1、1河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全本章學習要求本章學習要求：了解了解：網絡安全的重要性網絡安全的重要性 掌握掌握：網絡安全技術研究的基本問題：網絡安全技術研究的基本問題 掌握：網絡安全策略制定的方法與基本內容掌握：網絡安全策略制定的方法與基本內容 了解了解：網絡安全問題的鑒別的基本概念網絡安全問題的鑒別的基本概念 掌握：網絡防火墻的基本概念掌握：網絡防火墻的基本概念 了解：網絡文件的備份與恢復的基本方法了解：網絡文件的備份與恢復的基本方法 了解：網絡防病毒的基本方法了解：網絡防病毒的基本方法 掌握：網絡管理的基本概念掌握：網絡管理的基本概念

2、 2河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全引言引言-事件事件2010年十大互聯網安全事件年十大互聯網安全事件2011年十大互聯網安全事件年十大互聯網安全事件2012年十大安全趨勢年十大安全趨勢3河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.1 網絡安全的重要性網絡安全的重要性 網絡安全問題已經成為信息化社會的一個焦點問題；網絡安全問題已經成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網絡安全技術，每個國家只能立足于本國，研究自己的網絡安全技術，培養自己的專門人才，發展自己的網絡安全產業

3、，才培養自己的專門人才，發展自己的網絡安全產業，才能構筑本國的網絡與信息安全防范體系。能構筑本國的網絡與信息安全防范體系。4河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.2 網絡安全技術研究的基本問題網絡安全技術研究的基本問題 9.2.1 構成對網絡安全威脅的主要因素與相關技術的研究構成對網絡安全威脅的主要因素與相關技術的研究 網絡防攻擊問題網絡防攻擊問題 網絡安全漏洞與對策問題網絡安全漏洞與對策問題 網絡中的信息安全保密問題網絡中的信息安全保密問題 網絡內部安全防范問題網絡內部安全防范問題 網絡防病毒問題網絡防病毒問題 網絡數據備份與恢復、災難恢復

4、問題網絡數據備份與恢復、災難恢復問題5河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡防攻擊問題網絡防攻擊問題服務攻擊服務攻擊: : 對網絡提供某種服務的服務器發起攻擊，造成該網絡對網絡提供某種服務的服務器發起攻擊，造成該網絡的的“拒絕服務拒絕服務”，使網絡工作不正常，使網絡工作不正常; ;非服務攻擊非服務攻擊: : 不針對某項具體應用服務，而是基于網絡層等低層協不針對某項具體應用服務，而是基于網絡層等低層協議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。6河北工業大學經濟管理學院河北工業大學經濟管理學院

5、 網絡通訊與信息安全網絡通訊與信息安全網絡防攻擊主要問題需要研究的幾個問題網絡防攻擊主要問題需要研究的幾個問題網絡可能遭到哪些人的攻擊？網絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？攻擊類型與手段可能有哪些？如何及時檢測并報告網絡被攻擊？如何及時檢測并報告網絡被攻擊？如何采取相應的網絡安全策略與網絡安全防護體系？如何采取相應的網絡安全策略與網絡安全防護體系？7河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡安全漏洞與對策的研究網絡安全漏洞與對策的研究網絡信息系統的運行涉及到：網絡信息系統的運行涉及到：計算機硬件與操作系統計算機硬件與操作系統網絡硬

6、件與網絡軟件網絡硬件與網絡軟件數據庫管理系統數據庫管理系統應用軟件應用軟件網絡通信協議網絡通信協議網絡安全漏洞也會表現在以上幾個方面。網絡安全漏洞也會表現在以上幾個方面。 8河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡中的信息安全保密信息存儲安全與信息傳輸安全 信息存儲安全 如何保證靜態存儲在連網計算機中的信息不會 被未授權的網絡用戶非法使用；信息傳輸安全 如何保證信息在網絡傳輸的過程中不被泄露與不被攻擊； 9河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全數據加密與解密數據加密與解密將明文變換成密文的過程稱為

7、加密；將明文變換成密文的過程稱為加密；將密文經過逆變換恢復成明文的過程稱為解密。將密文經過逆變換恢復成明文的過程稱為解密。 加密過程密文明文信息源結點信息源結點解密過程密文明文信息目的結點信息目的結點10河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡內部安全防范問題網絡內部安全防范問題網絡內部安全防范是防止內部具有合法身份的用戶有網絡內部安全防范是防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為；意或無意地做出對網絡與信息安全有害的行為；對網絡與信息安全有害的行為包括：對網絡與信息安全有害的行為包括： 有意或無意地泄露網絡用戶或網

8、絡管理員口令；有意或無意地泄露網絡用戶或網絡管理員口令； 違反網絡安全規定，繞過防火墻，私自和外部網絡連接，造違反網絡安全規定，繞過防火墻，私自和外部網絡連接，造成系統安全漏洞；成系統安全漏洞； 違反網絡使用規定，越權查看、修改和刪除系統文件、應用違反網絡使用規定，越權查看、修改和刪除系統文件、應用程序及數據；程序及數據； 違反網絡使用規定，越權修改網絡系統配置，造成網絡工作違反網絡使用規定，越權修改網絡系統配置，造成網絡工作不正常；不正常；解決來自網絡內部的不安全因素必須從技術與管理兩解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手。個方面入手。11河北工業大學經濟管理學院河北工業大

