第10章计算机网络安全概述.ppt
《第10章计算机网络安全概述.ppt》由会员分享,可在线阅读,更多相关《第10章计算机网络安全概述.ppt(62页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第十章第十章 计算机网络安全技术计算机网络安全技术 【学习目标学习目标】随着信息技术的不断发展,网络应用日益增多,计算随着信息技术的不断发展,网络应用日益增多,计算机网络安全威胁日益严重,。病毒发作和黑客活动频繁,垃机网络安全威胁日益严重,。病毒发作和黑客活动频繁,垃圾邮件猛增,从而也迫使计算机用户的安全防范意识和手段圾邮件猛增,从而也迫使计算机用户的安全防范意识和手段不断提高。本章主要讲述与安全相关的基础知识,主要包括不断提高。本章主要讲述与安全相关的基础知识,主要包括网络安全的定义及关键技术、防火墙技术、杀毒软件的使用网络安全的定义及关键技术、防火墙技术、杀毒软件的使用等。通过对防病毒技术
2、和防火墙技术等相关内容的讲解,让等。通过对防病毒技术和防火墙技术等相关内容的讲解,让学生更好的通过本章的学习,读者应能掌握基本安全技术的学生更好的通过本章的学习,读者应能掌握基本安全技术的使用,进而保证网络的安全。使用,进而保证网络的安全。【学习要点学习要点】v1 1了解网络安全的定义和面临的威胁了解网络安全的定义和面临的威胁v2 2掌握防火墙的相关概念,理解常见的防火墙系统结构掌握防火墙的相关概念,理解常见的防火墙系统结构v3 3了解病毒的概念,掌握瑞星杀毒软件的使用方式了解病毒的概念,掌握瑞星杀毒软件的使用方式10.1.1 10.1.1 网络面临的安全威胁网络面临的安全威胁 在日益网络化的
3、社会,网络安全问题也不断涌现。在日益网络化的社会,网络安全问题也不断涌现。网络安全面临的威胁主要表现为:网络安全面临的威胁主要表现为:敏感信息为非授权用户所获取敏感信息为非授权用户所获取 网络服务不能或不正常运行,甚至使合法用户不能网络服务不能或不正常运行,甚至使合法用户不能进入计算机网络系统进入计算机网络系统黑客攻击黑客攻击硬件或软件方面的漏洞硬件或软件方面的漏洞利用网络传播病毒利用网络传播病毒 10.1 10.1 网络安全概述网络安全概述 我们在建筑物中能看到类似我们在建筑物中能看到类似“消防箱消防箱”、“避雷针避雷针”之类的设备,它是一种建筑装饰吗?当然不是,这是一种之类的设备,它是一种
4、建筑装饰吗?当然不是,这是一种为了安全而设立的安全设施。设立安全系统或者是安全设为了安全而设立的安全设施。设立安全系统或者是安全设施的目的是:当发生安全故障时,能及时把它们派上用场;施的目的是:当发生安全故障时,能及时把它们派上用场;当一切正常时,它们不会影响正常生活。那么,在计算机当一切正常时,它们不会影响正常生活。那么,在计算机网络世界里的网络世界里的“安全安全”是指什么,我们又能通过什么措施是指什么,我们又能通过什么措施来增强计算机网络的安全性呢?来增强计算机网络的安全性呢?1网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保网络安全是指网络系统的硬件、软件及其系统中的
5、数据受到保护,不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露,护,不受偶然的因素或恶意的攻击而遭到破坏、更改、泄露,系统能连续可靠正常运行,网络服务不中断。系统能连续可靠正常运行,网络服务不中断。网络安全具备以下四个特征:网络安全具备以下四个特征:(1 1)保密性)保密性(2 2)完整性)完整性(3 3)可用性)可用性(4 4)可控性)可控性2 2网络安全威胁网络安全威胁v威胁是指对安全性的潜在破坏。网络安全威胁是指威胁是指对安全性的潜在破坏。网络安全威胁是指对网络信息的潜在危害,分为人为和自然两种,人对网络信息的潜在危害,分为人为和自然两种,人为又分为有意和无意两类。另外,网络安全威胁也为
6、又分为有意和无意两类。另外,网络安全威胁也与网络的管理和用户使用时对安全的重视程度有很与网络的管理和用户使用时对安全的重视程度有很大关系,管理的疏忽会导致更严重的安全威胁。大关系,管理的疏忽会导致更严重的安全威胁。常见的安全威胁主要有:常见的安全威胁主要有:v(1 1)信息泄露)信息泄露 信息泄露是指信息被透漏给非授权的实体。信息泄露是指信息被透漏给非授权的实体。常见的信息泄露有如下几常见的信息泄露有如下几种。种。网络监听网络监听 业务流分析业务流分析 电磁、射频截获电磁、射频截获 人员有意或无意破坏人员有意或无意破坏 媒体清理媒体清理 漏洞利用漏洞利用 授权侵犯授权侵犯 物理侵入物理侵入 病
