网络安全概论刘建伟课件.pptVIP

网络安全概论刘建伟教授课程

第一章网络安全概述网络安全定义保护网络系统的硬件、软件及其系统中的数据,防止因偶然或恶意原因遭到破坏、更改、泄露,确保系统连续可靠正常运行,网络服务不中断。CIA三原则信息安全的三大核心要素:机密性(Confidentiality):防止信息泄露给未授权实体完整性(Integrity):保证数据未被篡改可用性(Availability):确保合法用户能正常访问五大安全目标在CIA基础上扩展的网络安全核心目标:机密性:信息不被非法获取完整性:数据保持准确完整可用性:系统持续提供服务不可抵赖性:行为可追溯验证

网络安全的四大安全属性中国科学院院士王小云教授提出的网络安全核心属性框架,为我国网络安全理论体系奠定了重要基础。1机密性确保信息只能被授权的用户访问,防止敏感数据被未授权实体获取。通过加密技术、访问控制等机制实现信息的隐私保护。2完整性保证数据在存储和传输过程中不被非法篡改、删除或伪造。采用哈希函数、数字签名等技术验证数据的真实性和完整性。3不可抵赖性防止通信实体否认已经发生的行为。通过数字签名、时间戳等技术手段,确保发送方无法否认已发送的消息,接收方无法否认已接收的信息。可认证性

网络安全体系结构与标准国际标准框架网络安全的标准化工作为全球安全实践提供了统一的参考框架和技术规范。ISO7498-2:OSI安全体系结构,定义了七层模型中的安全服务和机制ITUX.800:电信安全体系结构标准,补充了OSI安全框架RFC4301:IPsec安全架构,规定了IP层的安全协议和密钥管理安全服务认证、访问控制、数据机密性、数据完整性、不可否认性安全机制加密、数字签名、访问控制机制、数据完整性机制、认证交换安全管理安全策略、安全审计、安全恢复、安全标签管理

网络安全攻防体系网络攻击攻击者利用计算机系统、网络协议或应用程序的漏洞和安全缺陷,采用各种技术手段破坏系统的机密性、完整性、可用性等安全目标,以获取非法利益或造成破坏的行为。攻击类型包括被动攻击(窃听、流量分析)和主动攻击(篡改、假冒、拒绝服务)。网络防御采用技术手段和管理措施,保护网络系统中的数据安全,维护系统的正常运行,防止攻击者的入侵和破坏。包括预防性防御、检测性防御和响应性防御三个层次。主要防御技术:防火墙、入侵检测、加密通信、身份认证、安全审计等。网络安全本质上是攻击与防御的动态博弈过程。攻击技术不断演进,防御体系也需要持续升级。只有深入理解攻击原理,才能构建有效的防御策略。安全不是静态的状态,而是动态的平衡过程。

计算机网络的脆弱性计算机网络系统在设计、实现和运行过程中存在多方面的安全隐患,这些脆弱性为攻击者提供了可乘之机。协议设计缺陷TCP/IP协议族在设计初期主要关注功能实现和互联互通,未充分考虑安全问题。这导致了诸多安全隐患:IP地址欺骗:攻击者可伪造源IP地址发起攻击源路由攻击:利用IP选项绕过安全控制TCP会话劫持:利用序列号预测劫持连接DNS缺乏认证:易遭受缓存投毒攻击硬件安全隐患硬件层面的安全风险往往更难检测和防御:制造过程中的缺陷和后门芯片级木马植入风险侧信道攻击威胁(功耗分析、电磁泄露)固件漏洞和更新机制缺陷软件安全隐患软件系统是网络安全最薄弱的环节:代码漏洞:缓冲区溢出、SQL注入、XSS等配置错误:默认口令、过度授权、服务暴露操作系统安全级别不足第三方组件和依赖库的安全风险软件供应链攻击威胁

网络攻击分类与实例被动攻击攻击者不对数据进行修改,只是窃听或监控网络传输的信息。这类攻击难以检测,因为不会留下明显痕迹。窃听(Eavesdropping):截获网络通信内容流量分析(TrafficAnalysis):通过分析通信模式推测敏感信息主动攻击攻击者主动对系统或数据进行破坏、修改或伪造,容易被检测但危害更大。假冒(Masquerade):伪装成合法用户重放攻击(Replay):重复发送截获的数据数据篡改(Modification):修改传输中的数据拒绝服务(DoS/DDoS):使系统无法提供正常服务经典案例:2016年Mirai僵尸网络攻击2016年10月,Mirai僵尸网络感染了数十万台物联网设备,对DNS服务提供商Dyn发起大规模DDoS攻击,导致Twitter、Netflix、Reddit等主流网站在美国和欧洲大面积瘫痪。攻击峰值流量超过1Tbps,创下当时DDoS攻击的历史记录。该事件暴露了物联网设备安全的严重问题。

OSI模型中的安全威胁与防护网络攻击可以针对OSI七层模型的不同层次发起,每一层都有其特定的安全威胁和相应的防护措施。网络层威胁IP地址欺骗:伪造源IP地址发起攻击,难以追踪攻击源ARP欺骗:伪造ARP响应,将流量重定向到攻击者ICMP攻击:利用ICMP协议进行死亡之P