6.2--网络安全防护技术优秀PPT.ppt

《6.2--网络安全防护技术优秀PPT.ppt》由会员分享，可在线阅读，更多相关《6.2--网络安全防护技术优秀PPT.ppt（66页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、6.2 6.2 网络安全防护技术网络安全防护技术一一 防火墙技术防火墙技术 从计算机网络平安技术的角度看，防火墙是一个连接两个或更多物理网络，并把分组从一个网络转发到另一个网络的意义上的路由器，它将网络分成内部网络和外部网络。1.1.防火墙的定义防火墙的定义6.2 6.2 网络安全防护技术网络安全防护技术 在被疼惜网络和外部网络之间建立一道屏障，通过相应的访问限制策略（允许、拒绝、监测、记录）限制进出网络的访问行为。2.2.防火墙的目的防火墙的目的6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术 通常意义下的防火墙具有以下三个方面的特征：全部的网

2、络数据流都必需经过防火墙：不同平安级别的网络或平安域之间的唯一通道。3.3.防火墙的特征防火墙的特征6.2 6.2 网络安全防护技术网络安全防护技术防火墙是平安策略的检查站：只有被防火墙策略明确授权的通信才可以通过。6.2 6.2 网络安全防护技术网络安全防护技术防火墙具有特殊强的抗攻击实力。1.防火墙系统自身具有高平安性和高牢靠性。这是防火墙能担当企业内部网络平安防护重任的先决条件。2.一般接受Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。6.2 6.2 网络安全防护技术网络安全防护技术4 防火墙的功能防火墙的功能l限定内部用户访问特殊站点；l防止未授权用户访问内部网络；

3、1.1.过滤和管理过滤和管理l允许内部网络中的用户访问外部网络的服务和资源；l不泄漏内部网络的数据和资源；2.2.疼惜和隔离疼惜和隔离6.2 6.2 网络安全防护技术网络安全防护技术5 防火墙防火墙分类分类 通过软件的方式来达到，价格便宜，但这类防火墙只能通过确定的规则来达到限制一些非法用户访问内部网的目的。1.1.软件防火墙软件防火墙 接受电路级设计，通常使算法设计专用芯片，效率最高，但价格较贵，一般小型企业和个人很难实现。2.2.硬件防火墙硬件防火墙6.2 6.2 网络安全防护技术网络安全防护技术 基于特地的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理

4、实力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较昂扬。3.3.芯片级防火墙芯片级防火墙6.2 6.2 网络安全防护技术网络安全防护技术5 工作方式工作方式 防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型。包过滤（Packet filtering）防火墙是最简洁的防火墙，通常只包括对源和目的的IP地址及端口的检查。1.1.包过滤型包过滤型 6.2 6.2 网络安全防护技术网络安全防护技术 包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它依据数据包头

5、源地址、目的地址、端口号和协议类型等标记确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤防火墙的原理包过滤防火墙的原理6.2 6.2 网络安全防护技术网络安全防护技术包过滤型防火墙包过滤型防火墙 6.2 6.2 网络安全防护技术网络安全防护技术包过滤防火墙逻辑简洁、价格便宜、网络性能和透亮性好。它的不足之处也自不待言，包过滤防火墙配置困难，且无法满足各种平安要求，缺少审计和报警机制。包过滤防火墙的优缺点包过滤防火墙的优缺点6.2 6.2 网络安全防护技术网络安全防护技术应用代理型防火墙（Application Proxy）工作在OSI的最高

6、层，即应用层。其特点是完全阻隔了网络通信流，通过对每种应用服务编制特地的代理程序，实现监视和限制应用层通信流的作用。2.2.应用代理型应用代理型6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术6 防火墙结构防火墙结构 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差不多，价格昂贵。1.1.单一主机防火墙单一主机防火墙6.2 6.2 网络安全防护技术网络安全防护技术单一主机防火墙单一主机防火墙6.2 6.2 网络安全防护技术网络安全防护技术

