1、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ),任課老師:劉洵主 湖南省臨湘市職業(yè)中專,第6章 計(jì)算機(jī)網(wǎng)絡(luò)安全,本章要點(diǎn) 6.1 網(wǎng)絡(luò)安全概述 6.2 數(shù)據(jù)安全 6.3 計(jì)算機(jī)病毒 6.4 黑客攻擊及防范 6.5 防火墻技術(shù),本章要點(diǎn)： 網(wǎng)絡(luò)安全 數(shù)據(jù)安全 計(jì)算機(jī)病毒 黑客攻擊及防范 防火墻的發(fā)展方向,6.1關(guān)于網(wǎng)絡(luò)安全,6.1.1 網(wǎng)絡(luò)安全的定義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。,6.1.2 網(wǎng)絡(luò)安全面臨的威脅,1. 造成網(wǎng)絡(luò)安全威脅的原因 人為的惡意攻擊，是計(jì)算機(jī)網(wǎng)絡(luò)面臨的最大威脅，敵對(duì)方的

2、攻擊和計(jì)算機(jī)犯罪都屬于這一類。 網(wǎng)絡(luò)軟件的漏洞和“后門”。 網(wǎng)絡(luò)的缺陷。,2.基本的威脅,信息泄漏或丟失 破壞數(shù)據(jù)完整性 拒絕服務(wù)攻擊 非授權(quán)訪問(wèn),3.主要的可實(shí)現(xiàn)的威脅,(1)滲入威脅 假冒：這是大多數(shù)黑客采用的攻擊方法。 旁路控制：攻擊者通過(guò)各種手段發(fā)現(xiàn)本應(yīng)保密卻又暴露出來(lái)的一些系統(tǒng)“特征”，利用這些“特征”，攻擊者繞過(guò)守衛(wèi)者防線滲入系統(tǒng)內(nèi)部。 授權(quán)侵犯：也稱為內(nèi)部威脅，授權(quán)用戶將其權(quán)限用于其他未授權(quán)的目的。,(2)植入威脅,特洛伊木馬：攻擊者在正常的軟件中隱藏一段用于其他目的的程序(即特洛伊木馬)，這種隱藏的程序段常常以安全攻擊作為其最終目標(biāo)。 陷阱：陷阱是在某個(gè)系統(tǒng)或某個(gè)文件中設(shè)置的“

3、機(jī)關(guān)”，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。,4.病毒,病毒是能夠通過(guò)修改其他程序而“感染”它們的一種程序，修改后的程序里面包含了病毒程序的一個(gè)副本，這樣它們就能夠繼續(xù)感染其他程序。通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。,6.1.3操作系統(tǒng)的安全問(wèn)題,1.漏洞和后門 漏洞 在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，“漏洞”是指硬軟件或策略上的缺陷，這種缺陷導(dǎo)致非法用戶未經(jīng)授權(quán)而獲得訪問(wèn)系統(tǒng)的權(quán)限或提高其訪問(wèn)權(quán)限。有了這種訪問(wèn)權(quán)限，非法用戶就可以為所欲為，從而造成對(duì)網(wǎng)絡(luò)安全的威脅。,安全漏洞的類型,允許拒絕服務(wù)的漏洞。 允許有限權(quán)限的本地用戶未經(jīng)授權(quán)提高其權(quán)限的漏洞。 允許外

4、來(lái)團(tuán)體(在遠(yuǎn)程主機(jī)上)未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)的漏洞。,漏洞對(duì)網(wǎng)絡(luò)安全的影響,漏洞影響Internet的可靠性和可用性；漏洞導(dǎo)致Internet上黑客入侵和計(jì)算機(jī)犯罪；漏洞致使Internet遭受網(wǎng)絡(luò)病毒和其他軟件的攻擊。,（2）后門,后門是軟件、硬件制造者為了進(jìn)行非授權(quán)訪問(wèn)而在程序中故意設(shè)置的萬(wàn)能訪問(wèn)口令。這些口令無(wú)論是被攻破，還是只掌握在制造者手中，都對(duì)使用者的系統(tǒng)安全構(gòu)成嚴(yán)重的威脅。,（3）漏洞和后門的區(qū)別,漏洞和后門是不同的，漏洞是不可避免的，無(wú)論是硬件還是軟件都存在著漏洞；而后門是完全可以避免的。漏洞是難以預(yù)知的，而后門是人為故意設(shè)置的。,2.操作系統(tǒng)的安全,（1）Unix操作系統(tǒng) Unix

