第5章 网络安全网络技术与应用本章内容网络安全概述网络病毒防护防火墙技术入侵检测技术数据加密技术5.1 网络安全概述网络面临的威胁网络安全概
念网络安全机制网络面临的威胁人为的无意失误人为的恶意攻击网络软件系统的漏洞和后门病毒感染隐私及机密资料的存储和传输网络安全概念网络
安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,
网络服务不中断。 5.1.3 网络安全机制安全机制可分为两类 :安全服务与安全系统管理2、网络安全技术1、安全机制5.2 网络病
毒防护5.2.1 网络病毒病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作,破坏系统或干扰系统运行的“坏
”程序。 网络传播途径: 文件下载(浏览或FTP下载) 电子邮件(邮件附件)5
.2.2 网络病毒的特点1、传染方式多 2、传染速度快 3、清除难度大 4、破坏性强 5、针对性强 6、激发形式多样 5.2.3
常见的网络病毒 1、蠕虫病毒 2、木马病毒 3、网页病毒4、电子邮件病毒5、流氓软件5.2.4 网络病毒的防治以网为本,多层防
御,有选择地加载保护计算机网络安全的网络防病毒产品 病毒防范计算机网络病毒的防治1、尽量少用超级用户登录 2、严格控制用户的网络使
用权限 3、对某些频繁使用或非常重要的文件属性加以控制,以免被病毒传染 4、对远程工作站的登录权限严格限制 5.3 防火墙5.3.
1 防火墙的功能(1)强化网络安全策略:所有内外通信都必须通过防火墙,通过以防火墙为中心的安全方案配置,仅容许认可和符合规则的请求
通过。与将安全问题分散到各个主机上相比,防火墙的集中安全管理对于内部网络来讲更经济。(2)对网络存取和访问进行监控审计:记录内、外
网络通信时所发生的一切活动。(3)防止易受攻击的服务:防火墙本身具有抗入侵能力,并可对流经防火墙的特定流量进行控制。(4)防止内部
信息的外泄:按安全策略授权,通信才允许通过。5.3.2 防火墙的类型总体分为两大类:包过滤型防火墙、应用代理型防火墙包过滤型:分包
传输包具有特定信息(数据源地址、目标地址、TCP/UDP源端口和目标端口等)优点是简单实用,缺点是无法识别恶意侵入应用代理型:代理
服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。 优点是安全性高,缺点是影响系统整体性能不能防范绕过防火墙的攻击 不能防
止数据驱动式攻击。 难以避免来自内部的攻击。 5.3.3 防火墙的缺陷一般的防火墙不能防止受到病毒感染的软件或文件的传输。 5.4
入侵检测技术5.4.1 入侵者常用手段1、 信息收集 2、 对系统安全薄弱点的探测3、 网络攻击SNMP、TraceRout程序
、Whois服务、DNS服务、Finger协议、Ping实用程序利用自编的程序 利用公开的工具目标系统中安装探测软件 在受损系统中
获得访问权5.4.2 入侵防范措施选用安全的密码,并经常修改密码;应及时取消调离或停止工作的雇员帐号,及无用帐号;实施存取控制措施
;确保数据的安全性和完整性;原有数据要和现行数据保持完全一致。安装防火墙或入侵检测系统,及时发现并阻止入侵行为。个人其它防范措施
:使用不同密码、不透露个人信息5.5 数据加密概述数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用
不同的密钥,可用同一加密算法将同一明文加密成不同的密文。 只有指定的用户和网络设备才能解译加密数据,从根本上解决网络安全的两大主要
需求,即网络服务的可用性和信息的完整性。 5.5.2 密码技术的基本概念 密码技术是网络信息安全与保密的核心和关键。通过密码技术的
变换或编码,可以将机密、敏感的消息变换成难以读懂的乱码型文字,以此达到两个目的:其一,使不知道如何解密的“黑客”不可能从其截获的乱
码中得到任何有意义的信息其二,使“黑客”不可能伪造或篡改任何乱码型的信息。5.5.3 常用数据加密方法 单钥或对称密码体制:加密密
钥和解密密钥相同,或从一个可以推出另一个。 双钥或非对称密码体制 :加密密钥和解密密钥不相同,从一个难于推出另一个 。优点:不存
在密钥管理问题 、拥有数字签名功能 缺点:算法比较复杂,加、解密速度慢 优点:加、解密速度快缺点:密钥管理难;无法解决消息确认问题
;缺乏自动检测密钥泄露的能力 5.5.4 著名密码算法介绍 1、DES加密算法:DES是一种典型的按分组方式工作的密码。其基本思
想是将二进制序列的明文分成每64位一组,用长为56位的密钥对其进行16轮代换和换位加密,最后形成密文。 优点:加密和解密的步骤完
全相同,DES芯片易于做到标准化和通用化 缺点:密钥太短,影响保密强度 5.5.4 著名密码算法介绍 2、RSA加密算法:RSA加
密算法是非对称式加密算法,也是最著名的公钥加密算法。RSA加密算法通常首先生成一对RSA密钥,一个是保密密钥,由用户保存;另一个是
公开密钥,对外公开,甚至可在网络服务器中注册。优点:密钥分配方便、安全性高缺点:速度慢 5.5.5 数字签名 实现数字签名三点保证:1、接收者能够核实发送者对报文的签名。2、发送者事后不能抵赖对报文的签名。3、接收者不能伪造对报文的签名。 |
|
