計算機通訊計算機網絡及信息安全基礎

計算機通訊計算機網絡及信息安全基礎第一頁，共五十九頁，編輯于2023年，星期五一、計算機通訊基礎知識

計算機通信的基本原理帶寬第二頁，共五十九頁，編輯于2023年，星期五通信的基本要素第三頁，共五十九頁，編輯于2023年，星期五信息分類從形式上分：有線、無線從傳輸方式上分：模擬、數字第四頁，共五十九頁，編輯于2023年，星期五模擬信號和數字信號傳輸數字信號：基帶傳輸模擬信號：頻帶傳輸第五頁，共五十九頁，編輯于2023年，星期五模擬信號轉換成數字信號第六頁，共五十九頁，編輯于2023年，星期五調制方法第七頁，共五十九頁，編輯于2023年，星期五帶寬對于模擬信道，帶寬是指物理信道的頻帶寬度，其本來的意思是指信道允許傳送信號的最高頻率和最低頻率之差，單位為Hz。對于數字信道，“帶寬”是指在信道上能夠傳送的數字信號的速率，即數據傳輸速率S。因此，此時帶寬的單位就是比特每稱，通常表示為b/s或bps。數據傳輸速率S(比特率)：是一種數字信號的傳輸速率，它是指在有效帶寬上，單位時間內所傳送的二進制代碼的有效位(bit)數，單位：b/s、kb/s（1kb=1000b<>1024b）、mb/s等。第八頁，共五十九頁，編輯于2023年，星期五二、計算機網絡技術基礎計算機網絡概念計算機網絡基本組成網絡模型網絡分類網絡協議第九頁，共五十九頁，編輯于2023年，星期五計算機網絡概述計算機技術通信技術計算機網絡硬件、軟件、網絡體系結構、通信緊密結合第十頁，共五十九頁，編輯于2023年，星期五網絡操作系統通信協議計算機網絡的定義R實現通信交往資源共享協同工作定義：為了實現計算機之間的通信交往、資源共享和協同工作，利用通信設備和線路將地理位置分散的、各自具備自主功能的一組計算機有機地聯系起來，并且由功能完善的網絡操作系統和通信協議進行管理的計算機復合系統。３個要點：自主性、通信手段有機連接、網絡組建的目的。第十一頁，共五十九頁，編輯于2023年，星期五多用戶共享數據資料示意圖第十二頁，共五十九頁，編輯于2023年，星期五計算機網絡的（邏輯）組成計算機網絡按其邏輯功能可以分為資源子網和通信子網兩部分。資源子網的組成：主機、終端、網絡中的共享設備資源子網基本功能：負責全網的數據處理業(yè)務，并向網絡客戶提供各種網絡資源和網絡服務。計算機通信子網的組成：通信控制處理機ＣＣＰ、通信線路、信號交換設備。計算機通信子網功能：提供網絡通信功能，完成全網主機之間的數據傳輸、交換、控制和變換等通信任務，負責全網的數據傳輸、轉發(fā)及通信處理等工作。第十三頁，共五十九頁，編輯于2023年，星期五計算機網絡的（硬件）組成網絡包含許多組件，例如個人計算機、服務器、網絡設備、電纜等。這些組件可以分為四大類：主機、共享的外圍設備、網絡設備、網絡介質。第十四頁，共五十九頁，編輯于2023年，星期五主機第十五頁，共五十九頁，編輯于2023年，星期五網絡設備第十六頁，共五十九頁，編輯于2023年，星期五網絡介質第十七頁，共五十九頁，編輯于2023年，星期五外圍設備第十八頁，共五十九頁，編輯于2023年，星期五微軟運營網絡系統的組織結構工作組結構的網絡：使用對等網模式進行工作。工作組網絡的特點是各計算機地位平等、規(guī)模較小、資源和帳戶的管理分散。成員少，組織方式：工作組。典型示例：10臺左右的一個小型公司的辦公網絡以硬件采用10Base-T交換式星狀網絡。