《計算機等級考試四級-網(wǎng)絡(luò)工程師第10章網(wǎng)絡(luò)安全技》由會員分享，可在線閱讀，更多相關(guān)《計算機等級考試四級-網(wǎng)絡(luò)工程師第10章網(wǎng)絡(luò)安全技（49頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,*,*,*,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,第,10,章 網(wǎng)絡(luò)安全技術(shù),本章要點：,10.1,基本概念,10.2,數(shù)據(jù)備份,10.3,加密技術(shù),10.4,防火墻,10.5,防病毒,10.6,入侵檢測,10.1.1,信息安全威脅,1,竊聽,信息在傳輸過程中被直接或是間接地竊聽網(wǎng)絡(luò)上的特定數(shù)據(jù)包，通過對其的分析得到所需的重要信息。數(shù)據(jù)包仍然能夠到到目的結(jié)點，其數(shù)據(jù)并沒有丟失。,2,截獲,信息在傳輸過程中被非法截獲，并且目的結(jié)點并沒有收到該信息，即信息在中途丟失了。,10.1,基本概念,3,偽造,沒有任何信息從源信息結(jié)點發(fā)出，但攻擊者偽造出信息并冒

2、充源信息結(jié)點發(fā)出信息，目的結(jié)點將收到這個偽造信息。,4,篡改,信息在傳輸過程中被截獲，攻擊者修改其截獲的特定數(shù)據(jù)包，從而破壞了數(shù)據(jù)的數(shù)據(jù)的完整性，然后再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點。在目的結(jié)點的接收者看來，數(shù)據(jù)似乎是完整沒有丟失的，但其實已經(jīng)被惡意篡改過。,重點提示：,網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)，對網(wǎng)絡(luò)系統(tǒng)的硬、軟件和系統(tǒng)中的數(shù)據(jù)資源進行保護，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全且可靠的運行。網(wǎng)絡(luò)中存在的信息安全威脅有竊聽、截獲、偽造和篡改。,圖,10-1,信息安全威脅,10.1.2,網(wǎng)絡(luò)攻擊,1,服務攻擊,服務攻擊即指對網(wǎng)絡(luò)中的某些服務器進行攻擊，使其“拒絕服務”而造成網(wǎng)絡(luò)無法正常工作。

3、,2,非服務攻擊,利用協(xié)議或操作系統(tǒng)實現(xiàn)協(xié)議時的漏洞來達到攻擊的目的，它不針對于某具體的應用服務，因此非服務攻擊是一種更有效的攻擊手段。,10.1.3,網(wǎng)絡(luò)安全的基本要素,（,1,）機密性,（,2,）完整性,（,3,）可用性,（,4,）可鑒別性,（,5,）不可抵賴性,10.1.4,計算機系統(tǒng)安全等級,1,D,類,D,類的安全級別最低，保護措施最少且沒有安全功能。,2,C,類,C,類是自定義保護級，該級的安全特點是系統(tǒng)的對象可自主定義訪問權(quán)限。,C,類分為兩個級別：,C1,級與,C2,級。,（,1,）,C1,級,C1,級是自主安全保護級，它能夠?qū)崿F(xiàn)用戶與數(shù)據(jù)的分離。數(shù)據(jù)的保護是以用戶組為單位的，

4、并實現(xiàn)對數(shù)據(jù)進行自主存取控實現(xiàn)制。,（,2,）,C2,級,C2,級是受控訪問級，該級可以通過登錄規(guī)程、審計安全性相關(guān)事件來隔離資源。,3,B,類,B,類是強制式安全保護類，它的特點在于由系統(tǒng)強制實現(xiàn)安全保護，因此用戶不能分配權(quán)限，只能通過管理員對用戶進行權(quán)限的分配。,（,1,）,B1,級,B1,級是標記安全保護級。該級對系統(tǒng)數(shù)據(jù)進行標記，并對標記的主客體實行強制存取控制。,（,2,）,B2,級,B2,級是結(jié)構(gòu)化安全保護級。該級建立形式化的安全策略模型，同時對系統(tǒng)內(nèi)的所有主體和客體，都實現(xiàn)強制訪問和自主訪問控制。,（,3,）,B3,級,B3,級是安全級，它能夠?qū)崿F(xiàn)訪問監(jiān)控器的要求，訪問監(jiān)控器是指

