第五章网络安全基础.pptVIP

第五章 网络安全基础 目录 5.1 网络安全体系模型 5.2 网络安全的常见威胁 5.3 计算机病毒及其防治 网络安全的脆弱性 Internet是以TCP/IP协议为基础构建的，然而在创建之初，主要考虑的是连通和数据传输的方便快捷，并没有适当地考虑安全的需要 回顾：OSI模型与TCP/IP协议组 网络层地址和传输层地址的关系 一台计算机可以提供多种服务，如FTP、Telnet、Email等。为了使各种服务协调运行，TCP/IP协议为每种服务设定了一个端口，称为TCP协议端口。每个端口都拥有一个16比特的端口号 TCP/IP的服务一般是通过IP地址加一个端口号（Port）来决定的。一台主机上可以同时运行许多个应用程序，通过IP地址+端口号才能确定数据包是传给哪台主机上的哪个应用程序的 IP地址和端口号的作用 IP地址和端口号的作用 对于一些常见的程序，它们使用的端口号一般是固定的（有些程序需要占用几个端口，当然也可以更改这些程序默认的端口号）。常见应用程序的端口号如表所示。 通过端口号还能辨别目标主机上正在运行哪些程序。使用“netstat -an”命令可以查看本机上活动的连接和开放的端口 常用的网络服务端口号 网络各层的安全缺陷 3. IP层的安全缺陷 ①IP通信不需要进行身份认证，无法保证数据源的真实性； ②IP数据包在传输时没有加密，无法保证数据传输过程中的保密性、完整性； ③IP的分组和重组机制不完善，无法保证数据源的正确性； ④IP地址的表示不需要真实及确认，无法通过IP验证对方的身份等 网络各层的安全缺陷 4. 传输层的安全缺陷 传输层包括TCP协议和UDP协议，对TCP协议的攻击，主要利用TCP建立连接时三次握手机制的缺陷，像SYN Flooding等拒绝服务攻击等都是针对该缺陷的。对UDP协议的攻击，主要是进行流量攻击，强化UDP通信的不可靠性，以达到拒绝服务的目的 网络各层的安全缺陷 5. 应用层的安全缺陷 对应用层的攻击包括的面非常广，如对应用协议漏洞的攻击，对应用数据的攻击，对应用操作系统平台的攻击等。 对应用层攻击包括：未经审查的Web方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞等。 ISO/OSI安全体系结构 1988年，为了在开放系统互联参考模型（OSI/RM）环境下实现信息安全，ISO/TC97技术委员会制定了ISO 7498-2国际标准“信息处理系统—开放系统互连—基本参考模型—第2部分：安全体系结构” （1）对象认证安全服务。 （2）访问控制服务。 （3）数据保密服务。 （4）数据完整性服务。 （5）抗抵赖服务 OSI安全机制与安全服务的关系 安全技术与电子商务系统的安全需求的关系 TCP/IP协议的安全服务与安全机制 在不同层实现安全性的特点 为了实现Internet的安全性，从原理上说可以在TCP/IP协议的任何一层实现。但在不同层级实现安全性有着不同的特点 1）应用层安全必须在终端主机上实施 2）在传输层实现安全机制，应用程序仍需要修改，才能要求传输层提供安全服务。传输层的安全协议有SSL/TLS 3）网络层安全的优点是密钥协商的开销被大大削减了 网络安全的加密方式 1. 链路—链路加密 ① 加密对用户是透明的，通过链路发送的任何信息在发送前都先被加密； ② 每个链路两端节点需要一个共用密钥； ③ 攻击者无法获得链路上的任何报文结构的信息，因此可称之为提供了信号流安全； ④ 缺点是数据在中间节点以明文形式出现，维护节点安全性的代价较高。 网络安全的加密方式 2. 节点加密 为了解决采用链接加密方式时，在中间节点上的数据报文是以明文形式出现的缺点。节点加密在每个中间节点里装上一个用于加、解密的安全模块，由它对信息先进行解密，然后进行加密，从而完成一个密钥向另一个密钥的转换。这样，节点中的数据不会出现明文。 网络安全的加密方式 3. 端－端加密 端—端加密方法将网络看成是一种介质，数据能安全地从源端到达目的端。这种加密在OSI模型的高三层进行，在源端进行数据加密，在目的端进行数据解密，而在中间节点及其线路上一直以密文形式出现。 目录 5.1 网络安全体系模型 5.2 网络安全的常见威胁 5.3 计算机病毒及其防治 端口扫描 1. 端口扫描程序 如X-scan 2. 常用的网络扫描命令 1）Ping命令 2）tracert命令 3）net命令 4）netstat命令 5）ipconfig命令 拒绝服务攻击 当一个授权者不能获得对网络资源的访问或者当服务器不能正常提供服务时，就发生了拒绝服务DoS（Denial of Service），拒绝服务是针对可用性进行的攻击 正常的