第22、23、24讲 计算机网络安全技术基础.ppt

第9章 网络安全技术 9.1 计算机网络安全概述 9.2 加密技术 9.3 防火墙技术 9.4 网络攻击和对策 9.5 网络病毒的识别与防范 学习目标 描述网络安全的定义、内容、主要特征、安全威胁和常用的防范措施 了解加密系统中的明文、密文和加密算法的关系 描述对称加密算法和公钥加密算法的基本工作原理及应用 了解数字签名和身份验证的基本概念和作用 了解防火墙基本作用及功能 掌握包过滤和应用层代理两种防火墙技术的应用 了解常用的网络攻击方法和对策 了解网络病毒的特征、分类和防范方法 重要术语 可用性和访问控制：Availability and Access Control 网络安全：Network Security 保密性：Confidentiality 身份证明：Authentiction 不可否认性：Nonrepudiation 完整性：Integrity 密文：Ciphertext 明文：Plaintext或Cleartext 加密：Encryption 解密：Decryption 密钥：Key 私钥：Private Key 公钥：Public Key 9.1 计算机网络安全概述 9.1.1 什么是网络安全 9.1.2 网络系统安全的主要特性 9.1.3 计算机网络系统面临的威胁 9.1.4 引起网络系统不安全的因素 9.1.5 网络安全规范和措施 9.1.1 什么是网络安全 从本质上说，网络安全就是要保证网络信息的安全，即要实现安全通信。 1．保密性（confidentiality） 尽管传输的报文可能被窃听者截取，但只有发送方和预定的接收方能够理解传输报文的内容。这就要求对报文进行加密（encrypted），使得截获者不能解密（decrypted）截取到的报文。保密通信涉及到数据加密和解密的密码学技术。 9.1.1 什么是网络安全 2．身份鉴别（authentication） 发送方和接收方都应该能证实通信的另一方确实具有他们所声称的身份。这在人类面对面通信时，可以通过视觉轻松解决的问题，而在通信双方无法看到对方的情况下，身份鉴别就不是那么容易的事了。举个例子来说，如果你收到一份电子邮件，该邮件中包含的文本信息显示这份电子邮件来自你的一位朋友，你如何相信这封邮件确实是你的那个朋友所发送的呢？身份鉴别也可以用密码技术来解决。 9.1.1 什么是网络安全 3．报文完整性和不可否认性（message integrity and nonrepudiation） 即使发送方和接收方可以互相鉴别对方的身份，他们还需要确保传输的报文内容在传输过程中未被改变（恶意篡改或意外改动），同时接收方要证实一个报文确实来自所宣称的发送方。报文完整性和证实一个报文确实来自所宣称的发送方也可以用密码技术来实现。 9.1.1 什么是网络安全 4．可用性和访问控制（availability and access control） 安全通信的一个关键前提是能进行通信。也就是说，任何非法的用户（或攻击者）不能阻止合法用户使用网络基础设施，保证任何攻击者无法阻止合法用户使用网络、主机、网站或其他基础设施。访问控制机制可区分网络的合法用户和非法用户，只允许拥有适当的访问权限的用户以定义明确的方式对资源进行访问。通过防火墙技术可以实现这一特性。 9.1.2 网络系统安全的主要特性 1．可靠性 可靠性是网络系统安全最基本的要求，可靠性主要是指网络系统硬件和软件无故障运行的性能。提高可靠性的具体措施包括：提高设备质量，配备必要的冗余和备份，采取纠错、自愈和容错等措施，强化灾害恢复机制，合理分配负荷等。 9.1.2 网络系统安全的主要特性 2．可用性 可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。这里包含两个含义：一是当授权用户访问网络时不被拒绝；二是授权用户访问网络时要进行身份识别与确认，并且对用户的访问权限加以明确的限制。 9.1.2 网络系统安全的主要特性 3．保密性 保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容。常用的保密措施包括：防监听、防辐射、信息加密和物理保密（限制、隔离、隐蔽、控制）等。 9.1.2 网络系统安全的主要特性 4．完整性 完整性是指网络信息未经授权不能进行改变的特性。即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保持信息的原样。影响网络信息完整性的主要因素包括：设备故障、误码、人为攻击以及计算机病毒等。 9.1.2 网络系统安全的主要特性 5．不可否认性 不可否认性也被称为不可抵赖