1 / 135

第十一章

第十一章. 网络安全. 网络安全. 第一节 网络安全的特殊性. 网络安全的定义. 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。. 网络安全基础知识. 网络安全的特征 ( 1 )保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 ( 2 )完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

iola-pratt
Download Presentation

第十一章

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第十一章 网络安全

  2. 网络安全 第一节 网络安全的特殊性

  3. 网络安全的定义 • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

  4. 网络安全基础知识 网络安全的特征 (1)保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。 (2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 (3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 (4)可控性:对信息的传播及内容具有控制能力。

  5. 网络安全 第一节 网络安全的特殊性 一、网络计算引起的革命和问题 • “网络就是计算机”,“数字化地球”,“系统就是网络、网络就是系统” • 1.世界网络化 • 世界缩小,时空缩小,高科技社会中,高科技技术的应用与高技术犯罪并存.

  6. 网络安全 第一节 网络安全的特殊性 2.系统开放性 • 分散和分布式计算环境基于开放性技术,开放性与安全性是一对基本矛盾,系统开放与系统保密成为矛盾中的统一。 3.信息共享、资源共享 • 共享的概念,不是所有信息都共享 • 信息是有价值的,有价信息的拥有权 • 敏感信息、私有信息与垃圾信息

  7. 网络安全的面临挑战 • ◆开放的、分布式协同计算环境中,原有的安全措 • 施很难奏效 • ●结构松散,异地分散,无法有效管理 • ●用户透明,资源共享,面临多种攻击 • ◆网络系统规模日益庞大,必然导致系统安全性、 • 可靠性降低 • ●设计缺陷,给安全带来影响无法消除,如操作系统的管理员权限,TCP/IP协议等 • ●软件的可靠性有限,存在缺陷和后门,给攻击者机会

  8. 网络安全 第一节 网络安全的特殊性 二、网络的入侵者 * 黑客(Hacker): 网络入侵者通称“黑客”。黑客的原意是泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。 恶意黑客(骇客)渗入计算机系统和网络系统并获取其内部工作的情况和知识,非法访问、寻找、窃取资源和信息。恶意黑客会有目的的篡改系统数据和资源,修改系统配置,甚至远程控制目标系统。

  9. 网络安全 第一节 网络安全的特殊性 * 窃客(Phreaker): 即“电信黑客”或“电信窃客”。他们与网络黑客不同,主要与电话公司打交道。采用不同的种种“手段”和“诡计”,如拦截传输信号,从而操纵电话公司,并机盗打用户移动电话,免费拨打区域和长途电话等。并从电信网站、电信传输和用户通信中某利,获取所需敏感信息。

  10. 网络安全 第一节 网络安全的特殊性 * 怪客(Cracker): 网络上的匿名攻击者,专门进行网络入侵攻击,发布干扰信息, 传输网络垃圾等,并以此为乐。 黑客概述

  11. 网络安全 第一节 网络安全的特殊性 三、网络犯罪特点 网络犯罪与传统犯罪有很多不同,网络犯罪有如下一些特点: ① 网络犯罪高技术化、专业化。 犯罪者具有高智商,熟悉并掌握电脑技术、电信技术或者网络技术,了解电子数据资料结构和数据库,作案手段复杂隐蔽,有的情况下使正常操作与犯罪活动很难区分。

  12. 网络安全 第一节 网络安全的特殊性 ② 网络犯罪动机复杂化。 它既包含了传统犯罪中的谋财害命、发泄报复、恐怖暴力、欺诈拐骗等,还渗入了更深厚的政治、军事、经济、宗教色彩。

  13. 网络安全 第一节 网络安全的特殊性 ③ 网络犯罪的覆盖面更广,日趋国际化。 利用网络的互联,缩短了时间和空间,犯罪分子在作案、通信、交易、逃匿等方面可以易地进行 异地作案的可能性极大,使得作案隐蔽性更强,危害更大。

  14. 网络安全 第一节 网络安全的特殊性 ④ 网络犯罪人员趋于年青化。 调查统计,电脑犯罪者的平均年龄约在25岁左右。青年人聪明好动、虚荣心大、探索意识强,但也最容易在网络上掉入网络陷阱,受到邪恶引诱而误入歧途。

