1、網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn),第 1 章 網(wǎng)絡(luò)安全基礎(chǔ),1.1 引 言,網(wǎng)絡(luò)安全綜述 Network Security,2003年截至11月底，中國(guó)互聯(lián)網(wǎng)上網(wǎng)用戶數(shù)已超過(guò)7800萬(wàn)，居世界第二位。 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)與互聯(lián)網(wǎng)專業(yè)協(xié)會(huì)2007 2月6日聯(lián)合發(fā)表Internet Guide 2007 中國(guó)互聯(lián)網(wǎng)調(diào)查報(bào)告。調(diào)查顯示，內(nèi)地互聯(lián)網(wǎng)用戶去年已躍升至一億三千六百萬(wàn)，按年增幅近百分之二十三。 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)旗下DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心2008年1月9日發(fā)布的 中國(guó)互聯(lián)網(wǎng)調(diào)查報(bào)告顯示 ，2007年中國(guó)互聯(lián)網(wǎng)用戶規(guī)模達(dá)1.82億人。預(yù)計(jì)2008年中國(guó)互聯(lián)網(wǎng)用戶規(guī)模將達(dá)2.44億人。,網(wǎng)絡(luò)安全為什么重要？,網(wǎng)絡(luò)應(yīng)用

2、已滲透到現(xiàn)代社會(huì)生活的各個(gè)方面；電子商務(wù)、電子政務(wù)、電子銀行等無(wú)不關(guān)注網(wǎng)絡(luò)安全； 至今，網(wǎng)絡(luò)安全不僅成為商家關(guān)注的焦點(diǎn)，也是技術(shù)研究的熱門領(lǐng)域，同時(shí)也是國(guó)家和政府的行為。,2006年度中國(guó)被篡改網(wǎng)頁(yè)的網(wǎng)站,數(shù)據(jù),2006年10月，InformationWeek研究部和埃森哲咨詢公司全球安全調(diào)查，調(diào)查全面揭示了商業(yè)計(jì)算環(huán)境所面臨的各種威脅。在受訪者當(dāng)中，有57%的美國(guó)公司表示在過(guò)去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經(jīng)歷了拒絕服務(wù)攻擊。,網(wǎng)絡(luò)安全影響到國(guó)家的安全和主權(quán),海灣戰(zhàn)爭(zhēng)前，美國(guó)中央情報(bào)局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗(yàn)關(guān)之際換入伊拉克所購(gòu)的電腦打

3、印機(jī)中- 小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場(chǎng)戰(zhàn)爭(zhēng)的屈辱。,“每塊芯片都是一個(gè)武器， 就像插入敵人心臟的匕首。,第一次海灣戰(zhàn)爭(zhēng)期間，伊拉克從法國(guó)購(gòu)得一批網(wǎng)絡(luò)打印機(jī)，美國(guó)特工得知此事，將一塊固化病毒程序的芯片與某打印機(jī)中的芯片調(diào)了包，并且在空襲發(fā)起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計(jì)算機(jī)系統(tǒng)癱瘓，最后伊軍只有挨打的份 .,網(wǎng)絡(luò)安全影響到國(guó)家的安全和主權(quán),美國(guó)不但開發(fā)出芯片細(xì)菌這樣可怕的信息進(jìn)攻武器(可以毀壞計(jì)算機(jī)內(nèi)集成電路的生物)，通信技術(shù)更是日新月異，各種無(wú)線信號(hào)的截獲手段層出不窮，2000年歐盟的一份報(bào)告指出，美國(guó)國(guó)家安全局建立的一個(gè)代號(hào)梯隊(duì)的全球電子監(jiān)聽偵測(cè)網(wǎng)絡(luò)系統(tǒng)

