本章要点： 网络安全的主要威胁 网络安全的体系结构 网络安全策略 网络病毒与防治,第12章 网络安全,12.1 网络安全概述,我们在探索网络安全措施之前，首先要弄清网络安全的威胁所在，只有在充分了解对网络安全构成威胁的因素后，才能更加有效地对付这些威胁，以保证网络安全。网络中存在以下主要风险。 1. 与人有关的风险 2. 与硬件和网络设计有关的风险 3. 与协议和软件有关的风险 4. 与Internet访问有关的风险,12.1.1 网络安全风险,截获(或阻断) 窃听 修改 伪造 重播(重发) 业务否认,12.1.2 网络攻击手段,12.1 网络安全概述,进行网络攻击的不法分子使用的攻击行为包括：在未经授权访问的条件下，获得对数据的访问权限；对正常通过网络系统的数据流实施修改或破坏，并以此达到破坏正常操作的目的；向网络系统中注入假的或伪造的信息。在实际的网络攻击手段中，可以满足上述攻击行为的攻击手段有很多，归纳起来主要有以下几种：,事实上，网络攻击的手段多种多样，要想有效的防范网络攻击，还要具体了解网络攻击的手段。 1. 拒绝服务攻击(DOS) 2. 泛洪攻击 3. 端口扫描 4. 利用TCP报文的标志进行攻击 5. 分片IP报文攻击 6. 带源路由选项的IP报文 7. IP地址欺骗 8. 针对路由协议的攻击 (1) 针对RIP协议的攻击 (2) 针对OSPF路由协议的攻击 (3) 针对IS-IS路由协议的攻击,12.1 网络安全概述,12.1.2 网络攻击手段,9. 针对设备转发表的攻击 针对MAC地址表的攻击 (2) 针对ARP表的攻击 (3) 针对流项目表的攻击 10. Script/ActiveX攻击,12.1 网络安全概述,12.1.2 网络攻击手段,机密性 完整性 可用性 真实性 不可否认性,12.1.3 网络安全的目标,12.1 网络安全概述,网络安全通常指的是网络信息的安全，包括存储信息的安全和传输信息的安全两个方面的内容，因此，网络安全的目标就是保护网络信息存放的安全和在网络传输过程中的安全，也就是防止网络信息被非授权地访问、非法地修改和破坏。具体地说，网络信息应该满足以下5个网络安全目标。,一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备的安全和计算机网络系统的安全，还要保护数据安全等。因此，针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性，是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。 计算机病毒是我们都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪指的是个别人利用计算机高科技手段，盗取密码以侵入他人计算机网络，非法获得信息、盗用特权等，例如非法转移银行资金、盗用他人银行账号进行购物等。随着网络经济的发展和电子商务的展开，严防黑客入侵、切实保障网络交易的安全，不仅关系到个人的资金安全和商家的货物安全，还关系到国家的经济安全和国家经济秩序的稳定问题，因此各级组织和部门必须给予高度重视。,12.1.4 网络安全防范的主要内容,12.1 网络安全概述,12.2 网络安全防范体系,网络安全防范体系的科学性和可行性是其可顺利实施的保障。如图12-1所示给出了基于DISSP扩展的一个三维安全防范技术体系框架结构，第一维是安全服务，给出了8种安全属性(ITU-T REC-X.800-199103-I)；第二维是系统单元，给出了信息网络系统的组成；第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。 框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证和访问控制，应用平台需要有针对用户的认证和访问控制，需要保证数据传输的完整性和保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则该信息网络被认为是安全的。 其体系结构如下图所示：,12.2.1 网络安全体系结构,12.2 网络安全防范体系,12.2.1 网络安全体系结构,作为全方位的、整体的网络安全防范体系也是分层次的，不同的层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理5个层次 ： 1. 物理环境的安全性(物理层安全) 2. 操作系统的安全性(系统层安全) 3. 网络的安全性(网络层安全) 4. 应用的安全性(应用层安全) 5. 管理的安全性(管理层安全) 其安全防范体系层次如下图所示：,13.2.2 网络安全防范体系层次,12.2 网络安全防范体系,13.2.2 网络安全防范体系层次,12.2 网络安全防范体系,根据防范安全攻击的安全需求、需要达到的安全目标、相应安全机制所需要的安全服务等因素，参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： 1. 网络信息安全的木桶原则 2. 网络信息安全的整体性原则 3. 安全性评价与平衡原则 4. 标准化与一致性原则 5. 技术与管理相结合原则 6. 统筹规划、分步实施原则 7. 等级性原则 8. 动态发展原则 9. 易操作性原则,12.2.3 网络安全防范体系设计准则,12.2 网络安全防范体系,安全策略概略说明什么资产是值得保护和什么行动或不行动将威胁资产，所以安全策略是安全的基础，策略将会权衡预期的威胁对个人的生产力和效率的破坏程度，根据价值不同确认保护水平，因此，安全策略的制定是网络安全的前提，网络安全策略确定了结构中预期计算机的适当配置、使用的网络和用以防止与回应安全事件程序。 1. 物理安全策略 2. 