7、 这种防火墙通常是较低级的包过滤型。很多中、高档路由器中集成了防火墙功能，如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。2.2.路由器集成式防火墙路由器集成式防火墙6.2 6.2 网络安全防护技术网络安全防护技术 分布式防火墙不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施疼惜。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。3.3.分布式防火墙分布式防火墙6.2 6.2 网络安全防护技术网络安全防护技术7 防火墙在网络中的位置防火墙在网络中的位置 1.1.安

8、装防火墙以前的网络安装防火墙以前的网络 6.2 6.2 网络安全防护技术网络安全防护技术2.2.安装防火墙后的网络安装防火墙后的网络 6.2 6.2 网络安全防护技术网络安全防护技术 数据备份概述数据备份概述 随着信息化建设的进展，各种应用系随着信息化建设的进展，各种应用系统的运行，必定会产生大量的数据，而这统的运行，必定会产生大量的数据，而这些数据作为企业和组织最重要的资源，越些数据作为企业和组织最重要的资源，越来越受到大家的重视。同样，由于数据量来越受到大家的重视。同样，由于数据量的增大和新业务的涌现，如何确保数据的的增大和新业务的涌现，如何确保数据的一样性、平安性和牢靠性；如何解决数据一

9、样性、平安性和牢靠性；如何解决数据集中管理后的平安问题，建立一个强大的、集中管理后的平安问题，建立一个强大的、高性能的、牢靠的数据备份平台是当务之高性能的、牢靠的数据备份平台是当务之急。数据遭到破坏，有人为的因素，也有急。数据遭到破坏，有人为的因素，也有各种不行预料的因素。各种不行预料的因素。有专业机构的探讨数据表明：丢失有专业机构的探讨数据表明：丢失300MB的数据对于市场营销部门就意味着的数据对于市场营销部门就意味着13万元人民币的损失，对财务部门意味着万元人民币的损失，对财务部门意味着16万的损失，对工程部门来说损失可达万的损失，对工程部门来说损失可达80万。而丢失的关键数据假如万。而丢

10、失的关键数据假如15天内仍得不天内仍得不到复原，企业就有可能被淘汰出局。到复原，企业就有可能被淘汰出局。二二 数据备份与复原数据备份与复原6.2 6.2 网络安全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术数据备份概述数据备份概述 数据备份就是将数据以某种方式加以保留，以便数据备份就是将数据以某种方式加以保留，以便在系统须要时重新复原和利用。其作用主要体现在如在系统须要时重新复原和利用。其作用主要体现在如下两个方面：下两个方面：1在数据遭到意外事务破坏时，通过数据复原还在数据遭到意外事务破坏时，通过数据复原还原数据。原数据。2数据备份是历史数据保存归档的最佳方式。数

11、据备份是历史数据保存归档的最佳方式。备份的最基本问题是：为保证能复原全部系统，须要备份多少以及何时进行备份。目前常用的备份方法备份策略有：（1）全盘备份；（2）增量备份；（3）差异备份；（4）按需备份6.2 6.2 网络安全防护技术网络安全防护技术传统存储模式与现代存储模式传统存储模式与现代存储模式 传传统统的的企企业业业业务务数数据据存存储储备备份份和和灾灾难难复复原原思思想想是是每每天天将将企企业业业业务务数数据据备备份份在在磁磁带带库库中中，以以在在发发生生紧紧急急状状况况时时实实现现疼疼惜惜和和复复原原。但但是是近近年年来来，关关键键数数据据的的范范围围正正在在日日益益扩扩大大，处处于

