【培训课件】网络工程师—网络安全技术
合集下载
_第2章 网络安全技术基础ppt课件
SPX 10
网络安全技术及应用
第2章 网络安全技术基础 2.2.1 开放式系统互连参考模型
层次 名称 主要功能
功能概述
应用样例
3 网络层 数据走什 通过分组交换和路由选择为传输层 IP、IPX 么路径可 实 体提供端到端的交换网络数据 以到达? ,传送功能使得传输层摆脱路由选 择、交换方式、拥挤控制等网络传 输细节,实现数据传输
2. SSL协议
SSL协议由SSL记录协议和SSL握手协议
两层组成,其主要优点是:SSL协议独立于应
用层,是在传输层和应用层之间实现加密传输
的应用最广泛的协议完整。版PPT课件
8
IE等浏览器访问使用SSL协议加密的网站的不同表现
完整版PPT课件
9
网络安全技术及应用
第2章 网络安全技术基础
2.2 网络安全体系结构
3. 传输层安全
传输层主要包括传输控制协议TCP和用户数
据报协议UDP。TCP是一个面向连接的协议,用
于多数的互联网服务,保证数据的可靠性。
完整版PPT课件
6网络安全技术及应用第2章 网络安全技术基础4. 应用层及网络应用安全
应用层安全问题可以分解成网络层、操 作系统、数据库的安全问题.需要重点解决的 特殊应用系统的安全问题主要包括:Telnet、 FTP、SMTP、DNS、NFS(实现主机间文 件系统的共享)、BOOTP(用于无盘主机 的启动)、RPC(实现远程主机的程序运 行)、SNMP(简单网络管理的协议)等, 都存在一定的安全隐患和威胁。
完整版PPT课件
7
网络安全技术及应用
第2章 网络安全技术基础
2.1.2 典型的网络安全协议
1. IPSec安全协议
网络安全技术(PPT65页)
43
主要信息分析技术
• 预测模式生成技术
– 试图基于已经发生的事件来预测未来事件,如果一个与预测统 计概率偏差较大的事件发生,则被标志为攻击。比如规则: E1—>E2—>(E3=80%,E4=15%,E5=5%),即假定事件E1和E2 已经发生,E3随后发生的概率是80%,E4随后发生的概率是 15%,E5随后发生的概率是5%,若E1、E2发生了,接着E3发 生,则为正常的概率很大,若E5发生,则为异常的概率很大, 若E3、E4、E5都没有发生,而是发生了模式中没有描述到的 E5,则可以认为发生了攻击。预测模式生成技术的问题在于未 被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较 容易发现在系统学习期间试图训练系统的用户。
没有发现匹配的规则,省缺动作。
18
规则举例(包过滤)
• 只允许Telet出站的服务
规则 方向 源地 目的地 协议 源端口 目的端 ACK设置 动作
号
址
址
口
1
出 内部 任意 TCP 〉1023
23
任意 通过
2
入 任意 内部 TCP 23
〉1023
是
通过
3 双向 任意 任意 任意 任意 任意
任意 拒绝
20
双宿主主机结构防火墙
21
屏蔽主机防火墙
• 主要的安全机制由屏蔽路由器来提供。 • 堡垒主机位于内部网络上,是外部能访
问的惟一的内部网络主机。
– 堡垒主机需要保持更高的安全等级。
• 问题:
– 如果路由器被破坏,整个网络对侵袭者是开 放的。如堡垒主机被侵,内部网络的主机失 去任何的安全保护。
22
• 状态分析
– 将攻击行为的过程以状态转移图的形式记录在模式数据库中,状态转移 的条件是网络或系统中的一些特征事件;
主要信息分析技术
• 预测模式生成技术
– 试图基于已经发生的事件来预测未来事件,如果一个与预测统 计概率偏差较大的事件发生,则被标志为攻击。比如规则: E1—>E2—>(E3=80%,E4=15%,E5=5%),即假定事件E1和E2 已经发生,E3随后发生的概率是80%,E4随后发生的概率是 15%,E5随后发生的概率是5%,若E1、E2发生了,接着E3发 生,则为正常的概率很大,若E5发生,则为异常的概率很大, 若E3、E4、E5都没有发生,而是发生了模式中没有描述到的 E5,则可以认为发生了攻击。预测模式生成技术的问题在于未 被这些规则描述的入侵脚本将不会被标志为入侵。此类系统较 容易发现在系统学习期间试图训练系统的用户。
没有发现匹配的规则,省缺动作。
18
规则举例(包过滤)
• 只允许Telet出站的服务