5、監(jiān)控器的主體和客體之間授權(quán)訪問關(guān)系的部件。該級還支持安全管理員職能、擴充審計機制、當發(fā)生與安全相關(guān)的事件時將發(fā)出信號、同時可以提供系統(tǒng)恢復過程。,4,A,類,A,類是可驗證的保護級。它只有一個等級即,A1,級。,A1,級的功能與,B3,幾乎是相同的，但是,A1,級的特點在于它的系統(tǒng)擁有正式的分析和數(shù)學方法，它可以完全證明一個系統(tǒng)的安全策略和安全規(guī)格的完整性與一致性。同時，,A1,級還規(guī)定了將完全計算機系統(tǒng)運送到現(xiàn)場安裝所遵守的程序。,10.1.4,網(wǎng)絡(luò)安全模型,1,基本模型,在網(wǎng)絡(luò)信息傳輸中，為了保證信息傳輸?shù)陌踩?，一般需要一個值得信任的第三方，負責向源結(jié)點和目的結(jié)點進行秘密信息分發(fā)，同時在

6、雙方發(fā)生爭執(zhí)時，也要起到仲裁的作用。在基本的安全模型中，通信的雙方在進行信息傳輸前，先建立起一條邏輯通道，并提供安全的機制和服務，來實現(xiàn)在開放網(wǎng)絡(luò)環(huán)境中信息的安全傳輸。,（,1,）從源結(jié)點發(fā)出的信息，使用如信息加密等加密技術(shù)對其進行安全的轉(zhuǎn)，從而實現(xiàn)該信息的保密性，同時也可以在該信息中附加一些特征的信息，作為源結(jié)點的身份驗證。,（,2,）源結(jié)點與目的結(jié)點應該共享如加密密鑰這樣的保密信息，這些信息除了發(fā)送雙方和可信任的第三方以外，對其他用戶都是保密的。,圖,10-2,網(wǎng)絡(luò)安全基本模型,2,P2DR,模型,（,1,）安全策略（,Policy,）,安全策略是模型中的防護、檢測和響應等部分實施的依據(jù)，

7、一個安全策略體系的建立包括策略的制定、評估與執(zhí)行。,（,2,）防護（,Protection,）,防護技術(shù)包括：防火墻、操作系統(tǒng)身份認證、數(shù)據(jù)加密、訪問控制、授權(quán)、虛擬專用網(wǎng)技術(shù)和數(shù)據(jù)備份等，它對系統(tǒng)可能出現(xiàn)的安全問題采取預防措施。,（,3,）檢測（,Detection,）,檢測功能使用漏洞評估、入侵檢測等系統(tǒng)檢測技術(shù)，當攻擊者穿透防護系統(tǒng)時，發(fā)揮功用。,（,4,）響應（,Response,）,響應包括緊急響應和恢復處理，而恢復又包括系統(tǒng)恢復和信息恢復，響應系統(tǒng)在檢測出入侵時，開始事件處理的工作。,圖,10-3 P2DR,模型,重點提示：,網(wǎng)絡(luò)安全的基本要素包括：保密性、完整性、可用性、可鑒別性

8、和不可抵賴性。美國國防部和國家標準局將計算機系統(tǒng)安全等級分為,A,、,B,、,C,、,D,這,4,類，共有,7,級。網(wǎng)絡(luò)基本安全模型要求通信的雙方在進行信息傳輸前，先建立起一條邏輯通道，并提供安全的機制和服務并且有一個可供信任的第三方進行扮演仲裁者和秘密信息發(fā)布者的角色。,10.2,數(shù)據(jù)備份,10.2.1,數(shù)據(jù)備份模型,1,物理備份,物理備份是將磁盤塊的數(shù)據(jù)從拷貝到備份介質(zhì)上的備份過程，它忽略了文件和結(jié)構(gòu)，它也被稱為“基于塊的備份”和“基于設(shè)備的備份”。,2,邏輯備份,邏輯備份順序地讀取每個文件的物理塊，并連續(xù)地將文件寫在備份介質(zhì)上，實現(xiàn)每個文件的恢復，因此，邏輯備份也被稱為“基于文件的備份”

