《网络安全概论PPT课件.ppt》由会员分享,可在线阅读,更多相关《网络安全概论PPT课件.ppt(56页珍藏版)》请在三一办公上搜索。
1、网络安全,课件制作人声明,本课件共 10个 Powerpoint 文件。教师可根据教学要求自由修改此课件(增加或删减内容),但不能自行出版销售。 对于课件中出现的缺点和错误,欢迎读者提出宝贵意见,以便及时修订。课件制作人2009 年 12 月,课程目标,深入了解网络安全基本原理和实用技术理解密码学基础知识及其应用掌握当前流行的网络安全技术的核心思想完善作为一个“IT人”应该具有的知识体系结构,课程内容,网络安全简介网络安全的重要性网络安全的基本概念网络安全的定义网络安全的属性网络安全层次结构网络安全模型网络安全体系结构安全攻击安全服务安全机制网络安全防护体系网络安全策略网络安全体系,课程内容,
2、安全的基础-密码技术密码技术基本概念加密算法密钥管理通信的安全消息鉴别、身份认证安全协议虚拟专用网VPN,课程内容,计算机系统的安全防病毒技术防火墙技术入侵检测技术应用系统安全EmailWeb电子商务,课程内容,预备知识计算机操作系统计算机网络TCP/IP协议参考书目William Stallings, “Cryptography and Network Security: Principles and Practice”.中译本:密码编码学与网络安全:原理与实践,考核方式,作业(一至两次)30%要求独立完成实验20%5次期末考查50%,第一章 网络安全简介,1.1 网络安全的重要性1.2 网
3、络安全的基本概念网络安全的定义网络安全的属性网络安全层次结构网络安全模型1.3 网络安全体系结构安全攻击安全服务安全机制1.4 网络安全防护体系网络安全策略网络安全体系,1.1 网络安全性挑战,Internet的发展现状,国际互联网的发展起源于1969(APPANET)最初用于军事目的1993年开始了商业应用大量的用户和大量的上网计算机我国互联网的现状(截至2008.12)各类上网用户2.98亿,网民规模全球第一国际出口带宽640,286.67Mbps网站数量2,878,000域名总量达到16,826,198个,全球信息数字化,重要信息数字化个人信息企业资源政府信息重要应用服务网络化WWW服务
4、电子商务,Internet发展中的问题,Internet成功的技术要素统一而高效的协议体系(TCP/IP)层次化的网络结构开放性,使得大量基于TCP/IP的应用软件不断涌现但是互联网发展中,自身存在的问题愈来愈突出服务质量问题管理问题安全问题(尤为突出),网络安全事件频发,网络安全形势严峻的原因,中国互联网持续快速发展,而我国网络安全基础设施建设跟不上互联网发展的步伐,民众的网络安全意识薄弱技术的不断提高,攻击工具日益专业化、易用化,攻击方法也越来越复杂、隐蔽,防护难度较大电子商务领域不断扩展,与现实中的金融体系日益融合,为网络世界的虚拟要素附加了实际价值,这些信息系统成为黑客攻击牟利的目标,
5、造成Internet安全问题的主要原因,信息交换和共享日益依赖于Internet基于TCP/IP协议,自身缺乏安全策略信息传输未加密开放性:协议的体系和实现是公开的大量设计缺陷和安全漏洞IP协议栈各层都有安全问题外来攻击者,信息安全的重要性(1),社会信息化提升了信息的地位在国民经济和社会各个领域,不断推广和应用计算机、通信、网络等信息技术。信息产业在国民经济中所占比例上升,工业化与信息化的结合日益密切,信息资源成为重要的生产要素社会对信息技术的依赖性增强信息技术突飞猛进,成为新技术革命的领头羊信息产业高速发展,成为经济发展的强大推动力信息网络迅速崛起,成为社会和经济活动的重要依托。,信息安全
6、的重要性(2),虚拟的网络财富日益增长网络的普及,使得财产的概念除金钱、实物外,又增加了的网络财富:网络帐号、各种银行卡、电子货币等。网络信息安全直接关系到这些财产的安全。网络与信息安全已成为社会的焦点问题信息比例的加大使得社会对信息的真实程度、保密程度的要求不断提高,而网络化又使因虚假、泄密引起的信息危害程度呈指数增大。信息安全不仅仅涉及到国家的经济、金融和社会安全,也涉及到国防、政治和文化的安全。可以说,信息安全就是国家安全。,1.2 网络安全的基本概念,安全的含义,信息通过计算机、网络进行存储、传输和处理的数字化信息信息安全确保在计算机、网络环境运行的信息系统的安全运行,以及信息系统中所
