单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,教学内容：,1、掌握网络平安的根本概念；,2、理解网络平安防护技术的根本原理；,3、掌握网络平安防范方案的制定与实施。,教学重点：网络平安防范方案的制定与实施,教学难点：网络平安防范方案的制定与实施,第17节 网络平安技术,1 网络平安概述,一般来说，网络信息平安是指网络系统的硬件、软件以及数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，系统可连续、正常、可靠地运行，网络效劳不中断。,从广义上来说，但凡涉及到网络上信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)、真实性(Authenticity)和不可抵赖性(non-repudiation)的相关理论、技术、方法以及法律法规都是信息网络平安研究的对象。,1平安体系结构,ISO发布的国际标准ISO 7498-2-1989，我国相应的国家标准为GB/T 9387.21995，该标准定义了5种平安效劳：,鉴别身份验证：提供对通信中的对等实体和数据来源确实认，包括对等实体鉴别与数据原发鉴别。,访问控制：对OSI资源、非OSI资源的各种不同类型的访问或应用的非授权使用提供保护。,数据机密性：对数据提供保护使之不被非授权地泄露，包括连接机密性、无连接机密性、选择字段机密性与通信业务流机密性。,数据完整性：通过检验来维护数据的一致性，包括带恢复的连接完整性、不带恢复的连接完整性、选择字段的连接完整性、无连接完整性和选择字段无连接完整性。,抗抵赖性抗否认：提供数据来源和数据交付证据，包括有数据原发证明的抗抵赖和有交付证明的抗抵赖。,2可信计算机评估标准,美国国防部公布的?可信计算机系统评估准那么?TCSEC(Trusted Computer System Evaluation Criteria)将计算机系统的平安可信度从低到高分为四类七个级别，该标准已成为事实上的国际标准。,D级(最小保护)：除物理上的平安设施外没有任何平安措施，任何人只要启动系统就可以访问系统的资源和数据。,C1级(选择的平安保护)：具有自主访问控制机制，用户登录时需要进行身份鉴别。,C2级(访问控制保护)：具有审计和验证机制，Unix和Windows等系统大多具有此类的平安设施。,B1级(强制平安保护)：引入强制访问控制机制，能够对主体和客体的平安标记进行管理。,B2级结构化平安保护：具有形式化的平安模型，着重强调实际评价的手段，能够对隐通道进行限制。,B3级平安域机制：具有硬件支持的平安域别离措施，从而保证平安域中软件和硬件的完整性，提供可信通道。对时间隐通道的限制。,A1级可验证的平安设计：要求对平安模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。,3网络平安现状,计算机病毒泛滥,自1983年美国计算机平安专家考因在实验室中编写出第一个计算机病毒以来，病毒就成为所有计算机用户的一个梦魇，也是当前信息网络平安最直接的威胁。,病毒数量爆发式增长。根据瑞星公司的报告显示，2005年同期为26927个，2006年同期为119402个，2007年截获病毒样本数高达917839个。,病毒传播速度加快。20世纪90年代，一个计算机病毒需要三年时间才能传染全球，而借助现今的信息网络那么仅仅需要几分钟。,病毒危害方式日趋严重。病毒从最初的抢占系统资源，已经开展为不仅破坏软件和数据，甚至可以直接破坏系统硬件。,造成的损失巨大。2000年5月3日至4日，全球数百万台计算机被“爱虫病毒感染，短短两天就造成经济损失20多亿美元，成为有史以来破坏力最强的计算机病毒事件。,3网络平安现状,黑客恣意横行,最初的黑客仅仅利用自身掌握的技术发现并利用系统的漏洞入侵目标系统来显示自己的技术实力，如今已有黑客大摇大摆地走向前台，公开以黑客技术实施敲诈勒索。