一章節(jié)網(wǎng)絡(luò)安全概述課件

第一章網(wǎng)絡(luò)安全概述

本章主要內(nèi)容：第一節(jié)網(wǎng)絡(luò)安全簡(jiǎn)介第二節(jié)網(wǎng)絡(luò)安全面臨的威脅第三節(jié)網(wǎng)絡(luò)出現(xiàn)安全威脅的原因第四節(jié)網(wǎng)絡(luò)的安全機(jī)制

7/3/20231網(wǎng)絡(luò)安全概述共43頁對(duì)安全的理解

古代的安全措施:鎖、墻、護(hù)城河、衛(wèi)兵。孫子說：多于一個(gè)人知道的秘密，就不再安全了。7/3/20232網(wǎng)絡(luò)安全概述共43頁7/3/20233網(wǎng)絡(luò)安全概述共43頁網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。7/3/20234網(wǎng)絡(luò)安全概述共43頁網(wǎng)絡(luò)安全的攻防體系

7/3/20235網(wǎng)絡(luò)安全概述共43頁7/3/20236網(wǎng)絡(luò)安全概述共43頁第一節(jié)網(wǎng)絡(luò)安全簡(jiǎn)介

物理安全邏輯安全操作系統(tǒng)安全聯(lián)網(wǎng)安全1．天災(zāi)2．人禍3．系統(tǒng)本身安全威脅的來源7/3/20237網(wǎng)絡(luò)安全概述共43頁1.1.1物理安全1．防盜像其他的物體一樣，計(jì)算機(jī)也是偷竊者的目標(biāo)，例如盜走軟盤、主板等。計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)本身的價(jià)值，因此必須采取嚴(yán)格的防范措施，以確保計(jì)算機(jī)設(shè)備不會(huì)丟失。

7/3/20238網(wǎng)絡(luò)安全概述共43頁2．防火計(jì)算機(jī)機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為事故或外部火災(zāi)蔓延引起的。電氣設(shè)備和線路因?yàn)槎搪贰⑦^載、接觸不良、絕緣層破壞或靜電等原因引起電打火而導(dǎo)致火災(zāi)。人為事故是指由于操作人員不慎，吸煙、亂扔煙頭等，使充滿易燃物質(zhì)（如紙片、磁帶、膠片等）的機(jī)房起火，當(dāng)然也不排除人為故意放火。外部火災(zāi)蔓延是因外部房間或其他建筑物起火而蔓延到機(jī)房而引起火災(zāi)。

7/3/20239網(wǎng)絡(luò)安全概述共43頁3．防靜電靜電是由物體間的相互磨擦、接觸而產(chǎn)生的。靜電產(chǎn)生后，由于它不能泄放而保留在物體內(nèi)，產(chǎn)生很高的電位（能量不大），而靜電放電時(shí)發(fā)生火花，造成火災(zāi)或損壞芯片。計(jì)算機(jī)信息系統(tǒng)的各個(gè)關(guān)鍵電路，諸如CPU、ROM、RAM等大都采用MOS工藝的大規(guī)模集成電路，對(duì)靜電極為敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。機(jī)房?jī)?nèi)一般應(yīng)采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。7/3/202310網(wǎng)絡(luò)安全概述共43頁4．防雷擊機(jī)房的外部防雷應(yīng)使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道。機(jī)器設(shè)備應(yīng)有專用地線，機(jī)房本身有避雷設(shè)施，設(shè)備(包括通信設(shè)備和電源設(shè)備)有防雷擊的技術(shù)設(shè)施，機(jī)房的內(nèi)部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護(hù)等技術(shù)措施以及攔截、屏蔽、均壓、分流、接地等方法，達(dá)到防雷的目的。機(jī)房的設(shè)備本身也應(yīng)有避雷裝置和設(shè)施。7/3/202311網(wǎng)絡(luò)安全概述共43頁5．防輻射7/3/202312網(wǎng)絡(luò)安全概述共43頁俄羅斯國(guó)防部隊(duì)秘密用于信息收集的雷達(dá)站（外墻是防電磁輻射或電磁泄露的特殊金屬墻）。

