第1章-网络安全概述ppt课件.ppt

《第1章-网络安全概述ppt课件.ppt》由会员分享，可在线阅读，更多相关《第1章-网络安全概述ppt课件.ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、课程安排建议课程安排建议 1.2 1.2 网络安全的威胁网络安全的威胁及隐患及隐患 2 1.3 1.3 网络安全技术概述网络安全技术概述3 1.4 1.4 网络安全技术研究现状及趋势网络安全技术研究现状及趋势4 1.1 1.1 网络安全的概念及内容网络安全的概念及内容1 * *1.5 1.5 物理安全与隔离技术物理安全与隔离技术 5 * *1.6 1.6 构建虚拟局域网实验构建虚拟局域网实验6 * *1.7 1.7 本章小结本章小结71.1网络安全概念及内容网络安全概念及内容 全球重大数据泄露事件频发，针对性攻击持续增多。全球重大数据泄露事件频发，针对性攻击持续增多。根据赛门铁克根据赛门铁克2

2、013年年10月的月的安全分析报告安全分析报告，发现全球，发现全球近几年最严重的一起重大数据泄露事件，已造成近几年最严重的一起重大数据泄露事件，已造成1.5亿用户亿用户的个人资料被泄露，到目前为止所知的数据泄露事件中，被的个人资料被泄露，到目前为止所知的数据泄露事件中，被泄露最多的信息为用户的真实姓名、证件账号泄露最多的信息为用户的真实姓名、证件账号(如社会保险如社会保险卡卡号卡卡号)和出生日期等重要信息，而且各种有针对性的攻击和出生日期等重要信息，而且各种有针对性的攻击也持续增多。也持续增多。1.1.1 1.1.1 网络安全的概念及目标网络安全的概念及目标 案例案例1-11-1n 1. 1.

3、 信息安全与网络安全的概念信息安全与网络安全的概念n 国际标准化组织国际标准化组织（ISOISO）对）对定义定义是：为数据处理系统是：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。 我国我国计算机信息系统安全保护条例计算机信息系统安全保护条例将将信息安全信息安全为：为：计算机信息系统的安全保护，应当保障计算机及其计算机信息系统的安全保护，应当保障计算机及其相关的配套设备、设施（含网络）的安全，运行环境的安相关的配套设备、

4、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统安全运行。护计算机信息系统安全运行。主要防止主要防止被非授权泄露、被非授权泄露、更改、破坏或使更改、破坏或使信息信息被非法的系统辨识与控制，确保被非法的系统辨识与控制，确保信息信息的完整性、保密性、可用性和可控性。的完整性、保密性、可用性和可控性。主要涉及主要涉及物理（实物理（实体）安全、运行（系统）安全与体）安全、运行（系统）安全与安全安全三个层三个层面面，如图，如图1-1所示。所示。 1.1网络安全概念及内容网络安全概念及内容图1-1 一种信

5、息安全的层次模型 1.1.1 1.1.1 网络安全的概念及目标网络安全的概念及目标 计算机网络安全计算机网络安全（Computer Network Security）简称）简称网络网络安全安全，是指利用计算机网络技术、管理、控制和措施，保证网络，是指利用计算机网络技术、管理、控制和措施，保证网络系统及数据（信息）的保密性、完整性、网络服务可用性、可控系统及数据（信息）的保密性、完整性、网络服务可用性、可控性和可审查性受到保护。即保证网络系统的硬件、软件及系统中性和可审查性受到保护。即保证网络系统的硬件、软件及系统中的数据资源得到完整、准确、连续运行与服务不受干扰破坏和非的数据资源得到完整、准确

6、、连续运行与服务不受干扰破坏和非授权使用。授权使用。狭义上狭义上，网络安全是指计算机及其网络系统资源和数，网络安全是指计算机及其网络系统资源和数据（信息）资源不受有害因素的威胁和危害。据（信息）资源不受有害因素的威胁和危害。广义上广义上，凡是涉及，凡是涉及到计算机网络信息安全属性特征（保密性、完整性、可用性、可到计算机网络信息安全属性特征（保密性、完整性、可用性、可控性、可审查性）的相关知识、技术、管理、理论和方法等，都控性、可审查性）的相关知识、技术、管理、理论和方法等，都是网络安全的研究领域。是网络安全的研究领域。1.1网络安全概念及内容网络安全概念及内容1.1.1 1.1.1 网络安全的

7、概念及目标网络安全的概念及目标2. 网络安全的目标及特征网络安全的目标及特征 网络安全问题网络安全问题包括两方面的内容，一是网络的系统安全，包括两方面的内容，一是网络的系统安全，二是网络的信息（数据）安全，而网络安全的二是网络的信息（数据）安全，而网络安全的是保护网络的信息（数据）安全。是保护网络的信息（数据）安全。 网络安全的目标网络安全的目标是指计算机网络在信息的采集、存储、处是指计算机网络在信息的采集、存储、处理与传输的整个过程中，根据安全需求，达到相应的物理上及理与传输的整个过程中，根据安全需求，达到相应的物理上及逻辑上的安全防护、监控、反应恢复和对抗的能力。逻辑上的安全防护、监控、反

