电大-网络实用技术第5章-网络安全课件.ppt

1、第5章 网络安全本章要点u网络安全的基本概念和特征u 网络的脆弱性和威胁u 网络安全体系结构u 网络安全措施u 网络安全级别u 网络系统安全的日常管理及操作u 影响计算机网络安全的因素 u计算机网络安全技术 5 51 1 计算机网络安全的概念计算机网络安全的概念5.1.1 5.1.1 网络安全的含义网络安全的含义网络安全归根到底就是两层意思，即确保计算机网络环境下信息系统的安全运行和在信息系统中存储、处理和传输的信息受到安全保护，这就是通常所说的保证网络系统运行的可靠性、确保信息的保密性、完整性和可用性。5 51 1 计算机网络安全的概念计算机网络安全的概念5.1.1 5.1.1 网络安全的含

2、义网络安全的含义由于现代的数据处理系统都是建立在计算机网络基础上的，计算机网络安全也就是信息系统安全。网络安全同样也包括系统安全运行和系统信息安全保护两方面，即网络安全是对信息系统的安全运行和对运行在信息系统中的信息进行安全保护(包括信息的保密性、完整性和可用性保护)的统称。信息系统的安全运行是信息系统提供有效服务(即可用性)的前提，信息的安全保护主要是确保数据信息的保密性和完整性。5 51 1 计算机网络安全的概念计算机网络安全的概念5.1.1 5.1.1 网络安全的含义网络安全的含义v网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因无意或故意威胁而遭到破坏、更改、泄露

3、，保证网络系统连续、可靠、正常地运行。5 51 1 计算机网络安全的概念计算机网络安全的概念5.1.1 5.1.1 网络安全的含义网络安全的含义从不同角度谈网络安全：从不同角度谈网络安全：v用户：用户：网络系统可靠运行；网络中存储和传输的信息完整、可用和保密。v网络运行和管理者：网络运行和管理者：网络资源安全，有访问控制措施，无“黑客”和病毒攻击。v安全保密部门：安全保密部门：防有害信息出现，防敏感信息泄露。v社会教育和意识形态：社会教育和意识形态：控制有害信息的传播5.1.1 5.1.1 计算机网络安全的概念计算机网络安全的概念5.1.3 5.1.3 网络安全特征网络安全特征 网络系统的安全

4、性可包括系统的可靠性、软件和数据的完整性、可用性和保密性等几个特征。网络系统的可靠性（Reliability）是指保证网络系统不因各种因素的影响而中断正常工作。软件及数据的完整性（Integrity）是指保护网络系统中存储和传输的软件（程序）及数据不被非法操作，即保证数据不被插入、替换和删除，数据分组不丢失、乱序，数据库中的数据或系统中的程序不被破坏等。软件及数据的可用性（Availability）是指在保证软件和数据完整性的同时，还要能使其被正常利用和操作。软件及数据的保密性（Confidentiality）主要是利用密码技术对软件和数据进行加密处理，保证在系统中存储和网络上传输的软件和数据

5、不被无关人员识别。5.1.2 5.1.2 计算机网络安全威胁计算机网络安全威胁5.2.1 5.2.1 网络系统的脆弱性网络系统的脆弱性1 1操作系统的脆弱性：操作系统的脆弱性：网络操作系统体系结构本身就是不安全的，具体表现为：动态联接动态联接 创建进程 空口令和RPC超级用户 5.1.25.1.2计算机网络安全威胁计算机网络安全威胁5.2.1 5.2.1 网络系统的脆弱性网络系统的脆弱性2 2计算机系统本身的脆弱性计算机系统本身的脆弱性3 3电磁泄漏电磁泄漏4 4数据的可访问性数据的可访问性5 5通信系统和通信协议的弱点通信系统和通信协议的弱点6 6数据库系统的脆弱性数据库系统的脆弱性7 7网

6、络存储介质的脆弱网络存储介质的脆弱5.1.2 5.1.2 计算机网络安全威胁计算机网络安全威胁5.1.2 5.1.2 网络系统的威胁网络系统的威胁网络系统面临的威胁主要来自外部的人为影响和网络系统面临的威胁主要来自外部的人为影响和自然环境的影响，它们包括对网络设备的威胁和自然环境的影响，它们包括对网络设备的威胁和对网络中信息的威胁。这些威胁的主要表现有：对网络中信息的威胁。这些威胁的主要表现有：非法授权访问，假冒合法用户，病毒破坏，线路非法授权访问，假冒合法用户，病毒破坏，线路窃听，黑客入侵，干扰系统正常运行，修改或删窃听，黑客入侵，干扰系统正常运行，修改或删除数据等。这些威胁大致可分为无意威

