《计算机网络技术及应用》完整课件：11

第十一章 网络安全 11.1 网络安全概述 随着Internet为代表的全球信息化的日益深入，网络技术的应用层次也在不 断深入。其应用领域从传统的小型业务系统向大型的关键业务系统扩展，比较典型 的有政府部门信息系统、金融业务系统、企业商务系统等。然而，随着网络的普及， 网络安全已经成为影响网络效能的重要问题，而Internet所具有的开放性、国际性 和自由性在增加应用自由度的同时，也对网络安全性提出了更高的要求，这主要表 现在以下方面。 开放性：开放性网络导致网络的技术是完全开放的，任何个人、团体都可能获 得，因而网络所面临的破坏和攻击可能是多方面的。 攻击性：国际性的网络意味着网络的攻击不仅仅来自本地网络的用户，还可以 来自Internet上的任何一台计算机，也就是说，网络安全所面临的是一个国际化的 挑战。 自由性：自由意味着网络最初对用户的使用并没有提供技术约束，用户可以自 由地访问网络，自由地使用和发布各种类型的信息，用户只需要对自己的行为负责， 而没有任何的法律限制。 尽管开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带 来了革命性的改革和开放，使得它们能够利用Internet提高办事效率和市场反应能 力，从而更具竞争力，但同时网络开放也带来了数据安全的危险和挑战。因此，如 何保护机密信息不受黑客和间谍的入侵、确保网络系统的正常安全运行，已成为政 府机构、企事业单位信息化健康发展所要考虑的重要因素之一。 11.1.1 网络安全的概念 从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息 资源不受自然和人为有害因素的威胁和危害，即指计算机、网络系统的硬件、软件 及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露， 保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。 从广义角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、 真实性和可控制性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与 网络系统有关的所有硬件、软件、数据、管理、环境等内容。我们通常所说的网络 安全主要是指狭义的网络安全。 网络安全包括五个基本要素：机密性、完整性、可用性、可控制性与可审查性。 机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 ２０４ 第十一章 网络安全 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源 而阻碍授权者的工作。 可控制性：可以控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 11.1.2 网络安全面临的风险 一般认为，目前网络安全面临的风险主要有以下五个方面。 (1) 非授权访问：指没有预先经过同意非法使用网络或计算机资源，比如有意避 开系统访问控制机制，对网络设备及资源进行非正常使用；擅自扩大权限、越权访 问信息等。 (2) 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常包 括信息在传输中丢失或泄漏(如，利用电磁泄漏或搭线窃听等方式截获机密信息)； 在存储介质中丢失或泄漏；通过建立隐蔽隧道窃取敏感信息等。 (3) 破坏数据完整性：指以非法手段获得对数据的使用权，删除、修改、插入或 重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据 ，以干扰用 户的正常使用。 (4) 拒绝服务攻击：不断对网络服务系统进行干扰，改变其正常的作业流程，执 行无关程序使系统响应速度减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户 被排斥不能进入计算机网络系统或不能得到相应的服务。 (5) 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统， 而且很难防范。 11.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵 守的规则，它包括三个重要的组成部分。 (1) 威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管 理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律 不敢轻举妄动。 (2) 先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面 临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后 集成先进的安全技术。 (3) 严格的管理：各网络使用机构 、企业和单位应建立相宜的信息安全管理办 法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。 11.1.4 网络安全措施 既然网络中存在诸多安全威胁，就有必要建立完善的网络安全策略。在安全策 略中技术措施是网络正常运行的保证。