計算機網絡技術第9章.ppt
《計算機網絡技術第9章.ppt》由會員分享,可在線閱讀,更多相關《計算機網絡技術第9章.ppt(43頁珍藏版)》請在裝配圖網上搜索。
第9章計算機網絡安全,,主要內容,9.1網絡安全概述9.2密碼學9.3防火墻技術9.4計算機病毒與木馬防治,9.1網絡安全概述,9.1.1計算機網絡面臨的安全威脅9.1.2網絡安全服務9.1.3網絡安全機制9.1.4網絡安全標準,9.1.1計算機網絡面臨的安全威脅,(1)偽裝(2)非法連接(3)非授權訪問(4)拒絕服務(5)抵賴(6)信息泄露(7)通信量分析(8)無效的信息流(9)篡改或破壞數據(10)推斷或演繹信息(11)非法篡改程序,9.1.2網絡安全服務,ISO描述了在OSI參考模型下進行安全通信所必須提供的5種安全服務鑒別服務訪問控制服務數據保密服務數據完整性服務防抵賴服務-數字簽名,9.1.3網絡安全機制,加密機制數字簽名機制訪問控制機制數據完整性機制認證(鑒別)機制通信業(yè)務填充機制路由選擇控制機制公證機制,9.1.4網絡安全標準,可信任計算機標準評估準則(TCSEC)1970年由美國國防科學委員會提出,于1985年12月由美國國防部公布,最初只是軍用標準,后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級共7個級別,即D、C1、C2、B1、B2、B3與A1。其中D級系統的安全要求最低,A1級系統的安全要求最高。D級安全標準要求最低,屬于非安全保護類,它不能用于多用戶環(huán)境下的重要信息處理。D類只有一個級別。C級系統為用戶能定義訪問控制要求的自主保護類型,它分為兩個級別:C1級和C2級。B級系統屬于強制型安全保護類,即用戶不能分配權限,只有網絡管理員可以為用戶分配訪問權限。B類系統分為3個級別。A1級系統要求的安全服務功能與B3級系統基本一致。A1級系統在安全審計、安全測試、配置管理等方面提出了更高的要求。一般的UNIX系統通常只能滿足C2級標準,只有一部分產品可以達到B1級標準的要求。,9.1.4網絡安全標準(續(xù)),我國的計算機網絡安全標準GB17895-1999《計算機信息系統安全保護等級劃分準則》于2001年1月1日正式頒布并實施。該準則將信息系統安全分為5個等級:自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數據完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、安全標記、可信路徑和可信恢復等,這些指標涵蓋了不同級別的安全要求。,9.2密碼學,9.2.1密碼技術概述9.2.2對稱密碼9.2.3非對稱密碼9.2.4數字簽名技術,9.2.1密碼技術概述,密碼學(Cryptography)一詞來源于希臘語中的短語“secretwriting(秘密的書寫)”。古希臘人使用一根叫做scytale的棍子來加密。送信人先在棍子上呈螺旋式繞一張紙條,然后把信息豎寫在紙條上,收信人如果不知道棍子的直徑,就不能正確地恢復信息。密碼學包括密碼編碼學與密碼分析學。人們利用加密算法和密鑰來對信息編碼進行隱藏,而密碼分析學則試圖破解算法和密鑰。,9.2.2對稱密碼,對稱加密的基本概念典型的對稱加密算法,對稱加密的基本概念,對稱加密技術對信息的加密與解密都使用相同的密鑰,因此又被稱為密鑰密碼技術。由于在對稱加密體系中加密方和解密方使用相同的密鑰,系統的保密性主要取決于密鑰的安全性。,典型的對稱加密算法,數據加密標準(DataEncryptionStandard,DES)是典型的對稱加密算法,它是由IBM公司提出,于1977年被美國政府采用。DES是一種對二元數據進行加密的算法。明文按64位數據塊的單位被加密,生成64位密文。DES算法帶一個56位密鑰作為參數。DES的整個體制是公開的,系統的安全性完全依賴于密鑰的保密。已經有一些比DES算法更安全的對稱加密算法,如IDEA算法、RC2算法、RC4算法與Skipjack算法等。