章网络安全.pptVIP

12.8.1 数字证书 数字证书：是由权威机构CA（Certificate Autority）发行的一种电子文档，是网络环境下的一种身份证，用于标识用户的身份及其公开密钥的合法性。 数字证书的特点： ? 证书中包含用户的身份信息，因此可以用于证明用户的身份。 ? 证书中包含非对称密钥，不但可以用于数据加密，还可以用于数字签名，以保证通信过程的安全性和不可抵赖性。 ? 由于证书是由权威机构颁布的，因而具有很高的公信度。 12.8.1 数字证书 数字证书的原理：是基于公开密钥密码体制，每个用户均拥有两个密钥：公钥和私钥；其中私钥用于解密和签名，而公钥则是提供给其它用户使用，用于数据的加密和验证签名。 数字证书的分类 系统证书 用户证书 个人数字证书 机构数字证书 机构签名证书 个人签名证书 X.509数字证书 目前在使用的数字证书：X.509证书、WTLS证书、PGP证书等 将符合X.509标准的数字证书简称为X.509证书 一个标准的X.509证书包括：版本号、序列号、签名算法标识、签发者、有效期、主体名、主体公开密钥信息、CA的数字签名、可选项等部分。 12.8.2 PKI的组成及功能 PKI应用接口 PKI系统 认证机构CA 数字证书库 密钥备份和恢复系统 证书作废处理系统 12.8.2 PKI的组成及功能 认证机构CA ? 证书管理服务器 ? 签名和加密服务器 ? 密钥管理服务器 ? 证书发布和CRL发布服务器 ? 在线证书状态查询服务器 ? Web服务器 12.8.2 PKI的组成及功能 CA的功能 ? 证书发放 ? 证书更新 ? 证书注销 ? 证书验证 12.9 防火墙技术 防火墙：位于内部网与外部公用网络之间、或两个信任程度不同的网域之间的软、硬件系统，它对两个网络之间的通信进行监控，通过强制实施统一的安全策略，限制外界用户对内部网络的访问，管理内部用户访问外部网络的权限，防止对网络内部重要信息资源的非法存取和访问，以达到保护内部网络系统安全运行的目的。 * 第12章 网络与信息安全 网络的脆弱性及安全威胁 网络攻击与攻击过程 网络安全的基本功能和网络安全技术 密码学与数据加密 消息认证与数字签名 信息隐藏技术 公开秘钥基础设施 防火墙技术 网络入侵检测技术 12.1 概述 计算机 网络安全 硬件设施安全 软件设施安全 保护软件系统及计算机中的数据不被非法访问、篡改和破坏 保护计算机硬件及相关网络设备免受物理破坏 ? 保密性(confidentiality)：就是保证信息不泄漏给未经授权的人。信息的保密性包括传输过程中的保密性和存储时的保密性。 ? 完整性(integrity)：就是防止信息被未经授权地篡改，即防止信息在传输和存储过程中被非法修改、破坏或丢失，并且能够判断出信息是否已经被修改；目的是要保证信息在传输和存储过程中的一致性。 计算机网络与信息安全的性能指标 ? 可用性(availability)：就是保证信息及信息系统确实为授权使用者所用，即系统要保证合法用户在需要时可以随时访问系统资源。 ? 可控性(controllability)：就是指网络应具有可管理性，能够根据授权对网络及信息系统实施安全监控，使得管理者能够有效地控制网络用户的行为和网上信息的传输。 ? 不可否认性(non-repudiation)：也称为不可抵赖性。即通过记录参与网络通信活动的双方的身份认证、交易过程和通信过程等，使得任何一方无法否认其过去所从事的活动。 计算机网络与信息安全的性能指标 12.2 网络的脆弱性及安全威胁 ?把计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足称为安全漏洞（security hole），也叫脆弱性（vulnerability）。 网络的脆弱性 电磁辐射 线路窃听 串音干扰 硬件故障 人为因素 通信系统 软件问题 网络规模 设计缺陷 网络的安全威胁 黑客攻击 恶意代码 拒绝服务攻击 非授权访问 对信息完整性的攻击 计算机病毒 特洛伊木马 计算机蠕虫 资源耗尽型 异常型 12.3 网络攻击与攻击过程 网络攻击：指对网络系统的保密性、完整性、可用性、可控性和不可否认性造成危害的行为。 典型的网络攻击 扫描攻击 口令破译 网络监听 网络欺骗 数据驱动攻击 端口扫描 漏洞扫描 缓冲区溢出攻击 格式化字符串攻击 网络攻击过程 寻找目标，收集信息 初始访问系统 获得完全的访问权限 覆盖痕迹，安装后门 12.4 网络安全的基本功能和网络安全技术 网络安全的基本功能 ? 安全防御 ? 安全监测 ? 应急处理 ? 恢复 使得网络具有抵御各种网络威胁或攻