7/3/202313網(wǎng)絡(luò)安全概述共43頁

計(jì)算機(jī)的邏輯安全需要用口令字、文件許可、查賬等方法來實(shí)現(xiàn)。

案例分析:

例一、2019年8月21日，一自稱是前蘇聯(lián)克格勃人員通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)入美國(guó)花旗銀行。轉(zhuǎn)走1160萬元美金的巨款。

例二、2019年9月，郝景龍、郝景文兩兄弟通過在工行儲(chǔ)蓄所安裝遙控發(fā)射裝置，侵入銀行電腦系統(tǒng)，非法存入72萬元，取走26萬元。這是被我國(guó)法學(xué)界稱為98年中國(guó)十大罪案之一的全國(guó)首例利用計(jì)算機(jī)網(wǎng)絡(luò)盜竊銀行巨款的案件。

1.1.2邏輯安全7/3/202314網(wǎng)絡(luò)安全概述共43頁1.1.3操作系統(tǒng)安全一、常用操作系統(tǒng)簡(jiǎn)單介紹

Windows98是一款較老的系統(tǒng)，它也是Microsoft最著名的操作系統(tǒng)。以其對(duì)硬件強(qiáng)大的管理性和軟件兼容性成為單機(jī)用戶的首選操作系統(tǒng)。由于其自身能夠支持的網(wǎng)絡(luò)服務(wù)較少而相對(duì)安全。缺點(diǎn)是：穩(wěn)定性不強(qiáng)，極易出現(xiàn)藍(lán)屏死機(jī)。

相當(dāng)于Windows98系統(tǒng)的升級(jí)版，穩(wěn)定性稍強(qiáng)于Windows98。

7/3/202315網(wǎng)絡(luò)安全概述共43頁是一款把“專用的服務(wù)器WindowsNT系統(tǒng)”同“個(gè)人操作系統(tǒng)”結(jié)合的系統(tǒng)。適用于服務(wù)器、客戶機(jī)。優(yōu)點(diǎn)是：穩(wěn)定性強(qiáng)，一般不會(huì)出現(xiàn)“藍(lán)屏”死機(jī)；Server版提供強(qiáng)大的網(wǎng)絡(luò)功能，可以在上面實(shí)現(xiàn)大部分的網(wǎng)絡(luò)服務(wù)；對(duì)應(yīng)用軟件的兼容性強(qiáng)于WindowsNT。缺點(diǎn)是：漏洞太多，安全性不高，因提供較多的網(wǎng)絡(luò)服務(wù)，成為黑客攻擊的對(duì)象。

WindowsXP保留了Windows2000的穩(wěn)定性，又融入了更多的個(gè)人用戶操作特性，是除Windows98系統(tǒng)外，個(gè)人用戶使用較多的系統(tǒng)之一。優(yōu)點(diǎn)是：軟件兼容性好，其兼容性更優(yōu)于Windows2000；對(duì)硬件的支持比Windows98更卓越，因?yàn)槭切掳l(fā)布的系統(tǒng)，里面包含了更多新硬件的驅(qū)動(dòng)程序；安全性較高，系統(tǒng)內(nèi)部集成了網(wǎng)絡(luò)防火墻；穩(wěn)定性好，可以和Windows2000媲美，一般不會(huì)出現(xiàn)“藍(lán)屏”死機(jī)。缺點(diǎn)是：資源占有量大，對(duì)計(jì)算機(jī)的硬件要求較高。建議個(gè)人用戶使用WindowsXP操作系統(tǒng)。

7/3/202316網(wǎng)絡(luò)安全概述共43頁

是Microsoft發(fā)布的最新一款服務(wù)器操作系統(tǒng)，內(nèi)部集成的網(wǎng)絡(luò)組件和服務(wù)多于Windows2000，不過操作復(fù)雜（連“重啟”時(shí)，系統(tǒng)都會(huì)詢問重啟的原因），不適合個(gè)人用戶。

開放的Linux

Linux的源代碼公開，用戶可以根據(jù)自己需要修改系統(tǒng)核心。安全性也優(yōu)于Windows系列操作系統(tǒng)，至少Linux上的病毒很少見。不過它操作復(fù)雜，習(xí)慣Windows的用戶，對(duì)Linux不易上手。除服務(wù)器使用外，個(gè)人用戶使用較少。

