计算机网络 第9章：网络安全与网络管理技术(YF59)

2019/10/2主讲人：杨帆1本章学习要求:了解：密码体制的基本概念。了解：防火墙的基本概念。了解：网络入侵检测与防攻击的基本概念与方法。了解：网络文件备份与恢复的基本方法。了解：网络安全的重要性。了解：网络病毒防治的基本方法。了解：网络管理的基本概念与方法。第9章网络安全与网络管理技术三次合并为一次课07网络：10年05月19日（星期三）上午3、4节2019/10/2主讲人：杨帆29.1网络安全研究的主要问题9.1.1网络安全的重要性•从网络的作用和应用广泛性来理解网络安全的重要性；•网络已经成为一个国家政治、经济、文化、科技、军事与综合国力的重要标志；•网络应用正在（已经）改变人们的工作方式（社会运行机制）、生活方式和思维方式；•网络安全问题已经成为信息化社会的一个焦点问题；•网络安全不是一个单纯的技术问题，还包括管理和法制环境等诸多方面；•每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。2019/10/2主讲人：杨帆39.1.2网络安全技术研究的主要问题•网络防攻击问题；•网络安全漏洞与对策问题；•网络中的信息安全保密问题；•防抵赖问题；•网络内部安全防范问题；•网络防病毒问题；•网络数据备份与恢复、灾难恢复问题；•网络安全标准的研究。网络安全研究的主要问题涉及法律、管理、安全技术等诸多方面。就安全技术而言，主要研究内容至少包括：2019/10/2主讲人：杨帆41.网络防攻击技术1）攻击类型•服务攻击（applicationdependentattack）:对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;•非服务攻击（applicationindependentattack）:基于网络层等低层协议而进行的攻击（不针对某项具体应用服务），使得网络通信设备工作严重阻塞或瘫痪。2019/10/2主讲人：杨帆52）主要研究的问题•网络可能遭到哪些人的攻击？•攻击类型与手段可能有哪些？•如何及时检测并报告网络被攻击？•如何采取相应的网络安全策略与网络安全防护体系？2019/10/2主讲人：杨帆62.网络安全漏洞与对策的研究•计算机硬件与操作系统；•网络硬件与网络软件；•数据库管理系统；•应用软件；•网络通信协议。从网络信息系统的诸多因素，分析可能的安全漏洞，并针对性的制定对策（打补丁）。2019/10/2主讲人：杨帆73.网络中的信息安全问题•信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；•信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；（下图给出了信息传输过程中可能存在的几种安全威胁）主要包括信息存储安全与信息传输安全两个方面。2019/10/2主讲人：杨帆84种可能的网络安全威胁•窃听•截获•篡改•伪造窃听篡改伪造截获被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站（见教材P374）2019/10/2主讲人：杨帆94.防抵赖问题•问题：防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账；•方法：通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。2019/10/2主讲人：杨帆105.网络内部安全防范•有意或无意地泄露网络用户或网络管理员口令；•违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；•违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；•违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为。主要包括：解决来自网络内部的不安全因素必须从技术与管理两个方面入手。2019/10/2主讲人：杨帆116.网络防病毒•引导型病毒•可执行文件病毒•宏病毒•混合病毒•特洛伊木马型病毒•Internet语言病毒2019/10/2主讲人：杨帆127.网络数据备份与恢复、灾难恢复问题•问题：解决因设备故障、网络故障、网络攻击、病毒感染、人为破坏以及自然灾害等诸多因素导致的数据损坏问题；•方法：设计制定合适的数据备份和恢复策略；建立数据被份和恢复系统；制定严格的数据备份管理制度；2019/10/2主讲人：杨帆139.1.3网络安全服务与安全标准1、网络安全服务应该提供的基本服务功能：•数据保密（dataconfidentiality）•认证（authentication）•数据完整（dataintegrity）•防抵赖（non-repudiation）•访问控制（accesscontrol）2019/10/2主讲人：杨帆142、网络安全标准•该准则将计算机系统安全分为4类7个等级：D类，安全要求最低；C类（C1和C2两个等级）；B类（B1、B2、B3三个等级）；A类（A1级），最高安全级，在安全审计、安全测试、配置管理等方面提出了更高的要求；用于评估计算机、网络与信息系统安全性的代表性标准是美国国防部的黄皮书（可信计算机系统）评估准则。该标准1983年公布，1985年增加了可信网络说明（TNI），基本内容如下：2019/10/2主讲人：杨帆153、我国在网络安全方面的法律法规•《电子计算机系统安全规范》，1987年10月•《计算机软件保护条例》，1991年5月•《计算机软件著作权登记办法》，1992年4月•《中华人民共和国计算机信息与系统安全保护条例》，1994年2月•《计算机信息系统保密管理暂行规定》，1998年2月•《关于维护互联网安全决定》，全国人民代表大会常务委员会通过，2000年12月2019/10/2主讲人：杨帆169.2加密与认证技术9.2.1密码算法与密码体制的基本概念数据加密与解密的过程对加密和解密过程的不同实现，形成了不同的密码体制。