11-网络安全.pptx

计算机网络基础;内容;网络安全的基本概念;网络安全包括OSI-RM各层;网络安全应具备四个特征;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;计算机网络面临的威胁;常见网络威胁;常见网络威胁;信息安全的目的;网络信息安全系统组成;网络安全系统提供安全的常用方法;网络安全的关键技术;内容;信息安全技术;一般数据加密模型;一个密码系统仅能经得起“只有密文”的攻击还不能算是安全的，因为破译者完全可以从一般的通信规律中猜测出一部分的明文，从而就会拥用一些匹配的明文和密文，这对破译工作将大为有用。 真正安全的密码系统应是，即使破译者能够加密任意数量的明文，也无法破译密文。 ;数据加密技术; 定义：替代密码就用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。;凯撒密码——最古老的地带密码;单字母表替换：使明文字母和密文字母之间的映射关系没有规律可循，比如将26个英文字母随意映射到其他字母上。 破译者只要拥有很少一点密文，利用自然语言的统计特征，很容易就可破译密码。;换位密码;换位密码的破译;秘密密钥算法;电路实现;公开密钥算法;公开密钥算法的基本思想;当两个完全陌生的用户A和B希望进行秘密通信时，各自可以从公开的文件中查到对方的加密算法。 若A需要将秘密报文发给B， 则A用B的加密算法EB对报文进行加密，然后将密文发给B，B使用解密算法DB进行解密，而除B以外的任何人都无法读懂这个报文； 当B需要向A发送消息时，B使用A的加密算法EA对报文进行加密，然后发给A，A利用DA进行解密。;在这种算法中，每个用户都使用两个密钥：加密密钥是供其他人向他发送报文用的，这是公开的；解密密钥是用于对收到的密文进行解密的，这是保密的。 通常用公开密钥和私人密钥分别称呼公开密钥算法中的加密密钥和解密密钥，以同传统密码学中的秘密密钥相区分。 由于私人密钥只由用户自己掌握，不需要分发给别人，也就不用担心在传输的过程中或被其他用户泄密，因而是极其安全的。 ;公开密钥密码体制;RSA算法;RSA算法;例题;例题;RSA算法的安全性;用户认证;1.基于共享秘密密钥的用户认证协议 ;2.使用密钥分发中心的用户认证协议;KDC举例;3.使用公开密钥算法的用户认证协议;数字签名;数字签名;数字签名的实现方法;使用秘密密钥算法的数字签名;使用秘密密钥算法的数字签名;验证;密文 ;补充说明;补充说明;算法存在的问题;报文鉴别 ;报文摘要 MD(Message Digest);报文摘要的优点;报文摘要算法;报文摘要的实现 ;加密技术应用案例;本章内容;防火墙技术;通常，部署防火墙的理由包括： 防止入侵者干扰内部网络的正常运行； 防止入侵者删除或修改存储再内部网络中的信息； 防止入侵者偷窃内部的秘密信息。 防火墙应该有以下功能： 所有进出网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上说，防火墙是穿不透的 。 ;内部网需要防范的三种攻击 ;防火墙做不到的事;防火墙在因特网与内部网中的位置 ;防火墙体系结构;1．双重宿主主机体系结构--双重宿主主机;双重宿主主机防火墙结构;2.主机过滤体系结构 ;3.子网过滤结构;参数网络 ;如果入侵者仅仅侵入到参数网络的堡垒主机，他只能偷看到参数网络的信息流，看不到内部网的信息，而参数网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流（内部主机间互传的重要和敏感的信息）在参数网络中流动，所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。;堡垒主机 ;建立堡垒主机应该注意以下几点： （1）要在机器上使用最小的、干净的和标准的操作系统。 （2）应该认真对待每一条从计算机紧急救援协作中心获得的针对用户目前工作平台的安全建议。 （3）要经常使用检查列表（Checklist）。 （4）要保护好系统的日志。 ;对堡垒主机进行监测 ;内部路由器;外部路由器; 防火墙类型 ;包（分组）过滤型防火墙 ;包过滤可依据以下三类条件允许或阻止数据包通过路由器： 包的源地址及源端口； 包的目的地址及目的端口； 包的传送协议，如FTP、SMTP、rlogin等。;包过滤的优点;包过滤的缺点;包过滤规则;包过滤处理流程 ;包过滤规则设计示例;以上规则被编成如下表的形式。其中星号（*）表明它可以匹配该列的任何值。 ;状态监测型防火墙 ;应用代理型防火墙 ;代理服务器的工作;代理的工作过程 ;代理型防火墙版本;代理类型防火墙优缺点;代理服务器特殊类型;选择防火墙的原则 ;本章内容;网络病毒;计算机病毒分类;宏病