《网络的安全管理.ppt》由会员分享,可在线阅读,更多相关《网络的安全管理.ppt(44页珍藏版)》请在三一办公上搜索。
1、第五章 网络安全管理,5.1网络安全概述 计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。,针对网络安全的威胁主要有三类:,(一)人为的无意失误:(二)人为的恶意攻击:此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。(三)网络软件的漏洞和“后门”:,根据网络的应用现状情况
2、和网络的结构,可分为:,1物理层安全 该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。2系统层安全 该层次的安全问题来自网络内使用的操作系统的安全,如Linux、Unix,Windows 2000等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。,3网络的安全性(网络层安全)主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。4应用的安全性(应用层安全)主要由提供服务所采用的应用软件和数据的安
3、全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。5管理的安全性(管理层安全)安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。,5.2 网络管理中一般的安全策略,网络管理中一般的安全策略包括:物理安全策略、访问控制策略、信息加密策略、网络安全管理策略等。,在具体的网络应用中,日常采取的安全策略有:,1网络操作系统安全性:主要考虑服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。2web服务器安全预防措施:3网络病毒、木马程序的防御 4利用防火墙和入侵检测系统增强网络的安全性和可管理性,5.3 主要的网络
4、安全技术,当前Internet受到的安全的威胁主要表现在以下几个方面:冒充合法用户、非授权访问、非法监听、篡改数据、干扰系统正常运行、利用网络传播病毒等。主要网络安全技术:访问控制技术、防火墙技术、入侵检测技术和网络防病毒技术来解决。,5.3.1 网络黑客攻击技术,1 远程攻击的一般过程 隐藏自己的位置收集被攻击方的相关信息 利用适当的工具进行攻击 窃取网络资源和特权,2常用的网络攻击工具。,1)扫描器 扫描器是一种自动检测远程或本地主机安全性弱点的程序,可以用来发现远程服务器使用的端口并以此判断主机所提供的服务。扫描器的种类很多,有端口扫描器、漏洞扫描器、解析扫描器等。Hscan:SATAN
5、:,2)特洛伊木马,一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。SubSeven:灰鸽子:,3)网络监听,网络监听用于在以太网或其它共享传输介质的网络上截获传输的信息。将网络接口设置在混杂模式,可以截获网上传输的用户账号、密码等信息。由于网络监听工具是被动的程序,本身在网络上不留下任何痕迹,因此被攻击方很难发现自己的网段是否存在网络监听。Sniffer Pro:Tcpdump:,4)密码攻击 密码破解中使用的常见的技术包括:字典攻击(Dictionary attack)、混合攻击(Hybrid attack)和蛮力攻击(Brute force attack)。5)拒绝服务攻击(DoS
6、)TFN2K:Trinoo:,访问控制技术,访问控制是网络安全防范和保护的主要策略,它通过不同的手段和策略来实现对网络信息系统的访问控制,其目的是保护网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问请求加以控制。其中客体是指网络资源,包括数据、网络设备等;主体是指对客体访问的活动资源,主体是访问的发起者,通常是指进程、程序或用户。,1访问控制策略,访问控制策略可以划分为自主访问控制、强制访问控制和基于角色的访问控制三种。自主访问控制(Discretionary Access Control)自主访问控制是一种允许主体对访问控制进行特定
7、限制的访问控制类型。它允许主体针对访问资源的用户设置访问控制权限,用户对资源的每次访问都会检查用户对资源的访问权限,只有通过验证的用户才能访问资源。,强制访问控制(Mandatory Access Control)强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制,通过比较资源的敏感性与主体的级别来确定是否允许访问。系统事先给所有的主体和客体指定不同的安全级别,最高秘密级(Top Secret)、秘密级(Secret)、机密级(Confidential)以及无级别级(Unclassified),其级别顺序为TSSCU。在实施访问控制时,系统先对主体
8、和客体的安全级别进行比较,再决定访问主体能否访问该客体。基于角色的访问控制(Role Based Access Control)基于角色的访问控制是指在应用环境中,通过对合法的访问者进行角色认证来确定访问者在系统中对哪类信息有什么样的访问权限。不同的角色被赋予不同的访问权限,系统的访问控制机制只看到角色,而看不到用户。角色可以理解成为其工作涉及相同行为和责任范围内的一组人,一个访问者可以扮演多个角色,一个角色也可以包含多个访问者。,2访问控制技术,访问控制包括:入网访问控制网络的权限控制目录级安全控制属性安全控制网络服务器安全控制网络监测和锁定控制网络端口和节点的安全控制,5.3.3 防火墙技
9、术,防火墙是指设置在不同网络或不同网络安全域之间的一系列部件的总称,广泛的应用于专用网络与公用网络的互联环境之中,如企业网接入Internet网络。防火墙本质上是一种隔离技术,作用是防止不希望的、未授权的通信进出被保护的网络。防火墙有各种具体的实现方法,如以软件形式运行在普通计算机之上的,或者以固件形式设计在路由器之中的等等,一般的防火墙都基本功能:,允许网络管理员定义一个中心点来防止非法用户访问内部网络。可以很方便地监视网络的安全性,并报警。可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的I
10、P地址对应起来,用来缓解地址空间短缺的问题。可以提供对Internet访问流量的审计和记录。可以连接到一个单独的网段(即DMZ),从物理上和内部网段隔开,并在此部署WWW和FTP等服务器,将其作为向外部发布信息的地点,1 防火墙的防火墙的体系结构,1)屏蔽路由器(ScreeningRouter),2)双穴主机网关(DualHomedGateway),3)被屏蔽子网(ScreenedSubnet),2防火墙种类,防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,总的来说可以分为四两种:包过滤防火墙应用网关防火墙状态检测防火墙复合型防火墙,包过滤防火墙(Packet Filtering),
11、应用网关防火墙,状态检测防火墙,复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于代理服务的方法结合起来,形成复合型防火墙产品。复合型防火墙把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。,3防火墙产品介绍,Sygate Personal Firewall个人防火墙 Sygate Personal Firewall个人防火墙能对网络、信息内容、应用程序、以及操作系统提供多层面全方位保护,可以有效性地防止黑客、木马和其它未知网络威胁的入侵。Sygate Persona
12、l Firewall 能够从系统内部进行保护,并且可以在后台不间断地运行。另外它还有安全访问和访问监视功能,提供所有用户的活动报告,当检测到入侵和不当的使用后,能够立即发出警报。Floppyfw防火墙 每一个主要的Linux版本都有不同的防火墙软件套件。Linux 最早出现的防火墙软件称为 ipfw,取而代之的是 ipchains,Iptabels被认为是Linux中实现包过虑功能的第四代应用程序。它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。iptables只读取数据包头,不会给信息流增加负担,此外它也无需进行验证。Floppyfw是一种能存放在一张普通的软盘里,并独立的在R
13、AM内存中运行的Linux 防火墙。Floppyfw通过Linux内核启动,使用它能启动计算机,利用iptables过滤掉无用的IP包,还可以使用它来配置IP伪装(IP masquerade或NAT),监视端口,通过它可以使主机对其他网络中的计算机进行远程控制。,天融信网络卫士防火墙北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由一套专用硬件设备(Firewall)及一次性用户口令客户端软件(otp.exe)组成。网络卫士防火墙集中了包过滤防火墙,网络地址转换、端口/地址映射、虚拟专用网、应用代理、流量管理、一次性口令认证、IP和M
14、AC地址绑定、用户权限控制、透明接入、基于用户和IP的计费、内部网段分割、安全审计/管理、防止IP地址欺骗、入侵检测等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。,5.3.4 网络入侵检测技术,入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术,它能实现对网络的安全监视,是防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的
15、安全管理能力。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。,1入侵检测模型,入侵检测系统分为4个基本组件:事件产生器、事件分析器、响应单元和事件数据库.,2 入侵检测系统类型,入侵检测系统分为3类:基于主机的入侵检测系统基于网络的入侵检测系统集成化的入侵检测系统(混合型),3入侵检测的分析方式,入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵检测分析技术主要分为两类:异常检测 误用检测,异常检测,检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特
16、征(用户轮廓),建立系统正常行为轨迹,当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型,。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。,误用检测,检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。基于误用的入侵检测技术通过某种方式预先定义入侵行为,收集非正常操作(也就是入侵行为的特征)建立相关的特征库,然后监视系统的运行,将收集到的数据与特征库中的特征代码进行比较,得出是否是入侵的结论。基于误用的入侵检测技术也叫作基于特征的入侵检测技术。,4入侵检测的过程,入侵检测系统的检测过程包括3个步骤:信息收集信息
17、分析结果处理,5常用的入侵检测工具,Watcher:用于linux系统,检测所有通过的信息包,并且将它认为是恶意的攻击行为记录在syslog中。watcher能够检测的攻击行为包括:所有的TCP扫描、所有的UDP扫描、Synflood攻击、Teardrop攻击、Land攻击、Smurf攻击、Pingofdeath攻击。Watcher有三种监测模式,在默认的模式下,它仅仅监测对本台主机的攻击行为,第二种模式可以监测在C类子网内的所有主机,第三种模式则可以监测所有能接收到信息包的主机。,RealSecure:一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。各部分的功能如下:1)Re
18、aISecure控制台:对多台网络传感器和服务器代理进行管理;对被管理传感器进行远程的配置和控制;各个监控器发现的安全事件实时地报告控制台。2)NetworkSensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全;运行在特定的主机上,监听并解析所有的网络信息,及时发现具有攻击特征的信息包;检测本地网段,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。当检测到攻击时,网络引擎能即刻做出响应,进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMP trap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(
19、终止入侵连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。3)ServerSensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测;具有包拦截、智能报警以及阻塞通信的能力,能够在入侵到达操作系统或应用之前主动阻止入侵;自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。,SkyBell:启明星辰公司的黑客入侵检测与预警系统,集成了网监听监控、实时协议分析、入侵行为分析及详细日志审计跟踪等功能。可以在Internet和Intranet两种环境中运行,以保护企业整个网络的安全。该系统主要包括两部分:探测器和控制器。探测器能够监测所有类型的
20、TCP/IP网络以及网络上流过的所有数据包,根据用户定义的条件进行检测,识别出网络中正在进行的攻击。实时检测到入侵信息并向控制器管理控制台报警,由控制台给出定位显示,从而将入侵者从网络中清除出去。,5.3.5 网络防病毒技术,网络防病毒技术包括病毒预防、病毒检测和病毒清除等3种技术.,1.病毒预防技术:指在病毒尚未入侵或刚刚入侵时,就拦截、阻击病毒的入侵或立即报警。通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。技术手段包括:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。,2.病毒检测技术:通过对计算机病毒的特征来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。最新的防病毒技术是将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力。,3.病毒清消除技术:通过对计算机病毒的分析,开发出具有查杀病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网关上设防,在网络入口实时杀毒。对于内部病毒,如客户机感染的病毒,通过服务器防病毒功能,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小范围内。,
