计算机网络与信息安全

第4章 计算机网络与信息安全,大学计算机基础文科类课程,计算机基础系制作,5-1,2,第4章 计算机网络与信息安全,4.1计算机网络基础知识4.2计算机局域网4.3Internet及应用4.4计算机信息安全技术,5-1,3,4.1计算机网络基础知识本节主要讲述：4.1.1 计算机网络概述4.1.2 计算机网络的分类4.1.3 计算机网络的基本组成,5-1,4,1）什么是计算机网络?,凡是利用通信设备和线路按不同的拓扑结构将地理位置不同的、功能独立的多个计算机系统连接起来，以功能完善的网络软件（网络通信协议、信息交换方式及网络操作系统等）实现网络中硬件、软件资源共享和信息传递的系统，称为计算机网络系统。,5-1,5,2）计算机网络的形成与发展,（1）第一代计算机网络面向终端的计算机网络（2）第二代计算机网络共享资源的计算机网络（3）第三代计算机网络标准化的计算机网络（4）第四代计算机网络国际化的计算机网络,5-1,6,2）计算机网络的形成与发展,（1）第一代计算机网络面向终端的计算机网络 将地理位置分散的多个终端通信线路连到一台中心计算机上，用户可以在自己办公室内的终端键入程序，通过通信线路传送到中心计算机，分时访问和使用资源进行信息处理，处理结果再通过通信线路回送到用户终端显示或打印。这种以单个为中心的联机系统称做面向终端的远程联机系统。,5-1,7,2）计算机网络的形成与发展,改进后的面向终端的计算机网络 在主机之前增加了一台功能简单的计算机，专门用于处理终端的通信信息和控制通信线路，并能对用户的作业进行预处理，这台计算机称为“通信控制处理机”或前置处理机；在终端设备较集中的地方设置一台集中器，终端通过低速线路先汇集到集中器上，再用高速线路将集中器连到主机上。,5-1,8,2）计算机网络的形成与发展,（2）第二代计算机网络共享资源的计算机网络 将分布在不同地点的计算机通过通信线路互连成为计算机-计算机网络。连网用户可以通过计算机使用本地计算机的软件、硬件与数据资源，也可以使用网络中的其它计算机软件、硬件与数据资源，以达到资源共享的目的。,5-1,9,2）计算机网络的形成与发展,（3）第三代计算机网络标准化的计算机网络 国际标准化组织ISO制订了OSI RM (开放式系统互联参考模型)成为研究和制订新一代计算机网络标准的基础。各种符合OSI RM与协议标准的远程计算机网络、局部计算机网络与城市地区计算机网络开始广泛应用。,5-1,10,2）计算机网络的形成与发展,（4）第四代计算机网络国际化的计算机网络 各种网络进行互连，形成更大规模的互联网络。 其特点是互连、高速、智能与更为广泛的应用，其典型代表为Internet。,5-1,11,3）计算机网络的功能,主要功能： 数据交换和通信资源共享 提高系统的可靠性和可用性 均衡负荷，相互协作 分布式网络处理 提高系统性能价格比，易于扩充，便于维护,5-1,12,4.1计算机网络基础知识本节主要讲述：4.1.1 计算机网络概述4.1.2 计算机网络的分类4.1.3 计算机网络的基本组成,5-1,13,4.1.2 计算机网络的分类,1）按地理范围对计算机网络进行分类可以分为: 局域网( LAN ) 城域网( MAN ) 广域网( WAN ),5-1,14,局域网( LAN )( Local Area Network ),覆盖范围：几米几千米 通信介质：双绞线、同轴电缆、光纤等 数据传输率：10/100/1000/Mbit/s 通常为一个机构或部门所拥有，如机房内的教学网、公司内部网等。,5-1,15,城域网（CAN）（City Area Network）,覆盖范围：几十千米 通信介质：主要采用光纤 数据传输率：50kbit/s100Mbit/s 城域网是在整个城市内建设的大型网络。,5-1,16,广域网( WAN )( Wide Area Network),覆盖范围：几十几万千米 通信介质：电话网、微波、通讯卫星线路等。 广域网一般指联接一个国家的各个地区的网络。目前，很多全国性的计算机网络就属于这类网络，如邮电部的CHINANE（中国公网）、 国家教委的CERNET（教育网）、中科院的NCFC（科技网）和电子部的CHINAGBN（经济网）等。,5-1,17,互联网( Internet),利用网络互联设备将世界各地的各种局域网、广域网互联起来，使全世界的计算机网络联成一片。但它不为某一个机构所拥有，而由世界各地的互联网信息中心分片维护和管理。