计算机通信网络技术与应用 施荣华 第9章.pptVIP

第 9 章 网络安全与管理 【本章目标】 实现通信网络的高效运行离不开网络安全和网络管理。本章首先介绍网络安全的概念，然后介绍网络安全应用的加密算法标准、常用网络安全技术，以及网络管理模型。要求掌握网络安全的概念、数据加密算法的特征、防火墙、入侵检测、身份认证、数字签名、VPN、网络管理的功能、网络管理逻辑结构。 【本章要点】 1 网络面临的安全问题、网络安全的概念、网络安全的内容 2 数据加密算法：对称加密算法、公开密钥密码体制 3 常用网络安全技术及其应用：防火墙技术、入侵检测技术、身份认证与数字签名、VPN技术 4 网络管理的基本概念、网络管理逻辑结构、网络管理的主要功能、网络管理协议 9.1 网络信息安全概述 9.1.1 网络面临的安全问题 9.1.2 网络安全的概念 9.1.3 网络安全的内容 9.1.1 网络面临的安全问题 网络面临的安全问题：网络攻击和网络系统的安全漏洞 1．网络攻击： 一般认为，计算机网络系统的安全性威胁分为两类三个方面。 两类： （1）被动攻击：不修改信息内容，例如偷听、监视、非法查询、非法调用信息等； （2）主动攻击：要破坏数据的完整性，例如删除、窜改、冒充合法数据或制作假的数据进行欺骗，甚至干扰整个系统的正常运行。 三个方面： 一般认为，黑客攻击、计算机病毒和拒绝服务攻击这三个方面是计算机网络系统受到的主要威胁。 9.1.1 网络面临的安全问题 2．网络系统的安全漏洞 （1）网络漏洞； （2）服务器漏洞； （3）操作系统漏洞。 9.1.2 网络安全的概念 1．安全的含义。 在美国国家信息基础设施（NII）的最新文献中，明确给出安全的五个属性 ，这五个属性定义如下： （1）可用性（Availability）：信息和通信服务在需要时允许授权人或实体使用。 （2）可靠性（Reliability）：系统在规定条件下和规定时间内完成规定功能的概率。 （3）完整性（Integrity）：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。 （4）保密性（Confidentiality）：防止信息泄漏给非授权个人或实体，信息只为授权用户使用。 （5）不可抵赖性（Non-Repudiation）：也称作不可否认性，在一次通信中，参与者的真实同一性。 9.1.2 网络安全的概念 2．网络信息安全的原则 一般对信息系统安全的认知与评判方式，包含五项原则： （1）私密性； （2）完整性； （3）身份鉴别； （4）授权； （5）不可否认性。 这五项原则虽各自独立，在实际维护系统安全时，却又环环相扣缺一不可。 9.1.3 网络安全的内容 1．网络安全框架：给出了网络安全体系的基本构成，主要包括以下三个层次：安全技术层、安全管理层和政策法规层。政策法规层保护安全管理层和安全技术层。 2．网络安全对策： （1）根据安全需求制订安全计划； （2）进行风险分析和评估； （3）根据需要建立安全策略。 9.1.3 网络安全的内容 3．网络安全服务（5大服务）：认证 、访问控制 、信息加密 、信息的完整性 、不可抵赖 。 4．网络安全机制：加密机制、 数字签名机制、存取控制机制、信息完整性机制、 业务量填充机制、 路由控制机制、公证机制。 9.2 数据加密算法 9.2.1 数据加密技术概述 9.2.2 对称加密算法 9.2.3 公开密钥密码体制 9.2.1 数据加密技术概述 密码技术分为加密和解密两部分: 1.加密:是把需要加密的报文按照以密钥为参数的函数进行转换，产生密码文件。 2.解密:是按照密钥参数进行解密还原成原文件。 利用密码技术，在信源发出与进入通信信道之间进行加密，经过信道传输，到信宿接收时进行解密，以实现网络通信保密。 利用密码技术，在信源发出与进入通信信道之间进行加密，经过信道传输，到信宿接收时进行解密，以实现网络通信保密。一般的数据加密与解密模型如图9-1所示: 9.2.2 对称加密算法 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。 对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。 9.2.2 对称加密算法 不足之处是，收发双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一钥匙，这会使得发收