《计算机网络技术 教学课件 ppt 作者 邱建新 第10章 计算机网络安全技术》由会员分享,可在线阅读,更多相关《计算机网络技术 教学课件 ppt 作者 邱建新 第10章 计算机网络安全技术(49页珍藏版)》请在金锄头文库上搜索。
1、计算机网络技术 第十章,计算机网络安全技术,本章导读 随着网络的广泛应用,网络安全问题显得日益重要。本章介绍网络安全的基本知识,包括网络安全的现状、定义及相关技术。重点介绍了网络安全中的防病毒技术、数据加密技术、防火墙技术和数据备份与恢复技术。,学习目标 了解网络安全的现状、定义 了解保障网络安全的常用技术 了解计算机网络病毒的分类、防治 了解常用的数据加密技术 了解防火墙的发展及分类、体系结构 掌握Windows操作系统数据备份与恢复工具的使用,10.1 网络安全基础,互联网是个开放、自由的系统,对信息系统的安全考虑并不完善。计算机及网络系统被攻击与破坏的事件不胜枚举,网络犯罪己成为现代社会
2、的隐患,网络信息安全问题日益突出。计算机及网络系统所面临的威胁正随着计算机和网络技术的广泛应用而不断增加,有网络的地方就存在网络安全隐患。,网络安全隐患产生的原因 1.网络环境的开放性 2.网络协议本身的缺陷 3.操作系统本身的设计漏洞 4.人为因素,网络安全的现状 (1)黑客技术发展快速 (2)网络犯罪猖獗 (3)网络用户安全意识不够 (4)网络方面法制不够完善,网络安全的定义 从本质上讲,网络安全是指网络上的信息安全。网络信息安全一般是指网络信息的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真实性(Authenticity)。
3、 从广义上说,网络安全包括网络硬件资源和信息资源的安全性。,网络安全的技术 网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、数论、信息论等多种学科的综合性应用。常见的网络安全技术有病毒防护技术、密码技术、网络安全防御技术、数据备份和恢复技术等。,10.2 网络防病毒技术,计算机病毒简介 1.病毒的概念 计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,它能复制自身并将其插入到其它的程序中以执行恶意的行动。病毒既然是一种计算机程序,就需要消耗计算机的CPU资源。当然,病毒并不一定都具有破坏力,但大多数病
4、毒的目的是设法损坏数据。而现在网络时代的网络病毒,已经不是如此单纯的一个概念了,它被融进了更多的东西。可以这样说,如今的网络病毒是指以网络为平台,对计算机产生安全威胁的所有程序的总和,在不严格区分的情况下,象逻辑炸弹、蠕虫、熊猫烧香、恶意木马等均可称为计算机病毒。,病毒的发展 (1)第一代病毒 (2)第二代病毒 (3)第三代病毒 (4)第四代病毒 (5)蠕虫病毒,病毒的分类 按病毒依附的不同的操作系统划分。 按病毒的传播媒介划分。 按病毒的宿主划分。,计算机病毒的特征 (1)感染性 (2)隐蔽性 (3)潜伏性 (4)可触发性 (5)衍生性 (6)破坏性,网络环境下病毒的特征 (1)主动通过网络
5、和邮件系统传播。 (2)传播速度快,难于控制。 (3)变种多,清除难度大。 (4)病毒功能多样化,更具有危害性。,计算机病毒的防治 1.计算机感染病毒后的异常现象 2.计算机反病毒技术 反病毒技术现状 计算机病毒的防治,U盘病毒防治 U盘病毒顾名思义就是通过U盘传播的病毒,它利用U盘的autorun.inf漏洞进行传播。利用Windows的自动运行功能在打开U盘的同时自动运行U盘病毒。 1.U盘病毒判断 2.U盘病毒的感染传播机制 3.U盘病毒的防治,杀毒软件的使用 常用的杀毒软件 杀毒软件的使用注意事项,10.3 数据加密技术,用户在计算机网络上进行通信,一个主要的危险是所传送的数据被非法窃
6、听。因此,如何保护数据传输的隐蔽性是计算机网络安全中需要面对的问题。常用的办法是在数据传输前采用一定的算法进行加密,然后将加密的报文通过网络传输,这样即使在传输过程中被非法截取,截取者也不能获悉信息的真正内容,这样就保证了信息传输的安全。,密码学概述 密码学(Cryptology)是研究密码系统或通信安全的一门科学。它以研究秘密通信为目的,研究对传输信息采取何种秘密的交换,以防止第三者对信息的截取、篡改等。主要包括两个相互对立的分支:密码编码学(Cryptography)和密码分析学(Cryptanalysis)。前者是研究把信息(明文)变换成为没有密钥不能解密或很难解密的密文的方法;后者是研
7、究分析破译密码的方法。,相关密码学概念 (1)明文(Plaintext,记为P)。信息的原始形式,即加密前的原始信息。 (2)密文(Ciphertext,记为C)。明文经过加密后的形式。 (3)加密(Encryption,记为E)。将明文变换为密文的过程,用于加密的一组数学变换称为加密算法。 (4)解密(Decryption,记为D)。接收者将传输后的密文变换为明文的过程,进行变换的一组数学算法称为解密算法。,传统加密技术 1. 1.替换密码算法:这种密码技术将字母按字母表的顺序排列,并将最后一个字母和第一个字母相连起来构成一个字母表序列,明文中的每个字母用该序列中在其后面的第三个字母来代替,
8、构成密文。,2.换位密码算法:换位密码技术是通过改变明文中字母的排列顺序来达到加密的目的,常用的技术是列换位密码技术。,对称加密技术 如果在一个密码体系中,加密密钥与解密密钥相同,就称为对称加密算法。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。,DES算法 DES加密算法是分组加密算法,明文以64位为单位分成块。64位数据在64位密钥的控制下,经过初始变换后,进行16轮加密迭代:64位数据被分成左右两半部分,每