,5-1,18,星形结构（a）、总线结构（b）、环形结构（c）和树形结构（d）,4.1.2 计算机网络的分类,2）按网络的拓扑结构分类,5-1,19,3）按数据交换方式划分,直接交换网 存储转发交换网 混合交换网,5-1,20,4.1计算机网络基础知识本节主要讲述：4.1.1 计算机网络概述4.1.2 计算机网络的分类4.1.3 计算机网络的基本组成,5-1,21,4.1.3 计算机网络的基本组成,计算机网络是由计算机系统、通信链路和网络节点组成的计算机群，它是计算机技术和通信技术紧密结合的产物，承担着数据处理和数据通信两类工作。 计算机网络系统由网络硬件和网络软件两部分组成。在网络系统中，硬件对网络的性能起着决定性的作用，是网络运行的实体，而网络软件则是支持网络运行、提高效益和开发网络资源的工具。,5-1,22,1）网络硬件,网络硬件是计算机网络系统的物质基础。构成一个计算机网络系统，首先要将计算机及其附属硬件设备与网络中的其它计算机系统连接起来，实现物理连接。 常见的网络硬件有：计算机、网络接口卡、通信介质以及各种网络互连设备（详细内容在后面介绍）等。网络中的计算机又分为服务器和网络工作站两类。,5-1,23,2）网络软件,网络软件包括网络操作系统和网络协议软件。 (1) 网络操作系统 网络操作系统是网络的核心，它为网络用户提供共享资源管理服务、基本通信服务、网络系统安全服务及其他网络服务等。其他应用软件系统也需要网络操作系统的支持才能运行。因为网络中的每个用户都可享用系统中的各种资源，所以，网络操作系统还必须对用户进行控制，否则，就会造成系统混乱、信息数据的破坏和丢失 常见的网络操作系统有：Microsoft公司的WINNT4.0 以及Windows 2000 系列产品、NOVELL公司的Netware操作系统、UNIX系列操作系统、LINUX系列操作系统等。,5-1,24,2）网络软件,(2) 网络协议软件 连入网络的计算机依靠网络协议实现互相通信，而网络协议是靠具体的网络协议软件的运行支持才能工作。凡是连入计算机网络的服务器和工作站上都运行着相应的网络协议软件。例如IEEE 802.3标准协议(以太网)、IEEE 802.5标准协议(令牌环网)、TCP/IP协议(Internet)等。,5-1,25,第4章 计算机网络与信息安全,4.1计算机网络基础知识4.2计算机局域网4.3Internet及应用4.4计算机信息安全技术,5-1,26,4.2计算机局域网本节主要讲述：4.2.1 局域网概述4.2.2 局域网的种类4.2.3 常用的局域网网络设备,5-1,27,4.2.1 局域网概述,局域网（LAN：Local Area Network）又叫 局部区域网，是一种在较小的地理范 围内利用通信线路和通信设备将各种 计算机和数据设备互连起来，实现数 据通信和资源共享的计算机网络。,5-1,28,1）局域网的发展,70年代:短距离高速度计算机通信网络应运而生。如:美国Xerox公司1975年推出的实验性以太网和英国剑桥大学1974年研制的剑桥环网等。 80年代：IEEE（电气电子工程师协会）成立802委员会，负责制定和促进工业LAN标准，并陆续制定了一系列LAN规范。,5-1,29,1）局域网的发展,90年代:以太网从提出到现在主要经历了三个不同的技术阶段。以太网(IEEE802.3)： 通信介质：同轴电缆传输速度：10Mb/s。快速以太网：通信介质：双绞线传输速度：100Mb/s。千兆以太网：通信介质：光缆或双绞线传输速度：1000Mb/s（1Gb/s）。,5-1,30,1）局域网的发展,ATM网络: ATM即Asynchronous Transfer Mode(异步传输模式) ，是一种可以在局域网、城域网和广域网中传送声音、图像、视频和数据的新技术，具有高速的通信能力，因此主要用作多媒体通信的远程网络干线。与千兆以太网相比， ATM的优点还在于能够对流量进行精确的控制，从而便于收费。,5-1,31,2）局域网的特征,(1) 主要连网对象是微机 (2) 网络覆盖范围小 (3) 传输速率高 (4) 误码率低,5-1,32,3）局域网的用途,(1) 网络资源共享 (2) 信息发布 (3) 电子邮件 (4) 办公自动化,5-1,33,4.2计算机局域网本节主要讲述：4.2.1 局域网概述4.2.2 局域网的种类4.2.3 常用的局域网网络设备,5-1,34,局域网的种类,常见的局域网有： 以太网（Ethernet） 令牌网（Token Ring） FDDI网 ATM网（异步传输模式网） 无线局域网 其中以太网是目前最流行的网络结构，约80%的局域网都是以太网。