9第九章-网络安全基础.ppt

第九章 网络安全基础 目录 7.1 计算机信息安全和网络安全 7.2 加密技术 7.3 网络系统的安全技术和安全策略 7.4 网络管理基础 7.5 习题 7.1 计算机信息安全和网络安全 7.1.1 计算机系统信息安全的概念 7.1.2 网络安全的概念 7.1.3 网络安全措施 7.1.4 被动和主动网络安全策略 7.1 计算机信息安全和网络安全 7．1．1 计算机系统信息安全的概念 包括计算机网络在内的计算机系统的安全性是指为计算机系统建立和采取各种安全保护措施，以保护计算机系统中的硬件、软件和数据，防止由于偶然或恶意的原因使系统遭到破坏，数据受到更改或泄漏等。 计算机系统的安全涉及面很广。它不仅涉及到计算机系统本身的技术问题、管理问题，而且涉及到法学、犯罪学和心理学等学科。其内容包括了安全理论与策略；计算机安全技术；安全管理、安全评价、安全产品以及计算机犯罪与侦查、计算机安全法律、安全监察等等。 计算机系统有三类安全性问题：技术安全、管理安全和政策法律安全。作为计算机系统的使用和开发人员主要将精力放在技术安全和管理安全两个方面。 技术安全：通过技术手段（硬件和软件的）可以实现的对于计算机系统及其数据的安全保护。要求做到系统受到攻击以后硬件、软件不受到损坏，系统正常工作，数据不泄漏、丢失和更改。 管理安全：和管理有关的安全保障。如使得软、硬件不被物理损坏（失火、被盗、磕碰等等），非法人员进入，机密洩露，等等。 政策法律：政府及相关管理部门所制定的法律、法规、制度等等。 美国国防部在1985年正式颁布了《DoD 可信计算机系统评估标准》。在这个标准中对于计算机系统的安全等级做了七级划分：D、C1、C2、B1、B2、B3、A。 这四个等级七个子集的具体内容倒不一定背下来，但是仔细地研究一下其中的内容体会一下这些层层递进的规定表示了系统安全不同层次及其原因还是很有益处的。 D级：最小保护。这一级几乎没有专门的机制进行安全性保护。目前一些操作系统和系统软件就属于这一级，如DOS、Windows 98、FoxPro for Windows 等。 C1：自主安全保护。在这一级上可以使用户和数据分离，要求用户进行自主存取控制(体现在用户对于数据的存取权限上并保护或限制用户权限的传播)。系统通过用户的账号和口令来确定用户的合法性及其对信息和程序的访问权。 C2：受控的存取保护。在这一级上除了C1级别所包含的内容以外，可以对用户进行身份验证并且具有访问控制环境功能。在这样的访问控制环境中可以进一步限制用户访问某些文件的权利和执行某些程序的权利。此外还可以对系统发生的事件进行审计。在审计中可以通过查阅过去发生的所有活动来发现异常活动的线索。 B1：标记安全保护。对系统的数据进行加注“标记”，是支持多级安全的第一个级别。这些级别包括秘密、机密、绝密等。访问数据的用户不仅要有访问权还需要有相应的解密权，而且系统不允许用户改变其所拥有的权限。 B2：结构化保护。此时不仅数据要加注标记，而且对于系统的所有对象都要加注标记。系统中的硬件设备也被赋予各自的安全级别。 B3：安全域。在这一级别上使用了硬件来加强域。如要求用户必须通过可信任的途径连接系统，必须满足访问监控器的要求。这个级别同时提供更强的审计跟踪能力，提供系统恢复过程。 A：验证设计。在满足以上所有要求的前提下，要给出严格的系统形式化设计说明和验证过程，以确保各级的安全保护真的能实现。 目前能够做到B3级的产品已经有了，A级的产品正在努力设计之中。 7．1．2 网络安全的概念 对计算机网络构成安全威胁的主要有： 物理威胁：◆盗窃 ◆废物搜寻 网络威胁 ◆非法访问 ◆非法统计 ◆非法数据更新 ◆电子窃听 ◆网络欺骗 ◆恶意传播 计算机病毒等 网络威胁中以黑客所造成的危害为最大。 系统内部的工作人员对系统造成的威胁其实大于外部人员所造成的威胁。 内部威胁分为有意和无意两种。 网络安全的一些新的特点。 其一是网络安全保护的范围更广，不仅限于某一计算机系统而可能是若干计算机系统的集合。 其二是保护的操作不仅限于各种合法或非法访问，而可能是拒绝合法但有害的访问。 其三是限制或制止某些不良的信息在网络上的传播。这里同样有技术和法律的问题，此外还有道德问题。 7．1．3 网络安全措施 网络的安全措施既有技术性的也有管理性的，在技术性措施中既有硬件的也有软件的。 这些措施包括： ◆身份鉴别（口令、生理特征鉴别、智能卡） ◆数据加密、◆构筑防火墙 ◆补丁程序、◆防病毒、 ◆废品处理守则、 ◆系统审计、◆系统备份 ◆镜像技术。 7．1．4 被动和主动网络安全策略 网络攻击和网络安全防卫是互相斗争的双