加密过程密文明文信息源结点解密过程密文明文信息目的结点加密算法解密算法加密过程解密过程2019/10/2主讲人：杨帆17•密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥；•对称密码体制(传统):所用的加密密钥和解密密钥相同；•非对称密码体制:加密密钥和解密密钥不相同；•密钥:是密码算法中的可变参数,用来描述明文与密文之间等价的数学函数关系。从数学的角度来看，改变了密钥，也就改变这种等价关系；•密码算法：是密码体制中的信息变换规则，是相对稳定的。在这种意义上，可以把密码算法视为常量，而密钥则是一个变量；•在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。关于密码体制：2019/10/2主讲人：杨帆18什么是密码其中：•m是未加密的信息（明文）•C是加密后的信息（密文）•E是加密算法•参数k称为密钥•密文C是明文m使用密钥k经过加密算法计算后的结果；•加密算法可以公开，而密钥只能由通信双方来掌握。密码是含有一个参数k的数学变换，即C=Ek(m)2019/10/2主讲人：杨帆19密钥长度（指密钥的二进制为数）密钥长度与密钥个数密钥长度（位）组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×10382019/10/2主讲人：杨帆209.2.2对称密钥密码体系（symmetriccryptography）特点：加密和解密使用相同的密钥；密钥在传输时要严格保密。典型的对称密钥加密算法是DES算法。（P380-381）加密过程解密过程密钥明文密文明文2019/10/2主讲人：杨帆219.2.3非对称密钥密码体系（asymmetriccryptography）特点：加密和解密使用不同的密钥，加密的密钥可公开（公钥），解密的密钥要保密（私钥），公钥和私钥之间是数学相关的，并成对出现。但不能通过公钥计算出私钥。加密过程解密过程公钥明文密文明文私钥2019/10/2主讲人：杨帆22非对称加密的标准（P382-383）•RSA体制被认为是目前为止理论上最为成熟的一种非对称密码体制。RSA体制多用在数字签名、密钥管理和认证等方面；•Elgamal公钥体制是一种基于离散对数的公钥密码体制；•目前，许多商业产品采用的公钥加密算法还有DiffieHellman密钥交换、数据签名标准DSS、椭圆曲线密码等。2019/10/2主讲人：杨帆239.2.4数字信封技术（P383-384）加密过程对称密钥明文数据密文发送方解密过程接收方私钥接收方加密过程接收方公钥被加密的密钥数据密文解密过程对称密钥明文密文密文对称密钥被加密的密钥对称密钥是用对称加密算法加密数据，再用非对称加密算法加密对称加密的密钥，从而实现信息传输安全和灵活性并举的一种技术。（双重加密）①②③④⑤⑥2019/10/2主讲人：杨帆249.2.5数字签名技术生成摘要发送方私钥明文发送方接收方信息摘要信息摘要加密过程单向散列函数信息摘要明文明文信息摘要明文生成摘要信息摘要单向散列函数发送方公钥解密过程信息摘要比较身份认证数字签名是网络环境中，通过模拟日常生活中的亲笔签名来确认文件真实性和发件人身份的一种方法，是网络安全方面的一项重要技术。它将信息发送人的身份与信息相结合，保证信息传输的完整性，同时提供发送者的身份认证，防止抵赖行为的发生。2019/10/2主讲人：杨帆259.2.6身份认证技术的发展身份认证可以通过3种基本途径之一或它们的组合实现：•知识（knowledge）:个人所掌握的密码、口令；•持有物（possesses）:个人身份证、护照、信用卡、钥匙；•个人特征（characteristics）:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征。发展方向：结合生物统计学，利用个人所特有的生理特征来设计身份认证系统。目前人们研究的个人特征主要包括：容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。2019/10/2主讲人：杨帆269.3防火墙技术9.3.1防火墙的基本概念•防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；•设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。防火墙不能防病毒！06网络：09年06月11日（星期四）晚9、10节2019/10/2主讲人：杨帆27•防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（securityperimeter）；•基本的防火墙技术：是包过滤路由器（packetfilteringrouter）和应用网关（applicationgateway）；•最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用网关组合而成；•由于组合方式有多种，因此防火墙系统的结构也有多种形式。2019/10/2主讲人：杨帆289.3.2包过滤路由器包过滤路由器的结构2019/10/2主讲人：杨帆29•路由器按照系统内部设置的分组过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；•包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：•源IP地址；•目的IP地址；•协议类型；•IP选项内容；•源TCP端口号；•目的TCP端口号；•TCPACK标识。2019/10/2主讲人：杨帆30包过滤的工作流程yNNy设置包过滤规则分析包参数根据过滤规则确定包是否允许转发是否是包过滤的最后一个规则应用下一个包过滤规则转发该包丢弃该包2019/10/2主讲人：杨帆31包过滤路由器作为防火墙的结构外部网络包过滤路由器防火墙内部网络E-mail服务器（192.1.