计算机网络安全1-绪论.ppt

1、第一章 绪 论,内容提要： 计算机网络面临的主要威胁 计算机网络不安全因素 计算机网络安全概念 计算机网络安全体系结构 计算机网络安全技术发展趋势,1.1 计算机网络面临的主要威胁,1.1.1 计算机网络中受到威胁的实体： 各类计算机（服务器、工作站等） 网络通信设备（路由器、交换机、集线器、调制解调器、加密机等） 存放数据的媒体（磁带机、磁盘机、光盘等） 传输线路、供配电系统， 防雷系统和抗电磁干扰系统等,1.1.2 计算机网络系统面临威胁 主机可能会受到非法入侵者的攻击 网络中的敏感数据有可能泄露或被修改 从内部网向共网传送的信息可能被他人窃听或篡改等等。,典型的网络安全威胁,1.1.3

2、计算机病毒的威胁 1988年11月发生了互联网络蠕虫（worm）事件，也称莫里斯蠕虫案。 1999年4月26日，CIH病毒爆发，俄罗斯十多万台电脑瘫痪，韩国二十四万多台电脑受影响，马来西亚十二个股票交易所受侵害。 计算机病毒可以严重破坏程序和数据、使网络的效率和作用大大降低、使许多功能无法正常使用、导致计算机系统的瘫痪。 全球已发现6万余种计算机病毒 据统计，计算机病毒所造成的损失，占网络经济损失的76%。,恶意攻击的潜在对手 国家 黑客 恐怖份子/计算机恐怖份子 有组织计算机犯罪 其他犯罪成员 国际新闻社 工业竞争 不满的雇员,刺探特定目标的通常动机 获取机密或敏感数据的访问权； 跟踪或监视

3、目标系统的运行（跟踪分析）； 扰乱目标系统的正常运行； 窃取钱物或服务； 免费使用资源（例如，计算机资源或免费使用网络）； 向安全机制进行技术挑战。,1.2 计算机网络不安全因素,1.2.1 不安全的主要因素 偶发性因素：如电源故障、设备的机能失常、软件开发过程中留下的某种漏洞或逻辑错误等。 自然灾害：各种自然灾害（如地震、风暴、泥石流、建筑物破坏等）。 人为因素：一些不法之徒，利用计算机网络或潜入计算机房，篡改系统数据、窃用系统资源、非法获取机密数据和信息、破坏硬件设备、编制计算机病毒等。此外，管理不好、规章制度不健全、有章不循、安全管理水平低、人员素质差、操作失误、渎职行为等都会对计算机网

4、络造成威胁。,对计算机网络的主要攻击,1被动攻击,对计算机网络的主要攻击,2主动攻击,对计算机网络的主要攻击,3邻近攻击 邻近攻击是指未授权者可物理上接近网络、系统或设备，从而可以修改、收集信息，或使系统拒绝访问。接近网络可以是秘密进入或公开，也可以是两者都有。,对计算机网络的主要攻击,4内部人员攻击,1.2.2 不安全的主要原因,1Internet具有不安全性,开放性的网络，导致网络的技术是全开放的，使得网络所面临的破坏和攻击来自多方面。 国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，而且，可以来自Internet上的任何一个机器，也就是说，网络安全面临的是一个国际化的挑战。 自由

5、性的网络，意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。 TCP/IP存在安全漏洞,1.2.2 不安全的主要原因,2操作系统存在安全问题,操作系统软件自身的不安全性，以及系统设计时的疏忽或考虑不周而留下的“破绽”，都给危害网络安全的人留下了许多“后门”。 操作系统的体系结构造成了不安全性。 操作系统不安全的另一原因在于它可以创建进程，支持进程的远程创建与激活，支持被创建的进程继承创建进程的权利。 操作系统的无口令入口，以及隐蔽通道。,1.2.2 不安全的主要原因,3数据的安全问题,数据库存在着许多不安全性。,4数据的安全问题,从安全