7、胁和故意除数据等。这些威胁大致可分为无意威胁和故意威胁两大类。威胁两大类。5.1.2 5.1.2 计算机网络安全威胁计算机网络安全威胁5.1.2 5.1.2 网络系统的威胁网络系统的威胁1 1无意威胁无意威胁v无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息无意威胁是在无预谋的情况下破坏系统的安全性、可靠性或信息的完整性。无意威胁主要是由一些偶然因素引起，如软、硬件的的完整性。无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，人为误操作，电源故障和自然灾害等。机能失常，人为误操作，电源故障和自然灾害等。2 2故意威胁故意威胁v故意威胁实际上就是故意威胁实际上就是“人为攻击人为攻击

8、”。由于网络本身存在脆弱性，。由于网络本身存在脆弱性，因此总有某些人或某些组织想方设法利用网络系统达到某种目的，因此总有某些人或某些组织想方设法利用网络系统达到某种目的，如从事工业、商业或军事情报搜集工作的如从事工业、商业或军事情报搜集工作的“间谍间谍”，对相应领域，对相应领域的网络信息是最感兴趣的，他们对网络系统的安全构成了主要威的网络信息是最感兴趣的，他们对网络系统的安全构成了主要威胁。胁。5.1.2 5.1.2 计算机网络安全威胁计算机网络安全威胁5.1.2 5.1.2 网络系统的威胁网络系统的威胁对系统的攻击范围，可从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的、敏感的

9、信息。这些攻击又可分为被动攻击和主动攻击。5.1.2 5.1.2 计算机网络安全威胁计算机网络安全威胁5.1.2 5.1.2 网络系统的威胁网络系统的威胁被动攻击和主动攻击有以下四种具体类型：窃取(Interception)攻击者未经授权浏览了信息资源。这是对信息保密性的威胁，例如通过搭线捕获线路上传输的数据等。中断(Interruption)攻击者中断正常的信息传输，使接收方收不到信息，正常的信息变得无用或无法利用，这是对信息可用性的威胁，例如破坏存储介质、切断通信线路、侵犯文件管理系统等。篡改(Modification)攻击者未经授权而访问了信息资源，并篡改了信息。这是对信息完整性的威胁，

10、例如修改文件中的数据、改变程序功能、修改传输的报文内容等。5.1.2 5.1.2 网络系统的威胁网络系统的威胁伪造(Fabrication)攻击者在系统中加入了伪造的内容。这也是对数据完整性的威胁，如向网络用户发送虚假信息、在文件中插入伪造的记录等.5.1.2 5.1.2 计算机网络安全威胁计算机网络安全威胁5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构v网络安全体系结构是网络安全层次的抽象描述。在大规模的网络工程建设、管理及基于网络安全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功能的完备性和一致性，降低安全代价和管理开销

11、。这样一个网络安全体系结构对于网络安全的设计、实现与管理都有重要的意义。v网络安全是一个范围较广的研究领域，人们一般都只是在该领域中的一个小范围做自己的研究，开发能够解决某种特殊的网络安全问题方案。比如，有人专门研究加密和鉴别，有人专门研究入侵和检测，有人专门研究黑客攻击等。网络安全体系结构就是从系统化的角度去理解这些安全问题的解决方案，对研究、实现和管理网络安全的工作具有全局指导作用。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.1 5.3.1 网络安全模型和框架网络安全模型和框架众所周知，通信双方在网络上传输信息，需要先在发收之间建立一条逻辑通道。这就要先确定

12、从发送端到接收端的路由，再选择该路由上使用的通信协议，如TCP/IP。信息转换报文秘密信息报文秘密信息如仲裁者，秘密信息发布者用户可信任第三方攻击者图1.2 网络安全模型用户信息转换为了在开放式的网络环境中安全地传输信息，需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分：一是对发送的信息进行安全转换，如信息加密以便达到信息的保密性，附加一些特征码以便进行发送者身份验证等；二是发收双方共享的某些秘密信息，如加密密钥，除了对可信任的第三方外，对其他用户是保密的。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.1 5.3.1 网络安全模型和框架网络安全模型

