《网络安全基础》PPT课件.ppt

1、网络安全技术与实训,第 1 章 网络安全基础,1.1 引 言,网络安全综述 Network Security,2003年截至11月底，中国互联网上网用户数已超过7800万，居世界第二位。 中国互联网协会与互联网专业协会2007 2月6日联合发表Internet Guide 2007 中国互联网调查报告。调查显示，内地互联网用户去年已跃升至一亿三千六百万，按年增幅近百分之二十三。 中国互联网协会旗下DCCI互联网数据中心2008年1月9日发布的 中国互联网调查报告显示 ，2007年中国互联网用户规模达1.82亿人。预计2008年中国互联网用户规模将达2.44亿人。,网络安全为什么重要？,网络应用

2、已渗透到现代社会生活的各个方面；电子商务、电子政务、电子银行等无不关注网络安全； 至今，网络安全不仅成为商家关注的焦点，也是技术研究的热门领域，同时也是国家和政府的行为。,2006年度中国被篡改网页的网站,数据,2006年10月，InformationWeek研究部和埃森哲咨询公司全球安全调查，调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中，有57%的美国公司表示在过去一年中曾遭受病毒攻击，34%曾受到蠕虫的攻击，18%经历了拒绝服务攻击。,网络安全影响到国家的安全和主权,海湾战争前，美国中央情报局采用“偷梁换拄”的方法，将带病毒的电脑打印机芯片，趁货物验关之际换入伊拉克所购的电脑打

3、印机中- 小小的一块带病毒的芯片，让伊拉克从此蒙受一场战争的屈辱。,“每块芯片都是一个武器， 就像插入敌人心脏的匕首。,第一次海湾战争期间，伊拉克从法国购得一批网络打印机，美国特工得知此事，将一块固化病毒程序的芯片与某打印机中的芯片调了包，并且在空袭发起前，以遥控手段激活了病毒，使得伊拉克防空指挥中心主计算机系统瘫痪，最后伊军只有挨打的份 .,网络安全影响到国家的安全和主权,美国不但开发出芯片细菌这样可怕的信息进攻武器(可以毁坏计算机内集成电路的生物)，通信技术更是日新月异，各种无线信号的截获手段层出不穷，2000年欧盟的一份报告指出，美国国家安全局建立的一个代号梯队的全球电子监听侦测网络系统

4、一直在窃取世界各国的情报，该系统动用了120颗卫星，无论你使用的是电话，手机，传真机或者计算机，只要你传输的信息里有美国安全局感兴趣的东西，就会被记录在案。,网络安全影响到国家的安全和主权,据称，在阿富汗战争中，本拉登就是一直不用手机，以此与美军周旋。在此次对伊开战的第一天的空袭中，就是因为卫星侦听系统打听到萨达姆可能停留的地点，所以才发动如此突然的打击。美国军事分析人士近日就警告伊拉克的平民与记者们不要用卫星电话，因为美军轰炸机是根据卫星电话信号进行跟踪、定位以及投弹的。 因此，在新形式下，我国要想打赢一场高科技的局部战争，就必须先要接受信息安全提出的挑战。,网络安全的重要性,信息安全空间将

5、成为传统的国界、领海、领空的三大国防和基于太空的第四国防之外的第五国防，称为cyber-space。,典型的网络安全事件,罗伯特莫里斯,1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯（22岁）制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。此后，从CIH到美丽杀病毒，从尼姆达到红色代码，病毒、蠕虫的发展愈演愈烈。,凯文米特尼克,凯文米特尼克是美国20世纪最著名的黑客之一，他是社会工程学的创始人 1979年（15岁）他和他的伙伴侵入了“北美空中防务指挥系统”，翻阅了美国所有的核弹头资料，令大人不可置信。 不久破译了美国“太平洋电话公司”某地的

6、改户密码，随意更改用户的电话号码。,1.2 网络安全概念,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 从内容上看，网络安全大致包括以下4个方面的内容。, 网络实体安全如计算机硬件、附属设备及网络传输线路的安装及配置。 软件安全如保护网络系统不被非法侵入，软件不被非法篡改，不受病毒侵害等。 数据安全保护数据不被非法存取，确保其完整性、一致性、机密性等。, 安全管理运行时突发事件的安全处理等，包括采取计算机安全技术、建立安全制度、进行风险分析等。 从特征上看，网络安全包括5个基本要素。 机密性确

7、保信息不泄露给非授权的用户、实体。, 完整性信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。, 可控性对信息的传播及内容具有控制能力。 可审查性对出现的安全问题提供调查的依据和手段。,1.2.1 安全模型 图1.1所示为网络安全的基本模型。,1.2.1 安全模型,图1.1 网络安全的基本模型,目前万维网（WWW）的安全模型。,图1.2 网络安全访问模型,1.2.2 安全体系 1安全体系,计算机网络系统的安全空间,网络安全三维模型,鉴别服务 访问控制服务 数据完整性服务 数据保密服务 抗抵赖性服务,2.安全服

