0-网络安全课程介绍

1网络安全课程网络安全网络安全--课程介绍张权2网络安全课程章节内容引言网络安全问题及事件系统安全缺陷网络安全结构网络安全标准和协议31-引言引言网络安全是一门涉及计算机科学、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科，是指网络系统的硬件、软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常的运行，网络服务不中断。从本质上讲，网络安全就是网络上的信息安全。42-网络安全问题及事件网络安全问题的产生Internet的迅速普及绝大多数的用户缺乏网络和信息安全经验网络配置的复杂性导致的安全性问题系统自身的缺陷、开放性有着目的的入侵者的攻击52-网络安全问题及事件网络安全事件在CPU芯片中植入无线发射接收功能，通过唯一识别CPU的序列号，可以主动准确地识别、跟踪或攻击一个使用该芯片的计算机系统，根据预先设定收集敏感信息进行定向破坏。在OS、DB或应用程序中预先安置从事情报收集、受控激发破坏程序62-网络安全问题及事件网络安全事件1988年，Morris在Internet上散布蠕虫病毒(Worm)，使当时网上10%（约6000台）计算机瘫痪1995年，前苏联克格勃人员突破美国花旗银行装备的防火墙和其它高技术的防范措施，成功地通过计算机网络转移1160万美元2001年由中美撞机事件引发的中美黑客大战2002年中日黑客大战2004年，“震荡波”病毒爆发72-网络安全问题及事件网络安全事件2003年3月23日伊拉克战争，英国首相府网站（Linux）遭受拒绝服务攻击；“Freeworld”的黑客组织声称成功入侵白宫网站，但很快被恢复。82-网络安全问题及事件网络安全事件白宫首页：92-网络安全问题及事件网络安全事件受攻击后：102-网络安全问题及事件Hacker与Cracker早期的黑客（Hacker，60-70年代）褒义～独立思考、奉公受法的计算机迷，他们享受智力上的乐趣，其贡献是解放和普及了计算机技术，培养了一批信息革命的先驱。代表人物：微软的盖茨、苹果的伍兹和乔布斯大本营：硅谷、斯坦福112-网络安全问题及事件Hacker与Cracker当今的黑客（Cracker：破坏者）专门闯入电脑、网络、电话系统和其他的通信系统；具有不同的目的（政治、商业、恶作剧等），非法入侵和破坏系统、窃取信息。Hacker和Cracker不同：Hacker的目的在于创造性；Cracker的目的在于破坏123-系统安全缺陷系统缺陷和漏洞通用的计算机系统存在许多安全性问题操作系统：Windows、UNIX、Netware……应用程序：IE、Netscape……硬件：IntelPemtiumprocessor……专用的安全计算机系统中存在大量BUG计算机的安全操作系统、数据库信息网络和网络服务、防火墙设备133-系统安全缺陷系统缺陷和漏洞Login&R-CommandsVulnerabilityFinger&BackdoorVulnerabilityRPCVulnerabilityFirewall&IDSVulnerabilityIPSpoofing、SourcePorting、SourceRountingInternetServiceVulnerabilityDenyofService(DoS)Vulnerability143-系统安全缺陷系统攻击153-系统安全缺陷网络协议缺陷TCP/IP协议体系自身缺乏完整的安全策略协议的实现存在安全漏洞信息未加密传输容易被窃听、伪造和欺骗配置的复杂性和专业性163-系统安全缺陷病毒.有害程序病毒程序后门特洛伊木马程序炸弹细菌程序173-系统安全缺陷系统攻击信息搜集（踩点）～ICMP、SNMP、Whois、Finger等协议、Traceroute、Ping、Telnet、FTP等程序扫描～Scan攻击～建立账户、安装远程监控程序、获取特权184-系统安全结构系统安全的层次化194-系统安全结构制定安全策略的原则适应性原则：安全策略必须是和网络的实际应用环境相结合的（匿名登录）动态性原则：不断适应网络发展和环境的变化简单性原则：用户、管理、设备、软件、维护系统性原则：全面考虑整个网络204-系统安全结构制定安全策略明确网络管理员、网络设备的布局和安排网络规划的容错和备份、防火墙和代理服务器用户、组操作权限、操作系统和文件系统、卷禁止敏感的数据读写通道、审核远程操作控制（RAS）、软件编程漏洞215-系统安全标准和协议美国TCSEC将安全分为：安全政策、可说明性、安全保障和文档。共7个安全级别，从低到高依次为D、C1、C2、B1、B2、B3和A级A级：绝对可信网络安全B级：完全可信网络安全（B1、B2、B3）C级：可信网络安全（C1、C2）D级：不可信网络安全局限性：以保密和单点机为主225-系统安全标准和协议欧洲ITSEC叙述技术安全的要求，把保密作为安全增强功能把完整性、可用性与保密性作为同等重要的因素定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级235-系统安全标准和协议加拿大CTCPEC将安全需求分为4个层次：机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证分为7个保证级，通常称为EAL-1到EAL-7245-系统安全标准和协议ISO安全体系结构标准国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》提供五大类可选的安全服务：1.鉴别2.访问控制3.数据保密4.数据完整性5.不可否认255-系统安全标准和协议国内安全标准中华人民共和国国家标准《计算机信息系统安全专用产品分类原则》（GA163-1997）及GB17895-1999《计算机信息系统安全保护等级划分准则》该准则将信息系统安全分为5个等级,分别是：自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级。265-系统安全标准和协议国内安全标准《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》（GB/T9387.21995）《信息处理数据加密实体鉴别机制第I部分:一般模型》（GB15834.1-1995）《信息技术设备的安全》（GB4943-1995）275-系统安全标准和协议国内安全政策《中华人民共和国计算机安全保护条例》《中华人民共和国商用密码管理条例》《中华人民共和国计算机信息网络国际联网管理暂行办法》《关于对与国际联网的计算机信息系统进行备案工作的通知》《计算机信息网络国际联网安全保护管理办法》在刑法的修订中,增加了有关计算机犯罪的条款……28网络安全课程章节回顾引言网络安全问题及事件系统安全缺陷网络安全结构网络安全标准和协议