计算机通讯计算机网络及信息安全基础

计算机通讯计算机网络及信息安全基础第一页，共五十九页，编辑于2023年，星期五一、计算机通讯基础知识

计算机通信的基本原理带宽第二页，共五十九页，编辑于2023年，星期五通信的基本要素第三页，共五十九页，编辑于2023年，星期五信息分类从形式上分：有线、无线从传输方式上分：模拟、数字第四页，共五十九页，编辑于2023年，星期五模拟信号和数字信号传输数字信号：基带传输模拟信号：频带传输第五页，共五十九页，编辑于2023年，星期五模拟信号转换成数字信号第六页，共五十九页，编辑于2023年，星期五调制方法第七页，共五十九页，编辑于2023年，星期五带宽对于模拟信道，带宽是指物理信道的频带宽度，其本来的意思是指信道允许传送信号的最高频率和最低频率之差，单位为Hz。对于数字信道，“带宽”是指在信道上能够传送的数字信号的速率，即数据传输速率S。因此，此时带宽的单位就是比特每称，通常表示为b/s或bps。数据传输速率S(比特率)：是一种数字信号的传输速率，它是指在有效带宽上，单位时间内所传送的二进制代码的有效位(bit)数，单位：b/s、kb/s（1kb=1000b<>1024b）、mb/s等。第八页，共五十九页，编辑于2023年，星期五二、计算机网络技术基础计算机网络概念计算机网络基本组成网络模型网络分类网络协议第九页，共五十九页，编辑于2023年，星期五计算机网络概述计算机技术通信技术计算机网络硬件、软件、网络体系结构、通信紧密结合第十页，共五十九页，编辑于2023年，星期五网络操作系统通信协议计算机网络的定义R实现通信交往资源共享协同工作定义：为了实现计算机之间的通信交往、资源共享和协同工作，利用通信设备和线路将地理位置分散的、各自具备自主功能的一组计算机有机地联系起来，并且由功能完善的网络操作系统和通信协议进行管理的计算机复合系统。３个要点：自主性、通信手段有机连接、网络组建的目的。第十一页，共五十九页，编辑于2023年，星期五多用户共享数据资料示意图第十二页，共五十九页，编辑于2023年，星期五计算机网络的（逻辑）组成计算机网络按其逻辑功能可以分为资源子网和通信子网两部分。资源子网的组成：主机、终端、网络中的共享设备资源子网基本功能：负责全网的数据处理业务，并向网络客户提供各种网络资源和网络服务。计算机通信子网的组成：通信控制处理机ＣＣＰ、通信线路、信号交换设备。计算机通信子网功能：提供网络通信功能，完成全网主机之间的数据传输、交换、控制和变换等通信任务，负责全网的数据传输、转发及通信处理等工作。第十三页，共五十九页，编辑于2023年，星期五计算机网络的（硬件）组成网络包含许多组件，例如个人计算机、服务器、网络设备、电缆等。这些组件可以分为四大类：主机、共享的外围设备、网络设备、网络介质。第十四页，共五十九页，编辑于2023年，星期五主机第十五页，共五十九页，编辑于2023年，星期五网络设备第十六页，共五十九页，编辑于2023年，星期五网络介质第十七页，共五十九页，编辑于2023年，星期五外围设备第十八页，共五十九页，编辑于2023年，星期五微软运营网络系统的组织结构工作组结构的网络：使用对等网模式进行工作。工作组网络的特点是各计算机地位平等、规模较小、资源和帐户的管理分散。成员少，组织方式：工作组。典型示例：10台左右的一个小型公司的办公网络以硬件采用10Base-T交换式星状网络。域结构的网络：使用C/S模式进行工作。由管理员通过域控制器来统一管理全域的计算机、用户账户、服务、各种对象和安全数据。采用基于全域目录数据库的统一、集中管理方式。典型示例：超过50台计算机的一个中型学校的信息网络，硬件采用100Base-T二级交换式星状网络。第十九页，共五十九页，编辑于2023年，星期五计算机网络分类按计算机网络的分布距离来分类：局域网（ＬＡＮ）：局部区域内通过高速线路互连而成的较小区域的计算机网络，本质是分布距离短、数据传输速度快。广域网（ＷＡＮ）：也称远程网，是指将颁布在不同国家、地域、甚至全球范围内的各种局域网、计算机、终端等互联而成的大型计算机通信网络。特点是协议和网络结构多样化，速率较低，延迟较大，通信子网通常归电信部门所有，而资源子网归大型单位所有。