第9章网络安全与网络管理技术

《计算机网络》第9章网络安全与网络管理技术1吴功宜编著计算机网络《计算机网络》第9章网络安全与网络管理技术2第9章网络安全与网络管理技术《计算机网络》第9章网络安全与网络管理技术3第1章：什么是计算机网络？第2章：处理计算机网络问题的基本方法是什么？第3章：如何实现广域网中计算机之间的通信？第4章：如何保证广域网中计算机的通信的可靠性？第5章：局域网与城域网是如何工作的？第6章：如何实现网络互联？第7章：如何实现网络中计算机之间的进程通信？第8章：Internet服务功能是如何设计和实现的？第9章：如何管理和保证网络安全？《计算机网络》第9章网络安全与网络管理技术4知识点结构网络安全的基本概念网络安全策略设计对称密钥密码体系防火墙技术密码学非对称密钥密码体系数字信封身份认证网络防攻击与攻击检测技术网络文件备份、恢复与业务连续性技术网络防病毒技术网络管理技术数字签名密码学在网络安全中的应用《计算机网络》第9章网络安全与网络管理技术5本章学习要求:•了解：网络安全的重要性•掌握：密码体制的基本概念及应用•掌握：防火墙的基本概念•掌握：网络入侵检测与防攻击的基本概念与方法•掌握：网络文件备份与恢复的基本方法•了解：网络病毒防治的基本方法•了解：网络管理的基本概念与方法《计算机网络》第9章网络安全与网络管理技术69.1网络安全的重要性与研究的主要问题9.1.1网络安全的重要性•网络安全问题已经成为信息化社会的一个焦点问题；•每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。《计算机网络》第9章网络安全与网络管理技术7•有关统计资料报道：计算机犯罪案件正在以每年100%的速度增长，Internet被攻击的事件则以每年10倍的速度增长，美国金融界为此每年损失近百亿美元；•每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。《计算机网络》第9章网络安全与网络管理技术89.1.2网络安全研究的主要问题•网络防攻击问题•网络安全漏洞与对策问题•网络中的信息安全保密问题•防抵赖问题•网络内部安全防范问题•网络防病毒问题•无用信息邮件与灰色软件•网络数据备份与恢复、灾难恢复问题《计算机网络》第9章网络安全与网络管理技术91.网络防攻击技术•服务攻击（applicationdependentattack）:对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;•非服务攻击（applicationindependentattack）:不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。《计算机网络》第9章网络安全与网络管理技术10网络防攻击研究需要解决的几个问题•网络可能遭到哪些人的攻击？•攻击类型与手段可能有哪些？•如何及时检测并报告网络被攻击？•如何采取相应的网络安全策略与网络安全防护体系？《计算机网络》第9章网络安全与网络管理技术112.网络安全漏洞与对策的研究网络信息系统的运行涉及：•计算机硬件与操作系统•网络硬件与网络软件•数据库管理系统•应用软件•网络通信协议网络安全漏洞也会表现在以上几个方面。《计算机网络》第9章网络安全与网络管理技术123.网络中的信息安全问题•信息存储安全与信息传输安全•信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；•信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；在信息传输中可能存在4种攻击类型：截获、窃听、篡改以及伪造。《计算机网络》第9章网络安全与网络管理技术134.防抵赖问题•防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账；•通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。《计算机网络》第9章网络安全与网络管理技术145.网络内部安全防范•网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；•对网络与信息安全有害的行为包括：•有意或无意地泄露网络用户或网络管理员口令；•违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；•违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；•违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；•解决来自网络内部的不安全因素必须从技术与管理两个方面入手。《计算机网络》第9章网络安全与网络管理技术156.网络防病毒•引导型病毒•可执行文件病毒•宏病毒•混合病毒•特洛伊木马型病毒•Internet语言病毒《计算机网络》第9章网络安全与网络管理技术167.无用信息邮件与灰色软件•垃圾邮件•间谍程序•广告程序•后门程序•下载程序•植入程序《计算机网络》第9章网络安全与网络管理技术178.网络数据备份与恢复、灾难恢复问题•如果出现网络故障造成数据丢失，数据能不能被恢复？•如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？《计算机网络》第9章网络安全与网络管理技术18•《电子计算机系统安全规范》，1987年10月•《计算机软件保护条例》，1991年5月•《计算机软件著作权登记办法》，1992年4月•《中华人民共和国计算机信息与系统安全保护条例》，1994年2月•《计算机信息系统保密管理暂行规定》，1998年2月•《关于维护互联网安全决定》，全国人民代表大会常务委员会通过，2000年12月9.1.3网络安全标准《计算机网络》第9章网络安全与网络管理技术19•可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）；•可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1；•D级系统的安全要求最低，A1级系统的安全要求最高。