1、2022-8-13网络与系统安全实验1网络与系统安全实验网络与系统安全实验1网络与系统安全实验1一、要一、要 求求目标:目标:理解信息安全的基本原理和技术理解信息安全的基本原理和技术;了解一些最新研究成果了解一些最新研究成果;掌握网络与信息安全的理论基础掌握网络与信息安全的理论基础,具备研究与具备研究与实践的基本能力。实践的基本能力。方式:方式:讲授讲授+实验实验考试:考试:报告和作业报告和作业网络与系统安全实验1二、三个关键概念二、三个关键概念1、计算机安全(、计算机安全(Computer Security)对于一个自动化的信息系统,采取保护措施确保信息系统资源(包括硬件、软件、固件、信息/
2、数据和通信)的保密性、完整性、可用性。NIST计算机安全手册2、网络安全(、网络安全(Network Security)保护数据在传输中安全的方法3、互联网安全(、互联网安全(Internet Security)保护数据安全通过互联网络的方法网络与系统安全实验1三、网络安全的核心需求三、网络安全的核心需求网络安全核心地位的三个关键目标网络安全核心地位的三个关键目标保密性(保密性(Confidentiality)l数据保密性l隐私性完整性(完整性(Integrity)(含不可否认性、真实性)(含不可否认性、真实性)l数据完整性l系统完整性可用性(可用性(Availability)真实性(真实性(
3、Authenticity)可追朔性(可追朔性(Accountability)网络与系统安全实验1四、四、OSIOSI安全框架安全框架1、安全攻击,、安全攻击,security attack 任何危及系统信息安全的活动。2、安全服务,、安全服务,security service 加强数据处理系统和信息传输的安全性的一种服务。目的在于利用一种或多种安全机制阻止安全攻击。3、安全机制,、安全机制,security mechanism 用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。网络与系统安全实验11 1、安全攻击、安全攻击攻击攻击/威胁?威胁?攻击的类型攻击的类型l被动攻击被动攻击l主动攻击
4、主动攻击网络与系统安全实验11 1、安全攻击、安全攻击-被动攻击被动攻击网络与系统安全实验11 1、安全攻击、安全攻击-被动攻击被动攻击在未经用户同意和认可的情况下将信息泄露给系在未经用户同意和认可的情况下将信息泄露给系统攻击者,但不对数据信息做任何修改。统攻击者,但不对数据信息做任何修改。常见手段:常见手段:l搭线监听;l无线截获;l其他截获。不易被发现。不易被发现。重点在于预防重点在于预防,如使用虚拟专用网(,如使用虚拟专用网(VPN)、采)、采用加密技术保护网络以及使用加保护的分布式网络用加密技术保护网络以及使用加保护的分布式网络等。等。网络与系统安全实验11 1、安全攻击、安全攻击主动
5、攻击主动攻击网络与系统安全实验11 1、安全攻击、安全攻击主动攻击主动攻击涉及某些数据流的篡改或虚假流的产生。涉及某些数据流的篡改或虚假流的产生。通常分为:通常分为:l假冒;假冒;l重放;重放;l篡改消息;篡改消息;l拒绝服务。拒绝服务。能够检测出来。能够检测出来。不易有效防止,具体措施包括自动审计、入侵检不易有效防止,具体措施包括自动审计、入侵检测和完整性恢复等。测和完整性恢复等。网络与系统安全实验12 2、安全机制(、安全机制(X.800X.800)特定的安全机制特定的安全机制(specific security mechanisms):加密,加密,数字签名,数字签名,访问控制,数据完整性
6、,访问控制,数据完整性,认证交换,流量填充,路由控制,公证等认证交换,流量填充,路由控制,公证等普遍的安全机制(普遍的安全机制(pervasive security mechanisms):可信功能,安全标签,事件检测,可信功能,安全标签,事件检测,安全审计跟踪,安全恢复等安全审计跟踪,安全恢复等网络与系统安全实验13 3、安全服务、安全服务 (X.800)(X.800)可认证性可认证性-assurance that the communicating entity is the one claimed访问控制访问控制-prevention of the unauthorized use of
7、 a resource机密性机密性-Confidentiality-protection of data from unauthorized disclosure完整性完整性-Integrity-assurance that data received is as sent by an authorized entity不可否认性不可否认性-Non-repudiation-protection against denial by one of the parties in a communication可用性可用性-availability 网络与系统安全实验1五、网络安全模型五、网络安全模型
8、网络与系统安全实验1五、网络安全模型五、网络安全模型设计安全服务应包含四个方面内容:设计安全服务应包含四个方面内容:l设计执行安全相关传输的算法设计执行安全相关传输的算法 l产生算法所使用的秘密信息产生算法所使用的秘密信息 l设计分配和共享秘密信息的方法设计分配和共享秘密信息的方法 l指明通信双方使用的协议,该协议利用安全算法指明通信双方使用的协议,该协议利用安全算法和秘密信息实现安全服务和秘密信息实现安全服务网络与系统安全实验1六、国外网络安全标准(六、国外网络安全标准(1 1)u美国国防部TCSEC可信计算机系统标准评估准则(桔皮书)。u该标准是美国国防部制定80年代的。它将安全分为4个方