8、应恢复和对抗的能力。网络安全网络安全的最终目标的最终目标就是通过各种技术与管理手段，实现网络信息系统就是通过各种技术与管理手段，实现网络信息系统的保密性、完整性、可用性、可控性和可审查性。其中保密性、的保密性、完整性、可用性、可控性和可审查性。其中保密性、完整性、可用性是网络安全的基本要求。完整性、可用性是网络安全的基本要求。网络信息安全网络信息安全, 反映了网络安全的反映了网络安全的特征和目标要求特征和目标要求，如图，如图1-2所示。所示。1.1网络安全概念及内容网络安全概念及内容1.1.1 1.1.1 网络安全的概念及目标网络安全的概念及目标图图1-2 网络安全特征及目标网络安全特征及目标

9、（1）保密性）保密性（2）完整性）完整性（3）可用性）可用性（4）可控性）可控性（5）可审查性）可审查性 1.1.2 1.1.2 网络安全涉及的内容及侧重点网络安全涉及的内容及侧重点 1网络安全涉及的主要内容网络安全涉及的主要内容 从网络安全技术及应用相关的内容方面，从网络安全技术及应用相关的内容方面，涉及涉及的内容的内容包括：包括：操作系统安全、数据库安全、网络站点安全、操作系统安全、数据库安全、网络站点安全、病毒与防护、访问控制、加密与鉴别病毒与防护、访问控制、加密与鉴别等几个方面，具体内容等几个方面，具体内容将在以后分别进行具体详实的介绍。将在以后分别进行具体详实的介绍。从层次结构上从层

10、次结构上，也可以，也可以将将所所涉及的内容涉及的内容概括为概括为：物理安全、运行安全、系：物理安全、运行安全、系统安全、应用安全和管理安全五个方面。统安全、应用安全和管理安全五个方面。（1）物理安全）物理安全（2）运行安全）运行安全（3）系统安全）系统安全（4）应用安全）应用安全（5）管理安全）管理安全图图1-3 网络安全所涉及的内容网络安全所涉及的内容 1.1网络安全概念及内容网络安全概念及内容 从从体系结构体系结构方面，网络信息安全的方面，网络信息安全的主要内容及其相互关主要内容及其相互关系系，如图，如图1-4所示。所示。 从网络安全从网络安全攻防体系攻防体系方面，可以将方面，可以将网络安

11、全研究的主要网络安全研究的主要内容内容概括成概括成两个体系两个体系：攻击技术和防御技术。该体系研究内：攻击技术和防御技术。该体系研究内容以后将陆续介绍，如图容以后将陆续介绍，如图1-5所示。所示。 1.1.2 1.1.2 网络安全涉及的内容及侧重点网络安全涉及的内容及侧重点 图图1-4 网络信息安全的内容及关系网络信息安全的内容及关系 图图1-5网络安全攻防体系网络安全攻防体系1.1网络安全概念及内容网络安全概念及内容2网络安全保护范畴及重点网络安全保护范畴及重点 实际上，实际上，网络安全涉及的内容网络安全涉及的内容对不同人员、机构或部门对不同人员、机构或部门各有各有：（1）网络安全研究人员）

12、网络安全研究人员（2）网络安全工程师）网络安全工程师（3）网络安全评估人员）网络安全评估人员（4）网络安全管理员或主管）网络安全管理员或主管 （5）安全保密监察人员）安全保密监察人员（6）军事国防相关人员）军事国防相关人员 1.1.2 1.1.2 网络安全涉及的内容及侧重点网络安全涉及的内容及侧重点 1.1网络安全概念及内容网络安全概念及内容（1）什么是信息安全？网络安全？网络安全目标是什么？）什么是信息安全？网络安全？网络安全目标是什么？（2）网络安全所研究的主要内容是什么？）网络安全所研究的主要内容是什么？ （3）网络安全与信息安全相关内容及其关系如何？）网络安全与信息安全相关内容及其关系

13、如何？1.2 网络安全的威胁及隐患网络安全的威胁及隐患 我国网络遭受攻击近况我国网络遭受攻击近况。据国家互联网应急中心。据国家互联网应急中心CNCERT监测和国家信息安全漏洞共享平台监测和国家信息安全漏洞共享平台CNVD发布的数据，发布的数据，2014年年2月月10日至日至16日一周境内日一周境内被篡改网站数量被篡改网站数量为为8965个，比上个，比上周增长周增长79.7%；境内；境内被植入后门的网站数量被植入后门的网站数量为为1168个；个；针对境内针对境内网站的仿冒页面数量网站的仿冒页面数量为为181个。其中，个。其中，政府网站被篡改政府网站被篡改418个、个、植植入后门入后门的的35个。

