网路管理与安全课件.ppt

網路管理與安全 本章提要 16-3 帳號與權限管理 16-4 資料加密與解密 16-5 數位簽章 16-6 公開金鑰基礎建設（PKI） 16-7 防火牆 16-8 IPsec 16-3 帳號與權限管理 『讓必要的人員存取相關的資源, 將不相干的人員排除在外』是確保網路安全的執行方針。 為了確保這點, 人們發展出兩種不同的安全保護機制： 共享層級（Share Level）的系統安全 使用者層級（User Level）的系統安全 共享層級（Share Level）的系統安全 在這種安全模式下, 所有的網路資源都會依據某個密碼來決定要不要提供服務。只要您有該網路資源的正確密碼, 您就可以順利存取該網路資源。 共享層級（Share Level）的系統安全 除此之外, 網路資源也可以依據不同的密碼提供使用者不同的存取權限。換句話說, 這是種認密碼不認人的安全機制。 因為每個網路資源都得個別設定它的密碼與存取權限, 所以這也是一種分散式（與對等式）的安全機制。Windows 95 / 98 / ME 要分享出網路資源時, 便是採用這種安全機制： 共享層級（Share Level）的系統安全 使用者層級（User Level）的系統安全 相較於認密碼不認人的共享式安全機制, 使用者層級的系統安全則是另一種會認人的安全機制。所有的使用者都得有一個帳號, 登入這個帳號後, 才能使用網路上的各種資源。 各個網路資源則可以依據不同的帳號給予不同的存取權限： 使用者層級（User Level）的系統安全 使用者層級（User Level）的系統安全 為了確認使用者就是帳號的合法擁有者（身分驗證）, 使用者要登入帳號時依舊得輸入密碼。 網域伺服器收到使用者輸入的密碼後, 會檢查密碼是否正確, 正確的密碼才能通過身分驗證程序, 順利登入該帳號。 使用者層級（User Level）的系統安全 由於使用者身分驗證的工作都統一由某台伺服器負責, 所以算是一種集中式安全機制。 Windows NT / 2000、Windows XP、Windows Server 2003 與 Unix 系統要分享出網路資源時, 便是採用這種安全機制： 使用者層級（User Level）的系統安全 使用者層級（User Level）的系統安全 在共享式安全機制下, 每個網路資源都得各自設定一套密碼, 然後再通知所有相關的使用者。一旦要改變密碼, 就得再次通知所有相關的使用者。 此外, 認密碼不認人的安全存取模式, 一旦出了問題, 也不易追查是誰洩漏出密碼。 隨著網路規模的逐漸擴大, 採用使用者層級的安全機制也就成為大勢所趨。 使用者層級（User Level）的系統安全 只開放必要權限給必要人員, 是設定帳號權限時的重點。若使用者同時身負兩種工作角色, 那就提供兩個不同的帳號供該使用者運用。 密碼設定原則 為了防止密碼被『嘗試錯誤法』破解, 使用者所設定的密碼不應過短, 更不可以不設密碼！而且應該定期更換密碼。 但密碼更換得太頻繁也不見得好。因為如此一來, 有些使用者就會因為害怕忘記密碼, 而將密碼抄在一張小紙片上, 甚至貼在螢幕前或鍵盤下, 反而增加洩密的機會。 密碼設定原則 此外, 有些使用者乾脆一次就取 8 個密碼, 每次網路管理員要求他更換密碼時, 他就從這 8 個密碼中依序更換成下一個密碼。如此一來, 這些密碼所能提供的保護也將大打折扣。 為了防止密碼被瞎猜猜中, 使用者不應該以自己、親人或偶像的生日、姓名、電話或住址當作密碼。所有在字典上查得到的單字, 都不適合作為密碼。 密碼設定原則 此外, 網路管理者也應該設定『若在特定時間內（例如 3 分鐘）輸入密碼錯誤數次（例如 3 次）, 則將該帳號鎖住一段時間（例如 10 分鐘）, 在鎖住期間該帳號無法用來登入』, 以避免帳號密碼被嘗試錯誤法破解。 16-4 資料加密與解密 16-4-1 資料安全機制的目標 16-4-2 不可還原的編碼函數 16-4-3 對稱金鑰加解密函數 16-4-4 非對稱金鑰加解密函數 16-4-5 雜湊函數 16-4-1 資料安全機制的目標 隨著網路的普及, 資料透過網路傳遞已是生活的一部份了。然而電子化的資料容易被複製、偽造、修改或破壞, 為了避免別人非法存取我們的資料, 資料安全機制應運而生。資料安全機制的目標有： 1. 完整無誤（Integrity）：確認從網路收到的資料是正確的, 途中沒有被篡改或變造。 資料安全機制的目標 2. 身分驗證（Authentication）：確認資料發送者的身分, 使發送者無法假冒他人身分發送資料。 3. 不可否認（Nonrepudiation）：使發送者無法否認這份資料是他所發出的。 4. 資訊保密（Confidentiality）：確保資料在