计算机网络信息安全理论与实践教程.ppt

1、计算机网络信息安全理论与实践教程,第一章 网络信息安全概论,1.1 网路安全现状与问题 1.2网络安全典型问题： 1、对网络依赖程度增强， 2、网络系统中管理和技术上的漏洞日益增多 3、 恶意代码危害大 4、网络攻击技术复杂化、使用简单化 5、网络安全建设缺乏规范操作 6、网络安全认证方式繁多，使用、管理复杂 7、网络安全产品国产化低 8、网络安全建设涉及人员多，安全和易用难以平衡 9、网络系统软件、硬件产品单一，易发生大规模网络安全事件,1.2网络安全目标和功能,网络安全目标 1、机密性 2、完整性 3、可用性 4、抵抗抵赖性 5、可控性 网络安全基本功能 1、网络安全防御 2、网络安全检测

2、 3、网络安全应急 4、网络安全恢复,1.3网络信息安全技术需求,1、网络物理安全：环境安全、设备安全、媒体安全 2、网络认证 3、网络访问控制 4、网络安全保密 5、网络漏洞评估 6、网络恶意代码 7、网络安全应急相应 8、网络安全体系,1.4网络安全管理内涵,网络安全管理定义:是指通过一定的安全技术措施和管理手段,确保网络的保密性、可用性、完整性、可控性和抗抵赖性，不致因网络设备、通信协议、网络服务、网络管理受到认为和自然因素的危害，导致网络中断、信息泄露和损坏。 网络安全管理目标：通过适当的安全防范措施，保障网络的运行和信息安全，满足网上业务开展的安全要求。 网安全管理内容 网络安全管理

3、要素 网络安全管理对象 网路安全威胁 网络脆弱性（与安全策略相冲突的状态或错误，将导致攻击者非授权访问，假冒用户执行操作及拒绝服务） 网络安全保护措施,1.5网络安全管理方法和流程,1明确网络系统业务要求,2确定网络安全策略,3明确网络安全管理范围,4实施网络安全风险评估,5网络安全风险控制管理,6制定网络安全管理相关声明,7网络安全风险管理系统运行,8网络安全风险管理系统维护,第二章 网络攻击原理与常用方法,2.1网络攻击的概念 是指对网络系统的机密性、完整性、可用性、可控性、抵赖性产生危害行为 危害行为的四个基本情形：信息泄漏攻击 完整性破坏攻击 拒绝服务攻击 非法使用攻击,2.1.2网络

4、攻击技术的发展演变,智能化、自动化的网络攻击 网络攻击者的技术要求 多目标网络攻击 协同网络攻击 网络拒绝服务攻击 网络攻击速度变快,2.2网络攻击的一般过程,隐藏攻击源 收集攻击目标信息 挖掘漏洞信息 获取目标访问权限 隐蔽攻击行为 实施攻击 开辟后门 清除攻击痕迹,2.3网络攻击常见技术方法,端口扫描 口令破解 缓冲区溢出 网络蠕虫 网站假冒 拒绝服务 网络嗅探 SQL注入攻击 社交工程方法 电子监听技术 会话劫持 漏洞扫描 代理技术 数据加密技术,第三章 网络安全体系,1、网络安全体系是指：关于网络安全防范系统的最高层次概念的抽象，它由各种网络安全防范单元组成，各组成单元按照一定的规则关

5、系能够有机集成起来，共同实现网络安全的目标。,2、网络安全体系模型,1、PDRR模型 Protection（保护），Detection（检测），Recovery（恢复），Response（响应） 2、ISS的动态信息安全模型 3、CISCO的网络动态安全模型 3.1 制定强健的安全策略 3.2 根据安全策略和网络情况选定产品 3.3 对网络的活动进行安全监控，当受到攻击时作出反应 3.4 对网络的安全措施进行评测 3.5 网络安全的管理和改进,3.2网络安全体系的构建原则与内容,1 系统性原则 2 互补性原则 3 安全风险原则 4 标准化与一致性原则 5 技术与管理相结合原则 6 预防性原则