  15. 网络安全 第一节 网络安全的特殊性 ⑤ 网络犯罪的形式多样化。 它既具有传统犯罪中的各种形式,还包含了更严重的犯罪教唆、展示、指导、引诱、服务等等。网络色情的泛滥、网络邪教的诱惑、没落文化和反动文化的泛起都威胁到整个网络世界。

  16. 网络安全 第一节 网络安全的特殊性 四、网络安全的技术特点 1.资源共享与分布 这是网络的主要目的,也是网络的脆弱性, 分布的广域性增大了受攻击的可能性,单机系统的安全控制已不足以保证网络全局的安全。 2.网络系统的复杂性 系统互连、控制分散、异构结点。任何一个结点的安全漏洞都可能导致整个系统的不安全,信息爆炸使存储和传输不堪重负;攻击的入口增多、破坏面增大、检测困难且开销很大。

  17. 网络安全 第一节 网络安全的特殊性 3.安全的可信性 网络的可扩展性使网络边界具有不确定性;网络安全的可信性随网络扩展而下降;不可信结点、恶意结点的严重威胁 4. 安全不确定性 网络分支广,存在多条可能的安全漏洞;不安全的路径存在不确定性;故障定位的不确定性。

  18. 网络安全 第一节 网络安全的特殊性 5. 信息安全的特殊性 信息的真实性,网络通信只保证了无差错传输,无法保证信息的真实性、完整性,收发双方无法对传输信息加以控制和监视。 6.网络安全的长期性 矛盾贯穿始终,长期对抗。不可能存在一劳永逸、绝对安全的系统安全策略和安全机制,安全的目标和安全策略,是在一定条件(环境与技术)下的合理性。

  19. 网络安全 第一节 网络安全的特殊性 五、网络安全性范围 1. 网络类型 电信网络、电视网络、计算机网络,重点在计算机网络 2. 计算机网络的组成 * 计算机系统、通信系统、网络互连设备 * 系统运行平台、网络管理软件系统

  20. 网络安全 第一节 网络安全的特殊性 3. 网络安全领域 ⑴ 计算机系统安全 系统硬件安全、存储系统安全、操作系统安全、软件安全 ⑵ 通信系统安全 通信系统与部件可靠性、无线与有线安全、网络互连设备安全。 ⑶ 网络系统安全 网管软件安全、网络协议安全性 网络运行环境安全、网络开发与应用安全

  21. 网络安全 第一节 网络安全的特殊性 ⑷ 计算机病毒与恶意程序 计算机病毒对抗、攻击与反攻击 ⑸ 网络安全的社会性 网络垃圾与信息垃圾、反动、色情、颓废文化。

  22. 网络安全 第一节 网络安全的特殊性 六、网络安全的类别 “网络就是计算机”,因此,计算机系统安全的几乎所有领域都在网络安全中得以体现。网络系统安全的主要威胁也来源于各个方面,有自然的、硬件的、软件的、也有人为的疏忽、失误等。

  23. 网络安全 第一节 网络安全的特殊性 ㈠ 网络可信:保证网络可靠运行,防止系统崩溃,主要解决硬件故障和软件故障。 ㈡ 网络阻塞:主要解决网络配置、网络调度不合理,防止网络广播风暴和噪声。 ㈢ 网络滥用:合法用户超越权限使用计算机,获取网络资源。 ㈣ 网络入侵:非法用户非法进入系统和网络,获取控制权和网络资源。

  24. 网络安全 第一节 网络安全的特殊性 ㈤ 网络干扰:出于某种目的对计算机和网络系统运行进行干扰,干扰方式多种,使系统不可信、操作员和系统管理员心理压力增加、心理战。施放各种假的和期骗信息,扰乱社会、经济、金融等。 ㈥ 网络破坏: 系统攻击、删除数据、毁坏系统。非法窃取、盗用、复制系统文件、数据、资料、信息,造成泄密。

  25. 威胁网络安全的因素 • 物理威胁 • 偷窃:包括设备偷窃、信息偷窃和服务偷窃。 • 废物搜寻:指在被扔掉的打印材料、废弃软盘等废物中搜寻所需要的信息。 • 身份识别错误:非法建立文件或记录,企图把它们作为正式生产的文件和记录。 • 间谍行为:为了获取有价值的机密,采用不道德的手段来获取信息的一种行为。

