《【大学课件】网络安全P23》由会员分享,可在线阅读,更多相关《【大学课件】网络安全P23(23页珍藏版)》请在金锄头文库上搜索。
1、9/1/2024http:/ 第十一章网络安全 本章主要内容: q网络安全的概念q防火墙技术q网络病毒及其防范q数据加密与数字证书 尉揣默绿反傻肪扰酬裙羔钠册牌憾仔庆缸话耳俗丰党玲挠忌洞穴袖纂铅更【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 网络安全概述 11.1.1 网络安全的概念 狭义的网络安全:狭义的网络安全:是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安
2、全。广义的网络安全:广义的网络安全:从广义角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全。 斧赡矗带绒戚捻后吼忆灾棵赚险犊聚敬盲匹窍僚行刹渠卢晴废草秃例涸渭【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 机密性:机密性:确保信息不暴露给未授权的实体或进程。v完整性:完整性:只有得到允许的人才能修改数据,并且能够判别出数据是 否已被篡改。v可用性:可用性:得到授权的实体在需要时可访
3、问数据,即攻击者不能占用所有 的资源而阻碍授权者的工作。v可控制性:可控制性:可以控制授权范围内的信息流向及行为方式。v可审查性:可审查性:对出现的网络安全问题提供调查的依据和手段。11.1 网络安全概述 机杭降即耗谎腕碗抨偿挖馏讹技少贵梢羔曰矢心渺赣玉炮镣裸裴呐敌裕七【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 网络安全面临的风险 一般认为,目前网络安全面临的风险主要有以下五个方面。1)非非授授权权访访问问:指没有预先经过同意非法使用网络或计算机资源,比如有意避开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大权限、越权访问信息等。2)信信息息泄
4、泄漏漏或或丢丢失失:指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(比如,利用电磁泄漏或搭线窃听等方式截获机密信息);在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感信息等。3) 破破坏坏数数据据完完整整性性:指以非法手段获得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据 ,以干扰用户的正常使用。4)拒拒绝绝服服务务攻攻击击:不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。5)利利用用网网络络
5、传传播播病病毒毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且很难防范。11.1 网络安全概述 等拥圣庸叼鼓篡粟仗危惰励紫芬诞疥蓄赎枢废捅节掳启逃剖河哪做弓伊待【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 安全策略安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则,它包括三个重要的组成部分。(1) 威威威威严严严严的的的的法法法法律律律律:安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者慑于法律,不敢轻举妄动。(2) 先先先先进进进进的的的的技技技技术术术
6、术:先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。(3) 严严严严格格格格的的的的管管管管理理理理:各网络使用机构 、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。11.1 网络安全概述 锰萍瞩指汗积领马旨汹砌暮蓟镶隶扰擦础群皂强丁寡殖萌纷难镭占轴锤械【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 网络安全措施 既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。在安全策略中技术措施是网络正常运行的保证。网
7、络安全措施主要包括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、密码技术、IP加密技术和数字签名等技术。 11.1 网络安全概述 肾炸颂羔劲备脱表截福谣以沼簿挤炭您纠求模赶感帽疑函狙标截迸诞旷凯【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 防火墙的概念防火墙防火墙防火墙防火墙(Firewall)是一种将内部网络和外部公共网络(Internet)分开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入还是输出),从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障,使公共网络与内部网络之间建立起一个安全网关(Secur
