97第二章 计算机网络安全技术基础

辽宁工程技术大学实验实训中心第2章计算机网络安全技术基础2.1计算机网络安全的概念2.2计算机网络系统面临的威胁2.3计算机网络系统的脆弱性2.4计算机网络安全技术的研究内容和发展过程2.5计算机网络安全的三个层次2.6网络安全的设计和基本原则2.7安全技术评价标准辽宁工程技术大学实验实训中心2.1计算机网络安全的概念一、计算机网络安全的定义从狭义的保护角度来看，计算机网络安全是指计算机及其网络资源不受自然（偶然）和人为有害（恶意）因素的威胁和危害，系统能连续正常运行。从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。辽宁工程技术大学实验实训中心二、计算机网络安全的重要性1.成为敌对势力、不法分子的攻击目标。2.存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。3.计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐射环境，……，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。2.1计算机网络安全的概念辽宁工程技术大学实验实训中心4.随着计算机系统的广泛应用，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。5.计算机网络安全问题涉及许多学科领域，是一个非常复杂的综合问题，随着系统应用环境的变化而不断变化。6.从认识论的高度看，人们往往首先关注对系统的需要、功能，然后才被动地从现象注意系统应用的安全问题。2.1计算机网络安全的概念辽宁工程技术大学实验实训中心2.2计算机网络系统面临的威胁一、计算网络系统面临的威胁1.对硬件实体的威胁和攻击2.对信息的威胁和攻击3.攻击软、硬件系统4.计算机犯罪辽宁工程技术大学实验实训中心二、安全威胁的来源2.2计算机网络系统面临的威胁1．天灾2．人祸3．系统本身的原因辽宁工程技术大学实验实训中心2.2计算机网络系统面临的威胁三、威胁的具体表现形式1.伪装2.非法连接3.非授权访问4.拒绝服务5.抵赖6.信息泄露7.业务流分析8.改动信息流9.篡改或破坏数据10.推断或演绎信息11.非法篡改程序辽宁工程技术大学实验实训中心2.3计算机网络系统的脆弱性一、操作系统安全的脆弱性1.操作系统结构体制本身的缺陷。2.在网络上传输文件，加载与安装程序，包括可执行的文件。3.在于创建进程，甚至可以在网络的节点上进行远程的创建和激活。4.操作系统中有一些守护进程，实际上是一些系统进程，它们总是在等待一些条件的出现。5.操作系统都提供远程过程调用（RPC）服务，而提供的安全验证功能却很有限。辽宁工程技术大学实验实训中心2.3计算机网络系统的脆弱性6.操作系统提供网络文件系统（NFS）服务，NFS系统是一个基于RPC的网络文件系统。7.操作系统的debug和wizard功能。8.操作系统安排的无口令入口，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用。9.操作系统还有隐蔽的信道，存在着潜在的危险。10.尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值。辽宁工程技术大学实验实训中心2.3计算机网络系统的脆弱性二、网络安全的脆弱性使用TCP/IP协议的网络所提供的FTP、E-Mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。同时，网络的普及，使信息共享达到了一个新的层次，信息被暴露的机会大大增多。特别是Internet网络就是一个不设防的开放大系统。另外，数据处理的可访问性和资源共享的目的性之间是一对矛盾。它造成了计算机系统保密性难。辽宁工程技术大学实验实训中心三、数据库管理系统安全的脆弱性2.3计算机网络系统的脆弱性当前，大量的信息存储在各种各样的数据库中，然而，这些数据库系统在安全方面的考虑却很少。而且，数据库管理系统安全必须与操作系统的安全相配套。例如，DBMS的安全级别是B2级，那么操作系统的安全级别也应该是B2级，但实践中往往不是这样做的。辽宁工程技术大学实验实训中心四、防火墙的局限性2.3计算机网络系统的脆弱性尽管利用防火墙可以保护安全网免受外部黑客的攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。辽宁工程技术大学实验实训中心五、其他方面的原因2.3计算机网络系统的脆弱性1.计算机领域中重大技术进步都对安全性构成新的威胁。2.安全性的地位总是列在计算机网络系统总体设计规划的最后面，勿略了网络系统的安全。3.易受环境和灾害的影响。4.电子技术基础薄弱，抵抗外部环境较弱。5.剩磁效应和电磁泄漏的不可避免。辽宁工程技术大学实验实训中心一、研究内容2.4计算机网络安全技术的研究内容和发展1.实体硬件安全2.软件系统安全3.网络安全防护4.数据信息安全5.病毒防治技术6.网络站点安全辽宁工程技术大学实验实训中心二、发展过程2.4计算机网络安全技术的研究内容和发展50年代，计算机应用范围很小，安全问题并不突出，70年代以来，推动了密码学的应用和发展。80年代规定了操作系统的安全要求。进入90年代以来，出现了防火墙和适应网络通令的加密技术。有效地提高了网站的整体安全防护水平。近年来，随着信息高速公路的兴起，全球信息化建设步伐不断加快，网络的安全保密研究将会得到更进一步的发展。辽宁工程技术大学实验实训中心一、安全立法2.5计算机网络安全的三个层次1.社会规范2.国外的主要计算机安全立法3.我国计算机信息系统安全法规简介4.有关计算机软件知识产权的保护问题5.技术规范辽宁工程技术大学实验实训中心二、安全管理2.5计算机网络安全的三个层次安全管理是安全的三个层次中的第二个层次，从人事资源管理到资产物业管理，从教育培训、资格认证到人事考核鉴定制度，从动态运行机制到日常工作规范、岗位责任制度，方方面面的规章制度是一切技术措施得以贯彻实施的重要保证。辽宁工程技术大学实验实训中心三、安全技术措施2.5计算机网络安全的三个层次安全技术措施是计算机网络安全的重要保证，是方法、工具、设备、手段乃至需求、环境的综合，也是整个系统安全的物质技术基础。贯彻落实在系统开发的各个阶段，从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。辽宁工程技术大学实验实训中心一、安全需求2.6网络安全的设计和基本原则1.保密性2.安全性3.完整性4.服务可用性5.可控性6.信息流保护辽宁工程技术大学实验实训中心二、网络安全设计应考虑的问题2.6网络安全的设计和基本原则1.分析安全需求2.确定安全方针3.选择安全功能4.选择安全措施5.完善安全管理辽宁工程技术大学实验实训中心三、网络安全系统设计的基本原则2.6网络安全的设计和基本原则1.需求、风险、代价平衡分析的原则2.综合性、整体性、等级性原则3.方便用户原则4.适应性及灵活性原则5．一致性原则6．木桶原则7．有效性与实用性原则8．安全性评价原则9．动态化原则10．具体的设计原则辽宁工程技术大学实验实训中心2.6网络安全的设计和基本原则信息的操作和管理安全恢复机制安全监测机制安全防护机制信息图2.1信息安全的整体性原则辽宁工程技术大学实验实训中心四、网络安全设计的关键2.6网络安全的设计和基本原则1.网络的安全结构模型2.形式化的表达工具3.安全控制的技术方法和产品辽宁工程技术大学实验实训中心2.7安全技术评价标准1.OSI安全体系结构的安全技术标准2.美国国家计算机安全中心（NCSC）的安全技术标准3.其他重要的安全技术标准辽宁工程技术大学实验实训中心表2.1可信计算机系统评价准则及等级