7/3/202317網(wǎng)絡(luò)安全概述共43頁1.1.3操作系統(tǒng)安全

操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。

以ＸＰ為例，其穩(wěn)定性、強(qiáng)大的個(gè)人和網(wǎng)絡(luò)功能為大家所推崇，漏洞層出不窮。我們應(yīng)注意以下幾方面：

1、做好常規(guī)的安全防護(hù)

（安裝防病毒軟件、升級(jí)系統(tǒng)、禁止Ping）２、禁止遠(yuǎn)程協(xié)助，屏蔽閑置的端口

３、禁止終端服務(wù)遠(yuǎn)程控制

4、合理管理Administrator

7/3/202318網(wǎng)絡(luò)安全概述共43頁1.1.4聯(lián)網(wǎng)安全

聯(lián)網(wǎng)的安全性只能通過以下兩方面的安全服務(wù)來達(dá)到：1．訪問控制服務(wù)：用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。2．通信安全服務(wù)：用來認(rèn)證數(shù)據(jù)機(jī)要性與完整性，以及各通信的可信賴性。7/3/202319網(wǎng)絡(luò)安全概述共43頁物理威脅系統(tǒng)漏洞造成的威脅身份鑒別威脅線纜連接威脅有害程序1.2網(wǎng)絡(luò)安全面臨的威脅7/3/202320網(wǎng)絡(luò)安全概述共43頁1.2.1物理威脅1．偷竊網(wǎng)絡(luò)安全中的偷竊包括偷竊設(shè)備、偷竊信息和偷竊服務(wù)等內(nèi)容。

我將整臺(tái)計(jì)算機(jī)偷走，并及時(shí)通過監(jiān)視器讀取計(jì)算機(jī)中的信息。

7/3/202321網(wǎng)絡(luò)安全概述共43頁2．廢物搜尋就是在廢物（如一些打印出來的材料或廢棄的軟盤）中搜尋所需要的信息。在微機(jī)上，廢物搜尋可能包括從未抹掉有用東西的軟盤或硬盤上獲得有用資料。

3．間諜行為是一種為了省錢或獲取有價(jià)值的機(jī)密、什么不道德的行為都會(huì)采用的商業(yè)過程。

7/3/202322網(wǎng)絡(luò)安全概述共43頁4．身份識(shí)別錯(cuò)誤非法建立文件或記錄，企圖把他們作為有效的、正式生產(chǎn)的文件或記錄，如對(duì)具有身份鑒別特征物品如護(hù)照、執(zhí)照、出生證明或加密的安全卡進(jìn)行偽造，屬于身份識(shí)別發(fā)生錯(cuò)誤的范疇。這種行為對(duì)網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。

防范措施：密碼、智能卡、指紋和虹膜7/3/202323網(wǎng)絡(luò)安全概述共43頁1.2.2系統(tǒng)漏洞造成的威脅1．乘虛而入

例如，用戶A停止了與某個(gè)系統(tǒng)的通信，但由于某種原因仍使該系統(tǒng)上的一個(gè)端口處于激活狀態(tài)，這時(shí)，用戶B通過這個(gè)端口開始與這個(gè)系統(tǒng)通信，這樣就不必通過任何申請(qǐng)使用端口的安全檢查了。

A---B（Hi，我是A）B---A（Hi,我是銀行）A---B（我要轉(zhuǎn)帳）B---A（OK，轉(zhuǎn)多少）A---B（10元）B---A（OK，已完畢）A---B（稍等，我還要轉(zhuǎn)）C---B（Hi，我是A）B---C（Hi,我是銀行）C---B（我還要轉(zhuǎn)帳）B---C（OK，轉(zhuǎn)多少）C---B（100000元）B---C（OK，已完畢）C---B（thankyou7/3/202324網(wǎng)絡(luò)安全概述共43頁2．不安全服務(wù)有時(shí)操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)器的安全系統(tǒng)，互聯(lián)網(wǎng)蠕蟲就利用了BerkeLeyUNIX系統(tǒng)中三個(gè)這樣的可繞過機(jī)制。

