《网络安全》PPT课件.ppt

第8章 网络安全,8.1 网络安全概述 8.2 防火墙技术 8.3 密码技术 8.4 数字证书和公钥基础设施 8.5 反病毒技术 8.6 检测技术 8.7 无线局域网安全技术 8.8 其他安全技术,8.1 网络安全概述,8.1.1 网络安全 8.1.2 网络安全风险 8.1.3 网络安全策略 8.1.4 网络安全措施,8.1.1 网络安全,1. 网络安全含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续、可靠的正常运行，网络服务不中断。其特征是针对网络本身可能存在的安全问题，实施网络安全方案，以保证计算机网络自身的安全性为目标。 2. 网络安全问题 操作系统的安全问题 CGI程序代码的审计 拒绝服务攻击 安全产品使用不当 缺少严格的网络安全管理制度,8.1.1 网络安全,网络安全目标 目标的合理设置对网络安全意义重大。网络安全的目标主要表现在以下方面： 可靠性。可靠性是网络安全的最基本要求之一。可靠性主要包括硬件可靠性、软件可靠性、人员可靠性、环境可靠性。 可用性。可用性是网络系统面向用户的安全性能，要求网络信息可被授权实体访问并按要求使用。 保密性。保密性建立在可靠性和可用性基础上，保证网络信息只能由授权的用户读取。 完整性。完整性要求网络信息未经授权不能进行修改，网络信息在存储或传输过程中要保持不被偶然或蓄意地修改等。,8.1.1 网络安全,4. 网络安全服务 一个安全的计算机网络应能够提供如下服务： 实体认证 访问控制 数据保密性 数据完整性 防抵赖 审计与监控,8.1.1 网络安全,网络安全特征 一个安全的计算机网络应具有如下特征： 保密性，即信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性，即数据未授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改，不被破坏和丢失的特性。 可用性，即可被授权实体访问并按需使用的特性。 可控性，即对信息传播和内容具有控制能力。,8.1.2 网络安全风险,基本概念 安全威胁是指某人、物、事件或概念对某一资源的机密性、完整性、可用性或合法使用所造成的危害。 脆弱性是指在保护措施中和在缺少保护措施时系统所具有的弱点。 风险是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。当某个脆弱的资源的价值高，而且攻击成功的概率高，则风险高；反之，则风险低。 防护措施是指保护资源免受威胁的控制、机制、策略和过程。,8.1.2 网络安全风险,2. 影响网络安全的因素 安全威胁来自多方面，从完全的网络渗透到简单的病毒感染。影响网络安全的因素很多，主要有： 内部因素 软件故障 硬件故障 信息安全 外部因素 病毒攻击,8.1.2 网络安全风险,3. 安全威胁的分类 影响网络安全的因素很多，有些因素可能是有意的，也可能是无意的。安全威胁分为： 无意失误。由于操作人员安全配置不当造成的安全漏洞，用户安全意识不强等造成的。 恶意攻击。这是网络所面临的最大威胁，对手的攻击和计算机犯罪都属于这一类。 由于TCP/ IP协议存在安全漏洞，恶意攻击分为： 中断攻击 窃取攻击 劫持攻击 假冒攻击,8.1.3 网络安全策略,安全策略指在某个安全区域内，用于所有与安全活动相关的一套规则。这些规则由安全区域中所设立的安全权力机构建立，并由安全控制机构来描述、实施或实现。 经研究分析，安全策略有3个不同的等级： 安全策略目标 机构安全策略 系统安全策略 由于安全威胁包括对网络中设备的威胁和信息的威胁，因此主要策略有： 物理安全策略 访问控制策略 防火墙控制策略 信息加密策略,8.1.3 网络安全策略,1. 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器等硬件设备和通信链路免受破坏和攻击，验证用户的身份和使用权限、防止用户越权操作，具体措施有： 对传导发射的防护主要采取对电源线和信号线配备性能良好的过滤器，减少传输阻抗和导线之间的交叉耦合。 对辐射的防护主要采用电磁屏蔽和抗干扰措施。前者通过对设备的屏蔽和各种接插件的屏蔽；后者指计算机工作时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声。,8.1.2 网络安全策略,2. 访问控制策略 访问控制策略隶属于系统安全策略，可以在计算机系统和网络中自动地执行授权，其主要任务是保证网络资源不被非法使用和访问。访问控制策略的实现形式有： 入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制,8.1.4 网络安全措施,1. 安全层次 图8.1TCP/IP安全机制的层次结构,8.1.4 网络安全措施,网络的体系结构是一种层次结构。从安全角度来看，各层都能提供一定的安全手段，且各层次的安全措施不同。当TCP/IP 协议映射到ISO/OSI体系结构时，安全机制的层次结构如图8.1所示。 在物理层，在通信线路上采用加密技术使偷听不可能实现或容易被检测出来。 在数据链路层，通过点对点链路加密来保障数据传输的安全性。 在网络层，有IP路由选择安全机制、基于IP协议安全技术的控制机制和防火墙技术。 在传输层，IPV6提供了基于TCP/UDP的安全机制。 在传输层以上的各层，采用更加复杂的安全手段，例如加密、用户级的身份认证、数字签名技术等。,8.1.4 网络安全措施,2. 安全协议 安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。对应于OSI的七层模型，主要的安全协议集中在应用层、传输层和网络层。 应用层上的安全协议主要解决Telnet、E-mail和Web的安全问题。有 HTTPS 和S-HTTP安全超文本传输协议。 在传输层中，常用的安全协议主要包括安全外壳（SSH）协议、安全套接字层（SSL）协议和套接字安全（SOCKS）协议。 网络层通过IP安全（IPsec）服务实现安全通信，其协议有IPV4和IPV6。,8.1.4 网络安全措施,3. 安全技术 各技术在网络安全中的地位和作用，可通过国内外流行的P2DR网络安全模型加以解释，如图8.2所示。 图8.2P2DR安全模型 P2DR模型中的第一字母P代表Policy（策略），第二字母P代表Protection（防护），字母D代表Detection（检测），字母R代表Response（响应），它们分别代表了不同的技术措施。,