算机网络安全教材.ppt

《算机网络安全教材.ppt》由会员分享，可在线阅读，更多相关《算机网络安全教材.ppt（80页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第 1 章 网络安全概论1.1 网络安全面临的威胁网络安全面临的威胁1.2 网络安全体系结构网络安全体系结构1.3 PDRR网络安全模型网络安全模型1.4 网络安全基本原则网络安全基本原则1.1 网络安全面临的威胁物理安全威胁、操作系统的安全缺陷、物理安全威胁、操作系统的安全缺陷、网络协议的安全缺陷、应用软件的实现缺网络协议的安全缺陷、应用软件的实现缺陷、用户使用的缺陷和恶意程序等陷、用户使用的缺陷和恶意程序等6个方面个方面的安全威胁。的安全威胁。1.1.1 物理安全威胁物理安全威胁1物理安全问题的重要性物理安全问题的重要性 信息安全首先要保障信息的物理安全。物信息安全首先要保障信息的物理安全

2、。物理安全是指在物理介质层次上对存储和传输的理安全是指在物理介质层次上对存储和传输的信息的安全保护。物理安全是信息安全的最基信息的安全保护。物理安全是信息安全的最基本保障，是不可缺少和忽视的组成部分。本保障，是不可缺少和忽视的组成部分。2主要的物理安全威胁主要的物理安全威胁 物物理理安安全全威威胁胁，即即直直接接威威胁胁网网络络设设备备。目目前前主主要要的的物理安全威胁包括以下物理安全威胁包括以下3大类。大类。自自然然灾灾害害。特特点点是是突突发发性性、自自然然因因素素性性、非非针针对对性性。这这种种安安全全威威胁胁只只破破坏坏信信息息的的完完整整性性和和可可用用性性，无无损损信息的秘密性。信

3、息的秘密性。电电磁磁辐辐射射。这这种种安安全全威威胁胁只只破破坏坏信信息息的的秘秘密密性性，无损信息的完整性和可用性。无损信息的完整性和可用性。操操作作失失误误和和意意外外疏疏忽忽（例例如如，系系统统掉掉电电、操操作作系系统统死死机机等等系系统统崩崩溃溃）。特特点点是是人人为为实实施施的的无无意意性性和和非非针针对对性性。这这种种安安全全威威胁胁只只破破坏坏信信息息的的完完整整性性和和可可用用性性，无损信息的秘密性。无损信息的秘密性。（1）外部终端的物理安全）外部终端的物理安全（2）通信线路的物理安全）通信线路的物理安全1.1.2 操作系统的安全缺陷操作系统的安全缺陷 操作系统是用户和硬件设备

4、的中间层，操作系统是用户和硬件设备的中间层，是任何计算机在使用前都必须安装的。是任何计算机在使用前都必须安装的。目目前前，人人们们使使用用的的操操作作系系统统分分为为两两大大类类：UNIX/Linux系系列列和和Windows系系列列。下下面面分分别别举举例例说说明明这这两两大大类类操操作作系系统统中中存存在在的的安安全全缺陷。缺陷。1公共缺陷检索（公共缺陷检索（Common Vulnerabilities and Exposures，CVE）大多数信息安全工具都包含一个信息安全缺陷大多数信息安全工具都包含一个信息安全缺陷的数据库，但是，这些数据库对信息安全缺陷的描的数据库，但是，这些数据库对

5、信息安全缺陷的描述格式各不相同。述格式各不相同。CVE是是信信息息安安全全确确认认的的一一个个列列表表或或者者词词典典。它它对对不不同同信信息息安安全全缺缺陷陷的的数数据据库库之之间间提提供供一一种种公公共共的的索索引引，是是信信息息共共享享的的关关键键。有有了了CVE检检索索之之后后，一一个个缺缺陷陷就就有有了了一一个个公公共共的的名名字字，从从而而可可以以通通过过CVE的条款检索到包含该缺陷的所有数据库。的条款检索到包含该缺陷的所有数据库。CVE有如下几个特点：有如下几个特点：每一种缺陷都有惟一的命名；每一种缺陷都有惟一的命名；每一种缺陷都有惟一的标准描述；每一种缺陷都有惟一的标准描述；C

6、VE不是一个数据库而是一种检索词典；不是一个数据库而是一种检索词典；CVE为多个不同的数据库提供一种交流的为多个不同的数据库提供一种交流的共同语言；共同语言；CVE是评价信息安全数据库的一个基础；是评价信息安全数据库的一个基础；CVE可以通过因特网阅读和下载；可以通过因特网阅读和下载；CVE的会员可以给的会员可以给CVE提供自己数据库的提供自己数据库的索引信息及其修改信息。索引信息及其修改信息。2UNIX操作系统的安全缺陷操作系统的安全缺陷（1）远远程程过过程程调调用用（Remote Procedure Calls，RPC）远远程程过过程程调调用用允允许许一一台台机机器器上上的的程程序序执执行

