計算機網(wǎng)絡(luò)原理與應(yīng)用-網(wǎng)絡(luò)安全

1、管理學(xué)院管理學(xué)院 信息管理系信息管理系 C314肖肖 潔潔 TEL算機網(wǎng)絡(luò)原理與應(yīng)用計算機網(wǎng)絡(luò)原理與應(yīng)用計算機網(wǎng)絡(luò)的安全計算機網(wǎng)絡(luò)的安全 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 防火墻技術(shù)防火墻技術(shù)學(xué)習(xí)目標學(xué)習(xí)目標一、一、網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述安全安全：只有那些被授權(quán)的人才能使用其相應(yīng)的資源。：只有那些被授權(quán)的人才能使用其相應(yīng)的資源。計算機安全計算機安全：l 實體的安全性實體的安全性l 運行環(huán)境的安全性運行環(huán)境的安全性l 信息的安全性信息的安全性 1、網(wǎng)絡(luò)安全面臨的主要威脅、網(wǎng)絡(luò)安全面臨的主要威脅l身份竊取：指用戶的身份在通信時被他人非法截取。身份竊取：

2、指用戶的身份在通信時被他人非法截取。l非授權(quán)訪問：指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或非授權(quán)訪問：指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或越權(quán)使用等。越權(quán)使用等。l冒充合法用戶：指利用各種假冒或欺騙的手段非法獲得合冒充合法用戶：指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達到占用合法用戶資源的目的。法用戶的使用權(quán)限，以達到占用合法用戶資源的目的。l數(shù)據(jù)竊?。褐阜欠ㄓ脩艚厝⊥ㄐ啪W(wǎng)絡(luò)中的某些重要信息。數(shù)據(jù)竊取：指非法用戶截取通信網(wǎng)絡(luò)中的某些重要信息。l破壞數(shù)據(jù)完整性：指使用非法手段，刪除、修改、重發(fā)某破壞數(shù)據(jù)完整性：指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。些

3、重要信息，以干擾用戶的正常使用。l拒絕服務(wù)：指通信被終止或?qū)崟r操作被延遲。拒絕服務(wù)：指通信被終止或?qū)崟r操作被延遲。l否認：指通信的雙方有一方事后否認曾參與某次活動。否認：指通信的雙方有一方事后否認曾參與某次活動。l數(shù)據(jù)流分析：指分析通信線路中的信息流向、流量和流數(shù)據(jù)流分析：指分析通信線路中的信息流向、流量和流速等，從中獲得有用信息。速等，從中獲得有用信息。l干擾系統(tǒng)正常運行：指改變系統(tǒng)的正常運行方法，減慢干擾系統(tǒng)正常運行：指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應(yīng)時間等手段。系統(tǒng)的響應(yīng)時間等手段。l病毒與惡意攻擊：指通過網(wǎng)絡(luò)傳播病毒或惡意攻擊。病毒與惡意攻擊：指通過網(wǎng)絡(luò)傳播病毒或惡意攻擊。2、導(dǎo)

4、致網(wǎng)絡(luò)不安全的因素、導(dǎo)致網(wǎng)絡(luò)不安全的因素 （1）環(huán)境）環(huán)境 （2）資源共享）資源共享 （3）數(shù)據(jù)通信）數(shù)據(jù)通信 搭線竊聽、電磁竊聽、網(wǎng)絡(luò)線路的輻射泄密等。搭線竊聽、電磁竊聽、網(wǎng)絡(luò)線路的輻射泄密等。 （4）計算機病毒）計算機病毒 （5）TCP/IP協(xié)議的安全缺陷：協(xié)議的安全缺陷：l 大多數(shù)大多數(shù)Internet上的流量是沒有加密的；上的流量是沒有加密的；l 很多基于很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在安的應(yīng)用服務(wù)都在不同程度上存在安 全問題；全問題；l 缺乏安全策略；缺乏安全策略；l 訪問控制的配置一般十分復(fù)雜，易被錯誤配置，從而給黑客訪問控制的配置一般十分復(fù)雜，易被錯誤配置，從而給

5、黑客可乘之機；可乘之機；l TCP/IP協(xié)議被公布于世，容易遭受破壞。協(xié)議被公布于世，容易遭受破壞。 3、安全技術(shù)措施、安全技術(shù)措施l如何認證用戶使用名與他們的真實身份一致。如何認證用戶使用名與他們的真實身份一致。l如何在網(wǎng)絡(luò)上不透明發(fā)送用戶名和密碼來進行用戶認證。如何在網(wǎng)絡(luò)上不透明發(fā)送用戶名和密碼來進行用戶認證。l如何確信這些服務(wù)在如何確信這些服務(wù)在Intranet和和Internet上均有效（如何避上均有效（如何避免在防火墻內(nèi)外采用不同的安全措施）。免在防火墻內(nèi)外采用不同的安全措施）。l如何在實時（例如網(wǎng)絡(luò)客戶與網(wǎng)絡(luò)服務(wù)器間的數(shù)據(jù)流）和如何在實時（例如網(wǎng)絡(luò)客戶與網(wǎng)絡(luò)服務(wù)器間的數(shù)據(jù)流）和存儲

