Internet 哲学
• reject kings, presidents, We and voting; we believe in rough consensus and running code.
网络接入方式
电话交换网
网络服务提供商
全球Internet的逻辑结构
Local?ISP Customers Transit ISP
1970s －1980s: PC, 局域网
Token Ring
1990s: Global Internetworking
Internet 大事记
• • • • • • • • 1969 1974 1983 1985 1986 1991 1995 1996 ARPANET First paper on packet switching TCP/IP implementation NSFNET First router WWW US commercial Internet US Next Generation Internet
定量（Quantitative）分析
• 确定要保护的资产的 价值 • 所有的威胁 • 计算威胁产生的影响 • 威胁的发生频率 • Risk =
∑∑ ALE
a t
定量（Quantitative）分析
•举例：火灾
–资产价值：50万，AV=50万； –火灾后价值5万元，EF=90% –每10年发生一次：ARO=0.1 –SLE = AV× EF= 45万； –ALE=SLE × ARO= 4.4 万
网络安全的目标
•保密性（Confidentiality），机密性
–信息内容不会被泄露给未授权的实体，防止被动 攻击
•完整性 (Integrity)
–保证信息不被篡改而不被觉察，防止篡改、插 入、重放等攻击。
•可用性(Availability)
–保证资源的授权用户能够访问到应得资源或服 务，防止拒绝服务攻击。 C
–恶意代码(Malicious Mobile Code)
•病毒(Virus) ，蠕虫(Worm)，特洛伊木马(trojan) •恶意脚本等( Java Script, Java Applet, Active X等）
–抵赖（repudiation)
•源发抵赖 •交付抵赖
Vulnerabilities
风险分析及其方法
•风险：威胁和脆弱性可能造成的损失
–资产的价值？ –存在哪些威胁？ –威胁的影响或后果是什么？ –发生的可能性或概率？
•风险的不确定性
提纲
•风险分析相关概念 •风险分析方法 •网络安全目标 •计算机网络基础 •TCP/IP网络安全缺陷分析 •总结 •参考文献
风险分析相关概念
• 资产的价值AV: Asset value • 一次损失期望值 SLE ：Single Loss Expectancy • 损失系数EF: Exposure Factor , 0%— 100% SLE= AV × EF • 年度发生率ARO: Annualized Rate of Occurrence • 年度损失期望值：ALE : Annualized Loss Expectancy ALE= SLE × ARO
– 企业：没有明确的安全政策，如人员的责任、应急计 划等。 – 国家：社会：没有法律或者难以执行， – 国际：国际间的合作非常困难
Countermeasure
防御 管理 技术 物理 检测 恢复
应急计划 数据备份、 自动恢复系 统 设备备份、 线路备份等
政策、程序、培 审计制度 训 认证系统， 防火墙等 防盗门， 物理隔离 入侵检测系 统 录像、监控 措施
Assets
• 资产定义
– 组织业务开展必需的、被安全措施所保护的信息、 信息处理、传输系统等资源
• 资产举例
– 计算机系统：
• 硬件, 软件, 外设; • 计算资源、存储资源、系统配置信息
– 网络基础设施：路由器,交换机,网络的拓扑结构信息 – 业务数据：信息，计算机软件
• 资产价值（Asset Value）
• 自然灾害和战争的威胁
– 风雨雷电、地震、火灾 – 战争等
Threat (Cont.)
