网络安全原理-第1章概述.ppt

《网络安全原理-第1章概述.ppt》由会员分享，可在线阅读，更多相关《网络安全原理-第1章概述.ppt（67页珍藏版）》请在三一办公上搜索。

1、第一章 概述,网络安全原理,2,为什么要学习本课程？,网络安全原理,3,网络安全原理,4,为什么要学习本课程？,真相只有一个,网络安全原理,5,为什么要学习本课程？,网络本来是安全的自从出现了网络安全专家后网络变得不安全了,网络安全原理,6,目的,通过对网络安全技术的学习来了解网络安全的本质培养发现问题、避免问题、解决问题的能力,网络安全原理,7,基本目的,对计算机网络安全有一个系统的、全面的了解；掌握计算机网络特别是计算机互联网络安全的基本概念；了解设计和维护安全的网络及其应用系统的基本手段和常用方法,网络安全原理,8,1 概况,1.1 互联网现状1.2 网络安全事件1.3 网络安全市场1.

2、4 网络安全重要性,网络安全原理,9,1.1 互联网现状以下资料来自中国互联网信息中心中国互联网络发展状况统计报告,历次调查中国网民总数,网友影响中国,网民：调查时过去半年内使用过互联网的6周岁及以上中国居民,网络安全原理,10,网络安全原理,11,历次调查不同方式上网计算机数,网民职业分布,网络安全原理,12,网络安全原理,13,历次调查中国国际出口带宽,网络安全原理,14,Email,Web,ISP门户网站,复杂程度,时间,Internet 变得越来越重要,互联网应用发展,网络安全原理,15,网络安全原理,16,两点总结：中国互联网发展迅速、应用规模巨大中国互联网仍有较大发展空间,网络安全

3、原理,17,1.2 网络安全事件,第一个蠕虫诞生：莫里斯蠕虫1988年11月2日，康奈尔大学的研究生罗伯特.莫里斯(22岁)设计，设计初时目的是验证网络中自动传播程序的可行性感染了6000台计算机，使Internet不能正常运行，造成的经济损失达1亿美元程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码莫里斯因此被判三年缓刑、罚款1万美元、做400小时的社区服务,1989年10月，某人为了抗议钚驱动的伽利略探测器的发射而编写WANK 蠕虫入侵了NASA系统。至今没有找到这个人是谁，怀疑是一个澳大利

4、亚黑客所为。,网络安全原理,18,CIH病毒1998年6月2日，首先有关于它的报道，台湾大学生陈盈豪编制。设计者动机是“为自己设计病毒”4月26日发作，发作可导致主板、硬盘损坏，变种版本极多主要危害1999年4月26：CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏 2000年4月26：CIH 1.2 版本第二次大范围爆发，全球损失超过十亿美元；2001年4月26：CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏，瑞星修复硬盘数量当天接近400块,网络安全原理,19,信息安全问题突出,网络安全原理,20,以下数据来自安天实验室 2010年互联网信息安全威胁综

5、合报告,网络安全原理,21,2010年度发现挂马网页数量612万个,网络安全原理,22,网络安全原理,23,网络安全原理,24,漏洞发布与0day攻击,资料来自中国国家信息安全漏洞库,秘密信息与隐私的泄漏,各种门事件不断发生,网络安全原理,25,网络安全原理,26,1.3 网络安全市场,网络安全原理,27,1.4 网络安全的重要性,网络安全与政治有关：2000年5月8号，美国轰炸我国驻南联盟大使馆后，中美黑客在网上相互进行攻击2003年，第二次海湾战争，伊拉克与美国的黑客的相互攻击2003年，以色列与巴勒斯坦的战争，双方的黑客支持者的相互攻击,网络安全原理,28,网络安全与经济犯罪有关在美国硅

