網(wǎng)絡(luò)安全概述v1.0課程目標(biāo)通過本章的學(xué)習(xí)，您可以獲得以下收獲了解什么是網(wǎng)絡(luò)安全了解引起網(wǎng)絡(luò)不安全的因素了解網(wǎng)絡(luò)安全面臨的威脅內(nèi)容提要什么是網(wǎng)絡(luò)安全引起網(wǎng)絡(luò)不安全的因素網(wǎng)絡(luò)安全面臨的威脅什么是計(jì)算機(jī)網(wǎng)絡(luò)？計(jì)算機(jī)網(wǎng)絡(luò)，就是把地理分散的計(jì)算機(jī)與外設(shè)利用通信線路互連成一個(gè)系統(tǒng)，從而使眾多的計(jì)算機(jī)可以方便地交互信息，共享資源。Internet網(wǎng)絡(luò)發(fā)展歷史階段二：70’s－80’s階段三：80’s－至今階段一：50’s－60’sInternetlan網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全的屬性保密性－信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。完整性－數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性－可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。可控性－對(duì)信息的傳播及內(nèi)容具有控制能力。可審查性－出現(xiàn)安全問題時(shí)提供審查的依據(jù)與手段。用戶（個(gè)人、企業(yè)等）的安全需求Internet個(gè)人隱私商業(yè)利益?zhèn)€人用戶企業(yè)用戶網(wǎng)絡(luò)運(yùn)行和管理者的安全需求DOS&DDOS黑客陷門病毒非法存取運(yùn)行和管理者非法占用和非法控制安全保密部門的網(wǎng)絡(luò)安全需求Internet非法信息國(guó)家機(jī)密信息有害信息內(nèi)容提要什么是網(wǎng)絡(luò)安全引起網(wǎng)絡(luò)不安全的因素網(wǎng)絡(luò)安全面臨的威脅引起網(wǎng)絡(luò)不安全的因素（一）操作系統(tǒng)的脆弱性操作系統(tǒng)其體系結(jié)構(gòu)本身可能就是一種不安全的因素由于操作系統(tǒng)可以創(chuàng)建進(jìn)程，即使在網(wǎng)絡(luò)的節(jié)點(diǎn)上同樣也可以進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活，而且被創(chuàng)建的進(jìn)程具有可以繼續(xù)創(chuàng)建過程的權(quán)力網(wǎng)絡(luò)操作系統(tǒng)提供的遠(yuǎn)程過程調(diào)用（RPC）服務(wù)以及它所安排的無口令入口也常常是黑客的入侵通道引起網(wǎng)絡(luò)不安全的因素（二）計(jì)算機(jī)系統(tǒng)的脆弱性存在超級(jí)用戶，如果入侵者得到了超級(jí)用戶口令，整個(gè)系統(tǒng)將完全受控于入侵者計(jì)算機(jī)可能會(huì)因硬件或軟件故障而停止運(yùn)轉(zhuǎn)，或被入侵者利用并造成損失計(jì)算機(jī)系統(tǒng)上運(yùn)行的軟件本身存在安全漏洞的引起網(wǎng)絡(luò)不安全的因素（三）協(xié)議安全的脆弱性當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)都使用的TCP/IP協(xié)議以及FTP、E-mail、NFS等都包含著許多影響網(wǎng)絡(luò)安全的因素，存在許多漏洞黑客通常采用Sock、TCP預(yù)測(cè)或使用遠(yuǎn)程訪問（RPC）進(jìn)行直接掃描等方法對(duì)防火墻進(jìn)行攻擊引起網(wǎng)絡(luò)不安全的因素（四）數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性由于數(shù)據(jù)管理系統(tǒng)（DBMS）對(duì)數(shù)據(jù)庫的管理是建立在分級(jí)管理的概念上的，因此DBMS的安全也存在隱患DBMS的安全必須與操作系統(tǒng)的安全配套，由于操作系統(tǒng)本身也存在安全隱患，所以這是DBMS一個(gè)先天的不足之處引起網(wǎng)絡(luò)不安全的因素（五）管理的因素不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理，但又大多數(shù)缺少安全管理員，特別是高素質(zhì)的網(wǎng)絡(luò)管理員缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范，缺少定期的安全測(cè)試與檢查，更缺少安全監(jiān)控，比如許多網(wǎng)絡(luò)系統(tǒng)已使用多年，但網(wǎng)絡(luò)管理員與用戶的注冊(cè)名或口令等還處于缺省狀態(tài)引起網(wǎng)絡(luò)不安全的因素（六）其他各種外部因素網(wǎng)絡(luò)設(shè)備所存放的環(huán)境安全因素，比如電源的健壯性，環(huán)境的溫度、濕度、潔凈程度以及防雷、防靜電、防水、防火、防電磁干擾等是否符合要求物理鏈路工作不正常遭受意外破壞，包括人為和自然的破壞內(nèi)容提要什么是網(wǎng)絡(luò)安全引起網(wǎng)絡(luò)不安全的因素網(wǎng)絡(luò)安全面臨的威脅網(wǎng)絡(luò)安全面臨的威脅大類非授權(quán)訪問，這主要的是指對(duì)網(wǎng)絡(luò)設(shè)備以及信息資源進(jìn)行非正常使用或超越權(quán)限使用假冒合