6、7 等级性原则 8 动态原则 9 易操作原则,3.2网络安全体系的构建内容,1、安全组织的领导层 2、安全组织的管理层 3、安全组织的执行层 4、安全组织的外部协作层,网络安全管理体系构建的内容,1、网络安全策略 2、第三方合作管理 3、网络系统资产分类与控制 4、人员安全 5、网络物理与环境安全 6、网络通信与运行 7、网络访问控制 8、网络应用系统开发与维护 9、网络系统可持续行运营 10、网络管理一致性和合法性,网路安全技术体系构建内容,1、物理层安全 2、系统层安全 安全问题来自网络内使用的操作系统的安全 表现在三个方面：1、系统本身缺陷 2、安全配置 3、病毒的威胁 3、网络层安全

7、4、应用层安全,第四章 网络安全密码学基本理论,4.2 密码体制分类 4.2.1 私钥密码体制 4.2.2 公钥密码体制 4.2.3 混合密码体制 4.3 常见密码算法 1.DES 2.IDEA AES RSA DIFFIE-HELLMAN 4.4 杂凑函数,4.5数字签名,数字签名应满足以下条件 1、不可否认性 2、不可伪造性 3、第三方可认证,4.6安全协议,SSL（Secure Socket Layer）是介于应用层和TCP层之间的安全通信协议。主要目的是当两个应用层之间相互通信时，使被传送信息具有保密性和可靠性。 SSL由两层协议组成1、SSL纪录协议（用途是将各种不同的较高层次的协议

8、封装后再传送）2、SSL握手协议（为两个应用程序开始传送或接收数据前，提供服务器和客户端间的相互认证，并相互协商决定双方通信使用的加密算法及加密密钥） 提供三种服务 1、保密性通信 2、点对点之间的身份认证 3、可靠性通信,Ssl协议通讯示意图,第二篇网络安全技术与标准第五章 物理与环境安全技术,5、2物理安全常见方法 防火 防水 防震 防盗 防鼠虫害 防雷 防电磁 防静电 安全供电,5、3、2网络机房场地选择,环境安全性 地质可靠性 场地抗电磁干扰性 应避开强震动源和强噪声源 避免高层以及用水设备的下层和隔壁,存储介质的安全感,1、强化管理 2、数据加密保存 3、磁盘整列 4、网络存储san

9、存储域网络（Storage Area Network）,第六章 认证技术的原理与应用,6、1认证相关概念 认证就是一个实体向另外一个实体证明其所具有的某种特性的过程 标识：用来代表实体的身份，确保实体在系统的唯一性和可辨识性，一般用名称和标识符来表示 鉴别：指对实体身份的真实性进行识别。鉴别的依据是用户所拥有的特殊信息或实物 6.2 认证信息的类型 认证过程中，鉴别通常依据实体或用户所提供的特殊信息来判断身份的真实性，是非公开的、难以伪造的 所知道的秘密 所拥有的实物 生物特性信息 上下文信息,6、3认证的作用和意义,主要用途 验证网络资源访问者的身份，给网络系统访问授权提供支持服务 验证网络

10、信息的发送者和接收者的真实性、防止假冒 验证网络信息的完整性、防止篡改、重放、延迟,6.4认证的分类,单向认证 双向认证 第三方认证,6.5认证的实现技术,口令认证技术 智能卡技术 基于生物特性认证 Kerberos 公钥基础设施（PKI）,第七章 访问控制技术的原理与应用,7.1访问控制目标 1、防止非法用户进入系统 2、阻止合法用户对系统资源的非法使用 为实现访问控制，首先对网络用户进行有效的身份认证，然后根据不同的用户授予不同的访问权限，进而保护系统资源 访问控制分类 1物理访问控制 2网络访问控制 3操作系统访问控制 4数据库访问控制 5应用系统访问控制,7.2访问控制系统模型,访问控

