计算机网络技术-第9章_计算机网络安全
网络安全9-访问控制技术
访问控制三要素:
访问控制的最基本概念
访问控制系统要素之间的行为关系参见下图:
访问控制过程
访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份; 2、通过授权(Authorization)来限制用户 对资源的访问级别。 在认证和授权后,访问控制机制将根据预先设 定的规则对用户访问的资源进行控制,只有规 则允许的资源才能访问。
基于角色的访问控制
第9章 第2节
9.2 入网认证
入网认证即入网访问控制。它为网络访问 提供了第一层访问控制 入网认证控制哪些用户能够登录到服务器 并获得网络资源,也控制准许用户入网的 时间和准许他们在哪台工作站入网 入网认证实质上就是对用户的身份进行认 证
第9章 第2节
9.2 入网认证
网络安全
刘敏贤 副教授
西南科技大学计算机科学与技术学院
第9章 访问控制技术
本章的主要内容是对入网访问控制、物理隔离、 自主访问控制和强制访问控制等技术的实现原 理进行了详细的论述,并介绍了一些新型访问 控制技术。
第9章 访问控制技术
9.1 访问控制技术概述 9.2 入网认证 9.3 物理隔离措施 9.4 自主访问控制 9.5 强制访问控制 9.6 新型访问控制技术
例:工行、建行(见备注)
身份认证技术方法
目前,计算机及网络系统中常用的身份认证方 式主要有以下几种:
4. USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种 方便、安全的身份认证技术。它采用软硬件相结合、一 次一密的强双因子认证模式,很好地解决了安全性与易 用性之间的矛盾。 USB Key内置单片机或智能卡芯片,可以存储用户的密 钥或数字证书,利用USB Key内置的密码算法实现对用 户身份的认证。 基于USB Key身份认证系统主要有两种应用模式:一是 基于冲击/响应的认证模式,二是基于PKI体系的认证模 式。
计算机网络安全--第九章 防火墙技术
基于网络体系结构的防火墙实现原理
08:02:44
防火墙与OSI 防火墙与OSI
基本防火墙
Network Transport
高级防火墙
DataLink Session Application
防火墙的原理 按照网络的分层体系结构, 按照网络的分层体系结构,在不同的分层结构 实现的防火墙不同,通常有如下几种。 上实现的防火墙不同,通常有如下几种。 1)基于网络层实现的防火墙,通常称为包过滤 )基于网络层实现的防火墙, 防火墙。 防火墙。 2)基于传输层实现的防火墙,通常称为传输级 )基于传输层实现的防火墙, 网关。 网关。 层次越高, 层次越高 3)基于应用层实现的防火墙,通常称为应用级 )基于应用层实现的防火墙, ,能检测的 资源越多,越安全, 资源越多,越安全, 网关。 网关。 但执行效率变差 4)整合上述所有技术,形成混合型防火墙,根 )整合上述所有技术,形成混合型防火墙, 据安全性能进行弹性管理。 据安全性能进行弹性管理。
08:02:44
防火墙的概念 因此按照企业内部的安全体系结构, 因此按照企业内部的安全体系结构, 防火墙应当满足如下要求。 防火墙应当满足如下要求。 1)保证对主机和应用的安全访问。 )保证对主机和应用的安全访问。 访问 2)保证多种客户机和服务器的安全性。 )保证多种客户机和服务器的安全性 安全 3)保护关键部门不受到来自内部和外 ) 部的攻击,为通过Internet与远程访问 部的攻击,为通过 与远程访问 的雇员、客户、供应商提供安全通道。 的雇员、客户、供应商提供安全通道。
08:02:44
防火墙的概念 因此, 因此,防火墙是在两个网络之间执 行控制策略的系统(包括硬件和软件), 行控制策略的系统(包括硬件和软件), 目的是保护网络不被可疑目标入侵。 目的是保护网络不被可疑目标入侵。
计算机网络安全简答题参考答案
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。
)3. 为什么要研究网络安全?答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
实用计算机网络技术(第三版)课后问答题
实用计算机网络技术(第3版)课后答案第1章计算机网络基础知识1、计算机网络由哪几部分组成?网络硬件:即网络设备,是构成网络的节点,包括计算机和网络互联设备。
传输介质:传输介质是把网络节点连接起来的数据传输通道,包括有线传输介质和无线传输介质。
网络软件:网络软件是负责实现数据在网络设备之间通过传输介质进行传输的软件系统。
包括网络操作系统、网络传输协议、网络管理软件、网络服务软件、网络应用软件。
2、简述计算机的主要功能,并举例说明。
资源共享,如打印机共享;数据传输,如发送电子邮件;协调负载,如分布式计算系统;提供服务,如网页发布服务。
