1、第四篇 网络基础,网络与信息安全简介,计算机网络基础知识,计算机网络 一群具有独立功能的计算机通过通信线路和通信设备互连起来,在功能完善的网络软件(网络协议、网络操作系统等)的支持下,实现计算机之间数据通信和资源共享的系统。 网络的功能 数据通信 资源共享 硬件、软件、数据 分布式处理,计算机网络的分类,从网络的地理范围进行分类 局域网(Local Area Network,LAN) 范围:小,20km 特点:10-10000Mbps,出错率低(10-12 10-7 ),结构简单 城域网(Metropolitan Area Network,MAN) 范围:中等,100km 特点:介于LAN和W
2、AN之间 已被WAN所取代 广域网(Wide Area Network,WAN) 范围:大,100km 特点:延迟大,出错率高,结构复杂、协议复杂,网络体系结构,体系结构:协议分几层,每层完成什么功能 协议:指在计算机网络中,通信双方为了实现通信而设计的规则。 计算机网络体系结构 计算机网络体系结构是计算机网络的各层及其协议的集合,即:这个计算机网络及其部件所应完成的功能的精确定义。 例 ISO/OSI参考模型 TCP/IP体系结构,ISO/OSI参考模型,双向箭头线表示概念上的通信线路,空心箭头表示实际通信线路。,通 信 子 网,资 源 子 网,各层的任务 处理网络应用 数据如何表示 主机间
3、的通信 端到端的连接 路由寻址 介质访问接入 比特流的传输,目的是实现异种机互连。 与OSI参考模型相关的协议已经很少使用,在实际应用中,对OSI进行简化TCP/IP TCP(Transmission Control Protocol)用于保证被传送信息的完整性 IP(Internet Protocol)负责将消息从一个地方传送到另一个地方。,是Internet所使用的体系结构,目的是网络互连。,TCP/IP体系结构,UDP用户数据报协议,TCP/IP协议,是一组协议(包括上百个各种功能的协议) HTTP、FTP、SMTP、DNS 保证数据完整传输的两个基本的重要协议 IP协议:为分组在互联网
4、的发送、传输和接收制定的详细规则每一个分组独立选择路由后发可能先到忙时丢弃不管不能确保分组可靠交付 TCP协议:确保分组可靠交付,局域网关键技术,1. 局域网特点 覆盖范围比较小 数据传输速率高 传输延时小 出错率低等 2. 局域网的关键技术 设备互连的拓扑结构 数据通信的传输媒体 解决信道共享的媒体访问控制方法,网络的拓扑结构-总线形拓扑结构,优点:布线简单、节点增删容易、成本较低。 缺点:各节点竞用总线,容易引起冲突;节点数过多会降低网络的速度;故障影响大且难以检测和排除。 应用:早期用于以太网,目前已经较少采用。,网络的拓扑结构-环形拓扑结构,优点 结构简单、实时性强。 缺点 增删节点操
5、作复杂且会干扰整个网络的正常运行; 故障影响大且难以检测和排除。,应用早期的令牌环网和FDDI就是采用环型结构,目前环型拓扑主要应用于光纤网中。,网络的拓扑结构-星形/树形拓扑结构,优点 结构简单、组网容易、控制相对简单; 故障影响小且容易检测和排除。 缺点 电缆数量大,通信线路利用率低; 如果中心节点出现故障,则整个网络的通信就会瘫痪。,树形是星形的扩展,特点是可扩展性好,网络的拓扑结构-网状拓扑结构,结构无规则型结构:点到点部分连接,多用于广域网,由于连接的不完全性,需要有交换节点全连接结构:点到点全连接,随节点数的增长(N(N-1)/2),建造成本急剧增长,只适用于节点数很少的广域网中
6、优点:系统可靠性高,系统不受瓶颈问题和失效问题影响。 缺点:结构复杂、成本高、网络协议复杂。,局域网组网设备,局域网系统: 局域网硬件服务器/客户机网络适配器传输媒体网络互连设备(集线器、交换机、路由器) 局域网软件网络协议网络操作系统网络应用软件,传输媒体:双绞线,由两根彼此绝缘、相互缠绕成螺旋状的铜线组成。缠绕的目的是减少对外的电磁辐射和外界电磁波对数据传输的干扰。 组网方便,价格最便宜,应用广泛 最大传输率为1000Mbps,传输距离小于180米,屏蔽双绞线,非屏蔽双绞线,STP,UTP,传输媒体:同轴电缆,由内外两个导体组成,内导体是一根金属线,外导体是一根柱形的套管,一般是金属线编织
7、成的网状结构,内外导体之间有绝缘层。局域网初期曾广泛使用同轴电缆,但随着技术的进步,基本上都是采用双绞线和光纤作为传输媒体。,光纤的芯线是由光导纤维做成,它传输光脉冲数字信号。光纤的优点是:损耗小、带宽大,且不受电磁干扰等。其缺点是:单向传输、成本高、连接技术比较复杂。光纤是目前和将来最具竞争力的传输媒体。,传输媒体:光纤,传输媒体:无线媒体,包括无线频段、红外线、激光等。用于通信的电磁波频谱有无线电波、微波、红外,地面微波通信,卫星微波通信,两个地面站之间传送 距离:50 -100 km,使用微波 使用转发器接收和转发,卫星通信,网络互连设备,网卡:网络适配器 网卡实现LAN中的网络协议,网
8、络互连设备:集线器(Hub),功能:将若干台计算机连接起来组成一个局域网 性能:各端口共享带宽集线器的带宽:10M bps 100M bps 1000M bps 特点:每一个端口工作时都是这个带宽。任何时刻,只能有一个端口可发送数据。 端口数量:8口、16口和24口等 缺点:当计算机数量较多时,不能保证每台计算机拥有足够的带宽,网络互连设备:交换机(Switch),功能:将一些计算机连接起来组成一个局域网 性能:各端口独享带宽交换机带宽:10Mbps 100Mbps 1000Mbps 10Gbps 独享带宽:每一个站点拥有相同的带宽 端口数量:8口、12口、16口、24口、48口等 优点:保证
9、每台计算机拥有足够的带宽,计算机数量很多时,优势比集线器明显,主要功能: 主要用于互连局域网和广域网,实现不同网络互相通信 路由:找到网络中数据传输最合适的路径,网络互连设备:路由器(Router),一般说来,通过WAN实现LAN之间的互联,路由器是唯一可行的设备。,局域网中计算机的设置(本地连接-属性),IP地址等由网络中心获得,IP 地址是IP协议提供的一种地址格式,它为Internet上的每一个网络和每一台主机分配一个网络地址,以此来屏蔽物理地址(网卡地址)的差异。是运行TCP/IP协议的唯一标识。,XXX.XXX.XXX.XXX,202.112.0.36(中国教育科研网),IP地址,I
10、P地址类型,允许数量,DNS采用分层次结构,入网的每台主机都可以有一个类似下面的域名:,主机名.机构名.顶层域名,从左到右,域的范围变大。具有实际含义,比IP地址好记。 Internet上几乎在每一子域都设有域名服务器,服务器中包含有该子域的全体域名和地址信息。Internet每台主机上都有地址转换请求程序,负责域名与IP地址转换。, 中国教育部,域名系统DNS,层次型名字的树状结构,分为类型名和区域名两类。类型名共14个,区域名用两个字母表示世界各国和地区。,顶级域名,可以直接使用中文命名域名。 中国互联网络信息中心网站:http:/,中国互联网络的域名体系,顶级域名 二级域名,cn 34个
11、行政区域名用两个字符的汉语拼音:bj北京、sh上海 6个类别域名,Internet的基本服务,1.WWW浏览 2.文件传输 3.电子邮件,信息安全简介,信息社会的特点 信息过量,难以消化; 信息真假,难以辨识;信息形式不一致,难以统一处理; 信息安全,难以保证。,Internet上的对抗与威胁,Internet一方面成为人们离不开的信息工具,同时也成为公开的攻击对象目标。 网络的全球性、开放性、无缝连通性、共享性、动态性,使任何人都可以自由地接入Internet,其中有善者,也有恶者。 恶意者时刻在试图穿透别人的系统,捣毁别人的信箱、散布破坏性信息、倾泻信息拉圾。 Internet的安全已受到
