1、管理學院管理學院 信息管理系信息管理系 C314肖肖 潔潔 TEL算機網絡原理與應用計算機網絡原理與應用計算機網絡的安全計算機網絡的安全 網絡安全概述網絡安全概述 數據加密技術數據加密技術 防火墻技術防火墻技術學習目標學習目標一、一、網絡安全概述網絡安全概述安全安全：只有那些被授權的人才能使用其相應的資源。：只有那些被授權的人才能使用其相應的資源。計算機安全計算機安全：l 實體的安全性實體的安全性l 運行環境的安全性運行環境的安全性l 信息的安全性信息的安全性 1、網絡安全面臨的主要威脅、網絡安全面臨的主要威脅l身份竊取：指用戶的身份在通信時被他人非法截取。身份竊取：

2、指用戶的身份在通信時被他人非法截取。l非授權訪問：指對網絡設備及信息資源進行非正常使用或非授權訪問：指對網絡設備及信息資源進行非正常使用或越權使用等。越權使用等。l冒充合法用戶：指利用各種假冒或欺騙的手段非法獲得合冒充合法用戶：指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達到占用合法用戶資源的目的。法用戶的使用權限，以達到占用合法用戶資源的目的。l數據竊取：指非法用戶截取通信網絡中的某些重要信息。數據竊取：指非法用戶截取通信網絡中的某些重要信息。l破壞數據完整性：指使用非法手段，刪除、修改、重發某破壞數據完整性：指使用非法手段，刪除、修改、重發某些重要信息，以干擾用戶的正常使用。些

3、重要信息，以干擾用戶的正常使用。l拒絕服務：指通信被終止或實時操作被延遲。拒絕服務：指通信被終止或實時操作被延遲。l否認：指通信的雙方有一方事后否認曾參與某次活動。否認：指通信的雙方有一方事后否認曾參與某次活動。l數據流分析：指分析通信線路中的信息流向、流量和流數據流分析：指分析通信線路中的信息流向、流量和流速等，從中獲得有用信息。速等，從中獲得有用信息。l干擾系統正常運行：指改變系統的正常運行方法，減慢干擾系統正常運行：指改變系統的正常運行方法，減慢系統的響應時間等手段。系統的響應時間等手段。l病毒與惡意攻擊：指通過網絡傳播病毒或惡意攻擊。病毒與惡意攻擊：指通過網絡傳播病毒或惡意攻擊。2、導

4、致網絡不安全的因素、導致網絡不安全的因素 （1）環境）環境 （2）資源共享）資源共享 （3）數據通信）數據通信 搭線竊聽、電磁竊聽、網絡線路的輻射泄密等。搭線竊聽、電磁竊聽、網絡線路的輻射泄密等。 （4）計算機病毒）計算機病毒 （5）TCP/IP協議的安全缺陷：協議的安全缺陷：l 大多數大多數Internet上的流量是沒有加密的；上的流量是沒有加密的；l 很多基于很多基于TCP/IP的應用服務都在不同程度上存在安的應用服務都在不同程度上存在安 全問題；全問題；l 缺乏安全策略；缺乏安全策略；l 訪問控制的配置一般十分復雜，易被錯誤配置，從而給黑客訪問控制的配置一般十分復雜，易被錯誤配置，從而給

5、黑客可乘之機；可乘之機；l TCP/IP協議被公布于世，容易遭受破壞。協議被公布于世，容易遭受破壞。 3、安全技術措施、安全技術措施l如何認證用戶使用名與他們的真實身份一致。如何認證用戶使用名與他們的真實身份一致。l如何在網絡上不透明發送用戶名和密碼來進行用戶認證。如何在網絡上不透明發送用戶名和密碼來進行用戶認證。l如何確信這些服務在如何確信這些服務在Intranet和和Internet上均有效（如何避上均有效（如何避免在防火墻內外采用不同的安全措施）。免在防火墻內外采用不同的安全措施）。l如何在實時（例如網絡客戶與網絡服務器間的數據流）和如何在實時（例如網絡客戶與網絡服務器間的數據流）和存儲

6、轉發應用（例如電子郵件）情況下保護通信秘密。存儲轉發應用（例如電子郵件）情況下保護通信秘密。l如何確保在發送和接收間避免干擾。如何確保在發送和接收間避免干擾。l如何保護秘密文件，使得只有授權的用戶可以訪問。如何保護秘密文件，使得只有授權的用戶可以訪問。 4、網絡安全措施、網絡安全措施一個完整的網絡信息安全體系至少應包括三類措施：一個完整的網絡信息安全體系至少應包括三類措施：l社會的法律政策、安全的規章制度以及安全教育等外部軟社會的法律政策、安全的規章制度以及安全教育等外部軟環境。環境。l技術方面的措施，如防火墻技術、網絡防毒、信息加密存技術方面的措施，如防火墻技術、網絡防毒、信息加密存儲通信、

7、身份認證、授權等。儲通信、身份認證、授權等。l審計和管理措施：實時監控企業安全狀態、提供實時改變審計和管理措施：實時監控企業安全狀態、提供實時改變安全策略的能力、對現有的安全系統實施漏洞檢查等。安全策略的能力、對現有的安全系統實施漏洞檢查等。 法律政策是安全的基石，技術是安全的保障，管理和審計法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。是安全的防線。（1）局域網的安全技術）局域網的安全技術l實行實體訪問控制：實行實體訪問控制： 安裝雙層電子門、使用磁卡身份證等安裝雙層電子門、使用磁卡身份證等l保護網絡介質：保護網絡介質： 采取完好的屏蔽措施，避免電磁干擾，同時對系統設備、通

8、信采取完好的屏蔽措施，避免電磁干擾，同時對系統設備、通信線路定期檢查、維修。線路定期檢查、維修。l數據訪問控制：數據訪問控制： 特許用戶使用用戶口令、用戶提問、訪問矩陣。特許用戶使用用戶口令、用戶提問、訪問矩陣。l數據存儲保護：數據存儲保護： 磁盤安全保管、備份、多級管理、加密存儲等。磁盤安全保管、備份、多級管理、加密存儲等。l計算機病毒防護計算機病毒防護（2）廣域網的安全技術）廣域網的安全技術l數據通信加密：數據通信加密： DES算法、算法、RSA算法等對通信數據加密；算法等對通信數據加密； 在網絡中包括節點加密、鏈路加密、端對端加密。在網絡中包括節點加密、鏈路加密、端對端加密。l通信鏈路安

9、全保護：通信鏈路安全保護： 選取屏蔽性好的電纜（光纖），不要采用無線電波來選取屏蔽性好的電纜（光纖），不要采用無線電波來傳輸重要信息，以免電磁竊聽。傳輸重要信息，以免電磁竊聽。l采用局域網絡安全的各項措施。采用局域網絡安全的各項措施。 二、數據加密技術二、數據加密技術 數據加密技術數據加密技術：為提高信息系統及數據的安全性和保密：為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破譯所采用的主要技術手段之一。性，防止秘密數據被外部破譯所采用的主要技術手段之一。按作用不同，分為：按作用不同，分為：l 數據傳輸加密技術：對傳輸中的數據流加密。數據傳輸加密技術：對傳輸中的數據流加密。l 數據存

10、儲加密技術：防止在存儲環節上的數據失密。數據存儲加密技術：防止在存儲環節上的數據失密。 密文存儲：通過加密算法轉換、附加密碼及加密模塊等方法實現密文存儲：通過加密算法轉換、附加密碼及加密模塊等方法實現 存取控制：對用戶資格加以審查和限制。存取控制：對用戶資格加以審查和限制。l 數據完整性鑒別技術：包括口令、密鑰、身份、數據等項的鑒別數據完整性鑒別技術：包括口令、密鑰、身份、數據等項的鑒別l 密鑰管理技術：包括密鑰的產生、分配保存、更換與銷毀等各環密鑰管理技術：包括密鑰的產生、分配保存、更換與銷毀等各環 節上的保密措施。節上的保密措施。一般的數據加密模型一般的數據加密模型E加密算法明文XD解密算

11、法明文X密文Y=EKe(X)加密密鑰Ke加密密鑰Ke解密密鑰Kd截取者發端收端根據加密密鑰與解密密鑰是否相同，密碼技術可分根據加密密鑰與解密密鑰是否相同，密碼技術可分為常規密鑰密碼體制和公開密鑰密碼體制。為常規密鑰密碼體制和公開密鑰密碼體制。1、常規密鑰密碼體制、常規密鑰密碼體制 加密密鑰與解密密鑰是相同的。加密密鑰與解密密鑰是相同的。 最基本的密碼（最基本的密碼（1）替代密碼（）替代密碼（2）置換密碼）置換密碼2、公開密鑰密碼體制、公開密鑰密碼體制 加密密鑰（即公開密鑰）加密密鑰（即公開密鑰）PK是公開信息，加密算法是公開信息，加密算法E和和 解密算法解密算法D也都是公開的，而解密密鑰（即秘

12、密密鑰）也都是公開的，而解密密鑰（即秘密密鑰） SK是保密的。是保密的。 應用最多的是應用最多的是RSA體制。體制。三、防火墻技術三、防火墻技術 網絡的安全性主要指網絡信息的安全性和網網絡的安全性主要指網絡信息的安全性和網絡路由的安全性。絡路由的安全性。路由的安全性包括：路由的安全性包括：l 限制外部網對本地網的訪問，從而保護本地網中的限制外部網對本地網的訪問，從而保護本地網中的特定資源免受非法侵犯。特定資源免受非法侵犯。l 限制本地網對外部網的訪問，主要是針對一些不健限制本地網對外部網的訪問，主要是針對一些不健康信息及敏感信息的訪問。康信息及敏感信息的訪問。 1、防火墻的概念、防火墻的概念

13、它是一種由計算機硬件和軟件組成的一個或一組它是一種由計算機硬件和軟件組成的一個或一組系統，用于增強內部網絡和系統，用于增強內部網絡和Internet之間的訪問控制。之間的訪問控制。 它可通過監測、限制、更改跨越防火墻的數據流，它可通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。況，以此來實現網絡的安全保護。2、防火墻具有以下優點：、防火墻具有以下優點：l 保護那些易受攻擊的服務。保護那些易受攻擊的服務。l 控制對特殊站點的訪問。控制對特殊站點的訪問。l 對網絡存取訪問進行記錄和統計

14、。對網絡存取訪問進行記錄和統計。3、防火墻的體系結構、防火墻的體系結構 安全控制基本準則：安全控制基本準則：l 一切未被允許的都是禁止的。一切未被允許的都是禁止的。l 一切未被禁止的都是允許的。一切未被禁止的都是允許的。 4、防火墻的類型、防火墻的類型 根據采用的技術不同，防火墻有兩種基本類型：根據采用的技術不同，防火墻有兩種基本類型： （1 1）包過濾型包過濾型。 網絡上的數據都以網絡上的數據都以“包包”為單位進行傳輸，每一個為單位進行傳輸，每一個數數據包包含諸如數據源地址、目標地址、據包包含諸如數據源地址、目標地址、TCP/UDP源端口源端口地址和目標端口地址等特定信息。包過濾型防火墻通過地址和目標端口地址等特定信息。包過濾型防火墻通過讀取數據包中的地址信息并通過與系統管理員制定的規讀取數據包中的地址信息并通過與系統管理員制定的規則表進行對比來判斷數據包是否來自可信任的安全地則表進行對比來判斷數據包是否來自可信任的安全地點，并自動將來自危險地點的數據拒之門外。點，并自動將來自危險地點的數據拒之門外。（2 2）代理型代理型。 也稱為代理服務器或應用網關，位于客戶機與服務器也稱為代理服務器或應用網關，位于客戶機與服務器之間，阻隔兩者之間直接的數據交