级网络教程网络安全技术课件

《级网络教程网络安全技术课件》由会员分享，可在线阅读，更多相关《级网络教程网络安全技术课件（159页珍藏版）》请在金锄头文库上搜索。

1、第六章第6章网络安全技术1级网络教程网络安全技术6.1网络管理2级网络教程网络安全技术6.1.1 6.1.1 网络管理概述网络管理概述n1 1网络管理的定义网络管理的定义n为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络实施的一系列方法和措施。n任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施，工作参数和工作状态，以实现对网络的管理。n2 2网络管理的目标网络管理的目标n 减少停机时间，改进响应时间，提高设备利用率；n 减少运行费用，提高效率；n 减少或消除网络瓶颈；n 使网络更容易使用；n 安全。3级网络教程

2、网络安全技术6.1.1 6.1.1 网络管理概述网络管理概述n2 2网络管理员的职责网络管理员的职责n网络管理过程n包括数据收集、数据处理、数据分析和报告生成，这一过程可以是自动的，也可以是管理员的手工劳动。n网络管理员职责n担负着网络的规划、建设、维护、扩展、优化和故障检修等任务4级网络教程网络安全技术3 3网络管理模型网络管理模型n网络管理者：运行在计算机操作系统之上的一组应用程序，网络管理者：运行在计算机操作系统之上的一组应用程序，负责从各代理处收集管理信息，进行处理，获取有价值的负责从各代理处收集管理信息，进行处理，获取有价值的管理信息，达到管理的目的。管理信息，达到管理的目的。n代理

3、：位于被管理的设备内部，是被管对象上的管理程序。代理：位于被管理的设备内部，是被管对象上的管理程序。n管理者和代理之间的信息交换方式：管理者和代理之间的信息交换方式：n从管理者到代理的管理操作n从代理到管理者的事件通知5级网络教程网络安全技术6.1.2 网络管理功能n包括5大功能域：n配置管理n故障管理n性能管理n计费管理n安全管理 6级网络教程网络安全技术1 1配置管理配置管理n掌握和控制网络的配置信息，从而保证网掌握和控制网络的配置信息，从而保证网络管理员可以跟踪、管理网络中各种设备络管理员可以跟踪、管理网络中各种设备的运行状态的运行状态n配置管理的内容一般分为：配置管理的内容一般分为：n

4、对设备的管理n对设备连接关系的管理7级网络教程网络安全技术2 2故障管理故障管理n对网络中的问题或故障进行定位的过程对网络中的问题或故障进行定位的过程n目标：自动监测网络硬件和软件中的故障并通知用户，以目标：自动监测网络硬件和软件中的故障并通知用户，以便网络有效地运行便网络有效地运行n故障报告的形式：故障报告的形式：n通常采用的故障报告形式有文字、图形和声音信号等。n在图形报告中，一般采用下面的颜色方案：n绿色表示设备无错误运行；n黄色表示设备可能存在一个错误；n红色表示设备处于错误状态；n蓝色表示设备运行，但处于错误状态；n橙色表示设备配置不当；n灰色表示设备无信息；n紫色表示设备正在被查询

5、。8级网络教程网络安全技术2 2故障管理故障管理( (续续) )n故障管理的步骤：故障管理的步骤：n包括：发现故障，判断故障症状，隔离故障，修复故障，记录故障的检修过程及其结果。n故障管理的作用：故障管理的作用：n通过提供网络管理者快速地检查问题并启动恢复过程的工具，使网络的可靠性得到增强n故障管理功能：故障管理功能：n包括：接收差错报告并做出反映，建立和维护差错日志并进行分析；对差错地诊断测试；对故障进行过滤，同时对故障通知进行优先级判断；追踪故障，确定纠正故障的方法措施。9级网络教程网络安全技术3 3性能管理性能管理n网络性能：主要包括网络吞吐量、响应时间、线网络性能：主要包括网络吞吐量、

6、响应时间、线路利用率、网络可用性等参数。路利用率、网络可用性等参数。n性能管理目标：通过监控网络的运行状态调整网性能管理目标：通过监控网络的运行状态调整网络性能参数来改善网络的性能，确保网络平稳运络性能参数来改善网络的性能，确保网络平稳运行。行。n从概念上讲，性能管理包括监视和调整两大功能，从概念上讲，性能管理包括监视和调整两大功能，具体包括：具体包括：n性能参数的收集和存储n性能参数的显示和分析n性能阈值的管理n性能调整10级网络教程网络安全技术快门快门(shutter)(shutter)免费网络电话免费网络电话 - -立即注册！立即注册！ 亲爱的老师、同学：亲爱的老师、同学：您们好！你开通

7、免费网络电话了吗？您们好！你开通免费网络电话了吗？“中国教育中国教育和科研计算机网和科研计算机网”极力推荐你使用极力推荐你使用 “ “快门快门”(shutter)”(shutter)软软件。现在注册就送件。现在注册就送1515分钟免费电话（本地、国内、国际长分钟免费电话（本地、国内、国际长途都行），而且每次打电话前途都行），而且每次打电话前3 3分钟免费！在线积分可换分钟免费！在线积分可换话费！每天可免费打话费！每天可免费打7575分钟分钟!（手机、固话和小灵通皆（手机、固话和小灵通皆可）可） 免费注册帐号：免费注册帐号：立即注册立即注册 免费软件下载：免费软件下载：地址地址1 1地址地址2

8、2 ( (说明：放映幻灯片后即可连接说明：放映幻灯片后即可连接) ) - -中国教育和科研计算机网中国教育和科研计算机网 2008-1-8 2008-1-811级网络教程网络安全技术4 4计费管理计费管理n主要目的：主要目的：n记录网络资源的使用，控制和监测网络操作的费用和代价。n主要作用：主要作用：n能够测量和报告基于个人或团体用户的计费信息，分配资源并计算传输数据的费用，然后给用户开出账单n主要功能主要功能n建立和维护计费数据库；n建立和管理相应的计费策略；n限量控制；n信息查询12级网络教程网络安全技术5 5安全管理安全管理n目标：目标：n提供信息的隐隐蔽、认证和完整性保护机制，使网络中

9、的服务、数据以及系统免受侵扰和破坏。n主要内容：主要内容：n对网络资源以及重要信息的访问进行约束和控制n主要功能：主要功能：n标识重要的网络资源；n确定重要的网络资源和用户集之间的映射关系；n监视对重要网络资源的访问；n记录对重要网络资源的非法访问；n信息加密管理。13级网络教程网络安全技术6.1.3 6.1.3 网络管理协议网络管理协议nSNMPSNMPn简单网络管理协议，应用最广泛nCMISCMISCMIPCMIPn公共管理信息服务/公共管理信息协议nOSI提供的网络管理协议簇 nLMMPLMMPnIEEE制定的局域网和城域网管理标准，用于管理物理层和数据链路层的OSI设备，它的基础是CM

10、IP。 nRMONRMONn主要用于网络监视的，它是对SNMP的补充，它定义了监视局域网通信的信息库，与SNMP协议配合可以提供更有效的管理性能。14级网络教程网络安全技术1 1简单网管协议（简单网管协议（SNMPSNMP）n（1 1）SNMPSNMP版本版本nSNMP v1是事实上的网络管理工业标准，但在安全性和数据组织上存在一些缺陷。nSNMP v2是SNMP v1的增强版，在系统管理接口、协作操作、信息格式、管理体系结构和安全性几个方面有较大的改善。nSNMP v3在SNMP v2基础之上增加、完善了安全和管理机制。15级网络教程网络安全技术1 1简单网管协议（简单网管协议（SNMPSN

11、MP）n（2 2）SNMPSNMP管理模型管理模型16级网络教程网络安全技术1 1简单网管协议（简单网管协议（SNMPSNMP）n（2 2）SNMPSNMP管理模型管理模型n网络管理站：负责管理代理和管理信息库，它以数据报表的形式发出和传送命令，从而达到控制代理的目的。n代理：收集被管理设备的各种信息并响应网络中SNMP服务器的要求，把它们传输到中心的SNMP服务器的MIB数据库中。n管理信息库MIB：负责存储设备的信息，是SNMP分布式数据库的分支数据库。nSNMP协议：用于网络管理站与被管设备的网络管理代理之间交互管理信息。n两种信息交换机制：n轮询监控nTrap（陷阱）17级网络教程网络

12、安全技术2 2 CMIS/CMIP CMIS/CMIPnCMIS/CMIPCMIS/CMIP公共管理信息服务公共管理信息服务/ /公共管公共管理信息协议，是理信息协议，是OSIOSI提供的网络管理协议簇提供的网络管理协议簇nCIMSCIMS定义了每个网络组成部分提供的网络定义了每个网络组成部分提供的网络管理服务管理服务nCMIPCMIP是实现是实现CIMSCIMS服务的协议服务的协议nCMIS/CMIPCMIS/CMIP采用管理者采用管理者- -代理模型代理模型n在电信管理网（在电信管理网（TMNTMN）中，管理者和代理之）中，管理者和代理之间的所有的管理信息交换都是利用间的所有的管理信息交换