9、。,10.2.2,冷備份與熱備分,1,冷備份,冷備份是指“不在線”的備份，當進行冷備份操作時，將不允許來自用戶與應用對數(shù)據(jù)的更新。,2,熱備份,熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到令一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放。,重點提示：,數(shù)據(jù)備份是為了盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。數(shù)據(jù)備份模型分為：物理備份和邏輯備份。,10.2.3,數(shù)據(jù)備分的設(shè)備,1,磁盤陣列,2,磁帶機,3,磁帶庫,4,光盤塔,5,光盤庫,6,光盤鏡像服務器,10.2.4,數(shù)據(jù)備份的策略,1,完全備份,完全備份即是將用戶指定的數(shù)據(jù)甚至是整個系統(tǒng)

10、的數(shù)據(jù)進行完全的備份。,2,增量備份,增量備份是針對完全備份，在進行增量備份，只有那些在上次完全或者增量備份后被修改了的文件才會被備份。,3,差異備份,差異備份是將最近一次完全備份后產(chǎn)生的所有數(shù)據(jù)更新進行備份。差異備份將完全恢復時所涉及到的備份文件數(shù)量限制為,2,個。,表,10-1,三種備份策略的比較,空間使用,備份速度,恢復速度,完全備份,最多,最慢,最快,增量備份,最少,最快,最慢,差異備份,少于完全備份,快于完全備份,快于增量備份,重點提示：,數(shù)據(jù)備份的策略是用來解決何時備份、備份何種數(shù)據(jù)以及用何種方式恢復故障的問題。它可以分為：完全備份、增量備份和差異備份。其中完全備份使用的空間最多，

11、備份速度最慢，恢復程度最快；增量備份使用空間最小，備份速度最快，恢復速率最慢；差異備份摒除了前兩種備份方式的缺點，吸收了它們的優(yōu)點。,10.3,加密技術(shù),10.3.1,加密與解密,1,基本流程,A,發(fā)送消息“,Password is welcome”,這樣的報文給,B,，但不希望有第三個人知道這個報文的內(nèi)容，因此他使用一定的加密算法，將該報文轉(zhuǎn)換為別人無法識別的密文，這個密文即使在傳輸?shù)倪^程中被截獲，一般人也無法解密。當,B,收到該密文后，使用共同協(xié)商的解密算法與密鑰，則將該密文轉(zhuǎn)化為原來的報文內(nèi)容。,圖,10-4,加密與解密的流程,密鑰位數(shù),嘗試個數(shù),密鑰位數(shù),嘗試個數(shù),40,112,56,

12、128,64,表,10-2,密鑰位數(shù)與嘗試密鑰的個數(shù),2,密鑰,加密與解密的操作過程都是在一組密鑰的控下進行的，這個密鑰可以作為加密算法中可變參數(shù)，它的改變可以改變明文與密文之間的數(shù)學函數(shù)關(guān)系。,10.3.2,對稱密鑰技術(shù),1,工作原理,對稱密鑰技術(shù)即是指加密技術(shù)的加密密鑰與解密密鑰是相同的，或者是有些不同，但同其中一個可以很容易地推導出另一個。,圖,10-5,對稱密鑰技術(shù),2,常用對稱密鑰技術(shù),常用的對稱密鑰算法有,DES,算法與,IDES,算法。,（,1,）,DES,算法,DES,算法是一種迭代的分組密碼，它的輸入與輸出都是,64,，包括一個,56,位的密鑰和附加的,8,位奇偶校驗位。,（

13、,2,）,IDEA,算法,IDEA,算法的明文與密文都是,64,位的，密鑰的長度為,128,位，它是比,DEA,算法更有效的算法。,10.3.3,非對稱密鑰技術(shù),1,工作原理,不可能從任何一個密鑰推導出另一個密鑰。同時加密密鑰為公鑰是可以公開的，而解密密鑰為私鑰是保密的。在此，非對稱密鑰技術(shù)也被稱為公鑰加密加技術(shù)。,圖,10-6,非對稱密鑰技術(shù),2,常用非對稱密鑰技術(shù),常用的非對稱密鑰算法包括,RSA,算法、,DSA,算法、,PKCS,算法與,PGP,算法。其中最常見的技術(shù)即為,RSA,算法，它的理論基礎(chǔ)是數(shù)論中大素數(shù)分解，它的保密性隨著密鑰的長度的增加而增強。但是，現(xiàn)在使用這種算法來加密大量

