第9章网络安全技术.ppt

《第9章网络安全技术.ppt》由会员分享，可在线阅读，更多相关《第9章网络安全技术.ppt（55页珍藏版）》请在优知文库上搜索。

1、第第9 9章章 网络安全技术网络安全技术 本章主要学习内容：本章主要学习内容：信息安全的威胁与风险信息安全的威胁与风险 加密认证技术加密认证技术 防火墙技术防火墙技术 VPN技术技术 计算机病毒防护技术计算机病毒防护技术 网络入侵检测与安全评估网络入侵检测与安全评估 安全认证安全认证 29.1 信息安全的威胁与风险 9.1.1 信息安全的重要性和严峻性1.1.信息安全的重要性信息安全的重要性 社会发展三要素的物质、能源和信息的关系发生了深刻的变化社会发展三要素的物质、能源和信息的关系发生了深刻的变化。信息要素已成为支配人类社会发展进程的信息要素已成为支配人类社会发展进程的决定性力量之一决定性力

2、量之一 。互联网已经成为了一个继电视、电台、报刊之后的互联网已经成为了一个继电视、电台、报刊之后的第四媒体第四媒体。社会信息化提升了信息的地位社会信息化提升了信息的地位 社会对信息技术的依赖性增强社会对信息技术的依赖性增强 虚拟的网络财富日益增长虚拟的网络财富日益增长 信息安全已经成为社会的焦点问题信息安全已经成为社会的焦点问题 39.1 信息安全的威胁与风险 截至截至2007年年12月月31日，我国网民总人数达到日，我国网民总人数达到2.1亿人亿人,仅以仅以500万人万人之差次于美国，居世界第二，之差次于美国，居世界第二，CNNIC预计在预计在2008年初中国将成为全年初中国将成为全球网民规

3、模最大的国家。球网民规模最大的国家。49.1 信息安全的威胁与风险 9.1.1 信息安全的重要性和严峻性 2 2.信息安全的严峻性信息安全的严峻性 系统的安全漏洞不断增加系统的安全漏洞不断增加 黑客攻击搅得全球不安黑客攻击搅得全球不安 计算机病毒肆虐计算机病毒肆虐 网络仿冒危害巨大网络仿冒危害巨大 “僵尸网络僵尸网络”（BOTNETBOTNET）使得网络攻击规模化使得网络攻击规模化 木马和后门程序泄漏秘密木马和后门程序泄漏秘密 信息战阴影威胁数字化和平信息战阴影威胁数字化和平 白领犯罪造成巨大商业损失白领犯罪造成巨大商业损失 59.1 信息安全的威胁与风险69.1 信息安全的威胁与风险79.1

4、 信息安全的威胁与风险89.1 信息安全的威胁与风险99.1 信息安全的威胁与风险109.1 信息安全的威胁与风险119.1 信息安全的威胁与风险129.1 信息安全的威胁与风险1998199920002001200220032004200520062008181512963181512963MelissaLoveletterKournikovaCode RedNimdaGonerKlezWhats Next 1991:Michelangelo:6 月 1997:WM/Cap:2 月 1999:WM/Melissa:1 天 2000:VBS/Loveletter:4 小时 2001:CodeR

5、ed/Nimda:1 小时 2003:Slammer :10分钟139.1 信息安全的威胁与风险149.1 信息安全的威胁与风险159.1 信息安全的威胁与风险169.1 信息安全的威胁与风险图图9-1 网络安全漏洞数量统计网络安全漏洞数量统计179.1 信息安全的威胁与风险图图9-3 2006年木马与僵尸网络监测到的规模分布年木马与僵尸网络监测到的规模分布189.1 信息安全的威胁与风险 9.1.2 网络系统面临的威胁 可分为两种：对网络中信息的威胁 对网络中设备的威胁 按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施 第二类是针对软件、数据和文档资料 第三类是兼对前两者的攻击破

6、坏 第四类是计算机犯罪199.1 信息安全的威胁与风险 9.1.2 网络系统面临的威胁 安全威胁的来源 不可控制的自然灾害，如地震、雷击 自恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬件系统的故障 软件的“后门”和漏洞209.1 信息安全的威胁与风险 安全威胁的表现形式安全威胁的表现形式1)伪装2)非法连接3)非授权访问4)拒绝服务5)抵赖6)信息泄露7)业务流分析8)改动信息流9)篡改或破坏数据10)推断或演绎信息11)非法篡改程序219.1 信息安全的威胁与风险 9.1.2 网络系统面临的威胁 实施安全威胁的人员 排除非人为的因素，各种威胁必须被各类人员发现

7、、施用后才能真正对网络系统产生不良影响。这些人员包括心存不满的员工、软硬件测试人员、技术爱好者、好奇的年青人，也包括黑客（Hacker）和破坏者（Cracker），还包括以政治或经济利益为目的的间谍。这些人员为了达到他们的目的，刻意查找系统漏洞，制造各种故障，并加以利用。229.1 信息安全的威胁与风险 9.1.3 网络攻击的层次与步骤 可以将网络攻击分成以下6个层次：第一层：基于应用层的操作。如拒绝服务或邮件炸弹攻击。第二层：指本地用户获得不应获得的文件(或目录)读权限。第三层：指本地用户获得不应获得的文件(或目录)写权限。第四层：指外部用户获得访问内部文件的权利。第五层：指获得特权文件的写

