《网络安全基础知识ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全基础知识ppt课件.ppt(67页珍藏版)》请在三一办公上搜索。
1、网路安全及黑客攻防,制作人:王明辉,第一.课程简介,计算机网络安全基础:包括信息安全、网络安全、病毒、黑客以及基本网络技术等。基本的黑客攻击技术:包括基本命令、扫描、监听、入侵、后门、隐身、恶意代码等。基本的防御技术:包括系统安全、加密、防火墙、隔离闸、入侵检测、IP安全、Web安全等。目的是使同学们可以进一步了解网络基本知识,掌握初步的黑客攻击技术,提高网络安全意识。,引入,研究网络安全的意义?,不只为了个人信息和数据的安全,网络安全已经渗透到社会各个领域,甚至影响到国家的政治、经济、军事等。,网络安全与政治,2011年8月国家互联网应急中心披露,全国有十分之一的政府部门网站(电子政务工程)
2、遭遇黑客篡改,其中包括国防部、水利部、国土资源部、最高人民检察院等。2010年9月江西宜黄发生拆迁自焚事件,18日宜黄政府网站遭遇黑客攻击,出现“放了钟如九”的字样,当地政府只能暂时关闭网站。,知识链接电子政务工程,“一站两网四库十二金”一站:政府门户网站:http:/,网络安全与经济,利用计算机网络实施金融犯罪已经渗透到了我国金融行业的各项业务。2003年,甘肃省一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。电线杆上随处可见的“代理抓肉鸡”广告。,网络安全与社会稳定,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。9
3、9年4月河南商都热线一个BBS,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提了十多亿。我国计算机犯罪的增长速度超过了传统的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后来就没有办法统计了。,网络安全与军事,在第二次世界大战中,美国破译了日本人的密码,将日本的舰队几乎全歼,重创了日本海军。目前的军事战争更是信息化战争,下面是美国三位知名人士对目前网络的描述。美国著名未来学家阿尔温托尔勒说过“谁掌握了信息,控制了网络,谁将拥有整个世界。美国前总统克林顿说过“今后的时代,控制世界的国家将不是靠军事,而是信
4、息能力走在前面的国家”。,学习目标,了解网络安全的基本知识 6课时熟悉常用网络安全攻击技术 12课时熟悉常用网络安全防御技术 12课时,学习完本课程,您应该能够:,Part1计算机网络安全基础,第一讲信息安全概念信息安全目标CIA信息安全的发展信息安全研究内容及关系网络安全概念网络安全的威胁网络安全的层次网络安全的研究内容网络安全的模型网络信息安全立法,1 信息安全概念,信息化:根据最新公布的2006-2020国家信息化发展战略,信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,实现国家现代化。信息化6要素:开发利用信息资源,建设国家信息网络,推进信息技术应用,发展信息技术和
5、产业,培育信息化人才,制定和完善信息化政策。,数字化:是将各种形式的信息转变为可以度量的数据,再把数据建立起适当的数字化模型,把它们转变为一系列二进制代码,引入计算机内部,进行统一处理,这就是数字化的基本过程。如数码相机、数字电视。数字化优点:便于存储、加工、处理、传输。,广义上,信息安全是保证信息各环节的安全性。它是一门涉及计算机技术、网络技术、通信技术、密码技术、数论、信息论、法律、心理学等多种学科的综合性学科。狭义上,信息安全是指信息网络的硬件、软件及其数据受到保护,不遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。,2信息安全目标CIA,完整性Integrity,保密性C
6、onfidentiality,可用性Availability,信息安全目标CIA,保密性Confidentiality:保证信息不被非授权访问和即使非授权用户得到信息也无法知晓信息内容。(访问控制、数据加密等安全措施)完整性Integrity:维护信息的一致性,即信息在生成、传输、存储和使用过程中不被非授权篡改。(消息摘要算法等安全措施)可用性Availability:保障信息资源随时可提供服务的能力特性,合法用户在需要的时候,可以正确使用需要的信息,而不遭拒绝。,3信息安全的发展,计算机信息系统安全模型和计算机安全评价准则。,开发了很多网络环境下的信息安全与防护技术,开发了网络加密、认证、数
7、字签名。,提出了信息保障的PDRR模型,通信保密阶段,发展各种密码算法,单机系统的信息保密阶段,网络信息安全阶段,信息保障阶段,知识链接美国可信计算机安全评价标准TCSEC,美国国防部开发的计算机安全标准可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria:TCSEC),也是网络安全橙皮书。自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。,D级-低级保护:是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。属
8、于这个级别的操作系统有:DOS和Windows98等。,C1-自主安全保护:又称选择性安全保护.有某种程度的保护,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。早期的UNIX系统属于该级别。,C2-受控存储控制:使用附加身份验证,系统用户在不是超级用户的情况下有权执行系统管理任务。能够达到C2级别的常见操作系统有:Unix系统Novell 3.X或者更高版本Windows NT、Windows 2000和Windows 2003,B1-标志安全保护:处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。安全级别存在
9、保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。AT&TSystemV属于该级别。,B2结构化保护:它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。可信任的Xenix系统属于该级别。B3-安全区域:使用安装硬件的方式来加强域的安全,例如内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。HoneywellFederalSystemsXTS-200系统属于该级别。,A级-验证设计级别(Verified Design):是当前橙皮书的最高级别,
10、它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性。设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。,安全级别与通常计算机系统对比图,ms-dos、Windows 98,早期的UNIX系统,Windows NT、2003、linux、UNIX,可信任的Xenix系统,AT&TSystemV,HoneywellFederalSystemsXTS-200,知识链接其他评价标准,知识链接信息保障PDRR模型,Protect,Detect,React,Restore,4信息安全研究内容及关系,6网络安全概念,计算机网络环境下的信息安全。,网络不安全的原因自
11、身缺陷+开放性+安全意识+黑客攻击,7网络安全的威胁,截获从网络上窃听他人的通信内容。中断有意中断他人在网络上的通信。篡改故意篡改网络上传送的报文。伪造伪造信息在网络上传送。,安全威胁既可以是来源于外部的,也可以是来源于内部的,安全防御往往是从内部被攻破的。,33/,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,只对信息进行监听而不修改,对信息进行故意修改,安全的威胁的分类,8网络安全的层次,先了解计算机网络的体系结构:将复杂网络通讯过程采取模块化处理方式-分层结构,每一层完成一个相对简单的特定功能,通过各层协调来实现整个网络通信功能
12、。OSI/RM模型、TCP/IP模型,邮政系统的分层结构,各层功能明确,且相互独立易于实现。各层之间通过接口提供服务,各层实现技术的改变,不会影响其他层。易于标准化。,分层的优点,OSI/RM体系结构,TCP/IP体系结构,知识链接TCP/IP协议,IP协议是网络层不可靠、无连接的数据报传输服务。IP数据报传输服务过程:把从上层来的数据报分组,并封装成一个个IP数据包(报头+数据);每个IP数据包由中间节点独立选择路由;IP数据包到达目的节点后,组装并交给上层。,IP分组交换示意图,IP地址,思考:主机的标识方法有哪些,分别在什么场合下使用?主机名 MAC地址 IP地址 域名IP地址-网络层地