网络安全措施主要包括口令与访问控制方式、 防火墙技术、应用网关与代理服务器技术、密码技术、IP加密技术和数字签名等技 ２０５ 计算机网络技术及应用 术。在本章中将主要介绍防火墙技术和数据加密及认证技术。 11.2 防火墙技术 11.2.1防火墙的概念 防火墙（Firewall）是一种将内部网络和外部公共网络（Internet）分开的方 法或设备。它检查到达防火墙两端的所有数据包(无论是输入还是输出)，从而决定 拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障，使 公共网络与内部网络之间建立起一个安全网关（Security Gateway）。防火墙通过监 测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构 和运行状况，以此来实现网络的安全保护。防火墙的概念模型如图11-1所示。 外 部 端 口 内 部 端 口 图11-1 防火墙概念模型示意图 11.2.2 防火墙的功能与分类 1． 防火墙的功能 防火墙一般具有如下三种功能： （1） 忠实执行安全策略，限制他人进入内部网络，过滤掉不安全服务和非法用 户。 （2） 限定内部网络用户访问特殊网络站点，接纳外网对本地公共信息的访问。 （3） 具有记录和审计功能，为监视互联网安全提供方便。 2． 防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。 (1) 包过滤防火墙。数据包过滤技术是指在网络层对数据包进行分析、选择。选 择的依据是系统内设置的过滤逻辑，称为访问控制。通过检查数据流中每一个数据 包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允 许该数据包通过。 数据包过滤防火墙的优点是速度快，逻辑简单，成本低，易于安装和使用，网 络性能和透明度好。其缺点是配置困难，容易出现漏洞，而且为特定服务开放的端 口也存在着潜在危险。 (2) 应用代理服务器。应用代理服务器是防火墙的第二代产品，应用代理服务器 ２０６ 第十一章 网络安全 技术能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接 与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之 间的连接来实现。外部计算机的网络链路只能到达代理服务器，从而起到隔离防火 墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢，操作 系统容易遭到攻击。 (3) 状态检测防火墙。状态检测防火墙又称动态包过滤防火墙，在网络层由一个 检查引擎截获数据包并抽取出与应用层状态有关的信息，然后以此决定对该数据包 是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查， 一旦发现任何连接的参数有意外变化，该连接就被中止。状态检测防火墙克服了包 过滤防火墙和应用代理服务器的局限性，根据协议、端口号及源地址、目的地址的 具体情况确定数据包是否可以通过，执行速度很快。 11.2.3 代理服务器的设置方法 要想访问代理服务器，必须首先进行代理服务器的配置，具体步骤如下： （1） 打开IE浏览器，选择【工具】|【Internet选项】，出现【Internet选项】对 话框，选择【连接】选项卡，如图11-2所示。 图11-2 【Internet 选项】对话框 （2） 单击【局域网设置】按钮，出现如图11-3所示的对话框。 图11-3 【局域网（LAN）设置】对话框 ２０７ 计算机网络技术及应用 （3） 输入代理服务器的IP地址和端口数据，单击【高级】按钮，出现如图11-4 所示的对话框。 图11-4 【代理服务器设置】对话框 （4） 对各种代理服务输入代理服务器的IP地址，并对不使用代理服务器的连接 输入域名或IP地址，可以使用统配符“*”。依次单击【确定】按钮，完成代理服务 器设置。 11.3 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通 常是指各种木马病毒和借助邮件传播的病毒。 11.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序，从它对被感染电脑的危害性方面考虑，我们不妨 称之为病毒，但它与病毒有些区别。它一般并不破坏受害者硬盘数据，而是悄悄地 潜伏在被感染的机器中，一旦这台机器连接到网络，就可能大祸临头。黑客通过 Internet找到感染病毒的机器，在自己的电脑上远程操纵它，窃取用户的上网帐户和 密码、随意修改或删除文件，它对网络用户的威胁极大。用户的计算机在不知不觉 中已经被开了个后门，并且受到别人的暗中监视与控制。 对特洛伊木马的防范：不要轻易泄露你的IP地址，下载来历不明的软件时要警 惕其中是否隐藏了木马，使用下载软件前一定要用木马检测工具进行检查。对付特 洛伊木马除了用手工清除方法外，也可用Lockdown 2000等专门的反木马软件来清 除，还可以用它们来检测自己机器上是否有已知或未知的木马程序，实时监视自己 电脑端口是否有“异常活动”，禁止别人访问你的机器。一旦有人企图连接你的机器， 他们就会发出报警声音，还能对正在扫描你机器的人进行跟踪，告诉你此人来自何 处、正在做什么，提示用户用专门的反木马软件进行清除。 11.3.2 邮件病毒及其防范 ２０８ 第十一章 网络安全 邮件病毒和普通病毒是一样的，只不过由于它们主要通过电子邮件传播，所以 称为“邮件病毒”。