1、第9章 計算機網絡安全技術 9.1網絡安全概述 9.2網絡安全技術計算機網絡技術9.1 網絡安全概述 9.1.1 網絡面臨的威脅 1、人為的無意失誤2、人為的惡意攻擊3、網絡軟件系統的漏洞和后門4、 病毒感染5、隱私及機密資料的存儲和傳輸 冒名頂替廢物搜尋身份識別錯誤不安全服務配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網絡安全威脅線纜連接身份鑒別編程系統漏洞物理威脅9.1.1 網絡安全威脅虛擬專用網防火墻訪問控制防病毒入侵檢測網絡安全整體框架(形象圖)中國被黑網站一覽表國內外黑客組織網絡病毒紅色代碼尼姆達沖擊波震蕩波ARP病毒

2、病毒性木馬工行密碼盜取木馬其它后門工具安全威脅實例用戶使用一臺計算機D訪問位于網絡中心服務器S上的webmail郵件服務，存在的安全威脅：U在輸入用戶名和口令時被錄像機器D上有key logger程序，記錄了用戶名和口令機器D上存放用戶名和密碼的內存對其他進程可讀，其他進程讀取了信息，或這段內存沒有被清0就分配給了別的進程，其他進程讀取了信息用戶名和密碼被自動保存了用戶名和密碼在網絡上傳輸時被監聽（共享介質、或arp偽造）機器D上被設置了代理，經過代理被監聽安全威脅實例（續）查看郵件時被錄像機器D附近的無線電接收裝置接收到顯示器發射的信號并且重現出來屏幕記錄程序保存了屏幕信息瀏覽郵件時的臨時文

3、件被其他用戶打開瀏覽器cache了網頁信息臨時文件僅僅被簡單刪除，但是硬盤上還有信息由于DNS攻擊，連接到錯誤的站點，泄漏了用戶名和密碼由于網絡感染了病毒，主干網癱瘓，無法訪問服務器服務器被DOS攻擊，無法提供服務9.1.2 網絡安全的定義 理解角度網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統可以連續可靠正常地運行，網絡服務不中斷。個人用戶：防止他人侵犯自己的利益和隱私網絡運行和管理者：保證資源安全、抵制黑客攻擊安全保密部門：過濾有害信息、避免機要信息泄露社會教育和意識形態 ：控制網絡內容9.1.3 網絡安全的特征（1）保密性c

4、onfidentiality：信息不泄露給非授權的用戶、實體或過程，或供其利用的特性。（2）完整性integrity：數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性availability：可被授權實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。（4）可控性controllability：對信息的傳播及內容具有控制能力。（5）可審查性：出現的安全問題時提供依據與手段9.1.4 影響網絡安全的主要因素（1）網絡的缺陷因特網在設計之初對共享性和開放性的強調，使

5、得其在安全性方面存在先天的不足。其賴以生存的TCP/IP 協議族在設計理念上更多的是考慮該網絡不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏應有的安全機制。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構成了對網絡安全的重要隱患。 例如：多數底層協議為廣播方式，多數應用層協議為明文傳輸，缺乏保密 與認證機制，因此容易遭到欺騙和竊聽軟件及系統的“漏洞”及后門 隨著軟件及網絡系統規模的不斷增大，系統中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統，無論是Windows 還是UNIX 幾乎都存在或多或少的安全漏洞，眾多的服務器、瀏覽器、桌面

6、軟件等等都被發現存在很多安全隱患。任何一個軟件系統都可能會因為程序員的一個疏忽或設計中的一個缺陷等原因留下漏洞。這也成為網絡的不安全因素之一影響網絡安全的主要因素（2）黑客的攻擊黑客技術不再是一種高深莫測的技術，并逐漸被越來越多的人掌握。目前，世界上有20 多萬個免費的黑客網站，這些站點從系統漏洞入手，介紹網絡攻擊的方法和各種攻擊軟件的使用，這樣，系統和站點遭受攻擊的可能性就變大了。加上現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力”強的特點，構成了網絡安全的主要威脅。網絡普及，安全建設滯后網絡硬件建設如火如荼，網絡管理尤其是安全管理滯后，用戶安全意識

7、不強，即使應用了最好的安全設備也經常達不到預期效果9.2 網絡安全保障體系安全管理與審計物理層安全網絡層安全傳輸層安全應用層安全鏈路層物理層網絡層傳輸層應用層表示層會話層審計與監控身份認證數據加密數字簽名完整性鑒別端到端加密訪問控制鏈路加密物理信道安全物理隔離訪問控制數據機密性數據完整性用戶認證防抵賴安全審計網絡安全層次層次模型網絡安全技術實現安全目標用戶安全服務可用9.2 網絡安全機制安全機制可分為兩類 ：安全服務與安全系統管理 加密機制 數字簽名機制 訪問控制機制 數據完整性機制 認證交換機制 防業務流分析機制 路由控制機制 公證機制 2、網絡安全技術1、安全機制數據加密技術物理隔離防火墻