4、一直在竊取世界各國(guó)的情報(bào)，該系統(tǒng)動(dòng)用了120顆衛(wèi)星，無(wú)論你使用的是電話，手機(jī)，傳真機(jī)或者計(jì)算機(jī)，只要你傳輸?shù)男畔⒗镉忻绹?guó)安全局感興趣的東西，就會(huì)被記錄在案。,網(wǎng)絡(luò)安全影響到國(guó)家的安全和主權(quán),據(jù)稱，在阿富汗戰(zhàn)爭(zhēng)中，本拉登就是一直不用手機(jī)，以此與美軍周旋。在此次對(duì)伊開戰(zhàn)的第一天的空襲中，就是因?yàn)樾l(wèi)星偵聽系統(tǒng)打聽到薩達(dá)姆可能停留的地點(diǎn)，所以才發(fā)動(dòng)如此突然的打擊。美國(guó)軍事分析人士近日就警告伊拉克的平民與記者們不要用衛(wèi)星電話，因?yàn)槊儡娹Z炸機(jī)是根據(jù)衛(wèi)星電話信號(hào)進(jìn)行跟蹤、定位以及投彈的。 因此，在新形式下，我國(guó)要想打贏一場(chǎng)高科技的局部戰(zhàn)爭(zhēng)，就必須先要接受信息安全提出的挑戰(zhàn)。,網(wǎng)絡(luò)安全的重要性,信息安全空間將

5、成為傳統(tǒng)的國(guó)界、領(lǐng)海、領(lǐng)空的三大國(guó)防和基于太空的第四國(guó)防之外的第五國(guó)防，稱為cyber-space。,典型的網(wǎng)絡(luò)安全事件,羅伯特莫里斯,1988年，莫里斯蠕蟲病毒震撼了整個(gè)世界。由原本寂寂無(wú)名的大學(xué)生羅伯特莫里斯（22歲）制造的這個(gè)蠕蟲病毒入侵了大約6000個(gè)大學(xué)和軍事機(jī)構(gòu)的計(jì)算機(jī)，使之癱瘓。此后，從CIH到美麗殺病毒，從尼姆達(dá)到紅色代碼，病毒、蠕蟲的發(fā)展愈演愈烈。,凱文米特尼克,凱文米特尼克是美國(guó)20世紀(jì)最著名的黑客之一，他是社會(huì)工程學(xué)的創(chuàng)始人 1979年（15歲）他和他的伙伴侵入了“北美空中防務(wù)指揮系統(tǒng)”，翻閱了美國(guó)所有的核彈頭資料，令大人不可置信。 不久破譯了美國(guó)“太平洋電話公司”某地的

6、改戶密碼，隨意更改用戶的電話號(hào)碼。,1.2 網(wǎng)絡(luò)安全概念,網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 從內(nèi)容上看，網(wǎng)絡(luò)安全大致包括以下4個(gè)方面的內(nèi)容。, 網(wǎng)絡(luò)實(shí)體安全如計(jì)算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置。 軟件安全如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，軟件不被非法篡改，不受病毒侵害等。 數(shù)據(jù)安全保護(hù)數(shù)據(jù)不被非法存取，確保其完整性、一致性、機(jī)密性等。, 安全管理運(yùn)行時(shí)突發(fā)事件的安全處理等，包括采取計(jì)算機(jī)安全技術(shù)、建立安全制度、進(jìn)行風(fēng)險(xiǎn)分析等。 從特征上看，網(wǎng)絡(luò)安全包括5個(gè)基本要素。 機(jī)密性確

7、保信息不泄露給非授權(quán)的用戶、實(shí)體。, 完整性信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。 可用性得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。, 可控性對(duì)信息的傳播及內(nèi)容具有控制能力。 可審查性對(duì)出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。,1.2.1 安全模型 圖1.1所示為網(wǎng)絡(luò)安全的基本模型。,1.2.1 安全模型,圖1.1 網(wǎng)絡(luò)安全的基本模型,目前萬(wàn)維網(wǎng)（WWW）的安全模型。,圖1.2 網(wǎng)絡(luò)安全訪問模型,1.2.2 安全體系 1安全體系,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全空間,網(wǎng)絡(luò)安全三維模型,鑒別服務(wù) 訪問控制服務(wù) 數(shù)據(jù)完整性服務(wù) 數(shù)據(jù)保密服務(wù) 抗抵賴性服務(wù),2.安全服

