第七章-网络安全.ppt

第7章网络安全,7.1网络安全基础,7.1.1网络安全基本概念1、网络安全基本要素网络安全包括5个基本要素：机密性、完整性、可用性、可控性与可审查性。机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性：可用控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。,2、网络安全威胁目前网络存在的威胁主要表现在以下方面：非授权访问：没有预先经过同意，就使用网络或计算机资源则被看作非授权访问，它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。信息泄露或丢失:指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息如用户口令、账号等重要信息。,破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。拒绝服务攻击:它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。混合威胁攻击：混合威胁是新型的安全攻击，主要表现为一种病毒与黑客程序相结合的新型蠕虫病毒，可以借助多种途径和技术潜入企业、政府、银行、军队等的网络。这些利用“缓存溢出”对其他网络服务器进行传播的蠕虫病毒，还具有持续发作的特点。混合威胁的出现说明病毒编写者正在利用大量的系统漏洞将病毒传播的速度最大化。间谍软件、广告程序和垃圾邮件攻击：近年在全球范围内最流行的攻击方式是钓鱼式攻击，它利用间谍软件、广告程序和垃圾邮件将用户引入恶意网站，这些网站看起来与正常网站没有什么两样，但犯罪分子通常会以升级账户信息为由要求用户提供机密资料。,3、网络安全控制技术为了保护网络信息的安全可靠，除了运用法律和管理手段外还需依靠技术方法来实现，网络安全控制技术目前有：防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术、统一威胁安全管理技术等。防火墙技术。防火墙技术是近年来维护网络安全最重要的手段。根据网络信息保密程度，实施不同的安全策略和多级保护模式。加强防火墙的使用，可以经济、有效地保证网络安全。目前已有不同功能的多种防火墙，但防火墙也不是万能的，需要配合其他安全措施来协同防范。,加密技术。加密技术是网络信息安全主动的、开放型的防范手段，对于敏感数据应采用加密处理，并且在数据传输时采用加密传输，目前加密技术主要有两大类；一类是基于对称密钥的加密算法也称私钥算法；另一类是基于非对称密钥的加密算法，也称公钥算法。加密手段，一般分软件加密和硬件加密两种。软件加密成本低而且实用灵活，更换也方便，硬件加密效率高，本身安全性高。密钥管理包括密钥产生、分发、更换等，是数据保密的重要一环。,用户识别技术。用户识别和验证也是一种基本的安全技术。其核心是识别访问者是否属于系统的合法用户，目的是防止非法用户进入系统。目前一般采用基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证。比较著名的有Kerberos、PGP等方法访问控制技术。访问控制是控制不同用户对信息资源的访问权限。根据安全策略，对信息资源进行集中管理，对资源的控制粒度有粗粒度和细粒度两种，可控制到文件、Web的HTML页面、图形、CCT、Java应用。,网络反病毒技术。计算机病毒从1981年首次被发现以来，在近20年的发展过程中在数目和危害性上都在飞速发展。因此计算机病毒问题越来越受到计算机用户和计算机反病毒专家的重视，并且开发出了许多防病毒的产品。漏洞扫描技术。漏洞检测和安全风险评估技术，可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果。该技术的应用可以帮助分析资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。网络漏洞扫描技术，主要包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息以及评测风险、提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能地消除安全隐患。（卡卡助手，360安全卫士）,入侵检测技术。入侵行为主要是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏，可以造成系统拒绝合法用户的服务等危害。入侵者可以是一个手工发出命令的人，也可以是一个基于入侵脚本或程序的自动发布命令的计算机。入侵者分为两类：外部入侵者和允许访问系统资源但又有所限制的内部入侵者。内部入侵者又可分成：假扮成其他有权访问敏感数据用户的入侵者和能够关闭系统审计控制的入侵者。入侵检测是一种增强系统安全的有效技术。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。检测时，通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评估结果来鉴别系统中行为的正常性，从而帮助系统管理员进行安全管理或对系统所受到的攻击采取相应的对策。,统一威胁安全管理技术。