法用戶，主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)，以達(dá)到占用合法用戶資源的目的數(shù)據(jù)完整性受破壞，或數(shù)據(jù)發(fā)生泄露干擾網(wǎng)絡(luò)的正常運(yùn)行，更改網(wǎng)絡(luò)運(yùn)行參數(shù)由病毒引發(fā)的不良后果TCP/IP協(xié)議中的網(wǎng)絡(luò)安全威脅數(shù)據(jù)鏈路層安全威脅網(wǎng)絡(luò)層安全威脅傳輸層安全威脅應(yīng)用層安全威脅數(shù)據(jù)鏈路層安全威脅與VLAN相關(guān)的威脅MAC攻擊威脅DHCP攻擊威脅ARP攻擊威脅生成樹協(xié)議攻擊威脅網(wǎng)絡(luò)層安全威脅資源耗竭型攻擊：DoS攻擊，主要以使設(shè)備停止服務(wù)性功能為目的。欺騙攻擊：偽造數(shù)據(jù)包進(jìn)行攻擊，如偽造源IP地址等來獲取某些權(quán)限。對(duì)傳輸層的攻擊：從而阻隔上層協(xié)議和主機(jī)之間的交互，采用會(huì)話劫持來獲取權(quán)限，或竊聽數(shù)據(jù)、偽造數(shù)據(jù)注入。對(duì)路由協(xié)議的攻擊：會(huì)阻斷路由器和新老鄰居對(duì)等體之間的交互、重定向流量、注入虛假信息等來阻斷用戶合法的數(shù)據(jù)流。網(wǎng)絡(luò)層安全威脅（續(xù)一）針對(duì)控制層面的IP服務(wù)的攻擊：如針對(duì)DHCP、DNS、NTP等的攻擊，影響它們的正常工作。未授權(quán)接入攻擊：試圖對(duì)受限系統(tǒng)進(jìn)行非授權(quán)接入的攻擊。利用軟件弱點(diǎn)的攻擊：如果軟件的弱點(diǎn)被利用，會(huì)對(duì)路由器的機(jī)密性、完整性和可用性造成極大危害，也會(huì)影響數(shù)據(jù)層面的流量。惡意的網(wǎng)絡(luò)探測(cè)：對(duì)目標(biāo)進(jìn)行信息收集，以期找尋系統(tǒng)的弱點(diǎn)或漏洞，為將來可能的攻擊做準(zhǔn)備。網(wǎng)絡(luò)層安全威脅（續(xù)二）由于網(wǎng)絡(luò)層的安全技術(shù)種類繁多，本系列課程將分以下四個(gè)方面來闡述：管理平面的安全措施控制平面的安全措施數(shù)據(jù)平面的安全措施業(yè)務(wù)平面的安全措施傳輸層安全威脅傳輸層存在兩個(gè)協(xié)議——傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報(bào)協(xié)議（UDP），因此針對(duì)傳輸層的威脅主要是用于影響TCP和UDP協(xié)議的，常見的威脅有：TCPSYNfloodingUDPfloodingCrikeyCRCflooding傳輸層安全威脅（續(xù)）傳輸層也支持多種安全服務(wù)：對(duì)等實(shí)體認(rèn)證服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)應(yīng)用層安全威脅常見的屬于應(yīng)用層的協(xié)議有：簡(jiǎn)單郵件傳輸協(xié)議（SMTP）文件傳輸協(xié)議（FTP）超文本傳輸協(xié)議（HTTP）遠(yuǎn)程連接服務(wù)標(biāo)準(zhǔn)協(xié)議（TELNET）簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）域名系統(tǒng)（DNS）應(yīng)用層安全威脅（續(xù)一）常見的應(yīng)用層安全威脅主要有以下三方面：來自于病毒的威脅：各種類型的病毒會(huì)提升黑客權(quán)限、獲取保密信息、更改刪除文件、擾亂正常的網(wǎng)絡(luò)流量。2007年春天，熊貓燒香短短3個(gè)月，造成了超過一千萬的個(gè)人及企業(yè)用戶中毒，直接及間接經(jīng)濟(jì)損失超過數(shù)億元以應(yīng)用層安全威脅（續(xù)二）間諜、黑客軟件：根據(jù)微軟的定義，“間諜軟件是一種泛指執(zhí)行特定行為，如播放廣告、搜集個(gè)人信息、或更改你計(jì)算機(jī)配置的軟件，這些行為通常未經(jīng)你同意”。間諜軟件主要通過ActiveX控件下載安裝、IE瀏覽器漏洞和免費(fèi)軟件綁定安裝進(jìn)入用戶的計(jì)算機(jī)中，會(huì)自動(dòng)收集機(jī)密和隱私信息傳送給黑客、占用正常流量的帶寬、較差的間諜軟件還會(huì)引發(fā)被入侵主機(jī)的一系列漏洞。2007年6月黑客成功攻入美國(guó)五角大樓，造成1500臺(tái)電腦癱瘓，美國(guó)軍方對(duì)此“充滿畏懼和擔(dān)憂”應(yīng)用層安全威脅（續(xù)三）帶寬濫用：主要表現(xiàn)為P2P和即時(shí)通訊軟件消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無法正常運(yùn)作，重則致使企業(yè)IT系統(tǒng)癱瘓。它們將大量的帶寬浪費(fèi)在與工作無關(guān)流量上，造成了投資的浪費(fèi)和效率的降低。另一方面，P2P使得文件共享和發(fā)送更加容易，帶來了潛在的信息安全風(fēng)險(xiǎn)。德國(guó)互聯(lián)網(wǎng)調(diào)研機(jī)構(gòu)ipoque稱，P2P已經(jīng)徹底統(tǒng)治了當(dāng)今的互聯(lián)網(wǎng)，其中50-90％的總流量都來自P2P程序。

網(wǎng)絡(luò)安全解決方案概述對(duì)于網(wǎng)絡(luò)存在的不同層面上的威脅，我們可以通過配置一些安全功能來防范或杜