计算机网络安全概述.ppt
《计算机网络安全概述.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全概述.ppt(123页珍藏版)》请在课桌文档上搜索。
1、第1章 计算机网络安全概述,本章主要内容 网络安全的基本概念和特征 网络的脆弱性和威胁 网络安全体系结构 网络安全措施 网络安全级别,本章要求了解网络安全的含义掌握网络安全特征(涵义)熟悉网络安全技术了解网络系统的脆弱性熟悉网络系统的威胁,掌握网络安全分类了解网络信息安全的措施知道著名的网络安全策略模型熟悉网络安全措施了解网络信息安全立法掌握网络安全管理,本章分为五小节:11 计算机网络安全的概念12 网络面临的不安全因素13 网络安全体系结构14 网络安全措施15 网络安全级别,11 计算机网络安全的概念,1.1.1 计算机网络概述 计算机网络技术是由现代通信技术和计算机技术的高速发展、密切
2、结合而产生和发展的。计算机网络技术是20世纪最伟大的科学技术成就之一,而计算机网络的发展速度又超过了世界上任何一种其他科学技术的发展速度。,1计算机网络的概念计算机网络是利用通信线路把多个计算机系统和通信设备相连,在系统软件及协议的支持下而形成的一种复杂的计算机系统。,根据功能的强弱和覆盖范围的大小划分,计算机网络可分为广域网、城域网和局域网。广域网覆盖的范围大,一般可从几十公里到几万公里。例如一个大城市、一个地区、一个国家或洲际间建立的网络都属于广域网。广域网的规模大,功能强,也很复杂,利用广域网可实现较大范围内的资源共享和信息传递。,城域网一般是指建立在大城市、大都市区域的计算机网络,覆盖
3、城市的大部分或全部地域,也叫大都市区域网。局域网覆盖范围有限,一般在几公里之内,属于一个部门或单位组建的小型网络,通常在一个工厂、学校、机关、建筑物内使用。,局域网组网方便,使用灵活,一般具有较高的传输速率。现在由于网络交换技术、互连技术的更加成熟,局域网的范围越来越小,上千米或几公里范围内的网络通常都是由多个局域网互连形成的复合网(互连网)。,根据应用范围和管理性质来看,计算机网络又有公用网和专用网两类。公用网也叫通用网,一般由政府的电信部门组建、控制和管理,网络内的数据传输和交换设备可租用给任何个人或部门使用;,专用网通常是由某一部门、某一系统、某机关、学校、公司等组建、管理和使用的。部分
4、的广域网是公用网,多数局域网属于专用网,有些广域网也可用作专用网,如广电网、铁路网等。,2计算机网络的功能计算机网络的功能主要有资源共享和信息传输。资源共享是计算机网络的功能之一。网络的基本资源包括硬件资源、软件资源和数据资源,共享资源即共享网中的硬件、软件和数据库资源。,信息传输也是计算机网络的基本功能之一。在网络中,通过通信线路可实现主机与主机、主机与终端之间数据和程序的快速传输。除此之外,计算机网络还有实时的集中管理、均衡负荷和分布式处理、扩展服务范围、提高可靠性等功能。,3计算机网络的特点 虽然各种计算机网络系统的具体用途、系统结构、信息传输方式等各不相同,但各种网络系统都具有一些共同
5、的特点,如可靠性高,可扩充性强,易于操作和维护,效率高,成本低等。,4网络的组成资源子网和通信子网 从网络系统功能的角度看,计算机网络是由资源子网和通信子网组成的。,资源子网是由各计算机系统和终端设备、软件和可供共享的数据库等组成。资源子网负责全网面向应用的数据处理工作,向用户提供数据处理能力、数据存储能力、数据管理能力和数据输入输出能力以及其他数据资源。,通信子网是由通信硬件(通信设备和通信线路等)和通信软件组成,其功能是为网中用户互相访问和共享各种网络资源提供必要的通信手段和通信服务。,(2)计算机网络硬件 从系统组成的角度看,计算机网络是由硬件部分和软件部分组成的。计算机网络的硬件主要包
