1、信息技术系第第1 1章章 1 1/26/26 网络安全讲义网络安全讲义第第1 1章章信息技术系第第1 1章章 2 2/26/26 考核方式:考核方式:70%30%平时成绩含:作业(书面、实验);到课情况;课堂纪平时成绩含:作业(书面、实验);到课情况;课堂纪律等。律等。信息技术系第第1 1章章 3 3/26/26 第第1章章 网络安全概论网络安全概论第第2章章 IP数据报结构数据报结构第第3章章 密码技术密码技术第第4章章 windows2000系统安全系统安全第第5章章 病毒分析与防御病毒分析与防御第第6章章 应用服务安全应用服务安全第第7章章 防火墙技术防火墙技术第第8章章 入侵检测系统入
2、侵检测系统第第9章章 网络攻击与防范网络攻击与防范第第10章章 VPN技术技术网网络络安安全全基基础础教教程程与与实实训训信息技术系第第1 1章章 4 4/26/26 第第1章章 网络安全概论网络安全概论1.1 网络安全概念网络安全概念1.2 网络安全所产生的威胁网络安全所产生的威胁1.3 协议安全分析协议安全分析1.4 网络安全标准网络安全标准1.5 网络安全组件网络安全组件1.6 安全策略的制定与实施安全策略的制定与实施本章教学要求:学习网络安全概念、网络安全威胁、网络安全标准、网络安全组件、安全策略的制定与实施。信息技术系第第1 1章章 5 5/26/26 1.1 网络安全概念网络安全概
3、念网络安全已成为影响网络效能的重要因素。网络安全已成为影响网络效能的重要因素。Internet所具有的开放性、国际性和自由性在增加所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。应用自由度的同时,对安全提出了更高的要求。1)开放性的网络)开放性的网络 网络技术的开放网络技术的开放 面临多方破面临多方破坏和攻击。如线路、协议、软硬件等。坏和攻击。如线路、协议、软硬件等。2)自由的网络)自由的网络 对用户使用无任何技术约束对用户使用无任何技术约束 自由访自由访问网络、自由的使用发布各种类型的信息问网络、自由的使用发布各种类型的信息信息技术系第第1 1章章 6 6/26
4、/26 1.1.1 网络安全的概念网络安全的概念机密性机密性完整性完整性可用性可用性只有得到授权的实体才能只有得到授权的实体才能修改数据,且能判断数据修改数据,且能判断数据是否已被篡改是否已被篡改有授权的实体在需要时有授权的实体在需要时可访问数据可访问数据可控性可控性可以控制授权范围内的信可以控制授权范围内的信息流向及行为方式息流向及行为方式可审查性可审查性可以对出现的网络安全问题可以对出现的网络安全问题提供调查的依据和手段提供调查的依据和手段(一)网络安全(一)网络安全5要素:要素:、确保信息不暴露给未授权确保信息不暴露给未授权的实体或进程的实体或进程信息技术系第第1 1章章 7 7/26/
5、26(二)网络安全定义(二)网络安全定义1、狭义:指计算机及其网络系统资源和信息资源不受自、狭义:指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害;然和人为有害因素的威胁和危害;2、广义:所有涉及到计算机网络上信息的机密性、完整、广义:所有涉及到计算机网络上信息的机密性、完整性、可用性、可控性、可审查性的相关技术和理论。性、可用性、可控性、可审查性的相关技术和理论。1.1.2 网络安全现状网络安全现状缺乏网络安全意识;信息安全管理规范和标准不统一;企缺乏网络安全意识;信息安全管理规范和标准不统一;企业、政府着重点不同;投入不足、重技术、轻管理等。业、政府着重点不同;投入不足
6、、重技术、轻管理等。信息技术系第第1 1章章 8 8/26/26 1.2 网络安全所产生的威胁网络安全所产生的威胁1.2.1 网络中存在的威胁网络中存在的威胁1 非授权访问:假冒、身份攻击、非法用户进入网络系统进非授权访问:假冒、身份攻击、非法用户进入网络系统进行非法操作、合法用户以未授权方式进行操作等;行非法操作、合法用户以未授权方式进行操作等;2 泄漏或丢失信息:敏感数据被有意泄漏或无意丢失;泄漏或丢失信息:敏感数据被有意泄漏或无意丢失;3 破坏数据完整性:非法删除、修改、重发重要信息等;破坏数据完整性:非法删除、修改、重发重要信息等;4 拒绝服务攻击:干扰网络服务系统,影响正常用户使用;