5、系統(tǒng)的安全性：控制臺(tái)安全是Unix系統(tǒng)安全的一個(gè)重要方面，當(dāng)用戶從控制臺(tái)登錄到系統(tǒng)上時(shí)，系統(tǒng)會(huì)提示一些系統(tǒng)的有關(guān)信息。提示用戶輸入用戶的使用賬號(hào)，用戶輸入賬號(hào)的內(nèi)容顯示在終端屏幕上，而后提示用戶輸入密碼，為了安全起見(jiàn)，此時(shí)用戶輸入的密碼則不會(huì)顯示在終端屏幕上。如果用戶輸入錯(cuò)誤口令超過(guò)3次后，系統(tǒng)將鎖定用戶，禁止其登錄，這樣可以有效防止外來(lái)系統(tǒng)的侵入。,Unix系統(tǒng)的安全漏洞,Unix系統(tǒng)的安全性較高，在Internet中應(yīng)用廣泛。不過(guò)，Unix系統(tǒng)也存在著這樣一些安全漏洞：Sendmail漏洞、Passwd漏洞、Ping命令問(wèn)題、Telnet問(wèn)題、網(wǎng)絡(luò)監(jiān)聽(tīng)漏洞等，這些已知的漏洞都已經(jīng)有了補(bǔ)救的

6、方法。,（2）Windows 2000操作系統(tǒng),Windows 2000的安全性 Windows 2000中提供了安全支持提供者界面（SSPI），利用API函數(shù)提供完整的認(rèn)證功能，SSPI為C/S雙方的身份認(rèn)證提供了上層應(yīng)用的API，屏蔽了網(wǎng)絡(luò)安全協(xié)議的實(shí)現(xiàn)細(xì)節(jié)，大大減少了為支持多方認(rèn)證而需要實(shí)現(xiàn)協(xié)議的代碼,Windows 2000的安全漏洞,資源共享漏洞、資源共享密碼漏洞、Unicode漏洞、全拼輸入法漏洞、Windows 2000的賬號(hào)泄露問(wèn)題、空登錄問(wèn)題等。這些漏洞除了空登錄問(wèn)題需要更改文件格式從FAT32到NTFS外，其余的漏洞在Microsoft最新推出的補(bǔ)丁中已經(jīng)得到糾正。,3.W

7、indows XP操作系統(tǒng),(1)Windows XP的安全性 Windows XP增加了許多新的安全功能。Internet連接防火墻適合保護(hù)本機(jī)的Internet連接，能較好地防止端口掃描和拒絕服務(wù)攻擊。Windows XP支持多用戶加密文件系統(tǒng)，使得用戶能夠以安全方式在Web服務(wù)器上存儲(chǔ)相對(duì)敏感的信息，而不必?fù)?dān)心數(shù)據(jù)被竊取或者在傳輸途中被他人讀取。此外，Windows XP對(duì)訪問(wèn)控制方面的策略做了改進(jìn)，并且支持智能卡的使用，使得基于智能卡的安全技術(shù)應(yīng)用更為方便。,(2)Windows XP的安全漏洞,Windows XP存在有以下漏洞：UPnP拒絕服務(wù)漏洞、GDI拒絕服務(wù)漏洞、終端服務(wù)IP

8、地址欺騙漏洞等。隨著Windows XP的使用，可能還會(huì)有其他漏洞出現(xiàn)，不過(guò)Microsoft的工程師也會(huì)不懈努力，推出更新補(bǔ)丁。,6.2數(shù)據(jù)安全,6.2.1 數(shù)據(jù)加密 1.加密機(jī)制 加密是提供信息保密的核心方法。按照密鑰的類型不同，加密算法可分為對(duì)稱密鑰算法和非對(duì)稱密鑰算法兩種。按照密碼體制的不同，又可以分為序列密碼算法和分組密碼算法兩種。加密算法除了提供信息的保密性之外，與其他技術(shù)結(jié)合，例如hash函數(shù)，還能提供信息的完整性。,2.加密技術(shù)概述,（1）數(shù)據(jù)加密技術(shù)可以分為三類： 對(duì)稱型加密使用單個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密或解密，其特點(diǎn)是計(jì)算量小、加密效率高。 不對(duì)稱型加密算法也稱公開(kāi)密鑰算法，其

9、特點(diǎn)是有兩個(gè)密鑰(即公用密鑰和私有密鑰)，只有二者搭配使用才能完成加密和解密的全過(guò)程。 不可逆加密算法的特征是加密過(guò)程不需要密鑰，并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。,（2）加密技術(shù)用于網(wǎng)絡(luò)安全通常有兩種形式：,面向網(wǎng)絡(luò)服務(wù)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。 面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)，不需要對(duì)電子信息(數(shù)據(jù)包)所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件等數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。,（3）數(shù)據(jù)加密與解密中常用的幾個(gè)術(shù)語(yǔ)：,明文

10、：人和計(jì)算機(jī)容易讀懂和理解的信息稱為明文。明文既可以是文本、數(shù)字，也可以是語(yǔ)音、圖像、視頻等其他信息形式。 密文：通過(guò)加密的手段，將明文變換為晦澀難懂的信息稱為密文。 加密：將明文轉(zhuǎn)變?yōu)槊芪牡倪^(guò)程。 解密：將密文還原為明文的過(guò)程，解密是加密的逆過(guò)程。 密碼體制：竊密和解密都是通過(guò)特定的算法來(lái)實(shí)現(xiàn)的，該算法稱為密碼體制。 密鑰：由使用密碼體制的用戶隨機(jī)選取的，惟一能控制明文與密文轉(zhuǎn)換的關(guān)鍵信息稱為密鑰，密鑰通常是隨機(jī)字符串。,3.對(duì)稱加密技術(shù),對(duì)稱加密（Symmetric Encryption）也稱為密鑰加密（Secret-Key Entayption），加密和解密過(guò)程都使用同一密鑰，通信雙方都

11、必須具備這個(gè)密鑰，并保證這個(gè)密鑰不被泄露。,(1)對(duì)稱加密的模型,明文：作為算法輸入的原始信息。 加密算法：加密算法可以對(duì)明文進(jìn)行多種置換和轉(zhuǎn)換。 共享的密鑰：共享的保密密鑰也是對(duì)算法的輸入。算法實(shí)際進(jìn)行的置換和轉(zhuǎn)換由保密密鑰決定。 密文：作為輸出的混合信息。它由明文和保密密鑰決定。對(duì)于給定的信息來(lái)講，兩種不同的密鑰會(huì)產(chǎn)生兩種不同的密文。 解密算法：這是加密算法的逆向算法。它以密文和同樣的保密密鑰作為輸入，并生成原始明文。,(2)對(duì)稱加密的要求,需要強(qiáng)大的加密算法。即使對(duì)手擁有一些密文和生成密文的明文，也不能破譯密文或發(fā)現(xiàn)密鑰。 發(fā)送方和接收方必須用安全的方式來(lái)獲得保密密鑰的副本，必須保證密鑰

12、的安全。如果有人發(fā)現(xiàn)了密鑰，并知道了算法，則使用此密鑰的所有通信便都是可讀取的。,（3）對(duì)稱加密的分類,塊加密，是指對(duì)定長(zhǎng)的數(shù)據(jù)塊進(jìn)行加密，數(shù)據(jù)塊之間的關(guān)系不依賴于加密過(guò)程。即當(dāng)兩個(gè)數(shù)據(jù)塊內(nèi)容相同時(shí)，無(wú)論加密過(guò)程中的順序怎樣，得到的密文也完全相同。 流加密，是指數(shù)據(jù)流的加密，加密過(guò)程帶有反饋性，即前一字節(jié)加密的結(jié)果作為后一字節(jié)加密的密鑰。當(dāng)兩個(gè)數(shù)據(jù)塊內(nèi)容相同時(shí)，只要加密過(guò)程中的順序不同，得到的密文就有所不同?？梢?jiàn)，流加密方式具有更強(qiáng)的安全性。,（4）對(duì)稱（密鑰）加密的本質(zhì),替代密碼是指明文中每一個(gè)字符被密文中另一個(gè)字符所替代。接收者對(duì)密文進(jìn)行逆替換就能得出明文。 換位密碼不隱藏原來(lái)明文中的字符

13、，它只是按照一定的密鑰將明文中的字符打亂，從而達(dá)到保密的效果。,(5)數(shù)據(jù)加密標(biāo)準(zhǔn),計(jì)算機(jī)網(wǎng)絡(luò)通信中對(duì)民用敏感信息加密。 電子轉(zhuǎn)賬系統(tǒng)。 保護(hù)用戶文件：用戶可自選密鑰對(duì)重要文件加密，防止未授權(quán)用戶竊密。 用于計(jì)算機(jī)用戶識(shí)別系統(tǒng)中。,(6)國(guó)際數(shù)據(jù)加密算法,國(guó)際數(shù)據(jù)加密算法（IDEA）是在DES算法的基礎(chǔ)上發(fā)展出來(lái)的，它克服了DES密鑰太短的缺點(diǎn)。IDEA的密鑰為128位，這么長(zhǎng)的密鑰在今后若干年內(nèi)應(yīng)該是安全的。 類似于DES算法，IDEA也是一種數(shù)據(jù)塊加密算法，它設(shè)計(jì)了一系列加密輪次，每輪加密都使用從完整的加密密鑰中生成的一個(gè)子密鑰。與DES的不同在于，IDEA采用軟件實(shí)現(xiàn)和采用硬件實(shí)現(xiàn)同樣快

