第1章计算机与网络安全概述课件.ppt

* 1.1 计算机安全与网络安全 1.2 计算机网络面临的安全问题 1.3 系统安全策略 第1章 计算机网络安全概述 B Catalyst 3750 D MODEL Catalyst 3524 PWR-XL ISP WLAN Catalyst 3750 C Catalyst 4500 A Catalyst 4500 B Catalyst 3750 A Catalyst 3750 B AP AP Catalyst 2950 Quidway Eudemon 200 Catalyst 2950 Catalyst 2950 Catalyst 2950 Catalyst 2950 Catalyst 2950 Catalyst 2950 DMZ 内部服务器子网 A B D C E OUTSIDE INSIDE Quidway R3680 B A B Quidway R3680 A 计算机安全及网络安全主要的研究内容如下： l???????? 计算机环境安全技术； l???????? 计算机硬件安全技术； l???????? 计算机软件安全技术； l???????? 数据备份与信息安全技术； l???????? 网络平台安全技术； l???????? 网络通信安全技术； l???????? 网络操作系统安全技术； l???????? 防火墙技术； l???????? 入侵检测与端口扫描技术； l???????? 计算机病毒与黑客的防范技术。 本节内容 1.1.1 信息安全 1.1.2 计算机安全 1.1.3 网络安全 1.1.4 信息安全与计算机安全 1.1 计算机安全与网络安全 1.1.1 信息安全 1.信息安全的基本概念 信息安全的定义： 国际标准化组织(ISO)对信息安全的定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。 我国安全保护条例对信息安全的定义为：计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。 信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。 （1）信息传输安全系统 信息传输加密技术：目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密）、结点加密和端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。 数据完整性鉴别技术：目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性检验控制。 报文鉴别：与数据链路层的CRC（Cyclic Redundancy Check：循环冗余校验）控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（Integrated Check Vector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。 校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。 加密校验和：将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法破解。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。 消息完整性编码MIC（Message Integrity Code）：使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。 防抵赖技术：它包括对源和目的地双方的证明，常用方法是数字签名，数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方事后不能否认他发送过数据