計(jì)算機(jī)網(wǎng)絡(luò)安全概述(共29頁(yè)).ppt

1、2022-2-261杜煜杜煜2022-2-262l計(jì)算機(jī)網(wǎng)絡(luò)平安的概念；計(jì)算機(jī)網(wǎng)絡(luò)平安的概念；l計(jì)算機(jī)網(wǎng)絡(luò)對(duì)平安性的要求；計(jì)算機(jī)網(wǎng)絡(luò)對(duì)平安性的要求；l訪問(wèn)控制技術(shù)和設(shè)備平安；訪問(wèn)控制技術(shù)和設(shè)備平安；l防火墻技術(shù)；防火墻技術(shù)；l網(wǎng)絡(luò)平安攻擊及解決方法；網(wǎng)絡(luò)平安攻擊及解決方法；l計(jì)算機(jī)網(wǎng)絡(luò)平安的根本解決方案。計(jì)算機(jī)網(wǎng)絡(luò)平安的根本解決方案。2022-2-263l背景介紹背景介紹l對(duì)計(jì)算機(jī)網(wǎng)絡(luò)平安性問(wèn)題的研究總是圍繞著信息對(duì)計(jì)算機(jī)網(wǎng)絡(luò)平安性問(wèn)題的研究總是圍繞著信息系統(tǒng)進(jìn)行，其主要目標(biāo)就是要保護(hù)計(jì)算資源，免系統(tǒng)進(jìn)行，其主要目標(biāo)就是要保護(hù)計(jì)算資源，免受毀壞、替換、盜竊和喪失，而計(jì)算資源包括了受毀壞、替換、

2、盜竊和喪失，而計(jì)算資源包括了計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備、存儲(chǔ)介質(zhì)、軟硬件、信息數(shù)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備、存儲(chǔ)介質(zhì)、軟硬件、信息數(shù)據(jù)等。據(jù)等。2022-2-264l訪問(wèn)控制訪問(wèn)控制l選擇性訪問(wèn)控制選擇性訪問(wèn)控制l病毒和計(jì)算機(jī)破壞程序病毒和計(jì)算機(jī)破壞程序l加密加密l系統(tǒng)方案和管理系統(tǒng)方案和管理l物理平安物理平安l通信平安通信平安2022-2-265l保護(hù)系統(tǒng)和網(wǎng)絡(luò)的資源免遭自然或人為的破壞；保護(hù)系統(tǒng)和網(wǎng)絡(luò)的資源免遭自然或人為的破壞；l明確網(wǎng)絡(luò)系統(tǒng)的脆弱性和最容易受到影響或破壞明確網(wǎng)絡(luò)系統(tǒng)的脆弱性和最容易受到影響或破壞的地方；的地方；l對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的各種威脅有充分的估計(jì)；對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的各種威脅有充分的估

3、計(jì)；l要開(kāi)發(fā)并實(shí)施有效的平安策略，盡可能減少可能要開(kāi)發(fā)并實(shí)施有效的平安策略，盡可能減少可能面臨的各種風(fēng)險(xiǎn)；面臨的各種風(fēng)險(xiǎn)；l準(zhǔn)備適當(dāng)?shù)膽?yīng)急方案，使網(wǎng)絡(luò)系統(tǒng)在遭到破壞或準(zhǔn)備適當(dāng)?shù)膽?yīng)急方案，使網(wǎng)絡(luò)系統(tǒng)在遭到破壞或攻擊后能夠盡快恢復(fù)正常工作；攻擊后能夠盡快恢復(fù)正常工作；l定期檢查各種平安管理措施的實(shí)施情況與有效性。定期檢查各種平安管理措施的實(shí)施情況與有效性。2022-2-266l內(nèi)部平安內(nèi)部平安l對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，防止非授權(quán)用戶訪問(wèn)系統(tǒng)；對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，防止非授權(quán)用戶訪問(wèn)系統(tǒng)；l確保系統(tǒng)的可靠性，以防止軟件的缺陷確保系統(tǒng)的可靠性，以防止軟件的缺陷Bug成成為系統(tǒng)的入侵點(diǎn)；為系統(tǒng)的入侵點(diǎn)；l

