网络安全基础知识课件.ppt

1、网路安全及黑客攻防制作人：王明辉第一.课程简介 计算机网络安全基础：包括信息安全、网络安全、病毒、黑客以及基本网络技术等。基本的黑客攻击技术：包括基本命令、扫描、监听、入侵、后门、隐身、恶意代码等。基本的防御技术：包括系统安全、加密、防火墙、隔离闸、入侵检测、IP安全、Web安全等。目的是使同学们可以进一步了解网络基本知识，掌握初步的黑客攻击技术，提高网络安全意识。引入l研究网络安全的意义?不只为了个人信息和数据的安全，网络安全已经渗透到社会各个领域，甚至影响到国家的政治、经济、军事等。网络安全与政治v2011年8月国家互联网应急中心披露，全国有十分之一的政府部门网站（电子政务工程）遭遇黑客篡

2、改，其中包括国防部、水利部、国土资源部、最高人民检察院等。2010年9月江西宜黄发生拆迁自焚事件，18日宜黄政府网站遭遇黑客攻击，出现“放了钟如九”的字样，当地政府只能暂时关闭网站。知识链接电子政务工程v“一站两网四库十二金”一站：政府门户网站:http:/ 了解网络安全的基本知识 6课时v 熟悉常用网络安全攻击技术 12课时v 熟悉常用网络安全防御技术 12课时学习完本课程，您应该能够：Part1计算机网络安全基础第一讲第一讲信息安全概念信息安全概念信息安全目标信息安全目标CIA信息安全的发展信息安全的发展信息安全研究内容及关系信息安全研究内容及关系网络安全概念网络安全概念网络安全的威胁网络

3、安全的威胁网络安全的层次网络安全的层次网络安全的研究内容网络安全的研究内容网络安全的模型网络安全的模型网络信息安全立法网络信息安全立法信息安全概念v信息化:根据最新公布的2006-2020国家信息化发展战略，信息化是充分利用信息技术，开发利用信息资源，促进信息交流和知识共享，实现国家现代化。v信息化6要素：开发利用信息资源，建设国家信息网络，推进信息技术应用，发展信息技术和产业，培育信息化人才，制定和完善信息化政策。v数字化：是将各种形式的信息转变为可以度量的数据，再把数据建立起适当的数字化模型，把它们转变为一系列二进制代码，引入计算机内部，进行统一处理，这就是数字化的基本过程。如数码相机、数

4、字电视。v数字化优点：便于存储、加工、处理、传输。v广义上，信息安全是保证信息各环节的安全性。它是一门涉及计算机技术、网络技术、通信技术、密码技术、数论、信息论、法律、心理学等多种学科的综合性学科。v狭义上，信息安全是指信息网络的硬件、软件及其数据受到保护，不遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。2信息安全目标CIA完整性完整性Integrity保密性保密性Confidentiality可用性可用性Availability信息安全目标CIAv 保密性Confidentiality：保证信息不被非授权访问和即使非授权用户得到信息也无法知晓信息内容。（访问控制、数据加密等安

5、全措施）v 完整性Integrity：维护信息的一致性，即信息在生成、传输、存储和使用过程中不被非授权篡改。（消息摘要算法等安全措施）v 可用性Availability：保障信息资源随时可提供服务的能力特性，合法用户在需要的时候，可以正确使用需要的信息，而不遭拒绝。3信息安全的发展计算机信息系统安全模型和计算机安全评价准则。开发了很多网络环境下的信息安全与防护技术，开发了网络加密、认证、数字签名。提出了信息保障的PDRR模型通信保密阶段发展各种密码算法单机系统的信息保密阶段网络信息安全阶段信息保障阶段知识链接美国可信计算机安全评价标准TCSECv美国国防部开发的计算机安全标准可信任计算机标准评

6、价准则（Trusted Computer Standards Evaluation Criteria：TCSEC），也是网络安全橙皮书。v自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证vD级-低级保护:是最低的安全级别，拥有这个级别的操作系统就像一个门户

7、大开的房子，任何人都可以自由进出，是完全不可信任的。属于这个级别的操作系统有：DOS和Windows98等。vC1-自主安全保护:又称选择性安全保护.有某种程度的保护,系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。早期的UNIX系统属于该级别。vC2-受控存储控制:使用附加身份验证，系统用户在不是超级用户的情况下有权执行系统管理任务。能够达到C2级别的常见操作系统有：Unix系统 Novell 3.X或者更高版本 Windows NT、Windows 2000和Windows 2003vB1-标志安全保护:处于强制性访问控制之下

