第9章 网络安全与管理
合集下载
计算机网络第9章网络安全与网络管理技术YF59课件
主讲人:杨帆
9.2.6 身份认证技术的发展
身份认证可以通过3种基本途径之一或它们的组合实现:知识(knowledge): 个人所掌握的密码、口令;持有物(possesses): 个人身份证、护照、信用卡、钥匙;个人特征(characteristics):人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征。
主讲人:杨帆
9.1.3 网络安全服务与安全标准
1、网络安全服务应该提供的基本服务功能:
数据保密(data confidentiality)认证(authentication) 数据完整(data integrity)防抵赖(non-repudiation)访问控制(access control)
主讲人:杨帆
双层防火墙的工作过程: 包过滤路由器的转发和堡垒主机的判别过程
主讲人:杨帆
双层防火墙(S-B1配置)中的数据传输过程
主讲人:杨帆
3、多层防火墙 采用多级结构的防火墙系统(S-B1-S-B1配置)结构示意图
主讲人:杨帆
9.2.2 对称密钥密码体系 (symmetric cryptography)
特点:加密和解密使用相同的密钥;密钥在传输时要严格保密。典型的对称密钥加密算法是DES算法。(P380-381)
主讲人:杨帆
9.2.3 非对称密钥密码体系 (asymmetric cryptography)
主讲人:杨帆
9.1 网络安全研究的主要问题
9.1.1 网络安全的重要性
从网络的作用和应用广泛性来理解网络安全的重要性;网络已经成为一个国家政治、经济、文化、科技、军事与综合国力的重要标志;网络应用正在(已经)改变人们的工作方式(社会运行机制)、生活方式和思维方式;网络安全问题已经成为信息化社会的一个焦点问题;网络安全不是一个单纯的技术问题,还包括管理和法制环境等诸多方面;每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。
第9章 :网络安全与管理
文件病毒
感染计算机中的文件
引导型病毒
感染启动扇区(Boot)和硬盘的系统引导扇区
9.2.3 病毒的分类
2、按病毒的传染分类 驻留型病毒
驻留内存,并一直处于激活状态
非驻留型病毒
在得到机会激活时并不感染计算机内存
9.2.3 病毒的分类
3、按病毒存在的危害分类
无害型 减少磁盘的可用空间 ,不影响系统 无危险型 减少内存、显示图像、发出声音等 危险型 造成严重的错误 非常危险型 删除程序、破坏数据、清除系统内存区和操作 系统中重要的信息
文件型病毒预防方法
安装并使用有实时监控文件系 统功能的防杀病毒软件 及时更新查杀计算机病毒引擎 经常使用防杀计算机病毒软件 对系统进行计算机病毒检查
文件型病毒预防方法
对系统文件、保密的数据在没 有计算机病毒的环境下经常备份 在不影响系统正常工作的情况下 对系统文件设臵最低的访问权限 修改文件夹窗口中的缺省属性要 求显示所有文件
9.4.1 网络管理的基本功能
故障管理
安全管理
网络安 全问题
计费管理
性能管理
配臵管理
1.故障管理
必须尽可能快地找出故障发生的确切臵; 将网络其它部分与故障部分隔离,以确保网 络其它部分能不受干扰继续运行; 重新配臵或重组网络,尽可能降低由于隔离故 障后对网络带来的影响; 修复或替换故障部分,将网络恢复为初始状态
查毒
在指定环境中准确地报出病毒名称
解毒
根据病毒类型对感染对象的修改,并按照病毒 的感染特性所进行的恢复。 但恢复过程不能破坏未被病毒修改的内容
2.防治策略
计算机安装完操作系统后,不要马上连接网络。 马上安装防病毒软件,更新升级防毒软件,启 动防病毒软件的实时监控和自动防护功能 安装个人防火墙软件,阻止遭受网络蠕虫的攻击。 对进入计算机的文件都要使用防病毒软件进行扫描 查毒工作,不要轻易就运行。 定期文件备份。对于重要的文件资料应经常备份 注意电脑异常。如果发觉有异常症状出现,应立即 进行病毒的查杀
ch9网络安全与管理
5
9.2 病毒及防范措施
凡是经常使用计算机的用户或多或少都受过病 毒的困扰。病毒的危害,小到个人,大到全世界。 最初对病毒理论的构思可追溯到科幻小说。在上个 世纪70年代美国作家雷恩出版的《P1的青春》一 书中构思了一种能够自我复制,利用通信进行传播 的计算机程序,并称之为计算机病毒。下面我们就 来介绍一下计算机病毒以及病毒的防范措施。
6
9.2.1 计算机病毒
20世纪80年代,弗雷德科恩首次公开 发表了论文《计算机机病毒:原理和实验》 提出了计算机病毒的概念:“计算机病毒 是一段程序,它通过修改其程序再把自身 拷贝嵌入而实现对其他程序的传染”。随 之,世界上第一例计算机病毒“Brain(巴 基斯坦病毒)”出现了。那么到底什么是 病毒呢?他有什么特征?