14、个。感染网络病毒的主机数量感染网络病毒的主机数量约为约为69万个，万个，新增信息新增信息安全漏洞安全漏洞280个。个。 另据国家互联网应急中心另据国家互联网应急中心(CNCERT)的数据显示，中国遭受的数据显示，中国遭受境外网络攻击的情况日趋严重。境外网络攻击的情况日趋严重。CNCERT抽样监测发现抽样监测发现，2013年年1月月1日至日至2月月28日，境外日，境外6747台木马或僵尸网络控制服务器控制台木马或僵尸网络控制服务器控制了中国境内了中国境内190万余台主机；其中位于美国的万余台主机；其中位于美国的2194台控制服务器台控制服务器控制了中国境内控制了中国境内128.7万台主机，无论是

15、按照控制服务器数量还是万台主机，无论是按照控制服务器数量还是按照控制中国主机数量排名，美国都名列第一按照控制中国主机数量排名，美国都名列第一 案例案例1-21-21.2.1 1.2.1 国内外网络安全的现状国内外网络安全的现状 1.2 网络安全的威胁及隐患网络安全的威胁及隐患 国内外国内外网络安全威胁的现状及主要因由网络安全威胁的现状及主要因由，主要涉及，主要涉及以下以下5个方面：个方面： （1）法律法规和管理不完善）法律法规和管理不完善 （2）企业和政府的侧重点不一致）企业和政府的侧重点不一致 （3）网络安全规范和标准不统一）网络安全规范和标准不统一 （4）网络安全技术和手段滞后）网络安全技

16、术和手段滞后 （5）网络安全风险和隐患增强）网络安全风险和隐患增强 注意注意：计算机病毒防范技术、网络防火墙技术和计算机病毒防范技术、网络防火墙技术和入侵检测技术，常被称为入侵检测技术，常被称为网络安全技术的三大主流网络安全技术的三大主流。1.2.1 1.2.1 国内外网络安全的现状国内外网络安全的现状 1.2.2 1.2.2 网络安全威胁类型及途径网络安全威胁类型及途径 表表1-1 1-1 网络安全的主要威胁种类网络安全的主要威胁种类 1.2 网络安全的威胁及隐患网络安全的威胁及隐患 威胁类型威胁类型主主 要要 威威 胁胁 非授权访问非授权访问通过口令、密码和系统漏洞等手段获取系统访问权通过

17、口令、密码和系统漏洞等手段获取系统访问权 截获截获/窃听窃听数据在网络系统传输中被截获、窃听数据在网络系统传输中被截获、窃听信息信息 伪造信息伪造信息将伪造的信息发送给他人将伪造的信息发送给他人 篡改篡改/修改修改对合法用户之间的通信信息篡改对合法用户之间的通信信息篡改/替换替换/删除、或破坏删除、或破坏 窃取资源窃取资源盗取系统重要的软件或硬件、信息和资料盗取系统重要的软件或硬件、信息和资料病毒木马病毒木马利用计算机木马病毒及恶意软件进行破坏或恶意控制他人系统利用计算机木马病毒及恶意软件进行破坏或恶意控制他人系统 讹传信息讹传信息攻击者获得某些非正常信息后，发送给他人攻击者获得某些非正常信息

18、后，发送给他人 行为否认行为否认通信实体否认已经发生的行为通信实体否认已经发生的行为 旁路控制旁路控制利用系统的缺陷或安全脆弱性的非正常控制利用系统的缺陷或安全脆弱性的非正常控制信息战信息战为国家或集团利益，通过信息战进行网络干扰破坏或恐怖袭击为国家或集团利益，通过信息战进行网络干扰破坏或恐怖袭击 人为疏忽人为疏忽已授权人为了利益或由于疏忽将信息泄漏给未授权人已授权人为了利益或由于疏忽将信息泄漏给未授权人信息泄露信息泄露信息被泄露或暴露给非授权用户信息被泄露或暴露给非授权用户物理破坏物理破坏通过计算机及其网络或部件进行破坏，或绕过物理控制非法访问通过计算机及其网络或部件进行破坏，或绕过物理控制

19、非法访问拒绝服务攻击拒绝服务攻击攻击者以某种方式使系统响应减慢甚至瘫痪，阻止用户获得服务攻击者以某种方式使系统响应减慢甚至瘫痪，阻止用户获得服务服务欺骗服务欺骗欺骗合法用户或系统，骗取他人信任以便谋取私利欺骗合法用户或系统，骗取他人信任以便谋取私利冒名顶替冒名顶替假冒他人或系统用户进行活动假冒他人或系统用户进行活动资源耗尽资源耗尽故意超负荷使用某一资源，导致其他用户服务中断故意超负荷使用某一资源，导致其他用户服务中断重发信息重发信息重发某次截获的备份合法数据，达到信任并非法侵权目的重发某次截获的备份合法数据，达到信任并非法侵权目的设置陷阱设置陷阱违反安全策略，设置陷阱违反安全策略，设置陷阱“机

