1、7.1 计算机网络安全概述 统计表明全球87%的电子邮件被病毒染率、90%以上的网站受过攻击、有着超过六万种不同类型的病毒,并且每天还在产生新的品种。网络犯罪也遵循摩尔定律,每18个月翻一番。面对这样的网络安全环境,我们的计算机,计算机网络如何才能自保?如何才能降低被攻击的风险?本章重点 了解目前计算机安全的概况 了解计算机安全的主动保障技术,如加密、防火墙、授权等 掌握计算机病毒的防治策略与技术 掌握网络管理在计算机安全策略中起到额作用7.1.1网络安全含义 网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然的或者恶意的破坏、篡改、泄露,保证系统能连续、可靠的正常运行,网络服务不
2、中断。其目的是确保经过网络传输的数据不会发生增加、修改、丢失和泄漏等。网络安全包含四个方面:运行系统安全,即保证信息处理和传输系统的安全。网络上系统信息的安全,即系统信息不被泄漏,不被非法利用。网络上信息传播的安全,即信息传播后果的安全。网络上信息内容的安全,即我们讨论的狭义的“信息安全”。解决网络安全的主要技术 身份认证技术 访问控制技术 密码技术 防火墙技术 病毒防治技术。7.1.2网络不安全的原因 计算机网络自身的缺陷 开放性 人为的威胁计算机网络自身的缺陷 计算机硬件系统的安全隐患 计算机操作系统的安全隐患 数据库的安全隐患 应用软件的安全隐患 通信传输协议的安全隐患 开放性 因特网是
3、开放性的,所提供的服务都是基于公开的协议,毫无保密性可言。同时任何人都可以从任意一台联上网的计算机进入网络,访问另一个国家的计算机,即各种攻击无需到现场就可进行,而且谁也不知道他的真实身份,因此让某些人可以亳无顾及地攻击他人的计算机。人为的威胁 人为的威胁又分为误操作和恶意攻击。误操作由于用户不会或不小心造成网络系统受损,信息被破坏的操作。恶意攻击 又分为内部人员和外部人员对网络的攻击。7.1.3网络安全需求 如何才是一个安全的网络?一个完善的安全网络在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下安全属性:1.机密性2.完整性3.有效性4.授权性5.审查性机密性 机密性又
4、称保密性,是指信息在产生、传送、处理和存贮过程中不泄露给非授权的个人或组织。机密性一般是通过加密技术对信息进行加密处理来实现的,经过加密处理后的加密信息,即使被非授权者截取,也由于非授权者无法解密而不能了解其内容。完整性 是指信息在传送和存贮过程中保持一致,没有被非授权人员改变。完整性一般可以通过提取信息的数字摘要的方式来实现。有效性 有效性又称可用性,是指授权用户在正常访问信息和资源时不被拒绝,可以及时获取服务,即保证为用户提供稳定的服务。授权性 授权性又称访问控制,控制谁能够访问网络上的信息并且能够进行何种操作,防止非授权使用资源或控制资源,有助于信息的机密性、完整性。审查性 是指对每个经
5、授权的用户的活动和进行的操作内容进行审计、跟踪和记录。有助于信息的机密性、完整性,及时发现非法操作。7.2 加密技术 加密的概念 对称密钥加密技术 非对称密钥加密技术 数字摘要技术 数字信封技术7.2.1加密的概念 所谓信息加密技术,就是采用数学方法对原始信息(通常称为“明文”)进行再组织,将明文转换成为无意义的文字(称为“密文”),阻止非法用户了解原始数据,从而确保数据的保密性。信息的接收者收到密文之后,需要用相关的算法重新把密文恢复成明文。信息加密 把明文转变成密文的过程称为加密,所使用的计算方法叫做加密算法;由密文还原为明文的过程称为解密,所使用的计算方法叫做解密算法。7.2.2对称密钥
6、加密技术 对称密钥加密又称常规密钥加密/传统密钥加密/私钥加密/专用密钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。使用对称密钥加密技术进行通信者都必须完全信任且彼此了解,而每一位参与者都保有一把密钥复本。使用对称加密方法简化了加密的处理,每个通信方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。例如DES算法 DES算法的入口参数有三个:Key、Data、Mode 其中Key为8个字节共64位,是DES算法的工作密钥 Data也为8个字节64位,是要被加密或被解密的数据 Mode为DES的工作方式,有两种:加密或解密。DES算法具有极高安全性,
