網(wǎng)絡安全技術第一章-緒論課件

1、1.1 何謂網(wǎng)絡安全1.1.1 安全的歷史回顧1.1.2 信息安全1.1.3 網(wǎng)絡安全1.2 網(wǎng)絡風險分析與評估1.2.1 網(wǎng)絡面臨的安全性威脅1.2.2 影響網(wǎng)絡安全的主要因素1.2.3 網(wǎng)絡安全風險評估1.3 網(wǎng)絡安全策略1.3.1 網(wǎng)絡安全策略等級1.3.2 網(wǎng)絡安全策略的主要內(nèi)容1.4 網(wǎng)絡安全的關鍵技術1.4.1網(wǎng)絡安全研究的主要內(nèi)容1.4.2網(wǎng)絡安全防護技術1.5 網(wǎng)絡安全技術研究與發(fā)展第1章 緒論1.1 何謂網(wǎng)絡安全1.1.1 安全的歷史回顧通信安全階段 計算機系統(tǒng)信息安全時期 網(wǎng)絡系統(tǒng)安全階段 物聯(lián)網(wǎng)安全階段 1.1 何謂網(wǎng)絡安全1.1.2 信息安全定義：為數(shù)據(jù)處理系統(tǒng)建立和采

2、取的技術和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。屬性：可用性、可靠性、完整性、機密性和不可抵賴性。 1.1 何謂網(wǎng)絡安全1.1.3網(wǎng)絡安全定義：網(wǎng)絡安全就是在分布式網(wǎng)絡環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據(jù)、信息內(nèi)容遭到破壞、更改、泄露，或網(wǎng)絡服務中斷或拒絕服務或被非授權使用和篡改。特性：機密性、認證 、完整性 、不可否認性 、可用性、可靠性和可控性。1.1 何謂網(wǎng)絡安全（1）機密性（Confidentiality）：指網(wǎng)絡通信中的信息，僅能由發(fā)送者和預定的接收者所理解。既便是竊聽

3、者截獲報文，由于報文在一定程度上進行了加密處理，即進行了數(shù)據(jù)偽裝，使得截獲者也不能解密（即理解）所截獲的報文含義。（2）認證（Authentication）：指發(fā)送者和接收者都應該能證實網(wǎng)絡通信過程中所涉及的另一方，確信通信的另一方確實具有它們自己所聲稱的身份。（3）完整性（Integrity）：指信息不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞的特性。只有得到允許的人才能修改實體或進程，并且能夠判別出實體或進程是否已被篡改。即信息的內(nèi)容不能被未授權的第三方修改；數(shù)據(jù)在存儲或傳輸?shù)倪^程中不被修改、破壞，不出現(xiàn)數(shù)據(jù)包的丟失、亂序等。（4）不可否認性（Non-Repudiation）：

4、也稱作不可抵賴性。不可否認性是面向通信雙方（人、實體或進程）信息真實統(tǒng)一的安全要求，它包括收、發(fā)雙方均不可抵賴。1.1 何謂網(wǎng)絡安全（5）可用性（Availability） 可被授權實體訪問并按需求使用的特性。無論在何時，只要用戶需要，網(wǎng)絡通信系統(tǒng)必須是可用的，也就是說網(wǎng)絡通信系統(tǒng)不能拒絕服務。攻擊者通常采用占用資源的手段阻礙授權者的工作。例如，網(wǎng)絡環(huán)境下的拒絕服務、破壞網(wǎng)絡系統(tǒng)的正常運行等都屬于對可用性的攻擊。可以使用訪問控制機制，阻止非授權用戶進入網(wǎng)絡，從而保證網(wǎng)絡系統(tǒng)的可用性。（6）可靠性（Reliability） 系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定任務的概率。可靠性是網(wǎng)絡安全最基本的

