第8章-网络安全

第8章网络安全与网络管理,8.1网络安全基础,8.1.1网络安全事例案例1：美国NASDAQ事故1994年8月1日，由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。案例2：美国纽约银行EFT损失1985年11月21日，由于计算机软件的错误，造成纽约银行与美联储电子结算系统收支失衡,发生了超额支付,而这个问题一直到晚上才被发现,纽约银行当日帐务出现230亿短款。案例3：江苏扬州金融盗窃案1998年9月，郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置，侵入银行电脑系统，非法取走26万元。这是被我国法学界称为全国首例利用计算机网络盗窃银行巨款的案件。,8.1.2网络安全的概念与特征网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统可以连续地、可靠地、正常地运行，并提供相应的网络服务,网络安全的特征（1）可靠性（2）完整性（3）可用性（4）保密性,8.1.3威胁网络安全的原因,网络自身的安全缺陷网络的共享性系统的复杂性边界的不确定性路径的不确定性信息的高度聚集性2.网络的开放性3.黑客攻击,网络安全的目标,8.2网络的安全威胁,1.网络安全威胁分类,网络安全威胁,被动攻击,主动攻击,中断,篡改,截获,伪造,恶意程序攻击,计算机病毒,计算机蠕虫,特洛伊木马,逻辑炸弹,网络系统的脆弱性（1）操作系统的脆弱性（2）计算机系统本身的脆弱性（3）电磁泄漏（4）数据的可访问性（5）通信系统和通信协议的弱点（6）数据库系统的脆弱性（7）网络存储介质的脆弱,8.3网络安全策略,PDRR:保护（Protect）、检测（Detect）、响应（React）、恢复（Restore）,防护防护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵，防护可以减少大多数的入侵事件。缺陷扫描安全缺陷分为两种，允许远程攻击的缺陷和只允许本地攻击的缺陷。(2)访问控制及防火墙访问控制限制某些用户对某些资源的操作。防火墙是基于网络的访问控制技术，工作在网络层、传输层和应用层，完成不同粒度的访问控制。(3)防病毒软件与个人防火墙个人防火墙是防火墙和防病毒的结合。它运行在用户的系统中，并控制其他机器对这台机器的访问。个人防火墙除了具有访问控制功能外，还有病毒检测，甚至有入侵检测的功能(4)数据加密加密技术保护数据在存储和传输中的保密性安全。(5)鉴别技术,检测安全策略的第二个安全屏障是检测，即如果入侵发生就检测出来，这个工具是入侵检测系统（IDS）。防护主要修补系统和网络的缺陷，增加系统的安全性能，从而消除攻击和入侵的条件。检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。入侵检测系统（IDS）是一个硬件系统和软件程序，它的功能是检测出正在发生或已经发生的入侵事件。这些入侵已经成功地穿过防护战线。一个入侵检测系统有很多特征，其主要特征为：检测环境和检测算法。,响应响应就是已知一个攻击（入侵）事件发生之后，进行处理。入侵事件的报警可以是入侵检测系统的报警，也可以是通过其他方式的汇报。响应的主要工作也可以分为两种。第一种是紧急响应；第二种是其他事件处理。紧急响应就是当安全事件发生时采取应对措施，其他事件主要包括咨询、培训和技术支持。,4.恢复恢复是事件发生后，把系统恢复到原来的状态，或者比原来更安全的状态。恢复也可以分为两个方面：系统恢复：指修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。系统恢复的另一个重要工作是除去后门。系统恢复都是根据检测和响应环节提供有关事件的资料进行的。信息恢复：包括系统升级、软件升级和打补丁等。,8.4网络安全机制与措施,1.安全机制网络安全机制（securitymechanisms）可分为两类：一类与安全服务有关，另一类与管理功能有关。ISO7498-2建议（1）加密机制（2）数字签名机制（3）访问控制机制（4）数据完整性机制（5）认证机制（6）信息流填充机制（7）路由控制机制（8）公证机制,2.网络安全措施（1）安全立法（2）安全管理（3）网络实体安全保护（4）系统访问控制（5）数据加密保护,8.5数据加密与数字认证,8.5.1数据加密数据加密技术是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取。被交换的信息被称为明文（Plaintext），它可以是一段有意义的文字或者数据；变换过后的形式被称为密文（Ciphertext）。从明文到密文的交换过程被称为加密（Encryption），该变换本身是一个以加密密钥k为参数的函数，记作Ek（P）。密文经过数据信道传输到达目的地后需要还原成有意义的明文才能被通信接收方理解，将密文C还原为明文P的变换过程称为解密（Decryption）,为什么要进行数据加密?,举例,第18/45页,采用数据加密技术以后,数据加密将明文转换成一种加密的密文，如果没有通信双方共享的密钥，则无法理解密文。通过对不知道密钥的人隐藏信息达到保密的目的。,1.对称密钥加密技术美国数据加密标准DESAES(高级加密标准)欧洲数据加密标准IDEA。