(计算机网络技术)17 网络安全技术.ppt

网络技术专业学科带头人 海南软件职业技术学院 第17节 网络安全技术 教学内容： 1、掌握网络安全的基本概念； 2、理解网络安全防护技术的基本原理； 3、掌握网络安全防范方案的制定与实施。 教学重点：网络安全防范方案的制定与实施 教学难点：网络安全防范方案的制定与实施 1 网络安全概述 一般来说，网络信息安全是指网络系统的硬件、软件以及数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，系统可连续、正常、可靠地运行，网络服务不中断。 从广义上来说，凡是涉及到网络上信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability) 、真实性(Authenticity) 和不可抵赖性(non-repudiation)的相关理论、技术、方法以及法律法规都是信息网络安全研究的对象。 （1）安全体系结构 ISO发布的国际标准ISO 7498-2--1989，我国相应的国家标准为GB/T 9387.2—1995，该标准定义了5种安全服务： ·鉴别（身份验证）：提供对通信中的对等实体和数据来源的确认，包括对等实体鉴别与数据原发鉴别。 ·访问控制：对OSI资源、非OSI资源的各种不同类型的访问或应用的非授权使用提供保护。 ·数据机密性：对数据提供保护使之不被非授权地泄露，包括连接机密性、无连接机密性、选择字段机密性与通信业务流机密性。 ·数据完整性：通过检验来维护数据的一致性，包括带恢复的连接完整性、不带恢复的连接完整性、选择字段的连接完整性、无连接完整性和选择字段无连接完整性。 ·抗抵赖性（抗否认）：提供数据来源和数据交付证据，包括有数据原发证明的抗抵赖和有交付证明的抗抵赖。 （2）可信计算机评估标准 美国国防部公布的《可信计算机系统评估准则》TCSEC(Trusted Computer System Evaluation Criteria)将计算机系统的安全可信度从低到高分为四类七个级别，该标准已成为事实上的国际标准。 ·D级(最小保护)：除物理上的安全设施外没有任何安全措施，任何人只要启动系统就可以访问系统的资源和数据。 ·C1级(选择的安全保护)：具有自主访问控制机制，用户登录时需要进行身份鉴别。 ·C2级(访问控制保护)：具有审计和验证机制，Unix和Windows等系统大多具有此类的安全设施。 ·B1级(强制安全保护)：引入强制访问控制机制，能够对主体和客体的安全标记进行管理。 ·B2级（结构化安全保护）：具有形式化的安全模型，着重强调实际评价的手段，能够对隐通道进行限制。 ·B3级（安全域机制）：具有硬件支持的安全域分离措施，从而保证安全域中软件和硬件的完整性，提供可信通道。对时间隐通道的限制。 ·A1级（可验证的安全设计）：要求对安全模型作形式化的证明，对隐通道作形式化的分析，有可靠的发行安装过程。 （3）网络安全现状 ①计算机病毒泛滥 自1983年美国计算机安全专家考因在实验室中编写出第一个计算机病毒以来，病毒就成为所有计算机用户的一个梦魇，也是当前信息网络安全最直接的威胁。 ·病毒数量爆发式增长。根据瑞星公司的报告显示，2005年同期为26927个，2006年同期为119402个，2007年截获病毒样本数高达917839个。 ·病毒传播速度加快。20世纪90年代，一个计算机病毒需要三年时间才能传染全球，而借助现今的信息网络则仅仅需要几分钟。 ·病毒危害方式日趋严重。病毒从最初的抢占系统资源，已经发展为不仅破坏软件和数据，甚至可以直接破坏系统硬件。 ·造成的损失巨大。2000年5月3日至4日，全球数百万台计算机被“爱虫”病毒感染，短短两天就造成经济损失20多亿美元，成为有史以来破坏力最强的计算机病毒事件。 （3）网络安全现状 ②黑客恣意横行 最初的黑客仅仅利用自身掌握的技术发现并利用系统的漏洞入侵目标系统来显示自己的技术实力，如今已有黑客大摇大摆地走向前台，公开以黑客技术实施敲诈勒索。 根据我国公安部门的统计，1997年我国发生与黑客有关的网络犯罪20起，1998年142起，1999年908起，2000年超过3000多起，之后已无法统计。2007年瑞星截获病毒样本917839个，其中木马和后门病毒约77万。由于网络犯罪的高技术性和隐蔽性，实际破