网络安全体系ppt课件

《网络安全体系ppt课件》由会员分享，可在线阅读，更多相关《网络安全体系ppt课件（69页珍藏版）》请在金锄头文库上搜索。

1、网络平安体系构造与案例网络平安体系构造与案例内容提要内容提要 1 1 计算机网络体系构造计算机网络体系构造 2 2 网络平安系统案例网络平安系统案例 计算机网络体系构造 主要内容网络体系构造的根本概念 开放系统互连参考模型 TCP/IP体系构造计算机局域网协议 网络体系构造的根本概念 1 网络的层次构造 计算机网络是一个复杂的系统。为了降低系统设计和实现的难度，把计算机网络要实现的功能进展构造化和模块化的设计，将整体功能分为几个相对独立的子功能层次，各个功能层次间进展有机的衔接，下层为其上一层提供必要的功能效力。这种层次构造的设计称为网络层次构造模型。网络层次构造模型的益处是：各层之间相互独立

2、，各层实现技术的改动不影响其他层，易于实现和维护，有利于促进规范化，为计算机网络协议的设计和实现提供了很大方便。 网络体系构造的根本概念2 网络协议 网络中的两个实体要实现通讯，它们必需具有一样的言语，交流什么、怎样交流及何时交流等，必需遵守有关实体间某些相互都能接受的一些规那么，这些规那么的集合称为协议。为进展网络中的数据交换而建立的规那么、规范或商定即为网络协议。网络协议普通由语法、语义和时序三要素组成。 网络体系构造的根本概念3 网络体系构造 计算机网络的层次及各层协议的集合，即是网络体系构造Architecture。详细地说，网络体系构造是关于计算机网络应设置哪几层，每个层次又应提供哪

3、些功能的准确定义。 开放系统互连参考模型 1 开放系统互连参考模型的构成 为了使不同体系构造的计算机网络都能互连，国际规范化组织ISO于1977年提出了一个试图使各种计算机在世界范围内互连成网的规范框架，即著名的开放系统互连参考模型OSI/RM，Open System Interconnection/Reference Model，简称为OSI。“开放是指：只需遵照OSI规范，一个系统就可以和位于世界上任何地方的、也遵照这同一规范的其他任何系统进展通讯。开放系统互连参考模型2 OSI参考模型层次划分的原那么网络中一切节点都划分为一样的层次构造，每个一样的层次都有一样的功能 同一节点内各相邻层次

4、之间经过接口协议进展通讯 每一层运用下一层提供的效力，并向它的上层提供效力 不同节点的同等层按照协议实现同等层之间的通讯 开放系统互连参考模型3 OSI参考模型的七层构造 开放系统互连参考模型4 OSI参考模型的信息流动 开放系统互连参考模型5 OSI参考模型各层功能 物理层Physical Layer 物理层是OSI参考模型的最低层，它建立在传输介质上，利用物理传输介质为数据链路层提供物理衔接。 物理层的主要功能是在物理介质上传输二进制数据比特流；提供为建立、维护和撤除物理衔接所需的机械、电气和规程方面的特性。 开放系统互连参考模型5 OSI参考模型各层功能 数据链路层Data Link L

5、ayer 在物理层传送的比特流的根底上，数据链路层担任建立相邻节点之间的数据链路，提供节点之间的可靠的数据传输。这一层将接纳到的二进制数据流封装成帧包含目的地址、源地址、数据段以及其他控制信息，然后按顺序传输帧，并担任处置接纳端发回确实认帧的信息。 另外，数据链路层还具有流量控制和检错功能 。 开放系统互连参考模型5 OSI参考模型各层功能 网络层Network Layer 数据在网络层被转换为数据分组，然后经过途径选择、流量、过失、顺序、进/出路由等控制，将数据从物理衔接的一端传送到另一端，并担任点到点之间通讯联络的建立、维护和终了。它经过执行路由算法，为分组经过通讯子网选择最适当的途径，还

6、要执行拥塞控制与网络互连等功能，是OSI参考模型中最复杂的一层。 开放系统互连参考模型5 OSI参考模型各层功能 传输层Transport Layer 传输层是面向运用的高层和与网络有关的低层协议之间的接口，其下三层与数据传输有关，其上三层与运用有关。传输层提供在不同系统间数据传输效力，在网内两实体间建立端到端通讯信道，提供两端点之间的可靠、透明数据传输；执行端到端过失检测和恢复，顺序控制和流量控制功能，并管理多路复用。 开放系统互连参考模型5 OSI参考模型各层功能 会话层Session Layer 会话层担任控制每一网络节点终究什么时间可以传送与接纳数据，为不同用户提供建立会话关系，并对会