域結構的網絡：使用C/S模式進行工作。由管理員通過域控制器來統一管理全域的計算機、用戶賬戶、服務、各種對象和安全數據。采用基于全域目錄數據庫的統一、集中管理方式。典型示例：超過50臺計算機的一個中型學校的信息網絡，硬件采用100Base-T二級交換式星狀網絡。第十九頁，共五十九頁，編輯于2023年，星期五計算機網絡分類按計算機網絡的分布距離來分類：局域網（ＬＡＮ）：局部區(qū)域內通過高速線路互連而成的較小區(qū)域的計算機網絡，本質是分布距離短、數據傳輸速度快。廣域網（ＷＡＮ）：也稱遠程網，是指將頒布在不同國家、地域、甚至全球范圍內的各種局域網、計算機、終端等互聯而成的大型計算機通信網絡。特點是協議和網絡結構多樣化，速率較低，延遲較大，通信子網通常歸電信部門所有，而資源子網歸大型單位所有。城域網（ＭＡＮ）：原指是介于局域網與廣域網之間的一種大范圍的高速網絡，覆蓋的地理范圍可以從幾十公里到幾百公里，其原本目的是要滿足幾十公里范圍內的大量企業(yè)、機關、公司與社會服務部門計算機的聯網需求，以實現大量用戶、多種信息傳輸為目標的綜合信息網絡。第二十頁，共五十九頁，編輯于2023年，星期五協議計算機像人一樣，也要按照規(guī)則或協議進行通信。協議在本地網絡上尤其重要。在有線環(huán)境中，本地網絡定義為所有主機必須“講同一種語言”（用計算機術語表示就是“共享一個公共協議”）的區(qū)域。協議（protocol）：在計算機網絡通信過程中，為了保證計算機之間能夠準確地進行數據通信，必須使用一套通信規(guī)則，這套規(guī)則就是通信協議。第二十一頁，共五十九頁，編輯于2023年，星期五TCP/IP協議在Internet中使用的協議是TCP/IP協議。它不是一個協議，而是一組協議。其中，重要的有兩個協議：TCP、IP。第二十二頁，共五十九頁，編輯于2023年，星期五TCP/IP協議的基本參數IP地址子網掩碼默認網關第二十三頁，共五十九頁，編輯于2023年，星期五IP地址主機需要IP地址才能加入Internet。IP地址是用于標識特定主機的邏輯網址。為了與Internet上的其它設備進行通信，它必須配置正確并且唯一。第二十四頁，共五十九頁，編輯于2023年，星期五IP地址結構IP地址就是32個二進制位（一和零）的數字串。二進制IP地址非常難于閱讀。為此，人們將每8個位稱為一組二進制八位數，將這32個位劃分為四組二進制八位數。同樣，以這種格式表示的IP地址也難于閱讀和記憶。為了使IP地址更易于理解，人們就將每組二進制八位數表示為其十進制數值，并以小數點或句號加以分隔。這稱為點分十進制記法。為主機配置IP地址時，輸入的IP地址是十進制數字，如。如果您必須輸入此十進制數字的32位二進制表示方式，結果將是：11000000101010000000000100000101。在輸入時只要其中某一位出錯，結果就會變成完全不同的另一個地址，主機也就可能無法在網絡中通信。第二十五頁，共五十九頁，編輯于2023年，星期五網關在Internet中的每一臺主機都必須有一個IP地址，但它們可分布在不同的網絡中（即它們有不同的網絡地址），不同網絡中的主機要進行通訊，就必須有一臺同時連接多個網絡的主機，且該主機需要配置多個不同的IP地址，默認網關就是網絡中同時與其它網絡相連的那臺計算機的IP地址。