網(wǎng)絡(luò)安全技術(shù)第一章-緒論課件

1、1.1 何謂網(wǎng)絡(luò)安全1.1.1 安全的歷史回顧1.1.2 信息安全1.1.3 網(wǎng)絡(luò)安全1.2 網(wǎng)絡(luò)風(fēng)險分析與評估1.2.1 網(wǎng)絡(luò)面臨的安全性威脅1.2.2 影響網(wǎng)絡(luò)安全的主要因素1.2.3 網(wǎng)絡(luò)安全風(fēng)險評估1.3 網(wǎng)絡(luò)安全策略1.3.1 網(wǎng)絡(luò)安全策略等級1.3.2 網(wǎng)絡(luò)安全策略的主要內(nèi)容1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1.4.1網(wǎng)絡(luò)安全研究的主要內(nèi)容1.4.2網(wǎng)絡(luò)安全防護(hù)技術(shù)1.5 網(wǎng)絡(luò)安全技術(shù)研究與發(fā)展第1章 緒論1.1 何謂網(wǎng)絡(luò)安全1.1.1 安全的歷史回顧通信安全階段 計算機(jī)系統(tǒng)信息安全時期 網(wǎng)絡(luò)系統(tǒng)安全階段 物聯(lián)網(wǎng)安全階段 1.1 何謂網(wǎng)絡(luò)安全1.1.2 信息安全定義：為數(shù)據(jù)處理系統(tǒng)建立和采

2、取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。屬性：可用性、可靠性、完整性、機(jī)密性和不可抵賴性。 1.1 何謂網(wǎng)絡(luò)安全1.1.3網(wǎng)絡(luò)安全定義：網(wǎng)絡(luò)安全就是在分布式網(wǎng)絡(luò)環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容遭到破壞、更改、泄露，或網(wǎng)絡(luò)服務(wù)中斷或拒絕服務(wù)或被非授權(quán)使用和篡改。特性：機(jī)密性、認(rèn)證 、完整性 、不可否認(rèn)性 、可用性、可靠性和可控性。1.1 何謂網(wǎng)絡(luò)安全（1）機(jī)密性（Confidentiality）：指網(wǎng)絡(luò)通信中的信息，僅能由發(fā)送者和預(yù)定的接收者所理解。既便是竊聽

3、者截獲報文，由于報文在一定程度上進(jìn)行了加密處理，即進(jìn)行了數(shù)據(jù)偽裝，使得截獲者也不能解密（即理解）所截獲的報文含義。（2）認(rèn)證（Authentication）：指發(fā)送者和接收者都應(yīng)該能證實網(wǎng)絡(luò)通信過程中所涉及的另一方，確信通信的另一方確實具有它們自己所聲稱的身份。（3）完整性（Integrity）：指信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。只有得到允許的人才能修改實體或進(jìn)程，并且能夠判別出實體或進(jìn)程是否已被篡改。即信息的內(nèi)容不能被未授權(quán)的第三方修改；數(shù)據(jù)在存儲或傳輸?shù)倪^程中不被修改、破壞，不出現(xiàn)數(shù)據(jù)包的丟失、亂序等。（4）不可否認(rèn)性（Non-Repudiation）：

4、也稱作不可抵賴性。不可否認(rèn)性是面向通信雙方（人、實體或進(jìn)程）信息真實統(tǒng)一的安全要求，它包括收、發(fā)雙方均不可抵賴。1.1 何謂網(wǎng)絡(luò)安全（5）可用性（Availability） 可被授權(quán)實體訪問并按需求使用的特性。無論在何時，只要用戶需要，網(wǎng)絡(luò)通信系統(tǒng)必須是可用的，也就是說網(wǎng)絡(luò)通信系統(tǒng)不能拒絕服務(wù)。攻擊者通常采用占用資源的手段阻礙授權(quán)者的工作。例如，網(wǎng)絡(luò)環(huán)境下的拒絕服務(wù)、破壞網(wǎng)絡(luò)系統(tǒng)的正常運行等都屬于對可用性的攻擊?？梢允褂迷L問控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。（6）可靠性（Reliability） 系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定任務(wù)的概率?？煽啃允蔷W(wǎng)絡(luò)安全最基本的

