收藏 分销(赏)

第5章网络安全技术.pptx

上传人:精*** 文档编号:8739194 上传时间:2025-02-28 格式:PPTX 页数:90 大小:2.20MB 下载积分:18 金币
下载 相关 举报
第5章网络安全技术.pptx_第1页
第1页 / 共90页
第5章网络安全技术.pptx_第2页
第2页 / 共90页


点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,计算机与通信工程学院,第,#,页,第,1,页,本章学习要求,:,了解,:,网络安全的重要性。,掌握:密码体制的基本概念及应用。,掌握:防火墙的基本概念。,了解:网络入侵检测与防攻击的基本概念与方法。,了解:网络病毒防治的基本方法。,第,2,页,5.1,网络安全概述,网络安全案例,2001,美机撞毁王伟战机并入侵我领空政府网站遭袭,1999,通过网络传播的,CIH,病毒经济损失,12,亿,1999,河南某,BBS,发布虚假帖子造成社会动荡,二战,美破译日密码,全歼日舰队,用,google,搜索,“,黑客攻击案例,”,相关网页达,38,万多条,第,3,页,5.1.1,计算机安全与计算机网络安全,通信子网,资源子网,CCP,计算机网络的组成,第,4,页,计算机安全的主要内容,计算机硬件的安全性 软件安全性 数据安全性 计算机运行安全性,第,5,页,破坏计算机安全的途径,窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。,通过磁盘、网络等传播计算机病毒。,通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。,偷窃存储有重要数据的存储介质,如光盘、磁带、硬盘、软盘等。,“,黑客,”,通过网络非法侵入计算机系统。,第,6,页,计算机网络安全,计算机网络安全,是指,计算机及其网络系统资源和信息资源,不受自然和人为有害因素的威胁和危害,,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,,确保系统能连续可靠正常地运行,使网络服务不中断。(,狭义观点,),计算机网络安全从其,本质上,来讲就是系统上的信息安全。,计算机网络安全是一门,涉及,计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的,综合性科学,。,第,7,页,从,广义,来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。,所以,广义的计算机网络安全,还包括,信息设备的物理安全性,诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。,第,8,页,网络安全的内涵,信息的保密性(,Security,)完整性(,Integrity,)可靠性(,Reliability,)实用性(,Utility,)真实性(,Authenticity,)占有性(,Possession,),第,9,页,可能受到威胁的网络资源,硬件设备,如服务器、交换机、路由器、集线器和存储设备等,软件,如操作系统、应用软件、开发工具等,数据或信息,第,10,页,攻击计算机网络安全的主要途径,通过计算机辐射、接线头、传输线路截获信息。,绕过防火墙和用户口令而进入网络,获取信息或修改数据。,过截获窃听破译数据。,“,黑客,”,通过电话网络尝试进入计算机网络。,向计算机网络注入,“,病毒,”,,造成网络瘫痪。,第,11,页,攻击计算机网络安全的方法和类型,身份窃取,非授权访问,冒充合法用户,数据窃取,破坏数据的完整性,拒绝服务,事后否认,数据流分析,干扰系统正常运行,病毒恶意攻击,第,12,页,源站,目的站,截获,源站,目的站,中断,源站,目的站,篡改,源站,目的站,伪造,被动攻击,主 动 攻 击,截获(,Interception,),:,攻击者从网上窃取他人的通信内容。,中断(,Interruption,),:,攻击者有意中断他人在网络上的通信。,篡改(,Modification,),:,攻击者故意篡改网络上传送的报文。,伪造(,Fabrication,),:,攻击者伪造信息在网络上传送。,对网络的被动攻击和主动攻击,第,13,页,开放系统互连,(OSI),基本参考模型,(ISO7498),的,五种安全服务方案,:,l,鉴别,(Authentication),:包括对等实体鉴别和数据源鉴别,它提供了通信对等实体和数据源的验证。,l,访问控制,(Access Control),:为防止非授权使用系统资源提供保护。,l,数据保密,(Data Confidendance),:主要是为了保护系统之间数据交换的安全性。,5.1.2,网络安全体系,第,14,页,l,数据完整性,(Data integrity),:防止非法用户对正常交换数据的破坏或防止交换过程数据丢失。