7、行另另一一台台机机器器上上的的程程序序。它它们们被被广广泛泛地地用用于于提提供供网网络络服服务务，如如NFS文文件件共共享享和和NIS。很很多多UNIX操操作作系系统统的的RPC软软件件包包中中包包含含具具有有缓缓冲冲区区溢溢出出缺缺陷陷的的程程序序。以以下下的的程程序序具具有有缓缓冲区溢出的缺陷。冲区溢出的缺陷。rpc.yppasswdd：rpc.espd：rpc.cmsd：rpc.ttdbserver：rpc.bind：如果系统运行上述程序之一，那么系统就很可如果系统运行上述程序之一，那么系统就很可能受到能受到RPC服务缓冲区溢出的攻击。值得注意的是，服务缓冲区溢出的攻击。值得注意的是，U

8、NIX的绝大部分版本都具有这个缺陷。解决这个的绝大部分版本都具有这个缺陷。解决这个问题的最好方案是全部删除这些服务。在必须运行问题的最好方案是全部删除这些服务。在必须运行该服务的地方，安装最新的补丁。该服务的地方，安装最新的补丁。（2）Sendmail Sendmail是在是在UNIX和和Linux操作系统中操作系统中用得最多的发送、接收和转发电子邮件的程用得最多的发送、接收和转发电子邮件的程序。序。Sendmail在因特网上的广泛应用使它在因特网上的广泛应用使它成为攻击者的主要目标，过去的几年里曾发成为攻击者的主要目标，过去的几年里曾发现了若干个缺陷。现了若干个缺陷。Sendmail有很多易

9、受攻击的弱点，必须有很多易受攻击的弱点，必须定期地更新和打补丁。定期地更新和打补丁。3Windows系列操作系统的安全缺陷系列操作系统的安全缺陷（1）Unicode Unicode是是ISO发布的统一全球文字符号的国发布的统一全球文字符号的国际标准编码。它是一种双字节的编码。际标准编码。它是一种双字节的编码。通通过过向向IIS（Internet Information Server）服服务务器器发发出出一一个个包包括括非非法法Unicode UTF-8序序列列的的URL，攻攻击击者者可可以以迫迫使使服服务务器器逐逐字字“进进入入或或退退出出”目目录录并并 执执 行行 任任 意意 脚脚 本本，这

10、这 种种 攻攻 击击 称称 为为 目目 录录 转转 换换（Directory Traversal）攻击。）攻击。（2）ISAPI缓冲区溢出缓冲区溢出 Microsoft IIS（Internet Information Server）是在大多数是在大多数Microsoft Windows NT和和Windows 2000服务器上使用的服务器软件。在安装服务器上使用的服务器软件。在安装IIS的时候，多的时候，多个个ISAPI（Internet Services Application Programming Interface）被自动安装。）被自动安装。ISAPI允许开允许开发人员使用多种动态链

11、接库发人员使用多种动态链接库DLLs来扩展来扩展IIS服务器的服务器的性能。一些动态链接库，例如性能。一些动态链接库，例如idq.dll，有编程错误，有编程错误，使得它们进行不正确的边界检查。特别是，它们不使得它们进行不正确的边界检查。特别是，它们不阻塞超长字符串。攻击者可以利用这一点向阻塞超长字符串。攻击者可以利用这一点向DLL发发送数据，造成缓冲区溢出，进而控制送数据，造成缓冲区溢出，进而控制IIS服务器。服务器。解决上述问题的方案是如果发现系统具解决上述问题的方案是如果发现系统具有这种缺陷，则安装最新的有这种缺陷，则安装最新的Microsoft补丁。补丁。同时，应检查并取消所有不需要的同

12、时，应检查并取消所有不需要的ISAPI扩扩展。经常检查这些扩展是否被恢复。还要记展。经常检查这些扩展是否被恢复。还要记住最小权限规则，系统应运行系统正常工作住最小权限规则，系统应运行系统正常工作所需的最少服务所需的最少服务。1.1.3 网络协议的安全缺陷网络协议的安全缺陷 TCP/IP是目前是目前Internet使用的协议。使用的协议。TCP/IP也存在着一系列的安全缺陷。也存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷是由于源地址的认证问题造成的，有的缺陷则来自网络控制机制和路由协议有的缺陷则来自网络控制机制和路由协议等。这些缺陷，是所有使用等。这些缺陷，是所有使用T

13、CP/IP的系统的系统所共有的，以下将讨论这些安全隐患。所共有的，以下将讨论这些安全隐患。1TCP/IP概述概述（1）TCP/IP基本结构基本结构 TCP/IP是一组是一组Internet协议，不但包括协议，不但包括TCP和和IP两个关键协议，还包括其他协议，如两个关键协议，还包括其他协议，如UDP、ARP、ICMP、Telnet和和FTP等。等。TCP/IP的设计目标是使不的设计目标是使不同的网络互相连接，即实现互联网。同的网络互相连接，即实现互联网。图图1.1 TCP/IP基本逻辑结构基本逻辑结构 IPv4的的地地址址是是32bit，目目前前正正在在推推出出IPv6，其地址为，其地址为12

