第11章--传统的网络安全与云计算安全技术ppt课件(全)

1、第11章 传统的网络安全与云计算安全技术黎连业 教材 计算机网络工程基础教程 第 1 版 清华大学出版社 ( 2016.1 ) 不同学校可以根据各自的教学要求和计划学时数对本章的教学内容进行取舍。 传统的网络安全应包括两方面：一是网络用户资源不被滥用和破坏；二是网络自身的安全和可靠性。网络安全主要解决数据保密和认证的问题。数据保密就是采取复杂多样的措施对数据加以保护，防止数据被有意或无意地泄露给无关人员。认证分为信息认证和用户认证两方面。信息认证是指信息从发送到接收整个通路中没有被第三者个性和伪造。用户认证是指用户双方都能证实对方是这次通信的合法用户。通常在一个完备的保密系统中既要求信息认证，

2、也要求用户认证。 随着IT迅速的发展，互联网得到了广泛的应用，在网络上出现了木马、病毒、蠕虫、僵尸网络、钓鱼网站、黑客攻击、劫持等犯罪猖獗，现存几万种恶意代码，每年千万台计算机被感染，犯罪性也越来越隐蔽。现在网络安全的状况是非常严峻。以病毒为例： 现在的病毒比原先的病毒大很多，而且还在快速增长，主要是：1病毒编写目的不同以前的病毒是“损人不利己”的，现在绝大部分的病毒或者新出现的病毒大都是以“以盈利为主要目的”的。比如说你使用QQ，病毒在机器里存在盗号木马，你刚一使用QQ，你的帐号就已经被盗了。 2病毒编写的组织化以前病毒编写绝大部分是个人行为，现在越来越多的是团伙行为，甚至一些病毒是企业行为

3、。大家熟知的木马软件，就是非常典型的企业行为。3病毒已经形成产业链 病毒上游可能会提供一些加壳工具、免杀工具，下游利用这些工具对病毒进行加工，以逃避杀毒软件的查杀；上游编写病毒，下游销售病毒。4病毒多变种、小批量感染现在病毒编写者为了避免编写的所有病毒被杀毒软件全部清除，采用不断变种病毒的方式进行感染。即使某些变种病毒被杀毒软件清除，仍然保持相当多的病毒不被清除。这样的话，杀毒软件可能发现其中一些变种，但是它有可能清除不完全。5病毒数量呈几何级数增长以前的病毒数量非常少，像06年以前一年只有几种病毒，2006年后就变成了几十种。网络安全的动向： 信息安全正在早期的从防外为主，开始转向内控； 由

4、OSI的底层防护正在向多层集成联动管理平台过渡； 基于威胁特征向基于威胁行为防空转变 由静态防御向动态防御发展； 由单域防空向跨安全域可信交换防空迁移； 由边界防空向源头与信任键防空转移。 谈到云计算，安全性问题无法回避，云的出现使得网络侵害主体都跑到云上，从而导致云成了作恶的源泉。实际上这也是目前云计算推广应用过程中所遇到的最大问题。“云”也开始成为黑客或各种恶意组织攻击的目标。比如利用操作系统或者应用服务协议漏洞进行的漏洞攻击，或者针对存放在“云”中的用户隐私信息的恶意攻击、窃取、非法利用等，其手段繁多。事实上，更为严重的安全漏洞，正在一步步侵蚀云主机服务提供商及大型互联网厂商的安全防线。

5、在云服务中，不同客户之间的数据溢出；供应商系统遭到大量恶意软件攻击；“恶意人群操作”导致的资料外泄;共享信息的不安全性；以及黑客盗取供应商系统的数据。在云模式下云如何保证云中的用户程序不被分析，数据不被复制，从而保证商业秘密不被侵害，用户的数据不会被盗窃，还有待探讨。 在本章中您能了解如下主要知识点： 传统的网络安全的内容； 云计算的安全问题； 云的安全内容； 数据中心安全的内容。 111 传统的网络安全的内容11.1.1 传统的网络安全的内容11.1.2 传统的网络安全的威胁源11.1.3 网络安全保护策略11.1.4 网络安全设计11.1.5 网络数据加密11.1.6 安全认证11.1.7

6、 使用防火墙11.1.8 网络综合布线系统中的物理隔离技术 2第一代、第二代和第三代产品的不足之处第一代、第二代和第三代产品物理隔离技术的不足之处主要表现在4个方面，它们是：物理隔离技术仅仅是一种被动的隔离开关，手段单一，没有与其他安全技术进行配合；物理隔离不能做到安全状态检测，容易被非法人员利用而混入内部网络；内部防范措施。由于内外网的存储介质都在本地，不能有效地防止内部人员的信息主动泄密行为，尤其是内部人员作案问题；复核取证难度大。内部网络信息一旦泄露出去，无法进行复核、取证、确认信息泄露的行为人有相当的困难。 3 物理隔离技术的路线美国早在1999年就强制规定军方涉密网络必须与Inter

