《十一章节网络安全》由会员分享,可在线阅读,更多相关《十一章节网络安全(23页珍藏版)》请在金锄头文库上搜索。
1、 第十一章网络安全 本章主要内容: q网络安全的概念q防火墙技术q网络病毒及其防范q数据加密与数字证书 腋阵俞椅阀怯夸吠躁问图祥马缎模拾醛绒旷蒸慷毕蕊横拄泛五底炉括怕直十一章节网络安全十一章节网络安全1计算机网络技术及应用11.1 网络安全概述 11.1.1 网络安全的概念 狭义的网络安全:狭义的网络安全:是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。广义的网络安全:广义的网络安全:从广义角度
2、来讲,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全。 模号耕套原艳盅缚挞广浇各末遏任产侍巨绝郑锄夺拟毙肖苛阮傻欣要享秩十一章节网络安全十一章节网络安全2计算机网络技术及应用网络安全包括五个基本要素:机密性、完整性、可用性、可控制性与可审查性。v机密性:机密性:确保信息不暴露给未授权的实体或进程。v完整性:完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。v可用性:可用性:得到授权的实体在需要时可访问数
3、据,即攻击者不能占用所有的资源而阻碍授权者的工作。v可控制性:可控制性:可以控制授权范围内的信息流向及行为方式。v可审查性:可审查性:对出现的网络安全问题提供调查的依据和手段。11.1 网络安全概述 丑滋墩珠贝饶狄李策仓炽筋旬眩柴购租溶嗽焦弛黄腹不预箔推济疟省眺滩十一章节网络安全十一章节网络安全3计算机网络技术及应用11.1.2 网络安全面临的风险 一般认为,目前网络安全面临的风险主要有以下五个方面。1)非非授授权权访访问问:指没有预先经过同意非法使用网络或计算机资源,比如有意避开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大权限、越权访问信息等。2)信信息息泄泄漏漏或或丢丢失失:
4、指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(比如,利用电磁泄漏或搭线窃听等方式截获机密信息);在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感信息等。3)破破坏坏数数据据完完整整性性:指以非法手段获得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。4)拒拒绝绝服服务务攻攻击击:不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。5)利利用用网网络络传传播播病病毒毒:通过网
5、络传播计算机病毒,其破坏性大大高于单机系统,而且很难防范。11.1 网络安全概述 桌壳躁敌柬孟砾芍痴矗歇抛婪骋恿瓢垣礼肄经栽续燥仲弄寨朽矿许纵速赛十一章节网络安全十一章节网络安全4计算机网络技术及应用11.1.3安全策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则,它包括三个重要的组成部分。(1)威威威威严严严严的的的的法法法法律律律律:安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者慑于法律,不敢轻举妄动。(2)先先先先进进进进的的的的技技技技术术术术:先进的安全技术是信息安全的根本保障。用户
6、通过对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。(3)严严严严格格格格的的的的管管管管理理理理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。11.1 网络安全概述 嚎墙拈巳伏垂毁首幌祖榔径驮饱梳辆燥守罐抽佬诛偏谴肚啦蕊岂致汽洼窝十一章节网络安全十一章节网络安全5计算机网络技术及应用11.1.4网络安全措施既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包括口令与访问控制方式、防火墙技术、应用网关与代理服
7、务器技术、密码技术、IP加密技术和数字签名等技术。 11.1 网络安全概述 彭剿炸桔来况烈售诸苑还拴混润超辫蜕肩苇酣碴锨罗朗塌蚌鸵购锤董绿呕十一章节网络安全十一章节网络安全6计算机网络技术及应用11.2.1防火墙的概念防火墙防火墙防火墙防火墙(Firewall)是一种将内部网络和外部公共网络(Internet)分开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入还是输出),从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障,使公共网络与内部网络之间建立起一个安全网关(SecurityGateway)。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外
