網絡安全技術2課程考核考核方式：考試課（64實踐）

出勤+實訓作業+期末考試3第1章網絡安全概述1第2章網絡操作系統安全第3章網絡數據庫安全第4章網絡硬件設備安全第5章網絡軟件安全第6章數據加密與認證技術第7章網絡病毒及其防治第8章網絡的攻擊與防護第9章無線網絡安全與應用第10章Internet安全與應用教材4內事不決問百度,外事不決問谷歌教材5為什么開設本課程？

專業需要！

我們的工作和生活越來越依賴網絡和信息！網絡中的危險和陷阱太多，但大多數人卻不具備基本的安全防護能力！2014年，隨著中央網絡安全和信息化領導小組成立、首屆國家網絡安全宣傳周、首屆世界互聯網大會在浙江烏鎮召開，信息安全上升到國家戰略高度。隨著政府把網絡安全提到國家安全這一高度，也使得網絡安全走進了大眾的視野。網絡空間已被視為繼陸、海、空、天之后的“第五空間”，網絡空間已經變為主權空間。因此我們要“建設網絡強國”，要有自己的技術，有過硬的技術。第1章6我國網民及網絡安全狀況據中國互聯網網絡信息中心發布的報告，截止2014年12月，中國網民規模突破6.49億，中國手機網民規模達5.57億；國內域名總數2060萬個，網站近335萬家，全球十大互聯網企業中我國有3家。2014年網絡購物用戶達到3.61億，全國信息消費整體規模迅猛增加,電子商務交易規模突破10多萬億元人民幣。中國已是名副其實的“網絡大國”。中國面臨的網絡安全方面的任務和挑戰日益復雜和多元。中國目前是網絡攻擊的主要受害國。境外木馬或僵尸程序控制境內服務器。侵犯個人隱私、損害公民合法權益等違法行為時有發生。6網絡安全問題的現狀2014年，網絡安全問題受到空前的關注，諸多的網絡安全事件讓用戶知道網絡信息所面臨的威脅。棱鏡門事件2014年1月中國互聯網出現大面積DNS解析故障微軟WindowsXP停維事件OpenSSL心臟滴血、BadUSB漏洞、Shellshock漏洞eBay數據的大泄漏2014年12月12306用戶數據泄露（身份證及密碼信息）2014年9月500萬谷歌賬戶和密碼的數據庫被泄露第1章網絡安全問題的現狀2014年3月22日，具烏云網平臺在其官網上公布了報告，指出攜程網安全支付日志可被遍歷下載，導致大量用戶銀行卡信息泄露（包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin），且該漏洞消息已經過攜程確認。2015年5月28日，攜程官方網站及APP出現了無法正常使用的情況，這一事故持續了12個小時才被修復，引發了外界對攜程的種種猜測。最終攜程方面對外給出的解釋是，由于員工錯誤操作，刪除了生產服務器上的執行代碼。2015年5月27日，支付寶出現大規模癱瘓，國內很多支付寶用戶在PC端和移動終端均無法轉賬付款，事故持續了差不多兩小時。支付寶方面對外表示，造成此次事故的原因，是由于市政施工使得杭州市蕭山區某地光纜被挖斷，進而導致支付寶一個主要機房受影響。第1章9正確的學習態度防人之心不可無！害人之心不可有！第1章10我們身邊發生過哪些信息安全事件？第1章1111國家層面棱鏡門”

“棱鏡”竊聽計劃，始于2007年的小布什時期，美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作，從音視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監控的類型有10類：信息電郵，即時消息，視頻，照片，存儲數據，語音聊天，文件傳輸，視頻會議，登錄時間，社交網絡資料的細節，其中包括兩個秘密監視項目，一是監視、監聽民眾電話的通話記錄，二是監視民眾的網絡活動。第1章12國家層面美國網軍：監控全球互聯網隨時讓他國網絡癱瘓美國上將基斯·亞歷山大“震網”的蠕蟲病毒，2006年，他們通過這一病毒發送特定指令改變伊朗核工廠鈾濃縮離心機轉速，使得數千臺鈾濃縮離心機癱瘓。。第1章13各國間諜第1章14