,5-1,35,1）以太网（EtherNet）,以太网中使用的数据传输机制为CSMA/CD（载波监听多路访问/冲突检测），这是一种“先监听后发送”的访问方式。网络中的所有用户共享传输介质，信息通过广播方式传送到所有端口。网络中的工作站对接收的信息进行确认，如果是发给自己的便接收，否则不予理睬。从发送端看，当一个工作站有数据要发送时，它首先监听信道并检测网络上是否有其他工作站正在发送数据。如果检测到信道忙，工作站将继续等待并检测，一旦发现信道空闲，则开始发送数据。信息发出去以后，发送端还要对发送出去的信息进行确认，以了解接收端是否已正确地接收到数据。如果接收到则发送结束，否则将再次发送。,5-1,36,2）令牌环网,令牌环网使用IEEE802.5标准，采用环形拓扑结构。所谓令牌即逐点传送的一个标记数据，哪个站点取得这一令牌，它就有权发送数据，依次分配发送权利。所以说令牌环网是一种无冲突网。由于目前以太网技术发展迅速，令牌网存在固有缺点，令牌在整个计算机局域网已不多见，原来提供令牌网设备的厂商多数也退出了市场，所以在目前局域网市场中令牌网可以说是“昨日黄花”了。,5-1,37,3）FDDI网,光纤分布数据接口（FDDI）是目前成熟的LAN技术中传输速率最高的一种。这种传输速率高达100Mb/s的网络技术所依据的标准是ANSIX3T9.5。该网络具有定时令牌协议的特性，支持多种拓扑结构，传输媒体为光纤。,5-1,38,3）FDDI网,使用光纤作为传输媒体具有多种优点：、较长的传输距离，相邻站间的最大长 度可达2KM，最大站间距离为200KM。、具有较大的带宽，FDDI的设计带宽为 100Mb/s。、具有对电磁和射频干扰抑制能力，在 传输过程中不受电磁和射频噪声的影 响,也不影响其设备。、光纤可防止传输过程中被分接偷听， 也杜绝了辐射波的窃听,因而是最安 全的传输媒体。,5-1,39,3）FDDI网,由光纤构成的FDDI，其基本结构为逆向双环，一个环为主环，另一个环为备用环。当主环上的设备失效或光缆发生故障时,通过从主环向备用环的切换可继续维持FDDI的正常工作。这种故障容错能力是其它网络所没有的。总之FDDI比较适合较大区域内(50公里)的网络。,5-1,40,4）ATM网,ATM （asynchronous transfer mode）是一种较新型的单元交换技术，同以太网、令牌环网、FDDI网络等使用可变长度包技术不同，ATM使用53字节固定长度的单元进行交换。它是一种交换技术，它没有共享介质或包传递带来的延时，非常适合音频和视频数据的传输。,5-1,41,5）无线局域网,无线局域网（Wirress Local Area Network；WLAN）是目前最新、也是最为热门的一种局域网，它是采用空气作为传输介质的。因而摆脱了有形传输介质（如同轴电缆、双绞线和光纤等）的束缚，因此这种局域网的最大特点就是自由，只要在网络的覆盖范围内，可以在任何一个地方与服务器及其它工作站连接，而不需要重新铺设电缆。这一特点非常适合那些移动办公一簇，有时在机场、宾馆、酒店等（通常把这些地方称为“热点”），只要无线网络能够覆盖到，它都可以随时随地连接上无线网络，甚至Internet。,5-1,42,4.2计算机局域网本节主要讲述：4.2.1 局域网概述4.2.2 局域网的种类4.2.3 常用的局域网网络设备,5-1,43,1）传输媒体,局域网常用的传输媒体有同轴电缆、双绞线和光缆，以及在无线局域网情况下使用的辐射媒体等。,5-1,44,(1) 同轴电缆,同轴电缆可分为两类：粗缆和细缆。不论是粗缆还是细缆，其中央都是一根铜线，外面包有绝缘层。同轴电缆由内部导体环绕绝缘层以及绝缘层外的金属屏蔽网和最外层的护套组成，如图4.5所示。这种结构的金属屏蔽网可防止中心导体向外辐射电磁场，也可用来防止外界电磁场干扰中心导体的信号。如有线电视网，就是使用同轴电缆。,粗缆,传输距离长，性能高但成本高，使用于大型局域网干线，连接时两端需终接器。,细缆：传输距离短，相对便宜，用T型头，与BNC网卡相连。,细缆,5-1,45,(2) 双绞线,双绞线（TP）是布线工程中最常用的一种传输介质。