资源简介

网络安全
网络安全
本章主要内容
计算机网络安全概述
加密与认证技术
防火墙技术
网络安全与入侵检测技术
网络防病毒技术
网络管理技术
网络安全测评
计算机网络安全概述
网络安全研究的主要问题
1．网络防攻击技术和入侵检测技术
2．网络安全漏洞与对策的研究
3．网络中的信息安全问题
4．防抵赖问题
5．网络内部安全防范
6．网络防病毒技术
7．网络数据备份与恢复、灾难恢复问题
网络安全标准
网络安全标准指的是在网络架设、管理以及网络安全系统的设计与开发过程中，需要参考的网络安全体系结构。
目的是保证网络安全功能的完备性和一致性，降低安全代价和管理开销。
网络安全模型
ISO/OSI安全体系结构
ISO/OSI安全体系结构
核心内容是保证异构计算机系统之间交换信息的安全。
在OSI安全参考模型中给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。
定义了5大类安全服务，提供了8大类安全机制以及相应的开放系统互联的安全管理。
ISO安全体系结构的安全服务
安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。
ISO安全体系结构定义了五大类型共14项特定安全服务。
认证服务，又称鉴别服务
访问控制服务
数据保密性服务
数据完整性服务
抗抵赖性服务
ISO安全体系结构的安全机制
安全服务通过安全机制来支持,两类机制：
在特定的协议层实现---特定安全机制
不属于任何的协议层或安全服务---普遍安全机制
ISO安全体系结构的安全机制
分类
内容
特定安全机制(可以嵌入合适的协议层以提供一些OSI安全服务)
加密
运用数学算法将数据转换成不可知的形式。数据的变换和复原依赖于算法和一个或多个加密密钥
数字签名机制
附加于数据元之后的数据，它是对数据元的密码变换，可使接收方证明数据的来源和完整性，并防止伪造
访问控制机制
对资源实施访问控制的各种机制
数据完整性机制
用于保证数据元或数据流的完整性的各种机制
认证交换机制
通过信息交换来保证实体身份的各种机制
流量填充机制
在数据流空隙中插入若干位以阻止流量分析
路由控制机制
能够为某些数据动态地或预定地选取路由，确保只使用物理上安全的子网络、中继站或链路
公证机制
利用可信赖的第三方来保证数据交换的某些性质
ISO安全体系结构的安全机制
分类
内容
普遍安全机制(不局限于任何OSI安全服务或协议层的机制)
可信功能度
根据某些标准(如安全策略所设立的标准)被认为是正确的，就是可信的
安全标志
资源(可能是数据元)的标志，以指明该资源的属性
事件检测
检测与安全相关的事件
安全审计跟踪
收集潜在可用于安全审计的数据，以便对系统的记录和活动进行独立地观察和检查
安全恢复
处理来自诸如事件处置与管理功能等安全机制的请求，并采取恢复措施
网络安全技术
ISO安全体系结构安全机制的架设是通过网络安全技术来实现的。
网络安全技术可分为：
身份验证技术。
数据完整性技术。
跟踪审计技术。
信息伪装技术。
加密与认证技术
加密(Encryption)
指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文
密码算法
是一个复杂的函数变换，C = F(M, Key ）。
密文可以通过不安全渠道送给收信人，但密钥的传递必须通过安全渠道。
目前流行的密码算法主要有DES、RSA，IDEA，DSA等
加解密过程
密码算法分类
(1)按加密和解密密钥的类型不同,分为：
对称密钥密码算法
非对称密钥密码算法
(2)按加密时对明文的处理方式的不同，分为：
分组密码算法
序列密码算法
密钥密码体系
对称密钥加密
对称密钥加密又称私钥算法加密。
常用算法：DES、Triple DES、IDEA 、blowfish和Twofish
密钥密码体系
非对称密钥密码体系
是指加密解密双方拥有不同的密钥。
常见的非对称密钥密码算法有RSA、ElGamal和椭圆曲线密码。
数字签名技术
公钥加密技术不能确认真正的发送者。
数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。
数字签名一般采用非对称加密技术(如RSA)。
数字签名普遍用于银行、电子贸易等。
身份认证技术
身份认证（Identification and Authentication）可以定义为：为了使某些授予许可权限的权威机构、组织和个人满意，而提供所要求的证明自己身份的过程。
身份认证可以通过以下3种基本途径之一或它们的组合实现：
(1)所知（Knowledge）：个人所掌握的密码、口令；
(2)所有（Possesses）：个人身份证、护照、信用卡、钥匙；
(3)个人特征（Characteristics）：人的指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征；
计算机及网络系统中常用的身份认证方式
(1)用户名/密码方式
(2)智能卡认证
(3)动态口令
(4)USB Key认证
(5)生物识别技术
防火墙技术
防火墙概述
防火墙（Firewall）是对一个安全网络和一个不安全网络之间的数据流加以控制。
防火墙的作用
(1)网络的安全屏障
(2)强化网络安全策略
(3)对网络存取和访问进行监控审计
(4)防止内部信息的外泄
防火墙的缺点
(1)不能防范恶意的知情者
(2)不能防范不通过它的连接
(3)不能防备全部的威胁
(4)防火墙不能防范病毒
包过滤路由器
包过滤防火墙基于路由器，因此它也称为筛选路由器。
应用级网关
应用级网关是基于代理服务的防火墙。
所谓代理服务，即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的。
外部用户只能看到代理服务器，内部网络只接收代理服务器的服务请求。
需要对每一种服务设计一个代理软件模块来进行安全控制。
防火墙的体系结构
1．屏蔽路由器(Screening Router)
2．双宿主机网关(Dual-Homed Gateway)
3．屏蔽主机网关(Screened Gateway)
4．屏蔽子网(Screened Subnet)
本讲小结
计算机网络安全概述
加密与认证技术
防火墙技术
网络安全与入侵检测技术
网络防病毒技术
网络管理技术
网络安全测评

展开更多......

收起↑