  26. 威胁网络安全的因素 • 漏洞威胁 • 不安全服务:由于缺陷或错误使系统本身存在漏洞,这些问题可能导致一些服务程序绕过安全系统,从而对信息系统造成不可预料的损失。 • 配置和初始化错误:服务器启动时系统要初始化,如果安全系统没有随之正确的初始化,就会留下安全漏洞而被人利用。 • 乘虚而入:例如在FTP服务中,用户暂时停止了与某系统的通信,但由于端口仍处于激活状态,那么其他用户就可乘虚而入,利用这个端口与这个系统通信。

  27. 威胁网络安全的因素 • 身份识别威胁 • 口令圈套:口令圈套是网络安全的一种诡计,与冒名顶替有关。 • 口令破解:通过某种策略对口令进行分析和猜测。 • 编辑口令:这需要依靠操作系统漏洞。 • 算法考虑不周:口令验证系统必须在满足一定条件下才能正常工作 ,这个验证过程需要通过某种算法来实现。若算法考虑不周全,验证过程和结果就不可靠。

  28. 威胁网络安全的因素 • 恶意程序威胁 • 病毒:病毒是一种把自己的拷贝附着于其他正常程序上的一段代码。 • 特洛伊木马:这是一种远程控制工具,一旦被安装到某台主机上,该主机便可以被监视和控制。 • 代码炸弹:代码炸弹是一种具有杀伤力的代码,当预设条件满足时,代码炸弹就被猝发并产生破坏性结果。

  29. 威胁网络安全的因素 • 网络连接威胁 • 窃听:对通信过程进行窃听可达到收集信息的目的,通过检测从连线上发射出来的电磁辐射就能得到所要的信号。 • 冒充:通过使用别人的密码和帐号,获得对网络及其数据、程序的使用能力。 • 拨号进入:拥有一个调制解调器和一个电话号码,每个人都可以试图通过远程拨号访问网络,这种方法可以使防火墙失去作用。

  30. 网络信息安全技术 • 主动防御技术 • 数据加密 • CA认证 • 访问控制 • 虚拟网络技术 • 入侵检测技术

  31. 网络信息安全技术 • 被动防御技术 • 防火墙技术 • 安全扫描 • 密码检查器 • 安全审计 • 路由器过滤 • 安全管理技术

  32. 第二节 网络攻击与入侵

  33. 一、攻击的一些基本概念 1、攻击的位置 (1)远程攻击:从该子网以外的地方向该子网或者该子网内的系统发动攻击。 (2)本地攻击:通过所在的局域网,向本单位的其他系统发动攻击,在本机上进行非法越权访问也是本地攻击。 (3)伪远程攻击:指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象。

  34. 一、攻击的一些基本概念 2、攻击的层次 1)简单拒绝服务(如邮件炸弹攻击). 2)本地用户获得非授权读或者写权限 3)远程用户获得了非授权的帐号 4)远程用户获得了特权文件的读写权限 5)远程用户拥有了根(root)权限)

  35. 一、攻击的一些基本概念 3、攻击的目的 7)涂改信息 8)暴露信息 9)挑战 10)政治意图 11)经济利益 12)破坏 1)进程的执行 2)获取文件和传输中的数据 3)获得超级用户权限 4)对系统的非法访问 5)进行不许可的操作 6)拒绝服务

  36. 一、攻击的一些基本概念 4、攻击的人员 1)黑客:为了挑战和获取访问权限 2)间谍:为了政治情报信息 3)恐怖主义者:为了政治目的而制造恐怖 4)公司雇佣者:为了竞争经济利益 5)职业犯罪:为了个人的经济利益 6)破坏者:为了实现破坏

  37. 二、扫描器 1、扫描技术 扫描技术是主要的一种信息收集型攻击。 地址扫描:运用ping这样的程序探测目标地址 端口扫描:向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。 反响映射:黑客向主机发送虚假消息,然后根据返回"host unreachable"这一消息特征判断出哪些主机是存在的。 慢速扫描:由于一般扫描侦测器的实现是通过监视某个时间里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

