三级计算机网络 第七章 计算机网络安全与管理基础

第七章计算机网络安全与管理基础第一节计算机网络安全与管理一、计算机网络安全的定义1、计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络系统连续可靠地正常运行网络服务不中断。从安全主体的角度来分，网络安全包括两个方面的内容，一个是网络设备安全，一个是网络信息(数据)安全。网络设备安全是指人为的或自然的因素导致网络设备被破坏，进而导致网络系统瘫痪和数据流失。网络信息安全一般是指网络信息的机密性、完整性、可用性及真实性。2、网络安全策略物理安全策略：物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。访问控制策略：访问控制策略是网络安全防范和保护的主要策略，包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制，以及防火墙控制等，主要任务是保证网络资源不被非法使用和非正常访问。信息加密策略：信息加密策略的目的是保护网络中的数据、文件、密码和控制信息，保护网上传输的数据。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。网络安全管理策略：在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络安全可靠地运行将起到十分有效的作用。3、网络安全的特征保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性：对信息的传播及内容具有控制能力。4、网络安全防范措施选择性能优良的服务器。服务器是网络的核心；它的故障意味着整个网络的瘫痪，因此，要求的服务应具有：容错能力，带电热插拔技术，智能I／O技术，以及具有良好的扩展性。采用服务器备份。服务器备份方式分为冷备份与热备份二种，热备份方式由于实时性好，可以保证数据的完整性和连续性，得以广泛采用的一种备份方式。对重要网络设备、通信线路备份。通信故障就意味着正常工作无法进行。所以，对于交换机、路由器以及通信线路最好都要有相应的备份措施。二、网络安全的威胁1、网络安全受到威胁的主要表现非授权访问，这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用；假冒合法用户，主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权，以达到占用合法用户资源的目的；数据完整性受破坏；干扰系统的正常运行，改变系统正常运行的方向，以及延时系统的响应时间；病毒；通信线路被窃听等。2、威胁网络安全的因素计算机系统的脆弱性协议安全的脆弱性数据库管理系统安全的脆弱性人为的因素各种外部威胁三、攻击网络的主要途径1、计算机犯罪的定义一是政法大学信息技术立法课题组从学术角度所作的定义，即“与计算机相关的危害社会并应当处以刑罚的行为”；一是我们提出的定义，即“以计算机为工具或以计算机资产为对象实施的犯罪行为”。这里所说的工具是指计算机信息系统(包括大、中、小、微型系统)，也包括在犯罪进程中计算机技术知识所起的作用和非技术知识的犯罪行为。立法通常定义计算机犯罪为通过专门的计算机知识来完成的犯罪行为。2、网络犯罪分子进行网络攻击的主要途径数据欺骗：非法篡改数据或输入假数据；特洛伊木马术：非法装入秘密指令或程序，由计算机执行犯罪活动；香肠术：利用计算机从金融银行信息系统上一点点窃取存款，如窃取各户头上的利息尾数，积少成多；逻辑炸弹:输入犯罪指令，以便在指定的时间或条件下抹除数据文卷，或者破坏系统功能；网络犯罪分子进行网络攻击的主要途径（2）线路截收：从系统通信线路上截取信息；陷阱术：利用程序中用于调试或修改、增加程序功能而特设的断点，插入犯罪指令或在硬件中相应的地方增设某种供犯罪用的装置，总之是利用软件和硬件的某些断点或接口插入犯罪指令或装置；寄生术：用某种方式紧跟有特权的用户打入系统，或者在系统中装入“寄生虫”；超级冲杀：用共享程序突破系统防护，进行非法存取或破坏数据及系统功能；异步攻击：将犯罪指令混杂在正常作业程序中，以获取数据文件；网络犯罪分子进行网络攻击的主要途径（3）电脑病毒：将具有破坏系统功能和系统服务与破坏或抹除数据文卷的犯罪程序装入系统某个功能程序中，让系统在运行期间将犯罪程序自动拷贝给其它系统，这就好像传染性病毒一样四处蔓延。黑客入侵。搭线窃听或线路干扰：将先进的电子设备连入网络，利用专门的工具软件对网络传输的数据包进行分析，获取有用信息。窃取：入侵者利用信任关系，冒充一方与另一方连网，以窃取信息。会话劫夺：入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方连接，以获取信息。利用操作系统漏洞：任何操作系统都有不可避免的漏洞存在，网络犯罪分子利用操作系统本身的漏洞，对其进行攻击。第二节、数据加密一、数据加密标准数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。链路加密，是传输数据仅在物理层前的数据链路层进行加密，不考虑信源和信宿，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。