[精选]计算机网络技术-第9章_计算机网络安全15250.pptx
《[精选]计算机网络技术-第9章_计算机网络安全15250.pptx》由会员分享,可在线阅读,更多相关《[精选]计算机网络技术-第9章_计算机网络安全15250.pptx(62页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、1第9章 计算机网络安全计算机网络安全 问题问题原由原由计算机网络广泛应用,促进了社会的进步和繁荣计算机网络广泛应用,促进了社会的进步和繁荣,并并为人类社会创造了巨大财富。但由于计算机及其网为人类社会创造了巨大财富。但由于计算机及其网络自身的脆弱性以及人为的攻击破坏,也给社会带络自身的脆弱性以及人为的攻击破坏,也给社会带来了损失来了损失。因此,网络安全已成为重要研究课题。因此,网络安全已成为重要研究课题。本章重点讨论网络安全技术本章重点讨论网络安全技术措施:措施:计算机密码技术计算机密码技术、防火墙技术防火墙技术、虚拟专用网技术虚拟专用网技术、网络病毒防治技术网络病毒防治技术,以及网络管理技术
2、。以及网络管理技术。教学教学重点重点能力能力要求要求掌握:掌握:网络安全与管理的概念;网络安全与管理技网络安全与管理的概念;网络安全与管理技 术的应用。术的应用。熟悉:熟悉:计算机密码技术、防火墙技术、虚拟专用网计算机密码技术、防火墙技术、虚拟专用网 技术、网络病毒防治技术。技术、网络病毒防治技术。2 9.1 网络安全问题概述网络安全问题概述 9.5 网络管理网络管理 9.3 网络安全的攻击与防卫网络安全的攻击与防卫 9.4 防火墙的安装调试与设置防火墙的安装调试与设置 9.2 计算机网络安全技术计算机网络安全技术 本章内容3知识结构计算机网络安全技术计算机网络安全技术 计计算算机机网网络络安
3、安全全防火墙的安装调试防火墙的安装调试与设置与设置 网络安全的层次模型网络安全的层次模型 网络管理网络管理 网络安全问题概述网络安全问题概述 瑞星杀毒软件和个人瑞星杀毒软件和个人防火墙的防治防火墙的防治天网防火墙天网防火墙 防火墙技术防火墙技术 数字签名数字签名加密技术加密技术网络管理协议与网络管理协议与网络管理工具网络管理工具网络管理功能网络管理功能网络管理概述网络管理概述网络安全的攻网络安全的攻击与防卫击与防卫病毒病毒信息窃取信息窃取邮件炸弹邮件炸弹特洛伊木马特洛伊木马网络所面临的安全威胁网络所面临的安全威胁 网络安全的内容网络安全的内容 访问控制技术访问控制技术实时监视技术实时监视技术自
4、动解压缩技自动解压缩技49.1 网络安全问题概述 随着计算机网络技术的发展,网络的安全性和可靠性成为各随着计算机网络技术的发展,网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地运行,不受外来入侵者的干扰和破坏,所以解决好网络的安全地运行,不受外来入侵者的干扰和破坏,所以解决好网络的安全性和可靠性,是保证网络正常运行的前提和保障。性和可靠性,是保证网络正常运行的前提和保障。Internet防火墙防火墙学生区学生区Info GateInfo GateIISIIS服务服务WebWeb服务服务DMZDMZ区区教
5、工区教工区安全安全 垃圾邮垃圾邮 内内容容审计审计 件网关件网关 过过滤滤数据库服务器群数据库服务器群应用服务器群应用服务器群59.1.1网络所面临的安全威胁 1 1 1 1、网络安全要求、网络安全要求、网络安全要求、网络安全要求 网络安全,是指网络系统的硬件、软件及其系统中的数据网络安全,是指网络系统的硬件、软件及其系统中的数据受到保护受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露,不受偶然或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不会中断。系统连续可靠正常地运行,网络服务不会中断。身份认证身份认证完整性完整性保密性保密性授权和访授权和访问控制问控制可用性
6、可用性不可抵不可抵赖性赖性6 2 2 2 2、网络安全威胁、网络安全威胁、网络安全威胁、网络安全威胁 一般认为,黑客攻击、计算机病毒和拒绝服务攻击等一般认为,黑客攻击、计算机病毒和拒绝服务攻击等3 3个个方面是计算机网络系统受到的主要威胁。方面是计算机网络系统受到的主要威胁。黑客攻击黑客攻击计算机病毒计算机病毒拒绝服务攻击拒绝服务攻击黑客使用专用工具和采取各种入侵手段非黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络法进入网络、攻击网络,并非法使用网络并非法使用网络资源。资源。计算机病毒侵入网络,对网络资源进行破计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个坏