黑客攻擊是各國面臨的共同挑戰越南外交部網站被黑奏響中國國歌第1章15行業層面

第1章16行業層面

第1章17行業層面第1章18第1章05二月202319黑客進清華官網假冒校長稱“中國大學教育就是往腦子灌屎”20武漢大學招生錄取結果查詢網頁遭到電腦黑客攻擊2007年7月31日，武漢大學招生錄取結果查詢網頁遭到電腦黑客攻擊，不法分子利用電腦黑客技術，篡改招生錄取查詢網頁，刪除正式錄取名單中的11人，惡意添加8人，欺騙考生和家長。據調查，其中1個考生被騙取的金額就達十幾萬元。第1章05二月202321人民郵電出版社??第1章網絡安全概述第1章05二月202323第1章網絡安全概述1.1網絡安全概論

1.2網絡安全的威脅與風險管理

1.3網絡安全體系

1.4網絡安全策略與技術1.6網絡系統安全的日常管理1.5網絡安全級別第1章05二月2023241.1網絡安全概論1.1.1網絡安全的概念網絡安全本質上就是網絡上的信息系統安全。網絡安全包括系統安全運行和系統信息安全保護兩方面。信息系統的安全運行是信息系統提供有效服務(即可用性)的前提，信息的安全保護主要是確保數據信息的機密性和完整性。第1章05二月2023251.1網絡安全概論1.1.1網絡安全的含義網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因無意或故意威脅而遭到破壞、更改、泄露，保證網絡系統連續、可靠、正常地運行。

第1章05二月2023261.1網絡安全概論從不同角度談網絡安全：用戶：網絡系統可靠運行；網絡中存儲和傳輸的信息完整、可用和保密。避免竊聽、冒充、篡改、抵賴。網絡運行和管理者：網絡資源安全，有訪問控制措施，無“黑客”和病毒攻擊。安全保密部門：防有害信息出現，防敏感信息泄露。避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。社會教育和意識形態：控制有害信息的傳播第1章05二月2023271.1網絡安全概論信息的價值通過什么來體現？保密性可用性真實有效性(完整性)不可否認性…遼警升本成功四六級考試試卷黑板上寫著的一句話“本周老師出差，不上課！”移動硬盤中存放的一份絕密技術文件清華大學網站上的新聞與網友的一段QQ聊天記錄第1章05二月2023281.1網絡安全概論信息的價值在哪些情況下會喪失？保密性（泄密…）可用性（被盜、損壞…）完整性（被惡意修改…）不可否認性（賴賬…）可控性（黑客入侵、監控…）第1章05二月2023291.1網絡安全概論第1章05二月2023301.1網絡安全概論1.1.2網絡安全的需求與目標

網絡安全的目標主要表現在：可用性可靠性機密性完整性不可抵賴性可控性第1章311.2網絡安全的威脅與風險管理1.2.1網絡系統漏洞1．漏洞的概念漏洞是在硬件、軟件、協議的具體實現或系統安全策略以及人為因素上存在的缺陷，從而可以使攻擊者能夠在未經系統合法用戶授權的情況下訪問或破壞系統。案例—羅伯特·莫里斯

