《计算机网络安全》PPT课件.ppt

第11章计算机网络安全 11 1概述11 2网络黑客攻击11 3网络安全解决方案 11 1概述 11 1 1计算机网络安全的定义网络安全从其本质上来讲就是网络上的信息安全 是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 从广义来说 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性的相关技术和理论都是网络安全所要研究的领域 网络安全涉及的内容既有技术方面的问题 也有管理方面的问题 两方面相互补充 缺一不可 技术方面主要侧重于防范外部非法用户的攻击 管理方面则侧重于内部人为因素的管理 11 1 2网络安全的内容 计算机网络的安全性问题实际上包括两方面的内容 一是网络的系统安全 二是网络的信息安全 由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息 因而计算机网络的安全性可以定义为 保障网络服务的可用性和网络信息的完整性 前者要求网络向所有用户有选择地随时提供各自应得到的网络服务 后者则要求网络保证信息资源的保密性 完整性 可用性和准确性 一个安全的计算机网络应该具有以下几个特点 1 可靠性 2 可用性 3 保密性 4 完整性 5 不可抵赖性 不可否认性 概括起来讲 网络信息安全就是通过计算机技术 通信技术 密码技术和安全技术保护在公用网络中存储 交换和传输信息的可靠性 可用性 保密性 完整性和不可抵赖性的技术 11 1 2网络安全的内容 从技术角度看 网络安全的内容大体包括4个方面 1 网络实体安全如机房的物理条件 物理环境及设施的安全标准 计算机硬件 附属设备及网络传输线路的的安装及配置等 2 软件安全如保护网络系统不被非法侵入 系统软件与应用软件不被非法复制 篡改 不受病毒的侵害等 11 1 2网络安全的内容 3 网络数据安全如保护网络信息的数据安全不被非法存取 保护其完整一致等 4 网络安全管理如运行时突发事件的安全处理等 包括采取计算机安全技术 建立安全管理制度 开展安全审计 进行风险分析等内容 由此可见 计算机网络安全不仅要保护计算机网络设备安全 还要保护数据安全等 其特征是针对计算机网络本身可能存在的安全问题 实施网络安全保护方案 以保证计算机网络自身的安全性为目标 11 1 3计算机网络面临的威胁 计算机网络上的通信面临的威胁主要包括 1 截获 攻击者从网络上窃听信息 2 中断 攻击者有意中断网络上的通信 3 篡改 攻击者有意更改网络上的信息 4 伪造 攻击者使假的信息在网络上传输上述的四种威胁可以分为两类 即被动攻击和主动攻击 其中截获信息被称为被动攻击 攻击者只是被动地观察和分析信息 而不干扰信息流 一般用于对网络上传输的信息内容进行了解 中断 篡改和伪造信息被称为主动攻击 主动攻击对信息进行各种处理 如有选择的更改 删除或伪造等 11 1 4网络不安全的原因 网络不安全的原因是多方面的 主要包括 第一 是来自外部的不安全因素 即网络上存在的攻击 在网络上 存在着很多的敏感信息 有许多信息都是一些有关国家政府的 军事的 科学研究的 经济的以及金融方面的信息 有些别有用心的人企图通过网络攻击的手段截获信息 第二 是来自网络系统本身的 如网络中存在着硬件 软件 通信 操作系统或其它方面的缺陷与漏洞 给网络攻击者以可乘之机 这是黑客能够实施攻击的根本 也是一些网络爱好者利用网络存在的漏洞 编制攻击程序的练习场所 11 1 4网络不安全的原因 第三 是网络应用安全管理方面的原因 网络管理者缺乏网络安全的警惕性 忽视网络安全 或对网络安全技术缺乏了解 没有制定切实可行的网络安全策略和措施 第四 是网络安全协议的原因 在互联网上使用的协议是TCP IP 其IPv4版在设计之初没有考虑网络安全问题 从协议的根本上缺乏安全的机制 这是互联网存在安全威胁的主要原因 11 1 5网络安全措施 1 在安全监测和评估方面 包括网络 保密性以及操作系统的检测与评估 网络操作系统的检测与评估又是首要的 国际上目前主要参照美国计算机中心于1983年 