7、,使网络不能正常工作,甚至造成整个网络的瘫痪。网络的瘫痪。攻击者在短时间内发送大量的访问请求,攻击者在短时间内发送大量的访问请求,而导致目标服务器资源枯竭,不能提供正而导致目标服务器资源枯竭,不能提供正常的服务。常的服务。9.1.1网络所面临的安全威胁7 3 3 3 3、网路安全漏洞、网路安全漏洞、网路安全漏洞、网路安全漏洞 网络安全漏洞实际上是给不法分子以可乘之机的网络安全漏洞实际上是给不法分子以可乘之机的“通道通道”,大致可分为以下大致可分为以下3 3个方面。个方面。网络的漏洞网络的漏洞 服务器的漏洞服务器的漏洞操作系统的漏洞操作系统的漏洞包括网络传输时对协议的信任以及网络传包括网络传输时
8、对协议的信任以及网络传输漏洞,比如输漏洞,比如IPIP欺骗和信息腐蚀就是利用欺骗和信息腐蚀就是利用网络传输时对网络传输时对IPIP和和DNSDNS的信任。的信任。利用服务进程的利用服务进程的bugbug和配置错误和配置错误,任何向外任何向外提供服务的主机都有可能被攻击。这些漏提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。洞常被用来获取对系统的访问权。WindowsWindows和和UNIXUNIX操作系统都存在许多安全操作系统都存在许多安全漏洞漏洞,如如InternetInternet蠕虫事件就是由蠕虫事件就是由UNIXUNIX的的安全漏洞引发的。安全漏洞引发的。9.1.1
9、网络所面临的安全威胁8 4 4 4 4、网络安全攻击、网络安全攻击、网络安全攻击、网络安全攻击 要保证运行在网络环境中的信息安全要保证运行在网络环境中的信息安全,首先要解决的问题首先要解决的问题是如何防止网络被攻击。根据是如何防止网络被攻击。根据Steve KentSteve Kent提出的方法提出的方法,网络安网络安全攻击可分为被动攻击和主动攻击两大类,如下图所示。全攻击可分为被动攻击和主动攻击两大类,如下图所示。网络安全攻击分类网络安全攻击分类被动攻击被动攻击 截获截获(秘密秘密)分析信息内容分析信息内容 通信量分析通信量分析主动攻击主动攻击 拒绝拒绝 篡改篡改 伪造伪造 重放重放(可用性
10、可用性)(完整性完整性)(真实性真实性)(时效性时效性)被动攻击不修改信息内容,所以非常难以检测,因此防护被动攻击不修改信息内容,所以非常难以检测,因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。一个虚假的数据流。9.1.1网络所面临的安全威胁9 1中断(中断(Interruption):):中断是对可利用性的威胁。例如破坏信中断是对可利用性的威胁。例如破坏信息存储硬件、切断通信线路、侵犯文件管理系统等。息存储硬件、切断通信线路、侵犯文件管理系统等。2窃取(窃取(Interception):):入侵者窃取信息
11、资源是对保密性的威胁。入侵者窃取信息资源是对保密性的威胁。入侵者入侵者窃取线路上窃取线路上传送的数据,或非法拷贝文件和程序等。传送的数据,或非法拷贝文件和程序等。3篡改(篡改(Modification):):篡改是对数据完整性的威胁。例如改篡改是对数据完整性的威胁。例如改变文件中的数据,改变程序功能,修改网上传送的报文等。变文件中的数据,改变程序功能,修改网上传送的报文等。4假冒(假冒(Fabrication):):入侵者在系统中加入伪造的内容,如像入侵者在系统中加入伪造的内容,如像网络用户发送虚假的消息、在文件中插入伪造的记录等。网络用户发送虚假的消息、在文件中插入伪造的记录等。5 5 5
12、5、网络安全破坏、网络安全破坏、网络安全破坏、网络安全破坏 网络安全破坏的技术手段是多种多样的,了解最通常的网络安全破坏的技术手段是多种多样的,了解最通常的破坏手段,有利于加强技术防患破坏手段,有利于加强技术防患。9.1.1网络所面临的安全威胁109.1.2网络安全内容 国国际际标标准准化化组组织织(ISOISO)对对网网络络安安全全的的定定义义是是:为为数数据据处处理理系系统统建建立立和和采采用用的的技技术术和和管管理理的的安安全全保保护护,保保护护计计算算机机硬硬件件、软软件件和和数数据据不不因因偶偶然然和和恶恶意意的的原原因因遭遭到到破破坏坏、更更改改和和泄泄露露。简简单单说说,安安全全
