《{工程安全管理}培训讲义网络工程师—第10章网络安全技术》由会员分享,可在线阅读,更多相关《{工程安全管理}培训讲义网络工程师—第10章网络安全技术(55页珍藏版)》请在金锄头文库上搜索。
1、第10章 网络安全技术,本章要点: 10.1 基本概念 10.2 数据备份 10.3 加密技术 10.4 防火墙 10.5 防病毒 10.6 入侵检测,10.1.1 信息安全威胁303 10.1.2 网络攻击304 10.1.3 网络安全的基本要素304 10.1.4 计算机系统安全等级305 10.1.5 安全模型305,10.1 基本概念,1窃听 信息在传输过程中被直接或是间接地窃听网络上的特定数据包,通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点,其数据并没有丢失。 2截获 信息在传输过程中被非法截获,并且目的结点并没有收到该信息,即信息在中途丢失了。,10.1.1 信息安
2、全威胁,3伪造 没有任何信息从源信息结点发出,但攻击者伪造出信息并冒充源信息结点发出信息,目的结点将收到这个伪造信息。 4篡改 信息在传输过程中被截获,攻击者修改其截获的特定数据包,从而破坏了数据的数据的完整性,然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来,数据似乎是完整没有丢失的,但其实已经被恶意篡改过。,图10-1 信息安全威胁,10.1.2 网络攻击,1服务攻击 服务攻击即指对网络中的某些服务器进行攻击,使其“拒绝服务”而造成网络无法正常工作。 2非服务攻击 利用协议或操作系统实现协议时的漏洞来达到攻击的目的,它不针对于某具体的应用服务,因此非服务攻击是一种更有效的攻击手
3、段。,10.1.3 网络安全的基本要素,(1)机密性 (2)完整性 (3)可用性 (4)可鉴别性 (5)不可抵赖性,10.1.4 计算机系统安全等级,1D类 D类的安全级别最低,保护措施最少且没有安全功能。 2C类 C类是自定义保护级,该级的安全特点是系统的对象可自主定义访问权限。C类分为两个级别:C1级与C2级。 (1)C1级 C1级是自主安全保护级,它能够实现用户与数据的分离。数据的保护是以用户组为单位的,并实现对数据进行自主存取控实现制。 (2)C2级 C2级是受控访问级,该级可以通过登录规程、审计安全性相关事件来隔离资源。,3B类 B类是强制式安全保护类,它的特点在于由系统强制实现安全
4、保护,因此用户不能分配权限,只能通过管理员对用户进行权限的分配。 (1)B1级 B1级是标记安全保护级。该级对系统数据进行标记,并对标记的主客体实行强制存取控制。 (2)B2级 B2级是结构化安全保护级。该级建立形式化的安全策略模型,同时对系统内的所有主体和客体,都实现强制访问和自主访问控制。,(3)B3级 B3级是安全级,它能够实现访问监控器的要求,访问监控器是指监控器的主体和客体之间授权访问关系的部件。该级还支持安全管理员职能、扩充审计机制、当发生与安全相关的事件时将发出信号、同时可以提供系统恢复过程。 4A类 A类是可验证的保护级。它只有一个等级即A1级。A1级的功能与B3几乎是相同的,
5、但是A1级的特点在于它的系统拥有正式的分析和数学方法,它可以完全证明一个系统的安全策略和安全规格的完整性与一致性。同时,A1级还规定了将完全计算机系统运送到现场安装所遵守的程序。,10.1.4 网络安全模型,1基本模型 在网络信息传输中,为了保证信息传输的安全性,一般需要一个值得信任的第三方,负责向源结点和目的结点进行秘密信息分发,同时在双方发生争执时,也要起到仲裁的作用。在基本的安全模型中,通信的双方在进行信息传输前,先建立起一条逻辑通道,并提供安全的机制和服务,来实现在开放网络环境中信息的安全传输。 (1)从源结点发出的信息,使用如信息加密等加密技术对其进行安全的转,从而实现该信息的保密性
6、,同时也可以在该信息中附加一些特征的信息,作为源结点的身份验证。,(2)源结点与目的结点应该共享如加密密钥这样的保密信息,这些信息除了发送双方和可信任的第三方以外,对其他用户都是保密的。,图10-2 网络安全基本模型,2P2DR模型 (1)安全策略(Policy) 安全策略是模型中的防护、检测和响应等部分实施的依据,一个安全策略体系的建立包括策略的制定、评估与执行。 (2)防护(Protection) 防护技术包括:防火墙、操作系统身份认证、数据加密、访问控制、授权、虚拟专用网技术和数据备份等,它对系统可能出现的安全问题采取预防措施。 (3)检测(Detection) 检测功能使用漏洞评估、入
7、侵检测等系统检测技术,当攻击者穿透防护系统时,发挥功用。,(4)响应(Response) 响应包括紧急响应和恢复处理,而恢复又包括系统恢复和信息恢复,响应系统在检测出入侵时,开始事件处理的工作。,图10-3 P2DR模型,10.2 数据备份,10.2.1 数据备份模型 10.2.2 冷备份与热备分 10.2.3 数据备分的设备 10.2.4 数据备分的策略,10.2.1 数据备份模型,1物理备份 物理备份是将磁盘块的数据从拷贝到备份介质上的备份过程,它忽略了文件和结构,它也被称为“基于块的备份”和“基于设备的备份”。 2逻辑备份 逻辑备份顺序地读取每个文件的物理块,并连续地将文件写在备份介质上
8、,实现每个文件的恢复,因此,逻辑备份也被称为“基于文件的备份”。,10.2.2 冷备份与热备分,1冷备份 冷备份是指“不在线”的备份,当进行冷备份操作时,将不允许来自用户与应用对数据的更新。 2热备份 热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。,10.2.3 数据备分的设备,1磁盘阵列 2磁带机 3磁带库 4光盘塔 5光盘库 6光盘镜像服务器,10.2.4 数据备份的策略,1完全备份 完全备份即是将用户指定的数据甚至是整个系统的数据进行完全的备份。 2增量备份 增量备份是针对完全备份,在进行增量备份,
9、只有那些在上次完全或者增量备份后被修改了的文件才会被备份。 3差异备份 差异备份是将最近一次完全备份后产生的所有数据更新进行备份。差异备份将完全恢复时所涉及到的备份文件数量限制为2个。,表10-1 三种备份策略的比较,10.3 加密技术,10.3.1 加密与解密 10.3.2 对称密钥技术 10.3.3 非对称密钥技术,10.3.1 加密与解密,1基本流程 A发送消息“Password is welcome”这样的报文给B,但不希望有第三个人知道这个报文的内容,因此他使用一定的加密算法,将该报文转换为别人无法识别的密文,这个密文即使在传输的过程中被截获,一般人也无法解密。当B收到该密文后,使用
10、共同协商的解密算法与密钥,则将该密文转化为原来的报文内容。,图10-4 加密与解密的流程,表10-2 密钥位数与尝试密钥的个数,2密钥 加密与解密的操作过程都是在一组密钥的控下进行的,这个密钥可以作为加密算法中可变参数,它的改变可以改变明文与密文之间的数学函数关系。,10.3.2 对称密钥技术,1工作原理 对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的,或者是有些不同,但同其中一个可以很容易地推导出另一个。,图10-5 对称密钥技术,2常用对称密钥技术 常用的对称密钥算法有DES算法与IDES算法。 (1)DES算法 DES算法是一种迭代的分组密码,它的输入与输出都是64,包括一个56
11、位的密钥和附加的8位奇偶校验位。 (2)IDEA算法 IDEA算法的明文与密文都是64位的,密钥的长度为128位,它是比DEA算法更有效的算法。,10.3.3 非对称密钥技术,1工作原理 不可能从任何一个密钥推导出另一个密钥。同时加密密钥为公钥是可以公开的,而解密密钥为私钥是保密的。在此,非对称密钥技术也被称为公钥加密加技术。,图10-6 非对称密钥技术,2常用非对称密钥技术 常用的非对称密钥算法包括RSA算法、DSA算法、PKCS算法与PGP算法。其中最常见的技术即为RSA算法,它的理论基础是数论中大素数分解,它的保密性随着密钥的长度的增加而增强。但是,现在使用这种算法来加密大量的数据,其实
12、现的速度太慢了,因此该算法现在广泛应用于密钥的分发。,10.4 防火墙,10.4.1 防火墙的基本概念 10.4.2 防火墙的基本类型 10.4.3 防火墙的结构 10.4.4 防火墙的安装与配置,10.4.1 防火墙的基本概念,(1)所有的从外部到内部的通信都必须经过它。 (2)只有有内部访问策略授权的通信才能被允许通过。 (3)系统本身具有很强的高可靠性。,图10-7 防火墙的安装位置,10.4.2 防火墙的基本类型,1包过滤路由器,图10-8 包过滤路由器的工作原理,2应用网关,图10-9 应用网关的工作原理,3应用代理,图10-10 应用代理的工作原理,4状态检测 状态检测能通过状态检
13、测技术,动态地维护各个连接的协议状态。,10.4.3 防火墙的结构,1包过滤型结构 包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部网络的所有信息进行分析,按照一定的安全策略对这些信息进行分析与限制。 2双宿网关结构 连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机,每个接口都可以和一个网络连接,因为它能在不同的网络之间进行数据交换换,因此也称为网关。双宿网关结构即是一台装有两块网卡的主机作为防火墙,将外部网络与同部网络实现物理上的隔开。,图10-11 双宿网关结构,3屏蔽主机结构 屏蔽主机结构将所有的外部主机强制与一个
14、堡垒主机相连,从而不允许它们直接与内部网络的主机相连,因此屏撇主机结构是由包过滤路由器和堡垒主机组成的。 4屏蔽子网结构 屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中,从外部包过滤由器开始的部分是由网络系统所属的单位组建的,属于内部网络,也称为“DMZ网络”。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网;内部包过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。,图10-12 包过滤路由器的数据包转发过程,图10-13 屏蔽子网结构示意图,10.4.4 防火墙的安装与配置,1防火墙的网络接口 (1)内网 内网一般包括企业的内部网络或是内部网络的一部分。 (2)外网
15、外网指的是非企业内部的网络或是Internet,内网与外网之间进行通信,要通过防火墙来实现访问限制。 (3)DMZ (非军事化区) DMZ是一个隔离的网络,可以在这个网络中放置Web服务器或是E-mail服务器等,外网的用户可以访问DMZ。,2防火墙的安装与初始配置 给防火墙加电令它启动。 将防火墙的Console口连接到计算机的串口上,并通过Windows操作系统的超级终端,进入防火墙的特权模式。 配置Ethernet的参数。 配置内外网卡的IP地址、指定外部地址范围和要进行转换的内部地址。 设置指向内网与外肉的缺省路由。 配置静态IP地址映射。 设置需要控制的地址、所作用的端口和连接协议等
16、控制选项并设置允许telnet远程登录防火墙的IP地址。 保存配置。,3防火墙的访问模式 (1)非特权模式 (2)特权模式 (3)配置模式 (4)监视模式,10.5 防病毒,10.5.1 计算机病毒 10.5.2 网络病毒 10.5.3 网络版防病毒系统,10.5.1 计算机病毒,1计算机病毒的概念 计算机病毒是指计算机程序中的一段可执行程序代理,它可以破坏计算机的功能甚至破坏数据从而影响计算机的能力。计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快蔓延开来,很难根除。,2计算机病毒的特征 (1)非授权可执行性 (2)隐蔽性 (3)传染性 (4)潜伏性 (5)破坏性
