計算機網絡網絡安全.ppt

1、計算機網絡網絡安全,田衛(wèi)鋒,第八章 網絡安全技術,本章主要內容： 網絡安全體系 網絡安全技術 網絡安全工具,8.1 網絡安全體系,名詞： 計算機網絡安全性：保障網絡信息的保密性、完整性、網絡服務可用性和可審查性。 即要求網絡保證其信息系統(tǒng)資源的完整性、準確性和有限的傳播范圍，并要求網絡能向所有的用戶有選擇地及時提供各自應得到的網絡服務。,計算機網絡的安全性要素,保密性：使系統(tǒng)只對被授權的使用者提供信息。 完整性：使系統(tǒng)只允許授權的用戶修改信息。 可用性：使系統(tǒng)可以及時向所有用戶提供各自應得到的信息資源服務。 可審查性：使系統(tǒng)內所發(fā)生的與安全有關的動作均有詳細記錄可查。,網絡威脅,計算機網絡面臨

2、的攻擊和威脅因素主要分為：人為與非人為的兩種。 非人為威脅主要指自然災害造成的不安全因素。如地震、水災、火災、戰(zhàn)爭等原因造成的網絡中斷、系統(tǒng)破壞、數據丟失等。 人為因素往往是威脅源利用系統(tǒng)資源內部的脆弱環(huán)節(jié)侵入而產生的。,人為威脅因素類型,中斷：威脅源使系統(tǒng)的資源受損或不能使用，使數據的流動或服務的提供暫停。 竊?。耗硞€威脅源未經許可，卻成功地獲取了對資源的訪問，從中盜取了有用的數據或服務。 更改：某個威脅源未經許可，但成功地訪問并改動了某項資源，因而篡改提供的數據服務。 偽造：某個威脅源未經許可，但成功的在系統(tǒng)中制造出了假源，從而產生了虛假的數據或服務。,安全服務,開放某一層所提供的服務，用

3、以保證系統(tǒng)或數據傳輸足夠的安全性。 一個安全的計算機網絡至少提供： 實體認證 訪問控制 數據保密性 數據完整性 防抵賴,實體認證,防止主動攻擊的重要防御措施。 認證：識別和證實。 識別：辨別一個實體的身份。 證實：證明該實體身份的真是性。,訪問控制,針對越權使用資源的防御措施。 分為自主訪問控制和強制訪問控制。,數據保密性,針對信息泄漏的防御措施， 分為： 信息保密 選擇數據段保密 業(yè)務流保密,數據完整性,針對非法地篡改信息、文件和業(yè)務流而設置的防范措施，以保證資源可獲得性。 分為： 連接完整性 無連接完整性 選擇數據段有連接完整性 選擇數據段無連接完整性,防抵賴,針對對方進行抵賴的防范措施，

4、可用來證實發(fā)生過的操作。 分為： 對發(fā)送防抵賴 對遞交防抵賴 公證,安全機制,分為兩類一類與安全服務有關，用來實現安全服務。另一類與管理功能有關，用于加強對安全系統(tǒng)的管理。 ISO74982安全機制包括： 加密機制 數字簽名機制 訪問控制機制 數據完整性機制 認證交換機制 防業(yè)務流分析機制 路由控制機制 公證機制,常規(guī)密鑰體制（單密鑰系統(tǒng)）,即加密和解密是相同的密碼體制。 常見加密算法 替代密碼 置換密碼 DES（美國的數據加密標準） IDEA（國際數據加密算法）,公開密鑰密碼體制,即使用不同的加密密鑰和解密密鑰，是一種由已加密密鑰推導出解密密鑰在計算機上是不可行的密碼體制。 典型的如：RSA

5、公開密鑰密碼體制。,網絡安全的評估標準,美國國防部計算機安全中心發(fā)布的桔皮書，即“可信計算機系統(tǒng)評估標準”。 系統(tǒng)中計算機安全程度分為A、B、C、D四類（分A1、A2、B1、B2、B3、C1、C2、D共8個等級）。D級最低。,網絡安全五層體系,用戶層安全 應用層安全 操作系統(tǒng)層安全 數據鏈路層安全 網絡層安全,用戶層安全,解決：是否只有真正被授權的用戶才能夠使用系統(tǒng)中的資源和數據。 用戶層安全包括：保護合法用戶安全權限和限制非法用戶的不安全進入途徑。 如操作系統(tǒng)中對文件資源的權限管理： 授權 訪問特定許可的資源 受口令保護的共享特定的資源 如操作系統(tǒng)中的權限控制（Novell、Windows

6、NT）,應用層安全,解決只有合法的用戶才能夠對特定的數據進行合法的操作。 涉及兩個方面問題： 應用程序對數據的合法訪問授權； 應用程序對用戶的合法權限。,操作系統(tǒng)層的安全,操作系統(tǒng)的安全問題主要： 用戶口令的設置與保護 同一局域網或VLAN內的共享文件和數據庫的訪問控制權限的設置等 系統(tǒng)安全問題中，主要考慮的問題： 病毒對于網絡的威脅，進行反病毒； 黑客對于網絡的破壞和侵入，進行風險評估，入侵檢測和審計分析等。,數據鏈路層的安全,數據鏈路層的安全主要涉及：傳輸過程中的數據加密及數據的修改，即數據完整性問題。 物理地址盜用問題。,網絡層安全,網絡層的安全性問題核心在于網絡是否得到控制，即是不是任

7、何IP來源的用戶都可以進入網絡。 用于解決網絡層安全性問題的產品主要有： 防火墻 VPN,網絡層安全涉及部分,它是Internet網絡安全中最重要的部分，涉及： IP協議本身的安全性。 網管協議的安全性。 網絡交換設備的安全性（最重要）。,8.2 網絡安全技術,防火墻的特征 所有內部對外部的通信都必須通過防火墻。反之亦然； 只有按安全策略定義的授權通信才允許通過； 防火墻本身具有抗入侵能力； 防火墻是網絡的要塞點，是達到網絡安全目的的有效手段，因此盡可能將安全策略都集中于這一點上； 防火墻可以強化安全策略的實施； 防火墻可以記錄內、外網絡通信時所發(fā)生的一切。,防火墻功能,防火墻必須具有以下功能

8、才能保證網絡安全性要求： 防火墻應該執(zhí)行安全策略； 嚴格執(zhí)行“未經許可，不得入內”； 應容易擴充新的服務和機構，以便更改所需要的安全策略； 應具有代理服務，包含陷阱的鑒別技術； 采用陷阱的過濾技術，根據需求進行允許或拒絕某些服務； 防火墻界面友好；,防火墻功能,具有緩沖存儲功能，以獲得高效快速訪問； 應能界奶對本地網的公共訪問，本地網的公共信息服務被防火墻保護。 具有對撥號訪問內部網的集中處理和過濾能力； 具有記錄和審計的功能； 防火墻設備上所使用的操作系統(tǒng)和開發(fā)工具都應該具備相當登級的安全性； 防火墻應該時可檢驗和可管理的。,防火墻基本實現技術,防火墻：是用一個或一組網絡設備，在兩個或多個網

9、絡間加強訪問控制，以保護網絡免于來自其他網絡的攻擊的安全技術。 防火墻過濾器安全策略 防火墻是一種被動的技術，它假設了網絡邊界和服務，因此，對內部的非法訪問難以有效控制。 防火墻適合于相對獨立的網絡。,防火墻的目的,訪問控制：限制他人進入內部網絡 ，過濾掉不安全的服務和非法用戶。 抗攻擊：限定人們訪問特殊站點； 審計：為監(jiān)視Internet安全提供方便，對網絡訪問進行記錄，建立完備的日值、審計和追蹤網絡訪問，并可以根據需要產生報表、報警和入侵檢測等。,防火墻的局限性,不能完全防范外部可以的認為攻擊； 不能方位內部用戶攻擊； 不能防止內部用戶因誤操作而造成口令失密受到的攻擊； 很難防止病毒或者受病毒感染的文件的傳輸。,局域網的保密,信息泄漏是局域網的主要保密隱患之一，局域網在保密方面有3個脆弱性： 數據的可訪問性。 信息的聚生性。 設防的困難性。,局域網的泄密渠道,電磁泄漏 非法終端 搭線竊取 介