计算机网络原理――计算机网络安全

1、网络安全11.1 网络安全问题概述11.2 常见的安全威胁与攻击11.3 数据加密与认证技术11.4 防火墙技术1L1网络安全问题概述1 .网络安全的重要性2 .安全问题的根源3 .网络安全研究的主要问题4 .网络安全标准网f备安全网络安全的重要性因特网为人们提供了快速、便捷的通信手段,促进了计算机网络技术在社会、经济各个领域 的广泛应用，同时开放的网络也为觊觎各种机 密数据的不法之徒洞开方便之门.随着计算机网络应用范围的逐步扩大，网络安 全问题已经成为当今社会的一个焦点问题.网f备安全网络安全案例 1996年8月17日，美国司法部的网络服务器被入侵，攻击者将主页改为“美国不公正部”，将司法部

2、部长的照片换成了希特勒 1996年月9月18日，攻击者光顾美国中央情报局的网络服务器,将其主页改为“中央愚蠢局”. 1996年12月29日，黑客侵入美国空军的全球网网址并将其主 页肆意改动，且声称美国政府所说的一切都是谎言。迫使美 国国防部一度关闭了其他8。多个军方网址.网络安全攻击与防御的不对称性随着因特网的普及，网络信息系统受到来自外部的攻击已经司空见惯.美国国防部的网络每年受到的攻击达250000次之多，但只有0.2%被检测并报告. 如何入侵的方法和各种入侵工具在网络上可以轻易找到, 普通用户能够经常尝试各种入侵手段. 任何一个连网的用户只要具备PC和连网的条件都可以成 为黑客或入侵者.

3、 而防御却是极为困难的.网络安全第一个“蠕虫”病毒 1988年11月12日，第一个“蠕虫”被放到了 Internet上. 在几小时之内，数千台机器被传染，Internet陷入瘫痪. “蠕虫”的作者Robert Morris Jr机判有罪，接受三年监 禁、400小时社区服务并被罚款1万美金. "Morris虫”的出现改变了许多人对Internet安全性的看 法.一个单纯的程序有效地摧毁了数百台（或数千台）机 器，那一天标志着Internet安全性研究的开始.网,各安全网络安全事件情况 今年5月，公安部公共信息网络安全监察局举办了2008年度信 息网络安全状况与计算机病毒疫情调查活动.

4、据调查，2007年5月至2008年5月，62.7%的被调查单位发生 过信息网络安全事件. 在发生的安全事件中，网络（系统）管理员通过技术监测发 现网络安全事件的占66.28%,成为主要发现手段. 感染计算机病毒、蠕虫和木马程序的情况最为突出，其次是 网络攻击、端口扫描、垃圾邮件和网页篡改.网,各安全用>在3期琳明玉宇法能 tAUKV4000350030002500200015001000 500未修补网络（系 统）安全漏洞网络或软件配置钳 误弱口令缺少访问控制攻击者使用拒绝服 务攻击内部人员作案或安 全管理存在漏洞他 具AUKV安全问题的根源 软件系统的安全漏洞 网络的开放性和先天缺陷

5、人为的因素 物理安全问题网络安全软件系统的安全漏洞软件系统的安全漏洞- 操作系忱的安全漏刈- 网络软件的安全漏沏- 应用系统的安全漏沏 网络的开放性和先天缺陷 人为的因素 物理安全问题网络安全操作系统的脆弱性常用的各种操作系统几乎都或多或少存在安全漏洞.系统漏洞分为两种:有意漏洞：软件代码编写者有意设置的，目的在 于当失去对系统的访问权时，仍能进入系统.-无意漏洞：是指在编写软件代码时无意留下的缺 陷或不足.据统计，目前发现的系统安全漏洞的数量已经 接近病毒的数量.典型的系统安全漏洞 远程获得超级用户roo做限； 远程过程调用（RPC）服务以及它所 安排的无口令入口； UNIX系统的Finge

6、r漏洞；14典型的网络软件安全漏洞在Cisco网络产品中就曾经发现过许多漏洞，如： Cisco IOS的早期版本不能抵抗多数的DoS攻击; Catalyst 5xxx系列交换机允许非授权用户通过 某种手段绕过认证系统； Cisco7xxx系列路由器的ACL出现问题，允许 已经禁止的包传送到其他网段. 访问控制列表ACL的配置较为复杂，容易遗留网络的开放性和先天缺陷软件系统的安全漏洞网络的开放性和先天缺陷-TCP/IP浊议存在很大的安全隐患， 缺乏轻健的安全机制人为的因素物理安全问题16网络通信系统的先天缺陷 Internet是开放性的互联网，网络中数 据的传递是靠TCP/IP实现的. TCP/

