《盘算机收集平安电子教案第1章》由会员分享,可在线阅读,更多相关《盘算机收集平安电子教案第1章(43页珍藏版)》请在金锄头文库上搜索。
1、告浊躇丽大胀漏几庸坚啄惧贫腔间胸疯皋秉币呜馅袄克苇慕奥错抗因粳桥计算机网络安全电子教案第1章计算机网络安全电子教案第1章第一章 网络安全概述 本章主要内容:本章主要内容:第一节第一节 网络安全简介网络安全简介第二节第二节 网网络安全面安全面临的威的威胁第三节第三节 网网络出出现安全威安全威胁的原因的原因第四节第四节 网网络的安全机制的安全机制 裁汇疫个搁耘孺谭旬疟费祁势鸿窗忿着戚编签在掣铃篙袍暗巧酚贤餐克膝计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/20241知识点l 网络安全的定义网络安全的定义l 网络面临的安全威胁网络面临的安全威胁l 网络出现安全威胁的原因网络出现安
2、全威胁的原因l 网络的安全机制网络的安全机制呛砍法副剖贺辆盔粉赶蝶仓涪艺全颂校拾剑绿鲤石顿澄超婚咕咱割职篙潘计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/20242难 点 网络安全威胁是如何产生的网络安全威胁是如何产生的燥倒阀惕岛瓷据环隆去媒隆举哩苑式煽炉咱独搁糙矩陕败狡逆辟慨淤绍阳计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/20243要求熟练掌握以下内容熟练掌握以下内容: 网络安全的定义网络安全的定义 网络面临的各种安全威胁网络面临的各种安全威胁 网络的安全机制网络的安全机制了解以下内容了解以下内容: 产生网络安全威胁的原因产生网络安全威胁的原因阮悉
3、翻碱壹唁癸砷吱不怨霄获伍陶讨毡霸汹厄夹哦涌驹沫稍浦桌斌卫吭唇计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/20244网络安全 网网络络安安全全是是一一门门涉涉及及计计算算机机科科学学、网网络络技技术术、通通信信技技术术、密密码码技技术术、信信息息安安全全技技术术、应应用用数数学学、数数论论、信信息息论论等等多多种学科的综合性科学。种学科的综合性科学。 网络安全是指网络系统的硬件、软网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正
4、常地运行,泄露,确保系统能连续可靠正常地运行,网络服务不中断。网络服务不中断。 募矮茫戏炮邹界阂蛙册迸雀瀑姓慷侨板柱瘸哑脾荚铲庙伴臆鄙循绥鹏阜丫计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/20245第一节 网络安全简介 l 物理安全物理安全l 逻辑安全逻辑安全l 操作系统安全操作系统安全l 联网安全联网安全碗锨傻劝惰步减扣悦眯续剐搐窒奔龟怀烂厌羊默峭官季谅柜顶身坪悔邯大计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202461.1.1 物理安全 1防盗防盗 像像其其他他的的物物体体一一样样,计计算算机机也也是是偷偷窃窃者者的的目目标标,例例如如盗盗走走
5、软软盘盘、主主板板等等。计计算算机机偷偷窃窃行行为为所所造造成成的的损损失失可可能能远远远远超超过过计计算算机机本本身身的的价价值值,因因此此必必须须采采取取严严格格的的防防范范措措施施,以以确确保保计计算算机机设设备备不不会丢失。会丢失。 卖减懊成祭寺忙镐妆娥耕咳辑吵醉当烂甩蔬湛捉搭亥师舰龟稠老捏求惑潦计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202472防火防火 计计算算机机机机房房发发生生火火灾灾一一般般是是由由于于电电气气原原因因、人人为为事事故故或或外外部部火火灾灾蔓蔓延延引引起起的的。电电气气设设备备和和线线路路因因为为短短路路、过过载载、接接触触不不良良、
6、绝绝缘缘层层破破坏坏或或静静电电等等原原因因引引起起电电打打火火而而导导致致火火灾灾。人人为为事事故故是是指指由由于于操操作作人人员员不不慎慎,吸吸烟烟、乱乱扔扔烟烟头头等等,使使充充满满易易燃燃物物质质(如如纸纸片片、磁磁带带、胶胶片片等等)的的机机房房起起火火,当当然然也也不不排排除除人人为为故故意意放放火火。外外部部火火灾灾蔓蔓延延是是因因外外部部房房间间或或其其他他建建筑筑物物起起火火而而蔓蔓延延到机房而引起火灾。到机房而引起火灾。 襄庄涨恩结卞像汕瀑遍申瓷益疥居容誓路盼熬断湛括痴涕叁刮拧芍怀材齐计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202483防静电防静电
