計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用-網(wǎng)絡(luò)安全

1、管理學(xué)院管理學(xué)院 信息管理系信息管理系 C314肖肖 潔潔 TEL算機(jī)網(wǎng)絡(luò)原理與應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的安全計(jì)算機(jī)網(wǎng)絡(luò)的安全 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 防火墻技術(shù)防火墻技術(shù)學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo)一、一、網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述安全安全：只有那些被授權(quán)的人才能使用其相應(yīng)的資源。：只有那些被授權(quán)的人才能使用其相應(yīng)的資源。計(jì)算機(jī)安全計(jì)算機(jī)安全：l 實(shí)體的安全性實(shí)體的安全性l 運(yùn)行環(huán)境的安全性運(yùn)行環(huán)境的安全性l 信息的安全性信息的安全性 1、網(wǎng)絡(luò)安全面臨的主要威脅、網(wǎng)絡(luò)安全面臨的主要威脅l身份竊取：指用戶的身份在通信時(shí)被他人非法截取。身份竊?。?/p>

2、指用戶的身份在通信時(shí)被他人非法截取。l非授權(quán)訪問(wèn)：指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或非授權(quán)訪問(wèn)：指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。越權(quán)使用等。l冒充合法用戶：指利用各種假冒或欺騙的手段非法獲得合冒充合法用戶：指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。l數(shù)據(jù)竊?。褐阜欠ㄓ脩艚厝⊥ㄐ啪W(wǎng)絡(luò)中的某些重要信息。數(shù)據(jù)竊?。褐阜欠ㄓ脩艚厝⊥ㄐ啪W(wǎng)絡(luò)中的某些重要信息。l破壞數(shù)據(jù)完整性：指使用非法手段，刪除、修改、重發(fā)某破壞數(shù)據(jù)完整性：指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。些

3、重要信息，以干擾用戶的正常使用。l拒絕服務(wù)：指通信被終止或?qū)崟r(shí)操作被延遲。拒絕服務(wù)：指通信被終止或?qū)崟r(shí)操作被延遲。l否認(rèn)：指通信的雙方有一方事后否認(rèn)曾參與某次活動(dòng)。否認(rèn)：指通信的雙方有一方事后否認(rèn)曾參與某次活動(dòng)。l數(shù)據(jù)流分析：指分析通信線路中的信息流向、流量和流數(shù)據(jù)流分析：指分析通信線路中的信息流向、流量和流速等，從中獲得有用信息。速等，從中獲得有用信息。l干擾系統(tǒng)正常運(yùn)行：指改變系統(tǒng)的正常運(yùn)行方法，減慢干擾系統(tǒng)正常運(yùn)行：指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。系統(tǒng)的響應(yīng)時(shí)間等手段。l病毒與惡意攻擊：指通過(guò)網(wǎng)絡(luò)傳播病毒或惡意攻擊。病毒與惡意攻擊：指通過(guò)網(wǎng)絡(luò)傳播病毒或惡意攻擊。2、導(dǎo)

4、致網(wǎng)絡(luò)不安全的因素、導(dǎo)致網(wǎng)絡(luò)不安全的因素 （1）環(huán)境）環(huán)境 （2）資源共享）資源共享 （3）數(shù)據(jù)通信）數(shù)據(jù)通信 搭線竊聽、電磁竊聽、網(wǎng)絡(luò)線路的輻射泄密等。搭線竊聽、電磁竊聽、網(wǎng)絡(luò)線路的輻射泄密等。 （4）計(jì)算機(jī)病毒）計(jì)算機(jī)病毒 （5）TCP/IP協(xié)議的安全缺陷：協(xié)議的安全缺陷：l 大多數(shù)大多數(shù)Internet上的流量是沒有加密的；上的流量是沒有加密的；l 很多基于很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在安的應(yīng)用服務(wù)都在不同程度上存在安 全問(wèn)題；全問(wèn)題；l 缺乏安全策略；缺乏安全策略；l 訪問(wèn)控制的配置一般十分復(fù)雜，易被錯(cuò)誤配置，從而給黑客訪問(wèn)控制的配置一般十分復(fù)雜，易被錯(cuò)誤配置，從而給

5、黑客可乘之機(jī)；可乘之機(jī)；l TCP/IP協(xié)議被公布于世，容易遭受破壞。協(xié)議被公布于世，容易遭受破壞。 3、安全技術(shù)措施、安全技術(shù)措施l如何認(rèn)證用戶使用名與他們的真實(shí)身份一致。如何認(rèn)證用戶使用名與他們的真實(shí)身份一致。l如何在網(wǎng)絡(luò)上不透明發(fā)送用戶名和密碼來(lái)進(jìn)行用戶認(rèn)證。如何在網(wǎng)絡(luò)上不透明發(fā)送用戶名和密碼來(lái)進(jìn)行用戶認(rèn)證。l如何確信這些服務(wù)在如何確信這些服務(wù)在Intranet和和Internet上均有效（如何避上均有效（如何避免在防火墻內(nèi)外采用不同的安全措施）。免在防火墻內(nèi)外采用不同的安全措施）。l如何在實(shí)時(shí)（例如網(wǎng)絡(luò)客戶與網(wǎng)絡(luò)服務(wù)器間的數(shù)據(jù)流）和如何在實(shí)時(shí)（例如網(wǎng)絡(luò)客戶與網(wǎng)絡(luò)服務(wù)器間的數(shù)據(jù)流）和存儲(chǔ)

6、轉(zhuǎn)發(fā)應(yīng)用（例如電子郵件）情況下保護(hù)通信秘密。存儲(chǔ)轉(zhuǎn)發(fā)應(yīng)用（例如電子郵件）情況下保護(hù)通信秘密。l如何確保在發(fā)送和接收間避免干擾。如何確保在發(fā)送和接收間避免干擾。l如何保護(hù)秘密文件，使得只有授權(quán)的用戶可以訪問(wèn)。如何保護(hù)秘密文件，使得只有授權(quán)的用戶可以訪問(wèn)。 4、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)安全措施一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：l社會(huì)的法律政策、安全的規(guī)章制度以及安全教育等外部軟社會(huì)的法律政策、安全的規(guī)章制度以及安全教育等外部軟環(huán)境。環(huán)境。l技術(shù)方面的措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存技術(shù)方面的措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信、

7、身份認(rèn)證、授權(quán)等。儲(chǔ)通信、身份認(rèn)證、授權(quán)等。l審計(jì)和管理措施：實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、提供實(shí)時(shí)改變審計(jì)和管理措施：實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等。安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等。 法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。是安全的防線。（1）局域網(wǎng)的安全技術(shù)）局域網(wǎng)的安全技術(shù)l實(shí)行實(shí)體訪問(wèn)控制：實(shí)行實(shí)體訪問(wèn)控制： 安裝雙層電子門、使用磁卡身份證等安裝雙層電子門、使用磁卡身份證等l保護(hù)網(wǎng)絡(luò)介質(zhì)：保護(hù)網(wǎng)絡(luò)介質(zhì)： 采取完好的屏蔽措施，避免電磁干擾，同時(shí)對(duì)系統(tǒng)設(shè)備、通

8、信采取完好的屏蔽措施，避免電磁干擾，同時(shí)對(duì)系統(tǒng)設(shè)備、通信線路定期檢查、維修。線路定期檢查、維修。l數(shù)據(jù)訪問(wèn)控制：數(shù)據(jù)訪問(wèn)控制： 特許用戶使用用戶口令、用戶提問(wèn)、訪問(wèn)矩陣。特許用戶使用用戶口令、用戶提問(wèn)、訪問(wèn)矩陣。l數(shù)據(jù)存儲(chǔ)保護(hù)：數(shù)據(jù)存儲(chǔ)保護(hù)： 磁盤安全保管、備份、多級(jí)管理、加密存儲(chǔ)等。磁盤安全保管、備份、多級(jí)管理、加密存儲(chǔ)等。l計(jì)算機(jī)病毒防護(hù)計(jì)算機(jī)病毒防護(hù)（2）廣域網(wǎng)的安全技術(shù)）廣域網(wǎng)的安全技術(shù)l數(shù)據(jù)通信加密：數(shù)據(jù)通信加密： DES算法、算法、RSA算法等對(duì)通信數(shù)據(jù)加密；算法等對(duì)通信數(shù)據(jù)加密； 在網(wǎng)絡(luò)中包括節(jié)點(diǎn)加密、鏈路加密、端對(duì)端加密。在網(wǎng)絡(luò)中包括節(jié)點(diǎn)加密、鏈路加密、端對(duì)端加密。l通信鏈路安

9、全保護(hù)：通信鏈路安全保護(hù)： 選取屏蔽性好的電纜（光纖），不要采用無(wú)線電波來(lái)選取屏蔽性好的電纜（光纖），不要采用無(wú)線電波來(lái)傳輸重要信息，以免電磁竊聽。傳輸重要信息，以免電磁竊聽。l采用局域網(wǎng)絡(luò)安全的各項(xiàng)措施。采用局域網(wǎng)絡(luò)安全的各項(xiàng)措施。 二、數(shù)據(jù)加密技術(shù)二、數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)：為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密：為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯所采用的主要技術(shù)手段之一。性，防止秘密數(shù)據(jù)被外部破譯所采用的主要技術(shù)手段之一。按作用不同，分為：按作用不同，分為：l 數(shù)據(jù)傳輸加密技術(shù)：對(duì)傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)傳輸加密技術(shù)：對(duì)傳輸中的數(shù)據(jù)流加密。l 數(shù)據(jù)存

10、儲(chǔ)加密技術(shù)：防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密。數(shù)據(jù)存儲(chǔ)加密技術(shù)：防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密。 密文存儲(chǔ)：通過(guò)加密算法轉(zhuǎn)換、附加密碼及加密模塊等方法實(shí)現(xiàn)密文存儲(chǔ)：通過(guò)加密算法轉(zhuǎn)換、附加密碼及加密模塊等方法實(shí)現(xiàn) 存取控制：對(duì)用戶資格加以審查和限制。存取控制：對(duì)用戶資格加以審查和限制。l 數(shù)據(jù)完整性鑒別技術(shù)：包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別數(shù)據(jù)完整性鑒別技術(shù)：包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別l 密鑰管理技術(shù)：包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)密鑰管理技術(shù)：包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán) 節(jié)上的保密措施。節(jié)上的保密措施。一般的數(shù)據(jù)加密模型一般的數(shù)據(jù)加密模型E加密算法明文XD解密算

11、法明文X密文Y=EKe(X)加密密鑰Ke加密密鑰Ke解密密鑰Kd截取者發(fā)端收端根據(jù)加密密鑰與解密密鑰是否相同，密碼技術(shù)可分根據(jù)加密密鑰與解密密鑰是否相同，密碼技術(shù)可分為常規(guī)密鑰密碼體制和公開密鑰密碼體制。為常規(guī)密鑰密碼體制和公開密鑰密碼體制。1、常規(guī)密鑰密碼體制、常規(guī)密鑰密碼體制 加密密鑰與解密密鑰是相同的。加密密鑰與解密密鑰是相同的。 最基本的密碼（最基本的密碼（1）替代密碼（）替代密碼（2）置換密碼）置換密碼2、公開密鑰密碼體制、公開密鑰密碼體制 加密密鑰（即公開密鑰）加密密鑰（即公開密鑰）PK是公開信息，加密算法是公開信息，加密算法E和和 解密算法解密算法D也都是公開的，而解密密鑰（即秘

12、密密鑰）也都是公開的，而解密密鑰（即秘密密鑰） SK是保密的。是保密的。 應(yīng)用最多的是應(yīng)用最多的是RSA體制。體制。三、防火墻技術(shù)三、防火墻技術(shù) 網(wǎng)絡(luò)的安全性主要指網(wǎng)絡(luò)信息的安全性和網(wǎng)網(wǎng)絡(luò)的安全性主要指網(wǎng)絡(luò)信息的安全性和網(wǎng)絡(luò)路由的安全性。絡(luò)路由的安全性。路由的安全性包括：路由的安全性包括：l 限制外部網(wǎng)對(duì)本地網(wǎng)的訪問(wèn)，從而保護(hù)本地網(wǎng)中的限制外部網(wǎng)對(duì)本地網(wǎng)的訪問(wèn)，從而保護(hù)本地網(wǎng)中的特定資源免受非法侵犯。特定資源免受非法侵犯。l 限制本地網(wǎng)對(duì)外部網(wǎng)的訪問(wèn)，主要是針對(duì)一些不健限制本地網(wǎng)對(duì)外部網(wǎng)的訪問(wèn)，主要是針對(duì)一些不健康信息及敏感信息的訪問(wèn)。康信息及敏感信息的訪問(wèn)。 1、防火墻的概念、防火墻的概念

13、它是一種由計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組它是一種由計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問(wèn)控制。之間的訪問(wèn)控制。 它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。2、防火墻具有以下優(yōu)點(diǎn)：、防火墻具有以下優(yōu)點(diǎn)：l 保護(hù)那些易受攻擊的服務(wù)。保護(hù)那些易受攻擊的服務(wù)。l 控制對(duì)特殊站點(diǎn)的訪問(wèn)。控制對(duì)特殊站點(diǎn)的訪問(wèn)。l 對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)

14、。對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)。3、防火墻的體系結(jié)構(gòu)、防火墻的體系結(jié)構(gòu) 安全控制基本準(zhǔn)則：安全控制基本準(zhǔn)則：l 一切未被允許的都是禁止的。一切未被允許的都是禁止的。l 一切未被禁止的都是允許的。一切未被禁止的都是允許的。 4、防火墻的類型、防火墻的類型 根據(jù)采用的技術(shù)不同，防火墻有兩種基本類型：根據(jù)采用的技術(shù)不同，防火墻有兩種基本類型： （1 1）包過(guò)濾型包過(guò)濾型。 網(wǎng)絡(luò)上的數(shù)據(jù)都以網(wǎng)絡(luò)上的數(shù)據(jù)都以“包包”為單位進(jìn)行傳輸，每一個(gè)為單位進(jìn)行傳輸，每一個(gè)數(shù)數(shù)據(jù)包包含諸如數(shù)據(jù)源地址、目標(biāo)地址、據(jù)包包含諸如數(shù)據(jù)源地址、目標(biāo)地址、TCP/UDP源端口源端口地址和目標(biāo)端口地址等特定信息。包過(guò)濾型防火墻通過(guò)地址和目標(biāo)端口地址等特定信息。包過(guò)濾型防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息并通過(guò)與系統(tǒng)管理員制定的規(guī)讀取數(shù)據(jù)包中的地址信息并通過(guò)與系統(tǒng)管理員制定的規(guī)則表進(jìn)行對(duì)比來(lái)判斷數(shù)據(jù)包是否來(lái)自可信任的安全地則表進(jìn)行對(duì)比來(lái)判斷數(shù)據(jù)包是否來(lái)自可信任的安全地點(diǎn)，并自動(dòng)將來(lái)自危險(xiǎn)地點(diǎn)的數(shù)據(jù)拒之門外。點(diǎn)，并自動(dòng)將來(lái)自危險(xiǎn)地點(diǎn)的數(shù)據(jù)拒之門外。（2 2）代理型代理型。 也稱為代理服務(wù)器或應(yīng)用網(wǎng)關(guān)，位于客戶機(jī)與服務(wù)器也稱為代理服務(wù)器或應(yīng)用網(wǎng)關(guān)，位于客戶機(jī)與服務(wù)器之間，阻隔兩者之間直接的數(shù)據(jù)交