7、IP在传递数据包时，并未对其加密.17 在数据包所经过的每个节点上，都可直 接获取这些数据包，并可分析、存储之.网络安全安全问题的根源。就件系统的安全-漏洞，网络的开放性和先乏缺陷人为的因素一是网络安全问题中最主要的因素、包括人为的无恚失误、恶意攻击及管理上的因素.物理安全问题-物理设备的位立安全、访问安全和环境安全、18网络安全引发安全问题的人群和目标攻击者目标学生好奇、窥探别人的邮件破坏者考验别人的安全系统、窃取数据商人寻找竞争对手的市场策略离职雇员被解雇后实施报复会计挪用公款骗子窃取信用卡号码再转卖间谍了解敌对方的军事机密网络安全19计算机网络犯罪及附点计算机网络犯罪的特点是，罪犯不必亲

8、临现场、所遗留的证据很少且有效性低.并且，与此类犯罪有关的法律还有待于进一步完善.犯罪形式、动机不确定，案件调查困难,破案率低.网络安全黑客阵营的兴起 随着Internet的兴起，世界范围内出现了大量 的“黑客”，并形成了一定规模. 所诏 “黑客，是指以各种非法手段企图渗入 计算机网络的人. 大部分的黑客均是出于自发的动机学习攻击和 反攻击技术.著名的黑客代表Richard Stallman理查德斯托尔曼一 GNU (General Public License ) 计划的创始人-自由软件之父Dennis Richie and Ken Thompson丹尼斯利奇和肯汤普生- Unix和C语言的

9、开发者网络安仝网络安仝 Linus Torvalds李纳斯托沃兹 - Linux Kernel的开发者网络安全23著名的黑客代表 Steven Wozniak斯蒂芬沃兹尼克 苹果电脑创始人 Mitch Kapor米切尔卡普尔- Lotus创始人 Eric Steven Raymond 埃里克史蒂文:雷蒙德-自由软件理论旗手著名的黑客代表 John Draper约翰德拉浦-电话大盗和趣级骇客 Robert Morris罗伯特，英里斯-一个疯狂的计算机奇才-第一个蠕虫病毒的制造者 Kevin Mitnick凯文米特尼克-美国政府通算的头号黑客网络安全网络安全研究的主要问题5678网络防攻击问题网络

10、安全漏洞与对策问题 网络中的信息安全问题 防抵赖问题网络内部安全防范问题网络防病毒问题垃圾邮件与灰色软件问题网络数据备份与恢复、灾难恢复问题网£各安全25L网络防攻击技术月艮务攻击 (aDplication dependent attack):对网络提供某种服务的服务器发起攻击，造成该 网络的“拒绝服务”,使网络工作不正常；月艮务攻击 (application independent attack) :不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。需要研究的几个问题 网络可能遭到哪些人的攻击？ 攻击类型与手段可能有哪些？ 如何及时检测并

11、报告网络被攻击？ 如何采取相应的网络安全策略与网络安全防护 体系？2.网络安全漏洞与对策的研究网络信息系统的运行涉及： 计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议网络安全漏洞也会表现在以上几个方面.<=2>网络安全3.网络中的信息安全问题信息存储安全-如何保证静态存储在连网计算机中的信息 不会被未授权的网络用户非法使用；信息传输安全-如何保证信息在网络传输的过程中不被泄露 与不被攻击；29<=3>公防抵赖问题防抵赖是防止信息源结点用户对他发送的信息 事后不承认，或者是信息目的结点用户接收到 信息之后不认账；通过身份认证、数字签名、数

12、字信封、第三方 确认等方法，来确保网络信息传输的合法性问防止“抵赖”现象出现。5.网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为，包括：1. 有意或无意地泄露网络用户或网络管理员口令；2. 绕过防火墙，私自和外部网络连接，造成系统安全漏洞；3. 越权杳看、修改和删除系统文件、应用程序及数据；4. 越权修改网络系统配置，造成网络工作不正常； 解决来自网络内部的不安全因素必须从技术与管理两个方 面入手。6.网络防病毒 我导型病毒 可执行文件病毒 宏病毒 混合病毒 特洛伊木马型病毒 Internet语言病毒7.垃圾邮件与灰色软件 目前网络垃圾邮

13、件几乎达到失控的地步； “灰色软件”包括间谍程序、广告程序、后门程序、 下载程序、植入程序等. Internet中灰色软件的危害威胁已呈急剧上升的趋势； 2005年，垃圾邮件继续泛滥，由此引起的网络钓鱼攻 击越演越烈； 2006年，流氓软件成为人们注意的新的焦点.;网络数据备份与恢复 如果出现网络故障造成数据丢失，数据能不能被恢复？ 如果出现网络因某种原因被损坏，重新购买设备的资金 可以提供，但是原有系统的数据能不能恢复？34 一个实用的网络信息系统的设计中必须有网络数据备份、 恢复手段和灾难恢复策略与实现方法的内容，这也是网 络安全研究的一个重要内容。网绪安全我国的安全标准 电子计算机系统安