,根据我国公安部门的统计，1997年我国发生与黑客有关的网络犯罪20起，1998年142起，1999年908起，2000年超过3000多起，之后已无法统计。2007年瑞星截获病毒样本917839个，其中木马和后门病毒约77万。由于网络犯罪的高技术性和隐蔽性，实际破案率还不到1%。,3网络平安现状,恶意软件明火执仗,越来越多的正规厂商受利益驱使，大量制作并发布介于正规软件和病毒软件之间的恶意软件，通常这些软件都带有明显的木马特征，与病毒之间的界限已经越来越模糊。,根据瑞星公司?中国大陆地区2006年上半年电脑病毒疫情&互联网平安报告?显示，2006年上半年恶意软件侵害用户的数量历史上第一次超过病毒，网页挂马木马病毒、钓鱼网站、流氓网站等成为新的最大威胁来源。,3网络平安现状,立法滞后与管理体制不健全,制裁传统犯罪的法律、法规并不完全适用于信息网络犯罪，针对信息网络犯罪的研究和立法又严重滞后，存在许多空白点，很难对信息网络犯罪的电子证据进行收集和认证，致使信息网络空间的无政府状态日益加剧，信息网络犯罪呈泛滥之势，但真正被送上审判席的罪犯却少之又少。,当前众多的信息网络管理者和使用者普遍存在重技术轻管理的思想，在管理制度、工作流程及人员管理方面存在较多平安漏洞，平安意识淡薄，责权不明、管理混乱、平安管理制度流于形式，为网络攻击大开方便之门。据统计，约80%的网络攻击事件源自于管理上的漏洞！,2 网络平安防护技术,1计算机病毒的防范,严格遵守各单位制定的计算机病毒防治管理制度，使用单位统一安装的杀毒软件，及时升级杀毒软件、操作系统和各种应用软件补丁；,关闭电脑上不用的端口；,确保共享资源不带病毒；,禁止在计算机上使用来路不明的光盘，不在可疑电脑上使用自己的U盘，不在自己的电脑上使用可疑的U盘，不翻开来历不明的邮件及附件，不下载或安装来历不明的软件；,将浏览器的平安级别设为中级以上，不浏览黄色网站，不翻开可疑的网页，不用网络就关闭网络连接，不用电脑就关闭电脑；,经常、及时做好重要信息的备份工作；,发现电脑感染病毒后应采取的措施：,马上断开网络连接拔掉网线也可以；,调出任务管理器，观察并记录可疑的进程名；,重新启动计算机,进入平安模式；,翻开防病毒软件，扫描整个系统；,删除注册表启动项中所有可疑的键值；,删除可疑文件。,2网络黑客的防范,社会工程学的防范,社会工程学Social Engineering是指通过对受害者心理弱点、本能反响、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。社会工程学在IT领域被定义为一种说服人的技巧，在网络平安领域被称为欺骗的艺术。,对社会工程学的防范，要求网络用户要保持一颗平常心，不要相信运气，万事谨慎小心，坚决抵抗不良诱惑。,2网络黑客的防范,网络侦听的防范,局域网通信协议为播送方式，如果主机的网卡被设为“混杂 模式，那么就可以接收所有的数据包，而不理会数据包地址是否与本机地址相同，这就称为sniffing。由于在局域网中，帐号和口令信息以明文方式传输，如果网络中的主机网卡置于混杂模式即可接受所有网络数据。,对网络侦听的防范，要求网络用户不要远程登陆管理帐户，对传输的机密信息进行加密后再传输。,2网络黑客的防范,网络平安扫描的防范,平安扫描技术主要分为两类：网络平安扫描技术和主机平安扫描技术。,网络平安扫描技术是采用积极的、非破坏性的方法来检验系统平安性的方法，是指使用一系列的模拟脚本远程检测目标网络或本地主机的平安弱点。网络平安扫描能够发现效劳器端口分配、开放的效劳、有背平安规那么的设置以及系统在Internet上呈现的平安漏洞。常见的网络平安扫描技术包括Ping扫射、操作系统探测、访问控制规那么探测、端口扫描以及漏洞扫描等。,主机平安扫描是指通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反响，从而发现系统漏洞的方法。,对网络平安扫描的防范采用在时间上先于黑客的策略，即安装完系统后，用户马上使用扫描工具对自己的系统进行平安扫描，然后采取有针对性地措施堵住系统的漏洞，做到防患于未然。