13、都是利用CMISCMIS和和CMIPCMIP实现的实现的18级网络教程网络安全技术6.2信息安全技术概述19级网络教程网络安全技术6.2.1 6.2.1 信息安全的组成信息安全的组成n1 1物理安全物理安全n在物理媒介层次上对存储和传输的信息加以保护，它是保护计算机网络设备、设施免遭地震、水灾和火灾等环境事故以及人为操作错误或各种计算机犯罪行为而导致破坏的过程。保证网络信息系统各种设备的物理安全是整个网络信息系统安全的前提。n2 2安全控制安全控制n在操作系统和网络通信设备上对存储和传输信息的操作和进程进行控制和管理，主要是在信息处理层次上对信息进行初步的安全保护。n3 3安全服务安全服务n在

14、应用层对信息的保密性、完整性和来源真实性进行保护和认证，满足用户的安全需求，防止和抵御各种安全威胁和攻击。20级网络教程网络安全技术6.2.2 6.2.2 信息安全系统的设计原则信息安全系统的设计原则n木桶原则木桶原则n信息均衡、全面地进行安全保护，提高整个系统的“安全最低点”的安全性能。n整体原则整体原则n有一整套安全防护、监测和应急恢复机制。n有效性与实用性原则有效性与实用性原则n不能影响系统正常运行和合法用户的操作。n安全性评价原则安全性评价原则n系统是否安全取取决于系统的用户需求和具体的应用环境。n等级性原则等级性原则n安全层次和安全级别。n动态化原则动态化原则n整个系统内尽可能引入更

15、多可变因素，并具有良好的扩展性。21级网络教程网络安全技术6.2.3 6.2.3 信息技术安全性等级信息技术安全性等级n可信计算机系统评估准则（可信计算机系统评估准则（TCSECTCSEC）n由美国国防部和国家标准技术研究所制订的，又称桔皮书。n信息技术安全评估准则（信息技术安全评估准则（ITSECITSEC）n由欧洲四国于1989年联合提出的，俗称白皮书。n通用安全评估准则（通用安全评估准则（CCCC）n由美国国家标准技术研究所和国家安全局、欧洲四国（英、法、德、荷兰）以及加拿大等6国7方联合提出的，已成为国际标准ISO/IEC 15408。n美国信息安全联邦准则（美国信息安全联邦准则（FC

16、FC）n计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则n我国国家质量技术监督局也于1999年发布我国的国家标准22级网络教程网络安全技术1 1可信计算机系统评估准则可信计算机系统评估准则TCSECTCSEC23级网络教程网络安全技术6.2.3 6.2.3 信息技术安全性等级信息技术安全性等级n2 2信息技术安全评测准则（信息技术安全评测准则（ITSECITSEC）n7个评估级别n安全性从低到高的顺序是E0、E1、E2、E3、E4、E5、E6n3 3通用安全评估准则（通用安全评估准则（CCCC）n7个评估级别n从低到高分为EAL1、EAL2、EAL3、EAL4、EAL5、E

17、AL6和EAL724级网络教程网络安全技术6.3信息安全分析与安全策略25级网络教程网络安全技术6.3.1 6.3.1 信息安全的概念和模型信息安全的概念和模型n1 1网络安全的基本因素网络安全的基本因素n保密性：n确保信息不暴露给未授权的实体或进程。n完整性：n只有得到允许的人才能修改数据，并能判别出数据是否已被篡改。n可用性：n得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。n合法性：n每个想获得访问的实体都必须经过鉴别或身份验证。n2 2网络安全的组成网络安全的组成n物理安全、人员安全、符合瞬时电磁脉冲辐射标准、数据安全n操作安全、通信安全、计算机安全、工

18、业安全26级网络教程网络安全技术3 3网络安全模型网络安全模型27级网络教程网络安全技术4 4网络安全的基本任务网络安全的基本任务n（1 1）设计加密算法，进行安全性相关的转）设计加密算法，进行安全性相关的转换；换；n（2 2）生成算法使用的保密信息；）生成算法使用的保密信息；n（3 3）开发分发和共享保密信息的方法；）开发分发和共享保密信息的方法；n（4 4）指定两个主体要使用的协议，并利用）指定两个主体要使用的协议，并利用安全算法和保密信息来实现特定的安全服安全算法和保密信息来实现特定的安全服务。务。28级网络教程网络安全技术6.3.2 6.3.2 安全威胁安全威胁n安全威胁是指某个人、物

19、、事件或概念对安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合某一资源的机密性、完整性、可用性或合法性所造成的危害。法性所造成的危害。n某种攻击就是某种威胁的具体实现。某种攻击就是某种威胁的具体实现。n安全威胁可分为故意的（如黑客渗透）和安全威胁可分为故意的（如黑客渗透）和偶然的（如信息被发往错误的地址）两类。偶然的（如信息被发往错误的地址）两类。n故意威胁又可进一步分为被动和主动两类。故意威胁又可进一步分为被动和主动两类。29级网络教程网络安全技术1 1基本的威胁基本的威胁n信息泄漏或丢失信息泄漏或丢失n针对信息机密性的威胁，它指敏感数据在有意或无意中被泄漏出去或丢失

20、n包括：信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或塔线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息)；信息在存储介质中丢失或泄漏；通过建立隐蔽通道等窃取敏感信息等。n破坏数据完整性破坏数据完整性n以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。n拒绝服务拒绝服务n不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服

21、务。n非授权访问非授权访问n没有预先经过同意就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。n主要形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。30级网络教程网络安全技术1 1基本的威胁基本的威胁n信息泄漏或丢失信息泄漏或丢失n敏感数据在有意或无意中被泄漏出去或丢失n针对信息机密性的威胁n破坏数据完整性破坏数据完整性n窃取对数据的使用权，删除、修改、插入或重发某些重要信息n针对信息完整性的威胁n拒绝服务拒绝服务n执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用n针对

22、可用性的威胁n非授权访问非授权访问n没有预先经过同意就使用网络或计算机资源被看作非授权访问n主要形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等n针对信息合法性的威胁31级网络教程网络安全技术3 3渗入威胁和植入威胁渗入威胁和植入威胁n渗入威胁渗入威胁n假冒n某个未授权实体使守卫者相信它是一个合法的实体，从而攫取该合法用户的特权。n旁路控制n攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”。利用这些“特征”，攻击者绕过防线守卫者渗入系统内部。n授权侵犯n也称为“内部威胁”，授权用户将其权限用于其他未授权的目的。n植入威胁植入威胁n特洛伊木马n在

23、正常的软件中隐藏一段用于其他目的的程序，这段隐藏的程序段常常以安全攻击作为其最终目标。n陷门n在某个系统或某个文件中设置的“机关”，使得在提供特定的输人数据时，允许违反安全策略。32级网络教程网络安全技术4 4潜在威胁潜在威胁n对基本威胁或主要的可实现的威胁进行分对基本威胁或主要的可实现的威胁进行分析，可以发现某些特定的潜在威胁，而任析，可以发现某些特定的潜在威胁，而任意一种潜在威胁都可能导致发生一些更基意一种潜在威胁都可能导致发生一些更基本的威胁。本的威胁。n例如，如果考虑信息泄露这种基本威胁，例如，如果考虑信息泄露这种基本威胁，有可能找出有可能找出4 4种潜在威胁：窃听、通信量分种潜在威胁

24、：窃听、通信量分析、人员疏忽、媒体清理。析、人员疏忽、媒体清理。33级网络教程网络安全技术5 5病毒病毒n病毒的定义：病毒的定义：n计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。n反病毒技术主要分类：反病毒技术主要分类：n预防病毒技术n通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在n主要手段：加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡）等。n检测病毒技术n通过对计算机病毒的特征来进行判断的侦测技术n主要手段：如自身校验、关键字、文件长度的变化等n消除病毒技术n通过对病毒的

25、分析，杀除病毒并恢复原文件n网络反病毒技术网络反病毒技术n对网络服务器中的文件进行频繁地扫描和监测；n在工作站上使用防病毒芯片n对网络目录及文件设置访问权限34级网络教程网络安全技术6.3.3 6.3.3 安全攻击安全攻击n1 1安全攻击的手段安全攻击的手段35级网络教程网络安全技术2被动攻击和主动攻击n被动攻击被动攻击n对信息的保密性进行攻击，即通过窃听网络上传输的信息并加以分析从而获得有价值的情报，但它并不修改信息的内容n目标是获得正在传送的信息，其特点是偷听或监视信息的传递n被动攻击主要手段：n信息内容泄露：信息在通信过程中因被监视窃听而泄露，或者信息从电子或机电设备所发出的无线电磁波中