14、8bit。以太网。以太网MAC地址是地址是48bit。TCP/IP层层次次结结构构有有两两个个重重要要原原则则：在在同同一一端端点点，每每一一层层只只和和邻邻接接层层打打交交道道，例例如如，应应用用程程序序根根本本不不关关心心网网络络层层是是怎怎么么转转发发包包以以及及数数据据在在哪哪些些网网络络上上传传输输；不不同同端端点点之之间间的的同同一一层层有有对对等等关关系系，对对等等层层之之间间可可以以进进行行通通信信，如如应应用用程程序序之间的通信，之间的通信，TCP模块之间的通信等。模块之间的通信等。（2）TCP/IP通信模型通信模型 通信模型是通信模型是TCP/IP最基本的模型之一，它描最基

15、本的模型之一，它描述了端和端之间怎样传输数据。如在图述了端和端之间怎样传输数据。如在图1.1中，各中，各层模块之间的连接表示数据流的路线。层模块之间的连接表示数据流的路线。TCP/IP提供两个主要的传输协议：提供两个主要的传输协议：TCP和和UDP。TCP是一个面向连接的协议，它通过发送是一个面向连接的协议，它通过发送和确认机制，保证数据无错误传输。和确认机制，保证数据无错误传输。UDP是无连是无连接的，它只管发送和接收所有的包，不保证数据接的，它只管发送和接收所有的包，不保证数据是否到达。是否到达。（3）TCP/IP网络互连模型网络互连模型 TCP/IP的另一个主要功能是实现不同的另一个主要

16、功能是实现不同网络之间的互连。网络互连功能在网络层网络之间的互连。网络互连功能在网络层实现，即一个实现，即一个IP模块连接到两个不同的物模块连接到两个不同的物理链路层可以实现这两个网络之间的互连，理链路层可以实现这两个网络之间的互连，如图如图1.2所示。所示。图图1.2 一个一个IP模块连接两个网络模块连接两个网络 2TCP序列号预计序列号预计 TCP序序列列号号预预计计由由莫莫里里斯斯首首先先提提出出，是是网网络络安安全全领领域域中中最最有有名名的的缺缺陷陷之之一一。这这种种攻攻击击的的实实质质，是是在在不不能能接接到到目目的的主主机机应应答答确确认认时时，通通过过预预计计序序列列号号来来建

17、建立立连连接接。这这样样，入入侵侵者者可可以以伪伪装装成成信信任任主主机机与与目的主机通话。目的主机通话。正正常常的的TCP连连接接建建立立过过程程是是一一个个三三次次握握手手的的过过程程，客客户户方方取取一一初初始始序序列列号号ISNc并并发发出出第第一一个个SYN包包，服服务务方方确确认认这这一一包包并并设设自自己己一一方方的的初初始始序序列列号号为为ISNs，客客户户方方确确认认后后这这一一连连接接即即建建立立。一一旦旦连连接接建建立立成成功功，客客户户方方和和服服务务方方之之间间即即可可以以开开始始传传输输数数据。连接建立过程可以被描述如下：据。连接建立过程可以被描述如下：TCP连接建

18、立过程连接建立过程客户方客户方 服务方：服务方：SYN（ISNc）服务方服务方 客户方：客户方：ACK（ISNc），），SYN（ISNs）客户方客户方 服务方：服务方：ACK（ISNs）客户方客户方 服务方：数据服务方：数据和和/或者或者服务方服务方 客户方：数据客户方：数据3路由协议缺陷路由协议缺陷（1）源路由选项的使用）源路由选项的使用 在在IP包头中的源路由选项用于该包头中的源路由选项用于该IP包的路由包的路由选择，这样，一个选择，这样，一个IP包可以按照预告指定的路由到包可以按照预告指定的路由到达目的主机。达目的主机。但但这这样样也也给给入入侵侵者者创创造造了了良良机机，当当预预先先知

19、知道道某某一一主主机机有有一一个个信信任任主主机机时时，即即可可利利用用源源路路由由选选项项伪伪装装成成受受信信任任主主机机，从从而而攻攻击击系系统统，这这相相当当于于使使主主机机可能遭到来自所有其他主机的攻击。可能遭到来自所有其他主机的攻击。（2）伪造）伪造ARP包包 伪造伪造ARP包是一种很复杂的技术，涉及到包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面，在此归入及以太网特性的很多方面，在此归入ARP的安全问题的安全问题不是很合适。伪造不是很合适。伪造ARP包的主要过程是，以目的主机包的主要过程是，以目的主机的的IP地址和以太网地址为源地址发一地址和以太网地址为源地址发一A

