计算系统与网络安全PPT教学课件-第6章 网络安全技术.ppt

计算系统与网络安全Computer System and Network Security 电子科技大学 计算机科学与工程学院 第6章 网络安全技术 第6章 网络安全技术 Key Points in NetSec 网络安全特性 互连安全 入侵与攻击 网络端口与漏洞 网络安全的至理名言 “金项链从最薄弱点断裂”（不设防点） “堡垒最容易从内部攻破”（木马） “不要把鸡蛋都放在一个篮子里”（数据） “条条大道通罗马”（网络通道） “只要能去的地方，就有危险”（访问） “外面的世界很精彩”（网络陷阱） “没有不透风的墙”（阻断与过滤） “蝼蚁之穴，溃千里之堤”（漏洞） “损人之心不可有，防人之心不可无”（策略） “盲人瞎马……”（目标） 一、网络安全的特性 1. 网络安全的共享性 观念： “网络就是计算机” “网络计算” “网格计算” 共享是网络主要目的，也是其脆弱性 分布的广域性增大了受攻击的可能性 单机系统的安全已不足以保证全局安全 2. 网络系统的复杂性 系统互连、控制分散、异构结点 任何一个结点的安全漏洞都可能是致命的 信息爆炸使网络存储和传输不堪重负 使安全链更加脆弱 恶意攻击源更加广泛， 攻击入口增多、破坏面增大 攻击检测困难且开销很大 攻击源跟踪更加困难 3. 网络安全的不确定性 网络具有可扩展性，其边界不确定 网络分支广，不安全路径存在不确定性 故障定位的不确定性 技术与非技术安全交错，性质的不确定 滥用与攻击的不确定 新的互连方式的进入 4. 网络信息的特殊性 信息的真实性提上日程 网络通信只保证了无差错传输 网络通信无法保证信息的真实性 收发双方无法控制和监视传输信息 信息过滤成本与代价太高 有哪些信誉好的足球投注网站引擎的智能性未能很好体现 5. 网络安全的长期性 矛盾贯穿始终，长期对抗 不可能存在一劳永逸、绝对安全的系统 破坏可能是隐蔽和持久的 安全策略和安全机制是有条件的 安全的目标是在一定条件（环境与技术）下的合理性。 6. 网络安全的可信性 网络安全的可信性随网络扩展而下降 不可信结点、恶意结点的严重威胁 四种连接: 不可信结点连在不可信网络上 不可信结点连在可信网络上 可信结点连在不可信网络上 可信结点连在可信网络上 二、网络安全性范围 1）网络类型 电信网络、电视网络、计算机网络 三网合一？三网融合？ 无线网络、移动网络 空间网络架构？ 2）网络组成 计算机系统、通信系统、布线系统 网络互连设备 运行平台、网络管理软件 一、网络互连设备 传输层：网关gateway，防火墙firewall 网络层：路由器router，路桥器roudger 交换机switcher 数链层：网桥bridge，桥路器brouter 物理层：中继器repeater，集线器hub 适配器Adapter，调制Moderm 网络互连设备（续） 网络从最弱点攻破 1）网络互连层次 网络能否得到监控？ 是否任何一个IP地址都能进入网络？ 隔离和连通的程度如何？ 采用何种互连设备和技术？ 网络设备能否监视和控制？ 新加入的网段是否能自动监测？ 无线与移动在接入上的问题 不清楚就无法管 2）系统平台层次 谁来监视超级用户和管理员 恶意程序（病毒）对网络的威胁 黑客攻击与入侵 网络整体与局部站点自身安全 操作系统、数据库安全问题 入侵检测、防御 安全风险评估、安全审计分析 3）用户群体层次 是否只允许授权用户使用系统资源和数据？ 谁能够进入系统和网络 谁能够得到和修改安全配置？ 用户组管理、系统登录控制 用户身份认证 用户间的彼此信任 4）应用程序层次 是否只有合法用户才能对特定数据进行合法的操作？ 用户对资源、数据获取和使用的权限 超级用户的权限不能太大 合法用户不能拥有一切权利 必须考虑权限的控制和授权。 两个问题： 1）应用程序对数据的合法权限 2）应用程序对用户的合法权限 5）数据安全层次 机密数据是否处于机密状态？ 主要解决数据的机密性 数据加、解密、编码和解码的可信度 数据校验和容错 数据备份 系统与数据恢复 数据内容安全 网络安全技术基础 几个重要的技术概念 一、入侵与攻击：1. 概念 1）入侵（Intrude） 非法者以非法途径进入系统的活动 采用各种方法寻找系统漏洞 非法进入计算机和网络系统 越权访问系统资源 最终控制目标系统 入侵与攻击（续） 2）攻击（Attack） 恶意者以有意目的针对目标的活动 利用系统漏洞，进入系统 有意破坏系统资源 最终毁坏目标系统 入侵与攻击（续） 3）黑客(Hacker) 贬意与褒意?? 否定与肯定?? 计算机迷，迷惑?