5、要求之一，網(wǎng)絡不可靠，故障不斷，也就談不上網(wǎng)絡的安全。（7）可控性 網(wǎng)絡對信息的傳播應具有控制能力，確保僅允許擁有適當訪問權限的實體以定義明確的方式，對訪問權限內(nèi)的資源進行訪問。 機密性、完整性、認證和不可否認將在相當長的時期內(nèi)仍是安全通信的關鍵組成部分?？捎眯?、可靠性和可控性則是對安全通信概念的最新擴展，是為保證網(wǎng)絡基礎設施安全免受攻擊而提出的。1.1 何謂網(wǎng)絡安全1.1.3網(wǎng)絡安全網(wǎng)絡安全攻防技術體系 圖1-1 網(wǎng)絡安全攻防技術體系 1.2 網(wǎng)絡風險分析與評估1.2.1網(wǎng)絡面臨的安全性威脅網(wǎng)絡系統(tǒng)面臨的安全威脅形式各種各樣: 圖1-2 網(wǎng)絡系統(tǒng)面臨的安全威脅1.2.1網(wǎng)絡面臨的安全性威脅從

6、網(wǎng)絡通信的角度觀察，可將網(wǎng)絡通信安全所面臨的威脅歸納為以下4種情況:1.2 網(wǎng)絡風險分析與評估圖1-3 網(wǎng)絡通信面臨的安全威脅圖1-3 網(wǎng)絡通信面臨的安全威脅1.2 網(wǎng)絡風險分析與評估1.2.1網(wǎng)絡面臨的安全性威脅 1）截獲。攻擊者從網(wǎng)絡上竊聽他人的通信內(nèi)容。例如，通過竊聽獲取網(wǎng)絡上傳輸?shù)臄?shù)據(jù)，或非授權復制文件或程序等。這是針對機密性的一種攻擊。 2）阻斷。攻擊者有意阻斷他人在網(wǎng)絡上的通信。例如，破壞硬盤之類的硬件，切斷通信線路，使文件管理失效等。這是針對可用性的一種攻擊。 3）篡改。攻擊者故意篡改網(wǎng)絡上傳輸?shù)膱笪摹＠?，改變?shù)據(jù)文件的值、修改程序，或修改在網(wǎng)絡上傳送的報文內(nèi)容等。這是針對完整

7、性的一種攻擊。 4）偽造。攻擊者利用虛假的身份在系統(tǒng)中插入偽造信息，并在網(wǎng)絡上傳送。例如，對網(wǎng)絡傳輸?shù)男畔⒉迦雮卧靾笪?，或在?shù)據(jù)文件中加入一些記錄等。這是針對真實性（認證）的一種攻擊。1.3 網(wǎng)絡安全策略1.2.1網(wǎng)絡面臨的安全性威脅從網(wǎng)絡通信的角度觀察，可將網(wǎng)絡通信安全所面臨的威脅歸納為以下4種情況 1.2 網(wǎng)絡風險分析與評估1.2.2 影響網(wǎng)絡安全的主要因素1）人為因素2）網(wǎng)絡通信協(xié)議存在先天性安全漏洞3）計算機硬件系統(tǒng)故障4）操作系統(tǒng)的先天性缺陷5）網(wǎng)絡數(shù)據(jù)庫、應用軟件存在的缺陷和漏洞1.2 網(wǎng)絡風險分析與評估1.2.3 網(wǎng)絡安全風險評估定義：網(wǎng)絡安全風險評估是指依據(jù)有關網(wǎng)絡安全技術標準

8、，對網(wǎng)絡系統(tǒng)及由其處理、傳輸和存儲信息的機密性、完整性和可用性等安全屬性進行科學評價的過程。網(wǎng)絡風險評估的主要環(huán)節(jié)及其方法 圖1-4 網(wǎng)絡安全風險評估涉及的四個環(huán)節(jié)1.2 網(wǎng)絡風險分析與評估1.2.3 網(wǎng)絡安全風險評估(1) 安全風險分析網(wǎng)絡安全風險分析就是估計網(wǎng)絡威脅發(fā)生的可能性，以及因系統(tǒng)的脆弱性而引起的潛在損失。就網(wǎng)絡安全而言，漏洞和威脅是測定風險的兩個主要對象。(2) 風險評估風險評估的方法有很多種，概括起來可分為兩大類：定量的風險評估方法、定性的風險評估方法。(3) 安全決策安全決策就是根據(jù)評估結(jié)論決定網(wǎng)絡系統(tǒng)所需要采取的安全措施。在安全決策的過程中，根據(jù)評估的結(jié)論可選擇使用以下某一

