2024/4/61第二章網(wǎng)絡(luò)安全技術(shù)第一節(jié)網(wǎng)絡(luò)安全概述第二節(jié)網(wǎng)絡(luò)操作系統(tǒng)安全第三節(jié)防火墻技術(shù)第四節(jié)虛擬專用網(wǎng)（VAP）技術(shù)第五節(jié)網(wǎng)絡(luò)入侵檢測(cè)第六節(jié)常見(jiàn)的網(wǎng)絡(luò)攻擊與防范思考與練習(xí)題2024/4/62第一節(jié)網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)是現(xiàn)代計(jì)算機(jī)與通信結(jié)合的產(chǎn)物，而電子商務(wù)的基礎(chǔ)是信息化和網(wǎng)絡(luò)化，所以網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)。一、網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其數(shù)據(jù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，保護(hù)系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。二、網(wǎng)絡(luò)安全服務(wù)的內(nèi)涵認(rèn)證—對(duì)每個(gè)實(shí)體的認(rèn)證，即信息源認(rèn)證。對(duì)等實(shí)體鑒別—保證信息交換在實(shí)體間進(jìn)行。訪問(wèn)控制—規(guī)定每一個(gè)實(shí)體可訪問(wèn)的網(wǎng)絡(luò)資源。信息加密—對(duì)敏感信息加以保護(hù)。信息的完整性—保護(hù)網(wǎng)絡(luò)傳輸?shù)男畔钠瘘c(diǎn)到終點(diǎn)不變?？咕芙^服務(wù)—拒絕一些通訊服務(wù)。業(yè)務(wù)的有效性—保證規(guī)定的最低連續(xù)性業(yè)務(wù)能力。審計(jì)—網(wǎng)絡(luò)記載并跟蹤事件，以備檢查。不可抵賴—網(wǎng)絡(luò)提供憑證，防止客戶否認(rèn)或抵賴已發(fā)送或接收的信息。2024/4/63三、網(wǎng)絡(luò)安全的主要技術(shù)1、病毒防范技術(shù)2、訪問(wèn)控制3、VPN技術(shù)降低成本容易擴(kuò)展完全控制主動(dòng)權(quán)4、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)5、加密和數(shù)字簽名技術(shù)、身份認(rèn)證加密—應(yīng)用數(shù)學(xué)方法對(duì)數(shù)據(jù)進(jìn)行編碼，使其成為按常規(guī)無(wú)法理解的形式，只有用相應(yīng)的密鑰才能解密。數(shù)字簽名—使用數(shù)字摘要和非對(duì)稱加密技術(shù)，保證數(shù)據(jù)完整和真實(shí)，事后不可否認(rèn)。身份認(rèn)證—通過(guò)一個(gè)或多個(gè)參數(shù)的真實(shí)性與有效性來(lái)確定稱謂者。2024/4/64加密、數(shù)字簽名工作原理圖

Hash發(fā)送者發(fā)送者加密私鑰加密公鑰加密對(duì)比

Hash

加密

發(fā)送方接收方原信息摘要摘要數(shù)字簽名數(shù)字簽名原信息摘要2024/4/65四、網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