6、轉(zhuǎn)發(fā)應(yīng)用（例如電子郵件）情況下保護通信秘密。存儲轉(zhuǎn)發(fā)應(yīng)用（例如電子郵件）情況下保護通信秘密。l如何確保在發(fā)送和接收間避免干擾。如何確保在發(fā)送和接收間避免干擾。l如何保護秘密文件，使得只有授權(quán)的用戶可以訪問。如何保護秘密文件，使得只有授權(quán)的用戶可以訪問。 4、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)安全措施一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：l社會的法律政策、安全的規(guī)章制度以及安全教育等外部軟社會的法律政策、安全的規(guī)章制度以及安全教育等外部軟環(huán)境。環(huán)境。l技術(shù)方面的措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存技術(shù)方面的措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、

7、身份認證、授權(quán)等。儲通信、身份認證、授權(quán)等。l審計和管理措施：實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變審計和管理措施：實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等。安全策略的能力、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等。 法律政策是安全的基石，技術(shù)是安全的保障，管理和審計法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。是安全的防線。（1）局域網(wǎng)的安全技術(shù)）局域網(wǎng)的安全技術(shù)l實行實體訪問控制：實行實體訪問控制： 安裝雙層電子門、使用磁卡身份證等安裝雙層電子門、使用磁卡身份證等l保護網(wǎng)絡(luò)介質(zhì)：保護網(wǎng)絡(luò)介質(zhì)： 采取完好的屏蔽措施，避免電磁干擾，同時對系統(tǒng)設(shè)備、通

8、信采取完好的屏蔽措施，避免電磁干擾，同時對系統(tǒng)設(shè)備、通信線路定期檢查、維修。線路定期檢查、維修。l數(shù)據(jù)訪問控制：數(shù)據(jù)訪問控制： 特許用戶使用用戶口令、用戶提問、訪問矩陣。特許用戶使用用戶口令、用戶提問、訪問矩陣。l數(shù)據(jù)存儲保護：數(shù)據(jù)存儲保護： 磁盤安全保管、備份、多級管理、加密存儲等。磁盤安全保管、備份、多級管理、加密存儲等。l計算機病毒防護計算機病毒防護（2）廣域網(wǎng)的安全技術(shù)）廣域網(wǎng)的安全技術(shù)l數(shù)據(jù)通信加密：數(shù)據(jù)通信加密： DES算法、算法、RSA算法等對通信數(shù)據(jù)加密；算法等對通信數(shù)據(jù)加密； 在網(wǎng)絡(luò)中包括節(jié)點加密、鏈路加密、端對端加密。在網(wǎng)絡(luò)中包括節(jié)點加密、鏈路加密、端對端加密。l通信鏈路安

9、全保護：通信鏈路安全保護： 選取屏蔽性好的電纜（光纖），不要采用無線電波來選取屏蔽性好的電纜（光纖），不要采用無線電波來傳輸重要信息，以免電磁竊聽。傳輸重要信息，以免電磁竊聽。l采用局域網(wǎng)絡(luò)安全的各項措施。采用局域網(wǎng)絡(luò)安全的各項措施。 二、數(shù)據(jù)加密技術(shù)二、數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)：為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密：為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯所采用的主要技術(shù)手段之一。性，防止秘密數(shù)據(jù)被外部破譯所采用的主要技術(shù)手段之一。按作用不同，分為：按作用不同，分為：l 數(shù)據(jù)傳輸加密技術(shù)：對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)傳輸加密技術(shù)：對傳輸中的數(shù)據(jù)流加密。l 數(shù)據(jù)存

10、儲加密技術(shù)：防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密。數(shù)據(jù)存儲加密技術(shù)：防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密。 密文存儲：通過加密算法轉(zhuǎn)換、附加密碼及加密模塊等方法實現(xiàn)密文存儲：通過加密算法轉(zhuǎn)換、附加密碼及加密模塊等方法實現(xiàn) 存取控制：對用戶資格加以審查和限制。存取控制：對用戶資格加以審查和限制。l 數(shù)據(jù)完整性鑒別技術(shù)：包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別數(shù)據(jù)完整性鑒別技術(shù)：包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別l 密鑰管理技術(shù)：包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)密鑰管理技術(shù)：包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán) 節(jié)上的保密措施。節(jié)上的保密措施。一般的數(shù)據(jù)加密模型一般的數(shù)據(jù)加密模型E加密算法明文XD解密算

11、法明文X密文Y=EKe(X)加密密鑰Ke加密密鑰Ke解密密鑰Kd截取者發(fā)端收端根據(jù)加密密鑰與解密密鑰是否相同，密碼技術(shù)可分根據(jù)加密密鑰與解密密鑰是否相同，密碼技術(shù)可分為常規(guī)密鑰密碼體制和公開密鑰密碼體制。為常規(guī)密鑰密碼體制和公開密鑰密碼體制。1、常規(guī)密鑰密碼體制、常規(guī)密鑰密碼體制 加密密鑰與解密密鑰是相同的。加密密鑰與解密密鑰是相同的。 最基本的密碼（最基本的密碼（1）替代密碼（）替代密碼（2）置換密碼）置換密碼2、公開密鑰密碼體制、公開密鑰密碼體制 加密密鑰（即公開密鑰）加密密鑰（即公開密鑰）PK是公開信息，加密算法是公開信息，加密算法E和和 解密算法解密算法D也都是公開的，而解密密鑰（即秘

12、密密鑰）也都是公開的，而解密密鑰（即秘密密鑰） SK是保密的。是保密的。 應(yīng)用最多的是應(yīng)用最多的是RSA體制。體制。三、防火墻技術(shù)三、防火墻技術(shù) 網(wǎng)絡(luò)的安全性主要指網(wǎng)絡(luò)信息的安全性和網(wǎng)網(wǎng)絡(luò)的安全性主要指網(wǎng)絡(luò)信息的安全性和網(wǎng)絡(luò)路由的安全性。絡(luò)路由的安全性。路由的安全性包括：路由的安全性包括：l 限制外部網(wǎng)對本地網(wǎng)的訪問，從而保護本地網(wǎng)中的限制外部網(wǎng)對本地網(wǎng)的訪問，從而保護本地網(wǎng)中的特定資源免受非法侵犯。特定資源免受非法侵犯。l 限制本地網(wǎng)對外部網(wǎng)的訪問，主要是針對一些不健限制本地網(wǎng)對外部網(wǎng)的訪問，主要是針對一些不健康信息及敏感信息的訪問。康信息及敏感信息的訪問。 1、防火墻的概念、防火墻的概念

13、它是一種由計算機硬件和軟件組成的一個或一組它是一種由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內(nèi)部網(wǎng)絡(luò)和系統(tǒng)，用于增強內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問控制。之間的訪問控制。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。2、防火墻具有以下優(yōu)點：、防火墻具有以下優(yōu)點：l 保護那些易受攻擊的服務(wù)。保護那些易受攻擊的服務(wù)。l 控制對特殊站點的訪問?？刂茖μ厥庹军c的訪問。l 對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計

14、。對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計。3、防火墻的體系結(jié)構(gòu)、防火墻的體系結(jié)構(gòu) 安全控制基本準則：安全控制基本準則：l 一切未被允許的都是禁止的。一切未被允許的都是禁止的。l 一切未被禁止的都是允許的。一切未被禁止的都是允許的。 4、防火墻的類型、防火墻的類型 根據(jù)采用的技術(shù)不同，防火墻有兩種基本類型：根據(jù)采用的技術(shù)不同，防火墻有兩種基本類型： （1 1）包過濾型包過濾型。 網(wǎng)絡(luò)上的數(shù)據(jù)都以網(wǎng)絡(luò)上的數(shù)據(jù)都以“包包”為單位進行傳輸，每一個為單位進行傳輸，每一個數(shù)數(shù)據(jù)包包含諸如數(shù)據(jù)源地址、目標地址、據(jù)包包含諸如數(shù)據(jù)源地址、目標地址、TCP/UDP源端口源端口地址和目標端口地址等特定信息。包過濾型防火墻通過地址和目標端口地址等特定信息。包過濾型防火墻通過讀取數(shù)據(jù)包中的地址信息并通過與系統(tǒng)管理員制定的規(guī)讀取數(shù)據(jù)包中的地址信息并通過與系統(tǒng)管理員制定的規(guī)則表進行對比來判斷數(shù)據(jù)包是否來自可信任的安全地則表進行對比來判斷數(shù)據(jù)包是否來自可信任的安全地點，并自動將來自危險地點的數(shù)據(jù)拒之門外。點，并自動將來自危險地點的數(shù)據(jù)拒之門外。（2 2）代理型代理型。 也稱為代理服務(wù)器或應(yīng)用網(wǎng)關(guān)，位于客戶機與服務(wù)器也稱為代理服務(wù)器或應(yīng)用網(wǎng)關(guān)，位于客戶機與服務(wù)器之間，阻隔兩者之間直接的數(shù)據(jù)交