6、括主机、终端、用于信息变换和信息交换的通信节点设备、通信线路和网络互连设备等。,主机(Host)负责网络中的数据处理、执行网络协议、进行网络控制和管理等工作,也包括供用户共享访问的数据库的管理,它与其他主机系统连网后构成网络中的主要资源;,终端是用户访问网络的设备,其的主要作用是把用户输入的信息转变为适合传送的信息送到网络上,或把网络上其他节点输出的经过通信线路的信息转变为用户所能识别的信息。计算机网络中所说的终端是指用户用机,即客户机,而不是指一般所说的简易终端。,用于信息变换和信息交换的通信节点设备主要有通信控制处理机、调制解调器、集中器和多路复用器等。通信控制处理机是在数据通信系统或计算
7、机网络系统中执行通信控制与处理功能的设备;调制解调器是把用户数据设备与模拟通信线路连接起来的一种接口设备,它主要实现数字信号与模拟信号的变换功能;集中器是设置在终端密集处完成终端侧的通信处理与复用的设备;多路复用器是实现多路信号在同一条线路上的传输的设备。,通信线路是传输信息的媒体。计算机网络中的通信线路有有线线路(包括双绞线、同轴电缆、光纤等)和无线线路(包括微波线路和卫星线路等)。网络互连设备可将两个或两个以上的网络连接起来,构成一个更大的互连网络系统。常用的网络互连设备有网桥、路由器、交换机和网关等。,(3)计算机网络软件在计算机网络系统中,每个用户都可享用系统中的各种资源,因此,系统必
8、须能按用户的请求为用户提供相应的服务,对所涉及的信息数据进行控制和管理。网络中的这些服务、控制和管理工作都是由网络软件完成的。计算机网络软件通常包括网络操作系统软件、网络协议软件、网络管理软件、网络通信软件和网络应用软件等。,1.1.2.网络安全的含义“网络安全”可理解为“网络系统不存在任何威胁的状态”为防范各种威胁,如病毒入侵和破坏、计算机犯罪、主动或被动攻击等而采取的措施,可保证网络安全。,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因无意或故意威胁而遭到破坏、更改、泄露,保证网络系统连续、可靠、正常地运行。,从不同角度谈网络安全:用户:网络系统可靠运行;网络中存储和传输的
9、信息完整、可用和保密。网络运行和管理者:网络资源安全,有访问控制措施,无“黑客”和病毒攻击。安全保密部门:防有害信息出现,防敏感信息泄露。社会教育和意识形态:控制有害信息的传播,从不同环境和应用解释网络安全:运行系统安全:保证信息处理和传输系统的安全。即网络系统环境保护,系统硬件的可靠运行,系统结构设计安全,系统软件及数据库安全等。,系统信息安全:保证在信息处理和传输系统中存储和传输的信息安全。如信息不被非法访问、散布、窃取、篡改、删除、识别和使用等。即保证网络信息的完整性、可用性和保密性。,1.1.3.网络安全的特征(几个特性)系统的可靠性:保证网络系统不因各种因素的影响而中断正常工作数据的
10、完整性:保护网络系统中存储和传输的软件(程序)与数据不被非法改变,数据的可用性:保证软件(程序)和数据能被合法用户访问和正常利用数据的保密性:利用密码技术对数据进行加密处理,保证在系统中存储和网络上传输的数据不被无关人员识别。,1.2 网络面临的不安全因素,1网络系统的脆弱性(漏洞)2网络系统的威胁:无意威胁、故意威胁,被动攻击、主动攻击3网络结构的安全隐患,1.2.1 网络系统的脆弱性(漏洞)操作系统的脆弱性计算机系统本身的脆弱性电磁泄漏数据的可访问性通信系统和通信协议的脆弱性数据库系统的脆弱性存储介质的脆弱,操作系统的脆弱性 NOS体系结构本身就是不安全的-操作系统程序的动态连接性。操作系
11、统可以创建进程,这些进程可在远程节点上创建与激活,被创建的进程可以继续创建进程。NOS为维护方便而预留的无口令入口也是黑客的通道。,计算机系统本身的脆弱性 数据的可访问性:数据可容易地被拷贝而不留任何痕迹硬件和软件故障:硬盘故障、电源故障、芯片主板故障操作系统和应用软件故障 电磁泄漏:网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成信息泄漏存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者,电磁泄漏 计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄漏。,数据的可访问性 进