4
9.1.2 网络安全现状及对策
通过网络应用领域的不断拓展,已经 涉及到政治、经济、文化、教育等各个领 域都在向网络化的方面发展。与此同时, “信息垃圾”、“邮件炸弹”、“电脑黄 毒”、“黑客”等也开始在网上横行,不 仅造成了巨额的经济损失,也在用户的心 理及网络发展的道路上投下巨大的阴影。 据统计,目前全球发生Internet主机入侵 事件平凡,美国75%~85%的国站抵挡不 住黑客攻击,约有75%企业的网上信息失 窃。而通过网络传播的病毒无论在传播速 度、传播范围和破坏性方面都比单机病毒 更令人色变。
根据国际标准化组织定义网络管理有5 大功能:故障管理、配置管理、性能管理、 安全管理及计费管理。下面简单介绍一下 这5个方面网络管理功能。
15
9.4.3 网络管理的目标
随着计算机网络规模不断的扩大和网 络应用要求不断的提高:一方面使得网络 的维护成为网络管理的重要问题之一,如 网络故障的排除也越来越困难,并且成本 也在上升等;另一方面,由于网络以前为 静态性能,而忽视了对网络动态解决方案 重要性的认识。 所以要构成一个完整的网络系统,网 络管理是必不可少的。通过网管程序可以 对网络的信息流量进行有效的控制和分流 16 。
9.2 病毒及防范措施
凡是经常使用计算机的用户或多或少都受过病 毒的困扰。病毒的危害,小到个人,大到全世界。 最初对病毒理论的构思可追溯到科幻小说。在上个 世纪70年代美国作家雷恩出版的《P1的青春》一 书中构思了一种能够自我复制,利用通信进行传播 的计算机程序,并称之为计算机病毒。下面我们就 来介绍一下计算机病毒以及病毒的防范措施。
6
9.2.1 计算机病毒
20世纪80年代,弗雷德科恩首次公开 发表了论文《计算机机病毒:原理和实验》 提出了计算机病毒的概念:“计算机病毒 是一段程序,它通过修改其程序再把自身 拷贝嵌入而实现对其他程序的传染”。随 之,世界上第一例计算机病毒“Brain(巴 基斯坦病毒)”出现了。那么到底什么是 病毒呢?他有什么特征?
4
9.1.2 网络安全现状及对策
通过网络应用领域的不断拓展,已经 涉及到政治、经济、文化、教育等各个领 域都在向网络化的方面发展。与此同时, “信息垃圾”、“邮件炸弹”、“电脑黄 毒”、“黑客”等也开始在网上横行,不 仅造成了巨额的经济损失,也在用户的心 理及网络发展的道路上投下巨大的阴影。 据统计,目前全球发生Internet主机入侵 事件平凡,美国75%~85%的国站抵挡不 住黑客攻击,约有75%企业的网上信息失 窃。而通过网络传播的病毒无论在传播速 度、传播范围和破坏性方面都比单机病毒 更令人色变。
根据国际标准化组织定义网络管理有5 大功能:故障管理、配置管理、性能管理、 安全管理及计费管理。下面简单介绍一下 这5个方面网络管理功能。
15
9.4.3 网络管理的目标
随着计算机网络规模不断的扩大和网 络应用要求不断的提高:一方面使得网络 的维护成为网络管理的重要问题之一,如 网络故障的排除也越来越困难,并且成本 也在上升等;另一方面,由于网络以前为 静态性能,而忽视了对网络动态解决方案 重要性的认识。 所以要构成一个完整的网络系统,网 络管理是必不可少的。通过网管程序可以 对网络的信息流量进行有效的控制和分流 16 。
第09章-网络安全与网络管理
第09章-网络安全与网络管理
网络安全与网络管理
09章
网络安全是指通过各种方式保护计算机网络和其资源不受未经
授权的访问、使用、抄袭、修改、破坏或泄露的威胁的一系列技术、措施和行为。
网络管理是指对计算机网络进行监督、控制和维护以
确保网络的高效运行和安全性。
本章将详细介绍网络安全和网络管理的相关内容,包括以下几
个方面:
1、网络安全基础知识
1.1 网络安全概述
1.2 网络安全攻击类型
1.3 网络安全威胁与风险评估
1.4 网络安全防护措施
2、网络安全技术
2.1 防火墙技术
2.2 入侵检测与防御技术
2.3 VPN技术
2.4 数据加密与解密技术
2.5 认证与授权技术
