第一章计算机网络安全概迷 网络安金 NETWORK SECURrY 教学目的: 掌握计算机网络安全的基本概念、网络面临的各种 安全威胁、产生安全威胁的原因,以及网络的安全 机制。 重点与难点: 网络安全基本概念、产生安全威胁的原因 2
2 第一章 计算机网络安全概述 • 教学目的: ▪ 掌握计算机网络安全的基本概念、网络面临的各种 安全威胁、产生安全威胁的原因,以及网络的安全 机制。 • 重点与难点: ▪ 网络安全基本概念、产生安全威胁的原因
132网络出现安全威胁的原因 网络安金 NETWORK SECURrY 1薄弱的认证环节 网络上的认证通常是使用口令来实现的,但口令有 公认的薄弱性。网上口令可以通过许多方法破译 其中最常用的两种方法是把加密的口令解密和通过 信道窃取口令
3 1.3.2 网络出现安全威胁的原因 • 1薄弱的认证环节 ▪ 网络上的认证通常是使用口令来实现的,但口令有 公认的薄弱性。网上口令可以通过许多方法破译, 其中最常用的两种方法是把加密的口令解密和通过 信道窃取口令
132网络出现安全威胁的原因 网络安金 NETWORK SECURrY 2系统的易被监视性 用户使用Tene或FTP连接他在远程主机上的账户, 在网上传的口令是没有加密的。入侵者可以通过监 视携带用户名和口令的IP包获取它们,然后使用这 些用户名和口令通过正常渠道登录到系统。如果被 截获的是管理员的口令,那么获取特权级访问就变 得更容易了。成干上万的系统就是被这种方式侵入 的。 4
4 1.3.2 网络出现安全威胁的原因 • 2.系统的易被监视性 ▪ 用户使用Telnet或FTP连接他在远程主机上的账户, 在网上传的口令是没有加密的。入侵者可以通过监 视携带用户名和口令的IP包获取它们,然后使用这 些用户名和口令通过正常渠道登录到系统。如果被 截获的是管理员的口令,那么获取特权级访问就变 得更容易了。成千上万的系统就是被这种方式侵入 的
132网络出现安全威胁的原因 网络安金 NETWORK SECURrY 3易欺骗性 TcP或UDP服务相信主机的地址。如果使用“ IP Source Routing 那么攻击者的主机就可以冒充一个被信任的主机或客户。具体步骤: 第一,攻击者要使用那个被信任的客户的IP地址取代自己的地 址 第二,攻击者构造一条要攻击的服务器和其主机间的直接路径, 把被信任的客户作为通向服务器的路径的最后节点; 第三,攻击者用这条路径向服务器发出客户申请; >第四,服务器接受客户申请,就好象是从可信任客户直接发出的 样,然后给可信任客户返回响应; 第五,可信任客户使用这条路径将包向前传送给攻击者的主机
5 1.3.2 网络出现安全威胁的原因 • 3.易欺骗性 ▪ TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”, 那么攻击者的主机就可以冒充一个被信任的主机或客户。具体步骤: ➢ 第一,攻击者要使用那个被信任的客户的IP地址取代自己的地 址; ➢ 第二,攻击者构造一条要攻击的服务器和其主机间的直接路径, 把被信任的客户作为通向服务器的路径的最后节点; ➢ 第三,攻击者用这条路径向服务器发出客户申请; ➢ 第四,服务器接受客户申请,就好象是从可信任客户直接发出的 一样,然后给可信任客户返回响应; ➢ 第五,可信任客户使用这条路径将包向前传送给攻击者的主机
132网络出现安全威胁的原因 网络安金 NETWORK SECURrY 4有缺陷的局域网服务和相互信任的主机 主机的安全管理既困难又费时。为了降低管理要求并增强局 域网,一些站点使用了诸如NIs( Network Information Service)和NFs( Network File System)之类的服务。这些 服务通过允许一些数据库(如口令文件)以分布式方式管理 以及允许系统共享文件和数据,在很大程度上减轻了过多的 管理工作量。但这些服务带来了不安全因素,可以被有经验 闯入者利用以获得访问权。 一些系统(如rogn)出于方便用户并加强系统和设备共享的 目的,允许主机们相互“信任”。如果一个系统被侵入或 骗,那么闯入者来说,获取那些信任其他系统的访问权就很 简单了。 6
6 1.3.2 网络出现安全威胁的原因 • 4.有缺陷的局域网服务和相互信任的主机 ▪ 主机的安全管理既困难又费时。为了降低管理要求并增强局 域网,一些站点使用了诸如NIS(Network Information Service)和NFS(Network File System)之类的服务。这些 服务通过允许一些数据库(如口令文件)以分布式方式管理 以及允许系统共享文件和数据,在很大程度上减轻了过多的 管理工作量。但这些服务带来了不安全因素,可以被有经验 闯入者利用以获得访问权。 ▪ 一些系统(如rlogin)出于方便用户并加强系统和设备共享的 目的,允许主机们相互“信任”。如果一个系统被侵入或欺 骗,那么闯入者来说,获取那些信任其他系统的访问权就很 简单了