统一威胁安全管理技术(UTM)是保持威胁生态平衡的一种方法，由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测防御和网关防病毒功能该项技术需要一定的技术过渡期。,7.1.2黑客的攻击手段黑客在世界各地四处出击，寻找机会袭击网络，几乎到了无孔不入的地步有不少黑客袭击网络时并不是怀有恶意他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华，但也有一些黑客的网络袭击行为是有意地对网络进行破坏。黑客(Hacker)指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里，活跃着这批特殊的人，他们是真正的程序员，有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地，同时也使汁算机网络世界多了一份灾难，一般人们把他们称之为黑客(Hacker)或骇客(Cracker)，前者更多指的是具有反传统精神的程序员，后者更多指的是利用工具攻击别人的攻击者，具有明显贬义。但无论是黑客还是骇客，都是具备高超的计算机知识的人。,目前世界最著名的黑客组织有美国的大屠杀2600（Genocide2600）、德国的混沌计算机俱乐部(ChaosComputerClub)、北美洲的地下兵团(TheLegionoftheUnderground)等。在国外，更多的黑客是无政府主义者、自由主义者，而在国内，大部分黑客表现为民族主义者。近年来，国内陆续出现了一些自发组织的黑客团体，有“中国鹰派”、“绿色兵团”、“中华黑客联盟”等，其中的典型代表是“中国红客网络安全技术联盟(HonkerUnionofChina)”，简称H.U.C.网址为honker.corn。,黑客的攻击手段1、口令入侵所谓口令人侵是指使用某些合法用户的账号和口令登录到目的主机然后再实施攻击活动。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。通常黑客会利用一些系统使用习惯性的账号的特点，采用字典穷举法（或称暴力法）来破解用户的密码。采用中途截击的方法也是获取用户账户和密码的一条有效途径。,2、放置特洛伊木马程序在计算机领域里，有一类特殊的程序，黑客通过它来远程控制别人的计算机，把这类程序称为特洛伊木马程序。从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序。,特洛伊木马程序一般分为服务器端(Server)和客户端(Client)，服务器端是攻击者传到目标机器上的部分，用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部分，放在攻击者的机器上。现在有许多这样的程序，国外的此类软件有BackOffice、Netbus等，国内的此类软件有Netspy、YAI、SubSeven、冰河、“广外女生”等。,3、DoS攻击DoS是DenialofService的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。分布式拒绝服务(DDoS，DistributedDenialofService)攻击指借助于客户服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,4、端口扫描所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方式有：TCPconnect()扫描、TCPSYN扫描、TCPFIN扫描、lP段扫描和FTP返回攻击等。扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。扫描器应该有3项功能：发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力。,5、网络监听网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用，因而一直备受网络管理员的青睐。然而，在另一方面网络监听也给以太网的安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内的网络监听行为，从而造成口令失窃、敏感数据被截获等连锁性安全事件。网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具就可轻而易举地截取包括口令和账号在内的信息资料。Sniffer是一个著名的监听工具，它可以监听到网上传输的所有信息。还有EtherPeek,WireShark,6、欺骗攻击欺骗攻击是攻击者创造一个易于误解的上下文环境，以诱使受攻击者进入并且作出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏：攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话，那么受攻击者所做的一切都是无可厚非的。但遗憾的是，在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。常见的欺骗攻击有：（1）Web欺骗。Web欺骗允许攻击者创造整个WWW世界的影像复制。影像Web的入口进入到攻击者的Web服务器，经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动，包括账户和口令。