9、學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡防病毒問題網絡防病毒問題 目前，目前，70%的病毒發生在計算機網絡上；的病毒發生在計算機網絡上；連網微型機病毒的傳播速度是單機的連網微型機病毒的傳播速度是單機的20倍，網絡服倍，網絡服務器消除病毒所花的時間是單機的務器消除病毒所花的時間是單機的40倍；倍；電子郵件病毒可以輕易地使用戶的計算機癱瘓，有電子郵件病毒可以輕易地使用戶的計算機癱瘓，有些網絡病毒甚至會破壞系統硬件。些網絡病毒甚至會破壞系統硬件。 12河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡數據備份與恢復、災難恢復問題網絡數據備份與恢

10、復、災難恢復問題如果出現網絡故障造成數據丟失，數據能不能被恢復？如果出現網絡故障造成數據丟失，數據能不能被恢復？如果出現網絡因某種原因被損壞，重新購買設備的資如果出現網絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統的數據能不能恢復？金可以提供，但是原有系統的數據能不能恢復？13河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.2.2 計算機網絡面臨的安全性威脅計算機網絡面臨的安全性威脅 計算機網絡上的通信面臨以下的四種威脅：計算機網絡上的通信面臨以下的四種威脅： (1) 截獲截獲從網絡上竊聽他人的通信內容。從網絡上竊聽他人的通信內容。 (2

11、) 中斷中斷有意中斷他人在網絡上的通信。有意中斷他人在網絡上的通信。 (3) 篡改篡改故意篡改網絡上傳送的報文。故意篡改網絡上傳送的報文。 (4) 偽造偽造偽造信息在網絡上傳送。偽造信息在網絡上傳送。截獲信息的攻擊稱為截獲信息的攻擊稱為被動攻擊被動攻擊而更改信息和拒絕用戶使用資源的攻擊稱為而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊主動攻擊。14河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全對網絡的被動攻擊和主動攻擊對網絡的被動攻擊和主動攻擊 截獲篡改偽造中斷被動攻擊主 動 攻 擊目的站源站源站源站源站目的站目的站目的站15河北工業大學經濟管理學院河北

12、工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全被動攻擊和主動攻擊被動攻擊和主動攻擊在被動攻擊中，攻擊者只是觀察和分析某一個協議數在被動攻擊中，攻擊者只是觀察和分析某一個協議數據單元據單元 pdu 而不干擾信息流。而不干擾信息流。主動攻擊是指攻擊者對某個連接中通過的主動攻擊是指攻擊者對某個連接中通過的 pdu 進行各進行各種處理。種處理。更改報文流 拒絕報文服務 偽造連接初始化 16河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.2.3 網絡安全服務的主要內容網絡安全服務的主要內容 網絡安全服務應該提供的基本服務功能網絡安全服務應該提供的基本

13、服務功能：數據保密（數據保密（data confidentiality）認證（認證（authentication） 數據完整（數據完整（data integrity） 防抵賴防抵賴（non-repudiation） 訪問控制（訪問控制（access control）17河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.2.4 網絡安全標準網絡安全標準 電子計算機系統安全規范電子計算機系統安全規范，1987年年10月月計算機軟件保護條例計算機軟件保護條例，1991年年5月月計算機軟件著作權登記辦法計算機軟件著作權登記辦法，1992年年4月月中華人民共和國計

14、算機信息與系統安全保護條例中華人民共和國計算機信息與系統安全保護條例， 1994年年2月月計算機信息系統保密管理暫行規定計算機信息系統保密管理暫行規定，1998年年2月月關于維護互聯網安全決定關于維護互聯網安全決定，全國人民代表大會常，全國人民代表大會常 務委員會通過，務委員會通過，2000年年12月月18河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全安全級別的分類安全級別的分類 可信計算機系統評估準則可信計算機系統評估準則tc-sec-ncsc是是1983年公年公布的，布的，1985年公布了可信網絡說明（年公布了可信網絡說明（tni）；）；可信計算機系

15、統評估準則將計算機系統安全等級分為可信計算機系統評估準則將計算機系統安全等級分為4類類7個等級，即個等級，即d、c1、c2、b1、b2、b3與與a1；d級系統的安全要求最低，級系統的安全要求最低，a1級系統的安全要求最高。級系統的安全要求最高。19河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.3 網絡安全策略的設計網絡安全策略的設計 企業內部網有哪些網絡資源與服務需要提供給外部用企業內部網有哪些網絡資源與服務需要提供給外部用戶訪問？戶訪問？企業內部用戶有哪些需要訪問外部網絡資源與服務？企業內部用戶有哪些需要訪問外部網絡資源與服務？可能對網絡資源與服務

16、安全性構成威脅的因素有哪些？可能對網絡資源與服務安全性構成威脅的因素有哪些？哪些資源需要重點保護？哪些資源需要重點保護？可以采取什么方法進行保護？可以采取什么方法進行保護？發現網絡受到攻擊之后如何處理？發現網絡受到攻擊之后如何處理？20河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.3.1 網絡安全策略與網絡用戶的關系網絡安全策略與網絡用戶的關系 網絡安全策略包括技術與制度兩個方面。只有將二者網絡安全策略包括技術與制度兩個方面。只有將二者結合起來，才能有效保護網絡資源不受破壞；結合起來，才能有效保護網絡資源不受破壞； 在制定網絡安全策略時，一定要注意限

