計算機(jī)網(wǎng)絡(luò)技術(shù)第9章.ppt
《計算機(jī)網(wǎng)絡(luò)技術(shù)第9章.ppt》由會員分享,可在線閱讀,更多相關(guān)《計算機(jī)網(wǎng)絡(luò)技術(shù)第9章.ppt(43頁珍藏版)》請在裝配圖網(wǎng)上搜索。
第9章計算機(jī)網(wǎng)絡(luò)安全,,主要內(nèi)容,9.1網(wǎng)絡(luò)安全概述9.2密碼學(xué)9.3防火墻技術(shù)9.4計算機(jī)病毒與木馬防治,9.1網(wǎng)絡(luò)安全概述,9.1.1計算機(jī)網(wǎng)絡(luò)面臨的安全威脅9.1.2網(wǎng)絡(luò)安全服務(wù)9.1.3網(wǎng)絡(luò)安全機(jī)制9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn),9.1.1計算機(jī)網(wǎng)絡(luò)面臨的安全威脅,(1)偽裝(2)非法連接(3)非授權(quán)訪問(4)拒絕服務(wù)(5)抵賴(6)信息泄露(7)通信量分析(8)無效的信息流(9)篡改或破壞數(shù)據(jù)(10)推斷或演繹信息(11)非法篡改程序,9.1.2網(wǎng)絡(luò)安全服務(wù),ISO描述了在OSI參考模型下進(jìn)行安全通信所必須提供的5種安全服務(wù)鑒別服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)防抵賴服務(wù)-數(shù)字簽名,9.1.3網(wǎng)絡(luò)安全機(jī)制,加密機(jī)制數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證(鑒別)機(jī)制通信業(yè)務(wù)填充機(jī)制路由選擇控制機(jī)制公證機(jī)制,9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn),可信任計算機(jī)標(biāo)準(zhǔn)評估準(zhǔn)則(TCSEC)1970年由美國國防科學(xué)委員會提出,于1985年12月由美國國防部公布,最初只是軍用標(biāo)準(zhǔn),后來延至民用領(lǐng)域。TCSEC將計算機(jī)系統(tǒng)的安全劃分為4個等級共7個級別,即D、C1、C2、B1、B2、B3與A1。其中D級系統(tǒng)的安全要求最低,A1級系統(tǒng)的安全要求最高。D級安全標(biāo)準(zhǔn)要求最低,屬于非安全保護(hù)類,它不能用于多用戶環(huán)境下的重要信息處理。D類只有一個級別。C級系統(tǒng)為用戶能定義訪問控制要求的自主保護(hù)類型,它分為兩個級別:C1級和C2級。B級系統(tǒng)屬于強(qiáng)制型安全保護(hù)類,即用戶不能分配權(quán)限,只有網(wǎng)絡(luò)管理員可以為用戶分配訪問權(quán)限。B類系統(tǒng)分為3個級別。A1級系統(tǒng)要求的安全服務(wù)功能與B3級系統(tǒng)基本一致。A1級系統(tǒng)在安全審計、安全測試、配置管理等方面提出了更高的要求。一般的UNIX系統(tǒng)通常只能滿足C2級標(biāo)準(zhǔn),只有一部分產(chǎn)品可以達(dá)到B1級標(biāo)準(zhǔn)的要求。,9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(續(xù)),我國的計算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)GB17895-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》于2001年1月1日正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個等級:自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗(yàn)證保護(hù)級。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計、隱蔽信道分析、客體重用、強(qiáng)制訪問控制、安全標(biāo)記、可信路徑和可信恢復(fù)等,這些指標(biāo)涵蓋了不同級別的安全要求。