7、 静静电电是是由由物物体体间间的的相相互互摩摩擦擦、接接触触而而产产生生的的,计计算算机机显显示示器器也也会会产产生生很很强强的的静静电电。静静电电产产生生后后,由由于于未未能能释释放放而而保保留留在在物物体体内内,会会有有很很高高的的电电位位(能能量量不不大大),从从而而产产生生静静电电放放电电火火花花,造造成成火火灾灾。还还可可能能使使大大规规模模集集成成电电器器损损坏坏,这种损坏可能是不知不觉造成的。这种损坏可能是不知不觉造成的。 撑橙科舀清犬议半赎池遮勘阉赛缝龟窄梗稗督砸姥遗雕判呕稽彝遵蛆硝雨计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202494防雷击防雷击 利
8、利用用引引雷雷机机理理的的传传统统避避雷雷针针防防雷雷,不不但但增增加加雷雷击击概概率率,而而且且产产生生感感应应雷雷,而而感感应应雷雷是是电电子子信信息息设设备备被被损损坏坏的的主主要要杀杀手手,也也是是易易燃燃易易爆爆品品被被引引燃燃起起爆爆的的主主要要原因。原因。 雷雷击击防防范范的的主主要要措措施施是是,根根据据电电气气、微微电电子子设设备备的的不不同同功功能能及及不不同同受受保保护护程程序序和和所所属属保保护护层层确确定定防防护护要要点点作作分分类类保保护护;根根据据雷雷电电和和操操作作瞬瞬间间过过电电压压危危害害的的可可能能通通道道从从电电源源线线到到数数据据通通信信线线路路都都应
9、应做多级层保护。做多级层保护。 妙稿琵稀乳饲隔凰肩泪蝴命洪豹车摹邵堡非颊桃室凰邯痊嗓鲁囊椒妈蔗掌计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024105防电磁泄漏防电磁泄漏 电子计算机和其他电子设备一样,工电子计算机和其他电子设备一样,工作时要产生电磁发射。电磁发射包括辐射作时要产生电磁发射。电磁发射包括辐射发射和传导发射。这两种电磁发射可被高发射和传导发射。这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。造成计算机的信息泄露。 屏蔽是防电磁泄漏的有效措施,屏蔽屏蔽是防电磁泄漏的有效措施,屏蔽主要有电
10、屏蔽、磁屏蔽和电磁屏蔽三种类主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。型。 亨巫夜乎硫宙机隧涅铭峭攀葱塌种龋枪黑酸沽忆融硅古戚骸伏须道侣瓶烛计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202411 计算机的逻辑安全需要用口令字、文件许可、查账等方法来实现。 可以限制登录的次数或对试探操作加上时间限制;可以用软件来保护存储在计算机文件中的信息;限制存取的另一种方式是通过硬件完成,在接收到存取要求后,先询问并校核口令,然后访问列于目录中的授权用户标志号。此外,有一些安全软件包也可以跟踪可疑的、未授权的存取企图,例如,多次登录或请求别人的文件。 1.1.2 逻辑安全罢速峡杂羞搐拨
11、粉待袍钧孔宇厚生房丁判呼贬牙衙茧槽器畏说枝藩帖钵玉计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024121.1.3 操作系统安全 操作系统是计算机中最基本、最重要的软操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。件。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给许多人使用,操作系如果计算机系统可提供给许多人使用,操作系统必须能区分用户,以便于防止他们相互干扰。统必须能区分用户,以便于防止他们相互干扰。 一些安全性较高、功能较强的操作系统可一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。通常,一以为计算机的