7、毒、木马、后门、流氓软件病毒、木马、后门、流氓软件 网络钓鱼网络钓鱼 v(2 2)完整性破坏)完整性破坏 可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞来等方式实现。来等方式实现。v(3 3)拒绝服务攻击)拒绝服务攻击 对信息或资源合法的访问被拒绝或者推迟与时间密切相关的操对信息或资源合法的访问被拒绝或者推迟与时间密切相关的操作。作。v(4 4)网络滥用)网络滥用 合法的用户滥用网络,引入不必要的安全威胁,主要包括如下合法的用户滥用网络,引入不必要的安全威胁,主要包括如下几类。几类。非法外联非法外联 非法内联非法内联 移动风险移动风
8、险 设备滥用设备滥用 业务滥用业务滥用 10.1.2 10.1.2 计算机网络安全的内容计算机网络安全的内容 计算机网络安全是涉及计算机科学、网络技术、通计算机网络安全是涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合学科,它包括网络管理、数据信息论等多种学科的综合学科,它包括网络管理、数据安全及数据传输安全等很多方面。安全及数据传输安全等很多方面。网络安全主要是指网络上的信息安全,包括物理安网络安全主要是指网络上的信息安全,包括物理安全、逻辑安全、操作系统安全、网络传输安全。全、逻辑安全、操作系
9、统安全、网络传输安全。1物理安全物理安全物理安全是指用来保护计算机硬件和存储介质的装置和物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括防盗、防火、防静电、防雷击工作程序。物理安全包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。和防电磁泄漏等内容。2 2逻辑安全逻辑安全 计算机的逻辑安全主要是用口令、文件许可、计算机的逻辑安全主要是用口令、文件许可、加密、检查日志等方法来实现。防止黑客入侵主要加密、检查日志等方法来实现。防止黑客入侵主要依赖于计算机的逻辑安全。依赖于计算机的逻辑安全。逻辑安全可以通过以下措施来加强:逻辑安全可以通过以下措施来加强:(1 1)限制登录的次数
10、,对试探操作加上时间限制;)限制登录的次数,对试探操作加上时间限制;(2 2)把重要的文档、程序和文件加密;)把重要的文档、程序和文件加密;(3 3)限制存取非本用户自己的文件,除非得到明)限制存取非本用户自己的文件,除非得到明确的授权;确的授权;(4 4)跟踪可疑的、未授权的存取企图。)跟踪可疑的、未授权的存取企图。3 3操作系统安全操作系统安全 操作系统是计算机中最基本、最重要的软件。同一计算操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统需要提供机可以安装几种不同的操作系统。如果计算机系统需要提供给许多人使用,操作系统必须能区分用户,防止他们相
11、互干给许多人使用,操作系统必须能区分用户,防止他们相互干扰。一些安全性高、功能较强的操作系统可以为计算机的每扰。一些安全性高、功能较强的操作系统可以为计算机的每个用户分配账户。不同账户有不同的权限。操作系统不允许个用户分配账户。不同账户有不同的权限。操作系统不允许一个用户修改由另一个账户产生的数据。一个用户修改由另一个账户产生的数据。操作系统分为网络操作系统和个人操作系统,其安全操作系统分为网络操作系统和个人操作系统,其安全内容主要包括如下几方面:内容主要包括如下几方面:(1 1)系统本身的漏洞;)系统本身的漏洞;(2 2)内部和外部用户的安全威胁;)内部和外部用户的安全威胁;(3 3)通信协
12、议本身的安全性;)通信协议本身的安全性;(4 4)病毒感染。)病毒感染。4 4网络传输安全网络传输安全 网络传输安全是指信息在传播过程中出现丢失、网络传输安全是指信息在传播过程中出现丢失、泄露、受到破坏等情况。其主要内容如下。泄露、受到破坏等情况。其主要内容如下。(1 1)访问控制服务:用来保护计算机和联网资源)访问控制服务:用来保护计算机和联网资源不被非授权使用。不被非授权使用。(2 2)通信安全服务:用来认证数据的保密性和完)通信安全服务:用来认证数据的保密性和完整性,以及各通信的可信赖性。整性,以及各通信的可信赖性。10.1.3 10.1.3 网络安全的关键技术网络安全的关键技术 v 信
13、息加密是保障信息安全的最基本、最核心的技术措施信息加密是保障信息安全的最基本、最核心的技术措施和理论基础,信息加密也是现代密码学的主要组成部分。和理论基础,信息加密也是现代密码学的主要组成部分。v 在多数情况下,信息加密是保证信息机密性的唯一方法。在多数情况下,信息加密是保证信息机密性的唯一方法。v 按照收发双方密钥是否相同来分类,可以将这些加密算按照收发双方密钥是否相同来分类,可以将这些加密算法分为对称加密算法(私钥密码体系)和非对称加密算法法分为对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。(公钥密码体系)。v 在私钥密码中,收信方和发信方使用相同的密钥,即加在私钥密码中,
14、收信方和发信方使用相同的密钥,即加密密钥和脱密密钥是相同或等价的。在众多的常规密码中影密密钥和脱密密钥是相同或等价的。在众多的常规密码中影响最大的是响最大的是DESDES密码。密码。v 在公钥密码中,收信方和发信方使用的密钥互不相同,在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能由加密密钥推导出脱密密钥。最有影响的公而且几乎不可能由加密密钥推导出脱密密钥。最有影响的公钥加密算法是钥加密算法是RSARSA,它能够抵抗到目前为止已知的所有密码,它能够抵抗到目前为止已知的所有密码攻击。攻击。2 2信息确认技术信息确认技术信息确认技术通过严格限定信息的共享范围来达到防信息确认技术通过严
15、格限定信息的共享范围来达到防止信息被非法伪造、篡改和假冒。一个安全的信息止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。份确认和数字签名。用于消息确认中的常用算法有:用于消息确认中的常用算法有:
16、ElGamalElGamal签名、数字签名标准(签名、数字签名标准(DSSDSS)、)、One-timeOne-time签名、签名、UndeniableUndeniable签名、签名、Fail-Fail-stopstop、签名、签名、SchnorrSchnorr确认方案、确认方案、OkamotoOkamoto确认方案、确认方案、Guillou-QuisquaterGuillou-Quisquater确认方案、确认方案、SnefruSnefru、NhashNhash、MD4MD4MD5MD5等,其中最著名等,其中最著名的算法应该是数字签名标准(的算法应该是数字签名标准(DSSDSS)算法。)算法
17、。3 3防火墙技术防火墙技术 v防火墙系统是一种网络安全部件,它可以是硬件,也可以是防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合。防火墙系统可以用于内软件,也可能是硬件和软件的结合。防火墙系统可以用于内部网络与部网络与InternetInternet之间的隔离,也可用于内部网络不同网段之间的隔离,也可用于内部网络不同网段的隔离,后者通常称为的隔离,后者通常称为IntranetIntranet防火墙。防火墙。v目前的防火墙系统根据其实现方式大致可分为两种,即包过目前的防火墙系统根据其实现方式大致可分为两种,即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是
18、接收被滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。策略对数据包进行过滤,只准许授权的数据包通行。v应用层网关位于应用层网关位于TCP/IPTCP/IP协议的应用层,实现对用户身份的验协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。证,接收被保护网络和外部之间的数据流并对之进行检查。4网络安全扫描技术v网络安全扫描技术是为使系统管理员能够及时了解系统中存网络安全扫描技术是为使系统管理员能够及时了解系统中存
19、在的安全漏洞,并采取相应防范措施,从而降低系统安全风在的安全漏洞,并采取相应防范措施,从而降低系统安全风险而发展起来的一种安全技术。利用安全扫描技术,可以对险而发展起来的一种安全技术。利用安全扫描技术,可以对局域网络、局域网络、WebWeb站点、主机操作系统、系统服务以及防火墙站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,系统管理员可以了解在运行的网系统的安全漏洞进行扫描,系统管理员可以了解在运行的网络系统中存在的不安全的网络服务,在操作系统上存在的可络系统中存在的不安全的网络服务,在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,能导致遭受缓冲区溢出攻击
