第 8 章 计算机网络安全
85
第 8 第 第第第第第第第 8.1 第第第第第第第第第第第 8.2 第第第第第第第第第 8.3 第第第第 8.4 第第第第第第第第第第 8.5 第第第第第 8.6 第第第第第第第第
-
Upload
dillon-hendricks -
Category
Documents
-
view
209 -
download
6
description
第 8 章 计算机网络安全. 8.1 计算机网络安全基础知识 8.2 计算机网络安全管理 8.3 加密技术 8.4 因特网使用的安全协议 8.5 防火墙技术 8.6 其他网络安全技术. 8 .1 计算机网络安全基础知识 1. 网络安全的含义 网络安全 是指通过采取各种技术和管理措施,使网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。. 2. 网络安全的分类 ( 1 ) 物理安全 ,包括机房、线路、主机等 ( 2 ) 运行安全 ,包括网络的畅通、准确 - PowerPoint PPT Presentation
Transcript of 第 8 章 计算机网络安全
第 8 章 计算机网络安全
8.1 计算机网络安全基础知识8.2 计算机网络安全管理8.3 加密技术8.4 因特网使用的安全协议8.5 防火墙技术8.6 其他网络安全技术
8.1 计算机网络安全基础知识 1. 网络安全的含义
网络安全是指通过采取各种技术和管理措施,使网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2. 网络安全的分类
( 1 )物理安全,包括机房、线路、主机等
( 2 )运行安全,包括网络的畅通、准确
( 3 )应用安全,包括程序开发运行、 I/O 、数据库等的安全
( 4 )数据安全,数据不被非法冒充、窃取、篡改、抵赖
3. 网络安全的特征
( 1 )保密性:信息不泄露给非授权的用户、实体或过程,或供其利用的特性。
( 2 )完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
( 3 )可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
( 4 )可控性:对信息的传播及内容具有控制能力。
4. 威胁网络安全的因素
1) 安全威胁的类型 ( 1 )非授权访问 这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用。 ( 2 )假冒合法用户 主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权,以达到占用合法用户资源的目的。 ( 3 )数据完整性受破坏 干扰系统的正常运行,改变系统正常运行的方向,以及延时系统的响应时间。 ( 4 )病毒 ( 5 )通信线路被窃听等
计算机网络上的通信面临以下的四种威胁: (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。 截获信息的攻击称为被动攻击,而更改信息和拒
绝用户使用资源的攻击称为主动攻击。
对网络的被动攻击和主动攻击
截获 篡改 伪造中断
被动攻击 主 动 攻 击
目的站源站源站源站源站 目的站目的站目的站
截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。
被动攻击和主动攻击 在被动攻击中,攻击者只是观察和分析
某一个协议数据单元 PDU 而不干扰信息流。
主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文服务 伪造连接初始化
DDOS 是英文 Distributed Denial of Service 的缩写,意即“分布式拒绝服务”,很多 DOS 攻击源一起攻击某台服务器就组成了 DDOS 攻击
拒绝服务( Denial of Service , DoS ),一种常用来使服务器瘫痪的网络攻击手段。即是利用网络上已被攻陷的电脑,向某一特定的目标电脑发动密集式的“拒绝服务”要求,用以把目标电脑的网络资源及系统资源耗尽,使之无法向真正正常请求的用户提供服务。
(1) 计算机病毒——会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。
(2) 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。
(3) 特洛伊木马——一种程序,它执行的功能超出所声称的功能。
(4) 逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。
恶意程序 (rogue program)
网络威胁的类型
网络
内部、外部泄密
拒绝服务攻击
逻辑炸弹
特洛伊木马 黑客攻击 计算机病毒
信息丢失、篡改、销毁
后门、隐蔽通道
蠕虫
2) 计算机系统的脆弱性( 1 )计算机系统的脆弱性主要来自于操作系统的不安全性。 ( 2 )存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。( 3 )计算机可能会因硬件或软件故障而停止运转,或被入侵者利用并造成损失。 3) 协议安全的脆弱性 当前计算机网络系统都使用的 TCP / IP 协议以及 FTP 、 E-mail 、 NFS 等都包含着许多影响网络安全的因素。
4) 人为的因素
