计算机网络发展及网络安全讲课讲稿

计算机网络发展及网络安全网络安全策略安全策略目标资源安全保护实现的目的机构安全策略完整的法律、规则、操作方法等系统安全策略实现安全策略的技术方法现有的安全组件信息加密技术计算机病毒防治身份认证技术（口令、密钥、指纹）访问控制技术（自主和强制访问控制）防火墙技术（包过滤、协议过滤、代理服务）虚拟专用网技术（安全、流量、管理）扫描器技术（发现主机、服务类型、漏洞）信息加密技术加密可以改变数据的表现形式；目的是只让特定的人能够解读密文；旨在对第三者保密；Internet是开放的系统；将数据加密后再传送是进行秘密通信的最有效方法。加密与解密过程将明文转换成密文的过程称为加密（Encryption）将密文转换成明文的过程称为解密（Decryption）秘密钥匙（Secretkey）加密体制秘钥加密又称为对称式加密或传统加密，特点是加密明文和解读密文时使用同一把钥匙。

缺点：至少有两人持有钥匙，所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。公用钥匙加密（Publickey）体制公钥加密又称为非对称式加密，特点是加密明文和解读密文时使用一对钥匙。

缺点：公钥加密虽然可避免钥匙共享而带来的问题，但需要较大的计算量。

计算机病毒产生与防治计算机病毒是隐藏在计算机系统中的程序；具有自我繁殖、相互感染、激活再生、隐藏寄生、迅速传播等特点；降低计算机系统性能、破环系统内部信息或破环计算机系统运行。起源：恶作剧显示天资、消遣游戏吃掉对方、软件保护防止非法复制；本质：计算机本身具有动态修改和自我复制能力。计算机感染病毒后的症状计算机屏幕显示异常；计算机系统运行速度明显减慢；异常死机或重新启动；文件属性、大小或内容发生变化；存储容量异常减小；键盘锁定或键入字符与屏幕字符不同；蜂鸣器发出异常声音。常见网络病毒电子邮件病毒：通常邮件本身不带病毒，而是附件携带病毒；Java程序病毒；由于Java可以跨平台执行，因此不论使用那种操作系统，都可被Java病毒感染。ActiveX控件病毒：当浏览含有病毒的网页时，就可能通过ActiveX将病毒下载到本地计算机；网页病毒：Java及ActiveX控件是当前设计网页的最流行工具，浏览网页也可能感染病毒。杀毒软件主要技术指标技术指标：扫描速度、正确识别率、误报率、升级难易程度、实时监测、可管理性和警示手段等；扫描速度：每30秒扫描1000个文件以上；正确识别率：20000种以上；病毒清除：在保证数据的完整性的同时，可靠、有效地清除病毒；实时监测邮件病毒及黑客攻击。国内常用病毒防治软件KILL：金辰公司KV300:江民公司VRV:信源公司瑞星杀毒:金山毒霸:身份认证技术身份认证就是用户身份的合法鉴别口令识别方法签名识别方法指纹识别方法语音识别方法视网膜识别方法识别能力、识别时间、用户方便、性价比等是身份认证系统的选择要素。脆弱性口令分析用户名（帐号）作为口令（破解软件首选）；用户名变换形式作为口令（Zhang123）；自己或亲友生日作为口令；19XX（0~99）XX（1~12）XX（1~31）可能的组合数100*12*31=37200（每秒搜索4万）身份证号或员工号作为口令（内部人员破解很容易）常用英文单词作为口令（黑客软件通常有20万的词库）安全口令：8位以上、大小写和数字混用（难记）；或者使用一次性口令系统。网络安全监察常用法律法规《计算机信息系统国际联网保密管理规定》国家保密局2000年发布；《商用密码管理条例》国务院1999年发布；《计算机信息网络国际联网安全保护管理办法》公安部1997年发布《中华人民共和国计算机信息系统安全保护条例》国务院1994年发布；《全国人民代表大会常务委员会关于维护互联网安全的决定》2000年第九届全国人民代表大会常务委员会第十九次会议通过；《计算机病毒防治管理办法》公安部2000年发布；《互联网上网服务营业场所管理条例》国务院2002年发布；网络安全监察常用法律法规《互联网信息服务管理办法》国务院2000年发布；《计算机信息系统安全专用产品检测和销售许可证管理办法》公安部1997年发布；《金融机构计算机信息系统安全保护工作暂行规定》公安部、中国人民银行1998年发布；

