《计算机网络技术与应用课件-第9章-网络安全与本地安全管理ppt.ppt》由会员分享,可在线阅读,更多相关《计算机网络技术与应用课件-第9章-网络安全与本地安全管理ppt.ppt(57页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第 9 章章网络安全与本地安全管理网络安全与本地安全管理Li_zhihui第第9章章 网络安全与本地安全管理网络安全与本地安全管理n教学目标:教学目标:通过介绍网络安全的基本概念、网络安全机制、网络安全目标以及黑客一般使用的攻击技术,使学生能够对计算机网络信息安全有一个较全面的认识。不仅了解信息是商品,信息是社会发展的重要资源,更重要的是使学生了解网络中存在的众多不安全因素,使学生对网络信息传递以及本地信息安全给予足够的重视。第第9章章 网络安全与本地安全管理网络安全与本地安全管理n教学内容9.1 网络安全概述9.2 网络安全技术9.3 网络攻击技术9.4 本地安全管理9.1 网络安全概述n
2、9.1.1 网络安全目标n9.1.2 网络安全隐患n9.1.3 何谓网络攻击9.1.1 网络安全目标n网络安全从其本质上讲就是网络上的信息安全。n具体来讲,网络安全就是要求计算机网络系统能够真正、全面、有效地对网络的各种资源(硬件、软件和数据)进行保护,确保网络结点的安全和通信链路的安全。安全目标安全目标n1、可靠性可靠性是指网络信息系统能够在规定的条件和时间内完成规定功能的特性。它是网络系统安全的最基本要求之一。n2、完整性完整性是指网络数据未经授权不能进行改变的特性。体现在保持网络数据在生成、存储或传输过程中不被修改、破坏或丢失,属于计算机系统和数据传输的安全目标。续n3、可用性可用性是指
3、网络信息可被授权实体访问并按需求使用的特性。体现在网络用户有需求时,允许其在访问权限范围内存取所需信息,或当网络部分受损后仍能为授权用户提供有效的服务等,属于网络服务的安全目标。n4、真实性真实性也称作不可抵赖性,在网络信息交互过程中,参与者的真实性、交互信息的真实性,均属于对网络信任的安全目标。续n5、保密性保密性是指网络信息传输不被泄露的特性,是网络安全目标最为重要的内容。它是在可靠性和可用性基础上,保障网络信息安全的重要手段,属于网络传输信道的安全目标。n6、可控性可控性是指对网络信息的传播以及网络内容的监管具有可控制能力的特性。当网络安全出现问题时,可作为网络法律法规调查的依据与量刑的
4、证据。可控性特征是网络实现网络安全目标的有力保障。9.1.2 网络安全隐患n网络安全隐患是网络安全的潜在侵害,网络面临的安全隐患很多,大致可以分为三类:第一类:自然环境因素,如地震、水灾、火灾、战争等原因造成的网络中断、系统损坏、数据丢失等等。第二类:系统自身因素,如系统存在漏洞,服务设置不当等等。第三类:人为破坏因素,即由恶意破坏者(黑客或骇客)制造的网络病毒、网络攻击等,其目的是企图通过各种手段破坏网络公共资源,盗窃他人私有信息等。网络安全隐患主要原因n1Internet是一个开放的网络,黑客利用开放网络所固有的缺陷入侵网络中的计算机系统。n2Internet上的数据传输是基于TCP/IP
5、通信协议。这些协议无法保障信息不被窃取,缺乏安全控制机制。n3Internet上的通信业务所使用的网络操作系统均或多或少存在着安全脆弱性问题。n4Internet上的通信数据多数在存储、传输过程中没有加密保护和进行签字认证。n5Internet中普通终端客户占有很大的比例,这些客户群体对网络应用中存在的安全隐患,以及防范网络攻击等没有足够的认识。9.1.3 何谓网络攻击n网络攻击主要分为以下两类:n1、被动攻击:攻击者通过监视和分析某一协议的数据单元,以获得某些重要信息。n2、主动攻击:攻击者利用网络本身的缺陷对网络实施攻击。9.2 网络安全技术n9.2.1 防火墙技术n9.2.2 入侵检测技
