网络安全技术概述ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1 网络安全的基本问题
网络安全的定义: 从本质上讲,网络安全就是网络
上的信息安全,是指网络系统的硬件、 软件和系统中的数据受到保护,不受 偶然的或者恶意的攻击而遭到破坏、 更改、泄露,系统连续可靠正常地运 行,网络服务不中断;
Page 1
第1章 网络安全技术概述
1.1
网络安全的基本问题
1.2
网络安全体系结构
Page 4
网络安全现状
系统的脆弱性 Internet的无国际性 TCP/IP本身在安全方面的缺陷 网络建设缺少安全方面的考虑(安全滞后) 安全技术发展快、人员缺乏 安全管理覆盖面广,涉及的层面多。
Page 5
安全工作的目的
进
拿
改
不
不
不
来
走
了
Page 6
看
跑
不
不
懂
了
网络安全涉及知识领域
Page 7
Page 13
2.UNIX操作系统的安全缺陷 (1)远程过程调用(RPC) (2)Sendmail
Page 14
3.Windows系列操作系统的安全缺陷 (1)Unicode
Unicode是ISO发布的统一全球文字符 号的国际标准编码,它是一种双字节的编 码 。 通 过 向 IIS 服 务 器 发 出 一 个 包 括 非 法 Unicode UTF-8序列的URL,攻击者可以迫 使服务器逐字“进入或退出”目录并执行 任意脚本,这种攻击称为目录转换攻击。
Page 18
ii) 己方针对对方序列号发出的应答(确认) 号=对方上次的序列号+1.
iii) 己方发出的(非初始)序列号=己方 上次的序列号+1=己方收到的应答号。
各方每次发送以上iii) 和ii)。
例:正常情况下的三次握手与通信:
客户端
服务端
===============> 客SequenceNum=1001 (初始)
Page 16
1.1.3 网络协议的安全缺陷
网络系统都使用的TCP/IP协议、FTP、 E-mail、NFS等都包含着许多影响网络安全 的因素,存在许多漏洞。 1.TCP序列号预计 2.路由协议缺陷 3.网络监听
Page 17
典型的TCP协议攻击 /安全缺陷 LAND攻击: 将TCP包中的源地址、端口号和目的地址、端口
Page 20
服 SequenceNum=4999+1=5000 ===============> 客SequenceNum=1002+1=1003 客 Ack=5000+1=5001 <============== 服Ack=1003+1=1004 服 SequenceNum=5000+1=5001 。。。
号设成相同。将地址字段均设成目的机器的 IP地址。若对应的端口号处于激活(等待) 状态,LAND攻击可使目的机器死机或重新 启动。攻击奏效的原因出于TCP的可靠性。 攻击利用TCP初始连接建立期间的应答方式 存在的问题。攻击的关键在于server和client 由各自的序列号。 注:i) 初始序列号各方随机自选。
Page 19
<============== 服Ack=1001+1=1002 服 SequenceNum=4999 (初始) ===============> 客SequenceNum=1001+1=1002 客 Ack=4999+1=5000 (以上完成三次握手) <============== 服Ack=1002+1=1003
Pagቤተ መጻሕፍቲ ባይዱ 10
3 操作失误和意外疏忽。这类安全威 胁的特点是人为实施的无意性和非针 对性。这类安全威胁只破坏信息的完 整性和可用性,无损信息的秘密性。
Page 11
1.1.2 操作系统的安全缺陷
操作系统的脆弱性
(1)操作系统体系结构本身就是不安全的一种 因素。 (2)操作系统可以创建进程,即使在网络的节 点上同样也可以进行远程进程的创建与激活,更 令人不安的是被创建的进程具有可以继续创建进 程的权力。 (3)网络操作系统提供的远程过程调用服务以 及它所安排的无口令入口也是黑客的通道。
Page 9
目前主要的物理安全威胁包括以下三大类: 1 自然灾害、物理损坏和设备故障。这类 安全威胁的特点是突发性、自然因素性、 非针对性。这类安全威胁只破坏信息的完 整性和可用性,无损信息的秘密性。 2 电磁辐射、乘虚而入和痕迹泄露。这类 安全威胁的特点是难以察觉性、人为实施 的故意性和信息的无意泄露性。这类安全 威胁只破坏信息的秘密性,无损信息的完 整性和可用性。
1.3
网络安全模型
1.4 网络安全防范体系及设计原则
Page 2
广义上讲,凡是涉及到网络上信息的 保密性、完整性、可用性、真实性和 可控性的相关技术和理论都是网络安 全所要研究的领域。
Page 3
网络安全的特征
(1)保密性:信息不泄露给非授权的用户、 实体或过程,或供其利用的特性。 (2)完整性:数据未经授权不能进行改变 的特性。 (3)可用性:可被授权实体访问并按需求 使用的特性,即当需要时应能存取所需的 信息。 (4)可控性:对信息的传播及内容具有控 制能力。
综合而言,网络安全的基本问题包括 物理安全威胁、操作系统的安全缺陷、 网络协议的安全缺陷、应用软件的实 现缺陷、用户使用的缺陷和恶意程序 六个方面。
Page 8
1.1.1 物理安全威胁
物理安全是指保护计算机网络设备、 设施以及其他媒体免遭地震、水灾、 火灾等环境事故以及人为操作失误或 错误及各种计算机犯罪行为导致的破 坏过程。
Hfnetchk是一个用来帮助网络管理员 判断系统所打补丁情况的工具。
Page 15
(2)ISAPI缓冲区溢出 在安装IIS的时候,多个ISAPI被自动安装。 ISAPI允许开发人员使用多种动态链接库 DLLs来扩展IIS服务器的性能。如果安装了 IIS服务器,并没有打过补丁,那么该系统 可能会受到控制IIS服务器的这种攻击。
Page 12
1.安全缺陷的检索 CVE(Common Vulnerabilities and
Exposures) 是信息安全确认的一个列表或者 词典,它在不同的信息安全缺陷的数据库之 间提供一种公共索引,是信息共享的关键。
有了CVE检索之后,一个缺陷就有了一 个公共的名字,从而可以通过CVE的条款检 索到包含该缺陷的所有数据库。
网络安全的定义: 从本质上讲,网络安全就是网络
上的信息安全,是指网络系统的硬件、 软件和系统中的数据受到保护,不受 偶然的或者恶意的攻击而遭到破坏、 更改、泄露,系统连续可靠正常地运 行,网络服务不中断;
Page 1
第1章 网络安全技术概述
1.1
网络安全的基本问题
1.2
网络安全体系结构
Page 4
网络安全现状
系统的脆弱性 Internet的无国际性 TCP/IP本身在安全方面的缺陷 网络建设缺少安全方面的考虑(安全滞后) 安全技术发展快、人员缺乏 安全管理覆盖面广,涉及的层面多。
Page 5
安全工作的目的
进
拿
改
不
不
不
来
走
了
Page 6
看
跑
不
不
懂
了
网络安全涉及知识领域
Page 7
Page 13
2.UNIX操作系统的安全缺陷 (1)远程过程调用(RPC) (2)Sendmail
Page 14
3.Windows系列操作系统的安全缺陷 (1)Unicode
Unicode是ISO发布的统一全球文字符 号的国际标准编码,它是一种双字节的编 码 。 通 过 向 IIS 服 务 器 发 出 一 个 包 括 非 法 Unicode UTF-8序列的URL,攻击者可以迫 使服务器逐字“进入或退出”目录并执行 任意脚本,这种攻击称为目录转换攻击。
Page 18
ii) 己方针对对方序列号发出的应答(确认) 号=对方上次的序列号+1.
iii) 己方发出的(非初始)序列号=己方 上次的序列号+1=己方收到的应答号。
各方每次发送以上iii) 和ii)。
例:正常情况下的三次握手与通信:
客户端
服务端
===============> 客SequenceNum=1001 (初始)
Page 16
1.1.3 网络协议的安全缺陷
网络系统都使用的TCP/IP协议、FTP、 E-mail、NFS等都包含着许多影响网络安全 的因素,存在许多漏洞。 1.TCP序列号预计 2.路由协议缺陷 3.网络监听
Page 17
典型的TCP协议攻击 /安全缺陷 LAND攻击: 将TCP包中的源地址、端口号和目的地址、端口
Page 20
服 SequenceNum=4999+1=5000 ===============> 客SequenceNum=1002+1=1003 客 Ack=5000+1=5001 <============== 服Ack=1003+1=1004 服 SequenceNum=5000+1=5001 。。。
号设成相同。将地址字段均设成目的机器的 IP地址。若对应的端口号处于激活(等待) 状态,LAND攻击可使目的机器死机或重新 启动。攻击奏效的原因出于TCP的可靠性。 攻击利用TCP初始连接建立期间的应答方式 存在的问题。攻击的关键在于server和client 由各自的序列号。 注:i) 初始序列号各方随机自选。
Page 19
<============== 服Ack=1001+1=1002 服 SequenceNum=4999 (初始) ===============> 客SequenceNum=1001+1=1002 客 Ack=4999+1=5000 (以上完成三次握手) <============== 服Ack=1002+1=1003
Pagቤተ መጻሕፍቲ ባይዱ 10
3 操作失误和意外疏忽。这类安全威 胁的特点是人为实施的无意性和非针 对性。这类安全威胁只破坏信息的完 整性和可用性,无损信息的秘密性。
Page 11
1.1.2 操作系统的安全缺陷
操作系统的脆弱性
(1)操作系统体系结构本身就是不安全的一种 因素。 (2)操作系统可以创建进程,即使在网络的节 点上同样也可以进行远程进程的创建与激活,更 令人不安的是被创建的进程具有可以继续创建进 程的权力。 (3)网络操作系统提供的远程过程调用服务以 及它所安排的无口令入口也是黑客的通道。
Page 9
目前主要的物理安全威胁包括以下三大类: 1 自然灾害、物理损坏和设备故障。这类 安全威胁的特点是突发性、自然因素性、 非针对性。这类安全威胁只破坏信息的完 整性和可用性,无损信息的秘密性。 2 电磁辐射、乘虚而入和痕迹泄露。这类 安全威胁的特点是难以察觉性、人为实施 的故意性和信息的无意泄露性。这类安全 威胁只破坏信息的秘密性,无损信息的完 整性和可用性。
1.3
网络安全模型
1.4 网络安全防范体系及设计原则
Page 2
广义上讲,凡是涉及到网络上信息的 保密性、完整性、可用性、真实性和 可控性的相关技术和理论都是网络安 全所要研究的领域。
Page 3
网络安全的特征
(1)保密性:信息不泄露给非授权的用户、 实体或过程,或供其利用的特性。 (2)完整性:数据未经授权不能进行改变 的特性。 (3)可用性:可被授权实体访问并按需求 使用的特性,即当需要时应能存取所需的 信息。 (4)可控性:对信息的传播及内容具有控 制能力。
综合而言,网络安全的基本问题包括 物理安全威胁、操作系统的安全缺陷、 网络协议的安全缺陷、应用软件的实 现缺陷、用户使用的缺陷和恶意程序 六个方面。
Page 8
1.1.1 物理安全威胁
物理安全是指保护计算机网络设备、 设施以及其他媒体免遭地震、水灾、 火灾等环境事故以及人为操作失误或 错误及各种计算机犯罪行为导致的破 坏过程。
Hfnetchk是一个用来帮助网络管理员 判断系统所打补丁情况的工具。
Page 15
(2)ISAPI缓冲区溢出 在安装IIS的时候,多个ISAPI被自动安装。 ISAPI允许开发人员使用多种动态链接库 DLLs来扩展IIS服务器的性能。如果安装了 IIS服务器,并没有打过补丁,那么该系统 可能会受到控制IIS服务器的这种攻击。
Page 12
1.安全缺陷的检索 CVE(Common Vulnerabilities and
Exposures) 是信息安全确认的一个列表或者 词典,它在不同的信息安全缺陷的数据库之 间提供一种公共索引,是信息共享的关键。
有了CVE检索之后,一个缺陷就有了一 个公共的名字,从而可以通过CVE的条款检 索到包含该缺陷的所有数据库。