1、l计算机网络安全概述计算机网络安全概述*网络安全概述2l网络安全关键技术网络安全关键技术*网络安全概述3l网络应用已渗透到现代社会生活的各个网络应用已渗透到现代社会生活的各个方面;电子商务、电子政务、电子银行方面;电子商务、电子政务、电子银行等无不关注网络安全;等无不关注网络安全;至今,网络安全不仅成为商家关注的焦至今,网络安全不仅成为商家关注的焦点,也是技术研究的热门领域,同时也点,也是技术研究的热门领域,同时也是国家和政府的行为。是国家和政府的行为。l国家安全委员会(中国国家机关)l截至截至2016年年12月底,月底,我国网民规模达我国网民规模达7.31亿,全年亿,全年共计新增网民共计新增
2、网民4299万人。互联网普及率为万人。互联网普及率为53.2%,较较2015年底提升了年底提升了2.9个百分点。个百分点。l中国网民规模和互联网普及率l新网民互联网接入设备使用情况至至2016年年12月,我国手机网民规模达月,我国手机网民规模达6.95亿,较亿,较2015年底年底增加增加7550万人。网民中使用手机上网人群的占比由万人。网民中使用手机上网人群的占比由2015年的年的90.1%提升至提升至95.1%,提升,提升5个百分点,网民手机上个百分点,网民手机上网比例在高基数基础上进一步攀升。网比例在高基数基础上进一步攀升。l中国手机网民规模及其占网民比例*网络安全概述8l20162016
3、年网络安全事件类型分布图年网络安全事件类型分布图*网络安全概述11*网络安全概述12l2015年年10月,月,InformationWeek研研究部和埃森哲咨询公司全球安全调查,究部和埃森哲咨询公司全球安全调查,调查全面揭示了商业计算环境所面临的调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中,有各种威胁。在受访者当中,有57%的美的美国公司表示在过去一年中曾遭受病毒攻国公司表示在过去一年中曾遭受病毒攻击,击,34%曾受到蠕虫的攻击,曾受到蠕虫的攻击,18%经历经历了拒绝服务攻击。了拒绝服务攻击。*网络安全概述13l信息安全空间将成为传统的国界、领海、信息安全空间将成为传统的国界、领海
4、、领空的三大国防和基于太空的第四国防领空的三大国防和基于太空的第四国防之外的第五国防,称为之外的第五国防,称为cyber-space。*网络安全概述14*网络安全概述15l“INTERNET的美妙之处在于你和每个人都能互相连接,INTERNET的可怕之处在于每个人都能和你互相连接 ”*网络安全概述16*网络安全概述17l1.开放性的网络环境开放性的网络环境l2.协议本身的缺陷协议本身的缺陷 l3.操作系统的漏洞操作系统的漏洞 l4.人为因素人为因素*网络安全概述18l1988年,莫里斯蠕虫病年,莫里斯蠕虫病毒震撼了整个世界。由毒震撼了整个世界。由原本寂寂无名的大学生原本寂寂无名的大学生罗伯特罗
5、伯特莫里斯(莫里斯(22岁)岁)制造的这个蠕虫病毒入制造的这个蠕虫病毒入侵了大约侵了大约6000个大学和个大学和军事机构的计算机,使军事机构的计算机,使之瘫痪。此后,从之瘫痪。此后,从CIH到美丽杀病毒,从尼姆到美丽杀病毒,从尼姆达到红色代码,病毒、达到红色代码,病毒、蠕虫的发展愈演愈烈。蠕虫的发展愈演愈烈。*网络安全概述19l凯文凯文米特尼克是美国米特尼克是美国20世世纪最著名的黑客之一,他纪最著名的黑客之一,他是是社会工程学社会工程学的创始的创始人人l1979年(年(15岁)他和他的岁)他和他的伙伴侵入了伙伴侵入了“北美空中防北美空中防务指挥系统务指挥系统”,翻阅了美,翻阅了美国所有的核弹
6、头资料,令国所有的核弹头资料,令大人不可置信。大人不可置信。l不久破译了美国不久破译了美国“太平洋太平洋电话公司电话公司”某地的改户密某地的改户密码,随意更改用户的电话码,随意更改用户的电话号码。号码。*网络安全概述20 网络安全是指网络系统的硬件、软网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,泄露,确保系统能连续可靠正常地运行,网络服务不中断。网络服务不中断。网络安全是一门涉及计算机科学、网络安全是一门涉及计算机科学、网络技术、通信