20、关机关”系统或部件，骗取特定数据系统或部件，骗取特定数据媒体废弃物媒体废弃物利用媒体废弃物得到可利用信息，以便非法使用利用媒体废弃物得到可利用信息，以便非法使用其他威胁其他威胁上述之外的其他各种攻击或威胁上述之外的其他各种攻击或威胁包括：电子商务、网上银行、股票证券、网游、包括：电子商务、网上银行、股票证券、网游、下载软件或流媒体等都下载软件或流媒体等都存在大量安全隐患存在大量安全隐患。一是这些网络应用。一是这些网络应用本身的安全性问题，开发商都将研发的产品发展成更开放更广本身的安全性问题，开发商都将研发的产品发展成更开放更广泛的支付泛的支付/交易营销平台、网络交流社区，用户名、账号和密码交易

21、营销平台、网络交流社区，用户名、账号和密码等信息成为黑客的主要目标；二是网络应用也成为黑客攻击、等信息成为黑客的主要目标；二是网络应用也成为黑客攻击、病毒传播等病毒传播等主要威胁及途径主要威胁及途径。如图如图1-6所示。所示。图图1-6 网络安全主要威胁及途径网络安全主要威胁及途径1.2 网络安全的威胁及隐患网络安全的威胁及隐患 1.2.2 1.2.2 网络安全威胁类型及途径网络安全威胁类型及途径1.2.3 1.2.3 网络安全隐患及风险网络安全隐患及风险 1. 1. 网络系统安全隐患及风险网络系统安全隐患及风险（1）网络系统面临的安全隐患）网络系统面临的安全隐患计算机网络计算机网络面临的隐患

22、及风险面临的隐患及风险主要包括主要包括7个方面：个方面： 系统漏洞及复杂性。系统漏洞及复杂性。 网络共享性。网络共享性。 网络开放性。网络开放性。 身份认证难。身份认证难。 传输路径与结点不安全。传输路径与结点不安全。 信息聚集度高。信息聚集度高。 边界难确定。边界难确定。（2）网络服务协议的安全风险）网络服务协议的安全风险1.2 网络安全的威胁及隐患网络安全的威胁及隐患 1.2.3 1.2.3 网络安全隐患及风险网络安全隐患及风险 2. 2.操作系统的漏洞及隐患操作系统的漏洞及隐患 （1）体系结构的漏洞）体系结构的漏洞 （2）创建进程的隐患）创建进程的隐患 （3）服务及设置风险）服务及设置风

23、险 （4）配置和初始化错误）配置和初始化错误3.3.网络数据库的安全风险网络数据库的安全风险4.4.防火墙的局限性防火墙的局限性5.5.网络安全管理及其他问题网络安全管理及其他问题 实际上，网络安全是一项系统工程，需要各方面协同实际上，网络安全是一项系统工程，需要各方面协同管理。管理。1.2 网络安全的威胁及隐患网络安全的威胁及隐患 1.2.4 1.2.4 网络安全威胁的发展态势网络安全威胁的发展态势 中国网络安全问题非常突出中国网络安全问题非常突出.随着互联网技随着互联网技术和应用的快速发展，中国大陆地区互联网用户数量急术和应用的快速发展，中国大陆地区互联网用户数量急剧增加。据估计，到剧增加

24、。据估计，到2020年，年，全球网络用户全球网络用户将上升至将上升至50亿户亿户,移动用户将上升移动用户将上升100亿户。亿户。我国我国2013年互联网用户年互联网用户数数已达到已达到6.48亿，亿，移动互联网用户数移动互联网用户数达到达到4.61亿。亿。网民网民规模、宽带网民数、国家顶级域名注册量规模、宽带网民数、国家顶级域名注册量，互联网普及率稳步提升。然而各种操作系统，互联网普及率稳步提升。然而各种操作系统及应用程序的漏洞不断出现，相比西方发达国家，我国及应用程序的漏洞不断出现，相比西方发达国家，我国网络安全技术、互联网用户安全防范能力和意识较为薄网络安全技术、互联网用户安全防范能力和意

25、识较为薄弱，极易成为境内外黑客攻击利用的主要目标。弱，极易成为境内外黑客攻击利用的主要目标。1.2 网络安全的威胁及隐患网络安全的威胁及隐患 案例案例1-31-3n 20142014年年的十大预测的十大预测, ,包括包括1010个方面：个方面：n 随着社交媒体和移动终端持续升温随着社交媒体和移动终端持续升温, ,大数据冲击时代即将到来大数据冲击时代即将到来. .n 随着混合云模式、大宗商品化软硬定义的数据中心随着混合云模式、大宗商品化软硬定义的数据中心(SDDC)(SDDC)等趋等趋势日益深入，未来的数据中心将发生根本性的变革。势日益深入，未来的数据中心将发生根本性的变革。n “物联网物联网”

