《盛立军《计算机网络技术基础》ppt课件第八章.pptx》由会员分享,可在线阅读,更多相关《盛立军《计算机网络技术基础》ppt课件第八章.pptx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络技术基础2 章节导读计算机网络的飞速发展已经大大改变了人们的生活方式,它在给人们带来便利的同时,其本身的开放性和共享性也对网络信息安全提出了严峻的挑战,网络安全问题已成为全世界都在关注的问题。由于计算机网络安全是另一门专业学科,所以本章只对计算机网络安全的基本内容及常用技术进行简单的介绍。学 习 目 标了解网络安全的概念、网络面临的威胁以及网络安全的内容。了解数据加密技术、数字签名技术和身份认证技术。了解防火墙技术。了解计算机防病毒技术。5 8.1 网络安全基础8.1.1 网络安全概述随着计算机技术和通信技术的高速发展,网络的开放性、互连性、共享性程度的扩大,网络中的安全问题也日趋严
2、重。网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。从本质上讲,网络安全问题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。例如,从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人窃听、冒充、篡改和抵赖。又例如,从管理者角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒
3、、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。6 8.1 网络安全基础概括起来,一个安全的计算机网络应具有以下特征。(1)完整性 指网络中的信息安全、精确和有效,不因种种不安全因素而改变信息原有的内容、形式和流向,确保信息在存储或传输过程中不被修改、破坏或丢失。(2)保密性 指网络上的保密信息只供经过允许的人员,以经过允许的方式使用,信息不泄露给未授权的用户、实体或过程,或供其利用。(3)可用性 指网络资源在需要时即可使用,不因系统故障或误操作等使资源丢失或妨碍对资源的使用。(4)不可否认性 指面向通信双方信息真实统一的安全要求,包括收、发方均不可抵赖。(5
4、)可控性 指对信息的传播及内容具有控制能力。7 8.1 网络安全基础8.1.2 网络面临的安全威胁安全威胁是某个人、物、事或概念对某个资源的机密性、完整性、可用性和合法性所造成的危害。目前,网络面临的安全威胁主要有以下几个方面。黑客的恶意攻击1 1“黑客(Hacker)”对于大家来说并不陌生,他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户。事实上,黑客中的大部分人不伤害别人,但是也会做一些不应该做的事情;部分黑客不顾法律与道德的约束,由于寻求刺激、被非法组织收买或对某个企业、组织报复心理,而肆意攻击与破坏一些企业、组织的计算机网络,这部分黑客对网络安全有很大的危害。由
5、于现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,这是网络安全的主要威胁。8 8.1 网络安全基础计算机网络系统的漏洞与缺陷2 2计算机网络系统的运行一定会涉及计算机硬件与操作系统、网络硬件与软件、数据库管理系统、应用软件,以及网络通信协议等。各种计算机硬件与操作系统、应用软件都会存在一定的安全问题,它们不可能是百分之百无缺陷或无漏洞的。TCP/IP协议是Internet使用的基本协议,该协议中也会找到被攻击者利用的漏洞。这些缺陷和漏洞恰恰是黑客进行攻击的首选目标。9 8.1 网络安全基础网络信息安全保密问题3 3网络中的信息安全保密主要包括两个方面:信息
6、存储安全与信息传输安全。信息存储安全是指保证存储在联网计算机中的信息不被未授权的网络用户非法访问。非法用户可以通过猜测或窃取用户口令的办法,或是设法绕过网络安全认证系统冒充合法用户,来查看、修改、下载或删除未授权访问的信息。信息传输安全是指保证信息在网络传输过程中不被泄露或攻击。信息在网络传输中被攻击可以分为4种类型:截获信息、窃听信息、篡改信息与伪造信息。其中,截获信息是指信息从源结点发出后被攻击者非法截获,而目的结点没有接收到该信息的情况;窃听信息是指信息从源结点发出后被攻击者非法窃听,同时目的结点接收到该信息的情况;篡改信息是指信息从源结点发出后被攻击者非法截获,并将经过修改的信息发送给
7、目的结点的情况;伪造信息是指源结点并没有信息发送给目的结点,攻击者冒充源结点将信息发送给目的结点的情况。10 8.1 网络安全基础网络病毒4 4病毒对计算机系统和网络安全造成了极大的威胁,病毒在发作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒传播的速度更快,范围更广,造成的损失也更加严重。据统计,目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单机的20倍,网络服务器杀毒花费的时间是单机的40倍。11 8.1 网络安全基础网络内部安全问题5 5除了上述可能对网络安全构成威胁的因素,还有一些威胁主要是来自网络内部。例如,源
8、结点用户发送信息后不承认,或是目的结点接收信息后不承认,即出现抵赖问题。又例如,合法用户有意或无意做出对网络、信息安全有害的行为,这些行为主要包括:有意或无意泄露网络管理员或用户口令;违反网络安全规定,绕过防火墙私自与外部网络连接,造成系统安全漏洞;超越权限查看、修改与删除系统文件、应用程序与数据;超越权限修改网络系统配置,造成网络工作不正常;私自将带有病毒的磁盘等拿到企业网络中使用。这类问题经常出现并且危害性极大。12 8.1 网络安全基础8.1.3 网络安全的内容计算机网络安全主要有以下一些内容。(1)保密 指信息系统防止信息非法泄露的特性,即信息只限于授权用户使用。保密性主要通过信息加密
9、、身份认证、访问控制、安全通信协议等技术实现。信息加密是防止信息非法泄露的最基本手段。(2)鉴别 允许数字信息的接收者确认发送人的身份和信息的完整性。鉴别是授权的基础,用于识别是否是合法用户以及是否具有相应的访问权限。口令认证和数字签名是最常用的鉴别技术。13 8.1 网络安全基础1983年,美国国防部公布了可信计算机系统评估准则TC-SEC-NCSC。1985年,又公布了可信网络说明(TNI)。TC-SEC-NCSC将计算机系统安全等级分为4类7个等级,即D、C1、C2、B1、B2、B3与A1。其中,D级系统的安全要求最低,A1级系统的安全要求最高。(3)访问控制 是网络安全防范和保护的主要
10、策略,其任务是保证网络资源不被非法使用和非法访问,也是维护网络系统安全、保护网络资源的重要手段。(4)攻击防范 通过加密、安装入侵检测系统以及防火墙可以有效地防止攻击。14 8.2 网络加密技术8.2.1 数据加密技术概述面对网络安全的各种威胁,防止网络传输信息被非法获取或破坏成为Internet安全技术的重要内容。数据加密成为实现数据机密性保护的主要方法。数据加密是通过某种函数进行变换,将正常的数据报文(称为明文)转变为密文(也称为密码)的方法。解密是加密的逆操作。用来将明文转换为密文或将密文转换为明文的算法中输入的参数称为密钥。加密技术一般分为对称加密技术和非对称加密技术两类。对称加密技术
11、是指加密和解密使用同一密钥。非对称加密技术是指加密和解密使用不同的密钥,分别称为“公钥”和“私钥”,两种密钥必须同时使用才能打开相应的加密文件。公钥可以完全公开,而私钥只有持有人持有。15 8.2 网络加密技术对称加密技术1 1对称加密技术采用的是对称加密算法。该技术的特点是在保密通信系统中发送者和接收者之间的密钥必须安全传送,而且双方通信所用的密钥必须妥善保管。对称密码技术的安全性依赖于以下两个因素:第一,加密算法必须是足够强的,仅仅基于密文本身去解加密信息在实践上是不可能的;第二,加密方法的安全性依赖于密钥的秘密性,而不是算法的秘密性。对称密码具有加密速度快,保密度高等优点,在军事、外交以
12、及商业领域得到了广泛应用。在公开的计算机网络上采用对称密钥加密体系,其最薄弱的环节是如何安全地传送和保管密钥。在对称加密技术中,最为著名的算法是IBM公司研发的数据加密标准(Data Encryption Standard)分组算法。DES使用64位密钥,经过16轮的迭代、乘积变换、压缩变化等处理,产生64位的密文数据。16 8.2 网络加密技术非对称加密技术2 2非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃听到。
