【正文】 的安全評(píng)估標(biāo)準(zhǔn)。 在確定網(wǎng)絡(luò)安全目標(biāo)時(shí)，必須考慮如下問(wèn)題： （ 1）系統(tǒng)所提供的服務(wù)和對(duì)安全性的需求 （ 2）易用性和安全性 （ 3）安全的代價(jià)和風(fēng)險(xiǎn) 18 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 3．制定安全策略的原則 在制定網(wǎng)絡(luò)安全策略時(shí)，應(yīng)遵循以下幾方面的原則： （ 1）可用性原則 （ 2）可靠性原則 （ 3）動(dòng)態(tài)性原則 （ 4）系統(tǒng)性原則 （ 5）后退性原則 19 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 4．網(wǎng)絡(luò)安全策略包括的內(nèi)容 （ 1）物理安全； （ 2）訪問(wèn)控制； （ 3）信息加密； （ 4）網(wǎng)絡(luò)用戶的安全責(zé)任； （ 5）系統(tǒng)管理員的安全責(zé)任； （ 6）安全管理策略； （ 7）檢測(cè)到安全問(wèn)題時(shí)的策略。它對(duì)所收到的 IP數(shù)據(jù)包的源地址、目的地址、 TCP數(shù)據(jù)分組或UDP報(bào)文的源端口號(hào)、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)置的訪問(wèn)控制表進(jìn)行比較，確定是否符合預(yù)定義的安全策略，并決定數(shù)據(jù)包的通過(guò)或丟棄。 這種防火墻能徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn)變成防火墻對(duì)外網(wǎng)的訪問(wèn)，外網(wǎng)的訪問(wèn)應(yīng)答先由防火墻處理，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測(cè)包過(guò)濾的性能也明顯優(yōu)于簡(jiǎn)單包過(guò)濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。網(wǎng)絡(luò)入侵檢測(cè)分為基于網(wǎng)絡(luò)的入侵檢測(cè)和基于主機(jī)的入侵檢測(cè)兩種方式。 39 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng)。 41 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng) IDS主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。 （ 5）操作系統(tǒng)獨(dú)立。 （ 4）確定攻擊是否成功。 47 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 1．信息收集 2．信號(hào)分析 3．實(shí)時(shí)記錄、報(bào)警或有限度反擊 48 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 防火墻 入侵檢測(cè)系統(tǒng) 設(shè)備類型 多端口主機(jī)，數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備，完成類似于交互機(jī)或路由器的功能。 IDS是旁路設(shè)備，不影響原有鏈中的速度。 非常詳細(xì)，包括訪問(wèn)的資源、報(bào)文內(nèi)容。 52 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 根據(jù)工作模式的不同，漏洞掃描一般可分為網(wǎng)絡(luò)型安全漏洞掃描器和主機(jī)型安全漏洞掃描器兩大類。 （ 2）向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽(tīng)程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的 CPU資源，這將導(dǎo)致性能下降。如今網(wǎng)絡(luò)病毒是一個(gè)廣義的概念，一般只要是利用網(wǎng)絡(luò)來(lái)進(jìn)行傳染、破壞的都可以被稱為網(wǎng)絡(luò)病毒。這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。 在計(jì)算機(jī)通訊中，采用密碼技術(shù)將信息隱蔽起來(lái)，再將隱蔽后的信息傳輸出去，使信息在傳輸過(guò)程中即使被竊取或截獲，竊取者也不能了解信息的內(nèi)容，從而保證信息傳輸?shù)陌踩? 70 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 在保障信息安全的多種技術(shù)中，密碼技術(shù)是信息安全的核心和關(guān)鍵技術(shù)。因此這種密鑰體制有時(shí)也稱為公開(kāi)密鑰體制（公鑰體制）或雙鑰體制。 75 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1） DES（ Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn)）加密算法 數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）是美國(guó)經(jīng)長(zhǎng)時(shí)間征集和篩選后，于 1977年由美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布的一種加密算法。 76 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 2） RSA算法 RSA算法以它的三位發(fā)明者的名字命名（ Ron Rivest、 Adi Shamir和 Leonard Adleman）。 77 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)存儲(chǔ)加密和數(shù)據(jù)傳輸加密。 80 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 ? 數(shù)字簽名在 ISO74972標(biāo)準(zhǔn)中定義為：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造。 ? 密碼認(rèn)證：口令可以說(shuō)是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機(jī)制。它是對(duì)電子形式的消息進(jìn)行簽名的一種方法 ,一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。 86 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字證書(shū)又稱為數(shù)字標(biāo)識(shí) （ Digital Certificate ， Digital ID）。 ? 服務(wù)器證書(shū)：是運(yùn)行在 Web服務(wù)器上，并且保證服務(wù)器和瀏覽器間的加密的 SSL會(huì)話 ? 個(gè)人證書(shū)：給用戶授權(quán)的證書(shū)，運(yùn)行 S/MIME、 SSL以及 SET。