四级网络工程师重点课件ppt第10章.ppt

1、第10章网络保密工作技术，本章要点： 10.1基本概念10.2数据应用备份10.3加密法技术10.4防火墙10.5细小病毒措施10.6入侵检测，10.1.1信息安全保障威胁1窃听信息在传输过程中直接或间接窃听了网络上的特定报文分组，通过其分析获得了必要的重要信息该报文分组还可以到达目的地节点，而没有丢失任何数据。 第二截取信息在转发过程中被非法截取，目的地节点不接收该信息，即信息在中途丢失。 10.1基本概念，3伪造者不从源信息节点发送任何信息，但是攻击者伪造信息冒充源信息节点发送信息，而目的地节点接收该伪造信息。 4篡改信息在转发过程中被监听，攻击者修正监听到的特定报文分组，破坏数据中的数据

2、完全性，并向目的地节点发送篡改报文分组。 从目标节点的收件人来看，数据似乎没有完全丢失，但其实是恶意篡改的。 重要：网络保密工作是指利用各种联网监控和管理技术，保护网络系统的硬件、软件和系统内的数据资源，保证网络系统的连续、安全、可靠的运行。 网络中存在的信息安全保障威胁包括窃听、拦截、伪造和篡改。 图10-1信息安全保障威胁、10.1.2网络攻击、1服务攻击服务攻击是指攻击网络中的一些服务器，“拒绝服务”导致网络无法正常工作。 2由于非服务攻击利用连接协议或OS实现连接协议的漏洞来实现攻击目的，并且不为特定应用提供服务，因此非服务攻击是更有效的攻击手段。10.1.3网络保密工作的基本要素、(

3、1)机密性(2)完全性(3)可用性(4)可身份验证性(5)不可否认性性、10.1.4计算机系统保密工作级别、1D类d的保密工作类2cc是自定义保护级别，这一级别的保密工作特性是系统中的对象自主访问c类分为C1类和C2类两个级别。 (1)C1级C1级为自主安全保护级，用户和数据可以分离。 数据保护是以用户组为单位进行的，实现了对数数据的自主接入控制。 (2)C2级C2级是控制网站数据库级，该级可以通过审计注册规章、保密工作相关上通告来隔离资源。 类3B是强制的保密工作类，其特征在于系统强制地实现保密工作，因此用户不能分配权限，管理员只能将权限分配给用户。 (1)B1级B1级为标识牌安全保护级。

4、此级别标记系统数据，并对标记的主对象执行强制访问控制。 (2)B2级B2级为结构化安全保护级。 这一层建构了形式化的保密工作策略模型，同时对系统中的所有本代理和对象实现强制网站数据库和自主接入控制。 (3)B3级B3级是安全级，能够实现网站数据库监视器的要求，网站数据库监视器是指在监视器的本代理和对象之间行政许可网站数据库关系的零配件。 在这个级别，我们还支持保密工作管理员的功能、审计反应历程的扩展、与保密工作相关的上通告发生时的信号和系统恢复过程的提供。 4A类a是可验证的保护级别。 只有等级A1。 A1级的功能与B3基本相同，而A1级的特点是其系统具有正式的分析和数学方法，它完全证明了系统

5、安全政策和安全标准的完全性和完整性。 A1级还规定了在现场商品发货和安装完整计算机系统的计划计程仪。 10.1.4网络保密工作模型，1基本模型网络信息传输中，为了保证信息传输的安全性，一般需要可靠的第三方，负责向源节点和目的节点传送秘密信息，同时在双方争论时也起到仲裁的作用。基本安全模式是在通讯双方进行信息传输之前建立逻辑信道，提供安全的反应历程和服务，实现开放式网络环境中的信息安全传输。 (1)使用消息加密法等加密法技术将来自源节点的消息安全地转发，实现该消息的隐秘性，并且在该消息中附加特征消息以作为源节点的身份验证。 (2)源节点和目的地节点应该共享诸如加密密钥之类的机密信息，这些个信息对

6、其他用户是机密的，发送双方除外。 图10-2网络保密工作基本模型、2P2DR模型(1)保密工作策略(Policy )保密工作策略是模型中保护、发现和响应等部分实施的依据，保密工作策略体系的建构包括策略的制定、评估和执行。 (2)保护保护技术包括防火墙、操作系统身份验证、数据加密法、接入控制、授权、虚拟私有网络技术和数据应用备份等，对系统可能发生的保密工作问题采取预防措施。 (3)检测(Detection )检测功能使用脆弱性评估、入侵检测等系统检测技术，在攻击者通过防护系统时发挥作用。 (4)响应响应包括紧急响应和恢复处理，恢复包括系统恢复和信息恢复，并且响应系统在检测到入侵时开始上通告处理。

7、 图10-3 P2DR模型，重要提示：网络保密工作的基本要素是机密性、完全性、可用性、识别性和不可否认性。 美国国防部和国家标准局将计算机系统的安全等级分为a、b、c、d四类，共7级。 网络的基本保密工作模型要求在通讯双方进行信息传递之前建立逻辑信道，提供安全的反应历程和服务，可靠的第三方充当仲裁者和秘密信息始发者。10.2数据应用备份、10.2.1数据应用备份模型1物理应用备份物理应用备份是一种将磁盘摇滾乐数据复制到应用备份介质的应用备份过程，忽略文件和结构，也被称为“基于摇滾乐的备份”。 2逻辑应用备份逻辑应用备份也称为“基于文件的应用备份”，因为它依次读取每个文件的物理子摇滾乐，将文件连

8、续写入应用备份介质，以实现每个文件的恢复。10.2.2冷备份和热备盘，1冷备份冷备份为“非上线了”应用备份，冷备份操作期间不行政许可来自用户和应用程序的数据更新。 2热应用备份热应用备份是“上线了”的应用备份，下载和应用备份的数据还在计算机系统和整个网络中，一个非工作分类格或另一个非实时处理业务系统重要：数据备份是运行计算机系统所需的数据和系统数据应用备份模型包括物理应用备份和逻辑应用备份。10.2.3数据准备设备、1磁盘阵列2录音带驱动器3录音带库4磁盘塔5磁盘库6磁盘镜像服务器、10.2.4数据应用备份策略、1全应用备份全应用备份将用户指定的数据完全应用备份到系统整体的数据。 2增量应用备

9、份增量应用备份用于完全应用备份，而在增量应用备份下，自上次完全应用备份或增量应用备份以来的3个差量备份差量备份将备份自上次完全备份以来生成的所有数据更新。 差量备份将用于完全恢复的应用备份文件数限制为两个。 比较表10-1中的三个应用备份策略，数据应用备份策略用于解决何时应用备份、应用备份哪些数据以及如何恢复故障的问题。 可以分为全应用备份、增量应用备份和差量备份。 其中使用最多的是全应用备份，应用备份速度最慢，恢复速度最快的增量应用备份的使用空间最小，应用备份速度最快，恢复速度最慢的差量备份，除了前两种应用备份方式的缺点之外，都吸收了好处。10.3加密法技术，10.3.1加密法和解密1基本流

10、程a将消息“Password is welcome”发送给b，但是由于不想让第三方知道该消息的内容，所以使用一定的加密法算法，将该消息变为他人无法识别的密文该密文是传输中的b当接收到该密文时，使用共同协商的解密算法和密钥，将该密文转换为原来的新闻报道内容。 图10-4的加密法和解密流程、表10-2的密钥二进制位数和尝试密钥的数、2密钥加密法和解密的操作过程都在一组密钥的控制下进行，该密钥作为加密法算法的可变残奥参数，其变更可改变明文和密文之间的数学函数关系，10.3.2对称密钥技术， 所谓第一工作原理对称密钥技术，表示加密法技术的加密法密钥和解密密钥相同或者稍微不同，但是相同的一方能够容易地导

11、出另一方。 图10-5对称密钥技术、2常用对称密钥技术常用对称密钥算法有DES算法和IDES算法。 (1)DES算法DES算法是重复的报文分组密码，其投入产出为64，包含56二进制位密钥和附加8二进制位的奇偶校验二进制位。 (2)IDEA算法IDEA算法的明文和密文都是64二进制位，密钥的长度为128二进制位，是比DEA算法更有效的算法。 10.3.3不对称密钥技术，第一操作原理不能从其中一个密钥导出另一密钥。 另外，加密法密钥可以是公开密钥，解密密钥是秘密密钥是秘密密钥。 在此，非对称密钥技术也称为公钥密码学加法技术。 图10-6不对称密钥技术、2常用不对称密钥技术常用不对称密钥算法包括RS

12、A算法、DSA算法、PKCS算法和PGP算法。 其中最常见的技术是RSA算法，其理论基础是数论中的素数分解，它的隐秘性随着密钥长度的增长而提高。 但是，现在正在使用这个算法来加密法大量的数据。 由于实施速度太慢，此算法现在广泛用于密钥分发。 重要提示：加密法的基本思想是将明文转换为明文，解密是将明文转换为明文，保证信息传递的机密性。 密钥是加密法算法中的可变残奥仪表，由密钥的二进制位数决定加密法算法的安全性。 传统的加密方法包括对称加密方法和非对称密码方法。10.4防火墙、10.4.1防火墙的基本概念(1)所有外部到内部的通讯必须通过。 (2)只行政许可有内部网站数据库政策认可的通讯。 (3)

13、系统本身具有高可信。 图10-7防火墙的设置场所，10.4.2防火墙的基本类型，1数据包过滤路由器图10-8数据包过滤路由器的工作原理，2应用闸道器图10-9应用闸道器的工作原理，3应用本代理图10-10应用本代理的工作原理， 4状态检测状态检测可通过状态检测技术动态维护的重要事项：防火墙通过在包含硬件和软件的网络之间执行控制策略来保护网络系统。 防火墙根据其实现技术可分为数据包过滤路径选择器、代理防火墙、应用本代理、状态检测4类。 10.4.3防火墙的结构、即单数据包过滤结构数据包过滤结构是以专用数据包过滤路由器或实现数据包过滤功能的通用路由器实现的。 数据包过滤型结构分析出出进进到内部网络

14、的所有信息，根据一定的保密工作策略分析和限制这些个的信息。 2 duck闸道器结构由两个网络组成的多宿男公关称为duck砷化氢男公关。 多宿男公关是一个具有多个网卡的男公关，每个接口都可以连接到网络。 这也称为闸道器，因为它可以在不同的网络之间交换数据。 杜砷化氢闸道器结构是以搭载了2张网卡的男公关作为防火墙，物理上分离与外部网络相同的网络的结构。图10-11双宿闸道器结构、3宿男公关结构、3宿男公关结构是由数据包过滤路由组和堡主机组成的，因为所有外部男公关强制连接到堡男公关，而不允许直接连接到内部网络的男公关。 4屏蔽子网结构屏蔽子网结构使用了2个屏蔽路由组和2个堡垒男公关。 在该系统中，以

15、网络系统所属的单位来建构从外部数据包过滤开始的部分，属于内部网络，也称为“DMZ网络”。 外部数据包过滤路由器和外部要塞男公关构成防火墙的过滤器子网内部数据包过滤路由器和内部要塞男公关用于进一步保护内部网络。图10-12数据包过滤路由器的分组转发过程、图10-13掩码子网结构图、10.4.4防火墙的安装和定位、1防火墙的网络接口(1)企业内部互联网包括企业内部网络或内部网络的一部分。 (2)外联网外联网是指非企业内部的网络或网际网络，在企业内部互联网和外联网之间进行通讯，通过防火墙实现网站数据库限制。 (3)DMZ (非军事化区) DMZ是所隔离的网络，该网络可以配置网站服务器或E-mail服

16、务器等，外部网络的用户可以与DMZ网站数据库。 2 .防火墙的设置和初始配置打开防火墙的电源启动。 将防火墙的其他端口通讯端口接入计算机的串行口，通过Windows执行操作系统的超级枢纽站进入防火墙的权限模式。 设定以太网的残奥仪表。 设定内外网卡的IP地址，指定外部地址范围和转换的内部地址。 设定与内网和外肉的默认路由。 配置静态IP地址映射。 设置控制选项，如要控制的地址、要使用的通讯端口和连接连接协议，以及允许telnet远程登录到防火墙的IP地址。 保存配置。 防火墙的网站数据库模式(1)非特权模式(2)特权模式(3)配置模式(4)监视模式、10.5细小病毒对策、10.5.1计算机病毒

17、1计算机病毒的概念计算机病毒是计算机程序的一部分可执行程序计程仪程序本代理， 破坏计算机功能破坏数据的计算机病毒，通过修改其他的程序计程仪，感染这些个的程序计程仪，成为细小病毒程序的复制，迅速扩展，根除变得困难。 2修正计算机细小病毒的特征(1)不正当执行性(2)隐蔽性(3)传染性(4)潜伏性(5)破坏性(6)触发器性3修正计算机细小病毒分类(1)破坏性分类(2)按传染方式分类(2)影响面广(3)破坏性强(4)难以控制细小病毒变种混合细小病毒出现，2网络蠕虫和特洛伊病毒(1)网络蠕虫是通过网络传播的恶性病毒，带有细小病毒的网络蠕虫与通常的细小病毒相比，不使用常驻文件，在系统间进行自我复制，其感染目标是互联网内的所有的计算机。 (2)木马计程仪计划是当前流行的细小病毒文件，但不自我复制，并能感染其他文件，通过让用户下载并运行自各儿伪装，从而提供打开受害者电脑的门户站，并任意破坏、盗窃受害者的文件10.5.3网络版防细小病毒系统，1系统中心系统中心实时记录计算机细小病毒监控、检测和清除信息，实现保护系统整体的自动控制。 2服务端服务端是为网络服务OS应用程序而设定的。 3客户机监视、发现和清