《互联网出版管理暂行规定》中国新闻出版总署、信息产业部2001年发布；法律、法规、标准网站/fanv/index.htm不知不觉受到侵害的间谍软件未经同意私自在用户电脑上运行，并将用户资料非法传递出去的软件；黑客软件的一个分支--特洛伊木马程序；与计算机病毒不同，静悄悄收集用户资料，无法通过计算机异常反应察觉；据德国《贸易报》报道，平均每台个人电脑潜伏着30个间谍软件；寄生在正常功能软件中，给预防带来困扰，杀毒软件和网络防火墙很难识别；私人信息泄露、国家重大政治、经济、国防等机密信息泄密；微软计划在操作系统中增加反间谍功能；通过立法来规范和约束间谍软件的开发和传播。公开出售的间谍软件ElfrahPCSpyv1.40记录按键、密码、电子邮件、聊天、url地址、自启动；Win-Spyv2Pro零售版SpyAnytimePCSpyv2.4注册版ArdamaxKeylogger1.8注册版PALKeyLogProv3.2零售版PALPCSpyv3.2零售版davpsv1.0beta密码截取工具Win-Spy7.5ProBuild3.05零售版PerfectKeyloggerv1.535注册版GhostKeyloggerv3.80零售版KeyLogLocker1.1HotmailHackerLogEdition网络安全体系结构入侵检测定义：对计算机和网络资源上的恶意行为进行识别与响应保护反应检测恢复信息保障入侵检测基本原理当前系统或用户行为入侵检测分析引擎入侵？数据提取是证据记录响应处理模式知识库安全策略入侵行为模式正常行为模式入侵检测分析技术模式匹配方法技术成熟、需要升级、不能检测未知攻击统计分析方法建立正常模式、能够检测未知攻击完整性分析方法检测目录和文件内容变动模式匹配、统计分析与完整性分析统一常用网络安全术语报警异常硬件IDS攻击（拒绝服务攻击DOS、分布式拒绝服务攻击DDOS、特洛伊木马Trojans等）自动响应（配置路由器和防火墙、切断连接等）计算机应急响应组CERT常用网络安全术语通用入侵检测框架CIDF（IDS标准）漏报（FalseNegatives）误报（FalsePositive）黑客规范（黑、灰、白）蜜罐Honeypot躲避IDS基于审计数据源的IDS分类基于主机（操作系统审计记录等）基于网络（分析数据包）基于内核（操作系统内核收集数据）基于应用（应用日志等）基于目标（系统对象修改）形成连接记录TCPDUMP程序捕捉网络数据包

10:35:41.5046941.0.256.256.7000>2.0.256.256.7001:udp14810:35:41.5179932.0.256.256.1362>5.0.256.256.25:.ack1win409610:35:41.5838952.0.256.256.25>13.0.256.256.2845:.ack46win409610:35:41.5957172.0.256.256.2611>8.0.256.256.80:.ack75win1638410:35:41.5964042.0.256.256.1826>7.0.256.256.27383:.ack0win38410:35:411.0.256.2562.0.256.256udp148SF10:35:412.0.256.2565.0.256.256smtp88SF10:35:452.0.256.2566.0.256.256http88SF互联网网关路由器异常检测分类模型分类算法学习得到分类规则入侵检测系统的主要技术指标可扩展性（时间与空间的扩展）监测器管理（目前多数采用集中管理）支持进一步的调查系统负荷计算机取证漏报与误报用户参与易用性利用入侵检测保护网络DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接利用入侵检测保护网络DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击行为警告!启动事件日志,发送消息利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址共享网络中的部署集线器IDSSensor受监控的服务器控制台交换环境中NIDS的部署交换机IDSSensor受监控的服务器控制台IDS在网络中的位置示例InternetDB区域1区域5区域4区域3区域2Web服务器Mail服务器服务器人事部研发部非信任域信任域入侵检测技术发展方向发展与演化主要反映:入侵或攻击的综合化与复杂化入侵主体对象的间接化入侵或攻击的规模扩大入侵或攻击技术的分布化发展倾向分布式入侵检测智能化入侵检全面的安全防御方案入侵检测应该与操作系统绑定IDS存在的问题IDS技术主要面临着三大挑战如何提高入侵检测系统的检测速度，以适应网络通信的要求如何减少入侵检测系统的漏报和误报，提高其安全性和准确度提