8、ity Gateway)。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。防火墙的概念模型如下页图示。11.2 防火墙技术尖完滇杆脖信崖茶受碑硬诲乳怀棠删川逢哩蛔挣埋蛀吾寂妈叶涵俐睹浚歪【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 防火墙技术内部端口外部端口防火墙概念模型示意图判昏痘钾就庚腿屋摆永则麦效臼憎扶惰继塔磨搀琅昂魁挂鹃灯相财诈泽松【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 防火墙的功能与分类1 防火墙的功能防火墙的功能防火墙一般具有如下三
9、种功能:(1) 忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法用户。(2) 限定内部网络用户访问特殊网络站点,接纳外网对本地公共信息的访问。(3) 具有记录和审计功能,为监视互联网安全提供方便。2. 防火墙分类防火墙分类防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。即包过滤防火墙,应用代理服务器,状态检测防火墙。11.2 防火墙技术唤悬醇症筹海娄以誓概魄伍周阑采党伏村氯御评司电羹牌酪始殷扭姿余洲【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 包过滤防火墙包过滤防火墙包过滤防火墙包过滤防火墙 数据包过滤技术是指在网络层对数
10、据包进行分析、选择。选择的依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安装和使用,网络性能和透明度好。其缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口也存在着潜在危险。11.2 防火墙技术帅盐汁掣暮讯趟傻廊瓦摆聂炊啡疗搀荆圈枣比及捌螺定筷菜战嫂批垮辙蝎【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 应用代理服务器应用代理服务器应用代理服务器应用代理服务器 应用代理服务器是防火墙的第二代产
11、品,应用代理服务器技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢,操作系统容易遭到攻击。11.2 防火墙技术跟意炎监靠金乾撂倡鞭劫乍恳柠揪棉仅费嗡喉屡槽蛛纳啮深杀腺办冀擦绩【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 状态检测防火墙又称动态包过滤防火墙,在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决
12、定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过,执行速度很快。 11.2 防火墙技术厌泥增僳掖幅趴促癌了兽北地狞爹同楚瞎伙内福秩纂册虽积域啦士爬冷闽【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 代理服务器的设置方法(1) 打开IE浏览器,选择【工具】|【Internet选项】,出现【Internet选项】对话框,选择【连接】选项卡,如左下图所示。(
13、2) 单击【局域网设置】按钮,出现如右上图所示的对话框。 11.2 防火墙技术娄以硼疾秋管粟方蓬簧书沟曝躯急感纽著忠叼扩喀申摩刀凶隶光演助沽忧【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 对各种代理服务输入代理服务器的IP地址,并对不使用代理服务器的连接输入域名或IP地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务器设置。 11.2 防火墙技术慑驰晒健耸弊景请秤学聚诚泻纯挪铅俘瘤梭荔造札斑竭脖毅念雹寿心丁孪【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种
14、类繁多、日趋猖獗。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。 11.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序,从它对被感染电脑的危害性方面考虑,我们不妨称之为病毒,但它与病毒有些区别。它一般并不破坏受害者硬盘数据,而是悄悄地潜伏在被感染的机器中,一旦这台机器连接到网络,就可能大祸临头。黑客通过Internet找到感染病毒的机器,在自己的电脑上远程操纵它,窃取用户的上网帐户和密码、随意修改或删除文件,它对网络用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门,并且受到别人的暗中监视与控制。邀磕袜创爹吨泰庐帐好剪拍涨憨菠亡角郸机张策侵释颊颠零通符窿量立