為了在遠程子網之間進行通信，主機可以通過默認網關或IP路由器將數據發(fā)送給不同網絡地址的目的主機。第二十六頁，共五十九頁，編輯于2023年，星期五客戶端和服務器為了請求和查看網頁，人們需要使用運行Web客戶端軟件的設備?？蛻舳酥傅氖侨藗冊L問服務器上存儲的信息時使用的計算機應用程序。Web瀏覽器是典型的客戶端。第二十七頁，共五十九頁，編輯于2023年，星期五服務器第二十八頁，共五十九頁，編輯于2023年，星期五TCP/IP端口號使用TCP或UDP傳送報文時，所需的協議和服務由端口號標識。端口是每個數據段內用于跟蹤特定會話和所需目標服務的數字標識符。主機發(fā)送的每個報文都包含源端口和目的端口信息。目的端口：客戶端將目的端口號放到數據段內，以此通知目的服務器請求的服務類型。例如：端口80表示HTTP或Web服務。當客戶端在目的端口中指定端口80時，接收該報文的服務器就知道請求的是Web服務。服務器可同時提供多項服務。例如：服務器在端口21上提供建立FTP連接的服務，并同時在端口80上提供Web服務。源端口：源端口號由發(fā)送方設備隨機生成，用于標識兩臺設備之間的會話。這就使多個會話能夠同時發(fā)生。換而言之，多臺設備可以同時向一臺Web服務器請求HTTP服務。根據源端口號可以跟蹤每個單獨的會話。源端口和目的端口都被置入數據段內，然后數據段封裝于IP數據包內。IP數據包中含有源IP地址和目的IP地址。源IP地址和目的IP地址以及源端口號和目的端口號的組合稱為套接字。套接字用于標識客戶端所請求的服務器和服務。每天都有成千上萬的主機與成千上萬的不同服務器進行通信。這些通信都通過套接字識別。第二十九頁，共五十九頁，編輯于2023年，星期五TCP/IP數據報中的端口號第三十頁，共五十九頁，編輯于2023年，星期五三、計算機網絡安全技術網絡安全概述防火墻技術Windows操作系統安全第三十一頁，共五十九頁，編輯于2023年，星期五針對網絡的攻擊計算機網絡，不論是有線還是無線網絡，都已迅速成為人們日?；顒又胁豢苫蛉钡囊徊糠帧€人與組織都依賴于計算機和網絡來處理電子郵件、財務、組織和文件管理之類的工作。不速之客的入侵可能導致代價高昂的網絡中斷和工作成果的丟失。針對網絡的攻擊有時具有相當的破壞性，可能造成重要信息或資產的損壞或失竊，導致時間上和金錢上的損失。入侵者可通過軟件漏洞、硬件攻擊甚至一些科技含量很低的方法（例如猜測某人的用戶名和密碼）來獲得對網絡的訪問權。通過修改或利用軟件漏洞來獲取訪問權的入侵者通常被稱為黑客。一旦黑客取得網絡的訪問權，就可能給網絡帶來以下四種威脅：信息盜竊身份盜竊數據丟失/操縱服務中斷第三十二頁，共五十九頁，編輯于2023年，星期五第三十三頁，共五十九頁，編輯于2023年，星期五網絡入侵來源外部威脅：外部威脅是由組織外部活動的個人引起的。他們沒有訪問組織計算機系統或網絡的權限。外部攻擊者主要通過Internet、無線鏈接或撥號訪問服務器進入網絡。內部威脅：內部威脅是由具備授權用戶帳戶的個人，或能夠實際接觸網絡設備的人員導致的。內部攻擊者了解內部的政策和人員。他們往往清楚的知道，什么信息有價值而且易于攻擊，以及怎么獲得該信息。然而，并不是所有內部攻擊都是故意的。在某些情況下，一個受信任的員工在公司外部工作時可能會感染上病毒或安全威脅，然后在不知情的情況下將它帶到內部網絡中，從而造成內部威脅。許多公司都在防御外部攻擊上花費了大量資源，但大多數威脅其實來自內部。