,l,抗否认,(Non-repudiation),:一是带有源证据的抗否认服务,二是带有交付证据的抗否认服务。,第,15,页,计算机网络安全的三个层次,安全立法,安全管理,安全技术,第,16,页,网络安全标准,电子计算机系统安全规范,,,1987,年,10,月,计算机软件保护条例,,,1991,年,5,月,计算机软件著作权登记办法,,,1992,年,4,月,中华人民共和国计算机信息与系统安全保护条例,,,1994,年,2,月,计算机信息系统保密管理暂行规定,,,1998,年,2,月,关于维护互联网安全决定,,全国人民代表大会常务,委员会通过,,2000,年,12,月,第,17,页,可信计算机系统评估准则,TC-SEC-NCSC,是,1983,年公布的,,1985,年公布了可信网络说明(,TNI,);,可信计算机系统评估准则将计算机系统安全等级分为,4,类,7,个等级,即,D,、,C1,、,C2,、,B1,、,B2,、,B3,与,A1,;,D,级系统的安全要求最低,,A1,级系统的安全要求最高,。,第,18,页,制定合理的网络管理措施,加强网络使用人员的安全措施,建立完善 的安全管理体制和制度,管理规范化、标准化、科学化,第,19,页,用户认证。,在网上不透明地发送用户名和密码。,确信服务在,Internet,和,Intranet,上都有效,即避免在防火墙内外采取不同的安全措施。,在实时和存储转发情况下保护通信秘密。,确保信息在发送和接收间避免干扰。,保护秘密文件,只有授权用户才能访问。,安全技术措施,第,20,页,实体访问控制,防止非工作人员接近系统。,保护网络介质,加强系统设备而后通信线路的定期检查和维修。,数据访问控制,只有授权用户才可访问系统资源。,数据存储保护,做好数据备份和安全保管。,计算机病毒防护,以预防为主。,局域网安全技术,第,21,页,数据通信加密:采用,DES,、,RSA,算法等对通信数据加密。,通信链路安全保护:选择保密性较好的通信线路和设备,如光纤,重要信息不采用无线电传输。,采用局域网络安全的各项措施。,广域网安全技术,第,22,页,Internet,的安全要求,由于,Internet,是一种真正意义的全球网,所以假如没有加密技术的帮助,所有的通信都会毫无,“,秘密,”,可言。,对一家打算从事电子商务的公司而言,亦即通过,Internet,销售产品和提供服务,通信的安全是一个最基本的前提。,在,Internet,网上,每个人都需要、而且有权利保护自己的个人隐私。某人上网之后,对隐私的这种要求并未消失。,隐私也不仅仅是信任谁和不信任谁的问题,它也包括匿名的权利。人们在赛伯空间里畅游的时候,一个经常被忽略的问题是个人保持匿名的权利。,加密技术可有效地解决这些问题。,第,23,页,5.2,数据加密与数据隐藏技术,信息加密技术是保障信息安全的核心技术。,一个数据加密系统包括,加密算法、明文、密文以及密钥,,密钥控制加密和解密过程,一个加密系统的全部安全性是,基于密钥的,,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。,第,24,页,名词解释:,加密系统,:由算法以及所有可能的明文,密文和密钥组成。,密码算法,:密码算法也叫密码,(cipher),适用于加密和解密的数学函数,.(,通常情况下,有两个相关的函数:,一个用于加密,一个用于解密,),。,明文,(plaintext),:未被加密的消息。,密文,(ciphertext),:被加密的消息。,第,25,页,加密,(encrypt),解密,(decrypt),:用某种方法伪装消息以隐藏它的内容的过程称为加密;相反的过程叫解密。,密钥,(key),:密钥就是参与加密及解密算法的关键数据。没有它明文不能变成密文,密文不能明文。,加密算法,E,解密算法,D,原始明文,密文,明文,加密密钥,KE,解密密钥,KD,它必须满足,P=D,(,KD,,,E,(,KE,,,P,)函数!,第,26,页,对称算法,基于密钥的算法通常有两类:对称算法和公开密钥算法(非对称算法)。对称算法有时又叫传统密码算法,加密密钥能够从解密密钥中推算出来,反过来也成立。,在大多数对称算法中,加解密的密钥是,相同,的。对称算法要求发送者和接收者在安全通信之前,协商一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密表示为:,EK,(,M,),=C,DK,(,C,),=M,第,27,页,公开密钥算法,公开密钥算法(非对称算法)的加密的密钥和解密的密钥不同,而且解密密钥,不能,根据加密密钥计算出来,,或者,至少在可以计算的时间内不能计算出来。,之所以叫做公开密钥算法,是因为,加密密钥能够公开,,即陌生者能用加密密钥加密信息,但只有用相应的解密密钥才能解密信息。