节点加密方法，是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机。端到端加密是发送端加密，接收端解密，在应用层完成，对用户可见。二、公开密钥密码技术数据加密技术通常使用一组密码与被加密的数据进行混合运算。未加密的数据称为明文，将明文映射成不可读、但仍不失其原信息的密文的过程称为加密，而相反过程即为解密。对数据信息的加解密，密钥是安全的关键。通常有两种方法，即私人密钥法和公用密钥法。私人密钥法也称对称加密法，加密和解密信息使用相同的密钥。70年代中期，出现了公共密钥技术，又称非对称加密法。通过公共密钥加密，每个人可有一对密钥，一个是公共的，一个是私人的。每人的公共密钥将对外发行，而私人密钥被秘密保管。当A想要送给B一个秘密报文时，他就使用B的公共密钥将它加密发送。当B得到该报文时，他用自己的私人密钥进行解密。这样，发送者和接收者在进行秘密通信时，就不必非得共同拥有秘密密钥公开密钥密码技术加密解密明文密文原始明文收件人私钥收件人公钥加密解密明文密文原始明文发件人私钥发件人公钥三、常用的认证方法1、口令认证口令认证基本思想是每一个用户都有一个标识和口令，当用户想进入系统时，他必须先提供其标识和口令，系统就可以检验用户的合法性。因此口令认证具有价格低廉、容易实现且用户界面友好的特点。口令认证被人们称为“知道即可”的认证方法，其安全性较低，现在很多地方开始转向一种名为“拿到方可”的认证方法，即用户必须使用智能卡之类的设备才能认证自己。2、数字签名数字签名技术以加密技术为基础，其核心是采用加密技术的加、解密算法体制来实现对报文的数字签名。数字签名能够实现以下功能。1)收方能够证实发方的真实身份；2)发方事后不能否认所发送过的报文；3)收方或非法者不能伪造、篡改报文。实现数字签名的方法较多，常用的数字签名技术有两种：私人密钥的数字签名：对称式加密公用密钥的数字签名：非对称式加密3、认证中心数字证书就是网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书的格式一般采用X.509国际标准。发送方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用—种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。四、数据加解密的典型工具加密狗，它包含一个安装在计算机并行口或USB口上的硬件，及一套适用于各种语言的接口软件和工具软件。加密狗基于硬件加密技术，其目的是通过对软件与数据的加密防止知识产权被非法使用。光盘加密大师是一款光盘加密制作工具，可以用它对光盘镜像文件（ISO）进行可视化修改，将光盘镜像文件中的目录和文件特别隐藏，将普通文件变为超大文件，将普通目录变为文件目录。它可以修改多种格式的ISO文件系统，轻松制作自己的个性化加密光盘。Winzip与WinRAR，两个通用的压缩工具，可以在压缩文件的过程中，设置加密的密码，是小巧简单的数据加密工具。Office自带的加密，在微软的office中，都带有安全工具，通过“工具/选项/安全性”可以设置打开与修改文档的密码。四、数据加解密的典型工具解密工具：针对不同的加密工具，有相应的解密软件针对不同的加密狗，有一系列相应的破解软件，俗称打狗棒；针对加密光盘有超级加密光盘破解器等工具；针对winzip有ZipKey等工具；针对WinRAR的密码破解工具AdvancedRARPasswordRecovery；针对Office的AOPR等。第三节病毒基本原理与防火墙一、计算机病毒计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。1、病毒的工作原理病毒是一个程序，一段人为编制的计算机程序代码。它通过想办法在正常程序运行之前运行，并处于特权级状态。这段程序代码一旦进入计算机并得以执行，对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。2、病毒的分类引导型病毒：在BIOS之后，系统引导时出现的病毒，先于操作系统，隐藏在系统中伺机发作文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。脚本病毒是使用VBScript或者JavaScript脚本语言编写而成，可以在Winword、网页、电子邮件中。三、病毒检测技术病毒码扫描法：根据病毒特征编写病毒码，加入病毒库加总比对法:文件名称、大小、日期、内容加总为一个检查码人工智能陷阱：内存检查软件模拟扫描法：在虚拟机下执行、使病毒显露本来面目先知扫描法：病毒码归纳成专家知识系统库，分析出新病毒码即时I/O扫描：做病毒码比对，希望在执行之前防堵下来。二、网络黑客黑客是那些检查网络系统完整性和完全性的人，他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。入侵者只不过是那些利用网络漏洞破坏网络的人，他们往往做一些重复的工作（如用暴力法破解口令），与黑客不同的是他们以破坏为目的，这些群体称为“骇客”。1、网络黑客攻击手段获取口令：网络监听、暴利破解特洛伊木马：诱使用户打开，产生报告后，黑客可控制计算机的欺骗：浏览的网页是黑客编写的或篡改过的电子邮件攻击：垃圾邮件、电子邮件欺骗帐户密码通过一个节点来攻击其他节点：IP欺骗网络监