网络安全所产生的威胁.ppt

第1章 网络安全概论 教学提示：随着网络技术及其应用的深入和普及，电子商务、电子政务的开展、实施和应用，网络安全已经不再仅仅是科学研究人员和少数黑客的专利，日益庞大的网络用户群同样需要掌握网络安全知识。只有这样，才有可能构筑属于全社会的信息安全体系。与早期网络技术的普及一样，对于数量庞大的普通用户群，网络安全问题始终是一个神秘而高深的话题。通过本章的学习希望大家从网络安全的懵懂而又渴望的状态中获得解放，对网络安全问题有全面的了解。 教学要求：本章主要学习网络安全概念、网络安全威胁、网络安全标准、网络安全组件、安全策略的制定与实施。学完本章能对网络安全从宏观上有较好的把握。 1.1网络安全概念 以Internet为代表的全球性信息化浪潮所带来的影响日益深刻，信息网络技术的应用正日益普及，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型的、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要因素，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求 。 1.1.1网络安全的概念 网络安全包括五个要素：机密性、完整性、可用性、可控性、可审查性。机密性指确保信息不暴露给未授权的实体或进程。完整性则意味着只有得到授权的实体才能修改数据，并且能够判别出数据是否已被篡改。可用性说明得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性表示可以控制授权范围内的信息流向及行为方式。可审查性指对出现的网络安全问题提供调查的依据和手段。 网络安全的定义从狭义的保护角度来看，是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，从广义来说，凡是涉及到计算机网络上信息的机密性、完整性、可用性、可控性、可审查性的相关技术和理论都是计算机网络安全的研究领域。 1.1.2网络安全现状 现在全球普遍存在缺乏网络安全意识的状况。人们在组建一个网络的时候，并没有像买门时自然会想到买锁一样想到网络安全。这导致大多数网络存在着先天性的安全漏洞和安全威胁。国际上也存在着信息安全管理规范和标准不统一的问题。美国是西方国家中对信息安全着力较多的国家之一，同样存在着规范和标准跟不上技术进步发展的问题。西欧国家自己另有一套信息安全标准，虽然在原理和结构上同美国有相同的部分，但是不同的部分也相当多。 1.2 网络安全所产生的威胁 使用TCP/IP协议的网络所提供的网络服务都包含许多不安全的因素，存在着许多漏洞。同时，网络的普及，使信息共享达到了一个新的层次，信息被暴露的机会大大增多。特别是Internet网络就是一个不设防的开放大系统。另外，数据处理的可访问性和资源共享的目的性之间是一对矛盾。这些都给网络来了威胁。 1.2.1网络中存在的威胁 1.非授权访问 2.信息泄漏或丢失 3.破环数据完整性 4.拒绝服务攻击 5.利用网络传播病毒 1.2.2主机网络安全 由于主机安全和网络安全的技术手段难以有机地结合，因此容易被入侵者各个击破。并且由于它们在保护计算机和信息的安全上各自为政，因此很难解决系统安全性和使用方便性之间的矛盾。举一个简单的例子，从严密保护主机安全来说应该禁止用户的远程登录，但是这给用户使用将带来极大的不便，对Internet上绝大多数Uinx主机来说是不可以接受的。而一旦允许用户远程登录，却无法区分用户的远程登录是合法的还是非法的，也就控制不了非法用户的入侵，并且系统一旦被入侵，入侵者就拥有合法用户的全部权力，危害极大。对于防火墙系统来说也有同样的问题，防火墙可以禁止外部主机对于内部主机的访问（安全但不方便），但是一旦允许用户经防火墙授权认证后进入内部主机，就无法控制其在内部主机上的行为（方便但不安全）。 为了解决这些问题，一种结合主机安全和网络安全的边缘安全技术开始兴起，这就是主机网络安全技术。主机网络安全技术是一种主动防御的安全技术，它结合网络访问的网络特性和操作系统特性来设置安全策略，可以根据网络访问的访问者及访问发生的时间、地点和行为来决定是否允许访问继续进行，实现对于同一用户在不同场所拥有不同的权限，从而保证合法用户的权限不被非法侵占。主机网络安全技术考虑的元素有IP地址、端口号、协议、MAC地址等网络特性和用户、资源权限以及访问时间等操作系统特性，并通过对这些特性的综合考虑，来达到用户网络访问的细粒度控制。 1.2.3主机网络安全系统体系结构 1.3 协议安全分析 计算机网络的运行机制基于网络协议，不同结点之间的信息交换按照事先约定的固定机制通过协议数据单元来完成。目前，TCP/IP协议在Internet上一统天下。正是由于它的广泛使用性，使得TCP/IP