17、制的范圍；在制定網絡安全策略時，一定要注意限制的范圍；網絡安全策略首先要保證用戶能有效地完成各自的任網絡安全策略首先要保證用戶能有效地完成各自的任務同時，也不要引發用戶設法繞過網絡安全系統，鉆務同時，也不要引發用戶設法繞過網絡安全系統，鉆網絡安全系統空子的現象；網絡安全系統空子的現象；一個好的網絡安全策略應能很好地解決網絡使用與網一個好的網絡安全策略應能很好地解決網絡使用與網絡安全的矛盾，應該使網絡管理員與網絡用戶都樂于絡安全的矛盾，應該使網絡管理員與網絡用戶都樂于接受與執行。接受與執行。 21河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.3.2 制

18、定網絡安全策略的兩種思想制定網絡安全策略的兩種思想 制定網絡安全策略的兩種思想：制定網絡安全策略的兩種思想：一是凡是沒有明確表示允許的就要被禁止，二是凡是沒有明確表示禁止的就要被允許；在網絡安全策略上一般采用第一種方法，明確地限定在網絡安全策略上一般采用第一種方法，明確地限定用戶在網絡中訪問的權限與能夠使用的服務；用戶在網絡中訪問的權限與能夠使用的服務；符合于規定用戶在網絡訪問符合于規定用戶在網絡訪問“最小權限最小權限”的原則，給的原則，給予用戶能完成任務所予用戶能完成任務所“必要必要”的訪問權限與可以使用的訪問權限與可以使用的服務類型，又便于網絡的管理。的服務類型，又便于網絡的管理。 22河

19、北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.3.3 網絡用戶組成、網點結構與網絡安全策略的關系網絡用戶組成、網點結構與網絡安全策略的關系 要維護網絡系統的有序運行，還必須規定網絡管理員要維護網絡系統的有序運行，還必須規定網絡管理員與網絡用戶各自的責任；與網絡用戶各自的責任；網絡安全問題來自外部、內部兩個方面；網絡安全問題來自外部、內部兩個方面；任何一個網點的內部網絡安全策略的變化都會影響到任何一個網點的內部網絡安全策略的變化都會影響到另一個相關網點用戶的使用，這就存在多個網點之間另一個相關網點用戶的使用，這就存在多個網點之間的網絡安全與管理的協調問題

20、；的網絡安全與管理的協調問題；多個網點之間要相互訪問，因此帶來了內部用戶與外多個網點之間要相互訪問，因此帶來了內部用戶與外部用戶兩方面的管理問題。部用戶兩方面的管理問題。 23河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.3.4 網絡安全教育與網絡安全策略網絡安全教育與網絡安全策略 要求網絡管理員與網絡用戶能夠嚴格地遵守網絡管理規要求網絡管理員與網絡用戶能夠嚴格地遵守網絡管理規定與網絡使用方法，正確地使用網絡；定與網絡使用方法，正確地使用網絡；要求從技術上對網絡資源進行保護；要求從技術上對網絡資源進行保護；如果網絡管理員與網絡用戶不能嚴格遵守網絡管理

21、條例如果網絡管理員與網絡用戶不能嚴格遵守網絡管理條例與使用方法，再嚴密的防火墻、加密技術也無濟于事；與使用方法，再嚴密的防火墻、加密技術也無濟于事；必須正確地解決網絡安全教育與網絡安全制度之間的關必須正確地解決網絡安全教育與網絡安全制度之間的關系，切實做好網絡管理人員與網絡用戶的正確管理與使系，切實做好網絡管理人員與網絡用戶的正確管理與使用網絡的培訓，從正面加強網絡安全教育。用網絡的培訓，從正面加強網絡安全教育。 24河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.3.5 網絡安全策略的修改、完善與網絡安全制度的發布網絡安全策略的修改、完善與網絡安全制

22、度的發布 internet網點與網點與intranet網點的網絡管理中心的網絡管網點的網絡管理中心的網絡管理員，對網點的日常網絡管理、網絡安全策略與使用理員，對網點的日常網絡管理、網絡安全策略與使用制度的修改和發布負有全部責任；制度的修改和發布負有全部責任；當網點的網絡安全策略的修改涉及其他網點時，相關當網點的網絡安全策略的修改涉及其他網點時，相關網點的網絡管理員之間需要通過協商，協調網絡管理、網點的網絡管理員之間需要通過協商，協調網絡管理、網絡安全策略與使用制度的修改問題；網絡安全策略與使用制度的修改問題；網絡管理中心應該定期或不定期地發布網點的網絡安網絡管理中心應該定期或不定期地發布網點的

23、網絡安全策略、網絡資源、網絡服務與網絡使用制度的變化全策略、網絡資源、網絡服務與網絡使用制度的變化情況。情況。 25河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.4 網絡安全策略制定的方法與基本內容網絡安全策略制定的方法與基本內容 設計網絡安全策略設計網絡安全策略需要回答以下問題需要回答以下問題：打算要保護哪些網絡資源？打算要保護哪些網絡資源？ 哪類網絡資源可以被哪些用戶使用？哪類網絡資源可以被哪些用戶使用？什么樣的人可能對網絡構成威脅？什么樣的人可能對網絡構成威脅？如何保證能可靠及時地實現對重要資源的保護？如何保證能可靠及時地實現對重要資源的保護？