12、于常常规规生生产产系系统统之之外外的的电电子子邮邮件件、学学问问产产权权、客客户户关关系系管管理理、企企业业支支配配资资源源、电电子子业业务务、电电子子商商务务、供供应应链链和和交交易易记记录录都都存存放放在在网网络络数数据据库库中中，再再加加上上“911”事事务务之之后后，提提出出了了对对数数据据平平安安存存储储更更高高的的要要求求，这这种种基基于于磁磁带带的的传传统统数数据据备备份份和和灾灾难难复复原原模模式式已已经经不不能能再再满满足足新新的的客客户户需需求求。因因此此，接接受受最最新新技技术术信信息息基基础础架架构构或或存存储储网网络络的的新新业业务务连连续续性性支支配配，从从而而将将

13、员员工工解解放放出出来来，转转而而去去从从事事更更富富生生产产力力的的工工作作，提提高高人人员员和和资资源源重重新新部部署署的的效效率率，并并缩缩短短重重新新复复原原关关键键性性业业务务功功能能的的时间成为了新的追求。时间成为了新的追求。6.2 6.2 网络安全防护技术网络安全防护技术异地备份异地备份 为了有效地进行灾难复原，重要的网络系统和应用为了有效地进行灾难复原，重要的网络系统和应用系统的数据库必需进行异地备份，这里指的系统的数据库必需进行异地备份，这里指的“异地异地”，指的是在两个以上不同城市甚至是不同国家之间进行热指的是在两个以上不同城市甚至是不同国家之间进行热备份。比如，中国人民银

14、行总行网络系统的中心主机设备份。比如，中国人民银行总行网络系统的中心主机设在北京，可同时在上海和广州设立实时热备份的主机，在北京，可同时在上海和广州设立实时热备份的主机，即将银行资料同时备份在三个城市的计算机上，如下图即将银行资料同时备份在三个城市的计算机上，如下图所示。假如北京中心主机或主机房被破坏，则可刚好地所示。假如北京中心主机或主机房被破坏，则可刚好地从上海和广州的存储介质上复原系统程序和数据，而且从上海和广州的存储介质上复原系统程序和数据，而且还可用广州或上海的主机代替北京中心主机接着进行银还可用广州或上海的主机代替北京中心主机接着进行银行交易活动。行交易活动。6.2 6.2 网络安

15、全防护技术网络安全防护技术6.2 6.2 网络安全防护技术网络安全防护技术目前比较常见的远程备份方式有：目前比较常见的远程备份方式有：（1）定期磁带备份数据）定期磁带备份数据远程磁带库、光盘库备份。即将数据传送到远程备份中远程磁带库、光盘库备份。即将数据传送到远程备份中心制作完整的备份磁带或光盘。心制作完整的备份磁带或光盘。接受磁带备份数据，生产接受磁带备份数据，生产机实时向备份机发送关键数据。机实时向备份机发送关键数据。（2）远程数据库备份）远程数据库备份就是在与主数据库所在生产机相分别的备份机上建立主就是在与主数据库所在生产机相分别的备份机上建立主数据库的一个拷贝。数据库的一个拷贝。（3）

16、网络数据镜像）网络数据镜像这种方式是对生产系统的数据库数据和所需跟踪的重要这种方式是对生产系统的数据库数据和所需跟踪的重要目标文件的更新进行监控与跟踪，并将更新日志实时通过网目标文件的更新进行监控与跟踪，并将更新日志实时通过网络传送到备份系统，备份系统则依据日志对磁盘进行更新。络传送到备份系统，备份系统则依据日志对磁盘进行更新。6.2 6.2 网络安全防护技术网络安全防护技术（4）远程镜像磁盘）远程镜像磁盘通过高速光纤通道线路和磁盘限制技术将镜像磁盘延通过高速光纤通道线路和磁盘限制技术将镜像磁盘延长到远离生产机的地方，镜像磁盘数据与主磁盘数据完全长到远离生产机的地方，镜像磁盘数据与主磁盘数据完