7、到目前为止,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。如果一台计算机的速度是每一秒种检测一百万个密钥,则它搜索完全部密钥就需要将近2285年的时间,可见,这是难以实现的。随着科学技术的发展,当出现超高速计算机后,我们可考虑把DES密钥的长度再增长一些,以此来达到更高的保密程度。对称密钥加密 优点:加/解密速度快,适合对大量数据进行加密。问题:1.对称加密技术存在着在通信方之间确保密钥安全交换的问题。在公众网络上通信方之间的密钥分配(密钥产生、传送和储存)很麻烦。2.当某一通信方有n个通信关系,那么他就要维护n个专用密钥(即每把密钥对应一通信方)。对称密钥加密 常用对称密钥
8、加密方法有:数据加密标准DES RC5加 密 过 程解 密 过 程密 钥明 文密 文明 文图7-2 对称密钥加密7.2.3非对称密钥加密技术 非对称密钥加密又称公开密钥加密(Public Key Encryption),由美国斯坦福大学赫尔曼教授于1977年提出。它最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥:公钥和私钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。公开密钥加密技术解决了密钥的发布和管理问题,通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。例如商户可以公开其公钥,而保留其私钥;客户
9、可以用商户的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密,从而保证了客户的信息机密性。因此,公开密钥体制的建设是开展电子商务的前提。公开密钥算法的特点 加密算法和解密算法都是公开的。不能根据公钥计算出私钥。公钥和私钥均可以作为加密密钥,用其中一把密钥来加密,就只能用另一把密钥来解密,具有对应关系。加密密钥不能用来解密。在计算机上可以容易地产生成对的公钥和私钥。公开密钥算法 公开密钥加密技术解决了密钥的发布和管理问题,通信双方无须事先交换密钥就可以建立安全通信。公开密钥加密法加解密计算较费时间,比较适合用来加密摘要数据,或者采用混合加密法提升加解密之速度。非对称加密
10、体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。我们常说数字证书采用512位,1024位等,指的就是公钥的长度。位数越大,计算量越大,解密也更困难。7.2.4数字摘要技术 对信息进行加密可以保证信息的机密性,同样利用加密技术可以保证信息的完整性,即确认信息在传送或存储过程中未被篡改过,这种技术称作数字摘要技术。数字摘要技术 数字摘要又称报文摘要/消息摘要,它对要发送的信息进行某种变换运算,提取信息的特征,得到固定长度的密文,此即摘要,亦称为数字指纹。实际操作时,先提取发送信息的数字摘要,并在传输信息时将之加入文件一同送给接收方 接收方收到文件后,用相同的方法对接收的信
11、息进行变换运算得到另一个摘要 然后将自己运算得到的摘要与发送过来的摘要进行比较,从而验证数据的完整性。数字摘要技术数字摘要技术 提取数据的特征的算法叫做单向散列函数(HASH函数),单向散列函数还必须具有以下几个性质:能处理任意大小的信息,生成的消息摘要数据块长度总是具有固定的大小,对同一个源数据反复执行该函数得到的消息摘要相同;对给定的信息,很容易计算出数字摘要;给定数字摘要和公开的散列函数算法,要推导出信息是极其困难的;想要伪造另外一个信息,使它的数字摘要和原信息的数字摘要一样,也是极其困难的。7.2.5数字信封技术 数字信封是为了解决传送、更换密钥问题而产生的技术。如上所述对称加密技术速
