当前位置:文档之家 › 第六章网络的安全技术

第六章网络的安全技术

  • 格式:doc
  • 大小:109.00 KB
  • 文档页数:14

下载文档原格式

  / 14

合集下载

网络安全基础 第六章——网络入侵与攻击技术

网络安全基础 第六章——网络入侵与攻击技术

实例
主要内容:
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源,来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是:利用各种手段不断向目标主机发送虚 假请求或垃圾信息等,使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3.入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 (6)外部攻击; 通常是指编程员在设计系统 时有意建立的进入手段。当 (7)内部攻击; 程序运行时,在正确的时间 (8)特洛伊木马。 按下正确的键,或提供正确 的参数,你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段,在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源,但它不一定有攻击能力,可能雇 佣攻击者来达到入侵目的。因此,攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵:成功的攻击。 提示:在某种程度上,攻击和入侵很难区别。
3.入侵者的攻击手段
在网上用户能利用IE等浏览器进 (1)冒充 行各种各样的WEB站点的访问,如 阅读新闻组、咨询产品价格、订阅 (2)篡改 报纸、电子商务等。然而一般的用 (3)重放 户恐怕不会想到有这些问题存在: 正在访问的网页已被黑客篡改过, (4)服务拒绝 网页上的信息是虚假的!例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器,当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候,实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求,那么黑客就能 web安全中的通过其他方式(非网络监听)盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。

网络安全技术基础

网络安全技术基础
网络安全技术基础
汇报人:
时间:2024年X月
目录
第1章 网络安全概述 第2章 网络威胁概述 第3章 网络安全技术 第4章 网络安全管理 第5章 网络安全技术应用 第6章 网络安全未来发展 第7章 网络安全技术基础
● 01
第1章 网络安全概述
网络安全概念
网络安全是指保护网络免受未经授权访问、损 坏或更改的技术和政策的总称。随着互联网的 普及,网络安全变得至关重要。确保网络安全 可以保护个人隐私和企业重要信息,防止数据 泄露和恶意攻击。
区块链安全
区块链原理
分布式账本 共识算法
区块链应用安全
智能合约安全 数据隐私保护
区块链技术挑战
扩容性问题 私钥管理
网络安全技术应用总结
云安全
01 数据保护
移动安全
02 应用保护
物联网安全
03 设备保护
总结
网络安全技术应用涉及到多个方面, 包括云安全、移动安全、物联网安 全和区块链安全。在现代社会中, 随着信息技术的不断发展,网络安 全的重要性愈发凸显。了解并应用 这些网络安全技术,可以更好地保 护个人和组织的信息资产,确保网 络数据的机密性、完整性和可用性。
总结
网络安全管理涉及众多方面,从制 定策略到培训、监控和评估,每个 环节都至关重要。只有建立完善的 管理体系,才能有效应对网络安全 威胁,确保信息安全和系统稳定运 行。
● 05
第五章 网络安全技术应用
云安全
云安全是指保护云计算环境中的数据、应用程 序和服务免受各种安全威胁和攻击。云安全架 构是构建在云服务提供商基础设施之上的安全 框架,云安全策略则是为保护云环境中的敏感 数据和应用而制定的策略。选择合适的云安全 服务提供商对于确保云数据的安全至关重要。

