《网络安全概述》PPT课件

2020/5/21,计算机网络安全,1,计算机网络安全技术,2020/5/21,计算机网络安全,2,第1章网络安全概述,1.1网络安全研究的动因及不安全主要因素1.2网络安全的定义及特征1.3网络安全的主要威胁1.4网络安全策略与安全等级1.5网络安全管理技术及新技术1.6网络信息安全机制,本章要点：,3,信息安全的若干典型问题,军事秘密通信、私密邮件，怎样不让截获者看到？通信双方如何确认信息没有丢失？通信双方如何确认信息没有损坏或遭恶意篡改？多人公用一台电脑，如何保证个人的文件不被其他人看到、打开、修改？电脑不随身携带时，如何避免他人打开使用？计算机病毒怎么工作的，如何防范？,4,信息安全的若干典型问题,校园网的服务器如何避免黑客的进入和篡改，被篡改后，如何恢复？企业内网维护人员违规操作怎么办？互联网如何过滤色情、反动的网站？公安部门怎么抓捕在互联网上造谣的，盗窃的，安全部门怎么通过互联网收集恐怖分子的行踪？国家之间的网络战如何打？,5,2012年的典型安全威胁,1、2012年3月份，黑客组织Anonymous扬言要干掉整个互联网以给“SOPA法案(禁止网络盗版法案)，华尔街及黑心银行家，前者的保护伞政府”等一点颜色看看。Anonymous计划对所有13台DNS域名根服务器发起大规模DDoS行动，届时在浏览器中输入所有域名都将返回错误页面，使得不少用户届时将认为网络无法使用。2012年8月，维基解密表示，自己的网站遭受到了持续的DDOS（拒绝服务）黑客攻击，导致网站在一周多的时间里反应迟缓或无法登录。,6,2012年的典型安全威胁,2、信息泄露事件愈演愈烈2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击，2400万用户信息被窃取。2012年3月，东软集团被曝商业秘密外泄，约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。损失高达4000余万.2012年3月，央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户银行卡账号被盗。2012年5月，1号店90万用户信息被500元叫卖。有媒体从90万全字段的用户信息资料上进行了用户信息验证，结果表明大部分用户数据属真实信息。个人信息的泄露将会导致诈骗、勒索甚至威胁人身安全的事件发生频率增高，让人心悸.2012年7月，京东、雅虎、Linkedin和安卓论坛累计超过800万用户信息泄密，而且让人堪忧的是，部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息2012年7月，三星电子员工向LGD泄密AMOLED技术被起诉。2012年8月，银行外包后台成泄密重灾区，江苏银行1个月卖千份客户资料。同月，上海数十万条新生儿信息遭倒卖，出自市卫生局数据库外包维护工作人员。2012年9月，美国媒体报道：有黑客组织声称破解了联邦调查局（FBI）主管的笔记本电脑，获得了1200万苹果iOS用户UDID、用户名、设备名称、设备类型、苹果推送通知服务记录、电话号码、地址、等重要内容。2012年11月，“三通一达”等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露，甚至衍生出多个专门交易快递单号信息的网站。这些交易网站显示，被交易的快递单号来自包括申通、圆通、中通、韵达在内的多个快递公司，“淘单114”还写着“单号来源于各地快递员”。,7,2012年的典型安全威胁,3、2012年Android智能手机已经占据智能手机市场75%的市场份额。在中国，Android手机的智能市场占有率更是超过9成，这样一个主流移动操作系统已经引起黑客和无良公司极大的兴趣。目前，在澳大利亚和美国，针对Android的恶意攻击比率（ThreatExposureRate,TER）甚至已经超过PC。4、APT攻击持续不减愈演愈烈APT（AdvancedPersistentThreat）的典型代表当属“火焰”。2012年5月，一种破坏力巨大的全新电脑蠕虫病毒“火焰”（Flame）被发现，这种病毒正在中东地区大范围传播，其中伊朗受病毒影响最严重。该病毒可以通过USB存储器以及网络复制和传播，并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，并将结果和其他重要文件发送给远程操控病毒的服务器。一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。