6、术n9.2.3 安全扫描技术n9.2.4 加密技术n9.2.5 认证和数字签名技术n9.2.6 其它网络安全技术9.2.1 防火墙技术n1、防火墙系统一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器屏蔽路由器是一个多端口的IP路由器,它从IP包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以及其它一些IP选项,依据IP规则对IP包进行过滤检查,以判断是否放行。代理服务器代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。如:用户级的身份认证、日志记录和帐号管理。9.2.1 防火墙技术n2、防火墙控制1)内部子网与外网的访问控制2)
7、内部子网与DMZ区的访问控制3)DMZ区与外网的访问控制4)远程用户对内网的访问控制5)防火墙的其它控制1)内部子网与外网的访问控制2)内部子网与DMZ区的访问控制3)DMZ区与外网的访问控制4)远程用户对内网的访问控制5)防火墙的其它控制n防火墙的其它控制:可基于时间在防火墙上制定访问控制策略。如上班时间只能访问内网,不允许访问外网;可在防火墙上设置IP地址与MAC地址绑定。如Bind 192.168.1.2 to 00 50 54 BB 71 A6,防止其他用户假冒192.168.1.2用户上网。可在防火墙上设置流量控制。如当某主机或用户的流量达到其设定的极限值则将阻断其连接等。可基于高层
8、协议在防火墙上制定相应的应用控制。如HTTP协议的GET、POST、HEAD控制;FTP协议的GET、PUT控制等等。9.2.1 防火墙技术n3、防火墙的局限性防火墙属于被动防御设备,也有其不足之处,如:源于内部的攻击,防火墙一般不提供保护;不通过防火墙的接入,防火墙无法控制;数据驱动型攻击,防火墙很难防范;防火墙自身的反攻击能力不够,容易成为攻击的首选目标;完全新的攻击手段,防火墙无法动态调整自己的策略做出相应的防御。9.2.2 入侵检测技术n1、入侵检测系统(Intrusion Detection System,IDS)是近年出现的新型网络安全技术之一。对网络系统的运行状态提供实时的检测,
9、并及时报告网络系统中违反安全策略的行为。IDS的主要功能:的主要功能:监视、分析用户及系统活动;核查系统配置和漏洞;识别已知攻击的活动模式并向系统管理员报警;异常行为模式的统计分析;评估系统重要资源和数据文件的完整性;操作系统的审计跟踪管理并识别用户违反安全策略的行为等。9.2.2 入侵检测技术n2、IDS入侵检测模型1)基于主机模型2)基于网络的模型3)基于分布式模型1)基于主机模型2)基于网络的模型3)基于分布式模型n基于分布式模型,通常的配置为:(1)在需要监视的服务器上安装监视模块(agent),向管理服务器报告并上传证据,提供跨平台的入侵监视解决方案。(2)在需要监视的网络路径上放置
10、监视模块(sensor),向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。9.2.2 入侵检测技术n3、IDS的局限性入侵检测系统也有其应用的局限性,如:IDS存在资源和处理能力的局限性,其中NIDS具有网络局限性;IDS不能处理加密后的数据等。9.2.3 安全扫描技术n1、安全扫描概念采用相应的安全扫描技术对计算机系统或其它网络设备进行安全检测,使网络系统潜在的脆弱性暴露出来,以寻找可能存在的安全隐患或系统可能被利用的漏洞,及时发现并更正修补,实现对系统的安全保护。安全扫描技术通常有被动策略和主动策略两种。被动策略一般基于主机。主动策略则一般基于网络。续n2、常见的安全扫描技术(1
11、)端口扫描(Port Scan)(2)漏洞扫描(Vulnerability Scan)(3)WEB应用扫描(Web Inspect Scan)9.2.4 加密技术n1、加密技术概述加密技术是实现网络安全的核心技术之一,加密技术所起的作用是其它安全技术无法替代的。“加密”就是对原来的“明文”按照某种加密算法进行变换处理,使其成为难以理解的“密文”。加密过程的逆处理过程称之为“解密”。用于加密和解密的数字序列称为“密钥”。续n2、加密技术1)古典加密技术2)对称加密技术3)非对称加密技术1)古典加密技术n古典加密技术主要有两种基本算法:替代算法和置换移位法。替代算法:替代算法:指明文的字母由其它字