2.6 安全策略与管理技术
3、网络风险评估与漏洞管理
3.1 风险评估概述
3.2 风险评估方法与工具
3.3 漏洞扫描与修复
4、网络流量分析与监控
4.1 流量分析概述
4.2 流量监控工具与技术
4.3 网络日志分析与事件响应
5、网络设备管理
5.1 网络设备管理概述
5.2 网络设备监控与维护
6、网络安全教育与培训
6.1 网络安全意识教育
6.2 员工培训计划
6.3 安全意识培训材料和方法
本文档涉及附件:
1、网络安全检查表
4、网络设备监控指南
法律名词及注释:
1、数据保护法:指保护个人数据隐私和确保合法处理个人数据的法律。
2、电子商务法:指规范和保护电子商务活动的法律。
3、信息安全法:指规范和保护信息网络安全的法律。
4、网络安全法:指规范和保护网络安全的法律。
网络安全与管理PPT课件
Internet应用基础教程
第9章 网络安全与管理
(3)Internet上的通信业务多数使用Unix操作系统来支 持,Unix操作系统中明显存在的安全脆弱性问题会直接影 响安全服务。
(4)在计算机上存储、传输和处理的电子信息,还没 有像传统的邮件通信那样进行信封保护和签字盖章。信息 的来源和去向是否真实、内容是否被改动以及是否泄露等, 在应用层支持的服务协议中,是凭着“君子协定”来维系 的。
Internet应用基础教程
第9章 网络安全与管理
系统安全防护指操作系统的安全防护,即各个操作系 统的安全配置、使用、补丁等,不同的操作系统具有不同 的安全防护策略和安全措施;网络安全防护指网络管理的 安全和网络传输的安全;信息安全防护指数据本身的保密 性、完整性和可靠性,数据加密就是信息安全防护的重要 途径。
2.检测 检测是安全策略的第二关,如果攻击者穿过防护系统, 检测系统就会将其检测出来。如检测入侵者的身份,包括 攻击源、系统损失等。防护系统可以阻止非法用户的入侵, 若有入侵事件的发生,会启动检测系统进行检测。
Internet应用基础教程
第9章 网络安全与管理
3.响应
检测系统一旦检测出入侵,响应系统则开始响应,进 行事件处理。PDRR中的响应就是在已知入侵事件发生后, 进行的紧急响应,不同的计算机有不同的紧急响应小组。 世界上第一台计算机紧急响应小组叫CERT(Computer E mergency Response Team),我国的第一台计算机紧急 响应小组叫CCERT(CERNET Computer Emergency Res ponse Team)。
4.恢复
安全策略的最后一关是系统恢复,它是将系统恢复到 原来状态或比原来更安全的状态。恢复也分为系统恢复和 信息恢复两个方面。
第9章 网络安全与管理
(3)Internet上的通信业务多数使用Unix操作系统来支 持,Unix操作系统中明显存在的安全脆弱性问题会直接影 响安全服务。
(4)在计算机上存储、传输和处理的电子信息,还没 有像传统的邮件通信那样进行信封保护和签字盖章。信息 的来源和去向是否真实、内容是否被改动以及是否泄露等, 在应用层支持的服务协议中,是凭着“君子协定”来维系 的。
Internet应用基础教程
第9章 网络安全与管理
系统安全防护指操作系统的安全防护,即各个操作系 统的安全配置、使用、补丁等,不同的操作系统具有不同 的安全防护策略和安全措施;网络安全防护指网络管理的 安全和网络传输的安全;信息安全防护指数据本身的保密 性、完整性和可靠性,数据加密就是信息安全防护的重要 途径。
2.检测 检测是安全策略的第二关,如果攻击者穿过防护系统, 检测系统就会将其检测出来。如检测入侵者的身份,包括 攻击源、系统损失等。防护系统可以阻止非法用户的入侵, 若有入侵事件的发生,会启动检测系统进行检测。
Internet应用基础教程
第9章 网络安全与管理
3.响应
