《现代通信系统与信息网》第11章网络安全.ppt

第11章　网络安全 11.1概述 11.2 网络安全典型技术 11.1概述 11.1.1 网络安全问题的由来与重要性 通过对前面章节的学习，我们已经了解到随着现代通信系统与信息网的快速发展，网络信息服务功能得以巨大地增强和延伸，广泛覆盖于各行各业及各个领域，网络用户来自各个阶层与部门，人们对网络环境和网络信息资源的依赖程度日渐加深。与此同时，网络与信息安全隐患却从各个方面越来越明显地突现出来，大量在网络中存储和传输的数据需要保护，因为这些数据本身对于所有者来说可能是敏感数据（如个人的医疗记录、信用卡账号、登录网络的口令，或者企业的战略报告、销售预测、技术产品的细节、研究成果、人员的档案等），另一方面，这些数据在存储和传输过程中都有可能被盗用、暴露、篡改和伪造。 目前，作为数据通信和资源共享的重要平台－互联网是一个开放系统，其具有资源丰富、高度分布、广泛开放、动态演化、边界模糊等特点，安全防御能力非常脆弱，而攻击却易于实施，且难留痕迹。随着全球信息基础设施和各个国家信息基础的逐渐形成，计算机网络已经成为信息化社会发展的重要保证，网络深入到国家的政府、军事、文教、企业等诸多领域，许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理，所以，难免会吸引各种主动或被动的人为攻击。 就我国而言，目前，我国信息化建设已进入高速发展阶段，电子政务、电子商务、网络金融、网络媒体等正在兴起，这些与国民经济、社会稳定息息相关的领域急需信息安全保障。特别对于军事、公共安全等部门使用的网络的安全显得尤为重要。 就网络信息安全的意义，从大的方面说，网络信息安全关系到国家主权的安全、社会的稳定、民族文化的继承和发扬等；从小的方面说，网络信息安全关系到公私财物和个人隐私的安全；因此必须设计一套完善的安全策略，采用不同的防范措施，并制定相应的安全管理规章制度来加以保护。 11.1.2 安全服务 任何危及网络通信系统安全的活动都属于安全攻击。网络安全的目的就是保护网络通信系统的硬件、软件及其系统中的数据，使其不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统连续、正常运行，网络服务不中断，如个人信息不被窃取。因此，网络通信安全的任务包括：保障各种系统资源稳定、可靠地运行；保障各种系统资源受控、合法地使用。 安全服务就是加强数据处理系统和信息传输的安全性的一类服务，其目的在于利用一种或多种安全机制阻止安全攻击。对网络通信系统而言，通常需要以下几个方面的安全服务： 1、机密性 机密性是信息不泄露给非授权的用户、实体或过程，或供其利用的特性。它确保在一个计算机系统中的信息和被传输的信息仅能被授权的各方得到。机密性可保护数据免受被动攻击,包括消息内容的析出和通信量分析两个方面。 2、完整性 完整性是数据未经授权不能进行改变的特性，即信息在存储或传输过程中不被修改、不被插入或删除的特性。它保证收到的数据确是授权实体所发出的数据。 3、鉴别 也叫认证，用于确保一个消息的来源或消息本身被正确地标识，同时确保该标识没有被伪造。鉴别服务关注确保一个通信是真实可信的，分为实体认证和数据源认证。 4、非否认性 非否认是防止发送方或接收方抵赖所传输的消息，要求无论发送方还是接收方都不能抵赖所进行的传输。因此，当发送一个消息时，接收方能证实该消息的确是由所宣称的发送方发来的（源非否认性）。当接收方收到一个消息时，发送方能够证实该消息的确送到了指定的接收方（宿非否认性）。 5、访问控制 在网络环境中，访问控制是限制或控制经通信链路对主机系统和应用程序等系统资源进行访问的能力。防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，即未经授权地使用、泄露、修改、销毁以及颁发指令等。访问控制直接支持机密性、完整性以及合法使用等安全目标。对信息源的访问可以由目标系统控制，控制的实现方式是认证。 访问控制是实施授权的一种方法。通常有两种方法用来阻止非授权用户访问目标：(1)访问请求过滤：当一个发起者试图访问一个目标时，需要检查发起者是否被准予访问目标（由控制策略决定）。(2)隔离：从物理上防止非授权用户有