計算機網(wǎng)絡(luò)安全與管理技術(shù)計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)安全措施數(shù)據(jù)加密技術(shù)

Internet的安全對稱加密算法公共密鑰算法防火墻技術(shù)防火墻的概念防火墻的類型本章討論的主要內(nèi)容：1.1網(wǎng)絡(luò)安全問題計算機安全計算機系統(tǒng)的硬件、軟件和數(shù)據(jù)庫受到保護，不因偶然或者惡意的原因而遭到破壞、更改和顯露，系統(tǒng)能連續(xù)正常運行3種計算機安全實體的安全計算機軟硬件本身的安全運行環(huán)境的安全保證計算機在良好的環(huán)境下工作信息的安全保障信息不會被非法閱讀、修改和泄露1.1網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)安全面臨的主要威脅黑客攻擊：黑客非法進入網(wǎng)絡(luò)竊取資源，如用戶的帳號和密碼、網(wǎng)上傳輸?shù)臄?shù)據(jù)等計算機病毒的侵襲：計算機病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作拒絕服務(wù)攻擊：如“電子郵件炸彈”，使用戶在短時間內(nèi)收到大量無用的電子郵件，影響正常業(yè)務(wù)的運行，嚴重時會引起網(wǎng)絡(luò)癱瘓1.1網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅身份竊取非授權(quán)訪問冒充合法用戶數(shù)據(jù)竊取破壞數(shù)據(jù)的完整性拒絕服務(wù)事后否認數(shù)據(jù)流分析干擾系統(tǒng)正常運行病毒惡意攻擊1.1網(wǎng)絡(luò)安全問題導(dǎo)致網(wǎng)絡(luò)不安全的因素環(huán)境：自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡(luò)的影響資源共享：相互的資源共享為異地用戶提供了方便，但同時也為非法用戶竊取和破壞信息創(chuàng)造了條件數(shù)據(jù)通信：信息在通信傳輸?shù)倪^程中可能會遭到破壞或者竊聽計算機病毒：計算機病毒侵入網(wǎng)絡(luò)極易造成網(wǎng)絡(luò)系統(tǒng)的癱瘓TCP/IP協(xié)議的安全缺陷：該協(xié)議力求簡單高效，而缺少安全機制，如網(wǎng)上的流量沒有加密，缺乏安全策略等1.1網(wǎng)絡(luò)安全問題安全技術(shù)措施網(wǎng)絡(luò)安全需要解決的安全問題用戶認證在網(wǎng)上不透明地發(fā)送用戶名和密碼確信服務(wù)在Internet和Intranet上都有效，即避免在防火墻內(nèi)外采取不同的安全措施在實時和存儲轉(zhuǎn)發(fā)情況下保護通信秘密確保信息在發(fā)送和接收間避免干擾保護秘密文件，只有授權(quán)用戶才能訪問1.2網(wǎng)絡(luò)安全措施法律政策：安全的基石政府和主流廠商扮演重要角色技術(shù)措施：安全的保障防火墻技術(shù)、防病毒、信息加密、身份認證、授權(quán)等管理和審計：安全的防線實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變安全策略的恩能夠里、對現(xiàn)有的安全漏洞實施檢查，防患于未然1.2網(wǎng)絡(luò)安全措施安全策略預(yù)防為主，對癥下藥安全策略的一般原則需求、風(fēng)險、代價平衡分析綜合性、整體性原則一致性原則：網(wǎng)絡(luò)安全與網(wǎng)絡(luò)生命周期同在易操作性適應(yīng)性、靈活性可評價性1.2網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全保障體系加強計算機安全立法《刑法》(19910.1)對計算機犯罪作了明文規(guī)定《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》《計算機信息系統(tǒng)保密管理暫行規(guī)定》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》制定合理的網(wǎng)絡(luò)