,9.2密碼學(xué),9.2.1密碼技術(shù)概述9.2.2對稱密碼9.2.3非對稱密碼9.2.4數(shù)字簽名技術(shù),9.2.1密碼技術(shù)概述,密碼學(xué)(Cryptography)一詞來源于希臘語中的短語“secretwriting(秘密的書寫)”。古希臘人使用一根叫做scytale的棍子來加密。送信人先在棍子上呈螺旋式繞一張紙條,然后把信息豎寫在紙條上,收信人如果不知道棍子的直徑,就不能正確地恢復(fù)信息。密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué)。人們利用加密算法和密鑰來對信息編碼進(jìn)行隱藏,而密碼分析學(xué)則試圖破解算法和密鑰。,9.2.2對稱密碼,對稱加密的基本概念典型的對稱加密算法,對稱加密的基本概念,對稱加密技術(shù)對信息的加密與解密都使用相同的密鑰,因此又被稱為密鑰密碼技術(shù)。由于在對稱加密體系中加密方和解密方使用相同的密鑰,系統(tǒng)的保密性主要取決于密鑰的安全性。,典型的對稱加密算法,數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard,DES)是典型的對稱加密算法,它是由IBM公司提出,于1977年被美國政府采用。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法。明文按64位數(shù)據(jù)塊的單位被加密,生成64位密文。DES算法帶一個56位密鑰作為參數(shù)。DES的整個體制是公開的,系統(tǒng)的安全性完全依賴于密鑰的保密。已經(jīng)有一些比DES算法更安全的對稱加密算法,如IDEA算法、RC2算法、RC4算法與Skipjack算法等。,DES算法的執(zhí)行過程,,9.2.3非對稱密碼,非對稱加密的基本概念非對稱加密的標(biāo)準(zhǔn),,非對稱加密的基本概念,非對稱加密技術(shù)對信息的加密與解密采用不同的密鑰,用來加密的密鑰是可以公開的,用來解密的私鑰是需要保密的,因此又被稱為公鑰加密(PublicKeyEncryption)技術(shù)。非對稱加密的產(chǎn)生主要因?yàn)閮蓚€方面的原因,一是由于對稱密碼的密鑰分配問題,另一個是對數(shù)字簽名的需求。非對稱加密技術(shù)與對稱加密技術(shù)相比,其優(yōu)勢在于不需要共享通用的密鑰,用于解密的密鑰不需要發(fā)往任何地方,公鑰在傳遞和發(fā)布過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲的公鑰對入侵者也就沒有太大意義。公鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜,加密與解密的速度比較慢。,非對稱加密的標(biāo)準(zhǔn),目前,主要的公鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法等。1978年由Rivest、Shamir和Adleman提出RSA體制被認(rèn)為是目前為止理論最為成熟的一種公鑰密碼體制,多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。1985年,ElGamal構(gòu)造一種基于離散對數(shù)的公鑰密碼體制,這就是ElGamal公鑰體制。許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie-Hellman密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線密碼等。,9.2.4數(shù)字簽名技術(shù),數(shù)字簽名技術(shù)的基本概念數(shù)字簽名的工作原理數(shù)字簽名的具體工作過程,數(shù)字簽名技術(shù)的基本概念,數(shù)字簽名是在網(wǎng)絡(luò)環(huán)境中模擬日常生活中的親筆簽名以保證文件或資料真實(shí)性的一種方法。數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來,可以保證信息在傳輸過程中的完整性,并提供信息發(fā)送者的身份驗(yàn)證,以防止信息發(fā)送者抵賴行為的發(fā)生。利用非對稱加密算法(例如RSA算法)進(jìn)行數(shù)字簽名是最常用的方法。數(shù)字簽名需要實(shí)現(xiàn)以下3項(xiàng)功能。(1)接收方可以核對發(fā)送方對報文的簽名,以確定對方的身份。(2)接收方在發(fā)送報文之后無法對發(fā)送的報文及簽名抵賴。