8、部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。防火墙的概念模型如下页图示。11.2 防火墙技术粉盯各翌祁断潞邵勘翻船按筏裳汁融盒癸闷搁幢仅剧橡仍秃浩顶躯巡焕胰十一章节网络安全十一章节网络安全7计算机网络技术及应用11.2 防火墙技术内部端口外部端口防火墙概念模型示意图刚裹彪怠秩冰溪沂龟忧苛金讲挂疲瞄槛天念酗梨捡镜合茨中潦瘪概神期柳十一章节网络安全十一章节网络安全8计算机网络技术及应用11.2.2防火墙的功能与分类1防火墙的功能防火墙的功能防火墙一般具有如下三种功能:(1)忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法用户。(2)限定内部网络用户访问特殊网络站点
9、,接纳外网对本地公共信息的访问。(3)具有记录和审计功能,为监视互联网安全提供方便。2.防火墙分类防火墙分类防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。即包过滤防火墙,应用代理服务器,状态检测防火墙。11.2 防火墙技术蘸锐喀杖爪综毕铆早啦滁俭羽谦幅红寄元侨偿劣排旅绣韵枕犯饮甄衷嘛福十一章节网络安全十一章节网络安全9计算机网络技术及应用 包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙 数据包过滤技术是指在网络层对数据包进行分析、选择。选择的依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合
10、来确定是否允许该数据包通过。数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安装和使用,网络性能和透明度好。其缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口也存在着潜在危险。11.2 防火墙技术喜巨婆畔拭驮柳烙彬糕资圈您娥略勤夹群鞍兑炙额镁泞饺馁梢笨萍帝贯豹十一章节网络安全十一章节网络安全10计算机网络技术及应用 应用代理服务器应用代理服务器应用代理服务器应用代理服务器 应用代理服务器是防火墙的第二代产品,应用代理服务器技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外
11、部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢,操作系统容易遭到攻击。11.2 防火墙技术袭锅蒋鸟锑驮茧拼喇膜饼诅禄虽庇换昆甭池税舆愈衔伴枉珐二踌妒娄马斜十一章节网络安全十一章节网络安全11计算机网络技术及应用状态检测防火墙状态检测防火墙状态检测防火墙状态检测防火墙状态检测防火墙又称动态包过滤防火墙,在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙
12、克服了包过滤防火墙和应用代理服务器的局限性,根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过,执行速度很快。11.2 防火墙技术克倒未殿侣得常座瑚撰酱慈侄奋帝泰唁屏捐耙厦软忆汰峦嫌砚驯姐灰跋损十一章节网络安全十一章节网络安全12计算机网络技术及应用11.2.3 代理服务器的设置方法(1)打开IE浏览器,选择【工具】|【Internet选项】,出现【Internet选项】对话框,选择【连接】选项卡,如左下图所示。(2)单击【局域网设置】按钮,出现如右上图所示的对话框。 11.2 防火墙技术搔哪罗裳运近墙乒魔愤驯寒优拜挛募赎峨妨遂押赡掘牵耽谤迹巴厦莽绳比十一章节网络安全十一章节网
13、络安全13计算机网络技术及应用(3)输入代理服务器的IP地址和端口数据,单击【高级】按钮,出现如下图所示的对话框。(4)对各种代理服务输入代理服务器的IP地址,并对不使用代理服务器的连接输入域名或IP地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务器设置。 11.2 防火墙技术栅检甸脖磕阎朋息宵乃仑踪镶钻掩娥勾量齐用逐砒干征俏亨米至策笆戏疥十一章节网络安全十一章节网络安全14计算机网络技术及应用11.3 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。 11.3.1 特洛伊木马(Trojan)病毒及其防
14、范 特洛伊木马是一种黑客程序,从它对被感染电脑的危害性方面考虑,我们不妨称之为病毒,但它与病毒有些区别。它一般并不破坏受害者硬盘数据,而是悄悄地潜伏在被感染的机器中,一旦这台机器连接到网络,就可能大祸临头。黑客通过Internet找到感染病毒的机器,在自己的电脑上远程操纵它,窃取用户的上网帐户和密码、随意修改或删除文件,它对网络用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门,并且受到别人的暗中监视与控制。过嚼撂隆钞蜜饱亮唯孤轿据邯呼问卿拈痰迟铆惫抢忱饥惯蒜包伶柔晨分管十一章节网络安全十一章节网络安全15计算机网络技术及应用对特洛伊木马的防范对特洛伊木马的防范不要轻易泄露你的IP地址,
15、下载来历不明的软件时要警惕其中是否隐藏了木马,使用下载软件前一定要用木马检测工具进行检查。对付特洛伊木马除了用手工清除方法外,也可用Lockdown2000等专门的反木马软件来清除,还可以用它们来检测自己机器上是否有已知或未知的木马程序,实时监视自己电脑端口是否有“异常活动”,禁止别人访问你的机器。一旦有人企图连接你的机器,他们就会发出报警声音,还能对正在扫描你机器的人进行跟踪,告诉你此人来自何处、正在做什么,提示用户用专门的反木马软件进行清除。11.3 网络病毒及其防范 脐垂蕉函泉僵婴器蟹诗熙淘禁瞧暖仗柄谓工省酪出闪炎弹批袁舆痴漳神伤十一章节网络安全十一章节网络安全16计算机网络技术及应用1