6、的角度来说，没有绝对安全的通讯线路。,5网络安全管理问题,1.3 计算机网络安全概念,1.3.1 计算机网络安全的定义 计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。 从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全的具体含义会随着“角度”的变化而变化。,1.3.2 计算机网络安全目标,1保密性,指网络中的保密信息只能供经过允许的人员，以经过允许的方式使用，信息不泄露给非授权用户、实体或过程，或供其利用。 保密性的要素如下： 数据保护：防止信息内容的泄

7、露（如网络中的数据流） 数据隔离：提供隔离路径或采用过程隔离（COMPUSEC技术等）； 通信流保护：数据的特征包括频率、数量、通信流的目的地等，通信流保护是指对通信的特征信息，以及推断信息（如命令结构等）进行保护。,1.3.2 计算机网络安全目标,2完整性,指网络中的信息安全、精确与有效，不因种种不安全因素而改变信息原有的内容、形式与流向。确保信息在存储或传输过程中不被修改、不被破坏和丢失。 破坏信息的完整性有 人为因素 非人为因素,1.3.2 计算机网络安全目标,3可用性,指网络资源在需要时即可使用，不因系统故障或误操作等使资源丢失或妨碍对资源的使用，是被授权实体按需求访问的特性。 网络可

8、用性还包括在某些不正常条件下继续运行能力。 保证可用性的最有效的方法是提供一个具有普适安全服务的安全网络环境。 避免受到攻击 避免未授权使用 防止进程失败,1.3.2 计算机网络安全目标,4不可否认性,“不可否认性安全服务提供了向第三方证明该实体确实参与了那次通信的能力。 数据的接收者提供数据发送者身份及原始发送时间的证据； 数据的发送者提供数据已交付接收者（某些情况下，包括接收时间）的证据； 审计服务提供了信息交换中各涉及方的可审计性，这种可审计性记录了可用来跟踪某些人的相关事件，这些人应对其行为负责。,1.3.2 计算机网络安全目标,5可控性,指对信息的传播及内容具有控制能力，保证信息和信

9、息系统的授权认证和监控管理，确保某个实体（人或系统）身份的真实性，也可以确保执法者对社会的执法管理行为。,1.3.3 网络安全研究内容,网络安全体系结构； 网络的攻击手段与防范措施； 网络安全设计； 网络安全标准制定，安全评测及认证； 网络安全检测技术； 网络安全设备； 安全管理，安全审计； 网络犯罪侦查； 网络安全理论与政策； 网络安全教育； 网络安全法律。,概括起来，网络安全包括三个重要部分即： 先进的技术：先进的安全技术是网络安全的根本保障，用户通过风险评估，决定所需的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。 严格的管理：即使用网络的机构、企业和单位建立相宜的信息安全管

10、理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。 威严的法律：安全的基石是社会法律、法规与手段，通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。,1.3.3 网络安全研究内容,1.4 计算机网络安全体系结构,研究计算机网络安全的体系结构，就是研究如何从管理和技术上保证网络的安全得以完整准确地实现，网络安全需求得以全面准确的满足。 OSI安全体系结构 网络安全技术 。 网络安全管理 网络安全政策法规与标准,1.4.1 OSI安全体系结构,1.安全服务,鉴别服务：提供对通信中对等实体和数据来源的鉴别。 访问控制服务：对资源提供保护，以对抗非授权使用和操纵。 数

11、据机密性服务：保护信息不被泄漏或暴露给未授权的实体。分为数据机密性服务和业务流机密性服务。 数据完整性服务：对数据提供保护，以对抗未授权的改变、删除或替代。完整性服务有三种类型：连接完整性服务，无连接完整性服务，选择字段完整性服务。 抗抵赖性服务：防止参与某次通信交换的任何一方事后否认本次通信或通信内容。分为两种不同的形式：数据原发证明的抗抵赖，交付证明的抗抵赖。,对付典型网络威胁的安全服务,1.4.1 OSI安全体系结构,2.安全机制,加密机制 数字签名机制 访问控制机制 数据完整性机制 鉴别交换机制 通信业务流填充机制 路由控制 公证机制,1.4.2 网络安全技术,1物理安全措施,物理安全

