《计算机网络技术基础》课件第八章_第1页
《计算机网络技术基础》课件第八章_第2页
《计算机网络技术基础》课件第八章_第3页
《计算机网络技术基础》课件第八章_第4页
《计算机网络技术基础》课件第八章_第5页
已阅读5页,还剩32页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

计算机网络技术基础第8章08网络安全章节导读计算机网络的飞速发展已经大大改变了人们的生活方式,它在给人们带来便利的同时,其本身的开放性和共享性也对网络信息安全提出了严峻的挑战,网络安全问题已成为全世界都在关注的问题。由于计算机网络安全是另一门专业学科,所以本章只对计算机网络安全的基本内容及常用技术进行简单的介绍。学

标了解网络安全的含义、特点和内容。了解数据加密技术、数字签名技术。了解网络面临的安全威胁。了解防火墙技术和防病毒技术。8.1网络安全概述8.1.1网络安全的含义和特点随着计算机技术和通信技术的高速发展,网络的开放性、互连性、共享性程度的扩大,网络中的安全问题也日趋严重。网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。从本质上讲,网络安全问题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。例如,从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人窃听、冒充、篡改和抵赖。又例如,从管理者角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。网络安全的含义18.1网络安全概述概括起来,一个安全的计算机网络应具有以下特征。(1)完整性指网络中的信息安全、精确和有效,不因种种不安全因素而改变信息原有的内容、形式和流向,确保信息在存储或传输过程中不被修改、破坏或丢失。(2)保密性指网络上的保密信息只供经过允许的人员,以经过允许的方式使用,信息不泄露给未授权的用户、实体或过程,或供其利用。(3)可用性指网络资源在需要时即可使用,不因系统故障或误操作等使资源丢失或妨碍对资源的使用。(4)不可否认性指面向通信双方信息真实统一的安全要求,包括收、发方均不可抵赖。(5)可控性指对信息的传播及内容具有控制能力。网络安全的特点28.1网络安全概述8.1.2网络面临的安全威胁安全威胁是某个人、物、事或概念对某个资源的机密性、完整性、可用性和合法性所造成的危害。目前,网络面临的安全威胁主要有以下几个方面。黑客的恶意攻击1“黑客(Hacker)”对于大家来说并不陌生,他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户。事实上,黑客中的大部分人不伤害别人,但是也会做一些不应该做的事情;部分黑客不顾法律与道德的约束,由于寻求刺激、被非法组织收买或对某个企业、组织报复心理,而肆意攻击与破坏一些企业、组织的计算机网络,这部分黑客对网络安全有很大的危害。由于现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,这是网络安全的主要威胁。8.1网络安全概述计算机网络系统的漏洞与缺陷2计算机网络系统的运行一定会涉及计算机硬件与操作系统、网络硬件与软件、数据库管理系统、应用软件,以及网络通信协议等。各种计算机硬件与操作系统、应用软件都会存在一定的安全问题,它们不可能是百分之百无缺陷或无漏洞的。TCP/IP协议是Internet使用的基本协议,该协议中也会找到被攻击者利用的漏洞。这些缺陷和漏洞恰恰是黑客进行攻击的首选目标。8.1网络安全概述网络信息安全保密问题3网络中的信息安全保密主要包括两个方面:信息存储安全与信息传输安全。信息存储安全是指保证存储在联网计算机中的信息不被未授权的网络用户非法访问。非法用户可以通过猜测或窃取用户口令的办法,或是设法绕过网络安全认证系统冒充合法用户,来查看、修改、下载或删除未授权访问的信息。信息传输安全是指保证信息在网络传输过程中不被泄露或攻击。信息在网络传输中被攻击可以分为4种类型:截获信息、窃听信息、篡改信息与伪造信息。其中,截获信息是指信息从源结点发出后被攻击者非法截获,而目的结点没有接收到该信息的情况;窃听信息是指信息从源结点发出后被攻击者非法窃听,同时目的结点接收到该信息的情况;篡改信息是指信息从源结点发出后被攻击者非法截获,并将经过修改的信息发送给目的结点的情况;伪造信息是指源结点并没有信息发送给目的结点,攻击者冒充源结点将信息发送给目的结点的情况。8.1网络安全概述网络病毒4病毒对计算机系统和网络安全造成了极大的威胁,病毒在发作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒传播的速度更快,范围更广,造成的损失也更加严重。8.1网络安全概述网络内部安全问题5除了上述可能对网络安全构成威胁的因素,还有一些威胁主要是来自网络内部。例如,源结点用户发送信息后不承认,或是目的结点接收信息后不承认,即出现抵赖问题。又例如,合法用户有意或无意做出对网络、信息安全有害的行为,这些行为主要包括:有意或无意泄露网络管理员或用户口令;违反网络安全规定,绕过防火墙私自与外部网络连接,造成系统安全漏洞;超越权限查看、修改与删除系统文件、应用程序与数据;超越权限修改网络系统配置,造成网络工作不正常;私自将带有病毒的磁盘等拿到企业网络中使用。这类问题经常出现并且危害性极大。8.1网络安全概述8.1.3网络安全的内容网络安全涉及的内容包括技术和管理等多个方面,需要相互补充、综合协同防范。其中,技术方面主要侧重于防范外部非法攻击,管理方面则侧重于内部人为因素的管理。从层次结构上,可将网络安全的内容概括为以下5个方面。(1)实体安全实体安全又称物理安全,它包括环境安全、设备安全和介质安全等,是指保护网络设备、设施及其他介质免遭火灾、水灾、地震、有害气体和其他环境事故破坏的措施及过程。(2)系统安全系统安全包括网络系统安全、操作系统安全和数据库系统安全等,是指根据系统的特点、条件和管理要求,有针对性地为系统提供安全策略机制及保障措施、安全管理规范和要求、应急修复方法等。8.1网络安全概述(3)运行安全运行安全包括相关系统的运行安全和访问控制安全,如用防火墙进行内外网隔离、访问控制等。(4)应用安全应用安全由应用软件平台安全和应用数据安全两部分组成。(5)管理安全

管理安全又称安全管理,涉及法律法规、政策策略、规范标准、人员、设备、软件、操作、文档、数据、机房、运营、应用系统、安全培训等各个方面。8.2数据加密技术8.2.1数据加密技术概述面对网络安全的各种威胁,防止网络传输信息被非法获取或破坏成为Internet安全技术的重要内容。数据加密成为实现数据机密性保护的主要方法。数据加密是通过某种函数进行变换,将正常的数据报文(称为明文)转变为密文(也称为密码)的方法。解密是加密的逆操作。用来将明文转换为密文或将密文转换为明文的算法中输入的参数称为密钥。加密技术一般分为对称加密技术和非对称加密技术两类。对称加密技术是指加密和解密使用同一密钥。非对称加密技术是指加密和解密使用不同的密钥,分别称为“公钥”和“私钥”,两种密钥必须同时使用才能打开相应的加密文件。公钥可以完全公开,而私钥只有持有人持有。8.2数据加密技术对称加密技术1对称加密技术采用的是对称加密算法。该技术的特点是在保密通信系统中发送者和接收者之间的密钥必须安全传送,而且双方通信所用的密钥必须妥善保管。对称密码技术的安全性依赖于以下两个因素:第一,加密算法必须是足够强的,仅仅基于密文本身去解加密信息在实践上是不可能的;第二,加密方法的安全性依赖于密钥的秘密性,而不是算法的秘密性。对称密码具有加密速度快,保密度高等优点,在军事、外交以及商业领域得到了广泛应用。在公开的计算机网络上采用对称密钥加密体系,其最薄弱的环节是如何安全地传送和保管密钥。在对称加密技术中,最为著名的算法是IBM公司研发的数据加密标准(DataEncryptionStandard)分组算法。DES使用64位密钥,经过16轮的迭代、乘积变换、压缩变化等处理,产生64位的密文数据。8.2数据加密技术非对称加密技术2非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。非对称加密算法的典型代表是RSA算法。在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃听。而非对称加密方法有两个密钥,且其中的“公钥”是公开的,收件人解密时只要用自己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出现的安全问题。非对称密码技术成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括电子商务在内的一大批网络应用的不断深入和发展。在实际应用过程中,通常利用两种密钥体制的长处,采用二者相结合的方式对信息进行加密。