,优点：当前加密算法非常强大，仅凭密文不掌握密钥几乎不可能解密。加密方法的安全性依赖于密钥的保密性，而不是算法的保密性。加密解密速度快标准：美国数据加密标准(AES)和欧洲数据加密标准（IDEA）缺点：密钥的分发和管理非常复杂、代价高昂如果有n个用户的网络，需要n(n1)/2个密钥，对于用户数目很大的大型网络，密钥的分配和保存就成了很大的问题。,联邦数据加密标准DES,DES（DataEncryptionStandard，数据加密标准）是由IBM公司研制的一种加密算法，美国国家标准局于1977年把它作为非机要部门使用的数据加密标准。DES是一个分组加密算法，它以64位为分组对数据加密。同时DES也是一个对称算法，即加密和解密用的是同一个算法。它的密钥长度是56位。,DES算法,DES对64位的明文分组M进行操作，M经过一个初始转置被分成左半部分和右半部分M=(L0,R0)，两部分都是32位长。然后使用函数f对两部分进行16轮完全相同的迭代运算，在运算过程中将数据与密钥相结合。经过16轮迭代运算后，再将左、右两部分合在一起经过一个末置换，就产生了密文。,2.公开密钥（非对称）加密技术,特点：公共密钥加密系统的密钥分配和管理比较简单。对于有n个用户的网络，就只需要n个私有密钥和n个公共密钥安全性更高公共密钥加密系统计算非常复杂，它的速度远赶不上对称密钥加密系统实际应用：公共密钥加密系统通常被用来加密关键性的、核心的机密数据，而对称密钥加密系统通常被用来加密大量的数据,RSA简介,RSA公钥加密算法是1977年由RonRivest、AdiShamirh和LenAdleman在MIT（美国麻省理工学院）开发的，1978年首次公布。RSA是目前最有影响的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法中，每个通信主体都有两个钥匙，一个公钥一个私钥。权威数字认证机构（CA）给所有通信主体（个人或组织）颁发公钥和私钥，彼此配对，分别唯一。私钥好比数字指纹，同时具有解密和加密功能。个人保管，不公开。公钥好比安全性极高的挂号信箱地址，公开。,公开密钥密码体制，是由WhitfieldDiffie和MartinHellman1976年在国际计算机会议上首次提出来的，并进一步阐述了非对称密钥的思路：加密使用专门的加密密钥，解密使用专门的解密密钥；从其中一个密钥不可能导出另外一个密钥；使用选择明文攻击不能破解出加密密钥。,（1）公私钥生成随机选定两个大素数p,q计算公钥和私钥的公共模数n=pq.计算模数n的欧拉函数(n).选定一个正整数e,使1e(n),且e与(n)互质.计算d,满足de1(mod(n),(k为某个正整数).n与e决定公钥,n与d决定私钥.（2）加解密该过程为小张给小李发消息，公钥为小李的公钥(n&e),私钥为小李的私钥(n&d).小张欲给小李发一个消息M,他先把M转换为一个大数mn,然后用小李的公钥(n&e)把m加密为另一个大数:c=memodn小李收到小张发来的大数c,着手解密.通过自己的私钥(n&d),得到原来的大数m:m=cdmodn再把m转换为M,小李即得到小张的原始消息.,对称加密，双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用，通常应用于孤立的环境之中，比如在使用自动取款机（ATM）时，用户需要输入用户识别号码（PIN），银行确认这个号码后，双方在获得密码的基础上进行交易，如果用户数目过多，超过了可以管理的范围时，这种机制并不可靠。非对称加密，也称为公开密钥加密，密钥是由公开密钥和私有密钥组成的密钥对，用私有密钥进行加密，利用公开密钥可以进行解密，但是由于公开密钥无法推算出私有密钥，所以公开的密钥并不会损害私有密钥的安全，公开密钥无须保密，可以公开传播，而私有密钥必须保密，丢失时需要报告鉴定中心及数据库。,8.5.2数字认证技术,1.一次性口令身份认证技术OTP：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程的安全性,2.数字签名技术是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人进行伪造。为使数字签名能代替传统的签名，必须满足下面三个条件：（1）接收者能够核实发送者对报文的签名；（2）发送者事后不能抵赖对其报文的签名；（3）接收者无法伪造对报文的签名。,发送方通过使用自己的私有密钥对消息加密，实现签名；接收方通过使用发送方的公共密钥对消息解密，完成验证,数据加密和数字签名的区别,数据加密的作用保证信息的机密性数字签名的作用保证信息的完整性保证信息的真实性保证信息的不可否认性,8.6防火墙,8.6.1防火墙的基本概念防火墙（firewall）是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。,8.6.2防火墙的基本类型,防火墙的基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。过滤掉不安全服务和非法用户；控制对特殊站点的访问；提供监视Internet安全和预警的方便端点。防火墙的技术已经经历了三个阶段:1.包过滤技术2.