计算机网络原理与应用-网络安全

管理学院信息管理系C314肖洁TEL算机网络原理与应用计算机网络的安全

网络安全概述数据加密技术防火墙技术学习目标一、网络安全概述安全：只有那些被授权的人才能使用其相应的资源。计算机安全：实体的安全性运行环境的安全性信息的安全性

1、网络安全面临的主要威胁身份窃取：指用户的身份在通信时被他人非法截取。非授权访问：指对网络设备及信息资源进行非正常使用或越权使用等。冒充合法用户：指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。数据窃取：指非法用户截取通信网络中的某些重要信息。破坏数据完整性：指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。拒绝服务：指通信被终止或实时操作被延迟。否认：指通信的双方有一方事后否认曾参与某次活动。数据流分析：指分析通信线路中的信息流向、流量和流速等，从中获得有用信息。干扰系统正常运行：指改变系统的正常运行方法，减慢系统的响应时间等手段。病毒与恶意攻击：指通过网络传播病毒或恶意攻击。2、导致网络不安全的因素（1）环境（2）资源共享（3）数据通信搭线窃听、电磁窃听、网络线路的辐射泄密等。（4）计算机病毒（5）TCP/IP协议的安全缺陷：大多数Internet上的流量是没有加密的；很多基于TCP/IP的应用服务都在不同程度上存在安全问题；缺乏安全策略；访问控制的配置一般十分复杂，易被错误配置，从而给黑客可乘之机；

TCP/IP协议被公布于世，容易遭受破坏。3、安全技术措施如何认证用户使用名与他们的真实身份一致。如何在网络上不透明发送用户名和密码来进行用户认证。如何确信这些服务在Intranet和Internet上均有效（如何避免在防火墙内外采用不同的安全措施）。如何在实时（例如网络客户与网络服务器间的数据流）和存储转发应用（例如电子邮件）情况下保护通信秘密。如何确保在发送和接收间避免干扰。如何保护秘密文件，使得只有授权的用户可以访问。4、网络安全措施一个完整的网络信息安全体系至少应包括三类措施：社会的法律政策、安全的规章制度以及安全教育等外部软环境。技术方面的措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。审计和管理措施：实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等。

法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。（1）局域网的安全技术实行实体访问控制：安装双层电子门、使用磁卡身份证等保护网络介质：采取完好的屏蔽措施，避免电磁干扰，同时对系统设备、通信线路定期检查、维修。数据访问控制：特许用户使用用户口令、用户提问、访问矩阵。数据存储保护：磁盘安全保管、备份、多级管理、加密存储等。计算机病毒防护（2）广域网的安全技术数据通信加密：

DES算法、RSA算法等对通信数据加密；在网络中包括节点加密、链路加密、端对端加密。通信链路安全保护：选取屏蔽性好的电缆（光纤），不要采用无线电波来传输重要信息，以免电磁窃听。采用局域网络安全的各项措施。

二、数据加密技术

数据加密技术：为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破译所采用的主要技术手段之一。按作用不同，分为：数据传输加密技术：对传输中的数据流加密。数据存储加密技术：防止在存储环节上的数据失密。密文存储：通过加密算法转换、附加密码及加密模块等方法实现存取控制：对用户资格加以审查和限制。数据完整性鉴别技术：包括口令、密钥、身份、数据等项的鉴别密钥管理技术：包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。一般的数据加密模型E加密算法明文XD解密算法明文X密文Y=EKe(X)加密密钥Ke加密密钥Ke解密密钥Kd截取者发端收端根据加密密钥与解密密钥是否相同，密码技术可分为常规密钥密码体制和公开密钥密码体制。1、常规密钥密码体制

加密密钥与解密密钥是相同的。最基本的密码（1）替代密码（2）置换密码2、公开密钥密码体制

加密密钥（即公开密钥）PK是公开信息，加密算法E和解密算法D也都是公开的，而解密密钥（即秘密密钥）

SK是保密的。应用最多的是RSA体制。三、防火墙技术

网络的安全性主要指网络信息的安全性和网络路由的安全性。路由的安全性包括：限制外部网对本地网的访问，从而保护本地网中的特定资源免受非法侵犯。限制本地网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。1、防火墙的概念它是一种由计算机硬件和软件组成的一个或一组系统，用于增强内部网络和Internet之间的访问控制。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。2、防火墙具有以下优点：保护那些易受攻击的服务。控制对特殊站点的访问。对网络存取访问进行记录和统计。3、防火墙的体系结构安全控制基本准则：一切未被允许的都是禁止的。一切未被禁止的都是允许的。

4、防火墙的类型根据采用的技术不同，防火墙有两种基本类型：（1）包过滤型。

网络上的数据都以“包”为单位进行传输，每一个数据包包含诸如数据源地址、目标地址、TCP/UDP源端口地址和目标端口地址等特定信息。包过滤型防火墙通过读取数据包中的地址信息并通过与系统管理员制定的规则表进行对比来判断数据包是否来自可信任的安全地点，并自动将来自危险地点的数据拒之门外。（2）代理型。也称为代理服务器或应用网关，位于客户机与服务器之间，阻隔两者之间直接的数据交流。当客户机需要使用服务器上的数据时，首先将数据请求发送给代理服务器，代理服务器检查访问用户是否有权访问该服务器以及是否能够执行所要求的应用，然后根据检测的请求向服务器索取数据，服务器将数据再由代理服务器传送给客户机。谢谢！人有了知识，就会具备各种分析能力，明辨是非的能力。所以