12、母、数字或符号所代替的一种加密法。最著名的替代算法是恺撒密码。其原理很简单,就是单字母替换。如:明文:Caesar was a great soldier密文:Fdhvdu zdv d juhdw vroglhu恺撒密码将字母表用了一种顺序替代的方法来进行加密,上文密钥为3,即每个字母顺序推后3位。由于英文字母为26个,因此恺撒密码仅有26个可能的密钥,安全强度非常低。续n置换移位法:置换移位法:指明文被置换后再位移的一种加密法。使用置换移位法最著名的一种密码称为维吉尼亚密码。如:对密钥字符,事先规定密钥字母a,b,c,dy,z对应的移位数字:0,1,2,324,25。如密钥字符为decept
13、ive,其加密过程:明文:weare discovered save yourself密钥:decep tivedecept ived eceptive密文:zicvt wqngrzgvtw avzh cqyglmgj可以清晰的看到,密钥deceptive被重复使用。2)对称加密技术n对信息的加密和解密都使用相同的密钥,也即一把钥匙开一把锁。这种加密方法可简化加密处理过程,只要密钥在交换阶段未曾泄露,那么机密性和报文完整性就可得以保证。3)非对称加密技术n在现代的非对称加密体系中,密钥由一对公开密钥和私有密钥构成,简称公钥和私钥。公钥(用于加密的密钥)通过非保密方式向他人公开,而私钥(用于解密
14、的密钥)留给个人妥善保存。9.2.5 认证和数字签名技术n认证技术主要解决网络通讯过程中双方的身份认证,数字签名是身份认证技术中的一种具体技术。n认证过程通常涉及到加密和密钥交换。加密可使用对称加密、非对称加密以及两种加密方法的混合。常见的认证技术有:n1、UserName/Password认证n2、MD5认证n3、基于PKI认证续nPKI(Public Key Infrastructure)即“公钥基础设施”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。n使用公开密钥体系进行认证和加密,该种方法综合采用了消息-摘要算法、非对
15、称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。续n如:9.2.6 其它网络安全技术n1、反病毒技术n2、VPN技术VPN(Virtual Private Network)“虚拟专用网络”。虚拟专用网络可以理解为虚拟出来的企业内部专线,是通过Internet公共网络在局域网之间或单点之间安全地传递数据的技术。n3、网络欺骗技术网络欺骗使入侵者相信网络系统存在一些有价值的信息资源(当然这些资源是伪造的或不重要的)或有可被利用的安全弱点,将入侵者引到这些错误的资源或看似漏洞的位置。9.3 网络攻击技术n9.3.1 扫描技术n9.3.2 协议漏洞渗透n9.3.3 密码分析还原n9.
16、3.4 应用漏洞分析与渗透n9.3.5 拒绝服务攻击n9.3.6 社会工程学n9.3.7 病毒与后门攻击9.3.1 扫描技术n扫描技术可检测Internet上的计算机当前是否处于活动状态、提供了何种的服务,以及更多相关的信息,主要使用的技术有Ping扫描、端口扫描和操作系统识别等。n目前,扫描技术已经非常成熟,已经有大量的商业、非商业的扫描器投入使用。由于各种安全漏洞层出不穷,这就给netcat、nmap为代表的网络扫描工具以用武之地。9.3.2 协议漏洞渗透n作为Internet网络的核心协议,TCP/IP不断地得到安全的修补。然而,一些协议上的漏洞是无法通过修改来弥补的。n黑客能利用这些固
17、有的协议漏洞,开发出针对特定网络协议的网络攻击技术,常见的有:1、会话侦听与劫持技术2、地址欺骗技术续n【举例】:假设有三台计算机A、B、C,其中C为攻击者。9.3.3 密码分析还原n为了保证数据的安全,最有效的办法之一就是对数据加密。攻击者在截获密文后,下一步要做的工作就是破解密码。n根据密码分析出发点的不同,密码分析还原技术主要分为:1、密码还原技术2、密码猜测技术9.3.4 应用漏洞分析与渗透n任何应用程序都不可避免地存在着一些逻辑上的漏洞,操作系统也不例外。当这些漏洞对于网络系统的安全构成隐患时,往往就成为入侵者的攻击对象。n应用漏洞从错误类型上主要分为:1、服务流程漏洞2、边界条件漏
