第4章网络安全概论 教学提示:随着网络技术及其应用的深入和普及,电 商务、电子政务的开展、实施和应用,网络安全 经不再仅仅是科学研究人员和少数黑客的专利,日益 庞大的网络用户群同样需要掌握网络安全知识。只有 这样,才有可能构筑属于全社会的信息安全体系。 期网络技术的普及一样,对子数量庞天的普通用户 群,网络安全问题始终是一个神秘而高深的话题。通 过本章的学习希望大家从网络安全的懵懂而文渴望的 状态中获得解放,对网络安全问题有全面的了解。 ●教学要求:本章主要学习网络安全概念、网络安全威 胁、网络安全标准、网络安全组件、安全策略的制定 与实施。学完本章能对网络安全从宏观上有较好的把 握
第1章 网络安全概论 教学提示:随着网络技术及其应用的深入和普及,电 子商务、电子政务的开展、实施和应用,网络安全已 经不再仅仅是科学研究人员和少数黑客的专利,日益 庞大的网络用户群同样需要掌握网络安全知识。只有 这样,才有可能构筑属于全社会的信息安全体系。与 早期网络技术的普及一样,对于数量庞大的普通用户 群,网络安全问题始终是一个神秘而高深的话题。通 过本章的学习希望大家从网络安全的懵懂而又渴望的 状态中获得解放,对网络安全问题有全面的了解。 教学要求:本章主要学习网络安全概念、网络安全威 胁、网络安全标准、网络安全组件、安全策略的制定 与实施。学完本章能对网络安全从宏观上有较好的把 握
11网络安全概念 ●以 Internet为代表的全球性信息化浪潮所带来 的影响日益深刻,信息网络技术的应用正日益 普及,应用层次正在深入,应用领域从传统的 小型业务系统逐渐向大型的、关键业务系统扩 展,典型的如党政部门信息系统、金融业务系 统、企业商务系统等。伴随网络的普及,安全 日益成为影响网络效能的重要因素,而 Interne所具有的开放性、国际性和自由性在 增加应用自由度的同时,对安全提出了更高的 要求
1.1网络安全概念 以Internet为代表的全球性信息化浪潮所带来 的影响日益深刻,信息网络技术的应用正日益 普及,应用层次正在深入,应用领域从传统的、 小型业务系统逐渐向大型的、关键业务系统扩 展,典型的如党政部门信息系统、金融业务系 统、企业商务系统等。伴随网络的普及,安全 日益成为影响网络效能的重要因素,而 Internet所具有的开放性、国际性和自由性在 增加应用自由度的同时,对安全提出了更高的 要求
111网络安全的概念 网络安全包括五个要素:机密性、完整性、可用性、可控性、可 查性。机密性指确保信息不暴露给未授权的实体或进程。完整 性则意味着只有得到授权的实体 修改数据,并且能够判别出 数据是否已被篡改。可用性说明得到授权的实体在需要时可访问 数据,即攻击者不能占用所有的资源而阻碍授权者的 性表 以控制授权范围内 及行为方式。可审查性指 对出现的网络安全同题提供调查的依据和手段 网络安全的定义从狭义的保护角度来看,是指计算机及其网终系 统资源和信息资源不受自然和人为有害因素的威胁和危害,从 义来说,凡是涉及到计算机网络上信息的机密性、完整性、可用 可性、可审查性的相关技术和理论都是计算机网络安全的 研究领域
1.1.1网络安全的概念 网络安全包括五个要素:机密性、完整性、可用性、可控性、可 审查性。机密性指确保信息不暴露给未授权的实体或进程。完整 性则意味着只有得到授权的实体才能修改数据,并且能够判别出 数据是否已被篡改。可用性说明得到授权的实体在需要时可访问 数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控 性表示可以控制授权范围内的信息流向及行为方式。可审查性指 对出现的网络安全问题提供调查的依据和手段。 网络安全的定义从狭义的保护角度来看,是指计算机及其网络系 统资源和信息资源不受自然和人为有害因素的威胁和危害,从广 义来说,凡是涉及到计算机网络上信息的机密性、完整性、可用 性、可控性、可审查性的相关技术和理论都是计算机网络安全的 研究领域
112网络安全现状 ●现在全球普遍存在缺乏网络安全意识的状况。 在组建一个网络的时候,并没有像买门时 自然会想到买锁一样想到网络安全。这导致大 多数网络存在着先天性的安全漏洞和安全威胁。 国际上也存在着信息安仝管理规范和标准不统 的问题。美国是西方国家中对信息安全着力 较多的国家 样存在着规范和标准跟不 技术进步发展的问题。西欧国家自己另有 套信息安全标准,虽然在原理和结构上同美国 有相同的部分,但是不同的部分也相当多
1.1.2网络安全现状 现在全球普遍存在缺乏网络安全意识的状况。 人们在组建一个网络的时候,并没有像买门时 自然会想到买锁一样想到网络安全。这导致大 多数网络存在着先天性的安全漏洞和安全威胁。 国际上也存在着信息安全管理规范和标准不统 一的问题。美国是西方国家中对信息安全着力 较多的国家之一,同样存在着规范和标准跟不 上技术进步发展的问题。西欧国家自己另有一 套信息安全标准,虽然在原理和结构上同美国 有相同的部分,但是不同的部分也相当多
12网络安全所产生的威胁 ●使用TcP/P协议的网络所提供的网络服 务都包含许多不安全的因素,存在着许 多漏洞。同时,网络的普及,使信息共 享达到了一个新的层次,信息被暴露的 机会大大增多。特别是 Internet网络就是 一个不设防的开放大系统。另外,数据 处理的可访问性和资源共享的目的性之 间是一对矛盾。这些都给网络来了威胁
1.2 网络安全所产生的威胁 使用TCP/IP协议的网络所提供的网络服 务都包含许多不安全的因素,存在着许 多漏洞。同时,网络的普及,使信息共 享达到了一个新的层次,信息被暴露的 机会大大增多。特别是Internet网络就是 一个不设防的开放大系统。另外,数据 处理的可访问性和资源共享的目的性之 间是一对矛盾。这些都给网络来了威胁
121网络中存在的威胁 ●1非授权访问 2信息泄漏或丢失 3破环数据完整性 4.拒绝服务攻击 5利用网络传播病毒
1.2.1网络中存在的威胁 1.非授权访问 2.信息泄漏或丢失 3.破环数据完整性 4.拒绝服务攻击 5.利用网络传播病毒
122主机网络安全 ●由于主机安全和网络安全的技术手段难以有机地结合, 因此容易被入侵者各个击破。并且由于它们在保护计 算机和信息的安全上各自为政,因此很难解决系统安 全性和使用方便性之间的矛盾。举一个简单的例子 从严密保护主机安全来说应该禁止用户的远程登录 但是这给用户使用将带来极大的不便,对 Internet上绝 大多数Unx主机来说是不可以接受的。而一日允许用 户远程登录,却无法区分用户的远程登录是合法的还 是非法的,也就控制不了非法用户的入侵,并且系统 日被入侵,入侵者就拥有合法用户的全部权力,危 害极大。对于防火墙系统来说也有同样的问题,防火 墙可以禁止外部主机对于内部主机的访问(安全但不 方便),但是一旦允许用户经防火墙授权认证后进入 内部主机,就无法控制其在内部主机上的行为(方便 但不安全)
1.2.2主机网络安全 由于主机安全和网络安全的技术手段难以有机地结合, 因此容易被入侵者各个击破。并且由于它们在保护计 算机和信息的安全上各自为政,因此很难解决系统安 全性和使用方便性之间的矛盾。举一个简单的例子, 从严密保护主机安全来说应该禁止用户的远程登录, 但是这给用户使用将带来极大的不便,对Internet上绝 大多数Uinx主机来说是不可以接受的。而一旦允许用 户远程登录,却无法区分用户的远程登录是合法的还 是非法的,也就控制不了非法用户的入侵,并且系统 一旦被入侵,入侵者就拥有合法用户的全部权力,危 害极大。对于防火墙系统来说也有同样的问题,防火 墙可以禁止外部主机对于内部主机的访问(安全但不 方便),但是一旦允许用户经防火墙授权认证后进入 内部主机,就无法控制其在内部主机上的行为(方便 但不安全)
●为了解决这些问题,一种结合主机安全和网络 安全的边缘安全技术开始兴起,这就是主机网 络安全技术。主机网络安全技术是一种主动防 御的安全技术,它结合网络访问的网络特性和 操作系统特性来设置安全策略、可以根据网络 访问的访问者及访问发生的时间、地点和行为 来决定是否允许访问继续进行,实现对于同 用户在不同场所拥有不同的权限,从而保证合 法用户的权限不被非法侵占。主机网络安全技 术考虑的元素有卩地址、端口号、协议、MAC 地址等网络特性和用户、资源权限以及访问时 间等操作系统特性,并通过对这些特性的综合 考虑,来达到用户网络访问的细粒度控制
为了解决这些问题,一种结合主机安全和网络 安全的边缘安全技术开始兴起,这就是主机网 络安全技术。主机网络安全技术是一种主动防 御的安全技术,它结合网络访问的网络特性和 操作系统特性来设置安全策略,可以根据网络 访问的访问者及访问发生的时间、地点和行为 来决定是否允许访问继续进行,实现对于同一 用户在不同场所拥有不同的权限,从而保证合 法用户的权限不被非法侵占。主机网络安全技 术考虑的元素有IP地址、端口号、协议、MAC 地址等网络特性和用户、资源权限以及访问时 间等操作系统特性,并通过对这些特性的综合 考虑,来达到用户网络访问的细粒度控制
1.2.3主机网络安全系统体系结构 外部阴4 络访间 主机网络安全层 系统资源 用户认 用户 合法 用户级服 证模块 用户。内,部 务资源 资1源 访l问 控1制非用户级 非用户山L 安全检查 服务资源 级访间可 加 部 资源 外部资源 访可控制 系统资源 控制文件 用户资源 规则集
1.2.3主机网络安全系统体系结构
1.3协议安全分析 计算机网络的运行机制基于网络协议,不同结 间的信息交换按照事先约定的固定机制通 过协议数据单元来完成。自前,TCP协议在 Internet上一统天下。正是由于它的广泛使用 性,使得TCP/P的任何安全漏洞都会产生巨大 的影响。TCPP协议在设计初期并没有考虑到 安全性问题,而是注重异构网的互联,而且用 户和网络管理员没有足够的精力专注于网络安 全控制,再加上操作系统越来越复杂,开发人 员不可能测试出所有的安全漏洞,连接到网络 上的计算机系统就可能受到外界的恶意攻击和 窃取
1.3 协议安全分析 计算机网络的运行机制基于网络协议,不同结 点之间的信息交换按照事先约定的固定机制通 过协议数据单元来完成。目前,TCP/IP协议在 Internet上一统天下。正是由于它的广泛使用 性,使得TCP/IP的任何安全漏洞都会产生巨大 的影响。TCP/IP协议在设计初期并没有考虑到 安全性问题,而是注重异构网的互联,而且用 户和网络管理员没有足够的精力专注于网络安 全控制,再加上操作系统越来越复杂,开发人 员不可能测试出所有的安全漏洞,连接到网络 上的计算机系统就可能受到外界的恶意攻击和 窃取