后来多次修订 发表的可信任计算机标准评价准则 简称TCSEC 把计算机操作系统分为4个等级 A B C D 和8个级别 D级最低 A级最高 一般的操作系统的安全都处于D与A级之间 例如著名的Unix操作系统属于C1级 2 在安全体系结构方面目前主要参照ISO于1989年制定的OSI网络安全体系结构 包括安全服务和安全机制 主要解决网络信息系统中的安全与保密问题 11 1 5网络安全措施 OSI加密机制主要包括加密机制 数字签名机制 访问控制机制 数据完整性机制 交换鉴别机制 业务流量填充机制 路由控制机制和公证机制等 加密机制是提供数据保密最常用的方法 数字签名机制是防止网络通信中否认 伪造 冒充和篡改的常用方法之一 3 安全管理可以分为技术管理和行政管理两方面 技术管理包括系统安全管理 安全服务管理 安全机制管理 安全事件处理 安全审计管理 安全恢复管理和密钥 以后介绍 管理等 行政管理的重点是设立安全组织机构 安全人事管理和安全责任管理与监督等 11 1 6网络安全策略 网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息 一般来说 安全策略包括两个部分 一个总体的策略和具体的规则 总体的策略用于阐明公司安全政策的总体思想 而具体的规则用于说明什么活动是被允许的 什么活动是被禁止的 1 网络安全策略的等级网络安全策略可分为以下4个等级 1 不把内部网络和外部网络相连 因此一切都被禁止 2 除那些被明确允许之外 一切都被禁止 3 除那些被明确禁止之外 一切都被允许 4 一切都被允许 当然也包括那些本来被禁止的 11 1 6网络安全策略 2 网络安全策略的内容一个好的网络安全性策略应包括如下内容 1 网络用户的安全责任 2 系统管理员的安全责任 3 正确利用网络资源 4 检测到网络安全问题时的对策 11 1 6网络安全策略 3 网络安全策略网络安全管理主要是配合行政手段 从技术上实现安全管理 从范畴上讲 涉及四个方面 物理安全策略 访问控制策略 入网访问控制 网络的权限控制 目录级安全限制 属性级安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 防火墙控制 信息加密策略 网络安全管理策略 11 2网络黑客攻击 11 2 1黑客黑客是英文hacker的译音 原意为热衷于电脑程序的设计者 指对于任何计算机操作系统的奥秘都有强烈兴趣的人 黑客大都是程序员 他们具有操作系统和编程语言方面的高级知识 知道系统中的漏洞及其原因所在 他们不断追求更深的知识 并公开他们的发现 与其它人分享 并且从来没有破坏数据的企图 黑客在微观的层次上考察系统 发现软件漏洞和逻辑缺陷 他们编程去检查软件的完整性 黑客出于改进的愿望 编写程序去检查远程机器的安全体系 这种分析过程是创造和提高的过程 11 2网络黑客攻击 黑客指利用通信软件通过网络非法进入他人系统 截获或篡改计算机数据 危害信息安全的电脑入侵者 黑客们通过猜测程序对截获的用户账号和口令进行破译 以便进入系统后做更进一步的操作 黑客攻击的步骤包括以下步骤 1 收集目标计算机的信息2 寻求目标计算机的漏洞和选择合适的入侵方法3 留下 后门 4 清除入侵记录 11 2 2扫描 扫描是网络攻击的第一步 通过扫描可以直接截获数据包进行信息分析 密码分析或流量分析等 通过扫描查找漏洞如开放端口 注册用户及口令 系统漏洞等 扫描有手工扫描和利用端口扫描软件 手工扫描是利用各种命令 如Ping Tracert Host等 使用端口扫描软件是利用扫描器进行扫描 常用的扫描器软件有 1 PorScan 2 SATAN 3 网络安全扫描器NSS 4 Strobe 11 2 3Sniffer Sniffer 中文可以翻译为嗅探器 是一种威胁性极大的被动攻击工具 使用这种工具 可以监视网络的状态 数据流动情况以及网络上传输的信息 当信息以明文的形式在网络上传输时 便可以使用网络监听的方式来进行攻击 将网络接口设置在监听模式 便可以将网上传输的源源不断的信息截获 黑客们常常用它来截获用户的口令 