7、存储、传输和处理的信息的安全保护。网络安全网络及计算机中的信息安全信息安全和网络安全实际上是殊途同归的关系,网络安全的定义,网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统连续可靠正常地运行,网络服务不中断。,网络安全的多角度解读,从一般用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时能够保持机密性、完整性和真实性,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯自身的利益。从网络运行者和管理者角度说,他们希望对网络信息的访问受到保护和控制,避免出现非法使用、拒绝服务和网络资源非法占
8、用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。,安全的发展历史,计算机出现之前:文档管理保险柜、交通员、密码电报20世纪40、50年代:通信保密加密、访问控制20世纪70年代:计算机安全计算机系统不被他人所非授权使用20世纪90年代:网络安全防止通过网络对联网计算机进行攻击21世纪:信息保障保障信息及信息系统的正常运行,威胁网络安全的主要因素,网络和系统自
9、身的安全漏洞技术因素系统和协议的开放性系统自身的缺陷配置失误通信协议的漏洞非技术因素人员素质安全管理制度不健全维护使用人员安全意识薄弱,威胁网络安全的主要因素,外部的安全威胁系统物理上的安全性:高温、湿度、偷盗等病毒、蠕虫Hacker攻击破坏系统窃取信息窃取财富,网络安全的属性,机密性保证信息与信息系统不被非授权的用户、实体或过程所获取与使用。完整性信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等。可用性信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存取所需信息。可控性对信息的存储于传播具有完全的控制能力,可以控制信息的流向和行为方式。真实性也就是可靠性,指信息的
10、可用度,包括信息的完整性、准确性和发送人的身份证实等方面,它也是信息安全性的基本要素。其中,机密性、完整性和可用性通常被认为是网络安全的三个基本属性。,网络安全层次结构,从网络安全角度,网络参考模型的各层都能够采取一定的安全手段和措施,提供不同的安全服务。但是,单独一个层次无法提供全部的网络安全特性,每个层次都必须提供自己的安全服务,共同维护网络系统中信息的安全。,物理层,可以在通信线路上采取电磁屏蔽、电磁干扰等技术防止通信系统以电磁(电磁辐射、电磁泄露)的方式向外界泄露信息。数据链路层,对点对点的链路可以采用通信保密机进行加密,信息在离开一台机器进入点对点的链路传输之前可以进行加密,在进入另
11、外一台机器时解密。在网络层,使用防火墙技术处理经过网络边界的信息,确定来自哪些地址的信息可能活着禁止访问哪些目的地址的主机,以保护内部网免受非法用户的访问。在传输层,可以采用端到端的加密,即进程到进程的加密,以提供信息流动过程的安全性。在应用层,主要是针对用户身份进行认证,并且可以建立安全的通信信道。,网络安全模型,网络安全通用模型,网络访问安全模型,1.3 安全体系结构,安全体系结构的概念,安全的管理员需要以某种系统的方法来定义对安全的要求并刻画满足这些要求的措施ISO于1989年以国际标准正式公布了ISO 7498-2: “信息处理系统 - 开放系统互连 - 基本参考模型 - 第2部分:安
12、全体系结构”,定义了开放系统通信的环境中与安全性有关的通用体系结构元素,作为OSI基本参考模型的补充。,OSI安全体系结构的组成,安全性攻击任何危及企业信息系统安全的活动。安全机制用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程,或实现该过程的设备。安全服务加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。,安全攻击,网络攻击是指降级、瓦解、拒绝、摧毁计算机或计算机网络中的信息资源,或者降级、瓦解、拒绝、摧毁计算机或计算机网络本身的行为。在最高层次上,ISO 7498-2将安全攻击分成两类,即被动攻击和主动攻击。,被动攻击,被动攻击试图
