计算机网络原理与应用-网络安全

1、管理学院管理学院 信息管理系信息管理系 C314肖肖 洁洁 TEL算机网络原理与应用计算机网络原理与应用计算机网络的安全计算机网络的安全 网络安全概述网络安全概述 数据加密技术数据加密技术 防火墙技术防火墙技术学习目标学习目标一、一、网络安全概述网络安全概述安全安全：只有那些被授权的人才能使用其相应的资源。：只有那些被授权的人才能使用其相应的资源。计算机安全计算机安全：l 实体的安全性实体的安全性l 运行环境的安全性运行环境的安全性l 信息的安全性信息的安全性 1、网络安全面临的主要威胁、网络安全面临的主要威胁l身份窃取：指用户的身份在通信时被他人非法截取。身份窃取：

2、指用户的身份在通信时被他人非法截取。l非授权访问：指对网络设备及信息资源进行非正常使用或非授权访问：指对网络设备及信息资源进行非正常使用或越权使用等。越权使用等。l冒充合法用户：指利用各种假冒或欺骗的手段非法获得合冒充合法用户：指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。法用户的使用权限，以达到占用合法用户资源的目的。l数据窃取：指非法用户截取通信网络中的某些重要信息。数据窃取：指非法用户截取通信网络中的某些重要信息。l破坏数据完整性：指使用非法手段，删除、修改、重发某破坏数据完整性：指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。些

3、重要信息，以干扰用户的正常使用。l拒绝服务：指通信被终止或实时操作被延迟。拒绝服务：指通信被终止或实时操作被延迟。l否认：指通信的双方有一方事后否认曾参与某次活动。否认：指通信的双方有一方事后否认曾参与某次活动。l数据流分析：指分析通信线路中的信息流向、流量和流数据流分析：指分析通信线路中的信息流向、流量和流速等，从中获得有用信息。速等，从中获得有用信息。l干扰系统正常运行：指改变系统的正常运行方法，减慢干扰系统正常运行：指改变系统的正常运行方法，减慢系统的响应时间等手段。系统的响应时间等手段。l病毒与恶意攻击：指通过网络传播病毒或恶意攻击。病毒与恶意攻击：指通过网络传播病毒或恶意攻击。2、导

4、致网络不安全的因素、导致网络不安全的因素 （1）环境）环境 （2）资源共享）资源共享 （3）数据通信）数据通信 搭线窃听、电磁窃听、网络线路的辐射泄密等。搭线窃听、电磁窃听、网络线路的辐射泄密等。 （4）计算机病毒）计算机病毒 （5）TCP/IP协议的安全缺陷：协议的安全缺陷：l 大多数大多数Internet上的流量是没有加密的；上的流量是没有加密的；l 很多基于很多基于TCP/IP的应用服务都在不同程度上存在安的应用服务都在不同程度上存在安 全问题；全问题；l 缺乏安全策略；缺乏安全策略；l 访问控制的配置一般十分复杂，易被错误配置，从而给黑客访问控制的配置一般十分复杂，易被错误配置，从而给

5、黑客可乘之机；可乘之机；l TCP/IP协议被公布于世，容易遭受破坏。协议被公布于世，容易遭受破坏。 3、安全技术措施、安全技术措施l如何认证用户使用名与他们的真实身份一致。如何认证用户使用名与他们的真实身份一致。l如何在网络上不透明发送用户名和密码来进行用户认证。如何在网络上不透明发送用户名和密码来进行用户认证。l如何确信这些服务在如何确信这些服务在Intranet和和Internet上均有效（如何避上均有效（如何避免在防火墙内外采用不同的安全措施）。免在防火墙内外采用不同的安全措施）。l如何在实时（例如网络客户与网络服务器间的数据流）和如何在实时（例如网络客户与网络服务器间的数据流）和存储

6、转发应用（例如电子邮件）情况下保护通信秘密。存储转发应用（例如电子邮件）情况下保护通信秘密。l如何确保在发送和接收间避免干扰。如何确保在发送和接收间避免干扰。l如何保护秘密文件，使得只有授权的用户可以访问。如何保护秘密文件，使得只有授权的用户可以访问。 4、网络安全措施、网络安全措施一个完整的网络信息安全体系至少应包括三类措施：一个完整的网络信息安全体系至少应包括三类措施：l社会的法律政策、安全的规章制度以及安全教育等外部软社会的法律政策、安全的规章制度以及安全教育等外部软环境。环境。l技术方面的措施，如防火墙技术、网络防毒、信息加密存技术方面的措施，如防火墙技术、网络防毒、信息加密存储通信、

7、身份认证、授权等。储通信、身份认证、授权等。l审计和管理措施：实时监控企业安全状态、提供实时改变审计和管理措施：实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等。安全策略的能力、对现有的安全系统实施漏洞检查等。 法律政策是安全的基石，技术是安全的保障，管理和审计法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。是安全的防线。（1）局域网的安全技术）局域网的安全技术l实行实体访问控制：实行实体访问控制： 安装双层电子门、使用磁卡身份证等安装双层电子门、使用磁卡身份证等l保护网络介质：保护网络介质： 采取完好的屏蔽措施，避免电磁干扰，同时对系统设备、通