17、全一样，更新方式为同步或异步。一样，更新方式为同步或异步。6.2 6.2 网络安全防护技术网络安全防护技术数据备份必须要考虑到数据复原的问题，包括接受双数据备份必须要考虑到数据复原的问题，包括接受双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。这些措施能够在系统发生故障冗余等多种灾难预防措施。这些措施能够在系统发生故障后进行系统复原。但是这些措施一般只能处理计算机单点后进行系统复原。但是这些措施一般只能处理计算机单点故障，对区域性、毁灭性灾难则手足无措，也不具备灾难故障，对区域性、毁灭性灾难则手足无措，也不具备灾难复

18、原实力。复原实力。对计算机系统进行全面的备份，并不只是简洁地进行对计算机系统进行全面的备份，并不只是简洁地进行文件拷贝。一个完整的系统备份方案，应由备份硬件、备文件拷贝。一个完整的系统备份方案，应由备份硬件、备份软件、日常备份制度和灾难复原措施四个部份组成。选份软件、日常备份制度和灾难复原措施四个部份组成。选择了备份硬件和软件后，还须要依据本单位的具体状况制择了备份硬件和软件后，还须要依据本单位的具体状况制定日常备份制度和灾难复原措施，并由系统管理人员切实定日常备份制度和灾难复原措施，并由系统管理人员切实执行备份制度。执行备份制度。6.2 6.2 网络安全防护技术网络安全防护技术1.系统还原卡

19、系统还原卡 2.3.系统还原卡可以在硬盘非物理损坏的状况下，系统还原卡可以在硬盘非物理损坏的状况下，让硬盘系统数据复原到预先设置的状态。让硬盘系统数据复原到预先设置的状态。4.可以利用系统还原卡，在受到病毒、误删除、可以利用系统还原卡，在受到病毒、误删除、有意破坏硬盘的数据时，都可以轻易地还原系统。有意破坏硬盘的数据时，都可以轻易地还原系统。6.2 6.2 网络安全防护技术网络安全防护技术克隆大师克隆大师Ghost 克克隆隆大大师师Norton Ghost是是最最著著名名的的硬硬盘盘备备份份工工具具，Ghost 对对现现有有的的操操作作系系统统都都有有良良好好的的支支持持，包包括括DOS、Wi

20、ndows、Linux、Unix等操作系统。等操作系统。Ghost主要功能有：主要功能有：1硬盘备份硬盘备份 Ghost对对硬硬盘盘进进行行备备份份是是依依据据簇簇方方式式将将硬硬盘盘上上的的全全部部内内容容全全部部备备份份下下来来，并并可可接接受受映映像像文文件件形形式式保保存存在在另另外外一一个个硬硬盘盘上上，在在须须要要复复原原整整个个硬硬盘盘数数据据时时，就就可可以以利利用用这这个个映映像像文文件，还原原硬盘上的全部数据。件，还原原硬盘上的全部数据。6.2 6.2 网络安全防护技术网络安全防护技术 2硬盘复原硬盘复原 硬盘复原就是在硬盘上的系统文件受到严峻破坏的状况下，用已硬盘复原就是

21、在硬盘上的系统文件受到严峻破坏的状况下，用已备份的映像文件，复原被破坏的硬盘。备份的映像文件，复原被破坏的硬盘。3硬盘复制硬盘复制 利用利用Ghost中的硬盘复制功能可以快速地将一个硬盘上的全部数中的硬盘复制功能可以快速地将一个硬盘上的全部数据和内容复制到其它硬盘上。据和内容复制到其它硬盘上。4分区复制分区复制 Ghost还允许以硬盘分区为单位，对硬盘上某个分区进行复制、还允许以硬盘分区为单位，对硬盘上某个分区进行复制、备份复原，为用户供应了更灵敏的硬盘疼惜方式。目标分区容量要备份复原，为用户供应了更灵敏的硬盘疼惜方式。目标分区容量要大于原始分区。大于原始分区。6.2 6.2 网络安全防护技术