18、洞9.3.5 拒绝服务攻击n拒绝服务攻击的主要目的就是造成被攻击服务器资源耗尽或系统崩溃而无法提供相应的服务,是攻击者常用的攻击手段之一。按其攻击方式可分两种:DoS(Denial of Service)拒绝服务攻击DDoS(Distributed Denial of Service)分布式拒绝服务攻击。n常见的拒绝服务攻击有:1、SYN Flood攻击2、IP欺骗DoS攻击3、Land攻击4、Smurf攻击5、远程控制的DDoS攻击9.3.6 社会工程学n社会工程学与黑客使用的其它技术有很大的差别,它所研究的对象不是严谨的计算机技术,而是目标网络的人员。社会工程学主要是利用说服或欺骗的方法来
19、获得对信息系统的访问。这种说服和欺骗通常是通过与人的交流或其它互动方式实现的。n对社会工程学类的攻击可以从两个方面进行分析:1、物理分析2、心理分析9.3.7 病毒与后门攻击n1、病毒攻击n2、后门攻击9.4 本地安全管理n一个国家的互联网安全,要想阻止来自国外的恶意或有目的的破坏,防范的关键是国际出入口的监管和控制。一个企业内部的网络安全,要想阻止来自外网的入侵,防范的关键是企业网边界设备(如防火墙)的监管和控制。n而一台计算机的安全该如何防范来自外界的攻击?本节主要从本地计算机安全入手。n9.4.1 账户安全管理n9.4.2 系统安全加固9.4.1 账户安全管理n1、内置账户n2、为Adm
20、inistrator设置强壮密码n3、更改或禁用Administrator账户名n4、账户安全管理1、内置账户n内置账户中使用最多的是:本地系统管理员账户Administator来宾账户Guestn这两个账户无法从系统中删除。Administrator 是Windows系统中权限最高的账户。2、为Administrator设置强壮密码n1)密码设置原则:密码应包含英文字母的大小写、数字、可打印字符,甚至是非打印字符。密码不能太规则,不要将用户姓名、生日和电话号码作为密码。不要用常用单词作为密码。密码长度设置时最好遵循7位或14位的整数倍原则。采用多套密码的命名规则。通过账户策略设置账号锁定机制
21、。续n2)管理员账户密码要求不包含全部或部分的用户账户名。长度至少为6个字符。包含来自以下4个类别中的3组字符:大写英文字母(从A到Z);小写英文字母(从a到z);10个基本数字(从0到9);非字母字符(如 !#$%&*()_+-=|:;?,./)。续n强密码具有以下特征:长度至少有7个字符;不包含用户的生日、电话、用户名、真实姓名或公司名等;不包含完整的字典词汇;包含上述4个类别组字符。3、更改或禁用Administrator账户名n1)更改Administrator账户名依次选择“控制面板”“管理工具”“本地计算机管理”;在本地“计算机管理”窗口中,展开“系统工具”“本地用户和组”“用户”
22、,右击Administrator账户并选择“重命名”,输入新的账户名称即可,n2)禁用Administrator账户双击Administrator,选中“账户已禁用”复选框即可。4、账户安全管理n1)禁止空密码的管理员账户远程登录单击“控制面板管理工具本地安全策略”,进入“本地安全设置”窗口,在“本地策略安全选项”中,查看右侧的相关策略列表,找到“账户:使用空白密码的本地账户只允许进行控制台登录”,单击鼠标右键选择“属性”,在弹出对话框中激活“已启用”。n2)指派本地用户权利在“安全设置”中定位于“本地策略用户权利指派”,在其右侧的设置视图中,可针对其下的各项策略分别进行安全设置。5、查看账户
23、常用方法n1)用户账户打开“控制面板用户账户”。n2)控制台依次打开“控制面板管理工具计算机管理”,在窗口左侧定位到“本地用户和组用户”。n3)命令行执行命令:net user cfan 123/add功能:新建账户名“cfan”,密码“123”的受限账户(即Users组成员)执行命令:net localgroup Administrators cfan/add功能:将cfan账户提升为管理员执行命令:net user cfan功能:查看cfan账户的详细情况9.4.2 系统安全加固n1、本地安全设置1)加固系统账户禁止枚举账号 禁止来宾账户登录2)加强密码安全n2、系统服务加固n3、注册表加固1)禁止访问注册表2)监控注册表