规则 方向 源地 目的地 协议 源端口 目的端 ACK设置 动作
号
址
址
口
1
出 内部 任意 TCP 〉1023
23
任意 通过
2
入 任意 内部 TCP 23
〉1023
是
通过
3 双向 任意 任意 任意 任意 任意
任意 拒绝
20
双宿主主机结构防火墙
21
屏蔽主机防火墙
• 主要的安全机制由屏蔽路由器来提供。 • 堡垒主机位于内部网络上,是外部能访
问的惟一的内部网络主机。
– 堡垒主机需要保持更高的安全等级。
• 问题:
– 如果路由器被破坏,整个网络对侵袭者是开 放的。如堡垒主机被侵,内部网络的主机失 去任何的安全保护。
22
• 状态分析
– 将攻击行为的过程以状态转移图的形式记录在模式数据库中,状态转移 的条件是网络或系统中的一些特征事件;
网络安全技术课件PPT课件
THANKS FOR WATCHING
感谢您的观看
《美国计算机欺诈和滥用法》
该法案旨在打击计算机和网络犯罪,保护个人和企业数据安全。
我国网络安全法律法规
要点一
《中华人民共和国网络安全法》
该法规定了网络基础设施、网络信息、网络安全的保护要 求,以及相关法律责任。
要点二
《中华人民共和国计算机信息网 络国际联网管理暂行规定》
该规定规范了计算机信息网络的国际联网行为,保障网络 安全。
定期对网络系统进行安全审计和监控,及时 发现和处置安全威胁。
安全培训与意识提升
加强员工的安全意识和操作技能,预防内部 威胁的发生。
02 网络安全技术基础
加密技术
加密技术概述
加密技术是网络安全的核心,通 过将明文数据转换为难以理解的 密文,保护数据的机密性和完整
性。
加密算法
加密算法分为对称加密和公钥加密 两种,对称加密使用相同的密钥进 行加密和解密,公钥加密使用不同 的密钥进行加密和解密。
防范网络钓鱼
警惕来自不明来源的邮件和链接,避免点击恶意链接或下载可疑附件。
保护个人信息
避免在公共场合透露个人信息,如家庭住址、电话号码等。
04 网络安全法律法规与道德 规范
国际网络安全法律法规
《欧盟网络和信息安全指令》
该指令要求欧盟成员国制定和实施国家网络安全战略,确保关键基础设施和重要信息系统的安全。
加密的应用
加密技术广泛应用于数据传输、存 储和身份认证等领域,如SSL/TLS 协议、WPA2加密等。
防火墙技术
防火墙概述
防火墙类型
防火墙是网络安全的重要组件, 用于隔离内部网络和外部网络, 防止未经授权的访问和数据泄露。
培训课件网络工程师第10章网络安全技术
(2)B2级 B2级是结构化安全保护级。该级建立形式化的安全策
略模型,同时对系统内的所有主体和客体,都实现强制访 问和自主访问控制。
(3)B3级
B3级是安全级,它能够实现访问监控器的要求,访问 监控器是指监控器的主体和客体之间授权访问关系的部件。 该级还支持安全管理员职能、扩充审计机制、当发生与安 全相关的事件时将发出信号、同时可以提供系统恢复过程。
密钥位数 112 128
尝试个数 2112 5.1922968585351033 2128 3.402823669209 1038
10.3.2 对称密钥技术
1.工作原理
对称密钥技术即是指加密技术的加密密钥与解密密钥是 相同的,或者是有些不同,但同其中一个可以很容易地推导 出另一个。
图10-5 对称密钥技术
(2)C2级 C2级是受控访问级,该级可以通过登录规程、审计安全
性相关事件来隔离资源。
3.B类
B类是强制式安全保护类,它的特点在于由系统强制 实现安全保护,因此用户不能分配权限,只能通过管理员 对用户进行权限的分配。
(1)B1级 B1级是标记安全保护级。该级对系统数据进行标记,
并对标记的主客体实行强制存取控制。
图10-7 防火墙的安装位置
10.4.2 防火墙的基本类型
1.包过滤路由器
图10-8 包过滤路由器的工作原理
2.应用网关
图10-9 应用网关的工作原理
3.应用代理
图10-10 应用代理的工作原理
4.状态检测
状态检测能通过状态检测技术,动态地维护各 个连接的协议状态。
10.4.3 防火墙的结构
1.基本模型
在网络信息传输中,为了保证信息传输的安全性,一 般需要一个值得信任的第三方,负责向源结点和目的结点 进行秘密信息分发,同时在双方发生争执时,也要起到仲 裁的作用。在基本的安全模型中,通信的双方在进行信息 传输前,先建立起一条逻辑通道,并提供安全的机制和服 务,来实现在开放网络环境中信息的安全传输。