22、网络安全防护技术 10.5 数据复原 数据复原就是把遭到破坏、删除和修改的数据还原为可运用数据的过程。10.5.1 数据复原概述 可以将数据复原分为两种状况：（1）因为计算机病毒破坏、人为破坏和人为误操作造成当前的系统数据或用户数据丢失或损坏，但存储数据的物理介质没有遭到破坏，原始的备份数据也保存良好，这种状况下只要运用备份软件或应用程序的还原功能，就基本上可以复原所损坏的数据；6.2 6.2 网络安全防护技术网络安全防护技术 （2）当前数据和原始的备份数据都遭到破坏，甚至存储数据的物理介质也出现逻辑或物理上的故障，这种状况将会引起灾难性后果。数据复原比较困难的是后一种状况，如硬盘故障。为了提

23、高数据的修复率，在发觉硬盘数据丢失或遭到破坏时，最重要的就是留意“疼惜好现场”，要立刻禁止对硬盘再进行新的写操作。6.2 6.2 网络安全防护技术网络安全防护技术 进进行行数数据据复复原原之之前前，首首要要的的一一点点就就是是细细致致、细细致致地地制制订订复原支配，对每一步操作都有一个明确的目的。复原支配，对每一步操作都有一个明确的目的。在在进进行行每每一一步步操操作作之之前前就就考考虑虑好好做做完完该该步步之之后后能能达达到到什什么么目目的的，可可能能造造成成什什么么后后果果，能能不不能能回回退退至至上上一一状状态态。特特殊殊是对于一些破坏性操作，确定要考虑周到。是对于一些破坏性操作，确定要

24、考虑周到。只只要要条条件件允允许许，就就确确定定要要在在操操作作之之前前对对要要复复原原的的数数据据进进行镜像备份，以防止数据复原失败和误操作。行镜像备份，以防止数据复原失败和误操作。要要留留意意的的是是，应应当当先先抢抢救救那那些些最最有有把把握握能能复复原原的的数数据据，复原一点，就备份一点。复原一点，就备份一点。6.2 6.2 网络安全防护技术网络安全防护技术硬盘数据复原硬盘数据复原 对硬盘来说，假如整个系统瘫痪、系统无对硬盘来说，假如整个系统瘫痪、系统无法启动，复原数据可以先从硬盘的法启动，复原数据可以先从硬盘的5个区域入手，个区域入手，首先复原首先复原MBR（主引导记录区），然后复原

25、（主引导记录区），然后复原DBR（操作系统引导记录区），操作系统引导记录区），FAT（文件支配表）（文件支配表），FDT（文件书目表），最终复原数据文件。必（文件书目表），最终复原数据文件。必要时，系统须要检测磁道，修复要时，系统须要检测磁道，修复0磁道和其他坏磁道和其他坏磁道。磁道。6.2 6.2 网络安全防护技术网络安全防护技术对信息进行对信息进行加密加密可以防止攻击者窃取网络机密信息，可以使系可以防止攻击者窃取网络机密信息，可以使系统信息不被无关者识别，也可以检测出非法用户对数据的插统信息不被无关者识别，也可以检测出非法用户对数据的插入、删除、修改及滥用有效数据的各种行为。入、删除、修改

26、及滥用有效数据的各种行为。基于数据加密的数字签名和鉴别技术除具有保密功能外，还可基于数据加密的数字签名和鉴别技术除具有保密功能外，还可以进行用户的身份验证和数据源及其内容的鉴别。以进行用户的身份验证和数据源及其内容的鉴别。三三 数据加密概述数据加密概述6.2 6.2 网络安全防护技术网络安全防护技术加密在网络上的作用就是防止有价值的信息在网上被窃加密在网络上的作用就是防止有价值的信息在网上被窃取并识别；取并识别；基于加密技术的鉴别的作用是用来确定用户身份的真实基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。性和数据的真实性。6.2 6.2 网络安全防护技术网络安全防护技术加密