20、RP包，这样即包，这样即可造成另一种可造成另一种IP spoof。这种攻击主要见于交换式以太网中，在这种攻击主要见于交换式以太网中，在交换式以太网中，交换集线器在收到每一交换式以太网中，交换集线器在收到每一ARP包时更新包时更新Cache。不停发。不停发spoof ARP包可包可使送往目的主机的包均送到入侵者处，这样，使送往目的主机的包均送到入侵者处，这样，交换式以太网也可被监听。交换式以太网也可被监听。解决上述问题的方法是：将交换集线器解决上述问题的方法是：将交换集线器设为静态绑定。另一可行的方法是当发现主设为静态绑定。另一可行的方法是当发现主机运行不正常时（网速慢，机运行不正常时（网速慢，

21、IP包丢失率较高）包丢失率较高），反映给网络管理员。，反映给网络管理员。（3）RIP的攻击的攻击 RIP（Routing Information Protocol）是用）是用于自治系统（于自治系统（Autonomous System，AS）内部）内部的一种内部路由协议（的一种内部路由协议（Internal Gateway Protocol，IGP）。）。RIP用于在自治系统内部的用于在自治系统内部的路由器之间交换路由信息。路由器之间交换路由信息。RIP使用的路由算使用的路由算法是距离向量算法。该算法的主要思想就是每法是距离向量算法。该算法的主要思想就是每个路由器给相邻路由器宣布可以通过它达到的

22、个路由器给相邻路由器宣布可以通过它达到的路由器及其距离。一个入侵者有可能向目的主路由器及其距离。一个入侵者有可能向目的主机以及沿途的各网关发出伪造的路由信息。机以及沿途的各网关发出伪造的路由信息。（4）OSPF的攻击的攻击 OSPF（Open Shortest Path First）协议是）协议是用于自治域内部的另一种路由协议。用于自治域内部的另一种路由协议。OSPF协议协议使用的路由算法是链路状态（使用的路由算法是链路状态（Link-State）算法。）算法。在该算法中，每个路由器给相邻路由器宣布的在该算法中，每个路由器给相邻路由器宣布的信息是一个完整的路由状态，包括可到达的路信息是一个完整

23、的路由状态，包括可到达的路由器，连接类型和其他相关信息。由器，连接类型和其他相关信息。LSA（Link State Advertisement）是）是OSPF协议中路由器之间要交换的信息。一个协议中路由器之间要交换的信息。一个LSA头格式如图头格式如图1.3所示。所示。LS序列号为序列号为32bit，用来指示该，用来指示该LSA的更的更新程度。新程度。LS序列号是一个有符号整数，大小序列号是一个有符号整数，大小介于介于0 x80000001（负值）和（负值）和0 x7fffffff之间。之间。图图1.3 LSA头格式头格式4网络监听网络监听 以以太太网网（Ethernet）是是网网络络结结构构

24、中中，链链路路层层和和物物理理层层的的主主要要连连网网方方式式。由由于于以以太太网网的的工工作作方方式式，网网络络请请求求在在网网上上一一般般以以广广播播的的方方式式传传送送，这这个个广广播播是是非非验验证证的的，也也就就是是同同网网段段的的每每个个计计算算机机都都可可以以收收到到，除除了了目目标标接接受受者者会会应应答答这这个个信信息息外外，其其他他的的接接受受者者会会忽忽略略这这个个广广播播。如如果果有有一一个个网网络络设设备备专专门门收收集集广广播播而而决决不不应应答答，那那么么，它它就就可可以以看看到到本本网网的的任任何何计计算算机机在在网网上上传传输输的的数数据据。如如果果数数据据没

25、没有有经经过过加加密密，那那么么它它就就可可以以看看到到所所有有的的内内容容。Sniffer就就是是一一个个在在以以太太网网上上进进行行监监听听的的专专用用软软件件。监监听听这这个个现现象象对对网网络络的的安安全全威威胁胁是是相相当当大大的的，因因为为它它可可以以做到以下几点。做到以下几点。（1）抓到正在传输的密码。）抓到正在传输的密码。（2）抓到别人的秘密（信用卡号）或不）抓到别人的秘密（信用卡号）或不想共享的资料。想共享的资料。（3）暴露网络信息。）暴露网络信息。5TCP/UDP应用层服务应用层服务（1）finger的信息暴露的信息暴露这是由于以下几点原因。这是由于以下几点原因。finge