13、而非对称加密方法有两个密钥,且其中的“公钥”是公开的,收件人解密时只要用自己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出现的安全问题。非对称密码技术成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括电子商务在内的一大批网络应用的不断深入和发展。非对称加密算法的典型代表是RSA算法。在实际应用过程中,通常利用两种密钥体制的长处,采用二者相结合的方式对信息进行加密。例如,对实际传输的数据采用对称加密技术,这样数据传输速度较快;为了防止密钥泄露,传输密钥时采用非对称加密技术加密,使密钥的传送有了安全的保障。17 8.2.2 数字签名现实生活中的书信或文
14、件是根据亲笔签名或印章来证明其真实性。那么在计算机网络中传送的文件又如何盖章呢?这就要使用数字签名。数字签名是一种信息认证技术,它利用数据加密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人的特征,以保证文件的真实性和有效性,同时也可用来核实接收者是否存在伪造、篡改文件的行为。简单地说,数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。8.2 网络加密技术数字签名技术1 118 数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与数据加密不同,数字签名的目的是为了保证信息的完整性和真实性。数字签
15、名必须保证以下3点:(1)接收者能够核实发送者对消息的签名。(2)发送者事后不能抵赖对消息的签名。(3)接收者不能伪造、篡改对消息的签名。8.2 网络加密技术身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。识别是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。验证则是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。身份认证是防止主动攻击的重要技术,目前广泛使用的认证方法有口令验证、信物验证和利用个人独有的特性进行验证等。身份认证技术2 219 8.3 防火墙技术在各种网络安全技术中,作为保护局域网的第一道屏障与实现网络安全的一个有效手段,防
16、火墙技术应用最为广泛,也备受青睐。8.3.1 防火墙的概念和作用防火墙原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到别的房屋。现在的防火墙(Firewall),是指位于两个或多个网络间,实施网络之间访问安全控制的一组组件的集合。20 8.3 防火墙技术防火墙作为内网和外网之间的屏障,控制内网和外网的连接,实质就是隔离内网与外网,并提供存取控制和保密服务,使内网有选择地与外网进行信息交换。内网通常称为可信赖的网络,而外网被称为不可信赖的网络。所有的通信,无论是从内部到外部,还是从外部到内部,都必须经过防火墙,如图8-1所示。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据
17、企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。防火墙既可以是一台路由器、一台计算机,也可以是由多台主机构成的体系。Internet路由器交换机用户内部网外部网防火墙内网服务器群外网服务器群图8-1 防火墙21 8.3 防火墙技术8.3.2 防火墙的类型防火墙有多种形式,有的以软件形式运行在普通计算机上,有的以硬件形式集成在路由器中。最常见的分类方式将防火墙分为两类,即包过滤型防火墙和应用级防火墙。包过滤型防火墙工作在OSI网络参考模型的网络层,它根据数据包中的源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则
18、被丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对某个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能满足绝大多数企业的安全要求。包过滤型防火墙1 122 8.3 防火墙技术应用级防火墙又称为应用级网关,也就是代理服务器。它工作在OSI的最高层,即应用层。应用级防火墙通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在应用级防火墙技术的发展过程中,经历了两个不同的版本。应用级防火墙2 2这类防火墙是通过一种代理技术参与到一个TC