13、和框架 网络安全模型信息转换报文秘密信息报文秘密信息如仲裁者，秘密信息发布者用户可信任第三方攻击者图1.2 网络安全模型用户信息转换5 53 3 计算机网络安全体系结构计算机网络安全体系结构5.3.1 5.3.1 网络安全模型和框架网络安全模型和框架2 2网络信息安全框架网络信息安全框架(1)(1)安全特性安全特性 安全特性指的是该安全单元可解决什么安全威胁。信息安全特性包括保密性、完整性、可用性和认证安全性。(2)(2)系统单元系统单元 系统单元是指该安全单元解决什么系统环境的安全问题。对于现代网络，系统单元涉及以下五个不同环境。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体

14、系结构5.3.1 5.3.1 网络安全模型和框架网络安全模型和框架为了使信息安全传输，通常需要一个可为了使信息安全传输，通常需要一个可信任的第三方，其作用是负责向通信双信任的第三方，其作用是负责向通信双方分发秘密信息，以及在双方发生争议方分发秘密信息，以及在双方发生争议时进行仲裁。时进行仲裁。一个安全的网络通信必须考虑以下内容：一个安全的网络通信必须考虑以下内容：实现与安全相关的信息转换的规则或算法。实现与安全相关的信息转换的规则或算法。用于信息转换算法的秘密信息（如密钥）。用于信息转换算法的秘密信息（如密钥）。秘密信息的分发和共享。秘密信息的分发和共享。使用信息转换算法和秘密信息获取安全服务

15、所使用信息转换算法和秘密信息获取安全服务所需的协议。需的协议。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.1 5.3.1 网络安全模型和框架网络安全模型和框架2 2网络信息安全框架网络信息安全框架网络信息安全可看成是多个安全单元的集网络信息安全可看成是多个安全单元的集合。其中，每个单元都是一个整体，包含了多合。其中，每个单元都是一个整体，包含了多个特性。一般，人们从三个主要特性个特性。一般，人们从三个主要特性-安全特安全特性、安全层次和系统单元去理解安全单元。该性、安全层次和系统单元去理解安全单元。该安全单元集合可用一个三维安全空间描述，如安全单元集合可用一个三

16、维安全空间描述，如图图1.31.3所示。该三维安全空间反映了信息系统所示。该三维安全空间反映了信息系统安全需求和安全结构的共性。安全需求和安全结构的共性。系统单元保 完 可 认密 整 用 证安全特性 物理 网络 系统 应用 管理应用级传输层网络层链路层物理层OSI安全层次图图1.3 网络信息安全框架网络信息安全框架5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.2 OSI5.3.2 OSI网络安全体系网络安全体系 vISO于1989年2月公布的ISO7498-2“网络安全体系结构”文件，给出了OSI

17、参考模型的安全体系结构。这是一个普遍适用的安全体系结构，它对具体网络的安全体系结构具有指导意义，其核心内容是保证异构计算机系统之间远距离交换信息的安全。vOSIOSI安全体系结构主要包括网络安全机制和网安全体系结构主要包括网络安全机制和网络安全服务两方面的内容，并给出了络安全服务两方面的内容，并给出了OSIOSI网络网络层次、安全机制和安全服务之间的逻辑关系。层次、安全机制和安全服务之间的逻辑关系。5 53 3 计算机网络安全体系结构计算机网络安全体系结构5.3.2 OSI5.3.2 OSI网络安全体系网络安全体系 OSIOSI参考模型是国际标准化组织（参考模型是国际标准化组织（ISOISO）

18、为解决异种机为解决异种机互连而制定的开放式计算机网络层次结构模型。互连而制定的开放式计算机网络层次结构模型。ISOISO提提出出OSIOSI（开放系统互连）参考模型的目的，就是要使在（开放系统互连）参考模型的目的，就是要使在各种终端设备之间、计算机之间、网络之间、操作系各种终端设备之间、计算机之间、网络之间、操作系统进程之间以及人们之间互相交换信息的过程，能够统进程之间以及人们之间互相交换信息的过程，能够逐步实现标准化。参照这种参考模型进行网络标准化逐步实现标准化。参照这种参考模型进行网络标准化的结果，就能使得各个系统之间都是的结果，就能使得各个系统之间都是“开放开放”的，而的，而不是封闭的。

