网络安全技术全册配套精品完整课件.ppt

1、网络安全技术全册配套精品完整课件网络安全技术全册配套精品完整课件 第第1 1章章 网络安全概述网络安全概述 课程安排建议课程安排建议 1.2 1.2 网络安全的威胁和风险网络安全的威胁和风险 2 1.3 1.3 网络安全体系结构及模型网络安全体系结构及模型3 1.4 1.4 常用网络安全技术概述常用网络安全技术概述4 1.1 1.1 网络安全的概念特征及内容网络安全的概念特征及内容1 * *1.5 1.5 实体安全与隔离技术实体安全与隔离技术 5 * *1.6 1.6 构建虚拟局域网实验构建虚拟局域网实验6 1.7 1.7 本章小结本章小结7 网络安全威胁触目惊心。网络安全威胁触目惊心。21世

2、纪信息时代，世纪信息时代， 信息成为国家的重要战略资源。世界各国都不惜巨资，优信息成为国家的重要战略资源。世界各国都不惜巨资，优 先发展和强化网络安全。强国推行信息垄断和强权，依仗先发展和强化网络安全。强国推行信息垄断和强权，依仗 信息优势控制弱国的信息技术。正如美国未来学家托尔勒信息优势控制弱国的信息技术。正如美国未来学家托尔勒 所说：所说：“谁掌握了信息谁掌握了信息,谁控制了网络谁控制了网络,谁就将拥有整个世谁就将拥有整个世 界。界。”科技竞争的重点是对信息技术这一制高点的争夺科技竞争的重点是对信息技术这一制高点的争夺. 据据2013年年6月日本月日本外交学者外交学者报道，即使美国监控各国

3、报道，即使美国监控各国 网络信息的网络信息的“棱镜棱镜”事件已经引起世界轰动事件已经引起世界轰动,印度政府仍在进印度政府仍在进 行类似的项目。信息、资本、人才和商品的流向逐渐呈现行类似的项目。信息、资本、人才和商品的流向逐渐呈现 出以信息为中心的竞争新格局。网络安全成为决定国家政出以信息为中心的竞争新格局。网络安全成为决定国家政 治命脉、经济发展、军事强弱和文化复兴的关键因素。军治命脉、经济发展、军事强弱和文化复兴的关键因素。军 事上，在海湾战争初期，美军对伊拉克实施网络战，使其事上，在海湾战争初期，美军对伊拉克实施网络战，使其 防空指挥控制系统失灵而亡国。防空指挥控制系统失灵而亡国。 1.1

4、.1 1.1.1 网络安全的概念及特征网络安全的概念及特征 案例案例1-11-1 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 ISO提出提出信息安全信息安全的的定义定义是：为数据处理系统是：为数据处理系统建立建立 和和采取采取的技术及管理的技术及管理保护保护，保护保护计算机硬件、软件、计算机硬件、软件、 数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。 我国定义我国定义为：计算机信息系统的安全保护，为：计算机信息系统的安全保护， 应当应当保障保障计算机及其相关的配套设备、设施（含网络）计算机及其相关的配套设备、设施（含网络） 的的安

5、全安全，运行环境的，运行环境的安全安全，保障信息的，保障信息的安全安全，保障保障计算计算 机功能的机功能的正常发挥正常发挥，以，以维护维护计算机信息系统计算机信息系统安全运行安全运行。 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 1.1.1 1.1.1 网络安全的概念及特征网络安全的概念及特征 1. 1. 信息安全及网络安全的概念信息安全及网络安全的概念 1. 1. 信息安全及网络安全的概念信息安全及网络安全的概念 是指是指利用利用计算机网络管理控制和技术计算机网络管理控制和技术 措施，措施，保证保证网络系统及数据的保密性、完整性、网络服网络系统及数据的保密性、完整性、网络服 务

6、可用性和可审查性务可用性和可审查性受到保护受到保护。狭义上狭义上，网络安全网络安全是指是指 计算机及其网络系统资源和信息资源不受有害因素的威计算机及其网络系统资源和信息资源不受有害因素的威 胁和危害。胁和危害。广义上广义上，凡是涉及到计算机网络，凡是涉及到计算机网络信息安全属信息安全属 性特征性特征（保密性、完整性、可用性、可控性、可审查性保密性、完整性、可用性、可控性、可审查性） 的相关技术和理论，都是网络安全的研究领域。网络安的相关技术和理论，都是网络安全的研究领域。网络安 全问题全问题包括包括两方面内容两方面内容，一是网络的系统安全，二是网，一是网络的系统安全，二是网 络的信息安全，而网