•被动威胁（Passive threats）
–窃听：Sniffer , wiretapping –流量分析：Traffic analysis
•通过对通信业务流的观察(出现、消失、总量、方 向与频度), 而推断出有用的 –确保任何动作都可以唯一地被跟踪到该实体。
•可控性？
提纲
•风险分析相关概念 •风险分析方法 •网络安全目标 •计算机网络基础 •TCP/IP网络安全缺陷分析 •总结 •参考文献
计算机和网络的发展
•计算机
– 大型机 （IBM），工作站（SUN），PC机，palm
•局域网
A à ALL : Who has IP 166.111.1.20? Bà A : My MAC address is B
ICMP
•ICMP( Internet Control Message Protocol)
目的不可达 超时（TTL=0）; 源端抑制； 重定向 回声请求/回声应答 时间戳请求/时间戳应答
第一讲
网络安全风险分析
提纲
•风险分析相关概念 •风险分析方法 •网络安全目标 •计算机网络基础 •TCP/IP网络安全缺陷分析 •总结 •参考文献
风险分析相关概念
风险分析相关概念
•Owner ：所有者 •Assets：资产，资源 •Threat：威胁 •Vulnerabilities： 脆弱性，弱点，缺陷，漏洞 •Countermeasures：措施，对策 •Risk： 风险
Internet 设计思想
• 包交换，分组交换（Packet Switch ），存储转发 • 保持简单性（KISS） • 端到端（End-to-end） • 尽力而为（Best effort，No QoS） • 没有集中控制 • 足够的冗余 • 不要等待找到完美的解决方案。 • 可扩展性，IP over everything • 只有当实现了几个能够运行的程序实现后，Ｉｎｔｅｒｎｅｔ的 协议才能成为标准。
segments packets frames
Data Link Network
Transport
packets frames bits
Network Data Link Physical
bits
Physical Physical
OSI参考模型与TCP/IP协议模型
OSI/RM
Application Application Presentation Session Transport Transport Network Data Link Physical IP Data Link Physical
•设计阶段的脆弱性 •实现阶段的脆弱性 •配置维护阶段的脆弱性 •管理制度上的脆弱性
Vulnerabilities
•Internet设计阶段
–Internet首先应用于研究环境，可信的、少量 的用户群体，安全问题不是主要的考虑 –早期的RFC：“ Security issues are not discussed in this memo” –绝大多数协议没有提供必要的安全机制,比如
– 令牌环，以太网（10M/100M/1G 10G），FDDI，ATM
•广域网
– SDH，PDH，DDN，FR，X.25，ATM，卫星
•互联网
– 基于TCP/IP协议，网络的网络
1960s and 1970s: 大型机，远程终端
A Programs Programs Software Software Hardware Hardware
定性（Qualitative）分析
•资产的价值：
–Low , Medium, High
•威胁的程度
–Low , Medium, High
•风险的级别
–Low, Medium , High
风险管理
•风险管理
–确定风险、风险分析、风险控制
•风险控制
–接受风险 –降低风险： –转嫁风险：
提纲
•风险分析相关概念 •风险分析方法 •网络安全目标 •计算机网络基础 •TCP/IP网络安全缺陷分析 •总结 •参考文献
ARP/RARP
• ARP/RARP： IP 地址 ßà 数据链路层地址
166.111.1.0/24 166.111.1.1 202.112.58.1
R A
IP: 166.111.1.10 MAC: A
B
IP: 166.111.1.20 MAC: B
C
IP: 202.112.58.200 MAC: C
…
传输层
网络层
数据链路层
….
通信介质（铜缆、光纤、卫星、微波等）
TCP/IP网络层功能及安全机制
• 网络层功能
– 编址 – 路由
• 安全服务
– 不提供认证服务 – 不提供数据保密性服务 – 不提供数据完整性保护 – 不提供抗抵赖服务 – 不保证可用性— 服务质量（QoS） – 通过防火墙可以提供基于IP地址的访问控制
– 重演 (Replay)，重放
捕获一个数据单元，在以后的 某个时机重传。
源
目的
– 伪造（Fabrication）
• 假冒另一个实体发送信息
– 拒绝服务（Denial of Service）
• 通过耗尽目标系统的资源 （计算资源、通信资源、存 储资源）危害目标系统的正 常使用。
B
威胁（threat） (Cont.)
IP 包的结构
0
VERS HLEN Type of Service D M F F
16