第六章 网络安全及网的络管理.ppt

用户名及密码方式 用户名/密码方式是最简单、最常用的身份认证方法，是基于“你知道什么”的验证手段。 智能卡认证 智能卡是一种内置集成的电路芯片，存有与用户身份相关的数据，由专门厂商通过专用设备生产。智能卡认证是基于“你有什么”的认证方式，由合法用户随身携带，硬件不可复制无法被仿冒，登录时或同行时须将智能卡在专用读卡器读取身份验证信息。 动态令牌认证 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。 访问控制 访问控制（Access Control）指针对越权使用资源的防御措施，即判断使用者是否有权限使用、或更改某一项资源，并且防止非授权的使用者滥用资源。目的是限制访问主体对访问客体的访问权限。 访问控制包含三方面含义：一是机密性控制，保证数据资源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。访问控制三个要素： （1）主体S（Subject）.是指提出访问资源具体请求. （2）客体O（Object）. 是指被访问资源的实体。 （3）控制策略A（Attribution）。控制规则。 安全审计 计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的包括5个方面： （1）对潜在攻击者起到威慑和警示作用。 （2）测试系统的控制情况，及时调整。 （3）对已出现的破坏事件，做出评估并提供依据。 （4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。 （5）协助发现入侵或潜在的系统漏洞及隐患。 加密技术与密码传输 一个密码系统由算法和密钥两个基本组件构成。密钥是一组二进制数，由进行密码通信的专人掌握，而算法则是公开的，任何人都可以获取使用。 密码系统加密解密的基本原理模型如图所示。 计算机网络加密方式有3种：链路加密、结点对结点加密和端对端加密。 1．密钥管理方法 密钥管理内容包括密钥的产生、存储、装入、分配、保护、丢失、销毁等。 2．密钥管理注意事项 密钥的保密性，主要涉及密钥的管理。任何保密只是相对的，而且有时效性。管理密钥需要注意以下两个方面。 (1)密钥使用的时效和次数 (2)多密钥的管理 第二节 防火墙 防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全。 防火墙的主要功能 实际上，防火墙其实是一个分离器、限制器或分析器，它能够有效监控内部网络和外部网络之间的所有活动，主要功能如下： （1）建立一个集中的监视点。 （2）隔绝内、外网络，保护内部网络。 （3）强化网络安全策略。 （4）有效记录和审计内、外网络之间的活动。 防火墙分类 包过滤防火墙：又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。 代理服务器：这种防火墙是目前最通用的一种。 代理服务器 所谓代理服务器，是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。 代理服务器的基本工作过程是：当客户机需要使用外网服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。同样的道理，代理服务器在外部网络向内部网络申请服务时也发挥了中间转接的作用。 代理服务器的工作原理 代理 服务器 HTTP FTP Telnet … 代理 客户 外部 网络 服务器 发送请求 转发请求 响应请求 转发响应 代理的优点 （1）代理易于配置 代理因为是一个软件，所以它比过滤路由器容易配置，配置界面十分友好。如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。 （2）代理能生成各项记录 因代理在应用层检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。 （3）代理能灵活、完全地控制进出信息 通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，控制进出的信