12、是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境因素；人为操作失误；及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： 环境安全：对系统所在环境的安全保护措施，如区域保护和灾难保护； 设备安全：设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护技术和措施等； 媒体安全：媒体数据的安全及媒体本身的安全技术和措施。,1.4.2 网络安全技术,2数据传输安全技术,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境因素；人为操作失误；及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： 数据传输加密技术：对传输中的数据流进行加密，以

13、防止通信线路上的窃听、泄漏、篡改和破坏。三个不同层次来实现，即链路加密、节点加密、端到端加密。 数据完整性鉴别技术 防抵赖技术包括对源和目的地双方的证明，常用方法是数字签名。,1.4.2 网络安全技术,3内外网隔离技术,采用防火墙技术可以将内部网络的与外部网络进行隔离，对内部网络进行保护。,4入侵检测技术,入侵检测的目的就是提供实时的检测及采取相应的防护手段，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为，阻止黑客的入侵。,1.4.2 网络安全技术,5访问控制技术,访问控制是维护计算机网络系统安全、保护计算机资源的重要手段，是保证网络安全最重要的

14、核心策略之一。,6审计技术,审计技术是记录用户使用计算机网络系统进行所有活动的过程，记录系统产生的各类事件。,7安全性检测技术,网络安全检测（漏洞检测）是对网络的安全性进行评估分析，通过实践性的方法扫描分析网络系统，检查系统存在的弱点和漏洞，提出补求措施和安全策略的建议，达到增强网络安全性的目的。,1.4.2 网络安全技术,8防病毒技术,计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。,9备份技术,采用备份技术可以尽可能快地全盘恢复运行计算机网络，所需的数据和系统信息。,10终端安全技术,主要解决终端的安全保护问题。,1.4.3 网络安全管理,

15、据权威机构统计表明：信息安全大约60%以上的问题是由管理方面原因造成的。网络系统的安全管理主要基于三个原则： 多人负责原则 任期有限原则 职责分离原则,1.4.4 网络安全政策法规与标准,网络（信息）安全标准是信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。信息安全标准不仅关系到国家安全，同时也是保护国家利益的一种重要手段，有利于保证网络安全产品的可信性、实现产品的互联和互操作性，保障计算机网络系统的安全可靠。 目前，我国有章可循的国际国内信息安全标准一共有一百多条。,1.5 计算机网络安全技术发展趋势,1.5.1 网络安全威胁发展趋势,与Internet更加紧密地结合，传播极快

16、，而更加注重欺骗性； 利用系统漏洞将成为病毒有力的传播方式； 无线网络技术的发展，使的远程网络攻击的可能性加大； 各种境外情报、谍报人员将通过信息网络渠道收集情报和窃取资料； 各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势； 各种攻击技术的隐秘性增强，常规手段不能识别； 分布式计算技术用于攻击的趋势增强，威胁密码的安全性； 一些政府部门的超级计算机资源将成为攻击者利用的跳板； 网络管理安全问题日益突出；,1.5 计算机网络安全技术发展趋势,1.5.2 网络安全主要实用技术的发展,网络安全技术的发展是多维、全方面的，主要有： 物理隔离 逻辑隔离 防御来自网络的攻击 防御网络上的病毒 身份认证 加密通信和虚拟专用网 入侵检测和主动防卫（IDS） 网管、审计和取证,1.6 小结 （1）,随着计算机网络广泛应用，计算机网络安全成为涉及个人、单位、社会、国家信息安全的重大问题。计算机网络实体和软件系统面临的不安全因素有：偶然发生的故障、有自然灾害、以及人为破坏。人为对计算机网络的破坏可分为被动攻击、主动攻击、邻近攻击和内部人员攻击等4种形式。 造成计算机网络不安全的主要原因首先来自于Internet本身，由于Internet的开放性、国际性和自由性，使其不可避免的会受到黑客的攻击。操作系统和数据库存在的安全缺陷，是造成网络系统安全