第1章321.2網絡安全的威脅與風險管理1.2.1網絡系統漏洞2．漏洞類型操作系統漏洞網絡協議漏洞數據庫漏洞網絡服務漏洞(FTP、DNS、Web)第1章333．典型的網絡結構及安全漏洞第1章341.2網絡安全的威脅與風險管理1.2.2網絡系統威脅網絡的安全威脅來自于網絡中存在的不安全因素。網絡安全的主要威脅有以下幾種：物理威脅操作系統缺陷網絡協議缺陷體系結構缺陷黑客程序計算機病毒第1章351.2網絡安全的威脅與風險管理1.2.3網絡安全的風險評估風險評估(RiskAssessment)是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。作為風險管理的基礎，風險評估是確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。風險評估中保證信息安全的前提條件，是制定安全策略的依據。1.2.3網絡安全的風險評估網絡安全評估包括：安全策略評估系統配置的安全性評估網絡應用系統的安全性評估病毒防護系統的安全性評估網絡防護能力評估網絡物理安全評估數據備份的安全性評估網絡服務的安全性評估網絡隔離的安全性評估第1章371.2網絡安全的威脅與風險管理1.2.3網絡安全的風險評估一般來說，一個有效的網絡風險評估測試方法可以解決以下問題：防火墻配置不當的外部網絡拓撲結構。路由器過濾規則和設置不當。弱認證機制。配置不當或易受攻擊的電子郵件和DNS服務器。潛在的網絡層Web服務器漏洞。配置不當的數據庫服務器。易受攻擊的FTP服務器。第1章381.3網絡安全體系1.3.1OSI安全體系1．OSI參考模型OSI參考模型是國際標準化組織(ISO)為解決異種機互連而制定的開放式計算機網絡層次結構模型，它的最大優點是將服務、接口和協議這三個概念明確地區分開來。OSI安全體系結構主要包括網絡安全機制和網絡安全服務兩方面的內容。網絡安全機制和安全服務與OSI網絡層次之間形成了一定的邏輯關系。397654321應用層表示層會話層傳輸層網絡層鏈路層物理層OSI參考模型安全機制安全服務數據完整性數據保密性抗抵賴訪問控制鑒別服務加密數字簽名訪問控制數據完整性數據交換業務流填充路由控制公證第1章401.3網絡安全體系2．網絡安全機制加密機制數字簽名機制訪問控制機制數據完整性機制交換鑒別機制信息量填充機制路由控制機制公證機制第1章05二月2023411.3網絡安全體系3．網絡安全服務鑒別服務訪問控制服務數據完整性服務數據保密性服務非否認服務第1章05二月2023421.3網絡安全體系1.3.2網絡安全模型1．P2DR網絡安全模型P2DR是美國國際互聯網安全系統公司(ISS)提出的動態網絡安全體系的代表模型，也是動態安全模型的雛形。它包含4個主要部分：Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)。其中，防護、檢測和響應組成了一個完整、動態的安全循環，在安全策略的指導下保證網絡的安全。第1章431.3網絡安全體系1．P2DR網絡安全模型P2DR安全模型第1章441.3網絡安全體系1．P2DR網絡安全模型P2DR模型的基本思想是：在整體安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態，通過適當的反應將系統調整到“最安全”和“風險最低”的狀態。第1章451.3網絡安全體系(1)Policy(策略)策略體系的建立包括安全策略的制定、安全策略的評估和安全策略的執行等過程。網絡安全策略一般包括兩部分：總體的安全策略和具體的安全規則。總體的安全策略用于闡述本部門網絡安全的總體思想和指導方針；具體的安全規則是根據總體安全策略提出的具體網絡安全實施規則，它用于說明網絡上什么活動是被允許的，什么活動是被禁止的。第1章461.3網絡安全體系(2)Protection(防護)防護是根據系統可能出現的安全問題采取一些預防措施，通過一些傳統的靜態安全技術及方法來實現的。通常采用的主動防護技術有：數據加密、身份驗證、訪問控制、授權和虛擬專用網技術等；被動防護技術有：防火墻技術、安全掃描、入侵檢測、路由過濾、數據備份和歸檔、物理安全、安全管理等。第1章471.3網絡安全體系(3)Detection(檢測)攻擊者如果穿過防護系統，檢測系統就要將其檢測出來。如檢測入侵者的身份、攻擊源點和系統損失等。防護系統可以阻止大部分的入侵事件，但不能阻止所有的入侵事件，特別是那些利用新的系統缺陷、新的攻擊手段的入侵。如果入侵事件發生，就要啟動檢測系統進行檢測。第1章481.3網絡安全體系(3)Detection(檢測)檢測與防護有根本的區別。防護主要是修補系統和網絡缺陷，增加系統安全性能，從而消除攻擊和入侵的條件，避免攻擊的發生；而檢測是根據入侵事件的特征進行的。因黑客往往是利用網絡和系統缺陷進行攻擊的，所以入侵事件的特征一般與系統缺陷的特征有關。在P2DR模型中，防護和檢測有互補關系。如果防護系統過硬，絕大部分入侵事件被阻止，那么檢測系統的任務就減少了。第1章491.3網絡安全體系(4)Response(響應)系統一旦檢測出有入侵行為，響應系統則開始響應，進行事件處理。P2DR中的響應就是在已知入侵事件發生后進行的緊急響應(事件處理)。響應工作可由一個特殊部門負責，那就是計算機安全應急響應小組。從CERT建立之后，世界各國以及各機構也紛紛建立自己的計算機應急響應小組。我國第一個計算機安全應急響應小組(CCERT)建立于1999年，主要服務于CERNET。不同機構的網絡系統也有相應的計算機安全應急響應小組。響應可分為緊急響應、恢復處理兩種。第1章501.3網絡安全體系2．PDRR網絡安全模型PDRR是美國國防部提出的安全模型，它包含了網絡安全的4個環節：Protection(防護)、Detection(檢測)、Response(響應)和Recovery(恢復)，如圖1.4所示。PDRR模式是一種公認的比較完善也比較有效的網絡信息安全解決方案，可以用于政府、機關、企業等機構的網絡系統。第1章511.3網絡安全體系2．PDRR網絡安全模型PDRR安全模型第1章521.3網絡安全體系2．