12、普遍的重视。,Internet上的对抗与威胁,系统穿透(System penetration) 违反授权原则(Autherization violation) 植入(Planting) 通信监视(Communicutions monitoring) 通信窜扰(Communications tampering) 中断(Interruption) 拒绝服务(Denial of service) 否认(Repudiation) 病毒,系统穿透,未授权人对认证性(真实性Authenticity)进行攻击,假冒合法人接入系统. 对文件进行窜改(窜改系统中数据内容,修正消息次序、时间、延时和重放). 窃取
13、机密信息. 非法使用资源等。一般采取伪装、利用系统的薄弱环节、收集情报等方式实现。,违反授权原则,一个授权进入系统做某件事的用户,他在系统中进行未经授权的其它事情。攻击者可以通过猜测口令接入一个非特许用户账号,进而可揭示系统的薄弱环节,取得特许接入系统权,从而严重危及系统的安全。,植入,一般在系统穿透或违反授权攻击成功后,入侵者常要在系统中植入一种功能程序,为以后攻击提供方便条件。向系统中注入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹等来破坏系统正常工作。在信息战中,病毒已发展为一种进攻性武器。,从通信过程中信道利用搭线或电磁泄露进行窃听。 攻击机密性,造成泄密 业务流分析,获取有用情报侦察卫星、
14、监视卫星、预警卫星、间谍飞机、隐身飞机、预警飞机、装有大型综合孔径雷达的高空气球、无数微型传感器,都用于截获和跟踪信息。,通信监视,通信窜扰,攻击者对通信数据或通信过程进行干预,对完整性进行攻击,窜改系统中数据的内容,修正消息次序、时间(延时和重放)、 注入伪造消息。,中断,对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作,破坏信息和网络资源。高能量电磁脉冲发射设备可以摧毁附近建筑物中的电子器件,正在研究中的电子生物可以吞噬电子器件。,拒绝服务,合法接入信息、业务或其它资源受阻。一个业务端口被精心地策划进行滥用而使其它用户不能正常接入 Internet的一个地址被
15、大量信息垃圾阻塞等。,否认,一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动。不管这种行为是有意的还是无意的,一旦出现再要解决双方的争执就不太容易了。,病毒,一段可执行的程序代码,通过对其它程序进行修改,可以“感染”这些程序使它们含有该病毒程序的一个拷贝。病毒通常含有两种功能 对其它程序产生“感染” 引发损坏功能,或者是一种植入攻击的能力。随着Internet的发展,大大地加速了病毒的传播。迄今,仅仅DOS系统的病毒就达万余种,每天都有计算机新病毒的出现。这些病毒的潜在破坏力极大,不仅已成为一种新的恐怖手段,而且正在演变成为军事电子战中的一种新式进攻性武器。,网络安全的防护措施,在安全
16、领域,除了采用密码技术的防护措施之外,还有其它类型的防护措施: (1) 物理安全。门锁或其它物理访问控制、敏感设备的防窜改、环境控制。 (2) 人员安全。位置敏感性识别、雇员筛选、安全性训练和安全意识。,网络安全的防护措施,(3)管理安全。控制软件从国外进口、调查安全泄漏、检查审计跟踪、以及检查责任控制的工作程序。(4)媒体安全。保护信息的存储、控制敏感信息的记录、再生和销毁、确保废弃的纸张或含有敏感信息的磁性介质得到安全的销毁、对媒体进行扫描以便发现病毒。,网络安全的防护措施,(5)辐射安全。射频(RF)及其它电磁(EM)辐射控制(亦被称作TEMPEST保护)。 (6)生命周期控制。可信赖系统设计、实现、评估及担保;程序设计标准及控制;记录控制。,
