计算机概论九讲之九讲.pps

1,第九讲 计算机网络安全及其相关法规,计算机概论九讲,2,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,3,网络安全概述,防止改造人的攻击倾向,计算机网络信息的安全体系 非法侵入信息倾向的人 与信息隔离,4,网络安全概述,网络安全就是指一个以计算机和网络为业务处理手段的组织机构本身的安全，有时也称信息安全或计算机安全。 网络安全主要研究网络环境下数据传输、数据存储和数据访问控制方面的安全问题，即安全问题主要是由网络而引起的； 计算机安全则主要研究单机的安全，包括计算机中数据保护，计算机自身的使用控制和访问控制，计算机所处的环境安全等； 信息安全主要是数据安全，也有的将其扩展变为信息技术安全，那范围就包括网络安全和计算机安全，甚至包括芯片安全、软件系统安全等等。,5,网络安全概述,网络安全包括计算机本身、网络、相关系统和数据的安全。 网络安全的主要目标是保护网络系统的资源，包括计算机设备、网络传输、网络设备、存储介质、软件和计算机数据等免受毁坏、替换、盗窃和丢失。 网络安全的核心是数据安全。数据安全主要是指数据保密性和完整性。 数据的保密性就是保证只有授权用户可以访问数据，而限制他人对数据的访问。分为网络传输保密性和数据存储保密性。 数据的完整性的目的就是保证计算机系统上的数据和信息处于一种完整和没受损害的状态。,6,网络安全概述,网络安全涉及到： 信息的保密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 可控性(Controllability) 保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人。 完整性就是对抗对手主动攻击，防止信息被未经授权的篡改。 可用性就是保证信息及信息系统确实为授权用户所用。 可控性就是对信息及信息系统实施安全监控。,7,网络安全概述,网络安全的特点 自动化成为安全的具大隐患。 行动的远程化使得安全管理面临挑战。 技术的传播特性使安全问题的产生机制难以控制。 复杂性使得安全问题防不胜防。,8,网络安全概述,网络安全的隐患和威胁因素，主要表现在： 计算机网络犯罪 先天性安全漏洞 计算机病毒 网络安全产品仍然是国外产品占主导地位 网络入侵检测、预警机制尚未建立 对网络信息把关缺乏必要的信息内容检测手段,9,网络安全概述,网络安全体系结构 物理安全 网络安全 信息安全,10,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,11,数据加密技术概述,数据加密（Data Encryption）技术是指将一个明文经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文 数据加密通常由加密和解密两个过程组成。 加密技术是网络安全技术的基石。,12,数据加密技术概述,数据加密,13,数据加密技术概述,数据加密技术涉及的基本术语如下： 明文：待加密的报文或数据。 密文：加密后的报文或数据。 密钥：用于加密和解密的钥匙，通常是一个字符串。 加密算法：加密所采用的变换方法。 加密：把明文转换为密文的过程。 解密：对密文实施与加密相逆的变换，从而获得明文的过程。,14,数据加密技术概述,密码学 保密密钥法 也叫对称密钥法，这类加密方法在加密和解密时使用同一把密钥，这个密钥只有发信人和收信人知道 公开密钥法 也称为不对称加密。这类加密方法需要用到两个密钥：一个私人密钥和一个公开密钥。 发：发信人先用收信人的公开密钥对数据进行加密，再把加密后的数据发送给收信人。 收：收信人在收到信件后要用自己的私人密钥对它进行解密。 “认证机构”（CA） 确定密钥拥有者的身份并向收信人证明这一结论,15,数据加密技术概述,密码学 “数字签名”（digital signature，简称DS） 通过某种加密算法在一条地址消息的尾部添加一个字符串，而收件人可以根据这个字符串验明发件人身份的一种技术。 数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。,16,数据加密技术概述,密码学 “数字签名”（digital signature，简称DS）,17,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,18,网络访问控制 概述,访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。 各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。 访问控制技术涉及的领域较广，根据控制策略的不同，访问控制技术可以划分为自主访问控制、强制访问控制和角色访问控制三种策略。,19,网络访问控制 概述,自主访问控制 自主访问控制是针对访问资源的用户或者应用设置访问控制权限，这种技术的安全性最低，但灵活性很高。 强制访问控制 强制访问控制在自主访问控制的基础上，增加了对网络资源的属性划分，规定不同属性下的访问权限。这种访问控制技术引入了安全管理员机制，增加了安全保护层，可防止用户无意或有意使用自主访问的权利。 角色访问控制 角色访问控制与访问者的身份认证密切相关，通过确定该合法访问者的身份来确定访问者在系统中对哪类信息有什么样的访问权限。,20,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,21,入侵检测概述,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 违反安全策略的行为有： 入侵：非法用户的违规行为。 滥用：用户的违规行为。,22,入侵检测概述,入侵检测任务主要包括： 监视、分析用户及系统活动。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,23,入侵检测概述,入侵检测可分为实时入侵检测和事后入侵检测 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。 