9、策略：1）逃避策略，即針對現(xiàn)有的安全問題，不采取任何安全措施加以防范。2）應對策略，即針對現(xiàn)有的安全問題，采取一定的安全措施來防止威脅的發(fā)生。3）轉(zhuǎn)移策略，把現(xiàn)有的安全問題可能造成的損失轉(zhuǎn)移到別人（如保險公司）。(4) 安全監(jiān)測在網(wǎng)絡運行期間，系統(tǒng)隨時都有可能產(chǎn)生新的變化，這時先前的風險評估結(jié)論就失去了意義，安全監(jiān)測過程能夠?qū)崟r監(jiān)視和判斷網(wǎng)絡系統(tǒng)中的各種資產(chǎn)在運行期間的狀態(tài)，并及時記錄和發(fā)現(xiàn)新的變換情況。1.3 網(wǎng)絡安全策略定義：安全策略是指在一個特定網(wǎng)絡環(huán)境中，為保證提供一定級別的安全保護所必須遵守的一系列規(guī)則。這些規(guī)則主要用于如何配置、管理和控制系統(tǒng)；約束用戶在正常的環(huán)境下應如何使用網(wǎng)絡資

10、源；當網(wǎng)絡環(huán)境發(fā)生不正常行為時，應如何響應與恢復。1.3 網(wǎng)絡安全策略1.3.1 網(wǎng)絡安全策略等級網(wǎng)絡安全策略的關鍵是如何保護企業(yè)內(nèi)部網(wǎng)絡及其信息，包括總體策略和具體規(guī)則。總體策略用于闡述安全策略的總體思想，而具體規(guī)則用于說明什么是允許的，什么是禁止的。通常將安全策略劃分為如下四個等級：1）一切都是禁止的。最高保護策略，實現(xiàn)方法是切斷內(nèi)部網(wǎng)絡與外部網(wǎng)絡的連接。采用這種策略雖能有效防止內(nèi)部網(wǎng)絡遭受外部攻擊，但也隔絕了內(nèi)部網(wǎng)絡與外界的連接，通常情況下不可取。2）一切未被允許的都是禁止的。這種策略開放（允許）有限的資源，對于未明確允許的資源禁止訪問。3）一切未被禁止的都是允許的。這種策略只禁止對部分

11、資源的訪問，對于未明確禁止的資源都允許訪問。4）一切都是允許的。這是沒有任何保護的策略，即把內(nèi)部網(wǎng)絡的全部資源完全對外開放，不加任何保護。通常情況下，也是不可取。1.3 網(wǎng)絡安全策略1.3.2 網(wǎng)絡安全策略的主要內(nèi)容主要討論介紹網(wǎng)絡系統(tǒng)的一些實用性安全策略。物理安全策略安全訪問控制策略網(wǎng)絡加密策略網(wǎng)絡安全管理策略 1.4 網(wǎng)絡安全的關鍵技術1.4.1網(wǎng)絡安全研究的主要內(nèi)容1.4 網(wǎng)絡安全的關鍵技術1.4.2 網(wǎng)絡安全防護技術口令加密傳輸加密物理網(wǎng)閘防火墻技術智能卡技術電子鑰匙生物特征識別IP安全蜜罐技術病毒查殺技術虛擬專用網(wǎng)掃描技術入侵檢測系統(tǒng)入侵防御系統(tǒng)信息過濾計算機取證信息隱藏文件加密虛擬局域網(wǎng)數(shù)字簽名指紋識別數(shù)字水印聲音識別頭像識別加密技術訪問控制技術安全檢測技術安全監(jiān)控技術安全審計技術圖1-6 網(wǎng)絡安全防護技術1.5 網(wǎng)絡安全技術研究與發(fā)展網(wǎng)絡系統(tǒng)的安全性和可靠性已經(jīng)成為世界共同關注的焦點。它不僅影響了網(wǎng)絡穩(wěn)定運行和用戶的正常使用，還有可能造成重大的經(jīng)濟損失，威脅到國家、社會安全。我國在國家中長期科技發(fā)展規(guī)劃綱要（簡稱綱要）中明確提出了“以發(fā)展高可信網(wǎng)絡為重點，開發(fā)網(wǎng)絡信息安全技術及相關產(chǎn)品，建立信息安全技術保障體系，具備防范各種信息安全突發(fā)事件的技術能力”的要求；并在20062020國家信息化發(fā)展戰(zhàn)略中提出：建設國家