計算機通訊計算機網(wǎng)絡(luò)及信息安全基礎(chǔ)

計算機通訊計算機網(wǎng)絡(luò)及信息安全基礎(chǔ)第1頁，共59頁，2023年，2月20日，星期四一、計算機通訊基礎(chǔ)知識

計算機通信的基本原理帶寬第2頁，共59頁，2023年，2月20日，星期四通信的基本要素第3頁，共59頁，2023年，2月20日，星期四信息分類從形式上分：有線、無線從傳輸方式上分：模擬、數(shù)字第4頁，共59頁，2023年，2月20日，星期四模擬信號和數(shù)字信號傳輸數(shù)字信號：基帶傳輸模擬信號：頻帶傳輸?shù)?頁，共59頁，2023年，2月20日，星期四模擬信號轉(zhuǎn)換成數(shù)字信號第6頁，共59頁，2023年，2月20日，星期四調(diào)制方法第7頁，共59頁，2023年，2月20日，星期四帶寬對于模擬信道，帶寬是指物理信道的頻帶寬度，其本來的意思是指信道允許傳送信號的最高頻率和最低頻率之差，單位為Hz。對于數(shù)字信道，“帶寬”是指在信道上能夠傳送的數(shù)字信號的速率，即數(shù)據(jù)傳輸速率S。因此，此時帶寬的單位就是比特每稱，通常表示為b/s或bps。數(shù)據(jù)傳輸速率S(比特率)：是一種數(shù)字信號的傳輸速率，它是指在有效帶寬上，單位時間內(nèi)所傳送的二進制代碼的有效位(bit)數(shù)，單位：b/s、kb/s（1kb=1000b<>1024b）、mb/s等。第8頁，共59頁，2023年，2月20日，星期四二、計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)計算機網(wǎng)絡(luò)概念計算機網(wǎng)絡(luò)基本組成網(wǎng)絡(luò)模型網(wǎng)絡(luò)分類網(wǎng)絡(luò)協(xié)議第9頁，共59頁，2023年，2月20日，星期四計算機網(wǎng)絡(luò)概述計算機技術(shù)通信技術(shù)計算機網(wǎng)絡(luò)硬件、軟件、網(wǎng)絡(luò)體系結(jié)構(gòu)、通信緊密結(jié)合第10頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)操作系統(tǒng)通信協(xié)議計算機網(wǎng)絡(luò)的定義R實現(xiàn)通信交往資源共享協(xié)同工作定義：為了實現(xiàn)計算機之間的通信交往、資源共享和協(xié)同工作，利用通信設(shè)備和線路將地理位置分散的、各自具備自主功能的一組計算機有機地聯(lián)系起來，并且由功能完善的網(wǎng)絡(luò)操作系統(tǒng)和通信協(xié)議進行管理的計算機復(fù)合系統(tǒng)。３個要點：自主性、通信手段有機連接、網(wǎng)絡(luò)組建的目的。第11頁，共59頁，2023年，2月20日，星期四多用戶共享數(shù)據(jù)資料示意圖第12頁，共59頁，2023年，2月20日，星期四計算機網(wǎng)絡(luò)的（邏輯）組成計算機網(wǎng)絡(luò)按其邏輯功能可以分為資源子網(wǎng)和通信子網(wǎng)兩部分。資源子網(wǎng)的組成：主機、終端、網(wǎng)絡(luò)中的共享設(shè)備資源子網(wǎng)基本功能：負責全網(wǎng)的數(shù)據(jù)處理業(yè)務(wù)，并向網(wǎng)絡(luò)客戶提供各種網(wǎng)絡(luò)資源和網(wǎng)絡(luò)服務(wù)。計算機通信子網(wǎng)的組成：通信控制處理機ＣＣＰ、通信線路、信號交換設(shè)備。計算機通信子網(wǎng)功能：提供網(wǎng)絡(luò)通信功能，完成全網(wǎng)主機之間的數(shù)據(jù)傳輸、交換、控制和變換等通信任務(wù)，負責全網(wǎng)的數(shù)據(jù)傳輸、轉(zhuǎn)發(fā)及通信處理等工作。