【正文】 本概念 信息安全技術 防火墻技術 網(wǎng)絡病毒 信息安全技術 ? 數(shù)據(jù)加密 ? 用戶認證 ? 數(shù)字簽名 ? 加密技術應用案例 26 數(shù)據(jù)加密 P=Dk（ Ek（ P）） 網(wǎng)絡入侵 ? 網(wǎng)絡入侵者分為消極入侵者和積極入侵者兩種 ? 消極入侵者只是竊聽而已，并不對數(shù)據(jù)造成破壞； ? 積極入侵者會截獲密文，篡改數(shù)據(jù)甚至偽造假數(shù)據(jù)送入網(wǎng)中。 3）對重要網(wǎng)絡設備、通信線路備份。 網(wǎng)絡安全關鍵技術 ? 信息包篩選（基于包過濾的防火墻） 網(wǎng)絡安全關鍵技術 ? 應用中繼器（代理技術） 網(wǎng)絡安全關鍵技術 ? 加密技術 網(wǎng)絡安全系統(tǒng)提供安全的常用方法 ? 用備份和鏡像技術提高數(shù)據(jù)完整性 ? 病毒檢查 ? 補丁程序，修補系統(tǒng)漏洞 ? 提高物理安全 ? 安裝因特網(wǎng)防火墻 ? 廢品處理守則 ? 仔細閱讀日志 ? 加密 ? 執(zhí)行身份鑒別，口令守則 ? 捕捉闖入者 ? 從計算機系統(tǒng)可靠性方面可以采取的網(wǎng)絡安全性措施有： 1）選擇性能優(yōu)良的服務器。信息加密、身份確認以及授權(quán)等； ? 審計與管理措施，包括技術與社會措施 。 ? 連接控制類包括負載均衡、可靠性以及流量管理等。 ? 管理與記賬類安全：包括安全的策略的管理、實時監(jiān)控、報警以及企業(yè)范圍內(nèi)的集中管理與記賬。包括程序開發(fā)運行、 I/O、數(shù)據(jù)庫等的安全。包括機房、線路、主機等； 2）網(wǎng)絡安全。 （ 3）拒絕服務（ Denial of Service）： 使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務的所有問題。 主要的網(wǎng)絡安全的威脅 （ 1）非授權(quán)訪問（ Unauthorized Access）： 一個非授權(quán)的人的入侵。 （ 4）網(wǎng)絡上信息內(nèi)容的安全，即我們討論的狹義的 “信息安全 ”。 （ 2）網(wǎng)絡上系統(tǒng)信息的安全。 網(wǎng)絡安全定義 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。 網(wǎng)絡安全包括 OSIRM各層 ? 事實上，每一層都可以采取一定的措施來防止某些類型的網(wǎng)絡入侵事件，在一定程度上保障數(shù)據(jù)的安全。 ? 認證分為信息認證和用戶認證兩個方面 ? 信息認證是指信息從發(fā)送到接收整個通路中沒有被第三者修改和偽造， ? 用戶認證是指用戶雙方都能證實對方是這次通信的合法用戶。第 10章 網(wǎng)絡安全 本章內(nèi)容 網(wǎng)絡安全的基本概念 信息安全技術 防火墻技術 網(wǎng)絡病毒 網(wǎng)絡安全的基本概念 什么是網(wǎng)絡安全？ 網(wǎng)絡安全主要解決數(shù)據(jù)保密和認證的問題。 ? 數(shù)據(jù)保密就是采取復雜多樣的措施對數(shù)據(jù)加以保護，以防止數(shù)據(jù)被有意或無意地泄露給無關人員。通常在一個完備的保密系統(tǒng)中既要求信息認證，也要求用戶認證。 物理層 ——可以在包容電纜的密封套中充入高壓的氖氣； 鏈路層 ——可以進行所謂的鏈路加密，即將每個幀編碼后再發(fā)出，當?shù)竭_另一端時再解碼恢復出來； 網(wǎng)絡層 ——可以使用防火墻技術過濾一部分有嫌疑的數(shù)據(jù)報； 在 傳輸層 上甚至整個連接都可以被加密。 （ 1）運行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng) 的安全。 （ 3）網(wǎng)絡上信息傳播的安全，即信息傳播后果的安全。 網(wǎng)絡安全應具備四個特征 ? 保密性 ：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性； ? 完整性 ：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性； ? 可用性 ：可被授權(quán)實體訪問并按需求使用的特性，即當需要時應能存取所需的信息，網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊； ? 可控性 ：對信息的傳播及內(nèi)容具有控制能力。 （ 2）信息泄露（ Disclosure of Information）： 造成將有價值的和高度機密的信息暴露給無權(quán)訪問該信息的人的所有問題。 網(wǎng)絡安全的關鍵技術 ? 主機安全技術 ? 身份認證技術 ? 訪問控制技術 ? 密碼技術 ? 防火墻技術 ? 病毒防治技術 ? 安全審計技術 ? 安全管理技術 制定安全策略涉及四方面 ? 網(wǎng)絡用戶的安全責任 ? 系統(tǒng)管理員的安全責任 ? 正確利用網(wǎng)絡資源 ? 檢測到安全問題時的對策 計算機安全的分類 ? 根據(jù)中國國家計算機安全規(guī)范，計算機的安全大致可分為三類： 1）實體安全。包括網(wǎng)絡的暢通、準確以及網(wǎng)上信息的安全； 3）應用安全。 網(wǎng)絡安全分類 ? 基本安全類：包括訪問控制、授權(quán)、認證、加密以及內(nèi)容安全。 ? 網(wǎng)絡互聯(lián)設備包括路由器、通信服務器、交換機等，網(wǎng)絡互聯(lián)設備安全正是針對上述這些互聯(lián)設備而言的，它包括路由安全管理、遠程訪問服務器安全管理、通信服務器安全管理以及交換機安全管理等等。 安全威脅的類型 ? 非授權(quán)訪問 ? 假冒合法用戶 ? 數(shù)據(jù)完整性受破壞 ? 病毒 ? 通信線路被竊聽 ? 干擾系統(tǒng)的正常運行，改變系統(tǒng)正常運行的方向，以及延時系統(tǒng)的響應時間 計算機系統(tǒng)本身的弱點 ? 操作系統(tǒng)的創(chuàng)建進程機制 ? 遠程過程調(diào)用（ RPC）服務以及它所安排的無口令入口 ? 存在超級用戶 ? 硬件或軟件故障 ? 協(xié)議安全的脆弱性 ? 數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性 網(wǎng)絡信息安全系統(tǒng)組成 ? 一個完整的網(wǎng)絡信息安全系統(tǒng)至少包括三類措施： ? 社會的法律政策，企業(yè)的規(guī)章制度及網(wǎng)絡安全教育等外部環(huán)境； ? 技術方面的措施，如防火墻技術、防病毒。 網(wǎng)絡信息安全系統(tǒng)組成 網(wǎng)絡安全策略考慮因素 ? 對于內(nèi)部用戶和外部用戶分別提供哪些服務程序； ? 初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員）； ? 方便程度和服務效率； ? 復雜程度和安全等級的平衡以及網(wǎng)絡性能。 2）采用服務器備份。 網(wǎng)絡安全的評估 ? 網(wǎng)絡安全評估是網(wǎng)絡安全的必不可少的工作，評估的內(nèi)容有： ? 確定有關網(wǎng)絡安全的方案； ? 對已有的網(wǎng)絡安全方案進行審查； ? 確定與網(wǎng)絡安全方案有關的人員，并確定對網(wǎng)絡資源可以直接存取的人或單位（部門）； ? 確保所需要的技術能使網(wǎng)絡安全方案得以落實； ? 確定內(nèi)部網(wǎng)絡的類型 ? 確定接入互聯(lián)網(wǎng)的方式； ? 確定單位內(nèi)部能提供互聯(lián)網(wǎng)訪問的用戶，并明確互聯(lián)網(wǎng)接入用戶是固定的還是移動的； ? 是否需要加密，如果需要加密，必須說明要求的性質(zhì)。 密碼分析和密碼學 ? 破譯密碼的技術叫做 密碼分析 ? 設計密碼和破譯密碼的技術統(tǒng)稱為 密碼學 ? 密碼學的一條基本原則是：必須假定破譯者知道通用的加密方法，也就是說加密算法 E是公開的。 基本加密模型 ? 從破譯者的角度來看，密碼分析所面對的問題有三種主要的變型： ? 當僅有密文而無明文時，稱為 “只有密文 ”問題； ? 當已擁有了一批相匹配的明文和密文時，稱為 “已知明文 ”問題； ? 當能夠加密自己所選的一些明文時，稱為 “選擇明文 ”問題。 ? 真正安全的密碼系統(tǒng)應是，即使破譯者能夠加密任意數(shù)量的明文，也無法破譯密文。 替代密碼 凱撒密碼 ——最古老的地帶密碼 ? 凱撒密碼，它用 D表示 a，用 E表示 b，用 F表示 c，…… ，用 C表示 z，也就是說密文字母相對明文字母左移了 3位。 缺點 ：容易破譯，因為最多只需嘗試 25次（k=1～ 2