8、務(wù) ISO安全體系結(jié)構(gòu)定義了5種類型的安全服務(wù)。,3安全機(jī)制 加密機(jī)制。 數(shù)字簽名機(jī)制。 訪問控制機(jī)制。 數(shù)據(jù)完整性機(jī)制。, 認(rèn)證（鑒別）機(jī)制。 通信業(yè)務(wù)填充機(jī)制。 路由選擇控制機(jī)制。 公證機(jī)制。,表1.1因特網(wǎng)安全體系結(jié)構(gòu),表1.2 TCP/IP各層與ISO/OSI安全服務(wù)的對(duì)應(yīng)關(guān)系,1.2.3 安全標(biāo)準(zhǔn) 有OSI安全體系技術(shù)標(biāo)準(zhǔn)、可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則（TCSEC）和我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)安全等級(jí)標(biāo)準(zhǔn)。,表1.3 TCSEC安全等級(jí),續(xù)表,續(xù)表,計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 自主保護(hù)級(jí)。 系統(tǒng)審計(jì)保護(hù)級(jí)。 安全標(biāo)記保護(hù)級(jí)。 結(jié)構(gòu)化保護(hù)級(jí)。 訪問驗(yàn)證保護(hù)級(jí)。,1.2.4 安全目標(biāo) 安全保護(hù)

9、能力 隱患發(fā)現(xiàn)能力 應(yīng)急反應(yīng)能力 信息對(duì)抗能力,1.3 常見的安全威脅與攻擊,1.3.1 網(wǎng)絡(luò)系統(tǒng)自身的脆弱性 1硬件系統(tǒng) 2軟件系統(tǒng),“INTERNET的美妙之處在于你和每個(gè)人都能互相連接, INTERNET的可怕之處在于每個(gè)人都能和你互相連接 ”,3網(wǎng)絡(luò)和通信協(xié)議 缺乏用戶身份鑒別機(jī)制 缺乏路由協(xié)議鑒別機(jī)制 缺乏保密性 TCP/UDP的缺陷 TCP/IP服務(wù)的脆弱性,1.3.2 網(wǎng)絡(luò)面臨的安全威脅 非授權(quán)訪問 信息泄漏或丟失 破壞數(shù)據(jù)完整性 拒絕服務(wù)攻擊 利用網(wǎng)絡(luò)傳播病毒,信息安全面臨的威脅類型,病毒,蠕蟲,后門,拒絕服務(wù),內(nèi)部人員 誤操作,非授權(quán)訪問,暴力猜解,物理威脅,系統(tǒng)漏洞利用,嗅

10、探,1.3.3 威脅和攻擊的來(lái)源 內(nèi)部操作不當(dāng) 內(nèi)部管理漏洞 來(lái)自外部的威脅和犯罪,（1）黑客攻擊 （2）計(jì)算機(jī)病毒 （3）拒絕服務(wù)攻擊,常見的攻擊方式,病毒virus （ 蠕蟲Worm） 木馬程序Trojan 拒絕服務(wù)和分布式拒絕服務(wù)攻擊 Dos&DDos 欺騙：IP spoofing, Packet modification；ARP spoofing, 郵件炸彈 Mail bombing 口令破解 Password crack 社會(huì)工程 Social Engineering,攻擊的工具,標(biāo)準(zhǔn)的TCP/IP工具 (ping, telnet) 端口掃描和漏洞掃描 (ISS-Safesuit,