19、不是封闭的。OSIOSI参考模型将计算机网络划分为七个层参考模型将计算机网络划分为七个层次，分别称为物理层、数据链路层、网络层、传输层、次，分别称为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。会话层、表示层和应用层。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.2 OSI5.3.2 OSI网络安全体系网络安全体系 v1 1网络安全机制网络安全机制(1)(1)加密机制加密机制(2)(2)数字签名机制数字签名机制(3)(3)访问控制机制访问控制机制(4)(4)数据完整性机制数据完整性机制(5)(5)交换鉴别机制交换鉴别机制(6)(6)信息量填充机制信息

20、量填充机制(7)(7)路由控制机制路由控制机制(8)(8)公证机制公证机制5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.2 OSI5.3.2 OSI网络安全体系结构网络安全体系结构 5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.2 OSI5.3.2 OSI网络安全体系网络安全体系 v2 2网络安全服务网络安全服务(1)(1)鉴别服务鉴别服务(2)(2)访问控制服务访问控制服务(3)(3)数据完整性服务数据完整性服务(4)(4)数据保密性服务数据保密性服务(5)(5)非否认服务非否认服务(6)(6)信息量填充机制信息量填充机制(7)(7

21、)路由控制机制路由控制机制(8)(8)公证机制公证机制表表1.1 1.1 与网络各层相关的与网络各层相关的OSIOSI安全服务安全服务安全服务OSI层次1234567鉴别服务同等实体鉴别YYY数据源鉴别YYY访问控制访问控制服务YYY数据完整性带恢复功能的连接完整性YYY不带恢复功能的连接完整性YYY选择字段连接完整性NNY选择字段无连接完整性 YYY无连接完整性Y数据保密性连接保密性YYYYYY无连接保密性YYYYY信息流保密性YYY非否认服务发送非否认Y接受非否认Y注：“Y”表示提供安全服务，“空白”表示不提供安全服务5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构表表

22、1.2 OSI1.2 OSI安全服务与安全机制的关系安全服务与安全机制的关系安全服务安全机制加密数字签名访问控制数据完整性鉴别交换信息流填充路由控制公证鉴别服务同等实体鉴别YYY数据源鉴别Y Y访问控制访问控制服务Y数据完整性带恢复功能连接完整性YY不带恢复功能的连接完整性YY选择字段连接完整性YY选择字段无连接完整性YYY无连接完整性YYY数据保密性连接保密性YY无连接保密性YY信息流保密性YYY非否认服务发送非否认YYY接受非否认YYY注：“Y”表示提供安全服务，“空白”表示不提供安全服务5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.1.3 5.1.3 计算机网络

23、安全体系结构计算机网络安全体系结构5.3.3 P2DR5.3.3 P2DR模型模型 v一个常用的网络安全模型是一个常用的网络安全模型是P2DRP2DR模型模型包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。防护、检测和响应组成了一个所谓的“完整、动态”的安全循环。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.3 P2DR5.3.3 P2DR模型模型 1 1Policy(Policy(安全策略安全策略)v我们在考虑建立网络安全系统时，在了解了网络信息安全系统等级划分和评估网络安全风险后，

24、一个重要的任务就是要制订一个网络安全策略。一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。网络安全策略一般包括两部分：总体的安全策略和具体的安全规则。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.3 P2DR5.3.3 P2DR模型模型 2 2ProtectionProtection（防护）（防护）v防护就是根据系统可能出现的安全问题采取一些预防措施，是通过一些传统的静态安全技术及方法来实现的。通常采用的主动防护技术有：数据加密，身份验证，访问控制，授权和虚拟网络(VPN)技术；被动防护技术有：防火墙技术，安全扫描，入侵检测，路由过滤，数

25、据备份和归档，物理安全，安全管理等。5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.3 P2DR5.3.3 P2DR模型模型 3 3DetectionDetection（检测）（检测）v攻击者如果穿过防护系统，检测系统就会将其检测出来。如检测入侵者的身份，包括攻击源、系统损失等。防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事件，特别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就要启动检测系统进行检测5.1.3 5.1.3 计算机网络安全体系结构计算机网络安全体系结构5.3.3 P2DR5.3.3 P2DR模型模型 4 4ResponseRe