,DES算法的執(zhí)行過程,,9.2.3非對稱密碼,非對稱加密的基本概念非對稱加密的標準,,非對稱加密的基本概念,非對稱加密技術對信息的加密與解密采用不同的密鑰,用來加密的密鑰是可以公開的,用來解密的私鑰是需要保密的,因此又被稱為公鑰加密(PublicKeyEncryption)技術。非對稱加密的產生主要因為兩個方面的原因,一是由于對稱密碼的密鑰分配問題,另一個是對數字簽名的需求。非對稱加密技術與對稱加密技術相比,其優(yōu)勢在于不需要共享通用的密鑰,用于解密的密鑰不需要發(fā)往任何地方,公鑰在傳遞和發(fā)布過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲的公鑰對入侵者也就沒有太大意義。公鑰加密技術的主要缺點是加密算法復雜,加密與解密的速度比較慢。,非對稱加密的標準,目前,主要的公鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法等。1978年由Rivest、Shamir和Adleman提出RSA體制被認為是目前為止理論最為成熟的一種公鑰密碼體制,多用在數字簽名、密鑰管理和認證等方面。1985年,ElGamal構造一種基于離散對數的公鑰密碼體制,這就是ElGamal公鑰體制。許多商業(yè)產品采用的公鑰加密算法還有Diffie-Hellman密鑰交換、數據簽名標準DSS、橢圓曲線密碼等。,9.2.4數字簽名技術,數字簽名技術的基本概念數字簽名的工作原理數字簽名的具體工作過程,數字簽名技術的基本概念,數字簽名是在網絡環(huán)境中模擬日常生活中的親筆簽名以保證文件或資料真實性的一種方法。數字簽名將信息發(fā)送人的身份與信息傳送結合起來,可以保證信息在傳輸過程中的完整性,并提供信息發(fā)送者的身份驗證,以防止信息發(fā)送者抵賴行為的發(fā)生。利用非對稱加密算法(例如RSA算法)進行數字簽名是最常用的方法。數字簽名需要實現以下3項功能。(1)接收方可以核對發(fā)送方對報文的簽名,以確定對方的身份。(2)接收方在發(fā)送報文之后無法對發(fā)送的報文及簽名抵賴。(3)接收方無法偽造發(fā)送方的簽名。,數字簽名的工作原理,數字簽名使用兩對公開密鑰的加密/解密的密鑰,,數字簽名的具體工作過程,(1)發(fā)送方使用單向散列函數對要發(fā)送的信息進行運算,生成信息摘要。(2)發(fā)送方使用自己的私鑰,利用非對稱加密算法,對生成的信息摘要進行數字簽名。(3)發(fā)送方通過網絡將信息本身和已進行數字簽名的信息摘要發(fā)送給接收方。(4)接收方使用與發(fā)送方相同的單向散列函數,對接收到的信息進行運算,重新生成信息摘要。(5)接收方使用發(fā)送方的公鑰對接收的信息摘要進行解密。(6)將解密的信息摘要與重新生成的信息摘要進行比較,以判斷信息在發(fā)送過程中是否被篡改過,9.3防火墻技術,9.3.1防火墻的概念9.3.2實現防火墻的技術9.3.3防火墻的體系結構,9.3.1防火墻的概念,防火墻是在網絡之間執(zhí)行控制策略的系統,它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用,防止內部網絡受到外部非法用戶的攻擊。防火墻的位置在內部網絡和外部網絡之間。,9.3.1防火墻的概念(續(xù)),防火墻的主要功能(1)檢查所有從外部網絡進入內部網絡的數據包。(2)檢查所有從內部網絡流出到外部網絡的數據包。(3)執(zhí)行安全策略,限制所有不符合安全策略要求的數據包通過。(4)具有防攻擊能力,保證自身的安全性。防火墻只是一種整體安全防范策略的一部分。防火墻不能防范不經由防火墻的攻擊。防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防止數據驅動式攻擊。,9.3.2實現防火墻的技術,實現防火墻的技術大體上分為兩類:一類作用于網絡層之上,保護整個網絡不受非法用戶的侵入,這類防火墻可以通過包過濾技術實現;另一類作用于應用層之上,控制對應用層的訪問。包過濾技術應用層網關,包過濾技術,包過濾技術是基于路由器技術的普通的路由器只對分組的網絡層包頭進行處理,而包過濾路由器通過系統內部設置的包過濾規(guī)則(即訪問控制表),檢查TCP報頭的端口號字節(jié)。