13、址,主机在Internet上的标志方法。IP地址与身份证号码一样,采用数值来表示,用32位二进制表示。例:11011110101111100110111011100010 分段:11011110 10111110 01101110 11100010 转化十进制:222.190.110.226,IP地址的结构,32位的IP地址采用网络主机的层次结构.如下图:,网络标识(网络号)的长度决定整个因特网中能包含多少个网络。主机标识(主机号)的长度决定每个网络能容纳多少台主机。具有同一个网络位标识的主机能直接通信,不具有相同网络标识的不能直接通信。,IP地址现状,IP地址分配的不均衡性:1.理论上说,I
14、P地址一共可以有232=42.9亿个,但全球有60多亿的人口,不久的将来IPv4定义的有限地址空间将被逐渐耗尽。2.IP 地址没有合理的分配给各个国家和地区,美国占有绝大多数IP地址。美国现有IP地址 12亿左右,平均每个美国人有4个IP地址。中国大约25个中国人1个IP地址(按13亿中国人计算)。美国人均IP地址是我们的一百倍。,目前广泛采用的私有地址、动态地址分配、无类域间路由和子网掩码等地址复用技术,以及收紧地址分配策略等政策手段,节约了大量的IPv4地址资源。如:内部局域网保留地址10.X.X.X172.16.X.X172.31.X.X192.168.X.X-192.168.X.X,I
15、Pv6技术采用128位地址,按保守方法估算IPv6实际可分配的地址,整个地球每平方米面积上可分配1000多个地址。,TCP协议,TCP是传输层上端到端的面向连接协议.,TCP建立连接三次握手机制,第一次握手:建立连接时,客户端发送syn包(syn=X)到服务器,并进入SYN_SEND状态,等待服务器确认;第二次握手:服务器收到syn包,必须确认客户的SYN(ack=X+1),同时自己也发送一个SYN包(syn=Y),即SYN+ACK包,此时服务器进入SYN_RECV状态(SYN=Y,ACK=X+1);第三次握手:客户端收到服务器的SYNACK包,向服务器发送确认包ACK(ack=Y+1),此包
16、发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。,知识链接 TCP关闭连接四次挥手机制,TCP的连接是全双工(可以同时发送和接收)连接,因此在关闭连接的时候,必须关闭传和送两个方向上的连接。1、客户机给服务器一个FIN为1的TCP报文(FIn=1,X)2、服务器接收FIN报文,并返回给客户端一个确认ACK报文ACK=X+13、同时服务器也发送一个FIN报文(FIN=1,Y)4、客户机接收FIN+ACK报文,并回复ACK报文(ACK=Y+1),连接就结束了。,网络安全的层次-OSI安全体系结构,基于OSI参考模型的七层协议之上的信息安全体系结构.定义了5类安全服务、8种的安
17、全机制。,网络在体系结构各层上都存在安全隐患,5类安全服务,鉴别访问控制数据机密性数据完整性抗否认,8种安全机制,加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务填充机制路由选择控制机制公证机制,确保数据安全性的基本方法,确保数据真实性的基本方法,确保授权用户在限权内合法操作,确保数据单元和单元序列的完整性,包括站点、报文、用户和进程的认证等,挫败信息流分析攻击的一种常用机制,选择安全的数据传输路径,提供第三方公证仲裁,网络安全体系结构,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,最重要的一层主要涉及到电气信号、网络设备及设施的安全。譬如机房构建,综合布线,核
18、心设备,防断电,防火,防盗,防雷,防静电、防灾等。主要措施是制定完整的管理规范和防灾措施。如机房管理办法,电磁屏蔽、异地备份,系统、防雷接地系统、门禁系统、消防报警及自动灭火系统、保安监控系统等。,主要涉及MAC地址接入,广播风暴等。主要措施有MAC地址绑定链路加密、VLAN划分,主要涉及端到端连接,端口漏洞主要措施SSL、SSH、SOCKS加密和身份验证、流量控制、IDS、IPS,会话管理和数据加密,最难保护的层主要涉及操作系统安全,应用软件安全,如系统漏洞、邮件爆炸、病毒、木马、恶意程序等。主要安全技术有系统漏洞扫描、定期检测、杀毒以及制定相关系统安全策略。,9网络安全的研究内容,网络安全
19、攻击防御体系,攻击技术,网络扫描,网络监听,网络入侵,网络后门与网络隐身,防御技术,操作系统安全配置技术,加密技术,防火墙技术,入侵检测技术,网络安全的基础,操作系统:Unix/Linux/Windows,网络协议:IP/TCP/UDP/SMTP/POP/FTP/HTTP,网络安全的实施,工具软件:Sniffer/X-Scan/防火墙软件/入侵检测软件/加密软件 等等,编程语言:C/C+/Perl,安全理论:网络基础、密码理论、安全体系结构等,10网络安全立法情况,我国立法情况我国信息安全立法问题认识过程概括起来,是沿着一条技术+管理+法律规范的发展路线,逐步提高认识的。2003 年中办下发的
20、关于加强信息安全保障工作的意见(中办发200327号)是目前我国信息安全保障方面的一个纲领性文件。,在此之前出台的法律法规主要分为两大类,一是部门规章。如计算机信息网络国际联网安全保护管理办法、计算机信息系统保密管理暂行规定、公安部关于对与国际联网的计算机信息系统进行备案工作的通知、涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法、计算机信息系统安全专用产品检测和销售许可证管理办法、关于中国互联网络域名体系的公告和加强我国互联网络域名管理工作的公告等。,二是领域的单行法律法规。如国际互联网管理、国际信道、域名注册、密码管理、重要信息系统和信息内容等。如1994年2月发布的中华人民共和
21、国计算机信息系统安全保护条例、中国互联网络城市注册暂行管理办法、中华人民共和国计算机信息网络国际联网管理暂行规定实施办法、计算机信息网络国际联网管理暂行规定、中国公共计算机互联网国际联网管理办法、计算机信息网络国际联网出入口信道管理办法、国家信息化工作领导小组2001年3月颁布的关于计算机网络信息安全管理工作中有关部门职责分工的通知、中办、国办2002年3月印发的关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见等。,我国现行信息安全法律法规的特点:1)已出台的条例和规定缺乏系统性和权威性,尚未上升到法律的高度。2)已出台的条例和规定之间的协调性和相通性不够。因大多出自各部门,如保密、公
22、安、信息产业、国家安全、邮电、技术监督等,缺乏统筹规划。3)有些法规制度过于原则或笼统,缺乏可操作性。4)有些法规制度明显滞后。,国际立法情况信息网络安全已成为国家安全的一个重要组成部分。为此,各国政府在采取必要技术防范措施的同时,都在加紧进行有关信息安全的立法工作,通过法律来加强对信息安全的保护。,美国 在美国,专门用来解决信息网络安全问题的法律法规不少于18部,这些法律法规主要涉及以下几个领域:加强信息网络基础设施保护、打击网络犯罪,如国家信息基础设施保护法、计算机欺诈与滥用法、公共网络安全法、计算机安全法、加强计算机安全法、加强网络安全法;规范信息收集、利用、发布和隐私权保护,如信息自由
23、法、隐私权法、电子通信隐私法、儿童在线隐私权保护法、通信净化法、数据保密法、网络安全信息法、网络电子安全法;确认电子签名及认证,如全球及全国商务电子签名法其他安全问题,如国土安全法、政府信息安全改革法、网络安全研究与开发法等。,日本 日本十分重视信息化建设,通过e-Japan重点计划、全国宽带构想、亚洲宽带计划等明确了日本“打造世界最先进的信息化国家”战略目标。为了保证这一目标的顺利实现,确保信息网络安全,日本政府先后制定通过了一些法律法规,如建立高度信息通信网络社会基本法(简称IT基本法)、电子签名法、禁止非法接入法等,目前仍处在审议过程中的法律法规有个人信息保护法、行政机关保存的个人信息保
24、护法、独立公共事业法人等保存的个人信息保护法、信息公开、个人信息保护审查会设置法等。,习题,一、选择题1.信息安全的目标CIA指的是_。A.机密性 B.完整性 C.可靠性 D.可用性2.1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保护划分为以下_个级别。A.3 B.4 C.5 D.63.根据美国可信计算机安全评价标准,TCSEC,WindowsXP系统属于_级别。A.D级 B.C1级 C.C2级 D.B1级,二、填空题1.信息保障的核心思想是对系统或者数据的4个方面的要求:_,检测(Detect),_,恢复(Restore)。2.从系统安全的角度可以把网络安全的研究内容分成两大体系:_和_。3.电子政务工程一站是指_,二网是指_和_。4.OSI/RM参考模型把计算机通信过程分为_层,TCP/IP参考模型把计算机通信过程分为_层。,三、名词解释1.信息化2.数字化3.计算机网络体系结构,四、简答题1.简述IP数据报传输数据过程?2.简述TCP的三次握手连接和四次挥手连接?3.从层次上,网络安全可以分成哪几层?每层有什么特点?3.国内和国际上对于网络安全方面有哪些立法?4.为什么要研究网络安全?,