代理技术3.状态监视技术,包过滤防火墙数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。,应用网关常称为代理防火墙，过滤OSI参考模型第3、4、5和7层的信息。优点安全性比较高。缺点(1)该方法对每一个请求都必须建立两个连接，一个从客户端到防火墙系统，另一个从防火墙系统到服务器，这会严重影响性能。(2)防火墙网关暴露在攻击者之中。(3)对每一个代理需要有一个独立的应用进程或daemon来处理，这样扩展性和支持新应用方面存在问题。,3.状态检测技术引入了OSI全七层监测能力，同时对用户访问是透明的。防火墙能保护、限制其他用户对防火墙网关本身的访问。状态检测技术在网络层截获数据包后交给INSPECTEngine,通过INSPECTEngine可以从数据包中抽取安全决策所需的所有源于应用层中的状态相关信息，并在动态状态表中维持这些信息以提供后继连接的可能性预测。该方法能提供高安全性、高性能和扩展性、高伸缩性的解决方案。,8.6.3典型的Internet防火墙屏蔽路由器：是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以及另外一些IP选项，对IP包进行过滤。主要用来防止IP欺骗攻击。双宿主机网关屏蔽主机网关屏蔽主网,8.7防范计算机病毒,8.7.1计算机病毒概述计算机病毒是指一段具有自我复制和传播功能的计算机代码，这段代码通常能影响计算机的正常运行，甚至破坏计算机功能和毁坏数据。系统病毒蠕虫病毒木马病毒、黑客病毒脚本病毒宏病毒后门病毒破坏性程序病毒玩笑病毒病毒种植程序病毒Dropper捆绑机病毒,蠕虫病毒,蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。大量的进程会耗费系统的资源，导致系统的性能下降。,大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。,冲击波病毒,Internet,WORM_MSBLAST.A,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,通过Port135感染,利用RPC漏洞进行传播病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。,木马病毒,通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。,计算机病毒的特征,是一段可执行的程序,具有广泛的传染性,具有很强的隐蔽性,具有潜伏性,具有可触发性,具有破坏性,8.7.2防治病毒的基本方法病毒防范系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。,8.7.3应对黑客攻击黑客：利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。,灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我漏洞发现-Flashsky软件破解-0Day工具提供-Glacier,白帽子创新者设计新系统打破常规精研技术勇于创新MS-BillGatesGNU-R.StallmanLinux-Linus,黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名,常见的黑客攻击ARP攻击内网IP欺骗内网攻击外网流量攻击,8.8网络管理,概念对网络的运行状态进行监测和控制，使其能够有效、可靠、安全、经济地提供服务。具体来说，网络管理就是对网络进行监测和控制。2.目标,3.网络管理的基本内容,OSI模型规定的网络管理的主要功能有配置管理、性能管理、故障管理、安全管理和计费管理5大类。,4.典型的网络管理技术目前典型的网络管理技术包括：国际标准化组织ISO提出的OSI/CMIP(CommonManagementInformationProtocol)管理技术国际电信联盟ITU-T提出的TMN(TelecommunicationsManagementNetwork)管理模型互联网工程任务组IETF(InternetEngineeringTaskForceInternet)提出的Internet/SNMP(SimpleNetworkManagementProtocol)管理技术,(1)故障管理(faultmanagement),网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:维护并检查错误日志接受错误检测报告并作出响应跟踪、辨认错误执行诊断测试纠正错误,(1)故障管理(faultmanagement),(2)计费管理(accountingmanagement),计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。,(3)配置管理(configurationmanagement),配置管理包括:设置开放系统中有关路由操作的参数被管对象和被管对象组名字的管理初始化或关闭被管对象根据要求收集系统当前状态的有关信息获取系统重要变化的信息更改系统的配置,(4)性能管理(performancemanagement),性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。