,,包過濾規(guī)則舉例,包過濾規(guī)則一般是基于部分或全部報頭的內容。,包過濾的流程圖,包過濾路由器會對所有收到的分組按照每一條規(guī)則加以判斷凡是符合包轉發(fā)規(guī)則的被轉發(fā)不符合包轉發(fā)規(guī)則的包被丟棄。,應用層網關,作用于應用層的防火墻技術稱為應用層網關,應用層網關控制對應用層的訪問。應用層網關通過應用程序訪問控制允許或禁止對某些程序的訪問。,,9.3.3防火墻的體系結構,在防火墻與網絡的配置上,有以下3種典型結構:雙宿/多宿主機模式屏蔽主機模式屏蔽子網模式,堡壘主機是一種配置了較為全面的安全防范措施的網絡上的計算機,從網絡安全上來看,堡壘主機是防火墻管理員認為最強壯的系統。通常情況下,堡壘主機可作為應用層網關的平臺。,雙宿/多宿主機防火墻,又稱為雙宿/多宿網關防火墻它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻,通常用一臺裝有兩塊或多網卡的堡壘主機做防火墻,兩塊或多塊網卡各自與受保護網和外部網相連這種防火墻的特點是主機的路由功能是被禁止的,兩個網絡之間的通信通過應用層代理服務來實現。,,屏蔽主機模式,由包過濾路由器和堡壘主機組成堡壘主機安裝在內部網絡上,通常在路由器上設置過濾規(guī)則,并使這個堡壘主機成為外部網絡唯一可以直接到達的主機,這保證了內部網絡不被未經授權的外部用戶攻擊。,,屏蔽子網模式,采用了兩個包過濾路由器和一個堡壘主機在內外網絡之間建立了一個被隔離的子網,定義為“非軍事區(qū)”網絡。將堡壘主機、WWW服務器、E-mail服務器等公用的服務器放在非軍事區(qū)網絡中。內部網絡和外部網絡均可訪問屏蔽子網,但禁止它們穿過屏蔽子網通信。,,9.4計算機病毒與木馬防治,9.4.1計算機病毒9.4.2特洛伊木馬,9.4.1計算機病毒,編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且自我復制的一組計算機指令或者程序代碼計算機病毒的特點計算機病毒的分類計算機病毒的預防計算機病毒的清除,計算機病毒的特點,傳染性破壞性隱蔽性潛伏性,計算機病毒的分類,引導型病毒文件型病毒網絡病毒,計算機病毒的預防,管理上的預防管理人員充分認識計算機病毒對計算機的危害性,制定完善的使用計算機的管理制度。用技術手段預防這是指采用一定的技術措施預防計算機病毒,如使用查殺毒軟件、防火墻軟件,一旦發(fā)現病毒及時向用戶發(fā)出警報等。,計算機病毒的清除,最佳的解決辦法就是用殺毒軟件對計算機進行一次全面地清查。目前我國病毒的清查技術已經成熟,已出現一些世界領先水平的殺毒軟件,如瑞星殺毒軟件、KV3000、KILL2000、金山毒霸等。,9.4.2特洛伊木馬,特洛伊木馬的概念木馬的特點木馬的防治,特洛伊木馬的概念,特洛伊木馬(以下簡稱木馬),英文叫做“TrojanHorse”,其名稱取自希臘神話的特洛伊木馬記。常用“特洛伊木馬”這一典故,用來比喻在敵方營壘里埋下伏兵里應外合的活動。完整的木馬程序一般由兩個部份組成:一個是服務器程序,一個是控制器程序。,木馬的特點,有效性隱蔽性頑固性易植入性近年來,木馬病毒技術取得了較大的發(fā)展,目前已徹底擺脫了傳統模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術,木馬病毒不再依賴于對用戶進行簡單的欺騙,也可以不必修改系統注冊表、不開新端口、不在磁盤上保留新文件甚至可以沒有獨立的進程,這些新特點使對木馬病毒的查殺變得愈加困難。,木馬的防治,(1)不要隨意打開來歷不明的郵件。(2)不要隨意下載來歷不明的軟件(3)及時修補漏洞和關閉可疑的端口。(4)盡量少用共享文件夾。(5)運行實時監(jiān)控程序。(6)經常升級系統和更新病毒庫。,- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 計算機網絡技術
裝配圖網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
鏈接地址:http://kudomayuko.com/p-3593293.html