据说某个骨干网络的路由器曾经被黑客攻人 并嗅探到大量的用户口令 1 网络技术与设备简介 数据在网络上是以很小的称为帧 Frame 的单位传输的 帧由几部分组成 不同的部分执行不同的功能 帧通过特定的称为网络驱动程序的软件进行成型 然后通过网卡发送到网线上 通过网线到达它们的目的机器 在目的机器的一端执行相反的过程 接收端机器的以太网卡捕获到这些帧 并告诉操作系统帧已到达 然后对其进行存储 就是在这个传输和接收的过程中 嗅探器会带来安全方面的问题 在一般情况下 网络上所有的机器都可以 听 到通过的流量 但对不属于自己的数据包则不予响应 换句话说 工作站A不会捕获属于工作站B的数据 而是简单地忽略这些数据 如果某个工作站的网络接口处于混杂模式 关于混杂模式的概念会在后面解释 那么它就可以捕获网络上所有的数据包和帧 2 网络监听原理 Sniffor程序是一种利用以太网的特性把网络适配卡 NIC 一般为以太同卡 置为杂乱 promiscuous 模式状态的工具 一旦同卡设置为这种模式 它就能接收传输在网络上的每一个信息包 普通的情况下 网卡只接收和自己的地址有关的信息包 即传输到本地主机的信息包 要使Sniffer能接收并处理这种方式的信息 系统需要支持BPF Linux下需要支持SOCKET一PACKET 并绕过标准的TCP IP堆栈 所以网卡就必须设置为我们刚开始讲的混杂模式 一般情况下 要激活这种方式 内核必须支持这种伪设备Bpfilter 而且需要root权限来运行这种程序 所以sniffer需要root身份安装 如果只是以本地用户的身份进人了系统 那么不可能唤探到root的密码 因为不能运行Sniffer 3Snifffer的分类 Sniffer分为软件和硬件两种 软件的Sniffer有NetXray Packetboy Netmonitor等 其优点是物美价廉 易于学习使用 同时也易于交流 缺点是无法抓取网络上所有的传输 某些情况下也就无法真正了解网络的故障和运行情况 硬件的Sniffer通常称为协议分析仪 一般都是商业性的 价格也比较贵 11 2 4特洛伊木马 特洛伊木马 trojanhorse 简称 木马 是一种计算机程序 它驻留在目标计算机里 在目标计算机系统启动的时候 自然启动 并在某一端口进行侦听 如果在该端口收到数据 对这些数据进行识别 然后按识别后的命令 在目标计算机上执行一些操作 比如 窃取口令 拷贝或删除文件或重新启动计算机 特洛伊木马隐藏着可以控制用户计算机系统 危害系统安全的功能 它可能造成用户资料泄漏 破坏或使整个系统崩溃 11 2 5常见的黑客攻击方法 1 口令攻击2 拒绝服务的攻击3 网络监听4 缓冲区溢出5 电子邮件攻击6 其它攻击方法 11 3网络安全解决方案 物理层的安全防护 在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案 链路层安全保护 主要是链路加密设备对数据加密保护 它对所有用户数据一起加密 用户数据通过通信线路送到另一节点后解密 网络层和安全防护 网络层的安全防护是面向IP包的 网络层主要采用防火墙作为安全防护手段 实现初级的安全防护 在网络层也可以根据一些安全协议实施加密保护 在网络层也可实施相应的入侵检测 11 3网络安全解决方案 传输层的安全防护 传输层处于通信子网和资源子网之间 起着承上启下的作用 传输层也支持多种安全服务 对等实体认证服务 访问控制服务 数据保密服务 数据完整性服务 数据源点认证服务等 应用层的安全防护 应用层的安全防护 原则上讲所有安全服务均可在应用层提供 在应用层可以实施强大的基于用户的身份认证 在应用层也是实施数据加密 访问控制的理想位置 在应用层还可加强数据的备份和恢复措施 11 3 1操作系统安全使用 作系统是网络管理与控制的系统软件 是使用网络的入口点 因此操作系统的安全使用对于网络安全来说是至关重要的 1 安全使用以Windows2000Server为例 正确地使用操作系统应该注意 设置好超级用户的口令 采用NTFS文件系统 关闭不需要的服务程序 端口等 尽量不用操作系统的新版本 