9、面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A1级:lA1级:验证设计级;lB3级:安全域级lB2级:结构化保护级lB1级:标记安全保护级l完全可信网络安全(B1、B2、B3);lC2级:受控存取保护级;lC1级:自主安全保护剂lD级:不可信网络安全。u问题:以保密和单点机为主。网络与系统安全实验1六、国外网络安全标准(六、国外网络安全标准(2 2)u欧洲ITSEC与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要
10、求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。网络与系统安全实验1六、国外网络安全标准(六、国外网络安全标准(3 3)u加拿大CTCPEC 该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级,通常称为EAL-1到EAL-7。u美国联邦准则(FC)该标准参照了CTCPEC及TCS
11、EC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。网络与系统安全实验1六、国外网络安全标准(六、国外网络安全标准(4 4)u信息技术安全评价通用准则(CC)CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障(安全功能的可信度)分离,并将功能需求分为11类 63族,将保障分为7类 29族。u 99.7通过国际标准化组织认可,为ISO/IEC 15408信息技术安全评估准则。网络与系统安全实验1七、安全
12、产品类型七、安全产品类型网络与系统安全实验1八、教材和参考书八、教材和参考书教材教材1、网络安全实验教程(2版),刘建伟,张卫东,清华大学出版社2、计算机系统安全实验教程,陈波,于泠等,机械工业出版社,2009年2月.3、密码编码学与网络安全原理与实践(第三版),William Stallings美著.刘玉 珍,王丽娜,傅建明等译,电子工业出版社,2004.参考书参考书1、马建峰,马卓著,Security access in wireless local area networks,Springer,2009.2、王育民,刘建伟编著,通信网的安全理论与技术,西安电子科技出版社3、胡道元、闵京华
13、编著,网络安全(第一版),清华大学出版社.4、阙喜戎,孙锐等编著,信息安全原理及应用,清华大学出版.5、刘建伟,王育民编著,网络安全技术与实践(2版),清华大学出版社6、曹天杰,张永平等编著,计算机系统安全,高等教育出版社。7、张波云,鄢喜爱等编著,操作系统安全,人民邮电出版社.8、卿斯汉,等编著,操作系统安全(第2版),清华大学出版社.9.杨国富,等编著,网络操作系统安全,清华大学出版社.网络与系统安全实验1实验一实验一 网络设备配置与使用网络设备配置与使用网络与系统安全实验1目目 录录一、实验目的一、实验目的二、实验原理二、实验原理三、实验环境三、实验环境四、实验内容四、实验内容五、实验报
14、告五、实验报告网络与系统安全实验1一、实验目的一、实验目的v 了解网络信息安全环境的软硬件系统了解网络信息安全环境的软硬件系统v 了解网络综合布线了解网络综合布线v 了解网络互连设备了解网络互连设备v 掌握网络设备的配置与使用掌握网络设备的配置与使用网络与系统安全实验1二、实验原理二、实验原理(一)网络信息安全环境的软硬件系统 1.硬件系统 防火墙防火墙 网络入侵检测系统(网络入侵检测系统(NIDSNIDS)虚拟专用网络(虚拟专用网络(VPNVPN)物理隔离网卡物理隔离网卡 路由器路由器 交换机交换机 集线器集线器 网络与系统安全实验1二、实验原理二、实验原理(一)网络信息安全环境的软硬件系统
15、 2.软件系统 脆弱性扫描系统脆弱性扫描系统 病毒防护系统病毒防护系统 身份认证系统身份认证系统 网络攻防软件网络攻防软件 主机入侵检测软件主机入侵检测软件 因特网非法外联监控软件因特网非法外联监控软件 网络与系统安全实验1二、实验原理二、实验原理网络与系统安全实验1二、实验原理二、实验原理网络与系统安全实验1二、实验原理二、实验原理(二)网络综合布线 网络与系统安全实验1二、实验原理二、实验原理(三)网络互连设备 1.路由器 工作在工作在OSIOSI的第三层的第三层 网络互连与路由选择网络互连与路由选择 根据根据IPIP地址转发数据地址转发数据 实质上是一台微型计算机实质上是一台微型计算机
16、CPU OS RAM ROM 网络与系统安全实验1二、实验原理二、实验原理(三)网络互连设备 2.交换机 工作在工作在OSIOSI的第二层的第二层 三层交换机三层交换机 主机互连主机互连 根据根据MACMAC地址转发数据地址转发数据 组成组成 高速背板高速背板 交换引擎(矩阵)交换引擎(矩阵)接口模板接口模板 网络与系统安全实验1三、实验环境三、实验环境 PC机或笔记本机或笔记本 路由器路由器 交换机交换机 网线网线网络与系统安全实验1四、实验内容四、实验内容(一)路由器配置(一)路由器配置 1.观察和记录给定型号路由器的端口 2.使用线缆正确连接路由器和PC 3.配置路由器 路由器配置思路:
17、配置之前,需要将组网需求具体化、详细化,包括组网目的、路由器在互联网中的角色、子网的划分、广域网类型和传输介质的选择、网络安全策略和网络可靠性需求等,然后根据以上要素绘出一个清晰完整的组网图。4.多路由器连接网络与系统安全实验1四、实验内容四、实验内容(二)(二)NAT的配置的配置 1.NAT(Network Address Translation)2.内部网络地址与外部网络地址 3.配置访问控制列表 标准IP访问控制列表 扩展IP访问控制列表 命名的IP访问控制列表网络与系统安全实验1四、实验内容四、实验内容(三)交换机的配置(三)交换机的配置 1.交换机数据交换直通式交换直通式交换存储转发交换存储转发交换 2.MAC和端口映射表 3.端口配置管理 4.VLAN划分根据根据IP地址地址根据根据MAC地址地址软件划分软件划分2022-8-13网络与系统安全实验1