1、2022-11-31网络信息安全网络信息安全王志伟王志伟 博士博士计算机学院计算机学院 信息安全系信息安全系南京邮电大学南京邮电大学 2022-11-32课程性质及考核课程性质及考核v本课程是一门考查课,也是一门必修课,本课程是一门考查课,也是一门必修课,考查的方式为考查的方式为闭卷闭卷,无期中考试。,无期中考试。v最终成绩的评定方法:期末考试成绩占最终成绩的评定方法:期末考试成绩占60%,平时成绩占,平时成绩占40%。v平时成绩的组成:作业、出勤、课堂提问平时成绩的组成:作业、出勤、课堂提问等多个方面。等多个方面。v平时成绩采用平时成绩采用分组承包责任制分组承包责任制,每个组一,每个组一个成
2、绩。分组原则:每班三组(除个成绩。分组原则:每班三组(除3取取余),每组设正组长余),每组设正组长1 名,副组长名,副组长2名。名。南京邮电大学南京邮电大学 2022-11-33教材与参考书教材与参考书v教材教材n张世永张世永.网络安全原理与应用网络安全原理与应用.北京:科学出北京:科学出版社版社.2003v参考书参考书nWilliam Stallings.编码密码学与网络安全编码密码学与网络安全:原理与实践原理与实践(第四版第四版).孟庆树等译孟庆树等译.北京:电北京:电子工业出版社子工业出版社.2006课时分配表课时分配表章章课时课时第第1 1部分部分 导论导论第第1 1章章2 2第第2
3、2部分部分 密码学密码学第第2-72-7章章1414第第3 3部分部分 网络安全网络安全第第8-198-19章章3232合计合计4848网络安全:网络安全:在信息传输时,需要有网络安全措施来在信息传输时,需要有网络安全措施来保护数据传输保护数据传输,网络安全主要讨论如何将密码算法用于网络协议和网络应用,主要网络安全主要讨论如何将密码算法用于网络协议和网络应用,主要涉及涉及认证、电子邮件安全、认证、电子邮件安全、IP安全、安全、Web安全安全等内容。等内容。密码学:密码学:确保信息的确保信息的机密性和真实性机密性和真实性,主要涉及,主要涉及对称密码、公钥密对称密码、公钥密码、密钥分配与管理、报文
4、鉴别与散列函数、数字签名等内容码、密钥分配与管理、报文鉴别与散列函数、数字签名等内容。计算机安全:计算机安全:用来用来保护保护本机本机存储的数据和阻止黑客入侵系统的工具,存储的数据和阻止黑客入侵系统的工具,主要涉及主要涉及防火墙、入侵检测、计算机病毒防治防火墙、入侵检测、计算机病毒防治等内容。等内容。南京邮电大学南京邮电大学 2022-11-35参考材料参考材料v图书馆图书馆v电子资料电子资料v源码分析源码分析v专业网站专业网站vRFC(Request For Comments,请,请求评议求评议)文档文档网络知识圣经,包含了关于网络知识圣经,包含了关于Internet的几乎所有重要的文字资料
5、。的几乎所有重要的文字资料。通常,当某家机构或团体开发出了一套标准或提出对某种标准的设想,想要征询通常,当某家机构或团体开发出了一套标准或提出对某种标准的设想,想要征询外界的意见时,就会在外界的意见时,就会在Internet上发放一份上发放一份RFC,对这一问题感兴趣的人可以阅,对这一问题感兴趣的人可以阅读该读该RFC并提出自己的意见;绝大部分网络标准的指定都是以并提出自己的意见;绝大部分网络标准的指定都是以RFC的形式开始,的形式开始,经过大量的论证和修改过程,由主要的标准化组织所指定的,但在经过大量的论证和修改过程,由主要的标准化组织所指定的,但在RFC中所收录中所收录的文件并不都是正在使
6、用或为大家所公认的,也有很大一部分只在某个局部领域的文件并不都是正在使用或为大家所公认的,也有很大一部分只在某个局部领域被使用或并没有被采用,一份被使用或并没有被采用,一份RFC具体处于什么状态都在文件中作了明确的标识。具体处于什么状态都在文件中作了明确的标识。南京邮电大学南京邮电大学 2022-11-36答疑安排答疑安排v授课计划表见教室授课计划表见教室v本课程答疑安排本课程答疑安排n时间:双周周二下午14:30-16:30n地点:信息安全系(行政北楼504)n预约预约E-mail:n我的手机号:我的手机号:15951856018 (有问题可以发邮件给我)(有问题可以发邮件给我)2022-1