12、入系统的用户可方便地拷贝系统数据而不留任何痕迹;网络用户在一定的条件下,可以访问系统中的所有数据,并可将其拷贝、删除或破坏掉。,通信系统与通信协议的脆弱性 通信系统的弱点:网络系统的通信线路面对各种威胁就显得非常脆弱TCP/IP及FTP、E-mail、WWW等都存在安全漏洞,如FTP的匿名服务浪费系统资源,E-mail中潜伏着电子炸弹、病毒等威胁互联网安全,WWW中使用的通用网关接口程序、Java Applet程序等都能成为黑客的工具,黑客采用TCP预测或远程访问直接扫描等攻击防火墙,数据库系统的脆弱性 由于DBMS对数据库的管理是建立在分级管理的概念上的,因此,DBMS存在安全隐患。另外,D
13、BMS的安全必须与操作系统的安全配套,这无疑是一个先天的不足之处。黑客通过探访工具可强行登录和越权使用数据库数据;数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。,存储介质的脆弱性 软硬盘中存储大量的信息,这些存储介质很容易被盗窃或损坏,造成信息的丢失。介质的剩磁效应:废弃的存储介质中往往残留有关信息。,1.2.2网络系统的威胁网络系统的威胁主要表现有:非法授权访问,假冒合法用户,病毒破坏,线路窃听,干扰系统正常运行,修改或删除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。,案例1-1:2008年元旦期间,一种名为“木马下载器20480”的病毒在网上现身,这种病毒会下载大量盗
14、号程序,给用户的系统安全和财产带来威胁。另外,国家计算机病毒应急处理中心也发出预报,2007年12月31日至2008年1月6日,将定期发作“求职信”(Worm_Klez.E)病毒,属于电子邮件螨虫病毒类型。目前,全球的计算机病毒已达10万种,几乎每天都有几种新病毒或病毒变种出现。,案例1-2:2007年底,著名互联网安全公司赛门铁克评出10大互联网安全事件:1)数据窃取。超过9400万名用户的Visa和MasterCard信用卡信息被黑客窃取。2)Windows Vista安全问题。微软公司今年为Windows Vista推出了16款安全补丁,将来更多的恶意软件会把目光集中在Vista身上。3
15、)垃圾邮件。垃圾邮件比例创下了历史新高。4)黑客工具成为赚钱工具。今年,不仅黑客的攻击手段越来越高明,而且还通过出售黑客工具获取利润。5)“钓鱼”式攻击依然肆虐。6)可信的知名网站成为黑客攻击目标。7)僵尸程序。8)Web插件攻击。ActiveX控件事最易遭受攻击的Web插件。9)黑客在网上拍卖软件漏洞。10)虚拟机安全问题突出。,(1)无意威胁 无意威胁是在无预谋的情况下破坏了系统的安全性、可靠性或信息资源的完整性等。无意威胁主要是由一些偶然因素引起,如软、硬件的机能失常,不可避免的人为错误、误操作,电源故障和自然灾害等。,(2)有意威胁 有意威胁实际上就是“人为攻击”。由于网络本身存在脆弱
16、性,因此总有某些人或某些组织想方设法利用网络系统达到某种目的,如从事工业、商业或军事情报的搜集工作的间谍、黑客,他们对网络系统的安全构成了主要威胁。,对系统的攻击范围,可从随便浏览信息到使用特殊技术对系统进行攻击,以便得到有针对性的、敏感的信息。这些攻击又可分为被动攻击和主动攻击。,被动攻击是指攻击者只通过观察网络线路上的信息,而不干扰信息的正常流动,如被动地搭线窃听或非授权地阅读信息。主动攻击是指攻击者对传输中的信息或存储的信息进行各种非法处理,有选择地更改、插入、延迟、删除或复制这些信息。,被动攻击和主动攻击有四种具体类型:窃听:攻击者未经授权浏览了信息资源。这是对信息保密性的威胁,例如通
