第10章 计算机信息安全技术
计算机网络安全基础第三版习题参考答案
计算机网络安全基础(第三版)习题参考答案第一章习题:1.举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。
2.有两个网络,它们都提供可靠的面向连接的服务。
一个提供可靠的字节流,另一个提供可靠的比特流。
请问二者是否相同?为什么?不相同。
在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。
例如,一个进程向一条连接写了1024字节,稍后又写了另外1024字节。
那么接收方共读了2048字节。
对于报文流,接收方将得到两个报文,、每个报文1024字节。
而对于字节流,报文边界不被识别。
接收方把全部的2048字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。
3.举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。
OSI模型(开放式系统互连参考模型):这个模型把网络通信工作分为7层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。
每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持。
TCP/IP模型只有四个层次:应用层、传输层、网络层、网络接口层。
与OSI功能相比,应用层对应的是OSI的应用层、表示层、会话层;网络接口层对应着OSI的数据链路层和物理层。
两种模型的不同之处主要有:(1) TCP/IP在实现上力求简单高效,如IP层并没有实现可靠的连接,而是把它交给了TCP层实现,这样保证了IP层实现的简练性。
OSI参考模型在各层次的实现上有所重复。
(2) TCP/IP结构经历了十多年的实践考验,而OSI参考模型只是人们作为一种标准设计的;再则TCP/IP有广泛的应用实例支持,而OSI参考模型并没有。
软件工程专业课程教学大纲
软件工程专业课程教学大纲计算机导论课程教学大纲课程名称:计算机导论课程编号:学时/学分:48 / 3 开课学期:1适用专业:计算机科学与技术/软件工程/网络工程课程类型:学科与专业基础必修课一、课程的目的和任务1.初步了解计算机的基本知识,为后续课程的学习打下一定的基础;2.初步了解计算机科学与技术学科知识体系,了解社会对计算机人才的需求情况,培养学生学习兴趣和专业自豪感;3.初步掌握文献检索、资料查询及运用现代信息技术获取相关信息的基本方法;4.了解与计算机相关职业和行业的法律、法规;5.初步培养学生对终身学习的正确认识和学习能力;二、课程的基本要求1.了解计算机的入门基础知识,掌握计算机的运算基础知识;2.了解计算机系统的基本组成和工作原理;3.了解计算机程序设计和数据结构基础知识;4.了解计算机系统软件的基础知识;5.掌握常用办公软件的操作应用;6.了解数据库系统基本概念及其应用基础知识;7.了解多媒体技术及其应用基础知识;8.了解计算机网络及其应用基础知识9.了解软件工程的基本概念;10.了解计算机信息安全技术;11.了解计算机在各领域的应用发展趋势;12.了解计算机与信息技术相关的法律法规,了解相关的职业及其道德准则。
三、课程基本内容和学时安排第1章绪论(2学时)1.1计算机的基本概念;1.2信息化社会的挑战;1.3 计算机科学技术的研究范畴;1.4计算机工程教育认证通用标准与补充标准。
第2章计算机科学技术的基础知识(8学时)2.1计算机的运算基础;2.2逻辑代数基础;2.3计算机的基本结构与工作原理;2.4程序设计基础;2.5算法基础;2.6数据结构基础。
第3章计算机硬件结构(2学时)3.1计算机系统3.2系统单元3.3输入输出系统第4章计算机系统软件与工具软件(2学时)4.1程序设计语言翻译系统4.2操作系统4.3工具软件第5章计算机应用软件(2学时)5.1文字处理软件5.2电子表格软件5.3文稿演示软件第6章数据库系统及其应用(2学时)6.1数据库系统的基本概念6.2结构化查询语言6.3数据仓库6.8数据库系统的应用第7章多媒体技术及其应用(2学时)7.1多媒体7.2超文本与超媒体7.3多媒体技术第8章计算机网络及其应用(2学时)8.1数据通信与连通性8.2计算机网络体系结构8.3计算机网络的分类和使用方式8.4internet与tcp/ip协议8.5internet的服务功能8.6web和浏览器8.7局域网的基础构架第9章软件工程(2学时)9.1软件工程的概念9.2软件开发模型9.4软件过程和过程改进第10章计算机信息安全技术(2学时)10.1计算机信息安全面临的威胁10.2保密技术10.3防御技术第11章计算机的应用领域第12章职业道德与择业第11、12章共10课时,由企业工程师与本校任课教师共同完成。
