网络安全技术培训.pptVIP

第十一章　网络安全 本章主要内容： 网络安全的概念 防火墙技术 网络病毒及其防范 数据加密与数字证书 11.1 网络安全概述 11.1.1 网络安全的概念 狭义的网络安全：是指计算机及其网络系统资源和信息资源 不受自然和人为有害因素的威胁和危害，即指计算机、网络系统的硬 件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而 遭到破坏、更改、泄露，保障系统能连续可靠地运行。计算机网络安 全从本质上来讲就是系统的信息安全。 广义的网络安全：从广义角度来讲，凡是涉及到计算机网络上信息的 保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网 络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管 理、环境等内容。我们通常所说的网络安全主要是指狭义的网络安全。 11.1 网络安全概述 网络安全包括五个基本要素：机密性、完整性、可用性、可控制性 与可审查性。 机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是 否已被篡改。 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有 的资源而阻碍授权者的工作。 可控制性：可以控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 11.1 网络安全概述 11.1.2 网络安全面临的风险 一般认为，目前网络安全面临的风险主要有以下五个方面。 非授权访问：指没有预先经过同意非法使用网络或计算机资源，比如有意避开系统访问控制机制，对网络设备及资源进行非正常使用；擅自扩大权限、越权访问信息等。 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失。它通常包括信息在传输中丢失或泄漏(比如，利用电磁泄漏或搭线窃听等方式截获机密信息)；在存储介质中丢失或泄漏；通过建立隐蔽隧道窃取敏感信息等。 破坏数据完整性：指以非法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据 ，以干扰用户的正常使用。 拒绝服务攻击：不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应速度减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且很难防范。 11.1 网络安全概述 11.1.3 安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保 护所必须遵守的规则，它包括三个重要的组成部分。 (1) 威严的法律：安全的基石是社会法律、法规与手段。通过建立一套安全管理标准和方法，即通过建立与信息安全相关的法律和法规，可以使非法者慑于法律，不敢轻举妄动。 (2) 先进的技术：先进的安全技术是信息安全的根本保障。用户通过对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。 (3) 严格的管理：各网络使用机构 、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。 11.1 网络安全概述 11.1.4?? 网络安全措施 既然网络中存在诸多安全威胁，就有必要建立完善的网络安全策略。 在安全策略中技术措施是网络正常运行的保证。网络安全措施主要包 括口令与访问控制方式、防火墙技术、应用网关与代理服务器技术、 密码技术、IP加密技术和数字签名等技术。 11.2 防火墙技术 11.2.1 防火墙的概念 防火墙（Firewall）是一种将内部网络和外部公共网络（Internet）分 开的方法或设备。它检查到达防火墙两端的所有数据包(无论是输入 还是输出)，从而决定拦截这个包还是将其放行。防火墙在被保护网 络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立 起一个安全网关（Security Gateway）。防火墙通过监测、限制、更 改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结 构和运行状况，以此来实现网络的安全保护。防火墙的概念模型如 下页图示。 11.2 防火墙技术 防火墙概念模型示意图 11.2 防火墙技术 11.2.2 防火墙的功能与分类 1．? 防火墙的功能 防火墙一般具有如下三种功能： （1） 忠实执行安全策略，限制他人进入内部网络，过滤掉不安全服务和非法用户。 （2） 限定内部网络用户访问特殊网络站点，接纳外网对本地公共信息的访问。 （3） 具有记录和审计功能，为监视互联网安全提供方便。 2. 防火墙分类 防火墙