11、制数据库,审计库,参考监视器,主体,客体,主体：引起信息在客体之间流动的一种实体 客体：系统中被动的主体行为的承担者 参照监视器：监督主体和客体之间授权访问关系的部件，是访问控制执行单元和决策单元 访问控制数据库：记录主体访问客体权限及其访问方式的信息 审计库：存储主体访问客体的操作信息，包括访问成功信息，失败信息,7.4访问控制类型,自主访问控制（DAC）基于行的自主访问控制基于列的自主访问控制 强制访问控制（MAC） 基于角色的访问控制,7.5 访问控制策略的设计与组成,组成： 机房访问控制策略 拨号服务器访问控制策略 路由器访问控制策略 交换机访问控制策略 防火墙访问控制策略 主机访问控

12、制策略 数据库访问控制策略 客户端访问控制策略 网络服务访问控制策略 访问策略也是由物理到设备，基础平台到网络应用,7.5.2访问控制规则,基于用户身份的访问控制规则 基于角色的访问控制规则 基于地址的访问控制规则 基于时间的访问控制规则 基于异常事件的访问控制规则 基于服务数量的访问控制规则,7.6访问控制管理过程和内容,访问控制管理过程 明确访问控制的管理的资产 分析管理资产的安全要求 制定访问控制策略 实现访问控制策略，建立用户访问身份认证系统，并根据用户的类型，授权用户访问资产 运行和文虎访问控制系统，及时调整访问策略 最小特权管理 用户访问管理 口令管理,第八章 防火墙技术的原理与应

13、用,防火墙的工作原理 防火墙是由一些软件和硬件组合而成的网络访问控制器，他根据一定的安全规则来控制流过防火墙的网络包，从而起到网络安全屏障的作用 防火墙的安全策略 1 只允许符合安全规则的包通过防火墙，其他通信包禁止 2禁止与安全规则相冲突的包通过，其他包允许 防火墙过滤器安全策略(网关) 防火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则。即按表格中规则的先后顺序以及每条规则的条件逐项进行比较，直到满足某一条规则的条件，并作出规定的动作(中止或向前转发)，从而来保护网络的安全。,防火墙技术与类型,1包过滤防火墙 (TCP、IP) 包过滤路由器与守卫有些相似，当装载有包的运输卡车

14、到达时，“包过滤”守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确保它也是正确的，接着送卡车通过关卡传递包。虽然这种方法比没有关卡更安全，但是它还是比较容易通过并且会使整个内部网络暴露于危险之中。 2应用代理防火墙(Application Layer) 前面安全守卫的类比，和刚才在输入包中查找地址不同的是，“应用级代理”安全守卫打开每个包并检查其中内容并将发送者的信任书同已明确建立的评价标准相对比。如果每个传输包都通过了这种细致的检查，那么守卫签署传送标记，并在内部送一份可信快递以传递该包到合适的住户，卡车及司机无法进入。这种安全检查不仅更可靠，而且司机看不到内部网络。尽管这些额

15、外的安全机制将花费更多处理时间，但可疑行为绝不会被允许通过“应用级代理”安全守卫。,防火墙技术与类型,3电路级网关型防火墙 4状态包检测 网络地址转换NAT,防火墙的功能,过滤非安全网络访问 限制网络访问 网络访问审计 网络带宽控制 协同防御,防火墙的缺陷,不能完全防止感染病毒的软件或文件的传输 不能防止基于数据驱动的攻击 不能完全防止后门攻击,8.3防火墙主要技术参数,网络接口 协议支持 加密支持 认证支持 访问控制 安全功能 管理功能 审计和报表,防火墙性能指标,最大吞吐量 传输速率 最大规则数 并发连接数,第九章 VPN技术的原理和应用,9.1VPN 虚拟专用网(Virtual Priv

16、ate Networks，VPN)提供了一种在公共网络上实现网络安全保密通信的方法。,9.2VPN安全服务功能,保密性服务 完整性服务 认证性服务,第十章 漏洞扫描技术的原理与应用,1、概述：漏洞又称脆弱性，是指计算机系统中与安全策略向冲突的状态或错误，这些状态和错误将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。 2、网络漏洞的来源 软件编程错误 安全配置不当 测试不充分 安全意识薄弱 安全管理员疏忽 建议使用软件：Windows安全基准分析工具 瑞星防火墙,第十一章 入侵检测技术的原理与应用,入侵检测的概念 入侵是未经授权蓄意尝试访问新，篡改信息、使系统不可用的行为 入侵是指违背访问目

17、标的安全策略的行为 入侵检测是通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危机系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,11.1.2入侵检测系统模型,主体,安全监控器,客体,审计数据,系统轮廓,攻击状态,规则匹配,实时信息,11.2 入侵检测技术,基于误用的入侵检测技术 基于异常的入侵检测技术 其他,11.3入侵检测系统的组成与分类,入侵检测的组成 数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、相关的辅助模块 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统 (NIDS) 分布式入侵检测系统,第十二章 恶意代码防范技术的原理

18、,12.1分类：病毒、蠕虫、特洛伊木马、逻辑炸弹、细菌、恶意脚本、恶意ActiveX空间、间谍软件、 12.2计算机病毒是一组有自我复制、传播能力的程序代码。计算机病毒基本特点 1隐蔽性 2传染性 3潜伏性 4破坏性 计算机病毒组成：复制传染部件、隐藏部件、破坏部件,计算机病毒常见类型,引导形病毒 宏病毒 多态病毒 隐蔽病毒,病毒的防范策略与技术,病毒检测 病毒防范1、培养防范意识2、切断病毒的传播途径和消除病毒载体3、定期对计算机病毒进行检测4、安装杀毒软件，建立多级病毒防护体系 应急响应,特洛伊木马,木马攻击成功的条件 1、木马程序既能进行非法操作，又要隐蔽 2、采用某方式使受害者安装程序

19、 3、运行程序 4、获取木马操作结果 运行机制 寻找攻击目标 手机目标系统的信息 将木马植入 木马隐藏 激活木马，实施攻击,木马的种类,破坏型 密码发送型 远程访问型 键盘记录型 拒绝服务型 代理型 ftp型 程序杀手型 反弹端口型,12.3.4 木马防范技术,基于查看开发端口监测木马 基于重要系统文件监测木马 基于注册表监测木马 监测具有隐藏能力的木马 基于网络监测 防止木马植入方法 基于网络阻断木马技术方法 清除木马的方法,感染木马后症状,反应变慢 硬盘不停的读写 键盘鼠标不受控制 一些窗口自动关闭 莫名其妙打开窗口 网络传输指示灯一直闪烁 系统资源占用多 运行了某程序没有反应 在关闭某个

20、程序时防火墙检测到发送邮件 密码突然改变 文件无故丢失,12.4网络蠕虫,网络蠕虫是一种具有自我复制和传播能力，可独立运行的恶意程序 网络蠕虫的组成：探测模块、传播模块、蠕虫引擎模块、负载模块 蠕虫的运行机制：感染蠕虫的主机在搜索易感目标主机；把蠕虫代码传送到易感目标主机上；易感目标主机执行蠕虫代码，感染目标主机系统,蠕虫防范技术,蠕虫监测与预警技术 蠕虫传播抑制技术 仿生疾病防范蠕虫技术 网络系统漏洞监测与系统加固技术 蠕虫免疫技术 蠕虫阻断与隔离技术 蠕虫清除技术 个人用户防范:1、不允许触发模块执行 2，删除破坏性模块 3 、感染模块 4、不要打开以下扩展名的文件 vbs,shs,pif

