計算機網(wǎng)絡技術第9章.ppt

《計算機網(wǎng)絡技術第9章.ppt》由會員分享，可在線閱讀，更多相關《計算機網(wǎng)絡技術第9章.ppt（43頁珍藏版）》請在裝配圖網(wǎng)上搜索。

第9章計算機網(wǎng)絡安全,,主要內(nèi)容,9.1網(wǎng)絡安全概述9.2密碼學9.3防火墻技術9.4計算機病毒與木馬防治,9.1網(wǎng)絡安全概述,9.1.1計算機網(wǎng)絡面臨的安全威脅9.1.2網(wǎng)絡安全服務9.1.3網(wǎng)絡安全機制9.1.4網(wǎng)絡安全標準,9.1.1計算機網(wǎng)絡面臨的安全威脅,(1)偽裝(2)非法連接(3)非授權(quán)訪問(4)拒絕服務(5)抵賴(6)信息泄露(7)通信量分析(8)無效的信息流(9)篡改或破壞數(shù)據(jù)(10)推斷或演繹信息(11)非法篡改程序,9.1.2網(wǎng)絡安全服務,ISO描述了在OSI參考模型下進行安全通信所必須提供的5種安全服務鑒別服務訪問控制服務數(shù)據(jù)保密服務數(shù)據(jù)完整性服務防抵賴服務-數(shù)字簽名,9.1.3網(wǎng)絡安全機制,加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制認證（鑒別）機制通信業(yè)務填充機制路由選擇控制機制公證機制,9.1.4網(wǎng)絡安全標準,可信任計算機標準評估準則(TCSEC)1970年由美國國防科學委員會提出，于1985年12月由美國國防部公布，最初只是軍用標準，后來延至民用領域。TCSEC將計算機系統(tǒng)的安全劃分為4個等級共7個級別，即D、C1、C2、B1、B2、B3與A1。其中D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。D級安全標準要求最低，屬于非安全保護類，它不能用于多用戶環(huán)境下的重要信息處理。D類只有一個級別。C級系統(tǒng)為用戶能定義訪問控制要求的自主保護類型，它分為兩個級別：C1級和C2級。B級系統(tǒng)屬于強制型安全保護類，即用戶不能分配權(quán)限，只有網(wǎng)絡管理員可以為用戶分配訪問權(quán)限。B類系統(tǒng)分為3個級別。A1級系統(tǒng)要求的安全服務功能與B3級系統(tǒng)基本一致。A1級系統(tǒng)在安全審計、安全測試、配置管理等方面提出了更高的要求。一般的UNIX系統(tǒng)通常只能滿足C2級標準，只有一部分產(chǎn)品可以達到B1級標準的要求。,9.1.4網(wǎng)絡安全標準（續(xù)）,我國的計算機網(wǎng)絡安全標準GB17895－1999《計算機信息系統(tǒng)安全保護等級劃分準則》于2001年1月1日正式頒布并實施。該準則將信息系統(tǒng)安全分為5個等級：自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數(shù)據(jù)完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、安全標記、可信路徑和可信恢復等，這些指標涵蓋了不同級別的安全要求。,9.2密碼學,9.2.1密碼技術概述9.2.2對稱密碼9.2.3非對稱密碼9.2.4數(shù)字簽名技術,9.2.1密碼技術概述,密碼學（Cryptography）一詞來源于希臘語中的短語“secretwriting(秘密的書寫)”。古希臘人使用一根叫做scytale的棍子來加密。送信人先在棍子上呈螺旋式繞一張紙條，然后把信息豎寫在紙條上，收信人如果不知道棍子的直徑，就不能正確地恢復信息。密碼學包括密碼編碼學與密碼分析學。人們利用加密算法和密鑰來對信息編碼進行隱藏，而密碼分析學則試圖破解算法和密鑰。,9.2.2對稱密碼,對稱加密的基本概念典型的對稱加密算法,對稱加密的基本概念,對稱加密技術對信息的加密與解密都使用相同的密鑰，因此又被稱為密鑰密碼技術。由于在對稱加密體系中加密方和解密方使用相同的密鑰，系統(tǒng)的保密性主要取決于密鑰的安全性。,典型的對稱加密算法,數(shù)據(jù)加密標準（DataEncryptionStandard，DES）是典型的對稱加密算法，它是由IBM公司提出，于1977年被美國政府采用。DES是一種對二元數(shù)據(jù)進行加密的算法。明文按64位數(shù)據(jù)塊的單位被加密，生成64位密文。DES算法帶一個56位密鑰作為參數(shù)。DES的整個體制是公開的，系統(tǒng)的安全性完全依賴于密鑰的保密。已經(jīng)有一些比DES算法更安全的對稱加密算法，如IDEA算法、RC2算法、RC4算法與Skipjack算法等。