《INTERNET与网络安全防范.ppt》由会员分享,可在线阅读,更多相关《INTERNET与网络安全防范.ppt(77页珍藏版)》请在三一办公上搜索。
1、INTERNET与网络安全防范,梁京章广西大学信息网络中心,Internet与TCP/IP协议,Internet的发展历史网络协议与体系结构 TCP/IP体系结构,Internet的发展历史,ARPA网(1969年)internet project计划(1973年)NSF网(1986年)WWW(90年)商用Internet协会(1991年)JAVA(1995年)WEB2.0(2004年),Internet的概念,Internet是网络的互联,是互联的网络。Internet不是哪个国家和地区的一个具体的网络,是属于大家的(Internet 是实际上不存在但又无处不在的网络)。Internet不是
2、经过周密的论证和规划而组建的网络,存在诸多的先天不足。,1、网络协议 网络协议的概念:通信双方共同遵守的一组约定和规则。包括:(1)语义:规定“说”什么,即各种命令。(2)语法:规定如何“说”,即数据格式。(3)变换规则:通信中的应答关系。,网络协议和体系结构,2、网络体系结构1)问题的提出 问题:网络的复杂性机器型号、线路类型、连接方式、通信方式等各不相同。问题:如何使各种不同的系统互连?问题:制定全面的协议难以实现。解决:将制定协议的任务分为多个子任务,即将网络通信系统分为几个子部分(几个层次),然后分别制定标准。,网络协议和体系结构,2)网络的体系结构 概念:网络的层次结构及每层的协议。
3、典型的体系结构:ARPA网和Internet:TCP/IP IBM:面向集中型网络的“系统体系结构”SNA DEC的面向分布型网络的“数字网络体系结构”DNA 国际标准化组织ISO的开放系统参考模型OSI,网络协议和体系结构,3)网络分层的原则 层数适当:太少实现困难;太多层间开销大。每层完成特定功能:类似功能尽量集中在一层内。各层相对独立:某层功能的更改不影响其它各层。每层通过接口与相邻的上下层联系。下层对上层应该是透明的。,网络协议和体系结构,4)网络分层后的对等层通信,第N层协议,N-1层协议,第I层协议,主机A,主机B,物理介质,图2-3 OSI参考模型示意图,第一层协议,对等通信例子
4、,第N层协议(问候),N-1层协议(日语),第I层协议,甲,乙,物理介质,图2-3 OSI参考模型示意图,第一层协议(电话),秘书通信:,3.OSI参考模型 OSI:Open System Interconnection(开放系统互联参考模型)目标:任意两个系统,只要是按OSI模型建立的,则可以互连。组成:OSI包含两部分ISO/OSI/RM(ISO7498)服务与协议,网络协议和体系结构,OSI参考模型将整个网络分为七层,网络协议和体系结构,OSI参考模型得到了广泛的承认,成为其它体系结构靠拢的标准。OSI至今还仅仅是一个参考模型,相应的协议还没有实现。,网络协议和体系结构,TCP Tran
5、smission Control Protocol 传输控制协议IP Internet Protocol 网间互连协议,应用层,物理层,数据链路层,网络层,传输层,会话层,表示层,OSI参考模型,TCP/IP模型,应用层,网络接口层,网络层,传输层,7654321,第2层交换机、HUB、以太网 802.3等,TCP/IP体系结构,路由器、第3层交换机,第4层交换机,第7层交换机应用层防火墙,相应网络设备,访问地址,MAC地址,IP地址,端口号,进程号,TCP/IP体系结构,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,以太网,令牌环,FDDI,IP,ICMP,ARP RARP,T