检测系统一旦检测出入侵,响应系统则开始响应,进 行事件处理。PDRR中的响应就是在已知入侵事件发生后, 进行的紧急响应,不同的计算机有不同的紧急响应小组。 世界上第一台计算机紧急响应小组叫CERT(Computer E mergency Response Team),我国的第一台计算机紧急 响应小组叫CCERT(CERNET Computer Emergency Res ponse Team)。
4.恢复
安全策略的最后一关是系统恢复,它是将系统恢复到 原来状态或比原来更安全的状态。恢复也分为系统恢复和 信息恢复两个方面。
第09章-网络安全与网络管理
第09章-网络安全与网络管理第 09 章网络安全与网络管理在当今数字化的时代,网络已经成为我们生活和工作中不可或缺的一部分。
从日常的社交娱乐到重要的商务活动,网络无处不在。
然而,伴随着网络的广泛应用,网络安全与网络管理的重要性也日益凸显。
网络安全,简单来说,就是保护网络系统中的硬件、软件以及其中的数据不受偶然或者恶意的原因而遭到破坏、更改、泄露。
想象一下,您在网上银行的账户信息被黑客窃取,或者您公司的重要商业机密被竞争对手非法获取,这些情况都可能给个人和企业带来巨大的损失。
首先,我们来谈谈网络面临的一些常见威胁。
病毒和恶意软件是大家比较熟悉的,它们可能会悄悄潜入您的设备,破坏系统、窃取数据或者导致设备无法正常运行。
还有网络钓鱼攻击,不法分子通过伪装成合法的机构或个人,骗取您的敏感信息,比如密码、信用卡号等。
此外,黑客攻击也是一大威胁,他们可能试图入侵企业的网络系统,以获取有价值的信息或者破坏关键设施。
那么,如何保障网络安全呢?这就需要采取一系列的措施。
安装杀毒软件和防火墙是基本的防护手段。
杀毒软件可以检测和清除病毒、恶意软件,而防火墙则能阻止未经授权的访问。
另外,保持软件和系统的更新也非常重要,因为很多更新都是为了修复可能存在的安全漏洞。
强密码的使用也是关键。
一个复杂且独特的密码能大大增加账户的安全性。
不要使用过于简单的密码,如生日、电话号码等容易被猜到的信息。
而且,不同的账户应该使用不同的密码,这样即使一个账户的密码被破解,其他账户也能相对安全。
对于企业来说,网络安全更是至关重要。
他们需要建立完善的网络安全策略,包括员工培训,让员工了解网络安全的重要性和如何避免常见的安全陷阱。
同时,进行定期的安全审计和风险评估,及时发现并解决潜在的安全隐患。
说完网络安全,我们再来看看网络管理。
网络管理的目的是确保网络能够高效、稳定地运行,满足用户的需求。
网络管理包括对网络设备的管理,比如路由器、交换机等。
要确保这些设备正常运行,配置合理,能够有效地传输数据。
第九章 网络管理和网络安全PPT教学课件
2020/12/10
3
3
配置管理(Configuration Management)
配置管理也是基本的网络管理功能。
一个计算机网络是由多种多样的设备连接而成的, 这些被管对象的物理结构和逻辑结构各不相同,结构中 的各种参数、状态和名字等信息也需要相互了解和相互 适应。这对于一个大型计算机网络的运行是至关重要的。 另外,网络的运行环境也是经常变化的,系统本身也要 随着用户的增加、减少或设备的维护、添加而经常调整 网络的配置,使网络能够更有效地工作。网络管理提供 的这些手段构成了网络管理的配置功能域,它是用来定 义、识别、初始化、控制和监测通信网中的被管对象的 功能集合。
2020/12/10
2
2
故障管理(Fault Management)
故障管理是最基本的网络管理功能。
故障管理是网络管理功能中与故障检测、故障诊断 和故障恢复或排除等工作相关的部分,其目的是保证网 络能够提供连续、可靠的服务。
在大型计算机网络发生故障时,往往不能确定故障 所在的具体位置,这就需要故障管理提供逐步隔离和最 后故障定位的一整套方法和工具;有的时候,故障是随 机产生的,需要经过较长时间的跟踪和分析,才能找到 故障原因。这就需要有一个故障管理系统,科学地管理 网络所发现的所有故障,具体地记录每一个故障的产生, 跟踪分析以至最终确定并排除故障。
⑶ GetResponse原语:表示被管代理对管理者的响应,并回送相应变 量的状态信息(差错码、差错状态等)。
