《计算机网络技术基础(9)网络安全.pptx》由会员分享,可在线阅读,更多相关《计算机网络技术基础(9)网络安全.pptx(29页珍藏版)》请在三一办公上搜索。
1、第9章,网络安全,学 习 目 标,9.1 网络安全基础,9.1.1 网络安全概述,随着计算机技术和通信技术的高速发展,网络的开放性、互连性、共享性程度的扩大,网络中的安全问题也日趋严重。,从本质上讲,网络安全问题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。,9.1 网络安全基础,概括起来,一个安全的计算机网络应具有以下特征。,9.1 网络安全基础,9.1.2 网络面临的安全威胁,目前,网络面临的安全威胁主要有以下几个方面。,黑客的恶意攻击,“黑客(Hacker)”对于大家来说并不陌生,他们是一群利用自己的技术专
2、长专门攻击网站和计算机而不暴露身份的计算机用户。事实上,黑客中的大部分人不伤害别人,但是也会做一些不应该做的事情;部分黑客不顾法律与道德的约束,由于寻求刺激、被非法组织收买或对某个企业、组织报复心理,而肆意攻击与破坏一些企业、组织的计算机网络,这部分黑客对网络安全有很大的危害。由于现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,这是网络安全的主要威胁。,9.1 网络安全基础,计算机网络系统的漏洞与缺陷,计算机网络系统的运行一定会涉及计算机硬件与操作系统、网络硬件与软件、数据库管理系统、应用软件,以及网络通信协议等。各种计算机硬件与操作系统、应用软件都会存在
3、一定的安全问题,它们不可能是百分之百无缺陷或无漏洞的。TCP/IP协议是Internet使用的基本协议,该协议中也会找到被攻击者利用的漏洞。这些缺陷和漏洞恰恰是黑客进行攻击的首选目标。,9.1 网络安全基础,网络病毒,病毒对计算机系统和网络安全造成了极大的威胁,病毒在发作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒传播的速度更快,范围更广,造成的损失也更加严重。据统计,目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单机的20倍,网络服务器杀毒花费的时间是单机的40倍。,9.2 网络加密技术,9.2.1 数据加密技术概述
4、,面对网络安全的各种威胁,防止网络传输信息被非法获取或破坏成为Internet安全技术的重要内容。数据加密成为实现数据机密性保护的主要方法。,数据加密是通过某种函数进行变换,将正常的数据报文(称为明文)转变为密文(也称为密码)的方法。解密是加密的逆操作。用来将明文转换为密文或将密文转换为明文的算法中输入的参数称为密钥。加密技术一般分为对称加密技术和非对称加密技术两类。对称加密技术是指加密和解密使用同一密钥。非对称加密技术是指加密和解密使用不同的密钥,分别称为“公钥”和“私钥”,两种密钥必须同时使用才能打开相应的加密文件。公钥可以完全公开,而私钥只有持有人持有。,9.2 网络加密技术,对称加密技
5、术,对称加密技术采用的是对称加密算法。该技术的特点是在保密通信系统中发送者和接收者之间的密钥必须安全传送,而且双方通信所用的密钥必须妥善保管。对称密码具有加密速度快,保密度高等优点,在军事、外交以及商业领域得到了广泛应用。在公开的计算机网络上采用对称密钥加密体系,其最薄弱的环节是如何安全地传送和保管密钥。,9.2 网络加密技术,非对称加密技术,非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃听到。而非对称加密方法有两个
6、密钥,且其中的“公钥”是公开的,收件人解密时只要用自己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出现的安全问题。在实际应用过程中,通常利用两种密钥体制的长处,采用二者相结合的方式对信息进行加密。例如,对实际传输的数据采用对称加密技术,这样数据传输速度较快;为了防止密钥泄露,传输密钥时采用非对称加密技术加密,使密钥的传送有了安全的保障。,8.2.2 数字签名,现实生活中的书信或文件是根据亲笔签名或印章来证明其真实性。那么在计算机网络中传送的文件又如何盖章呢?这就要使用数字签名。数字签名是一种信息认证技术,它利用数据加密技术、数据变换技术,根据某种协议来产生一个反
