第九章计算机网络安全(完结撒花)
计算机网络安全
一. 安全概论
1. 网络面临的威胁
实体面临的威胁
计算机设备和网络设备的损坏,都会影响运行
计算机设备
- 工作站
- 服务器
- …
网络设备
交换机
路由器
…
系统面临的威胁
网络本身存在缺陷,某些用户有意或无意对某个网络系统进行入侵,攻击,窃取等非法和破坏性操作
窃听
- 网络中传输的敏感信息被非法获取
重传
- 攻击者实现获得部分或全部信息,然后将此信息发给接收者
伪造
- 攻击者将伪造的信息发送给接收者
篡改
- 将通信信息进行修改或者删除后发给接收者
非授权访问
- 通过假冒,身份攻击,系统漏洞等手段,获取系统访问权,使非法用户进入网络系统读取,删除,修改或插入信息
拒绝服务攻击
- 使用某种方法使系统响应减慢甚至瘫痪,阻止合法用户获取服务
行为否认
- 通信实体否认已经发生的行为
电磁截获
- 攻击者从电子或机电设备所发出的电磁波信号获取信息
人员疏忽
- 授权的用户为了利益或者粗心将信息泄露
恶意程序的威胁
- 恶意程序又称为恶意代码,指以危害信息安全等不良意图为目的的程序,一般潜伏在计算机系统中实施破坏或窃取信息
- 恶意程序包括
- 计算机病毒
- 网络蠕虫
- 特洛伊木马
- 逻辑炸弹
- 恶意程序具有的性质
- 潜伏性
- 传染性
- 依附性
2. 网络安全的基本概念
- 网络安全是一门涉及计算机科学,通信技术,密码技术,应用数学和信息论等多门类知识的综合性学科
- 网络安全是指利用管理控制和技术措施,保证计算机网络环境中,数据信息的机密性,完整性和可用性受到保护
3. 网络安全的目标
- 机密性
- 网络中的保密信息只能供经过允许的人员以允许的方式使用,使信息不泄露给非授权用户
- 完整性
- 网络中信息准确有效,在存储和传输中不会被修改,破坏或丢弃
- 可用性
- 网络的资源和数据在需要时可以方便地获取,不受系统故障等影响
- 保障可用性主要通过提供备份,提升设备冗余和进行访问控制来实现
- 不可抵赖性
- 防止通信的实体在发生通信行为后否认其通信行为
- 可控性
- 网络的管理者对网络系统本身和所传播信息的范围及内容具有控制能力
- 保证网络使用和信息传播遵守法律法规
4. 网络安全的层次及内容
物理安全
- 对网络设备和设施进行安全防护
- 环境事故,人为破坏等
- 制定科学的安全制度和策略
逻辑安全
- 对计算机系统的操作,在逻辑上设计和制定行为规则时,要考虑安全因素
操作系统安全
- 操作系统安全包括用户权限控制和安全漏洞修复
联网安全
- 通过设置访问控制策略
- 保护计算机和网络资源不受非授权用户的使用
- 通过加密,解密,纠错等技术保证数据在通信过程中的机密性,完整性,不可抵赖性
5. 网络安全的主要技术
- 加密技术
- 将明文利用密钥通过加密算法变成密文
- 通过解密算法恢复成明文
- 鉴别技术
- 对网络中的不确定因素进行判断和识别
- 从而进行防范
- 防火墙技术
- 限制被保护的内部网络域外部网络之间进行的信息交互
- 访问控制技术
- 管理者对网络中的用户赋予不同的权限
- 防病毒技术
- 对计算机病毒进行预防,监测,消除
- 监控审计技术
- 对用户使用计算机的各种活动进行监测
- 备份技术
- 防止网络破坏,对数据进行有效备份
6. 常用的网络安全措施
- 物理隔离
- 彻底去除与外部网络的线路连接
- 逻辑隔离
- 在逻辑上对某些业务或应用进行控制阻隔
- 主要方法是防火墙
- 加密通信
- 对信息进行加密解密的手段
- 采用专用网或虚拟专用网
- 专用网是租用电信公司的通信线路专门为某个组织提供访问
- 优点
- 安全程度高
- 缺点
- 价格昂贵
- 优点
- 虚拟专用网是使用IP隧道技术实现数据业务独享通信线路