(3)接收方無法偽造發(fā)送方的簽名。,數(shù)字簽名的工作原理,數(shù)字簽名使用兩對公開密鑰的加密/解密的密鑰,,數(shù)字簽名的具體工作過程,(1)發(fā)送方使用單向散列函數(shù)對要發(fā)送的信息進(jìn)行運(yùn)算,生成信息摘要。(2)發(fā)送方使用自己的私鑰,利用非對稱加密算法,對生成的信息摘要進(jìn)行數(shù)字簽名。(3)發(fā)送方通過網(wǎng)絡(luò)將信息本身和已進(jìn)行數(shù)字簽名的信息摘要發(fā)送給接收方。(4)接收方使用與發(fā)送方相同的單向散列函數(shù),對接收到的信息進(jìn)行運(yùn)算,重新生成信息摘要。(5)接收方使用發(fā)送方的公鑰對接收的信息摘要進(jìn)行解密。(6)將解密的信息摘要與重新生成的信息摘要進(jìn)行比較,以判斷信息在發(fā)送過程中是否被篡改過,9.3防火墻技術(shù),9.3.1防火墻的概念9.3.2實(shí)現(xiàn)防火墻的技術(shù)9.3.3防火墻的體系結(jié)構(gòu),9.3.1防火墻的概念,防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng),它包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用,防止內(nèi)部網(wǎng)絡(luò)受到外部非法用戶的攻擊。防火墻的位置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。,9.3.1防火墻的概念(續(xù)),防火墻的主要功能(1)檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。(2)檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。(3)執(zhí)行安全策略,限制所有不符合安全策略要求的數(shù)據(jù)包通過。(4)具有防攻擊能力,保證自身的安全性。防火墻只是一種整體安全防范策略的一部分。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。,9.3.2實(shí)現(xiàn)防火墻的技術(shù),實(shí)現(xiàn)防火墻的技術(shù)大體上分為兩類:一類作用于網(wǎng)絡(luò)層之上,保護(hù)整個網(wǎng)絡(luò)不受非法用戶的侵入,這類防火墻可以通過包過濾技術(shù)實(shí)現(xiàn);另一類作用于應(yīng)用層之上,控制對應(yīng)用層的訪問。包過濾技術(shù)應(yīng)用層網(wǎng)關(guān),包過濾技術(shù),包過濾技術(shù)是基于路由器技術(shù)的普通的路由器只對分組的網(wǎng)絡(luò)層包頭進(jìn)行處理,而包過濾路由器通過系統(tǒng)內(nèi)部設(shè)置的包過濾規(guī)則(即訪問控制表),檢查TCP報頭的端口號字節(jié)。,,包過濾規(guī)則舉例,包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。,包過濾的流程圖,包過濾路由器會對所有收到的分組按照每一條規(guī)則加以判斷凡是符合包轉(zhuǎn)發(fā)規(guī)則的被轉(zhuǎn)發(fā)不符合包轉(zhuǎn)發(fā)規(guī)則的包被丟棄。,應(yīng)用層網(wǎng)關(guān),作用于應(yīng)用層的防火墻技術(shù)稱為應(yīng)用層網(wǎng)關(guān),應(yīng)用層網(wǎng)關(guān)控制對應(yīng)用層的訪問。應(yīng)用層網(wǎng)關(guān)通過應(yīng)用程序訪問控制允許或禁止對某些程序的訪問。,,9.3.3防火墻的體系結(jié)構(gòu),在防火墻與網(wǎng)絡(luò)的配置上,有以下3種典型結(jié)構(gòu):雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式,堡壘主機(jī)是一種配置了較為全面的安全防范措施的網(wǎng)絡(luò)上的計算機(jī),從網(wǎng)絡(luò)安全上來看,堡壘主機(jī)是防火墻管理員認(rèn)為最強(qiáng)壯的系統(tǒng)。通常情況下,堡壘主機(jī)可作為應(yīng)用層網(wǎng)關(guān)的平臺。