略模型,同时对系统内的所有主体和客体,都实现强制访 问和自主访问控制。
(3)B3级
B3级是安全级,它能够实现访问监控器的要求,访问 监控器是指监控器的主体和客体之间授权访问关系的部件。 该级还支持安全管理员职能、扩充审计机制、当发生与安 全相关的事件时将发出信号、同时可以提供系统恢复过程。
密钥位数 112 128
尝试个数 2112 5.1922968585351033 2128 3.402823669209 1038
10.3.2 对称密钥技术
1.工作原理
对称密钥技术即是指加密技术的加密密钥与解密密钥是 相同的,或者是有些不同,但同其中一个可以很容易地推导 出另一个。
图10-5 对称密钥技术
(2)C2级 C2级是受控访问级,该级可以通过登录规程、审计安全
性相关事件来隔离资源。
3.B类
B类是强制式安全保护类,它的特点在于由系统强制 实现安全保护,因此用户不能分配权限,只能通过管理员 对用户进行权限的分配。
(1)B1级 B1级是标记安全保护级。该级对系统数据进行标记,
并对标记的主客体实行强制存取控制。
图10-7 防火墙的安装位置
10.4.2 防火墙的基本类型
1.包过滤路由器
图10-8 包过滤路由器的工作原理
2.应用网关
图10-9 应用网关的工作原理
3.应用代理
图10-10 应用代理的工作原理
4.状态检测
状态检测能通过状态检测技术,动态地维护各 个连接的协议状态。
10.4.3 防火墙的结构
1.基本模型
在网络信息传输中,为了保证信息传输的安全性,一 般需要一个值得信任的第三方,负责向源结点和目的结点 进行秘密信息分发,同时在双方发生争执时,也要起到仲 裁的作用。在基本的安全模型中,通信的双方在进行信息 传输前,先建立起一条逻辑通道,并提供安全的机制和服 务,来实现在开放网络环境中信息的安全传输。
(2024年)网络工程师培训教程ppt课件
20
ATM网络原理与应用
具有高速、低延迟、高可靠性等特点。
ATM网络应用
适用于宽带综合业务数字网(B-ISDN)的核心层 和骨干层。
2024/3/26
21
ATM网络原理与应用
可用于构建企业网、校园网等局域网 络的骨干网。
可与IP技术结合,实现IP over ATM等 解决方案。
2024/3/26
3
IPv6应用前景
在物联网、移动互联网等领域有广泛应用前景, 是未来互联网发展的重要方向
2024/3/26
27
05
路由器原理及配置方 法
2024/3/26
28
路由器基本概念和功能介绍
路由器定义
连接不同网络的设备,实现网络间数据包的转发 。
路由器功能
路径选择、数据转发、网络隔离、广播控制等。
路由器组成
子网掩码作用
用于划分子网,确定网络 地址和主机地址范围
2024/3/26
子网掩码计算方法
通过与IP地址进行按位与 运算,得到网络地址和子 网掩码
子网划分实例
根据实际需求,将一个大 的网络划分为多个小的子 网
25
CIDR表示法及超网合并技巧
CIDR表示法
无类别域间路由,用斜线记法表示IP 地址和子网掩码
用户浏览FTP服务器上的文件和 目录,并选择需要传输的文件 。
用户输入用户名和密码进行身 份验证。
2024/3/26
用户执行上传或下载操作,将 文件从客户端传输到FTP服务器 或从FTP服务器传输到客户端。
43
Web服务器搭建和网站发布流程
Web服务器搭建步骤 选择合适的Web软件,如Apache、Nginx等。 安装Web软件并配置相关参数,如端口号、虚拟主机等。
《网络安全技术》PPT课件
优点:对用户透明;对网络的规模没有限制。
缺点:只能进行初步的安全控制;没有用户的访 问记录;设置过滤规则困难
第二十四页,共117页。
包过滤(guòlǜ)路由器
➢ 基本思想很简单
– 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 – 往往配置(pèizhì)成双向的
➢ 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地 址、IP协议域、源和目标端口号
信息源
信息(xìnxī)目的地
第五页,共117页。
网络安全的四种(sì zhǒnɡ) 威胁
中断威胁(wēixié):使在用信息系统毁坏或不能使用的攻击, 破坏可用性。如硬盘等一般硬件的毁坏,