8、的对象，系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。AT&T System V 属于该级别。vB2结构化保护:它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。可信任的Xenix系统属于该级别。vB3-安全区域:使用安装硬件的方式来加强域的安全，例如内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。Honeywell Federal Systems XTS-200系统属于该级别。v A级

9、-验证设计级别（Verified Design）：是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性。设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。安全级别与通常计算机系统对比图ms-dos、Windows 98 早期的UNIX 系统 Windows NT、2003、linux、UNIX 可信任的Xenix系统 AT&T System V Honeywell Federal Systems XTS-200 知识链接其他评价标准 我国GB17859美国TCSEC欧洲ITSEC通用标准CC-D：低级保护E0：-EAL1：功能测

10、试GB1：用户自主保护级C1：自主保护级E1：功能测试EAL2：结构测试GB2：系统审计保护级C2：受控存储控制E2：数字化测试EAL3：方法测试与检验GB3：安全标记保护级B1：标识的安全保护E3：数字化测试分析EAL4：设计措施与评审GB4：结构化保护级B2：结构化保护E4：半形式化分析EAL5：半形式化设计与测试GB5：访问验证保护级B3：安全区域E5：形式化分析EAL6：半形式化验证设计测试-A：验证设计E6：形式化验证EAL7：形式化验证和测试知识链接信息保障PDRR模型ProtectDetectReactRestore4信息安全研究内容及关系6网络安全概念v计算机网络环境下的信息安

11、全。vv网络不安全的原因网络不安全的原因自身缺陷自身缺陷+开放性开放性+安全意识安全意识+黑客攻击黑客攻击7网络安全的威胁v 截获从网络上窃听他人的通信内容。v 中断有意中断他人在网络上的通信。v 篡改故意篡改网络上传送的报文。v 伪造伪造信息在网络上传送。vv安全威胁既可以是来源于安全威胁既可以是来源于外部的，也可以是来源于内外部的，也可以是来源于内部的，安全防御往往是从内部的，安全防御往往是从内部被攻破的。部被攻破的。33/截获篡改伪造中断被动攻击主 动 攻 击目的站源站源站源站源站目的站目的站目的站只对信息进行监听而不修改对信息进行故意修改安全的威胁的分类安全的威胁的分类8网络安全的层次

12、l先了解计算机网络的体系结构:将复杂网络通讯过程采取模块化处理方式-分层结构，每一层完成一个相对简单的特定功能，通过各层协调来实现整个网络通信功能。OSI/RM模型、TCP/IP模型邮政系统的分层结构通信者活动邮局服务业务邮局转送业务发信者收信者运输部门的运输路线书写信件贴邮票送邮箱收集信件盖邮戳信件分拣信件打包送运输部门路由选择运输转送邮局接收邮包分发邮件邮件拆包信件投递信件分拣阅读信件通信者活动邮局服务业务邮局转送业务v各层功能明确，且相互独立易于实现。v各层之间通过接口提供服务，各层实现技术的改变，不会影响其他层。v易于标准化。分层的优点OSI/RM体系结构TCP/IP体系结构 应用层应

13、用层传输层传输层互联层互联层-网络接口层网络接口层CSMA/CDToken Ring其他协议ARPRARPIPTCPUDPTelnehttpFTP SMTPDNSICMP、RIP、OSPF、BGP、IGMPTFTPSNMP知识链接TCP/IP协议vIP协议是网络层不可靠、无连接的数据报传输服务。vIP数据报传输服务过程：把从上层来的数据报分组，并封装成一个个IP数据包(报头+数据)；每个IP数据包由中间节点独立选择路由；IP数据包到达目的节点后，组装并交给上层。IP分组交换示意图IP地址思考：主机的标识方法有哪些，分别在什么场合下使用？主机名 MAC地址 IP地址 域名v IP地址-网络层地址

14、，主机在Internet上的标志方法。vIP地址与身份证号码一样，采用数值来表示，用32位二进制表示。v 例：11011110101111100110111011100010 分段：11011110 10111110 01101110 11100010 转化十进制：222 .190 .110 .226点分十进制点分十进制IP地址的结构 v 32位的IP地址采用网络主机的层次结构.如下图：u网络标识网络标识(网络号网络号)的长度决定整个因特网中能包含多少个网络。的长度决定整个因特网中能包含多少个网络。u 主机标识主机标识(主机号主机号)的长度决定每个网络能容纳多少台主机。的长度决定每个网络能容纳