第13頁，共59頁，2023年，2月20日，星期四計算機網(wǎng)絡(luò)的（硬件）組成網(wǎng)絡(luò)包含許多組件，例如個人計算機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、電纜等。這些組件可以分為四大類：主機、共享的外圍設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)介質(zhì)。第14頁，共59頁，2023年，2月20日，星期四主機第15頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)設(shè)備第16頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)介質(zhì)第17頁，共59頁，2023年，2月20日，星期四外圍設(shè)備第18頁，共59頁，2023年，2月20日，星期四微軟運營網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)工作組結(jié)構(gòu)的網(wǎng)絡(luò)：使用對等網(wǎng)模式進行工作。工作組網(wǎng)絡(luò)的特點是各計算機地位平等、規(guī)模較小、資源和帳戶的管理分散。成員少，組織方式：工作組。典型示例：10臺左右的一個小型公司的辦公網(wǎng)絡(luò)以硬件采用10Base-T交換式星狀網(wǎng)絡(luò)。域結(jié)構(gòu)的網(wǎng)絡(luò)：使用C/S模式進行工作。由管理員通過域控制器來統(tǒng)一管理全域的計算機、用戶賬戶、服務(wù)、各種對象和安全數(shù)據(jù)。采用基于全域目錄數(shù)據(jù)庫的統(tǒng)一、集中管理方式。典型示例：超過50臺計算機的一個中型學校的信息網(wǎng)絡(luò)，硬件采用100Base-T二級交換式星狀網(wǎng)絡(luò)。第19頁，共59頁，2023年，2月20日，星期四計算機網(wǎng)絡(luò)分類按計算機網(wǎng)絡(luò)的分布距離來分類：局域網(wǎng)（ＬＡＮ）：局部區(qū)域內(nèi)通過高速線路互連而成的較小區(qū)域的計算機網(wǎng)絡(luò)，本質(zhì)是分布距離短、數(shù)據(jù)傳輸速度快。廣域網(wǎng)（ＷＡＮ）：也稱遠程網(wǎng)，是指將頒布在不同國家、地域、甚至全球范圍內(nèi)的各種局域網(wǎng)、計算機、終端等互聯(lián)而成的大型計算機通信網(wǎng)絡(luò)。特點是協(xié)議和網(wǎng)絡(luò)結(jié)構(gòu)多樣化，速率較低，延遲較大，通信子網(wǎng)通常歸電信部門所有，而資源子網(wǎng)歸大型單位所有。城域網(wǎng)（ＭＡＮ）：原指是介于局域網(wǎng)與廣域網(wǎng)之間的一種大范圍的高速網(wǎng)絡(luò)，覆蓋的地理范圍可以從幾十公里到幾百公里，其原本目的是要滿足幾十公里范圍內(nèi)的大量企業(yè)、機關(guān)、公司與社會服務(wù)部門計算機的聯(lián)網(wǎng)需求，以實現(xiàn)大量用戶、多種信息傳輸為目標的綜合信息網(wǎng)絡(luò)。第20頁，共59頁，2023年，2月20日，星期四協(xié)議計算機像人一樣，也要按照規(guī)則或協(xié)議進行通信。協(xié)議在本地網(wǎng)絡(luò)上尤其重要。在有線環(huán)境中，本地網(wǎng)絡(luò)定義為所有主機必須“講同一種語言”（用計算機術(shù)語表示就是“共享一個公共協(xié)議”）的區(qū)域。協(xié)議（protocol）：在計算機網(wǎng)絡(luò)通信過程中，為了保證計算機之間能夠準確地進行數(shù)據(jù)通信，必須使用一套通信規(guī)則，這套規(guī)則就是通信協(xié)議。