网络与系统安全实验概述

网络与系统安全实验

概述一、要求目标：理解信息安全的基本原理和技术;了解一些最新研究成果;掌握网络与信息安全的理论基础,具备研究与实践的基本能力。方式：讲授+实验考试：报告和作业二、三个关键概念1、计算机安全（ComputerSecurity）

对于一个自动化的信息系统，采取保护措施确保信息系统资源（包括硬件、软件、固件、信息/数据和通信）的保密性、完整性、可用性。NIST《计算机安全手册》2、网络安全（NetworkSecurity）

保护数据在传输中安全的方法3、互联网安全（InternetSecurity）

保护数据安全通过互联网络的方法三、网络安全的核心需求网络安全核心地位的三个关键目标保密性（Confidentiality）数据保密性隐私性完整性（Integrity）（含不可否认性、真实性）数据完整性系统完整性可用性（Availability）真实性（Authenticity）可追朔性（Accountability）四、OSI安全框架1、安全攻击，securityattack任何危及系统信息安全的活动。2、安全服务，securityservice加强数据处理系统和信息传输的安全性的一种服务。目的在于利用一种或多种安全机制阻止安全攻击。3、安全机制，securitymechanism用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。1、安全攻击攻击/威胁？攻击的类型被动攻击主动攻击1、安全攻击--被动攻击1、安全攻击--被动攻击在未经用户同意和认可的情况下将信息泄露给系统攻击者，但不对数据信息做任何修改。

常见手段：搭线监听；无线截获；其他截获。

不易被发现。重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。1、安全攻击—主动攻击1、安全攻击—主动攻击涉及某些数据流的篡改或虚假流的产生。通常分为：假冒；重放；篡改消息；拒绝服务。