15、多少台主机。u具有同一个网络位标识的主机能直接通信，不具有相同网络标识的具有同一个网络位标识的主机能直接通信，不具有相同网络标识的不能直接通信。不能直接通信。IP地址现状uIP地址分配的不均衡性:1.理论上说,IP地址一共可以有232=42.9亿个，但全球有60多亿的人口，不久的将来IPv4定义的有限地址空间将被逐渐耗尽。2.IP 地址没有合理的分配给各个国家和地区,美国占有绝大多数IP地址。美国现有IP地址 12亿左右，平均每个美国人有4个IP地址。中国大约25个中国人1个IP地址（按13亿中国人计算）。美国人均IP地址是我们的一百倍。u目前广泛采用的私有地址、动态地址分配、无类域间路由和子

16、网掩码等地址复用技术，以及收紧地址分配策略等政策手段，节约了大量的IPv4地址资源。如：内部局域网保留地址10.X.X.X172.16.X.X172.31.X.X192.168.X.X-192.168.X.XuIPv6技术采用128位地址，按保守方法估算IPv6实际可分配的地址，整个地球每平方米面积上可分配1000多个地址。TCP协议pTCP是传输层上端到端的面向连接协议.TCP建立连接三次握手机制p第一次握手：建立连接时，客户端发送syn包(syn=X)到服务器，并进入SYN_SEND状态，等待服务器确认；p第二次握手：服务器收到syn包，必须确认客户的SYN（ack=X+1），同时自己也发

17、送一个SYN包（syn=Y），即SYN+ACK包，此时服务器进入SYN_RECV状态(SYN=Y,ACK=X+1)；p第三次握手：客户端收到服务器的SYNACK包，向服务器发送确认包ACK(ack=Y+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。知识链接 TCP关闭连接四次挥手机制TCP的连接是全双工（可以同时发送和接收）连接，因此在关闭连接的时候，必须关闭传和送两个方向上的连接。1、客户机给服务器一个FIN为1的TCP报文(FIn=1，X)2、服务器接收FIN报文，并返回给客户端一个确认ACK报文ACK=X+13、同时服务器也发送一个FIN报文（FIN=1

18、，Y）4、客户机接收FIN+ACK报文，并回复ACK报文（ACK=Y+1），连接就结束了。网络安全的层次-OSIOSI安全体系结构安全体系结构v基于OSI参考模型的七层协议之上的信息安全体系结构.定义了5类安全服务、8种的安全机制。vv网络在体系结构各层上都存在安全隐患网络在体系结构各层上都存在安全隐患5类安全服务v鉴别v访问控制v数据机密性v数据完整性v抗否认提供对通信中对等实体和数据来源的认证（鉴别）。用于防治未授权用户非法使用系统资源，包括用户身份认证和用户权限确认 为防止数据被截获或泄密，提供机密保护,同时对有可能通过观察信息流就能推导出信息的情况进行防范。用于防止非法实体对数据的修改

19、、插入、删除以及数据丢失。用于防止发送方在发送数据后否认行为或接收方收到数据后否认。8种安全机制v加密机制v数字签名机制v访问控制机制v数据完整性机制v鉴别交换机制v通信业务填充机制v路由选择控制机制v公证机制确保数据安全性的基本方法 确保数据真实性的基本方法 确保授权用户在限权内合法操作 确保数据单元和单元序列的完整性包括站点、报文、用户和进程的认证等 挫败信息流分析攻击的一种常用机制 选择安全的数据传输路径 提供第三方公证仲裁网络安全体系结构网络安全体系结构应用层表示层会话层传输层网络层数据链路层物理层最重要的一层l主要涉及到电气信号、网络设备及设施的安全。譬如机房构建，综合布线，核心设备

20、，防断电，防火，防盗，防雷，防静电、防灾等。l主要措施是制定完整的管理规范和防灾措施。如机房管理办法，电磁屏蔽、异地备份，系统、防雷接地系统、门禁系统、消防报警及自动灭火系统、保安监控系统等。l主要涉及MAC地址接入，广播风暴等。l主要措施有MAC地址绑定链路加密、VLAN划分主要涉及端到端连接，端口漏洞主要措施SSL、SSH、SOCKS加密和身份验证、流量控制、IDS、IPS会话管理和数据加密最难保护的层主要涉及操作系统安全，应用软件安全，如系统漏洞、邮件爆炸、病毒、木马、恶意程序等。主要安全技术有系统漏洞扫描、定期检测、杀毒以及制定相关系统安全策略。l主要涉及路由，IP欺骗l主要措施有防火

