1、第第9章章 网络安全概述网络安全概述 9.1 威胁网络安全的主要因素威胁网络安全的主要因素9.2 网络安全体系网络安全体系9.3 网络安全技术网络安全技术9.4 局域网的保密局域网的保密9.5 网络安全技术网络安全技术9.6 网络安全工具网络安全工具 9.1 威胁网络安全的主要因素威胁网络安全的主要因素 影响计算机网络安全的因素有很多,可能是有意的或无意的;影响计算机网络安全的因素有很多,可能是有意的或无意的;可能是人为的或非人为的;可能是来自可能是人为的或非人为的;可能是来自Internet上的黑客上的黑客攻击或来自攻击或来自Intranet中个别用户的故意破坏。归结起来,中个别用户的故意破
2、坏。归结起来,对网络安全的威胁主要来自对网络安全的威胁主要来自3个方面的因素。个方面的因素。1.人为的无意失误人为的无意失误人为的无意失误是造成网络不安全的重要原因。人为的无意失误是造成网络不安全的重要原因。下一页9.1 威胁网络安全的主要因素威胁网络安全的主要因素2.人为的恶意攻击人为的恶意攻击人为的恶意攻击是目前计算机网络所面临的最大威胁,恶意人为的恶意攻击是目前计算机网络所面临的最大威胁,恶意的攻击和计算机犯罪就属于这一类。的攻击和计算机犯罪就属于这一类。3.网络软件系统的漏洞网络软件系统的漏洞网络软件系统不可能百分之百无缺陷和无漏洞,这些漏洞和网络软件系统不可能百分之百无缺陷和无漏洞,
3、这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。以往多次出现的黑客缺陷恰恰是黑客进行攻击的首选目标。以往多次出现的黑客攻入攻入Intranet的事件,大部分就是由于安全措施不完善所的事件,大部分就是由于安全措施不完善所导致的结果。导致的结果。返 回上一页9.2 网络安全体系网络安全体系9.2.1 安全目标安全目标网络安全就是网络上的信息安全,是指网络系统的硬件、软网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络而遭到破坏、更改、泄露,系统连
4、续可靠正常地运行,网络服务不中断。服务不中断。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的真实性和可控性的相关技术和理论都是网络安全所要研究的领域。领域。下一页9.2 网络安全体系网络安全体系9.2.2 网络安全网络安全5层体系层体系无论是已建立了自己的网络和站点的用户,还是正在考虑筹无论是已建立了自己的网络和站点的用户,还是正在考虑筹建网络的用户,都面临着这样一个问题:什么样的网络才是建网络的用户,都面临着这样一个问题:什么样的网络才是一个安全的网络,或者说,怎样才能建立一个真
5、正安全的网一个安全的网络,或者说,怎样才能建立一个真正安全的网络。络。1.网络层的安全性网络层的安全性(Network Integrity)网络层的安全性问题核心在于网络是否得到控制。网络层的安全性问题核心在于网络是否得到控制。下一页上一页9.2 网络安全体系网络安全体系2.系统的安全性系统的安全性(System Integrity)在系统安全性问题中,主要考虑的问题有两个:一是病毒对在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁;二是黑客对于网络的破坏和侵入。于网络的威胁;二是黑客对于网络的破坏和侵入。3.用户的安全性用户的安全性(User Integrity)对于用户的安
6、全性问题,所要考虑的问题是是否只有那些真对于用户的安全性问题,所要考虑的问题是是否只有那些真正被授权的用户才能够使用系统中的资源和数据。正被授权的用户才能够使用系统中的资源和数据。下一页上一页9.2 网络安全体系网络安全体系4.应用程序的安全性应用程序的安全性(Application Integrity)对于应用程序的安全性问题,所要考虑的问题是是否只有合对于应用程序的安全性问题,所要考虑的问题是是否只有合法的用户才能够对特定的数据进行合法的操作。法的用户才能够对特定的数据进行合法的操作。5.数据的安全性数据的安全性(Data Integrity)机密数据是否还处于机密状态是数据的安全性需要解
7、决的问机密数据是否还处于机密状态是数据的安全性需要解决的问题。题。返 回上一页9.3 网络安全技术网络安全技术9.3.1 防火墙技术的基本概念防火墙技术的基本概念网络防火墙技术是一种用来加强网络之间访问控制,防止外网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包,如链接方式,按照它对两个或多个网络之间传输的数据包,如链接方式,按照一定的安全策略来实施检
8、查,以决定网络之间的通信是否被一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。允许,并监视网络运行状态。下一页9.3 网络安全技术网络安全技术9.3.2 防火墙技术的基本类型防火墙技术的基本类型根据防火墙所采用的技术不同,可以将它分为根据防火墙所采用的技术不同,可以将它分为4种基本类型:种基本类型:包过滤型、网络地址转换包过滤型、网络地址转换NAT、代理型和监测型。、代理型和监测型。1.包过滤型包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。分包传输技术。2.网络地址转化网络地址转化NA