26、sponse（响应）（响应）v系统一旦检测出入侵，响应系统则开始响应，进行事件处理。P2DR中的响应就是在已知入侵事件发生后，进行的紧急响应(事件处理)。响应工作可由特殊部门-计算机紧急响应小组负责。世界上第一个计算机紧急响应小组简称CERT(Computer Emergency Response Team)，我国的第一个计算机紧急响应小组是中国教育与科研计算机网络建立的，简称“CCERT”。不同机构也有相应的计算机紧急响应小组。5.1.4 5.1.4 计算机网络安全措施计算机网络安全措施5.4.1 5.4.1 安全立法安全立法1 1国外的计算机信息安全立法国外的计算机信息安全立法2 2我国的

27、计算机信息安全立法我国的计算机信息安全立法5.4.2 5.4.2 安全管理安全管理1 1安全管理机构安全管理机构2 2安全行政人事管理安全行政人事管理3 3系统安全管理系统安全管理5.4.3 5.4.3 实体安全技术实体安全技术5.4.4 5.4.4 访问控制技术访问控制技术5.4.5 5.4.5 数据保密技术数据保密技术5.1.5 5.1.5 计算机网络的安全级别计算机网络的安全级别5.5.1 5.5.1 可信计算机标准评价准则可信计算机标准评价准则1983年美国国防部发表的可信计算机标准评价准则（简称为TCSEC）把计算机安全等级分为4类7级。根据安全性从低到高的级别，依次为D、C1、C2

28、、B1、B2、B3、A级，每级包括它下级的所有特性，见表。级别名 称特 征A验证设计安全级形式化的最高级描述和验证，形式化的隐蔽通道分析，非形式化的代码一致性证明B3安全域级安全内核，高抗渗透能力B2结构化安全保护级面向安全的体系结构，遵循最小授权原则，有较好的抗渗透能力，对所有的主体和客体提供访问控制保护，对系统进行隐蔽通道分析B1标记安全保护级在C2安全级上增加安全策略模型，数据标记（安全和属性），托管访问控制C2访问控制环境保护级访问控制，以用户为单位进行广泛的审计C1选择性安全保护级有选择的访问控制，用户与数据分离，数据以用户组为单位进行保护5.1.5 5.1.5 计算机网络的安全级别

29、计算机网络的安全级别5 53 3 计算机网络安全体系结构计算机网络安全体系结构5.3.1 5.3.1 网络安全模型和框架网络安全模型和框架2 2网络信息安全框架网络信息安全框架(1)(1)安全特性安全特性 安全特性指的是该安全单元可解决什么安全威胁。信息安全特性包括保密性、完整性、可用性和认证安全性。(2)(2)系统单元系统单元 系统单元是指该安全单元解决什么系统环境的安全问题。对于现代网络，系统单元涉及以下五个不同环境。5.1.5 5.1.5 计算机网络的安全级别计算机网络的安全级别5.5.2 5.5.2 计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则v我国于2001年1月1日

30、起实施的计算机信息系统安全保护等级划分准则将计算机安全保护等级划分为五个级别。v第一级叫用户自主保护级。该级使用户具备自主安全保护能力，保护用户和用户组信息，避免被其他用户非法读写和破坏。v第二级叫系统审计保护级。它具备第一级的保护能力，并创建和维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户及事件类型等信息，使所有用户对自己的行为负责。5 55 5 计算机网络的安全级别计算机网络的安全级别5.5.2 5.5.2 计算机信息安全保护等级划分准则计算机信息安全保护等级划分准则v第三级叫安全标记保护级。它具备第二级的保护能力，并为访问者和访问对象指定安全标记，以访问对象标记的安

31、全级别限制访问者的访问权限，实现对访问对象的强制保护。v第四级叫结构化保护级。它具备第三级的保护功能，并将安全保护机制划分为关键部分和非关键部分两层结构，其中的关键部分直接控制访问者对访问对象的访问。该级具有很强的抗渗透能力。v第五级叫安全域保护级。它具备第四级的保护功能，并增加了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。该级具有极强的抗渗透能力。5 56 6 网络系统安全的日常管理及操作网络系统安全的日常管理及操作5.6.15.6.1网络系统的日常管理网络系统的日常管理1 1口令（密码）管理口令（密码）管理2 2病毒防护病毒防护3 3漏洞扫描漏洞扫描4 4边界控制边界控制5 5实