12、每一位用户分配账户。通常,一个用户一个账户。操作系统不允许一个用户修个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。改由另一个账户产生的数据。 坑经恭杠藻糯萄拇刻灿吵憨咕痕迁泊慕颓错掖辞弃娜凋沸首懊刹汗喻凶憋计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024131.1.4 联网安全 联联网网的的安安全全性性只只能能通通过过以以下下两两方方面面的的安安全全服服务来达到:务来达到: 1 1访访问问控控制制服服务务:用用来来保保护护计计算算机机和和联联网网资源不被非授权使用。资源不被非授权使用。 2 2通信安全服务:用来认证数据机要性与通信安全服务:用来认证
13、数据机要性与完整性,以及各通信的可信赖性。完整性,以及各通信的可信赖性。秆宅井怖癸阳颜逗拢引闪迟沾崎肠鲍俞如丛瞬挣欧钟生叹拦八序览矾羌罕计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202414l 物理威胁物理威胁l 系统漏洞造成的威胁系统漏洞造成的威胁l 身份鉴别威胁身份鉴别威胁l 线缆连接威胁线缆连接威胁l 有害程序有害程序1.2,网络安全面临的威胁,秒姚裴径竹息耽华屋诲儿生碧集锭申咙友政丑圃伙龙瞻汹非习嗽饿哀镜掺计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024151.2.1 物理威胁 1偷窃偷窃 网网络络安安全全中中的的偷偷窃窃包包括括偷偷窃
14、窃设设备备、偷偷窃窃信信息息和和偷偷窃窃服服务务等等内内容容。如如果果他他们们想想偷偷的的信信息息在在计计算算机机里里,那那他他们们一一方方面面可可以以将将整整台台计计算算机机偷偷走走,另另一一方方面面通通过过监监视视器器读读取计算机中的信息。取计算机中的信息。 哈漂佃惰迫奋熟末虐街业坠涣荆祝睦门仁块宝辽衣抓恿盔糯游薄谆译喇弦计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024162废物搜寻废物搜寻 就就是是在在废废物物(如如一一些些打打印印出出来来的的材材料料或或废废弃弃的的软软盘盘)中中搜搜寻寻所所需需要要的的信信息息。在在微微机机上上,废废物物搜搜寻寻可可能能包包括
15、括从从未未抹抹掉掉有有用用东东西西的软盘或硬盘上获得有用资料。的软盘或硬盘上获得有用资料。 3间谍行为间谍行为 是是一一种种为为了了省省钱钱或或获获取取有有价价值值的的机机密密、什么不道德的行为都会采用的商业过程。什么不道德的行为都会采用的商业过程。 葫丹甩淀水瞅吟噶航烤假眼镣铝隔嫌捂净瘸滔氖鸡御缘传彻蛰妻囱堑请庆计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024174身份识别错误身份识别错误 非非法法建建立立文文件件或或记记录录,企企图图把把他他们们作作为为有有效效的的、正正式式生生产产的的文文件件或或记记录录,如如对对具具有有身身份份鉴鉴别别特特征征物物品品如如护护
16、照照、执执照照、出出生生证证明明或或加加密密的的安安全全卡卡进进行行伪伪造造,属属于于身身份份识识别别发发生生错错误误的的范范畴畴。这这种种行行为对网络数据构成了巨大的威胁。为对网络数据构成了巨大的威胁。局抄气通若畜婚托聘公幸乾封丢任糟研叹殃刹傀圣燕玖熄世莆纂贮煮诬芦计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024181.2.2系统漏洞造成的威胁 1乘虚而入乘虚而入 例例如如,用用户户A停停止止了了与与某某个个系系统统的的通通信信,但但由由于于某某种种原原因因仍仍使使该该系系统统上上的的一一个个端端口口处处于于激激活活状状态态,这这时时,用用户户B通通过过这这个个端端
17、口口开开始始与与这这个个系系统统通通信信,这这样样就就不不必必通通过过任任何何申申请请使使用用端口的安全检查了。端口的安全检查了。 2不安全服务不安全服务 有有时时操操作作系系统统的的一一些些服服务务程程序序可可以以绕绕过过机机器器 的的 安安 全全 系系 统统 , 互互 联联 网网 蠕蠕 虫虫 就就 利利 用用 了了BerkeLeyUNIX系统中三个这样的可绕过机制。系统中三个这样的可绕过机制。 呛夕雪至源峙淘胞么贺园奥忿镊茵苗婪邵啪倘督陕琴上译寻恍可荷也钎莽计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024193配置和初始化配置和初始化 如果不得不关掉一台服务器以维
