第10章-网络安全与网络管理课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第10章-网络安全与网络管理课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 10 网络安全 网络 管理 课件
- 资源描述:
-
1、计算机网络及应用(第二版)第10章 网络安全与网络管理引言随着网络的开放性、共享性及互联程度的扩大,特别是Internet网的出现,各种新业务的兴起,比如电子商务(Electronic Commerce)、电子现金(Electronic Cash)、数字货币(Digital Cash)、网络银行(Network Bank)等的兴起,以及各种专用网(比如金融网等)的建设,使得安全问题显得越来越重要,因此对网络安全的研究已成为学术界和实际应用领域中的一个热点问题。10.1网络安全概述10.2网络安全技术10.3云计算及云安全10.4Web安全10.5网络管理技术目录 CONTENTS安全问题容易被
2、忽视重要性安全性是互联网技术中最关键也最容易忽视的问题。许多组织都建立了庞大的网络体系,但在使用中却较少考虑安全问题,直到网络受到安全威胁,才不得不采取安全措施。网络安全的成因对计算机系统的过度依赖和系统自身固有的脆弱性以及管理上的漏洞共同导致的。网络安全类型病毒感染、黑客入侵、各类攻击(截获、中断、篡改、伪造等)、非授权访问、授权用户误操作等造成的安全问题,带来的影响可能是局部性的,也可能是全局性的,甚至是颠覆性的。有的可能造成巨大的经济损失,有的可能导致系统崩溃,进而导致所属单位倒闭。10.1.1网络安全的重要性10.1网络安全概述1)互联网安全3)数据的安全2)操作系统的安全4)传输线路
3、的安全1.互联网是一个开放的、无控制的网络结构。2. 协议缺乏使传输过程中的信息不被窃取的安全措施。3.网络信息的来源和去向是否真实,内容是否被改动,以及是否泄露等无法很好确认。4.电子邮件存在着被拆看、误投和伪造的可能。1. 操作系统体系结构造成的不安全性是计算机系统不安全的根本原因之一。2.操作系统不安全的另一原因在于进程的管理机制。3.无口令入口以及隐蔽通道也是黑客入侵的通道。1.网络中,数据是存放在数据库中的,供不同的用户共享。2.数据库安全而言,就是要保证数据的安全可靠和正确有效,即数据的安全性、完整性和并发控制。尽管在光缆、同轴电缆、微波、卫星通信中窃听其中指定一路的信息是很困难的
4、,但是从安全的角度来说,没有绝对安全的通信线路。10.1.2 网络安全研究的主要问题10.1网络安全概述5)网络安全管理网络系统缺少安全管理人员,缺少安全管理的技术规范,缺少定期的安全测试与检查,缺少安全监控,是网络管理主要的安全问题之一。确保计算机系统有一个良好的电磁兼容环境。抑制和防止电磁泄露是物理安全策略的一个主要问题。信息加密的目的是保护网内的数据、文件、口令和控制信息,以及网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。主要任务是保证网络资源不被非法使用和非法访问。1)入网访问控制;2)网络的权限控制3)目录级安全控制;4)属性安全控制5)网络服务器安全控制;6
5、)网络监测和锁定控制7)网络端口和节点的安全控制;8)防火墙控制确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急管理措施等。物理安全策略访问控制策略信息加密策略安全管理策略10.1.3 网络安全策略10.1网络安全概述网络安全策略是指在一定特定环境里,为保证提供一定级别的安为保证提供一定级别的安全保护所必须遵守的规则全保护所必须遵守的规则。从范畴上讲,主要涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略四个方面。定性评价美国国家计算机安全中心(NSNC)90年代提出了网络安全性标准(DoD5200.28_STD),即可信
6、任计算机标准评估准则。安全级别对不同类型的物理安全、用户身份认证、操作系统软件的可信任性和用户应用程序进行了安全描述,标准限制了可以连接系统的系统类型。等级标定网络安全性标准将网络安全性等级划分为A、B、C、D四类7个等级(D、C1、C1、B1、B2、B3、A),其中,A类安全等级最高,D类安全等级最低。10.1.4 网络的安全标准10.1网络安全概述10.1网络安全概述10.2网络安全技术10.3云计算及云安全10.4Web安全10.5网络管理技术目录 CONTENTS网络安全的基本技术主要包括防火墙技术、网络加密技术、身份认证技术、防病毒技术、网络隔离技术、网络地址转换技术和操作系统安全内
7、核技术等。10.2 网络安全技术概述10.2 网络安全技术防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强相互间的访问控制。内部网上设立防火墙的主要目的是保护自己不受来自另外网络的攻击。要保护的是自己管理的内部网络,而要防备的则是一个外部的网络。10.2.1防火墙技术10.2 网络安全技术10.2.1防火墙技术-防火墙的作用10.2 网络安全技术1)集中化的安全管理2)方便的网络安全监视3)缓解IP地址空间的紧缺4)记录网络流量5)安全发布信息10.2.1防火墙技术-防火墙的种类10.2 网络安全技术1)包过滤防火墙 包过滤防火墙是最简单的防火墙,通常只包括对源和
8、目的IP地址及端口的检查。2)代理服务型防火墙 代理服务型防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器进行实际连接3)复合型防火墙 复合型防火墙是把前两类防火墙结合起来,形成新的产品,以发挥各自的优势,克服各自的缺点,来满足更高安全性的要求。4)智能防火墙 智能防火墙是一种更聪明、更智能的防火墙产品,它克服了传统防火墙“一管就死,一放就乱”的状况,修正了上述防火墙的重大假设。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全:端点加密的目
9、的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。10.2.2网络加密技术10.2 网络安全技术信息加密过程是由各种加密算法来具体实施的。信息加密是保证信息机密性的唯一方法。10.2.2网络加密技术-加密算法10.2 网络安全技术常规密码算法(对称加密算法)在常规密码算法中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。在众多的常规密码中影响最大的是DES密码。常规密码算法的优点
10、是有很强的保密强度,且能经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。公钥密码算法(非对称加密算法)在公钥密码算法中,收信方和发信方使用的密钥互不相同,而且不可能从加密密钥推导出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和身份验证。计算机病毒是计算机系统中一类隐藏在存储介质上蓄意破坏的捣乱程序。它具有可运行性、复制性、传染性、潜伏性、破坏性、欺骗性、隐蔽性和顽固性等特点。对计算机系统与网络的安全和正常运行具有极大的危害性。10.2.3 网络病毒防范10.2
11、网络安全技术1)潜伏阶段2)繁殖阶段3)触发阶段4)执行阶段病毒生存期10.2.3 网络病毒防范-病毒的类型10.2 网络安全技术1)引导型病毒引导型病毒是最普通的病毒种类。它驻留在软磁盘的引导扇区,并且被传输到磁盘的分区2)宏病毒宏病毒是采用字处理或扩展性电子表格的宏形式的一种病毒。它在用户运行字处理或扩展性电子表格程序时可能运行。3)文件型病毒文件型病毒通常附着在可执行文件上,当运行被传染上病毒的可执行文件时,病毒就把自身拷贝进内存。4)网络病毒网络病毒可以通过网络协议、命令、消息发布程序和数据连接等各种方式传播。5)蠕虫病毒蠕虫病毒并不是技术意义上的病毒,而是一种能够独立运行并通过网络在
12、计算机间进行传递的程序。6)特洛伊木马病毒该病毒宣称自己能够做有益的事情,而实际上却危害众多的计算机或系统。10.2.3 网络病毒防范-网络防病毒技术10.2 网络安全技术1)预防病毒技术。通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。其技术手段包括:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。2)检测病毒技术。是通过对计算机病毒的特征分析来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。3)消除病毒技术。通过对计算机病毒特征的分析,开发出具有查杀病毒程序并恢复原文件的软件。网络防病毒
13、技术包括预防病毒、检测病毒和消除病毒等主要技术。认证技术是信息安全理论与技术的一个重要方面。身份认证是安全系统中的第一道关卡,如图所示。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控设备。10.2.4 身份认证技术10.2 网络安全技术用户与主机之间的认证有如下几种方式。 基于用户所知道的安全信息,如口令的认证方式。 基于用户所拥有的物品,如智能卡的认证方式。 基于用户所具有的生物特征,如指纹、声音、视网膜扫描等认证方式。数字证书是网络通信中标志通信各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,是由一个权威机构CA机构,又称为证书授权(Certif
14、icate Authority,CA)中心发行的。10.2.4 身份认证技术-CA认证10.2 网络安全技术CA必须行使以下职能。管理和维护客户的证书和CRL;维护自身的安全;提供安全审计的依据等。PKI(Public Key Infrastructure,公钥基础设施)。基于公钥密码体制的确立始于1976年。Diffie和Hellman首次提出了不基于秘密信道的密钥分发技术,即著名的D-H密钥交换协议,这标志着公钥密码体制的出现。10.2.4 身份认证技术-PKI技术10.2 网络安全技术公钥密码体制的优点是可以简化密钥的管理,并且可以通过公开系统如公开目录服务来分配密钥。但公钥密码体制具有
15、加、解密的速度太慢和密钥长度太长等缺陷。网络隔离(Network Isolation),主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术的重点是在网络隔离的环境下如何交换数据。10.2.5 网络隔离技术10.2 网络安全技术第一代隔离技术完全的隔离。第二代隔离技术硬件卡隔离。第三
展开阅读全文