26、时代带来新挑战。时代带来新挑战。n “分布式数据分布式数据”将对消费者带来困扰。将对消费者带来困扰。n 针对企业的应用程序商店将得到普及。针对企业的应用程序商店将得到普及。n 人们将过分依赖和相信网络应用程序。人们将过分依赖和相信网络应用程序。n 身份认证将成为主流。身份认证将成为主流。n 网络欺诈者、数据窃取者和网络罪犯将关注社交网络。网络欺诈者、数据窃取者和网络罪犯将关注社交网络。n 3D3D打印技术将为网络犯罪提供新可能。打印技术将为网络犯罪提供新可能。n 采取更积极的举措保护私人信息。采取更积极的举措保护私人信息。1.2 网络安全的威胁及隐患网络安全的威胁及隐患 1.2.4 1.2.4

27、 网络安全威胁的发展态势网络安全威胁的发展态势（1 1）什么说计算机网络存在着的安全漏洞和隐患？）什么说计算机网络存在着的安全漏洞和隐患？（2 2）计算机网络安全面临的主要威胁类型和途径有哪些？）计算机网络安全面临的主要威胁类型和途径有哪些？（3 3）网络安全威胁的发展趋势是什么？）网络安全威胁的发展趋势是什么？1.3.1 1.3.1 网络安全技术概述网络安全技术概述1.1.网络安全技术相关概念网络安全技术相关概念 1.3 网络安全技术概述网络安全技术概述 网络安全技术网络安全技术（Network Security Technology）是）是指计算机网络系统及其在数据采集、存储、处理和传输指

28、计算机网络系统及其在数据采集、存储、处理和传输过程中，保障网络信息安全属性特征（保密性、完整性、过程中，保障网络信息安全属性特征（保密性、完整性、可用性、可控性、可审查性）的各种相关技术和措施。可用性、可控性、可审查性）的各种相关技术和措施。狭义上狭义上是指保障是指保障网络系统及数据网络系统及数据在采集、存储、处理和在采集、存储、处理和传输过程中的安全（传输过程中的安全（是保护网络的是保护网络的数据数据安全安全），采取的各种技术手段、机制、策略和措施等。），采取的各种技术手段、机制、策略和措施等。广义上广义上是指保护网络安全的各种技术手段、机制、策略是指保护网络安全的各种技术手段、机制、策略和

29、措施等。和措施等。 2. 2. 常用网络安全技术种类常用网络安全技术种类1.3 网络安全的概念及内容网络安全的概念及内容 网络安全技术分类网络安全技术分类。某银行以网络安全业务价。某银行以网络安全业务价值链的概念，将网络安全技术分为预防保护类、检测跟踪值链的概念，将网络安全技术分为预防保护类、检测跟踪类和响应恢复类等三大类，如图类和响应恢复类等三大类，如图1-7所示。所示。预防预防保护类保护类预防预防预防预防保护类保护类保护类保护类检测检测跟踪类跟踪类检测检测检测检测跟踪类跟踪类跟踪类跟踪类响应响应恢复类恢复类响应响应响应响应恢复类恢复类恢复类恢复类访问管理访问管理AMAM访问管理访问管理AM

30、AM身份认证身份认证I&AMI&AM身份认证身份认证I&AMI&AM加密加密CryptoCrypto加密加密CryptoCrypto防恶防恶AntiAnti- -MalMal防恶防恶AntiAnti- -MalMal加固加固HardeningHardening加固加固HardeningHardening监控监控MonitoringMonitoring监控监控MonitoringMonitoring审核跟踪审核跟踪AuditAuditTrailTrail审核跟踪审核跟踪AuditAuditTrailTrail备份备份恢复恢复B & RB & R备份备份恢复恢复B & RB & R预防预防保护类保

31、护类预防预防预防预防保护类保护类保护类保护类检测检测跟踪类跟踪类检测检测检测检测跟踪类跟踪类跟踪类跟踪类响应响应恢复类恢复类响应响应响应响应恢复类恢复类恢复类恢复类访问管理访问管理AMAM访问管理访问管理AMAM身份认证身份认证I&AMI&AM身份认证身份认证I&AMI&AM加密加密CryptoCrypto加密加密CryptoCrypto防恶防恶AntiAnti- -MalMal防恶防恶AntiAnti- -MalMal加固加固HardeningHardening加固加固HardeningHardening监控监控MonitoringMonitoring监控监控MonitoringMonito