3、什么是IP地址?什么是域名?两者有何异同?IP地址是给每一个使用TCP/IP协议的计算机分配的一个惟一的地址,IP地址的结构能够实现在计算机网络中很方便地进行寻址。
IP地址由一长串十进制数字组成,分为4段l2位,不容易记忆。
为了方便用户的使用,便于计算机按层次结构查询,就有了域名。
域名系统是一个树状结构,由一个根域(名字为空)下属若干的顶级域,顶级域下属若干个二级域、三级域、四级域或更多。
域名肯定有对应的IP地址,IP地址却不一定都有域名,二者不是一一对应关系。
一个IP可以有多个域名,在动态DNS应用中,一个域名也会对应多个IP地址。
4、某公司网络地址为192.168.0.0/255.255.255.0,供七个部门上网使用,其中设计部15台计算机、开发部28台计算机、市场部20台计算机、测试部10台计算机、财务部17台计算机、人力资源部5台、公关部3台,该网络如何划分最合理?试写出每个网络的网络地址、子网掩码以及IP地址范围。
从主机位借三位作为子网位,划分为八个子网,具体如下表:第2章网络传输介质1、为计算机网络选择最佳的传输介质时,应考虑哪些方面?当为计算机网络选择最佳的传输介质时,充分考虑各种类型的介质的功能和局限性是很重要的,具体的说可以从以下几个方面进行比较和选择:数据传输速率;抗干扰能力;适用的网络拓扑结构;允许的最大长度;线缆及附属设备的成本;安装及重新配置的灵活性和方便性。
计算机网络技术基础(9)网络安全
9.2 网络加密技术
9
1 对称加密技术
对称加密技术采用的是对称加密算法。该技术的特点是在保密通信系统中发送者和接收 者之间的密钥必须安全传送,而且双方通信所用的密钥必须妥善保管。
9.1 网络安全基础
7
3 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁,病毒在发 作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的 破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒 传播的速度更快,范围更广,造成的损失也更加严重。据统计, 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍,网络服务器杀毒花费的时间是单机的40倍。
身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。识别 是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。验证则 是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。身份认证是防止主动 攻击的重要技术,目前广泛使用的认证方法有口令验证、信物验证和利用个人独有的特性 进行验证等。
9.3 防火墙技术
14
防火墙作为内网和外网之间的屏障, 控制内网和外网的连接,实质就是隔离内 网与外网,并提供存取控制和保密服务, 使内网有选择地与外网进行信息交换。内 网通常称为可信赖的网络,而外网被称为 不可信赖的网络。所有的通信,无论是从 内部到外部,还是从外部到内部,都必须 经过防火墙,如图8-1所示。防火墙是不 同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全策略控制出入网络 的信息流,且本身具有较强的抗攻击能力。 防火墙既可以是一台路由器、一台计算机, 也可以是由多台主机构成的体系。
《计算机网络》各章习题_名词解释题_吴功宜
石河子大学 200 至 200 学年第学期XXXX 课程试卷 A/B吴功宜《计算机网络》各章习题第一章:网概三、名词解释题(10分,每空1分)请在每个术语旁的括号中填写其正确的定义或含义的编号字母。
1.(A)广域网2.(G)城域网3.(B)局域网4.(E)通信子网5.(C)ARPANET6.(F)计算机网络7.(D)分布式系统8.(H)公用数据网A. 覆盖范围从几十公里到几千公里,可以将一个国家、地区或横跨几个洲的计算机和网络互联起来的网络。
B. 用于有限地理范围(例如一幢大楼),将各种计算机、外设互联起来的网络。
C. 对Internet的形成与发展起到奠基作用的计算机网络。
D. 存在着一个能为用户自动管理资源的网络操作系统,由它来自动调用完成用户任务所需的资源,整个网络系统对用户来说就像是一个大的计算机系统一样。
E.由各种通信控制处理机、通信线路与其他通信设备组成,负责全网的通信处理任务。
F. 以能够相互共享资源的方式互连起来的自治计算机系统的集合。
G. 可以满足几十公里范围内的大量企业、机关、公司的多个局域网互联的需要,并能够实现大量用户与数据、语音、图像等多种信息传输的网络。
H. 由邮电部门或通信公司统一组建与管理,向社会用户提供数据通信服务的网络。
第二章:网络体系结构与网络协议1.(G)OSI参考模型 2.(B)网络体系结构3.(E)通信协议4.(A)接口5.(F)数据链路层6.(H)网络层7.(C)传输层8.(D)应用层A. 同一结点内相邻层之间交换信息的连接点。