7、技术、密码技术、信息网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等安全技术、应用数学、数论、信息论等多种学科的综合性科学。多种学科的综合性科学。*网络安全概述21l网络安全的最终目标就是通过各种技术网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、与管理手段实现网络信息系统的可靠性、保密性、完整性、可用性、可控性、可保密性、完整性、可用性、可控性、可审查性。审查性。可靠性是前提;可靠性是前提;可控性是指信息系统对信息内容和传输具有可控性是指信息系统对信息内容和传输具有控制能力的特征;控制能力的特征;可审查行是出现安全问题时提供依据与手段可审查行是出现安
8、全问题时提供依据与手段*网络安全概述22l大多数情况下,网络安全更侧重强调网络信息的保密性、完整性和有效性即(CIA)保密性信息加密时防止信息非法泄露的最基本手段 完整性数据备份是防范信息完整性遭到破换的最有效手段 有效性授权用户按需访问*网络安全概述23l 物理安全物理安全l 逻辑安全逻辑安全l 操作系统安全操作系统安全l 联网安全联网安全*网络安全概述241防盗防盗 像其他的物体一样,计算机也是偷像其他的物体一样,计算机也是偷窃者的目标,例如盗走软盘、主板等。窃者的目标,例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远计算机偷窃行为所造成的损失可能远远超过计算机本身的价值,因此必须
9、采取超过计算机本身的价值,因此必须采取严格的防范措施,以确保计算机设备不严格的防范措施,以确保计算机设备不会丢失。会丢失。*网络安全概述252防火防火 计算机机房发生火灾一般是由于电气计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火良、绝缘层破坏或静电等原因引起电打火而导致火灾。人为事故是指由于操作人员而导致火灾。人为事故是指由于操作人员不慎,吸烟、乱扔烟头等,使充满易燃物不慎,吸烟、乱扔烟头等,使充满易燃物质(如纸片、磁带、胶片等
10、)的机房起火,质(如纸片、磁带、胶片等)的机房起火,当然也不排除人为故意放火。外部火灾蔓当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。到机房而引起火灾。*网络安全概述263防静电防静电 静电是由物体间的相互摩擦、接触静电是由物体间的相互摩擦、接触而产生的,计算机显示器也会产生很强而产生的,计算机显示器也会产生很强的静电。静电产生后,由于未能释放而的静电。静电产生后,由于未能释放而保留在物体内,会有很高的电位(能量保留在物体内,会有很高的电位(能量不大),从而产生静电放电火花,造成不大),从而产生静电放电火花,造成火
11、灾。还可能使大规模集成电器损坏,火灾。还可能使大规模集成电器损坏,这种损坏可能是不知不觉造成的。这种损坏可能是不知不觉造成的。*网络安全概述274防雷击防雷击 利用引雷机理的传统避雷针防雷,不利用引雷机理的传统避雷针防雷,不但增加雷击概率,而且产生感应雷,而但增加雷击概率,而且产生感应雷,而感应雷是电子信息设备被损坏的主要杀感应雷是电子信息设备被损坏的主要杀手,也是易燃易爆品被引燃起爆的主要手,也是易燃易爆品被引燃起爆的主要原因。原因。雷击防范的主要措施是,根据电气、雷击防范的主要措施是,根据电气、微电子设备的不同功能及不同受保护程微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作
12、分类保序和所属保护层确定防护要点作分类保护;根据雷电和操作瞬间过电压危害的护;根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应可能通道从电源线到数据通信线路都应做多级层保护。做多级层保护。*网络安全概述285防电磁泄漏防电磁泄漏 电子计算机和其他电子设备一样,工电子计算机和其他电子设备一样,工作时要产生电磁发射。电磁发射包括辐射作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施
13、,屏蔽屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。型。*网络安全概述29 计算机的逻辑安全需要用口令字、文件许计算机的逻辑安全需要用口令字、文件许可、查账等方法来实现。可、查账等方法来实现。可以限制登录的次数或对试探操作加上时可以限制登录的次数或对试探操作加上时间限制;可以用软件来保护存储在计算机文件间限制;可以用软件来保护存储在计算机文件中的信息;限制存取的另一种方式是通过硬件中的信息;限制存取的另一种方式是通过硬件完成,在接收到存取要求后,先询问并校核口完成,在接收到存取要求后,先询问并校核口令,然后访问列于目录中的授权用户标
14、志号。令,然后访问列于目录中的授权用户标志号。此外,有一些安全软件包也可以跟踪可疑的、此外,有一些安全软件包也可以跟踪可疑的、未授权的存取企图,例如,多次登录或请求别未授权的存取企图,例如,多次登录或请求别人的文件。人的文件。1.1.2 逻辑安全逻辑安全*网络安全概述30 *网络安全概述31 *网络安全概述32l 软件漏洞软件漏洞l网络协议漏洞网络协议漏洞l安全管理漏洞安全管理漏洞l网络系统面临的威胁网络系统面临的威胁*网络安全概述33 软件漏洞(软件漏洞(flaw)是指在设计与编制软件时)是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造没有考虑对非正常输入进行处理或错误代码而
15、造成的安全隐患,软件漏洞也称为软件脆弱性成的安全隐患,软件漏洞也称为软件脆弱性(vulnerability)或软件隐错()或软件隐错(bug)。软件漏)。软件漏洞产生的主要原因是软件设计人员不可能将所有洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全,因此,软件漏洞是任何软件存输入都考虑周全,因此,软件漏洞是任何软件存在的客观事实。软件产品通常在正式发布之前,在的客观事实。软件产品通常在正式发布之前,一般都要相继发布一般都要相继发布版本、版本、版本和版本和版本供反复版本供反复测试使用,目的就是为了尽可能减少软件漏洞。测试使用,目的就是为了尽可能减少软件漏洞。*网络安全概述34l网络协议
16、漏洞类似于软件漏洞,是指网络通网络协议漏洞类似于软件漏洞,是指网络通信协议不完善而导致的安全隐患。截止到目信协议不完善而导致的安全隐患。截止到目前,前,Internet上广泛使用的上广泛使用的TCP/IP协议族几协议族几乎所有协议都发现存在安全隐患乎所有协议都发现存在安全隐患*网络安全概述35l网络安全技术只是保证网络安全的基础,网络安全技术只是保证网络安全的基础,网络安全管理才是发挥网络安全技术的网络安全管理才是发挥网络安全技术的根本保证。因此,网络安全问题并不是根本保证。因此,网络安全问题并不是一个纯技术问题,从网络安全管理角度一个纯技术问题,从网络安全管理角度看,网络安全首先应当是管理问
17、题。看,网络安全首先应当是管理问题。l 许多安全管理漏洞只要提高安全管许多安全管理漏洞只要提高安全管理意识完全可以避免,如常见的系统缺理意识完全可以避免,如常见的系统缺省配置、脆弱性口令和信任关系转移等。省配置、脆弱性口令和信任关系转移等。*网络安全概述36l网络安全威胁是指事件对信息资源的可网络安全威胁是指事件对信息资源的可靠性、保密性、完整性、有效性、可控靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害,网络性和拒绝否认性可能产生的危害,网络安全威胁根据威胁产生的因素可以分为安全威胁根据威胁产生的因素可以分为自然自然和和人为人为两大类。两大类。*网络安全概述37网络安全威胁网
18、络安全威胁自然因素自然因素人为因素人为因素硬件故障;软件故障;电源故障;电磁干扰硬件故障;软件故障;电源故障;电磁干扰电磁辐射电磁辐射意外损坏意外损坏蓄意攻击蓄意攻击删除文件;格式化硬盘删除文件;格式化硬盘自然灾害自然灾害网络攻击;计算机病毒;滥用特权网络攻击;计算机病毒;滥用特权特洛伊木马;网络窃听;邮件截获特洛伊木马;网络窃听;邮件截获带电拔插;系统断电带电拔插;系统断电破坏保密性破坏保密性破坏完整性和有效性破坏完整性和有效性破坏保密性、完整性和有效性破坏保密性、完整性和有效性图图1.5 网络安全威胁分类及破坏目标网络安全威胁分类及破坏目标*网络安全概述38 网络安全威胁来自网络边界内部或
19、外部,蓄意攻网络安全威胁来自网络边界内部或外部,蓄意攻击还可以分为内部攻击和外部攻击,由于内部人击还可以分为内部攻击和外部攻击,由于内部人员位于信任范围内,熟悉敏感数据的存放位置、员位于信任范围内,熟悉敏感数据的存放位置、存取方法、网络拓扑结构、安全漏洞及防御措施,存取方法、网络拓扑结构、安全漏洞及防御措施,而且多数机构的安全保护措施都是而且多数机构的安全保护措施都是“防外不防防外不防内内”,因此,因此,许多数蓄意攻击来自内部而不是外许多数蓄意攻击来自内部而不是外部部。*网络安全概述39l 主动攻击主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口找出公司运行的邮件服务器
20、的信息;伪造无效IP地址去连接服务器,使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此,如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。*网络安全概述40l交换鉴别机制交换鉴别机制l数据加密数据加密l访问控制访问控制l认证和数字签名技术认证和数字签名技术l防火墙技术防火墙技术l入侵检测技术入侵检测技术*网络安全概述411.1.交换鉴别机制交换鉴别机制 交换鉴别
21、机制是通过互相交换信息的方式来确定彼此交换鉴别机制是通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有:的身份。用于交换鉴别的技术有:1口令:由发送方给出自己的口令,以证明自己的口令:由发送方给出自己的口令,以证明自己的身份,接收方则根据口令来判断对方的身份。身份,接收方则根据口令来判断对方的身份。2密码技术:发送方和接收方各自掌握的密钥是成密码技术:发送方和接收方各自掌握的密钥是成对的。接收方在收到已加密的信息时,通过自己掌握的对的。接收方在收到已加密的信息时,通过自己掌握的密钥解密,能够确定信息的发送者是掌握了另一个密钥密钥解密,能够确定信息的发送者是掌握了另一个密钥的那个人。在
22、许多情况下,密码技术还和时间标记、同的那个人。在许多情况下,密码技术还和时间标记、同步时钟、双方或多方握手协议、数字签名、第三方公证步时钟、双方或多方握手协议、数字签名、第三方公证等相结合,以提供更加完善的身份鉴别。等相结合,以提供更加完善的身份鉴别。3特征实物:例如特征实物:例如IC卡、指纹、声音频谱等。卡、指纹、声音频谱等。*网络安全概述422.2.加密机制加密机制 加密是提供信息保密的核心方法。按照密钥加密是提供信息保密的核心方法。按照密钥的类型不同,加密算法可分为对称密钥算法和的类型不同,加密算法可分为对称密钥算法和非对称密钥算法两种。按照密码体制的不同,非对称密钥算法两种。按照密码体
23、制的不同,又可以分为序列密码算法和分组密码算法两种。又可以分为序列密码算法和分组密码算法两种。加密算法除了提供信息的保密性之外,它和其加密算法除了提供信息的保密性之外,它和其他技术结合,例如他技术结合,例如hash函数,还能提供信息的函数,还能提供信息的完整性。完整性。加密技术不仅应用于数据通信和存储,也加密技术不仅应用于数据通信和存储,也应用于程序的运行,通过对程序的运行实行加应用于程序的运行,通过对程序的运行实行加密保护,可以防止软件被非法复制,防止软件密保护,可以防止软件被非法复制,防止软件的安全机制被破坏,这就是软件加密技术。的安全机制被破坏,这就是软件加密技术。*网络安全概述433.