27、加密：把信息从一个可理解的明文形式变换成一个错乱：把信息从一个可理解的明文形式变换成一个错乱的、不行理解的密文形式的过程的、不行理解的密文形式的过程明文明文(Plain Text)：原来的信息：原来的信息(报文报文)、消息，就是网络、消息，就是网络中所说的报文中所说的报文(Message)密文密文(Cipher Text)：经过加密后得到的信息：经过加密后得到的信息解密：将密文还原为明文的过程解密：将密文还原为明文的过程6.2 6.2 网络安全防护技术网络安全防护技术密钥密钥(Key)：加密和解密时所运用的一种特地信息：加密和解密时所运用的一种特地信息(工具工具)密码算法密码算法(Algori

28、thm)：加密和解密变换的规则：加密和解密变换的规则(数学函数数学函数)，有加密算法和解密算法，有加密算法和解密算法加密系统：加密和解密的信息处理系统加密系统：加密和解密的信息处理系统加密过程是通过某种算法并运用密钥来完成的信息变换加密过程是通过某种算法并运用密钥来完成的信息变换6.2 6.2 网络安全防护技术网络安全防护技术明文P解密密钥Kd解密(D)加密密钥Ke加密(E)明文P密文C攻击者 简洁的密码系统示意图简洁的密码系统示意图6.2 6.2 网络安全防护技术网络安全防护技术传统密码技术数据的表示替代密码移位密码一次一密钥密码6.2 6.2 网络安全防护技术网络安全防护技术数据的表示数据

29、的表示传传统统加加密密方方法法加加密密的的对对象象是是文文字字信信息息。文文字字由由字字母母表表中中的的字字母母组组成成，在在表表中中字字母母是是按按依依次次排排列列的的，赐赐予予它它们们相相应应的的数数字字标标号号，即即可可用用数数学学方方法法进进行行运运算算(变变换换)了了。将将字字母母表表中中的的字字母母看看作作是是循循环环的的，则则字字母母的的加加减减形形成成的的代代码码可可用用求求模模运运算算来来表表示示了了。如如 A+4=E，X+6=D (mod 26)6.2 6.2 网络安全防护技术网络安全防护技术替代密码替代密码替代也叫置换。替代密码就是明文中的每个或每组字符由另一个或另一组字

30、符所替换，即形成密文。6.2 6.2 网络安全防护技术网络安全防护技术简洁替代密码简洁替代密码简洁替代的就是明文的一个字母，用相应的密文字母代简洁替代的就是明文的一个字母，用相应的密文字母代替。规律是依据密钥形成一个新的字母表，与原明文替。规律是依据密钥形成一个新的字母表，与原明文字母表有相应的对应关系。字母表有相应的对应关系。6.2 6.2 网络安全防护技术网络安全防护技术典型的一种替代密码是凯撒密码，又叫循环移位密码。其加密方法就是将明文中的每个字母都用其右边固定步长的字母代替，构成密文。例如：步长为4，则明文A、B、C、Y、Z可分别由E、F、G、C、D代替。假如明文是“about”，则变

31、为密文“efsyx”，其密钥k=+4。两个循环的字母表对应。6.2 6.2 网络安全防护技术网络安全防护技术移位密码移位密码移移位位密密码码变变换换：只只对对明明文文字字母母重重新新排排序序，位位置置变变更更了了，而而不不隐隐藏藏它它们们。是是一一种种打打乱乱原原文文依依次次的的替代法。替代法。把把明明文文按按行行写写出出，读读出出时时按按列列进进行行，得得到到的的即即为为密文。密文。6.2 6.2 网络安全防护技术网络安全防护技术如明文为“this is a bookmark”，将其分为三行五列，则为以下形式：t h i s i s a b o o k m a r k按列从左至右读，可得到密

