学 数据加密技术 加密是指将数据进行编码 使它成为一种按常规不可理解的形式 这种不可理解的内容叫密文 解密是加密的逆过程 即将密文还原成原来可理解的形式 数据加密技术的关键元素是加密算法和密钥 加密算法是一组打乱和恢复数据的指令集或一个数学公式 密钥则是算法中的可变参数 例 Howareyou lsaevicsy 3网络安全技术 3 1密码技术 3 4虚拟专用网技术 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接 虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道 并提供与专用网络一样的安全和功能保障 在虚拟专网中 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路 而是利用某种公众网的资源动态组成的 是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术 虚拟 virtual 指没有物理的连接存在于2个网络间 事实上 连接是通过Internet的路由完成的 专用 private 指传输的数据是保密的 通过加密和安全隧道 网络 network 指利用各种网络 私有 公用 有线无线等等 构成的通信手段 对VPN的需求 安全保障VPN应保证通过公用网络平台传输数据的专用性和安全性 这是目前公共Internet所无法提供的功能服务质量 QoS 保证对不同的用户提供不同的服务质量 如带宽 延时等保证 这取决于广域网上是否提供QoS保证可扩充性和灵活性便于增加新的节点 支持多种类型的传输媒体可管理性易于维护和管理 建立VPN所需的安全技术 VPN主要采用四项技术来保证安全 这四项技术分别为隧道技术 Tunneling 加解密技术 Encryption Decryption 密钥管理技术 KeyManagement 认证技术 Authentication 防火墙示意图 3 5防火墙 1 防火墙是网络安全的屏障 2 防火墙可以强化网络安全策略 3 对网络存取和访问进行监控审计 4 防止内部信息的外泄 防火墙的功能主要表现在如下四个方面 过滤进 出网络的数据 管理进 出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和告警 从总体上来看 防火墙应具有以下五个基本功能 常见的防火墙技术有三种 1 包 分组 过滤技术 2 代理技术 3 状态检测技术 包过滤防火墙一般位于内部网络和外部网络的边界上 是内外网络通信的唯一出入点 所有进出内部网络的流量首先都要经过包过滤防火墙的审查 1 包 分组 过滤技术 原理 分析IP报文 对应其中的所有参数 设置过滤策略 允许或者拒绝该报文穿越防火墙 分析的参数有 源IP地址 仅允许哪些设备访问内部网 宿IP地址 仅允许访问哪些结点 端口号 仅允许使用哪些服务 等 设置的策略包括 访问的时间段 并发访问的个数等 一般策略为 不明确表示 允许 的就是禁止 分组过滤式防火墙举例 策略库的构建 假设仅支持企业用户访问本地邮件服务器 注意 简单邮件传输协议 SMTP 基于TCP的服务 SMTP服务器 即接受者 使用端口25 客户机 即发送者 使用大于1023的任意端口 远程访问 服务器互访 服务器互访 代理 Proxy 技术与包过滤技术完全不同 代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序 采用代理技术的防火墙将所有跨越防火墙的网络通信链路分为两段 从而起到了隔离防火墙内外计算机系统的作用 代理服务一般分为应用层代理与传输层代理两种 2 代理技术 代理外部 或内部 用户访问内部 或外部 网络 杜绝内部和外部的直接访问 代理服务器分析客户的请求 根据制定的策略决定允许或者拒绝某个特定的请求 当一个请求被允许时 代理服务器就 代表 该客户执行访问操作 并将结果返回客户 此处的 代表 隐含了分组中IP地址的替换 迁移 此类防火墙安全较高 但效率受影响 常用于特定的应用服务 如FTP服务 Telnet服务 远程拨号服务等 状态包过滤 StatefulPacketFilter 是一种基于连接的状态检测机制 将属于同一连接的所有包作为一个整体的数据流看待 对接收到的数据包进行分析 判断其是否属于当前合法连接 从而进行动态的过滤 3 状态包过滤技术 除了上面介绍的防火墙技术外 一些新的技术正在防火墙产品采用 主要有 NATVPN安全审计安全内核身份认证负载平衡内容安全加密技术等 4 防火墙的其他相关技术 防火墙的局限性和发展 没有万