第
Download
1 / 85

第 8 章 计算机网络安全 - PowerPoint PPT Presentation


  • 101 Views
  • Uploaded on

第 8 章 计算机网络安全. 8.1 计算机网络安全基础知识 8.2 计算机网络安全管理 8.3 加密技术 8.4 因特网使用的安全协议 8.5 防火墙技术 8.6 其他网络安全技术. 8 .1 计算机网络安全基础知识 1. 网络安全的含义 网络安全 是指通过采取各种技术和管理措施,使网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。. 2. 网络安全的分类 ( 1 ) 物理安全 ,包括机房、线路、主机等   ( 2 ) 运行安全 ,包括网络的畅通、准确

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 第 8 章 计算机网络安全' - dillon-hendricks


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

8 章 计算机网络安全

8.1 计算机网络安全基础知识

8.2 计算机网络安全管理

8.3 加密技术

8.4 因特网使用的安全协议

8.5 防火墙技术

8.6其他网络安全技术


8.1计算机网络安全基础知识

1.网络安全的含义

网络安全是指通过采取各种技术和管理措施,使网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。


2.网络安全的分类

(1)物理安全,包括机房、线路、主机等  

(2)运行安全,包括网络的畅通、准确

(3)应用安全,包括程序开发运行、I/O、数据库等的安全

(4)数据安全,数据不被非法冒充、窃取、篡改、抵赖


3.网络安全的特征

  • (1)保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。

  • (2)完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

  • (3)可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

  • (4)可控性:对信息的传播及内容具有控制能力。


4.威胁网络安全的因素

1)安全威胁的类型

(1)非授权访问

这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用。

(2)假冒合法用户

主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权,以达到占用合法用户资源的目的。

(3)数据完整性受破坏

干扰系统的正常运行,改变系统正常运行的方向,以及延时系统的响应时间。

(4)病毒

(5)通信线路被窃听等


  • 计算机网络上的通信面临以下的四种威胁:

    (1) 截获——从网络上窃听他人的通信内容。

    (2) 中断——有意中断他人在网络上的通信。

    (3) 篡改——故意篡改网络上传送的报文。

    (4) 伪造——伪造信息在网络上传送。

  • 截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。


对网络的被动攻击和主动攻击

源站

目的站

源站

目的站

源站

目的站

源站

目的站

中断

篡改

伪造

截获

被动攻击

主 动 攻 击

截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。


被动攻击和主动攻击

  • 在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。

  • 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。

    • 更改报文流

    • 拒绝报文服务

    • 伪造连接初始化


拒绝服务(Denial of Service,DoS),一种常用来使服务器瘫痪的网络攻击手段。即是利用网络上已被攻陷的电脑,向某一特定的目标电脑发动密集式的“拒绝服务”要求,用以把目标电脑的网络资源及系统资源耗尽,使之无法向真正正常请求的用户提供服务。

DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击


恶意程序(rogue program)

(1) 计算机病毒——会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。

(2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。

(3) 特洛伊木马——一种程序,它执行的功能超出所声称的功能。

(4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。


网络威胁的类型

黑客攻击

后门、隐蔽通道

特洛伊木马

计算机病毒

网络

信息丢失、篡改、销毁

拒绝服务攻击

逻辑炸弹

蠕虫

内部、外部泄密


2)计算机系统的脆弱性

(1)计算机系统的脆弱性主要来自于操作系统的不安全性。

(2)存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。

(3)计算机可能会因硬件或软件故障而停止运转,或被入侵者利用并造成损失。

3)协议安全的脆弱性

当前计算机网络系统都使用的TCP/IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素。


4)人为的因素

不管是什么样的网络系统都离不开人的管理,但又大多数缺少安全管理员,特别是高素质的网络管理员。此外,缺少网络安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控。令人担忧的许多网络系统已使用多年,但网络管理员与用户的注册、口令等还是处于缺省状态。


5、基本安全技术

加密技术

数字签名

信息窃取

信息篡改

完整性技术

信息抵赖

信息传递

信息冒充

认证技术


8.2计算机网络安全管理

8.2.1网络安全保障体系


8.2.1网络安全保障体系

人员保障

网络信息安全领导小组

由信息办主任、副主任和各中心的主任组成

网络信息安全工作小组

从信息办下属各中心抽调对网络、信息系统安全技术比较精通的技术骨干组成

安全工作执行人员

安全领导小组、安全工作小组和各中心安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障。


8.2.1网络安全保障体系


8.2.1网络安全保障体系

制度保障

        良好的网络信息安全保障离不开规范严谨的管理制度。

技术保障

使用一系列先进的技术工具和手段来保障网络信息安全


Ppdrr

保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

(PPDRR )