24、在網絡狀態變化時，誰來負責調整網絡安全策略？在網絡狀態變化時，誰來負責調整網絡安全策略？26河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.4.1 網絡資源的定義網絡資源的定義 分析網絡中有哪些資源是重要的，什么人可以使用這分析網絡中有哪些資源是重要的，什么人可以使用這些資源，哪些人可能會對資源構成威脅，以及如何保些資源，哪些人可能會對資源構成威脅，以及如何保護這些資源；護這些資源；對可能對網絡資源構成威脅的因素下定義，以確定可對可能對網絡資源構成威脅的因素下定義，以確定可能造成信息丟失和破壞的潛在因素，確定威脅的類型；能造成信息丟失和破壞的潛在因素，

25、確定威脅的類型；了解對網絡資源安全構成威脅的來源與類型，才能針了解對網絡資源安全構成威脅的來源與類型，才能針對這些問題提出保護方法。對這些問題提出保護方法。27河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.4.2 網絡使用與責任的定義網絡使用與責任的定義 定義網絡使用與責任需要回答以下問題定義網絡使用與責任需要回答以下問題： 允許哪些用戶使用網絡資源；允許哪些用戶使用網絡資源；允許用戶對網絡資源進行哪些操作；允許用戶對網絡資源進行哪些操作；誰來批準用戶的訪問權限；誰來批準用戶的訪問權限；誰具有系統用戶的訪問權限；誰具有系統用戶的訪問權限；網絡用戶與網

26、絡管理員的權利、責任是什么。網絡用戶與網絡管理員的權利、責任是什么。 28河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.4.3 用戶責任的定義用戶責任的定義 網絡攻擊者要入侵網絡，第一關是要通過網絡訪問控網絡攻擊者要入侵網絡，第一關是要通過網絡訪問控制的用戶身份認證系統；制的用戶身份認證系統；保護用戶口令主要需要注意兩個問題。一是選擇口令，保護用戶口令主要需要注意兩個問題。一是選擇口令，二是保證口令不被泄露，并且不容易被破譯；二是保證口令不被泄露，并且不容易被破譯；網絡用戶在選擇自己的口令時，應該盡量避免使用自網絡用戶在選擇自己的口令時，應該盡量避免

27、使用自己與親人的名字、生日、身份證號、電話號碼等容易己與親人的名字、生日、身份證號、電話號碼等容易被攻擊者猜測的字符或數字序列。被攻擊者猜測的字符或數字序列。29河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全用戶責任主要包括以下基本內容用戶責任主要包括以下基本內容：用戶只使用允許使用的網絡資源與服務，不能采用不正當手段使用戶只使用允許使用的網絡資源與服務，不能采用不正當手段使用不應使用的資源；用不應使用的資源； 用戶了解在不經允許讓其他用戶使用他的賬戶后可能造成的危害用戶了解在不經允許讓其他用戶使用他的賬戶后可能造成的危害與他應該承擔的責任；與他應該承擔

28、的責任； 用戶了解告訴他人自己的賬戶密碼或無意泄露賬戶密碼后可能造用戶了解告訴他人自己的賬戶密碼或無意泄露賬戶密碼后可能造成的后果以及用戶要承擔的責任；成的后果以及用戶要承擔的責任； 用戶了解為什么需要定期或不定期地更換賬戶密碼；用戶了解為什么需要定期或不定期地更換賬戶密碼；明確用戶數據是用戶自己負責備份，還是由網絡管理員統一備份，明確用戶數據是用戶自己負責備份，還是由網絡管理員統一備份，凡屬于用戶自己負責備份的數據，用戶必須按規定執行備份操作；凡屬于用戶自己負責備份的數據，用戶必須按規定執行備份操作；明白泄露信息可能危及網絡系統安全，了解個人行為與系統安全明白泄露信息可能危及網絡系統安全，了

29、解個人行為與系統安全的關系。的關系。 30河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.4.4 網絡管理員責任的定義網絡管理員責任的定義 網絡管理員對網絡系統安全負有重要的責任；網絡管理員對網絡系統安全負有重要的責任；網絡管理員需要對網絡結構、網絡資源分布、網絡用網絡管理員需要對網絡結構、網絡資源分布、網絡用戶類型與權限以及網絡安全檢測方法有更多知識。戶類型與權限以及網絡安全檢測方法有更多知識。31河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡管理員應該注意的幾個問題網絡管理員應該注意的幾個問題：對網絡管理

30、員的口令嚴格保密對網絡管理員的口令嚴格保密 網絡管理員在建立網絡文件系統、用戶系統、管理系統與安全網絡管理員在建立網絡文件系統、用戶系統、管理系統與安全系統方面有特殊的權力，網絡管理員口令的泄露對網絡安全會構系統方面有特殊的權力，網絡管理員口令的泄露對網絡安全會構成極其嚴重的威脅。成極其嚴重的威脅。 對網絡系統運行狀態要隨時進行嚴格的監控對網絡系統運行狀態要隨時進行嚴格的監控 網絡管理員必須利用各種網絡運行狀態監測軟件與設備，對網網絡管理員必須利用各種網絡運行狀態監測軟件與設備，對網絡系統運行狀態進行監視、記錄與處理。絡系統運行狀態進行監視、記錄與處理。 對網絡系統安全狀況進行嚴格的監控對網絡