B.计算机网络层次结构模型与各层协议的集合。
C. 负责为用户提供可靠的端到端服务的层次。
D. OSI参考模型的最高层。
E. 为网络数据交换而制定的规则、约定与标准。
F. 该层在两个通信实体之间传送以帧为单位的数据,通过差错控制方法,使有差错的物理线路变成无差错。
G. 由国际标准化组织ISO制定的网络层次结构模型。
H. 负责使分组以适当的路径通过通信子网的层次。
第9章 网络安全管理技术
网络安全定义:
网络安全是指保护网络系统中的软件、硬件及数 据信息资源,使之免受偶然或恶意的破坏、盗用、暴 露和篡改,保证网络系统的正常运行、网络服务不受
中断而所采取的措施和行为。
对网络的被动攻击和主动攻击
源站
目的站
源站
目的站
源站
目的站 源站
目的站
截获 被动攻击
中断
篡改 主 动 攻 击
伪造
3.网络安全威胁 所谓的安全威胁是指某个实体(人、事件、程序
等)对某一资源可能造成的危害。是某些个别用心的
人通过一定的攻击手段来实现的。
安全威胁可分为故意的(如系统入侵)和偶然的
(如将信息发到错误地址)两类。
(1)基本的安全威胁
2.数字签名原理
签名机制的特征是该签名只有通过签名者的私有 信息才能产生,也就是说,一个签名者的签名只能惟 一地由他自己生成。 当收发双方发生争议时,第三方(仲裁机构)就 能够根据消息上的数字签名来裁定这条消息是否确实 由发送方发出,从而实现抗赖服务。
另外,数字签名应是所发送数据的函数,即签名 与消息相关,从而防止数字签名的伪造和重用。
DSKA ( X )
E 运算
明文 X
加密与解密 签名与核实签名
9.1.3
CA认证与数字凭证
所谓CA(Certificate Authority:证书发行机构), 是采用PKI(Public Key Infrastructure:公开密钥体系) 公开密钥技术,专门提供网络身份认证服务,负责签发和 管理数字证书,且具有权威性和公正性的第三方信任机构, 它的作用就像颁发证件的部门,如护照办理机构。 由于CA数字证书技术采用了加密传输和数字签名技 术,能够实现上述要求,因此在国内外电子商务中,都得 到了广泛的应用,以数字证书认证来保证交易能够得到正 常的执行。
计算机网络技术及应用第九章 网络互连
25
9.3 网络互连设备
网络互连设备根据它工作的网络层次和所支持 的协议可分为四种类型: 中继器 网桥/第二层交换机 路由器/第三层交换机 网关
2011-1-17
计算机网络技术及应用
26
9.3 网络互连设备
1 中继器(Repeater) 中继器的功能
由于信号在介质上传输时,其 幅度将不断地衰减,中继器 是在物理层上实现局域网网 段互连的,用于扩展局域网 的距离,其具体功能是接收 从一条电缆上传输过来的信 号,并将其放大后,再发送 到另一条电缆上。
2011-1-17
计算机网络技术及应用
16
9.2 因特网的互连协议IP
子网掩码和IP地址结合使用,对子网掩码和IP地址进 行“按位与”运算,可以分出一个IP地址的网络号和主 机号。下表是一个例子,IP地址为141.58.97.235的主机, 如采用的子网掩码是255.255.240.0,通过“与”运算, 可以断定该主机是141.58.96.0网络中的第491号主机。
计算机网络技术及应用
5
9.2 因特网的互连协议IP
1 IP地址及转换
(1)IP地址及其表示方法
Internet识别网络的方法是给网络上的每一台计算机分配 一个IP地址。IP地址就是给每个连接在Internet上的主 机分配一个在全世界范围内唯一的32位二进制标识符。 由于32位的二进制数字形式不适合阅读和记忆,为了 便于用户阅读和理解IP地址,Internet管理委员会采 用了一种“点分十进制”方法表示IP地址。如下图所 示。
2011-1-17 计算机网络技术及应用
10
9.2 因特网的互连协议IP
(6)IP地址与硬件地址
计算机第9章练习题
第九章网络信息安全选择题1.网络安全的属性不包括______。
A.保密性 B.完整性 C.可用性 D.通用性答案:D2.计算机安全通常包括硬件、______安全。
A.数据和运行 B.软件和数据C.软件、数据和操作 D.软件答案:B3.用某种方法伪装消息以隐藏它的内容的过程称为______。
A.数据格式化 B.数据加工C.数据加密 D.数据解密答案:C4.若信息在传输过程被未经授权的人篡改,将会影响到信息的________。
A.保密性 B.完整性 C.可用性 D.可控性答案:B5.加密技术不仅具有______,而且具有数字签名、身份验证、秘密分存、系统安全等功能。
A.信息加密功能 B.信息保存功能C.信息维护功能 D.信息封存功能答案:A6.基于密码技术的传输控制是防止数据______泄密的主要防护手段。
A.连接 B.访问C.传输 D.保护答案:C7.在数据被加密后,必须保证不能再从系统中_____它。