《计算机信息安全技术》课后习题及参考答案
第1章计算机信息安全概述习题参考答案1. 对计算机信息安全造成威胁的主要因素有哪些?答:影响计算机信息安全的因素有很多,主要有自然威胁和人为威胁两种。
自然威胁包括:自然灾害、恶劣的场地环境、物理损坏、设备故障、电磁辐射和电磁干扰等。
人为威胁包括:无意威胁、有意威胁。
自然威胁的共同特点是突发性、自然性、非针对性。
这类不安全因素不仅对计算机信息安全造成威胁,而且严重威胁着整个计算机系统的安全,因为物理上的破坏很容易毁灭整个计算机信息管理系统以及网络系统。
人为恶意攻击有明显的企图,其危害性相当大,给信息安全、系统安全带来了巨大的威胁。
人为恶意攻击能得逞的原因是计算机系统本身有安全缺陷,如通信链路的缺陷、电磁辐射的缺陷、引进技术的缺陷、软件漏洞、网络服务的漏洞等。
2. 计算机信息安全的特性有哪些?答:信息安全的特性有:⑴完整性完整性是指信息在存储或传输的过程中保持未经授权不能改变的特性,即对抗主动攻击,保证数据的一致性,防止数据被非法用户修改和破坏。
⑵可用性可用性是指信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。
对可用性的攻击就是阻断信息的合理使用。
⑶保密性保密性是指信息不被泄露给未经授权者的特性,即对抗被动攻击,以保证机密信息不会泄露给非法用户或供其使用。
⑷可控性可控性是指对信息的传播及内容具有控制能力的特性。
授权机构可以随时控制信息的机密性,能够对信息实施安全监控。
⑸不可否认性不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
发送方不能否认已发送的信息,接收方也不能否认已收到的信息。
3. 计算机信息安全的对策有哪些?答:要全面地应对计算机信息安全问题,建立一个立体的计算机信息安全保障体系,一般主要从三个层面来做工作,那就是技术、管理、人员。
(1)技术保障指运用一系列技术层面的措施来保障信息系统的安全运营,检测、预防、应对信息安全问题。
第10章 计算机信息系统安全 习题与答案
第10章计算机信息系统安全习题(P257-258)一、复习题1、计算机网络系统主要面临哪些威胁?答:由于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞或“后门”,还有网络内部的威胁(比如用户的误操作,资源滥用和恶意行为使得再完善的防火墙也无法抵御来自网络内部的攻击,也无法对网络内部的滥用做出反应)等安全问题的根源。
网络信息安全主要面临以下威胁。
非授权访问:非授权访问主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
非授权访问的威胁涉及到受影响的用户数量和可能被泄露的信息。
入侵是一件很难办的事,它将动摇人的信心。
而入侵者往往将目标对准政府部门或学术组织。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
具有严格分类的信息系统不应该直接连接Internet。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:拒绝服务攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒,通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
2、简述计算机网络信息系统的安全服务与安全机制。
答:通常将为加强网络信息系统安全性及对抗安全攻击而采取的一系列措施称为安全服务。
ISO7498-2中定义的5类安全服务是:数据完整性,鉴别,数据保密,访问控制,不可否认,这5类安全服务同面的安全目标的5个方面基本对应。
安全机制是实现安全服务的技术手段,表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。
信息系统的安全是一个系统的概念,为了保障整个系统的安全可以采用多种机制。
十章节信息安全
术旳作用
上一页 下一页 结束 返回
2024/9/28
15
10.1.3 计算机犯罪