7、拒绝服务攻击:干扰网络服务系统,影响正常用户使用;5 利用网络传播病毒利用网络传播病毒信息技术系第第1 1章章 9 9/26/26 1.2.2 主机网络安全主机网络安全 通常情况下,人们考虑计算机的安全是从两个方面着手,通常情况下,人们考虑计算机的安全是从两个方面着手,一个是主机安全,一个是网络安全。一个是主机安全,一个是网络安全。主机安全主要是考虑保护合法用户对于授权资源的使用,主机安全主要是考虑保护合法用户对于授权资源的使用,防止非法入侵者对于系统资源的侵占与破坏。其最常用的办防止非法入侵者对于系统资源的侵占与破坏。其最常用的办法是利用操作系统的功能,如用户认证、文件访问权限控制、法是利用
8、操作系统的功能,如用户认证、文件访问权限控制、记帐审计等。记帐审计等。网络安全主要考虑的是网络上主机之间的访问控制,防网络安全主要考虑的是网络上主机之间的访问控制,防止来自外部网络的入侵,保护数据在网上传输时不被泄密和止来自外部网络的入侵,保护数据在网上传输时不被泄密和修改。其最常用的方法是防火墙、加密等。修改。其最常用的方法是防火墙、加密等。信息技术系第第1 1章章 1010/26/26 有些安全需求两者都不能完成,如用户如果希望制有些安全需求两者都不能完成,如用户如果希望制定下面的网络访问策略:定下面的网络访问策略:“在正常上班场所(规定时在正常上班场所(规定时间和间和IP地址)可以远程登
9、录;在家中(指定地址)可以远程登录;在家中(指定IP地址)地址)可以远程登录,但只能使用邮件程序;其它地点不能可以远程登录,但只能使用邮件程序;其它地点不能远程登录远程登录”。主机网络安全技术主机网络安全技术信息技术系第第1 1章章 1111/26/26 主机网络安全技术:一种主机网络安全技术:一种结合主机安全和网络安全结合主机安全和网络安全的边缘安的边缘安全技术。全技术。3)用户可以根据网络访问的访问者及发生访问的时间、地)用户可以根据网络访问的访问者及发生访问的时间、地点和行为来决定是否允许访问继续进行,以使点和行为来决定是否允许访问继续进行,以使同一用户在不同一用户在不同场所拥有不同的权
10、限同场所拥有不同的权限,从而保证合法用户的权限不被非法,从而保证合法用户的权限不被非法侵害。侵害。IP地址、端口号、地址、端口号、协议、协议、MAC地址地址等;等;用户、资源权用户、资源权限、访问时间限、访问时间等;等;1)主机网络安全技术通常通过运行在被保护主机上的软件)主机网络安全技术通常通过运行在被保护主机上的软件来实现。来实现。2)一种主动防御的安全技术,结合网络访问的)一种主动防御的安全技术,结合网络访问的网络特性网络特性和和操作系统特性操作系统特性来设置安全策略;来设置安全策略;信息技术系第第1 1章章 1212/26/26 1.2.3 主机网络安全系统体系结构主机网络安全系统体系
11、结构主机网络安全系统要建立在被保护的主机上,且作用于主机网络安全系统要建立在被保护的主机上,且作用于网络体系统结构中的应用层、传输层、网络层。在不同网络体系统结构中的应用层、传输层、网络层。在不同的层次中,实现不同的安全策略。的层次中,实现不同的安全策略。1 应用层:是网络访问的网络特性和操作系统特性的最佳应用层:是网络访问的网络特性和操作系统特性的最佳结合点。分析主机提供服务的应用协议,如结合点。分析主机提供服务的应用协议,如DNS、FTP等,等,应用用户设置的策略;身份验证应用用户设置的策略;身份验证2 传输层:是实现加密传输的首选层;传输层:是实现加密传输的首选层;3 网络层:是实现访问
12、控制的首选层;网络层:是实现访问控制的首选层;信息技术系第第1 1章章 1313/26/26 用户用户非用户非用户级访问级访问安安全全检检查查(加加解解密密)规则集规则集用户认用户认证模块证模块合法合法用户用户部部 源源 问问 制制内内 资资 访访 控控用户级服用户级服务资源务资源非用户级非用户级服务资源服务资源系统资源系统资源控制文件控制文件用户资源用户资源控制文件控制文件外部网外部网络访问络访问主机网络安全层主机网络安全层系统资源系统资源主机网络安全系统结构模型主机网络安全系统结构模型外部资源外部资源访问控制访问控制外部外部资源资源信息技术系第第1 1章章 1414/26/26 可完成的功