,2网络黑客的防范,网络入侵的防范,网络入侵的目的是非授权获得目标主机的管理员权限，常用的方法有社会工程学、网络侦听、网络扫描、暴力破解等方法。,只要设置一个健壮的密码长度够长、满足复杂性要求，与敏感信息无关，及时打上系统漏洞补丁即可有效地防范网络入侵。,2网络黑客的防范,网络后门的防范,网络后门是指通过非正常方式登陆效劳器的途径。,Windows的RPC允许远程终端通过3389端口使用远程桌面连接工具mstsc.exe或Web方式登陆效劳器。,只要关闭远程登录效劳即可预防。,网络木马是一种C/S软件，多数木马都会把自身复制到系统目录下并参加注册表的启动项中，中了木马的效劳器自动开启守护进程监听默认端口的连接请求供攻击者连接，攻击者可以使用客户端远程控制效劳器。,木马通常隐藏在Win.ini、System.ini、Autoexec.bat、Congfig.sys、Winstart.bat、Wininit.ini、启动组以及注册表等地方，只要仔细查找，不难查杀木马。也可以使用The Cleaner、木马克星、LockDown2000、PestPatrol等工具软件查杀木马。,克隆帐号是通过windows注册表使用两处保存系统帐号的漏洞，登陆时用的是后者，查询时用前者。,在命令行下使用“net user查看计算机上的用户，然后再使用“net user用户名查看用户的权限，如果发现属于administrators组的普通用户，可以肯定是克隆管理员，使用“net user用户名/del删掉。,3恶意软件的防范,恶意软件Malware是指在未明确提示用户或未经用户许可的情况下，在用户计算机或终端上安装运行侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。,可以借助工具软件防范恶意软件：瑞星卡卡上网平安助手3.0、Windows 流氓软件清理大师、超级兔子优化王之专业卸载流氓软件 7.55 免安装版、360平安卫士、恶意软件清理助手等。,推荐防御策略：因为是商业公司在传播流氓软件，反病毒厂商通常不会在自己的商业软件中直接去除这些流氓软件，以防止法律纠纷。但流氓软件公司对没有版权信息的工具软件却无可奈何，推荐大家使用瑞星卡卡和恶意软件清理助手把自己的电脑清扫干净，并安装流氓软件免疫器，永久防止流氓软件的骚扰。,4防火墙技术,防火墙FireWall是指位于两个信任程度不同的网络之间，对两个网络之间的通信强制实施统一的平安策略，以到达保护系统平安的目的，防止对重要信息资源的非法存取和访问的软件或硬件设备的组合。根据防火墙所采用的技术不同,可以分为包过滤型、网络地址转换NAT、代理型和监测型四种根本类型。,防火墙是网络上使用最多的平安设备，是网络平安的重要基石。但要认识到防火墙的局限性和脆弱性。,防火墙不能防范不经过防火墙的攻击；,防火墙不能解决来自内部网络的攻击和平安问题；,防火墙是个被动的平安策略执行设备，不能防止策略配置不当或错误配置引起的平安威胁；,防火墙不能防止可接触的人为或自然的破坏；,防火墙不能防止利用标准网络协议中的缺陷进行的攻击；,防火墙不能防止利用效劳器系统漏洞所进行的攻击；,防火墙不能防止受病毒感染的文件的传输；,防火墙不能防止数据驱动式的攻击；,防火墙不能防止本身的平安漏洞的威胁。,5入侵检测技术,入侵检测系统Intrusion Detection Systems IDS就是依照一定的平安策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性的软件与硬件的组合。,IDS的核心功能就是对各种事件进行收集和分析，并从中发现违反平安策略的行为。入侵检测技术主要分为基于标志signature-based和基于异常情况anomaly-based的检测。,对IDS的部署的唯一要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。,3 网络平安防