5、无线安全再次引起警钟,8,信息安全体系的发展历程,2020/5/21,计算机网络安全,9,技术缺陷经济利益所趋利用Internet炫耀个人才能,1.1网络安全研究的动因,2020/5/21,计算机网络安全,10,网络不安全的主要因素：,互联网具有的不安全性操作系统存在的安全问题数据的安全问题数据的安全性、完整性、并发控制传输线路的安全问题网络安全管理问题,2020/5/21,计算机网络安全,11,1.2网络安全的定义及特征,计算机系统安全：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。计算机网络安全：是通过采用各种技术和管理措施，保证在一个网络环境里，信息数据的机密性、完整性及可用性受到保护。,2020/5/21,计算机网络安全,12,网络安全五大特征:1.完整性：保持信息原样。2.保密性：信息不暴露给未经授权的人或进程。3.可用性：正异常均可使用信息。4.可控性：可以对信息流向和行为方式进行控制。5.可审查性：当网络出现安全问题时，能够提供调查的依据和手段。,2020/5/21,计算机网络安全,13,1.3网络安全的主要威胁,2020/5/21,计算机网络安全,14,人为的疏忽人为的恶意攻击网络软件的漏洞非授权访问信息泄漏或丢失破坏数据完整性,物理威胁系统漏洞威胁身份鉴别威胁线缆连接威胁有害程序威胁,2020/5/21,计算机网络安全,15,1.3.1物理威胁,物理安全是一个非常简单的概念，即不允许其他人拿到或看到不属于自己的东西。目前，计算机和网络中所涉及的物理威胁主要有以下几个方面：窃取：包括窃取设备、信息和服务等。废物搜寻间谍行为：采用不道德的手段获取有价值的信息的行为。假冒：一个实体假扮另一个实体，在网络中从事非法操作的行为。,2020/5/21,计算机网络安全,16,1.3.2系统漏洞威胁,漏洞是方法、管理和技术上存在缺陷而造成，而这个缺陷可以降低系统的安全性。目前，由系统漏洞所造成的威胁主要表现在以下几个方面：不安全服务：指绕过设备的安全系统所提供的服务。主要有网络蠕虫等。配置和初始化错误,2020/5/21,计算机网络安全,17,1.3.3身份鉴别威胁,身份鉴别是指对网络访问者的身份真伪进行鉴别。目前，身份鉴别威胁主要包括以下几个方面：口令圈套口令破解算法考虑不周编辑口令,2020/5/21,计算机网络安全,18,1.3.4线缆连接威胁,线缆连接威胁主要指借助网络传输介质（线缆）对系统造成的威胁，主要包括以下几个方面：窃听：是使用专用的工具或设备连接到通信线缆上，通过检测从线缆上发射出来的电磁波来获得所需要的信号。拨号进入：指利用调制解调器等设备，通过拨号方式远程登录并访问网络。当攻击者已经拥有目标网络的用户账户时，就会对网络造成很大的威胁。冒名顶替：指通过使用别人的用户账户和密码获得对网络及其数据、程序的使用能力。,2020/5/21,计算机网络安全,19,1.3.5有害程序威胁,有害程序造成的威胁主要包括以下几个方面：病毒：计算机病毒是一个程序，是一段可执行的代码。逻辑炸弹：当满足某个特定条件时就发作。具有病毒的潜伏性。特洛伊木马：一个包含在一个合法程序中的非法的程序。间谍软件：一种新的安全威胁。黑客：黑客指非法入侵别人计算机系统的人，他们通常带有某种目的，通过系统漏洞非法入侵。,2020/5/21,计算机网络安全,20,2020/5/21,计算机网络安全,21,1.4安全策略和安全等级,1.4.1安全策略制定安全策略通常从以下几个方面来考虑：1物理安全策略,3加密策略4防火墙控制策略,2访问控制策略目的：对要访问系统的用户进行识别，对访问权限进行必要的控制。,2020/5/21,计算机网络安全,22,1.4.2安全性指标和安全等级,制定安全策略时，往往需要在安全性和可用性之间采取一个折衷的方案，重点保证一些主要安全性的指标。主要如：完整性：在传输过程时，数据是否保持完整。可用性：在系统发生故障时，数据是否会丢失。保密性：在任何时候，数据有被非法窃取的可能。,2020/5/21,计算机网络安全,23,1985年12月由美国国防部公布的美国可信计算机安全评价标准（TCSEC）是计算机系统安全评估的第一个正式标准，该标准最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级7个级别。D类安全等级：D类安全等级只包括D1一个级别。C类安全等级：该类安全等级能够酌情提供安全保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。B类安全等级：B类安全等级可分为B1、B2和B3三类。A类安全等级：A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。