19、P连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙是公认的最安全的防火墙。它的核心技术就是代理服务器技术。1)第一代应用网关型防火墙23 8.3 防火墙技术这类防火墙是近几年才得到广泛应用的一种新防火墙类型。它可以结合网关型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将应用级防火墙的性能提高10倍以上。使用代理服务,网络的安全性虽然得到增强,但也产生了很大的代价,比如,需要购买网关硬件平台和代理服务应用程序、学习相关的知识、投入时间配置网关以及缺乏透明度导致系统对用户不太友好等。
20、因此,网络管理员必须权衡系统的安全需要与用户使用方便之间的关系。需要注意的是,可以允许用户访问代理服务,但绝对不允许用户登录到应用网关,如果允许用户登录到防火墙系统上,防火墙的安全就会受到威胁,可能会造成入侵者损害防火墙的后果。2)第二代自适应代理型防火墙24 8.4 病毒与木马随着网络技术的不断发展及其应用的广泛普及,计算机病毒的花样也层出不穷,它的广泛传播给网络带来了灾难性的影响。因此,如何有效地防范计算机病毒已经成为众多用户关心的话题。8.4.1 病毒简介计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者损坏数据,影响计算机使用并且能够自我复制的一
21、组计算机指令或者程序代码。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。25 8.4 病毒与木马计算机病毒具有以下几个明显的特征。(1)传染性。传染性是计算机病毒的基本特征。传染性是指病毒具有将自身复制到其他程序的能力。计算机病毒可通过各种可能的渠道去传染其他的计算机,如U盘、硬盘、光盘、电子邮件、网络等。(2)破坏性。计算机病毒感染
22、系统后,会对系统产生不同程度的影响,例如大量占用系统资源、删除硬盘上的数据、破坏系统程序、造成系统崩溃,甚至破坏计算机硬件,给用户带来巨大损失。26 8.4 病毒与木马(3)隐蔽性。计算机病毒具有很强的隐蔽性。一般病毒代码设计得非常短小精悍,非常便于隐藏到其他程序中或磁盘某一特定区域内,且没有外部表现,很难被人发现。随着病毒编写技巧的提高,对病毒进行各种变种或加密后,容易造成杀毒软件漏查或错杀。(4)潜伏性。大部分病毒感染系统后一般不会马上发作,而是潜伏在系统中,只有当满足特定条件时才启动并发起破坏。病毒的潜伏性越好,其在系统中存在的时间就越长,病毒的传染范围就越大。例如黑色星期五病毒,不到预
23、定的时间,用户就不会感觉异常,一旦遇到13日并且是星期五,病毒就会被激活并且对系统进行破坏。27 8.4 病毒与木马(5)寄生性。计算机病毒可寄生在其他程序中,病毒所寄生的程序我们称为宿主程序,由于病毒很小不容易被发现,所以在宿主程序未启动之前,用户很难发觉病毒的存在。而一旦宿主程序被用户执行,病毒代码就会被激活,进而产生一系列破坏活动。按照计算机病毒的特点和特性,其分类的方法有很多种。现列举几种常见分类。8.4.2 计算机病毒分类28 8.4 病毒与木马可分为DOS病毒、Windows病毒、Linux病毒、Unix病毒等,它们分别是发作于DOS、Windows、Linux、Unix操作系统平
24、台上的病毒。按病毒攻击的操作系统分类1 1可分为源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病毒4种。按病毒链接方式分类2 229 8.4 病毒与木马源码型病毒 主要攻击高级语言编写的源程序,它会将自己插入到系统源程序中,并随源程序一起编译,成为合法程序的一部分。嵌入型病毒 可以将自身嵌入到现有程序中,将计算机病毒的主体程序与攻击的对象以插入的方式链接,这种病毒危害性较大,一旦进入程序中就难以清除。外壳型病毒 将其自身包围在合法的主程序周围,对原来的程序并不作任何修改,这种病毒容易被发现,一般测试文件的大小即可察觉。操作系统型病毒 通过把自身的程序代码加入到操作系统之中或取代部分操作系统模块