18、修它的某如果不得不关掉一台服务器以维修它的某个子系统,几天后当重启动服务器时,可能会个子系统,几天后当重启动服务器时,可能会招致用户的抱怨,说他们的文件丢失了或被篡招致用户的抱怨,说他们的文件丢失了或被篡改了,这就有可能是在系统重新初始化时,安改了,这就有可能是在系统重新初始化时,安全系统没有被正确地初始化,从而留下了安全全系统没有被正确地初始化,从而留下了安全漏洞让人利用,类似的问题在特洛伊木马程序漏洞让人利用,类似的问题在特洛伊木马程序修改了系统的安全配置文件时也会发生。修改了系统的安全配置文件时也会发生。 砖标采赎去添艺恍巾家炎得尿襟验黎旁叉韶涣荔鸵伪智怂批践黄诌撼畴诛计算机网络安全电子
19、教案第1章计算机网络安全电子教案第1章7/23/2024201.2.3 身份鉴别威胁 1口令圈套口令圈套 口口令令圈圈套套是是网网络络安安全全的的一一种种诡诡计计,与与冒冒名名顶顶替替有有关关。常常用用的的口口令令圈圈套套通通过过一一个个编编译译代代码码模模块块实实现现,它它运运行行起起来来和和登登录录屏屏幕幕一一模模一一样样,被被插插入入到到正正常常有有登登录录过过程程之之前前,最最终终用用户户看看到到的的只只是是先先后后两两个个登登录录屏屏幕幕,第第一一次次登登录录失失败败了了,所所以以用用户户被被要要求求再再输输入入用用户户名名和和口口令令。实实际际上上,第第一一次次登登录录并并没没有有
20、失失败败,它它将将登登录录数数据据,如如用用户户名名和和口口令令写入到这个数据文件中,留待使用。写入到这个数据文件中,留待使用。 士饲溪匙丘类删祈杜俩廖腐嗽雕喳坑惧怀湾畅困桩助汽栓紊儿腊从投址受计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024212口令破解口令破解 破破解解口口令令就就象象是是猜猜测测自自行行车车密密码码锁锁的的数数字字组组合合一一样样,在在该该领领域域中中已已形形成成许许多多能能提提高高成成功功率的技巧。率的技巧。 3算法考虑不周算法考虑不周 口口令令输输入入过过程程必必须须在在满满足足一一定定条条件件下下才才能能正正常常地地工工作作,这这个个过过程
21、程通通过过某某些些算算法法实实现现。在在一一些些攻攻击击入入侵侵案案例例中中,入入侵侵者者采采用用超超长长的的字字符符串破坏了口令算法,成功地进入了系统。串破坏了口令算法,成功地进入了系统。 甥豢迷溢琵代眼攘御访柑伦哼宵建很蒸屿愚窄褥揽牙评谗籍亲劝你岔误捞计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024224编辑口令编辑口令 编辑口令需要依靠内部漏洞,如果公司内部编辑口令需要依靠内部漏洞,如果公司内部的人建立了一个虚设的账户或修改了一个隐含账的人建立了一个虚设的账户或修改了一个隐含账户的口令,这样,任何知道那个账户的用户名和户的口令,这样,任何知道那个账户的用户名和口
22、令的人便可以访问该机器了。口令的人便可以访问该机器了。 掏苞挽粮唉稳箔枉此郧潍绷诲徊谦惧岿敲假裙楼涤谐茨汁叹帧粟拎省墓术计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024231.2.4 线缆连接威胁 1窃听窃听 对对通通信信过过程程进进行行窃窃听听可可达达到到收收集集信信息息的的目目的的,这这种种电电子子窃窃听听不不一一定定需需要要窃窃听听设设备备一一定定安安装装在在线线缆缆上上,可可以以通通过过检检测测从从连连线线上上发发射射出出来来的的电电磁磁辐辐射射就就能能拾拾取取所所要要的的信信号号,为为了了使使机机构构内内部部的的通通信信有有一一定定的的保保密密性性,可可以以
23、使使用用加加密密手手段来防止信息被解密。段来防止信息被解密。 痰滋耘辣灭邻霓呜啊钵拙迈业惊烈勋兄赡犬俏具噬碴在屎蹲灼才桐舍笨忘计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024242拨号进入拨号进入 拥拥有有一一个个调调制制解解调调器器和和一一个个 号号码码,每每个个人人都都可可以以试试图图通通过过远远程程拨拨号号访访问问网网络络,尤尤其其是是拥拥有有所所期期望望攻攻击击的的网网络络的的用用户账户时,就会对网络造成很大的威胁。户账户时,就会对网络造成很大的威胁。 3冒名顶替冒名顶替 通通过过使使用用别别人人的的密密码码和和账账号号时时,获获得得对对网网络络及及其其数数据