  38. 二、扫描器 2、什么是扫描器 扫描器是一种自动检测远程或本地主机安全性弱点的程序。 通过使用扫描器可不留痕迹的发现远程服务器的各种TCP端口的分配、提供的服务、使用的软件版本!这就能间接的或直观的了解到远程主机所存在的安全问题。

  39. 1.合法使用:检测自己服务器端口,以便给自己提供更好的服务;1.合法使用:检测自己服务器端口,以便给自己提供更好的服务; 2.非法使用:查找服务器的端口,选取最快的攻击端口 网络安全扫描技术在网络安全行业中扮演的角色 (1)扫描软件是入侵者分析将被入侵系统的必备工具 (2)扫描软件是系统管理员掌握系统安全状况的必备工具 (3)扫描软件是网络安全工程师修复系统漏洞的主要工具 (4)扫描软件在网络安全的家族中可以说是扮演着医生的角色

  40. 安全扫描系统要素 (1)速度 (2)对系统的负面影响 (3)能够发现的漏洞数量 (4)清晰性和解决方案的可行性 (5)更新周期 (6)所需软硬件环境要求 (7)界面的直观性和易用性 (8)覆盖范围

  41. 二、扫描器 安全扫描工具分类 基于服务器和基于网络的扫描器。 基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。 基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。

  42. 扫描器分类 • 端口扫描器 (如:NMAP, PORTSCAN) 扫描目标机开放的服务端口及其有关信息 • 漏洞扫描器(如:ISS、NESSUS、SATAN等) • 对于重视安全的网站进行漏洞扫描,可能一无所获,因为流行的漏洞早已打补丁了。因此端口扫描器对黑客或许更有用。

  43. 二、扫描器 3、扫描器的工作原理 扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息 扫描器能够发现目标主机某些内在的弱点,这些弱点可能是破坏目标主机安全性的关键性因素。但是,要做到这一点,必须了解如何识别漏洞。扫描器对于Internet安全性之所以重要,是因为它们能发现网络的弱点。

  44. 二、扫描器 4、扫描器的功能 扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。 扫描器应该有三项功能: 1)发现一个主机或网络的能力; 2)一旦发现一台主机,有发现什么服务正运行在这台主机上的能力; 3)通过测试这些服务,发现漏洞的能力。

  45. 二、扫描器 5、常用的端口扫描技术 • TCP connect() 扫描 • 这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。 • 不需要任何权限。系统中的任何用户都有权利使用这个调用。 • 另一个好处就是速度。如果对每个目标端口以线性的方式,使用单独的connect()调用,那么将会花费相当长的时间,你可以通过同时打开多个套接字,从而加速扫描。 • 这种方法的缺点是容易被发觉,并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息,并且能很快的使它关闭。

  46. 二、扫描器 5、常用的端口扫描技术 TCP SYN扫描 “半开放”扫描,这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样(参考TCP的三次握手建立一个TCP连接的过程)。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听态。如果收到一个SYN|ACK,则扫描程序必须再发送一个RST信号,来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。

  47. 一、扫描器 5、常用的端口扫描技术 • TCP FIN 扫描 • 按照RFC793标准,关闭的端口应返回RST来回复FIN数据包。 • 另一方面,打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开,都回复RST,如NT.这样,这种扫描方法就不适用了。 • 用这种方法区分Unix和NT,是十分有用的。

  48. 一、扫描器 5、常用的端口扫描技术 • UDP ICMP扫描 • 使用UDP协议。 • 由于这个协议很简单,所以扫描变得相对比较困难。这是由于打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。 • 如端口关闭,应返回一个ICMP_PORT_UNREACH错误。 • UDP和ICMP错误都不保证能到达。 • 这种扫描方法是很慢的,因为RFC对ICMP错误消息的产生速率做了规定。

  49. 6、网络扫描的防范 关闭所有限制的和有潜在威胁的端口。 通过防火墙或其他安全系统检查各端口,如果有端口扫描症状时就立即屏蔽该端口。 利用特殊软件在一些端口上欺骗黑客,让其扫描和攻击“陷阱”端口。

  50. 三、网络监听 网络监听 • 网络监听也称为网络嗅探(Sniffer)。它工作在网络的底层,能够把网络传输的全部数据记录下来,黑客一般都是利用这种技术来截取用户口令。 • 特点: • 隐蔽性强 • 手段灵活

More Related