收藏
下载资源

第9章网络安全与网络管理

上传人:新** 文档编号:568397837 上传时间:2024-07-24 格式:PPT 页数:32 大小:264KB
返回 下载 相关 举报
第9章网络安全与网络管理_第1页
第1页 / 共32页
第9章网络安全与网络管理_第2页
第2页 / 共32页
第9章网络安全与网络管理_第3页
第3页 / 共32页
第9章网络安全与网络管理_第4页
第4页 / 共32页
第9章网络安全与网络管理_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《第9章网络安全与网络管理》由会员分享,可在线阅读,更多相关《第9章网络安全与网络管理(32页珍藏版)》请在金锄头文库上搜索。

1、第第9 9章章 网络安全与网络管理网络安全与网络管理 第第9 9章章 网络安全与网络管理网络安全与网络管理n计算机网络对整个社会带来便利的同时也带来了巨计算机网络对整个社会带来便利的同时也带来了巨大的安全问题大的安全问题. .n事实上事实上, ,资源共享和信息安全是一对矛盾资源共享和信息安全是一对矛盾, ,随着资源随着资源共享的加强共享的加强, ,网络安全的问题也日益突出网络安全的问题也日益突出, ,计算机网计算机网络对整个社会带来便利的同时也带来了巨大的安全络对整个社会带来便利的同时也带来了巨大的安全问题问题, ,如计算机病毒对网络的侵袭和黑客对网络的攻如计算机病毒对网络的侵袭和黑客对网络的

2、攻击击, ,计算机网络安全问题已经引起了全世界范围的重计算机网络安全问题已经引起了全世界范围的重视视. .第第9 9章章 网络安全与网络管理网络安全与网络管理 n网络安全基础;网络安全基础;n数据加密与防火墙;数据加密与防火墙;n防范计算机病毒;防范计算机病毒;n网络管理。网络管理。 9.1 9.1 网络安全基础网络安全基础 n9.1.1 9.1.1 网络安全的基本概念网络安全的基本概念 网络安全可理解为网络安全可理解为“网络系统不任何威胁状态网络系统不任何威胁状态”.”. 具体的说具体的说: :网络安全是指通过采取各种技术和管理措网络安全是指通过采取各种技术和管理措施施, ,使网络系统的硬件

3、使网络系统的硬件, ,软件及其系统中的数据资源受软件及其系统中的数据资源受到保护到保护, ,不因一些不利因素影响而使这些资源遭到破不因一些不利因素影响而使这些资源遭到破坏坏, ,更改更改, ,泄漏泄漏, ,保证网络系统连续保证网络系统连续, ,可靠正常的运行可靠正常的运行. .9.1 9.1 网络安全基础网络安全基础n9.1.2 9.1.2 网络的安全威胁网络的安全威胁 n对计算机网络的安全威胁可以分为两大类对计算机网络的安全威胁可以分为两大类: :主主动攻击和被动攻击动攻击和被动攻击. .n主动攻击分中断主动攻击分中断, ,篡改篡改, ,伪造三种伪造三种; ;n被动攻击只有一种是被动攻击只有

4、一种是: :截获截获. .9.1.2 9.1.2 网络的安全威胁网络的安全威胁n中断中断: : 当网络上的用户在通信时当网络上的用户在通信时, ,破坏者可以中断他破坏者可以中断他们之间的通信们之间的通信. .n篡改篡改: : 当网络用户当网络用户A A向向B B发送报文时发送报文时, ,报文在转发的过报文在转发的过程中被程中被C C更改更改. .9.1.2 9.1.2 网络的安全威胁网络的安全威胁n伪造伪造: : 网络用户网络用户C C非法获取用户非法获取用户B B的权限并以的权限并以B B的名的名义与义与A A进行通信进行通信. .n截获截获: : 当网络用户当网络用户A A与与B B进行通

5、信时进行通信时, ,如果不采取任如果不采取任何保密措施何保密措施, ,那么其他人就有可能偷看到他们那么其他人就有可能偷看到他们之间的通信内容之间的通信内容. .9.1.2 9.1.2 网络的安全威胁网络的安全威胁n还有一种特殊的主动攻击就是恶意程序的攻击还有一种特殊的主动攻击就是恶意程序的攻击. .恶意程恶意程序的种类繁多序的种类繁多, ,对网络安全构成较大威胁的有对网络安全构成较大威胁的有: :n计算机病毒计算机病毒: :一种会一种会“传染传染”其他程序的程序其他程序的程序, ,传染是传染是通过修改其他程序来将自身或其变种复制进去完成的通过修改其他程序来将自身或其变种复制进去完成的. .9.

