9.计算机网络安全
概论
- 计算机网络安全 是一门涉及计算机科学、通信技术、密码技术、应用数学和信息论等多门类只是的综合性学科。
- 计算机网络系统威胁(对应关系)
- 窃听:网络中传输的敏感信息被非法获取。
- 重传:攻击者事先获得部分或全部信息,然后将此信息发送给接收者。
- 伪造:攻击者将伪造的信息发送给接收者。
- 篡改:攻击者对合法用户之间的通信信息进行修改或删除后再发送给接收者。
- 非授权访问:通过假冒、身份攻击和系统漏洞等手段,获取系统访问权。
- 拒绝服务攻击:攻击者通过某种方法使系统响应減慢甚至瘫痪阻止合法用户获取服务。
- 行为否认:通信实体否认已经发生的行为。
- 电磁截获:攻击者从电子或机电设备所发出的电磁波信号中获取信息。
- 人员疏忽:授权的用户为了利益或者粗心将信息泄露给非授权人。
- 恶意程序的威胁
- 恶意程序又称恶意代码,指以危害信息安全等不良意图为目的的程序,它们一般潜伏在受害计算机系统中实施破坏或窃取信息。
- 包括计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹
- 网络安全是指利用管理控制和技术措施,保证在计算机网络环境中,数据信息的 机密性、完整性 和 可用性 受到保护。
- 计算机网络安全的基本目标
- 计算机网络安全的层级:物理安全、逻辑安全、操作系统安全、联网安全
- 计算机网络安全的主要技术:加密技术、鉴别技术、防火墙技术、访问控制技术、防病毒技术、监控审计技术、备份技术
- 常见计算机网络安全措施
- 物理隔离
- 逻辑隔离
- 通信加密
- 采用专用网或虚拟专用网
- 病毒防御
- 身份认证
- 网络管理和审计
信息加密技术
- 信息加密 是利用密码学的原理和方法对数据传输提供保护的手段。
- 密码体制分类:
- 对称密钥密码体制,又称为单秘钥密码体制,加密和解密使用相同的密码,如DES,IDEA;分配可以使用 Kerberos 对称密钥分配协议
- 非对称密钥密码体制,又称为双秘钥密码体制,如RSA;分配可以使用PKI公钥基础设施
- 信息加密方式:
- 链路加密:对于网络中两个相邻节点之间传输的数据进行加密保护,明文在某个节点进行加密,以密文形式传输到相邻节点,该节点解密,再用新的密钥加密;各个节点上信息是明文
- 节点加密:链路加密 的改进,在网络节点采用不同的密钥对明文进行加密保存
- 端到端加密:在信息的源点进行加密,在信息的重点进行解密
Internet 中的安全协议
- 常见安全协议:
- Internet 安全协议 IPsec
- 安全套接字层协议 SSL
- 传输层安全协议 TLS
- IPsec 由 IEFT 设计,工作在网络层
- IPSec 的主要功能是对IP数据报进行加密,并且确保目的站点收到IP数据报时能确信是从该IP数据报的源IP地址主机发送过来的。
- 安全控制协议:AH、ESP
- 鉴别首部
AH, 提供源站点的鉴别和数据完整性服务,但是不能加密,利用报文摘要对IP数据包进行验证
- 封装安全有效载荷协议
ESP,可以提供加密
- 两种工作模式:传输模式(保护IP数据包的上层协议数据)、隧道模式(对整个IP数据包进行保护)
- 端到端的安全性问题一般有SSL和TLS来解决
- 数字签名的目的是 ____
- 数字签名的功能
SSL/TLS
防火墙技术
- 基本思想:将内部网络和外部网络进行有目的的隔离和控制,保护内部网络不受外部网络的攻击。
- 防火墙技术分类:
- 包过滤技术:所保存的 过滤逻辑集合 称为 访问控制列表 ACL
- 代理服务技术: 分为应用层网关防火墙和电路层网关防火墙;应用层网关防火墙优点是安全性能比较高,缺点是较慢且对用户不透明
- 状态监测技术:基本思想是在连接内网和外网的网关处设置一个执行网络安全策略的专门软件,称之为 检测引擎
- NAT技术:是能够将内部私有IP转换成合法的公用IP地址,从而使得网络内部使用私有IP地址的用户能够访问Internet的一种及时
计算机病毒与恶意代码的防范
- 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计 算机指令或程序代码。
- 网络蠕虫 是一种可以自我复制的完全独立的程序,其传播过程不需要借助被感染主机中的其他程序,无需人工干预即可运行
- 个人计算机防范方式:安装和使用杀毒软件
保障网络安全的非技术手段
- 养成良好的网络操作系统使用习惯:
- 及时进行数据备份