事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。,24,入侵检测概述,入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。 特征检测 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。 统计检测 统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。 常用的入侵检测5种统计模型为：操作模型、方差、多元模型、马尔柯夫过程模型和时间序列分析 专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。,25,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,26,防火墙概述,防火墙是用来连接两个网络并控制两个网络之间互相访问的系统； 包括用于网络连接的软件和硬件以及控制访问的方案。 用于对进出的所以数据进行分析，并对用户进行认证，从而防止有害信息进入受保护网，为网络提供安全保障。,27,防火墙概述,防火墙的主要功能有： 过滤不安全服务和非法用户，禁止未授权的用户访问受保护网络。 控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问，而保护另一部分主机，防止外网用户访问。 提供监视Internet安全和预警的端点。,28,防火墙概述,防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力： 不能防范绕过防火墙的攻击。例如，如果允许从受保护的Intranet内部不受限制向外拨号，则某些用户可以形成与Internet的直接SLIP或PPP连接，从而绕过防火墙，形成潜在受攻击渠道。 一般的防火墙不能防止受到病毒感染的软件和文件的传输。因为现在存在地各种类型病毒、操作系统以及加密和压缩二进制文件的种类太多，以至于不能指望防火墙逐个扫描每个文件查找病毒。 不能防止数据驱动式攻击。当有些表面无害的数据被邮寄或复制到Internet主机上并被执行而发生攻击时，就会发生数据驱动式攻击。 难以避免来自内部的攻击。,29,防火墙概述,防火墙只是网络安全防范策略的一部分，而不是解决所有网络安全问题的灵丹妙药。 网络安全策略必须包含全面的安全准则，即网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。 网络易受攻击的各个节点必须以相同程度的安全措施加以保护，在没有全面的安全策略的情况下设立Internet防火墙，就如同在一个顶帐篷上安装一个防盗门一样。,30,防火墙概述,防火墙的技术包括分组过滤技术、代理服务器技术和状态检测技术。 分组过滤技术是最早的防火墙技术，它根据数据分组头的信息来确定是否允许该分组通过，为此要求用户制定过滤规则。 代理服务器技术是应用层的技术，它用代理服务器来代替内部网用户接收外部的数据，取出应用层的信息并经过检查后，再建立一条新的会话连接将数据转交给内部网用户主机。 状态检测技术是基于会话层的技术，它对外部的连接和通信行为进行状态检测，阻止可能具有攻击性的行为，从而抵御网络攻击。,31,防火墙概述,个人防火墙技术 个人防火墙是防止个人电脑中的信息被外部侵袭的一项技术，在系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。 个人防火墙能对系统进行监控及管理，防止电脑病毒、流氓软件等程序通过网络进入电脑或在未知情况下向外部扩散。 个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科等，这些软件都能够独立运行于整个系统中或针对个别程序、项目，所以在使用时十分方便及实用。,32,防火墙概述,个人防火墙一般可以分为网络级防火墙和应用级防火墙 网络级防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。 应用级防火墙是在 TCP/IP 堆栈的“应用层”上运作。从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。,33,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,34,国家关于计算机信息系统安全的法律法规,国家关于计算机安全的政策法规概述 国家关于计算机安全的法律 国家关于计算机安全的行政法规 国家关于计算机安全的部门规章及规范性文件,35,网络安全 数据加密技术 网络访问控制 入侵检测 防火墙 国家关于计算机信息系统安全的法律法规 网络伦理建设,第九讲 计算机网络安全及其相关法规,36,网络伦理建设,网络伦理建设要解决的问题 电子空间与物理空间 网络伦理与既有道德 信息内容的地域性与信息传播方式的超地域性 通讯自由与社会责任 个人隐私与社会监督 信息共享与信息所有 网络资源的商业性使用与非商业性使用,37,网络伦理建设,网络伦理的基本原则 一个用户“能够”（can ）采取一种特殊的行为并不意味着他“应该”（should）采取那样的行为。 在充分发挥网络提升人的个体性和群体性作用的同时，把既有道德的运行机制引入网络领域。 主权国家和不同网络的所有者有权利有义务审查、控制网络信息的内容。 网络运行的各责任主体应该对自己网络行为的社会效果负责。 有关机关有权检查入网者的网络行为，在一般情况下应该为用户严格保密，但 是在发现入网中有不道德行为和非法行为时应该对入网者进行警告、批评、通报乃至 追究法律责任。 在保证信息所有者合法利益的前提下，尽可能实现信息共享，最大限度地发挥 信息的使用价值。 尊重涉及网络的传统。 充分利用网络资源。,38,网络伦理建设,网络伦理一个样本条款 美国计