14、的數(shù)據(jù)，其實現(xiàn)的速度太慢了，因此該算法現(xiàn)在廣泛應用于密鑰的分發(fā)。,重點提示：,加密的基本思想即是將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是將密文轉(zhuǎn)變?yōu)槊魑模@樣保證了信息傳輸?shù)谋Ｃ苄?。密鑰是加重密算法中的可變參數(shù)，密鑰的位數(shù)長度決定了加密算法的安全性。傳統(tǒng)的密碼體制包括對稱密碼體制和非對稱密碼體制。,10.4,防火墻,10.4.1,防火墻的基本概念,（,1,）所有的從外部到內(nèi)部的通信都必須經(jīng)過它。,（,2,）只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。,（,3,）系統(tǒng)本身具有很強的高可靠性。,圖,10-7,防火墻的安裝位置,10.4.2,防火墻的基本類型,1,包過濾路由器,圖,10-8,包過濾路由器的工作原

15、理,2,應用網(wǎng)關(guān),圖,10-9,應用網(wǎng)關(guān)的工作原理,3,應用代理,圖,10-10,應用代理的工作原,理,4,狀態(tài)檢測,狀態(tài)檢測能通過狀態(tài)檢測技術(shù)，動態(tài)地維護各個連接的協(xié)議狀態(tài)。,重點提示：,防火墻在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護網(wǎng)絡(luò)系統(tǒng)，防火墻包括硬件和軟件兩部分。防火墻根據(jù)其實現(xiàn)技術(shù)可以分為：包過濾路由器、應用網(wǎng)關(guān)、應用代理和狀態(tài)檢測,4,類。,10.4.3,防火墻的結(jié)構(gòu),1,包過濾型結(jié)構(gòu),包過濾型結(jié)構(gòu)是通過專用的包過濾路由器或是安裝了包過濾功能的普通路器來實現(xiàn)的。包過濾型結(jié)構(gòu)對進出內(nèi)部網(wǎng)絡(luò)的所有信息進行分析，按照一定的安全策略對這些信息進行分析與限制。,2,雙宿網(wǎng)關(guān)結(jié)構(gòu),連接了兩個網(wǎng)絡(luò)的多

16、宿主機稱為雙宿主機。多宿主機是具有多個網(wǎng)絡(luò)接口卡的主機，每個接口都可以和一個網(wǎng)絡(luò)連接，因為它能在不同的網(wǎng)絡(luò)之間進行數(shù)據(jù)交換換，因此也稱為網(wǎng)關(guān)。雙宿網(wǎng)關(guān)結(jié)構(gòu)即是一臺裝有兩塊網(wǎng)卡的主機作為防火墻，將外部網(wǎng)絡(luò)與同部網(wǎng)絡(luò)實現(xiàn)物理上的隔開。,圖,10-11,雙宿網(wǎng)關(guān)結(jié)構(gòu),3,屏蔽主機結(jié)構(gòu),屏蔽主機結(jié)構(gòu)將所有的外部主機強制與一個堡壘主機相連，從而不允許它們直接與內(nèi)部網(wǎng)絡(luò)的主機相連，因此屏撇主機結(jié)構(gòu)是由包過濾路由器和堡壘主機組成的。,4,屏蔽子網(wǎng)結(jié)構(gòu),屏蔽子網(wǎng)結(jié)構(gòu)使用了兩個屏蔽路由器和兩個堡壘主機。在該系統(tǒng)中，從外部包過濾由器開始的部分是由網(wǎng)絡(luò)系統(tǒng)所屬的單位組建的，屬于內(nèi)部網(wǎng)絡(luò)，也稱為“,DMZ,網(wǎng)絡(luò)”。外部包過濾路由器與外部堡壘主機構(gòu)成了防火墻的過濾子網(wǎng)；內(nèi)部包過濾路由器和內(nèi)部堡壘主機則用于對內(nèi)部網(wǎng)絡(luò)進行進一步的保護。,圖,10-12,包過濾路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)過程,圖,10-13,屏蔽子網(wǎng)結(jié)構(gòu)示意圖,10.4.4,防火墻的安裝與配置,1,防火墻的網(wǎng)絡(luò)接口,（,1,）內(nèi)網(wǎng),內(nèi)網(wǎng)一般包括企業(yè)的內(nèi)部網(wǎng)絡(luò)或是內(nèi)部網(wǎng)絡(luò)的一部分。,（,2,）外網(wǎng),外網(wǎng)指的是非企業(yè)內(nèi)部的網(wǎng)絡(luò)或是,Internet,，內(nèi)網(wǎng)與外網(wǎng)