14、全规范，1987年10月 计算机软件保护条例，1991年5月 计算机软件著作权登记办法,1992年4月 中华人民共和国计算机信息与系统安全保护条例， 1994年2月 计算机信息系统保密管理暂行规定，1998年2月 关于维护互联网安全决定，全国人民代表大会常务 委员会通过，20。年12月，"I1X网络安全35美国国防部的安全标准 1983年公布了可信计算机系统评估准则TCSECNCSC; 1985年公布了可信网络说明（TNI）； TCSECNCSC评估准则将计算机系统安全等级分为4类7 个等级：D、Cl、C2、Blx B2、B3与Al; D级系统的安全要求最低，A1级系统的安全要求最高

15、。网络安全可信计算机系统评估准则 D级系统属于非安全保护类； C级系统为自主保护类用户能定义访问控制要求； 分为Cl、C2两个级别 B级系统为强制型安全保护类用户不能分配权限，只 有网络管理员能分配访问权限；分为Bl、B2、B3两个级别 A1级系统与B3级系统基本一致，但在安全审计、安全测 试、配置管理等方面要求更高。网络安全网络安全的定义网络安全包括以下三个方面：计算机实体的安全-在一定的环境下，对网络系统中设备的安全保护.网络系统运行安全- 在实体安全的前提下，保证网络系统不受偶然的 或恶意的威胁的影响，能够连续可靠正常地运行, 网络服务不中断.信息安全-防止网络上的信息资源被故意的或偶然

16、的泄露、 更改、破坏，确保信息的保密性、完整性和可用 性网络安全38网络安全的要素确保网络系统的信息安全是网络安全的目标，具体地，就 是要确保信息的保密性、完整性、可用性和真实性：-保密性(Confidentiality)防止信息的非授权访问或泄露.-可用性(Availability )保证网络资源随时可被合法用户访问，并可按需要使用.-完接性(Integrity).保证信息不会被非法地改动和销毁.一真实性(Authenticity)指信息及其来源(信息的所有者或发送者)的真实可靠 性和准确性.11.2常见的安全威胁与攻击计算机网络上的通信面临以下的四种威胁:1 .栈取从网络上窃听他人的通信内

17、容.2 .中断有意中断他人在网络上的通信。3 .篡改故意篡改网络上传送的报文。4 .伪造伪造信息在网络上传送.极取信息的攻击称为被动攻击，其它三种攻40击称为主动攻击.网络安全被动攻击与主动攻击被动攻击：攻击者只是观察和分析某一个协议数据单元PDU而不 干扰信息流.一监听并横获主动攻击：指攻击者对某个连接中通过的PDU进行各种处理.- 更改报文海- 拒绝报文服务- 伪造连接初始化攻击的模式正常的信息流动O信源O信宿网，各安全O信宿信源3）篡改：I）截取： O 信澹2）中断：攻击的程度 入侵者只获得访问权（一个登录名和口令） 入侵者获得访问权，并毁坏、侵蚀或改变数据 入侵者获得访问权，并获得系统

18、一部分或整个系统控 制权.拒绝拥有椅权用户的访问 入侵者没有获得访问权，而是用不良的程序，引起网 络持久性或暂时性的运行失败、重新启动、挂起或其 它无法揉作的状态.网£多安全常见的攻击类型L窃取机密信息网络监听、扫描攻击、网络踩点、协议栈指纹鉴别、会话劫持等。2 .非法访问一 口令破译、IP欺骗、特洛伊木马、DNS欺骗、 重放攻击、非法使用等.3 .恶意攻击-拒绝服务DoS、电子邮件炸弹、缓冲区溢出网£多安全窃取机密的几种形式1 .嘉取机密信息2 .非法访问3 .恶意攻击哨息流览视（网络it听） 扫描攻击 网络踩悬 协议枚措及柴制会话劫持网f各安全可被窃听的位置网络A中的计算机数据包在Internet上途经的每一路由器.网，备安全网络监听工具网络监听工具- 是提供给管理员的一类管理工具,可以用来监视网络的状态、 数据流动情况以及网络上传输的信息. 网络监听工具也是入侵者常用的工具.- 当信息以明文的形式在网络上传输时，便可以使用网络监听的 方式进行攻击.- 将网络接口设置在监听模式便可以源源不断地将网上的信息微 获,- 网络监听可以获取网络中所有的数据包，但通常入侵者最感兴 趣