《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)第9章.ppt（43頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第9章計(jì)算機(jī)網(wǎng)絡(luò)安全,,主要內(nèi)容,9.1網(wǎng)絡(luò)安全概述9.2密碼學(xué)9.3防火墻技術(shù)9.4計(jì)算機(jī)病毒與木馬防治,9.1網(wǎng)絡(luò)安全概述,9.1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅9.1.2網(wǎng)絡(luò)安全服務(wù)9.1.3網(wǎng)絡(luò)安全機(jī)制9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn),9.1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅,(1)偽裝(2)非法連接(3)非授權(quán)訪問(wèn)(4)拒絕服務(wù)(5)抵賴(lài)(6)信息泄露(7)通信量分析(8)無(wú)效的信息流(9)篡改或破壞數(shù)據(jù)(10)推斷或演繹信息(11)非法篡改程序,9.1.2網(wǎng)絡(luò)安全服務(wù),ISO描述了在OSI參考模型下進(jìn)行安全通信所必須提供的5種安全服務(wù)鑒別服務(wù)訪問(wèn)控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)防抵賴(lài)服務(wù)-數(shù)字簽名,9.1.3網(wǎng)絡(luò)安全機(jī)制,加密機(jī)制數(shù)字簽名機(jī)制訪問(wèn)控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證（鑒別）機(jī)制通信業(yè)務(wù)填充機(jī)制路由選擇控制機(jī)制公證機(jī)制,9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn),可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則(TCSEC)1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出，于1985年12月由美國(guó)國(guó)防部公布，最初只是軍用標(biāo)準(zhǔn)，后來(lái)延至民用領(lǐng)域。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)共7個(gè)級(jí)別，即D、C1、C2、B1、B2、B3與A1。其中D級(jí)系統(tǒng)的安全要求最低，A1級(jí)系統(tǒng)的安全要求最高。D級(jí)安全標(biāo)準(zhǔn)要求最低，屬于非安全保護(hù)類(lèi)，它不能用于多用戶(hù)環(huán)境下的重要信息處理。D類(lèi)只有一個(gè)級(jí)別。C級(jí)系統(tǒng)為用戶(hù)能定義訪問(wèn)控制要求的自主保護(hù)類(lèi)型，它分為兩個(gè)級(jí)別：C1級(jí)和C2級(jí)。B級(jí)系統(tǒng)屬于強(qiáng)制型安全保護(hù)類(lèi)，即用戶(hù)不能分配權(quán)限，只有網(wǎng)絡(luò)管理員可以為用戶(hù)分配訪問(wèn)權(quán)限。B類(lèi)系統(tǒng)分為3個(gè)級(jí)別。A1級(jí)系統(tǒng)要求的安全服務(wù)功能與B3級(jí)系統(tǒng)基本一致。A1級(jí)系統(tǒng)在安全審計(jì)、安全測(cè)試、配置管理等方面提出了更高的要求。一般的UNIX系統(tǒng)通常只能滿(mǎn)足C2級(jí)標(biāo)準(zhǔn)，只有一部分產(chǎn)品可以達(dá)到B1級(jí)標(biāo)準(zhǔn)的要求。,9.1.4網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（續(xù)）,我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)GB17895－1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》于2001年1月1日正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級(jí)：自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪問(wèn)控制、安全標(biāo)記、可信路徑和可信恢復(fù)等，這些指標(biāo)涵蓋了不同級(jí)別的安全要求。