⑷ SetRequest原语:表示管理者发送给被管代理的“设置变量”请求, 要求被管代理在本地MIB库中设置相应的变量值。
⑸ Trap原语:当被管代理发现某些预定的网络事件(例如,被管设备 出错或关机)时,它会主动向管理者发送信息,报告发生的事件。管理者 可以根据Trap原语发送来的信息进行差错诊断和处理。
第九章网络安全与管理课件
国际数据加密算法IDEA
使用128位密钥,因而更不容易被攻破。计算指出,当密钥长度为128位时,若每微秒可搜索一百万次,则破译IDEA密码要花费5.4*1018年,这显然比较安全。
非对称密钥密码体制
使用不同的加密密钥与解密密钥。 在公钥密码体制中,加密密钥(即公钥)PK是公开信息,而解密密钥(即私钥或秘钥) SK是需要保密的。 加密算法和解密算法也都是公开的。 虽然密钥SK是由公钥PK决定的,但却不能根据PK计算出SK。
公钥密码体制
任何加密方法的安全性取决于密钥的长度,以及攻破密文所需的计算量。
三、数字签名
报文鉴别——接收者能够核实发送者对报文的签名; 报文的完整性——接收者不能伪造对报文的签名; 不可否认——发送者事后不能抵赖对报文的签名。 现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。
数字签名必须保具有A的私钥,所以除A外没有别人能产生这个密文。因此B相信报文X是A签名发送的。 (2)若A要抵赖曾发送报文给B,B可将明文和对应的密文出示给第三者。第三者很容易用A的公钥去证实A确实发送X给B。 (3)反之,若B将X伪造成X’,则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。
具有保密性的数字签名
四、防火墙(firewall)
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。 防火墙内的网络称为“可信赖的网络”,而将外部的因特网称为“不可信赖的网络”。 防火墙可用来解决内联网和外联网的安全问题。
概念
防火墙在互连网络中的位置
谢谢大家
恶意程序
明文 X
二、加密技术
一般的数据加密模型
解密算法是加密算法的逆运算在进行解密运算时如果不事先约定好密钥就无法解出明文
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【本章要点】
• 1 网络面临的安全问题、网络安全的概念、网络 安全的内容 • 2 数据加密算法:对称加密算法、公开密钥密码 体制 • 3 常用网络安全技术及其应用:防火墙技术、入 侵检测技术、身份认证与数字签名、VPN技术 • 4 网络管理的基本概念、网络管理逻辑结构、网 络管理的主要功能、网络管理协议
• 对称加密算法是应用较早的加密算法,技术成熟。 在对称加密算法中,使用的密钥只有一个,发收 信双方都使用这个密钥对数据进行加密和解密。
• 对称加密算法的特点是算法公开、计算量小、加 密速度快、加不足之处是,收发双方都使用同样钥匙,安全性得不到保证。 此外,每对用户每次使用对称加密算法时,都需要使用其 他人不知道的唯一钥匙,这会使得发收信双方所拥有的钥 匙数量成几何级数增长,密钥管理成为用户的负担。因此, 对称加密算法在分布式网络系统上使用较为困难。
9.2 数据加密算法
• 9.2.1 数据加密技术概述 • 9.2.2 对称加密算法 • 9.2.3 公开密钥密码体制
9.2.1 数据加密技术概述
密码技术分为加密和解密两部分:
1.加密:是把需要加密的报文按照以密钥为参数的函 数进行转换,产生密码文件。 2.解密:是按照密钥参数进行解密还原成原文件。 利用密码技术,在信源发出与进入通信 信道之间进行加密,经过信道传输,到信宿接收 时进行解密,以实现网络通信保密。
• 评估重要系统和数据文件的完整性。
9.3.3 身份认证与数字签名