3．配置和初始化如果不得不關(guān)掉一臺(tái)服務(wù)器以維修它的某個(gè)子系統(tǒng)，幾天后當(dāng)重啟動(dòng)服務(wù)器時(shí)，可能會(huì)招致用戶的抱怨，說他們的文件丟失了或被篡改了，這就有可能是在系統(tǒng)重新初始化時(shí)，安全系統(tǒng)沒有被正確地初始化，從而留下了安全漏洞讓人利用，類似的問題在特洛伊木馬程序修改了系統(tǒng)的安全配置文件時(shí)也會(huì)發(fā)生。7/3/202325網(wǎng)絡(luò)安全概述共43頁1.2.3身份鑒別威脅1．口令圈套口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)，與冒名頂替有關(guān)。常用的口令圈套通過一個(gè)編譯代碼模塊實(shí)現(xiàn)，它運(yùn)行起來和登錄屏幕一模一樣，被插入到正常有登錄過程之前，最終用戶看到的只是先后兩個(gè)登錄屏幕，第一次登錄失敗了，所以用戶被要求再輸入用戶名和口令。實(shí)際上，第一次登錄并沒有失敗，它將登錄數(shù)據(jù)，如用戶名和口令寫入到這個(gè)數(shù)據(jù)文件中，留待使用。

7/3/202326網(wǎng)絡(luò)安全概述共43頁2．口令破解破解口令就象是猜測(cè)自行車密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成許多能提高成功率的技巧。

3．算法考慮不周口令輸入過程必須在滿足一定條件下才能正常地工作，這個(gè)過程通過某些算法實(shí)現(xiàn)。在一些攻擊入侵案例中，入侵者采用超長(zhǎng)的字符串破壞了口令算法，成功地進(jìn)入了系統(tǒng)。7/3/202327網(wǎng)絡(luò)安全概述共43頁4．編輯口令

編輯口令需要依靠?jī)?nèi)部漏洞，如果公司內(nèi)部的人建立了一個(gè)虛設(shè)的賬戶或修改了一個(gè)隱含賬戶的口令，這樣，任何知道那個(gè)賬戶的用戶名和口令的人便可以訪問該機(jī)器了。7/3/202328網(wǎng)絡(luò)安全概述共43頁1.2.4線纜連接威脅1．竊聽對(duì)通信過程進(jìn)行竊聽可達(dá)到收集信息的目的，這種電子竊聽不一定需要竊聽設(shè)備一定安裝在線纜上，可以通過檢測(cè)從連線上發(fā)射出來的電磁輻射就能拾取所要的信號(hào)，為了使機(jī)構(gòu)內(nèi)部的通信有一定的保密性，可以使用加密手段來防止信息被解密。

7/3/202329網(wǎng)絡(luò)安全概述共43頁2．撥號(hào)進(jìn)入擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號(hào)碼，每個(gè)人都可以試圖通過遠(yuǎn)程撥號(hào)訪問網(wǎng)絡(luò)，尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí)，就會(huì)對(duì)網(wǎng)絡(luò)造成很大的威脅。3．冒名頂替通過使用別人的密碼和賬號(hào)時(shí)，獲得對(duì)網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)起來并不容易，而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。7/3/202330網(wǎng)絡(luò)安全概述共43頁1．病毒

病毒是一種把自己的拷貝附著于機(jī)器中的另一程序上的一段代碼。通過這種方式病毒可以進(jìn)行自我復(fù)制，并隨著它所附著的程序在機(jī)器之間傳播。

1.2.5有害程序7/3/202331網(wǎng)絡(luò)安全概述共43頁7/3/202332網(wǎng)絡(luò)安全概述共43頁7/3/202333網(wǎng)絡(luò)安全概述共43頁7/3/202334網(wǎng)絡(luò)安全概述共43頁2．代碼炸彈(內(nèi)嵌在合法程序中的代碼）

是一種具有殺傷力的代碼，其原理是一旦到達(dá)設(shè)定的日期或鐘點(diǎn)，或在機(jī)器中發(fā)生了某種操作，代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。代碼炸彈不必像病毒那樣四處傳播，程序員將代碼炸彈寫入軟件中，使其產(chǎn)生了一個(gè)不能輕易地找到的安全漏洞，一旦該代碼炸彈被觸發(fā)后，這個(gè)程序員便會(huì)被請(qǐng)回來修正這個(gè)錯(cuò)誤，并賺一筆錢，這種高技術(shù)的敲詐的受害者甚至不知道他們被敲詐了，即便他們有疑心也無法證實(shí)自己的猜測(cè)。7/3/202335網(wǎng)絡(luò)安全概述共43頁3．特洛伊木馬

7/3/202336網(wǎng)絡(luò)安全概述共43頁4．更新或下載

不同于特洛伊木馬，有些網(wǎng)絡(luò)系統(tǒng)允許通過調(diào)制解調(diào)器進(jìn)行固件和操作系統(tǒng)更新，于是非法闖入者便可以解開這種更新方法，對(duì)系統(tǒng)進(jìn)行非法更新。7/3/202337網(wǎng)絡(luò)安全概述共43頁薄弱的認(rèn)證環(huán)節(jié)

網(wǎng)絡(luò)上的認(rèn)證通常是使用口令來實(shí)現(xiàn)的，但口令有公認(rèn)的薄弱性。網(wǎng)上口令可以通過許多方法破譯，其中最常用的兩種方法是把加密的口令解密和通過信道竊取口令。

1.3網(wǎng)絡(luò)出現(xiàn)安全威脅的原因7/3/202338網(wǎng)絡(luò)安全概述共43頁2.系統(tǒng)的易被監(jiān)視性用戶使用Telnet或FTP連接他在遠(yuǎn)程主機(jī)上的賬戶，在網(wǎng)上傳的口令是沒有加密的。入侵者可以通過監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權(quán)級(jí)訪問就變得更容易了。成千上萬的系統(tǒng)就是被這種方式侵入的。7/3/202339網(wǎng)絡(luò)安全概述共43頁3.易欺騙性TCP或UDP服務(wù)相信主機(jī)的地址。如果使用“IPSourceRouting”，那么攻擊者的主機(jī)就可以冒充一個(gè)被信任的主機(jī)或客戶。具體步驟：

第一，攻擊者要使用那個(gè)被信任的客戶的IP地址取代自己的地址；第二，攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)；第三，攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)；第四，服務(wù)器接受客戶申請(qǐng)，就好象是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)；第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。7/3/202340網(wǎng)絡(luò)安全概述共43頁4.有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī)主機(jī)的安全管理既困難有費(fèi)時(shí)。為了降低管理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如NIS和NFS之類的服務(wù)。這些服務(wù)通過允許一些數(shù)據(jù)庫（如口令文件）以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過多的管理工作量。但這些服務(wù)帶來了不安全因素，可以被有經(jīng)驗(yàn)闖入者利用以獲得訪問權(quán)。一些系統(tǒng)（如rlogin）處于方便用戶并加強(qiáng)系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們相互“信任”。如果一個(gè)系統(tǒng)被侵入或欺騙，那么闖入者來說，獲取那些信任其他系統(tǒng)的訪問權(quán)就很簡(jiǎn)單了。7/3/202341網(wǎng)絡(luò)安全概述共43頁5.復(fù)雜的設(shè)置和控制主機(jī)系統(tǒng)的訪問控制配置復(fù)雜且難于驗(yàn)證。因此偶然的配置錯(cuò)誤會(huì)使闖入者獲取訪問權(quán)。一些主要的Unix經(jīng)銷商仍然把Unix配置成具有最大訪問權(quán)的系統(tǒng)，這將導(dǎo)致未經(jīng)許可的訪問。許多網(wǎng)上的安全事故原因是由于入侵者發(fā)現(xiàn)的弱點(diǎn)造成。6.無法估計(jì)主機(jī)的安全性主機(jī)系統(tǒng)的安全性無法很好的估計(jì)：隨著一個(gè)站點(diǎn)的主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)的安全性都處在高水平的能力卻在下降。只用管理一臺(tái)系統(tǒng)的能力來管理如此多的系統(tǒng)就容易犯錯(cuò)誤。另一因素是系統(tǒng)管理的作用經(jīng)常變換并行動(dòng)遲緩。這導(dǎo)致一些系統(tǒng)的安全性比另一些要低。這些系統(tǒng)將成為薄弱環(huán)節(jié)，最終將破壞這個(gè)安全鏈。7/3/202342網(wǎng)絡(luò)安全概述共43頁加密機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制數(shù)字簽名機(jī)制交換鑒別機(jī)制公證機(jī)制流量填充機(jī)制路由控制機(jī)制1.4網(wǎng)絡(luò)的安全機(jī)制

