第七章 网络安全与络管理.pptVIP

第7章 网络安全与网络管理 先天性安全漏洞 Internet的前身是ARPANET ，而ARPANET最初是为军事机构服务的，对网络安全的关注较少。 在进行通信时，Internet用户的数据被拆成一个个数据包，然后经过若干结点辗转传递到终点。但是TCP/IP在传递数据包时，并未对其加密。 换言之，在数据包所经过的每个结点上，都可直接获取这些数据包，并可分析、存储之。如果数据包内含有商业敏感数据或个人隐私信息，则任何人都可轻易解读。 计算机网络犯罪及特点 据伦敦英国银行协会统计，全球每年因计算机犯罪造成的损失大约为80亿美元，而实际损失金额应在100亿美元以上。 网络犯罪的特点是，罪犯不必亲临现场、所遗留的证据很少且有效性低。并且，与此类犯罪有关的法律还有待于进一步完善。 遏制计算机犯罪的有效手段是从软、硬件建设做起，可购置防火墙（firewall）、对员工进行网络安全培训，增强其防范意识等。 网络攻击 网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞 、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。 7.2 计算机网络面临的安全威胁 7.2 计算机网络面临的安全威胁 7.2 计算机网络面临的安全威胁 7.3 盗窃数据或侵入网络的方法 1.窃听(Eavesdropping) 最简易的窃听方式是将计算机连入网络，利用专门的工具软件对在网络上传输的数据包进行分析。进行窃听的最佳位置是网络中的路由器，特别是位于关卡处的路由器,它们是数据包的集散地。 窃听程序的基本功能是收集、分析数据包，高级的窃听程序还提供生成假数据包、解码等功能，甚至可锁定某源服务器（或目标服务器）的特定端口，自动处理与这些端口有关的数据包。 7.3 盗窃数据或侵入网络的方法 2.窃取(Spoofing) 这种入侵方式一般出现在使用支持信任机制网络中。在这种机制下，通常用户只需拥有合法帐号即可通过认证，因此入侵者可以利用信任关系，冒充一方与另一方连网，以窃取信息。 假设某入侵者欲利用主机A入侵某公司的的内部网络主机B，则其步骤大致如下： 1.确定要入侵的主机B。 2.确定主机B所信任的主机A。 3.会话窃夺(Spoofing) 入侵者首先在网络上窥探现有的会话，发现有攻击价值的会话后，便将参与会话的一方截断，并顶替被截断方继续与另一方进行连接，以窃取信息。 会话窃夺不像窃取那样容易防范。对于由外部网络入侵内部网络的途径，可用防火墙切断，但对于内、外部网络之间的会话，除了采用数据加密手段外，没有其他方法可保绝对安全。 4.利用操作系统漏洞 操作系统的漏洞大致可分为两部分： 5.盗用密码 盗用密码是最简单的技巧。通常有下列方式： 计算机技术中的木马，是一种与计算机病毒类似的指令集合，它寄生在普通程序中，并在暗中进行某些破坏性操作或进行盗窃数据。木马与计算机病毒的区别是，前者不进行自我复制，即不感染其他程序。 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。 “中了木马” ：安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了 木马种类：键盘记录木马 、程序杀手木马等。 免受木马、病毒和暗门威胁的最有效的方法是不要运行来历不明的程序。 下图示意了加密、解密的过程。其中，“This is a book”称为明文（plaintext或cleartext）；“!@# $~%^ ~ ~ *()-”称为密文（ciphertext）。将明文转换成密文的过程称为加密（encryption），相反的过程则称为解密（decryption）。 当代加密技术趋向于使用一套公开算法及秘密键值（key，又称钥匙）完成对明文的加密。 公开算法的前提是，如果没有用于解密的键值，即使知道算法的所有细节也不能破解密文。由于需要使用键值解密，故遍历所有可能的键值便成为最直接的破解方法。键值的长度决定了破解密文的难易程度，显然键值越长，越复杂，破解就越困难