通信网安全与保密课件.pptVIP

通信网安全与保密

第一章通信网安全概述

网络安全的定义与目标核心定义网络安全是指通过采取必要的技术和管理措施，保障通信系统中的硬件、软件及其系统中的数据受到保护，不因偶然或恶意的原因而遭到破坏、更改、泄露，确保系统连续可靠地正常运行，网络服务不中断。五大核心目标机密性：防止信息泄露给未授权的实体完整性：确保信息未被非法篡改可用性：保障授权用户及时访问不可抵赖性：防止行为否认

信息安全的三大要素机密性（Confidentiality）确保信息不被泄露给未授权的用户、实体或进程，是信息安全的首要目标。通过加密技术、访问控制等手段实现信息的保密性，防止敏感数据在存储、传输过程中被窃取或泄露。完整性（Integrity）保证数据在传输、存储过程中不被未授权修改、破坏或丢失，确保信息的准确性和一致性。采用数字签名、消息认证码等技术验证数据完整性，及时发现并阻止恶意篡改行为。可用性（Availability）

网络安全的四大属性中国科学院院士王小云提出网络安全的四大核心属性，为我国网络安全理论体系提供了重要指导机密性信息保密的基础保障可认证性通过哈希函数等密码学技术实现身份验证和数据来源验证不可抵赖性确保发送方和接收方无法否认已完成的操作完整性保证数据未被非法修改

通信网络安全防护架构现代通信网络采用多层次、立体化的安全防护体系，从物理层到应用层实施全方位防护。安全防护层包括边界防护、访问控制、入侵检测、数据加密等多个维度，形成纵深防御机制。防护层级物理安全层网络安全层系统安全层应用安全层数据安全层管理安全层

网络安全体系结构与标准ISO7498-2标准国际标准化组织制定的OSI安全体系结构，定义了五大安全服务和八大安全机制，为网络安全提供了系统化的理论框架。认证服务访问控制服务数据保密性服务数据完整性服务抗否认性服务ITUX.800标准国际电信联盟制定的安全体系结构建议，与ISO7498-2标准相互补充，专门针对电信网络安全需求进行规范。提供了安全管理框架和安全服务实现指南，广泛应用于电信运营商网络建设。IPsec协议族互联网协议安全（IPsec）是在IP层提供安全服务的协议族，包括认证头（AH）和封装安全载荷（ESP）两个核心协议。提供数据源认证、数据完整性验证、数据加密和抗重放攻击等安全服务，是VPN技术的基础。

网络安全攻防体系简介攻击方攻击者利用系统漏洞、协议缺陷或管理疏漏，通过技术手段破坏网络的保密性、完整性、可用性等安全属性。攻击手段包括网络侦察、漏洞扫描、社会工程学、恶意代码植入等。防御方防御方采取技术防护措施和安全管理制度相结合的策略，构建多层次防御体系。技术手段包括防火墙、入侵检测、加密通信、安全审计等；管理措施涵盖安全策略制定、人员培训、应急响应等。网络安全是一场持续的攻防对抗，防御方必须始终保持警惕，及时更新防护策略

第二章通信网面临的主要威胁随着网络技术的快速发展和应用范围的不断扩大，通信网络面临的安全威胁日益复杂和多样化。从网络基础设施到应用系统，从协议漏洞到人为攻击，各种威胁无处不在。本章将深入分析当前通信网络面临的主要安全威胁及其危害。

网络安全威胁分类对网络本身的威胁针对网络设备、通信协议、体系结构的攻击，包括路由器攻击、交换机欺骗、协议漏洞利用等，可能导致网络瘫痪或被非法控制。对网络中信息的威胁针对传输和存储数据的攻击，包括数据窃取、非法篡改、伪造注入等，直接危害信息的机密性和完整性。威胁来源外部黑客攻击内部人员泄密竞争对手间谍活动国家级网络攻击恐怖组织网络破坏威胁特点隐蔽性强，难以发现破坏力大，影响广泛技术复杂，手段多样持续演化，防不胜防

典型攻击手段一：网络侦察与信息收集网络侦察是攻击者在实施正式攻击前的准备阶段，通过各种技术手段收集目标网络的详细信息，为后续攻击铺平道路。01网络拓扑探测使用traceroute、ping等工具绘制目标网络结构图，识别关键节点和防护薄弱环节02端口扫描利用Nmap等扫描工具探测目标主机开放的端口和运行的服务，寻找可能的入侵点03服务识别与版本探测确定运行服务的类型和版本号，查询已知漏洞库，寻找可利用的安全缺陷04社会工程学信息收集通过公开资源、社交网络等渠道收集组织架构、人员信息、技术细节等敏感信息

典型攻击手段二：主动攻击拒绝服务攻击（DDoS）通过大量僵尸主机同时向目标服务器发送请求，消耗系统资源，使合法用户无法正常访问。分布式拒绝服务攻击可达到每秒数百GB的流量，造成严重业务中断。缓冲区溢出利用利用程序对输入数据长度检查不严的漏洞，向缓冲区写入超长数据，覆盖相邻内存区域，注入恶意代码并获取系统控制权。这是最常见的远程攻击手段之一。恶意代码传播包括计算机病毒、木马程序、蠕虫病毒等。病毒破坏系统和数据，木马窃取敏感信息，蠕虫自动复制传播消耗网络带宽。现代恶意