PDRR網絡安全模型PDRR模型與前述的P2DR模型有很多相似之處。其中Protection(防護)和Detection(檢測)兩個環節的基本思想是相同的，P2DR模型中的Response(響應)環節包含了緊急響應和恢復處理兩部分，而在PDRR模型中Response(響應)和Recovery(恢復)是分開的，內容也有所擴展。第1章531.3網絡安全體系2．PDRR網絡安全模型響應是在已知入侵事件發生后，對其進行處理。在大型網絡中，響應除了對已知的攻擊采取應對措施外，還提供咨詢、培訓和技術支持。人們最熟悉的響應措施就是采用殺毒軟件對因計算機病毒造成系統損害的處理。第1章541.3網絡安全體系2．PDRR網絡安全模型恢復是PDRR網絡信息安全解決方案中的最后環節。它是在攻擊或入侵事件發生后，把系統恢復到原來的狀態或比原來更安全的狀態，把丟失的數據找回來。恢復是對入侵最有效的挽救措施。第1章551.3網絡安全體系1.3.2網絡安全模型P2DR和PDRR安全模型都存在一定的缺陷。它們都更側重于技術，而對諸如管理方面的因素并沒有強調。模型中一個明顯的不足就是忽略了內在的變化因素。實際上，安全問題牽涉面廣，除了涉及防護、檢測、響應和恢復外，系統本身安全的“免疫力”的增強、系統和整個網絡的優化，以及人員素質的提升等，都是網絡安全中應該考慮到的問題。網絡安全體系應該是融合了技術和管理在內的一個可以全面解決安全問題的體系結構，它應該具有動態性、過程性、全面性、層次性和平衡性等特點。56571.4.1網絡安全策略1．物理安全策略制定物理安全策略的目的是保護計算機系統、交換機、路由器、服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽等攻擊；驗證用戶身份和使用權限，防止用戶越權操作；確保網絡設備有一個良好的電磁兼容環境；建立完備的機房安全管理制度，防止非法人員進入網絡中心進行偷竊和破壞活動等。1.4網絡安全策略與技術2．訪問控制策略訪問控制的主要任務是保證網絡資源不被非法使用和訪問。通過減少用戶對資源的訪問來降低資源被攻擊的概率，以達到保護網絡系統安全的目的。訪問控制策略是保證網絡安全最重要的核心策略之一，是維護網絡系統安全、保護網絡資源的重要手段。1.4網絡安全策略與技術3．信息加密策略信息加密的目的是要保護網絡系統中存儲的數據和在通信線路上傳輸的數據安全。網絡加密可以在數據鏈路層、網絡層和應用層實現，用戶可根據不同的需要，選擇適當的加密方式。加密是實現網絡安全的最有效的技術之一。1.4網絡安全策略與技術4．安全管理策略在網絡安全中，加強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠運行，將起到十分有效的作用。使用計算機網絡的各企事業單位，應建立相應的網絡安全管理辦法，加強內部管理，提高整體網絡安全意識。網絡安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。1.4網絡安全策略與技術1.4.2網絡安全使用技術1．安全漏洞掃描技術安全漏洞掃描技術用于對網絡系統進行安全檢查，尋找和發現其中可被攻擊者利用的安全漏洞和隱患。安全漏洞掃描技術通常采用被動式和主動式兩種策略。1.4網絡安全策略與技術2．網絡嗅探技術網絡嗅探技術是利用計算機的網絡端口截獲網絡中數據報文的一種技術。它工作在網絡的底層，可以對網絡傳輸數據進行記錄，從而幫助網絡管理員分析網絡流量，找出網絡潛在的問題。例如，網絡的某一段運行得不是很好，報文發送比較慢，而用戶又不知道問題出在什么地方，此時就可以用嗅探器來作出精確的問題判斷。1.4網絡安全策略與技術3．數據加密技術數據加密技術就是對信息進行重新編碼，從而達到隱藏信息內容，使非法用戶無法獲取信息真實內容的一種技術手段。現代加密算法不僅可以實現信息加密，還可以實現數字簽名和身份認證等功能，因此，數據加密技術是網絡信息安全的核心技術。1.4網絡安全策略與技術4．數字簽名技術數字簽名是在電子文件上簽名的技術，以解決偽造、抵賴、冒充和篡改等安全問題。數字簽名一般采用非對稱加密技術，簽名者用自己的私鑰對明文進行加密，將其作為簽名；接收方使用簽名者的公鑰對簽名進行解密，若結果與明文一致，則證明對方身份是真實的。1.4網絡安全策略與技術5．鑒別技術鑒別技術用在安全通信中，目的是對通信雙方的身份以及傳輸數據的完整性進行驗證。按照鑒別內容的不同，鑒別技術可以分為用戶身份鑒別和消息內容鑒別。利用數字簽名，可同時實現收發雙方的身份鑒別和消息完整性鑒別。1.4網絡安全策略與技術6．訪問控制技術訪問控制通常采用設置口令和入網限制，采取CA認證和數字簽名等技術對用戶身份進行驗證和確認，設置不同軟件及數據資源的屬性和訪問權限，進行網絡監控、網絡審計和跟蹤，使用防火墻系統、入侵檢測和防護系統等方法實現。1.4網絡安全策略與技術7．安全審計技術安全審計技術能記錄用戶使用計算機網絡系統進行所有活動的過程，是提高網絡安全性的重要工具。它通過記錄和分析歷史操作，能夠發現系統漏洞或對可能產生破壞性的行為進行審計跟蹤。1.4網絡安全策略與技術8．防火墻技術防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，它包括硬件和軟件。防火墻對經過的每一個數據包進行檢測，判斷數據包是否與事先設置的過濾規則匹配，并按控制機制做出相應的動作，從而保護網絡的安全。防火墻是企業網與Internet連接的第一道屏障。1.4網絡安全策略與技術9．入侵檢測技術網絡入侵檢測技術是一種動態的攻擊檢測技術，能夠在網絡系統運行過程中發現入侵者的攻擊行為和蹤跡。一旦發現網絡被攻擊，立刻根據用戶所定義的動作做出反應，如報警、記錄、切斷或攔截等。入侵檢測系統被認為是防火墻之后的第二道安全防線，與防火墻相輔相成，構成比較完整的網絡安全基礎結構。1.4網絡安全策略與技術10．病毒防范技術病毒防范是指通過建立合理的計算機病毒防范體系和制度，及時發現計算機病毒的入侵，并采取有效的手段阻止病毒的傳播和破壞，恢復受影響的計算機系統和數據。一個安全的網絡系統，必須具備強大的病毒防范和查殺能力。1.4網絡安全策略與技術1.5網絡安全級別