,DES算法的執(zhí)行過程,,9.2.3非對稱密碼,非對稱加密的基本概念非對稱加密的標準,,非對稱加密的基本概念,非對稱加密技術對信息的加密與解密采用不同的密鑰，用來加密的密鑰是可以公開的，用來解密的私鑰是需要保密的，因此又被稱為公鑰加密（PublicKeyEncryption）技術。非對稱加密的產(chǎn)生主要因為兩個方面的原因，一是由于對稱密碼的密鑰分配問題，另一個是對數(shù)字簽名的需求。非對稱加密技術與對稱加密技術相比，其優(yōu)勢在于不需要共享通用的密鑰，用于解密的密鑰不需要發(fā)往任何地方，公鑰在傳遞和發(fā)布過程中即使被截獲，由于沒有與公鑰相匹配的私鑰，截獲的公鑰對入侵者也就沒有太大意義。公鑰加密技術的主要缺點是加密算法復雜，加密與解密的速度比較慢。,非對稱加密的標準,目前，主要的公鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法等。1978年由Rivest、Shamir和Adleman提出RSA體制被認為是目前為止理論最為成熟的一種公鑰密碼體制，多用在數(shù)字簽名、密鑰管理和認證等方面。1985年，ElGamal構(gòu)造一種基于離散對數(shù)的公鑰密碼體制，這就是ElGamal公鑰體制。許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie-Hellman密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼等。,9.2.4數(shù)字簽名技術,數(shù)字簽名技術的基本概念數(shù)字簽名的工作原理數(shù)字簽名的具體工作過程,數(shù)字簽名技術的基本概念,數(shù)字簽名是在網(wǎng)絡環(huán)境中模擬日常生活中的親筆簽名以保證文件或資料真實性的一種方法。數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來，可以保證信息在傳輸過程中的完整性，并提供信息發(fā)送者的身份驗證，以防止信息發(fā)送者抵賴行為的發(fā)生。利用非對稱加密算法（例如RSA算法）進行數(shù)字簽名是最常用的方法。數(shù)字簽名需要實現(xiàn)以下3項功能。(1)接收方可以核對發(fā)送方對報文的簽名，以確定對方的身份。(2)接收方在發(fā)送報文之后無法對發(fā)送的報文及簽名抵賴。(3)接收方無法偽造發(fā)送方的簽名。,數(shù)字簽名的工作原理,數(shù)字簽名使用兩對公開密鑰的加密/解密的密鑰,,數(shù)字簽名的具體工作過程,(1)發(fā)送方使用單向散列函數(shù)對要發(fā)送的信息進行運算，生成信息摘要。(2)發(fā)送方使用自己的私鑰，利用非對稱加密算法，對生成的信息摘要進行數(shù)字簽名。(3)發(fā)送方通過網(wǎng)絡將信息本身和已進行數(shù)字簽名的信息摘要發(fā)送給接收方。(4)接收方使用與發(fā)送方相同的單向散列函數(shù)，對接收到的信息進行運算，重新生成信息摘要。(5)接收方使用發(fā)送方的公鑰對接收的信息摘要進行解密。(6)將解密的信息摘要與重新生成的信息摘要進行比較，以判斷信息在發(fā)送過程中是否被篡改過,9.3防火墻技術,9.3.1防火墻的概念9.3.2實現(xiàn)防火墻的技術9.3.3防火墻的體系結(jié)構(gòu),9.3.1防火墻的概念,防火墻是在網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權(quán)用戶使用，防止內(nèi)部網(wǎng)絡受到外部非法用戶的攻擊。防火墻的位置在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間。,9.3.1防火墻的概念（續(xù)）,防火墻的主要功能(1)檢查所有從外部網(wǎng)絡進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包。(2)檢查所有從內(nèi)部網(wǎng)絡流出到外部網(wǎng)絡的數(shù)據(jù)包。(3)執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。(4)具有防攻擊能力，保證自身的安全性。防火墻只是一種整體安全防范策略的一部分。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。,9.3.2實現(xiàn)防火墻的技術,實現(xiàn)防火墻的技術大體上分為兩類：一類作用于網(wǎng)絡層之上，保護整個網(wǎng)絡不受非法用戶的侵入，這類防火墻可以通過包過濾技術實現(xiàn)；另一類作用于應用層之上，控制對應用層的訪問。