26、r没有任何认证机制。任何人都可利用没有任何认证机制。任何人都可利用finger来获得目的主机的有关信息。来获得目的主机的有关信息。finger所提供的信息包括用户名，用户来自于所提供的信息包括用户名，用户来自于何处等，这些信息可以用于口令的猜测攻击，以何处等，这些信息可以用于口令的猜测攻击，以及信任主机被假冒的攻击，具有很大的潜在危险。及信任主机被假冒的攻击，具有很大的潜在危险。finger没有认证，这使得无法辨别一个主机是没有认证，这使得无法辨别一个主机是否在基于否在基于“正当的正当的”目的使用目的使用finger，这使得用户，这使得用户即使被攻击，也无法辨明即使被攻击，也无法辨明finge

27、r在其中起了多大作在其中起了多大作用。用。解决上述问题的方法是：关掉解决上述问题的方法是：关掉finger服务，服务，如果有充分理由打开如果有充分理由打开finger服务的话，不妨将服务的话，不妨将finger设为：设为：/bin/cat/etc/something（2）FTP的信息暴露的信息暴露 FTP本本身身并并无无安安全全问问题题，但但几几乎乎所所有有的的实实现现都都存存在如下问题。在如下问题。FTP一一般般用用户户的的口口令令与与登登录录口口令令相相同同，而而且且采采用用明文传输。明文传输。一些网点上的匿名一些网点上的匿名FTP提供了另一攻击途径。提供了另一攻击途径。（3）Telnet

28、的安全问题的安全问题 Telnet本身也并没有安全问题。它的安全本身也并没有安全问题。它的安全隐患类似隐患类似FTP的的，只不过要更严重一些。，只不过要更严重一些。由于由于Telnet是用明文传输的，因此不仅是用是用明文传输的，因此不仅是用户口令，而且用户的所有操作及其回答，都户口令，而且用户的所有操作及其回答，都将是透明的。将是透明的。（4）POP3的安全问题的安全问题 由于由于POP3的口令与账号的口令相同，在的口令与账号的口令相同，在此它存在着类似此它存在着类似FTP的问题，解决方法也的问题，解决方法也是类似的。是类似的。（5）tftp/bootp的安全问题的安全问题 tftp允许不经认

29、证就能读主机的那些被允许不经认证就能读主机的那些被设置成所有人可读的文件。这将可能暴露系设置成所有人可读的文件。这将可能暴露系统的账号、工作目录等重要信息。统的账号、工作目录等重要信息。1.1.4 应用软件的实现缺陷应用软件的实现缺陷 软软件件实实现现缺缺陷陷是是由由于于程程序序员员在在编编程程的的时时候候没没有有考考虑虑周周全全而而造造成成的的。软软件件缺缺陷陷一一般般可可以分为以下几种类型：以分为以下几种类型：输入确认错误；输入确认错误；访问确认错误；访问确认错误；特殊条件错误；特殊条件错误；设计错误；设计错误；配置错误；配置错误；竞争条件错误；竞争条件错误；其他。其他。1输入确认错误输入

30、确认错误 在在输输入入确确认认错错误误的的程程序序中中，由由用用户户输输入入的的字字符符串串没没有有经经过过适适当当的的检检查查，使使得得黑黑客客可可以以通通过过输输入入一一个个特特殊殊的的字字符符串串造造成成程程序序运运行行错误。错误。输输入入确确认认错错误误的的另另一一个个子子集集就就是是边边界界条条件件溢溢出出。边边界界条条件件溢溢出出指指的的是是程程序序中中的的一一个个变变量量值值超超过过它它自自己己边边界界条条件件时时的的程程序序运运行行错错误。误。2访问确认错误访问确认错误 访问确认错误指的是系统的访问控制机制访问确认错误指的是系统的访问控制机制出现错误。错误并不在于用户可控制的配

31、置部出现错误。错误并不在于用户可控制的配置部分，而在系统的控制机制本身。所以，这样的分，而在系统的控制机制本身。所以，这样的缺陷有可能使得系统运行不稳定，但是基本上缺陷有可能使得系统运行不稳定，但是基本上不能被利用去攻击系统，因为它的运行错误不不能被利用去攻击系统，因为它的运行错误不受用户的控制。受用户的控制。1.1.5 用户使用的缺陷用户使用的缺陷用户使用的缺陷体现在以下几个方面：用户使用的缺陷体现在以下几个方面：密码易于被破解；密码易于被破解；软件使用的错误；软件使用的错误；系统备份不完整。系统备份不完整。1密码易于被破解密码易于被破解（1）缺省密码）缺省密码（2）密码与个人信息有关）密码

32、与个人信息有关（3）密码为词典中的词语）密码为词典中的词语（4）过短密码）过短密码（5）永久密码）永久密码2软件使用的错误软件使用的错误 除了软件自身的缺陷以外，软件的使用错除了软件自身的缺陷以外，软件的使用错误还体现在以下几个方面。误还体现在以下几个方面。（1）大量打开端口）大量打开端口（2）危险缺省脚本）危险缺省脚本（3）软件运行权限选择不当）软件运行权限选择不当3系统备份不完整系统备份不完整 系统是否有备份？系统是否有备份？备份间隔是可接受的吗？备份间隔是可接受的吗？系统是按规定进行备份的吗？系统是按规定进行备份的吗？是否确认备份介质正确地保存了数据？是否确认备份介质正确地保存了数据？备