不管是什么样的网络系统都离不开人的管理,但又大多数缺少安全管理员,特别是高素质的网络管理员。此外,缺少网络安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控。令人担忧的许多网络系统已使用多年,但网络管理员与用户的注册、口令等还是处于缺省状态。
5、基本安全技术
信息窃取信息窃取
信息传递
信息冒充信息冒充
信息篡改信息篡改
信息抵赖信息抵赖
加密技术
数字签名
完整性技术
认证技术
8.2.1 网络安全保障体系
8.2 计算机网络安全管理
人员保障
网络信息安全领导小组由信息办主任、副主任和各中心的主任组成
网络信息安全工作小组从信息办下属各中心抽调对网络、信息系统安全技术
比较精通的技术骨干组成
安全工作执行人员安全领导小组、安全工作小组和各中心安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障。
8.2.1 网络安全保障体系
8.2.1 网络安全保障体系
制度保障 良好的网络信息安全保障离不开规范严谨的管理制度。
技术保障
使用一系列先进的技术工具和手段来保障网络信息安全
8.2.1 网络安全保障体系
( PPDRR ) 保护、检测、响应和恢复涵盖了对现代信保护、检测、响应和恢复涵盖了对现代信
息系统的安全防护的各个方面,构成了一个完整息系统的安全防护的各个方面,构成了一个完整
的体系,使网络安全建筑在一个更加坚实的基础的体系,使网络安全建筑在一个更加坚实的基础
之上。之上。
8.2.2 网络安全防护体系
安全策略(安全策略( PolicyPolicy ):):最重要的核心组成部分最重要的核心组成部分 保护 保护 ( PROTECT )( PROTECT ) 传统安全概念的继承,包括信息加密技术、访问传统安全概念的继承,包括信息加密技术、访问
控制技术等等。控制技术等等。 检测 检测 ( DETECT )( DETECT ) 从监视、分析、审计信息网络活动的角度,发现从监视、分析、审计信息网络活动的角度,发现
对于信息网络的攻击、破坏活动,提供预警、实时响对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御从单纯的被动防护演进到积极的主动防御。 。
8.2.2 网络安全防护体系
响应 响应 ( RESPONSE )( RESPONSE ) 在遭遇攻击和紧急事件时及时采取措在遭遇攻击和紧急事件时及时采取措施,包括调整系统的安全措施、跟踪攻击施,包括调整系统的安全措施、跟踪攻击源和保护性关闭服务和主机等。源和保护性关闭服务和主机等。
恢复 恢复 ( RECOVER )( RECOVER ) 评估系统受到的危害与损失,恢复系评估系统受到的危害与损失,恢复系
统功能和数据,启动备份系统等。统功能和数据,启动备份系统等。
8.2.2 网络安全防护体系
网络安全工作的目的
进不来 拿不走 看不懂 改不了 跑不了
E加密算法
E加密算法
D解密算法
D解密算法
加密密钥 K 解密密钥 K
明文 X 明文 X
密文 Y = EK(X)
截取者截获 篡改
密钥源密钥源
安全信道
8.3 加密技术8.3.1 一般的数据加密模型
一些重要概念 密码编码学 (cryptography) 是密码体制的设计学,
而密码分析学 (cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学 (cryptology) 。
如果不论截取者获得了多少密文,但在密文中都没有足够的信息来惟一地确定出对应的明文,则这一密码体制称为无条件安全的,或称为理论上是不可破的。
如果密码体制中的密码不能被可使用的计算资源破译,则这一密码体制称为在计算上是安全的。
所谓常规密钥密码体制,即加密密钥与解密密钥是相同的密码体制。
这种加密系统又称为对称密钥系统。我们先介绍在常规密钥密码体制中的两种最基本的密码。
8.3.2 常规密钥密码体制
替代密码与置换密码
替代密码 (substitution cipher) 的原理可用一个例子来说明。(密钥是 3 ) abcdefghijklmnopqrstuvwxyz
DEFGHIJKLMNOPQRSTUVWXYZABC
caesar cipher FDHVDU FLSKHU
明文密文
明文 c 变成了密文 F
8.3.2 常规密钥密码体制
替代密码与置换密码
替代密码 (substitution cipher) 的原理可用一个例子来说明。(密钥是 3 ) abcdefghijklmnopqrstuvwxyz
DEFGHIJKLMNOPQRSTUVWXYZABC
caesar cipher FDHVDU FLSKHU
明文密文
明文 a 变成了密文 D
8.3.2 常规密钥密码体制
替代密码
替代密码 (substitution cipher) 的原理可用一个例子来说明。(密钥是 3 ) abcdefghijklmnopqrstuvwxyz
DEFGHIJKLMNOPQRSTUVWXYZABC
caesar cipher FDHVDU FLSKHU
明文密文
明文 e 变成了密文 H
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
置换密码
置换密码 (transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序
明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B ,因此 C 为第 1 。同理, E 为第 2 , H 为第 3,…… , R 为第 6 。于是得出密钥字母的相对先后顺序为 145326 。