17、过搭线捕获线路上传输的数据等。,中断(Interruption):攻击者中断正常的信息传输,使接收方收不到信息,正常的信息变得无用或无法利用,这是对信息可用性的威胁,例如破坏存储介质、切断通信线路、侵犯文件管理系统等。,篡改(Modification):攻击者未经授权而访问了信息资源,并篡改了信息。这是对信息完整性的威胁,例如修改文件中的数据、改变程序功能、修改传输的报文内容等。,伪造(Fabrication):攻击者在系统中加入了伪造的内容。这也是对数据完整性的威胁,如向网络用户发送虚假信息、在文件中插入伪造的记录等。,(3)物理威胁物理威胁就是影响物理安全的各种因素,如误操作损坏硬件设备(
18、属无意威胁);盗窃、破坏网络硬件或环境,搜寻废弃存储介质信息等(属有意威胁)。,(4)网络威胁 网络威胁是指网络应用中给网络资源带来的新的安全威胁。如网络上存在电子窃听、借助于Modem入侵、冒名顶替(非法用户)入网等(属有意威胁)。,(5)系统漏洞 系统漏洞也叫陷阱、后门,通常是操作系统开发者有意设置的,以便他们在用户失去对系统的访问权时能进入系统;也有些是无意造成的。这些安全漏洞就为黑客和非法入侵者提供了攻击系统的便利。,(6)恶意程序 病毒、木马、蠕虫等都是一种能破坏计算机系统资源的特殊计算机程序(都是有意设置的)。它们具有一定破坏性。一旦发作,轻者会影响系统的工作效率,占用系统资源,重
19、者会毁坏系统的重要信息,甚至使整个网络系统陷于瘫痪。,网络结构的安全隐患 共享式设备带来的安全隐患:用HUB组网,所有数据在整个网上广播,入侵者可利用某台计算机对网络进行监听,以获取网上相应的数据包,再对其进行解包分析。而使用交换机组网,网上信息只能在通信双方间传输,因此可避免监听事件。,网络系统自身的安全漏洞:网络系统由于某种环境因素影响和技术条件限制,总是存在各种不足和安全漏洞,有些甚至可造成严重事故。这些漏洞由于时间的推移,往往被用户忽视,成为潜在的入侵渠道,对系统安全构成威胁。,来自内部的安全隐患:入侵者从内部计算机可容易地获得网络的结构,发现其他计算机的安全漏洞,然后进行各种伪装,骗
20、取其他用户的信任,从而对其进行入侵。来自互联网的安全隐患:连接互联网后,将面临来自外部的各种入侵尝试。,1.3 网络安全体系结构,1.3.1 网络安全模型,为了在开放式的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分:一是对发送的信息进行安全转换,如信息加密以便达到信息的保密性,附加一些特征码以便进行发送者身份验证等;二是发收双方共享的某些秘密信息,如加密密钥,除了对可信任的第三方外,对其它用户是保密的。,信息转换报文秘密信息报文秘密信息如仲裁者,秘密信息发布者用户可信任第三方攻击者图1.2 网络安全模型用户信息转换为了使信息安全传输,通常需要一个可
21、信任的第三方,其作用是负责向通信双方分发秘密信息,以及在双方发生争议时进行仲裁。,一个安全的网络通信必须考虑以下内容:实现与安全相关的信息转换的规则或算法;用于信息转换算法的秘密信息(如密钥);秘密信息的分发和共享;使用信息转换算法和秘密信息获取安全服务所需的协议。,1.3.2 网络信息安全框架网络信息安全可看成一个由多个安全单元组成的集合。其中,每个单元都是一个整体,包含了多个特性。一般,人们从三个主要特性-安全特性、安全层次和系统单元去理解安全单元。该安全单元集合可用一个三维安全空间描述,如图1.3所示。该三维安全空间反映了信息系统安全需求和安全结构的共性。,1安全特性安全特性指的是该安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 网络安全 概述
链接地址:https://www.desk33.com/p-234083.html