32、时监控实时监控6 6日志审核日志审核7 7应急响应应急响应8 8软件和数据文件的保护软件和数据文件的保护5.6 5.6 网络系统安全的日常管理及操作网络系统安全的日常管理及操作5.6.2 5.6.2 网络日志管理网络日志管理1 1网络日志是日常管理的网络日志是日常管理的FAQFAQ2 2网络日志是排除故障的黑匣子网络日志是排除故障的黑匣子3 3网络日志是网络升级的指示仪网络日志是网络升级的指示仪4 4网络设备的日志管理网络设备的日志管理5 5网络日志便于系统运行维护管理网络日志便于系统运行维护管理6 6日志分析工具及应用日志分析工具及应用5.2 电子邮件安全5.2.1 电子邮件安全风险电子邮件

33、的安全隐患：1.由于电邮传送协议自身的安全隐患。2.接受客户端软件设计缺陷导致。3.用户个人原因导致的安全隐患。v电子邮件的安全风险：1.电子邮件病毒2.MIME标题头中的恶意代码3.电子邮件泄露4.电子邮件炸弹5.垃圾邮件5.2.2 电子邮件安全措施1.对称密码体制2.非对称密码5.3 网络支付安全网络支付：是指单位或个人直接或授权他人使用通用终端，通过公共网络以网络应用协议规定的格式发出支付指令，实现货币支付与资金转移的行为。如：遏制机密窃取、权限滥用、网上欺诈和钓鱼 等不法行为。5.3.1 网络支付安全措施 1.身份认证技术 1）根据用户所掌握的信息来验证身份.如用户名和口令 2）通过用

34、户所拥有的工具来验证身份。如USBKey 3）根据用户的某些省力特征来验证身份。如指纹和视网膜2.消息认证 1）数字指纹（信息摘要）2）数字签名3）数字信封4）数字时间戳2.PKI体系5.3.2 网络支付安全协议1.IPSec协议 IPSec（IP安全协议）是IETF制定的一组IP安全协议集。其目的是将安全机制引入IP协议，通过使用相应的密码学技术。是IP协议支持加密和认证服务，向用户提供所期望的安全服务。IPSec的体系结构5 56 6 网络系统安全的日常管理及操作网络系统安全的日常管理及操作5.6.2 5.6.2 网络日志管理网络日志管理6 6日志分析工具及应用日志分析工具及应用AWSta

35、tsAWStats是一个基于是一个基于PerlPerl的的WebWeb日志分析日志分析工具。工具。AWStatsAWStats是是perlperl语言书写的程序，语言书写的程序，所以必须先安装所以必须先安装ActivePerl(forActivePerl(for win32)win32)程序。程序。(1)(1)安装安装ActivePerlActivePerl(2)(2)测试测试ActivePerlActivePerl5.7 5.7 计算机网络安全技术计算机网络安全技术 5.7.1 5.7.1 数据加密与认证数据加密与认证 加密将防止数据被查看或修改，加密将防止数据被查看或修改，并在不安全的信道

36、上提供安全的通信信并在不安全的信道上提供安全的通信信道。加密的功能是将明文通过某种算法道。加密的功能是将明文通过某种算法转换成一段无法识别的密文。转换成一段无法识别的密文。数字认证技术泛指使用现代计算数字认证技术泛指使用现代计算机技术和网络技术进行的认证。数字认机技术和网络技术进行的认证。数字认证提供了一种机制使用户能证明其发出证提供了一种机制使用户能证明其发出信息来源的正确性和发出信息的完整性。信息来源的正确性和发出信息的完整性。数字认证的另一主要作用是操作系统可数字认证的另一主要作用是操作系统可以通过它来实现对资源的访问控制。以通过它来实现对资源的访问控制。5.7.4 5.7.4 计算机病

37、毒防治计算机病毒防治 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者 程 序 代 码 被 称 为 计 算 机 病 毒（Computer Virus）。具有破坏性，复制性和传染性。计算机病毒是一种在计算机系统运行过程中能把自身精确复制或有修改地复制到其他程序内的程序。它隐藏在计算机数据资源中，利用系统资源进行繁殖，并破坏或干扰计算机系统的正常运行。杀毒软件肯定是见得最多，也用得最为普遍的安全技术方案，因为这种技术实现起来最为简单，但杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足网络安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是随着杀毒软件技术的不断发展，现在的主流杀毒软件同时还可以对预防木马及其他的一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙功能，在一定程度上能起到硬件防火墙的功效，如KV3000、金山防火墙、Norton防火墙等。习题和思考题一习题和思考题一v课后习题和布置作业v答疑