31、系統安全狀況進行嚴格的監控 了解網絡系統所使用的系統軟件、應用軟件，以及硬件中可能了解網絡系統所使用的系統軟件、應用軟件，以及硬件中可能存在的安全漏洞，了解在其他網絡系統中出現的各種新的安全事存在的安全漏洞，了解在其他網絡系統中出現的各種新的安全事件，監視網絡關鍵設備、網絡文件系統與各種網絡服務的工作狀件，監視網絡關鍵設備、網絡文件系統與各種網絡服務的工作狀態，審計狀態記錄，發現疑點問題與不安全因素立即處理。態，審計狀態記錄，發現疑點問題與不安全因素立即處理。32河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.4.5 網絡安全受到威脅時的行動方案網絡安

32、全受到威脅時的行動方案 保護方式保護方式 當網絡管理員發現網絡安全遭到破壞時，立即制止非當網絡管理員發現網絡安全遭到破壞時，立即制止非法入侵者的活動，恢復網絡的正常工作狀態，并進一法入侵者的活動，恢復網絡的正常工作狀態，并進一步分析這次安全事故的性質與原因，盡量減少這次安步分析這次安全事故的性質與原因，盡量減少這次安全事故造成的損害；全事故造成的損害；跟蹤方式跟蹤方式 發現網絡存在非法入侵者的活動時，不是立即制止入發現網絡存在非法入侵者的活動時，不是立即制止入侵者的活動，而是采取措施跟蹤非法入侵者的活動，侵者的活動，而是采取措施跟蹤非法入侵者的活動，檢測非法入侵者的來源、目的、非法訪問的網絡資

33、源，檢測非法入侵者的來源、目的、非法訪問的網絡資源，判斷非法入侵的危害，確定處理此類非法入侵活動的判斷非法入侵的危害，確定處理此類非法入侵活動的方法。方法。33河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.5 網絡安全問題的鑒別網絡安全問題的鑒別 鑒別網絡安全問題可以從鑒別網絡安全問題可以從5個方面進行個方面進行：訪問點（訪問點（access points）系統配置（系統配置（system configuration）軟件缺陷（軟件缺陷（software bugs）內部威脅（內部威脅（insider threats）物理安全性（物理安全性（physi

34、cal security） 34河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全網絡訪問點的結構網絡訪問點的結構 .主機1工作站局域網1局域網1撥號線路專用線路訪問點2訪問點2訪問點3訪問點3訪問點1訪問點1路由器1終端服務器modem主機2局域網2局域網2路由器2modem35河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.6 網絡防火墻技術網絡防火墻技術 8.6.1 防火墻的基本概念防火墻的基本概念防火墻是在網絡之間執行安全控制策略的系統，它包防火墻是在網絡之間執行安全控制策略的系統，它包括硬件和軟件；括硬件和

35、軟件；設置防火墻的目的是保護內部網絡資源不被外部非授設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。權用戶使用，防止內部受到外部非法用戶的攻擊。 36河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全防火墻的位置與作用防火墻的位置與作用 服務器外部網絡外部網絡防火墻服務器內部網絡內部網絡37河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全防火墻在互連網絡中的位置防火墻在互連網絡中的位置 g內聯網可信賴的網絡不可信賴的網絡分組過濾路由器 r分組過濾路由器 r應用網關外局域網內局域網

36、防火墻因特網38河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全防火墻通過檢查所有進出內部網絡的數據包，檢查數防火墻通過檢查所有進出內部網絡的數據包，檢查數據包的合法性，判斷是否會對網絡安全構成威脅，為據包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界內部網絡建立安全邊界；構成防火墻系統的兩個基本部件是：構成防火墻系統的兩個基本部件是： 包過濾路由器（包過濾路由器（packet filtering router） 應用級網關（應用級網關（application gateway）；最簡單的防火墻由一個包過濾路由器組成，而復雜的最簡單的防火墻由

37、一個包過濾路由器組成，而復雜的防火墻系統由包過濾路由器和應用級網關組合而成；防火墻系統由包過濾路由器和應用級網關組合而成；由于組合方式有多種，因此防火墻系統的結構也有多由于組合方式有多種，因此防火墻系統的結構也有多種形式種形式。39河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全防火墻技術一般分為兩類防火墻技術一般分為兩類 (1) 網絡級防火墻網絡級防火墻用來防止整個網絡出現外來非法的入侵。屬于這類用來防止整個網絡出現外來非法的入侵。屬于這類的有分組過濾和授權服務器。前者檢查所有流入本網絡的信息，然的有分組過濾和授權服務器。前者檢查所有流入本網絡的信息，然