1．可信計算機系統評價準則計算機網絡系統的安全評價，通常采用美國國防部計算機安全中心制定的可信計算機系統評價準則(TCSEC)。TCSEC定義了系統的安全策略、系統的可審計機制、系統安全的可操作性、系統安全的生命期保證以及建立和維護的系統安全等五要素的相關文件。TCSEC中根據計算機系統所采用的安全策略、系統所具備的安全功能將系統分為A、B(B1、B2、B3)、C(C1、C2)和D等四類七個安全級別。1．可信計算機系統評價準則(1)D類(最低安全保護級)：該類未加任何實際的安全措施，系統軟硬件都容易被攻擊。這是安全級別最低的一類，不再分級。該類說明整個系統都是不可信任的。對于硬件來說，沒有任何保護可用；對于操作系統來說較容易受到損害；對于用戶和他們對存儲在計算機上信息的訪問權限沒有身份驗證。1.5網絡安全級別

(2)C類(被動的自主訪問策略)，該類又分為兩個子類(級)C1級(無條件的安全保護)：這是C類中安全性較低的一級，它提供的安全策略是無條件的訪問控制，對硬件采取簡單的安全措施(如加鎖)，用戶要有登錄認證和訪問權限限制，但不能控制已登錄用戶的訪問級別，因此該級也叫選擇性安全保護級。早期的SCOUNIX、NetWareV3.0以下系統均屬于該級。C2級(有控制的訪問保護級)：這是C類中安全性較高的一級，除了提供C1級中的安全策略與控制外，還增加了系統審計、訪問保護和跟蹤記錄等特性。Unix/Xenix系統、NetWareV3.x系統和WindowsNT/2000系統等均屬于該級1.5網絡安全級別