這樣，當(dāng)計(jì)算機(jī)系統(tǒng)設(shè)備發(fā)生故障或發(fā)生其它威脅數(shù)據(jù)安全的災(zāi)害時(shí)，能及時(shí)地從備份的介質(zhì)上恢復(fù)正確的數(shù)據(jù)。 容災(zāi)不僅是技術(shù)，更是一項(xiàng)工程。顧名思義，我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。 這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra相對(duì)應(yīng)。 96 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 97 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 1．安全保障 2．服務(wù)質(zhì)量保證（ QoS） 3．可擴(kuò)充性和靈活性 4．可管理性 98 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 由于傳輸?shù)氖撬接行畔ⅲ?VPN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。 ? 快照技術(shù) 快照是通過(guò)軟件對(duì)要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù)據(jù)的快照邏輯單元號(hào) LUN和快照 cache。 （ 2）數(shù)據(jù)恢復(fù)的類型 全盤恢復(fù)、個(gè)別文件恢復(fù)、重定向恢復(fù) 93 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 此處的災(zāi)是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遇到自然災(zāi)難（洪水、颶風(fēng)、地震）、外在事件（電力或通信中斷）、技術(shù)失靈及設(shè)備受損（火災(zāi)）等。數(shù)據(jù)備份是在系統(tǒng)出現(xiàn)災(zāi)難性事件時(shí)重要的恢復(fù)手段。數(shù)字證書(shū)是由大家共同信任的第三方 認(rèn)證中心（ Certificate Authority， CA）來(lái)頒發(fā)的，有某人的身份信息、公鑰和 CA的數(shù)字簽名。 85 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。 ? 位置認(rèn)證 該認(rèn)證的策略是根據(jù)用戶的位置來(lái)決定其身份 。 82 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 身份認(rèn)證（ Identification and Authentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機(jī)構(gòu)滿意，而提供所要求的用戶身份驗(yàn)證的過(guò)程。一般常用的是鏈路加密和端到端加密這兩種方式。 RSA算法既能用于數(shù)據(jù)加密，也能用于數(shù)字簽名，在 RSA算法中，包含兩個(gè)密鑰，加密密鑰和解密密鑰，加密密鑰是公開(kāi)的。 DES算法僅使用最大為 64位的標(biāo)準(zhǔn)算術(shù)和邏輯運(yùn)算，運(yùn)算速度快，密鑰生產(chǎn)容易，適合于在當(dāng)前大多數(shù)計(jì)算機(jī)上用軟件方法實(shí)現(xiàn)，同時(shí)也適合于在專用芯片上實(shí)現(xiàn)。 74 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)加密算法有很多種，密碼算法標(biāo)準(zhǔn)化是信息化社會(huì)發(fā)展的必然趨勢(shì)，是世界各國(guó)保密通信領(lǐng)域的一個(gè)重要課題。 數(shù)據(jù)加密過(guò)程示意圖 72 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 對(duì)稱密鑰體制是指加密密鑰（ Pk）和解密密鑰（ Sk）是相同的，也就是說(shuō)數(shù)據(jù)在加密和解密過(guò)程中使用相同的密鑰。對(duì)于明文 m，加密算法（將明文變成密文的一種編碼） E確定之后，由于密鑰 k不同，密文也不同。 按照作用不同，數(shù)據(jù)加密技術(shù)一般可分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 ?按照病毒傳染的方法分類可分為 4類：入侵型病毒、嵌入式病毒、加殼型病毒、病毒生產(chǎn)機(jī)。 58 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段 （ 2）以交換式集線器代替共享式集線器 （ 3）使用加密技術(shù) （ 4）劃分 VLAN 59 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 病毒防范技術(shù) 為了減少病毒在企業(yè)網(wǎng)絡(luò)內(nèi)部的傳播，必須采取有效的措施防范病毒的入侵。 56 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 Ether協(xié)議的工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)到以太網(wǎng)的所有主機(jī)上，在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址，因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)物理地址一致的那臺(tái)主機(jī)才能接收到信息包。 能夠完全恢復(fù)出應(yīng)用層的信息，能夠?qū)W(wǎng)絡(luò)特定的流量進(jìn)行全程監(jiān)視、記錄，為管理員判斷進(jìn)攻者、收集證據(jù)提供了強(qiáng)有力的手段。 報(bào)警、日志記錄和有限度反擊。 對(duì)受檢報(bào)文的操作 大量的讀寫操作。這兩種方式都能發(fā)現(xiàn)對(duì)方無(wú)法檢測(cè)到的一些入侵行為。如果匹配的話，檢測(cè)系統(tǒng)就向管理員發(fā)出入侵報(bào)警并且發(fā)出采取相應(yīng)的行動(dòng)。 （ 2）攻擊者消除證據(jù)很困難。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報(bào)少， 局限 是它只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無(wú)能為力。 入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”。由于用戶平臺(tái)的多樣性，使得軟件防火墻需支持多操作系統(tǒng)，如： Unix、 Linux、 SCOUnix、 Windows等，代碼龐大、安裝維護(hù)成本高、效率低，同時(shí)還受到操作系統(tǒng)平臺(tái)穩(wěn)定性的影響。 32 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 (4)復(fù)合型防火墻 復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代防火墻，它基于專用集成電路（ ASIC， Application Specific Integrated Circuit）架