7、映被签署文件和签署人的特征,以保证文件的真实性和有效性,同时也可用来核实接收者是否存在伪造、篡改文件的行为。简单地说,数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。,9.2 网络加密技术,数字签名技术,数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与数据加密不同,数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下3点:(1)接收者能够核实发送者对消息的签名。(2)发送者事后不能抵赖对消息的签名。(3)接收者不能伪造、篡改对消息的签名。,9.2 网络加密技术,身份认证是指对用户身份的正确识
8、别和校验,它包括识别和验证两方面的内容。识别是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。验证则是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。身份认证是防止主动攻击的重要技术,目前广泛使用的认证方法有口令验证、信物验证和利用个人独有的特性进行验证等。,身份认证技术,9.3 防火墙技术,在各种网络安全技术中,作为保护局域网的第一道屏障与实现网络安全的一个有效手段,防火墙技术应用最为广泛,也备受青睐。,9.3.1 防火墙的概念和作用,防火墙原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到别的房屋。现在的防火墙(Firewall),是指位于两个或
9、多个网络间,实施网络之间访问安全控制的一组组件的集合。,9.3 防火墙技术,9.3 防火墙技术,9.3.2 防火墙的类型,防火墙有多种形式,有的以软件形式运行在普通计算机上,有的以硬件形式集成在路由器中。最常见的分类方式将防火墙分为两类,即包过滤型防火墙和应用级防火墙。,包过滤型防火墙工作在OSI网络参考模型的网络层,它根据数据包中的源地址、目的地址、端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对某个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉
10、价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能满足绝大多数企业的安全要求。,包过滤型防火墙,93 防火墙技术,应用级防火墙又称为应用级网关,也就是代理防火墙。它工作在OSI的最高层,即应用层。应用级防火墙通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在应用级防火墙技术的发展过程中,经历了两个不同的版本。,应用级防火墙,这类防火墙是通过一种代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙是公认的最安全的
11、防火墙。它的核心技术就是代理服务器技术。,9.3 防火墙技术,这类防火墙是近几年才得到广泛应用的一种新防火墙类型。它可以结合网关型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将应用级防火墙的性能提高10倍以上。使用代理服务,网络的安全性虽然得到增强,但也产生了很大的代价,比如,需要购买网关硬件平台和代理服务应用程序、学习相关的知识、投入时间配置网关以及缺乏透明度导致系统对用户不太友好等。因此,网络管理员必须权衡系统的安全需要与用户使用方便之间的关系。需要注意的是,可以允许用户访问代理服务,但绝对不允许用户登录到应用网关,如果允许用户登录到防火墙系统上,防火墙的安全就会
12、受到威胁,可能会造成入侵者损害防火墙的后果。,9.4 病毒与木马,随着网络技术的不断发展及其应用的广泛普及,计算机病毒的花样也层出不穷,它的广泛传播给网络带来了灾难性的影响。因此,如何有效地防范计算机病毒已经成为众多用户关心的话题。,9.4.1 病毒简介,计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者损坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条
13、件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。,9.4 病毒与木马,计算机病毒具有以下几个明显的特征。,(1)传染性。,传染性是计算机病毒的基本特征。传染性是指病毒具有将自身复制到其他程序的能力。计算机病毒可通过各种可能的渠道去传染其他的计算机,如U盘、硬盘、光盘、电子邮件、网络等。,(2)破坏性。,计算机病毒感染系统后,会对系统产生不同程度的影响,例如大量占用系统资源、删除硬盘上的数据、破坏系统程序、造成系统崩溃,甚至破坏计算机硬件,给用户带来巨大损失。,9.4 病毒与木马,(3)隐蔽性。,计算机病毒具有很强的隐
