计算机网络基础 作者 汤霖 第6章 网络安全.pptVIP

第6章 网络安全 6.1网络安全的重要性6.2网络的安全机制6.3 防火墙技术6.4 病毒及其防护6.5 系统安全措施6.6 Windows 2000的安全设计 6.1网络安全的重要性 6.1.1网络安全基本概念 网络安全就是确保网络上的信息和资源不被非授权用户使用。为保证网络安全，就必须对信息处理和数据存储进行物理安全保护。网络安全强调的是：数据信息的完整性（Integrity）、可用性（Availability）和保密性（Confidentiality and Privacy）。完整性是指保护信息不被非授权用户修改和破坏；可用性是指避免拒绝授权访问或拒绝服务；保密性是指保护信息不泄露给非授权用户。 6.1.2网络安全的主要威胁 一般认为，目前网络存在的安全威胁主要表现在以下的几个方面： 1．破坏数据的完整性。 以非法手段窃取对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，干扰数据的正常传送；用拒绝服务（DoS）攻击不断对网络服务系统进行干扰，改变作业流程，执行无关程序使系统响应减慢，影响正常用户的使用，甚至使合法用户不能进入计算机网络或得不到相应的服务。 2．非授权访问。 非授权访问是指攻击者违反安全策略，利用系统安全的缺陷非法占有系统资源或访问本应受保护的信息。其主要形式有以下几种：假冒、身份攻击、非法用户进入网络系统进行非法操作或合法用户以未授权的方式进行操作等。 3．信息泄露或丢失。 指敏感数据在有意或无意中被泄露出去或丢失，通常包括信息在传输过程中泄露或丢失、信息在存储介质中泄露或丢失、通过隐蔽隧道被窃听等。 4．利用网络传播病毒。 通过网络传播计算机病毒，其破坏性远远大于单机系统，而且一般用户难以防范。 6.1.3网络威胁的主要类型 计算机网络所面临的威胁因素主要可分为人为因素和非人为因素。 1．非人为因素产要是指自然灾害所造成的不安全因素，如火灾、地震、水灾、战争等原因造成网络的中断、数据破坏和丢失等。解决的方法是加强系统中的硬件建设，优化系统中硬件设计，并定期进行有效的数据备份。 2．人为因素是攻击者或攻击程序利用系统资源组中的脆弱环节进行人为入侵面产生的。人为威胁因素主要有四种形式，如图6-1所示。 （1）截获（Interception）攻击者通过窃听、非法拷贝等手段从网络上获得对系统资源的访问。 （2）中断（Interruption）攻击者有意毁坏系统资源，切断通信线路，造成文件系统不可用。 （3）篡改（Modification） 攻击者故意篡改网络上传送的报文。 （4）伪造（Fabrication） 攻击者伪造信息在网络上传送。如在网上散布一些虚假信息。 6.2网络的安全机制 网络的安全机制是网络安全策略的实施手段。安全机制的种类很多，如加密、认证、数字签名机制和发放证书等等。 6.2.1加密技术 密码体制一般可分传统密码和现代密码。传统密码包括换位码、代替转轮机密码等。现代密码包括序列密码、分组密码、公钥密码、量子密码等。现代密码已广泛用于军商业经济、网络通信、电子商务、电子政务等领域。 衡量一个加密技术的可靠性，主要取决于解密过程的难度，而这取决于密钥（K）的长度和算法。密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。按密钥方式划分，密码体制可分为对称密钥体制和非对称密钥体制两种。 6.2.2 认证 认证是为了防止攻击者的主动攻击，包括验证信息真伪及防止信息在通信过程中被篡改、删除、插入、伪造、延迟及重放等。认证过程通常涉及加密和密钥交换。认证包括三个方面的内容：消息认证、身份认证和数字签名。消息认证是信息的合法接收者对消息的真伪进行判定的方法，身份认证可以证实发送者身份的真伪，而数字签名可以证实文件的真伪。 6.2.3数字签名(Confirmer Signature) 6.2.4数字证书 6.2.5 访问控制的实施 （1）入网访问控制 （2）网络的权限控制 （3）目录级安全控制 6.3 防火墙技术 1．防火墙的概念 防火墙（Firewall）类似建筑物中的防火墙，是一个或一组网络设备（计算机或路由器等），它的作用是保护内部网络不受外部网络的攻击，以及防止内部网络用户向外泄密。如图7-7所示。 2．防火墙的功能特性 从广义上说，防火墙是一个用于Intranet与Internet之间的隔离系统或系统组（包括软件和硬件），它在两个网络之间实施相应的