第二章網(wǎng)絡(luò)安全技術(shù)案例

2024/4/61第二章網(wǎng)絡(luò)安全技術(shù)第一節(jié)網(wǎng)絡(luò)安全概述第二節(jié)網(wǎng)絡(luò)操作系統(tǒng)安全第三節(jié)防火墻技術(shù)第四節(jié)虛擬專用網(wǎng)（VAP）技術(shù)第五節(jié)網(wǎng)絡(luò)入侵檢測第六節(jié)常見的網(wǎng)絡(luò)攻擊與防范思考與練習(xí)題2024/4/62第一節(jié)網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)是現(xiàn)代計算機與通信結(jié)合的產(chǎn)物，而電子商務(wù)的基礎(chǔ)是信息化和網(wǎng)絡(luò)化，所以網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)。一、網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其數(shù)據(jù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，保護系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。二、網(wǎng)絡(luò)安全服務(wù)的內(nèi)涵認證—對每個實體的認證，即信息源認證。對等實體鑒別—保證信息交換在實體間進行。訪問控制—規(guī)定每一個實體可訪問的網(wǎng)絡(luò)資源。信息加密—對敏感信息加以保護。信息的完整性—保護網(wǎng)絡(luò)傳輸?shù)男畔钠瘘c到終點不變?？咕芙^服務(wù)—拒絕一些通訊服務(wù)。業(yè)務(wù)的有效性—保證規(guī)定的最低連續(xù)性業(yè)務(wù)能力。審計—網(wǎng)絡(luò)記載并跟蹤事件，以備檢查。不可抵賴—網(wǎng)絡(luò)提供憑證，防止客戶否認或抵賴已發(fā)送或接收的信息。2024/4/63三、網(wǎng)絡(luò)安全的主要技術(shù)1、病毒防范技術(shù)2、訪問控制3、VPN技術(shù)降低成本容易擴展完全控制主動權(quán)4、網(wǎng)絡(luò)入侵檢測技術(shù)5、加密和數(shù)字簽名技術(shù)、身份認證加密—應(yīng)用數(shù)學(xué)方法對數(shù)據(jù)進行編碼，使其成為按常規(guī)無法理解的形式，只有用相應(yīng)的密鑰才能解密。數(shù)字簽名—使用數(shù)字摘要和非對稱加密技術(shù)，保證數(shù)據(jù)完整和真實，事后不可否認。身份認證—通過一個或多個參數(shù)的真實性與有效性來確定稱謂者。2024/4/64加密、數(shù)字簽名工作原理圖

Hash發(fā)送者發(fā)送者加密私鑰加密公鑰加密對比

Hash

加密

發(fā)送方接收方原信息摘要摘要數(shù)字簽名數(shù)字簽名原信息摘要2024/4/65四、網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

