计算机网络安全技术-精品·公开课件.pptVIP

第6章 计算机网络安全技术 本章重点： （1）网络安全威胁：包括窃听、破坏、重发、假冒、拒绝服务、网络病毒 （2）网络安全技术分类：包括身份验证、完整性、审计、信息伪装技术 （3）数据加密技术：包括私密密钥加密、公开密钥加密、信息摘要算法 （4）身份验证技术：包括身份认证、数字签名、哈希函数 （5）跟踪审计技术：包括侵检测技术、Windows NT系统入侵检测 （6）防火墙技术：包括防火墙的含义、种类、结构 （7）网络安全风险评估：包括风险评估对象、风险评估方法 （8）网络安全技术新发展：包括结构标准化、应用综合化、自我完善趋势 6.1网络安全威胁 6.1.1网络窃听 6.1.2完整性破坏 6.1.3数据修改 6.1.4重发（重放） 6.1.5假冒 6.1.6服务否认（拒绝服务） 6.1.7计算机（网络）病毒 6.2网络安全技术分类 网络安全技术可以分为四大类，即身份验证技术、网络数据完整性技术、网络活动审计技术和信息伪装技术。 6.2.1身份验证技术 6.2.1.1含义 6.2.1.2数字签名 6.2.2数据完整性技术 6.2.2.1含义 6.2.2.2数据加密技术 6.2.2.3访问控制 1.含义 2.组成元素 访问控制包括三个基本元素，即： 可访问对象 访问用户 访问类型 3.访问控制列表ACL 如表6-1所示。 6.2.2.4防火墙技术 防火墙示意图如图6-1所示。 6.2.3 跟踪审计技术 6.2.4信息伪装技术 6.3数据加密技术 6.3.1传统加密算法 6.3.2私密密钥加密算法 6.3.3公开密钥加密算法 6.3.3.1 RSA算法 6.3.3.2 Diffie-Hellman算法 如图6-2所示。 图6-2不安全网络上的SKIP 如图6-3所示 6.3.4信息摘要算法 信息摘要算法具有如下特征： 给定P，很容易计算MD（P），但给定MD（P），却很难找到P。 （2）不同的信息的摘要总是不同的，而同样的明文的“摘要”必定是一致的。 如图6-4所示。 图6-4 信息摘要用于数字签名的过程 6.4身份验证技术 6.4.1身份认证 6.4.1.1信息验证 6.4.1.2用户鉴别 1.基于共享秘密密钥的鉴别 2.基于公开密钥的鉴别 3.基于信息摘要的鉴别 4.基于密钥分配中心的鉴别 6.4.1.3 认证中心 1.数字时戳（Digital Time-Stamp，DTS） 2.数字凭证（Digital ID ，Digital Certificate） 6.4.2数字签名 6.4.3哈希函数 6.4.3.1哈希函数的作用 6.4.3.2哈希函数定义 6.4.3.3 构造哈希函数 1.利用DES构造哈希函数 2.利用RSA构造哈希函数 6.5跟踪审计技术 6.5.1入侵检测技术 6.5.1.1入侵检测的概念 6.5.1.2入侵检测的对象 6.5.1.3入侵检测的工具 6.5.1.4扫描器工作原理 6.5.1.5入侵响应与防御 6.5.2网络系统入侵检测举例 Windows NT事件查看器的界面如图6-5所示。 6.5.2.2系统日志 系统日志如图6-6所示。 6.5.2.3安全日志 安全日志如图6-7所示 6.5.2.4应用程序日志 应用程序日志如图6-8所示。 6.5.2.5事件日志设置 Windows NT事件日志设置界面如图6-9所示。 6.6防火墙技术 6.6.1防火墙的含义 6.6.2防火墙的种类 6.6.2.1包过滤防火墙 如图6-10所示。 图6-10包过滤防火墙 6.6.2.2代理服务防火墙如图6-11所示。 图6-11 代理服务器 6.6.3防火墙的结构 6.6.3.1双宿主机结构 如图6-12所示。 图6-14子网过滤结构防火墙 6.6.3.3子网过滤结构 子网过滤结构如图6-14所示。 6.7网络安全风险评估 6.7.1风险评估对象 6.7.1.1计算机网络硬件系统　　 6.7.1.2计算机网络软件系统 6.7.2风险评估方法 6.7.2.1定性分析法 6.7.2.2定量分析方法 6.7.2.3软件分析法 6.7.2.4泄露分析法 6.7.2.5方案分析法 6.7.2.6质询法 6.7.3安全性评估标准 英国贸易和工业发展部的绿皮书（Green Book）。 德国信息安全局的ZSIEC 法国的蓝白红皮书（Blue-White-Red Book）（SCSSI）。 欧洲工同体制定了信息技术安全评价准则ITSEC（Information Technology Security Evaluation Criteria）。 美国国防部计算机系统评价准则TCSEC（Trusted Computer System Evaluation Criteria），即橙皮书（Orange B