,2020/5/21,计算机网络安全,24,1物理安全技术2安全隔离3访问控制4加密通道5入侵检测6入侵保护,1.5常用的网络安全管理技术及新技术,7安全扫描8蜜罐技术9物理隔离技术10灾难恢复和备份技术11上网行为管理12统一威胁管理,2020/5/21,计算机网络安全,25,8蜜罐技术,蜜罐（Honeypot）是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的“陷阱”系统。1蜜罐的概念：定义：蜜罐是一种被侦听、被攻击或已经被入侵的资源。(专家L.Spitzner对其定义：蜜罐是一种资源，它的价值是被攻击或攻陷)目的：是使系统处于被侦听、被攻击状态。作用：蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不可替代的一种主动攻击技术。,2020/5/21,计算机网络安全,26,2蜜罐的分类蜜罐可以分为牺牲型蜜罐、外观型蜜罐和测量型蜜罐3种基本类型。（1）牺牲型蜜罐：是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐一般放置在易受攻击的地点，并假扮为攻击的受害，为攻击者提供极好的攻击目标。提取数据不容易；易被利用攻击其他主机。（2）外观型蜜罐：通常由某些应用服务的仿真程序构成。仅仅对网络服务进行仿真，而不会导致主机真正被攻击，从而蜜罐的安全不会受到威胁。（3）测量型蜜罐：综合了牺牲型蜜罐和外观型蜜罐的特点，与牺牲型蜜罐类似，测量型蜜罐为攻击者提供了高度可信的系统；与外观型蜜罐类似，测量型蜜罐非常容易访问，但攻击者很难绕过。,返回,2020/5/21,计算机网络安全,27,11上网行为管理,员工上网行为管理（EmployeeInternetManagement，EIM）可以为政府监管部门、各行业信息主管部门及企业管理用户提供帮助，能有效平衡员工上网所带来的影响，在开放网络资源的同时，最大限度地保障网络资源不被滥用。EIM相关产品和应用已经过了以下几个发展阶段：第一个阶段是IAC（InternetAccessControl，Internet访问控制）；第二个阶段是IAM（InternetAccessManagement，Internet访问管理）。第三个阶段即EIM。属于真正的上网行为管理阶段，以提高企业的工作效率为目的，企业不但建立相关上网策略，还进一步与企业信息系统的安全管理结合起来。,2020/5/21,计算机网络安全,28,如图1-1所示的是某一单位EIM系统的部署情况。其中，EIM的核心设备“网络行为分析系统”可以接入单位的中心交换机，从中心交换机获得网络的流量，再通过“管理控制台”进行实时查看和统计分析。,图1-1某单位网络行为管理系统网络示意图,案例,2020/5/21,计算机网络安全,29,一个完整的EIM系统应具有以下的功能：控制功能：可合理分配不同部门、员工的上网权限。还可以对代理软件进行封堵，防止不允许上外网的员工通过代理软件上外网。监控与审计功能：可以将所有与上网相关的行为记录下来。报表分析功能：可以方便直观地统计分析员工的上网情况，据此掌握单位内部网络的使用情况。流量控制与带宽管理：支持对不同员工进行分组，通过一段时间数据统计，限定每个组的上网流量，对BT、电驴等P2P下载软件进行封堵，避免其对网络带宽资源的消耗。,返回,2020/5/21,计算机网络安全,30,12统一威胁管理（UTM）,1.UTM的定义UTM（UnifiedThreatManagement，统一威胁管理）首先出现在2003年IDC（InternetDataCenter，互联网数据中心）的研究报告中。UTM是一个以整合式安全设备为代表的安全产品，它由硬件、软件和网络技术组成的具有专门用途的设备，主要提供了一项或多项安全功能，将多种安全特性集成于一个硬件设备里，构成一个标准的统一管理平台。包括了防火墙、入侵检测与防护（IDS/IPS）、网关防病毒等功能。,2020/5/21,计算机网络安全,31,2UTM的功能UTM提供了以下的功能：（1）整合网络安全。UTM的提出解决了局域网络必须管理多个单功能产品的难题。通过单一的操作系统与管理接口，提供一个能够满足多方位安全需求的全功能架构。（2）降低技术复杂度。UTM安全设备中装入了很多功能模块，提高了局域网的易用性。（3）简化网络管理。UTM的价值在于简化管理，即以最精简的单一设备来达到所需要的网络管理水平，并具有快速迁移、集中管理、节省成本的优势。,2020/5/21,计算机网络安全,32,3UTM的发展UTM设备可说是计算机网络安全解决方案的一个重要突破。综合分析目前的网络安全产品的功能，UTM具有显著的优点，而且相关的技术正在应用中不断发展和完善。现在，UTM设备已经为用户提供了分层安全（LayerSecurity）的功能，它可以与用