網(wǎng)絡(luò)安全的體系結(jié)構(gòu)按照網(wǎng)絡(luò)OSI的7層模型針對(duì)實(shí)際運(yùn)行的TCP/IP協(xié)議，貫徹于信息系統(tǒng)的5個(gè)層次，具體包括：1、物理層安全2、鏈路層安全3、網(wǎng)絡(luò)層安全4、會(huì)話層安全5、應(yīng)用層安全應(yīng)用層應(yīng)用平臺(tái)和系統(tǒng)安全會(huì)話層會(huì)話安全網(wǎng)絡(luò)層安全路由/訪問(wèn)機(jī)制鏈路層鏈路安全物理層網(wǎng)絡(luò)信息安全2024/4/66五、網(wǎng)絡(luò)安全的實(shí)現(xiàn)1、物理安全環(huán)境安全設(shè)備安全媒體安全2、系統(tǒng)安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)冗余、系統(tǒng)隔離、訪問(wèn)控制、身份鑒別、加密、安全監(jiān)測(cè)、網(wǎng)絡(luò)掃描。操作系統(tǒng)工程應(yīng)用安全、系統(tǒng)掃描。應(yīng)用系統(tǒng)3、信息安全交易安全數(shù)據(jù)安全2024/4/67第二節(jié)網(wǎng)絡(luò)操作系統(tǒng)安全一、Windows2000Server的安全1、用戶安全設(shè)置禁用Guest賬號(hào)、限制不必要用戶、創(chuàng)建兩個(gè)管理員賬號(hào)、把系統(tǒng)Administrator賬號(hào)改名、創(chuàng)建一個(gè)陷阱用戶、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶、開(kāi)啟用戶策略、不讓系統(tǒng)顯示上次登錄的用戶名。2、密碼安全設(shè)計(jì)使用安全密碼、設(shè)置屏幕保護(hù)密碼、開(kāi)啟密碼策略、考慮使用智能卡來(lái)代替密碼3、系統(tǒng)安全設(shè)置使用格式分區(qū)、運(yùn)行防毒軟件、到微軟網(wǎng)站下載最新的補(bǔ)丁程序、關(guān)閉默認(rèn)共享、鎖住注冊(cè)表、禁止用戶從軟盤和光驅(qū)啟動(dòng)系統(tǒng)、利用Windows2000的安全配置工具來(lái)配置安全策略。4、服務(wù)安全設(shè)置關(guān)閉不必要的端口、設(shè)置好安全記錄的訪問(wèn)權(quán)限、把敏感文件存放在另外的文件服務(wù)器中、禁止建立空連接。2024/4/68二、UNIX的安全1、物理安全2、邏輯安全防止未授權(quán)存取防止泄密防止用戶拒絕系統(tǒng)管理三、Linux系統(tǒng)的安全1、用戶賬號(hào)2、文件系統(tǒng)權(quán)限3、系統(tǒng)日志文件/var/log/lastlog文件/var/log/secure文件/var/log/wtmp文件2024/4/69第三節(jié)防火墻技術(shù)一、防火墻技術(shù)概述1、防火墻的定義2、防火墻的發(fā)展二、防火墻的功能1、防火墻是網(wǎng)絡(luò)安全的屏障2、防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略3、防火墻對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)4、防火墻防止內(nèi)部信息的外泄2024/4/610三、防火墻分類1、防火墻根據(jù)實(shí)現(xiàn)技術(shù)分類數(shù)據(jù)包過(guò)濾型防火墻應(yīng)用級(jí)網(wǎng)關(guān)型防火墻代理服務(wù)型防火墻復(fù)合型防火墻2、根據(jù)配置結(jié)構(gòu)分類屏蔽路由器雙重宿主主機(jī)屏蔽子網(wǎng)復(fù)合型四、防火墻的設(shè)計(jì)1、預(yù)算2、設(shè)備3、可用性4、可伸縮性5、所需功能6、系統(tǒng)攻擊和防御2024/4/611五、防火墻的產(chǎn)品選擇1、防火墻的功能指標(biāo)產(chǎn)品類型、LAN接口、支持最大的LAN接口數(shù)、服務(wù)器平臺(tái)、協(xié)議支持、建立LAN通道的協(xié)議、加密支持、認(rèn)證支持、訪問(wèn)控制、防御功能、安全特性、管理功能2、企業(yè)的特殊要求網(wǎng)絡(luò)地址轉(zhuǎn)換功能、雙重DNS、虛擬專用網(wǎng)絡(luò)、掃毒功能、特殊控制功能。3、與用戶網(wǎng)絡(luò)結(jié)合管理的難易度、自身的安全、完善的售后服務(wù)、完整的安全檢查、結(jié)合用戶情況。