6、CP UDP,SMTP,FTP,TFTP,Telnet,SNMP,DNS,Other,WLAN,快速以太网,千兆以太网,DHCP,网络安全防范,网络安全的概念 网络安全的基本要求 网络安全面临的威胁 网络安全的目标 网络安全的体系结构 网络安全的技术防范措施 网络安全管理原则,网络安全的概念,1、网络安全的重要性计算机系统的脆弱性(成本、安全和开放性的折衷),使网络安全一直就是一个问题。网络应用越普及,对网络的依赖越来越高,对网络安全的要求、对网络安全的关注度也越高。网络信息资源越多,网络安全受到的威胁就越大,可能带来的损失也越大。计算机和网络的高速发展,相应的计算机和网络文明建设却严重滞后技
7、术的发展。计算机和网络犯罪的特点,尤其是隐蔽性和不留痕迹,既使网络安全案件的侦破增加了难度,又会让犯罪分子有恃无恐。,网络安全的概念,2、网络安全的概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,网络安全的基本要求,1、完整性(Integrity):拥有的信息是否正确;保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增
8、添、替换。2、机密性(Confidentiality):谁能拥有信息,保证国家秘密和敏感信息仅为授权者享有。3、可用性(Availability:信息和信息系统是否能够使用,保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。,网络安全的基本要求,4、可控性(Controllability):是否能够监控管理信息和系统,保证信息和信息系统的授权认证和监控管理。5、不可否认性(Non-repudiation):为信息行为承担责任,保证信息行为人不能否认其信息行为。,网络安全面临的威胁,网络安全的威胁,根据对破坏的类型有两种类型,即主动威胁和被动威胁。主动威胁:对网络信息的威胁能观察到如删
9、除、修改、插入、攻击等。被动威胁:威胁者只监听网络信息的内容而不修改其内容。这种威胁难以发现。从威胁的危害性来看被动威胁更具有危害性。,网络安全面临的威胁,典型例子:窃听:显示窃听、打印窃听、传输窃听。假冒:当一个实体假扮成另一实体时,就发生了假冒。这种威胁在电子商务中具有很大的威胁性。钓鱼网站:是指不法分子仿冒正常网站域名以及内容,让网民信以为真,进而窃取网民的个人财产和个人账号等相关信息。拒绝服务:当一个授权实体不能获得对网络资源的访问或当紧急操作被推迟时,就发生了拒绝服务。,网络安全面临的威胁,后门。后门:原是指程序开发者为了完善自己设计的程序这一目的开设的特殊接口(通道),便于自己对程
10、序进行修改,一般都拥有最高权限。现在说所谓的“后门”是指隐藏在用户计算机内的程序,为木马等攻击、监控计算机开“后门”。,网络安全面临的威胁,木马。“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。对计算机和网络,“木马”指可以利用后门和漏洞控制用户计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。对于专门偷盗用户账号、密码和泄露用户信息的木马,一般成为间谍软件。感染了木马的网站称为“挂马”网站。,网络安全面临的威胁,计算机病毒。“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我
11、复制的一组计算机指令或者程序代码。”具有传染性的木马也称为木马病毒。,网络安全面临的威胁,计算机病毒。计算机病毒的特征:传染性与传播性破坏性欺骗性隐蔽性和潜伏性可触发性寄生性,网络安全面临的威胁,典型的计算机病毒:1988年,莫里斯事件。1989年,小球病毒。1992年,幽灵病毒。每感染一次就产生不同的代码。1995年,计算机病毒生产机软件出现(变形金刚、G2、IVP、VCL 等)。1996年,“宏病毒”出现。1998年,CIH 病毒。1999年,邮件病毒出现。典型:美丽杀手。2001年,“红色代码”、“概念蠕虫”(又称尼姆达,Nimda)病毒)全球发作。,网络安全面临的威胁,典型的计算机病毒