双绞线是由相互按一定扭距绞合在一起的类似于电话线的传输媒体，每根线加绝缘层并有色标来标记。成对线的扭绞旨在使电磁辐射和外部电磁干扰减到最小。目前，双绞线可分为非屏蔽双绞线（UTP）和屏蔽双绞线（STP）。我们平时一般接触比较多的就是UTP线。使用双绞线组网，双绞线和其他网络设备（例如网卡）连接必须是RJ45接头（也叫水晶头）,双绞线,非屏蔽双绞线,正常接线顺序 ： 白桔 桔 白绿 蓝 白蓝 绿 白棕 棕,5-1,46,(3) 光缆,应用光学原理，由光发送机产生光束，将电信号变为光信号，再把光信号导入光纤，在另一端由光接收机接收光纤上传来的光信号，并把它变为电信号，经解码后再处理。分为单模光纤和多模光纤。绝缘保密性好。单模光纤：由激光作光源，仅有一条光通路，传输距离长，2公里以上。多模光纤：由二极管发光，低速短距离，2公里以内。由于它的传输信息是光束，而非电气信号。因此，光纤传输的信号不受电磁的干扰。,光纤,5-1,47,同轴电缆、双绞线、光缆的性能比较,三种传输媒体的比较,5-1,48,(4) 无线媒体,无线媒体不使用电子或光学导体，地球的大气便是数据的物理性通路。其主要应用于难以布线的场合或远程通信。无线媒体有三种主要类型：无线电微波红外线 无线电波可以穿透墙壁，到达普通网络线缆无法到达的地方。,5-1,49,常用的网络设备有：网卡(NIC)、集线器(HUB)、交换机(Switch）、路由器（Router）等。 (1) 网卡（Network Interface Card ） 图4.9 网卡实物图,2）网络设备,5-1,50,网卡又称网络适配器，是用于计算机联网的设备。网卡基本功能 从并行到串行的数据转换，包的装配和拆装，网络存取控制，数据缓存和网络信号。 网卡须具备的两大技术 网卡驱动程序和I/O技术。 网卡的分类（普通工作站网卡和服务器专用网卡） ISA网卡、EISA网卡和PCI网卡三大类 网卡的接口类型 ： AUI接口（粗缆接口）、BNC接口（细缆接口）、RJ-45接口（双绞线接口）,2）网络设备,5-1,51,(2) 集线器（HUB） HUB对网络进行集中管理，是一种共享设备。HUB本身不能识别目的地址，当同一局域网内的A主机给B主机传输数据时，数据包在网络上是以广播方式传输的，由每一台终端通过验证数据包头的地址信息来确定是否接收。也就是说，在这种工作方式下，同一时刻网络上只能传输一组数据帧，如果多个接点同时发送数据，会产生冲突。即HUB所连计算机之间共享网络带宽。HUB主要提供信号放大和中转的功能。,图4.10 集线器实物图,2）网络设备,5-1,52,(3)交换机（Switch） 交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。使计算机之间能够相互高速通信且独享带宽。使用交换机的目的就是尽可能的减少和过滤网络中的数据流量，通过交换机的过滤和转发，可以有效的隔离广播风暴，减少误包和错包的出现，避免共享冲突。,图4.11 普通交换机和千兆以太网的主干交换机,2）网络设备,5-1,53,(3)交换机（Switch） 充分了解和掌握网络的流量模式是能否发挥交换机作用的一个非常重要的因素。因为使用交换机的目的就是尽可能的减少和过滤网络中的数据流量，所以如果网络中的某台交换机由于安装位置设置不当，几乎需要转发接收到的所有数据包的话，交换机就无法发挥其优化网络性能的作用，反而降低了数据的传输速度，增加了网络延迟。 除安装位置之外，如果在那些负载较小，信息量较低的网络中也盲目添加交换机的话，同样也可能起到负面影响。受数据包的处理时间、交换机的缓冲区大小以及需要重新生成新数据包等因素的影响，在这种情况下使用简单的HUB要比交换机更为理想。因此，我们不能一概认为交换机就比HUB有优势，尤其当用户的网络并不拥挤，尚有很大的可利用空间时，使用HUB更能够充分利用网络的现有资源。,2）网络设备,5-1,54,(4) 路由器 路由器是网络中一种用来转发和传送数据包的计算机设备或软件。路由器至少连接两个网络，通常两个LAN，或两个WAN，或一个LAN与对应的ISP网络。 目前TCPIP网络，全部是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络（router based network），形成了以路由器为节点的“网间网”。在“网间网”中，路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选择和维护路由表。