《《计算机应用基础》-刘新航-电子教案及习题答案 第十一章信息系统的安全》由会员分享,可在线阅读,更多相关《《计算机应用基础》-刘新航-电子教案及习题答案 第十一章信息系统的安全(89页珍藏版)》请在金锄头文库上搜索。
1、第十一章 信息系统的安全,信息系统的安全,11.1 信息安全 11.2 计算机安全和网络安全 11.3 网络安全技术 11.4 计算机病毒及其防治 11.5 网络道德及行为规范,11.1 信息安全,1 .信息安全概述 2 .信息安全体系 3 .网络信息系统的安全威胁 4 .信息安全需求 5 .信息安全服务 6 .信息安全标准,信息安全概述,信息安全是一个广泛的概念,它既包括信息的存储安全,也包括信息的传输安全。一般的,信息安全是指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。,信息安全体系,网络中的信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传
2、输信息内容的审计三个方面。如下表所示。,网络信息系统的安全威胁,计算机网络信息所面临的攻击和威胁因素很多,主要有: 物理因素: 网络因素: 系统因素: 应用因素: 管理因素:,信息安全需求,从用户的角度来看,网络信息管理中的安全问题也就是信息安全的需求。一般地,信息安全需求主要有以下几种: 1保密性; 2完整性; 3可用性; 4可控性; 5可审查性.,信息安全服务,一个安全的计算机网络应当能够提供以下的信息安全服务: 1实体认证服务 2数据保密服务 3数据完整服务 4访问控制服务 5防抵赖服务,信息安全标准,1. 国际安全标准 可信计算机系统评估标准(简称TCSEC)。将网络安全性等级划分为A
3、、B、C、D等四类共七级,其中A类安全等级最高,D类安全等级最低。 2我国安全标准 计算机信息系统安全保护等级划分准则。该准则将信息系统安全分为5级。,11.2 计算机安全和网络安全,1. 计算机安全 2. 网络安全,11.2.1 计算机安全,1. 计算机安全的定义 国际标准化组织(International Organization for Standardization简称ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 计算机安全的定义可理解为:通过采用各种技术和管理措施,使网络系统正常
4、运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。,11.2.1 计算机安全,2计算机安全的内容 (1) 计算机硬件的安全性。 (2) 软件安全性。 (3) 数据安全。 (4) 运行安全性。,11.2.1 计算机安全,3.计算机安全措施 (1)计算机安全立法 (2)计算机安全管理措施 (3)计算机实体安全 (4)主机设备安全 (5)计算机的正确使用与维护,11.2.2 网络安全,1. 网络安全的定义 2. 网络安全体系 3. 网络的物理安全 4. 网络安全 5. 网络的安全威胁 6.网络安全管理 7.
5、通信网络安全 8.软件与数据库安全,11.2 网络安全,1.网络安全的定义 一般地,网络安全是指通过采取各种技术的管理的安全措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等。 一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。,2.网络安全体系,网络安全体系是由网络安全法律体系、网络安全管理体系和网络安全技术体系三部分组成。,3.网络的物理安全,(1)环境安全 (3) 媒体安全 (2) 设备安全,4.网络安全,网络安全包括网络系统安全、网络运行安全、局域网与子网安全三个方面:,5.网络的安全威胁,目前网络存
6、在的主要威胁有以下几种: (1)非授权访问。 (2)信息泄漏或丢失。 (3)破坏数据完整性。 (4)拒绝服务攻击。 (5)利用网络传播病毒。,6.网络安全管理,为了保障网络的安全,除在网络设计上增加安全服务功能,完善系统的安全保密措施外,还要加强网络的安全管理。 具体有: (1)安全管理原则: (2)安全管理的实现:,11.3 网络安全技术,1.网络安全问题概述 2. 数据加密技术 3. 防火墙技术 4. 包过滤技术 5. 代理服务技术 6. 虚拟专用网技术 7. 隔离技术,11.3.1网络安全问题概述,1计算机网络面临的安全性威胁: 截获:攻击者从网络上窃取他人的通信内容; 中断:攻击者有意
7、中断他人的网络通信; 篡改:攻击者故意篡改网络上传送的信息; 伪造:攻击者伪造信息在网络上传送。 2计算机网络安全防御技术 主动防御技术: 被动防御技术:,11.3.2数据加密技术,1.密码学与密码技术的概念 2. 一般的数据加密模型 3. 密码学的发展阶段 4. 古典加密技术 5. 现代加密技术 6. 网络加密技术,1.密码学与密码技术的概念,密码学(Cryptogra phy)是研究加密和解密变换的一门科学,主要研究通信安全和保密工作。包括密码编码学和密码分析学。 密码技术的主要任务是研究计算机系统和通信网络内信息的保护方法,以实现系统内信息的安全、保密、真实和完整。,2. 一般的数据加密
8、模型,数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。当需要时,可使用密钥将密文数据还原成明文数据,称为解密。这样就可以实现数据的保密性。,3.密码技术的发展阶段,密码技术的发展可以分为两个阶段: (1)古典密码阶段: (2)现代密码阶段:,4.古典加密技术,古典密码技术主要有两大基本方法: 代替密码:就是将明文的字符替换为密文中的另一种的字符,接收者只要对密文做反向替换就可以恢复出明文。 置换密码(又称易位密码):明文的字母保持相同,但顺序被打乱了。,5.现代加密技术,(1) 对称加密技术 指同一个密钥既