5、要求之一，網(wǎng)絡(luò)不可靠，故障不斷，也就談不上網(wǎng)絡(luò)的安全。（7）可控性 網(wǎng)絡(luò)對信息的傳播應(yīng)具有控制能力，確保僅允許擁有適當(dāng)訪問權(quán)限的實體以定義明確的方式，對訪問權(quán)限內(nèi)的資源進(jìn)行訪問。 機(jī)密性、完整性、認(rèn)證和不可否認(rèn)將在相當(dāng)長的時期內(nèi)仍是安全通信的關(guān)鍵組成部分。可用性、可靠性和可控性則是對安全通信概念的最新擴(kuò)展，是為保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全免受攻擊而提出的。1.1 何謂網(wǎng)絡(luò)安全1.1.3網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全攻防技術(shù)體系 圖1-1 網(wǎng)絡(luò)安全攻防技術(shù)體系 1.2 網(wǎng)絡(luò)風(fēng)險分析與評估1.2.1網(wǎng)絡(luò)面臨的安全性威脅網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅形式各種各樣: 圖1-2 網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅1.2.1網(wǎng)絡(luò)面臨的安全性威脅從

6、網(wǎng)絡(luò)通信的角度觀察，可將網(wǎng)絡(luò)通信安全所面臨的威脅歸納為以下4種情況:1.2 網(wǎng)絡(luò)風(fēng)險分析與評估圖1-3 網(wǎng)絡(luò)通信面臨的安全威脅圖1-3 網(wǎng)絡(luò)通信面臨的安全威脅1.2 網(wǎng)絡(luò)風(fēng)險分析與評估1.2.1網(wǎng)絡(luò)面臨的安全性威脅 1）截獲。攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。例如，通過竊聽獲取網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，或非授權(quán)復(fù)制文件或程序等。這是針對機(jī)密性的一種攻擊。 2）阻斷。攻擊者有意阻斷他人在網(wǎng)絡(luò)上的通信。例如，破壞硬盤之類的硬件，切斷通信線路，使文件管理失效等。這是針對可用性的一種攻擊。 3）篡改。攻擊者故意篡改網(wǎng)絡(luò)上傳輸?shù)膱笪摹＠?，改變?shù)據(jù)文件的值、修改程序，或修改在網(wǎng)絡(luò)上傳送的報文內(nèi)容等。這是針對完整

7、性的一種攻擊。 4）偽造。攻擊者利用虛假的身份在系統(tǒng)中插入偽造信息，并在網(wǎng)絡(luò)上傳送。例如，對網(wǎng)絡(luò)傳輸?shù)男畔⒉迦雮卧靾笪?，或在?shù)據(jù)文件中加入一些記錄等。這是針對真實性（認(rèn)證）的一種攻擊。1.3 網(wǎng)絡(luò)安全策略1.2.1網(wǎng)絡(luò)面臨的安全性威脅從網(wǎng)絡(luò)通信的角度觀察，可將網(wǎng)絡(luò)通信安全所面臨的威脅歸納為以下4種情況 1.2 網(wǎng)絡(luò)風(fēng)險分析與評估1.2.2 影響網(wǎng)絡(luò)安全的主要因素1）人為因素2）網(wǎng)絡(luò)通信協(xié)議存在先天性安全漏洞3）計算機(jī)硬件系統(tǒng)故障4）操作系統(tǒng)的先天性缺陷5）網(wǎng)絡(luò)數(shù)據(jù)庫、應(yīng)用軟件存在的缺陷和漏洞1.2 網(wǎng)絡(luò)風(fēng)險分析與評估1.2.3 網(wǎng)絡(luò)安全風(fēng)險評估定義：網(wǎng)絡(luò)安全風(fēng)險評估是指依據(jù)有關(guān)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)

8、，對網(wǎng)絡(luò)系統(tǒng)及由其處理、傳輸和存儲信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價的過程。網(wǎng)絡(luò)風(fēng)險評估的主要環(huán)節(jié)及其方法 圖1-4 網(wǎng)絡(luò)安全風(fēng)險評估涉及的四個環(huán)節(jié)1.2 網(wǎng)絡(luò)風(fēng)險分析與評估1.2.3 網(wǎng)絡(luò)安全風(fēng)險評估(1) 安全風(fēng)險分析網(wǎng)絡(luò)安全風(fēng)險分析就是估計網(wǎng)絡(luò)威脅發(fā)生的可能性，以及因系統(tǒng)的脆弱性而引起的潛在損失。就網(wǎng)絡(luò)安全而言，漏洞和威脅是測定風(fēng)險的兩個主要對象。(2) 風(fēng)險評估風(fēng)險評估的方法有很多種，概括起來可分為兩大類：定量的風(fēng)險評估方法、定性的風(fēng)險評估方法。(3) 安全決策安全決策就是根據(jù)評估結(jié)論決定網(wǎng)絡(luò)系統(tǒng)所需要采取的安全措施。在安全決策的過程中，根據(jù)評估的結(jié)論可選擇使用以下某一