33、份介质是否在室内得到了正确的保护？备份介质是否在室内得到了正确的保护？是否在另一处还有操作系统和存储设施的备份是否在另一处还有操作系统和存储设施的备份（包括必要的（包括必要的license key）？）？存储过程是否被测试及确认？存储过程是否被测试及确认？1.1.6 恶意代码恶意代码 恶恶意意代代码码是是这这几几年年比比较较新新的的概概念念。可可以以说说，这这些些代代码码是是攻攻击击、病病毒毒和和特特洛洛伊伊木木马马的的结结合合。恶恶意意代代码码不不但但破破坏坏计计算算机机系系统统（像像计计算算机机病病毒毒），给给黑黑客客留留出出后后门门（像像特特洛洛伊伊木木马马），它它还还能能够够主主动去攻

34、击并感染别的机器。动去攻击并感染别的机器。1计算机病毒计算机病毒 计算机病毒是一种计算机程序，它可以计算机病毒是一种计算机程序，它可以寄生在一定的载体上，具有隐蔽性、传染性寄生在一定的载体上，具有隐蔽性、传染性和破坏性。计算机病毒的影响对象就是计算和破坏性。计算机病毒的影响对象就是计算机，也就是这个定义中提到的载体，隐蔽性、机，也就是这个定义中提到的载体，隐蔽性、传染性和破坏性都是针对计算机而言。传染性和破坏性都是针对计算机而言。2特洛伊木马特洛伊木马 网网络络安安全全的的另另一一种种威威胁胁是是特特洛洛伊伊木木马马。与与计计算算机机病病毒毒一一样样，特特洛洛伊伊木木马马并并不不是是利利用用系

35、系统统本本身身留留下下的的缺缺陷陷而而是是设设计计者者故故意意创创造造出出来来的的，用用来来对对系系统统进进行行攻攻击击的的一一种种工工具具。特特洛洛伊伊木木马马与与病病毒毒的的不不同同点点在在于于，病病毒毒的的设设计计目目标标是是破破坏坏系系统统，而而特特洛洛伊伊木木马马的的设设计计目目标标是是远远程程控控制制受受害害系系统统。这这样样，特特洛洛伊伊木木马马可可以以直直接接影影响响信信息息的机密性、完整性和可用性。的机密性、完整性和可用性。3恶意代码恶意代码 恶恶意意代代码码是是一一种种计计算算机机程程序序，它它既既有有利利用用系系统统缺缺陷陷的的攻攻击击特特性性，又又有有计计算算机机病病毒

36、毒和和特特洛洛伊伊木木马马的的特特性性。下下面面分分别别讨讨论论这这3种种特特性。性。（1）攻击特性）攻击特性（2）计算机病毒特性）计算机病毒特性（3）特洛伊木马特性）特洛伊木马特性1.2 网络安全体系结构网络安全体系结构1.2.1 网络安全总体框架网络安全总体框架 可以把信息安全看成一个由多个安全单可以把信息安全看成一个由多个安全单元组成的集合，其中每一个安全单元都是一元组成的集合，其中每一个安全单元都是一个整体，包含了多个特性。一般来说，人们个整体，包含了多个特性。一般来说，人们都从都从3个主要特性去理解一个安全单元，就是个主要特性去理解一个安全单元，就是安全特性、结构层次和系统单元。安全

37、单元安全特性、结构层次和系统单元。安全单元集合可以用一个三维的安全空间去描述它，集合可以用一个三维的安全空间去描述它，如图如图1.6所示。所示。图图1.6 信息安全空间信息安全空间 OSI安全体系结构主要包括三部分内容，安全体系结构主要包括三部分内容，即安全服务、安全机制和安全管理。即安全服务、安全机制和安全管理。1.2.2 安全控制安全控制 安全控制是指在微机操作系统和网络通信设备安全控制是指在微机操作系统和网络通信设备上对存储和传输的信息的操作和进程进行控制和管上对存储和传输的信息的操作和进程进行控制和管理，主要是在信息处理层次上对信息进行的初步的理，主要是在信息处理层次上对信息进行的初步

38、的安全保护，可以分为以下安全保护，可以分为以下3个层次。个层次。（1）微机操作系统的安全控制。）微机操作系统的安全控制。（2）网络接口模块的安全控制。）网络接口模块的安全控制。（3）网络互连设备的安全控制。）网络互连设备的安全控制。1.2.3 安全服务安全服务 OSI安全体系结构定义了一组安全服务，主要安全体系结构定义了一组安全服务，主要包括认证服务、访问控制服务、数据保密服务、包括认证服务、访问控制服务、数据保密服务、数据完整性服务和抗抵赖服务。数据完整性服务和抗抵赖服务。1认证服务认证服务 认证服务提供某个实体的身份保证。认证服务提供某个实体的身份保证。认认证证服服务务有有对对等等实实体体

