第1章 网络安全概述 13:43:19
第一章 网络安全概述 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。本章主要介绍网络安全的概念、威胁网络安全的因素、网络安全防护体系及网络安全的评估标准等方面的内容。 13:43:19
第一章 网络安全概述 本章内容提要: 网络安全的基础知识 威胁网络安全的因素 网络安全防护体系 网络安全的评估标准 13:43:19
1.1 网络安全的基础知识 网络安全的基本概念 网络安全的特征 网络安全的目标 13:43:19
1)开放性的网络 2)国际性的网络 3)自由的网络 网络安全的基本概念 国际性的网络意味着网络的攻击不仅仅来自本地网络的用户,还可以来自Internet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。 Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求,这主要表现在以下几个方面。 开放性的网络导致网络的技术是全开放的,任何一个人、团体都可能获得,因而网络所面临的破坏和攻击可能是多方面的。 1)开放性的网络 2)国际性的网络 3)自由的网络 自由意味着网络最初对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。 13:43:19
1.1 网络安全的基础知识 网络安全的基本概念 网络安全的特征 网络安全的目标 13:43:19
指对信息的传播及内容具有控制能力,可以控制授权范围内的信息流向及行为方式。 网络安全的特征 根据网络安全的定义,网络安全应具有以下六个方面的特征。 1)保密性 2)完整性 3)可用性 4)可控性 5)可审查性 6)可保护性 指对信息的传播及内容具有控制能力,可以控制授权范围内的信息流向及行为方式。 指信息不泄露给非授权的用户、实体及过程,或供其利用的特性。 指可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 对出现的安全问题提供调查的依据和手段,用户不能抵赖曾做出的行为,也不能否认曾经接到对方的信息。 指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 保护软、硬件资源不被非法占有,免受病毒的侵害。 13:43:19
1.1 网络安全的基础知识 网络安全的基本概念 网络安全的特征 网络安全的目标 13:43:19
(1)截获 (2)伪造 (3)篡改 (4)中断 (5)重发 网络安全的目标 为确保网络信息的传输安全,尤其需要防止如下问题。 13:43:19
1.2 威胁网络安全的因素 在计算机网络和系统安全问题中,常有的攻击手段和方式有:利用系统管理的漏洞直接进入系统;利用操作系统和应用系统的漏洞进行攻击;进行网络窃听,获取用户信息及更改网络数据;伪造用户身份、否认自己的签名;传输释放病毒和如Java/ActiveX控件来对系统进行有效控制;IP欺骗;摧毁网络结点;消耗主机资源致使主机瘫痪和死机等。 13:43:19
1.2 威胁网络安全的因素 网络的安全威胁 网络安全的问题及原因 13:43:19
1)非授权访问 2)信息泄漏或丢失 3)破坏数据完整性 4)拒绝服务攻击 5)利用网络传播病毒 网络的安全威胁 目前网络存在的威胁主要表现在以下几个方面。 1)非授权访问 2)信息泄漏或丢失 3)破坏数据完整性 4)拒绝服务攻击 5)利用网络传播病毒 13:43:19
1.2 威胁网络安全的因素 网络的安全威胁 网络安全的问题及原因 13:43:19
网络安全产生的原因 网络安全的问题及原因 泄密窃密危害加大。 核心设备安全漏洞或后门难以防控。 病毒泛滥防不胜防。 网络攻击从技术炫耀转向利益驱动。 网络安全成为目前各界十分关注的问题 网络和信息安全面临的挑战 网络安全产生的原因 13:43:19
1.3 网络安全防护体系 网络安全策略是一个系统的概念,它是网络安全系统的灵魂与核心,任何可靠的网络安全系统都是构建在各种安全技术集成的基础上的,而网络安全策略的提出,正是为了实现这种技术的集成。可以说网络安全策略是我们为了保护网络安全而制定的一系列法律、法规和措施的总和。 13:43:19
1.3 网络安全防护体系 网络安全策略 网络安全体系 13:43:19
当前制定的网络安全策略主要包含五个方面的策略。 (1)物理安全策略 (2)访问控制策略 (3)防火墙控制 (4)信息加密策略 (5)网络安全管理策略 13:43:19
1.3 网络安全防护体系 网络安全策略 网络安全体系 13:43:19
网络安全体系是由网络安全法律体系、网络安全管理体系和网络安全技术体系三部分组成的,它们相辅相成 ,如图所示。 网络安全技术方面 网路安全管理方面 网络安全中可以采取的一些措施 13:43:19
(1)物理安全 (2)网络安全 (3)信息安全 网络安全体系 网络安全技术方面 外网隔离及访问控制系统 内部网不同网络安全域的隔离及访问控制 网络安全检测 审计与监控 网络反病毒 (1)物理安全 (2)网络安全 (3)信息安全 13:43:19
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。 网络安全体系 网络安全管理方面 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。 (1)安全管理的原则 (2)安全管理的实现 多人负责 任期有限 职责分离 13:43:19
1.4 网络安全的评估标准 网络安全评价标准 我国网络信息安全标准简介 13:43:19
美国国防部的TCSEC 欧共体委员会的ITSEC 加拿大系统安全中心的CTCPEC 国际通用准则CC(ISO/IEC 15408-1999) 网络安全评价标准 国际上主要的网络安全评价标准 美国国防部的TCSEC 欧共体委员会的ITSEC 加拿大系统安全中心的CTCPEC 国际通用准则CC(ISO/IEC 15408-1999) 13:43:19
1.4 网络安全的评估标准 网络安全评价标准 我国网络信息安全标准简介 13:43:19
