第2章网络安全 本章学习目标 本章主要讲述与网绺安全有关的背景知识和防范措 通过本章学习,应掌握以下内容: 网络安全隐患 加密技术基本知识 身份认证技术 ssL安全机制 网络安全措施 网络和现代通信技术基础—网络安全
网络和现代通信技术基础——网络安全 第12章 网络安全 本章学习目标 本章主要讲述与网络安全有关的背景知识和防范措。 通过本章学习,应掌握以下内容 : 网络安全隐患 加密技术基本知识 身份认证技术 SSL安全机制 网络安全措施
12.1 网络安全隐患 计算机犯罪始于二十世纪80年代。随着网 络应用范围的逐步扩大,其犯罪技巧日见“高 明”,犯罪目的也向越来越邪恶的方向发展 与网络安全有关的新名词逐渐为大众所知, 例如黑客( hecker)、破解者( cracker)等。 凡此种种,都传递出一个信息网络是不安 全的 网络和现代通信技术基础网络安全
网络和现代通信技术基础——网络安全 12.1 网络安全隐患 计算机犯罪始于二十世纪80年代。随着网 络应用范围的逐步扩大,其犯罪技巧日见“高 明” ,犯罪目的也向越来越邪恶的方向发展。 与网络安全有关的新名词逐渐为大众所知, 例如黑客(hecker)、破解者(cracker)等。 凡此种种,都传递出一个信息——网络是不安 全的
12.1 网络安全隐患 大部分网络安全问题都与TCP/P有关 TCP/IP是 Internet的标准协议,传统的网络应用 都是基于此协议的。近来在局域网中,TCP/P 也逐渐流行,这使得通过 Internet侵入局域网变 得十分容易。 为网络安全担忧的人大致可分为两类 类是使用网络资源的一般用户,另一类是提供 网络资源的服务提供者 网络和现代通信技术基础网络安全
网络和现代通信技术基础——网络安全 12.1 网络安全隐患 大部分网络安全问题都与TCP/IP有关。 TCP/IP是Internet的标准协议,传统的网络应用 都是基于此协议的。近来在局域网中,TCP/IP 也逐渐流行,这使得通过Internet侵入局域网变 得十分容易。 为网络安全担忧的人大致可分为两类,一 类是使用网络资源的一般用户,另一类是提供 网络资源的服务提供者
121.1计算机网络犯罪及特点 据伦敦英国银行协会统计,全球每年因计算机 犯罪造成的损失大约为80亿美元。而计算机安全专 家则指出,实际损失金额应在100亿美元以上。 网络犯罪的特点是,罪犯不必亲临现场、所遗留 的证据很少且有效性低。并且,与此类犯罪有关的法 律还有待于进一步完善。 遏制计算机犯罪的有效手段是从软、硬件建设做 起,力争防患于未然,例如,可购置防火墙 ( firewall])、对员工进行网络安全培训,增强其防 意识等 网络和现代通信技术基础网络安全
网络和现代通信技术基础——网络安全 12.1.1 计算机网络犯罪及特点 据伦敦英国银行协会统计,全球每年因计算机 犯罪造成的损失大约为80亿美元。而计算机安全专 家则指出,实际损失金额应在100亿美元以上。 网络犯罪的特点是,罪犯不必亲临现场、所遗留 的证据很少且有效性低。并且,与此类犯罪有关的法 律还有待于进一步完善。 遏制计算机犯罪的有效手段是从软、硬件建设做 起,力争防患于未然,例如,可购置防火墙 (firewall)、对员工进行网络安全培训,增强其防范 意识等
1212先天性安全漏洞 Internet的前身是 APPANET,而 APPNET最初是为军 事机构服务的,对网络安全的关注较少 在进行通信时, Internet用户的数据被拆成一个个 数据包,然后经过若干结点辗转传递到终点。在 Internet上,数据传递是靠TCP/P实现的 但是TCP/P在传递数据包时,并未对其加密。换 言之,在数据包所经过的每个结点上,都可直接获取 这些数据包,并可分析、存储之。如果数据包内含有 商业敏感数据或个人隐私信息,则任何人都可轻易解 网络和现代通信技术基础网络安全
