[网络安全技术]网络安全技术.docVIP

[网络安全技术]网络安全技术 第 8 章 网络安全技术 1 本章节目录 网络安全概述 数据加密技术 报文鉴别和数字签名 数字证书 身份认证技术 Web安全与SSL协议 防火墙 2 网络安全概述 网络安全基本概念 网络面临的安全威胁 网络安全服务和机制 网络安全措施 主要的网络安全技术 3 网络安全的基本概念 ? 网络安全是指网络系统的硬件、软件及其系统 中的数据不受偶然和恶意因素而遭到破坏、更 改和泄漏，系统连续可靠正常的运行，网络服 务不中断。 ? 从其本质上来说，网络安全是网络的计算机上 的信息安全,凡是涉及到网络信息的机密性、完 整性、真实性、可用性、可控性的相关理论和 技术都是网络安全研究的领域。 4 网络安全的目标 ? 机密性：信息不暴露给未授权实体或进程，保 证网络信息只能被授权用户读取。 ? 完整性：数据未经授权不能进行改变，即信息 在存储或传输过程中保持不被修改、破坏和丢 失的特性。这包括软件完整性和数据完整性。 –软件完整性防止病毒和木马对程序的修改； –数据完整性保证计算机系统或在网络中传输的数据 不被未授权修改，能够发现是否被第三者篡改。 5 ? 可用性：授权实体有权访问数据，保证合法用 户的正常请求能得到及时正确安全的响应。 –网络环境下拒绝服务、破坏网络和有关系统的正常 运行等都属于对可用性的攻击； –其难点在于系统软件和上层应用软件存在大量问题 和漏洞。 ? 不可否认性：也称不可抵赖性，是指信息的行 为人要对自己的信息行为负责，不能抵赖自己 曾有过的行为，也不能否认接收到对方的信息。 6 ? 可控性：控制授权范围内的信息流向及操作方 式，对信息的内容和传播具有控制能力。 ? 可审查性：对出现的安全事故提供事后追查的 依据与手段。 ? 可恢复性：对于删除、篡改和破坏的数据或服 务, 能够进行恢复或者功能降级，达到继续使 用的目的，对于物理力破坏造成的网络瘫痪, 能够迅速维修使网络畅通可用。 7 网络面临的安全威胁 ? 由于计算机网络的开放性和操作系统、网络协议、数 据库、应用软件等存在的设计缺陷，以及各种人为利 益或兴趣驱使，造成了对计算机网络的诸多安全威胁。 ? 造成网络不安全的主要因素在于网络协议、系统及数 据库等设计上的缺陷。 – – TCP/IP协议中存在很多安全漏洞。 计算机系统的设计偏重使用的方便性，导致系统在远程访问、 权限控制和口令管理等方面存在问题。 数据库管理系统也存在权限管理、数据安全性及远程访问等方 面的问题。 – 8 通信 过程中的4种威胁 ? 截获：攻击者通过某种手段获得对系统信息 的访问。 ? 中断：攻击者毁坏系统，使系统的通信服务 不能进行。 ? 篡改：攻击者不仅获得访问而且对信息进行 修改。 ? 伪造：攻击者未经授权在系统中伪造信息欺 骗接收者。 9 被动威胁和主动威胁 ? 被动威胁比主动威胁更容易工程实现。 ? 被动威胁的特性是对信息进行窃听和检测，由于 它不对数据进行更改，所以很难被察觉，处理的 重点是预防而不是检测，通常采用加密措施来阻 止这种攻击。 ? 主动威胁易于检测但难以阻止，所以对付主动威 胁的重点是如何检测和发现，这可以在某种程度 上阻止主动威胁。 10 网络安全服务和安全机制 1.安全服务:是计算机网络提供的安全防护措施。 ITU-T 标准（OSI安全体系结构）将这些 服务分为五大类： –认证服务 –访问控制服务 –数据机密性服务 –数据完整性服务 –不可否认服务 11 （1）认证服务 ? 提供某个实体（人或系统）的身份保证，确保 通信实体就是它们所声称的实体。 ? 分为两种类型： – 实体认证：用于逻辑连接建立和数据传输阶段，为 该连接的实体身份提供可信性保障。 数据源点认证：在无连接传输时，保证收到的消息 来自所声称的来源，这种服务支持电子邮件这种类 型的应用。在这种应用下，通信实体间没有任何的 预先交互。 – 12 （2）访问控制服务 ? 防止对系统资源（如计算资源、通信资源或信 息资源）的非授权访问和非授权使用，确保只 有授权的实体才能访问授权的资源。 ? 访问控制直接支持机密性、完整性、可用性以 及合法使用等安全目标。这种保护服务要与不 同的安全策略协调一致，可应用于对资源的不 同类型的访问。比如，这些访问包括使用通信 资源、读写或处理、删除信息资源的操作。 ? 每个试图获得访问权限的实体必须经过认证或 识别后，才能获得相应的访问控制权限。 13 （3）数据机密性服务 ? 保护信息不泄漏给那些未授权的实体（人或组 织），防止传输的数据遭到窃听、流量分析等 被动攻击。 ? 主要有两种机密性