14、蔽性。一般病毒代码设计得非常短小精悍,非常便于隐藏到其他程序中或磁盘某一特定区域内,且没有外部表现,很难被人发现。随着病毒编写技巧的提高,对病毒进行各种变种或加密后,容易造成杀毒软件漏查或错杀。,(4)潜伏性。,大部分病毒感染系统后一般不会马上发作,而是潜伏在系统中,只有当满足特定条件时才启动并发起破坏。病毒的潜伏性越好,其在系统中存在的时间就越长,病毒的传染范围就越大。例如黑色星期五病毒,不到预定的时间,用户就不会感觉异常,一旦遇到13日并且是星期五,病毒就会被激活并且对系统进行破坏。,9.4 病毒与木马,(5)寄生性。,计算机病毒可寄生在其他程序中,病毒所寄生的程序我们称为宿主程序,由于病
15、毒很小不容易被发现,所以在宿主程序未启动之前,用户很难发觉病毒的存在。而一旦宿主程序被用户执行,病毒代码就会被激活,进而产生一系列破坏活动。,9.4 病毒与木马,“特洛伊木马”简称“木马”,名称来源于希腊神话“木马屠城记”。特洛伊木马是指表面上是有用的软件,实际上却危害计算机安全的程序。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件。它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者计算机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的计算机。完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。
16、常说的“中了木马”就是指安装了木马的服务器程序。若某台计算机被安装了服务器程序,则拥有控制器程序的人或计算机就可以通过网络控制该计算机,这时该计算机上的各种文件、程序以及在使用的账号、密码就无安全可言了。,9.4.3 特洛伊木马,9.4 病毒与木马,防止病毒入侵要比病毒入侵后再去发现和消除它更为重要。为了将病毒拒之门外,用户要做好以下预防措施。,9.4.4 计算机病毒的防治,对一些来历不明的邮件及附件不要打开,并尽快删除;不要访问一些不太了解的网站,更不要轻易打开网站链接;不要执行从Internet下载未经杀毒处理的软件等。,建立良好的安全习惯,9.4 病毒与木马,默认情况下,操作系统会安装一
17、些辅助服务,如FTP客户端、Telnet和Web服务器等。这些服务为攻击者提供了方便,而对用户却没有太大的用处。在不影响用户使用的情况下删除这些服务,能够大大减少被攻击的可能性。,关闭或删除系统中不需要的服务,据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、冲击波等病毒,所以应该定期下载、更新系统安全补丁,防患于未然。,及时升级操作系统的安全补丁,9.4 病毒与木马,一些用户不习惯设置系统密码,这种方式存在很大的安全隐患。因为一些网络病毒就是通过猜测简单密码的方式攻击系统的。使用并设置复杂的密码将会大大提高计算机的安全系数。,为操作系统设置复杂的密码,在病毒日益增多
18、的今天,使用杀毒软件进行病毒查杀是最简单、有效,也是越来越经济的选择。用户在安装了杀毒软件后,应该经常升级至最新版本,并定期扫描计算机。,安装专业的防病毒软件,9.4 病毒与木马,对于计算机中存放的重要数据,要有定期数据备份计划,用磁盘、光盘等介质及时备份数据,妥善存档保管。除此之外,还要有数据恢复方案,在系统瘫痪或出现严重故障时,能够进行数据恢复。计算机病毒的防治工作是一个系统工程,从各级单位角度来说,要牢固树立以防为主的思想,应当制定出一套具体的、切实可行的管理措施,以防治病毒的相互传播。从个人角度来说,每个人都要遵守病毒防范的有关措施,应当不断学习、积累防病毒的知识和经验,培养良好的病毒
19、防范意识。,定期进行数据备份,9.5 差错控制技术,网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。目前,网络面临着众多的安全威胁,使用数据加密技术、防火墙技术和防病毒技术有利于提高网络的安全性。数据加密技术是实现数据机密性保护的主要方法。加密技术一般分为对称加密技术和非对称加密技术两类。数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。而身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。,9.5 差错控制技术,防火墙作为保护局域网的第一道屏障与实现网络安全的一个有效手段,在实际中得到了广泛地应用。最常见的分类方式将防火墙分为两类,即包过滤型防火墙和应用级防火墙。病毒的广泛传播给网络带来了灾难性的影响。因此,每个用户都应遵守病毒防范的有关措施,不断学习、积累防病毒的知识和经验,培养良好的病毒防范意识。,
