第12章 网络安全 【计算机网络】
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2)假冒,指非法用户假冒合法用户身份获取敏感 信息的行为;
(3)数据窃取,指非法用户截获通信网络的数据;
(4)否认,指通信方事后否认曾经参与某次活动的 行为;
(5)非授权访问;
(6)拒绝服务,指合法用户的正当申请被拒绝、延 迟、更改等。
Hale Waihona Puke Baidu
• 网络安全研究的一些重要内容:
(1)鉴别(Authentication);
12.1.2 网络安全的评价标准
1.美国可信计算机安全评价标准(TCSEC)
TCSEC标准是计算机系统安全评估的第一个正式标准, 具有划时代的意义。 该准则于1970年由美国国防科学委员会提出,并于 1985年12月由美国国防部公布。TCSEC最初只是军用 标准,后来发展为民用领域。
TCSEC将计算机系统的安全划分为4个等级、8个级别。
• 网络扫描主要分三个方面的内容: 1. 目标发现 2. 端口扫描 3. 操作系统判断。
1、目标发现
• 目标发现是判断目标系统是否在线或者网络中哪些主机处于活动 状态。在开始攻击前,攻击者不知道目标主机是否在线。更普遍 的情况是,很多攻击者预先并没有明确的攻击目标,通过网络扫 描来发现存在哪些活动主机并从中选定目标。
• Ping扫描是最常见的目标发现方法。它向目标主机发出ICMP echo请求 (ICMP 类型8),并等待对方的反应。如果收到了 ICMP echo 答复(ICMP类型0) 报文,那么便可断定目标主机当 前在线。很多操作系统都提供了实现此功能的ping程序。
评估准则分为6级,分别是测试、配置控制和可控的分配、 能访问详细设计和源码、详细的脆弱性分析、设计与源 码明显对应以及设计与源码在形式上一致。
3.加拿大的评价标准(CTCPEC) CTCPEC专门针对政府需求而设计。与ITSEC类似,该标准将安全
分为功能性需求和保证性需要两部分。功能性需求共划分为四大类: 机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小 类,来表示安全性上的差别,分级条数为0~5级。 4.美国联邦准则(FC)
FC是对TCSEC的升级,并引入了“保护轮廓”(PP)的概念。每 个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和 CTCPEC的优点,在美国的政府、民间和商业领域得到广泛应用。 5.国际通用准则(CC)
CC是国际标准化组织统一现有多种准则的结果,是目前最全面的 评价准则。1996年6月,CC第一版发布;1998年5月,CC第二版发 布;1999年10月CC V2.1版发布,并且成为ISO标准。CC的主要思 想和框架都取自ITSEC和FC,并充分突出了“保护轮廓”概念。CC 将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、 EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估 7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、 生命期的技术支持、测试和脆弱性评估。
6.中华人民共和国国家标准计算机信息系统安全保 护等级划分准则
本标准规定了计算机系统安全保护能力的五个等级, 即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
12.1.3 网络安全的基本配置
• 解决网络信息安全问题的主要途径是利用密码技术和网络访问控 制技术。密码技术用于隐蔽传输信息、认证用户身份等。网络访 问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
2.欧洲的安全评价标准(ITSCE)
ITSCE是欧洲多国安全评价方法的综合产物,应用领域 为军队、政府和商业。
该标准将安全概念分为功能与评估两部分。
功能准则从F1~F10共分10级。1~5级对应于TCSEC的 D到A。F6至F10级分别对应数据和程序的完整性、系统 的可用性、数据通信的完整性、数据通信的保密性以及 机密性和完整性的网络安全。
(2)访问控制(Access control);
(3)数据保密(Data confidentiality); (4) 数据完整性(Data integrity); (5)抗抵赖 (Non-reputation)。
• 为了实现以上服务,制定了8种安全机制:
(1)加密机制(Encryption Mechanisms); (2)数字签名机制(Digital Signature Mechanisms) (3)访问控制机制(Access Control Mechanisms) (4)数据完整性机制(Data Integrity Mechanisms) (5)鉴别交换机制(Authentication Mechanisms) (6)通信业务填充机制(Traffic Padding Mechanisms) (7)路由控制机制(Routing Control Mechanisms) (8)公证机制(Notarization Mechanisms)
第12章 网络安全
12.1 网络安全概述 12.2 网络攻击技术 12.3 密码理论与技术 12.4 防火墙技术 12.5 入侵检测系统
12.1 网络安全概述
• 针对网络安全的威胁主要有:
(1)人为的无意失误 (2)人为的恶意攻击 (3)网络软件的漏洞和“后门”
这些安全威胁可分为如下几类:
(1)身份窃取,指用户身份在通信时被非法截取;
目前,在市场上比较流行的安全产品大致有以下几类: (1)防火墙 (2)安全路由器 (3)虚拟专用网(VPN) (4)安全服务器 (5)电子签证机构--CA和PKI产品 (6)用户认证产品 (7) 安全管理中心 (8)入侵检测系统(IDS) (9)安全数据库 (10)安全操作系统
• 网络扫描 • 网络监听 • 网络入侵 • 网络病毒
12.2 网络攻击技术
12.2.1 网络扫描
• 网络扫描就是通过一系列的手段来获取目标的相关信息。目标可 以是单机或一个网络。
• 实施网络扫描时,攻击者发送一些特定构造的数据包,并分析目 标的反应,从而对目标的情况做出判断。