7、话进展有效管理。例如，当许多用户同时收发信息时，该层主要控制、决议何时发送或接纳信息，才不会有“碰撞发生。 2.2 开放系统互连参考模型5 OSI参考模型各层功能 表示层Presentation Layer 表示层是为了在不同系统之间的不同信息表示可以相互了解对方数据的含义以便进展通讯而设置的，它担任将数据转换为发送方和接纳方都能识别的格式。 另外，表示层还担任诸如数据紧缩和恢复、加密和解密等效力。 2.2 开放系统互连参考模型5 OSI参考模型各层功能 运用层Application Layer 运用层是OSI参考模型的最高层，它与用户直接联络，担任网络中运用程序与网络操作系统之间的联络。监视

8、并且管理相互衔接起来的运用系统以及所运用的运用资源。例如为用户提供各种效力，包括文件传输、远程登录、电子邮件及网络管理等。6 6、实例：、实例： 七层实例运用层比如HTTP协议 ftp、DNS等表示层比如一些文件格式mp3 avi会话层应该是窗口程序传输层TCP网络层IP数据链路层802.3以太网规范物理层网卡 rj45插头等等TCP/IP体系构造 qOSI参考模型试图到达一种理想境界，即全世界的计算机网络都遵照这一致的规范，一切的计算机都能方便的互连和交换数据，然而由于OSI规范制定周期长、协议实现过分复杂及OSI的层次划分不太合理等缘由。当到了20世纪90年代初期，虽然整套的OSI规范都已

9、制定出来，但当时的Internet在全世界的范围构成规模，因此网络体系构造得到广泛运用的并不是国际规范的OSI，而是运用在Internet上的非国际规范的TCP/IP体系构造。 TCP/IP体系构造 1 TCP/IP与OSI体系构造的对照关系TCP/IP体系构造2 TCP/IP参考模型各层功能主机至网络层 网络访问层 主机至网络层网络接口层是TCP/IP模型的最低层。它担任网际层与硬件设备间的联络，指出主机必需运用某种协议与网络相连。网际层 它是整个体系构造的关键部分，网际层的功能就是把IP分组发送到它应该去的地方，分组路由和防止拥塞是网际层主要处理的问题。 网际层运用的主要协议是IP协议。

10、TCP/IP体系构造2 TCP/IP参考模型各层功能传输层 主机主机层 传输层处理的是“端到端的通讯问题。它的功能是使源端和目的端主机上的对等实体可以进展会话，和OSI的传输层一样，传输层定义了两个端到端的协议。第一个是传输控制协议TCP，它是一个面向衔接的协议，允许从一台机器发出的字节流无过失地发往互联网上的其他机器。第二个协议是用户数据报协议UDP，它是一个不可靠的、无衔接协议。 TCP/IP体系构造2 TCP/IP参考模型各层功能运用层 运用层提供一组常用的运用程序给用户，运用程序和传输层协议相配合，完成发送或接纳数据。每个运用程序都有本人的数据格式，它可以是一系列报文或字节流，但不论采

11、用哪种格式，都要将数据传送给传输层以便交换。 运用层包含一切的高层协议，如文件传输协议FTP、电子邮件协议SMTP、超文本传输协议 等 。 TCP/IP体系构造3、IP地址 在以TCP/IP为通讯协议的网络上，每台主机都有独一的IP地址，IP地址用来独一标示一台主机，也隐含着网络间的途径信息。IP地址共占用32个位，普通是以4个十进制数来表示，每个数字称为一个字节，字节与字节之间用点隔开，例如：192.168.0.1，由于在TCP/IP网络上是利用IP地址来标示每一台主机，每一台主机都必需拥有独一的IP地址。类 网络号主机号W取值支持网络数每个网络支持主机数AWX.Y.Z1-12612616,

12、777,214BW.XY.Z128-1911638465,534C W.X.YZ192-2232,097,152254D224-239E240-254A 1.0.0.0127.255.255.255B 128.0.0.0191.255.255.255C 192.0.0.0223.255.255.255D 224.0.0.0239.255.255.255E 240.0.0.0255.255.255.2520 网络地址 主机地址10 网络地址 主机地址110 网络地址 主机地址1110 组播地址11110 保存计算机局域网协议 从总体上看，局域网协议较为简单，普通仅有二层或三层。物理层与OSI定义