4、對(duì)用戶實(shí)施訪問(wèn)控制，拒絕其訪問(wèn)超出訪問(wèn)權(quán)限的對(duì)用戶實(shí)施訪問(wèn)控制，拒絕其訪問(wèn)超出訪問(wèn)權(quán)限的資源；資源；l加密傳輸和存儲(chǔ)的數(shù)據(jù)，防止重要信息被非法用戶加密傳輸和存儲(chǔ)的數(shù)據(jù)，防止重要信息被非法用戶理解或修改；理解或修改；l對(duì)用戶的行為進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)，檢查其是否對(duì)對(duì)用戶的行為進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)，檢查其是否對(duì)系統(tǒng)有攻擊行為，并對(duì)入侵的用戶進(jìn)行跟蹤。系統(tǒng)有攻擊行為，并對(duì)入侵的用戶進(jìn)行跟蹤。l外部平安外部平安l加強(qiáng)系統(tǒng)的物理平安，防止其他用戶直接訪問(wèn)系統(tǒng)；加強(qiáng)系統(tǒng)的物理平安，防止其他用戶直接訪問(wèn)系統(tǒng)；l保證人事平安，加強(qiáng)平安教育，防止用戶特別是保證人事平安，加強(qiáng)平安教育，防止用戶特別是內(nèi)部用戶泄密。內(nèi)部

5、用戶泄密。 2022-2-267l解決問(wèn)題：如何保護(hù)計(jì)算機(jī)系統(tǒng)內(nèi)軟件和數(shù)據(jù)不解決問(wèn)題：如何保護(hù)計(jì)算機(jī)系統(tǒng)內(nèi)軟件和數(shù)據(jù)不被非法刪改。被非法刪改。l軟件完整性軟件完整性 l數(shù)據(jù)完整性數(shù)據(jù)完整性2022-2-268l解決問(wèn)題：如何防止用戶非法獲取關(guān)鍵的敏感解決問(wèn)題：如何防止用戶非法獲取關(guān)鍵的敏感信息，防止機(jī)密信息的泄露。信息，防止機(jī)密信息的泄露。l加密是保護(hù)數(shù)據(jù)的一種重要方法，也是保護(hù)存加密是保護(hù)數(shù)據(jù)的一種重要方法，也是保護(hù)存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們通常儲(chǔ)在系統(tǒng)中的數(shù)據(jù)的一種有效手段，人們通常采用加密來(lái)保證數(shù)據(jù)的保密性。采用加密來(lái)保證數(shù)據(jù)的保密性。2022-2-269l可用性是指無(wú)論何時(shí)

6、，只要用戶需要，系統(tǒng)和可用性是指無(wú)論何時(shí)，只要用戶需要，系統(tǒng)和網(wǎng)絡(luò)資源必須是可用的，尤其是當(dāng)計(jì)算機(jī)及網(wǎng)網(wǎng)絡(luò)資源必須是可用的，尤其是當(dāng)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)遭到非法攻擊時(shí)，它必須仍然能夠?yàn)橛媒j(luò)系統(tǒng)遭到非法攻擊時(shí)，它必須仍然能夠?yàn)橛脩籼峁┱５南到y(tǒng)功能或效勞。戶提供正常的系統(tǒng)功能或效勞。l為了保證系統(tǒng)和網(wǎng)絡(luò)的可用性，必須解決網(wǎng)絡(luò)為了保證系統(tǒng)和網(wǎng)絡(luò)的可用性，必須解決網(wǎng)絡(luò)和系統(tǒng)中存在的各種破壞可用性的問(wèn)題。和系統(tǒng)中存在的各種破壞可用性的問(wèn)題。2022-2-2610l創(chuàng)立平安的網(wǎng)絡(luò)環(huán)境創(chuàng)立平安的網(wǎng)絡(luò)環(huán)境l數(shù)據(jù)加密數(shù)據(jù)加密l調(diào)制解調(diào)器的平安調(diào)制解調(diào)器的平安l災(zāi)難和意外方案災(zāi)難和意外方案l系統(tǒng)方案和管理系統(tǒng)方案和

7、管理l使用防火墻技術(shù)使用防火墻技術(shù)2022-2-2611l網(wǎng)絡(luò)平安脆弱點(diǎn)的幾個(gè)方面網(wǎng)絡(luò)平安脆弱點(diǎn)的幾個(gè)方面l通信設(shè)備通信設(shè)備l網(wǎng)絡(luò)傳輸介質(zhì)網(wǎng)絡(luò)傳輸介質(zhì)l網(wǎng)絡(luò)連接網(wǎng)絡(luò)連接l網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)l病毒攻擊病毒攻擊l物理平安物理平安2022-2-2612l防火墻防火墻l防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施平安防范的防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施平安防范的系統(tǒng)，用于確定哪些內(nèi)部資源允許外部訪問(wèn)，以系統(tǒng)，用于確定哪些內(nèi)部資源允許外部訪問(wèn)，以及允許哪些內(nèi)部網(wǎng)用戶訪問(wèn)哪些外部資源及效勞；及允許哪些內(nèi)部網(wǎng)用戶訪問(wèn)哪些外部資源及效勞；l防火墻的根本類型有：防火墻的根本類型有：l包過(guò)濾型包過(guò)濾型l代理效勞器型代