所谓计算机犯罪,是指行为人以计算机作为 工具或以计算机资产作为攻击对象实施旳严重危 害社会旳行为。由此可见,计算机犯罪涉及利用 计算机实施旳犯罪行为和把计算机资产作为攻击 目 录 对象旳犯罪行为。
上一页
下一页
结束
2024/9/28
2024/9/28
19
黑客行为特征体现形式
1)恶作剧型
2)隐蔽攻击型
3)定时炸弹型
4)制造矛盾型
目录
上一页
5)职业杀手型
下一页
6)窃密高手型
结束
7)业余爱好型
2024/9/28
20
目录 上一页 下一页 结束
10.1.4 常见信息安全技术
目前信息安全技术主要有:密码技术、防火墙技术、 虚拟专用网(VPN)技术、病毒与反病毒技术以及其 他安全保密技术。 1.密码技术
13
3. 网络信息安全对网络道德提出新旳要求
1)要求人们旳道德意识愈加强烈,道德行为 愈加自主自觉
2)要求网络道德既要立足于本国,又要面对
世界
目录
上一页
3)要求网络道德既要着力于目前,又要面对
下一页
将来
结束
2024/9/28
14
4. 加强网络道德建设对维护网络信息安全有着主 动旳作用
1)网络道德能够规范人们旳信息行为 2)加强网络道德建设,有利于加紧信息安全立 法旳进程 4)加强网络道德建设,有利于发挥信息安全技
当构筑和使用木质构造房屋旳时候,为预防
火灾旳发生和蔓延,人们将结实旳石块堆砌在房
屋周围作为屏障,这种防护构筑物被称为防火墙。
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。
A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。
B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。
D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。
D.上述三点(2)网络安全保障体系框架的外围是。
D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。
A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。
B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。
D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。
D.上述三点(2)网络安全保障体系框架的外围是。
D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
信息安全技术的计算环境概述
1.1.3 因特网选择的几种安全模式
4) 网络安全防卫:这是目前因特网中各网站所采取的 安全防卫方式,包括建立防火墙来保护内部系统和网 络、运用各种可靠的认证手段 (如:一次性密码等) , 对敏感数据在网络上传输时,采用密码保护的方式进 行。
1.1.4 安全防卫的技术手段
在因特网中,信息安全主要是通过计算机安全和 信息传输安全这两个技术环节,来保证网络中各 种信息的安全。
1.1.1 信息安全的目标
可用性。指授权用户在需要时能不受其他因素的影响 ,方便地使用所需信息。这一目标是对信息系统的总 体可靠性要求。
可控性。指信息在整个生命周期内部可由合法拥有者 加以安全的控制。
不可抵赖性。指保障用户无法在事后否认曾经对信息 进行的生成、签发、接收等行为。
1.1.1 信息安全的目标
信息安全技术的发展,主要呈现四大趋势,即:
1) 可信化。是指从传统计算机安全理念过渡到以可信 计算理念为核心的计算机安全。面对愈演愈烈的计算 机安全问题,传统安全理念很难有所突破,而可信计 算的主要思想是在硬件平台上引入安全芯片,从而将 部分或整个计算平台变为“可信”的计算平台。目前 主要研究和探索的问题包括:基于TCP的访问控制、 基于TCP的安全操作系统、基于TCP的安全中间件、 基于TCP的安全应用等。
实验11 信息安全技术实验总结 实验12 信息安全技术课程设计
第 1 章 熟悉信息安全技术
1.1 信息安全技术的计算环境 1.2 信息安全技术的标准化 1.3 信息系统的物理安全 1.4 Windows系统管理与安全设置
第 1 章 熟悉信息安全技术
1.1 信息安全技术的计算环境 1.2 信息安全技术的标准化 1.3 信息系统的物理安全 1.4 Windows系统管理与安全设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图 1 加密、解密模型
密码算法