A.阅读 B.传输 C.可见 D.删除答案:A8.网络环境下身份认证协议通常采用______来保证消息的完整性、机密性。
A.知识因子 B.拥有因子C.生物因子 D.密码学机制答案:D9.活动目录服务通过________服务功能提升Windows的安全性。
A.域间信任关系 B.组策略安全管理C.身份鉴别与访问控制 D.以上皆是答案:D10.不属于Windows XP系统安全优势的是________。
A.安全模板 B.透明的软件限制策略C.支持NTFS和加密文件系统EFS D.远程桌面明文账户名传送答案:D11. 下面不能够预防计算机病毒感染的方式是_______。
A. 及时安装各种补丁程序B. 安装杀毒软件,并及时更新和升级C. 定期扫描计算机D. 经常下载并安装各种软件答案:D12.网络安全攻击事件中大部分是来自( )的侵犯。
A.城域网 B.内部网络C.广域网 D.外部网络答案:B13.保护计算机网络免受外部的攻击所采用的常用技术称为______。
计算机网络安全教程课后答案及考试试卷
一、名词解释黑客(P103)木马(P163)网络后门和网络隐身(P6)恶意代码(P185)VNP(p307)防火墙(P275)入侵检测系统(P288) DDOS(p146)ICMP协议:ICMP是(Internet Control Message Protocol)Internet控制报文协议。
它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
二、问答题1.TCP和UDP的不同。
(p42)TCP---传输控制协议,提供的是面向连接、可靠的字节流服务。
当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能传输数据。
TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。
开销大,传输速度慢。
UDP---用户数据报协议,是一个简单的面向数据报的运输层协议。
UDP不提供可靠性,它只是把应用程序传给IP层的数据报发送出去,但是并不能保证它们能到达目的地。
由于UDP在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等机制,故而传输速度很快。
2.计算机病毒的特征:可执行性。
计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。
传染性。
计算机病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
破坏性。
所有的计算机病毒都是一种可执行程序,会降低计算机系统的工作效率,占用系统资源。
潜伏性。
计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。
隐蔽性。
病毒一般是具有很高编程技巧,短小精悍的程序。
通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,与正常程序是不容易区别开来的。
针对性。
计算机病毒一般针对于特定的操作系统。
计算机导论 第九章 网络安全技术期末测试习题与答案
一、单选题1、为了防御网络监听,最常用的方法是( )OA.无线网B.信息加密C.采用物理传输D.使用专线传输正确答案:B2、防火墙是一种( )网络安全措施。
A.能够解决所有问题的B.能够防止内部犯罪的C.被动的D.主动的正确答案:C3、防止他人对传输的文件进行破坏需要进行( )oA.数字签字及验证B.时间戳C.对文件进行加密D.身份认证正确答案:A4、网络安全的基本属性是( )。
A.机密性B可用性C.以上都是D.完整性正确答案:C5、计算机感染特洛伊木马后的典型现象是()oA.Windows系统黑B.邮箱被垃圾邮件填满C.有未知程序试图建立网络连接D.程序异常退出正确答案:C6、使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务/这属于()攻击。
A・文件共享B.远程过程调用C.BIND漏洞D拒绝服务正确答案:D7、主要用于加密机制的协'议是()。
A.TELNETB.SSLC.HTTPD.FTP正确答案:B8、以下()不属于防止口令猜测的措施。
A.防止用户使用太短的口令B .确保口令不在终端上再现C.严格限定从一个给定的终端进行非法认证的次数D.使用机器产生的口令正确答案:B9、以下关于云计算说法不正确的是()oA.方泛的网络接入B.低可扩展性C.超大规模D.资源的共享正确答案:B10、以下关于大数据分析说法不正确的是()。
A.大数据分析的一个基本的要求就是可视化分析B.HPCC是高性能计算与通信的缩写,主要由五部分组成C.Hadoop是一个能够对大量数据进行集中式处理的软件框架D.Map/Reduce是一套从海量数据源提取分析元素,最后返回结果集的编程模型正确答案:C二、多选题1、以下关于数字签名的说法不正确的是()。