26、被提取出来而泄露。n通信量分析：通过确定通信位置和通信主机的身份，观察交换消息的频度和长度，并利用这些信息来猜测正在进行的通信特性。36级网络教程网络安全技术2 2被动攻击和主动攻击被动攻击和主动攻击n主动攻击主动攻击n攻击信息来源的真实性、信息传输的完整性和系统服务的可用性n有意对信息进行修改、插入和删除n主动攻击主要手段：n假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。n重放：涉及被动捕获数据单元及其后来的重新传送，以产生未经授权的效果。n修改消息：改变了真实消息的部分内容，或将消息延迟或重新排序，导致未授权的操作。n拒绝服务：禁止通信实体的正常使用或管理。37级

27、网络教程网络安全技术3 3服务攻击和非服务攻击服务攻击和非服务攻击n服务攻击服务攻击n针对某种特定网络服务的攻击n例如：针对E-mail服务、Telnet、等服务的专门攻击n原因：TCP/IP协议缺乏认证、保密措施。n非服务攻击非服务攻击n不针对某项具体应用服务，而是基于网络层等低层协议而进行n原因：TCP/IP协议（尤其是IPv4）自身的安全机制不足38级网络教程网络安全技术6.3.4 6.3.4 安全策略与安全管理安全策略与安全管理n1 1安全策略的组成安全策略的组成n威严的法律n先进的技术n严格的管理n2 2安全管理原则安全管理原则n多人负责原则n任期有限原则n职责分离原则n3 3安全管

28、理实现安全管理实现n根据工作的重要程度，确定该系统的安全等级n根据确定的安全等级，确定安全管理的范围n制订相应的机房出入管理制度n制订严格的操作规程n制订完备的系统维护制度n制订应急措施39级网络教程网络安全技术6.4加密技术40级网络教程网络安全技术6.4.1 6.4.1 密码学的基本概念密码学的基本概念n保密学：研究密码系统或通信安全的科学保密学：研究密码系统或通信安全的科学n两个分支：两个分支：n密码学：对信息进行编码实现隐蔽信息的一门学问。n密码分析学：研究分析破译密码的学问41级网络教程网络安全技术6.4.1 6.4.1 密码学的基本概念密码学的基本概念42级网络教程网络安全技术密码

29、系统的分类密码系统的分类 n按将明文转化为密文的操作类型分为：按将明文转化为密文的操作类型分为：n置换密码n易位密码n按明文的处理方法可分为：按明文的处理方法可分为：n分组密码（块密码）n序列密码（流密码） n按密钥的使用个数分为：按密钥的使用个数分为：n对称密码体制n非对称密码体制。43级网络教程网络安全技术1 1置换密码和易位密码置换密码和易位密码n置换密码置换密码n将将明文的每个元素（如比特、字母、比特和字母的组合等）置换成其它元素n恺撒密码 n原始消息（明文）中的每一个字母都用该字母后的第n个字母来替换，其中n就是密钥。n例如使加密字母向右移4个字母，即，a换成E、b换成F、c换成G、

30、z换成D。这样，如果对明文attack进行加密，密钥为4，则加密后形成的密文就是EXXEGO。 n单字母表替换 n44级网络教程网络安全技术1 1置换密码和易位密码置换密码和易位密码n易位密码易位密码n易位是将明文的元素进行重新布置。 45级网络教程网络安全技术2 2分组密码和序列密码分组密码和序列密码n分组密码分组密码n将明文划分成固定的n比特的数据块，然后以块为单位，在密钥的控制下进行一系列的线性或非线性的变化而得到密文，每个明文输入块生成一个密文输出块n优点：明文信息良好的扩散性；对插入的敏感性；不需要密钥同步；较强的适用性，适合作为加密标准n缺点：加密速度慢；错误扩散和传播。n主要算法

31、：DES（数据加密标准）和IDEA（国际数据加密算法）n序列密码序列密码n每次处理明文的1比特，然后立刻输出相应的密文比特。n优点：处理速度快，实时性好；错误传播小；不易被破译；适用于军事、外交等保密信道。n缺点：明文扩散性差；插入信息的敏感性差；需要密钥同步。46级网络教程网络安全技术3 3对称加密和非对称加密对称加密和非对称加密n对称加密对称加密n发送方使用的加密密钥和接受方使用的解密密钥相同，或从其中一个密钥易于得出另一个密钥n其特点：计算量小、加密效率高n缺点：在分布式系统上使用较为困难，主要是密钥管理困难n常用算法：DES、IDEA、TDEA、RC2、RC4、RC5等算法n非对称加密

32、非对称加密n发送方使用的加密密钥和接受方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥n特点：有两个密钥（即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密的全过程n“数字签名”：用于防止通信一方的抵赖行为n主要算法：RSA、DSA、Diffie-Hellman、ECC等n不可逆加密算法不可逆加密算法n又称为单向散列算法n加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据n常用的单向散列算法主要有：MD5、SHA等47级网络教程网络安全技术4 4网络中的加密技术网络中的加密技术n链路加密链路加密n每条通信链路上的加

33、密是独立实现n节点到节点加密节点到节点加密n解决在节点中数据是明文的缺点n在中间节点里装有加、解密的保护装置，由这个装置来完成一个密钥向另一个密钥的变换48级网络教程网络安全技术4 4网络中的加密技术网络中的加密技术( (续续) )n端到端加密端到端加密n端到端加密是在源结点和目的结点中对传送的PDU（协议数据单元）进行加密和解密n报文的安全性不会因中间结点的不可靠而受到影响nPDU的控制信息部分（如源结点地址、目的结点地址、路由信息等）不能被加密，否则中间结点就不能正确选择路由 49级网络教程网络安全技术（1 1）密码分析攻击类型）密码分析攻击类型n基于一个基本假设：秘密必须全寓于密钥中基于

34、一个基本假设：秘密必须全寓于密钥中 n上述四种攻击类型的强度按序递增上述四种攻击类型的强度按序递增50级网络教程网络安全技术（2 2）加密算法的安全性）加密算法的安全性n若一个加密算法能满足以下两个条件之一就认为若一个加密算法能满足以下两个条件之一就认为该算法是在计算上是安全的：该算法是在计算上是安全的：n一是破译的代价超出加密信息本身的价值n二是破译的时间超出了信息的有效期n蛮力攻击蛮力攻击n尝试任何可能的密钥，直到能够将密文正确解释为明文为止n一般情况下，要试一半的可能密钥才能成功n例如，某计算机的处理解密速度为1密钥/微秒，要破译用56比特密钥生成的密文，则需要的时间为 256/1（微秒

35、）=7.21016/ (365243600106)r（年） 2.3103（年）51级网络教程网络安全技术6.4.2 6.4.2 对称加密技术对称加密技术n1 1对称加密的模型对称加密的模型 52级网络教程网络安全技术6.4.2 6.4.2 对称加密技术对称加密技术n2 2对称加密的要求对称加密的要求n需要强大的加密算法n算法至少应该满足：即使对手知道了算法并能访问一些或更多的密文，也不能译出全部密文或得出密钥。n发送方和接收方必须用安全的方式来获得保密密钥的副本，必须保证密钥的安全。n算法不必是秘密的，而只需要对密钥进行保密即可。n对称密钥密码体制的安全性取决于密钥的安全性，而不是算法的安全性

36、，即破密者知道密文和加密/解密算法，解密也是不可能的。53级网络教程网络安全技术3 3常用的对称加密算法常用的对称加密算法 nDESDESnDES数据加密标准nDES是一种分组密码n在加密前，先对整个明文进行分组。每一个组长为64位。然后对每个64位二进制数据进行加密处理，产生一组64位密文数据n使用的密钥为64位，实际密钥长度为56位，有8位用于奇偶校验。54级网络教程网络安全技术3 3常用的对称加密算法常用的对称加密算法( (续续) ) nTDEATDEAnTDEA（三重DEA，或称为3DES）使用两个密钥，执行三次DES算法n在三重DES，加密时是E-D-E，解密时是D-E-D，其密钥长

37、度是112位n加密时用E-D-E，而不使用E-E-E的目的是与现有DES系统的向后兼容，当K1=K2时，三重DES的效果与现在DES的效果完全一样。55级网络教程网络安全技术3 3常用的对称加密算法常用的对称加密算法( (续续) ) nRC5RC5nRC5的分组长度和密钥长度都是可变的n可以在速度和安全性之间进行折中nIDEAIDEAnIDEA国际数据加密算法nIDEA使用128位密钥n采用3种运算：异或、模加、模乘，容易用软件和硬件实现n与DES相似，IDEA也是先将明文划分成多个64bit长的数据分组，然后经过8次迭代和一次变换，得出64bit密文。56级网络教程网络安全技术快门快门(sh