第6章 无线传感器网络安全技术-无线传感器网络-王利强-清华大学出版社

第6章 无线传感器网络安全技术-无线传感器网络-王利强-清华大学出版社
传感器节点是微型装置,只有少量存储器用于存储代码。为了建立有效安 全机制,有必要限制安全算法的实现代码长度。TinyOS代码约占4KB。因此,所 有安全实现代码必须很小。
6.1 安全问题概述
6.1.1 信息安全面临的障碍
无线传感器网络是一种特殊类型的网络,其约束条件(相对于传统计算机 网络)。这些约束条件导致很难将现有的安全技术应用到无线传感器网络。下 面分析无线传感器网络的约束条件: 能量控制
随着计算机和无线通信能力的增强,传感器节点也从单纯的信息发布扩展 到网络处理和分布式计算等等更有挑战的任务中。用于网内数据处理的传感器 节点和传感器网络的体系结构容易发生故障,如节点或网络系统能量不足、数 据出错率较高等。另外,无线传感器节点的可移动性、动态重配置造成网络结 构动态改变,但传感器网络数据采集、数据处理与数据传输必须可靠执行,以 确保嵌入式应用结果的正确性和精度。
依据具体传感器网络的特定功能,传感器节点可能长时间处于无人照看状 态。对于无人照看传感器节点存在以下三个主要威胁:
➢ 暴露在物理攻击之下。传感器节点可能布置在对攻击者开放、恶劣气候等环境中。 这种环境中的传感器节点遭受物理攻击的可能性比典型PC(安置在一个安全地点, 主要面临来自网络的攻击)要高得多。
能量是无线传感器能力的最大约束因素。通常依靠电池供电的传感器节点 一旦布置在一个传感器网络中就不容易被替换(工作成本很高),也不容易重 新充电(传感器成本高),因此必须节省电池能量,延长各个传感器节点的寿 命,从而延长整个传感器网络的寿命。 不可靠通信
不可靠通信无疑是无线传感器网络安全的另一个威胁。无线传感器网络安 全密切依赖所定义的协议,而协议又依赖通信。
6.1 安全问题概述
6.1.1 信息安全面临的障碍

计算机网络安全技术与实训第6章

计算机网络安全技术与实训第6章

第6章防火墙技术[学习目标]1. 理解防火墙基本概念和防火墙工作原理2. 掌握防火墙的体系结构和基于防火墙的安全网络结构3. 学会防火墙产品的购买方案选择4. 学会配置防火墙本章要点●防火墙的概念、类型、目的与作用●防火墙的设计与创建●基于防火墙的安全网络结构●硬件防火墙配置与管理●个人防火墙的配置6.1 防火墙的基本概念6.1.1 网络防火墙基本概念什么是防火墙?建筑在山林中的房子大部分是土木结构,防火性能较差。

为了防止林中的山火把房子烧毁,每座房子在其周围用石头砌一座墙作为隔离带,这就是本意上的防火墙。

防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间设置的一堵墙,将火灾隔离在保护区之外,保证拟保护区内的安全。

网络防火墙是指在两个网络之间加强访问控制的一整套装置,即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置,强制所有的访问和连接都必须经过这个保护层,并在此进行连接和安全检查。

只有合法的数据包才能通过此保护层,从而保护内部网资源免遭非法入侵。

下面说明与防火墙有关的概念。

(1) 主机:与网络系统相连的计算机系统。

(2) 堡垒主机:指一个计算机系统,它对外部网络暴露,同时又是内部网络用户的主要连接点,所以很容易被侵入,因此必须严密保护保垒主机。

(3) 双宿主主机:又称双宿主机或双穴主机,是具有两个网络接口的计算机系统。

(4) 包:在互联网上进行通信的基本数据单位。

(5) 包过滤:设备对进出网络的数据流(包)进行有选择的控制与操作。

通常是对从外部网络到内部网络的包进行过滤。

用户可设定一系列的规则,指定允许(或拒绝)哪些类型的数据包流入(或流出)内部网络。

(6) 参数网络:为了增加一层安全控制,在内部网与外部网之间增加的一个网络,有时也称为中立区(非军事区),即DMZ(Demilitarized Zone)。

(7) 代理服务器:代表内部网络用户与外部服务器进行数据交换的计算机(软件)系统,它将已认可的内部用户的请求送达外部服务器,同时将外部网络服务器的响应再回送给用户。

