1、计算机网络第9章 网络安全与网络管理技术,1,9.1 网络安全研究的主要问题 9.1.1 网络安全的重要性,网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。,计算机网络第9章 网络安全与网络管理技术,2,9.1.2 网络安全技术研究的主要问题,网络防攻击问题; 网络安全漏洞与对策问题; 网络中的信息安全保密问题; 防抵赖问题; 网络内部安全防范问题; 网络防病毒问题; 网络数据备份与恢复、灾难恢复问题。,计算机网络第9章 网络安全与网络管理技术,3,1.网络防攻击技术
2、,服务攻击(application dependent attack) :对网络提供某种服务的服务器发起攻击,造成该网络的“拒绝服务”,使网络工作不正常;非服务攻击(application independent attack) :不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。,计算机网络第9章 网络安全与网络管理技术,4,3.网络中的信息安全问题,信息存储安全与信息传输安全 信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用;信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击;,计算机网络第9章 网络安全与
3、网络管理技术,5,9.1.3 网络安全服务与安全标准 网络安全服务应该提供以下基本的服务功能:,数据保密(data confidentiality)认证(authentication) 数据完整(data integrity)防抵赖(non-repudiation)访问控制(access control),计算机网络第9章 网络安全与网络管理技术,6,9.2 加密与认证技术 9.2.1 密码算法与密码体制的基本概念,数据加密与解密的过程,计算机网络第9章 网络安全与网络管理技术,7,密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥; 传统密码体制所用的加
4、密密钥和解密密钥相同,也称为对称密码体制; 如果加密密钥和解密密钥不相同,则称为非对称密码体制; 密钥可以看作是密码算法中的可变参数。从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系; 密码算法是相对稳定的。在这种意义上,可以把密码算法视为常量,而密钥则是一个变量; 在设计加密系统时,加密算法是可以公开的,真正需要保密的是密钥。,计算机网络第9章 网络安全与网络管理技术,8,9.2.2 对称密钥(symmetric cryptography)密码体系,对称加密的特点,计算机网络第9章 网络安全与网络管理技术,9,9.2.3 非对称密钥(asymmetric cry
5、ptography)密码体系,非对称密钥密码体系的特点,计算机网络第9章 网络安全与网络管理技术,10,9.2.4 数字信封技术,计算机网络第9章 网络安全与网络管理技术,11,9.2.5 数字签名技术,计算机网络第9章 网络安全与网络管理技术,12,9.2.6 身份认证技术的发展,身份认证可以通过3种基本途径之一或它们的组合实现:所知(knowledge): 个人所掌握的密码、口令; 所有(possesses): 个人身份证、护照、信用卡、钥匙; 个人特征(characteristics):人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA,以及个人动作方面的特征; 新的、广义的生
6、物统计学是利用个人所特有的生理特征来设计的; 目前人们研究的个人特征主要包括:容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律,以及在外界刺激下的反应等。,计算机网络第9章 网络安全与网络管理技术,13,9.3 防火墙技术 9.3.1 防火墙的基本概念,防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件; 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。,计算机网络第9章 网络安全与网络管理技术,14,防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判
7、断是否会对网络安全构成威胁,为内部网络建立安全边界(security perimeter);构成防火墙系统的两个基本部件是包过滤路由器(packet filtering router)和应用级网关(application gateway);最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多种形式。,计算机网络第9章 网络安全与网络管理技术,15,9.6 网络防病毒技术 9.6.1 造成网络感染病毒的主要原因,70%的病毒发生在网络上; 将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右
8、; 从网络电子广告牌上带来的病毒约占7%; 从软件商的演示盘中带来的病毒约占6%; 从系统维护盘中带来的病毒约占6%; 从公司之间交换的软盘带来的病毒约占2%; 其他未知因素约占27%; 从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。,计算机网络第9章 网络安全与网络管理技术,16,9.6.2 网络病毒的危害,网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所; 网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,在工作站之间迅速传播与蔓延病毒; 网络病毒的传染与发作过程与单机基本
9、相同,它将本身拷贝覆盖在宿主程序上; 当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。,计算机网络第9章 网络安全与网络管理技术,17,9.6.3 典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手:一是工作站,二是服务器; 网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒; 网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、预置扫描与人工扫描 ; 一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,