《信息技术 安全技术 信息技术安全性评估准则》 我国网络信息安全标准 我国网络信息安全标准简介 《计算机信息系统安全保护等级划分准则》 《信息技术 安全技术 信息技术安全性评估准则》 13:43:19
(1)截获 网络安全的目标 为确保网络信息的传输安全,尤其需要防止如下问题。 对网上传输的信息,攻击者只需在网络的传输链路上通过物理或逻辑的手段,就能对数据进行非法的截获(Interception)与监听,进而得到用户或服务方的敏感信息。 13:43:19
(2)伪造 网络安全的目标 为确保网络信息的传输安全,尤其需要防止如下问题。 对用户身份伪造(Fabrication)这一常见的网络攻击方式,传统的对策一般采用身份认证方式来进行防护,但是,用于用户身份认证的密码在登录时常常是以明文的方式在网络上进行传输的,很容易被攻击者在网络上截获,进而可以对用户的身份进行仿冒,使身份认证机制被攻破。身份认证的密码90%以上是用代码形式传输的。 13:43:19
(3)篡改 网络安全的目标 为确保网络信息的传输安全,尤其需要防止如下问题。 攻击者有可能对网络上的信息进行截获并且篡改(Modification)其内容(增加、截去或改写),使用户无法获得准确、有用的信息或落入攻击者的陷阱。 13:43:19
(4)中断 网络安全的目标 为确保网络信息的传输安全,尤其需要防止如下问题。 攻击者通过各种方法,中断(Interruption)用户的正常通信,达到自己的目的。 13:43:19
(5)重发 网络安全的目标 为确保网络信息的传输安全,尤其需要防止如下问题。 信息重发(Repeat)的攻击方式,即攻击者截获网络上的密文信息后,并不将其破译,而是把这些数据包再次向有关服务器(如银行的交易服务器)发送,以实现恶意的目的。 13:43:19
网络的安全威胁 目前网络存在的威胁主要表现在以下几个方面。 1)非授权访问 没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 13:43:19
网络的安全威胁 目前网络存在的威胁主要表现在以下几个方面。 2)信息泄露或丢失 指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括信息在传输中丢失或泄漏(如黑客们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息和不良网站),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。 13:43:19
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。 网络的安全威胁 目前网络存在的威胁主要表现在以下几个方面。 3)破坏数据完整性 以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。 13:43:19
网络的安全威胁 目前网络存在的威胁主要表现在以下几个方面。 4)拒绝服务攻击 它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 。 13:43:19
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。 网络的安全威胁 目前网络存在的威胁主要表现在以下几个方面。 5)利用网络传播病毒 通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。 13:43:19
思想麻痹,没有正视黑客入侵所造成的严重后果,因而舍不得投入必要的人力、财力、物力来加强网络的安全。 网络安全的问题及原因 目前,攻击Internet的手段是多种多样的,攻击方法已超过计算机病毒种类,总数达到数千种,而且很多方法都是致命的。 网络安全事故之所以经常发生,主要有以下几个方面。 现有网络系统和协议存在不安全性。 思想麻痹,没有正视黑客入侵所造成的严重后果,因而舍不得投入必要的人力、财力、物力来加强网络的安全。 没有采用正确的安全策略和安全机制。 缺乏先进的网络安全技术、工具、手段和产品。 缺乏先进的灾难恢复措施和备份意识。 13:43:19
网络安全策略 (1)物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 13:43:19
(2)访问控制策略 入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络监测和锁定控制 网络端口和结点的安全控制 网络安全策略 13:43:19
网络安全策略 (3)防火墙控制 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。当前主流的防火墙主要分为三类:包过滤防火墙、代理防火墙和双穴主机防火墙。 13:43:19
网络安全策略 (4)信息加密策略 网络加密常用的方法有链路加密、端点加密和结点加密三种。链路加密的目的是保护网络结点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;结点加密的目的是对源结点到目的结点之间的传输链路提供保护。 13:43:19
网络安全策略 (5)网络安全管理策略 在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房的管理制度;制订网络系统的维护制度和应急措施等。 13:43:19
网络安全体系 图1.1 网络安全体系结构 13:43:19
网络安全体系 网络安全技术方面 (1)物理安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施及其他媒体免遭地震、水灾、火灾等环境事故及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。 13:43:19
(3)信息安全 网络中的信息安全主要涉及信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面 网络安全体系 网络安全技术方面 13:43:19