32、文：tskhamibasoriok6.2 6.2 网络安全防护技术网络安全防护技术一次一密钥密码一次一密钥密码 一一次次一一密密钥钥密密码码是是一一种种志志向向的的加加密密方方案案。就就是是一一个个随随机机密密码码字字母母集集，包包括括多多个个随随机机密密码码，这这些些密密码码就就好好象象一一个个本本，其其中中每每页页上上记记录录一一条条密密码码。类类似似日日历历的的运运用用过过程程，每每运运用用一一个个密密码码加加密密一一条条信信息息后后，就就将将该该页页撕撕掉掉作作废废，下下次次加加密密时时再再运运用用下下一一页的密码。页的密码。6.2 6.2 网络安全防护技术网络安全防护技术发送者运用密

33、钥本中每个密钥字母串去加密一条明文字母串接收者有一个同样的密钥本，并依次运用密钥本上的每个密钥去解密密文的每个字母串。接收者在解密信息后也销毁密钥本中用过的一页密钥。6.2 6.2 网络安全防护技术网络安全防护技术一次一密密码在今日仍有应用场合，主要用于高度机密的低带宽信道。美国与前苏联之间的热线电话据说就是用一次一密密钥本加密的，很多前苏联间谍传递的信息也是用一次一密钥密码加密的。至今这些信息仍是保密的，并将始终保密下去。6.2 6.2 网络安全防护技术网络安全防护技术公开密钥密码体制公钥密钥密码体制的概念公钥密钥密码体制的概念加密密钥与解密密钥不同，且由其中一加密密钥与解密密钥不同，且由其

34、中一 个不简个不简洁得到另一个，则这种密码系统是非对称密洁得到另一个，则这种密码系统是非对称密钥系统。往往其中一个密钥是公开的，另一钥系统。往往其中一个密钥是公开的，另一个是保密的。因此，相应的密码体制叫公开个是保密的。因此，相应的密码体制叫公开密钥密码体制。密钥密码体制。6.2 6.2 网络安全防护技术网络安全防护技术网络保密通信通信平安通信平安要保证系统的通信平安，就要充分相识到网络系要保证系统的通信平安，就要充分相识到网络系统的脆弱性，特殊是网络通信系统和通信协议统的脆弱性，特殊是网络通信系统和通信协议的弱点，估计到系统可能遭遇的各种威逼，实的弱点，估计到系统可能遭遇的各种威逼，实行相应

35、的平安策略，尽可能地削减系统面临的行相应的平安策略，尽可能地削减系统面临的各种风险，保证计算机网络系统具有高度的牢各种风险，保证计算机网络系统具有高度的牢靠性、信息的完整性和保密性。靠性、信息的完整性和保密性。6.2 6.2 网络安全防护技术网络安全防护技术网络通信系统可能面临各种各样的威逼，如来自各种自然灾难、恶劣的系统环境、人为破坏和误操作等。所以，要疼惜网络通信平安，不仅必须要克服各种自然和环境的影响，更重要的是要防止人为因素造成的威逼。6.2 6.2 网络安全防护技术网络安全防护技术通信加密通信加密 (1)(1)硬件加密和软件加密硬件加密和软件加密 网络中的数据加密可分为两个途径，一种

36、网络中的数据加密可分为两个途径，一种是通过硬件实现数据加密，一种是通过是通过硬件实现数据加密，一种是通过软件实现数据加密。通过硬件实现网络软件实现数据加密。通过硬件实现网络数据加密有三种方式：链路加密、节点数据加密有三种方式：链路加密、节点加密和端加密和端-端加密；软件数据加密就是端加密；软件数据加密就是指运用前述的加密算法进行的加密。指运用前述的加密算法进行的加密。6.2 6.2 网络安全防护技术网络安全防护技术硬件加密：全部加密产品都有特定的硬件形式。硬件加密：全部加密产品都有特定的硬件形式。这些加、解密硬件被嵌入到通信线路中，然这些加、解密硬件被嵌入到通信线路中，然后对全部通过的数据进行