13、的的目目的的是是保保证证网网络络数数据据的的三三个个特特性性:可可用用性性、完完整整性性和和机机密密性性。由由此此可可以以将将计计算算机机网网络络的的安安全全理理解解为为:通通过过采采用用各各种种技技术术和和管管理理措措施施,使使网网络络系系统统正正常常运运行行,从从而而确确保保网网络络数数据据的的可可用用性性、完完整整性性和和保保密密性性。所所以以,建建立立网网络络安安全全保保护护措措施施的的目目的的是是确确保保经经过过网网络络传传输输和和交交换换的的数数据据不不会会发生增加、修改、丢失和泄露等。发生增加、修改、丢失和泄露等。119.1.3网络安全的层次模型 1 1 1 1、安全体系框架、安
14、全体系框架、安全体系框架、安全体系框架 为了系统的、科学地分析网络安全所涉及的各种问题,为了系统的、科学地分析网络安全所涉及的各种问题,我们从安全服务特性、系统单元、开放系统互连参考模型安我们从安全服务特性、系统单元、开放系统互连参考模型安全特性三个方面研究网络安全,并提出了一个三维的安全体全特性三个方面研究网络安全,并提出了一个三维的安全体系框架,如下图所示。系框架,如下图所示。三维安全框架体系三维安全框架体系 129.1.3网络安全的层次模型 2 2 2 2、安全服务特性、安全服务特性、安全服务特性、安全服务特性 (1 1)身份认证)身份认证 身份认证是访问控制的基础。身份认证必身份认证是
15、访问控制的基础。身份认证必须做到准确无误地将对方辨别出来,同时还应该提供双向的认须做到准确无误地将对方辨别出来,同时还应该提供双向的认证,即互相证明自己的身份。证,即互相证明自己的身份。(2 2)访问控制)访问控制 控制不同用户对信息资源访问的权限,防控制不同用户对信息资源访问的权限,防止非授权使用资源或以非授权的方式使用资源。止非授权使用资源或以非授权的方式使用资源。(3 3)数据加密)数据加密 保证数据安全通信的手段,指在数据存储保证数据安全通信的手段,指在数据存储和传输时进行加密,防止数据在传输过程中被窃听。和传输时进行加密,防止数据在传输过程中被窃听。(4 4)数据的完整性)数据的完整
16、性 指防止数据在传输过程中被篡改、删指防止数据在传输过程中被篡改、删除、插入替换或重发,以保证合法用户接收和使用该数据的真除、插入替换或重发,以保证合法用户接收和使用该数据的真实性。实性。(5 5)不可否认性)不可否认性 防止发送方企图否认所发送的信息,同防止发送方企图否认所发送的信息,同时也防止接受方企图否认接收到信息。时也防止接受方企图否认接收到信息。(6 6)安全审计)安全审计 设置安全、可靠的审计记录措施,便于事设置安全、可靠的审计记录措施,便于事后的分析审计。后的分析审计。139.1.3网络安全的层次模型 3 3 3 3、系统单元、系统单元、系统单元、系统单元 (1 1)通信平台)通
17、信平台 信息网络的通信设备、通信网络平台;信息网络的通信设备、通信网络平台;(2 2)网络平台)网络平台 信息网络的网络系统;信息网络的网络系统;(3 3)系统平台)系统平台 信息网络的操作系统平台;信息网络的操作系统平台;(4 4)应用平台)应用平台 信息网络各种应用的开发、运行平台:信息网络各种应用的开发、运行平台:(5 5)物理环境)物理环境 信息网络运行的物理环境及人员管理。信息网络运行的物理环境及人员管理。149.1.3网络安全的层次模型 4 4 4 4、层次模型、层次模型、层次模型、层次模型 (1 1)物理层)物理层 在通信线路上采用电磁屏蔽技术、干扰及跳频等在通信线路上采用电磁屏
18、蔽技术、干扰及跳频等技术,来防止电磁辐射造成的信息外泄,保证在线路上不被搭线偷技术,来防止电磁辐射造成的信息外泄,保证在线路上不被搭线偷听,或者轻易的检测出信息。但由于网络分布广,物理层的安全很听,或者轻易的检测出信息。但由于网络分布广,物理层的安全很难保证。难保证。(2 2)数据链路层数据链路层 点对点的链路可以采用数据通信保密机制,点对点的链路可以采用数据通信保密机制,对数据采用加密和解密,保证通信的安全。对数据采用加密和解密,保证通信的安全。(3 3)网络层网络层 采用加密、路由控制、访问控制、审计、防火采用加密、路由控制、访问控制、审计、防火墙技术和墙技术和IPIP加密传输信道技术,保
19、证信息的机密性。防火墙被用来加密传输信道技术,保证信息的机密性。防火墙被用来处理信息在内外网络边界的流动,它可以确定来自哪些地址的信息处理信息在内外网络边界的流动,它可以确定来自哪些地址的信息可以或者禁止访问哪些目的地址的主机。可以或者禁止访问哪些目的地址的主机。IPIP加密传输信道技术是在加密传输信道技术是在两个网络结点间建立透明的安全加密信道。这种技术对应用透明,两个网络结点间建立透明的安全加密信道。这种技术对应用透明,提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。专用网。(4 4)应用层应用层 针对用户身份进行
20、认证并建立起安全的通信信针对用户身份进行认证并建立起安全的通信信道。道。159.2 数据加密与数字认证 数据加密和数字签名是数据加密和数字签名是网络信息安全的核心技术。网络信息安全的核心技术。其中,数据加密是保护数据其中,数据加密是保护数据免遭攻击的一种主要方法;免遭攻击的一种主要方法;数字认证是解决网络通信过数字认证是解决网络通信过程中双方身份的认可,以防程中双方身份的认可,以防止各种敌手对信息进行篡改止各种敌手对信息进行篡改的一种重要技术。的一种重要技术。数据加密和数字签名的数据加密和数字签名的联合使用,是确保信息安全联合使用,是确保信息安全的有效措施。的有效措施。Internet加密数据
21、流加密数据流供应商供应商采购单位采购单位SSLSSL安全安全论证网关论证网关WebWeb服务器服务器9.2.1 加密技术169.2.1加密技术 1 1 1 1、密码学与密码技术、密码学与密码技术、密码学与密码技术、密码学与密码技术 计算机密码学是研究计算机信息加密、解密及其变换的新计算机密码学是研究计算机信息加密、解密及其变换的新兴科学兴科学,密码技术是密码学的具体实现密码技术是密码学的具体实现,它包括它包括4 4个方面:保密个方面:保密(机密机密)、消息验证、消息完整和不可否认性。、消息验证、消息完整和不可否认性。1保密(保密(privacy):):在通信中消息发送方与接收方都希望保密,在通
22、信中消息发送方与接收方都希望保密,只有消息的发送者和接收者才能理解消息的内容。只有消息的发送者和接收者才能理解消息的内容。2验证(验证(authentication):):安全通信仅仅靠消息的机密性是不安全通信仅仅靠消息的机密性是不够的,必须加以验证,即接收者需要确定消息发送者的身份。够的,必须加以验证,即接收者需要确定消息发送者的身份。3完整(完整(integrity):):保密与认证只是安全通信中的两个基本要保密与认证只是安全通信中的两个基本要素,还必须保持消息的完整素,还必须保持消息的完整,即消息在传送过程中不发生改变。即消息在传送过程中不发生改变。4不可否认(不可否认(nonrepud
23、iation):):安全通信的一个基本要素就是安全通信的一个基本要素就是不可否认性,防止发送者抵赖(否定)。不可否认性,防止发送者抵赖(否定)。17 2 2 2 2、加密和解密、加密和解密、加密和解密、加密和解密 密码技术包括数据加密和解密两部分密码技术包括数据加密和解密两部分。加密是把需要加密加密是把需要加密的报文按照以密码钥匙(简称密钥)为参数的函数进行转换,的报文按照以密码钥匙(简称密钥)为参数的函数进行转换,产生密码文件;解密是按照密钥参数进行解密产生密码文件;解密是按照密钥参数进行解密,还原成原文件还原成原文件。数据加密和解密过程是在信源发出与进入通信之间进行加密,数据加密和解密过程
24、是在信源发出与进入通信之间进行加密,经过信道传输经过信道传输,到信宿接收时进行解密到信宿接收时进行解密,以实现数据通信保密。以实现数据通信保密。数据加密和解密过程如下图所示。数据加密和解密过程如下图所示。加加 密密密钥密钥报报 文文解解 密密原报文原报文加密解密模型加密解密模型明文明文密文传输密文传输明文明文信源信源加密单元加密单元解密单元解密单元信宿信宿9.2.1加密技术 18 3 3 3 3、密钥体系、密钥体系、密钥体系、密钥体系 加密和解密是通过密钥来实现的。如果把密钥作为加密体加密和解密是通过密钥来实现的。如果把密钥作为加密体系标准,则可将密码系统分为单钥密码(又称对称密码或私钥系标准
25、,则可将密码系统分为单钥密码(又称对称密码或私钥密码)体系和双钥密码(又称非对称密码或公钥密码)体系。密码)体系和双钥密码(又称非对称密码或公钥密码)体系。在单钥密码体制下,加密密钥和解密密钥是一样的。在这在单钥密码体制下,加密密钥和解密密钥是一样的。在这种情况下,由于加密和解密使用同一密钥(密钥经密钥信道传种情况下,由于加密和解密使用同一密钥(密钥经密钥信道传给对方),所以密码体制的安全完全取决于密钥的安全。给对方),所以密码体制的安全完全取决于密钥的安全。双钥密码体制是双钥密码体制是1976年年W.Diffie和和M.E.Heilinan 提出的一提出的一种新型密码体制。种新型密码体制。1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 计算机网络技术 计算机 网络安全 15250
限制150内