第21頁，共59頁，2023年，2月20日，星期四TCP/IP協(xié)議在Internet中使用的協(xié)議是TCP/IP協(xié)議。它不是一個協(xié)議，而是一組協(xié)議。其中，重要的有兩個協(xié)議：TCP、IP。第22頁，共59頁，2023年，2月20日，星期四TCP/IP協(xié)議的基本參數(shù)IP地址子網(wǎng)掩碼默認網(wǎng)關(guān)第23頁，共59頁，2023年，2月20日，星期四IP地址主機需要IP地址才能加入Internet。IP地址是用于標識特定主機的邏輯網(wǎng)址。為了與Internet上的其它設(shè)備進行通信，它必須配置正確并且唯一。第24頁，共59頁，2023年，2月20日，星期四IP地址結(jié)構(gòu)IP地址就是32個二進制位（一和零）的數(shù)字串。二進制IP地址非常難于閱讀。為此，人們將每8個位稱為一組二進制八位數(shù)，將這32個位劃分為四組二進制八位數(shù)。同樣，以這種格式表示的IP地址也難于閱讀和記憶。為了使IP地址更易于理解，人們就將每組二進制八位數(shù)表示為其十進制數(shù)值，并以小數(shù)點或句號加以分隔。這稱為點分十進制記法。為主機配置IP地址時，輸入的IP地址是十進制數(shù)字，如。如果您必須輸入此十進制數(shù)字的32位二進制表示方式，結(jié)果將是：11000000101010000000000100000101。在輸入時只要其中某一位出錯，結(jié)果就會變成完全不同的另一個地址，主機也就可能無法在網(wǎng)絡(luò)中通信。第25頁，共59頁，2023年，2月20日，星期四網(wǎng)關(guān)在Internet中的每一臺主機都必須有一個IP地址，但它們可分布在不同的網(wǎng)絡(luò)中（即它們有不同的網(wǎng)絡(luò)地址），不同網(wǎng)絡(luò)中的主機要進行通訊，就必須有一臺同時連接多個網(wǎng)絡(luò)的主機，且該主機需要配置多個不同的IP地址，默認網(wǎng)關(guān)就是網(wǎng)絡(luò)中同時與其它網(wǎng)絡(luò)相連的那臺計算機的IP地址。為了在遠程子網(wǎng)之間進行通信，主機可以通過默認網(wǎng)關(guān)或IP路由器將數(shù)據(jù)發(fā)送給不同網(wǎng)絡(luò)地址的目的主機。第26頁，共59頁，2023年，2月20日，星期四客戶端和服務(wù)器為了請求和查看網(wǎng)頁，人們需要使用運行Web客戶端軟件的設(shè)備?？蛻舳酥傅氖侨藗冊L問服務(wù)器上存儲的信息時使用的計算機應(yīng)用程序。Web瀏覽器是典型的客戶端。第27頁，共59頁，2023年，2月20日，星期四服務(wù)器第28頁，共59頁，2023年，2月20日，星期四TCP/IP端口號使用TCP或UDP傳送報文時，所需的協(xié)議和服務(wù)由端口號標識。端口是每個數(shù)據(jù)段內(nèi)用于跟蹤特定會話和所需目標服務(wù)的數(shù)字標識符。主機發(fā)送的每個報文都包含源端口和目的端口信息。目的端口：客戶端將目的端口號放到數(shù)據(jù)段內(nèi)，以此通知目的服務(wù)器請求的服務(wù)類型。例如：端口80表示HTTP或Web服務(wù)。當客戶端在目的端口中指定端口80時，接收該報文的服務(wù)器就知道請求的是Web服務(wù)。服務(wù)器可同時提供多項服務(wù)。例如：服務(wù)器在端口21上提供建立FTP連接的服務(wù)，并同時在端口80上提供Web服務(wù)。源端口：源端口號由發(fā)送方設(shè)備隨機生成，用于標識兩臺設(shè)備之間的會話。這就使多個會話能夠同時發(fā)生。換而言之，多臺設(shè)備可以同時向一臺Web服務(wù)器請求HTTP服務(wù)。根據(jù)源端口號可以跟蹤每個單獨的會話。源端口和目的端口都被置入數(shù)據(jù)段內(nèi)，然后數(shù)據(jù)段封裝于IP數(shù)據(jù)包內(nèi)。IP數(shù)據(jù)包中含有源IP地址和目的IP地址。源IP地址和目的IP地址以及源端口號和目的端口號的組合稱為套接字。套接字用于標識客戶端所請求的服務(wù)器和服務(wù)。每天都有成千上萬的主機與成千上萬的不同服務(wù)器進行通信。這些通信都通過套接字識別。第29頁，共59頁，2023年，2月20日，星期四TCP/IP數(shù)據(jù)報中的端口號第30頁，共59頁，2023年，2月20日，星期四三、計算機網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全概述防火墻技術(shù)Windows操作系統(tǒng)安全第31頁，共59頁，2023年，2月20日，星期四針對網(wǎng)絡(luò)的攻擊計算機網(wǎng)絡(luò)，不論是有線還是無線網(wǎng)絡(luò)，都已迅速成為人們?nèi)粘；顒又胁豢苫蛉钡囊徊糠?。個人與組織都依賴于計算機和網(wǎng)絡(luò)來處理電子郵件、財務(wù)、組織和文件管理之類的工作。不速之客的入侵可能導(dǎo)致代價高昂的網(wǎng)絡(luò)中斷和工作成果的丟失。針對網(wǎng)絡(luò)的攻擊有時具有相當?shù)钠茐男裕赡茉斐芍匾畔⒒蛸Y產(chǎn)的損壞或失竊，導(dǎo)致時間上和金錢上的損失。入侵者可通過軟件漏洞、硬件攻擊甚至一些科技含量很低的方法（例如猜測某人的用戶名和密碼）來獲得對網(wǎng)絡(luò)的訪問權(quán)。通過修改或利用軟件漏洞來獲取訪問權(quán)的入侵者通常被稱為黑客。一旦黑客取得網(wǎng)絡(luò)的訪問權(quán)，就可能給網(wǎng)絡(luò)帶來以下四種威脅：信息盜竊身份盜竊數(shù)據(jù)丟失/操縱服務(wù)中斷第32頁，共59頁，2023年，2月20日，星期四第33頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)入侵來源外部威脅：外部威脅是由組織外部活動的個人引起的。他們沒有訪問組織計算機系統(tǒng)或網(wǎng)絡(luò)的權(quán)限。外部攻擊者主要通過Internet、無線鏈接或撥號訪問服務(wù)器進入網(wǎng)絡(luò)。內(nèi)部威脅：內(nèi)部威脅是由具備授權(quán)用戶帳戶的個人，或能夠?qū)嶋H接觸網(wǎng)絡(luò)設(shè)備的人員導(dǎo)致的。內(nèi)部攻擊者了解內(nèi)部的政策和人員。他們往往清楚的知道，什么信息有價值而且易于攻擊，以及怎么獲得該信息。然而，并不是所有內(nèi)部攻擊都是故意的。在某些情況下，一個受信任的員工在公司外部工作時可能會感染上病毒或安全威脅，然后在不知情的情況下將它帶到內(nèi)部網(wǎng)絡(luò)中，從而造成內(nèi)部威脅。許多公司都在防御外部攻擊上花費了大量資源，但大多數(shù)威脅其實來自內(nèi)部。據(jù)FBI調(diào)查顯示，在報告的安全入侵事件中，約有70%都是因內(nèi)部訪問和計算機系統(tǒng)帳戶使用不當造成的。第34頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)威脅社會工程和網(wǎng)絡(luò)釣魚對于內(nèi)外兩個源頭的入侵者而言，要想獲得訪問權(quán)，最簡單的一種方法就是利用人類行為的弱點。利用人類弱點的常見方法之一便是“社會工程”(SocialEngineering)。術(shù)語“社會工程”指代某事或某人影響某個人群的行為的能力。在計算機和網(wǎng)絡(luò)安全方面，社會工程代表用來欺騙內(nèi)部用戶執(zhí)行特定操作或暴露機密信息的一種技術(shù)。