加密密钥叫做公开密钥(简称,公钥,),解密密钥叫做私人密钥(简称,私钥,)。,公开密钥,K1,加密表示为:,EK1,(,M,),=C,。公开密钥和私人密钥是不同的,用相应的私人密钥,K2,解密可表示为:,DK2,(,C,),=M,。,第,28,页,对称加密,第,29,页,非对称密钥密码体系,第,30,页,5.2.1,数据加密算法,数据加密算法经历了以下三个阶段。,1,),古典密码,:包括恺撒挪移加密、置换加密。,2,),对称密钥密码,:包括,DES,和,AES,。,3,),公开密钥密码,:包括,RSA,、背包密码、,McEliece,密码、,Rabin,、椭圆曲线、,EIGamal D_H,等。,目前在数据通信中使用,最普遍的算法,有,DES,算法、,RSA,算法和,PGP,算法等。,第,31,页,两千多年前,罗马国王,Julius Caesare,(恺撒)就开始使用目前称为,“,恺撒密码,”,的密码系统。,恺撒挪移算法,将明文中的每个字母都移动一段距离。,这种密码系统太脆弱、太容易被攻破了。,恺撒密码,第,32,页,恺撒挪移,例:,Alice,要将明文“,gaul is divided into three part”,加密成密文,传给,Bob,。,第,33,页,恺撒挪移码加密示例,密钥产生),Alice,与,Bob,协定编码方式为明文字母后移,4,位,即加密密钥及解密密钥同为,K=4,。,密匙:,Alice,将明文“,gaul is divided into three part,”,转为数字代码:(,6,,,0,,,20,,,11,,,8,,,18,,,3,,,8,,,21,,,8,,,3,,,4,,,3,,,8,,,13,,,19,,,14,,,19,,,7,,,17,,,4,,,4,,,15,,,0,,,17,,,19,)。,使用,加密函数,E,(,m,),m+k=m+4,(,mod 26,),计算得:(,10,,,4,,,24,,,15,,,12,,,22,,,7,,,12,,,25,,,12,,,7,,,8,,,7,,,12,,,17,,,23,,,17,,,23,,,11,,,21,,,8,,,8,,,19,,,4,,,21,,,23,)即,密文,“,K,,,E,,,Y,,,P,,,M,,,Z,,,M,,,H,,,I,,,H,,,M,,,R,,,X,,,R,,,X,,,L,,,V,,,I,,,I,,,T,,,E,,,V,,,X”,。,加密:,第,34,页,解密:,Bob,收到密文“,KEYPMZMHIHMRXRXLVIITEVX,”,=,(,10,,,4,,,24,,,15,,,12,,,22,,,7,,,12,,,25,,,12,,,7,,,8,,,7,,,12,,,17,,,23,,,17,,,23,,,11,,,21,,,8,,,8,,,19,,,4,,,21,,,23,),使用,解密函数,D,(,c,),c-k=c-4,(,mod 26,),计算,并考虑空格,可还原,明文,:(,6,,,0,,,20,,,11,,,8,,,18,,,3,,,8,,,21,,,8,,,3,,,4,,,3,,,8,,,13,,,19,,,14,,,19,,,7,,,17,,,4,,,4,,,15,,,0,,,17,,,19,),=“gaul is divided into three part”,。,第,35,页,下面举例说明法国密码学家,Vigenere,以他自己的名字命名的维吉利亚密码:,P,=data security,,,k,=best,算法如下:,a.,制作维吉利亚方阵如表,5.1,所示。规则是第,i,行以,I,打头。,维吉利亚密码,第,36,页,表,5.1,维吉利亚方阵,第,37,页,b.,按密钥的长度将,P,分解若干节。这里,best,的长度为,4,,故将明文分解为表,5.2,所示的样子。,P,=data security,,,k,=best,第,38,页,c.,对每一节明文,利用密钥,best,进行变换。以明文,“,d,”,为例,变化的方法是:由于,d,处于,b,列,因此在维吉利亚方阵的第,b,行中找第,d,个字符既是。于是得到如下密文:,C,=E,k(P),=EELT TIUN SMLR,第,39,页,在对称密码体制中,最为著名的加密算法是,IBM,公司于,1971,年,1972,年间研制成功的,DES,(,Data Encryption Standard,)分组算法,,1977,年被定为美国联邦信息标准,这就是称为,DES,(数据加密标准)的原因。,DES,使用,64,位的密钥(除去,8,位奇偶校验码,实际密钥长度为,56,位),对,64,位二进制数进行分组加密,经过,16,轮的迭代、乘积变换、压缩变换等处理,产生,64,位密文数据。,对称密码体系,DES,加密算法,第,40,页,DES,使用,56,位密钥并对,64,位的输入数据块进行加密。先对,64,位的密钥进行变换,密钥经过去掉其第,8,、,16,、,24,、,、,64,位减至,56,位,去掉的那,8,位被视为奇偶校验位,不含密钥信息,所以实际密钥长度为,56,位。,DES,算法加密时把明文以,64,位为单位分成块。,64,位数据经初始变换后被置换,然后进行,16,轮加密迭代:,64,位经过初始置换的数据被分为左右两半部分,每部分,32,位,密钥与右半部分相结合,然后再与左半部相结合,结果作为新的右半部分;结合前的右半部分作为新的左半部分。这一系列步骤组成一轮,如下图所示,这种轮换要重复,16,次。,第,41,页,第,42,页,最后一轮之后,进行一置换运算,它是初始置换的逆。,为了将,32,位的右半部分与,56,位的密钥相结合,需要两个变换:通过重复某些位将,32,位的右半部分扩展为,48,位,而,56,位密钥则通过选择其中的某些位则减少至,48,位;在每轮处理中,密钥也经过了左移若干位和置换,都要从,56,位的密钥中得出一个惟一的轮次密钥。,第,43,页,最后,输入的,64,位原始数据转换成,64,位看起来被完全打乱了的输出数据,即用密钥把每一块明文转化成同样,64,位的密文数据。,DES,算法是对称的,既可用于加密又可用于解密。解密时的过程和加密时相似,但密钥的顺序正好相反。,第,44,页,DES,算法的弱点是不能提供足够的安全性,后来又提出了三重,DES,或,3DES,系统。,第,45,页,非对称密码体系,RSA,加密算法,一、公开密钥密码体系的特点,1978,年出现的,RSA,算法,其名字来源于它的发明者:,Ron Rivest,,,Adi Shamir,以及,Leonard Adleman,。,RSA,的安全依赖于大数分解。,假如已知两个非常大的质数的乘积,那么很难解析出到底是哪两个质数相乘的结果,(,因数分解,),。,第,46,页,RSA,的重要特点是其中一个密钥可用来加密数据,另一个密钥可用来解密。,这意味着任何人都能用你的公共密钥对一条消息进行加密,而只有你才能对它进行解密。另外,你也可用自己的私人密钥对任何东西进行加密,而拿到你的公共密钥的任何人都能对其解密。这个概念在,“,非拒认,”,及数字签名中是非常重要的。,这种算法的要点在于,它可以产生一对密钥,一个人可以用密钥对中的一个加密消息,另一个人则可以用密钥对中的另一个解密消息。同时,任何人都无法通过公钥确定私钥,也没有人能使用加密消息的密钥解密。只有密钥对中的另一把可以解密消息。,第,47,页,明文,X,明文,X,密钥对,产生源,发送者,接收者,公开密钥密码体制,E,加密算法,D,解密算法,解密密钥,SK,密文,Y=E,PK,(,X,),加密密钥,PK,第,48,页,RSA,算法,RSA,算法既能用于数据加密,也能用于数字签名。,RSA,算法的优点是密钥空间大,缺点是加密速度慢。,第,49,页,RSA,实现原理,:,节点,B,随机生成密钥,e,作公有密钥,再由,e,计算出另一密钥,d,作私开密钥。对于巨大,的质数,p,和,q,计算乘积,n=pq,非常简便,,逆运算却难之又难。,密文,密文,明文,明文,A,节点,B,用密钥,e,加密数据,生成密钥,e,用密钥,d,解密数据,窃听到的数据只有密钥,e,和加密后的数据,无法解密,第,50,页,1,、密钥分配中心,KDC,KDC,与每一个用户之间共享一个不同的密钥加密密钥,,当两个用户,A,和,B,要进行通信时,,KDC,产生一个双方会话使用的密钥,K,,并分别用自己与这两个用户共享的密钥加密钥,K,A,、,K,B,来加密会话密钥发给它们,即将,K,A,(K),发给,A,,,K,B,(K),发给,B,;,A,、,B,接收到加密的会话密钥后,将之解密得到,K,,然后用,K,来加密通信数据。,密钥分配,第,51,页,2,、基于公钥体制的密钥分配,公钥体制适用于进行密钥管理,特别是对于大型网络中的密钥管理。,假设通信双方为,A,和,B,。使用么钥体制交换对称密钥的过程是这样的:首先,A,通过一定的途径获得,B,的公钥;然后,A,随机产生一个对称密钥,K,,并用,B,的公钥加密对称密钥,K,发送给,B,;,B,接收到加密的密钥后,用自己的私钥解密得到密钥,K,。,在这个对称密钥的分配过程中,不再需要在线的密钥分配中心,也节省了大量的通信开销。,第,52,页,密钥的产生,密钥的分配,启用密钥,/,停有密钥,替换密钥或更新密钥,撤销密钥,销毁密钥,十分棘手,第,53,页,5.2.2,数据隐藏,数据隐藏技术是指,隐藏数据的存在性,。通常是将数据隐藏在一个容量更大的数据载体之中,形成隐密载体,使非法者难于察觉其中隐藏有某些数据,或难于从中提取被隐藏数据。,载体可以采用文字、图像、声音以及视频等。一般多用多媒体数据作为载体。这是因为多媒体数据本身具有极大的冗余性,具有较大掩蔽效应。,为了增加被攻击的难度,还可以把加密与数据隐藏两者结合起来,将加过密的密文隐藏在多媒体载体之中。,第,54,页,第,55,页,X,X,发送者,A,接收者,B,数字签名的实现,D,E,用秘密密钥,进行签名,D,SK,(,X,),SK,PK,用公开密钥,核实签名,数字签名,数字签名必须保证以下三点:,接收者能够核实发送者对报文的签名。,发送事后不能抵赖对报文的签名。,接收者不能伪造对报文的签名。,5.2.3,认证和鉴别技术,第,56,页,密 文,E,PKB,(D,SKA,(X),X,发送者,A,接收者,B,具有保密性的数字签名,D,E,用秘密密,钥签名,D,SKA,(X),SKA,PKB,用公开密,钥加密,X,D,E,用公开密钥,核实签名,D,SKA,(X),SKB,PKA,用秘密密,钥解密,第,57,页,数字签名的特点,难以伪造:只有私人密钥的持有人才能生成签名。,无法抵赖:由于极难伪造,所以对于一份经过签名的文档来说,签署人很难抵赖这不是自己的,“,手迹,”,。,不可更改:一经签名,文档便不能修改。,不能转移:签名不能移走,并加入另一个不相干的文档。,第,58,页,数字信封技术,第,59,页,第,60,页,1,、认证卡与电子钥匙,2,、生物识别技术,5.2.4,其它身份识别技术,第,61,页,5.3,防火墙技术,5.3.1,防火墙的基本概念,防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;,设置防火墙的目的,是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。,第,62,页,防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(,security perimeter,);,构成防火墙系统的,两个基本部件,是包过滤路由器(,packet filtering router,)和应用级网关(,application gateway,);,最简单的防火墙,由,一个包过滤路由器,组成,而,复杂,的防火墙系统由包过滤路由器和应用级网关,组合,而成;,由于组合方式有多种,因此防火墙系统的结构也有多种形式。,第,63,页,5.3.2,包过滤路由器,包过滤路由器的结构,第,64,页,路由器按照系统内部设置的分组过滤规则(即访问控制表),检查每个分组的源,IP,地址、目的,IP,地址,决定该分组是否应该转发;,包过滤规则一般是基于部分或全部报头的内容。例如,对于,TCP,报头信息可以是:,源,IP,地址;,目的,IP,地址;,协议类型;,IP,选项内容;,源,TCP,端口号;,目的,TCP,端口号;,TCP ACK,标识。,第,65,页,包过滤路由器作为防火墙的结构,第,66,页,假设网络安全策略规定,:,内部网络的,E-mail,服务器(,IP,地址为,192.1.6.2,,,TCP,端口号为,25,)可以接收来自外部网络用户的所有电子邮件;,允许内部网络用户传送到与外部电子邮件服务器的电子邮件;,拒绝所有与外部网络中名字为,TESTHOST,主机的连接。,第,67,页,包过滤规则表,第,68,页,5.3.3,应用级网关的概念,多归属主机(,multihomed host,),典型的多归属主机结构,第,69,页,应用级网关,第,70,页,应用代理(,application proxy,),第,71,页,5.3.4,防火墙的系统结构,堡垒主机的概念,一个双归属主机作为应用级网关可以起到防火墙作用;,处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。,第,72,页,典型防火墙系统系统结构分析,采用一个过滤路由器与一个堡垒主机组成的,S-B1,防火墙系统结构,第,73,页,包过滤路由器的转发过程,第,74,页,S-B1,配置的防火墙系统中数据传输过程,第,75,页,采用多级结构的防火墙系统(,S-B1-S-B1,配置)结构示意图,第,76,页,5.4,网络防攻击与安全预警,5.4.1,网络攻击方法分析,目前黑客攻击大致可以分为,8,种基本的类型,:,入侵系统类攻击;,缓冲区溢出攻击;,欺骗类攻击;,拒绝服务攻击;,对防火墙的攻击;,利用病毒攻击;,木马程序攻击;,后门攻击。,第,77,页,5.4.2,入侵检测的基本概念,入侵检测系统(,intrusion detection system,,,IDS,)是对计算机和网络资源的恶意使用行为进行识别的系统;,它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段。,第,78,页,入侵检测系统,IDS,的基本功能,:,监控、分析用户和系统的行为;,检查系统的配置和漏洞;,评估重要的系统和数据文件的完整性;,对异常行为的统计分析,识别攻击类型,并向网络管理人员报警;,对操作系统进行审计、跟踪管理,识别违反授权的用户活动。,第,79,页,入侵检测系统框架结构,第,80,页,5.4.3,入侵检测的基本方法,对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能;,入侵检测系统按照所采用的检测技术可以分为:,异常检测(基于统计分析),误用检测(基于尽可能全的规则库),两种方式的结合,第,81,页,5.5,恶意程序及其防治,5.5.1,恶意程序与病毒,恶意程序及其类型,恶意程序是一类可以危害系统或应用正常功能的特殊程序或程序片段。,恶意程序的表现多种多样,全由恶意程序的制造者的兴趣和目的而异,第,82,页,恶意程序的存在形式有:,宿主程序方式程序片段,如陷门、逻辑炸弹等;,独立存在独立程序,可以被操作系统调度和运行的自包含程序,如蠕虫、细菌、特洛伊木马等。,第,83,页,5.5.2,造成网络感染病毒的主要原因,70%,的病毒发生在网络上;,将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占,41%,左右;,从网络电子广告牌上带来的病毒约占,7%,;,从软件商的演示盘中带来的病毒约占,6%,;,从系统维护盘中带来的病毒约占,6%,;,从公司之间交换的软盘带来的病毒约占,2%,;,其他未知因素约占,27%,。,从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。,第,84,页,网络病毒的危害,网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所;,网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代理人,在工作站之间迅速传播与蔓延病毒;,网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上;,当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。,第,85,页,典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手:一是工作站,二是服务器;,网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒;,网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、预置扫描与人工扫描;,一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,第,86,页,网络工作站防病毒方法,采用无盘工作站,使用单机防病毒卡,使用网络防病毒卡,第,87,页,5.6,漏洞扫描,5.6.1,计算机漏洞的概念,计算机漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。,这里的漏洞既包括单个计算机系统的脆弱性,也包括计算机网络系统的漏洞。当系统的某个漏洞被入侵者渗透(,exploit,)而造成泄密时,其结果就称为一次安全事件(,Security Incident,)。,第,88,页,小结,要使网络有序、安全的运行,必须加强网络使用方法、网络安全技术与道德教育,完善网络管理,研究与开发新的网络安全技术与产品;,网络安全技术研究基本问题包括:网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复;,网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务;密码学包括密码编码学与密码分析学,密码体制由两个基本构成要素:加密,/,解密算法和密钥,加密技术可以分为对称加密与非对称加密,密码体制的关键问题是密钥管理;,第,89,页,防火墙是根据一定的安全规定来检查、过滤网络之间传送的数据包,以确定这些报文分组的合法性;,对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能,;,一个实用的局域网应用系统设计中必须有网络数据备份、恢复手段和灾难恢复计划;,对待网络病毒的态度应该是:高度重视,采取严格的防病毒技术与严格的防范措施,将病毒的影响减小到最低程度;,一个有效而且实用的网络每时每刻都离不开网络管理。网络管理包括配置管理、故障管理、性能管理、安全管理、记账管理。,第,90,页,课后作业,1,、理解计算机网络安全的狭义观点和广义观点有何不同?,2,、网络的被动攻击和主动攻击各有哪些类型?画图并解释?,3,、对称加密系统和非对称加密系统的加解秘表达式有何不同,给出适当的文字解释?,4,、画出典型的防火墙系统结构图并分析各部分作用功能?,
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服