132网络出现安全威胁的原因 网络安金 NETWORK SECURrY ·5复杂的设置和控制 主机系统的访问控制配置复杂且难于验证。因此偶然的配置 错误会使闯入者获取访问权。许多网上的安全事故原因是由 于入侵者发现的弱点造成。 6无法估计主机的安全性 主机系统的安全性无法很好的估计:随着一个站点的主机数 量的增加,确保每台主机的安全性都处在高水平的能力却在 下降。只用管理一台系统的能力来管理如此多的系统就容易 犯错误。另一因素是系统管理的作用经常变换并行动迟缓。 这导致一些系统的安全性比另一些要低。这些系统将成为薄 弱环节,最终将破坏这个安全链 7
7 1.3.2 网络出现安全威胁的原因 • 5.复杂的设置和控制 ▪ 主机系统的访问控制配置复杂且难于验证。因此偶然的配置 错误会使闯入者获取访问权。许多网上的安全事故原因是由 于入侵者发现的弱点造成。 • 6.无法估计主机的安全性 ▪ 主机系统的安全性无法很好的估计:随着一个站点的主机数 量的增加,确保每台主机的安全性都处在高水平的能力却在 下降。只用管理一台系统的能力来管理如此多的系统就容易 犯错误。另一因素是系统管理的作用经常变换并行动迟缓。 这导致一些系统的安全性比另一些要低。这些系统将成为薄 弱环节,最终将破坏这个安全链
133网络安全面临的困难 网络安金 NETWORK SECURIrY 网络安全是一个“永恒的”问题,没有一劳永逸的解决方案。 网络攻击与网络防守的不对称性 攻击行动是主动行为,相关工具易于获取,攻击行为往往 精心准备,且难以被追踪,风险较低。 网络安全的动态性 网络操作系统、软硬件、网络协议不断更新,即使旧的问 题解决了,但总会出现新的安全问题。 网络安全的成本问题 网络安全的本质 人性的弱点:缺乏安全意识,缺少安全管理
8 1.3.3 网络安全面临的困难 • 网络安全是一个“永恒的”问题,没有一劳永逸的解决方案。 ▪ 网络攻击与网络防守的不对称性 ➢攻击行动是主动行为,相关工具易于获取,攻击行为往往 精心准备,且难以被追踪,风险较低。 ▪ 网络安全的动态性 ➢网络操作系统、软硬件、网络协议不断更新,即使旧的问 题解决了,但总会出现新的安全问题。 ▪ 网络安全的成本问题 ▪ 网络安全的本质 ➢人性的弱点:缺乏安全意识,缺少安全管理
14网络安全组织机构 网络安金 NETWORK SECURrY IetF (wWw.Ietf. org 因特网工程任务组( Internet Engineering Task Force):提出安全协议,如 IPSec、TLS、SSH等 Cert/cc(www.Certorg 计算机安全应急响应/协同中心:响应网络安全事件、 提出解决方案、研究入侵趋势、分析漏洞、提供安全 评估和培训等服务 Nsa(Www.Nsa.gov)#anist(www.nistorg) 美国国家安全局:网络安全产品、服务、方案、项目 美国国家标准局:制定标准,安全测试
9 1.4 网络安全组织机构 • IETF(www.ietf.org) ▪ 因特网工程任务组(Internet Engineering Task Force):提出安全协议,如IPSec、TLS、SSH等 • CERT/CC(www.cert.org) ▪ 计算机安全应急响应/协同中心:响应网络安全事件、 提出解决方案、研究入侵趋势、分析漏洞、提供安全 评估和培训等服务 • NSA(www.nsa.gov)和NIST(www.nist.org) ▪ 美国国家安全局:网络安全产品、服务、方案、项目 ▪ 美国国家标准局:制定标准,安全测试
14网络安全组织机构 网络安金 NETWORK SECURrY ISO/ITU (www ietf. org) 国际化标准组织( International standard Organization,Iso):制定安全标准 国际电信联盟( International telecommunication Union,ITU):在安全体系结构、模型、目录服务等 方面制定标准 中国红客联盟Chttp://www.honkerunion.com) 中国黑客联盟(http://www.chinahacker.com
10 1.4 网络安全组织机构 • ISO/ITU(www.ietf.org) ▪ 国际化标准组织(International Standard Organization,ISO):制定安全标准 ▪ 国际电信联盟(International Telecommunication Union,ITU):在安全体系结构、模型、目录服务等 方面制定标准 • 中国红客联盟(http:// www.honkerunion.com) • 中国黑客联盟(http://www.chinahacker.com)
15安全体系框架 网络安金 NETWORK SECURIrY 网络系统安全的总需求是物理安全、网络安全、信息 内容安全、应用系统安全的总和,安全的最终目标是 确保信息的机密性、完整性、可用性、可控性和抗抵 赖性,以及信息系统主体(包括用户、团体、社会和国 家)对信息资源的控制。 完整的信息系统安全体系框架由技术体系、组织机构 体系和管理体系共同构建
11 1.5 安全体系框架 • 网络系统安全的总需求是物理安全、网络安全、信息 内容安全、应用系统安全的总和,安全的最终目标是 确保信息的机密性、完整性、可用性、可控性和抗抵 赖性,以及信息系统主体(包括用户、团体、社会和国 家)对信息资源的控制。 • 完整的信息系统安全体系框架由技术体系、组织机构 体系和管理体系共同构建