《计算机网络安全网络安全概述与实验环境配置.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全网络安全概述与实验环境配置.ppt(52页珍藏版)》请在优知文库上搜索。
1、第1章 前言n目前研究网络安全已经不只为了信息和数据的安全性。n网络安全已经渗透到国家的经济、军事等领域。网络安全与政治n目前政府上网已经大规模的发展起来,电子政务工程已经在全国启动目前政府上网已经大规模的发展起来,电子政务工程已经在全国启动并在北京试点。政府网络的安全直接代表了国家的形象。并在北京试点。政府网络的安全直接代表了国家的形象。1999年到年到2001年,一些政府网站,遭受了四次大的黑客攻击事件。年,一些政府网站,遭受了四次大的黑客攻击事件。n第一次在第一次在99年年1月份左右,美国黑客组织月份左右,美国黑客组织“美国地下军团美国地下军团”联合了波兰联合了波兰的、英国的黑客组织以及
2、世界上的黑客组织,有组织地对我们国家的的、英国的黑客组织以及世界上的黑客组织,有组织地对我们国家的政府网站进行了攻击。政府网站进行了攻击。n第二次,第二次,99年年7月份,当台湾李登辉提出了两国论的时候。月份,当台湾李登辉提出了两国论的时候。n第三次是在第三次是在2000年年5月月8号,美国轰炸我国驻南联盟大使馆后。号,美国轰炸我国驻南联盟大使馆后。n第四次是在第四次是在2001年年4月到月到5月,美机撞毁王伟战机侵入我海南机场。月,美机撞毁王伟战机侵入我海南机场。网络安全与经济n一个国家信息化程度越高,整个国民经济和社会运行对信息资源和信一个国家信息化程度越高,整个国民经济和社会运行对信息资
3、源和信息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪,统的犯罪,1997年年20多起,多起,1998年年142起,起,1999年年908起,起,2000年上半年年上半年1420起,再后来就没有办法统计了。利用计算机实施金融犯起,再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握100多起,涉及的金额几个亿。多起,涉及的金额几个亿。n2000年年2月份黑客攻击的浪潮,是互连网问世以来最为严重的黑客事月份黑客
4、攻击的浪潮,是互连网问世以来最为严重的黑客事件。件。99年年4月月26日,台湾人编制的日,台湾人编制的CIH病毒的大爆发,有统计说我国病毒的大爆发,有统计说我国大陆受其影响的大陆受其影响的PC机总量达机总量达36万台之多。有人估计在这次事件中,经万台之多。有人估计在这次事件中,经济损失高达近济损失高达近12亿元。亿元。n1996年年4月月16日,美国金融时报报道,接入日,美国金融时报报道,接入Internet的计算机,达的计算机,达到了平均每到了平均每20秒钟被黑客成功地入侵一次的新记录。秒钟被黑客成功地入侵一次的新记录。网络安全与社会稳定n互连网上散布一些虚假信息、有害信息对社会管理秩序造成
5、的危害,互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大的多。要比现实社会中一个造谣要大的多。n99年年4月,河南商都热线一个月,河南商都热线一个BBS,一张说交通银行郑州支行行长协巨,一张说交通银行郑州支行行长协巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提了款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提了十多亿。十多亿。2001年年2月月8日正是春节,新浪网遭受攻击,电子邮件服务器日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了瘫痪了18个小时,造成了几百万的用户无法正常的联络。个小时,造成了几百万的用户无法正常的联络。n网上
6、不良信息腐蚀人们灵魂,色情资讯业日益猖獗。网上不良信息腐蚀人们灵魂,色情资讯业日益猖獗。1997年年5月去过月去过色情网站浏览过的美国人,占了美国网民的色情网站浏览过的美国人,占了美国网民的28.2%。河南郑州刚刚大。河南郑州刚刚大专毕业的杨某和何某,在商丘信息港上建立了一个个人主页,用五十专毕业的杨某和何某,在商丘信息港上建立了一个个人主页,用五十多天的时间建立的主页存了一万多幅淫秽照片的网站、多天的时间建立的主页存了一万多幅淫秽照片的网站、100多部小说和多部小说和小电影。不到小电影。不到54天的时间,访问他的人到了天的时间,访问他的人到了30万。万。网络安全与军事n在第二次世界大战中,美
7、国破译了日本人的密码,将山本在第二次世界大战中,美国破译了日本人的密码,将山本的舰队几乎全歼,重创了日本海军。目前的军事战争更是的舰队几乎全歼,重创了日本海军。目前的军事战争更是信息化战争,下面是美国三位知名人士对目前网络的描述。信息化战争,下面是美国三位知名人士对目前网络的描述。n美国著名未来学家阿尔温美国著名未来学家阿尔温 托尔勒说过托尔勒说过“谁掌握了信息,控制了网谁掌握了信息,控制了网络,谁将拥有整个世界。络,谁将拥有整个世界。n美国前总统克林顿说过美国前总统克林顿说过“今后的时代,控制世界的国家将不是靠军今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家事,而是信息能
8、力走在前面的国家”。n美国前陆军参谋长沙利文上将说过美国前陆军参谋长沙利文上将说过“信息时代的出现,将从根本上信息时代的出现,将从根本上改变战争的进行方式改变战争的进行方式”。我国立法情况n目前网络安全方面的法规已经写入中华人民共和国宪法。n于1982年8月23日写入中华人民共和国商标法n于1984年3月12日写入中华人民共和国专利法n于1988年9月日写入中华人民共和国保守国家秘密法n于1993年9月2日写入中华人民共和国反不正当竞争法。 国际立法情况n美国和日本是计算机网络安全比较完善的国家,一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够完善。n欧洲共同体是一个在欧洲范围内具