21、墙过滤、NAT、身份验证9网络安全的研究内容网络安全攻击防御体系攻击技术网络扫描网络监听网络入侵网络后门与网络隐身防御技术操作系统安全配置技术加密技术防火墙技术入侵检测技术网络安全的基础操作系统：Unix/Linux/Windows网络协议：IP/TCP/UDP/SMTP/POP/FTP/HTTP网络安全的实施工具软件:Sniffer/X-Scan/防火墙软件/入侵检测软件/加密软件 等等编程语言：C/C+/Perl安全理论：网络基础、密码理论、安全体系结构等10网络安全立法情况v我国立法情况 我国信息安全立法问题认识过程概括起来，是沿着一条技术+管理+法律规范的发展路线，逐步提高认识的。20

22、03 年中办下发的关于加强信息安全保障工作的意见（中办发200327号）是目前我国信息安全保障方面的一个纲领性文件。在此之前出台的法律法规主要分为两大类，一是部门规章。如计算机信息网络国际联网安全保护管理办法、计算机信息系统保密管理暂行规定、公安部关于对与国际联网的计算机信息系统进行备案工作的通知、涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法、计算机信息系统安全专用产品检测和销售许可证管理办法、关于中国互联网络域名体系的公告和加强我国互联网络域名管理工作的公告等。二是领域的单行法律法规。如国际互联网管理、国际信道、域名注册、密码管理、重要信息系统和信息内容等。如1994年2月发布

23、的中华人民共和国计算机信息系统安全保护条例、中国互联网络城市注册暂行管理办法、中华人民共和国计算机信息网络国际联网管理暂行规定实施办法、计算机信息网络国际联网管理暂行规定、中国公共计算机互联网国际联网管理办法、计算机信息网络国际联网出入口信道管理办法、国家信息化工作领导小组2001年3月颁布的关于计算机网络信息安全管理工作中有关部门职责分工的通知、中办、国办2002年3月印发的关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见等。我国现行信息安全法律法规的特点：1）已出台的条例和规定缺乏系统性和权威性，尚未上升到法律的高度。2）已出台的条例和规定之间的协调性和相通性不够。因大多出自各部门

24、，如保密、公安、信息产业、国家安全、邮电、技术监督等，缺乏统筹规划。3）有些法规制度过于原则或笼统，缺乏可操作性。4）有些法规制度明显滞后。v国际立法情况 信息网络安全已成为国家安全的一个重要组成部分。为此，各国政府在采取必要技术防范措施的同时，都在加紧进行有关信息安全的立法工作，通过法律来加强对信息安全的保护。美国 在美国，专门用来解决信息网络安全问题的法律法规不少于18部，这些法律法规主要涉及以下几个领域：加强信息网络基础设施保护、打击网络犯罪，如国家信息基础设施保护法、计算机欺诈与滥用法、公共网络安全法、计算机安全法、加强计算机安全法、加强网络安全法；规范信息收集、利用、发布和隐私权保护

25、，如信息自由法、隐私权法、电子通信隐私法、儿童在线隐私权保护法、通信净化法、数据保密法、网络安全信息法、网络电子安全法；确认电子签名及认证，如全球及全国商务电子签名法 其他安全问题，如国土安全法、政府信息安全改革法、网络安全研究与开发法等。日本 日本十分重视信息化建设，通过e-Japan重点计划、全国宽带构想、亚洲宽带计划等明确了日本“打造世界最先进的信息化国家”战略目标。为了保证这一目标的顺利实现，确保信息网络安全，日本政府先后制定通过了一些法律法规，如建立高度信息通信网络社会基本法（简称IT基本法）、电子签名法、禁止非法接入法等，目前仍处在审议过程中的法律法规有个人信息保护法、行政机关保存

26、的个人信息保护法、独立公共事业法人等保存的个人信息保护法、信息公开、个人信息保护审查会设置法等。习题一、选择题1.信息安全的目标CIA指的是_。A.机密性 B.完整性 C.可靠性 D.可用性2.1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保护划分为以下_个级别。A.3 B.4 C.5 D.63.根据美国可信计算机安全评价标准,TCSEC,WindowsXP系统属于_级别。A.D级 B.C1级 C.C2级 D.B1级二、填空题1.信息保障的核心思想是对系统或者数据的4个方面的要求：_，检测（Detect），_，恢复（Restore）。2.从系统安全的角度可以把网络安全的研究内容分成两大体系：_和_。3.电子政务工程一站是指_，二网是指_和_。4.OSI/RM参考模型把计算机通信过程分为_层，TCP/IP参考模型把计算机通信过程分为_层。三、名词解释1.信息化2.数字化3.计算机网络体系结构四、简答题1.简述IP数据报传输数据过程？2.简述TCP的三次握手连接和四次挥手连接？3.从层次上，网络安全可以分成哪几层？每层有什么特点？3.国内和国际上对于网络安全方面有哪些立法？4.为什么要研究网络安全？