6、1.2 9.1.2 网络的安全威胁网络的安全威胁n计算机蠕虫计算机蠕虫: :一种执行的功能超出其所声称的功能一种执行的功能超出其所声称的功能. .如一个编译程序除执行编译任务之外如一个编译程序除执行编译任务之外, ,来还将用户的来还将用户的源程序偷偷地复制下来源程序偷偷地复制下来, ,这种程序就是一种特洛伊木这种程序就是一种特洛伊木马马. .计算机机病毒有时也以特洛伊木马的形式出现计算机机病毒有时也以特洛伊木马的形式出现. .n逻辑炸弹逻辑炸弹: :一种当运行环境满足某种特定条件时执行一种当运行环境满足某种特定条件时执行其他特殊功能的程序其他特殊功能的程序. .如一个编译程序在平时运行得如一个

7、编译程序在平时运行得很好很好, ,但当系统时间为但当系统时间为1313日又为星期五时日又为星期五时, ,它删除系它删除系统中所有的文件统中所有的文件, ,这种程序就是一种逻辑炸弹这种程序就是一种逻辑炸弹. .9.1.2 9.1.2 网络的安全威胁网络的安全威胁n主动攻击是指攻击者对连接中通过的主动攻击是指攻击者对连接中通过的PDU(PDU(协议数据单协议数据单元元) )进行各种处理进行各种处理. .如有选择的更改如有选择的更改, ,删除删除, ,延迟这些延迟这些PDU.PDU.还可以在以后的时间将以前录下的还可以在以后的时间将以前录下的PDUPDU插入这个插入这个连接连接( (即重放攻击即重放

8、攻击),),甚至还可以将合成的或伪造的甚至还可以将合成的或伪造的PDUPDU送入到一个连接中去送入到一个连接中去. .n所有主动攻击都是上述各种方法的某种组合所有主动攻击都是上述各种方法的某种组合, ,从类型从类型上还可以将主动攻击分为以下三种上还可以将主动攻击分为以下三种: :更改报文流更改报文流; ;拒绝拒绝连接初始化连接初始化; ;9.1.3 9.1.3 网络安全策略网络安全策略n9.1.3 9.1.3 网络安全策略网络安全策略n为应对网络可能带来的安全威胁为应对网络可能带来的安全威胁, ,需要一需要一定的网络安全策略定的网络安全策略. . 常用的网络安全策常用的网络安全策略包括防护略包

9、括防护, ,检测检测, ,响应响应, ,恢复恢复. .如下图所如下图所示示9.1.3 9.1.3 网络安全策略网络安全策略n防护防护: :是根据系统已知的可能安全问题采取一些预是根据系统已知的可能安全问题采取一些预防措施防措施, ,如打补丁如打补丁, ,访问控制访问控制, ,数据加密等数据加密等. .n检测检测: :安全策略的第二关是检测安全策略的第二关是检测. .攻击者如果穿过防攻击者如果穿过防护系统护系统, ,检测系统就会检测出来检测系统就会检测出来. .如检测入侵者的身如检测入侵者的身份份, ,包括攻击源包括攻击源, ,系统损失等到系统损失等到. .n响应响应: :检测关一旦检测出入侵检

10、测关一旦检测出入侵, ,响应系统则开始响应响应系统则开始响应, ,进行事件处理进行事件处理. .通过紧急响应进行事件处理通过紧急响应进行事件处理. .9.1.3 9.1.3 网络安全策略网络安全策略n恢复恢复: :指事件发生后指事件发生后, ,将系统恢复到原来状态或比原来更安全的将系统恢复到原来状态或比原来更安全的状态状态. .它可分为系统恢复和信息恢复两个方面它可分为系统恢复和信息恢复两个方面. .n系统恢复是指修补缺陷和消除后门系统恢复是指修补缺陷和消除后门. .系统恢复包括系统升级系统恢复包括系统升级, ,软软件升级件升级, ,打补丁打补丁.通常通常, ,黑客第一次入侵后是利用系统缺陷黑

11、客第一次入侵后是利用系统缺陷, ,在在入侵成功后入侵成功后, ,黑客就在系统中留下一些后门黑客就在系统中留下一些后门, ,如安装木马程序如安装木马程序. . 尽管缺陷被补丁修复尽管缺陷被补丁修复, ,黑客还可以再通过后门入侵黑客还可以再通过后门入侵. .因此因此, ,消除消除后门是系统恢复的另一种重要工作后门是系统恢复的另一种重要工作. .n信息恢复是指恢复丢失数据信息恢复是指恢复丢失数据. .丢失数据可能是由于黑客入侵所丢失数据可能是由于黑客入侵所致致, ,也可能是由于系统故障也可能是由于系统故障, ,自然灾害等到原因所致自然灾害等到原因所致. .9.1.4 9.1.4 网络安全机制与手段网