6、谷，计算机犯罪每年正以的速度增长。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。,网络安全原理,29,网络安全社会稳定有关互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多针对社会公共信息基础设施的攻击严重扰乱了社会管理秩序,谣言是相对于真相而言的，而不是由说的人决定的,网络安全原理,30,网络安全与战争网络信息战网络信息战指双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。是以计算机网络为战场，计算机技术为核心、为武器，是一场智力的较量，以攻击敌方的信息系统为主要手段，破坏敌方核心的信息系统，是现代战争的“第一个打击目标”网络信息战利

7、用的手段有计算机病毒、逻辑炸弹、后门（Back Door）、黑客、电磁炸弹、纳米机器人和芯片细菌等,网络安全原理,31,1.5 网络安全原理,信息安全的六个方面：保密性：信息不泄漏给非授权的用户、实体或者过程的特性完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息真实性：内容的真实性可核查性：对信息的传播及内容具有控制能力，访问控制即属于可控性可靠性：系统可靠性,网络安全原理,32,网络安全特点网络安全的必然性人的因素、网络信息系统的开放性、网络信息系统复杂性网络安全的配角特

8、色安全应为应用服务网络安全的动态性网络安全是持续过程,网络安全原理,33,2 网络安全威胁,2.1 网络安全威胁表现2.2 网络安全威胁分类2.3 网络安全威胁根源2.4 网络安全威胁趋势,网络安全原理,34,2.1 网络安全威胁表现,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,网络安全原理,35,网络安全威胁举例：网络协议的弱点:协议应用环境变化 网络操作系统的漏洞：操作系统代码规模庞大、人的因素和需求的个性化 应用系统设计的漏洞：与操作系统情况类似、硬件技术的落后 网络系统设计的缺陷：合理的网络设计在节约资源的

9、情况下，还可以提供较好的安全性，不合理的网络设计则成为网络的安全威胁。恶意攻击：包括来自合法用户的攻击网络物理设备：网络物理设备自身的电磁泄露所引起的漏洞所引起的隐患也是网络安全威胁的重要方面其他：来自信息资源内容的安全问题,网络安全原理,36,2.2 网络安全威胁分类,有害程序计算机病毒：蠕虫：是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能网页内嵌恶意代码其它有害程序,网络安全原理,37,网络攻击拒绝服务攻击：利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统

10、的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行的攻击行为后门攻击：利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击漏洞攻击：利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施的攻击网络扫描窃听：利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征信息的行为干扰：通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等其他网络攻击,网络安全原理,38,信息破坏 信息篡改：未经授权将信息系统中的信息更换为攻击者所提供的信息，例如网页篡改信息假冒：假冒他人信息系统收发

11、信息信息泄漏：因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者信息窃取：未经授权用户利用可能的技术手段恶意主动获取信息系统中信息信息丢失：因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失其它信息破坏,网络安全原理,39,网络信息内容安全 违反宪法和法律、行政法规的针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的组织串连、煽动集会游行的其他信息内容安全,网络安全原理,40,设备设施故障 软硬件自身故障：信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等外围保障设施故障：保障信息系统正常运行所必须的

12、外部设施出现故障，例如电力故障、外围网络故障等人为破坏事故：人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏等；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的其它设备设施故障,网络安全原理,41,环境灾害包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等 其他,网络安全原理,42,2.3 网络安全威胁根源,网络安全的必然性,网络安全原理,43,2.4 网络安全威胁趋势,攻击手段的智能化攻击技术的集成化病毒与传统网络攻击手段的融合，病毒技术、攻击技术本身的集成攻击手段的工具化“一键式”攻击出现间接形式的攻击对目标实施攻击的“攻击