7、络安全的络的信息安全，而网络安全的最终目标和关键最终目标和关键是保护网是保护网 络的络的信息（数据）信息（数据）安全。安全。 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 2. 2. 网络安全的特征及目标网络安全的特征及目标 网络安全定义中的保密性、完整性、可用性、可控性、网络安全定义中的保密性、完整性、可用性、可控性、 可审查性，反映了网络信息安全的可审查性，反映了网络信息安全的基本特征和要求基本特征和要求。反映。反映 了网络安全的了网络安全的基本属性、要素基本属性、要素与技术方面的与技术方面的重要特征重要特征。 (1) 保密性。保密性。也称也称机密性机密性，是强调有用信息只被授

8、权对，是强调有用信息只被授权对 象使用的安全特征。象使用的安全特征。 (2) 完整性。完整性。是指信息在传输、交换、存储和处理过程是指信息在传输、交换、存储和处理过程 中，保持信息不被破坏或修改、不丢失和信息未经授权不中，保持信息不被破坏或修改、不丢失和信息未经授权不 能改变的特性，也是能改变的特性，也是最基本的安全特征最基本的安全特征。 (3) 可用性可用性。也称。也称有效性，有效性，指信息资源可被授权实体按指信息资源可被授权实体按 要求访问、正常使用或在非正常情况下能恢复使用的特性要求访问、正常使用或在非正常情况下能恢复使用的特性 （系统（系统面向用户服务的安全特性面向用户服务的安全特性）

9、。）。 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 (4) 可控性。 可控性。是指信息系统对信息内容和传输具有控制是指信息系统对信息内容和传输具有控制 能力的特性，指网络系统中的信息在一定传输范围和存放能力的特性，指网络系统中的信息在一定传输范围和存放 空间内可控程度。空间内可控程度。 (5) 可审查性可审查性。又称。又称拒绝否认性拒绝否认性（No-repudiation）、）、 抗抵赖性抗抵赖性或或不可否认性不可否认性，指网络通信双方在信息交互过程，指网络通信双方在信息交互过程 中，确信参与者本身和所提供的信息真实同一性。中，确信参与者本身和所提供的信息真实同一性。 网络安全研

10、究的网络安全研究的是在计算机和通信领域的信息传是在计算机和通信领域的信息传 输、存储与处理的整个过程中，提供物理上、逻辑上的防输、存储与处理的整个过程中，提供物理上、逻辑上的防 护、监控、反应恢复和对抗的能力，以保护网络信息资源护、监控、反应恢复和对抗的能力，以保护网络信息资源 的保密性、完整性、可控性和抗抵赖性。的保密性、完整性、可控性和抗抵赖性。网络安全的最终网络安全的最终 目标目标是保障网络上的信息安全。解决网络安全问题需要安是保障网络上的信息安全。解决网络安全问题需要安 全技术、管理、法制、教育并举，从安全技术方面解决网全技术、管理、法制、教育并举，从安全技术方面解决网 络安全问题是最

11、基本的方法。络安全问题是最基本的方法。 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 1.1.2 1.1.2 网络安全涉及的主要内容网络安全涉及的主要内容 1 1网络安全涉及的主要内容网络安全涉及的主要内容 从层次结构上，可将从层次结构上，可将网络安全所涉及的内容网络安全所涉及的内容概括为概括为 以下以下五个方面五个方面 (1) 实体安全。实体安全。也称也称物理安全物理安全，指保护计算机网络设，指保护计算机网络设 备、设施及其他媒介免遭地震、水灾、火灾、有害气备、设施及其他媒介免遭地震、水灾、火灾、有害气 体和其他环境事故破坏的措施及过程。包括环境安全、体和其他环境事故破坏的措施及

12、过程。包括环境安全、 设备安全和媒体安全设备安全和媒体安全三个方面三个方面。实体安全是。实体安全是信息系统信息系统 安全的基础安全的基础。 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 (2) 运行安全。运行安全。包括包括网络运行和网络访问控制的安全网络运行和网络访问控制的安全, 如设置防火墙实现内外网的隔离、备份系统实现系统的如设置防火墙实现内外网的隔离、备份系统实现系统的 恢复。恢复。包括包括：内外网的隔离机制、应急处置机制和配套：内外网的隔离机制、应急处置机制和配套 服务、网络系统安全性监测、网络安全产品运行监测、服务、网络系统安全性监测、网络安全产品运行监测、 定期检查和评

13、估、系统升级和补丁处理、跟踪最新安全定期检查和评估、系统升级和补丁处理、跟踪最新安全 漏洞、灾难恢复机制与预防、安全审计、系统改造、网漏洞、灾难恢复机制与预防、安全审计、系统改造、网 络安全咨询等。络安全咨询等。 (3) 系统安全。系统安全。主要主要包括包括操作系统安全、数据库系统操作系统安全、数据库系统 安全和网络系统安全。主要以网络系统的特点、实际条安全和网络系统安全。主要以网络系统的特点、实际条 件和管理要求为依据，通过有针对性地为系统提供安全件和管理要求为依据，通过有针对性地为系统提供安全 策略机制、保障措施、应急修复方法、安全建议和安全策略机制、保障措施、应急修复方法、安全建议和安全

