网络与信息安全课件资料.ppt

端到端加密方式 端到端加密方式 链到链加密与端到端加密的结合 * * * 主要优点是透明性 能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制； 网络层支持以子网为基础的安全 子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问 密钥协商的开销小 由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低 无法实现针对用户和用户数据语义上的安全控制 优点： 缺点： 整个分组（包括分组头信息）都被加密 ，保密性强 使用范围有限 只有在专用链路上才能很好地工作 ，中间不能有转接点 优点： 缺点： 两种基本方式： 链到链加密 端到端加密 EK1 DK1 EK2 DK2 EK3 DK3 发送端 中间结点1 中间结点2 接收端 链1 C1 链2 C2 链3 C3 P P 主机维护加密设施，易于实现 对用户透明 能提供流量保密性 密钥管理简单 数据仅在传输线路上是加密 开销大 每段链路需要使用不同的密钥 优点： 缺点： EK1 DK1 发送端 中间结点1 中间结点2 接收端 链1 C 链2 C 链3 C P P 在网络层或应用层实施加密机制 优点： 缺点： 不能提供流量保密性 密钥管理系统复杂 加密是离线的 在发送端和中间节点上数据都是加密的，安全性好 能提供用户鉴别 提供了更灵活的保护手段 结点1 分组交换网 结点1 结点1 表示端到端加密设备 表示链到链加密设备 产品角度 信息保密产品 用户认证授权产品 安全平台/系统 主机安全检测与监控设备与系统 网络安全检测与监控设备与系统 数据备份与回复设备与系统 匿名通信与隐私保护平台与软件 信息安全理论和技术 密码理论与技术 认证与识别理论与技术 授权与访问控制理论与技术 审计追踪技术 网络隔离与访问代理技术 安全管理与安全工程理论与技术 反病毒技术 从信息对抗角度 安全保障技术 安全保障体系结构 安全保障技术 预警 保护 检测 防御 响应 恢复 安全保障系统 安全攻击技术 攻击机理技术 工具 审计躲避技术 信息安全学科领域角度 通信网络的安全 数据保密通信 数据编码 数据加密 加密/解密算法 加密/解密设备 数据压缩 数据安全传输 计算机网络的安全 网络安全 协议 设施 主机安全 操作系统安全 应用安全 数据库安全 信息保密产品 安全授权认证产品 安全平台/系统 安全检测与监控产品 密码加密产品 密钥管理产品 高性能加密芯片产品 数字签名产品 数字证书管理系统 用户安全认证卡 智能IC卡 鉴别与授权服务器 安全操作系统 安全数据库系统 Web安全平台 安全路由器与虚拟专用网络产品 网络安全隐患扫描检测工具 网络安全监控及预警设备 网络信息远程监控系统 网情分析系统 网络病毒检查预防和清除产品 被动攻击 主动攻击 物理访问攻击 内部人员攻击 软硬件配装攻击 攻击（Attack） 任何危及到信息安全的行为（攻击一定是已经发生，攻击的类型是多种多样的，因而是难以预测的） 威胁（Threat） 信息或信息系统潜在的安全漏洞（威胁不一定会发生，威胁是潜在的，因而在被利用前是很难发现的） 主动攻击 涉及某些数据流的篡改或虚假流的产生。 常见手段：重放、篡改消息和拒绝服务 被动攻击 在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。 常见手段：搭线监听、无线截获和其它截获 主机 网络 通信设施 辅助管理 信息基础设施 软件 硬件 操作系统 应用程序 支撑工具 软件 硬件 软件 硬件 协议 网络管理 设备管理 网络应用 协议 网络管理 设备管理 网络应用 渗透 拒绝服务 信息收集 嗅探 收集 物理资源 网络部署 口令 网络攻击 主动攻击 被动攻击 使用 篡改 欺骗 控制 破坏 信息资源 应用部署 管理部署 网络通信 敏感信息 威胁机密性 威胁完整性 威胁可用性 威胁可控性 安全威胁 窃听 业务流分析 电磁/射频截获 人员疏忽 媒体清理 截获/修改 否认 假冒 旁路控制 授权侵犯 物理侵入 特洛伊木马 陷门 业务欺骗 信息泄漏 完整性破坏 窃取 重放 资源耗尽 窃取 重点 安全服务、安全机制的概念及其相互关系 难点 安全服务的实现及其在网络中的分层部署技术 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我