• 1.身份认证:指的是用户身份的确认技术,它是网络安 全的重要防线。 • 在计算机系统中,一般采用验证口令的方式来确认用户的 合法性,但是用户的口令可能由于各种原因被其他人得 到 。 • 身份认证系统最重要的技术指标是:合法用户的身份是否 容易被别人冒充。用户身份被冒充不仅可能损害用户自身 的利益,也可能损害其他用户和整个系统。
第 9 章 网络安全与管理
【本章目标】
• 实现通信网络的高效运行离不开网络安全 和网络管理。本章首先介绍网络安全的概 念,然后介绍网络安全应用的加密算法标 准、常用网络安全技术,以及网络管理模 型。要求掌握网络安全的概念、数据加密 算法的特征、防火墙、入侵检测、身份认 证、数字签名、VPN、网络管理的功能、 网络管理逻辑结构。
9.1.2 网络安全的概念
• 2.网络信息安全的原则
一般对信息系统安全的认知与评判方式,包含五项原则: (1)私密性; (2)完整性; (3)身份鉴别; (4)授权; (5)不可否认性。 这五项原则虽各自独立,在实际维护系统安全时,却 又环环相扣缺一不可。
9.1.3 网络安全的内容
• 1.网络安全框架:给出了网络安全体系的 基本构成,主要包括以下三个层次:安全 技术层、安全管理层和政策法规层。政策 法规层保护安全管理层和安全技术层。
管理系统 被管系统 通知 管理进程 管理协议 数据库 代理 … … 执行管理操作 … 被管对象
9.4.2 网络管理逻辑结构
• 2.Internet网络管理模型
网络管理进程(网控中心)
管理代理 被管对象 …
管理代理 被管对象 …
外部代理 被管对象 …
外部代理 被管对象 …
9.4.3 网络管理的主要功能
利用密码技术,在信源发出与进入通信信道之间 进行加密,经过信道传输,到信宿接收时进行解密,以实 现网络通信保密。一般的数据加密与解密模型如图9-1所
示:
截获 侵入者 篡改
明文X
明文X E 加密算法 加密密钥Ke
密文Y=EKe(X)
D 解密算法 解密密钥Kd
安全信道 密钥源
9.2.2 对称加密算法
• 随着网络技术的高速发展,网络管理的重要性越 来越突出。
9.4.1 网络管理的基本概念
• • • • • • • 2.网络管理的目标: ① 有效性; ② 可靠性; ③ 开放性; ④ 综合性; ⑤ 安全性; ⑥ 经济性 。
9.4.2 网络管理逻辑结构
• 1.网络管理系统逻辑模型 • 由被管对象(Managed Object)、管理进程(Manager) 和管理协议(Management Protocol)三部分组成。
9.1 网络信息安全概述
• 9.1.1 网络面临的安全问题 • 9.1.2 网络安全的概念 • 9.1.3 网络安全的内容
9.1.1 网络面临的安全问题
• 网络面临的安全问题:网络攻击和网络系统的安全漏洞
• 1.网络攻击:
一般认为,计算机网络系统的安全性威胁分为两类三个方面。 两类: (1)被动攻击:不修改信息内容,例如偷听、监视、 非法查询、非法调用信息等; (2)主动攻击:要破坏数据的完整性,例如删除、窜 改、冒充合法数据或制作假的数据进行欺骗,甚至干扰整 个系统的正常运行。 三个方面: 一般认为,黑客攻击、计算机病毒和拒绝服务攻击这 三个方面是计算机网络系统受到的主要威胁。
9.1.1 网络面临的安全问题
• 2.网络系统的安全漏洞
(1)网络漏洞; (2)服务器漏洞; (3)操作系统漏洞。
9.1.2 网络安全的概念
• 1.安全的含义。 在美国国家信息基础设施(NII)的最新文献中,明确给出安全 的五个属性 ,这五个属性定义如下: (1)可用性(Availability):信息和通信服务在需要时允许授 权人或实体使用。 (2)可靠性(Reliability):系统在规定条件下和规定时间内 完成规定功能的概率。 (3)完整性(Integrity):信息不被偶然或蓄意地删除、修改、 伪造、乱序、重放、插入等破坏的特性。 (4)保密性(Confidentiality):防止信息泄漏给非授权个人 或实体,信息只为授权用户使用。 (5)不可抵赖性(Non-Repudiation):也称作不可否认性,在 一次通信中,参与者的真实同一性。
