【正文】 協(xié)議層安全 l 認(rèn)證機(jī)制 l 加密技術(shù) l 防火墻技術(shù) l 網(wǎng)絡(luò)防病毒技術(shù) 三 、 網(wǎng)絡(luò)安全工具 ? 防火墻 ? 加密軟件 ? 入侵檢測(cè) ? 殺毒軟件 ? 安全審計(jì)軟件 ? 操作系統(tǒng)工具 學(xué)習(xí)內(nèi)容 參考文獻(xiàn) 第 5章 網(wǎng)絡(luò)安全基礎(chǔ) 1. 為什么要學(xué)習(xí)網(wǎng)絡(luò)安全 2. 網(wǎng)絡(luò)安全涉及的領(lǐng)域 3. 安全問(wèn)題的實(shí)質(zhì) 4. 安全問(wèn)題現(xiàn)狀 5. 網(wǎng)絡(luò)安全的概念 6. 網(wǎng)絡(luò)系統(tǒng)面臨的威脅 7. 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性 8. 網(wǎng)絡(luò)安全技術(shù)的研究?jī)?nèi)容和發(fā)展過(guò)程 9. 計(jì)算機(jī)網(wǎng)絡(luò)安全的三個(gè)層次 10. 網(wǎng)絡(luò)安全的設(shè)計(jì)和基本原則 11. 安全技術(shù)評(píng)價(jià)標(biāo)準(zhǔn) 1 為什么要學(xué)習(xí)網(wǎng)絡(luò)安全： ? 信息共享與信息安全總是互相矛盾的 。 4 安全問(wèn)題現(xiàn)狀 攻擊者方面 n 攻擊者層次不斷提高 黑客專業(yè)化，往往掌握了深層次網(wǎng)絡(luò)技術(shù)和協(xié)議 n 攻擊點(diǎn)越來(lái)越多 諸多網(wǎng)絡(luò)、通信協(xié)議缺乏有效的安全機(jī)制 n 攻擊代價(jià)越來(lái)越小 一人一機(jī)、安座家中便能發(fā)起攻擊； n 攻擊手段越來(lái)越先進(jìn) 計(jì)算機(jī)性能大幅提升，為破譯密碼、口令提供了 先進(jìn)手段 4 安全問(wèn)題現(xiàn)狀 ? 多數(shù)信息系統(tǒng)被國(guó)外產(chǎn)品壟斷！ ? 美國(guó)軍方拒絕使用 Cisco路由器； ? 美國(guó)嚴(yán)禁出口 56位密鑰以上的 DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）加密技術(shù)和產(chǎn)品到中國(guó)； ? 我國(guó)提出軍隊(duì)骨干交換機(jī)全部國(guó)產(chǎn)化； ? 我國(guó)現(xiàn)有信息安全專業(yè)人才只有 3000人左右 (本 2100/專 1400） ? 與 2023年相比，信息安全人才的薪資在 2023上漲了 16%，而且這種趨勢(shì)仍在繼續(xù)。 4） 隨著計(jì)算機(jī)系統(tǒng)的廣泛應(yīng)用 ， 操作人員 、編程人員和系統(tǒng)分析人員的失誤或缺乏經(jīng)驗(yàn)都會(huì)造成系統(tǒng)的安全功能不足 。 假冒合法用戶身份、執(zhí)行與合法用戶同樣的操作； 主動(dòng)攻擊 假冒 主動(dòng)攻擊 篡 改 篡改數(shù)據(jù)、文件、資料； 主動(dòng)攻擊 插入 在正常的數(shù)據(jù)流中插入偽造的信息或數(shù)據(jù) 主動(dòng)攻擊 重放 錄制合法、正常的交互信息、然后在適當(dāng)?shù)臅r(shí)機(jī)重放； 使用投放巨量垃圾電子郵件、無(wú)休止訪問(wèn)資源或數(shù)據(jù)庫(kù)等手段造成網(wǎng)絡(luò)的阻塞，影響正常運(yùn)行； 主動(dòng)攻擊 阻塞 主動(dòng)攻擊 抵賴 實(shí)施某種行為后進(jìn)行抵賴，如否認(rèn)發(fā)送過(guò)或接受過(guò)文件 主動(dòng)攻擊 病毒 向系統(tǒng)注入病毒，病毒運(yùn)行后可能損壞文件、使系統(tǒng)癱瘓，造成各種難以預(yù)料的后果。(備注） 返回本節(jié) 操作系統(tǒng)安全的脆弱性 使用 RedButton破解 Windows NT/2023密碼 2 網(wǎng)絡(luò)安全的脆弱性 ? 使用 TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的 FTP、 EMail等都包含許多不安全的因素 ， 存在著許多漏洞 。 返回本節(jié) 4 防火墻的局限性 ? 