11、Nmap, protscanner) 網(wǎng)絡(luò)包分析儀 (sniffer, network monitor) 口令破解工具 (lc5, fakegina) 木馬 (BO2k, 冰河, ),常用的安全防護(hù)措施防火墻,2.2 入侵檢測(cè)系統(tǒng),Firewall,Servers,DMZ(隔離區(qū)),Intranet,監(jiān)控中心,router,攻擊者,報(bào)警,報(bào)警,2.3 漏洞掃描系統(tǒng),地方網(wǎng)管,監(jiān)控中心,地方網(wǎng)管,地方網(wǎng)管,市場(chǎng)部,工程部,router,開發(fā)部,Servers,Firewall,漏洞掃描產(chǎn)品應(yīng)用,1.4 網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢(shì), 信息與網(wǎng)絡(luò)安全的防護(hù)能力弱，信息安全意識(shí)低。 基礎(chǔ)信息產(chǎn)業(yè)薄弱，核

12、心技術(shù)嚴(yán)重依賴國(guó)外，缺乏自主知識(shí)產(chǎn)權(quán)產(chǎn)品。, 信息犯罪在我國(guó)有快速發(fā)展蔓延的趨勢(shì)。 我國(guó)信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足要求。,當(dāng)前網(wǎng)絡(luò)安全發(fā)展趨勢(shì)在于針對(duì)系統(tǒng)漏洞問題、黑客攻擊與病毒以及竊取數(shù)據(jù)等威脅采取不同的防護(hù)和解決方法。,職業(yè)道德,作為一個(gè)公民的社會(huì)道德 作為一個(gè)員工的職業(yè)道德 作為一個(gè)網(wǎng)絡(luò)管理員的職業(yè)道德,資源列表, 安全焦點(diǎn) 紅客聯(lián)盟 黑客X檔案 黑客防線 中國(guó)黑客聯(lián)盟,實(shí)驗(yàn) 常用網(wǎng)絡(luò)命令,系統(tǒng)版本查看命令,檢測(cè)網(wǎng)絡(luò)連接性、可到達(dá)性和名稱解析的命令,如果不帶參數(shù)，ping 將顯示幫助,ping -l 327

13、68 -n 10 88,格式：ping 對(duì)方地址 只顯示與遠(yuǎn)程計(jì)算機(jī)或本地計(jì)算機(jī)的連接情況，默認(rèn)發(fā)送4個(gè)報(bào)文。 參數(shù) -t 指定在中斷前 ping 可以持續(xù)發(fā)送回響請(qǐng)求信息到目的地。要中斷并顯示統(tǒng)計(jì)信息，請(qǐng)按 CTRL-BREAK。要中斷并退出 ping，請(qǐng)按 CTRL-C。 參數(shù) -n Count 指定發(fā)送回響請(qǐng)求消息的次數(shù)。默認(rèn)值為 4 。,顯示所有當(dāng)前的 TCP/IP 網(wǎng)絡(luò)配置值的命令,ipconfig /all /renew adapter /release adapter 參數(shù) /all 產(chǎn)生完整顯示。在沒有該開關(guān)的情況下 ipconfig 只顯示 IP 地址、

14、子網(wǎng)掩碼和每個(gè)網(wǎng)卡的默認(rèn)網(wǎng)關(guān)值。 /renew adapter 更新 DHCP 配置參數(shù)。該選項(xiàng)只在運(yùn)行 DHCP 客戶端服務(wù)的系統(tǒng)上可用。要指定適配器名稱，請(qǐng)鍵入使用不帶參數(shù)的 ipconfig 命令顯示的適配器名稱。 /release adapter 發(fā)布當(dāng)前的 DHCP 配置。該選項(xiàng)禁用本地系統(tǒng)上的 TCP/IP，并只在 DHCP 客戶端上可用。要指定適配器名稱，請(qǐng)鍵入使用不帶參數(shù)的 ipconfig 命令顯示的適配器名稱。 如果沒有參數(shù)，那么 ipconfig 實(shí)用程序?qū)⑾蛴脩籼峁┧挟?dāng)前的 TCP/IP 配置值，包括 IP 地址和子網(wǎng)掩碼。,TRACERT命令及用法,Tracert（跟蹤路由）是路由跟蹤