网络与信息安全技术课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络与信息安全技术课件.pptx》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全技术 课件
- 资源描述:
-
1、2022年11月3日星期四网络与信息安全技术网络与信息安全技术主要内容m网络安全简介网络安全简介mTCP/IP网络安全分析m网络安全概念和手段介绍m安全建议m网络安全展望冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁网络安全威胁网络安全威胁中国黑客攻击美
2、国网站(1)中国黑客攻击美国网站(2)中国黑客攻击美国网站(3)中国被黑网站一览表中国被黑网站一览表国内外黑客组织国内外黑客组织网络病毒m红色代码m尼姆达m冲击波m震荡波木马m工行密码盗取m木马m其它后门工具安全威胁实例m用户使用一台计算机D访问位于网络中心服务器S上的webmail邮件服务,存在的安全威胁:mU在输入用户名和口令时被录像m机器D上有key logger程序,记录了用户名和口令m机器D上存放用户名和密码的内存对其他进程可读,其他进程读取了信息,或这段内存没有被清0就分配给了别的进程,其他进程读取了信息m用户名和密码被自动保存了m用户名和密码在网络上传输时被监听(共享介质、或ar
3、p伪造)m机器D上被设置了代理,经过代理被监听安全威胁实例(续)m查看邮件时被录像m机器D附近的无线电接收装置接收到显示器发射的信号并且重现出来m屏幕记录程序保存了屏幕信息m浏览邮件时的临时文件被其他用户打开m浏览器cache了网页信息m临时文件仅仅被简单删除,但是硬盘上还有信息m由于DNS攻击,连接到错误的站点,泄漏了用户名和密码m由于网络感染了病毒,主干网瘫痪,无法访问服务器m服务器被DOS攻击,无法提供服务什么是网络安全?m本质就是网络上的信息安全。m网络安全防护的目的。网络安全的定义:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄
4、露,系统连续、可靠、正常地运行,网络服务不中断。保障各种网络资源稳定、可靠的运行和受控、合法使用网络安全的特征(1)保密性confidentiality:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。(2)完整性integrity:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。(3)可用性availability:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。(4)可控性controllability:对信息的传播及内容具有控制能力。(5)可审查性
5、:出现的安全问题时提供依据与手段主要内容mTCP/IP网络安全分析网络安全分析m网络安全概念和手段介绍m安全建议m网络安全展望网络系统结构开放系统互连参考模型(1)ISO/OSI 模型网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层对等协议物理介质系统 A系统 B第N+1层第N层PDUSDUHPDU第N-1层SDUN+1层协议实体N+1层协议实体N 层协议实体SAPSAPTCP/IP 网络的体系结构mTCP/IP 技术的发展m设计目标 实现异种网的网际互连m是最早出现的系统化的网络体系结构之一m顺应了技术发展网络互连的应用需求m采用了开放策略m与最流
6、行的 UNIX 操作系统相结合mTCP/IP的成功m主要应该归功于其开放性,使得最广泛的厂商和研究者能够不断地寻找和开发满足市场需求的网络应用和业务。鱼与熊掌总是不能兼得,也正是其体系结构得开放性鱼与熊掌总是不能兼得,也正是其体系结构得开放性,导致了,导致了TCP/IP网络的安全性隐患!网络的安全性隐患!TCP/IP 的网络互连m网际互连是通过 IP 网关(gateway)实现的m网关提供网络与网络之间物理和逻辑上的连通功能m网关是一种特殊的计算机,同时属于多个网络G1网络 1网络 3G1网络 2TCP/IP与OSI参考模型mTCP/IP协议和OSI模型的对应关系应用层表示层会话层传输层网络层
7、数据链路层物理层FTP、TELNET NFSSMTP、SNMP XDR RPC TCP、UDP IPEthernet,IEEE802.3,802.11等 ICMPARP RARPOSI参考模型Internet协议簇物理层影响网络安全的主要因素(1)m网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP 协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。例如:多数底层协议为广
8、播方式,多数应用层协议为明文传输,缺乏保密 与认证机制,因此容易遭到欺骗和窃听m软件及系统的“漏洞”及后门 随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows 还是UNIX 几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一影响网络安全的主要因素(2)m黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20 多万个免费的黑客网站,这些站点从系统漏