关闭Guest用户 降低Everyone的权限 正确设置文件夹 文件等资源访问的权限等 11 3 1操作系统安全使用 2 消除漏洞Windows2000Server等操作系统一般都存在许多漏洞 在使用某种操作系统时 应经常进行安全检测及查找漏洞 关注系统漏洞的发布以及补丁程序的发布 并及时下载 安装在系统中 3 安全策略配置以Windows2000Server为例 运行 开始程序管理工具本地安全策略 进入安全策略设置界面进行安全策略设置 包括账户密码策略 账户锁定策略 审核策略 用户权力指派 安全选项等 11 3 2防火墙 在网络中 防火墙是一种用来加强网络之间访问控制的特殊网络互联设备 如路由器 网关等 如图11 1所示 它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查 以决定网络之间的通信是否被允许 其中被保护的网络称为内部网络 另一方则称为外部网络或公用网络 11 3 2防火墙 图11 1防火墙 11 3 2防火墙 防火墙是一个或一组在两个网络之间执行访问控制策略的系统 包括硬件和软件 目的是保护网络不被可疑人侵扰 本质上 它遵从的是一种允许或阻止业务来往的网络通信安全机制 也就是提供可控的过滤网络通信 只允许授权的通信 通常 防火墙就是位于内部网或Web站点与Internet之间的一个路由器或一台计算机 又称为堡垒主机 其目的如同一个安全门 为门内的部门提供安全 控制那些可被允许出入该受保护环境的人或物 就像工作在前门的安全卫士 控制并检查站点的访问者 1 防火墙的功能 由软件和硬件组成的防火墙应该具有以下功能 1 所有进出网络的通信流都应该通过防火墙 2 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权 3 理论上说 防火墙是穿不透的 2 防火墙的分类 目前 根据防火墙在ISO OSI模型中的逻辑位置和网络中的物理位置及其所具备的功能 可以将其分为两大类 基本型防火墙和复合型防火墙 基本型防火墙有包过滤路由器和应用型防火墙 复合防火墙将以上两种基本型防火墙结合使用 主要包括主机屏蔽防火墙和子网屏蔽防火墙 2 防火墙的分类 1 包过滤路由器包过滤路由器 packetfilters 在一般路由器的基础上增加了一些新的安全控制功能 是一个检查通过它的数据包的路由器 包过滤路由器的标准由网络管理员在网络访问控制表 accesscontrollist 中设定 以检查包的源地址 目的地址及每个IP包的端口 它是在7层协议的下3层中实现的 包的类型可以拦截和登录 因此 此类防火墙易于实现对用户透明的访问 且费用较低 但包过滤路由器无法有效地区分同一IP地址的不同用户 因此安全性较差 2 防火墙的分类 2 应用型防火墙应用型防火墙 applicationgateway 又称双宿主网关或应用层网关 的物理位置与包过滤路由器一样 但它的逻辑位置在OSI7层协议的应用层上 所以主要采用协议代理服务 proxyservices 就是在运行防火墙软件的堡垒主机 bastionhost 上运行代理服务程序Proxy 应用型防火墙不允许网络间的直接业务联系 而是以堡垒主机作为数据转发的中转站 堡垒主机是一个具有两个网络界面的主机 每一个网络界面与它所对应的网络进行通信 它既能作为服务器接收外来请求 又能作为客户转发请求 2 防火墙的分类 3 主机屏蔽防火墙主机屏蔽防火墙是由一个只需单个网络端口的应用型防火墙和一个包过滤路由器组成 将它物理地连接在网络总线上 它的逻辑功能仍工作在应用层上 所有业务通过它代理服务 Intranet不能直接通过路由器和Internet相联系 数据包要通过路由器和堡垒主机两道防线 这个系统的第一个安全设施是过滤路由器 对到来的数据包而言 首先要经过包过滤路由器的过滤 过滤后的数据包被转发到堡垒主机上 然后由堡垒主机上应用服务代理对这些数据包进行分析 将合法的信息转发到Intranet的主机上 外出的数据包首先经过堡垒主机上的应用服务代理检查 然后被转发到包过滤路由器 最后由包过滤路由器转发到外部网络上 主机屏蔽防火墙设