现代计算机网络技术电子教案刘功庆 第15章.pptVIP

15.1网络安全概述 3.计算机网络的脆弱性 （1）网络的开放性 （2）网络的国际性 （3）网络的自由性 4.防范间谍软件之危害的对策 （1）公开安装的间谍软件 （2）秘密侵入的间谍软件 5.影响网络安全的因素 （1）硬件系统 （2）软件系统 （3）网络及其通信协议 15.1网络安全概述 6.网络攻击的类型 截获（interception）攻击者从网络上窃听他人的通信内容。 中断（interruption）攻击者有意中断他人在网络上的通信。 篡改（modification）攻击者故意篡改网络上传送的报文。 伪造（fabrication）攻击者伪造信息在网络上传送。 15.1网络安全概述 一些恶意程序（rogue program）的攻击 （1）计算机病毒（computer virus） （2）计算机蠕虫（computer worm） （3）特洛伊木马（Trojan horse） （4）逻辑炸弹（logic bomb） （5）陷门 （6）IP欺骗 15.2网络安全体系结构 15.2.1 物理安全 1.环境安全 环境安全是指对系统所在环境的安全保护（温度、湿度、洁净度、腐蚀性空气、静电、噪音等）。如区域保护和灾难保护。 2.设备安全 设备安全主要包括设备的防盗、防毁、防电磁辐射及泄露、防止线路截获、抗电磁干扰及电源保护等。 3.媒体安全 媒体安全包括媒体数据的安全及媒体本身的安全。 15.2网络安全体系结构 15.2.2 网络安全 1.隔离及访问控制系统 2.网络安全检测 3.审计与监控 4.网络反病毒 5.网络备份系统 15.2网络安全体系结构 15.2.3 信息安全 1.鉴别 鉴别是对网络中的主体进行验证的过程，常用3种方法。 （1）只要该主体了解的秘密，如密码、密钥等。密码是相互约定的代码，假设只要用户和系统知道。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户密码，若密码与用户文件中的相匹配，用户即可进入访问。 （2）主体携带的物品，如智能卡和令牌卡等。 （3）生物特征，只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器等。 15.2网络安全体系结构 15.2.3 信息安全 2.数据传输安全系统 （1）报文鉴别 （2）校验和 （3）加密校验和 （4）消息完整性编码 （5）防抵赖技术 15.2网络安全体系结构 15.2.3 信息安全 3.数据存储安全系统 （1）物理完整性，即数据能够免于物理方面破坏的问题，如掉电、火灾等。 （2）逻辑完整性，能够保持数据库的结构，如对一个字段的修改不至于影响其 他字段。 （3）元素完整性，包括在每个元素中的数据是准确的。 （4）数据的加密。 （5）用户鉴别，确保每个用户被正确识别，避免非法用户入侵。 （6）可获得性，指用户一般可访问数据库和所有授权访问的数据。 （7）可审计性，能够追踪到谁访问过数据库。 4.信息内容审计系统 实时对进出内部网络的信息进行内容审计，可防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要或涉密网络，应该安装使用此系统。 15.2网络安全体系结构 15.2.4 安全管理 1.安全管理的原则 （1）多人负责原则。 （2）任期有限原则。 （3）职责分离原则。 2.安全管理的实现 （1）根据工作的重要程度，确定该系统的安全等级。 （2）根据确定的安全等级，确定安全管理的范围。 （3）制定相应的机房出入管理制度。 （4）制定严格的操作规程。 （5）制定完备的系统维护制度。 （6）制定应急措施。 15.3常用网络安全技术 15.3.1防火墙技术 概念：防火墙（Firewall）是一种能将内部网和公众网分开的方法，它是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。它能限制被保护的网络与互联网络及其他网络之间进行的信息存取、传递等操作。在构建安全的网络环境过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。 15.3常用网络安全技术 1．防火墙原理 （1）防火墙的概念 （2）防火墙的功能 （3）防火墙的工作原理 ①包过滤防火墙 ②应用网关防火墙 ③状态检测防火墙 ④复合型防火墙 （4）防火墙的局限性 ①防火墙不能防范恶意的知情者 ②防火墙不能防范不通过它的连接 ③防火墙不能防备全部的威胁 ④防火墙不能防范病毒 15.3常用网络安全技术 2．防火墙分类 防火墙分类的方法很多， 除了从形式上把它分为软件防火墙和硬件防火墙以外， 还