收藏
下载资源

计算机网络基础n(8)

上传人:ji****n 文档编号:54799640 上传时间:2018-09-19 格式:PPT 页数:21 大小:144KB
返回 下载 相关 举报
计算机网络基础n(8)_第1页
第1页 / 共21页
计算机网络基础n(8)_第2页
第2页 / 共21页
计算机网络基础n(8)_第3页
第3页 / 共21页
计算机网络基础n(8)_第4页
第4页 / 共21页
计算机网络基础n(8)_第5页
第5页 / 共21页
点击查看更多>>
资源描述

《计算机网络基础n(8)》由会员分享,可在线阅读,更多相关《计算机网络基础n(8)(21页珍藏版)》请在金锄头文库上搜索。

1、计算机网络基础,第 8 讲,第8章 网络安全,了解网络安全的概念 了解实现网络安全的必要性 了解网络安全的基本目标 掌握网络安全的5层体系 了解加密技术在网络安全中的应用 了解防火墙技术在网络安全中的应用,目标要求,第8章 网络安全,网络安全概论 网络安全的必要性 网络安全的目标 网络安全的5层体系 加密技术 防火墙技术 小结,讲课提纲,第8章 网络安全,网络安全是一个关系到国家安全和主权、社会稳定的重要问题。它是一门涉及计算机科学、网络技术、通信技术、密码技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的攻击而遭

2、到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来说就是网络上的信息安全。从广义上说,凡是涉及到网络上信息的完整性、可用性、保密性、真实性和可控性的相关技术及理论都是网络安全的研究范畴。物理隔离不是网络安全的最高境界,网络安全研究的正是在不安全的网络上进行安全通信的技术。BACK,8.1网络安全概论,第8章 网络安全,由于Internet的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在

3、组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。 网络已经成为社会和经济发展的强大动力,其地位越来越重要。伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。了解网络面临的各种威胁,防范和消除这些威胁,实现真正的网络安全已经成了网络发展中最重要的事情。 BACK,8.2 网络安全的必要性,第8章 网络安全,图8-1给出了网络攻击示意图。攻击者利用攻击工具,通过访问系统方式取得攻击结果,以实现攻击者意图。下面详细阐述这几个环节: 攻击者:攻击者是对计算机和网络攻击的发起者 攻击工具:攻击者为了实现攻击目的,会使用各种各样的工具,通常多个工具配合使用

4、 访问系统方式:攻击者以非授权方式访问系统或使用资源。由于软件或硬件设计、实现、配置错误导致系统中存在弱点,攻击者就利用这些漏洞,对系统数据进行非法访问 攻击结果:攻击的结果通常有拒绝服务、信息泄漏、服务盗用、信息破坏等方面 攻击者意图:攻击者意图分为挑战和获取访问权限、窃取政治经济情报、制造社会恐慌以及实现破坏等。,8.3 网络安全的目标,图8-1,第8章 网络安全,针对上述环节,从防卫者的角度来看,可以得出网络安全的目标是: 网络服务的可用性:无论何时,网络服务必须是可用的,如抵御拒绝服务攻击。 网络信息的保密性:网络服务要求能防止敏感信息泄漏,要求只有在授权的条件下,才能获得敏感信息。

5、网络信息的完整性:网络服务必须保证服务者提供的信息内容不能被非授权篡改,无论故意或无意,完整性都是信息准确性和可靠性的评价指标。 网络信息的非否认性:用户不能否认信息的发送或接收。 网络运行的可控性:即网络管理的可控性,包括网络运行的物理可控性和逻辑可控性,要求能够有效地控制网络用户的行为以及信息的传播范围。BACK,8.3 网络安全的目标,第8章 网络安全,8.4.1 用户层安全 对于用户层的安全性问题,所要考虑的是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说,应该根据不同的安全级别将用

6、户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不会被他人所猜测到。,8.4 网络安全的5层体系,第8章 网络安全,8.4.2 应用层安全在这一层中需要回答的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作?这其中涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,例如同一部门不同业务的应用程序也不应该互相访问对方的数据,一

7、方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。,8.4 网络安全的5层体系,第8章 网络安全,8.4.3 操作系统层的安全在操作系统安全性问题中,主要考虑的问题有两个:一是病毒对于操作系统的威胁;二是黑客对于操作系统的破坏和侵入。病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够将自身在网络上进行复制。同时,电子邮件、文件传输(FTP)以及网络页面中的恶意Java小程序和ActiveX控件,甚至文档文件都能够携带对网络和操作系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中的防病毒工作变得更加复

8、杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。对于黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。,8.4 网络安全的5层体系,第8章 网络安全,8.4.4 数据层安全数据层的安全性问题所要回答的是:机密数据是否还处于机密状态?在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。 8.4.5

9、网络层的安全 网络层的安全性问题核心在于网络是否得到控制,即:是不是任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样。守门人会仔细察看每一位来访者,一旦发现危险的来访者,便会将其拒之门外。 BACK,8.4 网络安全的5层体系,第8章 网络安全,8.5.1 密码技术把要加密的信息称为明文(Plaintext),经过以加密密钥Ke为参数的函数运算,得到的称为密文(Ciphertext)。密文经过以解密密钥Kd为参数的函数运算,还原为明文。即: C=EKe(P) P=DKd(C)其中,C表示密文,P表示明文。有时,加密密钥