38、后拒絕不符合事先制訂好的一套準則的數據，而后者則是檢查用戶后拒絕不符合事先制訂好的一套準則的數據，而后者則是檢查用戶的登錄是否合法。的登錄是否合法。(2) 應用級防火墻應用級防火墻從應用程序來進行接入控制。通常使用應用網關或從應用程序來進行接入控制。通常使用應用網關或代理服務器來區分各種應用。例如，可以只允許通過訪問萬維網的代理服務器來區分各種應用。例如，可以只允許通過訪問萬維網的應用，而阻止應用，而阻止 ftp 應用的通過。應用的通過。40河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全防火墻防火墻41河北工業大學經濟管理學院河北工業大學經濟管理學院 網

39、絡通訊與信息安全網絡通訊與信息安全9.6.2 防火墻的主要類型防火墻的主要類型 分組過濾路由器分組過濾路由器 分組過濾路由器按照系統內部設置的包過濾規則（即分組過濾路由器按照系統內部設置的包過濾規則（即訪問控制表），檢查每個分組的源訪問控制表），檢查每個分組的源ip地址、目的地址、目的ip地地址，決定該分組是否應該轉發；址，決定該分組是否應該轉發；分組過濾規則一般是基于部分或全部報頭的內容。例分組過濾規則一般是基于部分或全部報頭的內容。例如，對于如，對于tcp報頭信息可以是：源報頭信息可以是：源ip地址地址、目的目的ip地地址、協議類型址、協議類型 、ip選項內容選項內容 、源源tcp端口號端

40、口號 、目的目的tcp端口號端口號 、tcp ack標識等。標識等。42河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全分組過濾路由器的結構分組過濾路由器的結構43河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全應用網關應用網關 多歸屬主機又稱為多宿主主機，它具有兩個或兩個以多歸屬主機又稱為多宿主主機，它具有兩個或兩個以上的網絡接口，每個網絡接口與一個網絡連接，具有上的網絡接口，每個網絡接口與一個網絡連接，具有在不同網絡之間交換數據的路由能力。在不同網絡之間交換數據的路由能力。如果多歸屬主機連接了兩個網絡，它可以叫做雙

41、歸屬如果多歸屬主機連接了兩個網絡，它可以叫做雙歸屬主機。只要能確定應用程序訪問控制規則，就可以采主機。只要能確定應用程序訪問控制規則，就可以采用雙歸屬主機作為應用級網關，在應用層過濾進出內用雙歸屬主機作為應用級網關，在應用層過濾進出內部網絡特定服務的用戶請求與響應。部網絡特定服務的用戶請求與響應。應用代理應用代理是應用網關的另一種形式，它是以存儲轉發是應用網關的另一種形式，它是以存儲轉發方式檢查和確定網絡服務請求的用戶身份是否合法，方式檢查和確定網絡服務請求的用戶身份是否合法，決定是轉發還是丟棄該服務請求。決定是轉發還是丟棄該服務請求。 44河北工業大學經濟管理學院河北工業大學經濟管理學院 網

42、絡通訊與信息安全網絡通訊與信息安全應用級網關的結構應用級網關的結構 internet內部網絡內部網絡服務器工作站網絡接口應用程序訪問控制外部網絡外部網絡網絡接口應用級網關應用級網關防火墻45河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全應用代理的工作原理應用代理的工作原理外部網絡外部網絡代理服務器代理服務器防火墻內部網絡內部網絡真正服務器internet客戶實際的連接虛擬的連接實際的連接46河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.6.3 主要的防火墻產品主要的防火墻產品 checkpoint公司的公司的f

43、irewall-1防火墻防火墻sonic system公司的公司的sonicwall防火墻防火墻netscreen公司的公司的netscreen防火墻防火墻alkatel公司的公司的internet device防火墻防火墻nai公司的公司的gauntlet防火墻防火墻 47河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全由于互連網的開放性，有許多防范功能的防火墻也有一些防范不到的地方： 1、防火墻不能防范不經由防火墻的攻擊。例如，如果允許從受保護網內部不受限制 的向外撥號，一些用戶可以形成與internet的直接的連接，從而繞過防火墻，造成一個潛在的后門

44、攻擊渠道。 2、防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。 3、防火墻不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到internet主機上并被執行而發起攻擊時，就會發生數據驅動攻擊。 48河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.7 網絡文件的備份與恢復網絡文件的備份與恢復 9.7.1 網絡文件備份與恢復的重要性網絡文件備份與恢復的重要性網絡數據可以進行歸檔與備份；網絡數據可以進行歸檔與備份；歸檔是指在一種特殊介質上進行永久性存儲；歸檔是指在一種特殊介質上進行永久性存儲；網絡數據備份是一項基本的網

45、絡維護工作；網絡數據備份是一項基本的網絡維護工作；備份數據用于網絡系統的恢復。備份數據用于網絡系統的恢復。49河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.7.2 網絡文件備份的基本方法網絡文件備份的基本方法 選擇備份設備選擇備份設備選擇備份程序選擇備份程序建立備份制度建立備份制度在考慮備份方法時需要注意的問題在考慮備份方法時需要注意的問題：如果系統遭到破壞需要多長時間才能恢復？如果系統遭到破壞需要多長時間才能恢復？ 怎樣備份才可能在恢復系統時數據損失最少？怎樣備份才可能在恢復系統時數據損失最少？ 50河北工業大學經濟管理學院河北工業大學經濟管理學院