- 保障一定安全性的基础上费用比较少
- 专用网是租用电信公司的通信线路专门为某个组织提供访问
- 病毒防御
- 安装防病毒软件,技术更新病毒库
- 身份认证
- 根据身份的不同,授予相应的使用权限
- 网络管理和审计
- 对网络行为和网络用户进行全面的管理和审计
二. 信息加密技术
1. 信息加密的概念
- 信息加密是计算机网络安全中一项重要的技术,是利用密码学原理和方法对数据传输提供保护的手段
信息加密的要求是要满足
P=Dk(Ek(P))P=Dk(Ek(P)) P=Dk(Ek(P))
即用加密算法得到的密文一定有解密算法复原
2. 密码体制的分类
对称密钥密码体制
又称为单密钥密码体制
是指加密与解密的密钥相同
加密和解密算法是公开的
典型代表
DES
IDEA
非对称密钥密码体制
- 双密钥密码体制
- 加密与解密密钥不同且不能互相推导
- 每次都生成一对不同的密钥
- 公钥
- 加密密钥
- 公开的
- 简化了密钥的传输和管理
- 私钥
- 解密密钥
- 保密的
- 公钥
- 加密和解密算法公开
- 典型代表
- RSA
3. 密钥的分配
对称密钥的分配
- Kerberos 对称密钥分配协议
- KDC分配的过程
- 用户A向用户B进行加密通信
- 首先向KDC服务器用明文发送数据
- 发送的明文中包含A和B在KDC所登记的身份
- KDC服务器收到后,产生一个密钥Kab
- 将Kab和一个票据数据段打包,用A的主密钥加密发给A
- A收到返回的数据后,将票据转发给B
- B收到后,用自己的主密钥进行解密
非对称密钥的分配
- PKI公钥基础结构
- 基本思想
- 一个公钥作为加密密钥
- 一个私钥作为用户专有的解密密钥
- 通信双方不需要在网络中传递私钥
- 使用范围
- 电子商务
- 网上银行
- …
- 遵循的标准是ITU-T所制定的X.509协议
- 认证中心CA
- 为了使网络中的所有用户都能知道其他用户的真实公钥
- 必须在网络中设置一个可信任的权威机构
4. 信息加密的方式
链路加密
对于网络中两个相邻结点之间传输的数据进行加密保护
特点
- 不适用于广播网络
- 通信子网没有明确的链路存在
- 增加了密钥管理和分配的复杂度
- 不适用于广播网络
结点加密
在网络结点采用不同的密钥对明文进行加密保存
特点
- 结点中不出现明文信息
端到端加密
- 在信息的源点进行加密,在信息的终点进行解密
- 特点
- 价格便宜
- 管理维护方便
- 数据报文中的源地址等信息不能加密
- 使攻击者很容易进行网络业务的分析
5. 数字签名
在计算机网络中传送的文件数据要证明其真实性,需要用到数字签名技术
必须实现以下三个功能
- 接收方可以验证发送方所宣称的身份
- 发送方在发出数据后不能进行否认
- 接收方不可能自己编造信息
实现数字签名的方法
- 对称密钥签名
- 基本思想
- 在网络中建立一个可信任的权威机构S
- 每一个用户选择一个保密的密钥
- 作为和S进行加密通信的对称密钥
- 基本思想
- 公钥签名
- 只能对报文进行签名
- 不能进行加密
- 对称密钥签名
6. 鉴别技术
- 报文鉴别
- 接收者在收到数据报文后,能确认该报文没有经过他人修改且由发送者发送的
- 典型报文鉴别方法
- 报文摘要(MD)
- 发送方A进行数字签名得到报文鉴别码发送给B
- B收到后,经过一系列运算,跟原来的摘要进行比较
- 报文摘要(MD)
- 报文摘要算法的原理
- 利用单向哈希函数将任意长度的输入报文经过计算得出固定位数的输出
- 单向
- 是指算法不可逆
- 常见的报文摘要算法
- MD5算法
- 128位的报文摘要
- SHA安全散列算法
- 160位的报文摘要