目前加密算法主要有秘密钥匙(secret key)和公用钥 匙(public key)加密算法。
1.秘密钥匙加密
秘密钥匙加密法又称为对称式加密法或传统加密法。其 特点是加密明文和解读密文时使用的是同一把钥匙,如 下图所示。
(1)单级数据信息加密 (2)多级数据信息加密
信息的完整性
消息认证:消息接收者能确定
消息来源于被指定的发送者 消息是发送给预期的接收者 消息内容是完整可信的,即在传输过程中没有被 修改或替换 消息的序号和时间性
数字签名:网络服务中的身份验证,消息接
收者能确定
接收方能确认信息确实来自指定的发送者 发送者不能否认所发信息的内容 接收者不能伪造信息内容
This is a book
加密
!@#$~%^~&~*()秘密钥匙
!@#$~%^~&~*()-
解密
This is a book
2.公用钥匙加密
公用钥匙加密法又称非对称式加密,其特色是完成一次加、解 密操作时,需要使用一对钥匙。假定这两个钥匙分别为A和B,则 用A加密明文后形成的密文,必须用B方可解回明文,反之,用B 加密后形成的密文必须用A解密。
第4节
虚拟专用网
虚拟专用网
适合拥有众多地理分散分支机构的大型企业和公司,它 们选择基于电信服务商提供的公众网建立虚拟的专用网 VPN。 VPN专指基于公众网络,构建一个安全的、可靠的和可 管理的商业间通信的通道。 采用IP通道技术的VPN服务是一种新的VPN服务概念,即 Extranet 。在基于 IP 通道技术的 VPN 服务中,安全加密 是VPN主要需要解决的问题 PPTP协议即点对点的通道协议:建立数据包的传送隧道。 L2F协议:是Cisco公司提出,它发展为L2TP协议。 IPSec:是IETF支持的标准之一。它和前两种不同之处在于IP
公用钥匙
This is a book
加密 私有钥匙
!@#$~%^~&~*()-
!@#$~%^~&~*()-
解密
This is a book
对称和非对称密码体制比较
非对称密码体制与对称密码体制相比,主要有下面3个 方面的优点: 密码分发简单 秘密保存的密钥减少 公钥密码体制可以容易地实现对称密码体制难以实现 的签名验证机制
一个完整的安全体系结构主要由4个层次组成: 实体安全指的是保证网络中单个结点设备的安全 性 网络安全指的是保证整个网络的数据传输和网络 进出的安全性 应用安全主要保证各种应用系统内部的安全性 管理安全主要保证整个系统包括设备、网络系统 以及各种应用系统的运营维护时的安全性
TCP/IP协议中的安全解决方案
计算机导论
——第10章 计算机信息安全技术
主要内容
Байду номын сангаас
计算机信息安全概述 保密技术 防御技术 虚拟专用网 审计和监控技术 计算机病毒
第 1 节
计算机信息安全概述
信息安全的概念与现状
随着信息存储方式的变化,信息安全的概念也出现新的情况
传统信息安全:通过物理手段和管理制度来保证信息的 安全 计算机安全:保护所有信息储存设备所采取的手段 网络安全:用于保护传输的信息和防御各种攻击的措施 随着Internet在更大范围的普及,它所产生的负面影响也越 来越大,主要体现: 黑客阵营的悄然崛起 网上黄毒泛滥 网上病毒的传播 网上偷盗之风的盛行
审计系统包含的主要技术
信息捕捉与还原: 有效信息识别规则的制定和实现以及智能匹配 实时、非抵赖的审计 智能分析技术
IDS系统
IDS( 入侵检测系统)与防火墙不同,它并不介于网络
段之间,而是设计用于在单个域中隐式地运行。它能 够及时捕获所有网上的传输,把这些信息读入内存, 由系统与已知的一些典型攻击性分组比较。 IDS一般由驱动引擎和控制台两大部分组成: 驱动引擎用于捕获和分析网络传输 控制台用于管理各驱动引擎并发出有关报告。 根据系统所采用的检测模型,可以将IDS分为3类: 异常检测 滥用检测 混合检测
加密方式
1.通信加密
(1)节点加密:是在通信链路的任意两个相邻节点间对传输数 据进行加密。 (2)链路加密:是在通信链路上对传输的数据进行加密,它主 要靠硬件实现。 (3)端对端加密:是在报文传输初始节点上实现的。在整个数 据传输过程中,报文都是以密文方式传输,直到到达目的节点时才 进行解密。
2.文件加密
第3节
防御技术
防火墙概念
防火墙是位于两个 ( 或多个) 网络间,实施网间访问控制的一组 组件的集 合,它满足以下条件:
内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应对渗透免疫