8、技術入侵檢測技術病毒防護技術跟蹤審計技術 9.2.1 物理隔離主要分兩種：雙網隔離計算機物理隔離網閘雙網隔離計算機解決每人2臺計算機的問題1臺計算機，可以分時使用內網或外網關鍵部件硬盤網線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標主板/電源硬盤*原理切換關鍵部件簡單雙網隔離計算機外網硬盤內網硬盤外網網線內網網線公共部件控制卡控制開關復雜雙網隔離計算機內網硬盤外網網線內網網線公共部件控制卡遠端設備使用控制卡上的翻譯功能將硬盤分為邏輯上獨立的部分充分使用UTP中的8芯，減少一根網線物理隔離網閘的基本原理采用數據“擺渡”的方式實現兩個網絡之間的信息交換在任意時刻，物理隔離設備只能與一個網絡的

9、主機系統建立非TCP/IP協議的數據連接，即當它與外部網絡相連接時，它與內部網絡的主機是斷開的，反之亦然。任何形式的數據包、信息傳輸命令和TCP/IP協議都不可能穿透物理隔離設備。物理隔離設備在網絡的第7層講數據還原為原始數據文件，然后以“擺渡文件”形式傳遞原始數據。物理隔離實現基本原理（1）物理隔離實現基本原理（2）內外網模塊連接相應網絡實現數據的接收及預處理等操作；交換模塊采用專用的高速隔離電子開關實現與內外網模塊的數據交換，保證任意時刻內外網間沒有鏈路層連接；數據只能以專用數據塊方式靜態地在內外網間通過網閘進行“擺渡”，傳送到網閘另一側；集成多種安全技術手段，采用強制安全策略，對數據內容

10、進行安全檢測，保障數據安全、可靠的交換。物理隔離技術的應用涉密網和非涉密網之間物理隔離技術的優缺點優點： 中斷直接連接 強大的檢查機制 最高的安全性 缺點： 對協議不透明，對每一種協議都要一種具體的實現 效率低9.2.2 防火墻技術 防火墻的概念和功能 1、防火墻的概念 ：防火墻是設置在不同網絡或網絡安全域之間的一系列部件的組合，它是建立在兩個網絡或網絡安全域邊界上的實現安全策略和網絡通信監控的系統或系統集，它強制執行對內部網絡（如校園網）和外部網絡（如Internet）的訪問控制，是不同網絡或網絡安全域之間的唯一出入口，并通過建立一整套規則和策略來監測、限制、轉換跨越防火墻的數據流，實現保護

11、內部網絡的目的。9.2.2 防火墻技術 防火墻的概念和功能 強化網絡安全策略 對網絡存取和訪問進行監控審計 防止易受攻擊的服務 防止內部信息的外泄 2、防火墻的功能防火墻的類型總體分為兩大類：包過濾型防火墻、應用代理型防火墻包過濾型：分包傳輸包具有特定信息（數據源地址、目標地址、TCP/UDP源端口和目標端口等）優點是簡單實用，缺點是無法識別惡意侵入應用代理型：代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。 優點是安全性高，缺點是影響系統整體性能不能防范繞過防火墻的攻擊 不能防止數據驅動式攻擊。 難以避免來自內部的攻擊。 防火墻的缺陷一般的防火墻不能防止受到病毒感染的軟件或文件

12、的傳輸。 9.2.3 網絡病毒防護網絡病毒病毒是一種寄生在普通程序中、且能夠將自身復制到其他程序、并通過執行某些操作，破壞系統或干擾系統運行的“壞”程序。 網絡傳播途徑:文件下載(瀏覽或FTP下載) 電子郵件(郵件附件)9.2.3 網絡病毒防護網絡病毒的特點1、傳染方式多 2、傳染速度快 3、清除難度大 4、破壞性強 5、針對性強 6、激發形式多樣 9.2,3 網絡病毒防護常見的網絡病毒 1、電子郵件病毒 2、Java程序病毒 3、ActiveX病毒 4、網頁病毒 9.2.3 網絡病毒防護9.2.3 網絡病毒的防治以網為本，多層防御，有選擇地加載保護計算機網絡安全的網絡防病毒產品 病毒防范計算

13、機網絡病毒的防治1、盡量少用超級用戶登錄 2、嚴格控制用戶的網絡使用權限 3、對某些頻繁使用或非常重要的文件屬性加以控制，以免被病毒傳染 4、對遠程工作站的登錄權限嚴格限制 9.2.4 入侵檢測技術 （第二防線） 入侵者常用手段1、 信息收集 2、 對系統安全薄弱點的探測3、 網絡攻擊SNMP、TraceRout程序、Whois服務、DNS服務、Finger協議、Ping實用程序利用自編的程序 利用公開的工具目標系統中安裝探測軟件 在受損系統中獲得訪問權9.2.4 入侵檢測技術（第二防線） 入侵防范措施選用安全的密碼，并經常修改密碼；應及時取消調離或停止工作的雇員帳號，及無用帳號；實施存取控制

14、措施；確保數據的安全性和完整性；原有數據要和現行數據保持完全一致。安裝防火墻或入侵檢測系統，及時發現并阻止入侵行為。個人其它防范措施 ：使用不同密碼、不透露個人信息9.2.5 訪問控制（1）廣義的訪問控制功能包括鑒別、授權和記賬等鑒別（Authentication）：辨別用戶是誰的過程。 授權（Authorization）對完成認證過程的用戶授予相應權限，解決用戶能做什么的問題。在一些訪問控制的實現中，認證和授權是統一在一起的 記賬（Accounting）；統計用戶做過什么的過程，通常使用消耗的系統時間、接收和發送的數據量來量度。Tacacs、Tacacs+、Radius等技術能實現這三種功能

15、。 9.2.5 訪問控制（2）RADIUS協議 針對遠程用戶Radius（Remote Authentication Dialin User service）協議，采用分布式的Client/Server結構完成密碼的集中管理和其他訪問控制功能；網絡用戶（Client）通過網絡訪問服務器（NAS）訪問網絡，NAS同時作為Radius結構的客戶端，認證、授權和計帳的3A功能通過NAS和安全服務器（Secutity Server）或Radius服務器之間的Radius協議過程完成，而用戶的控制功能在NAS實現。 訪問控制（3）TACAS協議 TACACS （Terminal Access Contr

16、oller Access Control System-終端訪問控制系統）是歷史上用于UNIX系統的認證協議，它使遠程訪問服務器將用戶的登錄信息發送到認證服務器以確定用戶是否可以訪問給定系統。TACACS對數據并不加密，因此它的安全性要差一些，針對這種情況，又設計了TACACS+和RADIUS協議。 訪問控制（4）TACACS+協議 由Cisco公司提出，在此協議中，當用戶試圖登錄時，NAS將詢問安全服務做什么，安全服務器通常知NAS輸入用戶名和密碼，然后，發送接受或拒絕響應信息給NAS。用戶登錄進入之后，對于每一條用戶輸入的命令，NAS都將提請安全服務器進行授權。訪問控制（5）TACACS+

17、協議的應用 9.2.6 數據加密概述9.2.6 數據加密技術 （最后防線）數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據，通過使用不同的密鑰，可用同一加密算法將同一明文加密成不同的密文。 只有指定的用戶和網絡設備才能解譯加密數據，從根本上解決網絡安全的兩大主要需求，即網絡服務的可用性和信息的完整性。 9.2.6 密碼技術的基本概念 9.2.6 數據加密技術 （最后防線）密碼技術是網絡信息安全與保密的核心和關鍵。通過密碼技術的變換或編碼，可以將機密、敏感的消息變換成難以讀懂的亂碼型文字，以此達到兩個目的：其一，使不知道如何解密的“黑客”不可能從其截獲的亂碼中得到任何有意義

18、的信息其二，使“黑客”不可能偽造或篡改任何亂碼型的信息。9.2.6 常用數據加密方法 9.2.6 數據加密技術 （最后防線）單鑰或對稱密碼體制：加密密鑰和解密密鑰相同，或從一個可以推出另一個。 雙鑰或非對稱密碼體制 ：加密密鑰和解密密鑰不相同，從一個難于推出另一個 。優點：不存在密鑰管理問題 、擁有數字簽名功能 缺點：算法比較復雜，加、解密速度慢 優點：加、解密速度快缺點：密鑰管理難；無法解決消息確認問題； 缺乏自動檢測密鑰泄露的能力 著名密碼算法介紹 9.2.6 數據加密技術 （最后防線）1、DES加密算法：DES是一種典型的按分組方式工作的密碼。其基本思想是將二進制序列的明文分成每64位一組，用長為56位的密鑰對其進行16輪代換和換位加密，最后形成密文。 優點：加密和解密的步驟完