- MD5算法
三. Internet中的安全协议
1. IPsec协议
IPsec是由IETF设计的,工作在网络层的安全通信机制
IPsec包含多个协议
对IP数据报进行加密
在目的站点收到时,确认该数据是从源IP地址主机发送的
安全关联SA
在源主机于目的主机之间建立一条网络层的逻辑连接
将面向无连接的Internet网络层变成面向连接的
单工连接
工作模式
传输模式
- 保护IP数据报的上层协议数据
隧道模式
- 对整个IP数据报进行保护
IPsec体系设置了两种安全控制机制
鉴别首部协议AH
提供源站点的鉴别和数据完整性服务,不能进行数据加密
AH协议要利用报文摘要对IP数据报进行验证
使得对IP数据报的篡改可以被监测出来
下一个首部
- 8个字节,标志下一个首部的类型(TCP/UDP)
有效载荷长度
- 鉴别数据长度
安全参数索引
- 标识安全关联SA
序列号
- 对一个SA发送所有分组进行编号
报文鉴别码MAC
包含了数据签名的报文摘要
鉴别源主机和监测IP数据报的完整性
插入AH首部的可鉴别IP数据报
在传输模式下应用AH
- 传输过程中,路由器不看AH首部的内容
隧道模式下应用AH
- 将所保护的数据报完全封装
- 在AH头之前添加一个新的IP首部
封装安全 有效载荷协议ESP
提供源站点鉴别和数据完整性验证,数据加密服务
SPI和序列号构成ESP首部
填充,填充长度,下一个首部构成ESP的尾部
载荷数据
- 需要ESP加密的数据
ESP进行鉴别和加密工作过程
- 将ESP尾部添加到IP数据报后面,对有效载荷和ESP尾部进行加密
- 在已经加密的报文部分前面添加ESP首部
- 按照SA指明的鉴别算法和密钥,对ESP首部,有效载荷和ESP尾部一起进行报文摘要运算,生成报文鉴别码MAC,并将MAC添加在ESP尾部后面
原始IP数据报
工作在传输模式
- 保护IP数据报的载荷
工作在隧道模式
- 保护整个IP数据报
2. 安全套接字层SSL / 传输层安全协议TLS
安全套接字层协议SSL是网景公司提出的
用于万维网的安全传输协议
作用在应用层HTTP和传输层之间
在TCP上建立一个安全通道,为应用层数据提供保障
SSL/TLS的安全目标
认证性
- 借助数字证书认证服务器端和客户端身份
- 防止身份伪造
机密性
- 借助加密技术,防止第三方窃听
完整性
- 借助消息认证码(MAC)保障数据完整性
- 防止被篡改
重放保护
- 通过使用隐式序列号防止重放攻击
当使用了SSL/TSL 协议时
对HTTP报文进行加密传输
浏览器地址栏输入的http将变成https
表示使用的是http security
SSL/TSL基本思想
- 采用公钥加密方法
- 客户端先向服务器索要公钥
- 然后用公钥加密信息
- 服务器收到后,用自己的私钥解密
访问万维网的基本过程
- 首先浏览器向服务器发出请求,询问对方支持的算法,服务器做出回应
- 浏览器选择好算法,并请求服务器出示证书,服务器回应
- 浏览器生成用于本次会话的密钥,使用证书中附带的公钥加密发送给服务器,服务器为本次会话保持该对称加密密钥
- 浏览器将HTTP请求信息加密发给服务器
四. 防火墙技术
1. 防火墙的基本概念
基本思想
防火墙技术是应用最广泛的网络安全技术
将内部网络和外部网络进行有目的隔离和控制
保护内部网络不受外部网络的攻击
防火墙位于主机与外部网络之间
- 执行访问控制策略的一组系统,包括软件和硬件
- 通过监测和控制网络之间信息交换和访问行为来实现管理
基本防护功能
- 过滤进出网络的数据
- 管理进出网络的行为
- 记录进出网络的信息和动作
- …
2. 防火墙的分类
包过滤技术
基本思想
- 对IP数据报进行检测,根据源地址,目的地址等信息