,（2）ARP欺骗。通常源主机在发送一个IP包之前，它要到该转换表中寻找和IP包对应的MAC地址。此时，若入侵者强制目的主机Down掉(比如发洪水包)，同时把自己主机的IP地址改为合法目的主机的IP地址，然后他发一个ping(icmpO)给源主机，要求更新主机的ARP转换表，主机找到该IP，然后在ARP表中加入新的IP与MAC对应关系。合法的目的主机失效了，入侵主机的MAC地址变成了合法的MAC地址。,（3）IP欺骗。IP欺骗由若干步骤组成，首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主饥丧失工作能力，同时采样目标主机发TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。,7、电子邮件攻击电子邮件攻击主要表现为向目标信箱发送电子邮件炸弹。所谓的邮件炸弹实质上就是发送地址不详且容量庞大的邮件垃圾。由于邮件信箱都是有限的，当庞大的邮件垃圾到达信箱的时候，就会把信箱挤爆，同时，由于它占用了大量的网络资源，常常导致网络塞车，它常发生在当某人或某公司的所作所为引起了某些黑客的不满时，黑客就会通过这种手段来发动进攻，以泄私愤。因为相对于其他攻击手段来说，这种攻击方法具有简单、见效快等优点。此外，电子邮件欺骗也是黑客常用的手段。,8、社会工程学攻击社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步接一步地解决各种社会问题。社会工程学攻击，是攻击者利用人际关系的互动性所发出的攻击。通常攻击者如果无法通过物理入侵直接取得所需要的资料时，就会通过电子邮件或者电话对所需要的资料进行骗取，再利用这些资料获取主机的权限以达到其本身的目的。,7.1.3可信计算机系统评估标准,1、计算机系统安全评估准则综述美国国家计算机安全中心(NCSC)于1983年公布了可信计算机系统评估准则(TCSEC，TrustedComputerSystemEvaluationCriteria，俗称桔皮书)，TCSEC将计算机系统的安全划分为4个等级、7个级别（D1、C1、C2、B1、B2、B3和A1）,TCSEC分为4个等级、7个级别,90年代西欧4国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC，InformationTechnologySystemEvaluationCriteria，又称欧洲白皮书)。ITSEC除了借鉴TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念挺高到可信信息技术的高度上来认识。ITSEC标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。F1F5级对应于TCSEC的D到A。F6F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。评估准则分为6级，分别是测试、配置控制和可控的分配、能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。,1993年，加拿大发布了“加拿大可信计算机产品评估准则”(CTCPEC，CanadaTrustedComputerProductEvaluationCriteria)，CTCPEC综合了TCSEC和ITSEC两个准则的优点，专门针对政府需求而设计。与ITSEC类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为4大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，级别为05级。,、llkllonhhhhhhiyuyutysaaaaaaadfghjl；l,通用安全评估准则（CCTheCommonCriteriaforInformationTechnologySecurityEvaluation）由美国国家标准技术研究所（NIST）、国家安全局（NSA）、欧洲的荷、法、德、英以及加拿大等6国7方联合提出，它的基础是欧洲的白皮书ITSEC、美国的(包括桔皮书TCSEC在内的)新的联邦评价准则，加拿大的CTCPEC以及国际标准化组织的ISO/SCITWGS的安全评价标准,我国计算机信息系统安全保护等级划分准则1999年由国家质量技术监督局审查通过并正式批准发布计算机信息系统安全保护等级划分准则，标准规定了计算机信息系统安全保护能力的5个等级。第1级：用户自主保护级第2级：系统审计保护级第3级：安全标记保护级第4级：结构化保护级第5级：访问验证保护级（各规章5）,7.2防火墙,1、防火墙的定义防火墙是加强网络安全的一种非常流行的方法。在因特网的Web网站中，超过三分之一的网站都是由防火墙加以保护的，这是防范黑客攻击最安全的一种方式。从逻辑上讲，防火墙是分离器、限制器和分析器，它有效地监控了信任网络和非信任网络之间的任何活动，保证了信任网络的安全。从实现方式上防火墙可以分为硬件防火墙和软件防火墙两类，硬件防火墙是通过硬件和软件的组合来达到隔离内、外部网络的目的；软件防火墙是通过纯软件的方式来实现隔离内、外部网络的目的。,防火墙具有的一些功能：(1)对进出的数据包进行过滤，滤掉不安全的服务和非法用户。(2)监视因特网安全，对网络攻击行为进行检测和报警。(3)记录通过防火墙的信息内容和活动。