12、度快,但存在如何传送密钥的问题,而非对称加密技术不存在传送密钥的问题,但它的加密速度慢。因此我们经常是将这两种加密技术结合起来,从而产生了数字信封技术。数字信封技术数字信封技术 数字信封技术结合了秘密密钥加密和公开密钥加密技术的优点,可克服秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的缺陷。它在外层使用灵活的公开密钥加密技术,在内层使用秘密密钥加密技术。数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。7.3 访问控制 访问控制是对进入计算机系统的控制,如进入Windows操作系统需输入用户名和密码。它的作用是对需要访问系统及其资源的用户进行识别,检验其合法身份,并对合法用
13、户所能进行的操作进行管理。7.3.1用户标识 用户标识与后面的认证是一种用于防止非授权用户进入系统的常规技术措施。用户只有通过了身份认证,才能操作计算机系统,访问网络资源。因此身份认证是安全系统的第一道关卡。用户标识用于用户向系统声明自己的身份,用户标识应具有唯一性,其最常用形式的为用户ID。系统必须根据安全策略,维护所有用户标识。7.3.2认证 认证用于验证用户向系统声明的身份的有效性,确认访问者是否是用户本人。通常有三种方法:用户个人所掌握的秘密信息(如口令字、电子签名密钥、个人标识号PIN等);用户个人所拥有的物品(如磁卡、IC卡等);用户个人的生理特征(如声音、动态手写输入的特征模式、
14、指纹等)。7.3.3授权 授权是基于系统的安全机制,以确定某人或某个进程对于特定系统资源访问权限。计算机系统管理员会根据用户的身份来设置用户对资源的访问权限,当用户通过身份认证后,其对系统资源的访问由系统访问监控器按授权数据库中的设置来决定是否允许、其在系统中的操作由审计系统来记录,同时入侵检测系统会检测是否有入侵行为。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它,一旦身份认证系统被攻破,那么系统的所有安全措施形同虚设。7.4 防火墙技术 防火墙的基本概念 防火墙的类型 防火墙的配置7.4.1防火墙的基本概念 在计算机系统中,防火墙是指隔离被保护网络(通常
15、指内部网)和外界(包括外部网、互联网),防止内部网受到外界的侵犯的软硬件系统,可被认为是一种访问控制机制。防火墙图7-6 防火墙的逻辑位置结构示意图7.4.2防火墙的类型 包过滤型 代理型 监测型。包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。代理型 代理型防火墙又称应用层网关级防火墙,也可以被称为代理服务器,它的安全性要高于包过
16、滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。监测型 监测型防火墙能够对各层的数据进行主动的、实时的监测。并在对这些数据分析的基础上,它能够有效地判断出各层中的非法入侵。这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,还对来自内部的恶意破坏也有极强的防范作用。7.4.3防火墙的配置 安装防火墙的位置是内部网络与外部网络的接口处,以阻挡来自外部网络的入侵;如果内部网络规
17、模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;通过公网连接的总部与各分支机构之间也应该设置防火墙。防火墙配置结构 屏蔽路由器 双宿主主机结构 屏蔽主机结构 屏蔽子网结构屏蔽路由器 也叫安全路由器,可以由专门的路由器实现,也可以用主机来实现。屏蔽路由器实现包过滤功能,其中一个路由器的接口外部网络;而另一个则连接内部网。双宿主主机结构 这种防火墙称为双宿主网关,又称堡垒主机或应用层网关,主要由一台双宿主主机构成,具有两个网络接口,分别连接到内部网和外部网,充当转发器。屏蔽主机结构 这种防火墙称为屏蔽主机网关,这种配置一方面用路由器将内部网与外部网隔开,另一方面在互联
18、网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。在这种安全体系结构中,主要的安全措施是数据包过滤。屏蔽主机结构 数据包过滤配置可以按下列某种方式执行:允许其他的内部主机为了某些服务与因特网上的主机连接,即允许那些经过数据包过滤的服务。不允许来自内部主机的所有连接,即强迫内部主机通过壁垒主机使用代理服务。屏蔽主机结构屏蔽子网结构 屏蔽子网结构防火墙是通过在内外网之间添加边界网络,为屏蔽主机结构增添另一个安全层,这个边界网络有时候称为非军事区。壁垒主机是最脆弱的、最易受攻击的部位,通过隔离壁垒主机的边界网络,便可减轻壁垒主机被攻