通信线路的切断,文件管理系统的瘫痪等。
伪造(wěizào)威胁:一个非授权方将伪造的客体插入系统中的攻击 破坏真实性。包括网络中插入假信件,或者在 文件中追加记录等。
– 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出 决定。
如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略
第二十五页,共117页。
安全(ānquán)缺省策略
两种基本策略,或缺省策略
– 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击, 制定新的规则
来验证用户的身份。
•用户账号的缺省限制检查。
第十一页,共117页。
网络管理员可以控制和限制普通用户的账号使用、访问
网络的时间和方式。用户账号应只有系统管理员才能建立。
用户口令应是每用户访问网络所必须提交的“证件”、用 户可以修改自己的口令,但系统管理员应该可以控制口令的
限制:最小口令长度、强制修改口令的时间间隔、口令的唯 一性、口令过期失效(shī xiào)后允许入网的宽限次数。
缺点:只能进行初步的安全控制;没有用户的访 问记录;设置过滤规则困难
第二十四页,共117页。
包过滤(guòlǜ)路由器
➢ 基本思想很简单
– 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 – 往往配置(pèizhì)成双向的
➢ 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地 址、IP协议域、源和目标端口号
信息源
信息(xìnxī)目的地
第五页,共117页。
网络安全的四种(sì zhǒnɡ) 威胁
中断威胁(wēixié):使在用信息系统毁坏或不能使用的攻击, 破坏可用性。如硬盘等一般硬件的毁坏,
通信线路的切断,文件管理系统的瘫痪等。
伪造(wěizào)威胁:一个非授权方将伪造的客体插入系统中的攻击 破坏真实性。包括网络中插入假信件,或者在 文件中追加记录等。
– 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出 决定。
如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略
第二十五页,共117页。
安全(ānquán)缺省策略
两种基本策略,或缺省策略
– 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击, 制定新的规则
来验证用户的身份。
•用户账号的缺省限制检查。
第十一页,共117页。
网络管理员可以控制和限制普通用户的账号使用、访问
网络的时间和方式。用户账号应只有系统管理员才能建立。
用户口令应是每用户访问网络所必须提交的“证件”、用 户可以修改自己的口令,但系统管理员应该可以控制口令的
限制:最小口令长度、强制修改口令的时间间隔、口令的唯 一性、口令过期失效(shī xiào)后允许入网的宽限次数。
网络安全技术培训课件(PPT 75张)
安全体系-安全机制
安全服务依赖于安全机制的支持。ISO安全体系 结构提出了8种基本的安全机制,将一个或多个 安全机制配置在适当层次上以实现安全服务。
对被传送的信息进行与安全相关的转换,包 括对消息的加密和认证。
两个通信主体共享不希望对手知道的秘密信 息,如密钥等。
网络安全模型
策略 防护
防火墙 加密机 杀毒软件
检测
隐患扫描 入侵检测
响应
安全模型之MPDRR
安全模型之MPDRR的解释
安全体系
ISO(国际标准化组织)1989年制定的ISO/IEC 7489-2,给出了ISO/OSI参考模型的安全体系结 构。
安全体系-安全机制
安全机制是一种技术,一些软件或实施一个或更 多安全服务的过程。ISO把机制分成特殊的和普 遍的。 一个特殊的安全机制是在同一时间只对一种安全 服务上实施一种技术或软件。加密就是特殊安全 机制的一个例子。尽管可以通过使用加密来保证 数据的保密性,数据的完整性和不可否定性,但 实施在每种服务时你需要不同的加密技术。 一般的安全机制都列出了在同时实施一个或多个 安全服务的执行过程。特殊安全机制和一般安全 机制不同的另一个要素是一般安全机制不能应用 到OSI参考模型的任一层。