12、:2003年,冲击波病毒。2004年,网银大盗、证券大盗。2006 年,ARP病毒。新型电脑病毒“火焰”入侵中东。感染“火焰”的电脑将自动分析使用者的上网规律,记录用户密码,自动截屏保存和秘密录音。完成任务后,“火焰”还将自行销毁,不留踪迹。,网络安全面临的威胁,黑客攻击。黑客:原指非法进入系统者。最早是一个褒义词。现在泛指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。是一个中性词。是各种网络安全技术的综合利用。黑客存在的意义就是使网络变的日益安全完善,也可能让网络遭受到前所未有的威胁!,网络安全面临的威胁,黑客攻击。中国红客联盟:红客起源于1999年的“五八事件”,在美国炸中国驻贝尔格莱
13、德大使馆后,红客建立了一个联盟名为红客大联盟。组织成员利用联合的黑客技能,为表达爱国主义和民族主义,向一些美国网站,特别是政府网站,发出了几批攻击。红盟于2004年解散。2011年11月1日重组。,菲律宾的政府官网刚刚遭到中国红客攻击!,黑客攻击技术和形态的发展,多种攻击技术的融合攻击工具体系化攻击速度提升很快黑客大规模的协作攻击技术更新换代快,新一代恶意代码(蠕虫、木马),2002,多种攻击技术的融合,攻击工具体系化,极短时间内(Flash worms-30s),利用优化扫描的方法,感染近十万个有漏洞的系统,可以确定并记录是否被击中(4-5分钟,感染近百万台系统)。,攻击速度提升很快,黑客大
14、聚会,攻击经验切磋,入侵知识交流,1、国内多家银行网银用户遭到大规模钓鱼攻击,损失巨大。相关链接:5万中银用户遭网银升级骗局!()2、RSA遭黑客攻击,主流身份认证产品SecureID的重要信息泄漏,导致美国多家军工企业信息系统受到严重威胁。相关链接:RSA 被攻击了,很重要的安全事件呀(http:/=27274),2011年的信息安全事件,3、LulzSec成功袭击了中央情报局,美国参议院,任天堂,索尼等多家机构,引起国际社会广泛关注。相关链接:LulzSec又放倒了美国中央情报局网站()4、DigiNotar、Comodo等多家证书机构遭到攻击,攻击者得以伪造google、live、gma
15、il、skype等多家知名网站证书。相关链接:DigiNotar因证书泄露事件倒闭(http:/=29220),2011年的信息安全事件,5、由于南海领土纠纷引起中越黑客相互攻击对方重要网站。相关链接:中越黑客相互攻击()6、韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失。相关链接:韩最大银行遭遇黑客 农协银行5千分行电脑瘫痪(http:/=27623),2011年的信息安全事件,7、美联合航空电脑故障,全国服务大乱;相关链接:美联合航空电脑故障全国服务大乱()8、腾讯网大面积访问异常;相关链接:11年5月腾讯网大面积访问异常(http:/=29222),2011年的信息安全事件,9
16、、团购宝中毒3万淘宝卖家商品“被1元”。相关链接:11年6月“团购宝中毒3万淘宝卖家商品”被1元“”()10、支付宝部分用户帐号遭盗用,资金“被捐款”.相关链接:11年10月“支付宝部分用户帐号遭盗用,资金被捐款”。(http:/=29225),2011年的信息安全事件,11、CSDN网站中超过600万个注册邮箱账号和对应的明文密码数据库泄密。相关链接:中国互联网最大用户资料泄密事件始末调查()12、京东大量账户信息泄露遭盗用 泄密源于CSDN事件。相关链接:(),2011年的信息安全事件,网络安全的目标,可以对网络安全现状作出正确判断。可以较为准确的估计特定网络用户的风险。可以建立相应的控制
17、风险的机制,并把这些机制融为一体形成完整的防护体系。可以最大限度地提高系统的可用性,并把网络的风险降低到可接受的程度。,网络安全的体系结构,在考虑网络安全时,把安全体系划分为一个多层面的结构,每个层面都是一个安全层次。根据网络的应用现状情况和网络的结构,我们把网络安全问题定位在以下五个层次。,网络安全的体系结构,层次一:物理层安全,通信线路的安全物理设备的安全机房的安全,网络安全的体系结构,层次二:系统层安全,这一层次的安全问题来自于网络内使用的操作系统:WINDOW NT、WINDOWS2000、NETWARE、LINUX等,系统层的安全性问题表现在两方面:操作系统本身的不安全对操作系统的配
