网络安全概述

1、网 络 安 全 概 述,张伟 南京邮电大学 计算机学院信息安全教研室 Email:,关于本课,课堂纪律 自我原则 保密和实践原则 课程组织原则 理论传授、专题讨论 上机实践与理论学习相结合 考核方式 课堂表现、理论、实践 Project进展情况 卷面考试,课程要求,基本课堂讲授+专题讲座+上机实践的教学方式 让学生了解和掌握网络与信息安全的基本原理、技术、及最新研究成果 具有网络与信息安全的理论基础和基本实践能力 课程教学分成基本、中级、高级三个层次要求，不同学生可以自主选择时间和投入，以达基本以上的更高级别 知识点以教材为准，专题讲座、补充内容不作严加要求,参考材料,图书馆 电子资料 源码分

2、析 专业网站 RFC文档,先导课程和基础,编译原理与实践 操作系统原理与实践 计算机网络技术 网络协议（如TCP/IP,HTTP,FTP,SMTP/POP3等等） 密码学原理及应用 编程语言、工具（如VC、GCC、BC等） 其它相关的知识,黑客和入侵者,“黑客”（Hacker）指对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都是程序员，他们具有操作系统和编程语言方面的高级知识，知道系统中的漏洞及其原因所在；他们不断追求更深的知识，并公开他们的发现，与其他分享；并且从来没有破坏数据的企图。 “入侵者”（Cracker）是指怀着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获

3、得的非法访问权，破坏重要数据，拒绝合法用户服务请求，或为了自己的目的制造麻烦。“入侵者”很容易识别，因为他们的目的是恶意的。,讨论议题,Internet的起源、发展与应用 Internet的安全脆弱性 Internet的安全威胁 Internet常见的攻击方法 安全问题的根源 网络和信息安全的任务 网络安全的研究方向,Internet的起源发展与应用,Internet现状（）,国际 1969年开始，起源于军事应用 1993年以后，开始商业应用 已覆盖了175国家和地区 连网主机数以超过千万 互联网用户超过亿,Internet现状（）,国内 1987年开始 三个出口与国际互联网连接（北京、上海、

4、广州） 连网主机 上网人数 公共电子媒体 CN注册域名 国际出口带宽 Source ,Internet发展,IPv6 P2P Peer to Peer QoS Quality of Service MPLS Multiprotocol Label Switching Others,Internet发展的主要动力,计算机、通信、网络技术推动了Internet的发展。TCP/IP协议为计算机、网络互连互通及各种通信奠定了公共标准 在TCP/IP之上开发了许多出色的服务软件 桌面计算机、便携计算机、WWW、浏览器、高速网络、无线网络等，使得Internet获得了进一步的发展规律 采用主干-地区-园区

5、的分层网络结构 较早利用光缆，保持了信息传输通畅 分散式管理和商业化是Internet快速发展的重要原因,Internet的应用,商务、政府、军事 SOHO/OA 娱乐/游戏 信息发布、查询 第四媒体 远程教学、远程医疗等 其它应用,Internet的安全脆弱性！,Internet的安全脆弱性,Internet设计思想 专用主义 利益、意识的冲突 人类的好奇心,Internet设计思想,虚拟空间模糊了物理意义上的界限，从而造成管理困难 TCP/IP协议很少考虑安全性 信息交换缺少“信封”机制，难以保证隐私 允许匿名上网，发生事故后，难以追究责任 信息交往缺少“公证”与“仲裁”，难以保证真实性和

6、有效性 缺少反病毒的能力 开放式、流动的和可访问 异构的网络，多数应用是客户机/服务器模式 各种应用的推广，增加了其安全性漏洞,专用主义,IE/OS专用和垄断 ActiveX 应该进行安全检查的语言： JavaScript VBScript ActiveX,利益、意识的冲突,四种战争 个人之间的Internet战争 公众之间的Internet战争 企业集团之间的Internet战争 政府间的Internet战争 对攻击行为比较感兴趣，喜欢尝试和冒险 从攻击行为中牟利 以攻击行为为职业,Internet的安全威胁,Internet的安全威胁,Email bombing & Email spamm

7、ing 拒绝服务Dos (Denial of Service) 口令盗取 非法访问 计算机、网络病毒，特洛伊木马 不良信息资源 Scanner 嗅探信息、篡改信息、伪造信息 其它威胁（如Java、CGI安全性）,Internet常见的安全攻击,Internet常见的安全攻击,社交工程攻击 计算机、网络病毒(特洛伊木马)攻击 截取机密攻击 非法访问攻击 恶意攻击,截取机密攻击,网络踩点(Footprinting) 扫描攻击 协议栈指纹鉴别 信息流监视(Sniff) 会话劫持(Session Hijacking) 中间人攻击(Man in the middle),非法访问攻击,口令破解 IP欺骗

8、DNS欺骗 重放攻击 非法使用 权限提升,恶意攻击,Ping of Death Teardrop UDP Flood SYN Flood Landing Smurf Fraggle,Email Bombing Email Spamming Malformed DDos Buffer Overflow Others,安全问题的根源,安全问题的根源,物理安全 方案设计的缺陷 系统安全漏洞 操作系统 网络系统 应用系统 通信协议、应用协议 人的因素,网络与信息安全的任务,网络与信息安全的任务,网络安全 资源 实体 载体 信息安全 存储 传输 应用,网络安全的任务,保障各种网络资源 稳定、可靠地运行

9、受控、合法地使用 网络资源合理分配,信息安全的任务,机密性confidentiality 完整性integrity 不可否认性non-repudiation 有效性availability,机密性confidentiality,确保信息不泄露给未经授权的用户、实体或过程，或供其利用。确保信息不被无关人员获取。,完整性integrity,防范信息未经授权被篡改，确保真实的信息从真实的信源无失真地传送到真实的信宿；即不仅要防止未经授权者对信息的篡改和对系统的控制，而且还要能修复因意外事故而受到损坏的数据。,有效性availability,确保系统的正常运行，即保证信息及信息系统确实为经授权用户所用

10、，防止计算机病毒或其他人为因素所造成的系统DoS，或敌手可用；即信息可被授权实体访问并按需求使用。,不可否认性non-repudiation,当发方发送信息时，收方能够证明信息源是合法的 当收方接到信息时，发方能够证明信息目的地是合法的 为作到这一点，发放发送信息时要有发方的签名，收方应发收方签名的回执 不得否认发送：这种服务向数据接收者提供数据源的证据，从而可防止发送者否认发送过这个数据 不得否认接收：这种服务向数据发送者提供数据已交付给接收者的证据，因而接收者事后不能否认曾收到此数据,可控性Controllability,对信息和信息系统实施安全监控管理，对网络信息的传播及内容具有控制能力。,网络安全的研究方向,网络安全的研究方向,以网络管理软件为代表的网络安