9、洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力”强的特点,构成了网络安全的主要威胁。m网络普及,安全建设滞后网络硬件建设如火如荼,网络管理尤其是安全管理滞后,用户安全意识不强,即使应用了最好的安全设备也经常达不到预期效果主要内容m网络安全简介mTCP/IP网络安全分析m安全建议m网络安全展望网络安全策略网络安全策略 网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,网络系统安全策略就是基于这种技术集成而提出的,主要有三种:1
10、直接风险控制策略(静态防御)安全=风险分析+安全规则+直接的技术防御体系+安全监控 攻击手段是不断进步的,安全漏洞也是动态出现的,因此静态防御下的该模型存在着本质的缺陷。2 自适应网络安全策略(动态性)安全=风险分析+执行策略+系统实施+漏洞分析+实时响应 该策略强调系统安全管理的动态性,主张通过安全性检测、漏洞监测,自适应地填充“安全间隙”,从而提高网络系统的安全性。完善的网络安全体系,必须合理协调法律、技术和管理三种因素,集成防护、监控和恢复三种技术,力求增强网络系统的健壮性与免疫力。局限性在于:只考虑增强系统的健壮性,仅综合了技术和管理因素,仅采用了技术防护。网络安全策略(续)网络安全策
11、略(续)3 智能网络系统安全策略(动态免疫力)安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习进化 技术防御体系包括漏洞检测和安全缝隙填充;安全跟踪是为攻击证据记录服务的,系统学习进化是旨在改善系统性能而引入的智能反馈机制。模型中,“风险分析+安全策略”体现了管理因素;“技术防御体系+攻击实时检测+系统数据恢复+系统学习进化”体现了技术因素;技术因素综合了防护、监控和恢复技术;“安全跟踪+系统数据恢复+系统学习进化”使系统表现出动态免疫力。网络安全防护模型网络安全防护模型PDRRPDRR 目前业界共识:“安全不是技术或产品,而是一个过程”。为了保障网络安全
12、,应重视提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力。信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命周期的主动防御。网络安全防护模型网络安全防护模型PDRRPDRR(续)续)m保护 (PROTECT)传统安全概念的继承,包括信息加密技术、访问控制技术等等。m检测 (DETECT)从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。网络安全防护模型网络安全防护模型PDRRPDRR(续)续)m响应 (RESPONSE)在遭遇攻击
13、和紧急事件时及时采取措施,包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。m恢复 (RECOVER)评估系统受到的危害与损失,恢复系统功能和数据,启动备份系统等。网络安全保障体系安全管理与审计安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密访问控制链路加密物理信道安全物理隔离l访问控制l数据机密性l数据完整性l用户认证l防抵赖l安全审计网络安全网络安全层次层次层次层次模型模型网络安全网络安全技术技术实现安实现安全目标全目标用户安全l服务可用安全技术选择安全技术选择-根据协议层次根据
14、协议层次物理层:物理隔离 链路层:链路加密技术、PPTP/L2TP 网络层:IPSec协议(VPN)、防火墙 TCP 层:SSL 协议、基于公钥的认证和对称钥加密技术 应用层:SHTTP、PGP、S/MIME、SSH(Secure shell)、开发专用协议(SET)网络安全工具网络安全工具m 物理隔离设备m 交换机/路由器安全模块m 防火墙(Firewall)m 网络扫描器m 入侵检测系统(Intrusion Detection System)m 网络防毒m 虚拟专用网(VPN)m 病毒防护m 网络3Am 物理隔离主要分两种:m双网隔离计算机m物理隔离网闸双网隔离计算机 解决每人2台计算机的
15、问题 1台计算机,可以分时使用内网或外网 关键部件 硬盘 网线 软盘/USB/MODEM等 共享部件 显示器 键盘/鼠标 主板/电源 硬盘*原理 切换关键部件简单双网隔离计算机外网硬盘内网硬盘外网网线内网网线公共部件控制卡控制开关复杂双网隔离计算机内网硬盘外网网线内网网线公共部件控制卡远端设备使用控制卡上的翻译功能将硬盘分为逻辑上独立的部分充分使用UTP中的8芯,减少一根网线物理隔离网闸的基本原理m采用数据“摆渡”的方式实现两个网络之间的信息交换m在任意时刻,物理隔离设备只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络相连接时,它与内部网络的主机是断开的,反之亦然。m
展开阅读全文