第9章 网络安全.pptx

第9章 网络安全;9.1 网络安全隐患;9.6 网络病毒及防杀;9.1 网络安全隐患 计算机犯罪始于二十世纪80年代。随着网络应用范围的逐步扩大，其犯罪技巧日见“高明”，犯罪目的也向越来越邪恶的方向发展。 与网络安全有关的新名词逐渐为大众所知，例如黑客（hecker）、破解者（cracker）等。凡此种种，都传递出一个信息——网络是不安全的。 ;9.1 网络安全隐患 大部分网络安全问题都与TCP/IP有关。TCP/IP是Internet???标准协议，传统的网络应用都是基于此协议的。近来在局域网中，TCP/IP也逐渐流行，这使得通过Internet侵入局域网变得十分容易。 为网络安全担忧的人大致可分为两类，一类是使用网络资源的一般用户，另一类是提供网络资源的服务提供者。 ;;; ; 窃听程序的基本功能是收集、分析数据包，高级的窃听程序还提供生成假数据包、解码等功能，甚至可锁定某源服务器（或目标服务器）的特定端口，自动处理与这些端口有关的数据包。利用上述功能，可监听他人的联网操作、盗取信息。 ;;2. 窃取(Spoofing);3.利用主机X在短时间内发送大量的数据包给A，使之穷于应付。 4.利用主机X向B发送源地址为A的数据包。 ;3. 会话窃夺(Spoofing);以图9-1-3为例，当主机A正与主机B进行会话时，X切入会话，并假冒B的名义发送数据包给A，通知其中断会话，然后X顶替A继续与B进行会话。 ;4. 利用操作系统漏洞;5. 盗用密码;6. 木马、病毒、暗门;? 病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作，破坏系统或干扰系统运行的“坏”程序。其不良行为可能是悄悄进行的，也可能是明目张胆实施的，可能没有破坏性，也可能毁掉用户几十年的心血。病毒程序除可从事破坏活动外，也可能进行间谍活动，例如，将服务器内的数据传往某个主机等。 ;7. 隐秘通道;9.2 数据加密 加密指改变数据的表现形式。加密的目的是只让特定的人能解读密文，对一般人而言，其即使获得了密文，也不解其义。 加密旨在对第三者必威体育官网网址，如果信息由源点直达目的地，在传递过程中不会被任何人接触到，则无需加密。Internet是一个开放的系统，穿梭于其中的数据可能被任何人随意拦截，因此，将数据加密后再传送是进行秘密通信的最有效的方法。 ;;;1. 秘密钥匙加密;2. 公用钥匙加密;假如X需要传送数据给A，X可将数据用A的公用钥匙加密后再传给A，A收到后再用私有钥匙解密。如图9-2-3所示。 ; 9.3 数据完整性验证与数字签名 ;Hash函数一般用于为信息产生验证值，此外它也被用于用户密码存储。为避免密码被盗用，许多操作系统（如Windows NT、Unix）都只存储用户密码的Hash值，当用户登录时，则计算其输入密码的Hash值，并与系统储存的值进行比对，如果结果相同，就允许用户登录。 ; ; 完整性验证可见于许多软、硬件应用中。例如传统的磁盘用校验和或循环冗余校验（CRC）等技巧产生分区数据的验证值，在低层网络协议中也可见到类似技术的应用，以检测所传送的数据是否受到了噪音的干扰。 ; 数字签名 ;; 9.4 网上身份认证常识 ; 1. 密码认证; 2. 加密认证; 首先介绍利用秘密钥匙的认证方式。假定A、B两方持有同一密钥K，其认证过程如图9-4-1所示： ;利用公用钥匙进行认证的过程与秘密钥匙相似，假设B的公用、私有钥匙分别为KB、Kb，认证过程如图9-4-2所示， 其中，R为请求值，X为响应值。 ; 发证机关; 9.5 防火墙技术 ;防火墙的主要功能如下： ? 过滤不安全服务和非法用户，禁止未授权的用户访问受保护网络。 ? 控制对特殊站点的访问。 ? 提供监视Internet安全和预警的端点。 ; 防火墙并非万能，影响网络安全的因素很多，对于以下情况它无能为力： （1）不能防范绕过防火墙的攻击。 （2）一般的防火墙不能防止受到病毒感染的软件或文件的传输。 （3）不能防止数据驱动式攻击。 （4）难以避免来自内部的攻击。 ; 防火墙的三种类型 ;网络级防火墙也称包过滤防火墙，通常由一部路由器或一部充当路由