一些典型的功能包括:收集统计信息维护并检查系统状态日志确定自然和人工状况下系统的性能改变系统操作模式以进行系统性能管理的操作,(5)安全管理(securitymanagement),安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性(保护网络数据不被侵入者非法获取),授权(authentication)(防止侵入者在网络上发送错误信息),访问控制(控制访问控制(控制对网络资源的访问)。相应的,网络安全管理应包括对授权机制、访问控制、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:创建、删除、控制安全服务和机制与安全相关信息的分布与安全相关事件的报告,5.网络管理的一般结构,被管代理驻留在用户主机和网络互连设备等所有被管理的网络设备上，配合网络管理的处理实体。网络管理工作站用于驻留实施管理的处理实体的网络设备。网络管理协议用来规范管理器和被管代理之间通信的规则网络管理信息库(MIB)用于保管被管理信息的数据库,8.9网络管理模型,OSI网络管理规范功能模型信息模型实现被管虚拟资源、软件及物理设备的逻辑表示。多采用面向对象的方法定义网络管理信息。SNMP中，网络管理信息是面向属性的，更注重简单性和可扩展性。采用ISO的抽象语法表示语言(ASN.1)表示。,3.组织模型,包括网络管理系统中管理进程所扮演的角色及其相互关系。,网络管理系统,管理者,典型网络管理体系结构组织模型,被管设备,通信模型涉及网络管理系统中通信实体之间进行信息交换时所需的功能、协议和报文等,典型的网络管理体系结构,8.10网络管理协议,8.10.1CMIS/CMIP协议通用管理信息协议（CMIP：CommonManagementInformationProtocol）通用管理信息服务（CMIS：CommonManagementInformationService）。,59,8.10.2SNMP模型及协议,1.SNMP模型由以下4个基本部分构成：网管工作站NMS网络被管设备管理信息库MIB网络管理协议SNMP,管理信息结构（SMI）管理信息结构是管理信息库中对象定义和编码的基础。SMI是对公共结构和一般类型的描述，和标识方法在一起，在现实中都要用到。SMI中最关键的原则是管理对象的形式化定义要用抽象语法记法（ASN.1）来描述。管理对象在现实中都是作为特定的MIB严格定义的，在SMI称为为对象类型。,管理信息库（MIB）MIB定义了可以通过网络管理协议进行访问的管理对象的集合。第一组RFC定义的MIB成为MIB-I。接下来的RFC1213中又添加了新的对象，成为了正式的标准，称为MIB-II。MIB经常被当作管理对象的虚拟的数据库。MIB可以描述为一棵树，各个数据项构成了树的叶结点。每个MIB对象都有一个唯一的对象标识符（OID）来标识和命名，这个标识符取决于MIB对象在树中的位置，而对象的实例也有标识符，由对象类的对象标识符加上实例标识符构成的。,2.SNMP协议SNMP是为网络管理服务而定义的应用协议。SNMP由一系列协议组和规范组成的，它们提供了一种从网络上的设备中收集网络管理信息的方法。从被管理设备中收集数据有两种方法：轮询（polling-only）方法基于中断（interrupt-based）的方法,SNMPv1管理模型提定义了四种操作：GET：从被管对象处提取特定的网络管理信息；GET-NEXT：通过遍历活动来提供更强的管理信息提取能力；SET：对管理信息进行修改和控制；Trap：陷阱操作，由被管对象用来向管理者汇报本地发生的异常现象。,8.11.1网络管理系统,网络管理平台指包括网络管理软件和网络管理应用程序的网络管理系统。网络管理应用软件建立在网络管理工具之上，包括计费系统、防火墙等。常见的能作为管理者运行的网络管理软件有：HP的OpenView、IBM的TivioliTME10、SUN的SunNetManager,Cabletron的SPECTRUM等。,常用网络管理软件,其他网络公司推出的网络管理产品基本上都是网络管理代理，可以作为SNMP代理接受管理者的管理，这些网络管理工具基于具体的网络管理平台。3COM公司的网络管理工具Transcend，是基于HP公司的OpenView网络管理平台，用于管理3COM公司的网络设备。Cisco公司的网络管理工具CiscoWorks，它可基于三种流行的网络管理平台：HP的OpenView，Sun的SunNetManager和IBM的TivioliTMEl0，用于管理Cisco公司的网络设备。BayNetworks公司的网络管理工具Optivity，是基于HP公司的OpenView网络管理平台，管理BayNetworks公司的网络设备。,8.12其他网络安全技术,8.12.1入侵检测技术入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”防火墙不能阻止入侵，但是可以增加入侵的难度。过程分为三部分：信息收集、信息分析和结果处理。,入侵检测的分类（1）按照分析方法/检测原理分类异常检测（Anoma