网络安全技术应用的培训教程

1、网络安全技术应用的培训教程10.1.1 信息平安威胁 1窃听 信息在传输过程中被直接或是间接地窃听网络上的特定数据包，通过对其的分析得到所需的重要信息。数据包仍然能够到到目的结点，其数据并没有丧失。 2截获 信息在传输过程中被非法截获，并且目的结点并没有收到该信息，即信息在中途丧失了。 10.1 根本概念3伪造 没有任何信息从源信息结点发出，但攻击者伪造出信息并冒充源信息结点发出信息，目的结点将收到这个伪造信息。4篡改 信息在传输过程中被截获，攻击者修改其截获的特定数据包，从而破坏了数据的数据的完整性，然后再将篡改后的数据包发送到目的结点。在目的结点的接收者看来，数据似乎是完整没有丧失的，但其

2、实已经被恶意篡改正。 重点提示：网络平安是指利用各种网络监控和管理技术，对网络系统的硬、软件和系统中的数据资源进行保护，从而保证网络系统连续、平安且可靠的运行。网络中存在的信息平安威胁有窃听、截获、伪造和篡改。图10-1 信息平安威胁 10.1.2 网络攻击 1效劳攻击 效劳攻击即指对网络中的某些效劳器进行攻击，使其“拒绝效劳而造成网络无法正常工作。 2非效劳攻击 利用协议或操作系统实现协议时的漏洞来到达攻击的目的，它不针对于某具体的应用效劳，因此非效劳攻击是一种更有效的攻击手段。 10.1.3 网络平安的根本要素 1机密性2完整性3可用性4可鉴别性5不可抵赖性10.1.4 计算机系统平安等级

3、1D类 D类的平安级别最低，保护措施最少且没有平安功能。2C类 C类是自定义保护级，该级的平安特点是系统的对象可自主定义访问权限。C类分为两个级别：C1级与C2级。 1C1级 C1级是自主平安保护级，它能够实现用户与数据的别离。数据的保护是以用户组为单位的，并实现对数据进行自主存取控实现制。 2C2级 C2级是受控访问级，该级可以通过登录规程、审计平安性相关事件来隔离资源。3B类 B类是强制式平安保护类，它的特点在于由系统强制实现平安保护，因此用户不能分配权限，只能通过管理员对用户进行权限的分配。 1B1级 B1级是标记平安保护级。该级对系统数据进行标记，并对标记的主客体实行强制存取控制。 2

4、B2级 B2级是结构化平安保护级。该级建立形式化的平安策略模型，同时对系统内的所有主体和客体，都实现强制访问和自主访问控制。 3B3级 B3级是平安级，它能够实现访问监控器的要求，访问监控器是指监控器的主体和客体之间授权访问关系的部件。该级还支持平安管理员职能、扩充审计机制、当发生与平安相关的事件时将发出信号、同时可以提供系统恢复过程。4A类 A类是可验证的保护级。它只有一个等级即A1级。A1级的功能与B3几乎是相同的，但是A1级的特点在于它的系统拥有正式的分析和数学方法，它可以完全证明一个系统的平安策略和平安规格的完整性与一致性。同时，A1级还规定了将完全计算机系统运送到现场安装所遵守的程序

5、。10.1.4 网络平安模型1根本模型 在网络信息传输中，为了保证信息传输的平安性，一般需要一个值得信任的第三方，负责向源结点和目的结点进行秘密信息分发，同时在双方发生争执时，也要起到仲裁的作用。在根本的平安模型中，通信的双方在进行信息传输前，先建立起一条逻辑通道，并提供平安的机制和效劳，来实现在开放网络环境中信息的平安传输。 1从源结点发出的信息，使用如信息加密等加密技术对其进行平安的转，从而实现该信息的保密性，同时也可以在该信息中附加一些特征的信息，作为源结点的身份验证。 2源结点与目的结点应该共享如加密密钥这样的保密信息，这些信息除了发送双方和可信任的第三方以外，对其他用户都是保密的。

6、图10-2 网络平安根本模型2P2DR模型 1平安策略Policy 平安策略是模型中的防护、检测和响应等局部实施的依据，一个平安策略体系的建立包括策略的制定、评估与执行。 2防护Protection 防护技术包括：防火墙、操作系统身份认证、数据加密、访问控制、授权、虚拟专用网技术和数据备份等，它对系统可能出现的平安问题采取预防措施。 3检测Detection 检测功能使用漏洞评估、入侵检测等系统检测技术，当攻击者穿透防护系统时，发挥功用。 4响应Response 响应包括紧急响应和恢复处理，而恢复又包括系统恢复和信息恢复，响应系统在检测出入侵时，开始事件处理的工作。 图10-3 P2DR模型