为什么研究网络安全
99年4月,河南商都热线一个BBS,一张说交通 银行郑州支行行长协巨款外逃的帖子,造成了社 会的动荡,三天十万人上街排队,一天提了十多 亿。 2001年2月8日正是春节,新浪网遭受攻击,电 子邮件服务器瘫痪了18个小时,造成了几百万的 用户无法正常的联络。 1996年4月16日,美国金融时报报道,接入 Internet的计算机,达到了平均每20秒钟被黑客 成功地入侵一次的新记录。
为什么研究网络安全
网络安全技术讲义(PPT 39张)
3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9
计算机病毒的定义 计算机病毒的特性 计算机病毒的产生背景及主要来源 计算机病毒的类型 计算机病毒的主要危害 计算机病毒的传播途径及症状 计算机病毒的预防 计算机病毒的清除 几种常见的防病毒软件及其安装与维护
5
3.2网络安全研究背景
3.2.1 系统安全漏洞的基本概念 3.2.2 系统安全漏洞的类型 3.2.3系统安全漏洞的利用 3.2.4 系统安全漏洞的解决方案
6
3.2.1系统安全漏洞的基本概念
1. 漏洞的定义 漏洞是在硬件、软件、协议的具体实现或系统安全策略 上存在的缺陷,从而可以使攻击者能够在未授权的情况下 访问或破坏系统。 2.漏洞与具体系统环境、时间之间的关系 一个系统从发布的那一天起,随着用户的深入使用,系 统中存在的漏洞会被不断暴露出来,这些早先被发现的漏 洞也会不断被系统供应商发布的补丁软件修补,或在以后 发布的新版系统中得以纠正。而在新版系统纠正了旧版本 中具有漏洞的同时,也会引入一些新的漏洞和错误。因而 随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断 出现。漏洞问题也会长期存在。
16
3.3.2防火墙的功能
(1)过滤不安全的服务和非法用户。 (2)控制对特殊站点的访问。 (3)供监视Internet安全访问和预警的可靠节点。 (4)实现公司的安全策略。 (5)防止暴露内部网的结构,网络管理员可以在防火墙 上部署NAT,既可以保护内部网,也可以解决地址空间紧 张的问题。 (6)是审计和记录Internet使用费用的一个最佳地点。 (7)在物理上设置一个单独的网段,放置WWW服务器 、FTP服务器和Mail服务器等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.P2DR模型
(1)安全策略(Policy)
安全策略是模型中的防护、检测和响应等部分实施的 依据,一个安全策略体系的建立包括策略的制定、评估与 执行。
(2)防护(Protection)
防护技术包括:防火墙、操作系统身份认证、数据加 密、访问控制、授权、虚拟专用网技术和数据备份等,它 对系统可能出现的安全问题采取预防措施。
2.C类
C类是自定义保护级,该级的安全特点是系统的对象可 自主定义访问权限。C类分为两个级别:C1级与C2级。
(1)C1级 C1级是自主安全保护级,它能够实现用户与数据的分离。 数据的保护是以用户组为单位的,并实现对数据进行自主存 取控实现制。 (2)C2级
C2级是受控访问级,该级可以通过登录规程、审计安全 性相关事件来隔离资源。
10.1.4 网络安全模型
1.基本模型
在网络信息传输中,为了保证信息传输的安全性,一 般需要一个值得信任的第三方,负责向源结点和目的结点 进行秘密信息分发,同时在双方发生争执时,也要起到仲 裁的作用。在基本的安全模型中,通信的双方在进行信息 传输前,先建立起一条逻辑通道,并提供安全的机制和服 务,来实现在开ቤተ መጻሕፍቲ ባይዱ网络环境中信息的安全传输。
(3)检测(Detection)
检测功能使用漏洞评估、入侵检测等系统检测技术, 当攻击者穿透防护系统时,发挥功用。
(4)响应(Response) 响应包括紧急响应和恢复处理,而恢复又包括系统
恢复和信息恢复,响应系统在检测出入侵时,开始事件处 理的工作。
图10-3 P2DR模型
10.2 数据备份
10.2.1 数据备份模型 10.2.2 冷备份与热备分 10.2.3 数据备分的设备 10.2.4 数据备分的策略
10.2.1 数据备份模型
1.物理备份
