搜索
2009年5月网络工程系彭劲杰网络工程师考试辅导系统及网络安全基础2009年5月一、系统与数据安全基础二、网络安全技术与协议迎考知识点复习三、模拟试题及答题技巧2009年5月一、系统与数据安全基础1、系统安全基础知识2、信息加密技术3、认证技术4、数字证书5、密钥管理体制2009年5月1、计算机安全主要是指计算机资产的安全,即要保证这些资产不受自然和人为因素的有害因素的威胁和危害。一、系统与数据安全基础2009年5月2、安全的基本要素(5要素)分别是:机密性、完整性、可用性、可控性和可审查性。3、网络交易中的信息安全分别是:机密性、完整性和不可抵赖性。一、系统与数据安全基础2009年5月4、计算机系统安全等级(1)依据是美国国防部和国家标准局的《可信计算机系统评测标准》,将系统分为4类7级。(2)具体划分和实例A级(A1级);B级(B1;B2;B3;)C级(C1;C2);D级一、系统与数据安全基础2009年5月A级:可验证的保护,拥有数学模型。B级:强制式保护级,由系统强制安全保护。B1级:标记安全保护级,对系统的数据进行标记,并对标记的主体和客体实施强制存取控制B2级:结构化安全保护级,建立形式化的安全策略模型,对系统所有主客体实施自主访问和强制访问控制。NT4.0以上版本。B3级:安全域,提供系统恢复工程。一、系统与数据安全基础2009年5月C级:自定义保护。UNIX为代表;NT4.0C1级:自主安全保护级,能够实现对用户和数据的分离,进行自主存取控制,以用户组为单位实施保护。C2级:受控访问级,实施更细致的自主访问,通过登陆规程、审计安全性相关事件隔离资源D级:级别最低,保护措施少,没有安全功能。一、系统与数据安全基础2009年5月5、常见的网络安全威胁(1)网络安全是指一种能够识别和消除不安全因素的能力。具有动态性、相对性和过程性。(2)常见网络安全威胁主要包括:窃听、假冒、重放、流量分析、破坏完整性、拒绝服务、资源的非授权使用、后门、木马、蠕虫、病毒等。一、系统与数据安全基础2009年5月网络威胁系统密码被破解拒绝服务攻击网络偷票特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫流氓软件GPS跟踪网络色情间谍软件人肉搜索垃圾邮件2009年5月(3)网络安全总结大都是针对“网络安全漏洞”,进行网络攻击。其中安全漏洞包括:物理安全隐患、软件安全漏洞、搭配的安全漏洞。一、系统与数据安全基础2009年5月6、主要安全措施(1)内因:数据加密;制定数据安全规划;建立安全存取;进行容错数据保护和数据备份;建立事故应急计划和容灾措施;重视安全管理,制定管理规范。(2)外因:设置身份认证、密码、口令、生物认证等多种认证方式;设置防火墙;防止外部侵入;建立入侵检测、审计与追踪;计算机物理环境保护。一、系统与数据安全基础2009年5月7、主要安全技术(1)数据加密:重新组合信息,形成密文。(2)数据签名:发送者身份证明。(3)身份认证:多种方法鉴别用户的合法性。(4)防火墙:通过规则控制数据包的进出。(5)内容检查:对数据内容的安全性进行检查。一、系统与数据安全基础2009年5月数据链路层应用层表示层会话层传输层网络层物理层通过采用防窃听技术来加强通信线路的安全。通过采用通信保密机技术来进行链路加密,使用L2TP和PPTP来实现两层隧道通信。通过采用防火墙来处理信息内外网络边界的流动,利用IPSec建立透明的安全加密信道。可以使用SSL对低层安全服务进行抽象和屏蔽一、系统与数据安全基础2009年5月8、网络安全设计原则(1)木桶原则:避免瓶颈。(2)整体性原则:综合考虑网络结构和网络应用需求进行体系化设计。(3)有效性和实用性原则:有效防范潜在威胁。(4)登记性原则:对网络区域、用户、应用划分等级。一、系统与数据安全基础2009年5月1、密码学(1)信息安全最核心的技术是密码学。(2)密码学包括:编码学、分析学、密钥密码学。(3)密码管理包括:密钥产生、分配、存储、保护、销毁等环节。(4)密码算法:理论上无解或虽可解但时间复杂。一、系统与数据安全基础2009年5月2、对称密钥技术(1)原理:加密和解密密钥相同或可推导。(2)优点:具有很高的保密强度。(3)缺点:密钥的传输和保存。(4)分类:分组密码和序列密码。(5)常见的对称密钥技术:DES和IDEA算法。一、系统与数据安全基础2009年5月(5)常见的对称密钥技术:DES:它是一种迭代的分组密码,输入输出都是64位,用一个56位的密钥和8位CRC位。目前攻击DES的主要技术是穷举,因此只要增加DES的密钥长度便可加强安全性,如:使用112位密钥对数据进行三次加密的算法,称为“3DES”。IDEA算法:其明文和密文都是64位,密钥长度128位。一、系统与数据安全基础2009年5月3、非对称密钥技术(公钥算法)(1)原理:加密和解密密钥完全不同,并且无法推导。(2)优点:适用开放性使用环境,用于数字签名和验证(3)代表:RSA,理论基础是数论中的大素数分解。(4)缺点:加密大量数据速度慢,用于密钥的分发。(5)特点:利用数学上无法破解的算法,如早期的背包算法、椭圆曲线算法、分解大数的困难度和以大素数为模算法等。一、系统与数据安全基础2009年5月4、认证技术(1)认证技术主要解决通信双方的身份认可。(2)常用技术:帐户/口令;使用摘要算法;基于PKI数字证书认证三种。(3)信息摘要是一种数字指纹,可以用于数字签名。对某一特定文件,信息摘要是唯一的。其算法包括:MD5(in512分组,out28)和SHA(in512分组,out160)安全散列算法。一、系统与数据安全基础2009年5月4、认证技术(4)数字签名技术:通过一个单项函数对要传送的报文进行处理,得到一个字母数字串:认证报文来源,并核实是否发生变化。加密技术解决机密性,而数字签名解决“完整性和不可抵赖性”。一般采用公钥算法。一、系统与数据安全基础2009年5月4、认证技术(5)RADIUS协议:1)含义:“远程身份验证拨入用户系统”,是“通用的认证计费协议”,采用“基于挑战和应答的”认证方式。2)是一种C/S结构的协议,RADIUS服务器和用户接入NAS服务器通过UDP协议(同一局域网,更加快捷)进行通信,1812端口负责认证,1813端口负责计费。一、系统与数据安全基础2009年5月5、数字证书(1)采用公钥体制,即利用一对互相匹配的密钥进行加密和解密。(2)流程:发送方发送机密文件(用接收方的公钥加密)-接收方通过数字证书确认发送方的身份。一、系统与数据安全基础2009年5月6、密钥管理体制(1)指处理密钥自产生到销毁的整个过程中有关问题。(2)密钥管理体制:以传统密钥管理中心为代表的KMI机制(依赖于秘密信道),适用于封闭网;适用于开放网的PKI机制(解决分发密钥时依赖秘密信道的问题);适用于规模化专用网的SPK机制(更好得地解决密钥管理问题,可实现多重公钥和组合公钥)。一、系统与数据安全基础2009年5月二、网络安全技术与协议1、虚拟专用网(VPN)2、防火墙3、电子商务安全4、SSL/SET和SHTTP5、PGP技术6、Kerberos7、网络攻击与入侵检测技术8、病毒防护技术2009年5月二、网络安全技术与协议1、虚拟专用网(VPN)(1)企业网在互联网上等公网上的延伸。(2)原理:通过一个私有通道在公网上创建一个安全私有连接。本质上是个虚信道,用来连接两个专用网2009年5月二、网络安全技术与协议1、虚拟专用网(VPN)(3)关键技术:VPN隧道技术、密码技术和服务质量保证技术。(4)隧道技术:是一种数据封装协议,即将一种协议封装在另一种协议中传输。常见的有:二层隧道技术PPP基础上的PPTP(点到点隧道协议)和L2F(二层转发协议)、L2TP(二层隧道协议);“三层隧道技术”,主要代表有:IPSec(IP层安全协议)、移动IP协议和虚拟隧道协议(VTP)。2009年5月二、网络安全技术与协议1、虚拟专用网(VPN)(5)密码技术:加解密、身份认证、密钥管理等。(6)QOS机制:包括RSVP(资源预留协议)、SBM(子网带宽管理)。2009年5月二、网络安全技术与协议2、VPN网络的参考模型(1)虚拟租用线路(VLL):仅使用点对点连接。(2)虚拟专用路由网络(VPRN):通过公共IP网络进行VPN仿真,主要特点是:数据包在网络层转发。(3)虚拟专用拨号网(VPDN):允许远程用户按需通过PSTN/ISDN接入另一个网络的某个站点,需要进行身份认证(如:RADIUS认证)。(4)虚拟专用LAN片段(VPLS):利用公共IP资源进行局域网仿真,优点是协议透明,实现多协议传输。2009年5月二、网络安全技术与协议3、VPN的分类与应用(1)IntranetVPN:可在互联网上组建世界范围内的VPN网络,适合企业内部各分支机构互联。(2)AccessVPN:适合企业内部人员移动或远程办公。(3)ExtranetVPN:将供应商、合作伙伴连接到企业内部网络,提供B2B之间的安全访问服务。2009年5月二、网络安全技术与协议4、防火墙(1)隔离外网与内网;隔离内部不同安全区域。(2)类别:包过滤(访问控制表ACL);应用网关(实现协议过滤);代理网关(不同协议需要不同的代理);状态检测(自适应/动态包过滤)自适应代理。2009年5月二、网络安全技术与协议4、防火墙(3)组成:安全操作系统、过滤器、网关(提供中继服务,辅助控制业务流)、域名服务(将内部的域名与互联网隔离)、函件处理(进出函件必须经过防火墙)。(4)结构:屏蔽路由器、双穴主机、屏蔽主机防火墙、屏蔽子网防火墙。(见书本P190-191)2009年5月二、网络安全技术与协议4、防火墙分类(1)屏蔽(包过滤)路由器:对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出的信息进行限制。优点是速度快,对用户透明;缺点是维护困难。适用场合:非集中化管理的机构,网络主机较少,没有使用DHCP,没有集中安全策略的机构。INTERNET2009年5月二、网络安全技术与协议4、防火墙分类(2)双穴主机(双宿网关防火墙):由一台至少装有两块网卡的堡垒主机作为防火墙,位于内外网络之间,分别与内外网络相离,实现物理上的隔开。优点是:安全性较高,缺点是:需要强大的身份认证系统。INTERNET2009年5月二、网络安全技术与协议4、防火墙分类(3)屏蔽主机防火墙:强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连接。它由包过滤路由器和堡垒主机组成。安全性较高。INTERNET2009年5月二、网络安全技术与协议4、防火墙分类(4)屏蔽子网防火墙:用两个屏蔽路由器和一个堡垒主机,也称“单DMZ防火墙结构”。2009年5月DMZ?E-Mail?FileTransfer?HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继安全隐患外部/个体外部/组织内部/个体内部/组织Modem2009年5月二、网络安全技术与协议5、电子商务的安全需求(1)有效性:时刻、地点的有效。(2)机密性:预防非法的存取和非法的截取。(3)完整性:数据的一致性。(4)不可抵赖性:不能否认发生的交易行为。(5)审查能力:对数据审查的结果进行记录。相关的安全技术包括:VPN,SSL,电子邮件安全协议(PEM、S/MIME、MOSS)、电子支付安全等。2009年5月二、网络安全技术与协议6、SSL/SET和SHTTP(安全通信信道)(1)SSL:安全套接字,工作在传输层的安全协议,结合了信息加解密、数字签名认证两大技术。它适合于所有的TCP/IP应用,采用443端口。(2)SHTTP:工作在应用层,确保商业贸易传输安全,仅限于Web应用。(3)SET:安全快捷的交易模式,最早支持各种信任卡的交易。在使用SSL时,只要求服务器端拥有数字证书;而使用SET时,还要求客户端拥有数字证书。2009年5月二、网络安全技术与协议7、PGP技术(1)应用: