计算机网络安全第11章

《计算机网络安全第11章》由会员分享，可在线阅读，更多相关《计算机网络安全第11章（39页珍藏版）》请在装配图网上搜索。

1、教学重点和难点：教学重点和难点：u 网络安全的策略；网络安全的策略；u 黑客攻击的常见方法；黑客攻击的常见方法；u 网络安全的解决方案。网络安全的解决方案。第第1111章章 计算机网络安全计算机网络安全 网络安全从其本质上来讲就是网络上的信息安全，网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。系统连续可靠正常地运行，网络服务不中断。11.1.1 11.1.1 计算

2、机网络安全的定义计算机网络安全的定义 11.1 11.1 概述概述 计算机网络的安全性问题包括两方面的内容：计算机网络的安全性问题包括两方面的内容：11.1.2 11.1.2 网络安全的内容网络安全的内容 11.1 11.1 概述概述 系统安全系统安全 信息安全信息安全11.1 11.1 概述概述 一个安全的计算机网络应该具有以下几个特点：一个安全的计算机网络应该具有以下几个特点： 可靠性可靠性 可用性可用性 保密性保密性 完整性完整性 不可抵赖不可抵赖性性 如机房的物理条件、物理环境及设施的安全标准，计如机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的的安装及配

3、置等。算机硬件、附属设备及网络传输线路的的安装及配置等。 如保护网络系统不被非法侵入，系统软件与应用软件如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改，不受病毒的侵害等。不被非法复制、篡改，不受病毒的侵害等。11.1 11.1 概述概述 如保护网络信息的数据安全不被非法存取，保护其完整如保护网络信息的数据安全不被非法存取，保护其完整一致等。一致等。 如运行时突发事件的安全处理等，包括采取计算机安全如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等。技术，建立安全管理制度，开展安全审计，进行风险分析等。11.1 11.1 概述概

4、述 （1 1）截获：攻击者从网络上窃听信息。）截获：攻击者从网络上窃听信息。（2 2）中断：攻击者有意中断网络上的通信。）中断：攻击者有意中断网络上的通信。（3 3）篡改：攻击者有意更改网络上的信息。）篡改：攻击者有意更改网络上的信息。（4 4）伪造：攻击者使假的信息在网络上传输。）伪造：攻击者使假的信息在网络上传输。 11.1.3 11.1.3 计算机网络面临的威胁计算机网络面临的威胁 11.1 11.1 概述概述 上述的四种威胁可以分为两类：即上述的四种威胁可以分为两类：即被动攻击被动攻击和和主动攻击主动攻击。 1.1.是来自外部的不安全因素，即网络上存在的攻击。是来自外部的不安全因素，即

5、网络上存在的攻击。2.2.是来自网络系统本身的。是来自网络系统本身的。3.3.是网络应用安全管理方面的原因，网络管理者缺乏是网络应用安全管理方面的原因，网络管理者缺乏网络安全的警惕性，忽视网络安全，或对网络安全技术网络安全的警惕性，忽视网络安全，或对网络安全技术缺乏了解，没有制定切实可行的网络安全策略和措施。缺乏了解，没有制定切实可行的网络安全策略和措施。4.4.是网络安全协议的原因。是网络安全协议的原因。10.1.4 10.1.4 网络不安全的原因网络不安全的原因 11.1 11.1 概述概述 1. 1. 在安全监测和评估方面，包括网络、保密性以及在安全监测和评估方面，包括网络、保密性以及操

6、作系统的检测与评估。操作系统的检测与评估。2. 2. 在安全体系结构方面制定的在安全体系结构方面制定的OSIOSI网络安全体系结构，网络安全体系结构，包括安全服务和安全机制，主要解决网络信息系统中的包括安全服务和安全机制，主要解决网络信息系统中的安全与保密问题。安全与保密问题。11.1.5 11.1.5 网络安全措施网络安全措施 11.1 11.1 概述概述 对等实体鉴别服务对等实体鉴别服务访问控制服务访问控制服务数据保密服务数据保密服务数据完整性服务数据完整性服务数据源鉴别服务数据源鉴别服务禁止否认服务禁止否认服务11.1 11.1 概述概述 11.1 11.1 概述概述 系统安全管理系统安

7、全管理安全服务管理安全服务管理安全机制管理安全机制管理安全事件处理安全事件处理安全审计管理安全审计管理安全恢复管理安全恢复管理密钥管理密钥管理重点是设立安全组织机构、安全人事管理和安全责重点是设立安全组织机构、安全人事管理和安全责任管理与监督等。任管理与监督等。11.1.6 11.1.6 网络安全策略网络安全策略 11.1 11.1 概述概述 用于阐明公司安全政策的总体思想。用于阐明公司安全政策的总体思想。用于说明什么活动是被允许的，什么活动是被禁止的。用于说明什么活动是被允许的，什么活动是被禁止的。（1 1）不把内部网络和外部网络相连，因此一切都被禁止。）不把内部网络和外部网络相连，因此一切

8、都被禁止。（2 2）除那些被明确允许之外，一切都被禁止。）除那些被明确允许之外，一切都被禁止。（3 3）除那些被明确禁止之外，一切都被允许。）除那些被明确禁止之外，一切都被允许。（4 4）一切都被允许，当然也包括那些本来被禁止的。）一切都被允许，当然也包括那些本来被禁止的。11.1 11.1 概述概述 网络安全策略可分为网络安全策略可分为4 4个等级个等级（1 1）网络用户的安全责任）网络用户的安全责任（2 2）系统管理员的安全责任）系统管理员的安全责任（3 3）正确利用网络资源）正确利用网络资源（4 4）检测到网络安全问题时的对策）检测到网络安全问题时的对策11.1 11.1 概述概述 一个

9、好的网络安全性策略应包括如下内容：一个好的网络安全性策略应包括如下内容： 网络安全管理主要是配合行政手段，从技术上实现安网络安全管理主要是配合行政手段，从技术上实现安全管理，从范畴上讲，涉及四个方面：全管理，从范畴上讲，涉及四个方面：11.1 11.1 概述概述 (1) (1) 物理安全策略物理安全策略(2) (2) 访问控制策略访问控制策略(3) (3) 信息加密策略信息加密策略(4) (4) 网络安全管理策略网络安全管理策略物理安全策略的目的是保护计算机系统、网络服务器、物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和打印机等硬件实体和通信

10、链路免受自然灾害、人为破坏和搭线攻击；搭线攻击；验证用户的身份和使用权限、防止用户越权操作；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生；和各种偷窃、破坏活动的发生；抑制和防止电磁泄漏抑制和防止电磁泄漏是物理安全策略的一个主要问题。是物理安全策略的一个主要问题。11.1 11.1 概述概述 （1 1） 物理安全策略物理安全策略 入网访问控制入网访问控制 网络的权限控制网络的权限控制 目录

11、级安全限制目录级安全限制 属性级安全控制属性级安全控制11.1 11.1 概述概述 网络服务器安全控制网络服务器安全控制 网络监测和锁定控制网络监测和锁定控制 网络端口和节点的安全控制网络端口和节点的安全控制 防火墙控制防火墙控制（2 2） 访问控制策略访问控制策略11.1 11.1 概述概述 （3 3） 信息加密策略信息加密策略是保护网内的数据、文件、口令和控制信息，保护是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网上传输的数据。信息加密的目的信息加密的目的11.1 11.1 概述概述 链路加密链路加密端点加密端点加密节点加密节点加密 （3 3） 信息加密策略信息加密策略网络

12、加密常用的方法网络加密常用的方法确定安全管理等级和安全管理范围；确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等。制度，制定网络系统的维护制度和应急措施等。 11.1 11.1 概述概述 （4 4） 网络安全管理策略网络安全管理策略网络安全管理策略包括：网络安全管理策略包括： 黑客是英文黑客是英文hackerhacker的译音，原意为热衷于电脑程序的的译音，原意为热衷于电脑程序的设计者，指对于任何计算机操作系统的奥秘都有强烈兴趣设计者，指对于任何计算机操作系统的奥秘都有强烈兴趣的人。的人

13、。 入侵者（攻击者）指怀着不良的企图，闯入远程计算入侵者（攻击者）指怀着不良的企图，闯入远程计算机系统甚至破坏远程计算机系统完整性的人。机系统甚至破坏远程计算机系统完整性的人。 黑客指利用通信软件通过网络非法进入他人系统，截黑客指利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。获或篡改计算机数据，危害信息安全的电脑入侵者。11.2.1 11.2.1 黑客黑客 11.2 11.2 网络黑客攻击网络黑客攻击 1 1收集目标计算机的信息。收集目标计算机的信息。2 2寻求目标计算机的漏洞和选择合适的入侵方法。寻求目标计算机的漏洞和选择合适的入侵方法。3. 3. 留

14、下留下“后门后门”。 4. 4. 清除入侵记录。清除入侵记录。 11.2 11.2 网络黑客攻击网络黑客攻击 黑客攻击的步骤黑客攻击的步骤 扫描是网络攻击的第一步，通过扫描可以直接截获数据扫描是网络攻击的第一步，通过扫描可以直接截获数据包进行信息分析、密码分析或流量分析等。通过扫描查找包进行信息分析、密码分析或流量分析等。通过扫描查找漏洞如开放端口、注册用户及口令、系统漏洞等。漏洞如开放端口、注册用户及口令、系统漏洞等。11.2.2 11.2.2 扫描扫描11.2 11.2 网络黑客攻击网络黑客攻击 11.2 11.2 网络黑客攻击网络黑客攻击 扫描有手工扫描和利用端口扫描软件。手工扫描是扫描

15、有手工扫描和利用端口扫描软件。手工扫描是利用各种命令，如利用各种命令，如PingPing、TracertTracert、HostHost等。使用端口扫等。使用端口扫描软件是利用扫描器进行扫描。描软件是利用扫描器进行扫描。常用的扫描器软件有常用的扫描器软件有1. PorScan 1. PorScan PorScanPorScan2 2SATANSATAN3 3网络安全扫描器网络安全扫描器NSSNSS 4 4StrobeStrobe 在一般情况下，网络上所有的机器都可以在一般情况下，网络上所有的机器都可以“听听”到到通过的流量，但对不属于自己的数据包则不予响应（换通过的流量，但对不属于自己的数据包

16、则不予响应（换句话说，工作站句话说，工作站A A不会捕获属于工作站不会捕获属于工作站B B的数据，而是简的数据，而是简单地忽略这些数据）。单地忽略这些数据）。11.2.3 Sniffer11.2.3 Sniffer 11.2 11.2 网络黑客攻击网络黑客攻击 SnifferSniffer，中文可以翻译为嗅探器，是一，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。种威胁性极大的被动攻击工具。 Sniffor Sniffor程序是一种利用以太网的特性把网络适配卡程序是一种利用以太网的特性把网络适配卡（NICNIC，一般为以太同卡）置为杂乱（，一般为以太同卡）置为杂乱（promiscuou

17、spromiscuous）模）模式状态的工具，一旦网卡设置为这种模式，它就能接收式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。传输在网络上的每一个信息包。 11.2 11.2 网络黑客攻击网络黑客攻击 11.2 11.2 网络黑客攻击网络黑客攻击 软件软件硬件硬件NetXrayNetXray、PacketboyPacketboy、Net monitorNet monitor。硬件的硬件的SnifferSniffer通常称为协议分析仪，通常称为协议分析仪，一般都是商业性的，价格也比较贵。一般都是商业性的，价格也比较贵。“特洛伊木马特洛伊木马”（trojan hors

18、etrojan horse）简称）简称“木马木马”，是，是一种计算机程序，它驻留在目标计算机里。在目标计算机一种计算机程序，它驻留在目标计算机里。在目标计算机系统启动的时候，自然启动，在某一端口进行侦听。系统启动的时候，自然启动，在某一端口进行侦听。11.2.4 11.2.4 特洛伊木马特洛伊木马 11.2 11.2 网络黑客攻击网络黑客攻击 服务器程序服务器程序控制器程序控制器程序 完整的木马程序一般由两个组成：完整的木马程序一般由两个组成：1. 1. 口令攻击口令攻击2. 2. 拒绝服务的攻击拒绝服务的攻击3. 3. 网络监听网络监听4. 4. 缓冲区溢出缓冲区溢出5. 5. 电子邮件攻击

19、电子邮件攻击6. 6. 其它攻击方法其它攻击方法11.2.5 11.2.5 常见的黑客攻击方法常见的黑客攻击方法 11.2 11.2 网络黑客攻击网络黑客攻击 物理层安全防护；物理层安全防护； 链路层安全保护；链路层安全保护； 网络层安全防护；网络层安全防护； 传输层安全防护；传输层安全防护； 应用层安全防护。应用层安全防护。11.3 11.3 网络安全解决方案网络安全解决方案 以以Windows 2000 ServerWindows 2000 Server为例，正确地使用操作系统。为例，正确地使用操作系统。在使用某种操作系统时，应经常进行安全检测及查找漏在使用某种操作系统时，应经常进行安全检