21、,网络物理隔离技术的原理与应用,专用计算机上网 多PC机 外网代理服务 内外网线路切换器 单硬盘内外分区 双硬盘 网闸 网闸是通过利用GAP技术，使两个或两个以上网络在不连通的情况下，实现它们之间的安全数据交换和共享。其技术原理是一个具有控制功能的开关读写存储安全设备，通过开关的设置来连接或切断连个独立主机系统的数据交换。两个独立主机不存在通信的物理连接，而且主机对网闸的操作只有“读、写”，所以网闸从物理上隔离了主机之间的直接攻击,WINdows系统安全,17.1Windows系统安全概况 Windows 系统的安全子系统 1、本地安全授权（LSR） 2、安全账户管理（SAM） 3、安全参考监

22、视器（SRM）,Windows安全机制,Windows认证机制 Windows访问控制机制 Windows审计/日志机制 Windows协议过滤和防火墙 Windows 文件加密系统,17.2 Windows系统安全分析,Windows口令 Windows恶意代码 Windows应用软件漏洞 Windows系统程序的漏洞 Windows注册表安全 Windows文件共享安全 Windows物理临近攻击,17.3 Windows系统安全增强技术方法与流程,17.3.1 Windows系统安全增强方法概述 安全补丁（系统补丁和应用软件补丁） 停止服务和卸载软件 升级或更换程序 修改配置或权限 去除

23、恶意程序 安装专用的安全工具软件,Windows 安全配置方法,7个需要注意的问题 1、设置BIOS密码 2、设置系统登陆密码 3、设置系统启动密码 4、设置屏幕保护密码 5、快速锁定系统 6、更改默认帐号设置 7、禁止、关闭、删除未使用和不需要的服务及进程,17.4系统安全增强基本流程,确认系统安全增强的安全目标和系统的业务用途 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 禁用NetBIOs 安全配置账户 安全配置文件系统 配置TCP/IP筛选和ICF（Internet 连接防火墙 ） 禁止光驱或软盘启动 使用屏幕保护口令 设置应用软件安全感 安装第三方防护软件

24、,需要禁止的服务,NetMeeting remote desktop sharing (NetMeeting 远程桌面共享) 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络，由远程访问这部计算机。如果这项服务停止的话，远程桌面共享功能将无法使用。任何依赖它的服务将无法启动。 如上说的，让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者，如果你重视安全性不想多开后门，就关了吧。 服务名：Universal Plug and Play Device Host 提供主机通用即插即用装置的支持。用来侦测安装通用即插即用服务 (Universal Plug and P

25、lay, UPnP)装置。 Messenger(信使服务)计算机用户可以在局域网内利用他进行资料交换 msbalst和slammer依靠此服务传播 Terminal Services (终端服务) 允许多位使用者连接到同一部计算机、桌面及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。远程桌面或是远程协助的功能，不需要就关了，目前该服务也导致了很多网络服务器的安全性问题。 服务名：Remote Registry (远程登录服务) 启用远程服务来对远程计算机进行操作。如果这个服务被停止，登录只能由这个计算机上的使用者修改。任何明确依存于

26、它的服务将无法启动。 基于安全性的理由，如果没有特别的需求，建议最好关了它，除非你需要远程协助修改你的登录设定。 Fast User Switching Compatibility 在多使用者环境下提供应用程序管理。另外像是注销画面中的切换使用者功能，一般建议不要停止，否则很多功能无法实现。,服务名：Performance Logs and Alerts (性能记录文件及警示) 基于事先设定的参数，从本机或远程计算机收集性能数据，然后将数据写入记录中。如果这个服务被停止，将不会收集性能信息。任何明确依存于它的服务将无法启动。 没什么价值的服务。 防止远程计算机搜索数据 Remote Desktop Help Session Manager 管理并控制远程协助。如果此服务停止的话，远程协助将无法使用。停止此服务之前，请先参阅内容对话框中的 “依存性”标签。 如上说的管理和控制远程协助，对于普通用户来说，这个根本就用不着，可以关闭 TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)