9、T网络地址转换是一种用于把网络地址转换是一种用于把IP地址转换成临时的、外部的、地址转换成临时的、外部的、注册的注册的IP地址标准。它允许具有私有地址标准。它允许具有私有IP地址的内部网络访问地址的内部网络访问因特网。因特网。下一页上一页9.3 网络安全技术网络安全技术3.代理型代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。包过滤型产品,并已经开始向应用层发展。4.监测型监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义
10、。监测型防火墙能够对各层的数据进行主动初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。防火墙能够有效地判断出各层中的非法侵入。下一页上一页9.3 网络安全技术网络安全技术9.3.3 防火墙存在的优点和不足防火墙存在的优点和不足防火墙之所以能成为实现网络安全策略的最有效的工具之一,防火墙之所以能成为实现网络安全策略的最有效的工具之一,并被广泛地应用到因特网上,是因为使用防火墙具有许多优并被广泛地应用到因特网上,是因为使用防火墙具有许多优点,对保护内部
11、网络的安全能起到重要作用。防火墙所具有点,对保护内部网络的安全能起到重要作用。防火墙所具有的优点主要包括以下几个方面:的优点主要包括以下几个方面:集中化的安全管理。集中化的安全管理。能够对透过防火墙的网络服务进行必要的限制。能够对透过防火墙的网络服务进行必要的限制。下一页上一页9.3 网络安全技术网络安全技术可控制对特殊站点的访问。可控制对特殊站点的访问。方便地监视网络的安全性并产生报警。方便地监视网络的安全性并产生报警。如果防火墙系统采用网络地址翻译器如果防火墙系统采用网络地址翻译器(NAT)技术,还可极大技术,还可极大地缓和网络地址空间的不足。地缓和网络地址空间的不足。使用防火墙虽可以带来
12、许多优点和便利,但就目前的防火墙使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言还存在一些缺陷和不足,主要表现在以下几个技术水平而言还存在一些缺陷和不足,主要表现在以下几个方面:方面:防火墙极有可能封锁掉用户所需的某些服务。防火墙极有可能封锁掉用户所需的某些服务。下一页上一页9.3 网络安全技术网络安全技术防火墙无法防范绕过它的外来攻击,如允许内部用户直接拨防火墙无法防范绕过它的外来攻击,如允许内部用户直接拨号上网就会使得精心设计的防火墙系统失效。号上网就会使得精心设计的防火墙系统失效。防火墙不能防范来自内部的安全威胁。防火墙不能防范来自内部的安全威胁。防火墙不能防止传送已感染
13、病毒的软件或文件。防火墙不能防止传送已感染病毒的软件或文件。返 回上一页9.4 局域网的保密局域网的保密 从某种意义上可以说,网络的生命在于其保密性。根据近几从某种意义上可以说,网络的生命在于其保密性。根据近几年的实践和保密技术发展的要求,计算机局域网的保密防范年的实践和保密技术发展的要求,计算机局域网的保密防范应从以下应从以下4个方面入手。个方面入手。充分利用网络操作系统提供的保密措施。充分利用网络操作系统提供的保密措施。加强数据库的信息保密防护。加强数据库的信息保密防护。采用现代密码技术,加大保密强度。采用现代密码技术,加大保密强度。采用防火墙技术,防止局域网与外部网连通后秘密信息的外采用
14、防火墙技术,防止局域网与外部网连通后秘密信息的外泄。泄。下一页9.4 局域网的保密局域网的保密另外局域网的保密还涉及局域网实体的保密。局域网实体是另外局域网的保密还涉及局域网实体的保密。局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用的计指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件。它的泄密渠道主要有以下算机及其外部设备和网络部件。它的泄密渠道主要有以下4个。个。电磁泄露。电磁泄露。非法终端。非法终端。搭线窃取。搭线窃取。介质的剩磁效应。介质的剩磁效应。返 回上一页9.5 网络安全技术网络安全技术21世纪全世界的计算机都将通过世纪全世界的计算机都将
15、通过Internet连到一起,信息连到一起,信息安全的内涵也就发生了根本的变化。安全的内涵也就发生了根本的变化。一个国家的信息安全体系实际上包括国家的法规和政策,以一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,着力发展自己独特的安全产品,要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。全技术的整体提高。下一页9.5 网络安全技术网络安