24、据、程程序序的的使使用用能能力力。这这种种办办法法实实现现起起来来并并不不容容易易,而而且且一一般般需需要要有有机机构构内内部部的的、了了解解网网络络和和操操作作过过程的人参与。程的人参与。 衰鲍拍妊演珍淄浓洒杆捆文湖哲召未慷议丁沿牟戮颤声地控贝密晦以慢欠计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024251病毒病毒 病病毒毒是是一一种种把把自自己己的的拷拷贝贝附附着着于于机机器器中中的的另另一一程程序序上上的的一一段段代代码码。通通过过这这种种方方式式病病毒毒可可以以进进行行自自我我复复制制,并并随随着着它它所所附附着着的的程程序序在在机器之间传播。机器之间传播。
25、1.2.5,有害程序翱销澳罪乐炭胜效兼帘靖雌墓梢孽隶这犁柞燃换飞替啼赫考诱乳盖络退啃计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024262代码炸弹代码炸弹 是是一一种种具具有有杀杀伤伤力力的的代代码码,其其原原理理是是一一旦旦到到达达设设定定的的日日期期或或钟钟点点,或或在在机机器器中中发发生生了了某某种种操操作作,代代码码炸炸弹弹就就被被触触发发并并开开始始产产生生破破坏坏性性操操作作。代代码码炸炸弹弹不不必必像像病病毒毒那那样样四四处处传传播播,程程序序员员将将代代码码炸炸弹弹写写入入软软件件中中,使使其其产产生生了了一一个个不不能能轻轻易易地地找找到到的的安安全
26、全漏漏洞洞,一一旦旦该该代代码码炸炸弹弹被被触触发发后后,这这个个程程序序员员便便会会被被请请回回来来修修正正这这个个错错误误,并并赚赚一一笔笔钱钱,这这种种高高技技术术的的敲敲诈诈的的受受害害者者甚甚至至不不知知道道他他们们被被敲敲诈诈了了,即即便便他他们们有有疑疑心心也也无无法法证证实实自自己己的的猜猜测。测。 渔界砷在耻斩鞘蓟君美赴侗偷眯导翟欠览婶幻赎钠缓诧阶诽霉板漂叭蝗玛计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024273特洛伊木马特洛伊木马 特特洛洛伊伊木木马马程程序序一一旦旦被被安安装装到到机机器器上上,便便可可按按编编制制者者的的意意图图行行事事。特特
27、洛洛伊伊木木马马能能够够摧摧毁毁数数据据,有有时时伪伪装装成成系系统统上上已已有有的的程程序序,有有时时创创建建新新的用户名和口令。的用户名和口令。 4更新或下载更新或下载 不不同同于于特特洛洛伊伊木木马马,有有些些网网络络系系统统允允许许通通过过调调制制解解调调器器进进行行固固件件和和操操作作系系统统更更新新,于于是是非非法法闯闯入入者者便便可可以以解解开开这这种种更更新新方方法法,对对系系统统进进行行非法更新。非法更新。 哪闪褒赏爽噬书油遁墩催擦糕挝芋掣煎吁摄忻珍厦秦踌阂很乎孙蓟蠢赴琼计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024281.薄弱的认证环节薄弱的认证
28、环节2. 网络上的认证通常是使用口令来实现网络上的认证通常是使用口令来实现的,但口令有公认的薄弱性。网上口令可以通的,但口令有公认的薄弱性。网上口令可以通过许多方法破译,其中最常用的两种方法是把过许多方法破译,其中最常用的两种方法是把加密的口令解密和通过信道窃取口令。加密的口令解密和通过信道窃取口令。 1.3,网络出现安全威胁的原因崔奎颧趁淡莹测疏坯葫陌杜齿胖民起赃姬捐吵垄惰室萄歪割飞做摹狱囊一计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202429 用户使用用户使用Telnet或或FTP连接他在远程连接他在远程主机上的账户,在网上传的口令是没有主机上的账户,在网上传的口
29、令是没有加密的。入侵者可以通过监视携带用户加密的。入侵者可以通过监视携带用户名和口令的名和口令的IP包获取它们,然后使用这包获取它们,然后使用这些用户名和口令通过正常渠道登录到系些用户名和口令通过正常渠道登录到系统。如果被截获的是管理员的口令,那统。如果被截获的是管理员的口令,那么获取特权级访问就变得更容易了。成么获取特权级访问就变得更容易了。成千上万的系统就是被这种方式侵入的。千上万的系统就是被这种方式侵入的。 鼻带隐烟殃膳逾蛙塞嘎人着抱锹俏堕迭奖茂展天形夯折畔谈辗纷菱屿劳衣计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/2024303.易欺骗性易欺骗性 TCP或或UDP服