39、认认证证和和数数据据起起源源认认证证两两种种类类型，现分述如下。型，现分述如下。（1）对等实体认证）对等实体认证 对等实体认证服务就是，在一个实体与实体对等实体认证服务就是，在一个实体与实体的连接中，每一方确认对方的身份。的连接中，每一方确认对方的身份。（2）数据起源认证）数据起源认证 数据起源认证服务就是，在通信的某个环节数据起源认证服务就是，在通信的某个环节中，需要确认某个数据是由某个发送者发送的。中，需要确认某个数据是由某个发送者发送的。2访问控制服务访问控制服务 访问控制服务就是对某些确知身份限制对某些访问控制服务就是对某些确知身份限制对某些资源的访问。资源的访问。访问控制服务直接支持

40、保密性、完整性、可用访问控制服务直接支持保密性、完整性、可用性和认证的安全性能，其中对保密性、完整性和认性和认证的安全性能，其中对保密性、完整性和认证所起的作用十分明显。证所起的作用十分明显。图图1.7 访问控制服务一般模型访问控制服务一般模型 3数据保密性服务数据保密性服务（1）连接保密性）连接保密性 数据保密性服务要保证数据在传输过程中的数据保密性服务要保证数据在传输过程中的保密性。保密性。（2）无连接保密性）无连接保密性 无无连连接接保保密密性性服服务务保保证证数数据据在在无无连连接接的的一一次次通信中的保密性。通信中的保密性。（3）选择字段保密性）选择字段保密性（4）业务流保密性）业务

41、流保密性业业务务流流保保密密性性服服务务保保证证数数据据不不能能通通过过其其流流量量特征而推断出其中的保密信息。特征而推断出其中的保密信息。4数据完整性服务数据完整性服务（1）可恢复的连接完整性）可恢复的连接完整性（2）不可恢复的连接完整性）不可恢复的连接完整性（3）选择字段的连接完整性）选择字段的连接完整性（4）无连接完整性）无连接完整性（5）选择字段的无连接完整性）选择字段的无连接完整性数据完整性服务直接保证数据的完整性。数据完整性服务直接保证数据的完整性。5抗抵赖服务抗抵赖服务 抗抵赖服务与其他安全服务有根本的不同。它抗抵赖服务与其他安全服务有根本的不同。它主要保护通信系统不会遭到来自系

42、统中其他合法用主要保护通信系统不会遭到来自系统中其他合法用户的威胁，而不是来自未知攻击者的威胁。户的威胁，而不是来自未知攻击者的威胁。抗抵赖服务包括如下两种形式。抗抵赖服务包括如下两种形式。（1）数据起源的抗抵赖）数据起源的抗抵赖（2）传递过程的抗抵赖）传递过程的抗抵赖1.2.4 安全需求安全需求1保密性保密性广广广广义义义义的的的的保保保保密密密密性性性性是是是是指指指指保保保保守守守守国国国国家家家家机机机机密密密密，或或或或是是是是未未未未经经经经信信信信息息息息拥拥拥拥有有有有者者者者的的的的许许许许可可可可，不不不不得得得得非非非非法法法法泄泄泄泄漏漏漏漏该该该该保保保保密密密密信信

43、信信息息息息给给给给非非非非授授授授权权权权人人人人员员员员。狭狭狭狭义义义义的的的的保保保保密密密密性性性性则则则则指指指指利利利利用用用用密密密密码码码码技技技技术术术术对对对对信信信信息息息息进进进进行行行行加加加加密密密密处处处处理理理理，以以以以防防防防止止止止信信信信息息息息泄泄泄泄漏漏漏漏和和和和保保保保护护护护信信信信息息息息不不不不为为为为非非非非授权用户掌握。授权用户掌握。授权用户掌握。授权用户掌握。2 2安全性安全性安全性安全性安全性标志安全性标志安全性标志安全性标志着一个信息系统的程序和数据着一个信息系统的程序和数据着一个信息系统的程序和数据着一个信息系统的程序和数据的

44、安全保密程度，即防止非法使用和访问的程度，的安全保密程度，即防止非法使用和访问的程度，的安全保密程度，即防止非法使用和访问的程度，的安全保密程度，即防止非法使用和访问的程度，可分为可分为可分为可分为内部安全和外部安全内部安全和外部安全内部安全和外部安全内部安全和外部安全。内部安全是由计算。内部安全是由计算。内部安全是由计算。内部安全是由计算机网络内部实现的；而外部安全是在计算机网络机网络内部实现的；而外部安全是在计算机网络机网络内部实现的；而外部安全是在计算机网络机网络内部实现的；而外部安全是在计算机网络之间实现的。之间实现的。之间实现的。之间实现的。3 3完整性完整性完整性完整性完整性完整性