习题:
1
9.3.3 身份认证与数字签名
• 2.数字签名:是为了防止他人冒名进行信息发送和接收, 以及防止当事人事后否认已经进行过的发送和接收活动。 图9-5描述了数字签名与加密运算的主要过程:
数字签名X D
Dkd (X)
E
EK'e (Dkd(X))
D
Dkd(X)
E
X
Kd
K'e
K'd
Ke
9.3.4 VPN技术
在计算机网络通信系统中广泛使用的对称加密算法 有DES、AES和IDEA等。
9.2.3 公开密钥密码体制
• • • • • 两个密钥, 一个为公钥:用于加密 另一个为私钥:用于解密 给出加密密钥和算法不可能决定解密密钥 任一个密钥能被用于加密,另一个用于解 密
9.2.3 公开密钥密码体制
• 比较著名的公钥密码算法有:RSA、椭圆曲线和ElGamal算 法等。 • 最有影响的公钥密码算法是RSA 。 RSA算法对数据的加解 密的过程如图9-3所示。
• 2.网络安全对策: (1)根据安全需求制订安全计划; (2)进行风险分析和评估; (3)根据需要建立安全策略。
9.1.3 网络安全的内容
• 3.网络安全服务(5大服务):认证 、访 问控制 、信息加密 、信息的完整性 、不 可抵赖 。
• 4.网络安全机制:加密机制、 数字签名 机制、存取控制机制、信息完整性机制、 业务量填充机制、 路由控制机制、公证机 制。
明文 RSA 加密模块 密文(EM) 公开信道 RSA 解密模块 明文
发方A
收方B
PKB 甲地的发方A
SKB 已地的收方B PKB-收方的公开密钥;SKB-收方的私有密钥
9.2.3 公开密钥密码体制
• RSA算法的特点: ① 发展前景好。 ② 方便、安全可靠。 ③ 可以适应网络的开放性要求,且密钥管理问题也较为简 单,尤其可方便地实现数字签名和验证。 • RSA算法的局限性:算法复杂,加密数据的速率较低。 • 在实际应用中,人们通常将对称密码和公钥密码结合在一 起使用,比如利用DES来加密信息,而采用RSA来传递会话 密钥 。
9.3.1 防火墙技术
• 2、防火墙基本类型
① 数据包过滤器 ; ② 应用级防火墙 ;
③ 线路级防火墙。
9.3.2 入侵检测技术
1.基本概念: 入侵检测系统(Intrusion Detection System)是对入侵行为的发觉,是防火墙的合理补充,帮 助系统对付网络入侵。 2 • • • • • 入侵检测的主要功能如下: 监控、分析用户和系统的活动; 核查系统配置和漏洞; 识别入侵的活动模式并向网管人员报警; 对异常活动的统计分析; 操作系统审计跟踪管理,识别违反政策的用户活动;
• 虚拟专用网(Virtual Private Network, VPN)是一种在 公共网络上,通过一系列技术(如隧道技术)建立的逻辑 网络,用户可以通过它获得专用的远程访问链路。VPN示 意如图9-6所示。
VPN隧道 路由器 路由器 服务器
客户机
9.3.4 VPN技术
• • • •
• • • • •
• 在OSI管理标准中,将开放系统的管理功能划分为 五个部分: • (1)配置管理 • (2)性能管理 • (3)故障管理 • (4)安全管理 • (5)记账管理 • 其他一些管理功能,如网络规划、网络操作人员 的管理等都不在其中。
9.4.4 网络管理协议简介
简单网络管理协议SNMP
• IETF制定的SNMP是由一系列协议组和规范组成的,它们提 供了一种从网络上的设备中收集网络管理信息的方法。 • SNMP 的体系结构分为SNMP 管理者(SNMP manager)和 SNMP代理者(SNMP agent),每一个支持SNMP 的网络设 备中都包含一个网管代理,网管代理随时记录网络设备的 各种信息,网络管理程序再通过SNMP通信协议收集网管代 理所记录的信息。从被管理设备中收集数据有两种方法: 一种是轮询(polling)方法,另一种是基于中断 (interrupt-based)的方法。