32、ring审核跟踪审核跟踪AuditAuditTrailTrail审核跟踪审核跟踪AuditAuditTrailTrail备份备份恢复恢复B & RB & R备份备份恢复恢复B & RB & R图图1-7 常用网络安全关键技术常用网络安全关键技术 案例案例1-41-41. 1. 网络安全通用模型网络安全通用模型1.3 网络安全的概念及内容网络安全的概念及内容1.3.2 网络安全常用模型网络安全常用模型网络安全通用模型如图1-8所示，不足是并非所有情况都通用。图图1-8 网络安全通用模型网络安全通用模型1.3.2 1.3.2 网络安全常用模型网络安全常用模型 2 2网络安全网络安全PDRRPDRR

33、模型模型 常用的常用的描述描述网络安全网络安全整个过程和环节整个过程和环节的的网络安全模型网络安全模型为为PDRRPDRR模型模型：防护（：防护（ProtectionProtection）、检测（）、检测（DetectionDetection）、响应（、响应（ReactionReaction）和恢复（）和恢复（RecoveryRecovery）, ,如图如图1-91-9所示所示 图图1-9 网络安全网络安全PDRR模型模型1.3 网络安全的概念及内容网络安全的概念及内容 在此模型的基础上，以在此模型的基础上，以“检检查准备、防护加固、检测发现、查准备、防护加固、检测发现、 快速反映、确保恢复、

34、反省改进快速反映、确保恢复、反省改进”的的原则原则,经过改进经过改进得到另一个网络得到另一个网络系统安全生命周期模型系统安全生命周期模型 IPDRRR Inspection, Protection, Detection, Reaction, Recovery, Reflection）模型模型,如图如图1-10所示。所示。 图图1-10系统安全生命周期模型系统安全生命周期模型 1.3 网络安全的概念及内容网络安全的概念及内容1.3.2 网络安全常用模型网络安全常用模型 2网络安全网络安全PDRR模型模型 黑客攻击威胁黑客攻击威胁：一是访问威胁，二是服务威胁。对：一是访问威胁，二是服务威胁。对非授

35、权访问的安全机制非授权访问的安全机制可可分为分为两类两类：一是网闸功能，二：一是网闸功能，二是内部的安全控制，若非授权用户得到访问权，第二道是内部的安全控制，若非授权用户得到访问权，第二道防线将对其进行防御，包括各种内部监控和分析，以检防线将对其进行防御，包括各种内部监控和分析，以检查入侵者。如图查入侵者。如图1-8所示。所示。图图1-8 网络访问安全模型网络访问安全模型 1.3 网络安全的概念及内容网络安全的概念及内容1.3.2 网络安全常用模型网络安全常用模型 3. 网络访问安全模型网络访问安全模型4 4网络安全防御模型网络安全防御模型 网络安全的网络安全的关键是预防关键是预防，“防患于未

36、然防患于未然”是最好的保障，是最好的保障，同时做好内网与外网的隔离保护。可以通过如图同时做好内网与外网的隔离保护。可以通过如图1-9所示所示的网络安全防御模型构建的系统保护内网。的网络安全防御模型构建的系统保护内网。 图图1-9 网络安全防御模型网络安全防御模型1.3 网络安全的概念及内容网络安全的概念及内容（1 1）什么是网络安全技术？）什么是网络安全技术？（2 2）常用网络安全技术有哪些种类？请举例说明？）常用网络安全技术有哪些种类？请举例说明？（3 3）网络安全模型的作用是什么？主要介绍那几个模型？）网络安全模型的作用是什么？主要介绍那几个模型？ 1.4 网络安全技术研究现状及趋势网络安

37、全技术研究现状及趋势（1）构建完善网络安全保障体系）构建完善网络安全保障体系（2）优化安全智能防御技术）优化安全智能防御技术（3）强化云安全信息关联分析）强化云安全信息关联分析（4）加强安全产品测评技术）加强安全产品测评技术（5）提高网络生存（抗毁）技术）提高网络生存（抗毁）技术（6）优化应急响应技术）优化应急响应技术（7）新密码技术的研究）新密码技术的研究 1.4 网络安全技术研究现状及趋势网络安全技术研究现状及趋势（1）安全意识差，忽视风险分析）安全意识差，忽视风险分析（2）急需自主研发的关键技术）急需自主研发的关键技术（3）安全检测防御薄弱）安全检测防御薄弱（4）安全测试与评估不完善）安

38、全测试与评估不完善（5）应急响应能力欠缺）应急响应能力欠缺（6）强化系统恢复技术不足）强化系统恢复技术不足 国际互联网安全联盟国际互联网安全联盟DMARCDMARC. .由于全球知名互联网公司多由于全球知名互联网公司多次出现网站被黑、域名被更改及诈骗性邮件等网络安全问题次出现网站被黑、域名被更改及诈骗性邮件等网络安全问题, ,在在20122012年年由谷歌、微软、雅虎、网易等由谷歌、微软、雅虎、网易等1515家家组建成立组建成立, ,仅仅1 1年多时间就使约年多时间就使约19.7619.76亿的电子邮箱用户受益，约为全球亿的电子邮箱用户受益，约为全球3333亿电子邮箱用户中亿电子邮箱用户中2/