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
置换密码 置换密码 (transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序
明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B ,因此 C 为第 1 。同理, E 为第 2 , H 为第 3,…… , R 为第 6 。于是得出密钥字母的相对先后顺序为 145326 。
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
置换密码
置换密码 (transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序
明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B ,因此 C 为第 1 。同理, E 为第 2 , H 为第 3,…… , R 为第 6 。于是得出密钥字母的相对先后顺序为 145326 。
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
置换密码 置换密码 (transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序
明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B ,因此 C 为第 1 。同理, E 为第 2 , H 为第 3,…… , R 为第 6 。于是得出密钥字母的相对先后顺序为 145326 。
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
置换密码 置换密码 (transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序
明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B ,因此 C 为第 1 。同理, E 为第 2 , H 为第 3,…… , R 为第 6 。于是得出密钥字母的相对先后顺序为 145326 。
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
置换密码
置换密码 (transposition cipher)则是按照某一规则重新排列消息中的比特或字符顺序。
密钥顺序
明文
根据英文字母在 26 个字母中的先后顺序,我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有 A 和 B ,因此 C 为第 1 。同理, E 为第 2 , H 为第 3,…… , R 为第 6 。于是得出密钥字母的相对先后顺序为 145326 。
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
密文的得出
密钥顺序
明文
先读顺序为 1 的明文列,即 aba
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
密文的得出
密钥顺序
明文
再读顺序为 2 的明文列,即 cnu
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
密文的得出
密钥顺序
明文
再读顺序为 3 的明文列,即 aio
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
密文的得出
密钥顺序
明文
再读顺序为 4 的明文列,即 tet
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
密文的得出
密钥顺序
明文
再读顺序为 5 的明文列,即 tgf
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
密文的得出
密钥顺序
明文
最后读顺序为 6 的明文列,即 ksr
因此密文就是: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序
明文
先写下第 1 列密文 aba
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序
明文
再写下第 2 列密文 cnu
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序
明文
再写下第 3 列密文 aio
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序
明文
再写下第 4 列密文 tet
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序
明文
再写下第 5 列密文 tgf
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端收到密文后按列写下
密钥顺序
明文
最后写下第 6 列密文 ksr
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端从密文解出明文
密钥顺序
明文
最后按行读出明文
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端从密文解出明文
密钥顺序
明文
最后按行读出明文
收到的密文: abacnuaiotettgfksr
8.3.2 常规密钥密码体制
CIPHER145326attackbeginsatfour
接收端从密文解出明文
密钥顺序
明文
最后按行读出明文
收到的密文: abacnuaiotettgfksr
得出明文: attackbeginsatfour
8.3.2 常规密钥密码体制
公开密钥密码体制的特点 公开密钥密码体制使用不同的加密密钥与解密密钥。
8.3.3 公开密钥密码体制
加密密钥与解密密钥
在公开密钥密码体制中,加密密钥 ( 即公开密钥 ) PK 是公开信息,而解密密钥 ( 即秘密密钥 ) SK 是需要保密的。
加密算法 E 和解密算法 D 也都是公开的。
8.3.3 公开密钥密码体制
公开密钥密码体制
接收者发送者
E加密算法
E加密算法
D解密算法
D解密算法
加密密钥 PK 解密密钥 SK
明文 X 密文 Y = EPK(X)
密钥对产生源密钥对产生源
明文 X = DSK(EPK(X))
8.3.3 公开密钥密码体制
数字签名必须保证以下三点:(1) 接收者能够核实发送者对报文的签名;(2) 发送者事后不能抵赖对报文的签名;(3) 接收者不能伪造对报文的签名。
现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。
8.3.4 数字签名
数字签名的实现
DD
SK PK
用公开密钥 核实签名
用秘密密钥 进行签名
X
发送者 A 接收者 B
DSK(X) XEE
8.3.4 数字签名
具有保密性的数字签名
DD
SKA PKA
用公开密钥 核实签名
用秘密密钥 签名
X
发送者 A 接收者 B
DSKA(X) XEEEE
PKB
用公开密钥 加密
EPKB(DSKA(X))
DD
SKB
用秘密密钥 解密
DSKA(X)
密文
8.3.4 数字签名
8.4 因特网使用的网络安全协议
8.4.1 网络层安全协议族 IPsec8.4.2 运输层安全插口层 SSL8.4.3 运输层安全电子交易 SET8.4.4 应用层安全协议
IPsec 就是“ IP 安全 (Security) 协议”的缩写。
网络层保密是指所有在 IP 数据报中的数据都是加密的。
8.4.1 因特网的网络层安全协议族 IPsec
SSL 又称为安全套接层 (Secure Socket Layer) ,可对万维网客户与服务器之间传送的数据进行加密和鉴别。 ( 运输层 )
8.4.2 安全插口层 SSL
安全插口层 SSL 的位置
TCP
应用层
安全插口层
运输层
HTTP IMAP
SSL 功能标准插口
在发送方, SSL 接收应用层的数据(如 HTTP 或 IMAP 报文),对数据进行加密,然后将加了密的数据送往 TCP 插口。在接收方, SSL 从 TCP 插口读取数据,解密后将数据交给应用层。
8.4.2 安全插口层 SSL
SSL 提供以下三个功能 (1) SSL 服务器鉴别 允许用户证实服务器的身份。具有 SS L 功能的浏览器维持一个表,上面有一些可信赖的认证中心 CA (Certificate Authority) 和它们的公开密钥。
(2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密,在接收方解密。
(3) SSL 客户鉴别 允许服务器证实客户的身份。
8.4.2 安全插口层 SSL
(Secure Electronic Transaction) 安全电子交易 SET 是专为在因特网上进行安全支付卡交易的协议。 ( 运输层 )
SET 的主要特点是:(1) SET 是专为与支付有关的报文进行加密的。(2) SET 协议涉及到三方,即顾客、商家和商业银行。
所有在这三方之间交互的敏感信息都被加密。(3) SET 要求这三方都有证书。在 SET 交易中,商家看不见顾客传送给商业银行的信用卡号码。
8.4.3 安全电子交易 SET
PGP 是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。
PGP 并没有使用什么新的概念,它只是将现有的一些算法如 MD5, RSA,以及 IDEA 等综合在一起而已。
虽然 PGP 已被广泛使用,但 PGP 并不是因特网的正式标准。
8.4.4 因特网的应用层安全协议
PEM( Privacy Enbanced Mail ):增强保密的邮件,隐私增强邮件( PEM)是使用多种加密方法提供机密性、认证和信息完整性的因特网电子邮件,在因特网中没有被广泛配置。
8.4.4 因特网的应用层安全协议
8.5.1 什么是防火墙
8.5 防火墙技术
起源于一种古老的安全防护措施。
一种保护计算机网络安全的技术性措施
是在内部网络和外部网络之间实现控制策略的系统,
主要是为了用来保护内部的网络不易受到来自 Internet 的侵害。
8.5.1 什么是防火墙
防火墙在互连网络中的位置
G 内联网
可信赖的网络不可信赖的网络 分组过滤路由器 R
分组过滤路由器 R
应用网关
外局域网 内局域网
防火墙
因特网
8.5.1 什么是防火墙
防火墙的功能 防火墙的功能有两个:阻止和允许。 “阻止”就是阻止某种类型的通信量通
过防火墙(从外部网络到内部网络,或反过来)。
“允许”的功能与“阻止”恰好相反。 防火墙必须能够识别通信量的各种类型。