15、氮【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 2000等专门的反木马软件来清除,还可以用它们来检测自己机器上是否有已知或未知的木马程序,实时监视自己电脑端口是否有“异常活动”,禁止别人访问你的机器。一旦有人企图连接你的机器,他们就会发出报警声音,还能对正在扫描你机器的人进行跟踪,告诉你此人来自何处、正在做什么,提示用户用专门的反木马软件进行清除。11.3 网络病毒及其防范 腹附智瑶捏惠键掏粹制牵豆贡杉馁枝盼酒湖蠕惺否嫌商畸稿插贸雏碴险闽【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 邮件病毒和普通病毒是一样的,只不过由于它
16、们主要通过电子邮件传播,所以才称为“邮件病毒”。它通常借助邮件“附件”夹带的方法进行扩散,一旦你收到这类E-mail,运行了附件中病毒程序就能使你的电脑染毒。这类病毒本身的代码并不复杂,大都是一些脚本,比如I love you病毒,就是一个用VB Script编写的仅十几KB的脚本文件,只要收到该病毒的E-mail并打开附件后,病毒就会按照脚本指令,将浏览器自动连接上一个网址,下载木马程序,更改一些文件后缀为.vbs,最后再把病毒自动发给Outlook通讯薄中的每一个人。11.3 网络病毒及其防范 苑达染脯掣钳丫骡虐罢慷办庄技灶展趾赵理邀桐伸盗娟媚痕坯拟菇宜傍泛【大学课件】网络安全P23【大学
17、课件】网络安全P239/1/2024http:/ 不要打开陌生人来信中的附件,最好是直接删除; 不要轻易运行附件中的 .EXE、.COM等可执行文件,运行以前要先查杀病毒; 安装一套可以实时查杀E-mail病毒的防病毒软件; 收到自认为有趣的邮件时,不要盲目转发,因为这样会帮助病毒的传播;对于通过脚本“工作”的病毒,可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。 11.3 网络病毒及其防范 伎氛盔轰讥薪浅受幸性平胎畏棘制朱用妙奠勒从晃车触傻赏递挞钳协券西【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 数据加密与数字证书 11.4.1
18、 数据加密技术密码体制可以分为两大类:对称密钥和非对称密钥。密码体制可以分为两大类:对称密钥和非对称密钥。 1.对称密钥体制对称密钥体制 对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即对称密钥(又称为私钥密码)体制使用相同的密钥加密和解密信息,亦即通信双方建立并共享一个密钥。通信双方建立并共享一个密钥。对称密钥的工作原理为:对称密钥的工作原理为:用户A要传送机密信息给B,则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K,于是A用密钥K和加密算法E对明文P加密得到密文C,并将密文C发送给B;B收到后,用同样一把密钥K和解密算法D对密文解密,得到明文P,即还原,
19、全部过程如下页图所示。 常来甜摸蹈粒胺赵倒面臀矢释哈昂怔蚊卡絮诫娃紧膏奥腹奥剩粉蒋欧任醉【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 数据加密与数字证书 枷狠羊投蔗蔼店猖买乡褐荤烽剔京贩饰沏缆睦拈笼皑谜丛午烁孺秆璃旦语【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 、KB-1分别由A、B各自保管,而KA、KB则以证书的形式对外公布。当A要将明文消息P安全发送给B时,A用B的公钥KB加密P得到密文C;而B收到密文P后,用私钥KB-1解密恢复明文P。 相比之下,公钥体制不仅可以实现保密通信,而且可以对消息进行数字签字。11.4
20、数据加密与数字证书 蔫凛噶谦教瓜到太话澎忌徘语悯运飞迂鹿娠捐诌慷矮泅峡淆脓魔袱文亦孵【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 数字证书 数字证书是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份,即要在Internet上解决“我是谁”的问题,就如同现实中我们每个人都拥有一张证明个人身份的身份证一样。数字证书是由权威公正的第三方机构电子身份认证中心CA(Certificate Authority)签发的包含公开密钥、拥有者信息以及发证机构信息的文件。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保
21、网上传输信息的机密性、完整性以及交易身份的真实性、签名信息的不可否认性,从而保障网络应用的安全性。数字证书采用非对称密钥体制。 数字证书广泛应用于:数字证书广泛应用于:发送安全电子邮件,访问安全站点,网上证券,网上招标采购,网上签约,网上办公,网上交费,网上税务等网上电子交易活动等。11.4 数据加密与数字证书 浑窃淹盟嘘艳笨块棺簇食禹城辟颤约孪斩磨晨牙疯柜滨漱岛瀑龚躁氯留匡【大学课件】网络安全P23【大学课件】网络安全P239/1/2024http:/ 题 十 一 1. 狭义的计算机网络安全指的是什么?2. 简述安全策略的三个重要组成部分。3. 什么是防火墙?防火墙分哪几种类型?4. 如何防范邮件病毒?5. 简述非对称加密的原理?6.什么是数字证书,有什么作用? 釉酚警撼秒屠艾堑井炸眼舔候兼沁欲至俞讼南往祥阴碴犯不战追丫恍岩蕊【大学课件】网络安全P23【大学课件】网络安全P23