38、utter)(shutter)免费网络电话免费网络电话 - -立即注册！立即注册！ 亲爱的老师、同学：亲爱的老师、同学：您们好！你开通免费网络电话了吗？您们好！你开通免费网络电话了吗？“中国教育中国教育和科研计算机网和科研计算机网”极力推荐你使用极力推荐你使用 “ “快门快门”(shutter)”(shutter)软软件。现在注册就送件。现在注册就送1515分钟免费电话（本地、国内、国际长分钟免费电话（本地、国内、国际长途都行），而且每次打电话前途都行），而且每次打电话前3 3分钟免费！在线积分可换分钟免费！在线积分可换话费！每天可免费打话费！每天可免费打7575分钟分钟!（手机、固话和小灵通

39、皆（手机、固话和小灵通皆可）可） 免费注册帐号：免费注册帐号：立即注册立即注册 免费软件下载：免费软件下载：地址地址1 1地址地址2 2 ( (说明：放映幻灯片后即可连接说明：放映幻灯片后即可连接) ) - -中国教育和科研计算机网中国教育和科研计算机网 2008-1-8 2008-1-857级网络教程网络安全技术6.4.3 6.4.3 公钥加密技术公钥加密技术n1 1公钥密码体制的模型公钥密码体制的模型n有两种模型：加密模型、认证模型58级网络教程网络安全技术6.4.3 6.4.3 公钥加密技术公钥加密技术n几点错误观点：几点错误观点：n公钥加密比常规加密更具有安全性n公钥加密是一种通用机制

40、，常规加密已经过时59级网络教程网络安全技术2 2常用的公钥体制常用的公钥体制n公钥安全基础：数学中的难解问题公钥安全基础：数学中的难解问题n两大类：两大类：n基于大整数因子分解问题，如RSA体制；n基于离散对数问题，如Elgamal体制、椭圆曲线密码体制等。nRSARSAn基本原原理：寻找大素数是相对容易的，而分解两个大素数的积在计算上是不可行的nRSA算法的安全性建立在难以对大数提取因子的基础上。n与DES相比，缺点是加密、解密的速度太慢nRSA体制很少用于数据加密，而多用在数字签名、密钥管理和认证等方面60级网络教程网络安全技术2常用的公钥体制( (续续) )nElgamalElgama

41、l公钥体制公钥体制n基于离散对数的公钥密码体制n密文不仅信赖于待加密的明文，而且信赖于用户选择的随机参数，即使加密相同的明文，得到的密文也是不同的。n加密算法的非确定性n背包公钥体制背包公钥体制n基本原理：背包问题61级网络教程网络安全技术6.4.4 密钥管理n主要涉及到两方面的问题：主要涉及到两方面的问题：n密钥的生存周期n授权使用该密钥的周期n密钥分发技术n将密钥发送到数据交换的两方，而其他人无法看到的方法n实现方法nKDC（密钥分发中心）技术：保密密钥的分发nCA（证书权威机构）技术：公钥和保密密钥的分发62级网络教程网络安全技术1 1密钥的生存周期密钥的生存周期n密钥要有生存周期的原因

42、：密钥要有生存周期的原因：n一个密钥使用得太多，会给攻击者增大收集密文的机会，拥有大量的密文有助于密码分析，易于破解密文；n假定一个密钥受到危及或一个特定密钥的加密/解密过程被分析，则限定密钥的使用期限就相当于限制危险的发生。n密钥的生存周期密钥的生存周期n密钥的产生；密钥分发；启用密钥/停用密钥；替换密钥或更新密钥；撤销密钥；销毁密钥。63级网络教程网络安全技术2 2保密密钥的分发保密密钥的分发64级网络教程网络安全技术3 3公钥的分发公钥的分发n主要手段：数字证书，在数字证书中包含用户的主要手段：数字证书，在数字证书中包含用户的公钥公钥n证书权威机构（证书权威机构（CACA）：）：n数字证

43、书由证书权威机构（CA）n通常是政府部门或金融机构，它保证证书的有效性，并负责证书注册、分发，并当证书包含的信息变得无效之后撤消（收回）证书。n数字证书数字证书nX.509公钥证书n简单PKI证书nPGP证书n属性证书65级网络教程网络安全技术X.509X.509版本的证书结构版本的证书结构66级网络教程网络安全技术6.5认证技术67级网络教程网络安全技术6.5.1 6.5.1 认证技术概述认证技术概述n认证技术主要解决网络通信过程中通信双方的身份认可，认证技术主要解决网络通信过程中通信双方的身份认可，它对于开放环境中的各种信息系统的安全有重要作用。它对于开放环境中的各种信息系统的安全有重要作

44、用。n认证过程通常涉及到加密和密钥交换。认证过程通常涉及到加密和密钥交换。n认证、授权和访问控制都与网络上的实体有关：认证、授权和访问控制都与网络上的实体有关：n认证：验证一个最终用户或设备（例如客户机、服务器、交换机、路由器、防火墙等）的身份的过程，即建立信息发送者和/或接收者的身份。 n授权：把访问权限授予某一个用户、用户组或指定系统的过程。授权是在用户标识出自己的身份之后，系统确认并允许用户做哪些事情。n访问控制：限制系统资源中的信息只能流到网络中的授权个人或系统。n认证技术主要有：认证技术主要有：n消息认证、身份认证、数字签名68级网络教程网络安全技术6.5.2 6.5.2 消息认证消

45、息认证n1 1消息认证的目的消息认证的目的n消息认证：对付主动攻击中的篡改和伪造，使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪n消息认证方法：报文摘要n2 2消息认证的工作原理消息认证的工作原理n消息认证的基础是安全单向的散列函数，以变长的信息输入，把其压缩成一个定长的值输出。若输入的信息改变了，则输出的定长值（摘要）也会相应改变。n从数据完整性保护的角度来看，报文摘要可为制定的数据产生一个不可仿造的特征，伪造一个报文并使其具有相同的报文摘要是计算不可行的。69级网络教程网络安全技术2 2消息认证的工作原理消息认证的工作原理70级网络教程网络安全技术3 3常

46、用的摘要算法常用的摘要算法nMD5MD5n对任意长度的报文进行运算，最后得到128位的MD报文摘要代码nMD5的算法大致的过程如下：n先将任意长的报文按模264计算其余数(64 位)，追加在报文的后面。这就是说，最后得出的MD代码已包含了报文长度的信息；n在报文和余数之间填充1512 位，使得填充后的总长度是512的整数倍。填充比特的首位是1，后面都是0；n将追加和填充后的报文分割为一个个512 位的数据块，512 位的报文数据分成4个128 位的数据块依次送到不同的散列函数进行4轮计算。每一轮又都按32 位的小数据块进行复杂的运算；n最后计算出128 位 MD5报文摘要代码nRadius(拨

47、号认证协议)、OSPF(路由协议)、SNMP的安全协议等都是使用共同密钥加上MD5进行认证的nSHASHAn与MD5相似，用512位长的数据块经过复杂运算，产生的散列值是160位nSHA比MD5更安全，但计算速度要比MD5慢71级网络教程网络安全技术6.5.3 6.5.3 身份认证身份认证n身份认证是指可靠地验证某个通信参与方的身份身份认证是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程。是否与他所声称的身份一致的过程。n网络安全的一切东西都是建立在身份认证的基础网络安全的一切东西都是建立在身份认证的基础之上，在确定用户的身份之前，网络不会把访问之上，在确定用户的身份之前，网络

48、不会把访问权限授权给用户权限授权给用户n身份认证大致可分为身份认证大致可分为3 3种：种：n一是个人知道的某种事物，如口令、账号、个人识别码等；n二是个人持证（也称令牌），如图章、标志、钥匙、护照等；n三是个人特征，如指纹、声纹、手形、视网膜、血型、基因、笔迹、习惯性签字等。72级网络教程网络安全技术1 1口令机制口令机制n过程不加密，即口令容易被监听和解密。过程不加密，即口令容易被监听和解密。n口令是由数字、字母组成的长为口令是由数字、字母组成的长为5 58 8的字符串的字符串n口令系统最严重的脆弱点是外部泄露和口令猜测，口令系统最严重的脆弱点是外部泄露和口令猜测，另外还有线路窃听、威胁验证

49、者和重放等。另外还有线路窃听、威胁验证者和重放等。n保护口令措施：保护口令措施：n对用户和系统管理者进行教育，增强他们的安全意识；n建立严格的组织管理办法和执行手续；n确保口令必须被定期地改变；n保证每个口令只与一个人有关；n确保口令从来不被再现在终端上；n使用易记的口令。73级网络教程网络安全技术1 1口令机制口令机制n被猜测措施：被猜测措施：n限制非法认证的次数；n实时延迟插入到口令验证过程n阻止一个计算机自动口令猜测程序的生产串n防止太短的口令以及与用户名账户名或用户特征相关的口令n确保口令被定期地改变；n取消安装系统时所用的预设口令；n使用机器产生的而不是用户选择的口令。74级网络教程

