计算机网络安全技术

1、计算机网络平安技术第1章 计算机网络平安概述本章要点：网络平安的概念及涵义网络平安的特性与平安要挟网络分层模型及各层的平安性平安网络的体系构造模型OSI体系构造的平安机制与平安效力网络平安体系构造模型分析中心：平安并非是一件产品，而是一个完好的过程。1.1 网络平安概述1.1.1 网络平安案例1.1.2 计算机平安和网络平安的含义1.1.3 平安网络的特征1.1.4 网络的平安要挟与平安网络的实现1.1.1 网络平安案例国外计算机网络出现的平安问题案例我国计算机网络出现的平安问题案例从案例中可以看到的问题：随着网络互联程度的扩展，基于物理上的平安机制对于网络环境几乎是行同虚设。目前网络上运用的

2、协议如TCP/IP在设计之初就没有将网络平安问题思索在设计之中。网络的开放性和资源共享也是平安问题的主要根源之一，加密、网络用户身份鉴别、存取控制战略等技术手段还不完善。1.1.2 计算机平安和网络平安的含义网络平安的定义： 网络系统的硬件、软件及其系统中运转的数据遭到维护，不因偶尔的或者恶意的缘由遭到破坏、更改、走漏，系统可延续、可靠、正常地运转，网络效力不中断。网络平安在不同运用环境下的不同解释网络平安在不同运用环境下的不同解释运转系统平安保证信息处置和传输系统的平安。本质上是维护系统的合法操作和正常运转。网络上系统信息平安包括用口令鉴别、用户存取权限控制、数据存取权限、存储方式控制、平安

3、审计、平安问题跟踪、计算机病毒防治、数据加密等。网络上信息传播平安信息传播后果的平安性，主要是信息过滤。偏重于防止和控制非法、有害的信息进展传播。本质上是维护品德、法律和国家利益。网络上信息内容的平安狭义的“信息平安，偏重于维护信息的严密、真实性和完好性。本质上是维护用户的利益和隐私。1.1.3 网络平安的特性严密性保证只需授权用户可以访问数据，而限制其他用户对数据的访问。数据的严密性分为网络传输的严密性和数据存储严密性两个方面。网络传输严密性经过对传输数据进展加密处置来实现；数据存取严密性主要经过访问控制来实现。完好性数据未经授权不能进展改动的特性，即信息在存储或传输过程中坚持不被修正、不被

4、破坏和丧失的特性。普统统过访问控制、数据备份和冗余设置来实现数据的完好性。1.1.3 网络平安的特性可用性可被授权实体访问并按需求运用的特性，即当需求时能否存取和访问所需的信息。网络环境下回绝效力、破坏网络和有关系统的正常运转等都属于对可用性的攻击。不可否认性不可抵赖性在信息交互过程中确信参与者的真实同一性，一切参与者都不能否认和抵赖曾经完成的操作和承诺。数字签名技术是处理不可否认性的重要手段之一。可控性人们对信息的传播途径、范围及其内容所具有的控制才干。1.1.4 网络的平安要挟与平安网络的实现网络的平安要挟 无意的要挟人为操作错误、设备缺点、自然灾祸等不以人的意志为转移的事件。有意的要挟窃

5、听、计算机犯罪等人为的破坏。目前网络的主要要挟:自然灾祸、不测事故。个人行为，比如运用不当、平安认识差等。黑客行为，由于黑客入侵或侵扰，呵斥非法访问、回绝效力、计算机病毒、非法链接等。内部泄密和外部的信息泄密、信息丧失等。电子间谍活动，比如流量分析、信息窃取等。信息战。网络协议中的缺陷，例如TCP/IP协议的平安问题等。1.1.4 网络的平安要挟与平安网络的实现平安网络的实现先进的网络平安技术是网络平安的根本保证。技术严厉的平安管理。制度制定严厉的法律规范体系。法律1.2 网络平安体系构造1.2.1 OSI平安效力1.2.2 OSI平安机制1.2.3 OSI平安效力的层配置1.2.4 TCP/

6、IP网络平安体系构造 OSI平安体系构造是在分析对开放系统要挟和其脆弱性的根底上提出来的。 在OSI平安参考模型中主要包括平安效力Security Service、平安机制Security Mechanism和平安管理Security Management，并给出了OSI网络层次、平安效力和平安机制之间的逻辑关系。1.2.1 OSI平安效力对等实体认证效力用于两个开放系统同等层实体建立衔接或数据传输阶段，对对方实体包括用户或进程的合法性、真实性进展确认，以防冒充。访问控制效力用于防止未授权用户非法运用系统资源，包括用户身份认证和用户权限确认。数据严密效力防止网络中各系统之间交换的数据被截获或被

7、非法存取而泄密，提供密码维护。同时对有能够从察看信息流就能推导出的信息提供用户可选字段的数据维护和信息流平安。1.2.1 OSI平安效力数据完好性效力用于阻止非法实体对交换数据的修正、插入、删除以及在数据交换过程中的数据丧失。经过多种完好性效力以顺应不同要求。数据源点认证效力用于确保数据发自真正的原点，防止冒充。信息流平安效力经过路由选择使信息流经过平安的途径，经过数据加密使信息流不走漏，经过流量填充阻止流量分析。不可否认效力用于防止发送方在发送数据后否认本人发送过此数据，接纳方在收到数据后否认本人收到过此数据或伪造接纳数据。实践上是一种数字签名1.2.2 OSI平安机制加密机制确保数据平安性

8、的根本方法。在OSI平安体系构造中应根据加密所处的层次及加密对象的不同，而采用不同的密码和加密方法。数字签名机制确保数据真实性的根本方法。利用数字签名技术可进展报文认证和用户身份认证。访问控制机制从计算机系统的处置才干方面对信息提供维护。访问控制机制按照事先确定的规那么决议主体对客体的访问能否合法。1.2.2 OSI平安机制数据完好性机制认证机制计算机网络中的认证主要有站点认证、报文认证、用户和进程认证等。多数认证过程采用密码技术和数字签名技术破坏数据完整性的因素数据完整性解决方法数据在信道中传输时受信道干扰影响产生错误纠错编码和差错控制数据在传输和存储过程中被非法入侵者篡改报文认证计算机病毒

9、对程序和数据的传染各种病毒检测、消毒和免疫1.2.2 OSI平安机制信息流填充控机制为了对付流量分析攻击，在无正常信息传送时，继续传送一些随机数据。路由控制机制可根据信息发送者的恳求选择平安途径，以确保数据平安。公正机制为理处理大型计算机网络中，部分不可靠用户和由于设备缺点等技术缘由呵斥的信息丧失、延迟等而引起的责任纠纷，采取运用各方都信任的第三方实体提供仲裁，常用仲裁数字签名技术。1.2.3 OSI平安效力的层配置服务物理层链路层网络层传输层会话层表示层应用层 对等实体认证服务是是是访问控制服务是是是链接保密是是是是是无链接保密是是是是选择字段保密是信息流安全是是是有恢复链接完整性是无恢复链

10、接完整性是是是选择字段无链接完整性是数据源点鉴别是是是不可否认（源点）是不可否认（接收方）是网络平安效力与网络层次关系1.2.3 OSI平安效力的层配置OSI的建议没有对平安效力的实现提出详细规定，在详细的系统上，平安效力的选择因思索以下要素：选择能满足平安方针和平安目的的最小平安效力子集。选择最少的层数来实现平安效力，使受影响的层数最小。选择适当的层实现适当的平安效力功能，利用现有的功能实现的代价最小。1.2.4 TCP/IP网络平安体系构造TCP/IP协议的网络平安体系构造的根底框架层名相关安全协议应用层PEM MOSS PGP MINE S-HTTP SSH Kerberos SNMPv

11、2传输层SSH SSL PCT TLS网络互联层IPv6 IPSec SKIP ISAKMP SKEME OAKLEY1.2.4 TCP/IP网络平安体系构造PEP: Privacy Enhanced Mail 私用强化邮件PGP: Pretty Good Privacy 基于RSA的公钥加密体系邮件S-: HTTP的平安加强版SSH: Secure Shell 平安配置SSL: Secure Socket Layer 平安套接层 PCT: 私人通讯技术TLS: Transport Layer Security SKIP: Internet 协议的简单密钥管理ISAKMP: Internet

12、平安协议/密钥管理协议SKEME: 平安密钥交换机制OAKLEY: 密钥决议协议1.2.4 TCP/IP网络平安体系构造IP层的平安性优点：透明性，平安效力的提供不需求运用程序，其他通讯层次和网络部件做任何改动；缺陷：对属于不同的进程和相应条例的包不做区别。传输层的平安性优点：提供基于进程对进程而不是主机对主机的平安效力；缺陷：要对传输层IPC界面和运用程序两端都进展修正，基于UDP的通讯很难在传输层建立起平安机制。运用层的平安性对每个运用及运用协议分别进展修正。1.3 网络平安体系构造模型分析1.3.1 网络平安体系构造模型1.3.2 网络平安体系构造框架1.3.1 网络平安体系构造模型管理

13、安全物理安全网络安全信息安全平安体系构造框架1.3.1 网络平安体系构造模型物理安全环境安全电子计算机机房设计规范计算站场地技术条件计算站场地安全要求设备安全电源保护防盗、防毁、抗电磁干扰防电磁信息辐射泄漏、防止线路截获媒体安全媒体数据安全媒体本身安全物理平安构架1.3.1 网络平安体系构造模型网络安全系统安全（主机、服务器）反病毒系统安全检测入侵检测审计与分析网络运行安全备份与恢复应急、灾难恢复局域网、子网安全访问控制（防火墙）网络安全检测网络平安构架1.3.1 网络平安体系构造模型信息安全信息传输安全（动态安全）数据加密数据完整性的鉴别防抵赖信息存储安全（静态安全）数据库安全终端安全信息的防止泄密信息内