14、 管理规范等，确保整个网络系统的安全运行。管理规范等，确保整个网络系统的安全运行。 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 (4) (4) 应用安全。应用安全。由应用软件开发平台安全和应用系统数据由应用软件开发平台安全和应用系统数据 安全两部分安全两部分组成组成。包括包括：应用软件的程序安全性测试分析、业：应用软件的程序安全性测试分析、业 务数据安全检测与审计、数据资源访问控制验证测试、实体的务数据安全检测与审计、数据资源访问控制验证测试、实体的 身份鉴别检测、业务现场的备份与恢复机制检查、数据的唯一身份鉴别检测、业务现场的备份与恢复机制检查、数据的唯一 性性/ /一致性一致

15、性/ /防冲突检测、数据保密性测试、系统可靠性测试和防冲突检测、数据保密性测试、系统可靠性测试和 系统的可用性测试等。系统的可用性测试等。 （5) 5) 管理安全管理安全。主要指对人员及网络系统安全。主要指对人员及网络系统安全 管理的各种法律、法规、政策、策略、规范、标准、管理的各种法律、法规、政策、策略、规范、标准、 技术手段、机制和措施等内容。技术手段、机制和措施等内容。管理安全管理安全包括：法包括：法 律法规、政策策略管理、规范标准管理、人员管理、律法规、政策策略管理、规范标准管理、人员管理、 应用系统使用管理、软件管理、设备管理、文档管应用系统使用管理、软件管理、设备管理、文档管 理、

16、数据管理、操作管理、运营管理、机房管理、理、数据管理、操作管理、运营管理、机房管理、 安全培训管理等。安全培训管理等。 图图1-1 网络安全主要内容网络安全主要内容 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 2 2网络安全内容的相互关系网络安全内容的相互关系 网络安全与信息安全相关内容及其相互关系网络安全与信息安全相关内容及其相互关系, ,如图如图1-21-2所示。所示。 图图1-2 网络安全与信息安全相关内容网络安全与信息安全相关内容 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 讨论思考讨论思考： （1）网络安全的概念和主要特征是什么？）网络安全的概念和主要特征

17、是什么？ （2）网络安全研究的目标是什么？）网络安全研究的目标是什么？ （3）网络安全研究的主要内容有哪些？）网络安全研究的主要内容有哪些？ 1.1 网络安全的概念特征和内容网络安全的概念特征和内容 1.2 网络安全的网络安全的威胁和风险威胁和风险 美国网络间谍活动公诸于世美国网络间谍活动公诸于世。2013年年6 月曾经参加美国安全局网络监控项目的斯诺登披露月曾经参加美国安全局网络监控项目的斯诺登披露“棱棱 镜事件镜事件”，在香港公开爆料美国多次秘密利用超级软件，在香港公开爆料美国多次秘密利用超级软件 监控网络用户和电话记录，包括谷歌、雅虎、微软、苹监控网络用户和电话记录，包括谷歌、雅虎、微软

18、、苹 果等九大公司帮助提供漏洞参数、开放服务器等，使其果等九大公司帮助提供漏洞参数、开放服务器等，使其 轻而易举地监控有关国家机构或上百万网民的邮件、即轻而易举地监控有关国家机构或上百万网民的邮件、即 时通话及相关数据。据称，思科参与了中国几乎所有大时通话及相关数据。据称，思科参与了中国几乎所有大 型网络项目的建设，涉及政府、军警、金融、海关、邮型网络项目的建设，涉及政府、军警、金融、海关、邮 政、铁路、民航、医疗等要害部门，以及中国电信、联政、铁路、民航、医疗等要害部门，以及中国电信、联 通等电信运营商的网络基础建设。通等电信运营商的网络基础建设。 1.2.1 1.2.1 网络安全的主要威胁

19、网络安全的主要威胁 案例案例1-21-2 1.2 网络安全的网络安全的威胁和风险威胁和风险 我国网络遭受攻击近况。我国网络遭受攻击近况。根据国家互联根据国家互联 网应急中心网应急中心CNCERT抽样监测结果和国家信息安全漏抽样监测结果和国家信息安全漏 洞共享平台洞共享平台CNVD发布的数据，发布的数据，2013年年6月月10日至日至16日日 一周境内被篡改网站数量为一周境内被篡改网站数量为6012个；境内被植入后门个；境内被植入后门 的网站数量为的网站数量为2619个；针对境内网站的仿冒页面数量个；针对境内网站的仿冒页面数量 为为1022个。本周境内被篡改政府网站数量为个。本周境内被篡改政府网