13、者”可能本身也是受害者！,网络安全原理,44,网络安全原理,45,针对基础设施、安全设备的攻击终端、用户系统基础设施危害范围更大、造成损失更大、负面影响更大主机、服务器安全设备安全设备“后面”往往毫无戒备，用户对安全设备的依赖性更大,网络安全原理,46,来自业务流程、信息内容的安全威胁垃圾信息（垃圾邮件、垃圾广告、）有害信息（反动、色情、暴力、）针对业务系统设计漏洞的攻击,网络安全原理,47,攻击手段与传统犯罪手段的结合各种形式的信息盗取各种形式的网络欺诈各种形式的网络敲诈,网络安全原理,48,攻击组织的战争倾向黑客组织为集团服务黑客攻击用于战争黑客组织行为用户煽动民众情绪分发式攻击,网络安全

14、原理,49,3 网络安全技术,3.1 密码技术3.2 身份认证3.3 网络防护3.4 其他,网络安全原理,50,3.1 密码技术,密码技术（信息安全的核心）,网络安全原理,51,两类密码体制：对称加密：加密密钥只有合法的发送才知道，则该密码系统称为对称密码系统。加密密钥和解秘密钥可以很容易的相互得到，多数情况甚至相同；也称单钥密码系统、传统密码系统等。非对称密码：（如何实现陌生人之间的保密通信，如何防抵赖（鉴别接收方）。加密密钥公开、解秘密钥不公开；由加密密钥计算上无法得到解密密钥，加解密过程易于实现；非对称加密系统、双钥密码系统。,网络安全原理,52,数字签名技术手写签名、印章功能的电子模拟

15、，针对电子数据数字签名至少应该满足：(也是手写签名的基本特性)签名者事后不能否认签名接收者能够验证签名，但任何其他人不能伪造签名双方关于签名发生争执时，仲裁者或第三方能够解决争执公钥密码更适合数字签名，对称密码也能实现数字签名,网络安全原理,53,网络安全原理,54,3.2 身份认证,口令认证通过密码认证对称密码非对称密码生物认证,网络安全原理,55,PKI体系将公钥机制的功能进行规范化、系统化，便于规模化使用具体措施是：引入证书(certificate)，通过证书把公钥和身份关联起来,网络安全原理,56,3.3 网络防护,防火墙技术,网络安全原理,57,1100111001010001010

16、0101010010001001001000001000000,11001110010100010100101010010001001001000001000000,明文,加密,解密,明文,保证数据在传输中的机密性,发起方,接受方,支持IKE密钥协商密钥自动刷新128位对称加密1024位非对称加密设备之间采用证书认证支持CA认证,VPN技术,网络安全原理,58,发起方,接受方,1001000101010010100001000000110110001010,10001010,1001000101010010100001000000110110001010,Hash,Hash,10001010,

17、1001000101010010100001000000110110001010,是否一样？,验证数据来源的完整性和真实性,支持透明模式支持路由模式,VPN技术（续）,网络安全原理,59,IDS技术,网络安全原理,60,Internet,总部,办事处,分公司,分公司,在网络中部署网络入侵检测系统，实时对网络中的数据流进行检测，对于可疑的数据，将及时报警，入侵检测系统可同时与防火墙交互信息，共同防范来自于网外的攻击。具体策略如下：基于网络的入侵检测策略基于主机的入侵检测策略,报警,攻击,实时入侵检测策略,网络安全原理,61,3.4 其他,信息伪装技术终端安全加固数据库安全,网络安全原理,62,4 网络安全对策发展趋势,4.1 新安全技术出现4.2 集成化的安全工具4.3 针对性的安全工具4.4 管理类的安全工具4.5 信息安全管理手段,网络安全原理,63,4.1 新安全技术出现,可信计算网格技术虚拟机软件安全扫描,网络安全原理,64,4.2 集成化的安全工具,防火墙防病毒防火墙VPN防火墙IDS安全网关主机安全防护系统网络监控系统,网络安全原理,65,4.3 针对性的安全工具,DDoS攻击防范认证系统单点登录系统安全U盘内网非法外联系统,网络安全原理,66,4.4 管理类的安全工具,安全管理平台统一威胁管理工具日志分析系统,网络安全原理,67,提问时间！,