37、加密。虽然软件加后对全部通过的数据进行加密。虽然软件加密在今日正变得很流行，但硬件加密仍是商密在今日正变得很流行，但硬件加密仍是商业和军事等领域应用的主要选择。选用硬件业和军事等领域应用的主要选择。选用硬件加密的缘由有：加密的缘由有：6.2 6.2 网络安全防护技术网络安全防护技术快速。加密算法中含有很多困难运算，接受硬件措施将提高速度，而用软件实现这些困难运算将影响速度；平安。运用硬件加密设备可将加密算法封装疼惜，以防被修改。易于安装。将专用加密硬件放在电话、传真机中比设置在微处理器中更便利。安装一个加密设备比修改配置计算机系统软件更简洁。6.2 6.2 网络安全防护技术网络安全防护技术软件

38、加密：任何加密算法都可用软件实现。软件软件加密：任何加密算法都可用软件实现。软件实现的劣势是速度、开销和易于改动，而优势实现的劣势是速度、开销和易于改动，而优势是灵敏性和可移植性，易运用，易升级。软件是灵敏性和可移植性，易运用，易升级。软件加密程序很大众化，并可用于大多数操作系统。加密程序很大众化，并可用于大多数操作系统。这些加密程序可用于疼惜个人文件，用户通常这些加密程序可用于疼惜个人文件，用户通常用手工加用手工加/解密文件。软件加密的密钥管理很重解密文件。软件加密的密钥管理很重要，密钥不应当存储在磁盘中，密钥和未加密要，密钥不应当存储在磁盘中，密钥和未加密文件在加密后应删除。文件在加密后应

39、删除。6.2 6.2 网络安全防护技术网络安全防护技术鉴别与认证技术网络平安系统的一个重要方面是防止非法用户对系统的主动攻击。鉴别(Authentication 也叫验证)是防止主动攻击的重要技术。鉴别的目的就是验证一个用户身份的合法性和用户间传输信息的完整性与真实性。6.2 6.2 网络安全防护技术网络安全防护技术鉴别包括报文鉴别和身份验证。报文鉴别是为了确保数据的完整性和真实性，对报文的来源、时间性及目的地进行验证。身份验证是验证进入网络系统者是否是合法用户，以防非法用户访问系统报文鉴别和身份验证可接受数字签名技术来实现。6.2 6.2 网络安全防护技术网络安全防护技术数字签名数字签名数字

40、签名数字签名(Digital Signature)可解决手写签名中可解决手写签名中的签字人否认签字或其他人伪造签字等问题。的签字人否认签字或其他人伪造签字等问题。因此，被广泛用于银行的信用卡系统、电子因此，被广泛用于银行的信用卡系统、电子商务系统、电子邮件以及其他须要验证、核商务系统、电子邮件以及其他须要验证、核对信息真伪的系统中。对信息真伪的系统中。6.2 6.2 网络安全防护技术网络安全防护技术手工签名是模拟的，因人而异，而数字签名数字式的(0、1数字串)，因信息而异。数字签名的功能：收方能够确认发方的签名，但不能伪造；发方发出签过名的信息后，不能再否认；收方对收到的签名信息也不能否认；一

41、旦收发方出现争吵，仲裁者可有足够的证据进行评判。6.2 6.2 网络安全防护技术网络安全防护技术数字签名的主要方式是：报文的发送方利用单向散列函数从报文文本中生成一个128位的散列值。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，该数字签名将作为报文的附件和报文一起发送给报文的接收方。6.2 6.2 网络安全防护技术网络安全防护技术报文的接收方首先从接收到的原始报文中计算出128位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密得到原散列值。假如这两个散列值相同，则接收方就能确认该数字签名是发送方的。6.2 6.2 网络安全防护技术网络安全防护技术单向函数明文信息摘要签名后的信息摘要密文签名后的信息摘要用A的私钥签名发送方A明文信息摘要签名后的信息摘要密文签名后的信息摘要用A的公钥验证接收方B信息摘要单向函数比较数字签名和验证过程数字签名和验证过程