管理措施加強網(wǎng)絡(luò)使用人員的安全措施建立完善的安全管理體制和制度管理規(guī)范化、標(biāo)準(zhǔn)化、科學(xué)化1.2網(wǎng)絡(luò)安全措施局域網(wǎng)安全技術(shù)實體訪問控制，防止非工作人員接近系統(tǒng)保護網(wǎng)絡(luò)介質(zhì)，加強系統(tǒng)設(shè)備而后通信線路的定期檢查和維修數(shù)據(jù)訪問控制，只有授權(quán)用戶才可訪問系統(tǒng)資源數(shù)據(jù)存儲保護，做好數(shù)據(jù)備份和安全保管計算機病毒防護，以預(yù)防為主1.2網(wǎng)絡(luò)安全措施廣域網(wǎng)安全技術(shù)數(shù)據(jù)通信加密采用DES、RSA算法等對通信數(shù)據(jù)加密通信鏈路安全保護選擇保密性較好的通信線路和設(shè)備，如光纖，重要信息不采用無線電傳輸采用局域網(wǎng)絡(luò)安全的各項措施2數(shù)據(jù)加密技術(shù)2.1Internet的安全由于Internet是一種真正意義的全球網(wǎng)，所以假如沒有加密技術(shù)的幫助，所有的通信都會毫無“秘密”可言對一家打算從事電子商務(wù)的公司而言—亦即通過Internet銷售產(chǎn)品和提供服務(wù)，通信的安全是一個最基本的前提在Internet網(wǎng)上，每個人都需要、而且有權(quán)利保護自己的個人隱私。某人上網(wǎng)之后，對隱私的這種要求并未消失隱私也不僅僅是信任誰和不信任誰的問題，它也包括匿名的權(quán)利。人們在賽伯空間里暢游的時候，一個經(jīng)常被忽略的問題是個人保持匿名的權(quán)利加密技術(shù)可有效地解決這些問題2數(shù)據(jù)加密技術(shù)2.2對稱加密算法對稱加密算法要么以“塊”的方式，要么以“流”的方式對輸入進行處理“塊加密算法”的例子包括DES、CAST和Blowfish等等，它每次對一個數(shù)據(jù)塊進行處理。至于塊的大小，則取決于算法本身(上例三種算法均采用64位的塊長度)。對一個塊的處理叫作加密算法的“處理單位”“流加密算法”每次處理的是數(shù)據(jù)的一個位(或者一個字節(jié))。用一個鍵值適當(dāng)?shù)剡M行種子化處理，便能生成一個位流(“位”指二進制的“位”)，可用它對輸入數(shù)據(jù)進行XOR運算無論塊加密還是流加密，它們都特別適用于批量加密2數(shù)據(jù)加密技術(shù)2.2對稱加密算法DES數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法由IBM發(fā)明，并于1976年成為美國政府標(biāo)準(zhǔn)DES是一種數(shù)據(jù)分塊的加密算法，數(shù)據(jù)長度為64位，其中8位作為基偶校驗位，有效密碼長度為56位首先將明文數(shù)據(jù)進行初始置換，得到64位的混亂明文組，再將其分為2段，每段32位然后進行乘積變換，在密匙的控制下，做16次迭代最后進行逆初始變換而得到密文2數(shù)據(jù)加密技術(shù)2.2對稱加密算法IDEA國際數(shù)據(jù)加密算法IDEA是行之有效的加密算法中最好、最安全的一種。由瑞士聯(lián)邦科學(xué)技術(shù)學(xué)院(SFT)的XuejiaLai和JamesMassey提出IDEA使用3個64位的塊，以進一步防范加密分析過程。IDEA使用了密碼反饋操作，使得算法強度更高IDEA的密鑰長度為128位。當(dāng)試圖破譯IDEA時，它和DES一樣沒有泄露任何明文組成的信息IDEA存在最低要求。為得到強有力的密文，它在一個編碼塊中需要64位的信息文本IDEA是為有大量數(shù)據(jù)傳輸?shù)腇TP設(shè)計的2數(shù)據(jù)加密技術(shù)2.2對稱加密算法優(yōu)點：保密性高，難以破解不足對稱加密算法要求使用一個共享的密鑰，密匙在傳遞過程中容易泄露。由于一次不安全的密鑰交換，加密及身份驗證技術(shù)的保密性有可能完全喪失密匙量大，難以進行管理無法滿足網(wǎng)上陌生人進行私人談話的保密性要求難以解決數(shù)字簽名驗證的問題主要問題：密匙在傳遞過程中容易泄露2數(shù)據(jù)加密技術(shù)2.3公共密鑰算法RSA算法1978年出現(xiàn)的RSA算法，其名字來源于它的發(fā)明者：RonRivest，AdiShamir以及LeonardAdlemanRSA的安全依賴于大數(shù)分解假如已知兩個非常大的質(zhì)數(shù)的乘積，那么很難解析出到底是哪兩個質(zhì)數(shù)相乘的結(jié)果(因數(shù)分解)RSA的重要特點是其中一個密鑰可用來加密數(shù)據(jù)，另一個密鑰可用來解密這意味著任何人都能用你的公共密鑰對一條消息進行加密，而只有你才能對它進行解密。另外，你也可用自己的私人密鑰對任何東西進行加密，而拿到你的公共密鑰的任何人都能對其解密。這個概念在“非拒認”及數(shù)字簽名中是非常重要的2數(shù)據(jù)加密技術(shù)2.3公共密鑰算法RSA算法RSA的一個缺點是速度非常慢，而且能處理的數(shù)據(jù)最多只能有它的密鑰的模數(shù)大小例如，一個1024位的RSA公共密鑰只能對少于或等于那個長度的數(shù)據(jù)進行加密(實際最多只能有1013位，因為用RSA定義如何加密時，還要進行編碼，這又要用去11位的長度)但RSA的速度使其不適合進行大批量的數(shù)據(jù)加密然而，RSA也并非一無是處。相反，對于象密鑰交換和數(shù)字簽名這樣的重要技術(shù)來說，它已成為一種事實上的標(biāo)準(zhǔn)2數(shù)據(jù)加密技術(shù)2.3公共密鑰算法身份驗證公共密鑰加密可用來進行身份驗證，只需構(gòu)建一個所謂的“數(shù)字簽名”即可數(shù)字簽名的特點難以偽造：只有私人密鑰的持有人才能生成簽名無法抵賴：由于極難偽造，所以對于一份經(jīng)過簽名的文檔來說，簽署人很難抵賴這不是自己的“手跡”不可更改：一經(jīng)簽名，文檔便不能修改不能轉(zhuǎn)移：簽名不能移走，并加入另一個不相干的文檔3防火墻技術(shù)3.1防火墻概念防火墻是由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問控制防火墻的設(shè)計目的保護易受攻擊的服務(wù)，只有預(yù)先被允許的服務(wù)才能通過防火墻控制對特殊站點的訪問集中化的安全管理對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計3防火墻技術(shù)3.1防火墻概念防火墻網(wǎng)關(guān)圖7-1防火墻的基本功能過濾器過濾器內(nèi)部局域網(wǎng)Internet3防火墻技術(shù)3.1防火墻概念防火墻安全控制基本準(zhǔn)則一切未被允許的都是禁止的先封鎖所有信息流，然后對希望提供的服務(wù)逐項開放一切未被禁止的都是允許的轉(zhuǎn)發(fā)所有的信息流，然后逐項屏蔽有害的服務(wù)第一種準(zhǔn)則有利于安全性，第二種準(zhǔn)則有利于靈活性和使用方便3防火墻技術(shù)3.2防火墻的類型網(wǎng)絡(luò)級防火墻網(wǎng)絡(luò)級防火墻一般根據(jù)源、目的地址做出決策一臺簡單的路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級防火墻，因

為它不能做出復(fù)雜的決策，不能判斷出一個包的實際含意或包的實際出處現(xiàn)代網(wǎng)絡(luò)級防火墻已變得越來越復(fù)雜，可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息許多網(wǎng)絡(luò)級防火墻之間的一個重要差別是防火墻可以使傳輸流直接通過，因此要使用這樣的防火墻通常需要分配有效的IP地址塊網(wǎng)絡(luò)級防火墻一般速度都很快，對用戶很透明3防火墻技術(shù)3.2防火墻的類型網(wǎng)絡(luò)級防火墻圖7-2路由器級包過濾3防火墻技術(shù)3.2防火墻的類型應(yīng)用級防火墻應(yīng)用級防火墻一般是運行代理服務(wù)器的主機，它不允許傳輸流在網(wǎng)絡(luò)之間直接傳輸，并對通過它的傳輸流進行記錄和審計應(yīng)用級防火墻在確認連接后要求用戶輸入口令，以進行嚴格的用戶認證，然后再向用戶提示所連接的主機信息在某些情況下，設(shè)置了應(yīng)用級防火墻后，可能會對性能造成影響，會使防火墻不太透明應(yīng)用級防火墻一般會提供更詳盡的審計報告，比網(wǎng)絡(luò)級防火墻