39、3,2/3,每月拦截上每月拦截上亿封诈骗性邮件。亿封诈骗性邮件。20132013年年中国互联网安全联盟成立中国互联网安全联盟成立. .由网易、百度、腾由网易、百度、腾讯、新浪、微软、阿里巴巴集团及支付宝七家企业依照相关法律、法规讯、新浪、微软、阿里巴巴集团及支付宝七家企业依照相关法律、法规, ,在平等互利、共同发展、优势互补、求同存异的原则下共同发起组建在平等互利、共同发展、优势互补、求同存异的原则下共同发起组建, ,制定了制定了互联网企业安全漏洞披露与处理公约互联网企业安全漏洞披露与处理公约. .其中其中, ,拥有超过拥有超过5.35.3亿亿邮箱用户的网易公司，已经取得了重大成果邮箱用户的网

40、易公司，已经取得了重大成果. .1.4 网络安全技术研究现状及趋势网络安全技术研究现状及趋势主要体现在以下几个方面：主要体现在以下几个方面：（1）网络安全技术水平不断提高）网络安全技术水平不断提高（2）安全管理技术高度集成）安全管理技术高度集成（3）新型网络安全平台）新型网络安全平台（4）高水平的服务和人才）高水平的服务和人才（5）特殊专用安全工具）特殊专用安全工具案例案例1-61-6（1 1） 国外网络安全先进性主要体系在哪方面？国外网络安全先进性主要体系在哪方面？（2 2） 我国网络安全存在的主要差距？我国网络安全存在的主要差距？（3 3） 网络安全发展趋势体现在哪几个方面？网络安全发展趋

41、势体现在哪几个方面？1. 1. 物理安全的概念物理安全的概念 (1) 物理安全。物理安全。也称也称实体安全实体安全，指保护计算机网络设，指保护计算机网络设备、设施及其他媒介免遭地震、水灾、火灾、有害气备、设施及其他媒介免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施及过程。主要是对计算体和其他环境事故破坏的措施及过程。主要是对计算机及网络系统的环境、场地、设备和人员等方面，采机及网络系统的环境、场地、设备和人员等方面，采取的各种安全技术和措施。取的各种安全技术和措施。 物理安全是整个计算机网络系统安全的重要基础物理安全是整个计算机网络系统安全的重要基础和保障。和保障。*1.5 物理安全与

42、隔离技术物理安全与隔离技术 1.5.1 物理安全的概念及内容物理安全的概念及内容 2. 2. 物理安全的内容及措施物理安全的内容及措施 物理安全的内容物理安全的内容主要包括环境安全、设备安全和主要包括环境安全、设备安全和媒体安全三个方面，主要指五项防护，简称媒体安全三个方面，主要指五项防护，简称5防：防盗、防：防盗、防火、防静电、防雷击、防电磁泄漏。特别是，应当防火、防静电、防雷击、防电磁泄漏。特别是，应当加强对重点数据中心、机房、服务器、网络及其相关加强对重点数据中心、机房、服务器、网络及其相关设备和媒体等物理安全的防护。设备和媒体等物理安全的防护。 *1.5 物理安全与隔离技术物理安全与隔

43、离技术 1.5.1 物理安全的概念及内容物理安全的概念及内容 媒体及其数据安全保护媒体及其数据安全保护, 是指对媒体数据和媒体本身的安全保护。是指对媒体数据和媒体本身的安全保护。（1）媒体安全）媒体安全 主要指对媒体及其数据的安全保管，目的是保护存储在媒体上重要主要指对媒体及其数据的安全保管，目的是保护存储在媒体上重要资料。安全措施：媒体的防盗与防毁，防毁指防霉和防砸及其他可能的资料。安全措施：媒体的防盗与防毁，防毁指防霉和防砸及其他可能的破坏。破坏。 （2）媒体数据安全）媒体数据安全媒体数据安全主要指对媒体数据的保护。为了防止被删除或被销毁的敏媒体数据安全主要指对媒体数据的保护。为了防止被删

44、除或被销毁的敏感数据被他人恢复，必须对媒体机密数据进行安全删除或安全销毁。感数据被他人恢复，必须对媒体机密数据进行安全删除或安全销毁。 保护媒体数据安全的措施主要有三个方面：保护媒体数据安全的措施主要有三个方面： 媒体数据的防盗，如防止媒体数据被非法拷贝；媒体数据的防盗，如防止媒体数据被非法拷贝； 媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体媒体数据的销毁，包括媒体的物理销毁（如媒体粉碎等）和媒体数据的彻底销毁（如消磁等），防止媒体数据删除或销毁后被他人恢复数据的彻底销毁（如消磁等），防止媒体数据删除或销毁后被他人恢复而泄露信息；而泄露信息； 媒体数据的防毁，防止意外或故意的破坏使