20、测及查找漏洞，关注系统漏洞的发布以及补丁程序的发布，并及时下洞，关注系统漏洞的发布以及补丁程序的发布，并及时下载、安装在系统中。载、安装在系统中。11.3.1 11.3.1 操作系统安全使用操作系统安全使用 11.3 11.3 网络安全解决方案网络安全解决方案 11.3.1 操作系统安全使用操作系统安全使用 11.3 11.3 网络安全解决方案网络安全解决方案 进入安全策略设置界面进行安全策略设置，包括：进入安全策略设置界面进行安全策略设置，包括： 账户密码策略账户密码策略 账户锁定策略账户锁定策略 审核策略审核策略 用户权力指派用户权力指派 安全选项安全选项防火墙是一个或一组在两个网络之间执

21、行访问控制策防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务来往人侵扰。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。只允许授权的通信。通常，防火墙就是位于内部网或通常，防火墙就是位于内部网或WebWeb站点与站点与InternetInternet之间的一个路由器或一台计算机，又称为堡垒主机。之间的一个路由器或一台计算机，又称为堡垒主机。 11.3

22、.2 11.3.2 防火墙防火墙 11.3 11.3 网络安全解决方案网络安全解决方案 11.3 11.3 网络安全解决方案网络安全解决方案 (1) (1) 所有进出网络的通信流都应该通过防火墙；所有进出网络的通信流都应该通过防火墙；(2) (2) 所有穿过防火墙的通信流都必须有安全策略和计所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权；划的确认和授权；(3) (3) 理论上说，防火墙是穿不透的。理论上说，防火墙是穿不透的。11.3 11.3 网络安全解决方案网络安全解决方案 11.3 11.3 网络安全解决方案网络安全解决方案 （1 1）包过滤路由器）包过滤路由器（2 2）应用型防

23、火墙）应用型防火墙（3 3）主机屏蔽防火墙）主机屏蔽防火墙（4 4）子网屏蔽防火墙）子网屏蔽防火墙(1) (1) 系统要尽量与公网隔离，要有相应的安全连接措施。系统要尽量与公网隔离，要有相应的安全连接措施。(2) (2) 不同的工作范围的网络既要采用防火墙、安全路由器、不同的工作范围的网络既要采用防火墙、安全路由器、保密网关等相互隔离，又要在政策循序时保证互通。保密网关等相互隔离，又要在政策循序时保证互通。(3) (3) 为了提供网络安全服务，各相应的环节应根据需要配置为了提供网络安全服务，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性、业务可单独评价的加密、数字签

24、名、访问控制、数据完整性、业务流填充、路由控制、公证、鉴别审计等安全机制，并有相应的流填充、路由控制、公证、鉴别审计等安全机制，并有相应的安全管理。安全管理。11.3.3 11.3.3 网络的安全防范建议网络的安全防范建议 11.3 11.3 网络安全解决方案网络安全解决方案 (4) (4) 远程客户访问重要的应用服务要有鉴别服务器严远程客户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。格执行鉴别过程和访问控制。(5) (5) 网络和网络安全设备要经受住相应的安全测试。网络和网络安全设备要经受住相应的安全测试。(6) (6) 在相应的网络层次和级别上设立密钥管理中心、在相应的网络

25、层次和级别上设立密钥管理中心、访问控制中心、安全鉴别服务器、授权服务器等，负责访访问控制中心、安全鉴别服务器、授权服务器等，负责访问控制以及密钥、证书等安全材料的产生、更换、配置和问控制以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动。销毁等相应的安全管理活动。11.3 11.3 网络安全解决方案网络安全解决方案 (7) (7) 信息传递系统要具有抗侦听、抗截获能力能对抗信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的篡改、删除、插入、重放、选取明文密码破传输信息的篡改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击，保护信息的机密性，保证信译等主动攻击和被动攻击，保护信息的机密性，保证信息和系统的完整性。息和系统的完整性。(8) (8) 涉及保密的信息在传输过程中，在保密装置以外涉及保密的信息在传输过程中，在保密装置以外不以明文形式出现。不以明文形式出现。11.3 11.3 网络安全解决方案网络安全解决方案