,9.2密碼學(xué),9.2.1密碼技術(shù)概述9.2.2對(duì)稱(chēng)密碼9.2.3非對(duì)稱(chēng)密碼9.2.4數(shù)字簽名技術(shù),9.2.1密碼技術(shù)概述,密碼學(xué)（Cryptography）一詞來(lái)源于希臘語(yǔ)中的短語(yǔ)“secretwriting(秘密的書(shū)寫(xiě))”。古希臘人使用一根叫做scytale的棍子來(lái)加密。送信人先在棍子上呈螺旋式繞一張紙條，然后把信息豎寫(xiě)在紙條上，收信人如果不知道棍子的直徑，就不能正確地恢復(fù)信息。密碼學(xué)包括密碼編碼學(xué)與密碼分析學(xué)。人們利用加密算法和密鑰來(lái)對(duì)信息編碼進(jìn)行隱藏，而密碼分析學(xué)則試圖破解算法和密鑰。,9.2.2對(duì)稱(chēng)密碼,對(duì)稱(chēng)加密的基本概念典型的對(duì)稱(chēng)加密算法,對(duì)稱(chēng)加密的基本概念,對(duì)稱(chēng)加密技術(shù)對(duì)信息的加密與解密都使用相同的密鑰，因此又被稱(chēng)為密鑰密碼技術(shù)。由于在對(duì)稱(chēng)加密體系中加密方和解密方使用相同的密鑰，系統(tǒng)的保密性主要取決于密鑰的安全性。,典型的對(duì)稱(chēng)加密算法,數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）是典型的對(duì)稱(chēng)加密算法，它是由IBM公司提出，于1977年被美國(guó)政府采用。DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法。明文按64位數(shù)據(jù)塊的單位被加密，生成64位密文。DES算法帶一個(gè)56位密鑰作為參數(shù)。DES的整個(gè)體制是公開(kāi)的，系統(tǒng)的安全性完全依賴(lài)于密鑰的保密。已經(jīng)有一些比DES算法更安全的對(duì)稱(chēng)加密算法，如IDEA算法、RC2算法、RC4算法與Skipjack算法等。,DES算法的執(zhí)行過(guò)程,,9.2.3非對(duì)稱(chēng)密碼,非對(duì)稱(chēng)加密的基本概念非對(duì)稱(chēng)加密的標(biāo)準(zhǔn),,非對(duì)稱(chēng)加密的基本概念,非對(duì)稱(chēng)加密技術(shù)對(duì)信息的加密與解密采用不同的密鑰，用來(lái)加密的密鑰是可以公開(kāi)的，用來(lái)解密的私鑰是需要保密的，因此又被稱(chēng)為公鑰加密（PublicKeyEncryption）技術(shù)。非對(duì)稱(chēng)加密的產(chǎn)生主要因?yàn)閮蓚€(gè)方面的原因，一是由于對(duì)稱(chēng)密碼的密鑰分配問(wèn)題，另一個(gè)是對(duì)數(shù)字簽名的需求。非對(duì)稱(chēng)加密技術(shù)與對(duì)稱(chēng)加密技術(shù)相比，其優(yōu)勢(shì)在于不需要共享通用的密鑰，用于解密的密鑰不需要發(fā)往任何地方，公鑰在傳遞和發(fā)布過(guò)程中即使被截獲，由于沒(méi)有與公鑰相匹配的私鑰，截獲的公鑰對(duì)入侵者也就沒(méi)有太大意義。公鑰加密技術(shù)的主要缺點(diǎn)是加密算法復(fù)雜，加密與解密的速度比較慢。,非對(duì)稱(chēng)加密的標(biāo)準(zhǔn),目前，主要的公鑰算法包括RSA算法、DSA算法、PKCS算法與PGP算法等。1978年由Rivest、Shamir和Adleman提出RSA體制被認(rèn)為是目前為止理論最為成熟的一種公鑰密碼體制，多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面。1985年，ElGamal構(gòu)造一種基于離散對(duì)數(shù)的公鑰密碼體制，這就是ElGamal公鑰體制。許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie-Hellman密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線密碼等。,9.2.4數(shù)字簽名技術(shù),數(shù)字簽名技術(shù)的基本概念數(shù)字簽名的工作原理數(shù)字簽名的具體工作過(guò)程,數(shù)字簽名技術(shù)的基本概念,數(shù)字簽名是在網(wǎng)絡(luò)環(huán)境中模擬日常生活中的親筆簽名以保證文件或資料真實(shí)性的一種方法。數(shù)字簽名將信息發(fā)送人的身份與信息傳送結(jié)合起來(lái)，可以保證信息在傳輸過(guò)程中的完整性，并提供信息發(fā)送者的身份驗(yàn)證，以防止信息發(fā)送者抵賴(lài)行為的發(fā)生。利用非對(duì)稱(chēng)加密算法（例如RSA算法）進(jìn)行數(shù)字簽名是最常用的方法。