46、 網絡通訊與信息安全網絡通訊與信息安全9.8 網絡防病毒技術網絡防病毒技術 9.8.1 造成網絡感染病毒的主要原因造成網絡感染病毒的主要原因 70%的病毒發生在網絡上；的病毒發生在網絡上；將用戶家庭微型機軟盤帶到網絡上運行而使網絡感染上病毒的事將用戶家庭微型機軟盤帶到網絡上運行而使網絡感染上病毒的事件約占件約占41%左右；左右；從網絡電子廣告牌上帶來的病毒約占從網絡電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占從軟件商的演示盤中帶來的病毒約占6%；從系統維護盤中帶來的病毒約占從系統維護盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占從公司之間交換的軟盤帶來的病毒約占

47、2%；其他未知因素約占其他未知因素約占27%；從統計數據中可以看出，引起網絡病毒感染的主要原因在于網絡從統計數據中可以看出，引起網絡病毒感染的主要原因在于網絡用戶自身。用戶自身。 51河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.8.2 病毒概述病毒概述1. 病毒定義病毒定義計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。一般地，我們所講的病毒包括特洛伊木馬、病毒、細菌和蠕蟲等等。特洛伊木馬和病毒，它們不能脫離某些特定的的應用程序、應用工具或系統而獨立存在；而細菌和蠕蟲是完

48、整的程序，操作系統可以調度和運行它們。而且除特洛伊木馬外，其他三種形式的病毒都有能夠復制。 52河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全 2. 病毒傳染方式病毒傳染方式 病毒的傳染途徑有電磁波、有線電路、軍用或民用設備或直接放毒等。具體傳播介質有計算機網絡、軟硬磁盤和光盤等。根據傳輸過程中病毒是否被激活，病毒傳染分為靜態傳染和動態傳染。 靜態傳染是指由于用戶使用了copy、diskcopy等拷貝命令或類似操作，一個病毒連同其載體文件一起從一處被復制到另一處。而被復制后的病毒不會引起其他文件感染。 動態傳染是指一個靜態病毒被加載進入內存變為動態病毒后

49、，當其傳染模塊被激活所發生的傳染操作，這是一種主動傳染方式。與動態傳染相伴隨的常常是病毒的發作 。53河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全3. 病毒的分類病毒的分類 按病毒感染的途徑，病毒分為三類： 引導型病毒。它是是藏匿在磁盤片或硬盤的第一個扇區。每次啟動計算機時，在操作系統還沒被加載之前就被加載到內存中，這個特性使得病毒完全控制dos的各類中斷，并且擁有更大的能力進行傳染與破壞。 文件型病毒。文件型病毒通常寄生在可執行文件中當這些文件被執行時，病毒的程序就跟著被執行。根據病毒依傳染方式的不同，它分成非常駐型和常駐型 。復合型病毒。這類病毒兼

50、具引導型病毒以及文件型病毒的特性。它們可以傳染 *.com和*.exe 文件，也可以傳染磁盤的引導區。 54河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全4. 病毒結構病毒結構 計算機病毒是一種特殊的程序，它寄生在正常的、合法的程序中，并以各種方式潛伏下來，伺機進行感染和破壞。在這種情況下，稱原先的那個正常的、合法的程序為病毒的宿主或宿主程序。病毒程序一般由以下部份組成： 初始化部分。它指隨著病毒宿主程序的執行而進入內存并使病毒相對獨立于宿主程序的部分。 傳染部分。它指能使病毒代碼連接于宿主程序之上的部分，由傳染的判斷條件和完成病毒與宿主程序連接的病毒傳

51、染主體部分組成。 破壞部分或表現部分。主要指破壞被傳染系統或者在被傳染系統設備上表現特定的現象。它是病毒程序的主體，在一定程度上反映了病毒設計者的意圖。55河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全5. 病毒感染原理病毒感染原理 1)引導型病毒感染原理 引導型病毒通過執行啟動計算機的動作作為感染的途徑。一般正常軟盤啟動動作為：開機、執行bios、讀入boot程序執行和加載dos。 假定某張啟動軟盤已經了感染病毒，那么該軟盤上的boot扇區將存放著病毒程序，而不是boot 程序。所以，“讀入boot程序并執行”將變成“讀入病毒程序并執行”，等到病毒入侵

52、內存后，等到病毒入侵內存后，再由病毒程序讀入原始boot程序，既然病毒dos先一步進入內存中，自然在dos下的所有讀寫動作將受到病毒控制。所以，當使用者只要對另一張干凈的軟盤進行讀寫，駐在內存中的病毒可以感染這張軟盤。 56河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全 若啟動盤是硬盤。因硬盤多了一個分區表，分區表位于硬盤的第0面第0道第1扇區。當在“讀入boot程序并執行”之前是“讀入分區表并執行”，比軟盤啟動多了一道手續。所以和感染軟盤不同的地方是病毒不但可以感染硬盤的boot扇區還可以感染硬盤的分區表。 感染boot扇區是在“讀入分區表并執行”之后

53、，“讀入boot程序并執行”之前“讀入病毒程序并執行”。感染分區表是在“讀入病毒程序并執行”之后，“讀入分區表并執行”之前“讀入boot程序并執行”。不管是軟盤還是硬盤，引導型病毒一定比dos早一步進入內存中，并控制讀寫動作，伺機感染其他未感染病毒的磁盤。 引導型病毒感染原理 57河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全2)文件型病毒感染原理 對非常駐型病毒而言，只要一執行中毒的程序文件，病毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以感染。一般而言，對于.com型文件，病毒替換它的第一條指令；對于.exe文件，病毒改變入口指針。 而常駐型病

54、毒必須常駐內存，才能達到感染其他文件的目的。在每一個程序文件在執行時，都會調用int 21h中斷命令，所以病毒必須攔截int 21h的調用，使其先通過病毒的程序，再去執行真正的int 21h服務程序。這樣，每個要被執行的程序文件都要先通過病毒“檢查”是否已中毒，若未中毒則病毒感染該文件。 58河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全3)復合型病毒感染原理 就啟動動作來說，假設以感染復合型病毒的磁盤啟動，那么病毒便先潛入內存中，伺機感染其他未中毒的磁盤，而當dos載入內存后，病毒再攔截int 21h已達到感染文件的目的。59河北工業大學經濟管理學院河

55、北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全6. 病毒的網絡威脅病毒的網絡威脅 工作站受到的威脅。病毒對網絡工作站的攻擊途徑主要包括：利用軟盤讀寫進行傳播、通過網絡共享進行攻擊、通過電子郵件系統進行攻擊、通過ftp下載進行攻擊和通過www瀏覽進行攻擊。 服務器受到的威脅。網絡操作系統一般都采用windows nt/2000 server和少量 unix/linux，而unix/linux本身的計算機病毒的流行報告幾乎很少。但到目前為止感染windows nt系統的病毒已有一定數量。web站點受到的威脅。一般web站點，用戶訪問量很大，目前能通過web站點傳播的病毒只有腳本蠕蟲、

56、一些惡意java代碼和activex。 60河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.8.3 宏病毒宏病毒 1. 1. 宏病毒的傳染原理宏病毒的傳染原理 每個word文本對應一個模板，而且對文本進行操作時，如打開、關閉文件等，都執行了相應模板中的宏程序，由此可知： 當打開一個帶病毒模板后，該模板可以通過執行其中的宏程序，如autoopen、autoexit等將自身所攜帶病毒程序拷貝到word系統中的通用模板上，如normal.dot中。 若使用帶病毒模板對文件進行操作時，如存盤filesave等，可以將該文本文件重新存盤為帶毒模板文件，即由原來不

57、帶宏程序的純文本文件轉換為帶病毒的模板文件。 上述兩步循環就構成了病毒的基本傳染原理。61河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全2. 宏病毒的危害宏病毒的危害 word宏病毒幾乎是唯一可跨越不同硬件平臺而生存、傳染和流行的一類病毒。與感染普通.exe或.com文件的病毒相比，word宏病毒具有隱蔽性強，傳播迅速，危害嚴重，難以防治等特點。具體表現為:對word的運行破壞。不能正常打印、封閉或改變文件存儲路徑、將文件改名等。 對系統的破壞。word basic語言能夠調用系統命令，這將造成破壞。 62河北工業大學經濟管理學院河北工業大學經濟管理學院

58、 網絡通訊與信息安全網絡通訊與信息安全3. 宏病毒的預防與清除宏病毒的預防與清除為了有效防止word系統被感染，可將常用的word模板文件改為只讀屬性。當文件被感染后，應及時加以清除，以防其進一步擴散和復制。通常可采取以下措施： 手工殺毒。以word為例，從“工具”菜單選取“宏”一項，進入“管理器”，選取標題為“宏”的一頁，在“宏 有效范圍”下拉列表框中打開要檢查的文檔。這時在上面的列表框中就會出現該文檔模板中所含的宏，將不明來源的自動執行宏刪除即可。 使用專業軟件殺毒。目前殺毒軟件公司都具備清除宏病毒的能力，當然也只能對已知的宏病毒進行檢查和清除，對于新出現的病毒或病毒的變種則可能不能正常地

59、清除，或者將會破壞文件的完整性，此時還是采取手工清理。 63河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全網絡通訊與信息安全9.8.4 常用反病毒技術常用反病毒技術 1. 1. 反病毒技術分類反病毒技術分類 從研究的角度，反病毒技術主要分類： 預防病毒技術。它通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入計算機系統和對系統進行破壞。 檢測病毒技術。它是通過對計算機病毒的特征來進行判斷的偵測技術，如自身校驗、關鍵字等。 消除病毒技術。它通過對病毒的分析，殺除病毒并恢復原文件。 64河北工業大學經濟管理學院河北工業大學經濟管

60、理學院 網絡通訊與信息安全網絡通訊與信息安全2. 常用反病毒技術常用反病毒技術從具體實現技術的角度，常用的反病毒技術有：病毒代碼掃描法。將新發現的病毒加以分析后根據其特征編成病毒代碼，加入病毒特征庫中。每當執行殺毒程序時，便立刻掃描程序文件，并與病毒代碼比對，便能檢測到是否有病毒。加總比對法(check-sum)。根據每個程序的文件名稱、大小、時間、日期及內容，加總為一個檢查碼，再將檢查碼附在程序后面，或是將所有檢查碼放在同一個資料庫中，再利用check-sum系統，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否中毒。 65河北工業大學經濟管理學院河北工業大學經濟管理學院 網絡通訊與信息安全