《计算机网络》第9章网络安全与网络管理技术209.2加密与认证技术9.4.1密码算法与密码体制的基本概念•数据加密与解密的过程加密过程密文明文信息源结点解密过程密文明文信息目的结点《计算机网络》第9章网络安全与网络管理技术21•密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥；•传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制；•如果加密密钥和解密密钥不相同，则称为非对称密码体制；•密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系；•密码算法是相对稳定的。在这种意义上，可以把密码算法视为常量，而密钥则是一个变量；•在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。《计算机网络》第9章网络安全与网络管理技术22什么是密码密码是含有一个参数k的数学变换，即C=Ek（m）•m是未加密的信息（明文）•C是加密后的信息（密文）•E是加密算法•参数k称为密钥•密文C是明文m使用密钥k经过加密算法计算后的结果；•加密算法可以公开，而密钥只能由通信双方来掌握。《计算机网络》第9章网络安全与网络管理技术23密钥长度密钥长度与密钥个数密钥长度（位）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×1038《计算机网络》第9章网络安全与网络管理技术249.2.2对称密钥（symmetriccryptography）密码体系•对称加密的特点加密过程解密过程密钥明文密文明文《计算机网络》第9章网络安全与网络管理技术259.2.3非对称密钥（asymmetriccryptography）密码体系•非对称密钥密码体系的特点加密过程解密过程公钥明文密文明文私钥《计算机网络》第9章网络安全与网络管理技术26非对称加密的标准•RSA体制被认为是目前为止理论上最为成熟的一种公钥密码体制。RSA体制多用在数字签名、密钥管理和认证等方面；•Elgamal公钥体制是一种基于离散对数的公钥密码体制；•目前，许多商业产品采用的公钥加密算法还有Diffie-Hellman密钥交换、数据签名标准DSS、椭圆曲线密码等。《计算机网络》第9章网络安全与网络管理技术279.2.4数字信封技术加密过程对称密钥明文数据密文发送方解密过程接收方私钥接收方加密过程接收方公钥被加密的密钥数据密文解密过程对称密钥明文密文密文对称密钥被加密的密钥对称密钥被加密的密钥被加密的密钥《计算机网络》第9章网络安全与网络管理技术289.2.5数字签名技术生成摘要发送方私钥明文发送方接收方信息摘要信息摘要加密过程单向散列函数信息摘要明文明文信息摘要明文生成摘要信息摘要单向散列函数发送方公钥解密过程信息摘要比较身份认证《计算机网络》第9章网络安全与网络管理技术299.2.6身份认证技术的发展身份认证可以通过3种基本途径之一或它们的组合实现：•所知（knowledge）:个人所掌握的密码、口令；•所有（possesses）:个人身份证、护照、信用卡、钥匙；•个人特征（characteristics）:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征；•新的、广义的生物统计学是利用个人所特有的生理特征来设计的；•目前人们研究的个人特征主要包括：容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。《计算机网络》第9章网络安全与网络管理技术30本章学习要求:•了解：网络安全的重要性•掌握：密码体制的基本概念及应用•掌握：防火墙的基本概念•掌握：网络入侵检测与防攻击的基本概念与方法•掌握：网络文件备份与恢复的基本方法•了解：网络病毒防治的基本方法•了解：网络管理的基本概念与方法《计算机网络》第9章网络安全与网络管理技术31知识点结构网络安全的基本概念网络安全策略设计对称密钥密码体系防火墙技术密码学非对称密钥密码体系数字信封身份认证网络防攻击与攻击检测技术网络文件备份、恢复与业务连续性技术网络防病毒技术网络管理技术数字签名密码学在网络安全中的应用《计算机网络》第9章网络安全与网络管理技术329.3防火墙技术9.3.1防火墙的基本概念•防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；•设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。•防火墙要具备哪些功能？外部网络防火墙内部网络不可信赖的网络可信赖的网络《计算机网络》第9章网络安全与网络管理技术33•防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（securityperimeter）；•构成防火墙系统的两个基本部件是包过滤路由器（packetfilteringrouter）和应用级网关（applicationgateway）；•最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；•由于组合方式有多种，因此防火墙系统的结构也有多种形式。《计算机网络》第9章网络安全与网络管理技术349.3.2包过滤路由器（路由器工作原理）包过滤路由器的结构Internet内部网络服务器工作站网络层数据链路层物理层网络层数据链路层物理层包过滤规则包过滤路由器外部网络防火墙《计算机网络》第9章网络安全与网络管理技术35•路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；•包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：•源IP地址•目的IP地址•协议类