第十一章网络安全 本章主要内容: 口网络安全的概念 口防火墙技术 口网络病毒及其防范 口数据加密与数字证书 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 1 第十一章 网络安全 本章主要内容: ❑ 网络安全的概念 ❑ 防火墙技术 ❑ 网络病毒及其防范 ❑ 数据加密与数字证书
11.1网络安全概述 11.1.1网络安全的概念 狭义的网络安全:是指计算机及其网络系统资源和信息资源 不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬 件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而 遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安 全从本质上来讲就是系统的信息安全。 广义的网络安全:从广义角度来讲,凡是涉及到计算机网络上信息的 保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网 络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管 理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全。 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 2 11.1 网络安全概述 11.1.1 网络安全的概念 狭义的网络安全:是指计算机及其网络系统资源和信息资源 不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬 件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而 遭到破坏、更改、泄露,保障系统能连续可靠地运行。计算机网络安 全从本质上来讲就是系统的信息安全。 广义的网络安全:从广义角度来讲,凡是涉及到计算机网络上信息的 保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网 络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管 理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全
11.1网络安全概述 网络安全包括五个基本要素:机密性、完整性、可用性、可控制性 与可审查性 令机密性:确保信息不暴露给未授权的实体或进程。 ☆完整性:只有得到允许的人才能修改数据,并且能够判别出数据是 否已被篡改。 令可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有 的资源而阻碍授权者的工作 ◇可控制性:可以控制授权范围内的信息流向及行为方式。 ◇可审査性:对出现的网络安全问题提供调查的依据和手段。 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 3 网络安全包括五个基本要素:机密性、完整性、可用性、可控制性 与可审查性。 ❖ 机密性:确保信息不暴露给未授权的实体或进程。 ❖ 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是 否已被篡改。 ❖ 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有 的资源而阻碍授权者的工作。 ❖ 可控制性:可以控制授权范围内的信息流向及行为方式。 ❖ 可审查性:对出现的网络安全问题提供调查的依据和手段。 11.1 网络安全概述
11.1网络安全概述 11.1.2网络安全面临的风险 般认为,目前网络安全面临的风险主要有以下五个方面。 1)非授权访问:指没有预先经过同意非法使用网络或计算机资源,比如有 意避开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大 权限、越权访问信息等。 2)信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失。它通 常包括信息在传输中丢失或泄漏(比如,利用电磁泄漏或搭线窃听等方式 截获机密信息);在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感 信息等。 3)破坏数据完整性:指以非法手段获得对数据的使用权,删除、修改、插 入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数 据,以干扰用户的正常使用。 4)拒绝服务攻击:不断对网络服务系统进行干扰,改变其正常的作业流程 执行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至 使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务 5)利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机 系统,而且很难防范。 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 4 11.1.2 网络安全面临的风险 一般认为,目前网络安全面临的风险主要有以下五个方面。 1) 非授权访问:指没有预先经过同意非法使用网络或计算机资源,比如有 意避开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大 权限、越权访问信息等。 2) 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失。它通 常包括信息在传输中丢失或泄漏(比如,利用电磁泄漏或搭线窃听等方式 截获机密信息);在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感 信息等。 3) 破坏数据完整性:指以非法手段获得对数据的使用权,删除、修改、插 入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数 据 ,以干扰用户的正常使用。 4) 拒绝服务攻击:不断对网络服务系统进行干扰,改变其正常的作业流程, 执行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至 使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。 5) 利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机 系统,而且很难防范。 11.1 网络安全概述
11.1网络安全概述 111.3安全策略 安全策略是指在一个特定的环境里,为保证提供一定级别的安全保 护所必须遵守的规则,它包括三个重要的组成部分。 (1)威严的法律:安全的基石是社会法律、法规与手段。通过建立一套安全管 理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者 慑于法律,不敢轻举妄动。 (2)先进的技术:先进的安全技术是信息安全的根本保障。用户通过对自身面 临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机 制,然后集成先进的安全技术 (3)严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办 法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 5 11.1.3安全策略 安全策略是指在一个特定的环境里,为保证提供一定级别的安全保 护所必须遵守的规则,它包括三个重要的组成部分。 (1) 威严的法律:安全的基石是社会法律、法规与手段。通过建立一套安全管 理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者 慑于法律,不敢轻举妄动。 (2) 先进的技术:先进的安全技术是信息安全的根本保障。用户通过对自身面 临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机 制,然后集成先进的安全技术。 (3) 严格的管理:各网络使用机构 、企业和单位应建立相宜的信息安全管理办 法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。 11.1 网络安全概述
11.1网络安全概述 1114网络安全措施 既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。 在安仝策略中技术措施是网络正常运行的保证。网络安全措施主要包 括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、 密码技术、P加密技术和数字签名等技术 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 6 11.1.4 网络安全措施 既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。 在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包 括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、 密码技术、IP加密技术和数字签名等技术。 11.1 网络安全概述
11.2防火墙技术 1121防火墙的概念 防火墙( Firewall)是一种将内部网络和外部公共网络( Internet)分 开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入 还是输出),从而决定拦截这个包还是将其放行。防火墙在被保护网 络和外部网络之间形成一道屏障,使公共网络与内部网络之间建立 起一个安全网关( Security Gateway)。防火墙通过监测、限制、更 改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结 构和运行状况,以此来实现网络的安全保护。防火墙的概念模型如 下页图示。 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 7 11.2.1 防火墙的概念 防火墙(Firewall)是一种将内部网络和外部公共网络(Internet)分 开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入 还是输出),从而决定拦截这个包还是将其放行。防火墙在被保护网 络和外部网络之间形成一道屏障,使公共网络与内部网络之间建立 起一个安全网关(SecurityGateway)。防火墙通过监测、限制、更 改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结 构和运行状况,以此来实现网络的安全保护。防火墙的概念模型如 下页图示。 11.2 防火墙技术
11.2防火墙技术 内部端口 外部端口 内部网)叫岸盟>(公网 防火墙 防火墙概念模型示意图 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 8 11.2 防火墙技术 内 部 端 口 外 部 端 口 防火墙概念模型示意图
11.2防火墙技术 1122防火墙的功能与分类 1.防火墙的功能 防火墙一般具有如下三种功能: (1)忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法 用户。 (2)限定内部网络用户访问特殊网络站点,接纳外网对本地公共信息的访问。 (3)具有记录和审计功能,为监视互联网安全提供方便。 2.防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类 型。即包过滤防火墙,应用代理服务器,状态检测防火墙。 2021/2/21 计算机网络技术及应用
2021/2/21 计算机网络技术及应用 9 11.2.2 防火墙的功能与分类 1. 防火墙的功能 防火墙一般具有如下三种功能: (1) 忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法 用户。 (2) 限定内部网络用户访问特殊网络站点,接纳外网对本地公共信息的访问。 (3) 具有记录和审计功能,为监视互联网安全提供方便。 2. 防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类 型。即包过滤防火墙,应用代理服务器,状态检测防火墙。 11.2 防火墙技术
11.2防火墙技术 团包过滤防火墙 数据包过滤技术是指在网络层对数据包进行分析、选择。选择的 依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中 每一个数据包的源地址、目的地址、所用端口号、协议状态等因素 或它们的组合来确定是否允许该数据包通过 数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安 装和使用,网络性能和透明度好。其缺点是配置困难,容易出现漏 洞,而且为特定服务开放的端口也存在着潜在危险。 2021/2/21 计算机网络技术及应用 10
2021/2/21 计算机网络技术及应用 10 包过滤防火墙 数据包过滤技术是指在网络层对数据包进行分析、选择。选择的 依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中 每一个数据包的源地址、目的地址、所用端口号、协议状态等因素 或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安 装和使用,网络性能和透明度好。其缺点是配置困难,容易出现漏 洞,而且为特定服务开放的端口也存在着潜在危险。 11.2 防火墙技术