20、站数量为410个；境个；境 内被植入后门的政府网站数量为内被植入后门的政府网站数量为94个个; 针对境内网站的针对境内网站的 仿冒页面涉及域名仿冒页面涉及域名694个个,IP地址地址281个。本周境内感染个。本周境内感染 网络病毒的主机数量约为网络病毒的主机数量约为88.6万个，其中包括境内被木万个，其中包括境内被木 马或被僵尸程序控制的主机约马或被僵尸程序控制的主机约37.9万以及境内感染飞客万以及境内感染飞客 （Conficker）蠕虫的主机约）蠕虫的主机约50.7万。万。 1.2.1 1.2.1 网络安全的主要威胁网络安全的主要威胁 1. 1.网络安全的威胁及其途径网络安全的威胁及其途径

21、 案例案例1-31-3 1.2 网络安全的网络安全的威胁和风险威胁和风险 1.2.1 1.2.1 网络安全的主要威胁网络安全的主要威胁 随着信息技术的快速发展和广泛应用，国内外网络被攻击或随着信息技术的快速发展和广泛应用，国内外网络被攻击或 病毒侵扰等威胁的状况，呈现出上升的态势，威胁的类型及途径病毒侵扰等威胁的状况，呈现出上升的态势，威胁的类型及途径 变化多端。一些网络系统及操作系统和数据库系统、网络资源和变化多端。一些网络系统及操作系统和数据库系统、网络资源和 应用服务都成为黑客攻击的主要目标应用服务都成为黑客攻击的主要目标.黑客攻击、病毒传播等威胁黑客攻击、病毒传播等威胁 的主要途径的主

22、要途径。如图。如图1-3所示。所示。 图图1-3 网络安全威胁的主要途径网络安全威胁的主要途径 2. 2. 网络安全威胁的类型网络安全威胁的类型 表表1-1 1-1 网络安全的主要威胁种类网络安全的主要威胁种类 威胁类型 主 要 威 胁 非授权访问非授权访问通过口令、密码和系统漏洞等手段获取系统访问权 窃听窃听窃听网络传输信息 伪造伪造将伪造的信息发送给他人 篡改篡改 攻击者对合法用户之间的通信信息篡改后，发送给他人 窃取窃取盗取系统重要的软件或硬件、信息和资料 截获截获/修改修改 数据在网络系统传输中被截获、删除、修改、替换或破坏 讹传讹传攻击者获得某些非正常信息后，发送给他人 行为否认行为

23、否认通信实体否认已经发生的行为 旁路控制旁路控制利用系统的缺陷或安全脆弱性的非正常控制 截获截获攻击者从有关设备发出的无线射频或其他电磁辐射中获取信息 人为疏忽人为疏忽已授权人为了利益或由于疏忽将信息泄漏给未授权人 信息泄露信息泄露信息被泄露或暴露给非授权用户 物理破坏物理破坏通过计算机及其网络或部件进行破坏，或绕过物理控制非法访问 病毒木马病毒木马利用计算机木马病毒及恶意软件进行破坏或恶意控制他人系统 拒绝服务攻击拒绝服务攻击攻击者以某种方式使系统响应减慢甚至瘫痪，阻止用户获得服务 服务欺骗服务欺骗欺骗合法用户或系统，骗取他人信任以便谋取私利 冒名顶替冒名顶替假冒他人或系统用户进行活动 资源

24、耗尽资源耗尽故意超负荷使用某一资源，导致其他用户服务中断 消息重发消息重发重发某次截获的备份合法数据，达到信任并非法侵权目的 陷阱门陷阱门设置陷阱“机关”系统或部件，骗取特定数据以违反安全策略 媒体废弃物媒体废弃物利用媒体废弃物得到可利用信息，以便非法使用 信息战信息战为国家或集团利益，通过信息战进行网络干扰破坏或恐怖袭击 1.2 网络安全的网络安全的威胁和风险威胁和风险 中国黑客利益产业链正在形成中国黑客利益产业链正在形成。根据。根据2010 年数据调查显示，中国的木马产业链一年的收入已年数据调查显示，中国的木马产业链一年的收入已 经达到了上百亿元。湖北麻城市警方就破获了一个经达到了上百亿元

25、。湖北麻城市警方就破获了一个 制造传播木马的网络犯罪团伙。这也是国内破获的制造传播木马的网络犯罪团伙。这也是国内破获的 第一个上下游产业链完整的木马犯罪案件。犯罪嫌第一个上下游产业链完整的木马犯罪案件。犯罪嫌 疑人杨某年仅疑人杨某年仅20岁，以雪落的瞬间的网名，编写贩岁，以雪落的瞬间的网名，编写贩 卖木马程序。犯罪嫌疑人韩某年仅卖木马程序。犯罪嫌疑人韩某年仅22岁，网上人称岁，网上人称 黑色靓点，是木马编写作者雪落的瞬间的总代理。黑色靓点，是木马编写作者雪落的瞬间的总代理。 原本互不相识的几位犯罪嫌疑人，从原本互不相识的几位犯罪嫌疑人，从2008年年10月开月开 始，在不到半年的时间就非法获利