16、全技术网络安全产品有几大特点:第一,网络安全来源于安全策略网络安全产品有几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略不安全性与技术的多样化,如果采用一种统一的技术和策略不安全性则令大大降低;第二,网络的安全机制与技术要不断地变化;则令大大降低;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。来越多,因此,网络安全技术是一个十分复杂的系统工程。信息安全是国家发展所面临的一个重要问题。对于这个问题,信息安全是国家发
17、展所面临的一个重要问题。对于这个问题,目前还没有从系统的规划上去考虑它,从技术上、产业上、目前还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政策上来发展它。返 回上一页9.6 网络安全工具网络安全工具1.防火墙防火墙ISA Server2000ISA Server是建立在是建立在Windows 2000操作系统上的一种操作系统上的一种可扩展的企业级防火墙和可扩展的企业级防火墙和Web缓存服务器。缓存服务器。2.协议分析仪协议分析仪Sniffer Pro作为被誉为业界降低网络故障的首选解决方案,作为被誉为业界降低网络故障的首选解决方案,Sniffer网网络分析仪为用户提供了各种
18、网络管理工具,凭借先进的性能,络分析仪为用户提供了各种网络管理工具,凭借先进的性能,Sniffer可以帮助用户主动监测网络,在瓶颈造成故障之前,可以帮助用户主动监测网络,在瓶颈造成故障之前,将其解决。将其解决。下一页9.6 网络安全工具网络安全工具3.入侵检测系统入侵检测系统网络入侵检测系统是指从计算机网络的若干关键点收集信息网络入侵检测系统是指从计算机网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有违反安全策略的行并对其进行分析,从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的软为或遭到入侵的迹象,并依据既定的策略采取一定措施的软件与硬件的组
19、合。件与硬件的组合。网络入侵检测技术是网络动态安全的核心技术,相关设备和网络入侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成部分。系统是整个安全防护体系的重要组成部分。下一页上一页9.6 网络安全工具网络安全工具网络入侵检测系统检测模式有两种,即误用检测模式和异常网络入侵检测系统检测模式有两种,即误用检测模式和异常检测模式。检测模式。在误用检测模式中,系统首先将所有入侵行为及其变种,表在误用检测模式中,系统首先将所有入侵行为及其变种,表达为确定的模式或特征,建立一个入侵模式库。达为确定的模式或特征,建立一个入侵模式库。在异常检测模式中,系统首先对事件行为进行统计
20、分析,建在异常检测模式中,系统首先对事件行为进行统计分析,建立正常行为模型,并定义正常行为判断的阈值。立正常行为模型,并定义正常行为判断的阈值。两种检测技术的方法、所得出的结论有非常大的差异。误用两种检测技术的方法、所得出的结论有非常大的差异。误用检测模式的核心是维护一个入侵模式库。检测模式的核心是维护一个入侵模式库。下一页上一页9.6 网络安全工具网络安全工具由于网络安全是一个动态发展的过程,未知的入侵和复杂的由于网络安全是一个动态发展的过程,未知的入侵和复杂的入侵不断地出现,给网络入侵检测系统准确性提出挑战。入侵不断地出现,给网络入侵检测系统准确性提出挑战。另外,由于网络入侵检测系统数据收
21、集的准确性和攻击特征另外,由于网络入侵检测系统数据收集的准确性和攻击特征数据库的完整性和升级时间等因素的限制,也导致了误报和数据库的完整性和升级时间等因素的限制,也导致了误报和漏报的产生,致使检测准确性差。漏报的产生,致使检测准确性差。检测的速度慢也是影响网络入侵检测系统的技术难题。网络检测的速度慢也是影响网络入侵检测系统的技术难题。网络入侵检测系统标准化程度低。入侵检测系统标准化程度低。下一页上一页9.6 网络安全工具网络安全工具网络入侵检测是一门综合性技术,它作为一种积极主动的安网络入侵检测是一门综合性技术,它作为一种积极主动的安全防护技术,既提供了实时检测,又支持事后分析。全防护技术,既提供了实时检测,又支持事后分析。但是由于入侵攻击具有不确定性,以及网络安全向立体纵深、但是由于入侵攻击具有不确定性,以及网络安全向立体纵深、多层次的方向发展,网络入侵检测系统必然在网络安全中发多层次的方向发展,网络入侵检测系统必然在网络安全中发挥重大作用。挥重大作用。网络入侵检测系统也应受到人们的高度重视。随着入侵检测网络入侵检测系统也应受到人们的高度重视。随着入侵检测技术的不断发展,相信不久的将来人们一定能够利用好网络技术的不断发展,相信不久的将来人们一定能够利用好网络入侵检测系统这一强大的安全工具。入侵检测系统这一强大的安全工具。返 回上一页