A.数字签名能够解决数据的加密传输,即安全传输问题B.数字签名一般采用对称加密机制C.数字签名可以验证发送者身份D.数字签名能够解决篡改、伪造等安全性问题正确答案:A、B、C2、以下关于防火墙局限性描述正确的是()。
计算机网络原理复习第九章习题
12. ATM有两种格式的信元头,其中之一如图所示,该信元头属 于哪一种?说明其中各字段的含义
– –
–
– – –
【答案】该信元头属于网络接口UNI信头格式。 (1)GFC(Generic Flow Control):一般流量控制字段,又称接入控制 字段,当多个信元等待传输时,用以确定发送顺序的优先级。 (2) VPI(Virtual Path Identifier)/ VCI(Virtual Channel Identifier): 虚通道标识字段和虚通路标识字段,用做路由选择。 (3) PT(Payload Type):负荷类型字段,用以标识信元数据字段所携 带的数据的类型。 (4) CLP(Cell Loss Priority):信元丢失优先级字段,用于阻塞控制, 若网络出现阻塞时,首先丢弃CLP置位的信元。 (5) HEC(Head Error Control):信头差错控制字段,用以检测信头 中的差错,并可纠其中的1比特错。HEC的功能在物理层实现。
11.说明网络安全攻击的四种形式和攻击目标、 并画出网络安全攻击的四种形式示意图。
– –
–
– –
网络安全攻击四种形式: (1)中断 :以可用性作为攻击目标,有意中断他 人在网络上的通信。 (2)截获:以保密性作为攻击目标,从网络上窃 听他人的通信内容。 (3)修改:以完整性作为攻击目标,故意篡改网 络上传送的报文。 (4)伪造:以完整性作为攻击目标,伪造信息在 网络上传送。
12.帧中继保留了X.25链路层的HDLC帧格式,所采 用的链路接入规程为( )。
– –
A.LAPA D
B.LAPB
C.LAPC
D.LAPD
13.有关帧中继和X.25的说法中,正确的是(
计算机网络技术基础(微课版)(第6版)-PPT课件第 9 章 网络安全
本章学习要点:
➢ 网络安全的现状与重要性 ➢ 防火墙技术 ➢ 网络加密技术 ➢ 数字证书与数字签名 ➢ 入侵检测技术 ➢ 网络防病毒技术 ➢ 网络安全技术的发展前景
9.1 网络安全的现状与重要性
9.1.1 网络安全的基本概念
ISO 将计算机安全定义为:为数据处理系统建立和采取的技术与管 理方面的安全保护,保护计算机软件数据、硬件不因偶然和恶意的原 因而遭到破坏、更改及泄露。
➢ 软件的漏洞或“后门”
➢ 企业网络内部
返回本节首页 返回本章首页
9.2 防火墙技术
9.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相 互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控 制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行 认证,从而防止有害信息进入受保护网,为网络提供安全保障。
为了在对称加密过程中有效地管理好密钥,保证数据的机密性,美 国麻省理工学院提出了一种基于可信赖的第三方的认证系统—— Kerberos。它是一种在开放式网络环境下进行身份认证的方法,使网 络上的用户可以相互证明自己的身份。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正 确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访 问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访 问许可证(ticket)。
链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点, 因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需 要一对加、解密设备和一个独立密钥,因此成本较高。
(2)结点加密
结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据 进行加密,而且加密过程对用户是透明的。
计算机网络安全基础第三版习题参考答案
计算机网络安全基础(第三版)习题参考答案第一章习题:1.举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。
2.有两个网络,它们都提供可靠的面向连接的服务。
一个提供可靠的字节流,另一个提供可靠的比特流。
请问二者是否相同?为什么?不相同。
在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。
例如,一个进程向一条连接写了1024字节,稍后又写了另外1024字节。
