第1章网络信息安全精选文档.ppt

《第1章网络信息安全精选文档.ppt》由会员分享，可在线阅读，更多相关《第1章网络信息安全精选文档.ppt（31页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第1章网络信息安全本讲稿第一页，共三十一页1.1 网络信息安全问题的根源网络信息安全问题的根源1网络协议的开放性、共享性和协议自身的缺陷网络协议的开放性、共享性和协议自身的缺陷覆盖全球的因特网，以其TCP/IP协议开放性与共享性方便了各种计算机网络的入网互联，极大地拓宽了资源共享的可能性。但由于早期网络协议以开放性和共享性为主要目标而对安全问题的忽视，以及Internet在使用和管理上的相对无序状态，导致目前网络安全受到了严重威胁，安全事故屡有发生。本讲稿第二页，共三十一页网络协议自身的安全缺陷主要是指协议和业务的不安全。导致协议不安全的主要原因，一方面是Internet从建立开始就缺乏安全的

2、总体构想和设计。因为Internet起源的初衷是方便学术交流和信息沟通，并非商业目的。Internet所使用的TCP/IP协议是在假定的可信环境下，为网络互联而专门设计的，本身缺乏安全措施。TCP/IP协议的IP层没有安全认证和保密机制(只基于IP地址进行数据包的寻址，无认证和保密机制)；在传输层，TCP连接能被欺骗、截取和操纵，而UDP易受IP源路由和拒绝服务的攻击。另一方面，协议本身可能会泄露口令，连接可能成为被盗用的目标。本讲稿第三页，共三十一页2操作系统和应用程序的复杂性操作系统和应用程序的复杂性由于网络和终端硬件设备的不断升级换代以及计算机功能的不断增强，现代操作系统和应用程序变得越

3、来越庞大而复杂，导致的一个不良后果就是操作系统和应用程序本身存在许多安全漏洞和隐患。另外，操作系统和应用系统的复杂性也为对它们的配置不当而引发安全问题埋下了伏笔，甚至它们的默认安装和配置也成为安全的一大隐患。本讲稿第四页，共三十一页3程序设计带来的问题一方面由于商业和非商业的原因，程序员总是期望能在最短的时间内完成程序并实现尽可能多的功能，这就容易导致程序存在安全问题；另一方面，目前流行的开发程序的语言本身会带来安全问题(如C、C+中的边界问题)。4设备物理安全问题网络设备和计算机系统本身的物理安全隐患，如灰尘、潮湿、雷击和电磁泄露等，也是网络信息安全出现问题的重要根源之一。本讲稿第五页，共三

4、十一页5人员的安全意识与技术问题人是信息活动的主体，是引起网络信息安全问题最主要的因素之一，这可以从以下三个方面来理解。第一，人为的无意失误主要是指用户安全配置不当造成的安全漏洞，包括用户安全意识不强、用户口令选择不当、用户将自己的账号信息与别人共享和用户在使用软件时未按要求进行正确的设置等。第二，人为的恶意黑客攻击，是网络信息安全面临的最大威胁。在英文中，黑客有两个概念：Hacker和Cracker。一般来说，Hacker是这样一类人，他们对钱财和权利蔑视，而对网络技术本身非常专注，他们在网上进行探测性的行动，帮助人们找到网络的漏洞，可以说他们是这个领域的绅士。本讲稿第六页，共三十一页但是C

5、racker不一样，他们要么为了满足自己的私欲，要么受雇于一些商业机构，具有攻击性和破坏性。他们修改网页，窃取机密数据，甚至破坏整个网络系统。因其危害性较大，Cracker已成为网络安全真正的，也是主要的防范对象。这类人闯入计算机网络系统盗取信息，故意破坏他人财产，使服务器中断。他们对电脑非常着迷，自认为比他人聪明，因此，随心所欲地闯入某些信息禁区，开玩笑或恶作剧，甚至干出违法的事。他们把此看作一种智力挑战，好玩，但当有利可图时，很多人往往抵制不住诱惑而走上犯罪的道路。信息战也是黑客开展攻击的一个非常重要的缘由。本讲稿第七页，共三十一页第三，管理不善也是一个重要因素之一。对网络信息系统的严格管

6、理是避免受到攻击的重要措施。据统计，在美国，90%以上的IT企业对黑客攻击准备不足，75%85%的网站都抵挡不住黑客的攻击。管理的缺陷也可能导致系统内部人员泄露机密，被一些不法分子获取可乘之机。本讲稿第八页，共三十一页6相关的法律问题由于网络环境是一种虚拟社会，现实社会和生活中的诸多问题在这个虚拟社会中都有所表现。现实社会中政府各行政主管部门多年来已经形成的管理职能必然向这个虚拟社会延伸。为了调整这个虚拟社会中的各种矛盾，规范秩序，制定相应的法规、规章和法律就成为了各部门的必然选择。但由于与网络相关的法律的不完善性、滞后性以及由于网络虚拟社会的无国界性和法律效力的国界性矛盾，也是导致目前网络信

7、息安全问题的根源之一。实际上，网络环境下的信息安全不仅涉及到技术问题，而且涉及到法律政策问题和管理问题。技术问题虽然是最直接的保证信息安全的手段，但离开了法律政策和管理的基础，纵有最先进的技术，网络信息安全也得不到保障。本讲稿第九页，共三十一页1.2 网络信息安全体系架构网络信息安全体系架构 1网络信息系统中的资源网络信息系统中的资源我们将网络信息系统中的资源分为三种：(1)人：信息系统的决策者、使用者和管理者。(2)应用：由一些业务逻辑组件及界面组件组成。(3)支撑：为开发应用组件而提供技术上支撑的资源，包括网络设施、操作系统软件等。本讲稿第十页，共三十一页2 2网络与信息安全的任务网络与信

8、息安全的任务网络安全的任务是保障各种网络资源(局域网资源、边界资源和网络基础设施)的稳定、可靠地运行和受控、合法地使用。信息安全的任务是保障信息在存储、传输、处理等过程中的安全。具体的有：(1)机密性(confidentiality)：指防止非授权用户获得有用的信息的特性。(2)完整性(integrity)：指数据没有遭到非授权的更改和破坏。本讲稿第十一页，共三十一页(3)不可抵赖性(non-repudiation)：指实体不能抵赖其发送、接受某信息或参与某活动事实的特性。(4)可用性(availability)：指保证授权用户对资源合法使用的特性。本讲稿第十二页，共三十一页3 3网络信息安全

9、机制网络信息安全机制网络信息安全通常是由一系列安全机制来实现的。所谓安全机制，是指将安全技术实现逻辑抽象而成的一系列的模式。在网络信息安全领域，人们提出的高层机制主要有六种：预警、防护、检测、响应、恢复、反击。它们的关系如图1-1所示。本讲稿第十三页，共三十一页图1-1 安全机制之间的关系 本讲稿第十四页，共三十一页网络信息安全中层机制有：身份认证、授权、加密、网络隔离、高可用性、内容分析等。网络信息安全基础应用域包括：网络基础设施安全、边界安全和局域网安全。网络信息安全具体应用域有：防火墙应用、入侵检测、反病毒软件、文件共享安全应用等。安全服务(安全任务)、安全机制和安全应用域是网络信息安全

10、系统的三要素，它们的关系可以用一个三维坐标进行表述，如图1-2所示。本讲稿第十五页，共三十一页图1-2 安全服务、安全机制和安全应用域之间的关系 本讲稿第十六页，共三十一页4 4网络安全防范体系框架结构网络安全防范体系框架结构为了能够有效地了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1-3给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性(ITU-T REC-X.800-199103-I)。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次

11、，给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。本讲稿第十七页，共三十一页图1-3 安全防范技术体系框架结构 本讲稿第十八页，共三十一页1.3 网络安全防范体系层次网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题。根据网络的应用现状和网络的结构，安全防范体系的层次可划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理，如图1-4所示。本讲稿第十九页，共三十一页图1-4 网络信息安全防范层次 本讲稿第二十页，共三十一页1 1物理层安全物理层安全物理层安全包括通信线路的安全、物理设备的安全和机房的安全等。物理层的安全主要

12、体现在通信线路的可靠性(线路备份、网管软件、传输介质)，软硬件设备安全性(替换设备、拆卸设备、增加设备)，设备的备份，防灾害能力，防干扰能力，设备的运行环境(温度、湿度、灰尘)，不间断电源保障，等等。本讲稿第二十一页，共三十一页2 2系统层安全系统层安全 系统层安全问题来自网络内使用的操作系统安全，如Windows、UNIX和Linux等。主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。本讲稿第二十二页，共三十一页3 3网络层安全网络层安全网络层安全问题主要体现在网络方面的安全性，包括网络

13、层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。本讲稿第二十三页，共三十一页4 4应用层安全应用层安全 应用层安全问题主要由提供服务的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对应用系统的威胁。本讲稿第二十四页，共三十一页5 5管理层安全管理层安全 管理层安全包括安全技术和设备的管理、安全管理制度、部门与人员的组织规章等。管理的制度化极大地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低各个层次的安全漏洞。

14、本讲稿第二十五页，共三十一页1.4 常见网络信息安全技术常见网络信息安全技术 1 1密码技术密码技术数据加密就是利用密钥对原来为明文的数据信息按某种算法进行处理使其成为不可读的密文的过程。解密是加密的逆过程，利用密钥从密文信息中得到原始明文信息。现代数据加密技术主要分为两类：对称加密和公钥加密。对称加密是指加密和解密的密钥是一样的(如DES)，而公钥加密是指加密密钥和解密密钥是相对独立的(如RSA)。本讲稿第二十六页，共三十一页2 2身份认证身份认证身份认证是指验证实体与其所宣称的实体是否一致的过程。身份认证是用于保证网络信息资源被合法用户得到合理使用的基本技术手段。3 3数字签名数字签名数字

15、签名是用来证明信息是由发送者签发的和信息没有被他人篡改的技术。一般数字签名是通过对源信息的Hash函数值进行加密来实现的。本讲稿第二十七页，共三十一页4 4防火墙防火墙防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候火烟蔓延到别的房屋。而这里所说的防火墙是指在本地网络与外界网络之间的一道防御系统。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。本讲稿第二十八页，共三十一页5 5入侵检测入侵检测入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展

16、了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络和系统进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。本讲稿第二十九页，共三十一页6 6漏洞扫描漏洞扫描漏洞扫描就是对重要网络和计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。目前，漏洞扫描从技术上来划分，可以分为基于网络的扫描和基于主机的扫描两种类型。本讲稿第三十页，共三十一页习习 题题 1.1 网络信息安全的根源有哪些?1.2 网络信息系统的资源有哪些?1.3 网络信息安全的任务是什么?1.4 网络安全防范体系有哪些层次?1.5 常见的网络信息安全技术有哪些?本讲稿第三十一页，共三十一页