搜索
计算机网络技术第六章:网络安全技术一、网络安全的基本概念二、数据加密三、数字签名四、防火墙技术五、网络入侵检测六、计算机漏洞网络安全的基本概念网络安全是信息安全学科的重要组成部分,涉及计算机科学、网路技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多个学科的综合科学。网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说,最重要的就是内部信息上的安全加密以及保护。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络可为计算机信息的获取、传输、处理、利用与共享提供一个高效、快捷、安全的通信环境与传输通道。网络安全从根本上解决的网络中存在的安全隐患问题,从而确保信息在网络环境中的存储、处理与传输安全的目的。因此,网络安全技术主要考虑对其构成威胁的主要因素,归纳为8个因素。主要威胁因素---网络防攻击技术网络防攻击技术:如网络被攻击,出现网络瘫痪,则无法正常工作,要采取攻击防范措施。就要先了解主要的攻击类型。网络攻击的基本类型:划分为服务攻击与非服务攻击,从黑客攻击的手段上可以划分为8种:系统入侵类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马程序攻击、后门攻击。主要威胁因素---网络防攻击技术服务攻击的特点:服务攻击(applicationdependentattack)是指对为网络提供某种服务的服务器发起攻击,造成网络的“拒绝服务”,使网络工作不正常。拒绝服务攻击(denial-of-service-attack)产生的效果表现在消耗带宽、消耗计算资源、使系统和应用崩溃等3个方面,它阻止某种服务的合法使用者访问他有权访问的服务。特定的网络服务包括E-mail、TELNET、FTP、服务等。主要威胁因素---网络防攻击技术非服务攻击的特点:非服务攻击(applicationindependentattack)不针对某项具体应用服务,而是针对网络层等低层协议进行的。攻击者可能使用各种工具方法对网络通信设备(路由器、交换机)发起攻击,使得网络通信设备工作严重阻塞或瘫痪。与服务攻击相比,非服务攻击与特定服务无关。它往往利用协议或操作系统实现协议时的漏洞来达到攻击的目的,更为隐蔽且常常被人所忽略,因而是一种更为危险的攻击手段。主要威胁因素---网络防攻击技术黑客攻击的主要手段:1.缓冲区溢出攻击:向一个有限空间的缓冲区拷贝了过长的字符,结果会出现了两种情况:一是过长的字符覆盖了相邻的存储单元,这样会引起程序运行的失败,严重的话,可以导致当机、系统重新启动等后果;二是利用这样的漏洞可以执行任意的指令,甚至获得系统的操作权。第一个缓冲区溢出攻击--Morris蠕虫。2.欺骗类攻击:利用TCP/IP协议本身的一些缺陷,黑客可对其进行网络欺骗的主要方式有:IP欺骗、ARP欺骗、DNS欺骗、WEB欺骗、电子邮件欺骗、(通过指定路由,以假冒身份与其他主机进行合法通信、或发送假报文,使受攻击主机出现错误动作、地址欺骗(包括伪造源地址和伪造中间站点)等。主要威胁因素---网络防攻击技术黑客攻击的主要手段:3.拒绝服务攻击:即攻击者想办法让目标主机停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。4.后门类攻击:通常黑客在得到一个主机的控制权后,总是考虑如何使下次闯进来能够轻易些,而不需要每次都重复利用复杂的漏洞,因为有可能被系统管理员发现漏洞并及时补上。这时就需要安装backdoor(后门)了,这样只要管理员没有发现被入侵或没有发现这个后门,下次就可以非常轻松的通过后门进入了。://server.chinabyte.com/437/8893437.shtml主要威胁因素---网络防攻击技术网络防攻击研究主要解决以下问题:1.网络可能遭到那些人的攻击2.攻击类型与手段有哪些3.如何及时检测并报告网络被攻击4.如何采取相应的网络安全策略与网络安全防护体系主要威胁因素---网络安全漏洞与对策研究网络信息系统的运行一定涉及到计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件,以及各种通信协议。他们都会存在一些问题,不可能是百分之百无缺陷或者无漏洞的。网络服务是通过各种协议来完成的,因此网络协议的安全性是网络安全的重要方面。值得注意的是网络协议的安全性是很难得到绝对保证的。目前,保证协议安全性主要有两种方法:1.用形式化方法来证明一个协议是安全的,主要是采用漏洞分析确保其安全性。因此具有很大的局限性2.用设计者的经验来分析协议安全性,经验有限、认识不足等。主要威胁因素---网络安全漏洞与对策研究网络安全漏洞的存在是不可避免的。网络软件的漏洞和“后门”是进行网络攻击的首选目标。要求网络管理人员与网络安全研究人员主动地了解本地系统的计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统等网络通信协议可能存在的安全隐患。利用各种工具测试主动监测可能存在的漏洞。及时防范,提出补救措施。主要威胁因素---网络中的信息安全问题黑客攻击手段和方法多种多样,一般可以分为主动攻击和被动攻击。主动攻击:是以各种方式有选择地破坏信息的有效性和完整性。被动攻击:是在不影响网络正常工作的情况下,进行信息的截获、盗取和破译。