13、的类似，国际规范化组织曾经对物理介质、附属设备和层间接口做了定义阐明。由于局域网多采用广播通讯技术，需求很好地处理信道争用问题，故数据链路层的一些细节问题与OSI定义的不同。OSI的网络层主要处理途径选择问题，而局域网没有路由问题，一个节点发出的信息其他节点都可以收到，所以局域网普通不设该层，OSI网络层的其他功能合并到数据链路层。对于第四到第七层，局域网系统没有明确的定义，故高层仍用OSI的协议规范，多把其他高层作为一层来处置。计算机局域网协议1 IEEE802规范简介 在ISO/OSI参考模型中，其低三层协议是依赖详细网络的，计算机局域网是一种详细的网络，共享信道是它的特性。遵照ISO/O

14、SI参考模型的原那么，IEEE802系列规范协议主要处理局域网低三层的功能，其对应的LAN/RM如以以下图所示。 网际层LLC子层MAC子层物理层计算机局域网协议1 IEEE802规范简介 在ISO/OSI参考模型中，数据链路层的功能简单，它只担任把数据从一个节点可靠地传输到相邻的节点。但在局域网中，多个站点共享传输介质，在节点间传输数据之前必需首先处理由哪个设备运用传输介质，因此数据链路层要有介质访问控制功能。由于介质的多样性，所以必需提供多种介质访问控制方法。为此IEEE802规范把数据链路层划分为两个子层：逻辑链路控制LLC子层和介质访问控制MAC子层。LLC子层担任向网际层提供效力，它

15、提供的主要功能是寻址、过失控制和流量控制等；MAC子层的主要功能是控制对传输介质的访问，不同类型的LAN，需求采用不同的控制法。并且在发送数据时担任把数据组装成带有地址和过失校验段的帧，在接纳数据时担任把帧拆封，执行地址识别和过失校验。 计算机局域网协议2 IEEE802规范系列 对于运用不同传输介质的不同局域网，IEEE局域网规范委员会分别制定了不同的规范，适用于不同的网络环境，这些规范如下表所示。 计算机局域网协议3 IEEE802规范与OSI参考模型之间的关系网络平安系统案例网络平安系统案例主要内容网络体系构造的根本概念 开放系统互连参考模型 TCP/IP体系构造计算机局域网协议 概述

16、1 根底设备的平安根底设备的平安主要指：保证网络系统的计算机设备、系统软件平台、网络环境可以无缺点运转、不受外部入侵和破坏。这个层次，主要针对系统的信息根底设备，与计算机、网络等系统环境的关系更为亲密，与企业的商务活动的联络较少。 2 买卖的平安 买卖的平安那么是指经过一系列的措施保证买卖过程的真实可靠、完好、不可否认和。与根底设备平安相比，买卖平安更偏重于买卖过程。 根底设备的平安1计算机主机系统平安 双机备份、容错系统、集群cluster构造以及高性能系统HAHigh Availability 2数据库及存储设备平安采用灾难恢复技术、SAN、RAID技术等 3操作系统平安 4网络环境平安

17、防止网络的非授权访问、减少网络缺点 买卖的平安根底设备的平安是电子买卖平安的根底 买卖的平安是信息根底设备平安的延伸 在设计系统的平安系统时，该当从根底设备和买卖两个层次出发，不能偏废 更多的要挟是来自电子商务企业的内部,思索相关的平安战略、平安管理问题 系统的平安要求 1 平安要求 平安问题主要是对方能否是存在的、真实的，购置过程中一些隐私性的数据例如个人信誉卡密码等能否存在走漏的风险，企业的效力器能否会遭到攻击而瘫痪等等 2 系统的平安要挟与防备技术1. 系统的平安要挟 2系统的平安防备技术 平安要求1.买卖的真实性2.买卖的严密性 3.买卖的完好性 4.不可抵赖性 平安要求Interne

18、tWeb SVRCGI、JSP、EJB等运用数据库客户端认证/授权/审查隐私/完好性隐私/完好性认证防抵赖加密、电子信封等电子签字、电子证章等电子认证、加密、电子签字等图9-1：系统的普通平安问题及技术对策系统的平安要挟与防备技术 系统的平安要挟系统的平安要挟 1计算机网络的平安要挟计算机网络的平安要挟 1针对计算机系统网络层的攻击和入侵针对计算机系统网络层的攻击和入侵 2针对计算机系统层的攻击和入侵针对计算机系统层的攻击和入侵 3 针对计算机系统数据库层的攻击和针对计算机系统数据库层的攻击和入侵入侵 4 针对计算机系统运用层的攻击和入针对计算机系统运用层的攻击和入侵侵 2 买卖的平安要挟买卖