8、务 ISO安全体系结构定义了5种类型的安全服务。,3安全机制 加密机制。 数字签名机制。 访问控制机制。 数据完整性机制。, 认证（鉴别）机制。 通信业务填充机制。 路由选择控制机制。 公证机制。,表1.1因特网安全体系结构,表1.2 TCP/IP各层与ISO/OSI安全服务的对应关系,1.2.3 安全标准 有OSI安全体系技术标准、可信任计算机标准评估准则（TCSEC）和我国的计算机网络安全等级标准。,表1.3 TCSEC安全等级,续表,续表,计算机信息系统安全保护等级划分准则 自主保护级。 系统审计保护级。 安全标记保护级。 结构化保护级。 访问验证保护级。,1.2.4 安全目标 安全保护

9、能力 隐患发现能力 应急反应能力 信息对抗能力,1.3 常见的安全威胁与攻击,1.3.1 网络系统自身的脆弱性 1硬件系统 2软件系统,“INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接 ”,3网络和通信协议 缺乏用户身份鉴别机制 缺乏路由协议鉴别机制 缺乏保密性 TCP/UDP的缺陷 TCP/IP服务的脆弱性,1.3.2 网络面临的安全威胁 非授权访问 信息泄漏或丢失 破坏数据完整性 拒绝服务攻击 利用网络传播病毒,信息安全面临的威胁类型,病毒,蠕虫,后门,拒绝服务,内部人员 误操作,非授权访问,暴力猜解,物理威胁,系统漏洞利用,嗅

10、探,1.3.3 威胁和攻击的来源 内部操作不当 内部管理漏洞 来自外部的威胁和犯罪,（1）黑客攻击 （2）计算机病毒 （3）拒绝服务攻击,常见的攻击方式,病毒virus （ 蠕虫Worm） 木马程序Trojan 拒绝服务和分布式拒绝服务攻击 Dos&DDos 欺骗：IP spoofing, Packet modification；ARP spoofing, 邮件炸弹 Mail bombing 口令破解 Password crack 社会工程 Social Engineering,攻击的工具,标准的TCP/IP工具 (ping, telnet) 端口扫描和漏洞扫描 (ISS-Safesuit,

11、Nmap, protscanner) 网络包分析仪 (sniffer, network monitor) 口令破解工具 (lc5, fakegina) 木马 (BO2k, 冰河, ),常用的安全防护措施防火墙,2.2 入侵检测系统,Firewall,Servers,DMZ(隔离区),Intranet,监控中心,router,攻击者,报警,报警,2.3 漏洞扫描系统,地方网管,监控中心,地方网管,地方网管,市场部,工程部,router,开发部,Servers,Firewall,漏洞扫描产品应用,1.4 网络安全的现状和发展趋势, 信息与网络安全的防护能力弱，信息安全意识低。 基础信息产业薄弱，核

12、心技术严重依赖国外，缺乏自主知识产权产品。, 信息犯罪在我国有快速发展蔓延的趋势。 我国信息安全人才培养还远远不能满足要求。,当前网络安全发展趋势在于针对系统漏洞问题、黑客攻击与病毒以及窃取数据等威胁采取不同的防护和解决方法。,职业道德,作为一个公民的社会道德 作为一个员工的职业道德 作为一个网络管理员的职业道德,资源列表, 安全焦点 红客联盟 黑客X档案 黑客防线 中国黑客联盟,实验 常用网络命令,系统版本查看命令,检测网络连接性、可到达性和名称解析的命令,如果不带参数，ping 将显示帮助,ping -l 327

13、68 -n 10 88,格式：ping 对方地址 只显示与远程计算机或本地计算机的连接情况，默认发送4个报文。 参数 -t 指定在中断前 ping 可以持续发送回响请求信息到目的地。要中断并显示统计信息，请按 CTRL-BREAK。要中断并退出 ping，请按 CTRL-C。 参数 -n Count 指定发送回响请求消息的次数。默认值为 4 。,显示所有当前的 TCP/IP 网络配置值的命令,ipconfig /all /renew adapter /release adapter 参数 /all 产生完整显示。在没有该开关的情况下 ipconfig 只显示 IP 地址、

14、子网掩码和每个网卡的默认网关值。 /renew adapter 更新 DHCP 配置参数。该选项只在运行 DHCP 客户端服务的系统上可用。要指定适配器名称，请键入使用不带参数的 ipconfig 命令显示的适配器名称。 /release adapter 发布当前的 DHCP 配置。该选项禁用本地系统上的 TCP/IP，并只在 DHCP 客户端上可用。要指定适配器名称，请键入使用不带参数的 ipconfig 命令显示的适配器名称。 如果没有参数，那么 ipconfig 实用程序将向用户提供所有当前的 TCP/IP 配置值，包括 IP 地址和子网掩码。,TRACERT命令及用法,Tracert（跟踪路由）是路由跟踪