9、有较强影响力的政府间组织。n为在共同体内正常地进行信息市场运做,该组织在诸多问题上建立了一系列法律,n具体包括:n竞争(反托拉斯)法;产品责任、商标和广告规定;知识产权保护;保护软件、数据和多媒体产品及在线版权;数据保护;跨境电子贸易;税收;司法问题等。这些法律若与其成员国原有国家法律相矛盾,则必须以共同体的法律为准。我国评价标准n在我国根据在我国根据计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则,1999年年10月经过国家月经过国家质量技术监督局批准发布准则将计算机安全保护划分为以下五个级别质量技术监督局批准发布准则将计算机安全保护划分为以下五个级别n第一级为用户自主保
10、护级:它的安全保护机制使用户具备自主安全保护的能力,保护第一级为用户自主保护级:它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。用户的信息免受非法的读写破坏。n第二级为系统审计保护级:除具备第一级所有的安全保护功能外,要求创建和维护访第二级为系统审计保护级:除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。n第三级为安全标记保护级:除继承前一个级别的安全功能外,还要求以访问对象标记第三级为安全标记保护级:除继承前一个级别的安全功能外,还要求以访问对象标
11、记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。的安全级别限制访问者的访问权限,实现对访问对象的强制保护。n第四级为结构化保护级:在继承前面安全级别安全功能的基础上,将安全保护机制划第四级为结构化保护级:在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力强系统的抗渗透能力n第五级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对第五级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者
12、对访问对象的所有访问活动。访问对象的所有访问活动。国际评价标准n根据美国国防部开发的计算机安全标准可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria:TCSEC),也就是网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。n自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。n其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别, 安全级别 类别类别级别级别名称名称
13、主要特征主要特征DD低级保护低级保护没有安全保护没有安全保护CC1自主安全保护自主安全保护自主存储控制自主存储控制C2受控存储控制受控存储控制单独的可查性,安全标识单独的可查性,安全标识BB1标识的安全保护标识的安全保护强制存取控制,安全标识强制存取控制,安全标识B2结构化保护结构化保护面向安全的体系结构,较好的抗面向安全的体系结构,较好的抗渗透能力渗透能力B3安全区域安全区域存取监控、高抗渗透能力存取监控、高抗渗透能力AA验证设计验证设计形式化的最高级描述和验证形式化的最高级描述和验证安全级别nD级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不
14、可信任的。n对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。n属于这个级别的操作系统有:nDOS和Windows98等。安全级别nC1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在Unix系统上安全级别n这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。n用户拥有
15、的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。安全级别n使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。n能够达到C2级别的常见操作系统有:n(1)、Unix系统n(2)、Novell 3.X或者更高版本n(3)、Windows NT、Windows 2000和Windows 2003安全级别nB级中有三个级别,级中有三个级别,B1级即标志安全保护级即标志安全保护(Labeled Security Prote
16、ction),是支持多级),是支持多级安全(例如:秘密和绝密)的第一个级别,这个安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。不允许文件的拥有者改变其许可权限。n安全级别存在保密、绝密级别,这种安全级别的安全级别存在保密、绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。家安全局的计算机系统。安全级别nB2级,又叫结构保护级别(级,又叫结构保护级别(Structured Protection),它要求计算机系统中所有的对象),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。分配单个或者多个安全级别。nB3级,又叫做安全域级别(级,又叫做安全域级别(Security Domain),),使用安装硬件的方式来加强域的安全,例如,内使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访