访问控制策略 (1)入网访问控制 (2) 网络的权限控制 (3) 目录级安全控制 (4) 属性安全控制 (5) 网络服务器安全控制 (6) 网络监测和锁定控制 (7) 网络端口和节点的安全控制,12.2.4 网络安全防范策略,12.2 网络安全防范体系,3. 信息加密策略 4. 防病毒技术 5. 防火墙技术 6. 网络入侵检测技术 7. 网络安全管理策略,12.2 网络安全防范体系,12.2.4 网络安全防范策略,12.3 网络安全技术,防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是阻止网络中的黑客访问某个机构网络的屏障，也可以将它称为控制进/出两个方向通信的门槛。防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种安全部件处于被保护网络和其他网络的边界，接收被保护网络的进出数据流，并根据防火墙所配置的访问控制策略进行过滤或做出其他操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可以用于内部网络的不同网段的隔离，后者通常被称为Intranet防火墙。 1. 防火墙的分类 根据防火墙所采用技术的不同，目前的防火墙主要有包过滤防火墙、代理防火墙、NAT和检测型防火墙4种。 (1) 包过滤防火墙,12.3.1 防火墙,(2) 代理防火墙 (3) 网络地址转换 NAT (4) 监测型防火墙 2. 常见防火墙产品 (1)Check Point的FireWall-1 (2) Juniper网络Netscreen (3) 3COM OfficeConnect Firewall (4)Cisco PIX防火墙,12.3 网络安全技术,12.3.1 防火墙,数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于确保数据在存储和传输过程中的保密性。它通过变换和置换等方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或传输过程被非授权人员所获得，也可以保证这些信息不被其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。,12.3.2 加密技术,12.3 网络安全技术,计算机网络应用特别是电子商务应用的飞速发展，对数据完整性和身份鉴定技术提出了新的要求，数字签名和身份认证就是为了适应这种需要而在密码学中派生出来的新技术和新应用。数据传输的完整性通常通过数字签名的方式来实现，即数据的发送方在发送数据的同时利用单向的Hash函数或者其他信息文摘算法，计算出所传输数据的消息文摘，并将该消息文摘作为数字签名随数据一同发送。接收方在接收到数据的同时也收到该数据的数字签名，接收方使用相同的算法计算出所接收到的数据的数字签名，并将该数字签名和所接收到的数字签名进行比较，如果两者相同，则说明数据在传输过程中未被修改，数据完整性得到了保证。常用的消息文摘算法包括SHA、MD4和MD5等。 根据密钥类型的不同，可以将现代密码技术分为两类：对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。,12.3 网络安全技术,12.3.2 加密技术,在对称加密算法中，数据加密和解密采用是同一个密钥，因此，其安全性依赖于所持有密钥的安全性。这种加密方法可简化加密处理的过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得到保证。对称加密算法的主要优点是加密和解密速度快，加密强度高，且算法公开，但其最大的缺点是实现密钥的秘密分发比较困难，在大量用户的情况下，密钥管理复杂，而且无法完成身份认证等功能，不便于应用于网络开放的环境中。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。,12.3 网络安全技术,12.3.2 加密技术,在公钥密码体系中，数据加密和解密采用不同的密钥，而且用加密密钥进行加密的数据，只有采用相应的解密密钥才能进行解密，更重要的是，从加密密码来求解解密密钥十分困难。在实际应用中，用户通常将密钥对中的加密密钥公开(称为公钥)，而秘密持有解密密钥(称为私钥)。利用公钥体系可以方便地实现对用户的身份认证，即用户在信息传输前，首先使用所持有的私钥对传输的信息进行加密，信息接收者在收到这些信息之后，利用该用户向外公布的公钥进行解密，如果能够解开密码，说明信息确实是该用户所发送，这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中，通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对用户的身份认证。,12.3 网络安全技术,12.3.2 加密技术,目前的公钥密码算法都是基于一些复杂的数学难题，例如，目前广泛使用的RSA算法基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解(以RSA为代表)、椭圆曲线离散对数和离散对数(以DSA为代表)3种。公钥密码体系的优点是能够适应网络的开放性要求，密钥管理简单，并且可以方便地实现数字签名和身份认证等功能，它是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速度和效率较低，因此，在实际应用中，通常将对称加密算法和非对称加密算法结合起来使用，利用DES或IDEA等对称加密算法来进行大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法，可以有效地提高加密的效率并能简化对密钥的管理。,12.3 网络安全技术,12.3.2 加密技术,网络入侵检测技术也称为网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做