7、重点提示： 网络平安的根本要素包括：保密性、完整性、可用性、可鉴别性和不可抵赖性。美国国防部和国家标准局将计算机系统平安等级分为A、B、C、D这4类，共有7级。网络根本平安模型要求通信的双方在进行信息传输前，先建立起一条逻辑通道，并提供平安的机制和效劳并且有一个可供信任的第三方进行扮演仲裁者和秘密信息发布者的角色。10.2 数据备份10.2.1 数据备份模型 1物理备份 物理备份是将磁盘块的数据从拷贝到备份介质上的备份过程，它忽略了文件和结构，它也被称为“基于块的备份和“基于设备的备份。 2逻辑备份 逻辑备份顺序地读取每个文件的物理块，并连续地将文件写在备份介质上，实现每个文件的恢复，因此，逻

8、辑备份也被称为“基于文件的备份。10.2.2 冷备份与热备分1冷备份 冷备份是指“不在线的备份，当进行冷备份操作时，将不允许来自用户与应用对数据的更新。 2热备份 热备份是指“在线的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。 重点提示：数据备份是为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。数据备份模型分为：物理备份和逻辑备份。10.2.3 数据备分的设备1磁盘阵列 2磁带机3磁带库4光盘塔5光盘库6光盘镜像效劳器10.2.4 数据备份的策略1完全备份 完全备份即是将用户指定的数据甚至是整个系统的数据进行完全

9、的备份。2增量备份 增量备份是针对完全备份，在进行增量备份，只有那些在上次完全或者增量备份后被修改了的文件才会被备份。3差异备份 差异备份是将最近一次完全备份后产生的所有数据更新进行备份。差异备份将完全恢复时所涉及到的备份文件数量限制为2个。 表10-1 三种备份策略的比较 空间使用备份速度恢复速度完全备份最多最慢最快增量备份最少最快最慢差异备份少于完全备份快于完全备份快于增量备份 重点提示：数据备份的策略是用来解决何时备份、备份何种数据以及用何种方式恢复故障的问题。它可以分为：完全备份、增量备份和差异备份。其中完全备份使用的空间最多，备份速度最慢，恢复程度最快；增量备份使用空间最小，备份速度

10、最快，恢复速率最慢；差异备份摒除了前两种备份方式的缺点，吸收了它们的优点。10.3 加密技术10.3.1 加密与解密1根本流程 A发送消息“Password is welcome这样的报文给B，但不希望有第三个人知道这个报文的内容，因此他使用一定的加密算法，将该报文转换为别人无法识别的密文，这个密文即使在传输的过程中被截获，一般人也无法解密。当B收到该密文后，使用共同协商的解密算法与密钥，那么将该密文转化为原来的报文内容。图10-4 加密与解密的流程密钥位数尝试个数密钥位数尝试个数401125612864表10-2 密钥位数与尝试密钥的个数2密钥 加密与解密的操作过程都是在一组密钥的控下进行的

11、，这个密钥可以作为加密算法中可变参数，它的改变可以改变明文与密文之间的数学函数关系。 10.3.2 对称密钥技术 1工作原理 对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的，或者是有些不同，但同其中一个可以很容易地推导出另一个。 图10-5 对称密钥技术 2常用对称密钥技术 常用的对称密钥算法有DES算法与IDES算法。 1DES算法 DES算法是一种迭代的分组密码，它的输入与输出都是64，包括一个56位的密钥和附加的8位奇偶校验位。 2IDEA算法 IDEA算法的明文与密文都是64位的，密钥的长度为128位，它是比DEA算法更有效的算法。10.3.3 非对称密钥技术1工作原理 不可能

12、从任何一个密钥推导出另一个密钥。同时加密密钥为公钥是可以公开的，而解密密钥为私钥是保密的。在此，非对称密钥技术也被称为公钥加密加技术。 图10-6 非对称密钥技术2常用非对称密钥技术 常用的非对称密钥算法包括RSA算法、DSA算法、PKCS算法与PGP算法。其中最常见的技术即为RSA算法，它的理论根底是数论中大素数分解，它的保密性随着密钥的长度的增加而增强。但是，现在使用这种算法来加密大量的数据，其实现的速度太慢了，因此该算法现在广泛应用于密钥的分发。 重点提示：加密的根本思想即是将明文转变为密文，而解密那么是将密文转变为明文，这样保证了信息传输的保密性。密钥是加重密算法中的可变参数，密钥的位