那么接收方共读了2048字节。
对于报文流,接收方将得到两个报文,、每个报文1024字节。
而对于字节流,报文边界不被识别。
接收方把全部的2048字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。
3.举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。
OSI模型(开放式系统互连参考模型):这个模型把网络通信工作分为7层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。
每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持。
TCP/IP模型只有四个层次:应用层、传输层、网络层、网络接口层。
与OSI功能相比,应用层对应的是OSI的应用层、表示层、会话层;网络接口层对应着OSI的数据链路层和物理层。
两种模型的不同之处主要有:(1) TCP/IP在实现上力求简单高效,如IP层并没有实现可靠的连接,而是把它交给了TCP层实现,这样保证了IP层实现的简练性。
OSI参考模型在各层次的实现上有所重复。
(2) TCP/IP结构经历了十多年的实践考验,而OSI参考模型只是人们作为一种标准设计的;再则TCP/IP有广泛的应用实例支持,而OSI参考模型并没有。
9 计算机网络安全-计算机网络原理及应用-王辉-清华大学出版社
Chp9 计算机网络安全
计算机网络原理及应用
3、计算机网络病毒
(1)计算机网络病毒的特点
• 入侵计算机网络的病毒形式多样 • 不需要寄主 • 电子邮件成为新的载体 • 利用操作系统安全漏洞主动攻击
Chp9 计算机网络安全
计算机网络原理及应用
(2)计算机网络病毒的传播方式
通常把病毒入侵途径划分为两大类: • 传统方式:通过软盘、硬盘、CD-ROM及局
计算机病毒有很多种定义,从广义上讲, 凡是能引起计算机故障,破坏计算机中数据 的程序统称为计算机病毒。现今国外流行的 定义为:计算机病毒是一段附着在其他程序 上的、可以实现自我繁殖的程序代码。
Chp9 计算机网络安全
计算机网络原理及应用
(2)计算机病毒的分类
• 按传染方式分类 可分为三种类型,分别是引导型、文件型和
• 按攻击对象划分 可分为三种类型,攻击DOS的病毒、攻击
Windows的病毒、攻击网络的病毒。
Chp9 计算机网络安全
计算机网络原理及应用
2、计算机病毒的特征
• 传染性:是指病毒具有把自身复制到其他程序 中的特性。
• 潜伏性:是指病毒具有依附其他媒体而寄生 的能力,也称隐蔽性。
• 破坏性:是指病毒破坏文件或数据,甚至损坏 主板,干扰系统的正常运行。
混合型病毒。
• 按寄生方式分类 可分为四种类型,分别是代替型、链接型、
转储型和源码病毒。
Chp9 计算机网络安全
计算机网络原理及应用
• 按危害程度分类 严格地说,只要是计算机病毒,就会对系统造
成一定的危害性,只是不同的计算机病毒造成的 危害程度不同。可分为三种类型,分别为良性病 毒、恶性病毒和中性病毒。
Chp9 计算机网络安全
第9章 计算机安全与维护
其他器件的损坏,引起计算机的各种故障。所以应隔一段时
间清理各部件上附着的灰尘,如果平时不使用计算机,应用 专门的遮罩将计算机的各部件遮好。 5.静电 在气候干燥时,如果插拔计算机的板卡,应先除去身上
的静电,否则容易损坏器件。在插拔计算机的板卡前,最好
先触摸一下与地相连接的物体,释放身上的静电或在接触时 带上专门防静电的手套。
(3)木马类工具。使用木马工具的最终目的是在目标 主机上开后门,进而通过客户端程序远程监控目标计算机。 为了使目标用户运行木马程序,黑客通过将木马和正常软件 捆绑,然后将其放入下载网站或者通过电子邮件附件发送给
目标对象,如果下载并运行该软件,木马程序将在后台运行,
同时它们还可以通过特殊系统漏洞使用特殊的工具直接在目 标机上运行木马程序。常见的木马程序有Netspy,Netbus, Backdoor和Backorifice等。
(3)定时炸弹型。网络内部人员的非法行为。在实 施时故意在网络上布下陷阱或故意在网络维护软件内安插 逻辑炸弹,在特定的时间或特定条件下,引发一系列破坏 行动,或干扰网络正常运行或致使网络完全瘫痪。
(4)职业杀手型。此种黑客以职业杀手著称,经常以 监控方式将他人网站内由国外传来的资料迅速清除,使得 原网站使用公司无法得知国外最新资料或订单,或者将电
址指向防火墙,而最终地址是主机A。当报文到达防火墙 被允许通过,因为它指向防火墙而不是主机A。防火墙的IP 层处理该报文的源路径域,并发送到内部网上,报文就这 样到达了不可到达的主机A。
(6)系统管理员失误攻击法。网络安全的重要因素之
一就是人!无数事实表明“堡垒最容易从内部攻破”。因而 人为的失误,如WWW服务器系统的配置差错,普通用户使 用权限扩大等,就给黑客造成了可乘之机,黑客常利用系统 管理员的失误,使攻击得到成功。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