通過采用這些技術(shù)，攻擊者可利用沒有設(shè)防的合法用戶來獲取內(nèi)部資源和私密信息（例如銀行帳戶或密碼）的訪問權(quán)。用戶通常被認為是安全體系中最薄弱的環(huán)節(jié)之一，社會工程攻擊正是利用了這一點。社會工程者可能位于組織內(nèi)部或外部，但通常不會與受害者面對面打交道。社會工程中最常用的三種技術(shù)有：假托、網(wǎng)絡(luò)釣魚和語音網(wǎng)絡(luò)釣魚。第35頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)威脅病毒、蠕蟲和特洛伊木馬病毒是通過修改其它程序或文件來運行和傳播的一種程序。病毒無法自行啟動，而需要受到激活。有的病毒一旦激活，便會迅速自我復(fù)制并四處傳播，但不會執(zhí)行其它操作。這類病毒雖然很簡單，但仍然非常危險，因為它們會迅速占用所有可用內(nèi)存，導(dǎo)致系統(tǒng)停機。編寫的更為惡毒的病毒可能會在傳播前刪除或破壞特定的文件。病毒可通過電子郵件附件、下載的文件、即時消息或磁盤、CD或USB設(shè)備傳輸。蠕蟲類似于病毒，與病毒不同的是它無需將自身附加到現(xiàn)有的程序中。蠕蟲使用網(wǎng)絡(luò)將自己的副本發(fā)送到任何所連接的主機中。蠕蟲可獨立運行并迅速傳播，它并不一定需要激活或人類干預(yù)才會發(fā)作。自我傳播的網(wǎng)絡(luò)蠕蟲所造成的影響可能比單個病毒更為嚴重，而且可迅速造成Internet大面積感染。特洛伊木馬是一種非自體復(fù)制型程序，看似合法，但實質(zhì)上卻是一種攻擊工具。特洛伊木馬依賴于其合法的外表來欺騙受害人啟動該程序。它的危害性可能相對較低，但也可能包含可損壞計算機硬盤內(nèi)容的代碼。特洛伊木馬還可為系統(tǒng)創(chuàng)建后門，從而使黑客獲得訪問權(quán)。第36頁，共59頁，2023年，2月20日，星期四網(wǎng)絡(luò)威脅拒絕服務(wù)和暴力攻擊拒絕服務(wù)(DoS)：是針對單個計算機或一組計算機執(zhí)行的一種侵略性攻擊，目的是拒絕為特定用戶提供服務(wù)。暴力攻擊：攻擊者使用運行速度很快的計算機來嘗試猜測密碼或破解加密密鑰。攻擊者會在短時間內(nèi)嘗試大量可能的密碼來獲取訪問權(quán)限或破譯密鑰。暴力攻擊可引起針對特定資源的流量過大或用戶帳戶鎖定，從而導(dǎo)致拒絕服務(wù)。第37頁，共59頁，2023年，2月20日，星期四常用安全措施第38頁，共59頁，2023年，2月20日，星期四防火墻防火墻是保護內(nèi)部網(wǎng)絡(luò)用戶遠離外部威脅的最為有效的安全工具之一。防火墻駐留在兩個或多個網(wǎng)絡(luò)之間，控制其間的流量并幫助阻止未授權(quán)的訪問。防火墻產(chǎn)品使用多種技術(shù)來區(qū)分應(yīng)禁止和應(yīng)允許的網(wǎng)絡(luò)訪問。數(shù)據(jù)包過濾—根據(jù)IP或MAC地址阻止或允許訪問。應(yīng)用程序過濾-根據(jù)端口號阻止或允許訪問特定類型的應(yīng)用程序。URL過濾-根據(jù)特定的URL或關(guān)鍵字阻止或允許訪問網(wǎng)站。狀態(tài)包偵測(SPI)—傳入數(shù)據(jù)包必須是對內(nèi)部主機所發(fā)出請求的合法響應(yīng)。除非得到特別允許，否則未經(jīng)請求的數(shù)據(jù)包會被攔截。狀態(tài)包偵測還可具有識別和過濾特定類型攻擊（例如DoS）的能力。第39頁，共59頁，2023年，2月20日，星期四防火墻類別基于設(shè)備的防火墻—此類防火墻內(nèi)置在專用的硬件設(shè)備（稱為安全設(shè)備）中。基于服務(wù)器的防火墻—此類防火墻是在網(wǎng)絡(luò)操作系統(tǒng)（NOS，例如UNIX、Windows或Novell）上運行的防火墻應(yīng)用程序。