13、收集、利用系统的信息但不影响系统的正常访问,数据的合法用户对这种活动一般不会觉察到。被动攻击采取的方法是对传输中的信息进行窃听和监测,主要目标是获得传输的信息。有两种主要的被动攻击方式:信息收集和流量分析。,被动攻击 - 信息收集,被动攻击 -流量分析,主动攻击,主动攻击则是攻击者访问他所需信息的故意行为,一般会改变系统资源或影响系统运作。 主动攻击包括对数据流进行篡改或伪造数据流,可分为四类:伪装、重放、消息篡改和拒绝服务。,主动攻击的方式,伪装是指某实体假装成别的实体。典型的比如:攻击者捕获认证信息,并在其后利用认证信息进行重放,这样它就可能获得其他实体所拥有的权限。重放是指将攻击者将获得
14、的信息再次发送,从而导致非授权效应。消息修改是指攻击者修改合法消息的部分或全部,或者延迟消息的传输以获得非授权作用。拒绝服务指攻击者设法让目标系统停止提供服务或资源访问,从而阻止授权实体对系统的正常使用或管理。典型的形式有查禁所有发向某目的地的消息,以及破坏整个网络,即或者使网络失效,或者是使其过载以降低其性能。,安全服务,OSI安全体系结构将安全服务定义为通信开放系统协议层提供的服务,从而保证系统或数据传输有足够的安全性。OSI安全体系结构定义了5大类共14个安全服务,OSI安全服务,鉴别服务,鉴别服务与保证通信的真实性有关,提供对通信中对等实体和数据来源的鉴别。对等实体鉴别:该服务在数据交
15、换连接建立时提供,识别一个或多个连接实体的身份,证实参与数据交换的对等实体确实是所需的实体,防止假冒。数据源鉴别:该服务对数据单元的来源提供确认,向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元。,访问控制服务,用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用,信息资源的读、写和删除,进程资源的执行)或对资源的所有访问。,数据保密性服务,为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。保密性是防止传输的数据遭到被动攻击。,数据完整性服务,用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数
16、据丢失。,抗否认性服务,用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。具有源点证明的不能否认:为数据接收者提供数据源证明,防止发送者以后任何企图否认发送数据或它的内容。具有交付证明的不能否认:为数据发送者提供数据交付证明, 防止接收者以后任何企图否认接收数据或它的内容。,安全机制,安全服务和安全机制的关系,1.4 网络安全防护体系,网络安全策略,网络安全策略是网络安全系统的灵魂与核心,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则集合。 网络安全防护体系的建立是基于安全技术的集成基础之上,依据一定的安全策略建立起来的。,5大网络安全策略,物
17、理安全策略访问控制策略防火墙控制信息加密策略网络安全管理策略,网络安全体系,网络安全体系是由网络安全技术体系、网络安全组织体系和网络安全管理体系三部分组成,三者相辅相承,网络安全技术体系,通过对网络的全面了解,按照安全策略的要求,整个网络安全技术体系由以下几个方面组成:物理安全、计算机系统平台安全、通信安全、应用系统安全。,网络安全管理体系,除了在网络设计上增加了安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理。网络安全管理体系由法律管理、制度管理和培训管理3个部分组成。,28、举一而反三,闻一而知十,及学者用功之深,穷理之熟,然后能融会贯通,以至于此。朱熹29、读书之
18、乐乐陶陶,起并明月霜天高。朱熹30、读书之法无他,惟是笃志虚心,反复详玩,为有功耳。朱熹31、读书无疑者须教有疑,有疑者却要无疑,到这里方是长进。朱熹32、为学之道,莫先于穷理;穷理之要,必先于读书。 朱熹33、读书譬如饮食,从容咀嚼,其味必长;大嚼大咀,终不知味也。 朱熹34、读书无疑者,须教有疑,有疑者,却要无疑,到这里方是长进。 朱熹35、举一而反三,闻一而知十,及学者用功之深,穷理之熟,然后能融会贯通,以至于此。朱熹36、我从未知道过有什么苦恼是不能为一小时的读书所排遣的。孟德斯鸠37、喜爱读书,就等于把生活中寂寞无聊的时光换成巨大享受的时刻。孟德斯鸠38、有时间读书,有时间又有书读,这是幸福;没有时间读书,有时间又没书读,这是苦恼。莫耶 39、读书人不一定有知识,真正的常识是懂得知识,会思想,能工作。徐特立,