9、部分32位,密钥与右半部分相结合,然后再与左半部分相结合,结果作为新的右半部分;结合前的右半部分作为新的左半部分。这一系列步骤组成一轮,这种轮换要重复16次。最后一轮之后,再进行初始置换的逆置换,就得到了64位的密文。最后将各组密文串接起来,即得出整个的密文。,公开密钥技术 非对称加密算法又名“公开密钥加密算法”,非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥
10、,所以这种算法叫作非对称加密算法。,公开密钥算法的应用 混合加密技术 在网络上传输大量信息时,一般采用的是混合加密体系。 在混合加密体系中,使用对称加密算法对要发送的数据进行加、解密,使用公开密钥算法来加密对称加密算法的密钥,既加快了加、解密的速度,又解决了对称加密算法中密钥保存和管理的困难。,公开密钥算法的应用 数字签名:类似于传统的亲笔签名或盖章,计算机网络通信中的数字签名技术就是对网络上传送文件者的身份进行验证的一种技术。它一般要解决好以下三个问题: 接收方能够核实发送方对报文的签名,如果当事双方对签名真伪发生争议,能够在权威的第三方验证(信息源发鉴别)。 发送方事后不能否认自己对报文的
11、签名(信息不可否认性)。 除了发送方外,其它人不能伪造签名,也不能对接收或发送的信息进行篡改、伪造(信息的完整性)。,加密技术的应用 数字签名的缺点是速度非常慢,因为公开密钥的加密和解密都是很慢的。而在特定的计算机网络应用中,很多报文是不需要进行加密的,仅仅要求报文应该是完整的、不被伪造的。因此,可以采用相对简单的报文鉴别算法来达到目的。 目前,经常采用报文摘要(Message Digest)算法来实现报文鉴别。,报文摘要是从报文中提取特征数据的方法,亦称数字指纹。不同文件具有相同的报文摘要的概率极小。因此,构造出具有相同报文摘要的两个文件是极其困难的。报文摘要就像是对所要传送的文件拍一张“照
12、片”,如果原始文件发生了最微小的变化,对它拍出来的“照片”也会变化。生成报文摘要的常用算法是由RSA公司开发的MD5算法。MD5是一种单向散列函数(也称哈希函数,Hash函数),通常用“摔盘子”来比喻Hash函数的单向不可逆的运算特征:把一个完整的盘子摔碎是很容易的,而通过盘子碎片来还原一个完整的盘子是很困难甚至是不可能的。,10.4 防火墙技术,防火墙的本义原是指古代人在房屋之间修建的那道墙,这道墙可以防火火灾发生时蔓延到别的房屋,而网络安全中的防火墙技术,是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。,防火墙的基本功能 (1)内部网络和外部网络之间的所有数据流都必
13、须经过防火墙。 (2)只有符合安全策略的数据流才能通过防火墙。 (3)具有一定的抗攻击能力。,防火墙的发展史 (1)第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet Filter)技术。 (2)第二、三代防火墙 (3)第四代防火墙 (4)第五代防火墙,防火墙的体系结构 1.双宿主机体系结构,防火墙体系结构 被屏蔽主机体系结构,防火墙体系结构 被屏蔽子网体系结构,防火墙的分类 1.包过滤防火墙 包过滤防火墙工作在网络层,其工作原理如图所示。在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项。 (1)源、目的IP地址。 (2)源、目的端口号。 (3)协议类型
14、。 (4)TCP数据报的标志位。,防火墙的分类 代理防火墙:代理防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用,它的核心技术就是代理服务器技术。 代理服务器通常运行在两个网络之间,是客户机和真实服务器之间的中介。,防火墙的分类 状态检测防火墙 状态检测原理 TCP/IP的三次握手连接 状态检测防火墙工作流程,复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单
15、元融为一体,是一种新突破。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。,10.5 数据备份与恢复技术,计算机网络的安全实质上是指网络信息的安全,即要求网络保证其信息系统资源的完整性、准确性和有限的传播范围。所有的应用系统无论提供何种服务,其基础和核心都是数据。只要发生数据传输、数据存储和数据交换,就有可能产生数据故障。如果没有采取数据备份和数据恢复手段与措施,就会导致数据的丢失。数据备份和恢复就是将数据以某种方式加以保留,以便在系统遭受破坏或其它特定情况下,重新加以利用的一个过程。,数据存储技术 RAID技术:RAID(Redundant
16、 Array of Independent Disks,独立磁盘冗余阵列)简称磁盘阵列,是提供数据安全一个重要手段,在系统中RAID被看作是一个逻辑分获,但是它是由多个硬盘组成的。它通过在多个硬盘上同时存储和读取数据来大幅提高存储系统的数据吞吐量,而且在很多RAID模式都有较为完备的相互校验与恢复的措施。,RAID按照实现原理的不同分为不同的级别,不同的级别之间工作模式是有区别的。主要包含RAID 0RAID 7等数个规范,它们的侧重点各不相同,常用的有以下几种。 RAID 0:将多个磁盘合并成一个大的磁盘,不具有冗余,并行I/O,速度最快。RAID 0亦称为带区集。它是将多个磁盘并列起来,成为一个大磁盘。 RAID1:RAID1就是镜像,通过磁盘数据镜像实现数据冗余,在成对的独立磁盘上产生互为备份的数据,同时对两个镜象盘进行读操作和写操作,数据块传送速率与单独的盘的读取速率相同,速度没有提高。,RAID 5:RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。它使用的是Disk
