《网络安全技术培训》PPT课件

1、1 第十一章网络安全 本章主要内容：网络安全的概念防火墙技术网络病毒及其防范数据加密与数字证书 211.1 网络安全概述 11.1.1 网络安全的概念 狭义的网络安全：是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。广义的网络安全：从广义角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件

2、、数据、管理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全。 3网络安全包括五个基本要素：机密性、完整性、可用性、可控制性与可审查性。 机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出数据是 否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有 的资源而阻碍授权者的工作。可控制性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。11.1 网络安全概述 411.1.2 网络安全面临的风险 一般认为，目前网络安全面临的风险主要有以下五个方面。非授权访问：指没有预先经过同意非

3、法使用网络或计算机资源，比如有意避开系统访问控制机制，对网络设备及资源进行非正常使用；擅自扩大权限、越权访问信息等。信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(比如，利用电磁泄漏或搭线窃听等方式截获机密信息)；在存储介质中丢失或泄漏；通过建立隐蔽隧道窃取敏感信息等。 破坏数据完整性：指以非法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据 ，以干扰用户的正常使用。拒绝服务攻击：不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应速度减慢甚至瘫痪，影响正常用户的使用，甚至使

4、合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且很难防范。11.1 网络安全概述 511.1.3 安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包括三个重要的组成部分。(1) 威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动。(2) 先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成

5、先进的安全技术。(3) 严格的管理：各网络使用机构 、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。11.1 网络安全概述 611.1.4 网络安全措施 既然网络中存在诸多安全威胁，就有必要建立完善的网络安全策略。在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、密码技术、IP加密技术和数字签名等技术。 11.1 网络安全概述 711.2.1 防火墙的概念防火墙（Firewall）是一种将内部网络和外部公共网络（Internet）分开的方法或设备。它检查到达防火墙两端的所有数

6、据包(无论是输入还是输出)，从而决定拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立起一个安全网关（Security Gateway）。防火墙通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。防火墙的概念模型如下页图示。11.2 防火墙技术811.2 防火墙技术内部端口外部端口防火墙概念模型示意图911.2.2 防火墙的功能与分类1 防火墙的功能防火墙一般具有如下三种功能：（1） 忠实执行安全策略，限制他人进入内部网络，过滤掉不安全服务和非法用户。（2） 限定内部网络用户访问特殊

7、网络站点，接纳外网对本地公共信息的访问。（3） 具有记录和审计功能，为监视互联网安全提供方便。2. 防火墙分类防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。即包过滤防火墙，应用代理服务器，状态检测防火墙。11.2 防火墙技术1011.2 防火墙技术1111.2 防火墙技术1211.2 防火墙技术1311.2.3 代理服务器的设置方法（1） 打开IE浏览器，选择【工具】|【Internet选项】，出现【Internet选项】对话框，选择【连接】选项卡，如左下图所示。（2） 单击【局域网设置】按钮，出现如右上图所示的对话框。 11.2 防火墙技术14（3）输入代理服务器的I

8、P地址和端口数据，单击【高级】按钮，出现如下图所示的对话框。（4） 对各种代理服务输入代理服务器的IP地址，并对不使用代理服务器的连接输入域名或IP地址，可以使用统配符“*”。依次单击【确定】按钮，完成代理服务器设置。 11.2 防火墙技术1511.3 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通常是指各种木马病毒和借助邮件传播的病毒。 11.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序，从它对被感染电脑的危害性方面考虑，我们不妨称之为病毒，但它与病毒有些区别。它一般并不破坏受害者硬盘数据，而是悄悄地潜伏在被感染的机器中，一

9、旦这台机器连接到网络，就可能大祸临头。黑客通过Internet找到感染病毒的机器，在自己的电脑上远程操纵它，窃取用户的上网帐户和密码、随意修改或删除文件，它对网络用户的威胁极大。用户的计算机在不知不觉中已经被开了个后门，并且受到别人的暗中监视与控制。1611.3 网络病毒及其防范 1711.3 网络病毒及其防范 1811.3 网络病毒及其防范 1911.4 数据加密与数字证书 11.4.1 数据加密技术密码体制可以分为两大类：对称密钥和非对称密钥。 对称密钥体制 对称密钥（又称为私钥密码）体制使用相同的密钥加密和解密信息，亦即通信双方建立并共享一个密钥。对称密钥的工作原理为：用户A要传送机密信

10、息给B，则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K，于是A用密钥K和加密算法E对明文P加密得到密文C，并将密文C发送给B；B收到后，用同样一把密钥K和解密算法D对密文解密，得到明文P，即还原，全部过程如下页图所示。 2011.4 数据加密与数字证书 对称密钥的工作原理示意图21 2. 非对称密钥体制非对称密钥体制非对称密钥体制也称为公钥密钥体制，是现代密码学最重要的发明非对称密钥体制也称为公钥密钥体制，是现代密码学最重要的发明和进展。非对称密钥体制不同于传统的对称密钥体制，它要求密钥和进展。非对称密钥体制不同于传统的对称密钥体制，它要求密钥成对出现，一个为公共密钥，另一

11、个为专用密钥，且不可能从其中成对出现，一个为公共密钥，另一个为专用密钥，且不可能从其中一个推导出另一个。公共密钥可以发布出去，专用密钥要保证绝对一个推导出另一个。公共密钥可以发布出去，专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦然。的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦然。非对称密钥体制的原理为：用户非对称密钥体制的原理为：用户A和用户和用户B各自拥有一对密钥（各自拥有一对密钥（KA、KA-1）和（）和（KB、KB-1）。私钥）。私钥KA-1 、KB-1分别由分别由A、B各自保管，各自保管，而而KA、KB则以证书的形式对外公布。当则以证书的形式对外公布。当A要将明文消息要将明文消息P安全发送给安全发送给B时，时，A用用B的公钥的公钥KB加密加密P得到密文得到密文C；而；而B