第一章計算機網絡安全概述 計算機網絡技術專業楊澤明 本章主要內容KeyQuestions 1 網絡安全簡介2 信息安全的發展歷程3 網絡安全的定義4 網絡安全防護體系5 網絡安全的現狀 應具備的職業行動能力 通過典型的網絡安全事件和詳實的數據 了解網絡安全的重要性 網絡脆弱性的原因和信息安全發展的歷程 理解并掌握網絡安全五個基本要素 重點 理解網絡安全所受到的各種威脅及相應的防護技術 了解目前國際和國內的網絡安全現狀 具有認真負責 嚴謹細致的工作態度和工作作風 具備良好的團隊協作和溝通交流能力 逐步培養良好的網絡安全職業道德 社會能力 良好的自學能力 對新技術有學習 研究精神 較強的動手操作能力 方法能力 網絡安全為什么重要 網絡應用已滲透到現代社會生活的各個方面 電子商務 電子政務 電子銀行等無不關注網絡安全 至今 網絡安全不僅成為商家關注的焦點 也是技術研究的熱門領域 同時也是國家和政府的行為 數據 2006年10月 InformationWeek 研究部和埃森哲咨詢公司全球安全調查 調查全面揭示了商業計算環境所面臨的各種威脅 在受訪者當中 有57 的美國公司表示在過去一年中曾遭受病毒攻擊 34 曾受到蠕蟲的攻擊 18 經歷了拒絕服務攻擊 1 1 2網絡脆弱性的原因 INTERNET的美妙之處在于你和每個人都能互相連接 INTERNET的可怕之處在于每個人都能和你互相連接 1 1 2網絡脆弱性的原因 1 1 2網絡脆弱性的原因 1 開放性的網絡環境2 協議本身的缺陷3 操作系統的漏洞4 人為因素 典型的網絡安全事件 羅伯特 莫里斯 1988年 莫里斯蠕蟲病毒震撼了整個世界 由原本寂寂無名的大學生羅伯特 莫里斯 22歲 制造的這個蠕蟲病毒入侵了大約6000個大學和軍事機構的計算機 使之癱瘓 此后 從CIH到美麗殺病毒 從尼姆達到紅色代碼 病毒 蠕蟲的發展愈演愈烈 網絡安全的定義 廣義上講 凡是涉及到網絡上信息的保密性 完整性 可用性 真實性和可控性的相關技術和理論都是網絡安全所要研究的領域 從本質上講 網絡安全就是網絡上的信息安全 是指網絡系統的硬件 軟件和系統中的數據受到保護 不受偶然的或者惡意的攻擊而遭到破壞 更改 泄露 系統連續可靠正常地運行 網絡服務不中斷 網絡安全的要素 保密性 confidentiality完整性 integrity可用性 availability可控性 controllability不可否認性 Non repudiation 安全的要素 1 機密性 確保信息不暴露給未授權的實體或進程 加密機制 防泄密2 完整性 只有得到允許的人才能修改實體或進程 并且能夠判別出實體或進程是否已被修改 完整性鑒別機制 保證只有得到允許的人才能修改數據 防篡改數據完整 hash 數據順序完整 編號連續 時間正確 3 可用性 得到授權的實體可獲得服務 攻擊者不能占用所有的資源而阻礙授權者的工作 用訪問控制機制 阻止非授權用戶進入網絡 使靜態信息可見 動態信息可操作 防中斷 二 計算機系統安全的概念 安全的要素 4 可控性 可控性主要指對危害國家信息 包括利用加密的非法通信活動 的監視審計 控制授權范圍內的信息流向及行為方式 使用授權機制 控制信息傳播范圍 內容 必要時能恢復密鑰 實現對網絡資源及信息的可控性 5 不可否認性 對出現的安全問題提供調查的依據和手段 使用審計 監控 防抵賴等安全機制 使得攻擊者 破壞者 抵賴者 逃不脫 并進一步對網絡出現的安全問題提供調查依據和手段 實現信息安全的可審查性 一般通過數字簽名來提供不可否認服務 二 計算機系統安全的概念 安全工作的目的 進不來 拿不走 改不了 跑不了 看不懂 安全管理中 人是核心 技術是保證 運行是關鍵 網絡安全涉及知識領域 信息 網絡 安全涉及方面 應用安全 系統安全 網絡安全 管理安全 物理安全 信息安全面臨的威脅類型 病毒 蠕蟲 后門 拒絕服務 內部人員誤操作 非授權訪問 暴力猜解 物理威脅 系統漏洞利用 嗅探 常見的攻擊方式 病毒virus 蠕蟲Worm 木馬程序Trojan拒絕服務和分布式拒絕服務攻擊Dos DDos欺騙 IPspoofing Packetmodification ARPspoofing 郵件炸彈Mailbombing口令破解Passwordcrack社會工程SocialEngineering 攻擊的工具 標準的TCP IP工具 ping telnet 端口掃描和漏洞掃描 ISS Safesuit Nmap protscanner 網絡包分析儀 sniffer networkmon