第六章计算机安全.ppt

2002年9月12日下午 授课教师：鲁士文（CAS/ICT) 计算机网络课程 计算机安全 本章简介 2002年9月12日下午 授课教师：鲁士文（CAS/ICT) * 2002年9月12日下午 授课教师：鲁士文（CAS/ICT) * 第六章 计算机安全控制系统 计算机病毒 反病毒软件及其应用 计算机黑客与防火墙 数据加密技术 计算机网络安全威胁 ISO对OSI环境定义了以下几种威胁： （1）伪装 （2）非法连接 （3）非授权访问 （4）拒绝服务 （5）信息泄露 （6）通信量分析 （7）篡改/破坏数据 （8）抵赖 网络面临的安全攻击 网络攻击的特点主要有： (1) 隐蔽性强 (2) 破坏性大 (3) 传播快，范围广 安全攻击的形式 (1) 中断：未经授权非法中止通信双方的通信过程。 (2) 截取：未经授权非法获得访问权，截取通信双方的通信内容。 (3) 修改：未经授权非法截获通信内容后，进行恶意修改 (4) 捏造：未经授权向系统中插入伪造的对象，传递欺骗性消息。 被动攻击和主动攻击 被动攻击：是窃听或者监视信息的传送，目的在于获取正在传送的信息。被动攻击中，攻击者只是观察和分析PDU，而不干扰信息流。被动攻击不改变数据，很难被检测到，因此预防是重点。 主动攻击：指攻击者对某个连接中通过的PDU进行各种处理，涉及对数据的修改或创建。主动攻击比被动攻击容易检测，但难预防，因此重在检测 PDU：协议数据单元，不同系统对等层实体间交换的数据单位，包含该层用户数据和该层的协议控制信息PCI 计算机网络安全体系 1989年ISO／TC97技术委员会制订了ISO7498－2国际标准 从体系结构的观点，描述了实现OSI参考模型间安全通信必须提供的安全服务和安全机制，建立了OSI标准的安全体系结构框架。 可供选择的安全服务： 身份认证——双向认证 访问控制——访问权限 数据保密——数据加密 数据完整性——修改、删除、插入、替换或重发 防止否认——数字签名 与安全服务有关的安全机制： 加密机制 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 路由控制机制 业务流填充机制——隐蔽真实流量 公证机制——公证机构 计算机病毒 计算机病毒：能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 计算机病毒的特点 （1）传染性 （2）破坏性 （3）隐蔽性 （4）潜伏性 按破坏性分： （1）良性病毒 （2）恶性病毒 （3）极恶性病毒 （4）灾难性病毒 计算机病毒的分类 按传染方式分： （1）引导型病毒 （2）文件型病毒 （3）混合型病毒 （4）宏病毒 （5）网络病毒 按连接方式分： （1）源码型病毒 （2）入侵型病毒 （3）操作系统型病毒 （4）外壳型病毒 病毒的防治 基于单机的防范 l?软件防治 l?在工作站上插防病毒卡 在网络接口卡上安装防病毒芯片 (2) 基于服务器的防范 基于网络服务器的实时扫描病毒的防护技术 (3) 加强对计算机网络的管理 反病毒软件 反病毒软件应具备的功能有： （1）查毒 （2）杀毒 （3）防毒 许多新的反病毒软件往往将杀毒功能和其他功能结合到一起，如反病毒功能和网络防火墙功能、反病毒功能和系统优化功能，对硬盘数据的恢复功能等 注意：经常更新病毒库 国内最常见的杀毒软件： 瑞星、江民、诺顿、金山毒霸等 例：介绍一种杀毒软件 诺顿反病毒软件主窗口 计算机黑客 黑客Hacker 骇客 Cracker 保护网络安全的常用方法： 取消文件夹隐藏共享 拒绝恶意代码 及时打上补丁 隐藏IP地址 关闭不必要的端口 安装必要的安全软件 防火墙 防火墙是一种计算机硬件和软件相结合的，在因特网和内部网之间的一个安全网关。 是一个内部网与因特网隔开的屏障 主要用来解决内部网和外部网的安全问题。 从实现方式上来分为软件防火墙和硬件防火墙之分 硬件防火墙如果从技术上来分又可分为两类，即标准防火墙和双归属网关防火墙 数据加密技术 数据加密：为提高信息系统及数据的安全性和保密性，防止秘密数据被外部窃取、监听或破坏所采用的主要技术手段之一。 按作用不同，主要分为数据传输、数据存储、数据完整性的鉴别三种。 数据传输加密技术 目的是对传输中的数据流加密, 常用的方法有链路加密和端对端加密。 （1）链路加密 每条通信链路上的加密独立实现，使用不同的加密密钥 P：明文 K：加密密钥 D：解密密钥 （2）端到端加密 在源节点和目的节点进行加密和解密 P：明文 K：加密密钥 D：解密密钥 数据加密技术中：