30、服务务相相信信主主机机的的地地址址。如如果果使使用用“IP Source Routing”,那那么么攻攻击击者者的的主主机机就就可可以以冒冒充充一一个个被被信任的主机或客户。具体步骤:信任的主机或客户。具体步骤: 第第一一,攻攻击击者者要要使使用用那那个个被被信信任任的的客客户户的的IP地地址址取取代代自自己己的的地地址;址; 第第二二,攻攻击击者者构构造造一一条条要要攻攻击击的的服服务务器器和和其其主主机机间间的的直直接接路路径径,把被信任的客户作为通向服务器的路径的最后节点;把被信任的客户作为通向服务器的路径的最后节点; 第三,攻击者用这条路径向服务器发出客户申请;第三,攻击者用这条路径向
31、服务器发出客户申请; 第第四四,服服务务器器接接受受客客户户申申请请,就就好好象象是是从从可可信信任任客客户户直直接接发发出出的一样,然后给可信任客户返回响应;的一样,然后给可信任客户返回响应; 第五,可信任客户使用这条路径将包向前传送给攻击者的主机。第五,可信任客户使用这条路径将包向前传送给攻击者的主机。沈忽局短柄暑氏甸代些熙恤湘烷涵叶账亚挨蝴礁羹敲狰偏颂赎清蹦帝涯孵计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202431 主机的安全管理既困难有费时。为了降低管主机的安全管理既困难有费时。为了降低管理要求并增强局域网,一些站点使用了诸如理要求并增强局域网,一些站点使用了
32、诸如NIS和和NFS之类的服务。这些服务通过允许一些数据之类的服务。这些服务通过允许一些数据库(如口令文件)以分布式方式管理以及允许系库(如口令文件)以分布式方式管理以及允许系统共享文件和数据,在很大程度上减轻了过多的统共享文件和数据,在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素,可管理工作量。但这些服务带来了不安全因素,可以被有经验闯入者利用以获得访问权。以被有经验闯入者利用以获得访问权。 一些系统(如一些系统(如rlogin)处于方便用户并加强)处于方便用户并加强系统和设备共享的目的,允许主机们相互系统和设备共享的目的,允许主机们相互“信任信任”。如果一个系统被侵入或欺骗
33、,那么闯入者来。如果一个系统被侵入或欺骗,那么闯入者来说,获取那些信任其他系统的访问权就很简单了。说,获取那些信任其他系统的访问权就很简单了。 瓷哟涉桐笋托孙既许赴屡飘椰据攒蝶部盈洛活矩戊报钡层孝叮龄溢揭惊阀计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202432 主主机机系系统统的的访访问问控控制制配配置置复复杂杂且且难难于于验验证证。因因此此偶偶然然的的配配置置错错误误会会使使闯闯入入者者获获取取访访问问权权。一一些些主主要要的的Unix经经销销商商仍仍然然把把Unix配置成具有最大访问权的系统,这将导致未经许可的访问。配置成具有最大访问权的系统,这将导致未经许可的访
34、问。 许多网上的安全事故原因是由于入侵者发现的弱点造成。许多网上的安全事故原因是由于入侵者发现的弱点造成。 主机系统的安全性无法很好的估计:随着一个站点的主机主机系统的安全性无法很好的估计:随着一个站点的主机数量的增加,确保每台主机的安全性都处在高水平的能力却在数量的增加,确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是系统管理的作用经常变换并行动迟缓。这导错误。另一因素是系统管理的作用经常变换并行动迟缓。这导致一些系统的安全性比另一些要低。这些系统将成为薄弱环节,致一些系统的
35、安全性比另一些要低。这些系统将成为薄弱环节,最终将破坏这个安全链。最终将破坏这个安全链。 剃撩寨炸牌像设搓帛浅鞋肖冶讳跨凉棱掣舍瑚五描关唱芍碌劈贺着瞄讯岁计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202433l加密机制加密机制l访问控制机制访问控制机制l数据完整性机制数据完整性机制l数字签名机制数字签名机制l交换鉴别机制交换鉴别机制l公证机制公证机制l流量填充机制流量填充机制l路由控制机制路由控制机制1.4,网络的安全机制,扦菲口狸笑眯捌陶栅鸯射侍肆屏椰所扼遁浇船荷碍滞知焕蔽甩沈夸胎抱糟计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202434 加加
36、密密是是提提供供信信息息保保密密的的核核心心方方法法。按按照照密密钥钥的的类类型型不不同同,加加密密算算法法可可分分为为对对称称密密钥钥算算法法和和非非对对称称密密钥钥算算法法两两种种。按按照照密密码码体体制制的的不不同同,又又可可以以分分为为序序列列密密码码算算法法和和分分组组密密码码算算法法两两种种。加加密密算算法法除除了了提提供供信信息息的的保保密密性性之之外外,它它和和其其他他技技术术结结合合,例例如如hash函函数数,还还能能提提供供信信息息的的完整性。完整性。 加密技术不仅应用于数据通信和存储,也加密技术不仅应用于数据通信和存储,也应用于程序的运行,通过对程序的运行实行加应用于程序
37、的运行,通过对程序的运行实行加密保护,可以防止软件被非法复制,防止软件密保护,可以防止软件被非法复制,防止软件的安全机制被破坏,这就是软件加密技术。的安全机制被破坏,这就是软件加密技术。 赵六蜀蹬舆哩嗓谢炒稠欢褪列欢废灿便嗅诞狸困今疟争却溯刁缅小帽趋放计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202435 访问控制可以防止未经授权的用户非法使用系访问控制可以防止未经授权的用户非法使用系统资源,这种服务不仅可以提供给单个用户,也可统资源,这种服务不仅可以提供给单个用户,也可以提供给用户组的所有用户。以提供给用户组的所有用户。 访问控制是通过对访问者的有关信息进行检查访问控
38、制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术,分为高层访来限制或禁止访问者使用资源的技术,分为高层访问控制和低层访问控制。问控制和低层访问控制。 高层访问控制包括身份检查和权限确认,是通高层访问控制包括身份检查和权限确认,是通过对用户口令、用户权限、资源属性的检查和对比过对用户口令、用户权限、资源属性的检查和对比来实现的。来实现的。 低层访问控制是通过对通信协议中的某些特征低层访问控制是通过对通信协议中的某些特征信息的识别、判断,来禁止或允许用户访问的措施。信息的识别、判断,来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤,就属如在路由器上设置过滤规则进
39、行数据包过滤,就属于低层访问控制。于低层访问控制。 酋冰脯爹辖康域庸评三腥刊俯耶筛感欲很怠涛虫茵煤样捶确淮票聂汰哈灰计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202436 数数据据完完整整性性包包括括数数据据单单元元的的完完整整性性和和数数据据序序列列的的完整性两个方面。完整性两个方面。 数数据据单单元元的的完完整整性性是是指指组组成成一一个个单单元元的的一一段段数数据据不不被被破破坏坏和和增增删删篡篡改改,通通常常是是把把包包括括有有数数字字签签名名的的文文件件用用hash函函数数产产生生一一个个标标记记,接接收收者者在在收收到到文文件件后后也也用用相相同同的的has
40、h函函数数处处理理一一遍遍,看看看看产产生生的的标标记记是否相同就可知道数据是否完整。是否相同就可知道数据是否完整。 数据序列的完整性是指发出的数据分割为按序数据序列的完整性是指发出的数据分割为按序列号编排的许多单元时,在接收时还能按原来的序列号编排的许多单元时,在接收时还能按原来的序列把数据串联起来,而不要发生数据单元的丢失、列把数据串联起来,而不要发生数据单元的丢失、重复、乱序、假冒等情况。重复、乱序、假冒等情况。 臭进裙翟僧渊圃竖壶鼻甥膏卡刀蛔供晾钨睁金厂券嘉甥归泳煮迎蔬乓钓亥计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202437数字签名机制主要解决以下安全问题:
41、数字签名机制主要解决以下安全问题: 1否认:事后发送者不承认文件是他发送的。否认:事后发送者不承认文件是他发送的。 2伪伪造造:有有人人自自己己伪伪造造了了一一份份文文件件,却却声声称称是是某某人人发送的。发送的。 3冒充:冒充别人的身份在网上发送文件。冒充:冒充别人的身份在网上发送文件。 4篡改:接收者私自篡改文件的内容。篡改:接收者私自篡改文件的内容。 数字签名机制具有可证实性、不可否认性、不数字签名机制具有可证实性、不可否认性、不可伪造性和不可重用性。可伪造性和不可重用性。 灶傻夕袄浅贾溅觉掳耙索抵鳞展宽滩兄刮仪栋驮惕凭腺卉阐渔烬帅伪佃株计算机网络安全电子教案第1章计算机网络安全电子教案