(3)B類(被動的強制訪問策略類)：該類要求系統在其生成的數據結構中帶有標記，并要求提供對數據流的監視。該類又分為三個子類(級)。B1級(標記安全保護級)：它是B類中安全性最低的一級。除滿足C類要求外，要求提供數據標記。B1級的系統安全措施支持多級(網絡、應用程序和工作站等)安全。B2級(結構安全保護級)：該級是B類中安全性居中一級，它除滿足B1要求外，還要求計算機系統中所有對象都加標記，并給各設備分配安全級別。B3級(安全域保護級)：該級是B類中安全性最高的一級。它使用安裝硬件的辦法來加強安全域。1.5網絡安全級別

(4)A類(驗證安全保護級)：A類是安全級別最高的一級，它包含了較低級別的所有特性。該級包括一個嚴格的設計、控制和驗證過程，設計必須是從數學角度經過驗證，且必須對秘密通道和可信任的分布進行分析。1.5網絡安全級別

2.計算機信息安全保護等級劃分準則當前，我國計算機信息系統的建設和使用正在逐步由封閉向開放，由靜態向動態，由單一系統向系統互聯等方面轉變，從而對信息系統的安全保護工作提出了強烈要求。為此，國家公安部組織制定了強制性國家標準《計算機信息安全保護等級劃分準則》，該準則于1999年9月13日經國家質量技術監督局發布，并于2001年1月1日起實施。

1.5網絡安全級別

2．計算機信息安全保護等級劃分準則該準則劃分的五個安全級別及含義如下：第一級叫用戶自主保護級。該級使用戶具備自主安全保護能力，保護用戶和用戶組信息，避免被其他用戶非法讀寫和破壞。第二級叫系統審計保護級。它具備第一級的保護能力，并創建和維護訪問審計跟蹤記錄，以記錄與系統安全相關事件發生的日期、時間、用戶及事件類型等信息，使所有用戶對自己的行為負責。1.5網絡安全級別

2．計算機信息安全保護等級劃分準則第三級叫安全標記保護級。它具備第二級的保護能力，并為訪問者和訪問對象指定安全標記，以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制保護。第四級叫結構化保護級。它具備第三級的所有保護功能，并將安全保