14、速。,4.公鑰加密技術(shù),用K1表示加密密鑰，K2表示解密密鑰，用函數(shù)表達(dá)式表示以上過(guò)程為 EK1(M)=C EK2(C)=M 在這個(gè)算法中，加密密鑰可完全公開(kāi)，因此被稱做公用密鑰，解密密鑰也被稱做私有密鑰。以上過(guò)程可描述為發(fā)送方用公用密鑰，通過(guò)加密算法，將信息加密后發(fā)送出去。接收方在收到密文后，用私有密鑰將密文解密，恢復(fù)為明文。,(1)公鑰密碼體制基本模型,明文：作為算法輸入的可讀消息或數(shù)據(jù)。 加密算法：加密算法對(duì)明文進(jìn)行各種各樣的轉(zhuǎn)換。 公共的和私有的密鑰：選用的一對(duì)密鑰，一個(gè)用來(lái)加密，一個(gè)用來(lái)解密。解密算法進(jìn)行的實(shí)際轉(zhuǎn)換取決于作為輸入提供的公鑰或私鑰。 密文：作為輸出生成的雜亂的消息，它取

15、決于明文和密鑰，對(duì)于給定的消息，兩種不同的密鑰會(huì)生成兩種不同的密文。 解密算法：這種算法以密文和對(duì)應(yīng)的私有密鑰為輸入，生成原始明文。,（2）公鑰加密的通信過(guò)程,假設(shè)張三想要從李四處接收資料，在采用公鑰加密體制時(shí)，張三用某種算法產(chǎn)生一對(duì)公鑰和私鑰，然后把公鑰公開(kāi)發(fā)布，李四得到公鑰后，把資料加密，傳送給張三，張三用自己的私鑰解密，得到明文。,(3)RSA算法描述,RSA算法：選取兩個(gè)長(zhǎng)度相同的大素?cái)?shù)p和q。計(jì)算n=pq，隨機(jī)選取公鑰e，使得e和(p-1)(q-1)互素。根據(jù)d=e-1(mod(p-1)(q-1)計(jì)算出d。注意d和e也互素，e和n是公鑰，d是私鑰。兩個(gè)大素?cái)?shù)p和q不再需要，可以被丟棄

16、，但是不能泄漏。,6.2.2數(shù)據(jù)備份,對(duì)備份系統(tǒng)的要求 數(shù)據(jù)備份的方式 導(dǎo)致數(shù)據(jù)丟失的原因 對(duì)備份的誤解 數(shù)據(jù)備份的種類 數(shù)據(jù)備份的常用方法 數(shù)據(jù)備份目標(biāo),6.3計(jì)算機(jī)病毒,6.3.1 計(jì)算機(jī)病毒概述 什么是計(jì)算機(jī)病毒 計(jì)算機(jī)病毒的特性 病毒的分類,6.3.2 計(jì)算機(jī)病毒的識(shí)別及防治,計(jì)算機(jī)病毒引起的異常現(xiàn)象 計(jì)算機(jī)病毒的預(yù)防措施 清除病毒 常用殺毒軟件簡(jiǎn)介,6.3.3網(wǎng)絡(luò)病毒簡(jiǎn)介,網(wǎng)絡(luò)病毒的特點(diǎn) 破壞性強(qiáng) 傳播性強(qiáng)。 具有潛伏性和可激活性。 擴(kuò)散面廣。 傳播速度快。 難以徹底清除。,6.3.3網(wǎng)絡(luò)病毒簡(jiǎn)介,網(wǎng)絡(luò)病毒的傳播與表現(xiàn) 局域網(wǎng)：大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制