盡管利用防火墻可以保護(hù)安全網(wǎng)免受外部黑客的攻擊，但它只是能夠 提高 網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò) 絕對(duì) 安全。 返回本節(jié) 8網(wǎng)絡(luò)安全技術(shù)的研究?jī)?nèi)容和發(fā)展過(guò)程 1 研究?jī)?nèi)容 2 發(fā)展過(guò)程 返回本章首頁(yè) 1 研究?jī)?nèi)容 （ 1） 實(shí)體硬件安全 （ 2） 軟件系統(tǒng)安全 （ 3） 網(wǎng)絡(luò)安全防護(hù) （ 4） 數(shù)據(jù)信息安全 （ 5） 病毒防治技術(shù) （ 6） 網(wǎng)絡(luò)站點(diǎn)安全 返回本節(jié) 2 發(fā)展過(guò)程 ? 50年代，計(jì)算機(jī)應(yīng)用范圍很小，安全問(wèn)題并 不突出。 返回本節(jié) 3 安全技術(shù)措施 ? 安全技術(shù)措施是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，是方法、工具、設(shè)備、手段乃至需求、環(huán)境的綜合，也是整個(gè)系統(tǒng)安全的物質(zhì)技術(shù)基礎(chǔ)。 安全服務(wù)及安全機(jī)制 5 .（ security services） ? 對(duì)于單機(jī)狀態(tài)下的身份認(rèn)證一般有用戶口令 、 一次性密碼和生理特征等方法 。 （ security mechanisms） 安全機(jī)制分為實(shí)現(xiàn)安全服務(wù)和對(duì)安全系統(tǒng)的管理兩種類型 。一般采用訪問(wèn)控制信息庫(kù)、認(rèn)證信息（口令等）和安全標(biāo)簽等技術(shù) (Data integrity mechanisms) ? 發(fā)送方根據(jù)要發(fā)送的信息產(chǎn)生一條額外的信息 （ 如校驗(yàn)碼 ） ， 并將其加密后隨信息本體一同發(fā)出； ? 收方接收到信息本體以后 ， 產(chǎn)生相應(yīng)的額外信息 ， 并與接收到的額外信息進(jìn)行比較 ， 以判斷在通信過(guò)程中信息本體是否被篡改過(guò) 。 網(wǎng)絡(luò)安全體系及評(píng)估標(biāo)準(zhǔn) ?一個(gè)網(wǎng)絡(luò)由網(wǎng)絡(luò)硬件 、 網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用程序構(gòu)成 。 網(wǎng)絡(luò)安全五層體系 應(yīng)用層安全 ? 應(yīng)用層安全是指合法的用戶對(duì)特定數(shù)據(jù)進(jìn)行合法的操作。其中最重要的是桔皮書(shū)，它定義了上述一系列標(biāo)準(zhǔn)。 這也是 Inter網(wǎng)絡(luò)安全中最重要的部分 。 實(shí)施機(jī)制充許命名用戶和用戶組的身份規(guī)定并控制資源共享 ， 防止非授權(quán)用戶讀取敏感信息 。 網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn) ? L B1級(jí)為標(biāo)記安全保護(hù)級(jí) 。 提出數(shù)據(jù)隱藏和分層 ， 擴(kuò)充審計(jì)機(jī)制 ， 提供系統(tǒng)恢復(fù)機(jī)制 。 l 密文 （ Ciphertext） ：信息變換后的一串雜亂排列的數(shù)據(jù) ， 從字面上無(wú)任何含義 。 l 加密和解密算法適用于所有密鑰空間中的元素 。 ? 密鑰可由發(fā)方產(chǎn)生后經(jīng)一個(gè)安全可靠的途徑送至收方 ， 或由第三方產(chǎn)生后安全可靠地分配給通信雙方 。 密碼攻擊概述 密碼研究包含兩部分內(nèi)容： ? 一是加密算法的設(shè)計(jì)和研究 ? 二是密碼分析或密碼破譯技術(shù) 。 (216+ 216+ 216=3* 1014 –1ms1萬(wàn)年； 520 =214 ） 如果密鑰空間小或分布具有一定的可預(yù)見(jiàn)性 ， 則攻擊者就可能利用相關(guān)知識(shí)大大縮小搜索空間 ，從而破譯密文 。 l 破譯密文的代價(jià)超過(guò)被加密信息的價(jià)值 。 ? 攻擊者與報(bào)文接收方的區(qū)別在于其不知道解密密鑰 ， 無(wú)法輕易將密文還原為明文 。 密鑰管理問(wèn)題處理不好會(huì)很難保證系統(tǒng)的安全保密 。 密碼體制從原理上可分為單鑰體制和雙鑰體制兩大類 。 l Ek(P)：以加密密鑰