50、网络安全技术6.5.3 6.5.3 身份认证身份认证n2 2个人持证个人持证n持证为个人持有物，如磁卡、智能卡等n磁卡常和个人标识号PIN一起使用n智能卡将微处理器芯片嵌在宿卡上来代替无源存储磁条，存储信息远远大于磁条的250字节，且具有处理功能，卡上的处理器有4K字节的小容量EPROMn3 3个人特征个人特征n主要技术有：指纹识别、声音识别、笔迹识别、虹膜识别和手形等。75级网络教程网络安全技术6.5.4 6.5.4 数字签名数字签名n1 1数字签名概述数字签名概述n用于确认发送者身份和消息完整性的一个加密的消息摘要，它应该满足以下4点要求：n收方能够确认发方的签名，但不能伪造；n发方发出签

51、名的消息后，就不能再否认他所签发的消息；n收方对已收到的签名消息不能否认，即有收报认证；n第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。n数字签名方法：n对称密码体系（如DES）n公钥密码体系n公证体系76级网络教程网络安全技术6.5.4 6.5.4 数字签名数字签名n1 1数字签名概述数字签名概述n最常用的实现方法：建立在公钥密码体系和单向散列函数算法（如MD5、SHA）的组合基础上n数字签名与消息认证的区别：n消息认证使收方能验证消息发送者及其所发的消息是否被篡改过。当收发双方之间有利害冲突时，单纯用消息认证就无法解决他们之间的纠纷，此时，必须借助于数字签名技术。n数字签名与数

52、据加密的区别：n数字签名使用的是公钥密码体制中的认证模型，发送者使用自己的私钥加密消息，接收者使用发送者的公钥解密消息。n数据加密使用的是公钥密码体制中的加密模型，发送者使用接收者的公钥加密消息接收者使用自己的私钥解密消息。77级网络教程网络安全技术2 2基于公钥密码体系的数字签名基于公钥密码体系的数字签名n数字签名的创建数字签名的创建n利用公钥密码体制，数字签名是一个加密的消息摘要，附加在消息后面。n过程如下：首先是生成被签名的电子文件，然后对电子文件用哈希算法做数字摘要，再对数字摘要用签名私钥做非对称加密，即作数字签名；之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装，形

53、成签名结果发送给收方，待收方验证。n数字签名的验证数字签名的验证n接收方首先用发方公钥解密数字签名，导出数字摘要，并对电子文件原文作同样哈希算法得一个新的数字摘要，将两个摘要的哈希值进行结果比较，相同签名得到验证，否则无效。78级网络教程网络安全技术6.6安全技术应用79级网络教程网络安全技术6.6.1 6.6.1 身份认证协议身份认证协议n身份认证是用来获得对谁或对什么事情信身份认证是用来获得对谁或对什么事情信任的一种方法。任的一种方法。n身份认证的方法分为两种：身份认证的方法分为两种：n本地控制n可信任的第三方提供确认n常用的认证机制：常用的认证机制：nS/Key口令协议、令牌口令认证、P

54、PP、TACACS+、RADIUS、Kerberos、DCE和X.50980级网络教程网络安全技术6.6.1 6.6.1 身份认证协议身份认证协议( (续续) )n1 1S/KeyS/Key口令协议口令协议n基于MD4和MD5的一次性口令生成方案n用于对付重放攻击n2 2PPPPPP认证协议认证协议n用于建立电话线或ISDN拨号连接的协议n三种标准认证机制：n口令认证协议（PAP）n易于实现，但口令是以明文传送的，没有重放保护n挑战握手协议（CHAP）n口令加密，有重放保护n可扩展认证协议n支持更强健的认证，比较灵活，但使用不广泛81级网络教程网络安全技术6.6.1 6.6.1 身份认证协议身

55、份认证协议( (续续) )n3 3KerberosKerberos协议协议n为分布式计算环境提供了一种对用户双方进行验证的认证方法n一种对称密码网络认证协议，建立在对称加密（DES）的基础上n采用可信任的第3方密钥分配中心（KDC）保存与所有密钥持有者通信的主密钥n主要目标：身份认证、计费和审计。82级网络教程网络安全技术6.6.2 电子邮件的安全n1PGPn完完整整的的电电子子邮邮件件安安全全软软件件包包，包包括括加加密密、鉴鉴别别、电电子子签签名名和和压压缩缩等技术，也可用于文件存储等技术，也可用于文件存储nPGP没没有有使使用用什什么么新新的的概概念念，只只是是将将现现有有的的一一些些算

56、算法法如如MD5、RSA以及以及IDEA等综合在一起等综合在一起83级网络教程网络安全技术6.6.2 6.6.2 电子邮件的安全电子邮件的安全( (续续) )n2 2S/MIMES/MIMEnMIME：多用途Internet邮件扩展协议，允许以标准化的格式在电子邮件消息中包含文本、音频、图形、视频和类似的信息。nS/MIME在MIME的基础上添加了安全性元素。84级网络教程网络安全技术6.6.3 Web6.6.3 Web安全安全n1 1WebWeb服务器的安全服务器的安全nWeb服务器的安全问题n服务器向公众提供了不应该提供的服务n服务器把本应私有的数据放到了可公开访问的区域n服务器信赖了来自

57、不可信赖数据源的数据nWeb站点的访问控制的级别：nIP地址限制n用户验证nWeb权限nNTFS权限85级网络教程网络安全技术2 2浏览器的安全浏览器的安全n如何保护自己的计算机如何保护自己的计算机nAetiveX控件、Java小程序被恶意使用，会给用户的计算机带来危害n将因特网世界划分成几个区域：如Internet区域、本地Intranet区域、可信站点区域、受限站点区域等n如何验证站点的真实性如何验证站点的真实性n借助于CA安全认证中心发放的证书来实现n如何避免他人假冒自己的身份在因特网中活动如何避免他人假冒自己的身份在因特网中活动nCA安全认证中心申请自己的证书表明自己身份n在与在与We

58、bWeb站点交互敏感信息时如何避免第三方偷看站点交互敏感信息时如何避免第三方偷看或篡改等或篡改等n对敏感信息进行保护，避免第三方偷看或篡改86级网络教程网络安全技术3 3WebWeb的通信安全的通信安全n超文本传输协议超文本传输协议HTTPHTTP，不能提供数据的保，不能提供数据的保密性、完整性以及认证服务密性、完整性以及认证服务nWebWeb服务器与浏览器通信安全的方案主要有：服务器与浏览器通信安全的方案主要有：nSSL（安全套接层协议）nIPSec（IP安全）87级网络教程网络安全技术SSLSSLnSSLSecure Sockets LayerSSLSecure Sockets Layer

59、，安全套接层协议，安全套接层协议n用于保护传输层安全的开放协议，在应用层协议和低层的用于保护传输层安全的开放协议，在应用层协议和低层的TCPTCPIPIP之间提供数据安全之间提供数据安全n为为TCPTCPIPIP连接提供数据加密、服务器认证、消息完整性连接提供数据加密、服务器认证、消息完整性和可选的客户机认证和可选的客户机认证n工作过程：工作过程：n浏览器请求与服务器建立安全会话；nWeb服务器将自己的证书和公钥发给浏览器；nWeb服务器与浏览器协商密钥位数(40位或128位；n浏览器产生会话密钥，并用Web服务器的公钥加密传给Web服务器；nWeb服务器用自己的私钥解密；nWeb服务器和浏览

60、器用会话密钥加密和解密，实现加密传输。88级网络教程网络安全技术SSLSSL的工作过程的工作过程89级网络教程网络安全技术IPSecIPSecnIPSecIP SecurityIPSecIP Security，IPIP安全安全n一套用于网络层安全的协议一套用于网络层安全的协议n在在IPIP层上提供访问控制、无连接完整性、数据源层上提供访问控制、无连接完整性、数据源认证、拒绝重放包、加密和流量保密服务认证、拒绝重放包、加密和流量保密服务nIPSecIPSec想专门用于想专门用于IPv6IPv6，但也可以用于，但也可以用于IPv4IPv490级网络教程网络安全技术6.7防火墙技术91级网络教程网络

61、安全技术6.7.1 6.7.1 防火墙的基本概念防火墙的基本概念n1 1防火墙的定义防火墙的定义n防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策，控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。n在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。92

62、级网络教程网络安全技术2 2防火墙的分类防火墙的分类n包过滤防火墙包过滤防火墙n在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表（ACLs）n通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过n通常安装在路由器上n应用网关应用网关n也称代理服务器n在应用层上建立协议过滤和转发功能n针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告n通常安装在专用工作站系统上93级网络教程网络安全技术6.7.1 6.7.1 防火墙的基本概念防火墙的基本概念n3 3