13、数长度决定了加密算法的平安性。传统的密码体制包括对称密码体制和非对称密码体制。10.4 防火墙10.4.1 防火墙的根本概念 1所有的从外部到内部的通信都必须经过它。 2只有有内部访问策略授权的通信才能被允许通过。 3系统本身具有很强的高可靠性。图10-7 防火墙的安装位置10.4.2 防火墙的根本类型1包过滤路由器 图10-8 包过滤路由器的工作原理2应用网关图10-9 应用网关的工作原理3应用代理图10-10 应用代理的工作原理4状态检测 状态检测能通过状态检测技术，动态地维护各个连接的协议状态。 重点提示：防火墙在网络之间通过执行控制策略来保护网络系统，防火墙包括硬件和软件两局部。防火墙

14、根据其实现技术可以分为：包过滤路由器、应用网关、应用代理和状态检测4类。10.4.3 防火墙的结构 1包过滤型结构 包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部网络的所有信息进行分析，按照一定的平安策略对这些信息进行分析与限制。 2双宿网关结构 连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机，每个接口都可以和一个网络连接，因为它能在不同的网络之间进行数据交换换，因此也称为网关。双宿网关结构即是一台装有两块网卡的主机作为防火墙，将外部网络与同部网络实现物理上的隔开。图10-11 双宿网关结构3屏蔽主机结构 屏蔽主机结

15、构将所有的外部主机强制与一个堡垒主机相连，从而不允许它们直接与内部网络的主机相连，因此屏撇主机结构是由包过滤路由器和堡垒主机组成的。 4屏蔽子网结构 屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中，从外部包过滤由器开始的局部是由网络系统所属的单位组建的，属于内部网络，也称为“DMZ网络。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网；内部包过滤路由器和内部堡垒主机那么用于对内部网络进行进一步的保护。 图10-12 包过滤路由器的数据包转发过程 图10-13 屏蔽子网结构示意图10.4.4 防火墙的安装与配置1防火墙的网络接口 1内网 内网一般包括企业的内部网络或是内部网络的一

16、局部。 2外网 外网指的是非企业内部的网络或是Internet，内网与外网之间进行通信，要通过防火墙来实现访问限制。 3DMZ 非军事化区 DMZ是一个隔离的网络，可以在这个网络中放置Web效劳器或是E-mail效劳器等，外网的用户可以访问DMZ。2防火墙的安装与初始配置 给防火墙加电令它启动。 将防火墙的Console口连接到计算机的串口上，并通过Windows操作系统的超级终端，进入防火墙的特权模式。 配置Ethernet的参数。 配置内外网卡的IP地址、指定外部地址范围和要进行转换的内部地址。 设置指向内网与外肉的缺省路由。 配置静态IP地址映射。 设置需要控制的地址、所作用的端口和连接

17、协议等控制选项并设置允许telnet远程登录防火墙的IP地址。保存配置。3防火墙的访问模式 1非特权模式 2特权模式 3配置模式 4监视模式10.5 防病毒10.5.1 计算机病毒 1计算机病毒的概念 计算机病毒是指计算机程序中的一段可执行程序代理，它可以破坏计算机的功能甚至破坏数据从而影响计算机的能力。计算机病毒通过对其他程序的修改，可以感染这些程序，使其成为病毒程序的复制，使之很快蔓延开来，很难铲除。 2计算机病毒的特征 1非授权可执行性 2隐蔽性 3传染性 4潜伏性 5破坏性 6可触发性 3计算机病毒分类 1按破坏性分类 2按传染方式分类 3按连接方式分类10.5.2 网络病毒1网络病毒

18、的特征 1传播方式多样，传播速度快。 2影响面广 3破坏性强 4难以控制 5病毒变种多样 6病毒智能化、隐蔽化 7出现混合病毒2蠕虫与木马 1蠕虫 蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等。与普通病毒相比，而蠕虫不使用驻留文件即可在系统之间进行自我复制，它的传染目标是互联网内的所有计算机。 2木马 “木马程序是目前比较流行的病毒文件，但是它不会自我繁殖，也并不“刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供翻开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。10.5.3 网络版防病毒系统1系统中心 系统中心实时记录计算机的病毒监控、检测和去除的信息，实现对整个防护系统的自动控制。2效劳器端 效劳器端为网络效劳器操作系统应用而设计。3客户