18、置不合理,网络安全的体系结构,层次三:网络层安全,该层次的安全问题主要体现在网络信息的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密及完整性、远程接入的安全、域名系统的安全、路由系统的安全和入侵检测的手段等。,网络安全的体系结构,层次四:应用层安全,该层次的安全考虑所采用的应用软件和数据的安全性,包括数据库软件、WEB服务、电子邮件系统等,此外还包括病毒对系统的威胁。,网络安全的体系结构,层次五:管理层安全,安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角
19、色定义都可以在很大程度上降低其它层次的安全漏洞。,身份认证技术是对进入系统或网络的用户身份进行验证,防止非法用户进入。身份认证技术的实现有-智能卡-基于对称密钥体制的Keberos身份认证协议-基于非对称密钥体制证书机制,身份认证技术,网络安全的技术防范措施,访问控制是主体对客体的一种访问授权。典型的访问控制有:-用户入网的访问控制-服务器的安全访问控制-目录级的访问控制-操作系统的访问控制,访问控制技术,网络安全的技术防范措施,防火墙在被保护网络和因特网之间,或在其他网络之间限制访问的一种或一系列部件。防火墙的作用:1、过滤进出网络的数据包2、管理进出网络的访问行为3、封堵某些禁止的访问行为
20、4、记录通过防火墙的信息内容和活动5、对网络攻击进行检测和告警,防火墙技术,网络安全的技术防范措施,入侵者攻击系统的行为称为入侵行为,主要是指对系统资源的非授权使用。IDS的作用*监控网络和系统*发现入侵企图或异常现象*实时报警*主动响应*审计跟踪,入侵检测系统(IDS),网络安全的技术防范措施,防病毒系统是用来实时检测病毒、蠕虫及后门的程序,通过不断更新病毒库来清除上述具有危害性的恶意代码。网络防病毒具有-全方位、多层次防病毒-统一安装,集中管理-自动更新病毒定义库的特点,防病毒技术,网络安全的技术防范措施,漏洞扫描是对网络和主机的安全性进行风险分析和评估的软件,是一种能自动检测远程或本地主
21、机系统在安全性方面弱点和隐患的程序包。,漏洞扫描技术,网络安全的技术防范措施,VPN即虚拟专用网,是实现数据在传输过程中的保密性和完整性而双方建立的安全通道。,VPN技术,网络安全的技术防范措施,1)一把手负责原则 信息安全事关大局,涉及部门全局,需要第一把手负责才能统一大家的认识,组织有效队伍,调动必要的资源和经费,落实各部门间的协调。,安全管理参考原则,2)动态发展原则 信息网络安全状况不是静态不变的,随着对手攻击能力的提高、自己对信息网络安全认识水平的深化,必须对以前的安全政策有所检讨,对安全措施和设施有所加强。安全是一个过程,世界上没有一劳永逸的安全。,安全管理参考原则,3)风险原则
22、由于信息网络安全是动态发展的,因此安全也不是绝对的。我们不能作到绝对安全,但是我们可以追求和实现在承担一定风险下的适度安全。因此,当我们规划自己的信息网络系统安全的时候,首先要进行风险分析。根据要保护的资源的价值和重要程度,考虑可以承受的风险度,并以此为依据指定技术政策和设置保护设施。,安全管理参考原则,4)预防原则 在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。以预防为主的指导思想对待信息安全问题,不能心存侥幸。5)立足国内原则 安全技术和设备首先要立足国内,不能未经许可,未能消化改造直接应用境外的安全保密技术和设备。,安全管理参考原则,6)选用成熟技术