7/3/202343網(wǎng)絡(luò)安全概述共43頁1.加密機(jī)制加密是提供信息保密的核心方法。按照密鑰的類型不同，加密算法可分為對(duì)稱密鑰算法和非對(duì)稱密鑰算法兩種。按照密碼體制的不同，又可以分為序列密碼算法和分組密碼算法兩種。加密算法除了提供信息的保密性之外，它和其他技術(shù)結(jié)合，例如hash函數(shù)，還能提供信息的完整性。加密技術(shù)不僅應(yīng)用于數(shù)據(jù)通信和存儲(chǔ)，也應(yīng)用于程序的運(yùn)行，通過對(duì)程序的運(yùn)行實(shí)行加密保護(hù)，可以防止軟件被非法復(fù)制，防止軟件的安全機(jī)制被破壞，這就是軟件加密技術(shù)。

7/3/202344網(wǎng)絡(luò)安全概述共43頁2.訪問控制機(jī)制訪問控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，這種服務(wù)不僅可以提供給單個(gè)用戶，也可以提供給用戶組的所有用戶。訪問控制是通過對(duì)訪問者的有關(guān)信息進(jìn)行檢查來限制或禁止訪問者使用資源的技術(shù)，分為高層訪問控制和低層訪問控制。高層訪問控制包括身份檢查和權(quán)限確認(rèn)，是通過對(duì)用戶口令、用戶權(quán)限、資源屬性的檢查和對(duì)比來實(shí)現(xiàn)的。低層訪問控制是通過對(duì)通信協(xié)議中的某些特征信息的識(shí)別、判斷，來禁止或允許用戶訪問的措施。如在路由器上設(shè)置過濾規(guī)則進(jìn)行數(shù)據(jù)包過濾，就屬于低層訪問控制。

7/3/202345網(wǎng)絡(luò)安全概述共43頁3.數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)序列的完整性兩個(gè)方面。數(shù)據(jù)單元的完整性是指組成一個(gè)單元的一段數(shù)據(jù)不被破壞和增刪篡改，通常是把包括有數(shù)字簽名的文件用hash函數(shù)產(chǎn)生一個(gè)標(biāo)記，接收者在收到文件后也用相同的hash函數(shù)處理一遍，看看產(chǎn)生的標(biāo)記是否相同就可知道數(shù)據(jù)是否完整。數(shù)據(jù)序列的完整性是指發(fā)出的數(shù)據(jù)分割為按序列號(hào)編排的許多單元時(shí)，在接收時(shí)還能按原來的序列把數(shù)據(jù)串聯(lián)起來，而不要發(fā)生數(shù)據(jù)單元的丟失、重復(fù)、亂序、假冒等情況。

7/3/202346網(wǎng)絡(luò)安全概述共43頁4.數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制主要解決以下安全問題：1．否認(rèn)：事后發(fā)送者不承認(rèn)文件是他發(fā)送的。2．偽造：有人自己偽造了一份文件，卻聲稱是某人發(fā)送的。3．冒充：冒充別人的身份在網(wǎng)上發(fā)送文件。4．篡改：接收者私自篡改文件的內(nèi)容。數(shù)字簽名機(jī)制具有可證實(shí)性、不可否認(rèn)性、不可偽造性和不可重用性。7/3/202347網(wǎng)絡(luò)安全概述共43頁5.交換鑒別機(jī)制交換鑒別機(jī)制是通過互相交換信息的方式來確定彼此的身份。用于交換鑒別的技術(shù)有：1．口令：由發(fā)送方給出自己的口令，以證明自己的身份，接收方則根據(jù)口令來判斷對(duì)方的身份。