19、破所造成的后果。最简单的屏蔽子网有两个屏蔽路由器,一个接外部网与边界网络,另一个连接边界网络与内部网。这样为了攻进内部网,入侵者必须通过两个屏蔽路由器。屏蔽子网结构7.5 黑客攻击与防御 黑客攻击 黑客攻击的防御7.5.1黑客攻击 什么是黑客 黑客攻击的目的 黑客攻击的步骤 黑客工具什么是黑客“黑客”是英文“hacker”的译音,hacker曾被人们用来描述计算机狂的代名词,hacker以计算机为生,是热衷于电脑程序的设计者,是对于任何计算机操作系统的奥秘都有强烈兴趣的人。现在人们所说的“黑客”在大多数情况下并不是指这样一类人,而是指行为具有恶意的入侵者。入侵者是指那些强行闯入远端系统或者以某
20、种恶意的目的破坏远端系统完整性的人。对这些人,英文的正确叫法是“cracker”,可译为“骇客”。黑客攻击的目的 窃取信息 篡改和泄露信息 获取目标系统的非法访问权限 控制中间站点 黑客攻击的步骤 确定目标 搜集与攻击目标相关的信息,并找出系统的安全漏洞 实施攻击 清除入侵记录 黑客工具 扫描器 利用系统和软件漏洞的工具软件 木马程序 监听程序 网络工具 黑客自己编写的工具 7.5.2黑客攻击的防御 提高安全意识 系统安全设置 定期对网络进行安全检查 使用防火墙 安装杀毒软件 隐藏自己的IP地址 作好数据备份7.6 网络病毒防治 计算机病毒的概念 计算机病毒的结构与分类 计算机病毒的防治7.6
21、.1计算机病毒的概念 目前,在计算机上流行的病毒及其变种已有数万种之多,新的病毒还层出不穷。总之,计算机病毒产生速度之快,传播范围之广,生命力之强,破坏力之大,令全世界震惊。如何保证数据的安全性,防止病毒的破坏,已成为计算机专业人员和广大用户所面临的重大问题。什么是计算机病毒 1994年出台的中华人民共和国计算机安全保护条例中,对病毒的定义如下:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的特性 计算机病毒是未经授权而执行一段程序代码。传染性。计算机病毒可以在计算机与计算机之间、程序与程序之间、网络
22、与网络之间相互进行传染。破坏性。计算机系统被计算机病毒感染后,一旦病毒发作条件满足时,就在计算机上表现出一定的症状。潜伏性。病毒一般是具有很高编程技巧、短小精悍的程序,通常附在正常程序中或磁盘中较隐蔽的地方,目的是不让用户发现它的存在。变种性。某些病毒可以在传播的过程中自动改变自己的形态,从而衍生出另一种不同于原版病毒的新病毒,这种新病毒称为病毒变种。计算机病毒的危害 破坏硬盘的主引导扇区,使计算机无法启动。破坏文件中的数据,删除文件。对磁盘或磁盘特定扇区进行格式化,使磁盘中信息丢失。产生垃圾文件,占据磁盘空间,使磁盘空间逐渐减少。占用CPU运行时间,使运行效率降低。破坏屏幕正常显示,破坏键盘
23、输入程序,干扰用户操作。破坏计算机网络中的资源,使网络系统瘫痪。破坏系统设置或对系统信息加密,使用户系统紊乱。7.6.2计算机病毒的结构与分类 计算机病毒的结构 计算机病毒分类 蠕虫病毒计算机病毒的结构 引导部分。其作用是将病毒主体加载到内存,为传染部分做准备 传染部分。其作用是将病毒代码复制到传染目标上去。表现部分。是病毒间差异最大的部分,前两个部分也是为这部分服务的。大部分病毒都是在一定条件下才会触发其表现部分的。计算机病毒分类 按感染方式可分为 引导型病毒 文件型病毒 宏病毒 脚本病毒 蠕虫病毒 计算机病毒分类 按寄生方式可分为 操作系统型病毒 外壳型病毒 入侵型病毒 源码型病毒 计算机
24、病毒分类 按破坏情况可分为 良性病毒 恶性病毒 蠕虫病毒 蠕虫(WORM)病毒是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务等等。蠕虫病毒“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位的能力。在网络环境下,蠕虫病毒可以按指数增长模式进行传染。蠕虫病毒 在网络环境中,蠕虫病毒具有一些新的特性:传染方式多 传播速度快 清除难度大 破坏性强 7.6.3计算机病毒的防治 计算机病毒的防治包括计算机病毒的预防、检测和清