城域网（ＭＡＮ）：原指是介于局域网与广域网之间的一种大范围的高速网络，覆盖的地理范围可以从几十公里到几百公里，其原本目的是要满足几十公里范围内的大量企业、机关、公司与社会服务部门计算机的联网需求，以实现大量用户、多种信息传输为目标的综合信息网络。第二十页，共五十九页，编辑于2023年，星期五协议计算机像人一样，也要按照规则或协议进行通信。协议在本地网络上尤其重要。在有线环境中，本地网络定义为所有主机必须“讲同一种语言”（用计算机术语表示就是“共享一个公共协议”）的区域。协议（protocol）：在计算机网络通信过程中，为了保证计算机之间能够准确地进行数据通信，必须使用一套通信规则，这套规则就是通信协议。第二十一页，共五十九页，编辑于2023年，星期五TCP/IP协议在Internet中使用的协议是TCP/IP协议。它不是一个协议，而是一组协议。其中，重要的有两个协议：TCP、IP。第二十二页，共五十九页，编辑于2023年，星期五TCP/IP协议的基本参数IP地址子网掩码默认网关第二十三页，共五十九页，编辑于2023年，星期五IP地址主机需要IP地址才能加入Internet。IP地址是用于标识特定主机的逻辑网址。为了与Internet上的其它设备进行通信，它必须配置正确并且唯一。第二十四页，共五十九页，编辑于2023年，星期五IP地址结构IP地址就是32个二进制位（一和零）的数字串。二进制IP地址非常难于阅读。为此，人们将每8个位称为一组二进制八位数，将这32个位划分为四组二进制八位数。同样，以这种格式表示的IP地址也难于阅读和记忆。为了使IP地址更易于理解，人们就将每组二进制八位数表示为其十进制数值，并以小数点或句号加以分隔。这称为点分十进制记法。为主机配置IP地址时，输入的IP地址是十进制数字，如。如果您必须输入此十进制数字的32位二进制表示方式，结果将是：11000000101010000000000100000101。在输入时只要其中某一位出错，结果就会变成完全不同的另一个地址，主机也就可能无法在网络中通信。第二十五页，共五十九页，编辑于2023年，星期五网关在Internet中的每一台主机都必须有一个IP地址，但它们可分布在不同的网络中（即它们有不同的网络地址），不同网络中的主机要进行通讯，就必须有一台同时连接多个网络的主机，且该主机需要配置多个不同的IP地址，默认网关就是网络中同时与其它网络相连的那台计算机的IP地址。为了在远程子网之间进行通信，主机可以通过默认网关或IP路由器将数据发送给不同网络地址的目的主机。第二十六页，共五十九页，编辑于2023年，星期五客户端和服务器为了请求和查看网页，人们需要使用运行Web客户端软件的设备。客户端指的是人们访问服务器上存储的信息时使用的计算机应用程序。Web浏览器是典型的客户端。第二十七页，共五十九页，编辑于2023年，星期五服务器第二十八页，共五十九页，编辑于2023年，星期五TCP/IP端口号使用TCP或UDP传送报文时，所需的协议和服务由端口号标识。端口是每个数据段内用于跟踪特定会话和所需目标服务的数字标识符。主机发送的每个报文都包含源端口和目的端口信息。目的端口：客户端将目的端口号放到数据段内，以此通知目的服务器请求的服务类型。例如：端口80表示HTTP或Web服务。当客户端在目的端口中指定端口80时，接收该报文的服务器就知道请求的是Web服务。服务器可同时提供多项服务。例如：服务器在端口21上提供建立FTP连接的服务，并同时在端口80上提供Web服务。源端口：源端口号由发送方设备随机生成，用于标识两台设备之间的会话。这就使多个会话能够同时发生。换而言之，多台设备可以同时向一台Web服务器请求HTTP服务。根据源端口号可以跟踪每个单独的会话。源端口和目的端口都被置入数据段内，然后数据段封装于IP数据包内。IP数据包中含有源IP地址和目的IP地址。源IP地址和目的IP地址以及源端口号和目的端口号的组合称为套接字。套接字用于标识客户端所请求的服务器和服务。每天都有成千上万的主机与成千上万的不同服务器进行通信。这些通信都通过套接字识别。