计算机组网与维护技术.ppt
《计算机组网与维护技术.ppt》由会员分享,可在线阅读,更多相关《计算机组网与维护技术.ppt(57页珍藏版)》请在三一文库上搜索。
1、计算机组网与维护技术,第 9章 网络安全与管理技术,第9章 网络安全与管理技术,*9.1 网络安全问题概述 9.1.1 网络安全的概念 9.1.2 网络安全控制模型 9.1.3 安全威胁 * 9.2 网络安全技术 9.2.1 加密与认证技术 9.2.2 数字签名技术 9.2.3 入侵检测技术 9.2.4 放火墙技术 * 9.3 网络管理技术 * 9.4 计算机病毒,9.1 网络安全问题概述,9.1.1网络安全的概念 网络安全是指:网络系统的硬件、软件 及其系统中的数据受到保护,不会由于偶 然或恶意的原因而遭到破坏、更改、泄露 等意外发生。,9.1 网络安全问题概述,网络安全一般可以理解为: 1
2、运行系统安全,即保证信息处理和传 输系统的安全。 2网络上系统信息的安全。 3网络上信息内容的安全。 网络安全应包括以下几个方面: 物理安全、人员安全、符合瞬时电磁脉冲辐射 标准(TEMPEST)、信息安全、操作安全、通 信安全、计算机安全和工业安全。如图9-1所示。,9.1 网络安全问题概述,9.1 网络安全问题概述,9.1.2网络安全控制模型,对手,图10-2 网络安全模型,9.1 网络安全问题概述,这种通用模型指出了设计特定安全服务的4个 基本任务: (1)设计执行与安全性相关的转换算法,该算 法必须使对手不能破坏算法以实现其目的。 (2)生成算法使用的保密信息。 (3)开发分发和共享保
3、密信息的方法。 (4)指定两个主体要使用的协议,并利用安全 算法和保密信息来实现特定的安全服务。,9.1 网络安全问题概述,9.1.3 安全威胁,安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是某种威胁的具体实现。 针对网络安全的威胁主要有三: (1)人为的无意失误 (2)人为的恶意攻击 (3)网络软件的漏洞和“后门”,9.1 网络安全问题概述,对于计算机或网络安全性的攻击,最好通过在提供信息时查看计算机系统的功能来记录其特性。当信息从信源向信宿流动时,图9-3列出了信息正常流动和受到各种类型的攻击的情况。,9.1 网络安全问题概述,中断是
4、指系统资源遭到破坏或变得不能使用,这是对可用性的攻击。 截取是指未授权的实体得到了资源的访问权,这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。 修改是指未授权的实体不仅得到了访问权,而且还篡改了资源,这是对完整性的攻击。 截取是指未授权的实体得到了资源的访问权,这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。 捏造是指未授权的实体向系统中插入伪造的对象,这是对真实性的攻击。,9.1 网络安全问题概述,以上攻击可分为被动攻击和主动攻击两种: 被动攻击的特点是偷听或监视传送,其 目的是获得正在传送的消息。被动攻击有: 泄露信息内容和通信量分析等。 主动攻击涉及
5、修改数据或创建错误的数 据流,它包括假冒、重放、修改消息和拒绝 服务等。,9.1 网络安全问题概述,另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服务攻击与非服务攻击。 服务攻击(Application Dependent Attack)是针对某种特定网络服务的攻击。 非服务攻击(Application Independent Attack)不针对某项具体应用服务,而是基于网络层等低层协议而进行的。,9.1 网络安全问题概述,2基本的威胁 网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为,目前网络存在的威胁主要表现在
6、: (1)信息泄漏或丢失。 (2)破坏数据完整性。 (3)拒绝服务攻击。 (4)非授权访问。,9.1 网络安全问题概述,3主要的可实现的威胁 这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。 (1)主要的渗入威胁有:假冒、旁路控制、授权侵犯。 假冒:这是大多数黑客采用的攻击方法。某个未授权实体使守卫者相信它是一 个合法的实体,从而攫取该合法用户的特权。 旁路控制:攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特 征”,利用这些“特征”,攻击者绕过防线守卫者渗入系统内部。 授权侵犯:也称为“内部威胁”,授权用户将其权限用于其它未授权的目的。 (2)主要的植入
7、威胁有:特洛伊木马、陷门。 特洛伊木马:攻击者在正常的软件中隐藏一段用于其它目的的程序,这段隐藏 的程序段常常以安全攻击作为其最终目标。 陷门:陷门是在某个系统或某个文件中设置的“机关”,使得当提供特定的输入 数据时,允许违反安全策略。,9.1 网络安全问题概述,4潜在的威胁 对基本威胁或主要的可实现的威胁进 行分析,可以发现某些特定的潜在威 胁,而任意一种潜在的威胁都可能导致 发生一些更基本的威胁。,9.2 网络安全技术,9.2.1加密与认证技术 1密码学的基本概念 密码学(或称密码术)是保密学的一部分。 保密学是研究密码系统或通信安全的科学,它 包含两个分支:密码学和密码分析学。密码学 是
8、对信息进行编码实现隐蔽信息的一门学问。 密码分析学是研究分析破译密码的学问。两者 相互独立,而又相互促进。,9.2 网络安全技术,采用密码技术可以隐藏和保护需要保密的消息,使未授权者不 能提取信息。 明文:需要隐藏的消息称为明文。 密文:明文被变换成另一种隐藏形式称为密文。 加密:把明文变换成密文的过程称为加密。 解密:加密的逆过程,即从密文恢复出明文的过程 称为解密。 加密算法:对明文进行加密时采用的一组规则称为加密算法。 加秘密钥:加密算法所使用的密钥称为加秘密钥。 解密密钥:对密文解密时采用的一组规则称为解密算法,解密 算法所使用的密钥称为解密密钥。,9.2 网络安全技术,密码系统通常从