(4)控制对特殊站点的访问，封堵某些禁止的访问行为。,防火墙的相关概念(1)非信任网络(公共网络)：处于防火墙之外的公共开放网络。(2)信任网络(内部网络)：位于防火墙之内的可信网络，是防火墙要保护的目标。(3)DMZ(非军事化区)：也称周边网络，可以位于防火墙之外也可以位于防火墙之内。安全敏感度和保护强度较低。非军事化区一般用来放置提供公共网络服务的设备。(4)可信主机：位于内部网的主机且具有可信任的安全特性。(5)非可信主机：不具有可信特性的主机(6)公网IP地址：有因特网信息中心统一管理分配的lP地址。可在因特网上使用。(7)保留lP地址：专门保留用于内部网的IP地址可以由网络管理员任意指派在因特网上不可识别和不可路由，如：和，172。16.0.0等地址网段。(8)包过滤：防火墙对每个数据包进行允许或拒绝的决定，具体地说，就是根据数据包的头部按照规则进行判断，决定继续转发还是丢弃。(9)地址转换：防火墙将内部网主机不可路由的保留地址转换成公共网络可识别的公共地址，可以达到节省IP和隐藏内部网拓扑结构信息等目的。,防火墙是加强网络安全的一种有效手段，它有以下优点：(1)防火墙能强化安全策略。(2)防火墙能有效的记录因特网上的活动(3)防火墙是一个安全策略的边防站。,防火墙的缺点：(1)防火墙不能防范不经由防火墙的攻击。(2)防火墙不能防止感染了病毒的软件或文件的传输。(3)防火墙不能防止数据驱动式攻击,根据防火墙实现原理的不同，通常将防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙根据防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙、硬件防火墙以及芯片级防火墙,防火墙分类,7.3入侵检测,1、入侵检测系统概念入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。,入侵检测(IntrusionDetection)，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS，IntrusionDetectionSystem)。,2、入侵检测系统的功能(1)监测并分析用户和系统的活动；(2)核查系统配置和漏洞；(3)评估系统关键资源和数据文件的完整性；(4)识别已知的攻击行为；(5)统计分析异常行为；(6)操作系统日志管理，并识别违反安全策略的用户活动。,3、入侵检测系统分类,从技术上,入侵检测分为两种：一种基于标识(signature-based)，另一种基于异常情况(anomaly-based)。基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等。,入侵检测系统基本原理,1、信息收集入侵检测的基础是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自以下4个方面：系统和网络日志文件目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息,入侵检测系统基本原理,2、信号分析入侵检测的核心是信号分析。一般通过3种技术手段进行分析模式匹配统计分析完整性分析,入侵防护系统(IPS，IntrusionPreventionSystem),防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。绝大多数IDS系统都是被动的而不是主动的。而入侵防护系统(IPS)则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。,IPS的种类基于主机的入侵防护（HIPS）HIPS通过在主机服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于网络的入侵防护（NIPS）NIPS通过检测流经的网络流量，提供对网络系统的安全保护。应用入侵防护（AIP）,IPS技术特征(1)嵌入式运行(2)深入分析和控制(3)入侵特征库(4)高效处理能力,IPS面临的挑战IPS技术需要面对很多挑战，其中主要有3点：单点故障、性能瓶颈、误报和漏报。,7.4漏洞扫描,漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描系统，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在因特网上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。漏洞扫描技术是检测远程或本地系统安全脆弱性的一种安全技术。通过与目标主机TCP/IP端口建立连接并请求某些服务(如TELNET、FTP等)，记录目标主机的应答，搜集目标主机栩关信息(如匿名用户是否可以登录等)，从而发现目标主机某些内在的安全弱点。,漏洞扫描系统基本原理漏洞扫描系统的工作原理是：当用户通过控制平台发出了扫描命令之后，控制平台即向扫描模块发出相应的扫描请求，扫描模块在接到请求之后立即启动相应的子功能模块，对被扫描主机进行扫描。通过对从被扫描主机返回的信息进行分析判断，扫描模块将扫描结果返回给控制平台，再由控制平台最终呈现给用户。,漏洞处理策略最常见的主要包含以下类型的漏洞：CGI脚本漏洞、POP3漏洞、FTP漏洞、SSH漏洞、HTTP漏洞、SM