网络管理与网络安全22405.pptVIP

网络安全 1 信息安全技术概述 1.1 信息安全的概念 指信息网络的硬件、软件以及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，信息服务不中断 要实现的目标。 真实性 保密性 完整性 可用性 不可抵赖性 可控制性 可审查性 1.2 信息安全策略 信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。 信息安全的实现要靠先进的技术、严格的安全管理、法律约束与安全教育。 1.3 信息技术的安全性等级 网络安全性标准（DoD5200.28_STD），即可信任计算机标准评估准则。该标准将网络安全性等级划分为A、B、C、D共四类，其中A类安全等级最高，D类安全等级最低。这4类安全等级还可以细化为7个级别，这些级别的安全性从低到高的顺序是D1、C1、C2、B1、B2、B3和A1。 1.3 信息技术的安全性等级（续） 在我国，以《计算机信息系统安全保护等级划分原则》（GB17859-1999）为指导，将信息和信息系统的安全保护分为5个等级。 自主保护级 指导保护级 监督保护级 强制保护级 专控保护级 2 网络安全问题与安全策略 2.1 网络安全的基本概念 保护网络程序、数据或设备，使其免受非授权使用或访问 保护内容包括：保护信息和资源、保护客户机和用户、保证私有性。 目标是确保网络系统的信息安全，主要包括信息的存储安全和信息的传输安全 信息的存储安全一般通过设置访问权限、身份识别、局部隔离等措施来保证。 信息的传输安全主要是指信息在动态传输过程中的安全，主要涉及到对网络上信息的监听、对用户身份的假冒、对网上信息的篡改、对信息进行重放等问题。 网络安全措施 社会的法律政策、企业的规章制度以及网络安全教育。 技术方面的措施。 审计与管理措施。 2.2 OSI安全框架 OSI安全框架是由国际电信联盟推荐的X.800方案，它主要关注3部分： 安全攻击 在X.800中将安全攻击分为被动攻击和主动攻击两类 从网络高层的角度划分，攻击方法可以分为服务攻击和非服务攻击两大类。 安全机制 X.800将安全机制分为特定安全机制和普遍的安全机制两大类。 安全服务 X.800将安全服务定义为通信开放系统协议层提供的服务，从而保证系统或数据传输有足够的安全性。 被动攻击和主动攻击 被动攻击 对信息的保密性进行攻击，即通过窃听网络上传输的信息并加以分析从而获得有价值的情报，但它并不修改信息的内容 目标是获得正在传送的信息，其特点是偷听或监视信息的传递 被动攻击主要手段： 信息内容泄露：信息在通信过程中因被监视窃听而泄露，或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。 通信量分析：通过确定通信位置和通信主机的身份，观察交换消息的频度和长度，并利用这些信息来猜测正在进行的通信特性。 被动攻击和主动攻击 主动攻击 攻击信息来源的真实性、信息传输的完整性和系统服务的可用性 有意对信息进行修改、插入和删除 主动攻击主要手段： 假冒：一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。 重放：涉及被动捕获数据单元及其后来的重新传送，以产生未经授权的效果。 修改消息：改变了真实消息的部分内容，或将消息延迟或重新排序，导致未授权的操作。 拒绝服务：禁止通信实体的正常使用或管理。 服务攻击和非服务攻击 服务攻击 针对某种特定网络服务的攻击 例如：针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击 原因：TCP/IP协议缺乏认证、保密措施。 非服务攻击 不针对某项具体应用服务，而是基于网络层等低层协议而进行 原因：TCP/IP协议（尤其是IPv4）自身的安全机制不足 2.3 网络安全模型 3 加密技术 3.1 密码学基本术语 明文：原始的消息。 密文：加密后的消息。 加密：从明文到密文的变换过程。 解密：从密文到明文的变换过程。 密码编辑学：研究各种加密方案的学科。 密码分析学：研究破译密码获得消息的学科。 密码学：密码编码学和密码分析学统称为密码学。 密码编码学 密码编码学系统具有以下3个独立特征 转换明文为密文的运算类型 所有的加密算法都基于代换和置换两个原理。 所用的密钥数 如果发送法和接收方使用相同的密钥，这种密码就称为对称密码、单密钥密码或传统密码；如果收发双方使用不同的密钥，这种密码就称为非对称密码、双钥密码或公钥密码。 处理明文的方法 加密算法可以分为分组密码和流密码。分组密码每次处理一个输入分组，相应地输出一个输出分组；而流密码则是连续地处理输入元素，每次输出一个元素。 密码分析学 密码分析学 依赖于算法的性质和明文的一般特征或某些明密文对 穷举攻击 需要对一条密文尝试所有可能的密钥，直到把它转化