【正文】 硬件 、 軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞 、 更改和泄露 。 4 假冒（ Fabrication）： 入侵者在系統(tǒng)中加入偽造的內(nèi)容，如像網(wǎng)絡(luò)用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。 3 篡改（ Modification）： 篡改是對數(shù)據(jù)完整性的威脅。 2 竊?。?Interception）： 入侵者竊取信息資源是對保密性的威脅。 網(wǎng)絡(luò)所面臨的安全威脅 9 1 中斷（ Interruption）： 中斷是對可利用性的威脅。 網(wǎng)絡(luò)安全攻擊分類 被動攻擊 截獲 (秘密 ) 分析信息內(nèi)容 通信量分析 主動攻擊 拒絕 篡改 偽造 重放 (可用性 ) (完整性 ) (真實(shí)性 ) (時效性 ) 被動攻擊不修改信息內(nèi)容，所以非常難以檢測，因此防護(hù)方法重點(diǎn)是加密。 網(wǎng)絡(luò)所面臨的安全威脅 8 網(wǎng)絡(luò)安全攻擊 要保證運(yùn)行在網(wǎng)絡(luò)環(huán)境中的信息安全 ,首先要解決的問題是如何防止網(wǎng)絡(luò)被攻擊。這些漏洞常被用來獲取對系統(tǒng)的訪問權(quán)。 網(wǎng)絡(luò)的漏洞 服務(wù)器的漏洞 操作系統(tǒng)的漏洞 包括網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸漏洞，比如 IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時對 IP和 DNS的信任。 攻擊者在短時間內(nèi)發(fā)送大量的訪問請求，而導(dǎo)致目標(biāo)服務(wù)器資源枯竭，不能提供正常的服務(wù)。 黑客攻擊 計(jì)算機(jī)病毒 拒絕服務(wù)攻擊 黑客使用專用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò) ,并非法使用網(wǎng)絡(luò)資源。 Inter 防火墻 學(xué)生區(qū) Info Gate IIS服務(wù) Web服務(wù)DMZ區(qū) 教工區(qū) 安全 垃圾郵 內(nèi)容 審計(jì) 件網(wǎng)關(guān) 過濾 數(shù)據(jù)庫服務(wù)器群 應(yīng)用服務(wù)器群 5 網(wǎng)絡(luò)所面臨的安全威脅 網(wǎng)絡(luò)安全要求 網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù) ,不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不會中斷。 網(wǎng)絡(luò)安全問題概述 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性成為各層用戶所共同關(guān)心的問題。 防火墻的安裝調(diào)試與設(shè)置 167。 網(wǎng)絡(luò)管理 167。 2 167。 教學(xué) 重點(diǎn) 能力 要求 掌握： 網(wǎng)絡(luò)安全與管理的概念；網(wǎng)絡(luò)安全與管理技 術(shù)的應(yīng)用。 因此，網(wǎng)絡(luò)安全已成為重要研究課題。1 第 9章 計(jì)算機(jī)網(wǎng)絡(luò)安全 問題 原由 計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用，促進(jìn)了社會的進(jìn)步和繁榮 ,并為人類社會創(chuàng)造了巨大財(cái)富。但由于計(jì)算機(jī)及其網(wǎng)絡(luò)自身的脆弱性以及人為的攻擊破壞，也給社會帶來了損失 。 本章重點(diǎn)討論網(wǎng)絡(luò)安全技術(shù) 措施： 計(jì)算機(jī)密碼技術(shù)、 防火墻技術(shù) 、 虛擬專用網(wǎng)技術(shù) 、 網(wǎng)絡(luò)病毒防治技術(shù)， 以及網(wǎng)絡(luò)管理技術(shù)。 熟悉： 計(jì)算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng) 技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù)。 網(wǎng)絡(luò)安全問題概述 167。 網(wǎng)絡(luò)安全的攻擊與防衛(wèi) 167。 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 本章內(nèi)容 3 知識結(jié)構(gòu) 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全 防火墻的安裝調(diào)試與設(shè)置 網(wǎng)絡(luò)安全的層次模型 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全問題概述 瑞星殺毒軟件和個人防火墻的防治 天網(wǎng)防火墻 防火墻技術(shù) 數(shù)字簽名 加密技術(shù) 網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理工具 網(wǎng)絡(luò)管理功能 網(wǎng)絡(luò)管理概述 網(wǎng)絡(luò)安全的攻擊與防衛(wèi) 病毒 信息竊取 郵件炸彈 特洛伊木馬 網(wǎng)絡(luò)所面臨的安全威脅 網(wǎng)絡(luò)安全的內(nèi)容 訪問控制技術(shù) 實(shí)時監(jiān)視技術(shù) 自動解壓縮技 4 167。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運(yùn)行，不受外來入侵者的干擾和破壞，所以解決好網(wǎng)絡(luò)的安全性和可靠性，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。 身份認(rèn)證 完整性 保密性 授權(quán)和訪 問控制 可用性 不可抵 賴性 6 網(wǎng)絡(luò)安全威脅 一般認(rèn)為，黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊等 3個方面是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的主要威脅。 計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。 網(wǎng)絡(luò)所面臨的安全威脅 7 網(wǎng)路安全漏洞 網(wǎng)絡(luò)安全漏洞實(shí)際上是給不法分子以可乘之機(jī)的“通道” ,大致可分為以下 3個方面。 利用服務(wù)進(jìn)程的 bug和配置錯誤 ,任何向外提供服務(wù)的主機(jī)都有可能被攻擊。 Windows和 UNIX操作系統(tǒng)都存在許多安全漏洞 ,如 Inter蠕蟲事件就是由 UNIX的安全漏洞引發(fā)的。根據(jù) Steve Kent提出的方法 ,網(wǎng)絡(luò)安全攻擊可分為被動攻擊和主動攻擊兩大類，如下圖所示。主動攻擊是對數(shù)據(jù)流進(jìn)行破壞、篡改或產(chǎn)生一個虛假的數(shù)據(jù)流。例如破壞信息存儲硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。入侵者 竊取線路上 傳送的數(shù)據(jù)，或非法拷貝文件和程序等。例如改變文件中的數(shù)據(jù)，改變程序功能，修改網(wǎng)上傳送的報文等。 網(wǎng)絡(luò)安全破壞 網(wǎng)絡(luò)安全破壞的技術(shù)手段是多種多樣的，了解最通常的破壞手段，有利于加強(qiáng)技術(shù)防患 。 簡單說 ， 安全的目的是保證網(wǎng)絡(luò)數(shù)據(jù)的三個特性：可用性 、 完整性和機(jī)密性 。 所以 ， 建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加 、 修改 、 丟失和泄露等 。 三維安全框架體系 12 網(wǎng)絡(luò)安全的層次模型 安全服務(wù)特性 （ 1）身份認(rèn)證 身份認(rèn)證是訪問控制的基礎(chǔ)。 （ 2）訪問控制 控制不同用戶對信息資源訪問的權(quán)限，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源。 （ 4）數(shù)據(jù)的完整性 指防止數(shù)據(jù)在傳輸過程中被篡改、刪除、插入替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。 （ 6）安全審計(jì) 設(shè)置安全、可靠的審計(jì)記錄措施，便于事后的分析審計(jì)。 14 網(wǎng)絡(luò)安全的層次模型 層次模型 （ 1）物理層 在通信線路上采用電磁屏蔽技術(shù)、干擾及跳頻等技術(shù)，來防止電磁輻射造成的信息外泄，保證在線路上不被搭線偷聽，或者輕易的檢測出信息。 （ 2） 數(shù)據(jù)鏈路層 點(diǎn)對點(diǎn)的鏈路可以采用數(shù)據(jù)通信保密機(jī)制，對數(shù)據(jù)采用加密和解密，保證通信的安全。防火墻被用來處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動，它可以確定來自哪些地址的信息可以或者禁止訪問哪些目的地址的主機(jī)。這種技術(shù)對應(yīng)用透明，提供主機(jī)對主機(jī)的安全服務(wù)。 （ 4） 應(yīng)用層 針對用戶身份進(jìn)行認(rèn)證并建立起安全的通信信道。 數(shù)據(jù)加密與數(shù)字認(rèn)證 數(shù)據(jù)加密和數(shù)字簽名是網(wǎng)絡(luò)信息安全的核心技術(shù)。 數(shù)據(jù)加密和數(shù)字簽名的聯(lián)合使用，是確保信息安全的有效措施。 1 保密（ privacy）： 在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者和接收者才能理解消息的內(nèi)容。 3 完整（ integrity）： 保密與認(rèn)證只是安全通信中的兩個基本要素，還必須保持消息的完整 , 即消息在傳送過程中不發(fā)生改變。 17 加密和解密 密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分 。數(shù)據(jù)加密和解密過程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密，經(jīng)過信道傳輸 ,到信宿接收時進(jìn)行解密 ,以實(shí)現(xiàn)數(shù)據(jù)通信保密。 加 密 密鑰 報 文 解 密 原報文 加密解密模型 明文 密文傳輸 明文 信源 加密單元 解密單元 信宿 加密技術(shù) 18 密鑰體系 加密和解密是通過密鑰來實(shí)現(xiàn)的。 在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。 雙鑰密碼體制是 1976年 提出的一種新型密碼體制。在雙鑰密碼體制下 ,加密密鑰與解密密鑰是不同的 ,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。 ⑵ 多字母加密方法： 密鑰是簡短且便于記憶的詞組。轉(zhuǎn)換密碼法不是隱藏它們，而是靠重新安排字母的次序。常見的有簡單變位法、列變位法和矩陣變位法。 加密技術(shù) 20 ?現(xiàn)代加密方法 DES加密算法 DES加密算法是一種通用的現(xiàn)代加密方法 ,該標(biāo)準(zhǔn)是在 56位密鑰控制下 ,將每 64位為一個單元的明文變成 64位的密碼。 IDEA加密算法 相對于 DES的 56位密鑰，它使用 128位的密鑰，每次加密一個 64位的塊。 IDEA的特點(diǎn)是用了混亂和擴(kuò)散等操作 ,主要有三種運(yùn)算：異或、模加、模乘，并且容易用軟件和硬件來實(shí)現(xiàn)。 加密