计算机网络安全技术

上一页下一页返回首页计算机网络安全技术上一页下一页返回首页第1章计算机网络安全概述本章要点：1.网络安全的概念及涵义2.网络安全的特性与安全威胁3.网络分层模型及各层的安全性4.安全网络的体系结构模型5.OSI体系结构的安全机制与安全服务6.网络安全体系结构模型分析核心：安全并非是一件产品，而是一个完整的过程。上一页下一页返回首页1.1网络安全概述•1.1.1网络安全案例•1.1.2计算机安全和网络安全的含义•1.1.3安全网络的特征•1.1.4网络的安全威胁与安全网络的实现上一页下一页返回首页1.1.1网络安全案例国外计算机网络出现的安全问题案例我国计算机网络出现的安全问题案例从案例中可以看到的问题：1.随着网络互联程度的扩大，基于物理上的安全机制对于网络环境几乎是行同虚设。2.目前网络上使用的协议（如TCP/IP）在设计之初就没有将网络安全问题考虑在设计之中。3.网络的开放性和资源共享也是安全问题的主要根源之一，加密、网络用户身份鉴别、存取控制策略等技术手段还不完善。上一页下一页返回首页1.1.2计算机安全和网络安全的含义网络安全的定义：网络系统的硬件、软件及其系统中运行的数据受到保护，不因偶然的或者恶意的原因遭到破坏、更改、泄漏，系统可连续、可靠、正常地运行，网络服务不中断。网络安全在不同应用环境下的不同解释上一页下一页返回首页1.1.3网络安全的特性保密性——保证只有授权用户可以访问数据，而限制其他用户对数据的访问。数据的保密性分为网络传输的保密性和数据存储保密性两个方面。网络传输保密性通过对传输数据进行加密处理来实现；数据存取保密性主要通过访问控制来实现。完整性——数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。一般通过访问控制、数据备份和冗余设置来实现数据的完整性。上一页下一页返回首页1.1.3网络安全的特性可用性——可被授权实体访问并按需求使用的特性，即当需要时能否存取和访问所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。不可否认性（不可抵赖性）——在信息交互过程中确信参与者的真实同一性，所有参与者都不能否认和抵赖曾经完成的操作和承诺。数字签名技术是解决不可否认性的重要手段之一。可控性——人们对信息的传播途径、范围及其内容所具有的控制能力。上一页下一页返回首页1.1.4网络的安全威胁与安全网络的实现网络的安全威胁无意的威胁——人为操作错误、设备故障、自然灾害等不以人的意志为转移的事件。有意的威胁——窃听、计算机犯罪等人为的破坏。目前网络的主要威胁:1.自然灾害、意外事故。2.个人行为，比如使用不当、安全意识差等。3.黑客行为，由于黑客入侵或侵扰，造成非法访问、拒绝服务、计算机病毒、非法链接等。4.内部泄密和外部的信息泄密、信息丢失等。5.电子间谍活动，比如流量分析、信息窃取等。6.信息战。7.网络协议中的缺陷，例如TCP/IP协议的安全问题等。上一页下一页返回首页1.1.4网络的安全威胁与安全网络的实现安全网络的实现1.先进的网络安全技术是网络安全的根本保证。（技术）2.严格的安全管理。（制度）3.制定严格的法律规范体系。（法律）上一页下一页返回首页1.2网络安全体系结构•1.2.1OSI安全服务•1.2.2OSI安全机制•1.2.3OSI安全服务的层配置•1.2.4TCP/IP网络安全体系结构OSI安全体系结构是在分析对开放系统威胁和其脆弱性的基础上提出来的。在OSI安全参考模型中主要包括安全服务（SecurityService）、安全机制（SecurityMechanism）和安全管理（SecurityManagement），并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系。上一页下一页返回首页1.2.1OSI安全服务1.对等实体认证服务——用于两个开放系统同等层实体建立连接或数据传输阶段，对对方实体（包括用户或进程）的合法性、真实性进行确认，以防假冒。2.访问控制服务——用于防止未授权用户非法使用系统资源，包括用户身份认证和用户权限确认。3.数据保密服务——防止网络中各系统之间交换的数据被截获或被非法存取而泄密，提供密码保护。同时对有可能从观察信息流就能推导出的信息提供用户可选字段的数据保护和信息流安全。上一页下一页返回首页1.2.1OSI安全服务4.数据完整性服务——用于阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。通过多种完整性服务以适应不同要求。5.数据源点认证服务——用于确保数据发自真正的原点，防止假冒。6.信息流安全服务——通过路由选择使信息流经过安全的路径，通过数据加密使信息流不泄漏，通过流量填充阻止流量分析。7.不可否认服务——用于防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据。（实际上是一种数字签名）上一页下一页返回首页1.2.2OSI安全机制1.加密机制——确保数据安全性的基本方法。