63、防火墙的设计目标防火墙的设计目标n进出内部网的通信量必须通过防火墙。n只有那些在内部网安全策略中定义了的合法的通信才能够进出防火墙。n防火墙自身应该能够防止渗透。n4 4防火墙的不足防火墙的不足n防火墙不能对付来自内部的攻击。n防火墙对网络病毒的攻击通常无能为力。n防火墙无法阻止绕过防火墙的攻击。n5 5防火墙的功能防火墙的功能n防火墙定义了惟一的一个瓶颈，以禁止脆弱的服务进入或离开网络；n通过防火墙可以监视与安全有关的事件；n防火墙可以为几种与安全无关的Internet服务提供方便的平台，例如地址转换（NAT）、网络管理功能部；n防火墙可以作为诸如IPSec的平台。94级网络教程网络安全技术

64、6.7.2 6.7.2 防火墙的设计策略防火墙的设计策略n1 1防火墙的设计策略防火墙的设计策略n两种基本的设计策略：n允许任何服务除非被明确禁止n禁止任何服务除非被明确允许n按照其特征，防火墙的设计策略n网络策略n服务访问策略95级网络教程网络安全技术2 2防火墙的技术防火墙的技术n服务控制服务控制n确定在围墙外面和里面可以访问的因特网服务类型n方向控制。方向控制。n确定数据包的流向n用户控制用户控制n根据请求访问的用户来确定是否提供该服务n行为控制行为控制n控制如何使用某种特定的服务96级网络教程网络安全技术3 3防火墙的部署防火墙的部署n在局域网内的在局域网内的VLANVLAN之间控制信

65、息流向时加入防火墙。之间控制信息流向时加入防火墙。nIntranetIntranet与与InternetInternet之间连接时加入防火墙。之间连接时加入防火墙。n在广域网系统中，总部局域网与分支机构一般通过公共网（如在广域网系统中，总部局域网与分支机构一般通过公共网（如DDNDDN、Frame RelayFrame Relay）连接，需要采用防火墙隔离，并利用某些软件提供的）连接，需要采用防火墙隔离，并利用某些软件提供的功能构成虚拟专网功能构成虚拟专网VPNVPN。n如果总部的局域网和分支机构的局域网是通过如果总部的局域网和分支机构的局域网是通过InternetInternet连接的，需要

66、连接的，需要各自安装防火墙，并组成虚拟专网。各自安装防火墙，并组成虚拟专网。n在远程用户拨号访问时，需要加入防火墙。在远程用户拨号访问时，需要加入防火墙。n利用一些防火墙软件提供的负载平衡功能，利用一些防火墙软件提供的负载平衡功能，ISPISP可在公共访问服务器可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志记录等功能。制、日志记录等功能。n两网对接时可利用硬件防火墙作为网关设备实现地址转换（两网对接时可利用硬件防火墙作为网关设备实现地址转换（NATNAT）、）、地址映射（地址映射（MAPMAP）

67、、网络隔离（）、网络隔离（DMZDMZ，De-Militarized ZoneDe-Militarized Zone，非军事，非军事区）、存取安全控制，消除传统软件防火墙的瓶颈问题。区）、存取安全控制，消除传统软件防火墙的瓶颈问题。97级网络教程网络安全技术典型考题分析98级网络教程网络安全技术n【例【例6-16-1】网络管理的目标是最大限度地增】网络管理的目标是最大限度地增加网络的可用时间，提高网络设备的利用加网络的可用时间，提高网络设备的利用率，改善网络性能、服务质量和率，改善网络性能、服务质量和_。（20042004年年9 9月）月）n答案：安全性答案：安全性99级网络教程网络安全技术快

68、门快门(shutter)(shutter)免费网络电话免费网络电话 - -立即注册！立即注册！ 亲爱的老师、同学：亲爱的老师、同学：您们好！你开通免费网络电话了吗？您们好！你开通免费网络电话了吗？“中国教育中国教育和科研计算机网和科研计算机网”极力推荐你使用极力推荐你使用 “ “快门快门”(shutter)”(shutter)软软件。现在注册就送件。现在注册就送1515分钟免费电话（本地、国内、国际长分钟免费电话（本地、国内、国际长途都行），而且每次打电话前途都行），而且每次打电话前3 3分钟免费！在线积分可换分钟免费！在线积分可换话费！每天可免费打话费！每天可免费打7575分钟分钟!（手机、

69、固话和小灵通皆（手机、固话和小灵通皆可）可） 免费注册帐号：免费注册帐号：立即注册立即注册 免费软件下载：免费软件下载：地址地址1 1地址地址2 2 ( (说明：放映幻灯片后即可连接说明：放映幻灯片后即可连接) ) - -中国教育和科研计算机网中国教育和科研计算机网 2008-1-8 2008-1-8100级网络教程网络安全技术n【例【例6-26-2】有关网络管理员的职责，下列哪】有关网络管理员的职责，下列哪种说法是不正确的？种说法是不正确的？ _ _。（。（20032003年年4 4月）月）A）网络管理员应该对网络的总体布局进行规划B）网络管理员应该对网络故障进行检修C）网络管理员应该对网络

70、设备进行优化配置D）网络管理员应该负责为用户编写网络应用程序n答案：答案：D D101级网络教程网络安全技术n【例【例6-36-3】在因特网中，一般采用的网络管】在因特网中，一般采用的网络管理模型是理模型是_。（。（20062006年年4 4月）月）A）浏览器/服务器B）客户机/服务器C）管理者/代理D）服务器/防火墙n答案：答案：C C102级网络教程网络安全技术n【例【例6-46-4】在一般网络管理模型中，一个管】在一般网络管理模型中，一个管理者可以和多个理者可以和多个_进行信息交换，实进行信息交换，实现对网络的管理。（现对网络的管理。（20062006年年9 9月）月）n答案：代理答案：

71、代理103级网络教程网络安全技术n【例【例6-56-5】以下的网络管理功能中，哪一个】以下的网络管理功能中，哪一个不属于配置管理？不属于配置管理？_（20052005年年4 4月）月）A）初始化设备B）关闭设备C）记录设备故障D）启动设备n答案：答案：C C104级网络教程网络安全技术n【例【例6-66-6】在网络管理中，通常在图形报告】在网络管理中，通常在图形报告中使用颜色指示网络设备的运行状态，在中使用颜色指示网络设备的运行状态，在配色方案中，表示设备处于错误状态使用配色方案中，表示设备处于错误状态使用的颜色为的颜色为_。（。（20032003年年4 4月）月）A）绿色B）红色C）黄色D）

72、蓝色n答案：答案：B B105级网络教程网络安全技术n【例【例6-76-7】网络故障管理的一般步骤包括：】网络故障管理的一般步骤包括：发现故障、判断故障、发现故障、判断故障、_故障、修复故障、修复故障、记录故障。（故障、记录故障。（20062006年年4 4月）月）n答案：隔离答案：隔离106级网络教程网络安全技术n【例【例6-86-8】下面哪个网络管理功能使得网络】下面哪个网络管理功能使得网络管理人员可以通过改变网络设置来改善网管理人员可以通过改变网络设置来改善网络性能？络性能？_（20052005年年9 9月）月）A）配置管理B）计费管理C）性能管理D）故障管理n答案：答案：C C107级

73、网络教程网络安全技术n【例【例6-96-9】以下有关网络管理功能的描述中，】以下有关网络管理功能的描述中，哪个是错误的？哪个是错误的？_（20062006年年9 9月）月）A）配置管理是掌握和控制网络的配置信息B）故障管理是对网络中的故障进行定位C）性能管理监视和调整工作参数，改善网络性能D）安全管理是使网络性能维持在较好水平n答案：答案：D D108级网络教程网络安全技术n【例【例6-106-10】下面哪一种不是网络管理协议】下面哪一种不是网络管理协议？_（20022002年年9 9月）月）A）SNMPB）LAPBC）CMIS/CMIP D）LMMPn答案：答案：B B109级网络教程网络安

74、全技术n【例【例6-116-11】SNMP SNMP 是最常用的计算机网络管是最常用的计算机网络管理协议。理协议。SNMPv3 SNMPv3 在在 SNMPv2 SNMPv2 基础上增加、基础上增加、完善了完善了_和管理机制。（和管理机制。（20062006年年9 9月）月）n答案：安全答案：安全110级网络教程网络安全技术n【例【例6-126-12】在电信管理网中，管理者和代】在电信管理网中，管理者和代理之间的管理信息交换是通过理之间的管理信息交换是通过CMISCMIS和和_实现的。（实现的。（20052005年年9 9月）月）n答案：答案：CMIPCMIP111级网络教程网络安全技术n【例