集成防火墻—此類防火墻通過對現(xiàn)有設(shè)備（例如路由器）添加防火墻功能來實現(xiàn)。個人防火墻—此類防火墻駐留在主機計算機中，不能用于LAN實施。它可以由操作系統(tǒng)默認提供，也可以由外部廠商提供安裝。第40頁，共59頁，2023年，2月20日，星期四企業(yè)防火墻基本布署第41頁，共59頁，2023年，2月20日，星期四安全機制網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)故障網(wǎng)絡(luò)攻擊安全服務(wù)認證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認性加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制認證機制、通信業(yè)務(wù)填充機制、路由控制機制、公證機制第42頁，共59頁，2023年，2月20日，星期四認證識別和證實，即識別一個實體的身份和證實實體身份的真實性。單機狀態(tài)身份認證一般有用戶口令、一次性密碼和生理特征等。網(wǎng)絡(luò)環(huán)境下，采用高強度的密碼技術(shù)，一般為對稱密鑰或公開密鑰加密的方法。是防止主動攻擊的重要措施。第43頁，共59頁，2023年，2月20日，星期四訪問控制訪問控制是確定不同用戶對信息資源的訪問權(quán)限。也是針對越權(quán)使用資源的防御措施。第44頁，共59頁，2023年，2月20日，星期四數(shù)據(jù)保密性系統(tǒng)只對授權(quán)的用戶提供信息，對于未被授權(quán)的使用者，這些信息是不可獲得或不可理解的。它是針對信息泄漏的防御措施。第45頁，共59頁，2023年，2月20日，星期四數(shù)據(jù)完整性是針對非法地篡改信息、文件和業(yè)務(wù)流而設(shè)置的防范措施，以保證資源可獲得性。第46頁，共59頁，2023年，2月20日，星期四不可否認性是針對對方進行抵賴的防范措施，可用于證實發(fā)生過的操作。一般有發(fā)送防抵賴、對遞交防抵賴和公證。第47頁，共59頁，2023年，2月20日，星期四密碼學基本原理加密函數(shù)Ek()解密函數(shù)Dk’()明文P明文P=Dk’(C)密文C=Ek(P)加密密鑰解密密鑰k’密鑰信道密碼技術(shù)是信息安全的核心技術(shù)。第48頁，共59頁，2023年，2月20日，星期四兩種基礎(chǔ)變換所有的密碼算法皆基于兩種通用的變換，一種是代替，一種是錯亂。第49頁，共59頁，2023年，2月20日，星期四密碼體制分類單鑰體制：加密密鑰和解密密鑰相同，也稱對稱密鑰。保密密鑰是關(guān)鍵。雙鑰體制：每個用戶都有一對選定的密鑰，一個公開，一個保密。也稱公鑰體制或公開密鑰密碼系統(tǒng)。它將加密和解密能力分開以實現(xiàn)多個用戶加密的消息只能由一個用戶解讀，或由一個用戶加密的消息而多個用戶可以解讀。這種方式需要公鑰管理機構(gòu)進行管理。第50頁，共59頁，2023年，2月20日，星期四信息傳輸?shù)陌踩Ｐ偷?1頁，共59頁，2023年，2月20日，星期四Windows2000操作系統(tǒng)安全操作系統(tǒng)的安全對整個計算機網(wǎng)絡(luò)系統(tǒng)的安全是至關(guān)重要的。其用戶數(shù)量龐大以及系統(tǒng)的普及性和易用性使它成為了網(wǎng)絡(luò)中最易被攻擊，最脆弱的一個操作系統(tǒng)。第52頁，共59頁，2023年，2月20日，星期四操作系統(tǒng)安全子系統(tǒng)本地安全策略：安全機制核心，通過確認安全賬號管理中的數(shù)據(jù)，控制種各類型用戶的本地和遠程登錄，并提供用戶存取許可及產(chǎn)生訪問令牌，同時還管理本地的安全策略、控制審計方案，并將安全證明監(jiān)視器產(chǎn)生的審計信息記入日志中。安