8、信采取完好的屏蔽措施，避免电磁干扰，同时对系统设备、通信线路定期检查、维修。线路定期检查、维修。l数据访问控制：数据访问控制： 特许用户使用用户口令、用户提问、访问矩阵。特许用户使用用户口令、用户提问、访问矩阵。l数据存储保护：数据存储保护： 磁盘安全保管、备份、多级管理、加密存储等。磁盘安全保管、备份、多级管理、加密存储等。l计算机病毒防护计算机病毒防护（2）广域网的安全技术）广域网的安全技术l数据通信加密：数据通信加密： DES算法、算法、RSA算法等对通信数据加密；算法等对通信数据加密； 在网络中包括节点加密、链路加密、端对端加密。在网络中包括节点加密、链路加密、端对端加密。l通信链路安

9、全保护：通信链路安全保护： 选取屏蔽性好的电缆（光纤），不要采用无线电波来选取屏蔽性好的电缆（光纤），不要采用无线电波来传输重要信息，以免电磁窃听。传输重要信息，以免电磁窃听。l采用局域网络安全的各项措施。采用局域网络安全的各项措施。 二、数据加密技术二、数据加密技术 数据加密技术数据加密技术：为提高信息系统及数据的安全性和保密：为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破译所采用的主要技术手段之一。性，防止秘密数据被外部破译所采用的主要技术手段之一。按作用不同，分为：按作用不同，分为：l 数据传输加密技术：对传输中的数据流加密。数据传输加密技术：对传输中的数据流加密。l 数据存

10、储加密技术：防止在存储环节上的数据失密。数据存储加密技术：防止在存储环节上的数据失密。 密文存储：通过加密算法转换、附加密码及加密模块等方法实现密文存储：通过加密算法转换、附加密码及加密模块等方法实现 存取控制：对用户资格加以审查和限制。存取控制：对用户资格加以审查和限制。l 数据完整性鉴别技术：包括口令、密钥、身份、数据等项的鉴别数据完整性鉴别技术：包括口令、密钥、身份、数据等项的鉴别l 密钥管理技术：包括密钥的产生、分配保存、更换与销毁等各环密钥管理技术：包括密钥的产生、分配保存、更换与销毁等各环 节上的保密措施。节上的保密措施。一般的数据加密模型一般的数据加密模型E加密算法明文XD解密算

11、法明文X密文Y=EKe(X)加密密钥Ke加密密钥Ke解密密钥Kd截取者发端收端根据加密密钥与解密密钥是否相同，密码技术可分根据加密密钥与解密密钥是否相同，密码技术可分为常规密钥密码体制和公开密钥密码体制。为常规密钥密码体制和公开密钥密码体制。1、常规密钥密码体制、常规密钥密码体制 加密密钥与解密密钥是相同的。加密密钥与解密密钥是相同的。 最基本的密码（最基本的密码（1）替代密码（）替代密码（2）置换密码）置换密码2、公开密钥密码体制、公开密钥密码体制 加密密钥（即公开密钥）加密密钥（即公开密钥）PK是公开信息，加密算法是公开信息，加密算法E和和 解密算法解密算法D也都是公开的，而解密密钥（即秘

12、密密钥）也都是公开的，而解密密钥（即秘密密钥） SK是保密的。是保密的。 应用最多的是应用最多的是RSA体制。体制。三、防火墙技术三、防火墙技术 网络的安全性主要指网络信息的安全性和网网络的安全性主要指网络信息的安全性和网络路由的安全性。络路由的安全性。路由的安全性包括：路由的安全性包括：l 限制外部网对本地网的访问，从而保护本地网中的限制外部网对本地网的访问，从而保护本地网中的特定资源免受非法侵犯。特定资源免受非法侵犯。l 限制本地网对外部网的访问，主要是针对一些不健限制本地网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。康信息及敏感信息的访问。 1、防火墙的概念、防火墙的概念

13、它是一种由计算机硬件和软件组成的一个或一组它是一种由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和系统，用于增强内部网络和Internet之间的访问控制。之间的访问控制。 它可通过监测、限制、更改跨越防火墙的数据流，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。况，以此来实现网络的安全保护。2、防火墙具有以下优点：、防火墙具有以下优点：l 保护那些易受攻击的服务。保护那些易受攻击的服务。l 控制对特殊站点的访问。控制对特殊站点的访问。l 对网络存取访问进行记录和统计

14、。对网络存取访问进行记录和统计。3、防火墙的体系结构、防火墙的体系结构 安全控制基本准则：安全控制基本准则：l 一切未被允许的都是禁止的。一切未被允许的都是禁止的。l 一切未被禁止的都是允许的。一切未被禁止的都是允许的。 4、防火墙的类型、防火墙的类型 根据采用的技术不同，防火墙有两种基本类型：根据采用的技术不同，防火墙有两种基本类型： （1 1）包过滤型包过滤型。 网络上的数据都以网络上的数据都以“包包”为单位进行传输，每一个为单位进行传输，每一个数数据包包含诸如数据源地址、目标地址、据包包含诸如数据源地址、目标地址、TCP/UDP源端口源端口地址和目标端口地址等特定信息。包过滤型防火墙通过地址和目标端口地址等特定信息。包过滤型防火墙通过读取数据包中的地址信息并通过与系统管理员制定的规读取数据包中的地址信息并通过与系统管理员制定的规则表进行对比来判断数据包是否来自可信任的安全地则表进行对比来判断数据包是否来自可信任的安全地点，并自动将来自危险地点的数据拒之门外。点，并自动将来自危险地点的数据拒之门外。（2 2）代理型代理型。 也称为代理服务器或应用网关，位于客户机与服务器也称为代理服务器或应用网关，位于客户机与服务器之间，阻隔两者之间直接的数据交