75、【例6-136-13】保护计算机网络设备免受环境】保护计算机网络设备免受环境事故的影响属于信息安全的哪个方面？事故的影响属于信息安全的哪个方面？_（20052005年年9 9月）月）A）人员安全B）物理安全C）数据安全D）操作安全n答案：答案：B B112级网络教程网络安全技术n【例【例6-146-14】有一种原则是对信息进行均衡、】有一种原则是对信息进行均衡、全面的防护，提高整个系统的全面的防护，提高整个系统的“安全最低安全最低点点”的安全性能，该原则称为的安全性能，该原则称为_。（20052005年年4 4月）月）A）木桶原则B）整体原则C）等级性原则D）动态化原则n答案：答案：A A11

76、3级网络教程网络安全技术n【例【例6-156-15】下面哪些操作系统能够达到】下面哪些操作系统能够达到 C2 C2 安全级别？安全级别？_（20062006年年9 9月）月）n. Windows 3.x. Windows 3.x .Apple System 7.x.Apple System 7.xn. Windows NT. Windows NT.NetWare 3.x.NetWare 3.xA）和B）和C）和D）和n答案：答案：D D114级网络教程网络安全技术n【例【例6-166-16】保证数据的完整性就是】保证数据的完整性就是_。（20032003年年4 4月）月）A）保证因特网上传送的

77、数据信息不被第三方监视和窃取B）保证因特网上传送的数据信息不被篡改C）保证电子商务交易各方的真实身份D）保证发送方不能抵赖曾经发送过某数据信息n答案：答案：B B115级网络教程网络安全技术n【例【例6-176-17】在以下网络威胁中，哪个不属】在以下网络威胁中，哪个不属于信息泄露？于信息泄露？_（20042004年年9 9月）月）A）数据窃听B）流量分析C）拒绝服务攻击D）偷窃用户帐号n答案：答案：C C116级网络教程网络安全技术n【例【例6-186-18】某种网络安全威胁是通过非法】某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行手段取得对数据的使用权，并对数据进行恶意地添

78、加和修改。这种安全威胁属于恶意地添加和修改。这种安全威胁属于_。（。（20052005年年9 9月）月）A）窃听数据B）破坏数据完整性C）拒绝服务D）物理安全威胁n答案：答案：B B117级网络教程网络安全技术n【例【例6-196-19】对网络的威胁包括：】对网络的威胁包括：假冒特洛伊木马 旁路控制陷门授权侵犯在这些威胁中，属于渗入威胁的为_。（2003年4月）A）、和B）和C）和D）、和n答案：答案：A A118级网络教程网络安全技术n【例【例6-206-20】网络反病毒技术主要有】网络反病毒技术主要有3 3种，它种，它们是预防病毒技术、们是预防病毒技术、_病毒技术和消病毒技术和消除病毒技术

79、。（除病毒技术。（20042004年年4 4月）月）n答案：检测答案：检测119级网络教程网络安全技术n【例【例6-216-21】以下哪个方法不能用于计算机】以下哪个方法不能用于计算机病毒检测？病毒检测？_（20062006年年9 9月）月）A）自身校验B）加密可执行程序C）关键字检测D）判断文件的长度n答案：答案：B B120级网络教程网络安全技术n【例【例6-226-22】当信息从信源向信宿流动时可】当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统能会受到攻击。其中中断攻击是破坏系统资源，这是对网络资源，这是对网络_性的攻击。性的攻击。（20062006年年4 4月）月）n答

80、案：可用答案：可用121级网络教程网络安全技术n【例【例6-236-23】截取是指未授权的实体得到了】截取是指未授权的实体得到了资源的访问权，这是对下面哪种安全性的资源的访问权，这是对下面哪种安全性的攻击？攻击？_（20052005年年4 4月）月）A）可用性B）机密性C）合法性D）完整性n答案：答案：B B122级网络教程网络安全技术n【例【例6-246-24】下面哪种攻击方法属于被动攻】下面哪种攻击方法属于被动攻击？击？_（20062006年年9 9月）月）A）拒绝服务攻击B）重放攻击C）通信量分析攻击 D）假冒攻击n答案：答案：C C123级网络教程网络安全技术n【例【例6-256-25

81、】下面哪个（些）攻击属于非服】下面哪个（些）攻击属于非服务攻击？务攻击？_（20062006年年9 9月）月）n.邮件炸弹攻击邮件炸弹攻击.源路由攻击源路由攻击.地址欺骗攻击地址欺骗攻击A）仅B）和C）和D）和n答案：答案：C C124级网络教程网络安全技术n【例【例6-266-26】如果使用凯撒密码，在密钥为】如果使用凯撒密码，在密钥为4 4时时attackattack的密文为的密文为_。（。（20042004年年4 4月）月）A）ATTACKB）DWWDFNC）EXXEGOD）FQQFAOn答案：答案：C C125级网络教程网络安全技术n【例【例6-276-27】按密钥的使用个数，密码系统

82、】按密钥的使用个数，密码系统可以分为可以分为_。（。（20032003年年9 9月）月）A）置换密码系统和易位密码系统B）分组密码系统和序列密码系统C）对称密码系统和非对称密码系统D）密码学系统和密码分析学系统n答案：答案：C C126级网络教程网络安全技术n【例【例6-286-28】以下哪一项不是分组密码的优】以下哪一项不是分组密码的优点？点？_（20032003年年9 9月）月）A）良好的扩散性B）对插入的敏感程度高C）不需要密钥同步D）加密速度快n答案：答案：D D127级网络教程网络安全技术n【例【例6-296-29】端到端加密方式是网络中进行】端到端加密方式是网络中进行数据加密的一种

83、重要方式，其加密、解密数据加密的一种重要方式，其加密、解密在何处进行？在何处进行？_（20062006年年9 9月）月）A）源结点、中间结点B）中间结点、目的结点C）中间结点、中间结点D）源结点、目的结点n答案：答案：D D128级网络教程网络安全技术n【例【例6-306-30】如果采用】如果采用“蛮力攻击蛮力攻击”对密文对密文进行破译，假设计算机的处理速度为进行破译，假设计算机的处理速度为1 1密钥密钥/ /微秒，那么大约多长时间一定能破译微秒，那么大约多长时间一定能破译5656比比特密钥生成的密文？特密钥生成的密文？_（20032003年年9 9月）月）A）71分钟B）1.1103年C）2

84、.3103年D）5.41024年n答案：答案：C C 129级网络教程网络安全技术n【例【例6-316-31】关于加密技术，下列哪种说法】关于加密技术，下列哪种说法是错误的？是错误的？_（20032003年年9 9月）月）A）对称密码体制中加密算法和解密算法是保密的B）密码分析的目的就是千方百计地寻找密钥或明文C）对称密码体制的加密密钥和解密密钥是相同的D）所有的密钥都有生存周期n答案：答案：A A130级网络教程网络安全技术n【例【例6-326-32】下面哪种加密算法不属于对称】下面哪种加密算法不属于对称加密？加密？_（20062006年年4 4月）月）A）DESB）IDEAC）TDEAD）

85、RSAn答案：答案：D D131级网络教程网络安全技术n【例【例6-336-33】DES DES 是一种常用的对称加密算是一种常用的对称加密算法，其一般的分组长度为法，其一般的分组长度为_。（。（20062006年年9 9月）月）A）32 位B）56 位C）64 位D）128 位n答案：答案：C C132级网络教程网络安全技术n【例【例6-346-34】如果发送方使用的加密密钥和】如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统个密钥难以推出另一个密钥，这样的系统称为称为_。（。（20022002年年9 9月

86、）月）A）常规加密系统 B）单密钥加密系统C）公钥加密系统 D）对称加密系统n答案：答案：C C133级网络教程网络安全技术n【例【例6-356-35】在公钥密码体系中，下面哪个】在公钥密码体系中，下面哪个（些）是不可以公开的？（些）是不可以公开的？_（20052005年年9 9月）月）A）公钥B）公钥和加密算法C）私钥D）私钥和加密算法n答案：答案：C C134级网络教程网络安全技术n【例【例6-366-36】下面哪个不是】下面哪个不是 RSA RSA 密码体制的密码体制的特点？特点？_（20062006年年9 9月）月）A）它的安全性基于大整数因子分解问题B）它是一种公钥密码体制C）它的加

87、密速度比 DES 快D）它常用于数字签名、认证n答案：答案：C C135级网络教程网络安全技术n【例【例6-376-37】ElgamalElgamal公钥体制的加密算法具公钥体制的加密算法具有不确定性，它的密文不仅依赖于待加密有不确定性，它的密文不仅依赖于待加密的明文，而且依赖于用户选择的的明文，而且依赖于用户选择的_。（20062006年年4 4月）月）n答案：随机参数答案：随机参数136级网络教程网络安全技术n【例【例6-386-38】常用的密钥分发技术有】常用的密钥分发技术有CACA技术技术和和_技术。（技术。（20052005年年9 9月）月）n答案：答案：KDCKDC137级网络教程

