《網絡安全技術培訓》PPT課件

1、1 第十一章網絡安全 本章主要內容：網絡安全的概念防火墻技術網絡病毒及其防范數(shù)據加密與數(shù)字證書 211.1 網絡安全概述 11.1.1 網絡安全的概念 狹義的網絡安全：是指計算機及其網絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即指計算機、網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保障系統(tǒng)能連續(xù)可靠地運行。計算機網絡安全從本質上來講就是系統(tǒng)的信息安全。廣義的網絡安全：從廣義角度來講，凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。它涵蓋了與網絡系統(tǒng)有關的所有硬件、軟件

2、、數(shù)據、管理、環(huán)境等內容。我們通常所說的網絡安全主要是指狹義的網絡安全。 3網絡安全包括五個基本要素：機密性、完整性、可用性、可控制性與可審查性。 機密性：確保信息不暴露給未授權的實體或進程。完整性：只有得到允許的人才能修改數(shù)據，并且能夠判別出數(shù)據是 否已被篡改?？捎眯裕旱玫绞跈嗟膶嶓w在需要時可訪問數(shù)據，即攻擊者不能占用所有 的資源而阻礙授權者的工作?？煽刂菩裕嚎梢钥刂剖跈喾秶鷥鹊男畔⒘飨蚣靶袨榉绞健？蓪彶樾裕簩Τ霈F(xiàn)的網絡安全問題提供調查的依據和手段。11.1 網絡安全概述 411.1.2 網絡安全面臨的風險 一般認為，目前網絡安全面臨的風險主要有以下五個方面。非授權訪問：指沒有預先經過同意非

3、法使用網絡或計算機資源，比如有意避開系統(tǒng)訪問控制機制，對網絡設備及資源進行非正常使用；擅自擴大權限、越權訪問信息等。信息泄漏或丟失：指敏感數(shù)據在有意或無意中被泄漏出去或丟失。它通常包括信息在傳輸中丟失或泄漏(比如，利用電磁泄漏或搭線竊聽等方式截獲機密信息)；在存儲介質中丟失或泄漏；通過建立隱蔽隧道竊取敏感信息等。 破壞數(shù)據完整性：指以非法手段獲得對數(shù)據的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加，修改數(shù)據 ，以干擾用戶的正常使用。拒絕服務攻擊：不斷對網絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應速度減慢甚至癱瘓，影響正常用戶的使用，甚至使

4、合法用戶被排斥不能進入計算機網絡系統(tǒng)或不能得到相應的服務。利用網絡傳播病毒：通過網絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且很難防范。11.1 網絡安全概述 511.1.3 安全策略安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則，它包括三個重要的組成部分。(1) 威嚴的法律：安全的基石是社會法律、法規(guī)與手段。通過建立一套安全管理標準和方法，即通過建立與信息安全相關的法律和法規(guī)，可以使非法者懾于法律，不敢輕舉妄動。(2) 先進的技術：先進的安全技術是信息安全的根本保障。用戶通過對自身面臨的威脅進行風險評估，決定其需要的安全服務種類，選擇相應的安全機制，然后集成

5、先進的安全技術。(3) 嚴格的管理：各網絡使用機構 、企業(yè)和單位應建立相宜的信息安全管理辦法，加強內部管理，建立審計和跟蹤體系，提高整體信息安全意識。11.1 網絡安全概述 611.1.4 網絡安全措施 既然網絡中存在諸多安全威脅，就有必要建立完善的網絡安全策略。在安全策略中技術措施是網絡正常運行的保證。網絡安全措施主要包括口令與訪問控制方式、防火墻技術、應用網關與代理服務器技術、密碼技術、IP加密技術和數(shù)字簽名等技術。 11.1 網絡安全概述 711.2.1 防火墻的概念防火墻（Firewall）是一種將內部網絡和外部公共網絡（Internet）分開的方法或設備。它檢查到達防火墻兩端的所有數(shù)

6、據包(無論是輸入還是輸出)，從而決定攔截這個包還是將其放行。防火墻在被保護網絡和外部網絡之間形成一道屏障，使公共網絡與內部網絡之間建立起一個安全網關（Security Gateway）。防火墻通過監(jiān)測、限制、更改跨越防火墻的數(shù)據流，盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況，以此來實現(xiàn)網絡的安全保護。防火墻的概念模型如下頁圖示。11.2 防火墻技術811.2 防火墻技術內部端口外部端口防火墻概念模型示意圖911.2.2 防火墻的功能與分類1 防火墻的功能防火墻一般具有如下三種功能：（1） 忠實執(zhí)行安全策略，限制他人進入內部網絡，過濾掉不安全服務和非法用戶。（2） 限定內部網絡用戶訪問特殊

