第9章:网络安全与网络管理技术

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第9章网络安全与网络管理技术2本章学习要求:•了解:网络安全的重要性。•掌握:密码体制的基本概念及应用。•掌握:防火墙的基本概念。•掌握:网络入侵检测与防攻击的基本概念与方法。•掌握:网络文件备份与恢复的基本方法。•了解:网络病毒防治的基本方法。•了解:网络管理的基本概念与方法。39.1网络安全研究的主要问题9.1.1网络安全的重要性•网络安全问题已经成为信息化社会的一个焦点问题;•每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。49.1.2网络安全技术研究的主要问题•网络防攻击问题;•网络安全漏洞与对策问题;•网络中的信息安全保密问题;•防抵赖问题;•网络内部安全防范问题;•网络防病毒问题;•网络数据备份与恢复、灾难恢复问题。51.网络防攻击技术•服务攻击(applicationdependentattack):对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常;•非服务攻击(applicationindependentattack):不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。6网络防攻击主要问题需要研究的几个问题•网络可能遭到哪些人的攻击?•攻击类型与手段可能有哪些?•如何及时检测并报告网络被攻击?•如何采取相应的网络安全策略与网络安全防护体系?72.网络安全漏洞与对策的研究网络信息系统的运行涉及:•计算机硬件与操作系统;•网络硬件与网络软件;•数据库管理系统;•应用软件;•网络通信协议。网络安全漏洞也会表现在以上几个方面。83.网络中的信息安全问题•信息存储安全与信息传输安全•信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用;•信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击;9信息传输安全问题的四种基本类型信息源结点信息目的结点(d)信息被篡改非法用户篡改信息源结点信息目的结点(e)信息被伪造非法用户伪造信息源结点信息目的结点(b)信息被截获非法用户截获信息源结点信息目的结点(c)信息被窃听非法用户窃听104.防抵赖问题•防抵赖是防止信息源结点用户对他发送的信息事后不承认,或者是信息目的结点用户接收到信息之后不认账;•通过身份认证、数字签名、数字信封、第三方确认等方法,来确保网络信息传输的合法性问题,防止“抵赖”现象出现。115.网络内部安全防范•网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;•对网络与信息安全有害的行为包括:•有意或无意地泄露网络用户或网络管理员口令;•违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏洞;•违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;•违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;•解决来自网络内部的不安全因素必须从技术与管理两个方面入手。126.网络防病毒•引导型病毒•可执行文件病毒•宏病毒•混合病毒•特洛伊木马型病毒•Internet语言病毒137.网络数据备份与恢复、灾难恢复问题•如果出现网络故障造成数据丢失,数据能不能被恢复?•如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?149.1.3网络安全服务与安全标准网络安全服务应该提供以下基本的服务功能:•数据保密(dataconfidentiality)•认证(authentication)•数据完整(dataintegrity)•防抵赖(non-repudiation)•访问控制(accesscontrol)15网络安全标准•《电子计算机系统安全规范》,1987年10月•《计算机软件保护条例》,1991年5月•《计算机软件著作权登记办法》,1992年4月•《中华人民共和国计算机信息与系统安全保护条例》,1994年2月•《计算机信息系统保密管理暂行规定》,1998年2月•《关于维护互联网安全决定》,全国人民代表大会常务委员会通过,2000年12月16•可信计算机系统评估准则TC-SEC-NCSC是1983年公布的,1985年公布了可信网络说明(TNI);•可信计算机系统评估准则将计算机系统安全等级分为4类7个等级,即D、C1、C2、B1、B2、B3与A1;•D级系统的安全要求最低,A1级系统的安全要求最高。179.2加密与认证技术9.2.1密码算法与密码体制的基本概念数据加密与解密的过程加密过程密文明文信息源结点解密过程密文明文信息目的结点18•密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥;•传统密码体制所用的加密密钥和解密密钥相同,也称为对称密码体制;•如果加密密钥和解密密钥不相同,则称为非对称密码体制;•密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系;•密码算法是相对稳定的。在这种意义上,可以把密码算法视为常量,而密钥则是一个变量;•在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。19什么是密码密码是含有一个参数k的数学变换,即C=Ek(m)•m是未加密的信息(明文)•C是加密后的信息(密文)•E是加密算法•参数k称为密钥•密文C是明文m使用密钥k经过加密算法计算后的结果;•加密算法可以公开,而密钥只能由通信双方来掌握。