- 确定是否允许某个IP数据报通过
- 通过访问控制列表ACL,对IP数据包进行过滤
优点
- 逻辑简单
- 价格便宜
- 易于安装和使用
缺点
基于源IP地址和目的IP地址的
IP地址容易被假冒,造成过滤失效
安全防护性比较差
代理服务技术
基本思想
- 代表客户端处理连接请求的某种程序
- 在内网和外网之间发挥中间转换和隔离的作用
优点
- 安全性能比较高
缺点
处理速度比较慢
需要用户在客户端进行相应安装和配置
状态检测技术
基本思想
- 在连接内网和外网的网关处设置一个检测引擎
- 采用抽取通过的数据的方法对网络通信的各个层次进行检测
- 并且将抽取的状态信息动态的保存起来,作为执行安全策略的参考
与包过滤的不同之处
包过滤只针对某个独立的数据报进行检测
状态检测技术将属于同一连接的数据报作为一个整体看待
具有更好的灵活性和安全性
NAT技术
- 基本思想
- 使外网中的入侵者不能通过指定IP地址的方式
- 对内网中任何一台特定计算机发起攻击
- 优点
- 提高内部网络的安全性
- 基本思想
3. 个人防火墙
一个完整的个人防火墙产品,应该包含以下功能
IP数据报过滤功能
安全规则的设定
对网络攻击的拦截
网络访问控制功能
日志记录功能
网络快速切断/恢复
更新升级
个人防火墙的优点
- 安装简单
- 价格便宜
五. 计算机病毒与恶意代码的防范
1. 计算机病毒
- 在计算机程序中插入破坏计算机功能或者毁坏数据
- 影响计算机使用,并能自我复制的一组指令或程序代码
- 传播途径
- 数据和软件的下载
- 电子邮件的附件打开
- 移动设备交叉使用
- 病毒防范
- 安装和使用杀毒软件
2. 木马
- 特洛伊木马
- 一组具有恶意的代码,将自身伪装成正常软件
- 计算机被植入木马后,黑客可以远程控制计算机进行控制和信息窃取
3. 网络蠕虫
- 可以自我复制的程序
- 传播过程中不需要借助被感染主机中的其他程序
- 网络蠕虫通常利用系统中的安全漏洞和设置缺陷
- 进行自动传播
4. 杀毒软件的基本工作原理
- 软件设计者分析各种病毒程序,从中提取特征代码形成病毒特征数据库
- 作为查找病毒的依据
- 用户安装后,对系统中的文件与病毒特征代码进行比较
- 从而发现并请求感染病毒的文件
- 病毒不断更新变换,杀毒软件也要更新
六. 保障网络安全的非技术手段
1. 良好的网络操作使用习惯
及时安装系统补丁
利用系统自带的更新程序自带查找和安装补丁
利用第三方软件检测和下载补丁
及时进行数据备份
- 本地备份
- 在本地计算机的硬盘特定区域备份
- 异地备份
- 将数据备份到U盘,光盘等
- 本地备份
2. 学习并遵守法律法规
与公民直接相关的法律法规
《计算机软件保护条例》《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统保密管理暂行规定》…
必须遵守的法律法规
- 遵守《中华人民共和国计算机信息系统安全保护条例》,禁止侵犯计算机软件著作权
- 任何组织或个人不得利用计算机从事危害国家利益,集体利益,人民合法利益的活动
- 不得制作,查阅,复制和传播妨碍社会治安的信息
- 任何组织或个人,不得制造和传播计算机病毒
- 不得在网上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私
第九章计算机网络安全(完结撒花)相关推荐
- Mysql完结汇总篇(18万字送给你),完结撒花
hello大家好,我是黎杜,上一篇写了关于Mysql的日志篇,有兴趣的可以看一看,距离上一次的写完了JVM的调优所有部分:如何啃下JVM这座大山,完结撒花(完结篇),这些词也写完了关于Mysql的所有 ...