物理备份是将磁盘块的数据从拷贝到备份介质上的备 份过程,它忽略了文件和结构,它也被称为“基于块的备 份”和“基于设备的备份”。
2.逻辑备份
逻辑备份顺序地读取每个文件的物理块,并连续地将 文件写在备份介质上,实现每个文件的恢复,因此,逻辑 备份也被称为“基于文件的备份”。
2.非服务攻击
利用协议或操作系统实现协议时的漏洞来达到攻击的目 的,它不针对于某具体的应用服务,因此非服务攻击是一种 更有效的攻击手段。
10.1.3 网络安全的基本要素
(1)机密性 (2)完整性 (3)可用性 (4)可鉴别性 (5)不可抵赖性
10.1.4 计算机系统安全等级
1.D类
D类的安全级别最低,保护措施最少且没有安全功能。
3.B类
B类是强制式安全保护类,它的特点在于由系统强制 实现安全保护,因此用户不能分配权限,只能通过管理员 对用户进行权限的分配。
(1)B1级
B1级是标记安全保护级。该级对系统数据进行标记, 并对标记的主客体实行强制存取控制。
(2)B2级
B2级是结构化安全保护级。该级建立形式化的安全策 略模型,同时对系统内的所有主体和客体,都实现强制访 问和自主访问控制。
第10章 网络安全技术
本章要点: ? 10.1 基本概念 ? 10.2 数据备份 ? 10.3 加密技术 ? 10.4 防火墙 ? 10.5 防病毒 ? 10.6 入侵检测
10.1 基本概念
10.1.1 信息安全威胁 303 10.1.2 网络攻击304 10.1.3 网络安全的基本要素 304 10.1.4 计算机系统安全等级 305 10.1.5 安全模型305
1.磁盘阵列 2.磁带机 3.磁带库 4.光盘塔 5.光盘库 6.光盘镜像服务器
10.2.4 数据备份的策略
1.完全备份
完全备份即是将用户指定的数据甚至是整个系统的数据进 行完全的备份。
2.增量备份
增量备份是针对完全备份,在进行增量备份,只有那些在 上次完全或者增量备份后被修改了的文件才会被备份。
10.2.2 冷备份与热备分
1.冷备份
冷备份是指“不在线”的备份,当进行冷备份操作时, 将不允许来自用户与应用对数据的更新。
2.热备份
热备份是指“在线”的备份,即下载备份的数据还在整 个计算机系统和网络中,只不过传到令一个非工作的分区或 是另一个非实时处理的业务系统中存放。
10.2.3 数据备分的设备
10.1.1 信息安全威胁
1.窃听
信息在传输过程中被直接或是间接地窃听网络上的特 定数据包,通过对其的分析得到所需的重要信息。数据包 仍然能够到到目的结点,其数据并没有丢失。
2.截获
信息在传输过程中被非法截获,并且目的结点并没有 收到该信息,即信息在中途丢失了。
3.伪造
没有任何信息从源信息结点发出,但攻击者伪造出信 息并冒充源信息结点发出信息,目的结点将收到这个伪造 信息。
4.篡改
信息在传输过程中被截获,攻击者修改其截获的特定 数据包,从而破坏了数据的数据的完整性,然后再将篡改 后的数据包发送到目的结点。在目的结点的接收者看来, 数据似乎是完整没有丢失的,但其实已经被恶意篡改过。
图10-1 信息安全威胁
10.1.2 网络攻击
1.服务攻击
服务攻击即指对网络中的某些服务器进行攻击,使其 “拒绝服务”而造成网络无法正常工作。
(3)B3级
B3级是安全级,它能够实现访问监控器的要求,访问 监控器是指监控器的主体和客体之间授权访问关系的部件。 该级还支持安全管理员职能、扩充审计机制、当发生与安 全相关的事件时将发出信号、同时可以提供系统恢复过程。
4.A类
A类是可验证的保护级。它只有一个等级即A1级。A1 级的功能与B3几乎是相同的,但是A1级的特点在于它的 系统拥有正式的分析和数学方法,它可以完全证明一个系 统的安全策略和安全规格的完整性与一致性。同时,A1级 还规定了将完全计算机系统运送到现场安装所遵守的程序。
3.差异备份
差异备份是将最近一次完全备份后产生的所有数据更新进 行备份。差异备份将完全恢复时所涉及到的备份文件数量限 制为2 个。
(1)从源结点发出的信息,使用如信息加密等加密技 术对其进行安全的转,从而实现该信息的保密性,同时也 可以在该信息中附加一些特征的信息,作为源结点的身份 验证。
(2)源结点与目的结点应该共享如加密密钥这样的 保密信息,这些信息除了发送双方和可信任的第三方以 外,对其他用户都是保密的。
图10-2 网络安全基本模型