23、原则 成熟的技术能提供更可靠的安全保证,采用新技术时要重视其成熟的程度。如果对技术成熟的程度没有把握,行业竞争又形势紧迫,新业务的技术保护措施迫在眉睫,可以运用局部试点逐步扩大的试点工程来摸索经验,减少可能出现的损失。,安全管理参考原则,7)均衡防护原则 人们经常用木桶装水来形象的比喻应当注重安全防护的均衡性,箍桶的木版中只要有一块短板,水就会从那里泄漏出来。我们设置的安全防护中要注意是否存在薄弱环节。,安全管理参考原则,8)分权制衡原则 重要环节的安全管理要采取分权制衡的原则,要害部位的管理权限如果只交给一个人管理一旦出问题就将全线崩溃。分权可以相互制约,提高安全性。,安全管理参考原则,9)
24、灾难恢复原则 越是重要的信息系统越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统的数的一致性。一旦遇到灾难,立即启动备份系统,保证系统的连续工作。,安全管理参考原则,ARPA网,美国国防部高级研究项目组织1969年建立。开始只有4个节点,后来越来越多,管理变得越来越困难。1975年 ARPA网分为军事和其它两部分。1986年ARPA网的其它部分并入NSF网。1990年ARPA网停止运行。ARPA网对计算机网络和Internet的发展都作出了巨大贡献。,返回,Internet的发展历史,ARPA网的贡献,采用资源子网与通信子网的两级网络结构。
25、采用报文分组交换方式。线路交换:类似打电话方式。存贮-转发:先存于缓冲区中,若出线空闲即发出。(报文交换)分组交换:分组,分别存贮-转发。采用层次结构的网络协议。ARPA网充分证实了计算机网络的优越性。,返回,Internet的发展历史,internet project计划,美国国防部1973年开始的一项研究网络互连的项目。结果是:TCP/IP协议的诞生。实现了网络互连。ARPA网分为军事和其他两部分。Internet开始形成。,返回,Internet的发展历史,NSF网,1986年由美国国家科学基金会建立。NSF网以高性能的计算机为核心。ARPA网的其他部分转到NSF网,NSF网成为Inte
26、rnet的核心网络,返回,Internet的发展历史,WWW,World Wide Web,又称为Web.WWW的主要技术是HTML和HTTP。WWW将Internet上的资源有机地联系起来,并以丰富的形式完美地予以展示。WWW使Internet变得容易使用,为Internet的广泛应用创造了有利条件。,返回,Internet的发展历史,商用Internet协会,1991年由GA、PSI、UUT三家公司创立。为客户提供商业用途的Internet服务。1995年NSF网也由私营企业管理运作。Internet的商业化彻底完成。WWW技术和Internet的商业化,使Internet从专家学者走向平
27、民。,返回,Internet的发展历史,JAVA语言,SUN公司开发的一种计算机语言。最主要的特点是跨平台特性,非常适合网络应用的开发。JAVA的出现为Internet的应用热潮无疑是火上加了一把油。,返回,Internet的发展历史,WEB2.0,2001年秋,网络泡沫的破灭标志着互联网的一个转折点。“Web 2.0”的概念2004年始于出版社经营者OReilly和MediaLive International之间的一场头脑风暴(一种创造能力的集体训练法)论坛。web2.0的核心不是技术而在于指导思想。与其说web2.0是互联网技术的创新,不如说是互联网应用指导思想的革命。,Internet的发展历史,WEB2.0特征,多人参与:Web1.0里,互联网内容是由少数编辑人员(或站长)定制的,比如各门户网站;而在Web2.0里,每个人都是内容的供稿者。信息是由每个人贡献出来的,各个人共同组成互联网信息源。Web2.0的灵魂是人。可读可写互联网。web2.0的核心不是技术而在于指导思想。与其说是互联网技术的创新,不如说是互联网应用指导思想的革命。,Internet的发展历史,WEB2.0的典型应用,博客。播客维基百科。百度百科。P2P下载。社会书签。SNS。如FACEBOOK。社区。,返回,Internet的发展历史,