8.2.2网络安全防护体系


8.2.2保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络安全防护体系

  • 安全策略(Policy):最重要的核心组成部分

  • 保护 ( PROTECT )

    传统安全概念的继承,包括信息加密技术、访问控制技术等等。

  • 检测 ( DETECT )

    从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。


8.2.2保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络安全防护体系

  • 响应 ( RESPONSE )

    在遭遇攻击和紧急事件时及时采取措施,包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。

  • 恢复 ( RECOVER )

    评估系统受到的危害与损失,恢复系统功能和数据,启动备份系统等。


网络安全工作的目的保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。


8.3保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。加密技术

8.3.1一般的数据加密模型

截获

篡改

截取者

明文 X

明文 X

E

加密算法

D

解密算法

密文 Y = EK(X)

加密密钥 K

解密密钥 K

安全信道

密钥源


一些重要概念 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

  • 密码编码学(cryptography)是密码体制的设计学,而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。

  • 如果不论截取者获得了多少密文,但在密文中都没有足够的信息来惟一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。

  • 如果密码体制中的密码不能被可使用的计算资源破译,则这一密码体制称为在计算上是安全的。


8.3.2保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。常规密钥密码体制

  • 所谓常规密钥密码体制,即加密密钥与解密密钥是相同的密码体制。

  • 这种加密系统又称为对称密钥系统。我们先介绍在常规密钥密码体制中的两种最基本的密码。


替代密码与置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 替代密码(substitution cipher)的原理可用一个例子来说明。(密钥是 3)

abcdefghijklmnopqrstuvwxyz

DEFGHIJKLMNOPQRSTUVWXYZABC

明文

密文

caesar cipher

FDHVDU FLSKHU

明文 c 变成了密文 F


替代密码与置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 替代密码(substitution cipher)的原理可用一个例子来说明。(密钥是 3)

abcdefghijklmnopqrstuvwxyz

DEFGHIJKLMNOPQRSTUVWXYZABC

明文

密文

caesar cipher

FDHVDU FLSKHU

明文 a 变成了密文 D


替代密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 替代密码(substitution cipher)的原理可用一个例子来说明。(密钥是 3)

abcdefghijklmnopqrstuvwxyz

DEFGHIJKLMNOPQRSTUVWXYZABC

明文

密文

caesar cipher

FDHVDU FLSKHU

明文 e 变成了密文 H


置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。


置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。


置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。


置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。


置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。


置换密码保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

  • 置换密码(transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B,因此 C 为第 1。同理,E 为第 2,H 为第 3,……,R 为第 6。于是得出密钥字母的相对先后顺序为 145326。


密文的得出保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

先读顺序为 1 的明文列,即 aba


密文的得出保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再读顺序为 2 的明文列,即 cnu


密文的得出保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再读顺序为 3 的明文列,即 aio


密文的得出保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再读顺序为 4 的明文列,即 tet


密文的得出保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再读顺序为 5 的明文列,即 tgf


密文的得出保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

最后读顺序为 6 的明文列,即 ksr

因此密文就是:abacnuaiotettgfksr


接收端收到密文后按列写下保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

先写下第 1 列密文 aba


接收端收到密文后按列写下保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再写下第 2 列密文 cnu


接收端收到密文后按列写下保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再写下第 3 列密文 aio


接收端收到密文后按列写下保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再写下第 4 列密文 tet


接收端收到密文后按列写下保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

再写下第 5 列密文 tgf


接收端收到密文后按列写下保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

最后写下第 6 列密文 ksr


接收端从密文解出明文保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

最后按行读出明文


接收端从密文解出明文保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

最后按行读出明文


接收端从密文解出明文保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.2常规密钥密码体制

收到的密文:abacnuaiotettgfksr

密钥

顺序

明文

CIPHER

145326

attack

begins

atfour

最后按行读出明文

得出明文:attackbeginsatfour


公开密钥密码体制的特点保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.3公开密钥密码体制

  • 公开密钥密码体制使用不同的加密密钥与解密密钥。


加密密钥与解密密钥 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.3公开密钥密码体制

  • 在公开密钥密码体制中,加密密钥(即公开密钥) PK 是公开信息,而解密密钥(即秘密密钥) SK 是需要保密的。

  • 加密算法 E 和解密算法 D 也都是公开的。


公开密钥密码体制 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.3公开密钥密码体制

发送者

接收者

明文 X

密文 Y = EPK(X)

明文 X = DSK(EPK(X))

E

加密算法

D

解密算法

加密密钥 PK

解密密钥 SK

密钥对

产生源


8.3.4 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。数字签名

  • 数字签名必须保证以下三点:

    (1) 接收者能够核实发送者对报文的签名;

    (2) 发送者事后不能抵赖对报文的签名;

    (3) 接收者不能伪造对报文的签名。

  • 现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。


数字签名的实现 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.4 数字签名

发送者 A

接收者 B

DSK(X)

X

X

D

E

SK

PK

用秘密密钥

进行签名

用公开密钥

核实签名


具有保密性的数字签名 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.3.4 数字签名

发送者 A

接收者 B

密文

EPKB(DSKA(X))

X

DSKA(X)

DSKA(X)

X

D

E

D

E

SKA

PKB

SKB

PKA

用秘密密钥

签名

用公开密钥

核实签名

用公开密钥

加密

用秘密密钥

解密


8.4 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。因特网使用的网络安全协议

8.4.1 网络层安全协议族 IPsec

8.4.2 运输层安全插口层 SSL

8.4.3 运输层安全电子交易 SET

8.4.4 应用层安全协议


8.4.1保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。因特网的网络层安全协议族 IPsec

  • IPsec 就是“IP 安全(Security)协议”的缩写。

  • 网络层保密是指所有在 IP 数据报中的数据都是加密的。


8.4.2 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。安全插口层 SSL

  • SSL 又称为安全套接层(Secure Socket Layer),可对万维网客户与服务器之间传送的数据进行加密和鉴别。(运输层)


安全插口层 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。SSL 的位置

8.4.2 安全插口层 SSL

应用层

HTTP IMAP

安全插口层

SSL 功能

标准插口

运输层

TCP

在发送方,SSL 接收应用层的数据(如 HTTP 或 IMAP 报文),对数据进行加密,然后将加了密的数据送往 TCP 插口。

在接收方,SSL 从 TCP 插口读取数据,解密后将数据交给应用层。


SSL 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。提供以下三个功能

8.4.2 安全插口层 SSL

(1) SSL服务器鉴别 允许用户证实服务器的身份。具有 SS L功能的浏览器维持一个表,上面有一些可信赖的认证中心CA (Certificate Authority)和它们的公开密钥。

(2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密,在接收方解密。

(3) SSL 客户鉴别 允许服务器证实客户的身份。


Secure electronic transaction
(Secure Electronic Transaction)保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.4.3安全电子交易 SET

  • 安全电子交易SET 是专为在因特网上进行安全支付卡交易的协议。 (运输层)

  • SET 的主要特点是:

    (1) SET 是专为与支付有关的报文进行加密的。

    (2) SET 协议涉及到三方,即顾客、商家和商业银行。所有在这三方之间交互的敏感信息都被加密。

    (3) SET 要求这三方都有证书。在 SET 交易中,商家看不见顾客传送给商业银行的信用卡号码。


8.4.4保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。因特网的应用层安全协议

  • PGP 是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。

  • PGP 并没有使用什么新的概念,它只是将现有的一些算法如 MD5,RSA,以及 IDEA 等综合在一起而已。

  • 虽然 PGP 已被广泛使用,但 PGP 并不是因特网的正式标准。


8.4.4保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。因特网的应用层安全协议

  • PEM(Privacy Enbanced Mail):增强保密的邮件,隐私增强邮件(PEM)是使用多种加密方法提供机密性、认证和信息完整性的因特网电子邮件,在因特网中没有被广泛配置。


8.5保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。防火墙技术

8.5.1什么是防火墙

起源于一种古老的安全防护措施。

一种保护计算机网络安全的技术性措施

是在内部网络和外部网络之间实现控制策略的系统,

主要是为了用来保护内部的网络不易受到来自Internet的侵害。


8.5.1保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。什么是防火墙


防火墙在互连网络中的位置 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.5.1什么是防火墙

防火墙

不可信赖的网络

可信赖的网络

分组过滤

路由器R

分组过滤

路由器R

应用网关

G

因特网

内联网

外局域网

内局域网


防火墙的功能保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。

8.5.1什么是防火墙

  • 防火墙的功能有两个:阻止和允许。

  • “阻止”就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)。

  • “允许”的功能与“阻止”恰好相反。

  • 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。


8.5.2保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。防火墙 的类型

1)网络级防火墙

网络级防火墙也称包过滤防火墙,通常由一个路由器或一台充当路由器的计算机组成。

2)应用级防火墙

应用级防火墙通常指运行代理(Proxy)服务器软件的一台计算机主机。

3)电路级防火墙

电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙,它可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。