網(wǎng)絡(luò)安全的體系結(jié)構(gòu)按照網(wǎng)絡(luò)OSI的7層模型針對實際運行的TCP/IP協(xié)議，貫徹于信息系統(tǒng)的5個層次，具體包括：1、物理層安全2、鏈路層安全3、網(wǎng)絡(luò)層安全4、會話層安全5、應(yīng)用層安全應(yīng)用層應(yīng)用平臺和系統(tǒng)安全會話層會話安全網(wǎng)絡(luò)層安全路由/訪問機制鏈路層鏈路安全物理層網(wǎng)絡(luò)信息安全2024/4/66五、網(wǎng)絡(luò)安全的實現(xiàn)1、物理安全環(huán)境安全設(shè)備安全媒體安全2、系統(tǒng)安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)冗余、系統(tǒng)隔離、訪問控制、身份鑒別、加密、安全監(jiān)測、網(wǎng)絡(luò)掃描。操作系統(tǒng)工程應(yīng)用安全、系統(tǒng)掃描。應(yīng)用系統(tǒng)3、信息安全交易安全數(shù)據(jù)安全2024/4/67第二節(jié)網(wǎng)絡(luò)操作系統(tǒng)安全一、Windows2000Server的安全1、用戶安全設(shè)置禁用Guest賬號、限制不必要用戶、創(chuàng)建兩個管理員賬號、把系統(tǒng)Administrator賬號改名、創(chuàng)建一個陷阱用戶、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶、開啟用戶策略、不讓系統(tǒng)顯示上次登錄的用戶名。2、密碼安全設(shè)計使用安全密碼、設(shè)置屏幕保護密碼、開啟密碼策略、考慮使用智能卡來代替密碼3、系統(tǒng)安全設(shè)置使用格式分區(qū)、運行防毒軟件、到微軟網(wǎng)站下載最新的補丁程序、關(guān)閉默認共享、鎖住注冊表、禁止用戶從軟盤和光驅(qū)啟動系統(tǒng)、利用Windows2000的安全配置工具來配置安全策略。4、服務(wù)安全設(shè)置關(guān)閉不必要的端口、設(shè)置好安全記錄的訪問權(quán)限、把敏感文件存放在另外的文件服務(wù)器中、禁止建立空連接。2024/4/68二、UNIX的安全1、物理安全2、邏輯安全防止未授權(quán)存取防止泄密防止用戶拒絕系統(tǒng)管理三、Linux系統(tǒng)的安全1、用戶賬號2、文件系統(tǒng)權(quán)限3、系統(tǒng)日志文件/var/log/lastlog文件/var/log/secure文件/var/log/wtmp文件2024/4/69第三節(jié)防火墻技術(shù)一、防火墻技術(shù)概述1、防火墻的定義2、防火墻的發(fā)展二、防火墻的功能1、防火墻是網(wǎng)絡(luò)安全的屏障2、防火墻可以強化網(wǎng)絡(luò)安全策略3、防火墻對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計4、防火墻防止內(nèi)部信息的外泄2024/4/610三、防火墻分類1、防火墻根據(jù)實現(xiàn)技術(shù)分類數(shù)據(jù)包過濾型防火墻應(yīng)用級網(wǎng)關(guān)型防火墻代理服務(wù)型防火墻復(fù)合型防火墻2、根據(jù)配置結(jié)構(gòu)分類屏蔽路由器雙重宿主主機屏蔽子網(wǎng)復(fù)合型四、防火墻的設(shè)計1、預(yù)算2、設(shè)備3、可用性4、可伸縮性5、所需功能6、系統(tǒng)攻擊和防御2024/4/611五、防火墻的產(chǎn)品選擇1、防火墻的功能指標(biāo)產(chǎn)品類型、LAN接口、支持最大的LAN接口數(shù)、服務(wù)器平臺、協(xié)議支持、建立LAN通道的協(xié)議、加密支持、認證支持、訪問控制、防御功能、安全特性、管理功能2、企業(yè)的特殊要求網(wǎng)絡(luò)地址轉(zhuǎn)換功能、雙重DNS、虛擬專用網(wǎng)絡(luò)、掃毒功能、特殊控制功能。3、與用戶網(wǎng)絡(luò)結(jié)合管理的難易度、自身的安全、完善的售后服務(wù)、完整的安全檢查、結(jié)合用戶情況。2024/4/612第四節(jié)虛擬專用網(wǎng)（VPN）技術(shù)一、VPN的概念二、VPN的工作原理三、VPN的主要功能1、加密數(shù)據(jù)，保證網(wǎng)傳信息安全。2、信息認證和身份認證，保證信息完整性、合法性，并能鑒別用戶的身份。3、提供訪問控制，設(shè)置不同用戶訪問權(quán)限。2024/4/613四、VPN的基本類型1、按接入方式劃分專線VPN撥號VPN2、按隧道協(xié)議所屬的層次劃分3、按VPN業(yè)務(wù)類型劃分IntranetVPNAccessVPNExtranetVPN4、按運營商所開展的業(yè)務(wù)類型劃分五、VPN的基本技術(shù)1、隧道技術(shù)2、加密技術(shù)3、密鑰管理4、使用者與設(shè)備身份認證技術(shù)2024/4/614第五節(jié)網(wǎng)絡(luò)入侵檢測一、網(wǎng)絡(luò)入侵檢測系統(tǒng)的概念二、網(wǎng)絡(luò)入侵檢測系統(tǒng)的功能三、網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理1、信息收集系統(tǒng)和網(wǎng)絡(luò)日志文件目錄和文件中的不期望改變程序執(zhí)行中的不期望改變物理形式的入侵信息2、信號分析模式匹配統(tǒng)計分析完整性分析2024/4/615四、網(wǎng)絡(luò)入侵檢測的主要方法1、誤用檢測專家系統(tǒng)基于模型的入侵檢測方法簡單模式匹配軟計算方法2、異常檢測五、網(wǎng)絡(luò)入侵檢測的實際步驟1、監(jiān)視、分析用戶及系統(tǒng)活動2、系統(tǒng)構(gòu)造和弱點的審計3、識別已進攻的活動并報警4、異常行為模式的統(tǒng)計分析5、評估重要系統(tǒng)和數(shù)據(jù)文件的完整性6、操作系統(tǒng)審計跟蹤，并識別用戶違反安全策略行為六、網(wǎng)絡(luò)入侵檢測工具介紹2024/4/616第六節(jié)常見的網(wǎng)絡(luò)攻擊與防范一、網(wǎng)絡(luò)攻擊概述1、網(wǎng)絡(luò)攻擊的步驟隱藏自己的位置、尋找目標(biāo)主機并分析目標(biāo)主機、獲取賬號和密碼登錄主機、獲得控制權(quán)、竊取網(wǎng)絡(luò)資源和特權(quán)。2、網(wǎng)絡(luò)攻擊的方法口令入侵、放置特洛伊木馬程序、WWW欺騙技術(shù)、電子郵件攻擊、通過一個節(jié)點攻擊其他節(jié)點、網(wǎng)絡(luò)監(jiān)聽、利用黑客軟件攻擊、安全漏洞攻擊、端口掃描攻擊。3、網(wǎng)絡(luò)攻擊的應(yīng)對策略二、網(wǎng)絡(luò)監(jiān)聽與防范1、網(wǎng)絡(luò)監(jiān)聽概念2、網(wǎng)絡(luò)監(jiān)聽原理3、監(jiān)測網(wǎng)絡(luò)監(jiān)聽的方法4、常見的網(wǎng)絡(luò)監(jiān)聽工具2024/4/617三、拒絕服務(wù)與防范1、拒絕服務(wù)2、分布式拒絕服務(wù)四、欺騙攻擊與防范1、欺騙攻擊的概念2、欺騙攻擊的危害3、欺騙攻擊的防范五、病毒與防范1、病毒的概念2、病毒的分類3、常見的病毒4、常見殺毒軟件5、病毒防范2024/4/618思考與練習(xí)題網(wǎng)絡(luò)安全技術(shù)有哪些，各種技術(shù)能解決什么問題？防火墻技術(shù)和VPN技術(shù)有何不同？簡述Windows2000Server的安全和系統(tǒng)UNIX/Linux的安全有何不同？上網(wǎng)查找當(dāng)前流行的，在較大范圍內(nèi)對計算機和網(wǎng)絡(luò)系統(tǒng)影響較大的病毒，簡述其攻擊原理。上