第章计算机网络安全基础知识.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第1章 计算机网络安全基础知识,主讲：耿杰,任务一,Ping,攻击与防范,任务分析,技能目标,知识链接,操作步骤,一,.,真实工作任务分析：,测试特理网络的命令,Ping,（因特网包探索器）是用于测试网络连接量的程序。它发送一个,ICMP,响应请求消息给目的地，并报告是否收到所希望的,ICMP,应答，校验与远程或本地计算机的连接。,一,.,真实工作任务分析：,本案例中的攻击只需网中多台电脑同时在,Ping,后加上参数,-t,对目标机进行长时间测试，从攻击的意义而言就完成了一次,Ping,攻击，大量的数据包

2、将会使目标机运行速度越来越慢，甚至瘫痪。在,DOS,环境中完成这个命令，命令如下：,格式：,Ping,目标,IP,地址,t,例：,Ping 192.168.0.6 t,二,.,技能目标,：,1.,掌握,Ping,攻击与防范方法,2.,掌握利用工具软件检测系统漏洞的方法,三,.,知识链接,：,1,计算机网络安全定义,2,3,计算机网络安全特征,网络面临的威胁,课堂讨论：,你碰到过网络不安全的情况没有,?,你碰到的情况有什么样的症状,?,你是怎样解决的,?,。,三,.,知识链接,：,随着网络技术的不断发展,网络在人们的生活中已经占有一席之地,为人们的生活带来了很大方便。然而，网络也不是完美无缺的，

3、它在给人们带来惊喜的同时，也带来了威胁。计算机犯罪、黑客、有害程序和后门问题等严重威胁着网络的安全。目前，网络安全问题等严重威胁着网络的安全。,1.,网络安全定义,三,.,知识链接,：,网络的安全策略一般分为三类：逻辑上的，物理上的和政策上的。逻辑上的措施，即研究开发有效的网络安全技术，例如，安全协议、密码技术、数字签名、防火墙、安全管理、安全审计等。,三,.,知识链接,：,计算机网络安全是指保持网络中的硬件、软件系统正常运行，使它们不因自然和人为的因素而受到破坏更改和泄露。网络安全主要包括物理安全、软件安全、数据安全和运行安全等,4,个方面。,三,.,知识链接,：,案例,1:,三,.,知识链

4、接,：,案例,2:,三,.,知识链接,：,案例,3:,三,.,知识链接,：,由于网络安全威胁的多样性、复杂性及网络信息、数据的重要性，在设计网络系统的安全时，应该努力达到安全目标。一个安全的网络具有下面五个特征：可靠性、可用性、保密性、完整性和不可低赖性。,2.,计算机网络安全的特征,三,.,知识链接,：,（,1,）可靠性,可靠性是网络安全最基本的要求之一，是指系统在规定条件下和规定时间内完成规定功能的概率。,可用性是指信息和通信服务在需要时允许授权人或实体使用。,（,3,）保密性,保密性指防止信息泄漏给非授权个人或实体,信息只为授权用户使用,.,保密性是面向信息的安全要求。,2.,计算机网络

5、安全的特征,三,.,知识链接,：,（,4,）完整性,完整性也是面向信息的安全要求。它是指信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。,（,5,）不可抵赖性,不可抵赖性也称作不可否认性，是面向通信双方（人、实体或进程）信息真实的安全要求。,2.,计算机网络安全的特征,三,.,知识链接,：,1,计算机系统的脆弱性,计算机系统的脆弱性主要来自计算机操作系统的不安全性，在网络环境下，还来源于网络通信协议的不安全性。,2,网络内部的威胁,对网络内部的威胁主要是来自网络内部的用户，这些用户试图访问那些不允许使用的资源和服务器。可以分为两种情况：一种是有意的安全破坏，第二种是由于用户

6、安全意识差造成的无意识的操作失误，使得系统或网络误操作或崩溃。,3.,网络面临的内部威胁,三,.,知识链接,：,除了受到来自网络内部的安全威胁外，网络还受到来自外界的各种各样的威胁。网络系统的威胁是多样的，因为在网络系统中可能存在许多种类的计算机和操作系统，采用统一的安全措施是不容易的，也是不可能的，而对网络进行集中安全管理则是一种好的方案。,安全威胁主要可以归结为物理威胁、网络威胁、身份鉴别、编程、系统漏洞等方面。,4.,网络面临的外部威胁,四,.,真实工作任务分析：,Ping,攻击与防范,测试特理网络的命令,Ping,（因特网包探索器）是用于测试网络连接量的程序。它发送一个,ICMP,响应

7、请求消息给目的地，并报告是否收到所希望的,ICMP,应答，校验与远程或本地计算机的连接。,四,.,真实工作任务分析：,Ping,攻击与防范,本案例中的攻击只需网中多台电脑同时在,Ping,后加上参数,-t,对目标机进行长时间测试，从攻击的意义而言就完成了一次,Ping,攻击，大量的数据包将会使目标机运行速度越来越慢，甚至瘫痪。在,DOS,环境中完成这个命令，命令如下：,格式：,Ping,目标,IP,地址,t,例：,Ping 192.168.0.6 t,操作步骤,:,【,操作步骤,】,第,1,步：添加,IP,安全策略。我们首先要做的就是，在控制台中添加,IP,安全策略单元，添加步骤如下：,（,1

8、依次点击,【,开始,】【,运行,】,，然后在,【,运行,】,窗口中输入“,mmc,”,并回车，此时将会打开,【,控制台,1】,窗口，如图,1-1,所示。,图,1-1,控制台窗口,操作步骤,:,（,2,）在图,1-1,所示窗口依次点击,【,文件,】【,添加,/,删除管理单元,】【,添加,】,，此时将会打开,【,添加,/,删除管理单元,】,窗口，我们在此窗口下的列表中双击“,IP,安全策略管理”，如图,1-2,所示。,操作步骤,:,（,3,）这时将会弹出,【,选择计算机域,】,窗口，在此我们选中,【,本地计算机,】,，然后点击,【,完成,】,按钮，最后依次点击,【,关闭,】【,确定,】,，返回

9、控制台,1】,主界面，此时我们将会发现在,【,控制台根节点,】,下多了,【IP,安全策略，在本地计算机,】,（如图,1-3,所示）项，此时可以说明控制台中已经添加了,IP,安全策略项。,操作步骤,:,第,2,步：创建,IP,安全策略。在我们添加了,IP,安全策略后，还要创建一个新的,IP,安全策略，步骤如下：,（,1,）在图,1-3,中右键点击,【IP,安全策略，在本地机器,】,选项，执行,【,创建,IP,安全策略,】,命令，此时将会打开,【IP,安全策略向导,】,窗口。,（,2,）单击,【,下一步,】,按钮，此时将会出现要求指定,IP,安全策略名称及描述向导页面，我们可以在,【,描述,

10、下输入一个策略描述，比如,【,禁止,Ping】,，如图,1-4,所示。,操作步骤,:,（,3,）点击,【,下一步,】,，然后在出现的页面中确保选中了,【,激活默认相应规则,】,项，然后单击,【,下一步,】,。,（,4,）在出现的,【,默认响应规则身份验证方法,】,对话框中选中,【,此字符串用来保护密钥交换（预共享密钥）,】,选项，然后在下面的文字框中任意键入一段字符串（如“禁止,Ping”,），如图,1-5,所示。,操作步骤,:,（,5,）单击,【,下一步,】,，此时将会出现完成,IP,安全策略向导页面窗口，最后单击,【,完成,】,按钮即完成了,IP,安全策略的创建工作。,第,3,步：编辑

11、IP,安全策略属性。在以上,IP,安全策略创建后，在控制台中就会看到刚刚创建好的,【,新,IP,安全策略,】,项，下面还要对其属性进行编辑修改，步骤如下；,（,1,）在控制台中双击创建好的新,IP,安全策略，此时将会弹出,【,新,IP,安全策略属性,】,窗口，如图,1-6,所示。,操作步骤,:,（,2,）单击,【,添加,】,按钮，此时将会弹出,【,安全规则向导,】,窗口，直接点击,【,下一步,】,则进入,【,隧道终结点,】,页面，在此点选,【,此规则不指定隧道,】,。,（,3,）单击,【,下一步,】,此时将会出现,【,网络类型,】,页面，在该页面中我们点选,【,所有网络连接,】,项，这样就能

12、保证所有的计算机都,Ping,不通该主机了，如图,1-7,所示。,操作步骤,:,（,4,）单击,【,下一步,】,，此时将会出现,【,身份验证方法,】,页面，我们继续选中,【,此字符串用来保护密钥交换（预共享密钥）,】,项，然后在下面的输入框中输入“禁止,Ping”,的文字，如图,1-8,所示。,操作步骤,:,（,5,）单击,【,下一步,】,，然后在打开的,【IP,筛选器列表,】,页面中单击,【,添加,】,按钮，此时将会打开,【IP,筛选器列表,】,窗口，如图,1-9,所示。,操作步骤,:,（,6,）在,【IP,筛选器列表,】,窗口中单击,【,添加,】,按钮，此时将会弹出,【IP,筛选器向导,】

13、窗口，我们单击,【,下一步,】,，此时将会弹出,【IP,通信源,】,页面，在该页面中设置,【,源地址,】,为“我的,IP,地址”，如图,1-10,所示。,操作步骤,:,（,7,）单击,【,下一步,】,按钮，我们在弹出的页面中设置,【,目标地址,】,为,【,任何,IP,地址,】,，任何,IP,地址的计算机都不能,Ping,你的机器，如图,1-11,所示。,操作步骤,:,（,8,）点击,【,下一步,】,，然后在出现的,【IP,协议类型,】,页面中设置,【,选择协议类型,】,为“,ICMP”,，如图,1-12,所示。,操作步骤,:,（,9,）依次单击,【,下一步,】【,完成,】,，此时，你将会在,

14、IP,筛选器列表,】,看到刚创建的筛选器，将其选中后单击,【,下一步,】,，在出现的,【,筛选器操作,】,页面中设置筛选器操作为,【,需要安全,】,选项，如图,1-13,所示。,操作步骤,:,（,10,）点击,【,下一步,】,，然后依次点击,【,完成,】【,确定,】【,关闭,】,按钮，保存相关的设置返回控制台即可。,第,4,步：指派,IP,安全策略。安全策略创建完毕后并不能马上生效，我们还需通过,【,指派,】,功能令其发挥作用。方法是：在,【,控制台根节点,】,中右击,【,新的,IP,安全策略,】,项，然后在弹出的右键菜单中执行,【,指派,】,命令，即可启用该策略，如图,1-14,所示。,操

15、作步骤,:,至此，这台主机已经具备了拒绝其他任何机器,Ping,自己,IP,地址的功能，不过在本地仍然能够,Ping,通自己。经过这样的设置之后，所有用户（包括管理员）都不能在其他机器上对此服务器进行,Ping,操作，不用担心被,Ping,威胁了。,系统安全评估,计算机系统的安全评估是对系统安全性的检验和监督。系统安全评估包括了构成计算机系统的物理网络和系统的运行过程、系统提供的服务以及这种过程与服务中的管理、保证能力的安全评估，,计算机系统的安全评估可以确保系统连续正常运行，确保信息的完整性和可靠性，及时发现系统存在的薄弱环节，采取必要的措施，杜绝不安全因素。另外，有了安全评估，并不意味着可

16、以高枕无忧，因为要在技术上做到完全的安全保护是不可能的。所以，评估的目标应该是，使攻击所花的代价足够高，从而把风险降低到可接受的程度。,安全评估标准的重要性在于：,1,）用户可依据标准，选用符合自己应用安全级别的、评定了安全等级的计算机系统，然后，在此基础上再采取安全措施。,2,）一个计算机系统是建立在相应的操作系统之上的，离开了操作系统的安全，也就无法保证整个计算机系统的安全。所以，软件生产厂商应该满足用户的需求，提供各种安全等级的操作系统。,3,）建立系统中其他部件（如数据库系统、应用软件、计算机网络等）的安全评估标准，可以使它们配合并适应相应的操作系统，以实现更完善的安全性能。,第一个有

17、关信息技术安全评价的标准诞生于,20,世纪,80,年代的美国。,1983,年美国国防部发布了“可信计算机评估标准”，简称桔皮书。,1985,年对此标准进行了修订后作为了美国国防部的标准，也成为了世界各国的参考标准。,1994,年，国务院发布了,中华人民共和国计算机信息系统安全保护条例,，其中第九条规定“计算机信息系统安全等级保护。安全等级的划分和安全等级保护的具体办法，由公安部会同有关部门制定”。,常见的计算机系统安全等级的划分有两种：一种是美国国防部,1985,年发表的评估计算机系统安全等级的桔皮书，将计算机系统的安全划分为,4,个等级，,8,个级别，即,A2,、,A1,、,B3,、,B2,

18、B1,、,C2,、,C1,、,D,；其中，,A2,级安全级别最高，,D,级安全级别最低。另一种是依据我国颁布的,计算机信息系统安全保护等级划分准则,（,GB17859-1999,），该条例是计算机信息系统安全保护的法律基础。将计算机安全等级划分为,5,级。,1,填空题,（,1,）网络安全策略由,3,个重要的方面组成，它们是,、物理和政策。,（,2,）网络安全主要包括,_,、,_,、,_,和运行安全等几个方面。,（,3,）物理安全包括,_,的安全。,（,4,）软件安全指,_,的安全。,（,5,）信息安全指,_,安全。,（,6,）运行安全指,_,。,（,7,）保密性指,_,的安全要求。,（,8

19、一个安全的网络具有下面五个特征：,_,、（,9,）系统漏洞是指,_,。,（,10,）依据美国国防部发表的评估计算机系统安全等级的桔皮书，将计算机安全等级划分为,_,类,_,级。,2,选择题,（,1,）保护计算机网络设备免受环境事故的影响属于信息安全的,_,。,（,A,）人员安全 （,B,）物理安全 （,3,）数据安全 （,D,）操作安全,（,2,）有些计算机系统的安全性不高，不对用户进行验证，这类系统安全级别是,。,（,A,）,D1,（,B,）,A1,（,C,）,C1,（,D,）,C2,（,3,）保证数据的完整性就是,_,。,（,A,）保证因特网上传送的数据信息不被第三方监视,（,B,）保

20、证因特网上传送的数据信息不被篡改,（,C,）保证电子商务交易各方的真实身份,（,D,）保证发送方不抵赖曾经发送过某数据信息,（,4,）某种网络安全威胁是是通过非法手段取得对数据的使用权，并对数据进行恶意地添加和修改，这种安全威胁属于,。,（,A,）窃听数据 （,B,）破坏数据完整性 （,C,）拒绝服务 （,D,）物理安全威胁,（,5,）在网络安全中，捏造是指未授权的实体向系统中插入伪造的对象。这是对,。,（,A,）可用性的攻击 （,B,）保密性的攻击 （,C,）完整性的攻击 （,D,）真实性的攻击,3,简答题,（,1,）什么是网络安全？网络安全包括哪些方面？,（,2,）网络系统本身存在哪些安全