9、用于加密又用于解密的加密技术,比较著名的有: DES(数据加密算法的数据加密标准) IDEA (国际数据加密算法) 序列密码(流密码),5.现代加密技术,(2) 非对称加密技术 加密和解密不使用同一个密码钥和算法,而是使用两个密钥。一个是个人秘密持有的称为私钥,另一个需让更多人知道的称为公钥。常见的非对称加密算法有: Diffie-Hellman密钥协议 RSA密码体制。,5.现代加密技术,(3)不可逆加密算法 又称Hash函数(也称杂凑函数或杂凑算法),就是把任意长的输入消息串变化成固定长的输出串的一种函数。这个输出串称为该消息的杂凑值。一般用于产生消息摘要,密钥加密等。常见的散列函数有:
10、MD5 SHA CRC MAC,6.网络加密技术,网络加密常用的方法有以下几种: (1)链路加密。保护网络节点之间的链路信息安全; (2)端点加密。是对源端用户到目的端用户的数据提供加密保护; (3)节点加密。是对源节点到目的节点之间的传输链路提供加密保护。,11.3.3 防火墙技术,1. 防火墙的概念 2. 防火墙的特性 3.防火墙原理及实现方法 4.防火墙的体系结构 5.防火墙技术分类 6.防火墙的局限性 7.防火墙的发展趋势,1.防火墙的概念,防火墙(Firewall)是设置在被保护网络和外部网络之间的一道屏障,用来控制内部网络或Web站点与外部Internet的连接。主要用来选择可访问
11、的Internet地址以及被访问的Internet地址。实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。,防火墙的概念,最简单的防火墙设置方式如下图所示:,2.防火墙的特性,(1)所有内部对外部的通信都必须通过防火墙,反之亦然; (2)只有按安全策略所定义的授权,通信才能允许通过; (3)防火墙本身具有抗入侵能力; (4)防火墙是网络上的要塞点,是达到网络安全目的的有效手段,因此尽可能将安全措施集中于这一点上; (5)防火墙可以强化安全策略的实施; (6)防火墙可以记录内、外网络通信时所发生的一切。,3.防火墙原理及实现方法,防火墙是建立在不同分层结构上的、具有一定安全级别和执行效
12、率的通信交换技术。 (1)基于网络层实现的防火墙,通常称为包过滤防火墙; (2)基于传输层实现的防火墙,通常称为传输级网关; (3)基于应用层实现的防火墙,通常称为应用级网关; (4)整合上述所有技术,形成混合型防火墙,根据安全性能以进行弹性管理。,4.防火墙的体系结构,(1)屏蔽路由器,4.防火墙的体系结构,(2)双宿主主机网关,4.防火墙的体系结构,(3)屏蔽主机网关,4.防火墙的体系结构,(4)屏蔽子网网关,5.防火墙技术分类,(1)包过滤技术 包过滤防火墙设置在网络层,对数据包的源地址及目的地址IP具有识别和控制作用。可以在路由器上实现包过滤。内部网络和外部网络间是直接通信,防火墙根据
13、进出的IP封包进行比较、检查和校验。,5.防火墙技术分类,(2)应用代理网关 应用代理网关由代理服务器和过滤路由器组成,工作原理如下图所示。,5.防火墙技术分类,(3)状态检测技术 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等参数的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。,6.防火墙的局限性,(1)防火墙防外不防内。 (2)防火墙难于管理和配置,易造成安全漏洞。 (3)不能直接抵御恶意程序。例如病毒和“木
14、马”。 (4)很难为用户在防火墙内外提供一致的安全策略。 (5)防火墙只实现了粗粒度的访问控制。,11.3.4 包过滤技术,1. 包过滤技术的概念 2.包过滤技术和网络策略 3.包过滤的优缺点,1.包过滤技术的概念,包是网络上信息流动的单位,在网上传输的文件一般在发出端被划分成一串包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。 包过滤是一个网络安全保护机制。它是用来控制流出和流入网络的数据。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息。,2.包过滤技术和网络策略,包过滤可以用来实现大范围内的网络安全策略。它的工作重点是阻止外来用户的突然
15、侵入和故意暴露敏感性数据,而不是阻止内部用户使用外部网络服务。 包过滤技术应用有三类:路由设备进行包过滤;工作站上使用软件进行包过滤;屏蔽路由器的路由设备上启动包过滤功能。,3.包过滤的优缺点,(1)包过滤的优点: (2)包过滤的缺点及局限性:,11.3.5 代理服务技术,1. 代理服务技术的概念 2. 代理服务技术的工作机制 3. 代理服务的类型 4. 代理服务的优缺点 5. 用于因特网的代理服务,1.代理服务技术的概念,代理服务是在双宿主主机或堡垒主机上运行一个特殊协议或一组协议。即在应用网关上运行应用代理程序,一方面代替原来的客户建立连接,另一方面代替原来的客户程序与服务器建立连接,使得
16、用户可以通过应用网关安全地使用Internet服务,而对非法用户的请求将不予理睬 。,2.代理服务技术的工作机制,代理服务器的工作机制: 假设你自己的机器为A机,你想获得的数据由服务器B提供,代理服务器为C,具体的连接过程是这样的 : 首先,A机需要B机的数据,A直接与C机建立连接,C机接收到A机的数据请求后,与B机建立连接,下载A机所请求的B机上的数据到本地,再将此数据发送至A机,完成代理任务。,3.代理服务的类型,代理服务器的类型一般有: 网页浏览(Http) 文件传输(Ftp) 远程登录(Telnet) Socks,4.代理服务的优缺点,代理服务的优点: (1) 代理服务允许用户“直接”访问因特 网,提高了浏览速度 (2) 节省IP开销 (3) 代理服务适合于做日志,并方便对用户的管理,4.代理服务的优缺点,代理服务的缺点: (1)往往一个站点在提供一个新的服务时无法立刻提供代理服务,因此,代理服务落后于非代理服务。 (2)每个代理服务要求不同的服务