第二十九页，共五十九页，编辑于2023年，星期五TCP/IP数据报中的端口号第三十页，共五十九页，编辑于2023年，星期五三、计算机网络安全技术网络安全概述防火墙技术Windows操作系统安全第三十一页，共五十九页，编辑于2023年，星期五针对网络的攻击计算机网络，不论是有线还是无线网络，都已迅速成为人们日常活动中不可或缺的一部分。个人与组织都依赖于计算机和网络来处理电子邮件、财务、组织和文件管理之类的工作。不速之客的入侵可能导致代价高昂的网络中断和工作成果的丢失。针对网络的攻击有时具有相当的破坏性，可能造成重要信息或资产的损坏或失窃，导致时间上和金钱上的损失。入侵者可通过软件漏洞、硬件攻击甚至一些科技含量很低的方法（例如猜测某人的用户名和密码）来获得对网络的访问权。通过修改或利用软件漏洞来获取访问权的入侵者通常被称为黑客。一旦黑客取得网络的访问权，就可能给网络带来以下四种威胁：信息盗窃身份盗窃数据丢失/操纵服务中断第三十二页，共五十九页，编辑于2023年，星期五第三十三页，共五十九页，编辑于2023年，星期五网络入侵来源外部威胁：外部威胁是由组织外部活动的个人引起的。他们没有访问组织计算机系统或网络的权限。外部攻击者主要通过Internet、无线链接或拨号访问服务器进入网络。内部威胁：内部威胁是由具备授权用户帐户的个人，或能够实际接触网络设备的人员导致的。内部攻击者了解内部的政策和人员。他们往往清楚的知道，什么信息有价值而且易于攻击，以及怎么获得该信息。然而，并不是所有内部攻击都是故意的。在某些情况下，一个受信任的员工在公司外部工作时可能会感染上病毒或安全威胁，然后在不知情的情况下将它带到内部网络中，从而造成内部威胁。许多公司都在防御外部攻击上花费了大量资源，但大多数威胁其实来自内部。据FBI调查显示，在报告的安全入侵事件中，约有70%都是因内部访问和计算机系统帐户使用不当造成的。第三十四页，共五十九页，编辑于2023年，星期五网络威胁社会工程和网络钓鱼对于内外两个源头的入侵者而言，要想获得访问权，最简单的一种方法就是利用人类行为的弱点。利用人类弱点的常见方法之一便是“社会工程”(SocialEngineering)。术语“社会工程”指代某事或某人影响某个人群的行为的能力。在计算机和网络安全方面，社会工程代表用来欺骗内部用户执行特定操作或暴露机密信息的一种技术。通过采用这些技术，攻击者可利用没有设防的合法用户来获取内部资源和私密信息（例如银行帐户或密码）的访问权。用户通常被认为是安全体系中最薄弱的环节之一，社会工程攻击正是利用了这一点。社会工程者可能位于组织内部或外部，但通常不会与受害者面对面打交道。社会工程中最常用的三种技术有：假托、网络钓鱼和语音网络钓鱼。第三十五页，共五十九页，编辑于2023年，星期五网络威胁病毒、蠕虫和特洛伊木马病毒是通过修改其它程序或文件来运行和传播的一种程序。病毒无法自行启动，而需要受到激活。有的病毒一旦激活，便会迅速自我复制并四处传播，但不会执行其它操作。这类病毒虽然很简单，但仍然非常危险，因为它们会迅速占用所有可用内存，导致系统停机。编写的更为恶毒的病毒可能会在传播前删除或破坏特定的文件。病毒可通过电子邮件附件、下载的文件、即时消息或磁盘、CD或USB设备传输。蠕虫类似于病毒，与病毒不同的是它无需将自身附加到现有的程序中。蠕虫使用网络将自己的副本发送到任何所连接的主机中。蠕虫可独立运行并迅速传播，它并不一定需要激活或人类干预才会发作。自我传播的网络蠕虫所造成的影响可能比单个病毒更为严重，而且可迅速造成Internet大面积感染。特洛伊木马是一种非自体复制型程序，看似合法，但实质上却是一种攻击工具。特洛伊木马依赖于其合法的外表来欺骗受害人启动该程序。它的危害性可能相对较低，但也可能包含可损坏计算机硬盘内容的代码。特洛伊木马还可为系统创建后门，从而使黑客获得访问权。第三十六页，共五十九页，编辑于2023年，星期五网络威胁拒绝服务和暴力攻击拒绝服务(DoS)：是针对单个计算机或一组计算机执行的一种侵略性攻击，目的是拒绝为特定用户提供服务。暴力攻击：攻击者使用运行速度很快的计算机来尝试猜测密码或破解加密密钥。攻击者会在短时间内尝试大量可能的密码来获取访问权限或破译密钥。