25、除。为了“防患于未然”,把病毒发生的可能性压到最低程度,防治计算机病毒应采取以预防为主的方针。病毒的预防 采用抗病毒的硬件 装防病毒卡 使用硬盘保护卡 安装防病毒软件 养成良好的用机习惯 病毒的检测 采用观察异常现象和利用专用的病毒诊断软件进行检测相结合的方法。当出现下列异常现象时,则有可能是感染了病毒并已发作。病毒的检测 计算机的运行速度明显减慢。突然增加一些从未见过的文件。用户未对磁盘进行读写操作,而磁盘驱动器的灯却发亮。磁盘可用空间不正常地变小。可执行程序的长度增大(文件字节数增多)。程序或数据莫名其妙地丢失。程序运行不了,或原来运行正常的程序,提示内存不够。屏幕显示异常及机器的喇叭乱鸣
26、。突然死机。系统有时会突然重新启动。病毒的清除 一旦发现计算机感染了病毒,要立即采用有效措施将病毒清除。清除病毒的方法有很多,目前最常用、最有效的方法是采用杀病毒软件来杀灭病毒。在使用杀病毒软件时,要选用已成熟的流行的正版软件;同时,由于计算机病毒的种类太多,且不断有新病毒出现,因此,能杀灭一切病毒的万能软件是不存在的。7.7 网络管理技术 计算机网络的管理可以说是伴随着ARPANET的产生而产生的,人们需要检测网络的运行状况,需要保证网络安全、可靠、高效地运行,但随着计算机网络的高速发展,规模不断扩大,节点数从几十到几千,复杂性不断增加,设备类型增多、功能增强,再加上不同的操作系统、不同的通
27、信协议等,使人们意识到单靠人力是无法胜任这项工作的,必须使用自动的网络管理工具。网络管理的定义 网络管理,简称网管,是为保证网络系统能够持续、稳定、安全、可靠和高效地运行,对网络上的通信设备及传输系统进行监测和控制的方法和措施。网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息,将结果显示给管理员并进行处理,从而控制网络中的设备、设施、工作参数和工作状态,使其可靠运行。网络管理的定义 网络管理通常主要关注与硬件相关问题的管理,包括工作站、服务器、网卡、路由器、网桥和集线器等等。网络管理系统是一种特殊的软件程序,它的主要功能是维护网络正常高效率地运行,即它是实现网络的程序。
28、网络管理标准 ISO网络管理标准 IETF的网络管理标准 网络管理的功能 配置管理 性能管理 故障管理 安全管理 计费管理 网络管理模型网络网络管理实体管理实体 代代 理理管理数据库管理数据库 代代 理理管理数据库管理数据库 代理代理管理数据库管理数据库 Proxy 网络管理协议网络管理协议被管设备被管设备被管设备被管设备被管设备被管设备网络管理模型 网络管理实体 管理代理 管理信息数据库 网络管理协议 代理服务设备 7.7.2简单网络管理协议 简单网络管理协议SNMP(Simple Network Management Protocol)是为解决运行TCP/IP协议的网络的管理而提出的,在应
29、用层上进行网络设备间通信的管理,它可以进行网络状态监视、网络参数设定、网络流量统计与分析、发现网络故障等。其主导思想是尽可能简洁、清晰,因此比OSI网络管理体系要简单的多。SNMP管理模型 SNMP管理模型分成三大部分:SNMP网络管理系统(NMS,即网络管理实体)、SNMP被管理系统(即被管设备)SNMP管理协议 SNMP协议操作命令类型 读读:NMS利用该命令来监视被管理设备,NMS从被管设备中读取变量。写写:NMS利用该命令来控制被管理设备,NMS将变量写入被管设备中。移动操作移动操作:NMS利用该命令判定被管理设备支持哪些变量,并将信息收集到变量表中。陷阱陷阱(trap):被管理设备用
30、该命令来向NMS异步报告某种事件的发生。管理信息库MIB SNMP网络管理模型的核心是由代理维护而由管理器读写的管理信息。在SNMP文献中,这些信息称为对象。所有的被管理对象包含在管理信息库(MIB)中,MIB实际上就是一个有关对象的数据库。管理信息库MIB习题 什么样的网络才是一个安全网络?威胁网络安全的因素有哪些?什么是对称加密?什么是公钥加密?二者有何区别?数字签名是一种证明发信人的身份的技术,试根据所学知识构思一种方法能证明发信人确是其声明的身份。防火墙技术有什么作用?防火墙能防病毒吗?有哪些防御攻击的安全措施?计算机病毒有哪些主要特征?什么是蠕虫病毒?它的传播途径是什么?什么是网络管理?在OSI网络管理标准中定义的网络管理功能是什么?什么是SNMP网络管理模型