,图4.13 路由器,2）网络设备,5-1,55,第4章 计算机网络与信息安全,4.1计算机网络基础知识4.2计算机局域网4.3Internet及应用4.4计算机信息安全技术,5-1,56,4.3Internet及应用本节主要讲述：4.3.1 Internet概述4.3.2 IP地址表示及域名系统4.3.3 Internet的接入方式4.3.4 Internet的基本服务,5-1,57,因特网(Internet国际互联网络)是当今世界上最大的连接计算机的电脑网络通讯系统。它是全球信息资源的公共网而受到用户的广泛使用。该系统拥有成千上万个数据库,所提供的信息包括文字、数据、图像、声音等形式，信息属性有软件、图书、报纸、杂志、档案等,其门类涉及政治、经济、科学、教育、法律、军事、物理、体育、医学等社会生活的各个领域。Internet成为无数信息资源的总称,它是一个无级网络,不为某个人或某个组织所控制,人人都可参与,人人都可以交换信息,共享网上资源。 Internet为人们进行科学研究、商业活动、社会生活等方面共享信息提供重要的手段。业已成为人类智慧的海洋、知识的宝库,它将使您从包罗万象的环球信息世界中得到不尽的益处。您可以通过电话拨号、CHINAPAC、专线等接入方式入网,享用该网为之提供的所有服务。它是你获取详尽、广泛信息的理想选择。使您双足不出门,能知天下事。,4.3.1 Internet概述,5-1,58,Internet起源于美国，前身是ARPANET（军事指挥网络）1983年，研制成功用户异构网络的TCP/IP协议，诞生了真正的Internet； 1986年，美国国家科学基金会（NSF）利用通讯协议TCP/IP，建立了NSFnet广域网。如今它已成为Internet的重要骨干网之一。1989年，WWW（World Wide Web,万维网)开发成功,为Internet实现广域超媒体信息检索奠定了基础。20世纪90年代Internet已成为网中网，各个子网又通过NSFNET互联起来。,1）Internet的发展,5-1,59,主要分为2个阶段：1987年1993年，一些科研部门与Internet联网，主要从事电子邮件的收发业务； 1994年开始 ，我国实现了与Internet的TCP/Ip连接，获得了Internet的全功能服务。 目前，我国上网用户总数为9400万，其中使用宽带上网的人数达到4280万，中国网民在全球网民中占了11.6，中国网民的普及率大约是7.2；上网计算机达到4160万台；CN下注册的域名数、网站数分别达到43万和66.9万；网络国际出口带宽总数达到74429M，IPv4地址总数59945728个。,2）Internet在中国,5-1,60,最重要的两个协议 TCP（Transmission Control Protocol，传输控制协议），保证传送信息的正确性。 IP（Internet Protocol，网际协议），负责信息的实际传送。TCP/IP中包括的常用协议 Telnet：远程终端仿真协议，实现在网内的远程计算机上登录 FTP：文件传输协议，网内各计算机间传输文件 SMTP：简单报文传送协议，网内传送电子邮件 HTTP：超文本传输协议，在WWW上浏览时，传送超文本信息。,3）TCP/IP协议,5-1,61,为了使连入Internet的计算机在通信时能够相互识别，Internet中的每一台主机都分配有一个唯一的地址，该地址称为IP地址，也称作网际地址。 由于IP地址不直观，较难记忆。为方便用户，Internet引进了域名服务系统DNS（Domain Name System）。DNS是将IP地址与一个便于记忆的域名（符号串）联系在一起。域名就是Internet上主机的符号化名字。 如果把主机比作某人，那么主机号码（IP地址）就相当于某人的身份证号码，而域名则相当于某人的姓名。即：主机的域名主机的IP地址,4.3.2 IP地址表示及域名系统,5-1,62,IP地址由32位二进制数组成，共占四个字节。为了便于记忆，通常将IP地址分为4组，每组8个二进制位。这四组数字之间以圆点加以分隔，每组数可取值0255。 例如，计算机学院“毕业设计管理系统”网址为 ：45 IP地址取值范围：55IP地址由两部分组成：一部分为网络号，用来区分在Internet上互连的各个网络；另一部分为主机地址，用来区分同一网络上的不同主机。