包過濾技術應用層網(wǎng)關,包過濾技術,包過濾技術是基于路由器技術的普通的路由器只對分組的網(wǎng)絡層包頭進行處理，而包過濾路由器通過系統(tǒng)內(nèi)部設置的包過濾規(guī)則（即訪問控制表），檢查TCP報頭的端口號字節(jié)。,,包過濾規(guī)則舉例,包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。,包過濾的流程圖,包過濾路由器會對所有收到的分組按照每一條規(guī)則加以判斷凡是符合包轉(zhuǎn)發(fā)規(guī)則的被轉(zhuǎn)發(fā)不符合包轉(zhuǎn)發(fā)規(guī)則的包被丟棄。,應用層網(wǎng)關,作用于應用層的防火墻技術稱為應用層網(wǎng)關，應用層網(wǎng)關控制對應用層的訪問。應用層網(wǎng)關通過應用程序訪問控制允許或禁止對某些程序的訪問。,,9.3.3防火墻的體系結(jié)構(gòu),在防火墻與網(wǎng)絡的配置上，有以下3種典型結(jié)構(gòu)：雙宿/多宿主機模式屏蔽主機模式屏蔽子網(wǎng)模式,堡壘主機是一種配置了較為全面的安全防范措施的網(wǎng)絡上的計算機，從網(wǎng)絡安全上來看，堡壘主機是防火墻管理員認為最強壯的系統(tǒng)。通常情況下，堡壘主機可作為應用層網(wǎng)關的平臺。,雙宿/多宿主機防火墻,又稱為雙宿/多宿網(wǎng)關防火墻它是一種擁有兩個或多個連接到不同網(wǎng)絡上的網(wǎng)絡接口的防火墻，通常用一臺裝有兩塊或多網(wǎng)卡的堡壘主機做防火墻，兩塊或多塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連這種防火墻的特點是主機的路由功能是被禁止的，兩個網(wǎng)絡之間的通信通過應用層代理服務來實現(xiàn)。,,屏蔽主機模式,由包過濾路由器和堡壘主機組成堡壘主機安裝在內(nèi)部網(wǎng)絡上，通常在路由器上設置過濾規(guī)則，并使這個堡壘主機成為外部網(wǎng)絡唯一可以直接到達的主機，這保證了內(nèi)部網(wǎng)絡不被未經(jīng)授權(quán)的外部用戶攻擊。,,屏蔽子網(wǎng)模式,采用了兩個包過濾路由器和一個堡壘主機在內(nèi)外網(wǎng)絡之間建立了一個被隔離的子網(wǎng)，定義為“非軍事區(qū)”網(wǎng)絡。將堡壘主機、WWW服務器、E-mail服務器等公用的服務器放在非軍事區(qū)網(wǎng)絡中。內(nèi)部網(wǎng)絡和外部網(wǎng)絡均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。,,9.4計算機病毒與木馬防治,9.4.1計算機病毒9.4.2特洛伊木馬,9.4.1計算機病毒,編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且自我復制的一組計算機指令或者程序代碼計算機病毒的特點計算機病毒的分類計算機病毒的預防計算機病毒的清除,計算機病毒的特點,傳染性破壞性隱蔽性潛伏性,計算機病毒的分類,引導型病毒文件型病毒網(wǎng)絡病毒,計算機病毒的預防,管理上的預防管理人員充分認識計算機病毒對計算機的危害性，制定完善的使用計算機的管理制度。用技術手段預防這是指采用一定的技術措施預防計算機病毒，如使用查殺毒軟件、防火墻軟件，一旦發(fā)現(xiàn)病毒及時向用戶發(fā)出警報等。,計算機病毒的清除,最佳的解決辦法就是用殺毒軟件對計算機進行一次全面地清查。目前我國病毒的清查技術已經(jīng)成熟，已出現(xiàn)一些世界領先水平的殺毒軟件，如瑞星殺毒軟件、KV3000、KILL2000、金山毒霸等。,9.4.2特洛伊木馬,特洛伊木馬的概念木馬的特點木馬的防治,特洛伊木馬的概念,特洛伊木馬（以下簡稱木馬)，英文叫做“TrojanHorse”，其名稱取自希臘神話的特洛伊木馬記。常用“特洛伊木馬”這一典故，用來比喻在敵方營壘里埋下伏兵里應外合的活動。完整的木馬程序一般由兩個部份組成：一個是服務器程序，一個是控制器程序。,木馬的特點,有效性隱蔽性頑固性易植入性近年來，木馬病毒技術取得了較大的發(fā)展，目前已徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術，木馬病毒不再依賴于對用戶進行簡單的欺騙，也可以不必修改系統(tǒng)注冊表、不開新端口、不在磁盤上保留新文件甚至可以沒有獨立的進程，這些新特點使對木馬病毒的查殺變得愈加困難。,木馬的防治,(1)不要隨意打開來歷不明的郵件。(2)不要隨意下載來歷不明的軟件(3)及時修補漏洞和關閉可疑的端口。(4)盡量少用共享文件夾。(5)運行實時監(jiān)控程序。(6)經(jīng)常升級系統(tǒng)和更新病毒庫。,