能够检测出来。不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。2、安全机机制（X.800））特定的安全全机制（specificsecuritymechanisms）:加密，数数字签名，，访问控控制，数据据完整性，，认证交换，，流量填充充，路由控控制，公证证等普遍的安全全机制（pervasivesecuritymechanisms）:可信功能，，安全标签签，事件检检测，安全审计跟跟踪，安全全恢复等3、安全服服务(X.800)可认证性-assurancethatthecommunicatingentityistheoneclaimed访问控制-preventionoftheunauthorizeduseofaresource机密性-Confidentiality-protectionofdatafromunauthorizeddisclosure完整性-Integrity-assurancethatdatareceivedisassentbyanauthorizedentity不可否认性性-Non-repudiation-protectionagainstdenialbyoneofthepartiesinacommunication可用性-availability五、网络安安全模型五、网络安安全模型设计安全服服务应包含含四个方面面内容：设计执行安安全相关传传输的算法法产生算法所所使用的秘秘密信息设计分配和和共享秘密密信息的方方法指明通信双双方使用的的协议，该该协议利用用安全算法法和秘密信信息实现安安全服务六、国外网网络安全标标准（1））美国国防部部TCSEC可信计算机机系统标准准评估准则则(桔皮书)。该标准是美美国国防部部制定80年代的。它它将安全分分为4个方面:安全政策、、可说明性性、安全保保障和文档档。在美国国国防部虹虹系列(RainbowSeries)标准中有详详细的描述述。该标准准将以上4个方面分为为7个安全级别别,从低到高依依次为D、C1、C2、B1、B2、B3和A1级：A1级：验证设设计级；B3级：安全域域级B2级：结构化化保护级B1级：标记安安全保护级级完全可信网网络安全（（B1、B2、B3）；C2级：受控存存取保护级级；C1级：自主安安全保护剂剂D级：不可信信网络安全全。问题：以保保密和单点点机为主。。六、国外网网络安全标标准（2））欧洲ITSEC与TCSEC不同,它并不把保保密措施直直接与计算算机功能相相联系,而是只叙述述技术安全全的要求,把保密作为为安全增强强功能。另另外,TCSEC把保密作为为安全的重重点,而ITSEC则把完整性性、可用性性与保密性性作为同等等重要的因因素。ITSEC定义了从E0级(不满足品质质)到E6级(形式化验证证)的7个安全等级级,对于每个系系统,安全功能可可分别定义义。ITSEC预定义了10种功能,其中前5种与桔皮书书中的C1-B3级非常相似似。六、国外网网络安全标标准（3））加拿大CTCPEC该标准将安安全需求分分为4个层层次:机密密性、完整整性、可靠靠性和可说说明性。对对产品和评评估过程强强调功能和和保证。分分为7个保保证级，通通常称为EAL-1到EAL-7。美国联邦准准则(FC)该标准参照照了CTCPEC及及TCSEC,其目目的是提供供TCSEC的升级级版本,同同时保护已已有投资,但FC有有很多缺陷陷,是一个个过渡标准准,后来结结合ITSEC发展展为联合公公共准则CC。六、国外网网络安全标标准（4））信息技术安安全评价通通用准则(CC)CC的目的的是想把已已有的安全全准则结合合成一个统统一的标准准。该计划划从1993年开始始执行,1996年年推出第一一版。CC结合了FC及ITSEC的的主要特征征,它强调调将安全的的功能与保保障（安全全功能的可可信度）分分离,并将将功能需求求分为11类63族,将保保障分为7类29族。99.7通通过国际标标准化组织织认可,为为ISO/IEC15408信息技技术安全评评估准则。。七、安全产产品类型八、教材和和参考书教材1、《网络安全实实验教程》（2版），刘刘建伟，，张卫东东，清华华大学出出版社2、《计算机系系统安全全实验教教程》，陈波，，于泠等，机械械工业出出版社，，2009年2月.3、《密码编码码学与网网络安全全—原理与实实践》(第三版)，WilliamStallings[美]著.刘玉珍珍,王丽娜,傅建明等等译，电电子工业业出版社社，2004.参考书1、马建峰峰，马卓卓著，《Securityaccessinwirelesslocalareanetworks》》，Springer,2009.2、王育民民，刘建建伟编著著，《通信网的的安全—理论与技技术》，西安电电子科技技出版社社3、胡道元元、闵京京华编著著，《网络安全全》（第一版版），清清华大学学出版社社.4、阙喜喜戎，孙孙锐等编编著，《信息安全全原理及及应用》，清华大大学出版版.5、刘建建伟，王王育民编编著，《网络安全全技术与与实践（（2版）》，清华大大学出版版社6、曹天天杰，张张永平等等编著，，《计算机系系统安全全》，高等教教育出版版社。7、张波波云，鄢鄢喜爱等等编著，，《操作系统统安全》，人民邮邮电出版版社.8、卿斯斯汉,等编著，，《操作系统统安全（（第2版）》，清华大大学出版版社.9.杨国富，，等编著著，《网络操作作系统安安全》，清华大大学出版版社.实验一网网络设设备配置置与使用用目录录一、实验验目的二、实验验原理三、实验验环境四、实验验内容五、实验验报告一、实验验目的了解网络络信息安安全环境境的软硬硬件系统统了解网络络综合布布线了解网络络互连设设备掌握网络络设备的的配置与与使用二、实验验原理（一）网网络信息息安全环环境的软软硬件系系统1.硬硬件系统统防火墙网络入侵侵检测系系统（NIDS）虚拟专用用网络（（VPN）物理隔离离网卡路由器交换机集线器二、实验验原理（一）网网络信息息安全环环境的软软硬件系系统2.软软件系统统脆弱性扫扫描系统统病毒防护护系统身份认证证系统网络攻防防软件主机入侵侵检测软软件因特网非非法外联联监控软软件二、实验验原理二、实验验原理二、实验验原理（二）网网络综合合布线二、实验验原理（三）网网络互连连设备1.路由器工作在OSI的的第三层层网络互连连与路由由选择根据IP地址转转发数据据实质上是是一台微微型计算算机CPUOSRAMROM二、实验验原理（三）网网络互连连设备2.交换机工作在OSI的的第二层层三层交换换机主机互连连根据MAC地址址转发数数据组成高速背板板交换引擎擎（矩阵阵）接口模板板三、实验验环境PC机或或笔记本本路由器交换机网线四、实验验内容（一）路路由器配配置1.观观察和记记录给定定型号路路由器的的端口2.使使用线缆缆正确连连接路由由器和PC3.配配置路由由器路由器配配置思路路：配置置之前，，需要将将组网需需求具体体化、详详细化，，包括组组网目的的、路由由器在互互联网中中的角色色、子网网的划分分、广域域网类型型和传输输介质的的选择、、网络安安全策略略和网络络可靠性性需求等等，然后后根据以以上要素素绘出一一个清晰晰完整的的组网图图。4.多多路由器器连接四、实验验内容（二）NAT的的配置1.NAT(NetworkAddressTranslation)2.内内部网络络地址与与外部网网络地址址3.配配置访问问控制列列表标准IP访问控控制列表表扩展IP访问控控