例如,对实际传输的数据采用对称加密技术,这样数据传输速度较快;为了防止密钥泄露,传输密钥时采用非对称加密技术,使密钥的传送有了安全的保障。8.2.2数字签名现实生活中的书信或文件是根据亲笔签名或印章来证明其真实性。那么在计算机网络中传送的文件又如何盖章呢?这就要使用数字签名。数字签名是一种信息认证技术,它利用数据加密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人的特征,以保证文件的真实性和有效性,同时也可用来核实接收者是否存在伪造、篡改文件的行为。简单地说,数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。8.2数据加密技术数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与数据加密不同,数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下3点:(1)接收者能够核实发送者对消息的签名。(2)发送者事后不能抵赖对消息的签名。(3)接收者不能伪造、篡改对消息的签名。8.2数据加密技术8.3防火墙技术在各种网络安全技术中,作为保护局域网的第一道屏障与实现网络安全的一个有效手段,防火墙技术应用最为广泛,也备受青睐。8.3.1防火墙的概念和作用防火墙原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到别的房屋。现在的防火墙(Firewall),是指位于两个或多个网络间,实施网络之间访问安全控制的一组组件的集合。8.3防火墙技术防火墙作为内网和外网之间的屏障,控制内网和外网的连接,实质就是隔离内网与外网,并提供存取控制和保密服务,使内网有选择地与外网进行信息交换。内网通常称为可信赖的网络,而外网被称为不可信赖的网络。所有的通信,无论是从内部到外部,还是从外部到内部,都必须经过防火墙,如图8-1所示。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。防火墙既可以是一台路由器、一台计算机,也可以是由多台主机构成的体系。Internet路由器交换机用户内部网外部网防火墙内网服务器群外网服务器群图8-1防火墙8.3防火墙技术8.3.2防火墙的类型防火墙有多种形式,有的以软件形式运行在普通计算机上,有的以硬件形式集成在路由器中。最常见的分类方式将防火墙分为两类,即包过滤型防火墙和应用级防火墙。包过滤型防火墙工作在OSI网络参考模型的网络层,它根据数据包中的源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对某个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能满足绝大多数企业的安全要求。包过滤型防火墙18.3防火墙技术应用级防火墙又称为应用级网关,也就是代理服务器。它工作在OSI的最高层,即应用层。应用级防火墙通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在应用级防火墙技术的发展过程中,经历了两个不同的版本。应用级防火墙2这类防火墙是通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙是公认的最安全的防火墙。它的核心技术就是代理服务器技术。1)第一代应用网关型防火墙8.3防火墙技术这类防火墙是近几年才得到广泛应用的一种新防火墙类型。它可以结合网关型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将应用级防火墙的性能提高10倍以上。使用代理服务,网络的安全性虽然得到增强,但也产生了很大的代价,比如,需要购买网关硬件平台和代理服务应用程序、学习相关的知识、投入时间配置网关以及缺乏透明度导致系统对用户不太友好等。因此,网络管理员必须权衡系统的安全需要与用户使用方便之间的关系。需要注意的是,可以允许用户访问代理服务,但绝对不允许用户登录到应用网关,如果允许用户登录到防火墙系统上,防火墙的安全就会受到威胁,可能会造成入侵者损害防火墙的后果。2)第二代自适应代理型防火墙8.4防病毒技术随着网络技术的不断发展及其应用的广泛普及,计算机病毒的花样也层出不穷,它的广泛传播给网络带来了灾难性的影响。因此,如何有效地防范计算机病毒已经成为众多用户关心的话题。8.4.1计算机病毒简介计算机病毒(ComputerVirus)是指编制者在计算机程序中插入的破坏计算机功能或者损坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。8.4防病毒技术计算机病毒具有以下几个明显的特征。(1)传染性。传染性是计算机病毒的基本特征。传染性是指病毒具有将自身复制到其他程序的能力。计算机病毒可通过各种可能的渠道去传染其他的计算机,如U盘、硬盘、光盘、电子邮件、网络等。(2)破坏性。计算机病毒感染系统后,会对系统产生不同程度的影响,例如大量占用系统资源、删除硬盘上的数据、破坏系统程序、造成系统崩溃,甚至破坏计算机硬件,给用户带来巨大损失。8.4防病毒技术(3)隐蔽性。计算机病毒具有很强的隐蔽性。一般病毒代码设计得非常短小精悍,非常便于隐藏到其他程序中或磁盘某一特定区域内,且没有外部表现,很难被人发现。随着病毒编写技巧的提高,对病毒进行各种变种或加密后,容易造成杀毒软件漏查或错杀。(4)潜伏性。大部分病毒感染系统后一般不会马上发作,而是潜伏在系统中,只有当满足特定条件时才启动并发起破坏。病毒的潜伏性越好,其在系统中存在的时间就越长,病毒的传染范围就越大。例如黑色星期五病毒,不到预定的时间,用户就不会感觉异常,一旦遇到13日并且是星期五,病毒就会被激活并且对系统进行破坏。8.4防病毒技术(5)寄生性。计算机病毒可寄生在其他程序中,病毒所寄生的程序我们称为宿主程序,由于病毒很小不容易被发现,所以在宿主程序未启动之前,用户很难发觉病毒的存在。而一旦宿主程序被用户执行,病毒代码就会被激活,进而产生一系列破坏活动。按照计算机病毒的特点和特性,其分类的方法有很多种。现列举几种常见分类。8.4.2计算机病毒分类8.4防病毒技术可分为DOS病毒、Windows病毒、Linux病毒、Unix病毒等,它们分别是发作于DOS、Windows、Linux、Unix操作系统平台上的病毒。按攻击的操作系统分类1可分为源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病毒4种。按链接方式分类28.4防病毒技术源码型病毒主要攻击高级语言编写的源程序,它会将自己插入到系统源程序中,并随源程序一起编译,成为合法程序的一部分。嵌入型病毒可以将自身嵌入到现有程序中,将计算机病毒的主体程序与攻击的对象以插入的方式链接,这种病毒危害性较大,一旦进入程序中就难以清除。外壳型病毒将其自身包围在合法的主程序周围,对原来的程序并不作任何修改,这种病毒容易被发现,一般测试文件的大小即可察觉。操作系统型病毒通过把自身的程序代码加入到操作系统之中或取代部分操作系统模块进行工作,具有很强的破坏力,圆点病毒和大麻病毒就是典型的操作系统型病毒。8.4防病毒技术可分为引导型病毒、文件型病毒和混合型病毒3种。按存在的媒体分类3引导型病毒是一种在系统引导时出现的病毒,依托的环境是BIOS中断服务程序。引导型病毒主要感染软盘、硬盘上的引导扇区上的内容,使用户在启动计算机或对软盘等存储介质进行读、写操作时进行感染和破坏活动。文件型病毒主要感染计算机中的可执行文件,用户在使用某些正常的程序时,病毒被加载并向其他可执行文件传染。例如,宏病毒就是一种寄生于文档或模板的宏中的文件型病毒。混合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了传染途径,既可以感染软盘、硬盘上的引导扇区上的内容,又可以感染可执行文件。8.4防病毒技术防止病毒入侵要比病毒入侵后再去发现和消除它更为重要。为了将病毒拒之门外,用户要做好以下防范措施。8.4.3计算机病毒的防范对一些来历不明的邮件及附件不要打开,并尽快删除;不要访问一些不太了解的网站,更不要轻易打开网站链接;不要执行从Internet下载未经杀毒处理的软件等。建立良好的安全习惯18.4防病毒技术默认情况下,操作系统会安装一些辅助服务,如FTP客户端、Telnet和Web服务器等。这些服务为攻击者提供了方便,而对用户却没有太大的用处。在不影响用户使用的情况下删除这些服务,能够大大减少被攻击的可能性。关闭或删除系统中不需要的服务2据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、冲击波等病毒,所以应该定期下载、更新系统安

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论