24、3.访问控制机制访问控制机制 访问控制可以防止未经授权的用户非法使用系访问控制可以防止未经授权的用户非法使用系统资源,这种服务不仅可以提供给单个用户,也可统资源,这种服务不仅可以提供给单个用户,也可以提供给用户组的所有用户。以提供给用户组的所有用户。访问控制是通过对访问者的有关信息进行检查访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术,分为高层访来限制或禁止访问者使用资源的技术,分为高层访问控制和低层访问控制。问控制和低层访问控制。高层访问控制包括身份检查和权限确认,是通高层访问控制包括身份检查和权限确认,是通过对用户口令、用户权限、资源属性的检查和对比过对用户口令、
25、用户权限、资源属性的检查和对比来实现的。来实现的。低层访问控制是通过对通信协议中的某些特征低层访问控制是通过对通信协议中的某些特征信息的识别、判断,来禁止或允许用户访问的措施。信息的识别、判断,来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤,就属如在路由器上设置过滤规则进行数据包过滤,就属于低层访问控制。于低层访问控制。*网络安全概述444.4.公证机制公证机制 网络上鱼龙混杂,很难说相信谁不相信网络上鱼龙混杂,很难说相信谁不相信谁。同时,网络的有些故障和缺陷也可能导谁。同时,网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清,致信息的丢失或延误。为了免得事
26、后说不清,可以找一个大家都信任的公证机构,各方的可以找一个大家都信任的公证机构,各方的交换的信息都通过公证机构来中转。公证机交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据,日后一构从中转的信息里提取必要的证据,日后一旦发生纠纷,就可以据此做出仲裁。旦发生纠纷,就可以据此做出仲裁。*网络安全概述45l在真实世界,对用户的身份认证基本方法可以分为这三种:l(1)根据你所知道的信息来证明你的身份(what you know,你知道什么);l(2)根据你所拥有的东西来证明你的身份(what you have,你有什么);l(3)直接根据独一无二的身体特征来证明你的身份(who y
27、ou are,你是谁),比如指纹、面貌等。l在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。*网络安全概述46l静态密码 l智能卡 l短信密码 l动态口令 l数字签名 l生物识别*网络安全概述474.4.数字签名机制数字签名机制 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。用于辨识数据签署人的身份,用于辨识数据签署人的身份,并标明签署人对数据中所有信息的认可。并标明签署人对数据中所有信息的认可。数字签名机制主要解决以下安全问题:数字签名机
28、制主要解决以下安全问题:1必须可信必须可信2.无法抵赖无法抵赖 3.无法伪造无法伪造 4.不能重用不能重用5.不许变更不许变更 6.处理快,应用广处理快,应用广*网络安全概述48l消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、及消息的序号和操作时间认证等。*网络安全概述49 所谓防火墙指的是一个由软件和硬件设备组合而成、所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界在内部网和外部网之间、专用网与公共网之间的界面
29、上构造的保护屏障面上构造的保护屏障.是一种获取安全性方法的形象是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使说法,它是一种计算机硬件和软件的结合,使Internet与与Intranet之间建立起一个安全网关之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关具、包过滤和应用网关4个部分组成,防火墙就是个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬一个位于计算机和它所连接的网络之间的软件或硬件。
30、件。*网络安全概述50l6入侵检测技术入侵检测技术 入侵检测(入侵检测(Intrusion Detection)是对入侵)是对入侵行为的检测。它通过收集和分析网络行为、行为的检测。它通过收集和分析网络行为、安全日志、审计安全日志、审计 数据、其它网络上可以获得的信息以及计算数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击统中是否存在违反安全策略的行为和被攻击的迹象。的迹象。*网络安全概述51 本章主要介绍了有关网络安全的基本章主要介绍了有关网络安全的基础知识,包括网络安全的定义、网络面础知识,包括网络安全的定义、网络面临的安全威胁、产生安全威胁的原因,临的安全威胁、产生安全威胁的原因,以及网络的安全机制,使读者对网络安以及网络的安全机制,使读者对网络安全有一个概括的认识,为以下章节打下全有一个概括的认识,为以下章节打下基础。基础。l此课件下载可自行编辑修改,仅供参考!此课件下载可自行编辑修改,仅供参考!感谢您的支持,我们努力做得更好!谢谢感谢您的支持,我们努力做得更好!谢谢