7、網絡站點，接納外網對本地公共信息的訪問。（3） 具有記錄和審計功能，為監(jiān)視互聯(lián)網安全提供方便。2. 防火墻分類防火墻的主要技術類型包括數(shù)據包過濾、應用代理服務器和狀態(tài)檢測三種類型。即包過濾防火墻，應用代理服務器，狀態(tài)檢測防火墻。11.2 防火墻技術1011.2 防火墻技術1111.2 防火墻技術1211.2 防火墻技術1311.2.3 代理服務器的設置方法（1） 打開IE瀏覽器，選擇【工具】|【Internet選項】，出現(xiàn)【Internet選項】對話框，選擇【連接】選項卡，如左下圖所示。（2） 單擊【局域網設置】按鈕，出現(xiàn)如右上圖所示的對話框。 11.2 防火墻技術14（3）輸入代理服務器的I

8、P地址和端口數(shù)據，單擊【高級】按鈕，出現(xiàn)如下圖所示的對話框。（4） 對各種代理服務輸入代理服務器的IP地址，并對不使用代理服務器的連接輸入域名或IP地址，可以使用統(tǒng)配符“*”。依次單擊【確定】按鈕，完成代理服務器設置。 11.2 防火墻技術1511.3 網絡病毒及其防范 當前計算機病毒、網絡病毒可謂層出不窮、種類繁多、日趨猖獗。網絡病毒通常是指各種木馬病毒和借助郵件傳播的病毒。 11.3.1 特洛伊木馬(Trojan)病毒及其防范 特洛伊木馬是一種黑客程序，從它對被感染電腦的危害性方面考慮，我們不妨稱之為病毒，但它與病毒有些區(qū)別。它一般并不破壞受害者硬盤數(shù)據，而是悄悄地潛伏在被感染的機器中，一

9、旦這臺機器連接到網絡，就可能大禍臨頭。黑客通過Internet找到感染病毒的機器，在自己的電腦上遠程操縱它，竊取用戶的上網帳戶和密碼、隨意修改或刪除文件，它對網絡用戶的威脅極大。用戶的計算機在不知不覺中已經被開了個后門，并且受到別人的暗中監(jiān)視與控制。1611.3 網絡病毒及其防范 1711.3 網絡病毒及其防范 1811.3 網絡病毒及其防范 1911.4 數(shù)據加密與數(shù)字證書 11.4.1 數(shù)據加密技術密碼體制可以分為兩大類：對稱密鑰和非對稱密鑰。 對稱密鑰體制 對稱密鑰（又稱為私鑰密碼）體制使用相同的密鑰加密和解密信息，亦即通信雙方建立并共享一個密鑰。對稱密鑰的工作原理為：用戶A要傳送機密信

10、息給B，則A和B必須共享一個預先由人工分配或由一個密鑰分發(fā)中心分發(fā)的密鑰K，于是A用密鑰K和加密算法E對明文P加密得到密文C，并將密文C發(fā)送給B；B收到后，用同樣一把密鑰K和解密算法D對密文解密，得到明文P，即還原，全部過程如下頁圖所示。 2011.4 數(shù)據加密與數(shù)字證書 對稱密鑰的工作原理示意圖21 2. 非對稱密鑰體制非對稱密鑰體制非對稱密鑰體制也稱為公鑰密鑰體制，是現(xiàn)代密碼學最重要的發(fā)明非對稱密鑰體制也稱為公鑰密鑰體制，是現(xiàn)代密碼學最重要的發(fā)明和進展。非對稱密鑰體制不同于傳統(tǒng)的對稱密鑰體制，它要求密鑰和進展。非對稱密鑰體制不同于傳統(tǒng)的對稱密鑰體制，它要求密鑰成對出現(xiàn)，一個為公共密鑰，另一

11、個為專用密鑰，且不可能從其中成對出現(xiàn)，一個為公共密鑰，另一個為專用密鑰，且不可能從其中一個推導出另一個。公共密鑰可以發(fā)布出去，專用密鑰要保證絕對一個推導出另一個。公共密鑰可以發(fā)布出去，專用密鑰要保證絕對的安全。用公共密鑰加密的信息只能用專用密鑰解密，反之亦然。的安全。用公共密鑰加密的信息只能用專用密鑰解密，反之亦然。非對稱密鑰體制的原理為：用戶非對稱密鑰體制的原理為：用戶A和用戶和用戶B各自擁有一對密鑰（各自擁有一對密鑰（KA、KA-1）和（）和（KB、KB-1）。私鑰）。私鑰KA-1 、KB-1分別由分別由A、B各自保管，各自保管，而而KA、KB則以證書的形式對外公布。當則以證書的形式對外公布。當A要將明文消息要將明文消息P安全發(fā)送給安全發(fā)送給B時，時，A用用B的公鑰的公鑰KB加密加密P得到密文得到密文C；而；而B