网络中的信息安全主要分为:信息存储安全和信息传输安全。主要威胁因素---网络中的信息安全问题信息存储安全:是指如何保证静态存在联网计算机中的信息不被未授权的网络用户非法使用。网络中的非法用户可以通过猜测用户口令或盗取口令,或者设法绕过网络安全认证系统来冒充合法用户,非法查看、下载、使用、修改、删除未被授权访问的信息,使用未必授权的网络服务。用户保护手段一般是用户访问权限设置、用户口令加密、用户身份认证、数据加密等。主要威胁因素---网络中的信息安全问题信息传输安全:是指如何保证信息在网络传输的过程中不被泄露与不被攻击。主要威胁因素---网络中的信息安全问题截获信息:信息重信息源节点发送出来,中途被攻击者非法截获,信息目的节点没有接收到应该接受的信息,因而造成了信息在传输途中丢失。窃听信息:信息从信息源节点传输到信息目的节点,但中途被攻击者非法窃听,尽管信息目的节点接收到了信息,信息并没有丢失,但如果被窃听到的是军事信息等重要、重大信息均由可能造成严重损失。篡改信息:信息从信息源节点传输到信息目的节点的中途被攻击者非法截获,攻击者将截获的信息进行修改或者插入欺骗的信息,然后将篡改后的信息发送给信息目的节点。目的节点接收到信息但是被篡改的。伪造信息:该种情况是信息源并没有信息要传输给信息目的节点,攻击者冒充信息源节点用户,将伪造信息发送给信息目的节点,如果目的节点无法发现信息是伪造的,也会造成问题。主要威胁因素---网络中的信息安全问题保障网络中信息的安全主要技术是数据加密和数据解密。数据加密:在密码学中将源信息称为明文,为了保护明文,使用某种算法对其进行变换,使之成为无法识别的密文,将明文变为密文的过程即为数据加密。数据解密:将密文经过逆变换转换为明文的过程为数据解密。主要威胁因素---防抵赖问题防抵赖是指如何防止信息源用户对其发送的信息事后不承认,或者用户接受到信息之后不认账。一般通过身份认证、数字签名、数字信封、第三方确认等方法,来确保网络信息传输的合法性问题,防止抵赖现象出现。主要威胁因素---网络内部安全防范网络内部安全防范是指如何防止内部具有合法身份的用户有意或者无意地做出对网络与信息安全有害的行为。对网络安全有害的行为主要有:泄露网络用户或者管理员口令、违反网络安全规定、绕过防火墙私自和外部网络连接,造成系统瘫痪、越权查看、修改和删除系统文件、应用程序和数据、越权修改网络系统配置,造成网络工作不正常等等。解决该类问题主要通过网络管理软件随时监控网络运行状态与用户工作状态,对重要资源如硬盘、数据库等使用状态进行记录与审计;另一方面制定和不断完善网络使用管理制度,加强要用户培训和管理,提高网络安全意识。主要威胁因素---网络防病毒全球出现的数万种病毒基本可划分6种,引导性病毒、可执行文件病毒、宏病毒、混合病毒、特洛伊木马病毒与Internet语言病毒。主要威胁因素---垃圾、灰色邮件与软件垃圾邮件与灰色软件目前已达到失控地步。灰色软件包括间谍程序、广告程序、后门程序、下载程序、植入程序等。间谍软件的制造者经常是为某个利益集团服务,用来悄悄地安装在用户计算机中,窃取用户机密文件和个人隐私。主要威胁因素---网络数据备份恢复与灾难恢复在实际运行中,虽然可以从预防、检查、反应等方面着手来减少网络信息系统的不安全因素,但是要安全保证系统不出现安全事件,这是任何人都不可能做到的。网络信息系统的硬件与软件都是可以用钱买到的,而数据是多年积累的成果,并具有重要价值,数据一旦丢失,且不能恢复,则可能带来不可挽回的损失。一个实用的网络信息系统设计中必须有网络数据备份、数据恢复和灾难恢复策略与实现方法。数据加密数据加密又称为密码学,数据加密目前仍是计算机系统对信息进行保护的一项最实用和最可靠的办法,也是网络安全技术中的核心技术。数据加密的概念:加密的目的是防止机密信息的泄露,同时还可以证实信息源的真实性、验证所接收到的信息的完整性。加密系统是指对信息进行编码和解码所使用的过程、算法和方法的统称。明文:加密前的原始数据或消息密文:加密后的数据密钥:在加密中使用的并且只有接受双方才知道的信息加密:使用密钥将明文转换为密文的过程解密:将密文转换为明文的过程数据加密数字签名数据加密的主要目的是防止第三方获得真实的数据。但是,并没有解决通信双方有可能由于某些原因而引起纠纷:1、否认,发送方有时候不承认已发送过的文件2、伪造,接受者伪造一份来自发送者的文件3、篡改,接受者私自修改接收的文件4、冒充,网络中某一个用户冒充发送者或者接受者数字签名:在以计算机文件为基础的事物处理中采用电子形式的签名,即为数字签名。可用于辨别数据签署人的身份,并表明签署人对信息中包含信息的认可。数字签名是一种信息认证技术,利用数据加密技术和数据转换技术,根据某种协议产生一个反映被签署文件的特征和签署人的特征,已保证文件的真实性和有效性,同时也可用来核实接受者是否有伪造、篡改行为。因此,数字签名既可以用于对用户身份确认和鉴别,还可以对信息的真实性、可靠性进行确认,以防止冒充、抵赖、伪造和篡改等问题。防火墙技术信息加密技术能够保证数据在传输过程中的安全性,但无法保护公司或者企业内部网络不受外来的入侵。为了防止内部网络受到外部入侵,可在互联网被保护的人口放置一个设备,即防火墙。防火墙将一个互联网分成两个部分:防火墙内部和外部。防火墙通常处于企业内部局域网与Internet之间,形成企业内部网与Internet之间的一道屏障,限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。防火墙可以对进出