20密钥长度密钥长度与密钥个数密钥长度(位)组合个数40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×1038219.2.2对称密钥(symmetriccryptography)密码体系对称加密的特点加密过程解密过程密钥明文密文明文229.2.3非对称密钥(asymmetriccryptography)密码体系非对称密钥密码体系的特点加密过程解密过程公钥明文密文明文私钥23非对称加密的标准•RSA体制被认为是目前为止理论上最为成熟的一种公钥密码体制。RSA体制多用在数字签名、密钥管理和认证等方面;•Elgamal公钥体制是一种基于离散对数的公钥密码体制;•目前,许多商业产品采用的公钥加密算法还有DiffieHellman密钥交换、数据签名标准DSS、椭圆曲线密码等。249.2.4数字信封技术加密过程对称密钥明文数据密文发送方解密过程接收方私钥接收方加密过程接收方公钥被加密的密钥数据密文解密过程对称密钥明文密文密文对称密钥被加密的密钥对称密钥259.2.5数字签名技术生成摘要发送方私钥明文发送方接收方信息摘要信息摘要加密过程单向散列函数信息摘要明文明文信息摘要明文生成摘要信息摘要单向散列函数发送方公钥解密过程信息摘要比较身份认证269.2.6身份认证技术的发展身份认证可以通过3种基本途径之一或它们的组合实现:•所知(knowledge):个人所掌握的密码、口令;•所有(possesses):个人身份证、护照、信用卡、钥匙;•个人特征(characteristics):人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征;•新的、广义的生物统计学是利用个人所特有的生理特征来设计的;•目前人们研究的个人特征主要包括:容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律,以及在外界刺激下的反应等。279.3防火墙技术9.3.1防火墙的基本概念•防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;•设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。28•防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(securityperimeter);•构成防火墙系统的两个基本部件是包过滤路由器(packetfilteringrouter)和应用级网关(applicationgateway);•最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;•由于组合方式有多种,因此防火墙系统的结构也有多种形式。299.3.2包过滤路由器包过滤路由器的结构30•路由器按照系统内部设置的分组过滤规则(即访问控制表),检查每个分组的源IP地址、目的IP地址,决定该分组是否应该转发;•包过滤规则一般是基于部分或全部报头的内容。例如,对于TCP报头信息可以是:•源IP地址;•目的IP地址;•协议类型;•IP选项内容;•源TCP端口号;•目的TCP端口号;•TCPACK标识。31包过滤的工作流程yNNy设置包过滤规则分析包参数根据过滤规则确定包是否允许转发是否是包过滤的最后一个规则应用下一个包过滤规则转发该包丢弃该包32包过滤路由器作为防火墙的结构外部网络包过滤路由器防火墙内部网络E-mail服务器(192.1.6.2)工作站Internet发送到外部网络的包进入内部网络的包33假设网络安全策略规定:•内部网络的E-mail服务器(IP地址为192.1.6.2,TCP端口号为25)可以接收来自外部网络用户的所有电子邮件;•允许内部网络用户传送到与外部电子邮件服务器的电子邮件;•拒绝所有与外部网络中名字为TESTHOST主机的连接。34规则过滤号方向动作源主机地址TESTHOST源端口号目的主机地址目的端口号协议描述阻塞来自TESTHOST的所有数据包阻塞所有到TESTHOST的数据包允许外部用户传送到内部网络电子邮件服务器的数据包允许内部邮件服务器传送到外部网络的电子邮件数据包**TCPTCP**251023*TESTHOST192.1.6.2***102325**192.1.6.2阻塞阻塞允许允许进入进入输出输出1234包过滤规则表359.3.3应用级网关的概念•多归属主机(multihomedhost)典型的多归属主机结构多归属主机网络1网络2网络3网络3网络2网络1网卡1网卡2网卡3多归属主机36应用级网关37应用代理(applicationproxy)389.3.4防火墙的系统结构堡垒主机的概念•一个双归属主机作为应用级网关可以起到防火墙作用;•处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。外部网络应用级网关防火墙内部网络E-mail服务器(192.1.6.2)工作站Internet发送到外部网络的包进入内部网络的包39典型防火墙系统系统结构分析采用一个过滤路由器与一个堡垒主机组成的S-B1防火墙系统结构Internet内部网络堡垒主机采用多级结构的防火墙系统(S-B1-S-B1配置)结构示意图内部网络Internet过滤子网服务器工作站外部包过滤路由器外部网络内部网络内部包过滤路由器外堡垒主机内堡垒主机439.4网络防攻击与入侵检测技术9.4.1网络攻击方法分析目前黑客攻击大致可以分为8种基本的类型:•入侵系统类攻击;•缓冲区溢出攻击;•欺骗类攻击;•拒绝服务攻击;•对防火墙的攻击;•利用病毒攻击;•木马程序攻击;•后门攻击。449.4.2入侵检测的基本概念•入侵检测系统(intrusiondetectionsystem,IDS)是对计算机和网络资源的恶意使用行为进行识别的系统;•它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段

1 / 59
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功