资源描述:
第7章网络安全技术,2,本章学习要求,了解网络安全的重要性。掌握密码体制的基本概念及应用。掌握防火墙的基本概念。掌握网络入侵检测与防攻击的基本概念与方法。掌握网络文件备份与恢复的基本方法。了解网络病毒防治的基本方法。了解网络管理的基本概念与方法。,3,7.1网络安全概述7.1.1计算机安全与计算机网络安全,网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。,4,7.1.2网络安全技术研究的主要问题,网络防攻击问题;网络安全漏洞与对策问题;网络中的信息安全保密问题;防抵赖问题;网络内部安全防范问题;网络防病毒问题;网络数据备份与恢复、灾难恢复问题。,5,1.网络防攻击技术,服务攻击(applicationdependentattack)对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常;非服务攻击(applicationindependentattack)不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。,6,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击攻击类型与手段可能有哪些如何及时检测并报告网络被攻击如何采取相应的网络安全策略与网络安全防护体系,7,2.网络安全漏洞与对策的研究,网络信息系统的运行涉及计算机硬件与操作系统;网络硬件与网络软件;数据库管理系统;应用软件;网络通信协议。网络安全漏洞也会表现在以上几个方面。,8,3.网络中的信息安全问题,信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用;信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击;,9,信息传输安全问题的四种基本类型,10,网络安全标准,电子计算机系统安全规范,1987年10月计算机软件保护条例,1991年5月计算机软件著作权登记办法,1992年4月中华人民共和国计算机信息与系统安全保护条例,1994年2月计算机信息系统保密管理暂行规定,1998年2月关于维护互联网安全决定,全国人民代表大会常务委员会通过,2000年12月,11,可信计算机系统评估准则TC-SEC-NCSC是1983年公布的,1985年公布了可信网络说明(TNI);可信计算机系统评估准则将计算机系统安全等级分为4类7个等级,即D、C1、C2、B1、B2、B3与A1;D级系统的安全要求最低,A1级系统的安全要求最高。,12,7.2数据加密与数据隐藏技术7.2.1密码算法与密码体制的基本概念,数据加密与解密的过程,13,密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥;传统密码体制所用的加密密钥和解密密钥相同,也称为对称密码体制;如果加密密钥和解密密钥不相同,则称为非对称密码体制;密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系;密码算法是相对稳定的。在这种意义上,可以把密码算法视为常量,而密钥则是一个变量;在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。,14,什么是密码,密码是含有一个参数k的数学变换,即CEk(m)m是未加密的信息(明文)C是加密后的信息(密文)E是加密算法参数k称为密钥密文C是明文m使用密钥k经过加密算法计算后的结果;加密算法可以公开,而密钥只能由通信双方来掌握。,15,密钥长度,密钥长度与密钥个数,16,7.2.2对称密钥(symmetriccryptography)密码体系,对称加密的特点,,17,7.2.3非对称密钥(asymmetriccryptography)密码体系,非对称密钥密码体系的特点,,18,非对称加密的标准,RSA体制被认为是目前为止理论上最为成熟的一种公钥密码体制。RSA体制多用在数字签名、密钥管理和认证等方面;Elgamal公钥体制是一种基于离散对数的公钥密码体制;目前,许多商业产品采用的公钥加密算法还有DiffieHellman密钥交换、数据签名标准DSS、椭圆曲线密码等。,19,7.2.4数字信封技术,,20,7.2.5数字签名技术,,21,7.2.6身份认证技术的发展,身份认证可以通过3种基本途径之一或它们的组合实现所知(knowledge)个人所掌握的密码、口令;所有(possesses)个人身份证、护照、信用卡、钥匙;个人特征(characteristics)人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征;新的、广义的生物统计学是利用个人所特有的生理特征来设计的;目前人们研究的个人特征主要包括容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律,以及在外界刺激下的反应等。,22,7.2.7数字水印与数字防伪,7.2.8其它身份识别技术,1、认证卡与电子钥匙2、生物识别技术,24,7.3防火墙技术7.3.1防火墙的基本概念,防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。,,25,防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(securityperimeter);构成防火墙系统的两个基本部件是包过滤路由器(packetfilteringrouter)和应用级网关(applicationgateway);最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多种形式。,26,7.3.2包过滤路由器,包过滤路由器的结构,27,路由器按照系统内部设置的分组过滤规则(即访问控制表),检查每个分组的源IP地址、目的IP地址,决定该分组是否应该转发;包过滤规则一般是基于部分或全部报头的内容。例如,对于TCP报头信息可以是源IP地址;目的IP地址;协议类型;IP选项内容;源TCP端口号;目的TCP端口号;TCPACK标识。,28,包过滤的工作流程,,29,包过滤路由器作为防火墙的结构,,30,假设网络安全策略规定内部网络的E-mail服务器(IP地址为192.1.6.2,TCP端口号为25)可以接收来自外部网络用户的所有电子邮件;允许内部网络用户传送到与外部电子邮件服务器的电子邮件;拒绝所有与外部网络中名字为TESTHOST主机的连接。,31,包过滤规则表,32,7.3.3应用级网关的概念,多归属主机(multihomedhost)典型的多归属主机结构,,33,应用级网关,,34,应用代理(applicationproxy),,35,7.3.4防火墙的系统结构,堡垒主机的概念一个双归属主机作为应用级网关可以起到防火墙作用;处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。,,36,典型防火墙系统系统结构分析,采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构,,37,包过滤路由器的转发过程,,38,S-B1配置的防火墙系统中数据传输过程,,39,采用多级结构的防火墙系统(S-B1-S-B1配置)结构示意图,,40,7.4网络防攻击与安全预警7.4.1网络攻击方法分析,目前黑客攻击大致可以分为8种基本的类型入侵系统类攻击;缓冲区溢出攻击;欺骗类攻击;拒绝服务攻击;对防火墙的攻击;利用病毒攻击;木马程序攻击;后门攻击。,41,7.4.2入侵检测的基本概念,入侵检测系统(intrusiondetectionsystem,IDS)是对计算机和网络资源的恶意使用行为进行识别的系统;它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段。,42,入侵检测系统IDS的基本功能监控、分析用户和系统的行为;检查系统的配置和漏洞;评估重要的系统和数据文件的完整性;对异常行为的统计分析,识别攻击类型,并向网络管理人员报警;对操作系统进行审计、跟踪管理,识别违反授权的用户活动。,43,入侵检测系统框架结构,,44,7.4.3入侵检测的基本方法,对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能;入侵检测系统按照所采用的检测技术可以分为异常检测误用检测两种方式的结合,45,7.5恶意程序及其防治7.5.1恶意程序与病毒,恶意程序及其类型恶意程序是一类可以危害系统或应用正常功能的特殊程序或程序片段。恶意程序的表现多种多样,全由恶意程序的制造者的兴趣和目的而异。,46,恶意程序的存在形式有①宿主程序方式程序片段,如陷门、逻辑炸弹等;②独立存在独立程序,可以被操作系统调度和运行的自包含程序,如蠕虫、细菌、特洛伊木马等。,47,7.5.2造成网络感染病毒的主要原因,70的病毒发生在网络上;将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41左右;从网络电子广告牌上带来的病毒约占7;从软件商的演示盘中带来的病毒约占6;从系统维护盘中带来的病毒约占6;从公司之间交换的软盘带来的病毒约占2;其他未知因素约占27;从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。,48,网络病毒的危害,网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所;网络服务器在网络病毒事件中起着两种作用它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,在工作站之间迅速传播与蔓延病毒;网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上;当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。,49,典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手一是工作站,二是服务器;网络防病毒软件的基本功能是对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒;网络防病毒软件一般允许用户设置三种扫描方式实时扫描、预置扫描与人工扫描;一个完整的网络防病毒系统通常由以下几个部分组成客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,50,网络工作站防病毒方法,采用无盘工作站使用单机防病毒卡使用网络防病毒卡,51,7.6漏洞扫描7.6.1计算机漏洞的概念,计算机漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性,也包括计算机网络系统的漏洞。当系统的某个漏洞被入侵者渗透(exploit)而造成泄密时,其结果就称为一次安全事件(SecurityIncident)。,52,目标发现阶段的5种技巧,53,简单网络管理协议SNMP,,54,小结,要使网络有序、安全的运行,必须加强网络使用方法、网络安全技术与道德教育,完善网络管理,研究与开发新的网络安全技术与产品;网络安全技术研究基本问题包括网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复;网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务;密码学包括密码编码学与密码分析学,密码体制由两个基本构成要素加密/解密算法和密钥,加密技术可以分为对称加密与非对称加密,密码体制的关键问题是密钥管理;,55,防火墙是根据一定的安全规定来检查、过滤网络之间传送的数据包,以确定这些报文分组的合法性;对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能;一个实用的局域网应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划;对待网络病毒的态度应该是高度重视,采取严格的防病毒技术与严格的防范措施,将病毒的影响减小到最低程度;一个有效而且实用的网络每时每刻都离不开网络管理。网络管理包括配置管理、故障管理、性能管理、安全管理、记账管理。,56,,本章作业教材上习题,
展开阅读全文