第11章 计算机网络安全44-6.pptVIP

第十一章 计算机网络安全 11.1.1计算机网络安全简介 信息安全五个基本要素： 保密性（Confidentiality）：确保信息不被非授权者获得与使用。 完整性（Integrity）：防止信息被未经授权的篡改，保证信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改。 可用性（Availability）：保证信息及信息系统确实为授权使用者所用。 可控性（Controllability）：信息能被信息的所有者或被授权人所控制，防止被非法利用。 抗抵赖性（Non-repudiation ）：通信双方不能否认己方曾经签发的信息。 11.1.1计算机网络安全简介 网络安全（Network Security）：网络上的信息安全，是信息安全的核心。 网络安全研究的目的：使计算机系统的硬件、软件以及数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，保障系统连续、正常地运行，网络服务不中断。 网络系统的可靠程度最终取决于链中最薄弱的环节，网络安全措施必须从多方面、全方位考虑和部署。 加强网络安全所带来的问题（代价） 网络安全设计规划时应遵循的原则 ： 11.1.2威胁计算机网络安全的主要因素 1. 计算机系统的脆弱性 2. 网络协议的安全问题 3. 数据的安全威胁 4. 网络攻击和计算机病毒构成的威胁 5. 其他方面的原因 网络协议的安全问题 TCP/IP协议制定时并没有考虑安全因素，因此协议本身存在很多安全缺陷。 Security issues are not discussed in this memo 解决之道：增加安全协议(Security Protocol) 网络层的IP安全协议IPSec 传输层的安全套接层协议SSL 应用层的安全电子交易协议SET 、安全超文本传输协议SHTTP、安全通用Internet邮件扩展S/MIME等 数据的安全威胁 数据安全主要保证数据在存储、传输和应用过程中不被非授权用户泄露、篡改或破坏。 数据安全主要是数据库的安全或数据文件的安全问题，包括数据库系统或数据文件系统在管理数据时采取什么样的认证、授权、访问控制及审计等安全机制，达到什么安全等级，机密数据能否被加密存储等。 数据安全研究的主要内容：安全数据库系统、数据存取安全策略和实现方式等。 网络攻击构成的威胁 截获（Interception）：指非授权者通过网络窃听等方式截取通信内容。 中断（Interruption）：当通信正在进行时，非授权者通过破坏通信设施及系统或阻塞网络等方式使正常通信中断，如拒绝服务式攻击。 篡改（Modification）：指非授权者将网络上截获的信息篡改内容后再发送到接收方。 假冒（Fabrication）：又称为“伪造”，指非授权者假冒合法用户的身份与其他合法用户进行通信，如IP欺骗。 计算机病毒构成的威胁 网络病毒 各种计算机病毒 （ CIH病毒 、红色代码、冲击波、震荡波、蠕虫病毒及其变异病毒等）、特洛伊木马、后门程序、逻辑炸弹、流氓软件（包括间谍软件、广告软件、浏览器劫持等）、网络钓鱼软件等 越来越复杂和高级 扩散速度急骤提高、受感染范围越来越广 11.1.3 计算机网络的主要安全技术 物理安全技术 密码技术 身份认证与防抵赖技术 防火墙技术Firewall第三节讲授 防入侵攻击检测技术Intrusion Detection第四节讲授 虚拟专用网VPN技术(这个问题自学) 网络数据存储备份与恢复、灾难恢复技术 防病毒技术Anti-virus第六节自学 虚拟专用网络技术 防火墙建在你和Internet之间，用于保护你自己的电脑和网络不被外人侵入和破坏。VPN是在Internet上建立一个加密通道，用于保护你在网上进行通信时不会被其他人截取或者窃听，VPN需要通信双方的配合。 3、VPN的工作原理 VPN的原理就是在这两台直接和公用连接的计算机之间建立一条专用通道。接在公用网络上的两台计算机或设备的通信内容需要加密或压缩，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。 一般一个完整的VPN系统一般包括以下几个单元： ①VPN服务器，一台计算机或设备用来接收和验证VPN连接的请求，处理数据打包和解包工作。 ②VPN客户端，一台计算机或设备用来发起VPN连接的请求，也处理数据的打包和解包工作。 ③VPN数据通道，一条建立在公用网络上的数据连接。 11.1.4 计算机系统的安全评估标准 可信计算机系统评价准则（TCSEC） Trusted Computer System Evalution Criteria，又称为橘皮书 。 计算机系统安全评估的第一个正式标准 将计算机系统从低到高分为D、C（C1、C2）、B（B1、B2、B3）、A1四类七个安全级别。