7、1-372022-11-38第一讲第一讲 网络安全概述网络安全概述王志伟王志伟 博士博士计算机学院计算机学院 信息安全系信息安全系南京邮电大学南京邮电大学 2022-11-39123安全问题安全问题根源网络信息安全的内涵内容内容4密码学概述101.1 Internet的发展及安全挑战的发展及安全挑战1.1.安全问题安全问题111.1 Internet的发展及安全挑战的发展及安全挑战安全问题安全问题课后作业课后作业1、病毒的原理?、病毒的原理?2、病毒之间的区别与关联?、病毒之间的区别与关联?每组负责每组负责3个病毒(必做个病毒(必做2+任选任选1)。)。1.1.安全问题安全问题12黑客与骇客黑
8、客与骇客v“黑客黑客”(Hacker)指对于任何计算机操作系)指对于任何计算机操作系统奥秘都有强烈兴趣的人。统奥秘都有强烈兴趣的人。“黑客黑客”大都是程序大都是程序员,他们具有操作系统和编程语言方面的高级知员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在;他们不断识,知道系统中的漏洞及其原因所在;他们不断追求更深的知识,并公开他们的发现,与其他分追求更深的知识,并公开他们的发现,与其他分享;并且从来没有破坏数据的企图。享;并且从来没有破坏数据的企图。v“骇客骇客”(Cracker)是指怀着不良企图,闯)是指怀着不良企图,闯入甚至破坏远程机器系统完整性的人。入甚至破坏远
9、程机器系统完整性的人。“入侵者入侵者”利用获得的非法访问权,破坏重要数据,拒绝合利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了自己的目的制造麻烦。法用户服务请求,或为了自己的目的制造麻烦。“骇客骇客”很容易识别,因为他们的目的是恶意的。很容易识别,因为他们的目的是恶意的。1.1.安全问题安全问题131.2 Internet常见的安全攻击常见的安全攻击v窃取机密攻击窃取机密攻击v非法访问攻击非法访问攻击v恶意攻击恶意攻击v社交工程攻击社交工程攻击v病毒攻击病毒攻击1.1.安全问题安全问题南京邮电大学南京邮电大学 2022-11-3141.2.1 窃取机密攻击窃取机密攻击v网络踩
10、点(网络踩点(Footprinting)v扫描攻击扫描攻击v协议栈指纹(协议栈指纹(Stack Fingerprinting)v信息流监视信息流监视v会话劫持(会话劫持(Session Hijacking)方法:方法:采用采用Whois,Finger等工具或者等工具或者DNS,LDAP等协议。等协议。结果:结果:获得域名、获得域名、IP地址、网络拓扑结构、相关用户信息等。地址、网络拓扑结构、相关用户信息等。方法:方法:采用采用ping命令和各种端口扫描工具。命令和各种端口扫描工具。结果:结果:获得机器上打开的端口信息,知悉机器提供的服务等。获得机器上打开的端口信息,知悉机器提供的服务等。方法:
11、方法:发送探测包,获取不同类型的响应包。发送探测包,获取不同类型的响应包。结果:结果:获知目标主机所运行的操作系统。获知目标主机所运行的操作系统。方法:方法:使用使用Sniffer嗅探器,对共享介质的网络中信息流进行监视。嗅探器,对共享介质的网络中信息流进行监视。结果:结果:获知口令等秘密信息。获知口令等秘密信息。方法:方法:利用利用TCP协议的不足,阻塞或摧毁通信的一方。协议的不足,阻塞或摧毁通信的一方。结果:结果:在合法的通信连接建立后接管已认证的连接,假冒被接管方与对方通信。在合法的通信连接建立后接管已认证的连接,假冒被接管方与对方通信。南京邮电大学南京邮电大学 2022-11-3151
12、.2.2 非法访问非法访问v口令破解口令破解vIP欺骗欺骗vDNS欺骗欺骗v重放攻击重放攻击v非法使用非法使用v木马木马通过获取口令文件然后运行口令破解工具进行字典通过获取口令文件然后运行口令破解工具进行字典攻击或暴力破解来获得口令。攻击或暴力破解来获得口令。伪装成被信任的伪装成被信任的IP地址等方式骗取目标的信任。地址等方式骗取目标的信任。在在DNS解析过程中,使用错误信息将用户引向设定解析过程中,使用错误信息将用户引向设定主机。主机。将获得的信息再次发送以产生非授权的效果。将获得的信息再次发送以产生非授权的效果。系统资源被某个非法用户以未授权的方式使用。系统资源被某个非法用户以未授权的方式
13、使用。依附在某一合法用户的正常程序中的恶意程序段,依附在某一合法用户的正常程序中的恶意程序段,一旦被触发,其中的黑客指令代码同时被激活,完一旦被触发,其中的黑客指令代码同时被激活,完成恶意操作。成恶意操作。1.1.安全问题安全问题161.2.3 恶意攻击恶意攻击v拒绝服务攻击拒绝服务攻击nDoS攻击是指攻击者通过向目标系统建立大量的连接请求,阻塞通信信道、延缓网络传输,占用目标机器的服务缓冲区,以致目标计算机疲于应付,直至瘫痪。n拒绝服务攻击的具体种类 参见课本P19-211.1.安全问题安全问题17DDoS攻击的基本过程攻击的基本过程vDDoS攻击分为攻击分为3层:攻击者、主控端、层:攻击者
14、、主控端、代理端代理端 攻击者主控端代理端受害者1.1.安全问题安全问题南京邮电大学南京邮电大学 2022-11-318123安全问题安全问题根源网络信息安全的内涵内容内容4密码学概述南京邮电大学南京邮电大学 2022-11-3192.1 安全问题的根源安全问题的根源v物理安全物理安全 -位置安全、环境安全、地域影响位置安全、环境安全、地域影响v方案设计的缺陷方案设计的缺陷 -开放性、特殊性开放性、特殊性v系统安全漏洞系统安全漏洞 -操作系统级、应用程序级操作系统级、应用程序级v通信协议、应用协议通信协议、应用协议v人的因素人的因素2.2.安全问题的根源安全问题的根源20世界范围内攻击的发展趋
15、势世界范围内攻击的发展趋势南京邮电大学南京邮电大学 2022-11-3212.2 安全漏洞安全漏洞v漏洞是硬件、软件或使用策略上的缺陷漏洞是硬件、软件或使用策略上的缺陷v产生漏洞的人产生漏洞的人n系统设计人员n制造人员n检测人员n管理人员v发现漏洞的人发现漏洞的人n计算机专家n黑客n安全服务商n安全组织n系统管理员2.2.安全问题的根源安全问题的根源22安全漏洞的增长数量安全漏洞的增长数量南京邮电大学南京邮电大学 2022-11-323网络典型结构及安全漏洞网络典型结构及安全漏洞v不充分的路由器访问控制不充分的路由器访问控制v没有安全措施且无从监管的远程访问网点没有安全措施且无从监管的远程访问
16、网点v不经意的信息泄露不经意的信息泄露v运行非必要的服务运行非必要的服务v具有过度特权的用户账号或漏洞账号具有过度特权的用户账号或漏洞账号v配置不当的配置不当的Internet服务器服务器v配置不当的防火墙配置不当的防火墙v.2.2.安全问题的根源安全问题的根源24攻击愈加容易攻击愈加容易南京邮电大学南京邮电大学 2022-11-3252.3 信息安全组织信息安全组织v著名的信息安全组织是计算机紧急事件反著名的信息安全组织是计算机紧急事件反应小组(应小组(CERT)n美国Carnegie-Mellon大学v漏洞公布网站漏洞公布网站CVE-Common Vulnerabilities and E
17、xposures nCVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。2.2.安全问题的根源安全问题的根源南京邮电大学南京邮电大学 2022-11-326123安全问题安全问题根源网络信息安全的内涵内容内容4密码学概述南京邮电大学南京邮电大学 2022-11-3273.1网络信息安全的要素网络信息安全的要素v网络信息安全的要素网络信息安全的要素n保密性保密性n完整性完整性n可用性可用性v攻击方法攻击方法n窃密窃密n扰乱扰乱n破坏破坏3.3.网络安全的内涵网络安全的内涵南京邮电大学南京邮电大学 2022-11-328保密性保密性 confidential
18、ityv确保信息不泄露给未经授权的用户、实体确保信息不泄露给未经授权的用户、实体或过程,或供其利用。确保信息不被无关或过程,或供其利用。确保信息不被无关人员获取。人员获取。v攻击举例攻击举例n密码破解,获取明文3.3.网络安全的内涵网络安全的内涵南京邮电大学南京邮电大学 2022-11-329完整性完整性integrityv防范信息未经授权被篡改,确保真实的信防范信息未经授权被篡改,确保真实的信息从真实的信源无失真地传送到真实的信息从真实的信源无失真地传送到真实的信宿;即不仅要防止未经授权者对信息的篡宿;即不仅要防止未经授权者对信息的篡改和对系统的控制,而且还要能修复因意改和对系统的控制,而且