20、或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序,防火墙系统还可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误。网络安全扫描技术主要有网是否存在安全漏洞和配置错误。网络安全扫描技术主要有网络远程安全扫描、防火墙系统扫描、络远程安全扫描、防火墙系统扫描、WebWeb网站扫描、系统安网站扫描、系统安全扫描等几种方式。全扫描等几种方式。5 5网络入侵检测技术网络入侵检测技术v网络入侵检测技术也叫网络实时监控技术,它通过网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与硬件或软件对网络上的数据流进行实时检查,并与系统
21、中的入侵特征数据库进行比较,一旦发现有被系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。略进行调整,将入侵的数据包过滤掉等。6 6黑客诱骗技术黑客诱骗技术v黑客诱骗技术是近期发展起来的一种网络安全技术,黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗诱黑客,
22、并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(系统通常也称为蜜罐(HoneypotHoneypot)系统,最重要的)系统,最重要的功能是一种特殊设置,用来对系统中所有操作进行功能是一种特殊设置,用来对系统中所有操作进行监视和记录。监视和记录。10.2 10.2 防火墙技术防火墙技术 部部门门办办公公室室内内某某成成员员的的计计算算机机经经常常有有其其他他计计算算机机对对其其进进行行pingping操操作作,在在使使用用过过程程中中增增加加了了不不少少烦烦恼恼与与不不便便,该该怎怎么么阻阻止止这这种种状状况况的的发发生生呢呢?另另外外,为为了了避避免免黑黑客客了了解解内内部部网网络络结
23、结构构进进入入内内部部网网络络,或或者者是是内内部部员员工工有有意意或或无无意意的的泄泄漏漏内内部部秘秘密,该采取什么措施呢?密,该采取什么措施呢?防火墙是一种网络安全保障手段,一种有效的网络安全机制,是防火墙是一种网络安全保障手段,一种有效的网络安全机制,是保证主机和网络安全必不可少的工具。保证主机和网络安全必不可少的工具。在逻辑上,防火墙是一个分离器,限制器,也是一个分析器。在逻辑上,防火墙是一个分离器,限制器,也是一个分析器。防火墙是网络之间一种特殊的访问控制设施,在防火墙是网络之间一种特殊的访问控制设施,在InternetInternet网络与网络与内部网之间设置一道屏障,防止黑客进入
24、内部网,用于确定哪些内部网之间设置一道屏障,防止黑客进入内部网,用于确定哪些内部资源允许外部访问、哪些内部网络可以访问外部网络。内部资源允许外部访问、哪些内部网络可以访问外部网络。防火墙在网络中的位置如图所示。防火墙在网络中的位置如图所示。防火墙的网络位置图防火墙的网络位置图 10.2.1 10.2.1 防火墙概述防火墙概述 1 1防火墙的定义防火墙的定义v防火墙是置于不同网络安全域之间的一系列部件的组合,它防火墙是置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策(允许、拒绝、监视、记录
25、)控制进出网络访问行安全政策(允许、拒绝、监视、记录)控制进出网络访问行为。为。v防火墙本身具有较强的抗攻击能力,是提供信息安全服务、防火墙本身具有较强的抗攻击能力,是提供信息安全服务、实现网络和信息安全的基实现网络和信息安全的基v础设施。在逻辑上,防火墙是一个分离器,限制器,也是一础设施。在逻辑上,防火墙是一个分离器,限制器,也是一个分析器,它能够有效地监控个分析器,它能够有效地监控v内部网和内部网和InternetInternet之间的任何活动,保证了内部网络的安全。之间的任何活动,保证了内部网络的安全。防火墙本身不是单独的一个计算机程序或设备,而防火墙本身不是单独的一个计算机程序或设备,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第10章 计算机网络安全概述 10 计算机 网络安全 概述
限制150内