,1）IP地址,5-1,63,1）IP地址,为了适应不同规模的网络，IP地址被分为A、B、C、D、E 5类。,A类地址：网络数27（全0和全1留作它用），主机数224个 B类地址：网络数214个，每个网络中的主机数216个。 C类地址：网络数221个，每个网络中的主机数28个。,5-1,64,域名采用层次结构，每一层构成一个子域名，子域名之间用圆点隔开，自左至右分别为：结构：主机名网络名机构名最高域名 例如: 重庆大学主页的域名为：。 新浪网站的域名为：,2）域名系统DNS,5-1,65,1）PSTN拨号 利用PSTN通过电话线与Internet连接的用户称为拨号网络用户。使用拨号上网，需要具有一个Modem（调制解调器)，一电话线和一个申请的用户账号及相应的密码。拨号上网不受地点限制，只要有电话线的地方都有条件接入。缺点是上网速度慢，占用电话线，而且消费电话费。 2）ISDN拨号 采用数字传输和数字交换技术，将电话、传真、数据、图像等多种业务综合在一个统一的数字网络中进行传输和处理。上网的同时可拨打电话，收发传真，就像有2条电话线一样 3）DDN专线 向用户提供点对点、点对多点透明传输的数据专线出租电路，为用户传输数据、图像、声音等信息。专线网络用户必须要有一块10M或100M以太网卡，它是专线用户上网的必需设备，通过网卡和双绞线与Internet相连，同时要有从网络中心申请的IP地址及相应网关。,4.3.3 Internet的接入方式,5-1,66,4）宽带ADSL 是一种能够通过普通电话线提供宽带数据业务的技术。只需在线路两端加装ADSL设备（ADSL Modem和以太网卡）不需重新布线，即可提供高宽带服务。ADSL不需拨号，一直在线，实现真正的网上视频服务，同时可以打电话。5）通过有线电视网接入Internet 通过Cable-Modem，利用有线电视（CATV）网访问Internet已成为一种接入方式。这种接入方式有很高的传输速率，因此，更加适合于家庭用户接入Internet网。 Cable-Modem可以称为电缆调制解调器，它除了有将数字信号转换成模拟信号的功能外，还有调谐、加密解密、网络接口和以太网集线器的功能。 通过Cable-Modem接入Internet网采用总线型拓扑结构，多个用户共享给定带宽，当共享信道用户数增加时，传输性能会下降。,4.3.3 Internet的接入方式,5-1,67,1）电子邮件（E-mail）服务2）万维网（WWW）服务 （基于超文本方式的信息检索工具）3）文件传输（FTP）与匿名文件传输（Anonymous FTP）服务4）新闻组（Usenet）服务5）Archie服务 （索引信息检索工具）6）Gopher服务 （基于菜单方式的信息检索工具）,4.3.4 Internet的基本服务,5-1,68,第4章 计算机网络与信息安全,4.1计算机网络基础知识4.2计算机局域网4.3Internet及应用4.4计算机信息安全技术,5-1,69,4.4计算机信息安全技术本节主要讲述：4.4.1 信息安全的基本知识4.4.2 信息安全技术简介4.4.3 计算机病毒与防护4.4.4 网络黑客与网络攻防,5-1,70,1）信息安全的基本概念 信息安全是指为了防范意外或人为地破坏信息系统的运行或非法使用信息资源，而对信息系统采取的安全保护措施。主要涉及：保密性：保证信息不泄露给未经授权的人。完整性：防止未经授权的篡改信息。可用性：保证信息确实为授权人所用。可控性：对信息和信息系统实施安全监控。 总之，要保障电子信息的有效性。,4.4.1 信息安全的基本知识,5-1,71,2）与信息安全性相关的因素自然及不可抗拒因素：地震、社会暴力或战争。 硬件及物理因素：系统硬件及环境安全。 电磁波因素：信息通过电磁波辐射而泄露，在一定地理范围内用无线电接收机很容易检测并接收到。 软件因素：软件的非法篡改、复制与窃取，并造成泄密。 数据因素：数据信息在存储和传递过程中的安全。 人为及管理因素：人为因素对系统安全所造成的威胁。如银行系统的管理漏洞。 其他因素,4.4.1 信息安全的基本知识,5-1,72,4.4计算机信息安全技术本节主要讲述：4.4.1 信息安全的基本知识4.4.2 信息安全技术简介4.4.3 计算机病毒与防护4.4.4 网络黑客与网络攻防,5-1,73,1）加密技术 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。 