在OSI安全体系结构中应根据加密所处的层次及加密对象的不同，而采用不同的密码和加密方法。2.数字签名机制——确保数据真实性的基本方法。利用数字签名技术可进行报文认证和用户身份认证。3.访问控制机制——从计算机系统的处理能力方面对信息提供保护。访问控制机制按照事先确定的规则决定主体对客体的访问是否合法。上一页下一页返回首页1.2.2OSI安全机制4.数据完整性机制5.认证机制——计算机网络中的认证主要有站点认证、报文认证、用户和进程认证等。多数认证过程采用密码技术和数字签名技术破坏数据完整性的因素数据完整性解决方法数据在信道中传输时受信道干扰影响产生错误纠错编码和差错控制数据在传输和存储过程中被非法入侵者篡改报文认证计算机病毒对程序和数据的传染各种病毒检测、消毒和免疫上一页下一页返回首页1.2.2OSI安全机制6.信息流填充控机制——为了对付流量分析攻击，在无正常信息传送时，持续传送一些随机数据。7.路由控制机制——可根据信息发送者的申请选择安全路径，以确保数据安全。8.公正机制——为了解决大型计算机网络中，部分不可靠用户和由于设备故障等技术原因造成的信息丢失、延迟等而引起的责任纠纷，采取使用各方都信任的第三方实体提供仲裁，常用仲裁数字签名技术。上一页下一页返回首页1.2.3OSI安全服务的层配置服务物理层链路层网络层传输层会话层表示层应用层对等实体认证服务是是是访问控制服务是是是链接保密是是是是是无链接保密是是是是选择字段保密是信息流安全是是是有恢复链接完整性是无恢复链接完整性是是是选择字段无链接完整性是数据源点鉴别是是是不可否认（源点）是不可否认（接收方）是网络安全服务与网络层次关系上一页下一页返回首页1.2.3OSI安全服务的层配置OSI的建议没有对安全服务的实现提出具体规定，在具体的系统上，安全服务的选择因考虑下列因素：选择能满足安全方针和安全目标的最小安全服务子集。选择最少的层数来实现安全服务，使受影响的层数最小。选择适当的层实现适当的安全服务功能，利用现有的功能实现的代价最小。上一页下一页返回首页1.2.4TCP/IP网络安全体系结构TCP/IP协议的网络安全体系结构的基础框架层名相关安全协议应用层PEMMOSSPGPMINES-HTTPSSHKerberosSNMPv2传输层SSHSSLPCTTLS网络互联层IPv6IPSecSKIPISAKMPSKEMEOAKLEY上一页下一页返回首页1.2.4TCP/IP网络安全体系结构•PEP:PrivacyEnhancedMail私用强化邮件•PGP:PrettyGoodPrivacy基于RSA的公钥加密体系邮件•S-HTTP:HTTP的安全增强版•SSH:SecureShell安全配置•SSL:SecureSocketLayer安全套接层•PCT:私人通信技术•TLS:TransportLayerSecurity•SKIP:Internet协议的简单密钥管理•ISAKMP:Internet安全协议/密钥管理协议•SKEME:安全密钥交换机制•OAKLEY:密钥决定协议上一页下一页返回首页1.2.4TCP/IP网络安全体系结构1.IP层的安全性——优点：透明性，安全服务的提供不需要应用程序，其他通信层次和网络部件做任何改动；缺点：对属于不同的进程和相应条例的包不做区别。2.传输层的安全性——优点：提供基于进程对进程（而不是主机对主机）的安全服务；缺点：要对传输层IPC（界面）和应用程序两端都进行修改，基于UDP的通信很难在传输层建立起安全机制。3.应用层的安全性——对每个应用（及应用协议）分别进行修改。上一页下一页返回首页1.3网络安全体系结构模型分析•1.3.1网络安全体系结构模型•1.3.2网络安全体系结构框架上一页下一页返回首页1.3.1网络安全体系结构模型管理安全物理安全网络安全信息安全安全体系结构框架上一页下一页返回首页1.3.1网络安全体系结构模型物理安全环境安全《电子计算机机房设计规范》《计算站场地技术条件》《计算站场地安全要求》设备安全电源保护防盗、防毁、抗电磁干扰防电磁信息辐射泄漏、防止线路截获媒体安全媒体数据安全媒体本身安全物理安全构架上一页下一页返回首页1.3.1网络安全体系结构模型网络安全系统安全（主机、服务器）反病毒系统安全检测入侵检测审计与分析网络运行安全备份与恢复应急、灾难恢复局域网、子网安全访问控制（防火墙）网络安全检测网络安全构架上一页下一页返回首页1.3.1网络安全体系结构模型信息安全信息传输安全（动态安全）数据加密数据完整性的鉴别防抵赖信息存储安全（静态安全）数据库安全终端安全信息的防止泄密信息内容审计用户鉴别授权信息安全构架上一页下一页返回首页1.3.2网络安全体系结构框架安全特性层次结构可靠性可用性审计管理防止否认数据完整访问控制身份鉴别应用层表示层会话层传输层网络层链路层物理层系统单元信息处理单元网络通信安全管理物理环境上一页下一页返回首页作业-1（P18）•3、OSI安全体系中，设置了那些安全服务功能，这些功能在OSI网络体系的那些层次上体现和实现。•4、简述网络的安全威胁主要包括那些？•5、网络安全一般包括哪些安全机制？