网络和现代通信技术基础——网络安全 12.1.2 先天性安全漏洞 Internet的前身是APPANET,而APPNET最初是为军 事机构服务的,对网络安全的关注较少。 在进行通信时,Internet用户的数据被拆成一个个 数据包,然后经过若干结点辗转传递到终点。在 Internet上,数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时,并未对其加密。换 言之,在数据包所经过的每个结点上,都可直接获取 这些数据包,并可分析、存储之。如果数据包内含有 商业敏感数据或个人隐私信息,则任何人都可轻易解 读
1213几种常见的盗窃数据或侵入网络的方法 本节介绍几种常见的盗窃数据或侵入网络的方法, 以使大家能了解网络的脆弱性和网络犯罪分子的恶劣 性 1.窃听( Eavesdropping) 最简易的窃听方式是将计算机连入网络,利用专 门的工具软件对在网络上传输的数据包进行分析。进 行窃听的最佳位置是网络中的路由器,特别是位于关 卡处的路由器,它们是数据包的集散地,在该处安装 个窃听程序,可以轻易获取很多秘密。 网络和现代通信技术基础—网络安全
网络和现代通信技术基础——网络安全 12.1.3 几种常见的盗窃数据或侵入网络的方法 本节介绍几种常见的盗窃数据或侵入网络的方法, 以使大家能了解网络的脆弱性和网络犯罪分子的恶劣 性。 1. 窃听(Eavesdropping) 最简易的窃听方式是将计算机连入网络,利用专 门的工具软件对在网络上传输的数据包进行分析。进 行窃听的最佳位置是网络中的路由器,特别是位于关 卡处的路由器,它们是数据包的集散地,在该处安装一 个窃听程序,可以轻易获取很多秘密
窃听程序的基本功能是收集、分析数据包,高 级的窃听程序还提供生成假数据包、解码等功能, 甚至可锁定某源服务器(或目标服务器)的特定端 口,自动处理与这些端口有关的数据包。利用上述 功能,可监听他人的联网操作、盗取信息。 这里以图为例,说明普通网络通信遭窃听 的可能性。其中,假设数据由网络λ传送至网 络
窃听程序的基本功能是收集、分析数据包,高 级的窃听程序还提供生成假数据包、解码等功能, 甚至可锁定某源服务器(或目标服务器)的特定端 口,自动处理与这些端口有关的数据包。利用上述 功能,可监听他人的联网操作、盗取信息。 这里以图为例,说明普通网络通信遭窃听 的可能性。其中,假设数据由网络λ传送至网 络μ
可被窃听的位置至少包括: 网络中的计算机 数据包在 Internet上途经的每一路由器 网络u中的计算机 来源主机A 目的主机B 网络μ 马 主机Q 网络入 Internet 主机 主机Y 主机X l
可被窃听的位置至少包括: l 网络中的计算机 l 数据包在Internet上途经的每一路由器。 l 网络μ中的计算机
2.窃取( Spoofing) 这种入侵方式一般出现在使用支持信任机制网络 中。在这种机制下,通常,用户只需拥有合法帐号 即可通过认证,因此入侵者可以利用信任关系,冒 充一方与另一方连网,以窃取信息。 假设某入侵者欲利用主机A入侵某公司的的内部 网络主机B,则其步骤大致如下: 1.确定要入侵的主机B。 2.确定主机B所信任的主机A
2. 窃取(Spoofing) 这种入侵方式一般出现在使用支持信任机制网络 中。在这种机制下,通常,用户只需拥有合法帐号 即可通过认证,因此入侵者可以利用信任关系,冒 充一方与另一方连网,以窃取信息。 假设某入侵者欲利用主机A入侵某公司的的内部 网络主机B,则其步骤大致如下: 1.确定要入侵的主机B。 2.确定主机B所信任的主机A
3.利用主机X在短时间内发送大量的数据包给A, 使之穷于应付 4.利用主机X向B发送源地址为A的数据包 窃取技术的要点如图所示: 目标主机B 假冒A欺骗B 网络λ 入侵主机Ⅹ Internet 使A瘫痪 受信任主机A
3.利用主机X在短时间内发送大量的数据包给A, 使之穷于应付。 4.利用主机X向B发送源地址为A的数据包。 窃取技术的要点如图所示: