网络管理与网络安全11.ppt

* 数据的发送方和接收方使用的是同一把私有密钥。常用于文件会话中，会话密钥 数字摘要技术示意图 数字信封技术 数字信封是为了解决传送、更换密钥问题而产生的技术。如上所述对称加密技术速度快，但存在如何传送密钥的问题，而非对称加密技术不存在传送密钥的问题，但它的加密速度慢。因此我们经常是将这两种加密技术结合起来，从而产生了数字信封技术。 数字信封技术 数字信封技术 数字信封技术结合了秘密密钥加密和公开密钥加密技术的优点，可克服秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的缺陷。 它在外层使用灵活的公开密钥加密技术，在内层使用秘密密钥加密技术。 数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。 CA认证 CA（Certificate Authority）即证书授权中心，也称为认证中心。 数字证书是参与网上交易活动的各方(如持卡人、商家、支付网关)身份的证明。 CA认证中心作为权威的、可信赖的、公正的第三方，是发放、管理、废除数字证书的机构。 数字证书具有保证信息的必威体育官网网址性，保证信息的完整性，保证交易者身份的真实性和保证不可否认4大主要功能。 身份认证技术 所知（knowledge）: 个人所掌握的密码、口令； 所有（possesses）: 个人身份证、护照、信用卡、钥匙； 个人特征（characteristics）:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征； 目前人们研究的个人特征主要包括： 　容貌、肤色、发质、身材、姿势、手印、指纹、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、习惯性签字、打字韵律，以及在外界刺激下的反应等。 网络管理员应该注意的几个问题： 对网络管理员的口令严格必威体育官网网址 网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力，网络管理员口令的泄露对网络安全会构成极其严重的威胁。 对网络系统运行状态要随时进行严格的监控 网络管理员必须利用各种网络运行状态监测软件与设备，对网络系统运行状态进行监视、记录与处理。 对网络系统安全状况进行严格的监控 了解网络系统所使用的系统软件、应用软件，以及硬件中可能存在的安全漏洞，了解在其他网络系统中出现的各种新的安全事件，监视网络关键设备、网络文件系统与各种网络服务的工作状态，审计状态记录，发现疑点问题与不安全因素立即处理。 网络安全受到威胁时的行动方案 保护方式 当网络管理员发现网络安全遭到破坏时，立即制止非法入侵者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故的性质与原因，尽量减少这次安全事故造成的损害； 跟踪方式 发现网络存在非法入侵者的活动时，不是立即制止入侵者的活动，而是采取措施跟踪非法入侵者的活动，检测非法入侵者的来源、目的、非法访问的网络资源，判断非法入侵的危害，确定处理此类非法入侵活动的方法。 网络安全问题的鉴别 鉴别网络安全问题可以从5个方面进行： 访问点（access points） 系统配置（system configuration） 软件缺陷（software bugs） 内部威胁（insider threats） 物理安全性（physical security） 网络访问点的结构 4 网络防火墙技术 1. 防火墙的基本概念 防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件； 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。 防火墙的位置与作用 防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界。 防火墙的作用: 1) 包过滤防火墙 2) 代理服务器防火墙 3) 状态检测防火墙 4) 自适应代理防火墙 2. 防火墙的主要类型 包过滤防火墙按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发； 包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址、目的IP地址、协议类型 、IP选项内容 、源TCP端口号 、目的TCP端口号 、TCP ACK标识等。 1）包过滤防火墙 包过滤防火墙的结构 2）代理服务器防火墙 代理服务器（Proxy?Server）的工作原理是：当客户在浏览器中设置好Proxy?Server后，你使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向目的主机发出请求，并接受目的主机的数据，存于代理服务器的硬盘中，然后再由代理服务器将客户要求的数