重庆理工大学计算机科学与工程学院计算机网络基础课件 第八章.pptVIP

8.1 网络安全概念与任务 网络安全是使用Internet时必备的知识。随着计算机网络的日益普及，网络在日常生活、工作中的作用也就越来越明显。计算机网络逐步改变了人们的生活方式，提高了人们的工作效率。但是，有时也会带来灾难。黑客、病毒、网络犯罪都是时刻在威胁者我们在网络上的信息安全。如何保证和解决这些问题，让我们能安全自由的使用网络资源，就是需要相关的网络安全技术来解决。 8.1.1网络安全的概念 网络安全的含义是指通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。 网络安全首先要保障网络上信息的物理安全，物理安全是指在物理介质层次上对存储和传输的信息的安全保护，目前，物理安全中常见的不安全因素主要包括自然灾害、电磁泄漏、操作失误和计算机系统机房环境的安全。 8.1.1网络安全的概念 安全控制是指在计算机操作系统上和网络通信设备上对存储和传输的信息的操作和进程进行控制和管理，主要是在信息处理和传输层次上对信息进行的初步安全保护。安全控制可以分为三个层次：计算机操作系统的安全控制，网络接口模块的安全控制和网络互联设备的安全控制。 安全服务是指在应用层次上对信息的保密性、安全性和来源真实性进行保护和鉴别，满足用户的安全要求，防止和抵御各种安全威胁和攻击手段，这是对现有操作系统和通信网络的安全漏洞和问题的弥补和完善。 8.1.1网络安全的概念 从技术角度上讲，网络信息安全包括五个基本要素：机密性、完整性、可用性、可控性和可审查性。 机密性是指确保信息不能泄密给非授权的用户，保证信息只能提供给授权用户在规定的权限内使用的特征。 完整性是指网络中的信息在存储和传输过程中不会被破坏或丢失，如修改、删除、伪造、乱序、重放、插入等。完整性使信息的生成、传输、存储的过程中保持原样，保证合法用户能够修改数据，并且能够判别出数据是否被篡改。 8.1.1网络安全的概念 可用性指信息只可以给授权用户在正常使用时间和使用权限内有效使用，非授权用户不能获得有效的可用信息。 可控性指信息的读取、流向、存储等活动能够在规定范围内被控制，消除非授权用户对信息的干扰。 可审查性是指信息能够接受授权用户的审查，以便及时发现信息的流向、是非被破坏或丢失以及信息是非合法。 8.1.2网络信息安全面临的威胁 计算机网络的发展，使信息在不同主体之间共享应用，相互交流日益广泛深入，但目前在全球普遍存在信息安全意识欠缺的状况，这导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁。 计算机网络面临的威胁： 截获：从网络上窃听他人的通信内容。 中断：有意中断他人在网络上的通信。 篡改：故意修改网络上传送的报文。 伪造：伪造信息在网络上传送。 8.1.2网络信息安全面临的威胁 上述四种对网络的威胁可划分为两大类，即被动攻击和主动攻击，如图8.1所示。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。 8.1.2网络信息安全面临的威胁 根据这些特点，可以得出计算机网络通信安全的五个目标如下： （1）防止分析出报文内容 （2）防止信息量分析 （3）检测更改报文流 （4）检测拒绝报文服务 （5）检测伪造初始化连接 还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下几种恶意程序： 计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹等。 8.1.3网络安全组件 网络信息安全是一个整体系统的安全，是由安全操作系统、应用程序、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络防病毒等多个安全组件共同组成的，每个组件各司其职，共同保障网络的整体安全。每一个单独的组件只能完成其中部分功能，而不能完成全部功能。 8.1.3网络安全组件 (1)防火墙 防火墙是内部网络安全的屏障，它使用安全规则，可以只允许授权的信息和操作进出内部网络，它可以有效的应对黑客等对于非法入侵者。但防火墙无法阻止和检测基于数据内容的病毒入侵，同时也无法控制内部网络之间的违规行为。 8.1.3网络安全组件 (2)漏洞扫描器 漏洞扫描器主要用来发现网络服务、网络设备和主机的漏洞，通过定期的扫描与检测，及时发现系统漏洞并予以补救，清除黑客和非法入侵的途径，消除安全隐患。当然，漏洞扫描器也有可能成为攻击者的工具。 8.1.3网络安全组件 (3)杀毒软件 杀毒软件是最为常见的安全工具，它可以检测，清除各种文件型病毒、邮件病毒和网络病毒等，检测系统工作状态，及时发现异常活动，它可以查杀特洛伊木马和蠕虫等病毒程序，防止病毒破坏和扩散有积极作用。 8.1.3网络安全组件 (4)入侵检测系统 入