8、理效勞器型l堡壘主機(jī)堡壘主機(jī) 2022-2-2613l鑒別鑒別l報(bào)文鑒別報(bào)文鑒別l身份認(rèn)證身份認(rèn)證 l數(shù)字簽名數(shù)字簽名2022-2-2614l其他工具其他工具l訪問(wèn)控制訪問(wèn)控制l加加/解密技術(shù)解密技術(shù)l審計(jì)和入侵檢測(cè)審計(jì)和入侵檢測(cè)l平安掃描平安掃描2022-2-2615l作用：對(duì)訪問(wèn)系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其身作用：對(duì)訪問(wèn)系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其身份份用戶是誰(shuí)？該用戶的身份是否真實(shí)？用戶是誰(shuí)？該用戶的身份是否真實(shí)？ l基于口令的訪問(wèn)控制技術(shù)基于口令的訪問(wèn)控制技術(shù)l選用口令應(yīng)遵循的原那么選用口令應(yīng)遵循的原那么l增強(qiáng)口令平安性措施增強(qiáng)口令平安性措施 l其他方法其他方法l選擇性訪問(wèn)

9、控制技術(shù)選擇性訪問(wèn)控制技術(shù) 2022-2-2616l調(diào)制解調(diào)器平安調(diào)制解調(diào)器平安l通信介質(zhì)的平安通信介質(zhì)的平安l計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備的物理平安計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備的物理平安 2022-2-2617l使用防火墻可用于使用防火墻可用于“平安隔離，其實(shí)質(zhì)就是限制什么數(shù)據(jù)可以平安隔離，其實(shí)質(zhì)就是限制什么數(shù)據(jù)可以“通通過(guò)防火墻進(jìn)入到另一個(gè)網(wǎng)絡(luò)過(guò)防火墻進(jìn)入到另一個(gè)網(wǎng)絡(luò)l防火墻使用硬件平臺(tái)和軟件平臺(tái)來(lái)決定什么請(qǐng)求可以從外部網(wǎng)絡(luò)進(jìn)入防火墻使用硬件平臺(tái)和軟件平臺(tái)來(lái)決定什么請(qǐng)求可以從外部網(wǎng)絡(luò)進(jìn)入到內(nèi)部網(wǎng)絡(luò)或者從內(nèi)部到外部，其中包括的信息有電子郵件消息、文到內(nèi)部網(wǎng)絡(luò)或者從內(nèi)部到外部，其中包括的信息有電子郵件消息、文件傳輸、

10、登錄到系統(tǒng)以及類似的操作等。件傳輸、登錄到系統(tǒng)以及類似的操作等。2022-2-2618l防火墻的優(yōu)點(diǎn)防火墻的優(yōu)點(diǎn)l允許網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中定義一個(gè)控制點(diǎn)，將內(nèi)部網(wǎng)絡(luò)與允許網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中定義一個(gè)控制點(diǎn)，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開(kāi)；外部網(wǎng)絡(luò)隔開(kāi)；l審查和記錄審查和記錄Internet使用情況的最正確點(diǎn)；使用情況的最正確點(diǎn)；l設(shè)置網(wǎng)絡(luò)地址翻譯器設(shè)置網(wǎng)絡(luò)地址翻譯器NAT的最正確位置；的最正確位置；l作為向客戶或其他外部伙伴發(fā)送信息的中心聯(lián)系點(diǎn)；作為向客戶或其他外部伙伴發(fā)送信息的中心聯(lián)系點(diǎn)；l防火墻的局限性防火墻的局限性l不能防范不經(jīng)過(guò)防火墻產(chǎn)生的攻擊；不能防范不經(jīng)過(guò)防火墻產(chǎn)生的攻擊；l不能防范由于內(nèi)部

11、用戶不注意所造成的威脅；不能防范由于內(nèi)部用戶不注意所造成的威脅；l不能防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸；不能防止受到病毒感染的軟件或文件在網(wǎng)絡(luò)上傳輸； l很難防止數(shù)據(jù)驅(qū)動(dòng)式攻擊；很難防止數(shù)據(jù)驅(qū)動(dòng)式攻擊；2022-2-26192022-2-2620l防火墻的根本準(zhǔn)那么防火墻的根本準(zhǔn)那么l“拒絕一切未被允許的東西拒絕一切未被允許的東西 l“允許一切未被特別拒絕的東西允許一切未被特別拒絕的東西 l機(jī)構(gòu)的平安策略機(jī)構(gòu)的平安策略l必須以平安分析、風(fēng)險(xiǎn)評(píng)估和商業(yè)需要分析為根底；必須以平安分析、風(fēng)險(xiǎn)評(píng)估和商業(yè)需要分析為根底； l防火墻的費(fèi)用防火墻的費(fèi)用l取決于它的復(fù)雜程度以及要保護(hù)的系統(tǒng)規(guī)模；取決于