16、1.3.2邮件病毒及其防范邮件病毒及其防范 邮件病毒和普通病毒是一样的,只不过由于它们主要通过电子邮件传播,所以才称为“邮件病毒”。它通常借助邮件“附件”夹带的方法进行扩散,一旦你收到这类E-mail,运行了附件中病毒程序就能使你的电脑染毒。这类病毒本身的代码并不复杂,大都是一些脚本,比如Iloveyou病毒,就是一个用VBScript编写的仅十几KB的脚本文件,只要收到该病毒的E-mail并打开附件后,病毒就会按照脚本指令,将浏览器自动连接上一个网址,下载木马程序,更改一些文件后缀为.vbs,最后再把病毒自动发给Outlook通讯薄中的每一个人。11.3 网络病毒及其防范 厄产汗髓七硕徐轧储
17、耗三契勃灌醇菊攒完货简妈糠赁液束黑歉巡及影雹苫十一章节网络安全十一章节网络安全17计算机网络技术及应用对于邮件病毒可以采取以下防范措施:对于邮件病毒可以采取以下防范措施: 不要打开陌生人来信中的附件,最好是直接删除; 不要轻易运行附件中的.EXE、.COM等可执行文件,运行以前要先查杀病毒; 安装一套可以实时查杀E-mail病毒的防病毒软件; 收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒的传播;对于通过脚本“工作”的病毒,可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。 11.3 网络病毒及其防范 划及铂痰唐择强氯国安辫洲性毛爱咽椽占解赣袱圆禁屈怂炸疤阂多
18、狙少刚十一章节网络安全十一章节网络安全18计算机网络技术及应用11.4 数据加密与数字证书 11.4.1数据加密技术密码体制可以分为两大类:对称密钥和非对称密钥。密码体制可以分为两大类:对称密钥和非对称密钥。 1.对称密钥体制对称密钥体制 对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即通信双方建立并共享一个密钥。通信双方建立并共享一个密钥。对称密钥的工作原理为:对称密钥的工作原理为:用户A要传送机密信息给B,则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K,于是A用密钥K和加密算法E对明文P加密
19、得到密文C,并将密文C发送给B;B收到后,用同样一把密钥K和解密算法D对密文解密,得到明文P,即还原,全部过程如下页图所示。 铺拖勘吃臀坐译拣中乐歌赁讶缔解淤崖润躬刃灸窖煤嗣狙飘奋诫皑甥采弗十一章节网络安全十一章节网络安全19计算机网络技术及应用对称密钥的工作原理示意图11.4 数据加密与数字证书 悄迪渡锐增革流分顽活电来邦耶凛馒都摘挡给俞构列惊渊附蹬语著昧仆拦十一章节网络安全十一章节网络安全20计算机网络技术及应用2.非对称密钥体制非对称密钥体制非对称密钥体制也称为公钥密钥体制,是现代密码学最重要的发明和进展。非对称密钥体制不同于传统的对称密钥体制,它要求密钥成对出现,一个为公共密钥,另一个
20、为专用密钥,且不可能从其中一个推导出另一个。公共密钥可以发布出去,专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密,反之亦然。非对称密钥体制的原理为:非对称密钥体制的原理为:用户A和用户B各自拥有一对密钥(KA、KA-1)和(KB、KB-1)。私钥KA-1、KB-1分别由A、B各自保管,而KA、KB则以证书的形式对外公布。当A要将明文消息P安全发送给B时,A用B的公钥KB加密P得到密文C;而B收到密文P后,用私钥KB-1解密恢复明文P。相比之下,公钥体制不仅可以实现保密通信,而且可以对消息进行数字签字。11.4 数据加密与数字证书 潞虱拽琳坡运陌涎妈姑怜祥咯冻笋救积携讯达赊完率
21、诫尔禹工呀悯王苑意十一章节网络安全十一章节网络安全21计算机网络技术及应用11.4.2数字证书 数字证书是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每个人都拥有一张证明个人身份的身份证一样。数字证书是由权威公正的第三方机构电子身份认证中心CA(CertificateAuthority)签发的包含公开密钥、拥有者信息以及发证机构信息的文件。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传输信息的机密性、完整性以及交易身份的真实性、签名信息的不可否认性,从而保障网
22、络应用的安全性。数字证书采用非对称密钥体制。数字证书广泛应用于:数字证书广泛应用于:发送安全电子邮件,访问安全站点,网上证券,网上招标采购,网上签约,网上办公,网上交费,网上税务等网上电子交易活动等。11.4 数据加密与数字证书 淄芬聚硕势烷馈贱温卞衷贩敌束么云夕宵红烈贿娥姬游请嫡番趟鉴筐骤退十一章节网络安全十一章节网络安全22计算机网络技术及应用习题十一1.狭义的计算机网络安全指的是什么?2.简述安全策略的三个重要组成部分。3.什么是防火墙?防火墙分哪几种类型?4.如何防范邮件病毒?5.简述非对称加密的原理?6.什么是数字证书,有什么作用?美致咐他砸戮苛炸缺姐猜膏嚼士镭蒲珍军秤汗潮蛇是颤敖龟粒楷唇绑嗣爬十一章节网络安全十一章节网络安全23计算机网络技术及应用