45、完整性完整性就是数据未经授权不能进行改变的就是数据未经授权不能进行改变的就是数据未经授权不能进行改变的就是数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、特性，即信息在存储或传输过程中保持不被修改、特性，即信息在存储或传输过程中保持不被修改、特性，即信息在存储或传输过程中保持不被修改、破坏和丢失的特性。破坏和丢失的特性。破坏和丢失的特性。破坏和丢失的特性。4服务可用性服务可用性 服务可用性服务可用性是一种可被授权实体访问并按需是一种可被授权实体访问并按需求使用的特性，即当需要时被授权实体能否存取求使用的特性，即当需要时被授权实体能否存取所需的信息。所需的信息。5可控性可控

46、性 可控性可控性是一种对信息的传播及内容具有控制是一种对信息的传播及内容具有控制能力的特性。能力的特性。6信息流保护信息流保护1.3 PDRR网络安全模型网络安全模型一个最常见的安全模型就是一个最常见的安全模型就是PDRR模模型。型。PDRR由由4个英文单词的头一个字符组个英文单词的头一个字符组成：成：Protection（防护）、（防护）、Detection（检测）（检测）、Response（响应）和（响应）和Recovery（恢复）。（恢复）。这这4个部分组成了一个动态的信息安全周期，个部分组成了一个动态的信息安全周期，如图如图1.8所示。所示。安全策略的每一部分包括一组安全单元安全策略的

47、每一部分包括一组安全单元来实施一定的安全功能。来实施一定的安全功能。图图1.8 信息安全策略信息安全策略1.3.1 防护防护1风险评估风险评估缺陷扫描缺陷扫描 风险评估属于网络安全防护类型。风险评估就风险评估属于网络安全防护类型。风险评估就是发现并修补系统和网络存在的安全缺陷。是发现并修补系统和网络存在的安全缺陷。安全缺陷可以分为两种，允许远程攻击的缺陷安全缺陷可以分为两种，允许远程攻击的缺陷和只允许本地攻击的缺陷。和只允许本地攻击的缺陷。对于允许远程攻击的安全缺陷，可以使用网络对于允许远程攻击的安全缺陷，可以使用网络缺陷扫描工具去发现。缺陷扫描工具去发现。2访问控制及防火墙访问控制及防火墙访

48、问控制技术属于网络安全防护类型。访问控制技术属于网络安全防护类型。3防病毒软件与个人防火墙防病毒软件与个人防火墙4数据备份和归档数据备份和归档5数据加密数据加密数据加密技术是信息安全防护的重要技术。数据加密技术是信息安全防护的重要技术。6鉴别技术鉴别技术鉴别技术也是信息安全防护的重要技术。鉴别技术也是信息安全防护的重要技术。7使用安全通信使用安全通信8系统安全评估标准系统安全评估标准1.3.2 检测检测PDRR模型的第二个环节是检测（模型的第二个环节是检测（D）。）。检测和防护有根本性的区别。如果防护和黑客检测和防护有根本性的区别。如果防护和黑客的关系是：的关系是：“防护在明，黑客在暗防护在明

49、，黑客在暗”，那么检测和黑，那么检测和黑客的关系就是客的关系就是“黑客在明，检测在暗黑客在明，检测在暗”。在在PDRR模型中，防护（模型中，防护（P）和检测）和检测（D）之间有互补关系。）之间有互补关系。IDS是一个硬件系统或软件程序，它是一个硬件系统或软件程序，它的功能是检测出正在发生或者已经发生的的功能是检测出正在发生或者已经发生的入侵事件，这些入侵已经成功地穿过防护入侵事件，这些入侵已经成功地穿过防护战线。一个入侵检测系统有很多特征，其战线。一个入侵检测系统有很多特征，其主要特征为：检测环境和检测算法。根据主要特征为：检测环境和检测算法。根据不同的特征，入侵检测系统可以分为不同不同的特征

50、，入侵检测系统可以分为不同的类型。的类型。1.3.3 响应响应 PDRR模型中的第三个环节是响应（模型中的第三个环节是响应（R）。响）。响应就是已知一个攻击（入侵）事件发生之后，进行应就是已知一个攻击（入侵）事件发生之后，进行处理。处理。1.3.4 恢复恢复 恢复（恢复（R）是）是PDRR模型中的最后一个环节。模型中的最后一个环节。1.4 网络安全基本原则网络安全基本原则1.4.1 普遍参与普遍参与为了使安全机制更有效，绝大部分安全保为了使安全机制更有效，绝大部分安全保护系统要求站点人员普遍参与（或至少没有反护系统要求站点人员普遍参与（或至少没有反对者）。对者）。1.4.2 纵深防御纵深防御纵