9、3个独立的方面进行分类 : (1)按将明文转换成密文的操作类型可分为: 置换密码和易位密码。 所有加密算法都是建立在两个通用原则之 上的:置换和易位。 置换:是将明文的每个元素(比特、字母、 比特或字母的组合)映射成其它元素。 易位:是对明文的元素进行重新布置。,9.2 网络安全技术,(2)按明文的处理方法可分为: 分组密码和序列密码。 分组密码或称为块密码(block cipher) 一次处理一块输入元素,每个输入块生成一个 输出块。 序列密码或称为流密码(stream cipher)对输入元素进行连续处理,每次生成 一个输出块。,9.2 网络安全技术,(3)按密钥的使用个数可分为: 对称密
10、码体制和非对称密码体制。 如果发送方使用的加密密钥和接收方使用的解密密 钥相同,或者从其中一个密钥易于得出另一个密钥, 这样的系统就叫作对称的、单密钥或常规加密系统。 如果发送方使用的加密密钥和接收方使用的解密密 钥不相同,从其中一个密钥难以推出另一个密钥,这 样的系统就叫作不对称的、双密钥或公钥加密系统。,9.2 网络安全技术,2加密技术 数据加密技术可以分为3类: 对称型加密、非对称型加密和不可逆加密。 目前经常使用的一些对称加密算法有: 数据加密标准(Data Encryption Standard,DES) 三重DES(3DES,或称TDEA)。Rivest Cipher5(RC-5)
11、 国际数据加密算法(International Data Encryption Algorithm, IDEA),9.2 网络安全技术,不对称型加密算法也称公开密钥算法,其特 点是:有两个密钥(即公用密钥和私有密 钥),只有两者搭配使用才能完成加密和解密 的全过程。 在网络系统中得到应用的不常规加密算法有: RSA算法和美国国家标准局提出的DSA算法 (Digital signature Algorithm)。,9.2 网络安全技术,加密技术用于网络安全通常有两种形式,即面向网络或面向应用服务。 面向网络服务的加密技术通过工作在网络层或传 输层,使用经过加密的数据包传送、认证网络路由 及其它网
12、络协议所需的信息,从而保证网络的连通 性和可用性不受损害。 面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。,9.2 网络安全技术,从通信网络的传输方面,数据加密技术还可分为以下3类:链路加密方式、节点到节点方式和端到端方式。 链路加密方式是一般网络通信安全主要采用的方式。它对网络上传输的数据报文进行加密。 节点到节点加密方式是为了解决在节点中数据是 明文的缺点,在中间节点里装有加、解密的保护装 置,由这个装置来完成一个密钥向另一个密
13、钥的交 换。 在端到端加密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解破的。加、解密只在源、宿节点进行。,9.2 网络安全技术,3认证技术 认证技术是实现计算机网络安全的关 键技术之一,认证主要是指对某个实体 的身份加以鉴别、确认,从而证实是否 名符其实或者是否有效的过程。认证 的基本思想是验证某一实体的一个或多 个参数的真实性和有效性。,9.2 网络安全技术,网络用户的身份认证可以通过下述3种基本途径之一或它们的组合来实现。 (1)所知(Knowledge)个人所掌握的密码、口令等。 (2)所有(Possessses)个人的身份认证、护照、信用卡、钥匙等。 (3)个人特征(C
14、haracteristics)人的指纹、声音、笔记、手型、血型、视网膜、DNA、以及个人动作方面的特征等。,9.2 网络安全技术,9.2.2 数字签名技术 数字签名提供了一种签别方法,普遍用于银行、电 子商业等,以解决下列问题: (1)伪造:接收者伪造一份文件,声称是对方发送 的; (2)冒充:网上的某个用户冒充另一个用户发送或 接收文件; (3)篡改:接收者对收到的文件进行局部的修改。 (4)抵赖:发送者或接收者最后不承认自己发送或 接收的文件。,9.2 网络安全技术,数字签名一般往往通过公开密钥来实现。在公开密钥体制 下,加密密钥是公开的,加密和解密算法也是公开的,保密性 完全取决于解密密
15、钥的秘密。只知道加密密钥不可能计算出解 密密钥,只有知道解密密钥的合法解密者,才能正确解密,将 密文还原成明文。从另一角度,保密的解密密钥代表解密者的 身份特征,可以作为身份识别参数。因此,可以用解密密钥进 行数字签名,并发送给对方。接收者接收到信息后,只要利用 发信方的公开密钥进行解密运算,如能还原出明文来,就可证 明接收者的信息是经过发信方签名了的。接收者和第三者不能 伪造签名的文件,因为只有发信方才知道自己的解密密钥,其 他人是不可能推导出发信方的私人解密密钥的。这就符合数字 签名的唯一性、不可仿冒、不可否认的特征和要求。,9.2 网络安全技术,9.2.3 入侵检测技术 入侵检测(Int
16、rusion Detection)是对入侵行为的检 测。它通过收集和分析计算机网络或计算机系统中若干 关键点的信息,检查网络或系统中是否存在违反安全策 略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统 (Intrusion Detection System,简称IDS)。 IDS是一 种网络安全系统,当有敌人或者恶意用户试图通过 Internet进入网络甚至计算机系统时,IDS能够检测出 来,并进行报警,通知网络该采取措施进行响应。,9.2 网络安全技术,图9-4入侵检测/响应流程图,9.2 网络安全技术,1入侵检测分类 按照检测类型划分从技术上划分入侵检测有两种检 测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 组网 维护 技术
链接地址:https://www.31doc.com/p-2635140.html