12、络安全机制与手段n为为确保计算机网络安全确保计算机网络安全, ,必须实施一定的必须实施一定的安全机制安全机制. .通过有加密机制通过有加密机制, ,数字签名机数字签名机制制, ,访问控制机制访问控制机制, ,数据完整机制数据完整机制, ,认证交认证交换机制换机制, ,防业务流分析机制防业务流分析机制, ,路由控制机路由控制机制制, ,公证机制公证机制. .9.1.4 9.1.4 网络安全机制与手段网络安全机制与手段n加密机制加密机制: :它可用来加密存放着的数据或流通它可用来加密存放着的数据或流通中的信息中的信息; ;它即可以单独使用也可以同其他机它即可以单独使用也可以同其他机制结合使用制结合

13、使用. .加密算法通常分为单密钥系统和加密算法通常分为单密钥系统和公开密钥系统公开密钥系统. .n数字签名机制数字签名机制: :对信息进行签字的过程和对已对信息进行签字的过程和对已经签字的信息进行证实的过程经签字的信息进行证实的过程. .前者要使用签前者要使用签字者的私有信息字者的私有信息( (如私有密钥如私有密钥););后都使用公开后都使用公开的信息的信息( (如公开密钥如公开密钥),),以核实签字是否由签字以核实签字是否由签字者的私有信息产生者的私有信息产生. .数字签名机制必须保证签数字签名机制必须保证签字只能由签字者的私人信息产生字只能由签字者的私人信息产生. .9.1.4 9.1.4

14、 网络安全机制与手段网络安全机制与手段n访问控制机制访问控制机制: :它是根据实体的身份及有关信息它是根据实体的身份及有关信息, ,来决定实体的来决定实体的访问权限访问权限. .n数据完整机制数据完整机制: :在通信中在通信中, ,发送方根据要发送的信息产生一定的发送方根据要发送的信息产生一定的额外的信息额外的信息, ,将后者加密以后随信息本体一同发出将后者加密以后随信息本体一同发出; ;接收方接收接收方接收到信息本体后到信息本体后, ,产生相应的额外信息产生相应的额外信息, ,并与接收到的额外信息进并与接收到的额外信息进行比较行比较, ,以判断在通信过程中信息本体是否被篡改以判断在通信过程中

15、信息本体是否被篡改. .n认证交换机制认证交换机制: :使用认证信息实现同级之间的认证使用认证信息实现同级之间的认证. .如由发方提如由发方提供一口令供一口令, ,收方检验收方检验. .也可以利用实体所具有的特征也可以利用实体所具有的特征, ,如指纹如指纹, ,视视网膜等到实现网膜等到实现. .9.1.4 9.1.4 网络安全机制与手段网络安全机制与手段n防业务流分析机制防业务流分析机制: :通过填充多余的业务流来防止攻击都进通过填充多余的业务流来防止攻击都进行业务流量分析行业务流量分析, ,填充过的信息要加密保护才能有效填充过的信息要加密保护才能有效. .n路由控制机制路由控制机制: :为使

16、用安全的子网为使用安全的子网, ,中继站和链路中继站和链路, ,即可以预即可以预先安排网络中的路由先安排网络中的路由, ,也可以对其动态进行选择也可以对其动态进行选择. .n公证机制公证机制: :通过第三方参与的签名机制通过第三方参与的签名机制. .它是基于通信双方对它是基于通信双方对第三方的绝对信任第三方的绝对信任. .让认证方备有适用的数字签名加密或完让认证方备有适用的数字签名加密或完整性机制等整性机制等. .当褓间互通信息时当褓间互通信息时, ,就由公证方利用其提供的上就由公证方利用其提供的上述机制进行公证述机制进行公证. .9.2 9.2 数数 据据 加加 密密 n数据加密的目的是数据

17、加密的目的是, ,确保通信双方相互交确保通信双方相互交换的数据是保密的换的数据是保密的, ,即使这些断气在半路即使这些断气在半路上被第三方截获上被第三方截获, ,也会由于不知道密码而也会由于不知道密码而无法了解该信息的真实含义无法了解该信息的真实含义. .如果一个加如果一个加密算法或加密机制能满足这种条件密算法或加密机制能满足这种条件, ,则我则我们就可以认为该算法是安全的们就可以认为该算法是安全的. .9.3 9.3 防火墙防火墙n9.3.1 9.3.1 防火墙的基本概念防火墙的基本概念n防火墙是在网络之间执行控制策略的系统防火墙是在网络之间执行控制策略的系统, ,它它包括硬件和软件包括硬件

18、和软件. .n设置防火墙的目的是保护内联网络资源不被设置防火墙的目的是保护内联网络资源不被外部非授权用户使用外部非授权用户使用, ,防止内部受到外部非法防止内部受到外部非法用户的攻击用户的攻击. .n那么防火墙安装的位置一定是在内联网络与那么防火墙安装的位置一定是在内联网络与外部网络之间外部网络之间: :如图所示如图所示: :9.3.1 9.3.1 防火墙的基本概念防火墙的基本概念n防火墙主要功能包括防火墙主要功能包括 : :检查所有从外部检查所有从外部网络进入内联网络的数据包网络进入内联网络的数据包; ;检查所有从检查所有从内联网络流出到外部网络的数据包内联网络流出到外部网络的数据包; ;执

19、行执行安全策略安全策略, ,限制所有不符合要求的分组通限制所有不符合要求的分组通过过; ;具有防攻击能力具有防攻击能力, ,保证自身的安全性保证自身的安全性. .9.3.19.3.1防火墙的基本类型防火墙的基本类型 n防火墙有许多形式防火墙有许多形式, ,有以软件形式运行在普通计算机之有以软件形式运行在普通计算机之上的上的, ,也有以固件形式设计在路由器之中的也有以固件形式设计在路由器之中的. .按功能及按功能及工作方式可以将防火墙分为两种工作方式可以将防火墙分为两种: :包过滤防火墙和应用包过滤防火墙和应用网关网关. .n1:1:包过滤防火墙包过滤防火墙: :在因特网上所有往来的信息都被分割

20、在因特网上所有往来的信息都被分割成若干个成若干个IPIP数据包在网络让传输数据包在网络让传输, ,每个数据包中都带有每个数据包中都带有发送者及接收者的发送者及接收者的IPIP地址信息地址信息. .包过滤防火墙对收到的包过滤防火墙对收到的所有所有IPIP包进行检查包进行检查, ,依据已经制定的过滤规则判断该依据已经制定的过滤规则判断该IPIP包的源或目的地址包的源或目的地址, ,以决定是否允许该以决定是否允许该IPIP包通过包通过. .n包过滤技术基于路由器技术包过滤技术基于路由器技术, ,因而包过滤防火墙又称为因而包过滤防火墙又称为包过滤路由器防火墙包过滤路由器防火墙. .包过滤防火墙包过滤防

21、火墙 包过滤防火墙包过滤防火墙应用网关应用网关n应用网关是一种能够安全访问外部服务的机制应用网关是一种能够安全访问外部服务的机制. .它通它通常是我们提到的代理服务器常是我们提到的代理服务器. .代理服务器通常运行在代理服务器通常运行在两个网络之间两个网络之间, ,它对于内联网络用户来说它对于内联网络用户来说, ,就像是一就像是一台真的服务器台真的服务器, ,而对于外界的服务器来说而对于外界的服务器来说, ,它又是一它又是一台客户机台客户机. .n代理服务器通常拥有一个高速缓存代理服务器通常拥有一个高速缓存, ,这个缓存保存着这个缓存保存着用户最近访问的站点内容用户最近访问的站点内容, ,当一

22、下个用户要访问同一当一下个用户要访问同一个站点时个站点时, ,服务器就不用重复获取相同的内容服务器就不用重复获取相同的内容, ,直接直接将缓存内容发出即可将缓存内容发出即可, ,即节约了网络资源即节约了网络资源. .又节约了又节约了时间时间. .应用网关应用网关 典型的典型的InternetInternet防火墙防火墙 n通常情况下通常情况下, ,包过滤防火墙与应用网关常包过滤防火墙与应用网关常一起配合使用一起配合使用, ,这样为内部的主机访问外这样为内部的主机访问外部信息提供一个安全的数据通道部信息提供一个安全的数据通道, ,同时又同时又能有效的防止外部主机对内联网络的非能有效的防止外部主机对内联网络的非法访问法访问. .习题习题: :n什么网络安全什么网络安全? ?n对网络安全构成较大的威胁的主要来意程序对网络安全构成较大的威胁的主要来意程序有哪些有哪些? ?n网络系统的脆弱性主要表现在哪些方面网络系统的脆弱性主要表现在哪些方面? ?n数据加密的主要目的是什么数据加密的主要目的是什么? ?n防火墙的主要功能有哪些防火墙的主要功能有哪些? ?

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号