• 网络扫描并不直接攻击目标,而是收集目标的基本安全情况,并 根据这些情况确定是否入侵和如何入侵目标。
(3)数据窃取,指非法用户截获通信网络的数据;
(4)否认,指通信方事后否认曾经参与某次活动的 行为;
(5)非授权访问;
(6)拒绝服务,指合法用户的正当申请被拒绝、延 迟、更改等。
Hale Waihona Puke Baidu
• 网络安全研究的一些重要内容:
(1)鉴别(Authentication);
12.1.2 网络安全的评价标准
1.美国可信计算机安全评价标准(TCSEC)
TCSEC标准是计算机系统安全评估的第一个正式标准, 具有划时代的意义。 该准则于1970年由美国国防科学委员会提出,并于 1985年12月由美国国防部公布。TCSEC最初只是军用 标准,后来发展为民用领域。
TCSEC将计算机系统的安全划分为4个等级、8个级别。
• 网络扫描主要分三个方面的内容: 1. 目标发现 2. 端口扫描 3. 操作系统判断。
1、目标发现
• 目标发现是判断目标系统是否在线或者网络中哪些主机处于活动 状态。在开始攻击前,攻击者不知道目标主机是否在线。更普遍 的情况是,很多攻击者预先并没有明确的攻击目标,通过网络扫 描来发现存在哪些活动主机并从中选定目标。
• Ping扫描是最常见的目标发现方法。它向目标主机发出ICMP echo请求 (ICMP 类型8),并等待对方的反应。如果收到了 ICMP echo 答复(ICMP类型0) 报文,那么便可断定目标主机当 前在线。很多操作系统都提供了实现此功能的ping程序。
评估准则分为6级,分别是测试、配置控制和可控的分配、 能访问详细设计和源码、详细的脆弱性分析、设计与源 码明显对应以及设计与源码在形式上一致。
3.加拿大的评价标准(CTCPEC) CTCPEC专门针对政府需求而设计。与ITSEC类似,该标准将安全
分为功能性需求和保证性需要两部分。功能性需求共划分为四大类: 机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小 类,来表示安全性上的差别,分级条数为0~5级。 4.美国联邦准则(FC)
FC是对TCSEC的升级,并引入了“保护轮廓”(PP)的概念。每 个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和 CTCPEC的优点,在美国的政府、民间和商业领域得到广泛应用。 5.国际通用准则(CC)
CC是国际标准化组织统一现有多种准则的结果,是目前最全面的 评价准则。1996年6月,CC第一版发布;1998年5月,CC第二版发 布;1999年10月CC V2.1版发布,并且成为ISO标准。CC的主要思 想和框架都取自ITSEC和FC,并充分突出了“保护轮廓”概念。CC 将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、 EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估 7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、 生命期的技术支持、测试和脆弱性评估。
6.中华人民共和国国家标准计算机信息系统安全保 护等级划分准则
本标准规定了计算机系统安全保护能力的五个等级, 即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
12.1.3 网络安全的基本配置
• 解决网络信息安全问题的主要途径是利用密码技术和网络访问控 制技术。密码技术用于隐蔽传输信息、认证用户身份等。网络访 问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
2.欧洲的安全评价标准(ITSCE)
ITSCE是欧洲多国安全评价方法的综合产物,应用领域 为军队、政府和商业。
该标准将安全概念分为功能与评估两部分。
功能准则从F1~F10共分10级。1~5级对应于TCSEC的 D到A。F6至F10级分别对应数据和程序的完整性、系统 的可用性、数据通信的完整性、数据通信的保密性以及 机密性和完整性的网络安全。
(2)访问控制(Access control);
(3)数据保密(Data confidentiality); (4) 数据完整性(Data integrity); (5)抗抵赖 (Non-reputation)。
• 为了实现以上服务,制定了8种安全机制:
(1)加密机制(Encryption Mechanisms); (2)数字签名机制(Digital Signature Mechanisms) (3)访问控制机制(Access Control Mechanisms) (4)数据完整性机制(Data Integrity Mechanisms) (5)鉴别交换机制(Authentication Mechanisms) (6)通信业务填充机制(Traffic Padding Mechanisms) (7)路由控制机制(Routing Control Mechanisms) (8)公证机制(Notarization Mechanisms)
第12章 网络安全
12.1 网络安全概述 12.2 网络攻击技术 12.3 密码理论与技术 12.4 防火墙技术 12.5 入侵检测系统
12.1 网络安全概述
• 针对网络安全的威胁主要有:
(1)人为的无意失误 (2)人为的恶意攻击 (3)网络软件的漏洞和“后门”
这些安全威胁可分为如下几类:
(1)身份窃取,指用户身份在通信时被非法截取;
目前,在市场上比较流行的安全产品大致有以下几类: (1)防火墙 (2)安全路由器 (3)虚拟专用网(VPN) (4)安全服务器 (5)电子签证机构--CA和PKI产品 (6)用户认证产品 (7) 安全管理中心 (8)入侵检测系统(IDS) (9)安全数据库 (10)安全操作系统
• 网络扫描 • 网络监听 • 网络入侵 • 网络病毒
12.2 网络攻击技术
12.2.1 网络扫描
• 网络扫描就是通过一系列的手段来获取目标的相关信息。目标可 以是单机或一个网络。
• 实施网络扫描时,攻击者发送一些特定构造的数据包,并分析目 标的反应,从而对目标的情况做出判断。
• 网络扫描并不直接攻击目标,而是收集目标的基本安全情况,并 根据这些情况确定是否入侵和如何入侵目标。