13、能:可完成的功能:1)安全检查:实现对进出数据包的过滤、加密)安全检查:实现对进出数据包的过滤、加密/解密;解密;2)内部资源访问控制:对网络用户的权限进行控制,以)内部资源访问控制:对网络用户的权限进行控制,以保护本系统资源。可利用系统资源控制文件、用户资源控保护本系统资源。可利用系统资源控制文件、用户资源控制文件等来实现;制文件等来实现;3)外部资源访问控制:控制用户对系统之外网络资源的)外部资源访问控制:控制用户对系统之外网络资源的访问。访问。信息技术系第第1 1章章 1515/26/26 1.3 协议安全分析协议安全分析1.3.1 物理层安全物理层安全网络设备和线路的不可用网络设备和线
14、路的不可用1.3.2 网络层安全网络层安全网络层的协议主要有网络层的协议主要有IP、ICMP、ARP等;安全威胁主要有等;安全威胁主要有IP欺骗和欺骗和ICMP攻击。攻击。IP欺骗:把源欺骗:把源IP地址改成一个错误的地址改成一个错误的IP地址;利用源路由地址;利用源路由IP数据包,让它仅仅被用于一个特殊的路径中传输;数据包,让它仅仅被用于一个特殊的路径中传输;如如Smurf Smurf 攻击。一个攻击。一个SmurfSmurf攻击向大量的远程主机发送一系列攻击向大量的远程主机发送一系列的的pingping请求命令。黑客把源请求命令。黑客把源IPIP地址替换成想要攻击的目标主地址替换成想要攻击
15、的目标主机的机的IPIP地址。所有的远程计算机都响应这些地址。所有的远程计算机都响应这些pingping请求,然后请求,然后对目标地址进行回复而不是回复给攻击者的对目标地址进行回复而不是回复给攻击者的IPIP地址。目标地址。目标IPIP地址将被大量的地址将被大量的ICMPICMP包淹没而不能有效的工作。包淹没而不能有效的工作。信息技术系第第1 1章章 1616/26/26 ICMP攻击:攻击:ICMP用于在用于在IP主机、路由器之间传递控制主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。否可用等
16、网络本身的消息。ICMP攻击来消耗带宽,使系攻击来消耗带宽,使系统瘫痪。统瘫痪。比如,可以利用操作系统规定的比如,可以利用操作系统规定的ICMPICMP数据包最大尺寸不超数据包最大尺寸不超过过64KB64KB这一规定,向主机发起这一规定,向主机发起“Ping of Death”“Ping of Death”(死亡(死亡之之PingPing)攻击。)攻击。“Ping of Death”“Ping of Death”攻击的原理是:如果攻击的原理是:如果ICMPICMP数据包的尺寸超过数据包的尺寸超过64KB64KB上限时,主机就会出现内存分上限时,主机就会出现内存分配错误,导致配错误,导致TCP/
17、IPTCP/IP堆栈崩溃,致使主机死机堆栈崩溃,致使主机死机信息技术系第第1 1章章 1717/26/26 1.3.3 传输层安全传输层安全传输层的协议主要是传输层的协议主要是TCP和和UDP,TCP提供数据可靠传提供数据可靠传输,而输,而UDP不提供可靠性、差错恢复等功能。不提供可靠性、差错恢复等功能。SSL(安全套接层协议)是基于(安全套接层协议)是基于TCP的,使用密钥体制的,使用密钥体制和和X.509数字证书技术保护信息传输的机密性和完整性,数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传
18、输。在应用层收发数据前,协商加密算法、连的信息传输。在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传接密钥并认证通信双方,从而为应用层提供了安全的传输通道;输通道;应用程序只要采用用程序只要采用SSL提供的一套提供的一套SSL套接字套接字API来替来替换标准的准的Socket套接字,就可以把程序套接字,就可以把程序转换为SSL化的化的安全网安全网络程序,在程序,在传输过程中将由程中将由SSL协议实现数据机数据机密性和完整性的保密性和完整性的保证信息技术系第第1 1章章 1818/26/26 TLS(传输层安全协议)由(传输层安全协议)由SSL3.0发展来,技
19、术上基本发展来,技术上基本相同。相同。1.3.4 应用层安全应用层安全包括网络安全、操作系统安全和数据库安全。包括网络安全、操作系统安全和数据库安全。信息技术系第第1 1章章 1919/26/26 1.4 网络安全标准网络安全标准 1.4.1 国外网络安全标准与政策现状国外网络安全标准与政策现状1.4.2 ISO74982安全标准安全标准1.4.3 BS7799(ISO17799:2000)标准)标准1.4.4 国内安全标准、政策制定和实施情况国内安全标准、政策制定和实施情况由公安部主持制定、国家技术标准局发布的中华人民共和国国由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准家标准
20、GB17895-1999计算机信息系统安全保护等级划计算机信息系统安全保护等级划分准则已经正式颁布。该准则将信息系统安全分为分准则已经正式颁布。该准则将信息系统安全分为5个等级,个等级,分别是:自主保护级、系统审计保护级、安全标记保护级、结分别是:自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、强制证、自主访问控制、数据完整性、审计、隐蔽信道分析、强制访问控制、安全标记、可信路径和可信恢复等,这些指标涵盖访问控制、安全标记、可信路径和可信恢
21、复等,这些指标涵盖了不同级别的安全要求。了不同级别的安全要求。信息技术系第第1 1章章 2020/26/26 1.5 网络安全组件网络安全组件1 防火墙防火墙:在两个网络之间加强访问控制。可以阻止基于:在两个网络之间加强访问控制。可以阻止基于IP包包头的攻击和非信任地址的头的攻击和非信任地址的 访问,但不能阻止基于数据内容的攻访问,但不能阻止基于数据内容的攻击、病毒入侵和内网的攻击。击、病毒入侵和内网的攻击。2 扫描器扫描器:自动检测远程或本地主机安全弱点。可发现系统的:自动检测远程或本地主机安全弱点。可发现系统的安全缺陷但无法发现正进行的入侵行为。安全缺陷但无法发现正进行的入侵行为。3 防毒
22、软件防毒软件:可查、杀病毒但不能有效阻止基于网络的攻击。:可查、杀病毒但不能有效阻止基于网络的攻击。4 安全审计系统安全审计系统:记录网络行为和主机操作。:记录网络行为和主机操作。5 IDS(入侵检测系统)(入侵检测系统):在不影响网络性能的情况下对网络:在不影响网络性能的情况下对网络进行监控,提供对内部攻击、外部攻击和误操作的实时保护。进行监控,提供对内部攻击、外部攻击和误操作的实时保护。信息技术系第第1 1章章 2121/26/26 1)功能)功能 监控、分析用户和系统的活动;监控、分析用户和系统的活动;核查系统配置和漏洞;核查系统配置和漏洞;评估关键系统和数据文件的完整性;评估关键系统和
23、数据文件的完整性;识别攻击的活动模式,向网管人员报警;识别攻击的活动模式,向网管人员报警;对异常活动的统计分析;对异常活动的统计分析;操作系统审计跟踪管理,识别违反政策的用户活动;操作系统审计跟踪管理,识别违反政策的用户活动;评估重要系统和数据文件的完整性。评估重要系统和数据文件的完整性。信息技术系第第1 1章章 2222/26/26 2)分类)分类 HIDS(主机型主机型IDS):):用于保护运行关键应用的服务器,用于保护运行关键应用的服务器,通过监视和分析主机的审计记录和日志文件来检测入侵;通过监视和分析主机的审计记录和日志文件来检测入侵;通常是在主机上运行一个代理程序,通常是在主机上运行
24、一个代理程序,它要求与操作系统内核和它要求与操作系统内核和服务紧密捆绑在一起,监控各种系统事件,它根据主机行为特服务紧密捆绑在一起,监控各种系统事件,它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断,并把征库对受检测主机上的可疑行为进行采集、分析和判断,并把警报信息发送给控制端程序,由管理员集中管理。警报信息发送给控制端程序,由管理员集中管理。开发开发HIDSHIDS,要求对相关的操作系统非常了解,而且安装在主机要求对相关的操作系统非常了解,而且安装在主机上的探头(代理)必须非常可靠,系统占用小,自身安全性要上的探头(代理)必须非常可靠,系统占用小,自身安全性要好,国内专业从事
25、好,国内专业从事HIDSHIDS的企业非常少。只有:理工先河的的企业非常少。只有:理工先河的“金金海豚海豚”、CACA的的eTrusteTrust(包含类似于包含类似于HIDSHIDS的功能模块)、东方龙的功能模块)、东方龙马马HIDSHIDS(纯软件的)、曙光纯软件的)、曙光GodEyeGodEye等屈指可数的几个产品等屈指可数的几个产品,而且而且能支持的操作系统也基本上都是能支持的操作系统也基本上都是SolarisSolaris、LinuxLinux、WondowsWondows 20002000非常少的几个。非常少的几个。信息技术系第第1 1章章 2323/26/26 NIDS(网络型网
26、络型IDS):):用于实时监控网络关键路径信用于实时监控网络关键路径信息,通过侦听网络上的所有分组来采集数据,分析可疑现息,通过侦听网络上的所有分组来采集数据,分析可疑现象。象。NIDSNIDS是以网络包作为分析数据源。它通常利用一个工作在是以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流,混杂模式下的网卡来实时监视并分析通过网络的数据流,其分析模块通常使用模式匹配、统计分析等技术来识别攻其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。攻击特征库数目多少以及数据处理能力,就决定击行为。攻击特征库数目多少以及数据处理能力,就决定了了NIDSN
27、IDS识别入侵行为的能力。识别入侵行为的能力。目前市场上最常见的入侵检测系统,绝大多数大都是目前市场上最常见的入侵检测系统,绝大多数大都是NIDSNIDS,比如东软比如东软NetEyeNetEye、联想网御、上海金诺联想网御、上海金诺KIDSKIDS、NAI NAI McAfee McAfee IntruShiedIntruShied、安氏安氏LinkTrustLinkTrust等等等等 信息技术系第第1 1章章 2424/26/26 项目项目 HIDS NIDS 误警误警 无无 有有 漏警漏警 与技术水平相关与技术水平相关 与数据处理能力相关与数据处理能力相关 系统部署与维护系统部署与维护
28、与网络拓扑无关与网络拓扑无关 与网络拓扑有关与网络拓扑有关 检测规则检测规则 少量少量 大量大量 安全检测安全检测 到达主机的所有事件到达主机的所有事件 传输中的非加密信息传输中的非加密信息检测内容检测内容 违规事件违规事件 攻击方法或手段攻击方法或手段 HIDS和和NIDS的比较:的比较:信息技术系第第1 1章章 2525/26/26 1.6 安全策略的制定与实施安全策略的制定与实施1.6.1 安全工作目的安全工作目的1)使用访问控制机制,阻止非授权用户进入网络,保证网)使用访问控制机制,阻止非授权用户进入网络,保证网络系统的可用性;络系统的可用性;2)使用授权机制,实现对用户的权限控制,对
29、网络资源信)使用授权机制,实现对用户的权限控制,对网络资源信息的控制;息的控制;3)使用加密机制,实现信息的保密性;)使用加密机制,实现信息的保密性;4)使用数据完整性鉴别机制,确保数据的完整性;)使用数据完整性鉴别机制,确保数据的完整性;5)使用审计、监控、防抵赖等安全机制,实现信息安全的)使用审计、监控、防抵赖等安全机制,实现信息安全的可审查性。可审查性。信息技术系第第1 1章章 2626/26/26 1.6.2 安全策略安全策略安全策略是指在某个特定的环境中,为达到一定级别的安安全策略是指在某个特定的环境中,为达到一定级别的安全保护需求,所必须遵守的规则和条例。全保护需求,所必须遵守的规则和条例。安全策略可包括安全立法、安全管理和安全技术;安全策略可包括安全立法、安全管理和安全技术;1.6.3 安全策略的实施安全策略的实施1)重要信息的备份;)重要信息的备份;2)网络环境中系统软件的最新版;)网络环境中系统软件的最新版;3)安装使用)安装使用IDS;4)启用最小级别的系统事件日志)启用最小级别的系统事件日志