42、第1章7/23/202438 交交换换鉴鉴别别机机制制是是通通过过互互相相交交换换信信息息的的方方式式来来确确定定彼彼此此的身份。用于交换鉴别的技术有:的身份。用于交换鉴别的技术有: 1口口令令:由由发发送送方方给给出出自自己己的的口口令令,以以证证明明自自己己的的身份,接收方则根据口令来判断对方的身份。身份,接收方则根据口令来判断对方的身份。 2密密码码技技术术:发发送送方方和和接接收收方方各各自自掌掌握握的的密密钥钥是是成成对对的的。接接收收方方在在收收到到已已加加密密的的信信息息时时,通通过过自自己己掌掌握握的的密密钥钥解解密密,能能够够确确定定信信息息的的发发送送者者是是掌掌握握了了另
43、另一一个个密密钥钥的的那那个个人人。在在许许多多情情况况下下,密密码码技技术术还还和和时时间间标标记记、同同步步时时钟钟、双双方方或或多多方方握握手手协协议议、数数字字签签名名、第第三三方方公公证证等相结合,以提供更加完善的身份鉴别。等相结合,以提供更加完善的身份鉴别。 3特征实物:例如特征实物:例如IC卡、指纹、声音频谱等。卡、指纹、声音频谱等。 铆侮恤饱梆席改碍芽昼午户负想升饼蛆簧拧锨洽枝殖暇草届洗辨砚圃彻愧计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202439 网络上鱼龙混杂,很难说相信谁不相信网络上鱼龙混杂,很难说相信谁不相信谁。同时,网络的有些故障和缺陷也可能
44、导谁。同时,网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清,致信息的丢失或延误。为了免得事后说不清,可以找一个大家都信任的公证机构,各方的可以找一个大家都信任的公证机构,各方的交换的信息都通过公证机构来中转。公证机交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据,日后一构从中转的信息里提取必要的证据,日后一旦发生纠纷,就可以据此做出仲裁。旦发生纠纷,就可以据此做出仲裁。 须乒粗穷耪舵隙矗猛威煞放杂丘粮伎腮拱裳赶惭悍奔众怯槽徘孔炔菊揍炕计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202440 流流量量填填充充机机制制提提供供针针对对流
45、流量量分分析析的的保保护护。外外部部攻攻击击者者有有时时能能够够根根据据数数据据交交换换的的出出现现、消消失失、数数量量或或频频率率而而提提取取出出有有用用信信息息。数数据据交交换换量量的的突突然然改改变变也也可可能能泄泄露露有有用用信信息息。例例如如当当公公司司开开始始出出售售它它在在股股票票市市场场上上的的份份额额时时,在在消消息息公公开开以以前前的的准准备备阶阶段段中中,公公司司可可能能与与银银行行有有大大量量通通信信。因因此此对对购购买买该该股股票票感感兴兴趣趣的的人人就就可可以以密密切切关关注注公公司司与与银行之间的数据流量以了解是否可以购买。银行之间的数据流量以了解是否可以购买。
46、流量填充机制能流量填充机制能够保持流量基本恒定,因此保持流量基本恒定,因此观测者不能者不能获取任何信息。流量填充的取任何信息。流量填充的实现方法方法是:随机生成数据并是:随机生成数据并对其加密,再通其加密,再通过网网络发送。送。 桂碉柞奎悍宅助节驱忽丰铣凄剖掇睦迭撞冬容旦窘鹿绒彦座峦吃缠壕窥汹计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202441 路由控制机制使得可以指定通路由控制机制使得可以指定通过网网络发送数送数据的路径。据的路径。这样,可以,可以选择那些可信的网那些可信的网络节点,点,从而确保数据不会暴露在安全攻从而确保数据不会暴露在安全攻击之下。而且,之下。而且
47、,如果数据如果数据进入某个没有正确安全入某个没有正确安全标志的志的专用网用网络时,网,网络管理管理员可以可以选择拒拒绝该数据包。数据包。 腾座寨滤聚溪较徒蝉壬室疫铀刀医翰绘球悔锑灰神她刚更刮矫粘途聪暗圈计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202442小结: 本章主要介绍了有关网络安全的基本章主要介绍了有关网络安全的基础知识,包括网络安全的定义、网络面础知识,包括网络安全的定义、网络面临的安全威胁、产生安全威胁的原因,临的安全威胁、产生安全威胁的原因,以及网络的安全机制,使读者对网络安以及网络的安全机制,使读者对网络安全有一个概括的认识,为以下章节打下全有一个概括的认识,为以下章节打下基础。基础。 矩胸则八辐懂印尊棺濒查痒夏袋拇师灾锚盾闪蛛磺胳兼降荷蜂柏王嫌亭铸计算机网络安全电子教案第1章计算机网络安全电子教案第1章7/23/202443