问题 原由
教学 重点
能力 要求
本章内容
§9.1 网络安全问题概述
§9.2 计算机网络安全技术
§9.3 网络安全的攻击与防卫
§9.4 防火墙的安装调试与设臵
§9.5 网络管理
2
知识结构
网络所面临的安全威胁 网络安全问题概述 网络安全的内容 网络安全的层次模型 加密技术 数字签名 防火墙技术 网络管理概述 网络管理 网络管理功能 网络管理协议与 网络管理工具 防火墙的安装调试 与设臵 天网防火墙 特洛伊木马 邮件炸弹 信息窃取 病毒 实时监视技术 访问控制技术
18
9.2.1 加密技术 传统加密方法
1、代换密码法 ⑴ 单字母加密方法:是用一个字母代替另一个字母,它把A 变成E,B变成F,C变为G,D变为H。 ⑵ 多字母加密方法:密钥是简短且便于记忆的词组。 2、转换密码法 保持明文的次序,而把明文字符隐藏起来。转换密码法不 是隐藏它们,而是靠重新安排字母的次序。 3、变位加密法 把明文中的字母重新排列,字母本身不变,但位臵变了。常 见的有简单变位法、列变位法和矩阵变位法。 4、一次性密码簿加密法 就是用一页上的代码来加密一些词,再用另一页上的代码 加密另一些词,直到全部的明文都被加密。
21
邮件内容C H=MDS(C)
S=ENRSA(H)KS
收到E1+E2
K=DERSA(E2)KRS M=DEIDEA(E1)K 将M分离成C和S H1=MD5(C)
M=C+S
随机加密密钥
E1=ENIDEA(M)
主动攻击
被动攻击不修改信息内容,所以非常难以检测,因此防护 方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生 一个虚假的数据流。
8
9.1.1 网络所面临的安全威胁
5、网络安全破坏 网络安全破坏的技术手段是多种多样的,了解最通常的 破坏手段,有利于加强技术防患。 1 2 3
中断(Interruption):中断是对可利用性的威胁。例如破坏 信息存储硬件、切断通信线路、侵犯文件管理系统等。 窃取(Interception):入侵者窃取信息资源是对保密性的威 胁。入侵者窃取线路上传送的数据,或非法拷贝文件和程序等。 篡改(Modification):篡改是对数据完整性的威胁。例如改 变文件中的数据,改变程序功能,修改网上传送的报文等。 假冒(Fabrication):入侵者在系统中加入伪造的内容,如像 网络用户发送虚假的消息、在文件中插入伪造的记录等。
16
9.2.1 加密技术
2、加密和解密 密码技术包括数据加密和解密两部分。加密是把需要加密 的报文按照以密码钥匙(简称密钥)为参数的函数进行转换, 产生密码文件;解密是按照密钥参数进行解密,还原成原文件。 数据加密和解密过程是在信源发出与进入通信之间进行加密, 经过信道传输,到信宿接收时进行解密,以实现数据通信保密。 数据加密和解密过程如下图所示。
9
4
9.1.2 网络安全内容
国际标准化组织(ISO)对网络安全的定义是:为数据处 理系统建立和采用的技术和管理的安全保护,保护计算机硬 件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄 露。简单说,安全的目的是保证网络数据的三个特性:可用 性、完整性和机密性。由此可以将计算机网络的安全理解为: 通过采用各种技术和管理措施,使网络系统正常运行,从而 确保网络数据的可用性、完整性和保密性。所以,建立网络 安全保护措施的目的是确保经过网络传输和交换的数据不会 发生增加、修改、丢失和泄露等。
密钥 报文 信源 明文 密文传输 明文
加密
解密
解密单元
原报文
信宿
加密单元 加密解密模型
17
9.2.1 加密技术
3、密钥体系
加密和解密是通过密钥来实现的。如果把密钥作为加密体 系标准,则可将密码系统分为单钥密码(又称对称密码或私钥 密码)体系和双钥密码(又称非对称密码或公钥密码)体系。 在单钥密码体制下,加密密钥和解密密钥是一样的。在这 种情况下,由于加密和解密使用同一密钥(密钥经密钥信道传 给对方),所以密码体制的安全完全取决于密钥的安全。 双钥密码体制是1976年W.Diffie和M.E.Heilinan 提出的一 种新型密码体制。1977年Rivest,Shamir和Adleman提出RSA密 码体制。在双钥密码体制下,加密密钥与解密密钥是不同的,它 不需要安全信道来传送密钥,可以公开加密密钥,仅需保密解 密密钥。
Internet
Info Gate
防火墙
安全 垃圾邮 内容 审计 件网关 过滤
应用服务器群
IIS服务Web服务 DMZ区
教工区
学生区
数据库服务器群
4
9.1.1 网络所面临的安全威胁
1、网络安全要求 网络安全,是指网络系统的硬件、软件及其系统中的数据 受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露, 系统连续可靠正常地运行,网络服务不会中断。