网络安全技术及其应用

网络安全技术及其应用

网络安全技术及其应用第一章网络安全技术概述网络安全技术是指通过一系列的技术手段,保障网络系统、网络服务以及网络信息的可用性、保密性、完整性等方面的安全。

近年来,技术的快速发展和广泛使用使网络攻击手段日益复杂,针对安全问题的解决也日益重视。

因此,网络安全技术应用已经成为了必不可少的重要环节。

网络安全技术主要包括密码学技术、网络通信安全技术、网络访问控制技术、应用安全技术以及入侵检测与防范技术等。

第二章密码学技术密码学技术是指运用数学方法和计算机技术对信息进行保密、认证等操作的一类技术手段。

主要包括对称密码学和非对称密码学。

对称密码学是指发送和接收方使用相同的密钥进行加解密,常用的算法有DES、AES等。

而非对称密码学是指发送和接收方使用不同的密钥进行加解密,常用的算法有RSA、ECC等。

密码学技术是保障信息安全的基础,也是网络安全技术的第一道防线。

在网络通信中,加密通信就可以保障信息的保密性,防止信息被第三方窃取、篡改和伪造。

同时,数字证书作为非对称密码学的重要应用,可以有效地提高信息传输的真实性和可信度。

第三章网络通信安全技术网络通信安全技术即保障网络传输过程中信息安全的技术手段。

网络通信安全技术主要包括加密传输、数字签名、数据完整性保护等。

加密传输通过数据加密技术使得被攻击者无法获得信息内容,可以有效保障信息的隐私;数字签名通过数学算法的实现,保证信息的真实性与完整性,防止被篡改和伪造;数据完整性保护通过校验和、CRC校验等技术保证数据的完整性,防止出现数据被篡改的情况。

第四章网络访问控制技术网络访问控制技术主要通过安全策略来实现对网络访问者的授权和验证,并控制访问者的网络资源分配和使用权限。

主要包括防火墙技术、访问控制目录技术、虚拟专用网技术等。

防火墙技术是目前广泛应用的网络访问控制手段,它通过对网络通道的监督和过滤,实现对攻击入侵的控制和过滤,有效保障企业内部网络资源的安全。

访问控制目录技术则是通过建立访问控制目录,确定访问者的权限和资源,实现访问者资源分配和访问权限的赋权管理。

网络安全技术操作指南

网络安全技术操作指南

网络安全技术操作指南第一章网络安全基础 (2)1.1 网络安全概述 (2)1.2 网络安全体系结构 (3)第二章密码技术 (3)2.1 对称加密技术 (3)2.1.1 DES加密算法 (4)2.1.2 3DES加密算法 (4)2.1.3 AES加密算法 (4)2.2 非对称加密技术 (4)2.2.1 RSA加密算法 (4)2.2.2 DSA加密算法 (4)2.2.3 ECC加密算法 (4)2.3 哈希算法 (4)2.3.1 MD算法 (5)2.3.2 SHA算法 (5)2.3.3 MAC算法 (5)第三章防火墙配置与应用 (5)3.1 防火墙概述 (5)3.2 防火墙配置 (5)3.3 防火墙应用案例 (6)3.3.1 防火墙在广电出口安全方案中的应用 (6)3.3.2 Linux 防火墙配置案例分析 (6)3.3.3 H3C Secblade 防火墙插卡配置案例 (7)第四章入侵检测与防御 (7)4.1 入侵检测系统概述 (7)4.2 入侵检测系统配置 (7)4.3 入侵防御策略 (8)第五章虚拟专用网络(VPN)技术 (8)5.1 VPN概述 (8)5.2 VPN配置 (9)5.3 VPN应用案例 (9)第六章网络安全漏洞扫描与修复 (10)6.1 漏洞扫描技术 (10)6.1.1 漏洞扫描的基本原理 (10)6.1.2 漏洞扫描的分类 (10)6.2 漏洞修复策略 (10)6.2.1 补丁更新 (11)6.2.2 配置调整 (11)6.2.3 代码修复 (11)6.2.4 隔离和保护 (11)6.3 漏洞管理流程 (11)第七章网络安全事件应急响应 (11)7.1 网络安全事件分类 (11)7.2 应急响应流程 (12)7.3 应急响应工具与技巧 (12)第八章数据备份与恢复 (13)8.1 数据备份策略 (13)8.2 数据恢复技术 (14)8.3 备份与恢复案例 (14)第九章网络安全法律法规 (14)9.1 我国网络安全法律法规概述 (15)9.2 网络安全法律法规适用 (15)9.3 网络安全法律法规案例分析 (15)第十章信息安全风险管理 (16)10.1 风险管理概述 (16)10.2 风险评估与应对 (16)10.2.1 风险评估 (16)10.2.2 风险应对 (17)10.3 风险管理案例 (17)第十一章网络安全意识培训 (17)11.1 培训内容与方法 (18)11.2 培训对象与效果评估 (18)11.3 培训案例分析 (19)第十二章网络安全新技术 (19)12.1 人工智能在网络安全中的应用 (19)12.2 区块链技术在网络安全中的应用 (19)12.3 量子计算与网络安全 (20)第一章网络安全基础1.1 网络安全概述网络安全是信息安全的重要组成部分,互联网的普及和信息技术的发展,网络安全问题日益凸显。

网络安全(6)加密技术PPT课件

e f g h …………. a b c d 2、倒映射法。
a b c d ………….w x y z
z y x w …………. d c b a 3、步长映射法。
a b c d ………….w x y z
单表替代密码
单表替代密码的一种典型方法是凯撒 (Caesar)密码,又叫循环移位密码。它的 加密方法就是把明文中所有字母都用它右边 的第k个字母替代,并认为Z后边又是A。这 种映射关系表示为如下函数:
①传统方法的计算机密码学阶段。解密是加密的简单 逆过程,两者所用的密钥是可以简单地互相推导的, 因此无论加密密钥还是解密密钥都必须严格保密。 这种方案用于集中式系统是行之有效的。
②包括两个方向:一个方向是公用密钥密码(RSA), 另一个方向是传统方法的计算机密码体制——数据 加密标准(DES)。
3.什么是密码学?
密码学包括密码编码学和密码分析学。密码体 制的设计是密码编码学的主要内容,密码体制的破 译是密码分析学的主要内容。密码编码技术和密码 分析技术是相互依存、相互支持、密不可分的两个 方面。
加密包含两个元素:加密算法和密钥。
加密算法就是用基于数学计算方法与一串 数字(密钥)对普通的文本(信息)进行 编码,产生不可理解的密文的一系列步骤。 密钥是用来对文本进行编码和解码的数字。 将这些文字(称为明文)转成密文的程序 称作加密程序。发送方将消息在发送到公 共网络或互联网之前进行加密,接收方收 到消息后对其解码或称为解密,所用的程 序称为解密程序。
教学内容: 6.1、加密技术概述 6.2、传统加密技术 6.3、单钥密码体制 6.4、双钥密码学体制 6.5、密钥的管理 6.6、加密软件PGP 6.7、本章小结 6.8、习题
❖ 学习目标: ❖ 1、理解加密技术的基本概念 ❖ 2、掌握单钥密码体制和双钥密码学体制 ❖ 3、了解秘要的管理和加密软件的应用

计算机网络安全第6章 密码与加密技术


2. 密码系统的基本原理(1) 密码系统的基本原理(1) 一个密码系统由算法和密钥两个基本组 件构成.密钥是一组二进制数 是一组二进制数, 件构成.密钥是一组二进制数,由进行密码 则是公开的, 通信的专人掌握, 算法则是公开的 通信的专人掌握,而算法则是公开的,任何 人都可以获取使用. 人都可以获取使用.密码系统的基本原理模 型如图所示. 型如图所示.
对称与非对称加密体制特性对比情况,如表 对称与非对称加密体制特性对比情况, 特性对比情况 所示. 所示.
特征 对称 非对称 密钥的数目 单一密钥 密钥是成对的 密钥种类 密钥是秘密的 一个私有,一个公开 密钥管理 简单不好管理 需要数字证书及可靠第三者 相对速度 用途 非常快 用来做大量 资料 慢 用来做加密小文件或信息签 字等不在严格保密的应用
6.2 密码破译与密钥管理
6.2.1 密码破译方法(1) 密码破译方法(1)
2. 密码系统的基本原理(2) 密码系统的基本原理(2) 为了实现网络信息的保密性, 为了实现网络信息的保密性,密码系统 要求满足以下4点 要求满足以下 点: (1) 系统密文不可破译 (2) 系统的保密性不依赖于对加密体制或 算法的保密,而是依赖于密钥. 算法的保密,而是依赖于密钥. (3) 加密和解密算法适用于所有密钥空间 中的元素. 中的元素. (4) 系统便于实现和使用. 系统便于实现和使用.
1. 密码技术的相关概念(2) 密码技术的相关概念(2) 密码技术包括密码算法设计,密码分析, 密码技术包括密码算法设计,密码分析, 包括密码算法设计 安全协议,身份认证,消息确认,数字签名, 安全协议,身份认证,消息确认,数字签名, 密钥管理,密钥托管等多项技术. 密钥管理,密钥托管等多项技术. 密码技术是保护大型传输网络系统信息的 惟一实现手段,是保障信息安全的核心技术. 惟一实现手段,是保障信息安全的核心技术. 密码技术能够保证机密性信息的加密, 密码技术能够保证机密性信息的加密,而 且还能够完成数字签名,身份验证, 且还能够完成数字签名,身份验证,系统安全 等功能.所以, 等功能.所以,使用密码技术不仅可以保证信 息的机密性 而且可以保证信息的完整性和准 机密性, 息的机密性,而且可以保证信息的完整性和准 确性,防止信息被篡改,伪造和假冒. 确性,防止信息被篡改,伪造和假冒.

第六章 网站安全

n 黑客大都是程序员,知道系统的漏洞及 其原因所在,对任何计算机操作系统的 奥秘都有强烈的兴趣,喜欢非法创入, 以此作为一种智力的挑战而陶醉于其中
n 有黑客的攻击,说明网络有漏洞
2020-5-18
22
6、6、1 黑客的攻击步骤
n 收集信息 n 探测系统的安全弱点 n 实施攻击
2020-5-18
23
n 窃取系统的信息
n 破坏系统
n 非法使用
n 病毒破坏
2020-5-18
3
6、1、2 网站的典型安全漏洞
n 操作系统类安全漏洞
n 打补丁,如windows
n 网络系统的安全漏洞
n 数据传输过程中的安全问题
n 应用系统的安全漏洞
n 网络安全防护系统不健全
n 其他安全漏洞
2020-5-18
4
6、2 Web站点的安全技术
2020-5-18
13
6、4 MS Proxy Server的安全(P143)
n 代理服务器的工作过程
n 凡是使用代理服务器的,就存在内网和外网 n 内网被攻击的几率相对较小
n 代理服务器用作防火墙
n 代理服务器装有两个网卡 n 对外只需一个IP地址就可
2020-5-18
14
6、5 防病毒系统
计算机病毒,是指编制或者在计算机 程序中插入的破坏计算机功能或者毁坏 数据的,影响计算机使用,并能自我复 制的一组计算机指令或者程序代码。
n 传染方式多 n 传染速度快 n 清除难度大 n 破坏性强 n 可激发性 n 潜在性
2020-5-18
18
6、5、4 网站和因特网对病毒的敏感性
n 对文件病毒的敏感性:
n 网络服务器上的文件病毒 n Internet上的文件病毒

《网络技术》


第六章 网络安全技术
6.1.2 网络管理功能
OSI
网络管理系统描述的功能可由ISO 7498-4 给出,定义了5个系统管理功能,即配置 管理、故障管理、性能管理、计费管理 和安全管理
第六章 网络安全技术
6.1.2 网络管理功能
OSI
1、配置管理
配置管理的目标是掌握和控制网络的配置信 息,从而保证网络管理员可以跟踪、管理网 络中各种设备的运行状态。
ห้องสมุดไป่ตู้
第六章 网络安全技术
6.1.3 网络管理协议
OSI
1、SNMP
管理信息库(MIB) 网络被管理设备中代理所维持的各种状态信 息的集合,这些信息被称为SNMP的被管对 象,管理信息库就是保存所有网络管理对象 的数据结构; 在SNMP模型中,每个代理节点都保存一个 管理信息库; 运行在被管理设备上的代理负责收集信息, 并通过SNMP协议提供给网络管理系统; 管理信息库是SNMP网络管理系统的核心。
第六章 网络安全技术
6.1.1 网络管理概述
OSI
3、网络管理模型
代理位于被管理的网络设备内部 它把来自管理者的命令或信息请求转换为本设 备特有的指令,完成管理者的指示,或返回所 在设备的信息。 另外,代理也可以把自身系统中发生的事件主 动通知给管理者。 一般的代理都是返回它本身的信息,而另一种 称为委托代理的,可以提供其他系统或其他设 备的信息。
OSI
2、CMIS/CMIP
CMIP采用管理者-代理模型
当对网络实体进行监控时,管理者只需发 出一个监控请求,代理就会自动监视指定 的对象,并在异常事件发生时向管理者发 出指示;
CMIP的这种管理监控方式称为委托监控 委托监控的主要优点是开销小、反应及时, 缺点是对代理的资源要求高。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第六章网络的安全技术第一节概述一.计算机安全与网络安全1.信息在网上传输增加了不安全因素。

实体安全——机房、线路、主机等网络与信息安全——基本安全类网的通畅、准确与网上信息的安全管理与记帐类网络互连设备安全类连接控制应用安全——开发、I/O、数据库等2.例子1995年8月21日,黑客入侵美某银行,损失现金1160万美元。

1996年12月29日,黑客入侵美空军网络网页:两只鲜血直流的红眼球,并书写“欢迎了解真相”。

1997年,美佛罗里达州警察应急系统被黑。

1998年12月7日,美Web通信公司的计算机被Web上SYN洪水技术搞死9小时;14日又搞死了14小时。

美损失近百亿美元/年。

3.攻击(1)攻击的4种类型:A.收集信息——各种扫描工具找漏洞,如超过64KB的Ping是死Ping(使之成为服务器安全的潜在威胁);B.获取访问权限——从制造故障中获取;C.拒绝服务(不易捕获);D.逃避检测——修改安全审计记录。

(2)攻击目标系统型——占30%,外部攻击多数据型——占70%,内部攻击多(3)攻击步骤A.寻找目标,搜集信息工具及信息有:ns loo Kup,tracert,finger,邮件帐号,X.500(端口105),Whois(查出管理员)等。

B.弱点探测与分析工具有:ISS——安全扫描,SATAN——审计网络的安全分析工具等。

C.实施攻击(4)攻击方式A.利用系统缺陷或后门,如IP源选路;B.利用淡薄的安全意识;C.防火墙的安全隐患;D.内部用户窃密、泄密、破坏;E.缺乏监督,安全评估;F.口令攻击,拒绝服务;G.利用电子邮件与WEB缺陷;等等。

二.不安全因素网络共享系统复杂边界不确定路径不确定1997年,微软IE与Netscape的Na v igat o r有用户到节点的信息问题。

100多国家有计算机间谍计划。

三.安全指标可用性——即时使用;完整性——信息安全、精确与有效;保密性。

四.安全的基本要求用户身份验证及对等实体鉴别访问控制——防抵赖(防否定)数据完整性、加密审计容错第二节网络安全设计一.考虑的问题1.原则:(1)是准许访问除明确拒绝以外的全部资源,还是拒绝访问除明确准许以外的全部资源——安全集内还是外的问题;(2)资源开放度对内对外2.考虑的问题:(1)分析安全需求——解决网络边界安全;网络内部安全;系统安全和数据安全;全网性身份识别;访问控制;传输保密与完整;审计;技术+行政的全局管理;(2)确定安全方针——程度、手段、代价;(3)选择安全功能——功能、规定;(4)选择安全措施——具体技术机制和方法;(5)完善安全管理——有效地实施、体现;审计加密授权 增强的用户认证政策法律法规(6)其他:网络安全评价、网络安全测试、网络安全实施与运行管理、网络安全审计检查等。

二.实施安全的关键 1.网络安全结构模型——框架、描述要求、方针、功能,作为评价的基础。

注意与已有网络层次模型的兼容,将安全设计作为整个网络系统设计的一部分。

2.形式化的表达工具——无二义性的描述需求、功能、措施;协调用户与安全分析,总体设计、详细设计及具体实现的关系,以便于对安全进行验证与评价。

3.安全控制的技术方法和产品——是选择安全措施,具体实现的基础。

三.考虑的综合因素1.安全程度与复杂程度(成本等)2.方便与效率四.网络信息安全模型系统工程1.概述 (1)涉及的方面社会法律政策,企业规章制度,网络安全教育技术方面措施——防火墙、防病毒、加密、确认授权等 审计与管理措施 (2)框架含备份等密钥产生、分配、认证、使用用户认证、一致性、隐秘性、不可抵赖性 ——为特许用户提供合适的访问权限——技术性的首道防线,提供访问控制——基石,建立安全管理的标准和方法2.模型(1)网络安全策略安全=风险分析+安全规则+直接技术防御体系+安全监控 (2)自适应网络安全策略美ISS 公司安全=风险分析+执行策略+系统实施+漏洞检测+实时响应(3)智能网络安全策略安全=风险分析+安全策略+技术防御体系+攻击实时检测+安全跟踪+系统恢复+学习进化 (4)安全机制的分布A .应用层——主机安全、身份认证、加密、不可否认、数字签名等;B.表示层;C.会话层;D.传输层——身份认证、口令、访问控制、加密等;E.网络层——身份认证、访问控制、加密、一致性检查等;F.数据链路层——加密等;G.物理层——加密数据流等。

五.网络操作系统1.NOS对网络性能(当然含安全性能)有着至关重要的影响安全方面:整体安全保密C2级以上容错特性1、2、3级,自动连接等2.网络安全系统Kerberos(1) 美MIT为Athena工程设计的用于开放网络环境的试验系统。

异构网,用户有自治权。

认证服务器——许可券Ticket的申请。

许可券分配服务器TGS——对Ticket检查。

通信中加密,且为客户与服务器的对话产生一临时密钥——由一数据库维护它。

使用对称密码。

(2)认证A.用户申请——》输入其名字——名字+TGS服务器名——》认证服务器——核实、产生一—》会话钥和一用于访问TGS的许可券——用客户,私人密钥加密(可从用户的口令转换而得)——》回送客户。

TGS许可券(利用TGS私人密钥加密)含:客户名,TGS服务器名,当前时间,许可券有效期,客户IP地址,会话钥。

B.一次会话时:客户建一认证符(含客户IP地址,当前时间)——会话钥加密+许可券——》送欲访问的服务器——用会话钥解出认证符,用其私人密钥解出许可券——》实施认证。

C.客户认证服务器的身份:被访问服务器将客户送来的认证符中的时间戳加1——用会话钥加密——》回送给客户。

D.TGS本身可产生其他服务器的许可券:客户在第一次取得TGS许可券后,还需向TGS服务器申请某个具体服务的许可券,如申请成功,TGS再回送客户一许可券和会话钥,客户利用之就可访问最终的服务器。

E.过程·请求TGS许可券·返回TGS许可券·请求服务许可券·返回服务许可券·要求服务(3)特点A.优点:·较高安全性——口令也加密,它作为用户的私人密钥;·用户透明性;·可扩展性——为每一服务提供认证,确保应用安全,而不介入应用或服务内容本身。

B.缺点·口令作为用户的唯一标志——不验证用户的真实性;·客户间传递的信息可截取——可重放攻击;·集中管理——易出现瓶颈,密钥管理复杂。

六.网络管理与网络安全有直接联系。

配置管理、性能监视、出错分析、错误定位、预管理(阀值)等。

管理安全的内容:(1)监测网络内所有设备的运行状态;(2)及时确认出错设备和性能问题;(3)显示出错设备的概要信息;(4)提供迅速诊断网络的工具;(5)提出简化TRAP论断的出错并联机分析;(6)支持高级网管分析等。

七.网络安全解决方案(所涉及的防火墙在第3节)(1)结构路由器+过滤器Screened Host代理主机Proxy(2)技术措施网络地址转换器NAT(Network Address Trans l at o r)加密路由器ER(Encrypting Router)身份证AT(Authentication Token)安全内核SK(Secured Kernel)最少特权LP (Least Privilege)状态监视器SI(State Inspection)安全协议——功能:加密;身份验证;密钥管理;数据验证;安全审计;保护。

Cisco路由器:早期仅IP过滤9.21版——可查IP地址欺骗10.3版——由TCP端口和连接来过滤11.3版——根据时间段过滤1.信息包筛选(1)筛选规则——涉及时间,地址,端口,信息(独立的、上下文)。

常驻在两网络间系统中的数据库规则。

(2)执行处——通信点(路由器,交换机)即扼流点——唯一界限分明的位置,全部信息必须通过它。

(3)特点优点:快速、透明、独立,全部信息筛选。

缺点:实施复杂、维护复杂。

从内网与外网直通——》内外网间加防火墙、但信息服务无处放——》设非军事区来双重隔离——》“内”网与外网融合,便形成VPN 。

2.应用中继器,非军事区为某一协议或服务,提供某项安全服务。

优点:无复杂规则集、隐藏内部网。

缺点:不透明、种类多、降速。

3.混合(1)两个网络,两个接口基本筛(2)三个网络,三个接口(3)三个网络,四个接口,两台记录(一在DMZ 内,另在可靠网内)(4)五个网络,三个接口4.安全虚拟专用网SVPN 可平滑过渡(1)主要技术综合利用访问控制技术+加密技术及适当密钥管理机制。

一种企业的完整集成化安全解决方案。

主要技术:隧道技术IPsec、PPTP、加解密技术、密钥管理、身份认证。

A.隧道技术Tunneling·三层IPsec——IP安全协议·二层PPTP——点点隧道协议B.解密技术·融合在IPsec中。

·Diffie-Hellman,DES,IDEA·Hash式HMAC,MD5,SHA,RC4,数字签名等C.密钥管理技术·SKIP(Simple Key Management for IP)——SUN公司,D-H算法·ISAKMP双密钥,将融入IP V6D.身份认证技术·封包认证(用户名+密码/卡片),AH,E5P,MD5,SHA技术(2)组成与结构B.IP安全区——用于保护客户端主机,并与IP保密机协同工作。

加密卡+软件包C .安全管理中心——负责各保密机的密码管理和安全管理。

可PC 、服务器或保密机兼任。

(3)作用与原理企业网主要危险: 来自公共网的对企业内部网的非法访问 信息在网上传输时被窃听和非法修改A .作用——使分布在不同地区的企业内部网在不可信任的公共网上安全地进行通信。

采用透明的加密传输方案处理传输的信息,保证信息传输的保密性和完整性。

B .原理需加密签名C .处理过程·内网主机发明文到连接公共网的SVPN 设备――IP 加密机; ·SVPN 设备根据网管员设的规则,确定对数据加密或让数据直通; ·加密:SVPN 设备在网络IP 层对IP 数据包加密并附上数字签名;·SVPN 设备对加密后数据重新封装,然后将之通过虚拟通道在公共网上传输;·当数据包到达目标SVPN 设备时,数据包被解封装,经数字签名被核对无误后,将之解密。

D .主要特点省钱、拓展商机、充分利用公用网、适应好、安全强·透明解决用户的网络安全保密问题 与应用程序、机器类型无关,且动态地 ·用于各种TCPIP 用户的安全保密问题Ethernet 、FDDI 、X.25、DDN 、帧中继、PSTN 电话拨号网等·与国际标准IPsec 接轨 兼容、互通性·IP 保密机内置安全OS ,具有良好的自身安全性·节省费用通信、固定设备投资、支持费、维护·拓展企业商机对外:建立基于Web 的新商机、全球电子商务; 对内:建立企业专用网,提高效率,增强竞争力。