19、的平安要挟1信息窃取信息窃取 2信息篡改信息篡改 3身份冒充身份冒充 4买卖的否认买卖的否认系统的平安要挟与防备技术系统的平安防备技术系统的平安防备技术黑客攻击电子商务系统的手段黑客攻击电子商务系统的手段 选择攻击的目的选择攻击的目的 发现网络与计算机系统的破绽发现网络与计算机系统的破绽 入侵系统，获得系统的控制权限入侵系统，获得系统的控制权限 禁用系统审计功能，更改系统的日志，以禁用系统审计功能，更改系统的日志，以防止遗留线索防止遗留线索 盗取文件，篡改系统的数据或者其他有价盗取文件，篡改系统的数据或者其他有价值的信息安装系统的后门值的信息安装系统的后门Back Gate、特洛伊木马，以便可

20、以再次入侵而不被发特洛伊木马，以便可以再次入侵而不被发现现 前往再次破坏前往再次破坏 系统的平安要挟与防备技术平安防备技术平安防备技术1、加密技术、加密技术2、密钥管理技术、密钥管理技术3、数字签名技术、数字签名技术4、入侵检测与防备技术、入侵检测与防备技术5、风险评价技术、风险评价技术6、身份认证技术、身份认证技术7、病毒防治技术、病毒防治技术ISO的平安体系构造与系统的平安体系的平安体系构造与系统的平安体系OSI规定了5种规范的平安效力 对象认证平安效力 访问控制效力 数据严密效力 数据完好性效力 防抵赖平安效力 ISO的平安体系构造与系统的平安体系的平安体系构造与系统的平安体系 OSI的

21、平安机制和平安效力 平安子系统的设计 平安子系统的框架构造平安战略 平安管理 平安子系统的框架构造网络构造平安网络平安物理安全操作系统平安数据库平安运用平安和数据平安安全策略通讯平安用户认证管理安全管理平安战略 系统的平安战略 平安战略是信息平安的中心，也是整个信息平安建立的根据，平安战略为平安管理提供管理方向和支持手段，建立电子商务系统的战略体系的应包括：平安战略的制定、平安战略的评价、平安战略的执行等方面。 平安战略的主要内容 平安战略的制定方法 平安战略平安战略的主要内容 1制定有效、全面的平安管理规范以减少操作或效力中能够的平安要挟；2预防和防止能够的对计算机网络和商务买卖过程的攻击；

22、3减少计算机网络和商务买卖中能够存在的平安要挟；4加强计算机网络和商务买卖本身抗攻击和入侵的才干；5实时的监测；6实时的恢复；7减少能够的入侵影响。 4.2 平安战略平安战略的制定方法 1 进展平安需求分析 2 对网络系统资源进展评价 3 对能够存在的风险进展分析 4 确定内部信息对外开放的种类及发布方式和访问方式 5 明确网络系统管理人员的责任和义务 6 确定针对潜在风险采取的平安维护措施 、管理制度 4.2 平安战略平安管理平安管理平安管理的主要内容平安管理是实现电子商务系统信息平安的落实手段，也是一项技术性强、涉及面广的管理任务。其主要内容包括：人事管理、设备管理、场地管理、存储设备管理

23、、软件管理、网络管理和密码、密钥管理。平安管理的根本原那么 平安管理的应急处置 平安管理平安管理平安管理的根本原那么 1规范原那么 2预防原那么 3选用成熟技术原那么 4系统化原那么 5分权制约原那么 6应急原那么 7灾难恢复原那么 平安管理平安管理平安管理的应急处置1分析判别 2入侵或攻击的终止 3记录和备份 4恢复 5定位 6汇报 平安技术 防火墙与网络平安设计 信息加密技术 数字签名PKI技术与认证 IPSec的平安体系防火墙与网络平安设计防火墙的根本概念 防火墙是访问控制技术的一种，其目的是经过控制网络资源的存取权限，保证计算机网络、计算机主机和数据的合法访问。国标GB/T 18019