2024/4/612第四節(jié)虛擬專用網(wǎng)（VPN）技術(shù)一、VPN的概念二、VPN的工作原理三、VPN的主要功能1、加密數(shù)據(jù)，保證網(wǎng)傳信息安全。2、信息認(rèn)證和身份認(rèn)證，保證信息完整性、合法性，并能鑒別用戶的身份。3、提供訪問(wèn)控制，設(shè)置不同用戶訪問(wèn)權(quán)限。2024/4/613四、VPN的基本類型1、按接入方式劃分專線VPN撥號(hào)VPN2、按隧道協(xié)議所屬的層次劃分3、按VPN業(yè)務(wù)類型劃分IntranetVPNAccessVPNExtranetVPN4、按運(yùn)營(yíng)商所開(kāi)展的業(yè)務(wù)類型劃分五、VPN的基本技術(shù)1、隧道技術(shù)2、加密技術(shù)3、密鑰管理4、使用者與設(shè)備身份認(rèn)證技術(shù)2024/4/614第五節(jié)網(wǎng)絡(luò)入侵檢測(cè)一、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的概念二、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的功能三、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理1、信息收集系統(tǒng)和網(wǎng)絡(luò)日志文件目錄和文件中的不期望改變程序執(zhí)行中的不期望改變物理形式的入侵信息2、信號(hào)分析模式匹配統(tǒng)計(jì)分析完整性分析2024/4/615四、網(wǎng)絡(luò)入侵檢測(cè)的主要方法1、誤用檢測(cè)專家系統(tǒng)基于模型的入侵檢測(cè)方法簡(jiǎn)單模式匹配軟計(jì)算方法2、異常檢測(cè)五、網(wǎng)絡(luò)入侵檢測(cè)的實(shí)際步驟1、監(jiān)視、分析用戶及系統(tǒng)活動(dòng)2、系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)3、識(shí)別已進(jìn)攻的活動(dòng)并報(bào)警4、異常行為模式的統(tǒng)計(jì)分析5、評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性6、操作系統(tǒng)審計(jì)跟蹤，并識(shí)別用戶違反安全策略行為六、網(wǎng)絡(luò)入侵檢測(cè)工具介紹2024/4/616第六節(jié)常見(jiàn)的網(wǎng)絡(luò)攻擊與防范一、網(wǎng)絡(luò)攻擊概述1、網(wǎng)絡(luò)攻擊的步驟隱藏自己的位置、尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)、獲取賬號(hào)和密碼登錄主機(jī)、獲得控制權(quán)、竊取網(wǎng)絡(luò)資源和特權(quán)。2、網(wǎng)絡(luò)攻擊的方法口令入侵、放置特洛伊木馬程序、WWW欺騙技術(shù)、電子郵件攻擊、通過(guò)一個(gè)節(jié)點(diǎn)攻擊其他節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽(tīng)、利用黑客軟件攻擊、安全漏洞攻擊、端口掃描攻擊。3、網(wǎng)絡(luò)攻擊的應(yīng)對(duì)策略二、網(wǎng)絡(luò)監(jiān)聽(tīng)與防范1、網(wǎng)絡(luò)監(jiān)聽(tīng)概念2、網(wǎng)絡(luò)監(jiān)聽(tīng)原理3、監(jiān)測(cè)網(wǎng)絡(luò)監(jiān)聽(tīng)的方法4、常見(jiàn)的網(wǎng)絡(luò)監(jiān)聽(tīng)工具2024/4/617三、拒絕服務(wù)與防范1、拒絕服務(wù)2、分布式拒絕服務(wù)四、欺騙攻擊與防范1、欺騙攻擊的概念2、欺騙攻擊的危害3、欺騙攻擊的防范五、病毒與防范1、病毒的概念2、病毒的分類3、常見(jiàn)的病毒4、常見(jiàn)殺毒軟件5、病毒防范2024/4/618思考與練習(xí)題網(wǎng)絡(luò)安全技術(shù)有哪些，各種技術(shù)能解決什么問(wèn)題？防火墻技術(shù)和VPN技術(shù)有何不同？簡(jiǎn)述Windows2000Server的安全和系統(tǒng)UNIX/Linux的安全有何不同？上網(wǎng)查找當(dāng)前流行的，在較大范圍內(nèi)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)影響較大的病毒，簡(jiǎn)述其攻擊原理。上