它通常借助邮件“附件”夹带的方法进行扩散，一旦你收到这类 E-mail，运行了附件中病毒程序就能使你的电脑染毒。这类病毒本身的代码并不复 杂，大都是一些脚本，比如I love you病毒，就是一个用VB Script编写的仅十几KB 的脚本文件，只要收到该病毒的E-mail并打开附件后，病毒就会按照脚本指令，将 浏览器自动连接上一个网址，下载木马程序，更改一些文件后缀为.vbs，最后再把病 毒自动发给Outlook通讯薄中的每一个人。 此外，常见的其他邮件病毒有：Nimda(尼姆达)蠕虫、SirCam蠕虫、欢乐时光、 W32.Nachi蠕虫（中文称“冲击波杀手”）、W32.Blaster（中文称“冲击波”）等病 毒。 对于邮件病毒可以采取以下防范措施： (1) 不要打开陌生人来信中的附件，最好是直接删除。 (2) 不要轻易运行附件中的.EXE、.COM等可执行文件，且运行前要先查杀病毒。 (3) 安装一套可以实时查杀E-mail病毒的防病毒软件。 (4) 收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒的传播。 对于通过脚本“工作”的病毒，可以采用在浏览器中禁止J AVA或ActiveX运 行的方法来阻止病毒的发作。 11.4 数据加密与数字证书 随着计算机和电子通信技术的迅猛发展，“数字化时代”即将到来，“数字经济” 的雏形已经浮现出来。在许多社会交往活动中，包括商业贸易、金融财务、政府行 为、军事信息等，海量数字化信息在网络中流动，数据的生成、传输、存储、验证 和签别等方面正面临新的需求、问题和困难。如何保证原始信息不会被窃取、窃听、 篡改、伪造，如何保证信息发送者的真实性，如何才能保证信息发送者无法抵赖等 问题是网络数据安全所要解决的主要问题。数据加密技术是数据安全的基本保障， 数字证书是从加密学派生出来的数据安全机制。 11.4.1 数据加密技术 数据加密就是通过一定的算法将明文转换为密文的过程，加密的过程是对信息 的重新组合，使得只有收发双方才能解码还原信息。加密的逆过程是解密，即把密 文还原成明文的过程。 密码体制可以分为两大类：对称密钥和非对称密钥。 1. 对称密钥体制 对称密钥（又称为私钥密码）体制使用相同的密钥加密和解密信息，亦即通信 双方建立并共享一个密钥。 对称密钥的工作原理为：用户A要传送机密信息给B，则A和B必须共享一个 预先由人工分配或由一个密钥分发中心分发的密钥K，于是A用密钥K和加密算法 ２０９ 计算机网络技术及应用 E对明文P加密得到密文C，并将密文C发送给B；B收到后，用同样一把密钥K 和解密算法D对密文解密，得到明文P，即还原，全部过程如图11-5所示。 用户A 明 文 P 加密算法E 密 文 C 解密算法D 明 文 P 用户B 密钥K密钥K 发 送 图11-5 对称密钥工作原理 2. 非对称密钥体制 非对称密钥体制也称为公钥密钥体制，是现代密码学最重要的发明和进展。非 对称密钥体制不同于传统的对称密钥体制，它要求密钥成对出现，一个为公共密钥， 另一个为专用密钥，且不可能从其中一个推导出另一个。公共密钥可以发布出去， 专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦 然。 非对称密钥体制的原理为：用户A和用户B各自拥有一对密钥（K A 、K A -1 ）和 （K B 、K B -1 ）。私钥K A -1 、K B -1 分别由A、B各自保管，而K A 、K B 则以证书的形式 对外公布。当A要将明文消息P安全发送给B时，A用B的公钥K B 加密P得到密 文C；而B收到密文P后，用私钥K B -1 解密恢复明文P。 相比之下，公钥体制不仅可以实现保密通信，而且可以对消息进行数字签字。 典型的双钥密码有RSA、ELGAMAL以及RABIN等。 11.4.2 数字证书 数字证书是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信 各方的身份，即要在Internet上解决“我是谁”的问题，就如同现实中我们每个人 都拥有一张证明个人身份的身份证一样。 数字证书是由权威公正的第三方机构电子身份认证中心CA（Certificate Authority）签发的包含公开密钥、拥有者信息以及发证机构信息的文件。以数字证 书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验 证，确保网上传输信息的机密性、完整性以及交易身份的真实性、签名信息的不可 否认性，从而保障网络应用的安全性。数字证书采用非对称密钥体制。 数字证书广泛应用于：发送安全电子邮件，访问安全站点，网上证券，网上招 标采购，网上签约，网上办公，网上交费，网上税务等网上电子交易活动等。 数字证书的格式遵循ITUT X.509国际标准。X.509数字证书通常包含以下内容： （1）证书的版本信息。 （2）证书的序列号。每个证书都有唯一的证书序列号。 （3）证书所使用的签名算法。 ２１０ 第十一章 网络安全 （4）证书的发行机构名称。命名规则一般采用X.500格式。 （5）证书的有效期。通用的证书一般采用UTC时间格式，范围为1950-2049。 （6）证书所有人的名称。命名规则一般采用X.500格式。 （7）证书所有人的公开密钥。 （8）证书发行者对证书的签名。 习 题 十 一 1. 狭义的计算机网络安全指的是什么？ 2. 简述安全策略的三个重要组成部分。 3. 什么是防火墙？防火墙分哪几种类型？ 4. 如何防范邮件病毒？ 5. 简述非对称加密的原理？ 6. 什么是数字证书，有什么作用？ ２１１