45、媒体数据的丢失。媒体数据的防毁，防止意外或故意的破坏使媒体数据的丢失。*1.5 物理安全与隔离技术物理安全与隔离技术 1. 媒体及其数据的安全保护媒体及其数据的安全保护 2. 物理隔离技术物理隔离技术 物理隔离技术物理隔离技术是在原有安全技术的基础上发展起是在原有安全技术的基础上发展起来的一种安全防护技术。物理隔离技术的目的是通过来的一种安全防护技术。物理隔离技术的目的是通过将威胁和攻击进行隔离，在可信网络之外将威胁和攻击进行隔离，在可信网络之外 和保证可和保证可信网络内部信息不外泄的前提下，完成网间数据的安信网络内部信息不外泄的前提下，完成网间数据的安全交换。全交换。 1) 物理隔离的安全要

46、求物理隔离的安全要求 2) 物理隔离技术的三个阶段物理隔离技术的三个阶段 物理隔离的技术手段及优缺点和典型产品，如表物理隔离的技术手段及优缺点和典型产品，如表1-2所示。所示。 3) 物理隔离的性能要求物理隔离的性能要求*1.5 物理安全与隔离技术物理安全与隔离技术 技术手段技术手段 优优 点点 缺缺 点点 典型产品典型产品 彻底的彻底的物理隔离物理隔离能够抵御所有的网络攻能够抵御所有的网络攻击击 两网络间两网络间无信息交流无信息交流联想网御物理隔离卡、开天双网联想网御物理隔离卡、开天双网安全电脑、伟思网络安全隔离集安全电脑、伟思网络安全隔离集线器线器 协议隔离协议隔离能抵御基于能抵御基于TC

47、P/IP协协议的网络扫描与攻击等议的网络扫描与攻击等行为行为 有些攻击有些攻击可穿越网络可穿越网络京泰安全信息交流系统京泰安全信息交流系统2.0、东方、东方DF-NS310物理隔离网关物理隔离网关 物理隔离物理隔离网闸网闸不但实现了高速的数据不但实现了高速的数据交换，还有效地杜绝了交换，还有效地杜绝了基于网络的攻击行为基于网络的攻击行为 应用种类应用种类受到限制受到限制伟思伟思ViGAP、天行安全隔离网闸、天行安全隔离网闸(TopWalk-GAP)和联想网御和联想网御SIS3000系列安全隔离网闸系列安全隔离网闸 表表1-2 物理隔离主要技术手段物理隔离主要技术手段 *1.5 物理安全与隔离技

48、术物理安全与隔离技术 （1）物理安全的内容主要包括哪些？）物理安全的内容主要包括哪些？（2）物理隔离技术手段主要有哪些？）物理隔离技术手段主要有哪些？*1.6 构建虚拟局域网实验构建虚拟局域网实验 虚拟局域网虚拟局域网 (Virtual Local Area Network, VLAN)(Virtual Local Area Network, VLAN)是一是一种将局域网设备从逻辑上划分成多个网段，从而实现虚拟工作种将局域网设备从逻辑上划分成多个网段，从而实现虚拟工作组的数据交换技术。主要应用于交换机和路由器。组的数据交换技术。主要应用于交换机和路由器。 n 1.6.1 1.6.1 实验目的实

49、验目的 （1）为网络安全试验做准备。）为网络安全试验做准备。（2）网络安全实验可能对系统具有一定破坏性，虚拟局域网可以）网络安全实验可能对系统具有一定破坏性，虚拟局域网可以保护物理主机和网络的安全。保护物理主机和网络的安全。（3）利用）利用 VMware Workstation 8.0 for Windows 虚拟机安装虚拟机安装Windows8，可以实现在一台机器上同时运行多个操作系统，以，可以实现在一台机器上同时运行多个操作系统，以及一些其他操作功能。及一些其他操作功能。1.6.21.6.2 实验要求及方法实验要求及方法n 1 1实验要求实验要求n (1) (1) 预习准备预习准备n (2

50、) (2) 注意事项及特别提醒注意事项及特别提醒n (3) (3) 注意实验步骤和要点注意实验步骤和要点n 实验用时：实验用时：2 2学时（学时（9012090120分钟）分钟）n 2 2实验方法实验方法n 构建虚拟局域网构建虚拟局域网VLANVLAN具有多种方法。可在具有多种方法。可在Windows Server Windows Server 20122012运行环境下，安装虚拟机软件，即可建立虚拟机，也可以利运行环境下，安装虚拟机软件，即可建立虚拟机，也可以利用用WindowsWindows自带的连接设置方法，通过自带的连接设置方法，通过“网上邻居网上邻居”建立。建立。 *1.6 构建虚拟