25、进行工作,具有很强的破坏力,圆点病毒和大麻病毒就是典型的操作系统型病毒。30 8.4 病毒与木马可分为引导型病毒、文件型病毒和混合型病毒3种。按病毒存在的媒体分类3 3引导型病毒 是一种在系统引导时出现的病毒,依托的环境是BIOS中断服务程序。引导型病毒主要感染软盘、硬盘上的引导扇区上的内容,使用户在启动计算机或对软盘等存储介质进行读、写操作时进行感染和破坏活动。例如,Stone病毒就是引导型病毒。文件型病毒 主要感染计算机中的可执行文件,用户在使用某些正常的程序时,病毒被加载并向其他可执行文件传染。例如,宏病毒就是一种寄生于文档或模板的宏中的文件型病毒。混合型病毒 是指具有引导型病毒和文件型
26、病毒寄生方式的计算机病毒。这种病毒扩大了传染途径,既可以感染软盘、硬盘上的引导扇区上的内容,又可以感染可执行文件。此类病毒有新世纪病毒、Flip病毒等。31 8.4 病毒与木马“特洛伊木马”简称“木马”,名称来源于希腊神话“木马屠城记”。特洛伊木马是指表面上是有用的软件,实际上却危害计算机安全的程序。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件。它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者计算机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的计算机。完整的木马程序一般由两个部分组成:一个是服务器程序,一个
27、是控制器程序。常说的“中了木马”就是指安装了木马的服务器程序。若某台计算机被安装了服务器程序,则拥有控制器程序的人或计算机就可以通过网络控制该计算机,这时该计算机上的各种文件、程序以及在使用的账号、密码就无安全可言了。8.4.3 特洛伊木马32 8.4 病毒与木马防止病毒入侵要比病毒入侵后再去发现和消除它更为重要。为了将病毒拒之门外,用户要做好以下预防措施。8.4.4 计算机病毒的防治对一些来历不明的邮件及附件不要打开,并尽快删除;不要访问一些不太了解的网站,更不要轻易打开网站链接;不要执行从Internet下载未经杀毒处理的软件等。建立良好的安全习惯1 133 8.4 病毒与木马默认情况下,
28、操作系统会安装一些辅助服务,如FTP客户端、Telnet和Web服务器等。这些服务为攻击者提供了方便,而对用户却没有太大的用处。在不影响用户使用的情况下删除这些服务,能够大大减少被攻击的可能性。关闭或删除系统中不需要的服务2 2据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、冲击波等病毒,所以应该定期下载、更新系统安全补丁,防患于未然。及时升级操作系统的安全补丁3 334 8.4 病毒与木马一些用户不习惯设置系统密码,这种方式存在很大的安全隐患。因为一些网络病毒就是通过猜测简单密码的方式攻击系统的。使用并设置复杂的密码将会大大提高计算机的安全系数。为操作系统设置复杂
29、的密码4 4在病毒日益增多的今天,使用杀毒软件进行病毒查杀是最简单、有效,也是越来越经济的选择。用户在安装了杀毒软件后,应该经常升级至最新版本,并定期扫描计算机。安装专业的防病毒软件5 535 8.4 病毒与木马对于计算机中存放的重要数据,要有定期数据备份计划,用磁盘、光盘等介质及时备份数据,妥善存档保管。除此之外,还要有数据恢复方案,在系统瘫痪或出现严重故障时,能够进行数据恢复。计算机病毒的防治工作是一个系统工程,从各级单位角度来说,要牢固树立以防为主的思想,应当制定出一套具体的、切实可行的管理措施,以防治病毒的相互传播。从个人角度来说,每个人都要遵守病毒防范的有关措施,应当不断学习、积累防
30、病毒的知识和经验,培养良好的病毒防范意识。定期进行数据备份6 636 2.5 差错控制技术小结网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。目前,网络面临着众多的安全威胁,使用数据加密技术、防火墙技术和防病毒技术有利于提高网络的安全性。数据加密技术是实现数据机密性保护的主要方法。加密技术一般分为对称加密技术和非对称加密技术两类。数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。而身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。37 2.5 差错控制技术小结防火墙作为保护局域网的第一道屏障与实现网络安全的一个有效手段,在实际中得到了广泛地应用。最常见的分类方式将防火墙分为两类,即包过滤型防火墙和应用级防火墙。病毒的广泛传播给网络带来了灾难性的影响。因此,每个用户都应遵守病毒防范的有关措施,不断学习、积累防病毒的知识和经验,培养良好的病毒防范意识。THANKS