24、-1999 指出：“防火墙的目的是在内部、外部两个网络之间建立一个平安控制点，经过允许、回绝或重新定向经过防火墙的数据流，实现对进、出内部网络的效力和访问的审计和控制。 防火墙的运用设计 防火墙的根本概念防火墙概念防火墙是借用了建筑学上的一个术语，本意是用来防止大火从建筑物的一部分蔓延到另一部分而设立的阻挠设备。 防火墙是一种平安防备技术，包括访问控制机制、平安战略和防入侵战略。 防火墙的功能 防火墙的分类 防火墙的根本概念防火墙的根本概念防火墙的功能防火墙的功能1包过滤包过滤 2网络地址翻译网络地址翻译 3身份认证身份认证 4构造虚拟公用网构造虚拟公用网 防火墙的根本概念防火墙的分类防火墙的

25、分类1包过滤型防火墙包过滤型防火墙 2运用级代理运用级代理3混合型防火墙混合型防火墙 防火墙的运用设计 防火墙的设计过程 防火墙的平安要求防火墙的选择 防火墙的运用设计防火墙的设计过程防火墙的设计过程 1决议防火墙的类型和拓朴构造决议防火墙的类型和拓朴构造 2制定平安战略制定平安战略 3确定包过滤规那么确定包过滤规那么4设计代理效力设计代理效力5严厉定义功能模块并使其分布严厉定义功能模块并使其分布6制定防火墙维护和管理方案制定防火墙维护和管理方案防火墙的运用设计防火墙的平安要求防火墙的平安要求1防火墙应由多个构件组成防火墙应由多个构件组成 2防火墙应能抵抗网络防火墙应能抵抗网络“黑客的攻击黑客

26、的攻击 3防火墙一旦失效、重启动或解体，那防火墙一旦失效、重启动或解体，那么应完全阻断内、外部网络站点的衔接么应完全阻断内、外部网络站点的衔接 4防火墙应提供强认证效力防火墙应提供强认证效力 5防火墙对内部网络应起到屏蔽作用防火墙对内部网络应起到屏蔽作用 防火墙的运用设计防火墙的选择防火墙的选择 1防火墙的管理难易度防火墙的管理难易度 2防火墙本身的平安性防火墙本身的平安性 3防火墙的软件功能及执行效率防火墙的软件功能及执行效率 4防火墙的技术支持防火墙的技术支持 信息加密技术信息加密技术信息加密技术 加密技术就是采用数学方法对原始信息进展再组织，使得加密后的信息内容对于非法接纳者来说成为无意

27、义的文字。而对于合法的接纳者，由于其掌握正确的密钥，就可以经过解密过程得到原始的数据。对称密码体制美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer； 欧洲的IDEA。 非对称密码体制 RSA、背包密码、McEliece密码、椭圆曲线、EIGamal算法等等。 数字签名 数字签名 数字签名技术是将摘要用发送者的私钥加密，与原文一同发送给接纳者，接受者只需用发送者的公钥才可以解密被加密的摘要，在电子商务平安系统中，数字签名有着重要的位置，在电子商务系统平安效力中的源鉴别、完好性效力、不可否认效力中都要用到数字签名技术。数字签名的种类数字签名的

28、特点利用数字签名保证数据完好性、不可抵赖的根本过程数字签名数字签名的种类1RSA签名 2DSS签名3Hash 签名数字签名数字签名的特点难以伪造 无法抵赖 不可更改 不能转移 数字签名利用数字签名保证数据完好性、不可抵赖的根本过程：1发送方首先运用哈希函数从原文得到数字签名后，采用非对称加密体系用发送方的私有密钥对数字签名加密，附在要发送的原文后面。2发送方选择一个密钥对文件加密，然后经过网络传输到接受方。3发送方用接受方的公开密钥对密钥进展加密，并经过网络把加密后的密钥传输到接受方。4接受方运用本人的私有密钥对密钥信息进展解密，得到密钥的明文。本章小结：本章小结：针对系统平安体系，本章引见了ISO的平安体系构造，在此根底上阐明了平安体系；针对平安子系统的设计，本章首先引见了平安子系统的根本框架，阐明了系统的平安不单纯是一个技术问题，包括平安战略、平安管理和平安技术等方面；引见了平安战略的根本内容和制定方式；阐明了电子商务平安管理的概念和内容。 实际观赏：实际观赏：访问Visa组织牵头建立的有关电子商务平安的网站 cisecurity.org，了解Visa组织对于平安规范的描画。访问美国的计算机紧急相应组 cert.org，了解cert对于网络平安破绽方面的阐明。