,雙宿/多宿主機(jī)防火墻,又稱為雙宿/多宿網(wǎng)關(guān)防火墻它是一種擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻,通常用一臺裝有兩塊或多網(wǎng)卡的堡壘主機(jī)做防火墻,兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連這種防火墻的特點(diǎn)是主機(jī)的路由功能是被禁止的,兩個網(wǎng)絡(luò)之間的通信通過應(yīng)用層代理服務(wù)來實(shí)現(xiàn)。,,屏蔽主機(jī)模式,由包過濾路由器和堡壘主機(jī)組成堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上,通常在路由器上設(shè)置過濾規(guī)則,并使這個堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可以直接到達(dá)的主機(jī),這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶攻擊。,,屏蔽子網(wǎng)模式,采用了兩個包過濾路由器和一個堡壘主機(jī)在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng),定義為“非軍事區(qū)”網(wǎng)絡(luò)。將堡壘主機(jī)、WWW服務(wù)器、E-mail服務(wù)器等公用的服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng),但禁止它們穿過屏蔽子網(wǎng)通信。,,9.4計算機(jī)病毒與木馬防治,9.4.1計算機(jī)病毒9.4.2特洛伊木馬,9.4.1計算機(jī)病毒,編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù),影響計算機(jī)使用并且自我復(fù)制的一組計算機(jī)指令或者程序代碼計算機(jī)病毒的特點(diǎn)計算機(jī)病毒的分類計算機(jī)病毒的預(yù)防計算機(jī)病毒的清除,計算機(jī)病毒的特點(diǎn),傳染性破壞性隱蔽性潛伏性,計算機(jī)病毒的分類,引導(dǎo)型病毒文件型病毒網(wǎng)絡(luò)病毒,計算機(jī)病毒的預(yù)防,管理上的預(yù)防管理人員充分認(rèn)識計算機(jī)病毒對計算機(jī)的危害性,制定完善的使用計算機(jī)的管理制度。用技術(shù)手段預(yù)防這是指采用一定的技術(shù)措施預(yù)防計算機(jī)病毒,如使用查殺毒軟件、防火墻軟件,一旦發(fā)現(xiàn)病毒及時向用戶發(fā)出警報等。,計算機(jī)病毒的清除,最佳的解決辦法就是用殺毒軟件對計算機(jī)進(jìn)行一次全面地清查。目前我國病毒的清查技術(shù)已經(jīng)成熟,已出現(xiàn)一些世界領(lǐng)先水平的殺毒軟件,如瑞星殺毒軟件、KV3000、KILL2000、金山毒霸等。,9.4.2特洛伊木馬,特洛伊木馬的概念木馬的特點(diǎn)木馬的防治,特洛伊木馬的概念,特洛伊木馬(以下簡稱木馬),英文叫做“TrojanHorse”,其名稱取自希臘神話的特洛伊木馬記。常用“特洛伊木馬”這一典故,用來比喻在敵方營壘里埋下伏兵里應(yīng)外合的活動。完整的木馬程序一般由兩個部份組成:一個是服務(wù)器程序,一個是控制器程序。,木馬的特點(diǎn),有效性隱蔽性頑固性易植入性近年來,木馬病毒技術(shù)取得了較大的發(fā)展,目前已徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術(shù),木馬病毒不再依賴于對用戶進(jìn)行簡單的欺騙,也可以不必修改系統(tǒng)注冊表、不開新端口、不在磁盤上保留新文件甚至可以沒有獨(dú)立的進(jìn)程,這些新特點(diǎn)使對木馬病毒的查殺變得愈加困難。,木馬的防治,(1)不要隨意打開來歷不明的郵件。(2)不要隨意下載來歷不明的軟件(3)及時修補(bǔ)漏洞和關(guān)閉可疑的端口。(4)盡量少用共享文件夾。(5)運(yùn)行實(shí)時監(jiān)控程序。(6)經(jīng)常升級系統(tǒng)和更新病毒庫。,- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 計算機(jī)網(wǎng)絡(luò)技術(shù)
鏈接地址:http://m.italysoccerbets.com/p-3593293.html