12、它的復(fù)雜程度以及要保護(hù)的系統(tǒng)規(guī)模；2022-2-2621l包過(guò)濾路由器包過(guò)濾路由器 l可以決定對(duì)它所收到的每個(gè)數(shù)據(jù)包的取舍?？梢詻Q定對(duì)它所收到的每個(gè)數(shù)據(jù)包的取舍。l逐一審查每份數(shù)據(jù)包以及它是否與某個(gè)包過(guò)濾規(guī)那么相匹逐一審查每份數(shù)據(jù)包以及它是否與某個(gè)包過(guò)濾規(guī)那么相匹配。配。l過(guò)濾規(guī)那么以過(guò)濾規(guī)那么以IP數(shù)據(jù)包中的信息為根底：數(shù)據(jù)包中的信息為根底：lIP源地址、源地址、IP目的地址、封裝協(xié)議目的地址、封裝協(xié)議TCP、UDP、ICMP等、等、TCP/UDP源端口、源端口、TCP/UDP目的端口、目的端口、ICMP報(bào)報(bào)文類型、包輸入接口和包輸出接口等。文類型、包輸入接口和包輸出接口等。l如果找到一個(gè)匹

13、配，且規(guī)那么允許該數(shù)據(jù)包通過(guò)，那么該如果找到一個(gè)匹配，且規(guī)那么允許該數(shù)據(jù)包通過(guò)，那么該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。l如果找到一個(gè)匹配，且規(guī)那么拒絕此數(shù)據(jù)包，那么該數(shù)據(jù)如果找到一個(gè)匹配，且規(guī)那么拒絕此數(shù)據(jù)包，那么該數(shù)據(jù)包將被舍棄包將被舍棄 2022-2-26222022-2-2623l代理效勞器代理效勞器l代理效勞器上安裝有特殊用途的特別應(yīng)用程序，代理效勞器上安裝有特殊用途的特別應(yīng)用程序，被稱為代理效勞或代理效勞器程序。被稱為代理效勞或代理效勞器程序。l使用代理效勞后，各種效勞不再直接通過(guò)防火墻使用代理效勞后，各種效勞不再直接通過(guò)防火墻轉(zhuǎn)發(fā)，對(duì)應(yīng)用數(shù)據(jù)的轉(zhuǎn)

14、發(fā)取決于代理效勞器的配轉(zhuǎn)發(fā)，對(duì)應(yīng)用數(shù)據(jù)的轉(zhuǎn)發(fā)取決于代理效勞器的配置：置：l只支持一個(gè)應(yīng)用程序的特定功能，同時(shí)拒絕所有只支持一個(gè)應(yīng)用程序的特定功能，同時(shí)拒絕所有其他功能；其他功能；l支持所有的功能，比方同時(shí)支持支持所有的功能，比方同時(shí)支持WWW、FTP、Telnet、SMTP和和DNS等。等。 2022-2-26242022-2-2625l包過(guò)濾路由器允許信息包在外部系統(tǒng)與內(nèi)部系統(tǒng)之間的直包過(guò)濾路由器允許信息包在外部系統(tǒng)與內(nèi)部系統(tǒng)之間的直接流動(dòng)。代理效勞器允許信息在系統(tǒng)之間流動(dòng)，但不允許接流動(dòng)。代理效勞器允許信息在系統(tǒng)之間流動(dòng)，但不允許直接交換信息包。直接交換信息包。l堡壘主機(jī)是堡壘主機(jī)是Int

15、ernet上的主機(jī)能夠連接到的、唯一的內(nèi)部上的主機(jī)能夠連接到的、唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)，它對(duì)外而言，屏蔽了內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)，網(wǎng)絡(luò)上的系統(tǒng)，它對(duì)外而言，屏蔽了內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)，所以任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或效勞時(shí)，都必所以任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或效勞時(shí)，都必須連接到堡壘主機(jī)上。須連接到堡壘主機(jī)上。l堡壘主機(jī)的特點(diǎn)：堡壘主機(jī)的特點(diǎn)：l堡壘主機(jī)的硬件平臺(tái)上運(yùn)行的是一個(gè)比較堡壘主機(jī)的硬件平臺(tái)上運(yùn)行的是一個(gè)比較“平安的操作平安的操作系統(tǒng)，以防止操作系統(tǒng)受損，同時(shí)也確保了防火墻的完整系統(tǒng)，以防止操作系統(tǒng)受損，同時(shí)也確保了防火墻的完整性。性。l只有必要的效勞才安裝在堡壘主機(jī)內(nèi)，如只有必要的效勞才安裝在堡壘主機(jī)內(nèi)，如Telnet、DNS、FTP、SMTP和用戶認(rèn)證等。和用戶認(rèn)證等。2022-2-26262022-2-2627l特洛伊木馬；特洛伊木馬；l拒絕效勞拒絕效勞DoS ；l郵