网络安全扩展.ppt.pptVIP

网络安全 计算机信息系统安全 信息安全的基本要求 安全的威胁 网络本身存在的安全缺陷 网络安全应考虑的一般原则 安全技术 安全技术——身份验证 访问控制 加密技术 对称密码术（单一密钥） 非对称密码术 企业内部网络 防火墙不能做什么 记 账 侵袭的类型 攻击工具——扫描器 攻击工具——口令“入侵者” 攻击工具——特洛伊木马 攻击工具——嗅探器 其他工具 计算机病毒 计算机病毒 黑 客 为了避开私钥加密存在的密钥副本传送的问题，安全问题专家提出了“公钥加密”的概念，这种方法也称“非对称加密”。 参见幻灯片示例，公共密钥加密使用两个不同的密钥， 因此是一种不对称的加密系统。它的一个密钥是公开的， 而系统的基本功能也是有公共密钥的人可以访问的， 公共密钥可以保存在系统目录内或保存在未加密的电子邮件信息中。它的另一个密钥是专用的， 它用来加密信息但公共密钥可以解密该信息， 它也可以对公共密钥加密的信息解密。 由于私钥不需要传送或共享，因此你不必要信任某个通信渠道，或者事先与接收者建立一些联系，即使是你从来没有见过的人，你也可以使用他的公钥加密信息并安全地把信息发送给他。反过来，如果你需要给某人发送一个信息，并且需要提供政局证明这个信息确实是你发的，那么，你可以使用你的私钥加密信息，对方只能用你的公钥解密信息。如果需要保证传送信息的机密性并且证明信息是从你这里来的需要两次加密。首先用你的私钥对信息进行加密，然后再用接收者的公钥加密，这样只有接收者可以用他的私钥解密，然后用你的公钥验证信息的出处。这就是数字签名的本质。 在系统中保留一个日志文件，与安全相关的事件可以记在日志文件中，以便于事后调查和分析，追查有关责任者，发现系统安全的弱点。 如UNIX的syslog可以记录系统的一些日志。另外，可以采用专用的记帐程序来对关心的网络系统进行记账。 特洛伊木马是包含在正常程序中的未经授权的代码或程序，它提供了一些用户不知道的（也可能是不希望实现的）功能。 防止特洛伊木马的办法： 不轻易使用不明底细的可执行文件； 检测文件完整性（利用时间、长度等信息）； 使用工具（如MD5、Hobgoblin等）。 口令入侵者是指任何可以解开口令或者屏蔽口令保护的程序。口令入侵者都使用“蛮力”——以很高的速度，一个口令接一个口令地去试，最终找到正确的口令。它经常利用有问题的而缺乏保护的口令进行攻击，这是最常见的攻击方式之一。 常用口令入侵者程序 Alec Muffett的Crack 用于破解加密UNIX口令的最著名的工具，它现已程序检查网络口令弱点的工业标准。 Jackal的CrackerJack 是一个专为DOS平台设计的、著名的UNIX口令入侵者。 Solar Designer的John the Ripper 可运行于DOS／Windows 95平台的UNIX口令入侵者。 Michael A.Quinlan的ZipCrack 是用于破解后缀是.zip的文件的口令。 防止口令入侵者的办法 使用安全的口令（不是字典中的词，字母、数字、特殊字符混合使用）； 经常修改口令。 Sniffer既可以是硬件，也可以是软件，它用来接收在网络上传输的信息。Sniffer是一种很危险的工具，因为它们： 可以截获口令； 可以截获秘密的或专有的信息； 可以被用来攻击相邻的网络。 如何挫败一个Sniffer： 加密 防火墙能强制安全策略：因特网的许多服务是不安全的，防火墙是这些服务中的“交通警察”，它执行站点的安全策略，仅仅允许“认可的”和符合规则的服务通过。 防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。即把防火墙看做阻塞点，所有进出的信息必须穿过这个唯一的、狭窄的检查点。防火墙为网络安全起到了把关的作用。 防火墙有三种类型：包过滤路由器、应用级网关(或代理服务器)、线路级网关。 防火墙是连接网络到因特网同时又保护那个网络的最有效的办法。 定义：所谓防火墙就是一个或一组网络设备(计算机或路由器等)，可用来在两上或多个网络间加强访问控制。 在学术界，也有人持不同的意见，他们认为防火墙应是完全不同于路由器的设备，是可在应用层对报文分组进行处理的网络安全设备，如双宿主机、应用层网关等。而把硬件加密设备、筛选路由器等工作在网络层以下的设备只看作防火墙的组成部件。 防火墙不能防范人为因素的攻击。防火墙不能防止由内奸或用户误操作造成的威胁，以及由于口令泄露而受到的攻击。 防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从Internet服务提供商那里购置直接的SLIP或PPP连