據FBI調查顯示，在報告的安全入侵事件中，約有70%都是因內部訪問和計算機系統帳戶使用不當造成的。第三十四頁，共五十九頁，編輯于2023年，星期五網絡威脅社會工程和網絡釣魚對于內外兩個源頭的入侵者而言，要想獲得訪問權，最簡單的一種方法就是利用人類行為的弱點。利用人類弱點的常見方法之一便是“社會工程”(SocialEngineering)。術語“社會工程”指代某事或某人影響某個人群的行為的能力。在計算機和網絡安全方面，社會工程代表用來欺騙內部用戶執(zhí)行特定操作或暴露機密信息的一種技術。通過采用這些技術，攻擊者可利用沒有設防的合法用戶來獲取內部資源和私密信息（例如銀行帳戶或密碼）的訪問權。用戶通常被認為是安全體系中最薄弱的環(huán)節(jié)之一，社會工程攻擊正是利用了這一點。社會工程者可能位于組織內部或外部，但通常不會與受害者面對面打交道。社會工程中最常用的三種技術有：假托、網絡釣魚和語音網絡釣魚。第三十五頁，共五十九頁，編輯于2023年，星期五網絡威脅病毒、蠕蟲和特洛伊木馬病毒是通過修改其它程序或文件來運行和傳播的一種程序。病毒無法自行啟動，而需要受到激活。有的病毒一旦激活，便會迅速自我復制并四處傳播，但不會執(zhí)行其它操作。這類病毒雖然很簡單，但仍然非常危險，因為它們會迅速占用所有可用內存，導致系統停機。編寫的更為惡毒的病毒可能會在傳播前刪除或破壞特定的文件。病毒可通過電子郵件附件、下載的文件、即時消息或磁盤、CD或USB設備傳輸。蠕蟲類似于病毒，與病毒不同的是它無需將自身附加到現有的程序中。蠕蟲使用網絡將自己的副本發(fā)送到任何所連接的主機中。蠕蟲可獨立運行并迅速傳播，它并不一定需要激活或人類干預才會發(fā)作。自我傳播的網絡蠕蟲所造成的影響可能比單個病毒更為嚴重，而且可迅速造成Internet大面積感染。特洛伊木馬是一種非自體復制型程序，看似合法，但實質上卻是一種攻擊工具。特洛伊木馬依賴于其合法的外表來欺騙受害人啟動該程序。它的危害性可能相對較低，但也可能包含可損壞計算機硬盤內容的代碼。特洛伊木馬還可為系統創(chuàng)建后門，從而使黑客獲得訪問權。第三十六頁，共五十九頁，編輯于2023年，星期五網絡威脅拒絕服務和暴力攻擊拒絕服務(DoS)：是針對單個計算機或一組計算機執(zhí)行的一種侵略性攻擊，目的是拒絕為特定用戶提供服務。暴力攻擊：攻擊者使用運行速度很快的計算機來嘗試猜測密碼或破解加密密鑰。攻擊者會在短時間內嘗試大量可能的密碼來獲取訪問權限或破譯密鑰。暴力攻擊可引起針對特定資源的流量過大或用戶帳戶鎖定，從而導致拒絕服務。第三十七頁，共五十九頁，編輯于2023年，星期五常用安全措施第三十八頁，共五十九頁，編輯于2023年，星期五防火墻防火墻是保護內部網絡用戶遠離外部威脅的最為有效的安全工具之一。防火墻駐留在兩個或多個網絡之間，控制其間的流量并幫助阻止未授權的訪問。防火墻產品使用多種技術來區(qū)分應禁止和應允許的網絡訪問。數據包過濾—根據IP或MAC地址阻止或允許訪問。應用程序過濾-根據端口號阻止或允許訪問特定類型的應用程序。URL過濾-根據特定的URL或關鍵字阻止或允許訪問網站。狀態(tài)包偵測(SPI)—傳入數據包必須是對內部主機所發(fā)出請求的合法響應。除非得到特別允許，否則未經請求的數據包會被攔截。狀態(tài)包偵測還可具有識別和過濾特定類型攻擊（例如DoS）的能力。第三十九頁，共五十九頁，編輯于2023年，星期五防火墻類別基于設備的防火墻—此類防火墻內置在專用的硬件設備（稱為安全設備）中。基于服務器的防火墻—此類防火墻是在網絡操作系統（NOS，例如UNIX、Windows或Novell）上運行的防火墻應用程序。集成防火墻—此類防火墻通過對現有設備（例如路由器）添加防火墻功能來實現。個人防火墻—此類防火墻駐留在主機計算機中，不能用于LAN實施。它可以由操作系統默認提供，也可以由外部廠商提供安裝。第四十頁，共五十九頁，編輯于2023年，星期五企業(yè)防火墻基本布署第四十一頁，共五十九頁，編輯于2023年，星期五安全機制網絡安全概述網絡故障網絡攻擊安全服務認證、訪問控制、數據保密性、數據完整性、不可否認性加密機制、數字簽名機制、訪問控制機制、數據完整性機制認證機制、通信業(yè)務填充機制、路由控制機制、公證機制第四十二頁，共五十九頁，編輯于2023年，星期五認證識別和證實，即識別一個實體的身份和證實實體身份的真實性。單機狀態(tài)身份認證一般有用戶口令、一次性密碼和生理特征等。網絡環(huán)境下，采用高強度的密碼技術，一般為對稱密鑰或公開密鑰加密的方法。是防止主動攻擊的重要措施。第四十三頁，共五十九頁，編輯于2023年，星期五訪問控制訪問控制是確定不同用戶對信息資源的訪問權限。也是針對越權使用資源的防御措施。第四十四頁，共五十九頁，編輯于2023年，星期五數據保密性系統只對授權的用戶提供信息，對于未被授權的使用者，這些信息是不可獲得或不可理解的。它是針對信息泄漏的防御措施。第四十五頁，共五十九頁，編輯于2023年，星期五數據完整性是針對非法地篡改信息、文件和業(yè)務流而設置的防范措施，以保證資源可獲得性。第四十六頁，共五十九頁，編輯于2023年，星期五不可否認性是針對對方進行抵賴的防范措施，可用于證實發(fā)生過的操作。一般有發(fā)送防抵賴、對遞交防抵賴和公證。第四十七頁，共五十九頁，編輯于2023年，星期五密碼學基本原理加密函數Ek()解密函數Dk’()明文P明文P=Dk’(C)密文C=Ek(P)加密密鑰解密密鑰k’密鑰信道密碼技術是信息安全的核心技術。第四十八頁，共五十九頁，編輯于2023年，星期五兩種基礎變換所有的密碼算法皆基于兩種通用的變換，一種是代替，一種是錯亂。第四十九頁，共五十九頁，編輯于2023年，星期五密碼體制分類單鑰體制：加密密鑰和解密密鑰相同，也稱對稱密鑰。保密密鑰是關鍵。雙鑰體制：每個用戶都有一對選定的密鑰，一個公開，一個保密。也稱公鑰體制或公開密鑰密碼系統。它將加密和解密能力分開以實現多個用戶加密的消息只能由一個用戶解讀，或由一個用戶加密的消息而多個用戶可以解讀。這種方式需要公鑰管理機構進行管理。第五十頁，共五十九頁，編輯于2023年，星期五信息傳輸的安全模型第五十一頁，共五十九頁，編輯于2023年，星期五Windows2000操作系統安全操作系統的安全對整個計算機網絡系統的安全是至關重要的。其用戶數量龐大以及系統的普及性和易用性使它成為了網絡中最易被攻擊，最脆弱的一個操作系統。第五十二頁，共五十九頁，編輯于2023年，星期五操作系統安全子系統本地安全策略：安全機制核心，通過確認安全賬號管理中的數據，控制種各類型用戶的本地和遠程登錄，并提供用戶存取許可及產生訪問令牌，同時還管理本地的安全策略、控制審計方案，并將安全證明監(jiān)視器產生的審計信息記入日志中。安全賬