网络安全概述52046new.doc

10.1 网络安全概述 10.1.1 网络安全的基本概念 10.1.2 网络安全问题的层次划分(网络安全风险) 10.1.3 网络安全策略 10.2 数据加密和数字证书 10.2.1 数据加密技术 10.2.2 数字证书和公钥基础设施 10.2.3 数据加密和数字签名的比较 10.3 防火墙技术和SSL技术 10.3.1 防火墙的类型和体系结构 10.3.2 SSL协议的实现原理 10.4 网络攻击与入侵检测技术 10.4.1 网络攻击方法 10.4.2 入侵检测系统概述 10.5 网络病毒防范技术 10.5.1 网络病毒的特点及危害 10.5.2 防病毒技术  第10章 网络安全技术 开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放，使得他们能够利用Internet提高办事效率和市场反应能力，以便更具竞争力。通过Internet，他们可以从异地取回重要数据，但同时又要面对Internet开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要问题之一。因而，学习和研究网络安全技术是十分必要和迫切的。 本章首先介绍网络安全方面的基础知识，了解网络安全的属性、安全威胁和安全策略以及可信计算机系统的安全评估标准，然后对防火墙技术、加密技术、反病毒技术、入侵检测技术等安全技术进行概括性的介绍，了解网络安全技术的发展和目前业界具有代表性的网络安全产品。 10.1 网络安全概述 以Internet为代表的全球性信息化浪潮日益高涨，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，网络的安全属性主要表现在以下几个方面： 保密性（Secrecy）：信息不泄露给非授权的用户、实体或进程。 完整性（Integrity）：信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性（Available）：可被授权实体访问并按需求使用的特性。 真实性（Authenticity）（认证性、不可抵赖性）：在信息交互过程中，确信参与者的真实同一性，所有参与者都不能否认和抵赖曾经完成的操作和承诺。 可控性（Controllable）：对信息的传播路径、范围及其内容所具有的控制能力。 10.1.1 网络安全的基本概念 网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。网络安全有很多基本的概念，下面先来简单地介绍一下。 1. OSI安全体系结构 OSI参考模型是研究、设计新的计算机网络系统和评估、改进现有系统的理论依据，是理解和实现网络安全的基础。 OSI安全体系结构是在分析对开放系统威胁和其脆弱性的基础上提出来的。在OSI安全参考模型中主要包括安全服务（Security Service）、安全机制（Security Mechanism）和安全管理（Security Management），并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。 网络的安全服务包括以下几个： 对等实体认证服务：实体的合法性、真实性确认。 访问控制服务：防止对任何资源的非授权访问。 数据保密服务：加密保护，防止被截获的数据泄密。 数据完整性服务：使消息的接收者能够发现消息是否被修改，是否被攻击者用假消息换掉。 数据源点认证服务：数据来自真正的源点，以防假冒。 信息流安全服务：通过流量填充阻止非法流量分析。 不可否认服务：防止对数据源以及数据提交的否认。 为了实现这些安全服务，需要一系列安全机制作为支撑，如下所示： 加密机制：应用现代密码学理论，确保数据的机密性。 数字签名机制：保证数据完整性和不可否认性。 访问控制机制：与实体认证相关，且要牺牲网络性能。 数据完整性机制：保证数据在传输过程中不被非法入侵篡改。 认证交换机制：实现站点、报文、用户和进程认证等。 流量填充机制：针对流量分析攻击而建立的机制。 路由控制机制：可以指定数据通过网络的路径。 公证机制：用数字签名技术由第三方来提供公正仲裁。 2. 信息安全构架与评估标准 信息安全是网络安全体系结构的一个最重要的部分，主要涉及信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，结