21、漏洞？,（,3,）网络面临的威胁有哪些？,（,4,）系统漏洞产生的原因主要有哪些？,课堂小结,:,计算机网络安全指保持网络中的硬件、软件系统正常运行，使它们不因各种因素受到破坏更改和泄露。网络受到的威胁来自于网络的内部和外部两个方面。,计算机系统的安全评估是对系统安全性的检验和监督。在我国，常见的计算机系统安全等级的划分有两种：一种是依据美国国防部发表的评估计算机系统安全等级的桔皮书；一种是我国颁布的,计算机信息系统安全保护等级划分准则,。,实训项目：,实训目的,1,了解操作系统常见的安全漏洞。,2,掌握,X-Scan,扫描器的使用方法。,3,掌握使用扫描工具,X-Scan,检测系统漏洞的方法

22、实训环境搭建,1,连上,Internet,的主机或局域网主机。,2,Windows NT/2000/XP,系统。,3,X-Scan3.3,扫描器,实训一 使用扫描工具,X-Scan,检测系统漏洞,操作步骤,:,第,1,步：运行,X-Scan,主程序，即可打开其操作窗口，如图,1-15,所示。,操作步骤,:,第,2,步：选择,【,设置,】【,扫描参数,】,菜单项，即可打开,【,扫描参数,】,窗口，在,【,检测范围,】,模块的,【,指定,IP,范围,】,文本框中，输入要检测的目标主机的域名或,IP,地址，也可以对多个,IP,进行检测（例如输入“,192.168.0.1-192.168.0.25

23、5”,来对处于这个网段的所有主机进行检测），如图,1-16,所示。,操作步骤,:,第,3,步：在,【,全局设置,】,模块中，可以对要扫描的模块、端口等进行设置，,【,扫描模块,】,选项用于检测对方主机的一些服务和端口等情况，可以全部选择或只检测部分服务，如图,1-17,所示。,【,并发扫描,】,选项用于设置检测时的最大并发主机和并发线程的数量。,【,扫描报告,】,选项用于设置扫描结束所产生的报告文件名和类型。这里假设选择,【HTML】,类型，如图,1-18,所示。,操作步骤,:,操作步骤,:,在,【,其他设置,】,中可设置,【,跳过没有响应的主机,】,功能，如果对方禁止了,Ping,或防火墙设

24、置使其没有响应，则,X-Scan,将会自动跳过，接着检测下一台主机。如果选择了,【,无条件扫描,】,功能，则,X-Scan,将会对目标主机进行详细检测，得到的结果相对详细准确，如图,1-19,所示。但扫描时间会延长，对单个主机进行扫描一般会采用这种方式。,操作步骤,:,第,4,步：在,【,插件设置,】,模块中，可以对插件进行一些必要的检测。,在,【,端口相关设置,】,中可自定义一些需要检测的端口，检测方式分“,TCP”,或“,SYN”,两种，,TCP,方式容易被对方发现，但准确性要高一些；,SYN,则相反，如图,1-20,所示。,操作步骤,:,【SNMP,相关设置,】,选项主要是针对,SNMP

25、信息的一些检测设置。,【NETBIOS,相关设置,】,选项是针对,Windows,系统,NETBIOS,信息的检测设置，包括的项目有很多，只需要选择使用的内容即可。“漏洞检测脚本设置”、“,CGI,相关设置”和“字典文件设置”等功能直接采用默认设置就可以了。,第,5,步：在设置好上述模块之后，返回到,X-Scan,主窗口中单击,【,开始,】,按钮，即可出现一个如图,1-21,所示的进度提示框。,操作步骤,:,第,6,步：当漏洞脚本加载完毕之后，就可以进行漏洞检测了，具体检测过程如图,1-22,所示。如果检测到了漏洞，则可以在,【,漏洞信息,】,列表框对其进行查看。,操作步骤,:,第,7,步：在扫描结束之后，将自动弹出检测报告，包括漏洞的风险级别和详细的信息，以便对所扫描的主机进行分析，如图,1-23,所示。,谢谢!,