8.5.3 Internet保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络个人计算机的保护

(1)查杀病毒

卡巴斯基.诺顿.瑞星.金山毒霸


8.5.3 Internet保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络个人计算机的保护

(2)防火墙软件。这种防火墙一般都是使用包过滤和协议过滤等技术实现的,能有效地防止用户数据直接暴露在Internet中,并记录主机和Internet数据交换的情况,从而保证了用户的安全

  • 天网防火墙

  • 江民黑客防火墙

  • McAfee Desktop Firewall

  • 瑞星防火墙

  • 金山网镖


8.5.3 Internet保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络个人计算机的保护

(3)安全措施

  • 1.拔除连接在计算机上的网线。

  • 2.在移走系统分区上的重要数据后格式化系统分区并安装操作系统和相应的驱动程序。

  • 3.在防毒软件没有安装之前千万不要访问除系统分区以外分区,防止在还没安装防毒软件的情况下激活别的分区存在的病毒。

  • 4.安装网络防火墙软件,并把安全级别调到中级以上保证计算机在连接到网络后没有安装最新补丁的情况下不会被网络上利用系统漏洞进行传播的病毒感染。


8.5.3 Internet保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络个人计算机的保护

  • 5.安装木马克星和360安全卫士,进一步提高计算机防止木马程序的性能和防止网页恶意代码的攻击。

  • 6.安装防病毒软件。

  • 7.接上网络线连接网络。病毒库和杀毒引擎的更新。

  • 8.进入微软update网站进行系统更新打上最新的补丁程序。

  • 9.按CTRL+ALT+DEL键选择任务管理器选择进程标签记录下基本的基本的系统进程,以便将来万一感染病毒方便管理员分辨出病毒进程。


8.5.3 Internet保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。网络个人计算机的保护

  • 到此为止,操作系统的防护已经基本完成,将能挡住绝大多数病毒、木马程序、网页恶意代码及网络攻击。今后用户需要注意的是不要关闭网络防火墙、病毒防火墙、木马克星、上网助手的实时监控;经常更新杀毒软件及系统补丁

  • (WINDOWS2000以上用户可以在管理工具的服务里打开“Automatic Updates”服务确保及时能从微软update网站得到最新的系统补丁);不要打开来路不明的文件及电子邮件。


8.6 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。其他网络安全技术

8.6.1 身份认证技术

8.6.2 入侵检测技术

8.6.3 VPN技术

8.6.4 访问控制技术


8.6.1保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。身份认证技术

  • 身份鉴别的过程

    • 身份证实(Identity Verification)

      “你是否是你所声称的你?”

    • 身份识别(Identity Recognition)

      “我是否知道你是谁?”

  • 动态口令


8.6.1保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。身份认证技术

  • 身份认证的方式

  • 概括说来,有三个要素可以用于认证过程,即:用户的知识(Kowledge),如口令等;用户的物品(Possession),如IC卡等;用户的特征(Characteristic),如指纹等。

  • 密码技术一直在身份认证中起到重要作用


8.6.2 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。入侵检测技术

入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。


8.6.2 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。入侵检测技术

  • 工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。

  • 使用方式:作为防火墙后的第二道防线。


8.6.2 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。入侵检测技术

所谓黑客,就是利用计算机技术、网络技术非法侵入、干扰、破坏他人(国家机关、社会组织和个人)的计算机系统,或擅自操作、使用、窃取他人的计算机信息资源,对电子信息交流和网络实体安全具有程度不同的威胁性和危害性的人.


8.6.2 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。入侵检测技术

黑客行为的本身特征:远离现场,时间暂短,隐蔽性强;

黑客行为的后果特征:时空跨度大,波及面积大,危害程度大;

黑客的发展趋势特征:非专业化,低龄化和惩治率太少;


8.6.2 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。入侵检测技术

黑客的类型

①技术挑战性黑客.

②戏谑取趣性黑客.

③捣乱破坏性黑客


8.6.3 VPN保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。技术

  • 虚拟的网:即没有固定的物理连接,网络只有用户需要时才建立;

  • 利用公众网络设施构成。

VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。

虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。


8.6.3 VPN保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。技术

它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。


VPN保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。设备

VPN设备

VPN设备

VPN联网方式

8.6.3 VPN技术

公共网络

公司总部

VPN通道

办事处/SOHO

VPN client


8.6.4 保护、检测、响应和恢复涵盖了对现代信息系统的安全防护的各个方面,构成了一个完整的体系,使网络安全建筑在一个更加坚实的基础之上。访问控制技术

  • 访问控制实质上是对资源使用的限制,它决定主体是否被授权对客体执行某种操作。

  • 它依赖于鉴别使主体合法化,并将组成员关系和特权与主体联系起来。

  • 只有经授权的用户,才允许访问特定的网络资源。


ad