数据通信和计算机网络15.pptVIP

第15章 网络安全 网络安全 Network Security 15.1 网络安全概述 2000/02/09： 雅虎遭到黑客攻击，导致用户在几个小时内无法连接到YAHOO网站； 94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。 15.1.1 网络安全基本要素 机密性：是指网络上的信息只可以由得到允许的用户访问，不会泄露给未经允许的用户。 完整性：是指信息在存储或网络传输过程中只有得到允许的用户才能修改，不会被未授权用户建立、修改和删除，并且可以判别出信息是否被非法篡改。 可用性：是指得到允许的用户可以在需要的时候访问信息，不会因攻击者占用所有资源而被拒绝访问。 可控性：是指可以在允许范围内控制信息流向和使用方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 15.1.2 网络安全威胁及其分类 被动攻击 主动攻击 目前网络存在的威胁主要包括以下几个方面： 非授权访问 信息泄漏或丢失 破坏数据完整性 拒绝服务攻击DoS（Denial of Service） 利用网络传播病毒 15.1.3 黑客及其攻击类型 恶意程序攻击 计算机病毒：计算机指令或程序代码 计算机蠕虫：程序 特洛伊木马 逻辑炸弹 系统漏洞攻击 缓冲区溢出攻击 电子邮件系统漏洞攻击 Web服务系统漏洞攻击 内核系统攻击 拒绝服务攻击（Denial of Service） 被动攻击 拒绝服务攻击 - Syn Flooding 拒绝服务攻击 - Syn Flooding 拒绝服务攻击 - Smurf 是根据一个攻击工具“smurf”而命名的攻击者发送一个ICMP 回应请求（ECHO REQUEST）报文,目的地址为广播地址，源地址为伪造的攻击目标的地址，将导致广播子网内的所有主机向攻击目标发送应答报文，大量的报文会导致目标主机无法正常工作。 Smurf 攻击原理 网络安全的目标 网络安全的目标 ---- 数据完整性 完整性指维护信息的一致性，防止非法用户对系统数据的篡改。 实现方法：采用数据加密和校验技术。 网络安全的目标  ---- 资源可用性 保证合法用户在任何时候都能使用、访问资源，阻止非法用户使用系统资源。 实现方法：访问控制、防火墙、入侵检测等。 网络安全的目标 ----用户身份认证 保证通信对方的身份是真实的。 实现方法：帐号-口令，电子证书等。 网络安全的目标 ---- 数据保密性 数据只能为合法用户所使用，让非法用户无法接触或读懂数据。 实现方法：授权和访问控制、数据加密技术。 网络安全的目标 ---- 不可否认性 参与网络通讯过程的各方（用户、实体或者进程）无法否认其过去的参与活动； 实现方法：数字签名等。 网络安全策略 加密 访问控制，加强网络管理 （帐号、口令等） 审计 防火墙 入侵检测 15.2 数据加密技术 算法略 加 密 对称密钥 又叫秘密密钥, 或私钥。加密和解密采用相同的密钥。常见加密标准为DES、IDEA和三重DES等。秘密密钥效率高, 一般采用集中管理和分发密钥。 公钥 加密和解密使用不同的密码 Kpub, Kpriv。Kpub公开，Kpriv由密钥持有人保密。 公钥加密算法有RSA 算法等, 加密强度很高。 对称密钥的特点 加密、解密速度快 通信双方需要预先协商密钥 公钥的特点 加密、解密速度慢； 适合在网络环境中使用； 一般用于协商、加密共享密钥，数字签名等； 对称密钥实例：移位加密法 移位加密法是通过重新安排原文字的顺序实现的。如 3 2 6 4 1 5 密钥为GERMAN，明文为： GERMAN it can allow students to I t c a n a get close up views l l o w s t u d e n t s 则密文为： t o g e t c nsttustldooiilutlv l o s e u p