10、和解密密钥是相同的,这称之为对称加密,因为加密和解密是相互镜像的过程。而有时,加密密钥和解密密钥是成对出现的。这时,解密密钥Kd就是加密密钥Ke的逆运算。这种形式的加密算法称为非对称加密,因为将密文C转换回明文P所包括的步骤、密钥,和加密过程的步骤以及密钥是不同的。目前常用的3个加密标准是:数据加密标准DES、高级加密标准AES和公开密钥加密标准RSA。其中DES、AES是对称加密算法,RSA是非对称加密算法。,8.5 加密技术,第8章 网络安全,8.5.2 数字签名 数字签名是产生和真实签名相同效果的协议:它是一个只有发送者才可以生成的标志,而且其他人可以轻易的辨认出它是否属于发送者。就像真

11、实的签名一样,数字签名用来证实对报文的批准。数字签名的主要特征是:它必须是不可伪造的。 它必须是真实的。 它是不可变的。它是不可重用的。,8.5 加密技术,第8章 网络安全,8.5.3 认证技术在使用对称加密时,每个用户拥有两个密钥。其中一个是大家共知的,称为公钥;另一个是只有该用户才知道的,称为私钥。这样,用户A与用户B的通信过程可以描述为:A利用B的公钥加密明文,然后将密文传送给B,B再利用自己的私钥进行解密。为了管理公钥,需要建立一个权威的认证中心CA,由它来发布证书。所谓证书就是由CA进行了数字签名的信息,其内容为公钥及其持有者的认证信息。合法用户可以从CA的数据库中取得所需用户的证书

12、。,8.5 加密技术,第8章 网络安全,8.5.4 密匙分配由于加密解密算法是公开的,并且形成了标准,所以网络安全的关键就在于密钥的保密上。密钥的管理包括密钥的产生分配、注入、验证和使用等方面,其中最重要的是密钥的分配。密钥分配分为网外分配和网上分配。网上分配通常是由密钥分配中心KDC或认证中心CA完成的。,8.5 加密技术,BACK,第8章 网络安全,8.6.1防火墙的功能和优点今天的防火墙被用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。这些防火墙犹如一道防护栏隔在被保护的内部网与不安全的非信任网络之间。所以,对于与Internet相连的公司或校园的内部局域网必须使用防火墙来保护内部网

13、络的安全性。防火墙的最大优点就在于可以使你的网络规划清晰明了,有效防止非法用户和跨越权限的数据访问。,8.6 防火墙技术,第8章 网络安全,8.6.2 防火墙的结构包过滤型防火墙是初级产品类型,它的工作依据是网络中的分包传输技术,即网络上的数据都是以“包”为单位来进行传输的,数据会被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如来源地址、目标地址、TCPUDP源端口和目标端口等等。防火墙通过读取这些数据包中的地址信息来判断这些“包”是否来自可信任的安全来源,一旦发现有来自于危险来源的数据包,防火墙便会将这些数据拒之门外。代理型防火墙的安全性要高于包过滤型产品。代理型防火墙位于

14、客户机与服务器之间,中转二者的数据交流。其工作流程如下:当客户机需要使用服务器上的数据时,先将数据请求发给代理型防火墙,代理型防火墙再根据这一请求向服务器索取数据,然后再由代理型防火墙将数据传输给客户机。由于外部系统与内部的客户机之间没有直接的数据通道,外部的恶意侵害也就很难伤害到客户机的系统。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法入侵。,8.6 防火墙技术,第8章 网络安全,8.6.3防火墙的基本实现技术防火墙可以使非常简单的过滤器,也可以是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部

15、网之间的信息交换。防火墙根据本网络的安全策略对进出的信息进行监测,过滤掉那些不符合安全规则的数据。同时,它还记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等等。新一代的防火墙甚至可以防止内部人员将敏感数据向外传播。,8.6 防火墙技术,BACK,第8章 网络安全,网络安全已经成为我们所面临的一个国际化的挑战,网络从诞生开始就一直没有停止对其安全性的研究,今天的网络安全已经成为一个关系到国家安全和主权以及社会稳定的重要问题,成为一门计算机网络的重要学科。本章简要介绍了网络安全的概念及其必要性,提出了网络安全的基本目标。描述了网络安全的5层体系,即用户的安全、应用程序的安全、操作系统的安全、网络的安全和数据的安全。对两种常规的网络安全技术加密技术和防火墙技术做了简单介绍。关于网络安全是一个复杂的系统学科,涉及到计算机科学、网络技术、通信技术、密码技术、应用数学、数论、信息论等多种学科,在这里仅仅做了粗略的介绍,目的是提高大家的网络安全意识,学习基础的相关知识。 BACK,8.7 小结,第8章 网络安全,结合实际,谈谈实现网络安全的必要性。 网络安全的5层体系包括哪几方面? 什么是加密技术?有哪几种常用的加密方式? 从防火墙产品的发展来看,基本可分为哪3种类型的产品? 防火墙的基本实现技术有哪些?,课后作业,第8章 网络安全,暂无上机试验,上机实验,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 初中教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号