88、网络安全技术n【例【例6-396-39】KDCKDC分发密钥时，进行通信的两分发密钥时，进行通信的两台主机都需要向台主机都需要向KDCKDC申请会话密钥。主机与申请会话密钥。主机与KDCKDC通信时使用的是通信时使用的是_。（。（20062006年年4 4月）月）A）会话密钥 B）公开密钥C）二者共享的永久密钥 D）临时密钥n答案：答案：A A138级网络教程网络安全技术n【例【例6-406-40】管理数字证书的权威机构】管理数字证书的权威机构CACA是是_。（。（20052005年年4 4月）月）A）加密方B）解密方C）双方D）可信任的第三方n答案：答案：D D139级网络教程网络安全技术n

89、【例【例6-416-41】张三从】张三从CACA得到了李四的数字证得到了李四的数字证书，张三可以从该数字证书中得到李四的书，张三可以从该数字证书中得到李四的_。（。（20062006年年4 4月）月）A）私钥B）数字签名C）口令D）公钥n答案：答案：D D140级网络教程网络安全技术n【例【例6-426-42】认证技术主要解决网络通信过】认证技术主要解决网络通信过程中通信双方的程中通信双方的_认可。（认可。（20042004年年9 9月）月）n答案：身份答案：身份141级网络教程网络安全技术n【例【例6-436-43】为了确定信息在网络传输过程】为了确定信息在网络传输过程中是否被他人篡改，一般

90、采用的技术是中是否被他人篡改，一般采用的技术是_。（。（20062006年年4 4月）月）A）防火墙技术B）数据库技术C）消息认证技术D）文件交换技术n答案：答案：C C142级网络教程网络安全技术n【例【例6-446-44】在进行消息认证时，经常利用】在进行消息认证时，经常利用安全单向散列函数产生消息摘要。安全单安全单向散列函数产生消息摘要。安全单向散列函数不需要具有下面哪个特性？向散列函数不需要具有下面哪个特性？_（20062006年年4 4月）月）A）相同输入产生相同输出B）提供随机性或者伪随机性C）易于实现D）根据输出可以确定输入消息n答案：答案：D D143级网络教程网络安全技术快门

91、快门(shutter)(shutter)免费网络电话免费网络电话 - -立即注册！立即注册！ 亲爱的老师、同学：亲爱的老师、同学：您们好！你开通免费网络电话了吗？您们好！你开通免费网络电话了吗？“中国教育中国教育和科研计算机网和科研计算机网”极力推荐你使用极力推荐你使用 “ “快门快门”(shutter)”(shutter)软软件。现在注册就送件。现在注册就送1515分钟免费电话（本地、国内、国际长分钟免费电话（本地、国内、国际长途都行），而且每次打电话前途都行），而且每次打电话前3 3分钟免费！在线积分可换分钟免费！在线积分可换话费！每天可免费打话费！每天可免费打7575分钟分钟!（手机、固

92、话和小灵通皆（手机、固话和小灵通皆可）可） 免费注册帐号：免费注册帐号：立即注册立即注册 免费软件下载：免费软件下载：地址地址1 1地址地址2 2 ( (说明：放映幻灯片后即可连接说明：放映幻灯片后即可连接) ) - -中国教育和科研计算机网中国教育和科研计算机网 2008-1-8 2008-1-8144级网络教程网络安全技术n【例【例6-456-45】常用的摘要算法有】常用的摘要算法有MD4MD4、MD5MD5、SHASHA和和SHA-1SHA-1。OSPFOSPF的安全协议使用的安全协议使用_。（20052005年年4 4月）月）A）SHAB）SHA-1C）MD4D）MD5n答案：答案：D

93、 D145级网络教程网络安全技术n【例【例6-466-46】用户张三给文件服务器发命令，】用户张三给文件服务器发命令，要求将文件要求将文件“张三张三.doc”.doc”删除。文件服务删除。文件服务器上的认证机制需要确定的主要问题是器上的认证机制需要确定的主要问题是_。（。（20062006年年4 4月）月）A）张三是否有删除该文件的权利B）张三采用的是哪种加密技术C）该命令是否是张三发出的D）张三发来的数据是否有病毒n答案：答案：C C146级网络教程网络安全技术n【例【例6-476-47】以下哪种方法不属于个人特征】以下哪种方法不属于个人特征认证？认证？_（20052005年年4 4月）月）

94、A）指纹识别B）声音识别C）虹膜识别D）个人标记号识别n答案：答案：D D147级网络教程网络安全技术n【例【例6-486-48】关于数字签名，下面哪种说法】关于数字签名，下面哪种说法是错误的？是错误的？_（20032003年年9 9月）月）A）数字签名技术能够保证信息传输过程中的安全性B）数字签名技术能够保证信息传输过程中的完整性C）数字签名技术能够对发送者的身份进行认证D）数字签名技术能够防止交易中抵赖的发生n答案：答案：A A148级网络教程网络安全技术n【例【例6-496-49】数字签名最常用的实现方法建】数字签名最常用的实现方法建立在公钥密码体制和安全单向立在公钥密码体制和安全单向_

95、函数函数基础之上。（基础之上。（20062006年年9 9月）月）n答案：散列答案：散列149级网络教程网络安全技术n【例【例6-506-50】S/keyS/key口令是一种一次性口令生口令是一种一次性口令生成方案，它可以对付成方案，它可以对付_。（。（20052005年年4 4月）月）A）拒绝服务攻击B）重放攻击C）非服务供给D）特洛伊木马n答案：答案：B B150级网络教程网络安全技术n【例【例6-516-51】KerberosKerberos是一种网络认证协议，是一种网络认证协议，它采用的加密算法是它采用的加密算法是_。（。（20062006年年4 4月）月）A）RSAB）PGPC）DE

96、SD）MD5n答案：答案：C C151级网络教程网络安全技术n【例【例6-526-52】PGPPGP是一种电子邮件安全方案，是一种电子邮件安全方案，它一般采用的散列函数是它一般采用的散列函数是_。（。（20052005年年9 9月）月）A）DSSB）RSAC）DESD）SHAn答案：答案：D D152级网络教程网络安全技术n【例【例6-536-53】利用】利用 IIS IIS 建立的建立的 Web Web 站点的站点的 4 4 级访问控制为级访问控制为 IP IP 地址限制、用户验证、地址限制、用户验证、_权限和权限和 NTFS NTFS 权限。（权限。（20062006年年9 9月）月）n答

97、案：答案：WebWeb权限权限153级网络教程网络安全技术n【例【例6-546-54】IEIE浏览器将因特网世界划分为浏览器将因特网世界划分为因特网区域、本地因特网区域、本地IntranetIntranet区域、可信站区域、可信站点区域和受限站点区域的主要目的是点区域和受限站点区域的主要目的是_。（。（20042004年年4 4月）月）A）保护自己的计算机B）验证Web站点C）避免他人假冒自己的身份D）避免第三方偷看传输的信息n答案：答案：A A154级网络教程网络安全技术n【例【例6-556-55】浏览器和】浏览器和WebWeb站点在利用站点在利用SSLSSL协协议进行安全数据传输过程中，最

98、终的会话议进行安全数据传输过程中，最终的会话密钥是由密钥是由_产生的。（产生的。（20032003年年4 4月）月）n答案：浏览器答案：浏览器155级网络教程网络安全技术n【例【例6-566-56】下面关于】下面关于 IPSec IPSec 的说法哪个是的说法哪个是错误的？错误的？_（20062006年年9 9月）月）A）它是一套用于网络层安全的协议B）它可以提供数据源认证服务C）它可以提供流量保密服务D）它只能在 Ipv4 环境下使用n答案：答案：D D156级网络教程网络安全技术n【例【例6-576-57】以下关于防火墙技术的描述，】以下关于防火墙技术的描述，哪个是错误的？哪个是错误的？_

99、（20062006年年9 9月）月）A）防火墙分为数据包过滤和应用网关两类B）防火墙可以控制外部用户对内部系统的访问C）防火墙可以阻止内部人员对外部的攻击D）防火墙可以分析和统管网络使用情况n答案：答案：C C157级网络教程网络安全技术n【例【例6-586-58】防火墙自身有一些限制，它不】防火墙自身有一些限制，它不能阻止一下哪个（些）威胁？能阻止一下哪个（些）威胁？_（20052005年年4 4月）月）、外部攻击 、内部威胁 、病毒威胁A）B）和C）和D）全部n答案：答案：C C158级网络教程网络安全技术n【例【例6-596-59】以下关于防火墙技术的描述，】以下关于防火墙技术的描述，哪个是错误的？哪个是错误的？_（20062006年年4 4月）月）A）防火墙可以对网络服务类型进行控制B）防火墙可以对请求服务的用户进行控制C）防火墙可以对网络攻击进行反向追踪D）防火墙可以对用户如何使用特定服务进行控制n答案：答案：C C159级网络教程网络安全技术