不过在大多数情况下防火墙的主要功能是“阻止”。
8.5.1 什么是防火墙
1) 网络级防火墙 网络级防火墙也称包过滤防火墙,通常由一个路由器或一台充当路由器的计算机组成。 2) 应用级防火墙 应用级防火墙通常指运行代理( Proxy )服务器软件的一台计算机主机。 3) 电路级防火墙 电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙,它可以由应用层网关来完成。电路层网关只依赖于 TCP 连接,并不进行任何附加的包处理或过滤。
8.5.2 防火墙 的类型
( 1)查杀病毒卡巴斯基 . 诺顿 . 瑞星 . 金山毒霸
8.5.3 Internet 网络个人计算机的保护
( 2 )防火墙软件。这种防火墙一般都是使用包过滤和协议过滤等技术实现的,能有效地防止用户数据直接暴露在 Internet 中,并记录主机和 Internet 数据交换的情况,从而保证了用户的安全
天网防火墙江民黑客防火墙McAfee Desktop Firewall 瑞星防火墙金山网镖
8.5.3 Internet 网络个人计算机的保护
( 3 )安全措施
1.拔除连接在计算机上的网线。 2. 在移走系统分区上的重要数据后格式化系统分区并安装操作系统和相应的驱动程序。
3. 在防毒软件没有安装之前千万不要访问除系统分区以外分区,防止在还没安装防毒软件的情况下激活别的分区存在的病毒。
4. 安装网络防火墙软件,并把安全级别调到中级以上保证计算机在连接到网络后没有安装最新补丁的情况下不会被网络上利用系统漏洞进行传播的病毒感染。
8.5.3 Internet 网络个人计算机的保护
5. 安装木马克星和 360安全卫士,进一步提高计算机防止木马程序的性能和防止网页恶意代码的攻击。
6. 安装防病毒软件。 7. 接上网络线连接网络。病毒库和杀毒引擎的
更新。 8. 进入微软 update 网站进行系统更新打上最新的补丁程序。
9. 按 CTRL+ALT+DEL键选择任务管理器选择进程标签记录下基本的基本的系统进程,以便将来万一感染病毒方便管理员分辨出病毒进程。
8.5.3 Internet 网络个人计算机的保护
到此为止,操作系统的防护已经基本完成,将能挡住绝大多数病毒、木马程序、网页恶意代码及网络攻击。今后用户需要注意的是不要关闭网络防火墙、病毒防火墙、木马克星、上网助手的实时监控;经常更新杀毒软件及系统补丁
(WINDOWS2000以上用户可以在管理工具的服务里打开“ Automatic Updates” 服务确保及时能从微软 update 网站得到最新的系统补丁);不要打开来路不明的文件及电子邮件。
8.5.3 Internet 网络个人计算机的保护
8.6 其他网络安全技术
8.6.1 身份认证技术8.6.2 入侵检测技术8.6.3 VPN 技术8.6.4 访问控制技术
身份鉴别的过程 身份证实( Identity Verification )
“你是否是你所声称的你?” 身份识别( Identity Recognition )
“我是否知道你是谁?” 动态口令
8.6.1 身份认证技术
身份认证的方式
概括说来,有三个要素可以用于认证过程,即:用户的知识( Kowledge ),如口令等;用户的物品( Possession ),如IC 卡等;用户的特征( Characteristic ),如指纹等。
密码技术一直在身份认证中起到重要作用
8.6.1 身份认证技术
入侵检测即通过从网络系统中的若干关键节点
收集收集并分析分析信息,监控监控网络中是否有违反安全策略的行为或者是否存在入侵行为。它能够提供安安
全审计全审计、监视监视、攻击识别攻击识别和反攻击反攻击等多项功能,对内部攻击内部攻击、外部攻击外部攻击和误操作误操作进行实时监控,在网络安全技术中起到了不可替代的作用。
8.6.2 入侵检测技术
工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
使用方式:作为防火墙后的第二道防线。
8.6.2 入侵检测技术
所谓黑客 , 就是利用计算机技术、网络技术非法侵入、干扰、破坏他人(国家机关、社会组织和个人)的计算机系统 , 或擅自操作、使用、窃取他人的计算机信息资源 ,对电子信息交流和网络实体安全具有程度不同的威胁性和危害性的人 .
8.6.2 入侵检测技术
黑客行为的本身特征 : 远离现场 , 时间暂短 , 隐蔽性强 ;
黑客行为的后果特征 : 时空跨度大 , 波及面积大 , 危害程度大 ;
黑客的发展趋势特征 : 非专业化 , 低龄化和惩治率太少 ;
8.6.2 入侵检测技术
黑客的类型
① 技术挑战性黑客 .
②戏谑取趣性黑客 .
③捣乱破坏性黑客
8.6.2 入侵检测技术
虚拟的网:即没有固定的物理连接,网络只有用户需要时才建立;
利用公众网络设施构成。
8.6.3 VPN 技术
VPN 的英文全称是“ Virtual Private Network” ,翻译过来就是“虚拟专用网络”。
虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
8.6.3 VPN 技术
VPN联网方式
公司总部
办事处 /SOHO
公共网络
VPN 通道VPN 设备
VPN 设备
VPN 设备
VPN client
8.6.3 VPN 技术
访问控制实质上是对资源使用的限制,它决定主体是否被授权对客体执行某种操作。
它依赖于鉴别使主体合法化,并将组成员关系和特权与主体联系起来。
只有经授权的用户,才允许访问特定的网络资源。
8.6.4 访问控制技术