防火墙通常被比喻为网络安全的大门,用来鉴别什么样的数据 包可以进出企业内部网。在应对黑客入侵方面,可以阻止基于 IP 包头的攻击和非信任地址的访问。但防火墙无法阻止和检测 基于数据内容的黑客攻击和病毒入侵,同时也无法控制内部网 络之间的违规行为
认证和授权机制的使用:对保护的对象或实体的合法或企图非法访问进
行记录 增加、删除和修改对象:记录对已利用安全服务对象的改变或删除操作 计算机操作员、系统管理员、系统安全人员采取的与安全相关的行动: 保持一个特权人员完成动作的记录 识别访问事件和它的行动者:识别每次访问事件的起始和结束时间及其 行动者 识别例外条件:在事务的两次处理其间,识别探测到的安全相关的例外 条件 利用密码变量:记录密钥的使用、生成和消除 改变分布环境中单元的配置:保持相关服务器的轨迹 任何企图陷害、攻击或闯入(不管成功与否)安全机制的事件
层的加密,提供了对私用地址、身份认证、密码管理等功能, 得到众多厂家的支持。
虚拟专用网示意图
公众网 密文 明文 明文
明文
总 部
分 部
第5节
审计与监控技术
审计和监控的准则
审计是对系统内部进行监视、审查,识别系统是否正在受
到攻击或机密信息是否受到非法访问,如发现问题后则采取 相应措施,其主要依据十是“信息技术安全性评估通用准则 2.0版”
信息安全
研究安全漏洞以防之
控制
广播 工业
研究攻防技术以阻之通讯
因特网
金融 交通
电力 信息对抗的威胁在增加
医疗
网络对国民经济的影响在加强
信息安全的定义
信息安全的定义:它包括很多方面,是一个十分复杂的问
题,可以说信息系统有多复杂,信息系统安全问题就有多 复杂;信息系统有什么样的特性,信息系统安全就同样具 有类似的特性。同时要实现这样的“安全”,也不是某个 技术能够解决的,它实际上是一个过程。
数据链路层可以采用加密来保证数据链路层中传输
数据的安全性 网络层可以采用IP层加密来保证IP层数据传输的安 全性,也可以采用防火墙、 VPN 技术在 IP 层次上保 证用户对网络的访问控制 应用层可以采用加密来保证应用数据的保密性,也 可以采用数字签名、身份认证等技术增加应用的安 全性。
第2节
信息安全犯罪的形式
破坏数据和设备 : 工作人员有时候会试图破坏计算机
设备、程序或者文件,而黑客和解密者则可能通过传 播病毒来进行对设备和数据的破坏。 偷窃 : 偷窃的对象可以是计算机硬件、软件、数据甚 至是计算机时间。 操纵: 找到进入他人计算机网络的途径并进行未经授 权的操作。
网络安全体系结构
保密技术
密码技术
密码技术主要是为维护用户自身利益,对资源采取防护措施, 防止非法用户侵用和盗取,或即使非法用户侵用和盗取了资源,也 由于无法识别而不能使用。 密码技术分加密和解密两部分。加密指改变数据的表现形式, 是把需要加密的报文按照以密钥为参数的函数进行转换,产生密码 文件。解密是按照密钥参数将密码文件还原成原文件。 数据加密与解密的模型如下图所示。
可信任计算机标准评估准则-橙皮书(TCSEC,美国):该
标准将计算机安全分为8个等级,由低到高为D1、C1、C2、 B1、B2、B3、A1和A2,各等级主要考虑系统的硬件、软件
和存储的信息免受攻击
信息安全基本要素
确保信息不暴露给未授权的实体或进程 只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改 得到授权的实体在需要时可访问数据, 即攻击者不能占用所有的资源而阻碍 授权者的工作
防火墙 Intranet Internet
防火墙技术
设计策略: 服务访问策略:特定于一个出口,定义受保护网络中哪些服务
是允许的,哪些服务是明确禁止的,服务是怎样被使用的等 实施策略:描述防火墙实施中是怎样体服务访问策略,即怎样 去限制访问和过滤服务
包过滤技术:用于控制哪些数据报可以进出网络而那些 数据报应被网络拒绝 应用网关:运行代理服务的主机称为应用网关,这些程 序根据预先制定的安全规则将用户对外部网的服务请求 向外提交、转发外部网对内部网用户的访问。代理服务 替代了用户和外部网的联接
防火墙结构
包过滤防火墙:在Internet连接处安装包过滤路由器,在 路由器中配置包过滤规则来阻塞或过滤报文的协议和地 址 双宿主网关防火墙:由一个带有两个网络接口的主机系 统组成 过滤主机防火墙:由一个包过滤路由器和一个位于路由 器旁边保护子网的应用网关组成 过滤子网防火墙:在一个分割的系统上放置防火墙的每 一个组件,每一个组件仅需实现一个特定任务,该结构 中两个路由器用来创建一个内部的、过滤子网,这个子 网(有时称为非军事区DMZ)包含应用网关、信息服务器、 Modem池等 MODEM池:对通过MODEM拨号访问进行集中保护