9、策略：1）逃避策略，即針對現(xiàn)有的安全問題，不采取任何安全措施加以防范。2）應(yīng)對策略，即針對現(xiàn)有的安全問題，采取一定的安全措施來防止威脅的發(fā)生。3）轉(zhuǎn)移策略，把現(xiàn)有的安全問題可能造成的損失轉(zhuǎn)移到別人（如保險公司）。(4) 安全監(jiān)測在網(wǎng)絡(luò)運行期間，系統(tǒng)隨時都有可能產(chǎn)生新的變化，這時先前的風(fēng)險評估結(jié)論就失去了意義，安全監(jiān)測過程能夠?qū)崟r監(jiān)視和判斷網(wǎng)絡(luò)系統(tǒng)中的各種資產(chǎn)在運行期間的狀態(tài)，并及時記錄和發(fā)現(xiàn)新的變換情況。1.3 網(wǎng)絡(luò)安全策略定義：安全策略是指在一個特定網(wǎng)絡(luò)環(huán)境中，為保證提供一定級別的安全保護(hù)所必須遵守的一系列規(guī)則。這些規(guī)則主要用于如何配置、管理和控制系統(tǒng)；約束用戶在正常的環(huán)境下應(yīng)如何使用網(wǎng)絡(luò)資

10、源；當(dāng)網(wǎng)絡(luò)環(huán)境發(fā)生不正常行為時，應(yīng)如何響應(yīng)與恢復(fù)。1.3 網(wǎng)絡(luò)安全策略1.3.1 網(wǎng)絡(luò)安全策略等級網(wǎng)絡(luò)安全策略的關(guān)鍵是如何保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)及其信息，包括總體策略和具體規(guī)則?？傮w策略用于闡述安全策略的總體思想，而具體規(guī)則用于說明什么是允許的，什么是禁止的。通常將安全策略劃分為如下四個等級：1）一切都是禁止的。最高保護(hù)策略，實現(xiàn)方法是切斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。采用這種策略雖能有效防止內(nèi)部網(wǎng)絡(luò)遭受外部攻擊，但也隔絕了內(nèi)部網(wǎng)絡(luò)與外界的連接，通常情況下不可取。2）一切未被允許的都是禁止的。這種策略開放（允許）有限的資源，對于未明確允許的資源禁止訪問。3）一切未被禁止的都是允許的。這種策略只禁止對部分

11、資源的訪問，對于未明確禁止的資源都允許訪問。4）一切都是允許的。這是沒有任何保護(hù)的策略，即把內(nèi)部網(wǎng)絡(luò)的全部資源完全對外開放，不加任何保護(hù)。通常情況下，也是不可取。1.3 網(wǎng)絡(luò)安全策略1.3.2 網(wǎng)絡(luò)安全策略的主要內(nèi)容主要討論介紹網(wǎng)絡(luò)系統(tǒng)的一些實用性安全策略。物理安全策略安全訪問控制策略網(wǎng)絡(luò)加密策略網(wǎng)絡(luò)安全管理策略 1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1.4.1網(wǎng)絡(luò)安全研究的主要內(nèi)容1.4 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1.4.2 網(wǎng)絡(luò)安全防護(hù)技術(shù)口令加密傳輸加密物理網(wǎng)閘防火墻技術(shù)智能卡技術(shù)電子鑰匙生物特征識別IP安全蜜罐技術(shù)病毒查殺技術(shù)虛擬專用網(wǎng)掃描技術(shù)入侵檢測系統(tǒng)入侵防御系統(tǒng)信息過濾計算機(jī)取證信息隱藏文件加密虛擬局域網(wǎng)數(shù)字簽名指紋識別數(shù)字水印聲音識別頭像識別加密技術(shù)訪問控制技術(shù)安全檢測技術(shù)安全監(jiān)控技術(shù)安全審計技術(shù)圖1-6 網(wǎng)絡(luò)安全防護(hù)技術(shù)1.5 網(wǎng)絡(luò)安全技術(shù)研究與發(fā)展網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已經(jīng)成為世界共同關(guān)注的焦點。它不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，還有可能造成重大的經(jīng)濟(jì)損失，威脅到國家、社會安全。我國在國家中長期科技發(fā)展規(guī)劃綱要（簡稱綱要）中明確提出了“以發(fā)展高可信網(wǎng)絡(luò)為重點，開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品，建立信息安全技術(shù)保障體系，具備防范各種信息安全突發(fā)事件的技術(shù)能力”的要求；并在20062020國家信息化發(fā)展戰(zhàn)略中提出：建設(shè)國家