26、近始，在不到半年的时间就非法获利近200万元。万元。 案例案例1-41-4 1.2.2 网络安全的风险因素网络安全的风险因素 1.2 网络安全的网络安全的威胁和风险威胁和风险 黑客灰鸽子产业链黑客灰鸽子产业链，如图，如图1-4所示。所示。 图图1-4 灰鸽子产业链灰鸽子产业链 1.2.2 网络安全的风险因素网络安全的风险因素 1.2 网络安全的网络安全的威胁和风险威胁和风险 1）网络系统本身的缺陷。）网络系统本身的缺陷。 2）软件系统的漏洞和隐患。）软件系统的漏洞和隐患。 3）黑客攻击及非授权访问。）黑客攻击及非授权访问。 4）网络病毒。）网络病毒。 5）防火墙缺陷。）防火墙缺陷。 6）法律及

27、管理不完善。）法律及管理不完善。 （1）网络安全威胁的主要途径是什么？）网络安全威胁的主要途径是什么？ （2）网络安全的主要威胁类型有哪些？）网络安全的主要威胁类型有哪些？ （3）网络安全的风险因素是什么？）网络安全的风险因素是什么？ 1.2.2 网络安全的风险因素网络安全的风险因素 中国是遭受网络攻击最严重的国家之一中国是遭受网络攻击最严重的国家之一。2013年年6月月 28日中国外交部发言人指出，自日中国外交部发言人指出，自1994年互联网正式引入中国以年互联网正式引入中国以 来，经过十几年快速发展，互联网已经成为中国重要的社会基础来，经过十几年快速发展，互联网已经成为中国重要的社会基础

28、设施，为促进经济社会发展发挥了重要作用。中国互联网始终面设施，为促进经济社会发展发挥了重要作用。中国互联网始终面 临黑客攻击、网络病毒等违法犯罪活动的严重威胁。临黑客攻击、网络病毒等违法犯罪活动的严重威胁。 案例案例1-61-6 1.2 网络安全的网络安全的威胁和风险威胁和风险 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 1 1网络安全的保障体系网络安全的保障体系 1.3 网络安全体系结构及模型网络安全体系结构及模型 n (1) 网络安全保障要素及关系网络安全保障要素及关系 网络安全保障要素网络安全保障要素包括四个方面：包括四个方面： 网络安全策略、网络安全管理、网络

29、网络安全策略、网络安全管理、网络 安全运作和网络安全技术，如图安全运作和网络安全技术，如图1-5所示。所示。 网络安全策略是网络安全策略是核心核心，包括：网络安全的战略、网，包括：网络安全的战略、网 络安全的政策和标准。网络安全管理、网络安全运作和络安全的政策和标准。网络安全管理、网络安全运作和 网络安全技术则是网络安全技术则是“企业、人与系统企业、人与系统”的三元关系的三元关系 。 网络安全是在企业管理机制下，通过运作机制借助网络安全是在企业管理机制下，通过运作机制借助 技术手段实现的。网络安全运作是网络安全管理和网络技术手段实现的。网络安全运作是网络安全管理和网络 安全技术手段在日常工作中

30、的执行，是安全技术手段在日常工作中的执行，是网络安全工作的网络安全工作的 关键关键，即，即 “七分管理，三分技术，运作贯穿始终七分管理，三分技术，运作贯穿始终”。 其中，网络安全技术包括网络安全管理技术。其中，网络安全技术包括网络安全管理技术。 图图1-5 网络安全保障要素网络安全保障要素 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 1 1网络安全的保障体系网络安全的保障体系 （2 2）网络安全保障体系）网络安全保障体系 1.3 网络安全体系结构及模型网络安全体系结构及模型 网络安全的整体保障体系。网络安全的整体保障体系。主要作用体现主要作用体现 在整个系统生命周期对

31、风险进行整体的应对和控制。某银在整个系统生命周期对风险进行整体的应对和控制。某银 行网络信息安全的整体保障体系如图行网络信息安全的整体保障体系如图1-6所示。所示。 图图1-6 网络信息安全的整体保障体系网络信息安全的整体保障体系 案例案例1-71-7 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n (3) (3) 网络安全保障体系框架网络安全保障体系框架 1.3 网络安全体系结构及模型网络安全体系结构及模型 n 我国某金融机构的我国某金融机构的网络安全保障体系总体框架网络安全保障体系总体框架，如图，如图 1-7所示。网络网络安全保障体系框架的外围是风险管理、法律法规、所

32、示。网络网络安全保障体系框架的外围是风险管理、法律法规、 标准的符合性。标准的符合性。 图图1-7 1-7 网络网络安全保障体系框架网络网络安全保障体系框架 案例案例1-81-8 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 2 2OSIOSI网络安全体系结构网络安全体系结构 1.3 网络安全体系结构及模型网络安全体系结构及模型 n OSI安全体系结构是设计标准的标准，并安全体系结构是设计标准的标准，并非实现标准非实现标准。其。其 体系结构建立了一些体系结构建立了一些重要的结构性准则重要的结构性准则，并定义了一些专用术，并定义了一些专用术 语和概念，包括语和概念，包括安

33、全服务和安全机制安全服务和安全机制。 （1）安全服务）安全服务 1）鉴别服务。）鉴别服务。 2）访问控制服务。）访问控制服务。3）保密性服务。）保密性服务。 4）完整性服务。）完整性服务。5）可审查服务。）可审查服务。 表表1-2为防范典型网络威胁的安全服务，表为防范典型网络威胁的安全服务，表1-3提供了网络提供了网络 各层提供的安全服务。各层提供的安全服务。 网络威胁网络威胁安全服务安全服务 假冒攻击假冒攻击鉴别服务鉴别服务 非授权侵犯非授权侵犯访问控制服务访问控制服务 窃听攻击窃听攻击数据保密性服务数据保密性服务 完整性破坏完整性破坏数据完整性服务数据完整性服务 服务否认服务否认抗抵赖性服

34、务抗抵赖性服务 拒绝服务拒绝服务鉴别服务、访问控制服务和数据完整性服务等鉴别服务、访问控制服务和数据完整性服务等 表表1-2 防范典型网络威胁的安全服务防范典型网络威胁的安全服务 1.3 网络安全体系结构及模型网络安全体系结构及模型 网络层次网络层次 安全服务安全服务 物理层物理层 数据数据 链路层链路层 网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层 鉴别鉴别 对等实体鉴别对等实体鉴别 数据源发鉴别数据源发鉴别 访问控制访问控制 数据数据 保密保密 性性 连接保密性连接保密性 无连接保密性无连接保密性 选择字段保密性选择字段保密性 业务流保密性业务流保密性 数据数据 完整完整

35、性性 可恢复的连接完整性可恢复的连接完整性 不可恢复的连接完整性不可恢复的连接完整性 选择字段的连接完整性选择字段的连接完整性 无连接完整性无连接完整性 选择字段的无连接完整性选择字段的无连接完整性 抗抵抗抵 赖性赖性 数据源发证明的抗抵赖性数据源发证明的抗抵赖性 交付证明的抗抵赖性交付证明的抗抵赖性 表表1-3 1-3 网络各层提供的安全服务网络各层提供的安全服务 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 2 2OSIOSI网络安全体系结构网络安全体系结构 1.3 网络安全体系结构及模型网络安全体系结构及模型 （2）安全机制）安全机制 以以OSI安全体系结构为指南

36、，提出用于实现上述安全服务安全体系结构为指南，提出用于实现上述安全服务 的安全机制，如表的安全机制，如表1-4所示。所示。 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 2 2OSIOSI网络安全体系结构网络安全体系结构 协议层协议层 安全服务安全服务 加密加密 数字数字 签名签名 访问访问 控制控制 数据数据 完整性完整性 认证认证 交换交换 业务流业务流 填充填充 公证公证 鉴别鉴别 对等实体鉴别对等实体鉴别 数据源发鉴别数据源发鉴别 访问控制访问控制 数据数据 保密性保密性 连接保密性连接保密性 无连接保密性无连接保密性 选择字段保密性选择字段保密性 业务流保密性

37、业务流保密性 数据数据 完整性完整性 可恢复的连接完整性可恢复的连接完整性 不可恢复的连接完整性不可恢复的连接完整性 选择字段的连接完整性选择字段的连接完整性 无连接完整性无连接完整性 选择字段的无连接完整性选择字段的无连接完整性 抗抵赖性抗抵赖性 数据源发证明的抗抵赖性数据源发证明的抗抵赖性 交付证明的抗抵赖性交付证明的抗抵赖性 表表1-4 安全服务与安全机制的关系安全服务与安全机制的关系 1.3 网络安全体系结构及模型网络安全体系结构及模型 OSI网络安全体系结构三维图如图网络安全体系结构三维图如图1-8所示。所示。 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 2

38、 2OSIOSI网络安全体系结构网络安全体系结构 图图1-8 OSI1-8 OSI网络安全体系结构网络安全体系结构 1.3 网络安全体系结构及模型网络安全体系结构及模型 网络安全的攻防体系主要包括两大方面：攻击技术和防御技术。该体网络安全的攻防体系主要包括两大方面：攻击技术和防御技术。该体 系主要结构及内容如图系主要结构及内容如图1-9所示。所示。 n 1.3.1 1.3.1 网络安全的体系结构网络安全的体系结构 n 3 3网络安全的攻防体系网络安全的攻防体系 图图1-9 网络安全攻防体系网络安全攻防体系 1.3.2 1.3.2 常用的网络安全模型常用的网络安全模型 n 1. P2DR1. P

39、2DR模型模型 n 同美国同美国ISSISS公司提出的动态网络安全体系的代表模型的雏公司提出的动态网络安全体系的代表模型的雏 形形P2DRP2DR相似。该模型包含相似。该模型包含4 4个主要部分：个主要部分：Policy(Policy(安全策略安全策略) )、 Protection(Protection(防护防护) )、Detection(Detection(检测检测) )和和 Response(Response(响应响应) )。如。如 图图1-101-10所示。所示。 图图1-10 P2DR模型模型 1.3 网络安全体系结构及模型网络安全体系结构及模型 2. 2. 网络安全通用模型网络安全通

40、用模型 网络安全通用模型网络安全通用模型如图如图1-111-11所示，不足是并非所有情所示，不足是并非所有情 况都通用。况都通用。 图图1-11 网络安全通用模型网络安全通用模型 为保护网络信息传输安全所提供的为保护网络信息传输安全所提供的安全机制和安全服务安全机制和安全服务, 主要包括主要包括两部分两部分：一是对发送的信息通过安全技术进行转换。：一是对发送的信息通过安全技术进行转换。 二是由两个主体共享的秘密信息，对开放网络保密。二是由两个主体共享的秘密信息，对开放网络保密。 1.3 网络安全体系结构及模型网络安全体系结构及模型 3. 网络访问安全模型网络访问安全模型 黑客攻击威胁黑客攻击威

41、胁：一是访问威胁，二是服务威胁。对：一是访问威胁，二是服务威胁。对 非授权访问的安全机制非授权访问的安全机制可可分为分为两类两类：一是网闸功能，二：一是网闸功能，二 是内部的安全控制，若非授权用户得到访问权，第二道是内部的安全控制，若非授权用户得到访问权，第二道 防线将对其进行防御，包括各种内部监控和分析，以检防线将对其进行防御，包括各种内部监控和分析，以检 查入侵者。如图查入侵者。如图1-12所示。所示。 图图1-12 网络访问安全模型网络访问安全模型 1.3 网络安全体系结构及模型网络安全体系结构及模型 4 4网络安全防御模型网络安全防御模型 网络安全的网络安全的关键是预防关键是预防，“防

42、患于未然防患于未然”是最好是最好 的保障，同时做好内网与外网的隔离保护。可以的保障，同时做好内网与外网的隔离保护。可以 通过如图通过如图1-13所示的网络安全防御模型构建的系统所示的网络安全防御模型构建的系统 保护内网。保护内网。 图图1-13 网络安全防御模型网络安全防御模型 1.3 网络安全体系结构及模型网络安全体系结构及模型 讨论思考：讨论思考： （1）概述网络安全保障体系要素及框架？）概述网络安全保障体系要素及框架？ （2）OSI安全体系结构包括哪些方面？安全体系结构包括哪些方面？ （3）网络安全的攻防体系包括哪些内容？）网络安全的攻防体系包括哪些内容？ （4）常用的网络安全模型有哪些

43、？）常用的网络安全模型有哪些？ 1.3 网络安全体系结构及模型网络安全体系结构及模型 1.4.1 1.4.1 常用网络安全技术的概念常用网络安全技术的概念 在网络安全中，在网络安全中，常用的关键技术常用的关键技术可归纳为三大类：可归纳为三大类： 某银行以网络安全业务价值链的概念，可以将网某银行以网络安全业务价值链的概念，可以将网 络安全的技术手段分为预防保护类、检测跟踪类和响应恢复络安全的技术手段分为预防保护类、检测跟踪类和响应恢复 类等三大类，如下图类等三大类，如下图1-14所示。所示。 1.4 常用网络安全技术概述常用网络安全技术概述 案例案例1-91-9 预防预防 保护类保护类 预防预防

44、预防预防 保护类保护类保护类保护类 检测检测 跟踪类跟踪类 检测检测检测检测 跟踪类跟踪类跟踪类跟踪类 响应响应 恢复类恢复类 响应响应响应响应 恢复类恢复类恢复类恢复类 访问管理访问管理 AMAM 访问管理访问管理 AMAM 身份认证身份认证 I与网络层数据保密性和完与网络层数据保密性和完 整性相关的安全问题和与网络层可用性相关的安全问题整性相关的安全问题和与网络层可用性相关的安全问题. 如窃听攻击、应用层攻击、中间人攻击、如窃听攻击、应用层攻击、中间人攻击、洪泛攻击洪泛攻击等等. (2) 网络层以上（应用）的安全问题。网络层以上（应用）的安全问题。 (3) 与网络层数据保密性和完整性相关安

45、全问题与网络层数据保密性和完整性相关安全问题. (4) 与网络层可用性相关安全问题：主要是指洪泛与网络层可用性相关安全问题：主要是指洪泛 攻击，如攻击，如TCP SYN flooding攻击。攻击。 (5) 原理和特征发生明显变化的安全问题，主要包原理和特征发生明显变化的安全问题，主要包 括以下括以下4个方面个方面。 侦测，侦测， 非授权访问非授权访问 篡改分组篡改分组 头部和分段信息头部和分段信息; 伪造源地址。伪造源地址。 对局域网对局域网 内的主机内的主机 不停的不停的发发 送送数据包数据包 进行进行拒绝拒绝 服务攻击服务攻击 2.1 2.1 网络协议安全概述网络协议安全概述 3IPv6

46、的安全机制的安全机制 （1）协议安全）协议安全-认证头认证头AH、封装安全有效载荷、封装安全有效载荷ESP扩展头扩展头 （2）网络安全：）网络安全： 实现端到端安全实现端到端安全, 提供内网安全，提供内网安全， 由安全由安全 隧道构建安全隧道构建安全VPN, 以隧道嵌套实现网络安全。以隧道嵌套实现网络安全。 （3）其他安全保障）其他安全保障-配置、认证、控制、端口限制配置、认证、控制、端口限制 4. 移动移动IPv6的安全性的安全性 （1）移动）移动IPv6的特性的特性-无状态地址自动配置、邻居发现无状态地址自动配置、邻居发现 （2）移动）移动IPv6面临的安全威胁面临的安全威胁-窃听窃听,篡

47、改篡改,Dos 5移动移动IPv6的安全机制的安全机制 移动移动IPv6协议针对上述安全威胁，在注册消息中协议针对上述安全威胁，在注册消息中 通过添加序列号以防范重放攻击，并在协议报文中引通过添加序列号以防范重放攻击，并在协议报文中引 入时间随机数。入时间随机数。 2.1 2.1 网络协议安全概述网络协议安全概述 2.2 虚拟专用网虚拟专用网VPN技术技术 2.2.1 VPN2.2.1 VPN的概念和结构的概念和结构 虚拟专用网虚拟专用网（Virtual Private Network，VPN）是）是利利 用用Internet等等公共网络公共网络的的基础设施基础设施，通过通过隧道技术隧道技术，

48、为用户，为用户 提供提供的与专用网络具有相同通信功能的与专用网络具有相同通信功能 的安全数据通道。的安全数据通道。 VPN可可通过通过特殊加密通信协议特殊加密通信协议 为为Internet上异地企业内网之间上异地企业内网之间建立建立 一条专用通信线路一条专用通信线路,而无需铺设光缆而无需铺设光缆 等物理线路等物理线路.系统结构如图系统结构如图 2-4所示所示. (1) 安全性高。安全性高。 (2) 费用低廉。费用低廉。 (3) 管理便利。管理便利。 (4) 灵活性强。灵活性强。 (5) 服务质量佳。服务质量佳。 2.2.2 VPN的技术特点的技术特点 虚拟通道虚拟通道 2.2 虚拟专用网虚拟专

49、用网VPN技术技术 VPN是在是在Internet等公共网络基础上，等公共网络基础上，综合利用综合利用隧隧 道技术、加解密技术、密钥管理技术和身份认证技术道技术、加解密技术、密钥管理技术和身份认证技术实实 现的现的。 1. 隧道技术隧道技术 隧道技术隧道技术是是VPN的的核心技术核心技术，为一种，为一种隐式传输隐式传输数数 据的方法。主要利用已有的据的方法。主要利用已有的Internet等等公共网络公共网络数据通数据通 信方式，在信方式，在隧道隧道（虚拟通道虚拟通道）一端将数据）一端将数据进行封装进行封装，然，然 后后通过通过已建立的隧道已建立的隧道进行传输进行传输。 在隧道另一端，进行在隧道

50、另一端，进行解封装解封装并将并将还原还原的原始数据的原始数据交交 给给端设备端设备。在。在VPN连接中，可根据需要创建不同类型连接中，可根据需要创建不同类型 的的VPN隧道，包括隧道，包括自愿隧道自愿隧道和和强制隧道强制隧道。 用户或客户端通过发送用户或客户端通过发送VPN 请求配置和创建请求配置和创建 2.2.3 VPN的实现技术的实现技术 2.2 虚拟专用网虚拟专用网VPN技术技术 2. 常用加解密技术常用加解密技术 为了重要数据在公共网络传输的安全，为了重要数据在公共网络传输的安全，VPN采用了加采用了加 密机制密机制。 常用的常用的信息加密体系信息加密体系主要包括主要包括非对称加密体系