數(shù)字簽名需要實(shí)現(xiàn)以下3項(xiàng)功能。(1)接收方可以核對(duì)發(fā)送方對(duì)報(bào)文的簽名，以確定對(duì)方的身份。(2)接收方在發(fā)送報(bào)文之后無(wú)法對(duì)發(fā)送的報(bào)文及簽名抵賴(lài)。(3)接收方無(wú)法偽造發(fā)送方的簽名。,數(shù)字簽名的工作原理,數(shù)字簽名使用兩對(duì)公開(kāi)密鑰的加密/解密的密鑰,,數(shù)字簽名的具體工作過(guò)程,(1)發(fā)送方使用單向散列函數(shù)對(duì)要發(fā)送的信息進(jìn)行運(yùn)算，生成信息摘要。(2)發(fā)送方使用自己的私鑰，利用非對(duì)稱(chēng)加密算法，對(duì)生成的信息摘要進(jìn)行數(shù)字簽名。(3)發(fā)送方通過(guò)網(wǎng)絡(luò)將信息本身和已進(jìn)行數(shù)字簽名的信息摘要發(fā)送給接收方。(4)接收方使用與發(fā)送方相同的單向散列函數(shù)，對(duì)接收到的信息進(jìn)行運(yùn)算，重新生成信息摘要。(5)接收方使用發(fā)送方的公鑰對(duì)接收的信息摘要進(jìn)行解密。(6)將解密的信息摘要與重新生成的信息摘要進(jìn)行比較，以判斷信息在發(fā)送過(guò)程中是否被篡改過(guò),9.3防火墻技術(shù),9.3.1防火墻的概念9.3.2實(shí)現(xiàn)防火墻的技術(shù)9.3.3防火墻的體系結(jié)構(gòu),9.3.1防火墻的概念,防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶(hù)使用，防止內(nèi)部網(wǎng)絡(luò)受到外部非法用戶(hù)的攻擊。防火墻的位置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。,9.3.1防火墻的概念（續(xù)）,防火墻的主要功能(1)檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。(2)檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。(3)執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過(guò)。(4)具有防攻擊能力，保證自身的安全性。防火墻只是一種整體安全防范策略的一部分。防火墻不能防范不經(jīng)由防火墻的攻擊。防火墻不能防止感染了病毒的軟件或文件的傳輸防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。,9.3.2實(shí)現(xiàn)防火墻的技術(shù),實(shí)現(xiàn)防火墻的技術(shù)大體上分為兩類(lèi)：一類(lèi)作用于網(wǎng)絡(luò)層之上，保護(hù)整個(gè)網(wǎng)絡(luò)不受非法用戶(hù)的侵入，這類(lèi)防火墻可以通過(guò)包過(guò)濾技術(shù)實(shí)現(xiàn)；另一類(lèi)作用于應(yīng)用層之上，控制對(duì)應(yīng)用層的訪問(wèn)。包過(guò)濾技術(shù)應(yīng)用層網(wǎng)關(guān),包過(guò)濾技術(shù),包過(guò)濾技術(shù)是基于路由器技術(shù)的普通的路由器只對(duì)分組的網(wǎng)絡(luò)層包頭進(jìn)行處理，而包過(guò)濾路由器通過(guò)系統(tǒng)內(nèi)部設(shè)置的包過(guò)濾規(guī)則（即訪問(wèn)控制表），檢查T(mén)CP報(bào)頭的端口號(hào)字節(jié)。,,包過(guò)濾規(guī)則舉例,包過(guò)濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。,包過(guò)濾的流程圖,包過(guò)濾路由器會(huì)對(duì)所有收到的分組按照每一條規(guī)則加以判斷凡是符合包轉(zhuǎn)發(fā)規(guī)則的被轉(zhuǎn)發(fā)不符合包轉(zhuǎn)發(fā)規(guī)則的包被丟棄。,應(yīng)用層網(wǎng)關(guān),作用于應(yīng)用層的防火墻技術(shù)稱(chēng)為應(yīng)用層網(wǎng)關(guān)，應(yīng)用層網(wǎng)關(guān)控制對(duì)應(yīng)用層的訪問(wèn)。應(yīng)用層網(wǎng)關(guān)通過(guò)應(yīng)用程序訪問(wèn)控制允許或禁止對(duì)某些程序的訪問(wèn)。