8、权限。第六层：指获得系统管理员的权限或根权限。239.1 信息安全的威胁与风险 9.1.3 网络攻击的层次与步骤 网络攻击的主要手段 有据可查的网络安全事件主要是由网站篡改、垃圾邮件、蠕虫、网页恶意代码、木马、网络仿冒、拒绝服务攻击、主机入侵、物理攻击和社会工程学等几种手段引起的。图图9-4 2006年主要攻击手段分布情况年主要攻击手段分布情况249.1 信息安全的威胁与风险 9.1.3 网络攻击的层次与步骤 网络攻击的步骤：典型的攻击由以下5个步骤构成，当然有的攻击可能直接跳过了某些步骤。隐藏IP：黑客非常清楚自我保护的重要性。踩点扫描：对攻击目标的多方位了解，确定攻击的时机。获得系统或管理

9、员权限：通过各种方法获得目标系统的控制权。种植后门：专供自己访问的后门，目的是为了长期保持对目标系统的控制。在网络中隐身：清除入侵痕迹，也是自我保护的重要步骤。259.1 信息安全的威胁与风险 9.1.4 网络安全防护技术 1信息安全的目标 信息安全的基本目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性。信息保障模型：针对信息的生存周期，技术上以“信息保障”模型作为信息安全的目标，即信息的保护技术、信息使用中的检测技术、信息受影响或攻击时的响应技术和受损后的恢复技术为系统模型的主要组成元素（简称PDRR模型）综合的安全解决方法：PDRR模型，结合信息安全管理因素，形成立体化纵深防

10、护机制。269.1 信息安全的威胁与风险 9.1.4 网络安全防护技术 2信息安全防护机制：5重屏障共10大领域图图9-6 信息安全多重保护机制信息安全多重保护机制279.1 信息安全的威胁与风险 9.1.4 网络安全防护技术 3信息安全体系结构 信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和 完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建 技术体系是全面提供信息系统安全保护的技术保障系统。组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训

11、管理三个部分组成。289.1 信息安全的威胁与风险 9.1.4 网络安全防护技术 4、信息安全技术 安全防范技术体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。(1)物理安全技术（物理层安全）。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。(2)系统安全技术（操作系统的安全性）。该层次的安全问题来自网络内使用的操作系统的安全。主要表现在：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。(3)网络安全技术（网络层安全）。该层次的安全问题主要体现在网络方面的安全性

12、，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。(4)应用安全技术（应用层安全）。该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统等，还包括病毒对系统的威胁。(5)管理安全性（管理层安全）。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等，可以在很大程度上降低其他层次的安全漏洞。299.1 信息安全的威胁与风险 9.1.4 网络安全防护技术 主要应用的信息安全技术如下：反病毒软件 防火墙 基于服务的访问控制技术 入侵检测系统 数

13、据传输加密 帐户与登录口令控制 入侵防御系统 文件加密技术 卡片认证与一次性密码技术 公钥基础设施系统 生物特征技术309.2 加密认证技术 9.2.1 加密技术概述 信息安全主要包括系统安全和数据安全两个方面。系统安全一般采用防火墙、防病毒及其他安全防范技术等措施，是属于被动型的安全措施；数据安全则主要采用现代密码技术对数据进行主动的安全保护，如数据保密、数据完整性、身份认证等技术。为了有效控制加密、解密算法的实现，在这些算法的实现过程中，需要有某些只被通信双方所掌握的专门的、关键的信息参与，这些信息就称为密钥。319.2 加密认证技术图图9-7 保密通信系统模型保密通信系统模型329.2

14、加密认证技术 9.2.2 常用密码体制与密码算法 密码体制 对称算法：加密密钥和解密密钥相同，或实质上等同（即从一个可以推出另外一个），我们称其为对称密钥、私钥或单钥密码体制。非对称算法：若加密密钥和解密密钥不相同，从其中一个难以推出另一个，则称为非对称密钥或双钥密码体制。常用密码算法 古典密码算法：代码加密、替换加密、变位加密 单钥加密算法：DES算法、IDEA算法 双钥加密算法：RSA算法 339.2 加密认证技术 9.2.3 加密技术的应用 数字签名：数字签名就是信息发送者使用公开密钥算法技术，产生别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解

15、开数据后，就可以确定消息来自于谁，同时也是对发送者发送信息的真实性的一个证明。发送者对所发信息不能抵赖。身份认证：是指被认证方在没有泄露自己身份信息的前提下，能够以电子的方式来证明自己的身份。消息认证（也称数字指纹）：消息认证是指通过对消息或消息相关信息进行加密或签名变换进行的认证，目的是为防止传输和存储的消息被有意或无意地篡改。数字水印：数字水印就是将特定的标记隐藏在数字产品中，用以证明原创者对产品的所有权。349.3 防火墙技术 9.3.1 防火墙技术概述 概念：防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件的集合。它是隔离在本地网络与外界网络之间执行访问控制策略的一道防

16、御系统。基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力 359.3 防火墙技术 9.3.1 防火墙技术概述 防火墙的功能(1)限定内部用户访问特殊站点。(2)防止未授权用户访问内部网络。(3)允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。(4)记录通过防火墙的信息内容和活动。(5)对网络攻击进行监测和报警。防火墙的访问控制可通过源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口实现，还能基于方向、时间、用户、流量、内容进行控制。一般地，防火墙还具有路由功能和NAT功能，用来保护内部网络的安全。369.3 防火墙技术 9.3.1 防火墙技术概述 DMZ区 DMZ区（demilitarized zone，也称非军事区），是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务