19、还要能修复因意外事故而受到损坏的数据。外事故而受到损坏的数据。v攻击举例攻击举例n网络篡改3.3.网络安全的内涵网络安全的内涵南京邮电大学南京邮电大学 2022-11-330可用性可用性availabilityv确保系统的正常运行,即保证信息及信息确保系统的正常运行,即保证信息及信息系统确实为经授权用户所用,防止计算机系统确实为经授权用户所用,防止计算机病毒或其他人为因素所造成的系统拒绝服病毒或其他人为因素所造成的系统拒绝服务,或敌方可用;即信息可被授权实体访务,或敌方可用;即信息可被授权实体访问并按需求使用。问并按需求使用。v攻击举例攻击举例nDoS攻击3.3.网络安全的内涵网络安全的内涵南
20、京邮电大学南京邮电大学 2022-11-3313.2 安全框架的扩充安全框架的扩充v保密性保密性v完整性完整性v可用性可用性v真实性(真实性(Authenticity)v实用性(实用性(Utility)v占用性(占用性(Possession)3.3.网络安全的内涵网络安全的内涵南京邮电大学南京邮电大学 2022-11-3323.3 可存活性简介可存活性简介v可存活性(可存活性(Survivability)n网络计算机系统在面对各种攻击或错误情况下继续提供核心的服务,而且能够及时地恢复全部的服务v主要属性主要属性n攻击的抵抗力n攻击及其伤害程度的识别n恢复核心的和全部的服务n自适应的演化3.3.
21、网络安全的内涵网络安全的内涵南京邮电大学南京邮电大学 2022-11-3333.4 网络安全的实质网络安全的实质v实质就是要保障系统中的人、设备、设施、软件、实质就是要保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作。安全可靠地工作。v内容内容n弄清网络系统受到的威胁及脆弱性n告诉人们怎样保护n制定有效的安全策略n准备适应的应急计划n制定完备的安全管理措施n确保信息的安全3.3.网络安全的内涵网络安全的内涵南京邮电大学南京邮电大
22、学 2022-11-334123安全问题安全问题根源网络信息安全的内涵内容内容4密码学概述35v密码学(密码学(Cryptology)n研究秘密通信的原理和破译密码的方法的一门学科研究秘密通信的原理和破译密码的方法的一门学科nThe art and science of making and breaking“secret codes”v密码编码学(密码编码学(Cryptography)n研究对信息进行变换,以保护信息在信道中安全传送研究对信息进行变换,以保护信息在信道中安全传送nmaking“secret codes”v密码分析学(密码分析学(Cryptanalysis)n研究如何分析和破译
23、密码研究如何分析和破译密码nbreaking“secret codes”4.1 密码学基本概念密码学基本概念4.4.密码学概述密码学概述36v明文(明文(Plaintext)n需要变换的原消息v密文(密文(Ciphertext)n明文经过变换成为另一种隐蔽的形式v加密(加密(Encryption)n完成变换的过程v解密(解密(Decryption)n从密文中恢复出明文v密钥(密钥(Key)n加密密钥(Encryption Key)n解密密钥(Decryption Key)其他概念其他概念4.4.密码学概述密码学概述374.2 加解密和攻击过程加解密和攻击过程4.4.密码学概述密码学概述38v一
24、种完整的密码技术包括一种完整的密码技术包括密钥管理密钥管理和和加密处理加密处理两个方面两个方面n密钥管理包括密钥的产生、分配、保管和销毁等n加密处理包括加密和解密v根据密钥的特点,又可分为:根据密钥的特点,又可分为:n私钥(单钥、对称)密码体制n公钥(双钥、非对称)密码体制4.3 密码体制分类密码体制分类4.4.密码学概述密码学概述39v一个密码系统设计通常的基本要求是一个密码系统设计通常的基本要求是n知道KAB时,EAB容易计算n知道KAB时,DAB容易计算n不知道KAB时,有C=EAB(M)不容易推导出Mv绝对不可破译的密码在理论上是存在的绝对不可破译的密码在理论上是存在的n一次一密v更有实际意义的是计算上不可破译更有实际意义的是计算上不可破译4.4 不可攻破的密码系统不可攻破的密码系统4.4.密码学概述密码学概述南京邮电大学南京邮电大学 2022-11-340小小 结结v网络安全威胁网络安全威胁v网络安全问题的根源网络安全问题的根源v网络信息安全性的三个要素网络信息安全性的三个要素v网络安全的实质网络安全的实质v密码学概述密码学概述2022-11-341The End