17、已感染的文件。 對(duì)等網(wǎng)：使用網(wǎng)絡(luò)的另一種方式是對(duì)等網(wǎng)絡(luò)，在端到端網(wǎng)絡(luò)上，用戶可以讀出和寫入每個(gè)連接的工作站上本地硬盤中的文件。 Internet：文件病毒可以通過(guò)Internet毫無(wú)困難地發(fā)送，而可執(zhí)行文件病毒不能通過(guò)Internet在遠(yuǎn)程站點(diǎn)感染文件，此時(shí)Internet是文件病毒的載體。,6.3.4網(wǎng)絡(luò)病毒的防治,網(wǎng)絡(luò)反病毒技術(shù)的特點(diǎn) （1）網(wǎng)絡(luò)反病毒技術(shù)的安全度取決于“木桶理論”。 (2)網(wǎng)絡(luò)反病毒技術(shù)尤其是網(wǎng)絡(luò)病毒實(shí)時(shí)監(jiān)測(cè)技術(shù)應(yīng)符合“最小占用”原則 .,6.3.4網(wǎng)絡(luò)病毒的防治,網(wǎng)絡(luò)病毒防護(hù)策略 防毒一定要實(shí)現(xiàn)全方位、多層次防毒 網(wǎng)關(guān)防毒是整體防毒的首要防線。 沒(méi)有管理的防毒系統(tǒng)是無(wú)效

18、的防毒系統(tǒng)。,6.3.4網(wǎng)絡(luò)病毒的防治,網(wǎng)絡(luò)防毒系統(tǒng)選型 操作簡(jiǎn)單、兼容性強(qiáng) 升級(jí)和擴(kuò)展能力強(qiáng) 性能可靠,6.3.4網(wǎng)絡(luò)病毒的防治,網(wǎng)絡(luò)病毒的清除 網(wǎng)絡(luò)環(huán)境中，病毒的傳播速度較快，僅用單機(jī)防殺病毒產(chǎn)品已難以清除網(wǎng)絡(luò)病毒，需要適用于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒的產(chǎn)品?？稍谟?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中安裝網(wǎng)絡(luò)防毒服務(wù)器，在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)防毒軟件，在單機(jī)上安裝單機(jī)版防毒軟件。,6.4.1 黑客攻擊,黑客攻擊的目的 確定目標(biāo) 收集與攻擊目標(biāo)相關(guān)的信息，并找出系統(tǒng)的安全漏洞。 實(shí)施攻擊。 黑客攻擊的手段 黑客攻擊通常采用掃描器和網(wǎng)絡(luò)監(jiān)聽(tīng)手段。,6.4.2 郵件炸彈與拒絕服務(wù),郵件炸彈和垃圾郵件的區(qū)別 拒

19、絕服務(wù)概述 通過(guò)電子郵件傳播的病毒或黑客程序,6.4.3黑客的防范,發(fā)現(xiàn)黑客 黑客入侵防護(hù)體系的模型 防范黑客入侵的管理措施,6.5防火墻技術(shù),1.防火墻的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制及更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。,2.防火墻的分類,根據(jù)防火墻實(shí)現(xiàn)原理的不同，通常將其分為包過(guò)濾防火墻、應(yīng)用層防火墻(又稱代理型防火墻)、狀態(tài)檢測(cè)防火墻和綜合型防火墻等。 根據(jù)實(shí)現(xiàn)方式的不同，防火墻可以分為硬件防火墻和軟件防火墻兩種類型。硬件防火墻

20、通過(guò)硬件和軟件的組合來(lái)實(shí)現(xiàn)隔離內(nèi)部網(wǎng)和外部網(wǎng)；軟件防火墻通過(guò)純軟件的方式來(lái)實(shí)現(xiàn)隔離內(nèi)部網(wǎng)和外部網(wǎng)。,3.防火墻的功能,控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包； 提供使用和流量的日志和審計(jì)； 隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)； 提供虛擬專用網(wǎng)(VPN)功能。,6.5.2防火墻產(chǎn)品的選購(gòu)和使用,1.常見(jiàn)防火墻產(chǎn)品 防火墻必須具備適用性； 防火墻必須能滿足功能要求； 防火墻必須是經(jīng)過(guò)權(quán)威認(rèn)證的合法產(chǎn)品。,2.防火墻的選購(gòu),購(gòu)買防火墻之前，首先要知道防火墻的最基本性能； 選購(gòu)防火墻前，還應(yīng)認(rèn)真制定安全政策，也就是要制定一個(gè)周密計(jì)劃； 在滿足實(shí)用性、安全性的基礎(chǔ)上，還要考慮經(jīng)濟(jì)性。,3.防火墻的使用,不同類型的防火墻，在不同網(wǎng)絡(luò)系統(tǒng)中所起的作用也不同。一些防火墻在同一網(wǎng)絡(luò)系統(tǒng)中的位置不同，作用也不