,,9.3.3防火墻的體系結(jié)構(gòu),在防火墻與網(wǎng)絡(luò)的配置上，有以下3種典型結(jié)構(gòu)：雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式,堡壘主機(jī)是一種配置了較為全面的安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，從網(wǎng)絡(luò)安全上來(lái)看，堡壘主機(jī)是防火墻管理員認(rèn)為最強(qiáng)壯的系統(tǒng)。通常情況下，堡壘主機(jī)可作為應(yīng)用層網(wǎng)關(guān)的平臺(tái)。,雙宿/多宿主機(jī)防火墻,又稱(chēng)為雙宿/多宿網(wǎng)關(guān)防火墻它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺(tái)裝有兩塊或多網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連這種防火墻的特點(diǎn)是主機(jī)的路由功能是被禁止的，兩個(gè)網(wǎng)絡(luò)之間的通信通過(guò)應(yīng)用層代理服務(wù)來(lái)實(shí)現(xiàn)。,,屏蔽主機(jī)模式,由包過(guò)濾路由器和堡壘主機(jī)組成堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)置過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為外部網(wǎng)絡(luò)唯一可以直接到達(dá)的主機(jī)，這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶(hù)攻擊。,,屏蔽子網(wǎng)模式,采用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”網(wǎng)絡(luò)。將堡壘主機(jī)、WWW服務(wù)器、E-mail服務(wù)器等公用的服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信。,,9.4計(jì)算機(jī)病毒與木馬防治,9.4.1計(jì)算機(jī)病毒9.4.2特洛伊木馬,9.4.1計(jì)算機(jī)病毒,編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒的預(yù)防計(jì)算機(jī)病毒的清除,計(jì)算機(jī)病毒的特點(diǎn),傳染性破壞性隱蔽性潛伏性,計(jì)算機(jī)病毒的分類(lèi),引導(dǎo)型病毒文件型病毒網(wǎng)絡(luò)病毒,計(jì)算機(jī)病毒的預(yù)防,管理上的預(yù)防管理人員充分認(rèn)識(shí)計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)的危害性，制定完善的使用計(jì)算機(jī)的管理制度。用技術(shù)手段預(yù)防這是指采用一定的技術(shù)措施預(yù)防計(jì)算機(jī)病毒，如使用查殺毒軟件、防火墻軟件，一旦發(fā)現(xiàn)病毒及時(shí)向用戶(hù)發(fā)出警報(bào)等。,計(jì)算機(jī)病毒的清除,最佳的解決辦法就是用殺毒軟件對(duì)計(jì)算機(jī)進(jìn)行一次全面地清查。目前我國(guó)病毒的清查技術(shù)已經(jīng)成熟，已出現(xiàn)一些世界領(lǐng)先水平的殺毒軟件，如瑞星殺毒軟件、KV3000、KILL2000、金山毒霸等。,9.4.2特洛伊木馬,特洛伊木馬的概念木馬的特點(diǎn)木馬的防治,特洛伊木馬的概念,特洛伊木馬（以下簡(jiǎn)稱(chēng)木馬)，英文叫做“TrojanHorse”，其名稱(chēng)取自希臘神話(huà)的特洛伊木馬記。常用“特洛伊木馬”這一典故，用來(lái)比喻在敵方營(yíng)壘里埋下伏兵里應(yīng)外合的活動(dòng)。完整的木馬程序一般由兩個(gè)部份組成：一個(gè)是服務(wù)器程序，一個(gè)是控制器程序。,木馬的特點(diǎn),有效性隱蔽性頑固性易植入性近年來(lái)，木馬病毒技術(shù)取得了較大的發(fā)展，目前已徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術(shù)，木馬病毒不再依賴(lài)于對(duì)用戶(hù)進(jìn)行簡(jiǎn)單的欺騙，也可以不必修改系統(tǒng)注冊(cè)表、不開(kāi)新端口、不在磁盤(pán)上保留新文件甚至可以沒(méi)有獨(dú)立的進(jìn)程，這些新特點(diǎn)使對(duì)木馬病毒的查殺變得愈加困難。,木馬的防治,(1)不要隨意打開(kāi)來(lái)歷不明的郵件。(2)不要隨意下載來(lái)歷不明的軟件(3)及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口。(4)盡量少用共享文件夾。(5)運(yùn)行實(shí)時(shí)監(jiān)控程序。(6)經(jīng)常升級(jí)系統(tǒng)和更新病毒庫(kù)。,