7、net断开。我国政府在2000年也在不断强调保密问题，要求有秘密的信息要与网络物理隔离，作为物理隔离技术的路线，一般是客户端选择设备和网络选择器，用户通过开关设备或键盘链控制选择不同的存储介质体，管理端设立内、外网存储介质，通过防火墙、路由器与外界相连。物理隔离技术从出现到现在，目前基本上可划分为四代产品。 （1）第一代产品（2）第二代产品（3）第三代产品 (4) 第四代产品 目前在网络综合布线行业中，第一代、第二代产品的已淘汰，以第三代和第四代产品为主的物理隔离。 （1）第一代产品第一代产品采用的是双网机技术，其工作原理是：在一个机箱内，设有两块主机板、两套内存、两块硬盘和两CPU、相当于两

8、台计算机共用一个显示器。用户通过客户端开关，分别选择两套计算机系统。使用单位不可避免地造成重复投资和浪费。第一代产品的特点是客户端的成本很高，并要求网络布线为双网线结构，技术水平相对而言是简单的。 （2）第二代产品第二代产品主要采用双网线的安全隔离卡技术，其表现为：客户端需要增加一块PCI卡，客户端硬盘或其它存储设备首先连接到该卡，然后再转接到主板，这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候，同时也选择了该卡上所对应的网络接口，连接到不同的网络。第二代产品与第一代产品相比，技术水平提高了，成本也降低了，但是这一代产品仍然要求网络布线采用双网线结构。如果用户在客户端

9、交换两个网络的网线连接，内外网的存储介质也同时被交换了，这时信息的安全还存在着隐患。 （3）第三代产品第三代产品采用基于单网线的安全隔离卡，加上网络选择器的技术。客户端仍然采用类似于第二代双网线安全隔离卡的技术，所不同的是第三代产品只利用一个网络接口，通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接，这类产品能够有效利用用户现有的单网线网络环境，实现成本较低，由于选择网络的选择器不在客户端，系统的安全性有了很大的提高。 (4)第四代产品第四代产品可分为网闸和双网隔离。 网闸网闸是由软件和硬件组成。网闸的硬件设备由三部分组成:外部处理

10、单元、内部处理单元、隔离硬件。网闸带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。 双网隔离双网隔离采用了“整机隔离”技术，突破了传统隔离只能实现硬盘、网络隔离的局限，创造性地实现了内存隔离。它通过内外网络绝对的 物理隔离方式，在二个网络间实施在线地、自由地切换，保证计算机的数据在网络之间不被重用。这就解决了传统隔离技术在双网切换时，由于内存数据不能有效刷新所可能导致的数据泄露等安全隐患，相当于用一台PC实现了两台物理隔离PC的安全效果。目前在网络综合布线行业中，第一代、第二代产品的已淘汰，以第三代和第四代产品为主的物理隔离。

11、113 云的安全内容1131 云安全的三个层次1132云用户应用常见的问题1133 公司对云安全调查结论1134 云安全问题的解决办法1135 云计算环境下安全防护的主要思路 云安全（Cloud Security）是指“云”端数据的使用安全。云用户的机器不再是独立的机器，而是网络中的一个节点，交给全球运行的服务网络。云用户的数据放在“云”上，数据存于“云”中，就意味着数据被盗用和滥用的可能。如果不是重要的数据，云用户关注度不大，如果是机密数据，属于云用户的隐私被盗用和滥用，对云用户的打击是非常大的。云用户的机器交给全球运行的服务网络同时，不可避免就是需要提供更多更详细的云用户（个人或企业）的敏

12、感信息，才能获得更好的服务。敏感信息公布于众，使得云用户毫无隐私可言，特别是目前政府机构以及公共服务机构越来越多的发布包含个人信息的数据。在云计算的背景下，无论是数据发布中的敏感信息，还是服务中的敏感信息，云用户的信息的安全和保护都显得尤为重要。 114数据中心安全的内容1141云数据中心面临的安全问题1142云数据中心面临的的安全建设 习题（1）简述传统的网络安全（2）简述通信安全性的具体定义（3）简述传统的网络安全的威胁源（4）简述人为威胁源（5）简述网络安全保护层及其功能（6）简述安装新网络的安全设计（7）简述现有网络的安全设计（8）简述安全认证（9）简述Internet防火墙服务目的（10）简述使用防火墙的优点 （11）简述防火墙存在的不足