《網(wǎng)絡(luò)安全》PPT課件.ppt

《《網(wǎng)絡(luò)安全》PPT課件.ppt》由會員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)安全》PPT課件.ppt（16頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第8章 網(wǎng)絡(luò)安全,8.1 網(wǎng)絡(luò)安全概述 8.2 防火墻技術(shù) 8.3 密碼技術(shù) 8.4 數(shù)字證書和公鑰基礎(chǔ)設(shè)施 8.5 反病毒技術(shù) 8.6 檢測技術(shù) 8.7 無線局域網(wǎng)安全技術(shù) 8.8 其他安全技術(shù),8.1 網(wǎng)絡(luò)安全概述,8.1.1 網(wǎng)絡(luò)安全 8.1.2 網(wǎng)絡(luò)安全風(fēng)險 8.1.3 網(wǎng)絡(luò)安全策略 8.1.4 網(wǎng)絡(luò)安全措施,8.1.1 網(wǎng)絡(luò)安全,1. 網(wǎng)絡(luò)安全含義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠的正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。其特征是針對網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全方案，以保證計算機(jī)網(wǎng)絡(luò)自身的安全性為

2、目標(biāo)。 2. 網(wǎng)絡(luò)安全問題 操作系統(tǒng)的安全問題 CGI程序代碼的審計 拒絕服務(wù)攻擊 安全產(chǎn)品使用不當(dāng) 缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度,8.1.1 網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全目標(biāo) 目標(biāo)的合理設(shè)置對網(wǎng)絡(luò)安全意義重大。網(wǎng)絡(luò)安全的目標(biāo)主要表現(xiàn)在以下方面： 可靠性。可靠性是網(wǎng)絡(luò)安全的最基本要求之一。可靠性主要包括硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性。 可用性。可用性是網(wǎng)絡(luò)系統(tǒng)面向用戶的安全性能，要求網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按要求使用。 保密性。保密性建立在可靠性和可用性基礎(chǔ)上，保證網(wǎng)絡(luò)信息只能由授權(quán)的用戶讀取。 完整性。完整性要求網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行修改，網(wǎng)絡(luò)信息在存儲或傳輸過程中要保持不被偶然或蓄

3、意地修改等。,8.1.1 網(wǎng)絡(luò)安全,4. 網(wǎng)絡(luò)安全服務(wù) 一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)能夠提供如下服務(wù)： 實(shí)體認(rèn)證 訪問控制 數(shù)據(jù)保密性 數(shù)據(jù)完整性 防抵賴 審計與監(jiān)控,8.1.1 網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全特征 一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)具有如下特征： 保密性，即信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。 完整性，即數(shù)據(jù)未授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改，不被破壞和丟失的特性。 可用性，即可被授權(quán)實(shí)體訪問并按需使用的特性。 可控性，即對信息傳播和內(nèi)容具有控制能力。,8.1.2 網(wǎng)絡(luò)安全風(fēng)險,基本概念 安全威脅是指某人、物、事件或概念對某一資源的機(jī)密性、完整性、可用性或合法

4、使用所造成的危害。 脆弱性是指在保護(hù)措施中和在缺少保護(hù)措施時系統(tǒng)所具有的弱點(diǎn)。 風(fēng)險是關(guān)于某個已知的、可能引發(fā)某種成功攻擊的脆弱性的代價的測度。當(dāng)某個脆弱的資源的價值高，而且攻擊成功的概率高，則風(fēng)險高；反之，則風(fēng)險低。 防護(hù)措施是指保護(hù)資源免受威脅的控制、機(jī)制、策略和過程。,8.1.2 網(wǎng)絡(luò)安全風(fēng)險,2. 影響網(wǎng)絡(luò)安全的因素 安全威脅來自多方面，從完全的網(wǎng)絡(luò)滲透到簡單的病毒感染。影響網(wǎng)絡(luò)安全的因素很多，主要有： 內(nèi)部因素 軟件故障 硬件故障 信息安全 外部因素 病毒攻擊,8.1.2 網(wǎng)絡(luò)安全風(fēng)險,3. 安全威脅的分類 影響網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的。安全威脅分為：

5、 無意失誤。由于操作人員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)等造成的。 惡意攻擊。這是網(wǎng)絡(luò)所面臨的最大威脅，對手的攻擊和計算機(jī)犯罪都屬于這一類。 由于TCP/ IP協(xié)議存在安全漏洞，惡意攻擊分為： 中斷攻擊 竊取攻擊 劫持攻擊 假冒攻擊,,8.1.3 網(wǎng)絡(luò)安全策略,安全策略指在某個安全區(qū)域內(nèi)，用于所有與安全活動相關(guān)的一套規(guī)則。這些規(guī)則由安全區(qū)域中所設(shè)立的安全權(quán)力機(jī)構(gòu)建立，并由安全控制機(jī)構(gòu)來描述、實(shí)施或?qū)崿F(xiàn)。 經(jīng)研究分析，安全策略有3個不同的等級： 安全策略目標(biāo) 機(jī)構(gòu)安全策略 系統(tǒng)安全策略 由于安全威脅包括對網(wǎng)絡(luò)中設(shè)備的威脅和信息的威脅，因此主要策略有： 物理安全策略 訪問控制策略 防火

6、墻控制策略 信息加密策略,,8.1.3 網(wǎng)絡(luò)安全策略,1. 物理安全策略 物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件設(shè)備和通信鏈路免受破壞和攻擊，驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作，具體措施有： 對傳導(dǎo)發(fā)射的防護(hù)主要采取對電源線和信號線配備性能良好的過濾器，減少傳輸阻抗和導(dǎo)線之間的交叉耦合。 對輻射的防護(hù)主要采用電磁屏蔽和抗干擾措施。前者通過對設(shè)備的屏蔽和各種接插件的屏蔽；后者指計算機(jī)工作時，利用干擾裝置產(chǎn)生一種與計算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲。,8.1.2 網(wǎng)絡(luò)安全策略,2. 訪問控制策略 訪問控制策略隸屬于系統(tǒng)安全策略，可以在計算機(jī)系統(tǒng)和網(wǎng)絡(luò)中自動地執(zhí)行授權(quán)，其主要任務(wù)是保證

7、網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制策略的實(shí)現(xiàn)形式有： 入網(wǎng)訪問控制 網(wǎng)絡(luò)的權(quán)限控制 目錄級安全控制 屬性安全控制 網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)監(jiān)測和鎖定控制 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制,8.1.4 網(wǎng)絡(luò)安全措施,1. 安全層次 圖8.1TCP/IP安全機(jī)制的層次結(jié)構(gòu),8.1.4 網(wǎng)絡(luò)安全措施,網(wǎng)絡(luò)的體系結(jié)構(gòu)是一種層次結(jié)構(gòu)。從安全角度來看，各層都能提供一定的安全手段，且各層次的安全措施不同。當(dāng)TCP/IP 協(xié)議映射到ISO/OSI體系結(jié)構(gòu)時，安全機(jī)制的層次結(jié)構(gòu)如圖8.1所示。 在物理層，在通信線路上采用加密技術(shù)使偷聽不可能實(shí)現(xiàn)或容易被檢測出來。 在數(shù)據(jù)鏈路層，通過點(diǎn)對點(diǎn)鏈路加密來保障數(shù)據(jù)傳輸?shù)陌?/p>

8、全性。 在網(wǎng)絡(luò)層，有IP路由選擇安全機(jī)制、基于IP協(xié)議安全技術(shù)的控制機(jī)制和防火墻技術(shù)。 在傳輸層，IPV6提供了基于TCP/UDP的安全機(jī)制。 在傳輸層以上的各層，采用更加復(fù)雜的安全手段，例如加密、用戶級的身份認(rèn)證、數(shù)字簽名技術(shù)等。,8.1.4 網(wǎng)絡(luò)安全措施,2. 安全協(xié)議 安全協(xié)議的建立和完善是安全保密系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。對應(yīng)于OSI的七層模型，主要的安全協(xié)議集中在應(yīng)用層、傳輸層和網(wǎng)絡(luò)層。 應(yīng)用層上的安全協(xié)議主要解決Telnet、E-mail和Web的安全問題。有 HTTPS 和S-HTTP安全超文本傳輸協(xié)議。 在傳輸層中，常用的安全協(xié)議主要包括安全外殼（SSH）協(xié)議、安全套接字層（SSL）協(xié)議和套接字安全（SOCKS）協(xié)議。 網(wǎng)絡(luò)層通過IP安全（IPsec）服務(wù)實(shí)現(xiàn)安全通信，其協(xié)議有IPV4和IPV6。,8.1.4 網(wǎng)絡(luò)安全措施,3. 安全技術(shù) 各技術(shù)在網(wǎng)絡(luò)安全中的地位和作用，可通過國內(nèi)外流行的P2DR網(wǎng)絡(luò)安全模型加以解釋，如圖8.2所示。 圖8.2P2DR安全模型 P2DR模型中的第一字母P代表Policy（策略），第二字母P代表Protection（防護(hù)），字母D代表Detection（檢測），字母R代表Response（響應(yīng)），它們分別代表了不同的技術(shù)措施。,