- 产品经理基础-10运营平台端产品设计(完结~撒花~)
10运营平台端产品设计 文章目录 10运营平台端产品设计 一. 运营平台端产品功能规划 二.平台端用户管理产品设计 1.用户列表 2.用户审核 三.平台端内容管理产品设计 1.内容审核 2.分类管理 ...
- 【那啥 完结撒花】tas平台“例子”中的模板整理(上)
完结,撒花 以后的和平时作业就没啥关系了 我 不 想 写 实 验 报 告. . . . . . 整理(看一眼)老师tas平台上模板 #include <iostream> using na ...
- 【互联网及其应用】第7章计算机网络安全及管理技术
一.计算机网络安全 计算机网络安全是指通过采取各种技术和管理措施,确保网络数据的可用性.完整性和保密性,其目的是确保经过网络传输和交换的数据不会发生增加.修改.丢失和泄露等. 1.1 网络系统安全介绍 ...
- 《操作系统真象还原》第十五章 ---- 实现系统交互 操作系统最终章 四十五天的不易与坚持终完结撒花 (下)(遗憾告终)
文章目录 专栏博客链接 相关查阅博客链接 本书中错误勘误 部分缩写熟知 实现exec的思路与启发 遗憾告终 专栏博客链接 <操作系统真象还原>从零开始自制操作系统 全章节博客链接 相关查阅 ...
- 《操作系统真象还原》第十五章 ---- 实现系统交互 操作系统最终章 四十五天的不易与坚持终完结撒花(上)
文章目录 专栏博客链接 相关查阅博客链接 本书中错误勘误 闲聊时刻 实现fork 实现fork的介绍 实现fork的原理 编写完的thread.c(fork_pid) 编写完的thread.h(str ...
- 网络流专题(完结撒花)
题目及链接地址 TOJ4085: Drainage Ditcheshttp://210.32.82.1/acmhome/showstatus.do?&page=1&problemId= ...
- 信息处理技术员知识点总结(错题记录)——考试通过,完结撒花
1.随着社会信息化程度的提高,信息产品和服务的价格逐级下降,信息消费在总消费额中的比重逐渐上升. 2.为了增加企业竞争力,除了进行联机事务处理外,还需要对数据进行联机分析处理. 3.信息加工后就要进行 ...
- 秃头整理:TCP/IP 详解卷一 笔记--完结撒花
目录 数据链路层 以太网和IEEE 802封装 环回口/loopback 最大传输单元 MTU 路径MTU 几个基本概念 ip 协议 路由选择 ARP和RARP(地址解析) ARP 地址解析协议 RA ...
最新文章
- 《数据科学家养成手册》--第四章---数据科学的使命
- 自动化运维工具之puppet简单实用
- 关于VMware Linux 虚拟机忘记root 密码找回
- 计算机科学与技术专业改革,浅析计算机科学与技术专业教学改革
- 如何用java更改网页图片,java如何修改文档第一页为不同的页面
- kernel编译设置分区等功能
- ZeroMQ设置超时等待
- android选择图片,通过uri获取路径
- win7卡在正在启动windows界面_Windows系统电脑卡在开机界面进不去系统解决方法
- c语言扔球第一次弹10米,c语言滚动字幕代码
- 5G来了,普通人看热闹,程序员看颠覆
- FAT32文件系统介绍
- IEC62304-2006解读
- 绩效考核如何尽量公正
- Linux_29_Linux-Vsftpd
- 段码超低功耗LCD液晶显示驱动芯片(IC)-VKL系列-VKL128/060/076/144A/144B,VKL144A兼容MCP144
- Vue3+Quasar实现ins风格图片墙
- 主板上集成显卡的计算机在进行显示工作,如何在主板集成显卡和独立显卡之间切换?计算机技术...
- go源码库学习之strings库
- 带搜索功能的GridView控件