该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。,4.4.2 信息安全技术简介,5-1,74,加密技术通常分为两大类：“对称式”和“非对称式”。 对称式加密就是加密和解密使用同一个密钥，通常称之为“Session Key ”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法。 非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里。因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都有可能被别人窃听到。而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。RSA算法是该领域内最为著名的算法。,4.4.2 信息安全技术简介,5-1,75,2）数字签名 数字签名就是基于加密技术的，它的作用就是用来确定用户是否是真实的。应用最多的还是电子邮件，如当用户收到一封电子邮件时，邮件上面标有发信人的姓名和信箱地址，很多人可能会简单地认为发信人就是信上说明的那个人，但实际上伪造一封电子邮件对于一个通常人来说是极为容易的事。在这种情况下，就要用到加密技术基础上的数字签名，用它来确认发信人身份的真实性。 数字签名技术用来保证信息的完整性，可以解决否认、伪造、篡改及冒充等问题。,4.4.2 信息安全技术简介,5-1,76,3）防火墙技术(1) 防火墙的基本概念 防火墙就是一个位于计算机和它所连接的网络之间的一系列部件的组合，该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁病毒。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 你可以将防火墙配置成许多不同保护级别。它是提供信息安全服务，实现网络和信息安全的基础设施。,4.4.2 信息安全技术简介,5-1,77,图4.14 防火墙逻辑位置示意图,5-1,78,不同保护级别的防火墙逻辑位置,5-1,79,（2）防火墙的种类 ：分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：也叫应用网关（Application Gateway ），它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。,4.4.2 信息安全技术简介,5-1,80,（3）防火墙的功能：防火墙是网络安全的屏障； 防火墙可以强化网络安全策略；对网络存取和访问进行监控审计；防止内部信息的外泄；除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系VPN 。,4.4.2 信息安全技术简介,5-1,81,4) 入侵检测入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。 （参见国标GB/T18336）入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统(Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合。,4.4.2 信息安全技术简介,5-1,82,入侵检测的任务： 入侵检测是防火墙的合理补充，可提供对内部攻击、外部攻击和误操作的实时保护。监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,4.4.2 信息安全技术简介,5-1,83,4.4计算机信息安全技术本节主要讲述：4.4.1 信息安全的基本知识4.4.2 信息安全技术简介4.4.3 计算机病毒与防护4.4.4 网络黑客与网络攻防,5-1,84,1）计算机病毒与特点 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者损坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。隐蔽性：它可以隐藏在合法程序内部，不易被发现。 传染性：它借助非法拷贝进行传染。 潜伏性：它可以隐藏在合