暴力攻击可引起针对特定资源的流量过大或用户帐户锁定，从而导致拒绝服务。第三十七页，共五十九页，编辑于2023年，星期五常用安全措施第三十八页，共五十九页，编辑于2023年，星期五防火墙防火墙是保护内部网络用户远离外部威胁的最为有效的安全工具之一。防火墙驻留在两个或多个网络之间，控制其间的流量并帮助阻止未授权的访问。防火墙产品使用多种技术来区分应禁止和应允许的网络访问。数据包过滤—根据IP或MAC地址阻止或允许访问。应用程序过滤-根据端口号阻止或允许访问特定类型的应用程序。URL过滤-根据特定的URL或关键字阻止或允许访问网站。状态包侦测(SPI)—传入数据包必须是对内部主机所发出请求的合法响应。除非得到特别允许，否则未经请求的数据包会被拦截。状态包侦测还可具有识别和过滤特定类型攻击（例如DoS）的能力。第三十九页，共五十九页，编辑于2023年，星期五防火墙类别基于设备的防火墙—此类防火墙内置在专用的硬件设备（称为安全设备）中。基于服务器的防火墙—此类防火墙是在网络操作系统（NOS，例如UNIX、Windows或Novell）上运行的防火墙应用程序。集成防火墙—此类防火墙通过对现有设备（例如路由器）添加防火墙功能来实现。个人防火墙—此类防火墙驻留在主机计算机中，不能用于LAN实施。它可以由操作系统默认提供，也可以由外部厂商提供安装。第四十页，共五十九页，编辑于2023年，星期五企业防火墙基本布署第四十一页，共五十九页，编辑于2023年，星期五安全机制网络安全概述网络故障网络攻击安全服务认证、访问控制、数据保密性、数据完整性、不可否认性加密机制、数字签名机制、访问控制机制、数据完整性机制认证机制、通信业务填充机制、路由控制机制、公证机制第四十二页，共五十九页，编辑于2023年，星期五认证识别和证实，即识别一个实体的身份和证实实体身份的真实性。单机状态身份认证一般有用户口令、一次性密码和生理特征等。网络环境下，采用高强度的密码技术，一般为对称密钥或公开密钥加密的方法。是防止主动攻击的重要措施。第四十三页，共五十九页，编辑于2023年，星期五访问控制访问控制是确定不同用户对信息资源的访问权限。也是针对越权使用资源的防御措施。第四十四页，共五十九页，编辑于2023年，星期五数据保密性系统只对授权的用户提供信息，对于未被授权的使用者，这些信息是不可获得或不可理解的。它是针对信息泄漏的防御措施。第四十五页，共五十九页，编辑于2023年，星期五数据完整性是针对非法地篡改信息、文件和业务流而设置的防范措施，以保证资源可获得性。第四十六页，共五十九页，编辑于2023年，星期五不可否认性是针对对方进行抵赖的防范措施，可用于证实发生过的操作。一般有发送防抵赖、对递交防抵赖和公证。第四十七页，共五十九页，编辑于2023年，星期五密码学基本原理加密函数Ek()解密函数Dk’()明文P明文P=Dk’(C)密文C=Ek(P)加密密钥解密密钥k’密钥信道密码技术是信息安全的核心技术。第四十八页，共五十九页，编辑于2023年，星期五两种基础变换所有的密码算法皆基于两种通用的变换，一种是代替，一种是错乱。第四十九页，共五十九页，编辑于2023年，星期五密码体制分类单钥体制：加密密钥和解密密钥相同，也称对称密钥。保密密钥是关键。双钥体制：每个用户都有一对选定的密钥，一个公开，一个保密。也称公钥体制或公开密钥密码系统。它将加密和解密能力分开以实现多个用户加密的消息只能由一个用户解读，或由一个用户加密的消息而多个用户可以解读。这种方式需要公钥管理机构进行管理。第五十页，共五十九页，编辑于2023年，星期五信息传输的安全模型第五十一页，共五十九页，编辑于2023年，星期五Windows2000操作系统安全操作系统的安全对整个计算机网络系统的安全是至关重要的。其用户数量庞大以及系统的普及性和易用性使它成为了网络中最易被攻击，最脆弱的一个操作系统。第五十二页，共五十九页，编辑于2023年，星期五操作系统安全子系统本地安全策略：安全机制核心，通过确认安全账号管理中的数据，控制种各类型用户的本地和远程登录，并提供用户存取许可及产生访问令牌，同时还管理本地的安全策略、控制审计方案，并将安全证明监视器产生的审计信息记入日志中。安全账