6
计算机病毒
拒绝服务攻击
9.1.1 网络所面临的安全威胁
3、网路安全漏洞 网络安全漏洞实际上是给不法分子以可乘之机的“通道 ”,大致可分为以下3个方面。 网络的漏洞 包括网络传输时对协议的信任以及网络传 输漏洞,比如IP欺骗和信息腐蚀就是利用 网络传输时对IP和DNS的信任。 利用服务进程的bug和配臵错误,任何向外 提供服务的主机都有可能被攻击。这些漏 洞常被用来获取对系统的访问权。 Windows和UNIX操作系统都存在许多安全 漏洞,如Internet蠕虫事件就是由UNIX的 安全漏洞引发的。
19
9.2.1 加密技术
现代加密方法
1、DES加密算法 DES加密算法是一种通用的现代加密方法,该标准是在56位 密钥控制下,将每64位为一个单元的明文变成64位的密码。采用 多层次复杂数据函数替换算法,使密码被破译的可能性几乎没 有。 2、IDEA加密算法 相对于DES的56位密钥,它使用128位的密钥,每次加密一 个64位的块。这个算法被加强以防止一种特殊类型的攻击,称为 微分密码密钥。 IDEA的特点是用了混乱和扩散等操作,主要有三种运算:异 或、模加、模乘,并且容易用软件和硬件来实现。IDEA算法被 认为是现今最好的、最安全的分组密码算法,该算法可用于加 密和解密。
12
9.1.3 网络安全的层次模型
3、系统单元 (1)通信平台 (2)网络平台 (3)系统平台 (4)应用平台 (5)物理环境
信息网络的通信设备、通信网络平台; 信息网络的网络系统; 信息网络的操作系统平台; 信息网络各种应用的开发、运行平台: 信息网络运行的物理环境及人员管理。
13
9.1.3 网络安全的层次模型
20
9.2.1 加密技术
3、RSA公开密钥算法 RSA是屹今为止最著名、 最完善、使用最广泛的一种 公匙密码体制。RSA算法的要 点在于它可以产生一对密钥, 一个人可以用密钥对中的一 个加密消息,另一个人则可 以用密钥对中的另一个解密 消息。任何人都无法通过公 匙确定私匙,只有密钥对中 的另一把可以解密消息。
保密性
完整性
可用性
身份认证
不可抵 赖性
5
授权和访 问控制
9.1.1 网络所面临的安全威胁
2、网络安全威胁 一般认为,黑客攻击、计算机病毒和拒绝服务攻击等3个 方面是计算机网络系统受到的主要威胁。 黑客攻击 黑客使用专用工具和采取各种入侵手段非 法进入网络、攻击网络,并非法使用网络 资源。 计算机病毒侵入网络,对网络资源进行破 坏,使网络不能正常工作,甚至造成整个 网络的瘫痪。 攻击者在短时间内发送大量的访问请求, 而导致目标服务器资源枯竭,不能提供正 常的服务。
7
服务器的漏洞
操作系统的漏洞
9.1.1 网络所面临的安全威胁
4、网络安全攻击 要保证运行在网络环境中的信息安全,首先要解决的问题 是如何防止网络被攻击。根据Steve Kent提出的方法,网络安 全攻击可分为被动攻击和主动攻击两大类,如下图所示。
被动攻击 截获(秘密) 分析信息内容 通信量分析 拒绝 篡改 (可用性) (完整性) 网络安全攻击分类 伪造 重放 (真实性) (时效性)
10
9.1.3 网络安全的层次模型
1、安全体系框架 为了系统的、科学地分析网络安全所涉及的各种问题, 我们从安全服务特性、系统单元、开放系统互连参考模型安 全特性三个方面研究网络安全,并提出了一个三维的安全体 系框架,如下图所示。
三维安全框架体系
11
9.1.3 网络安全的层次模型
2、安全服务特性 (1)身份认证 身份认证是访问控制的基础。身份认证必 须做到准确无误地将对方辨别出来,同时还应该提供双向的认 证,即互相证明自己的身份。 (2)访问控制 控制不同用户对信息资源访问的权限,防 止非授权使用资源或以非授权的方式使用资源。 (3)数据加密 保证数据安全通信的手段,指在数据存储 和传输时进行加密,防止数据在传输过程中被窃听。 (4)数据的完整性 指防止数据在传输过程中被篡改、删 除、插入替换或重发,以保证合法用户接收和使用该数据的真 实性。 (5)不可否认性 防止发送方企图否认所发送的信息,同 时也防止接受方企图否认接收到信息。 (6)安全审计 设臵安全、可靠的审计记录措施,便于事 后的分析审计。
计 算 机 网 络 安 全
计算机网络安全技术
瑞星杀毒软件和个人 防火墙的防治 网络安全的攻 击与防卫
自动解压缩技
3
§9.1 网络安全问题概述
随着计算机网络技术的发展,网络的安全性和可靠性成为各 层用户所共同关心的问题。人们都希望自己的网络能够更加可靠 地运行,不受外来入侵者的干扰和破坏,所以解决好网络的安全 性和可靠性,是保证网络正常运行的前提和保障。
第9章 计算机网络安全
计算机网络广泛应用,促进了社会的进步和繁荣,并 为人类社会创造了巨大财富。但由于计算机及其网 络自身的脆弱性以及人为的攻击破坏,也给社会带 来了损失。因此,网络安全已成为重要研究课题。 本章重点讨论网络安全技术措施:计算机密码技术 、防火墙技术、虚拟专用网技术、网络病毒防治技术 ,以及网络管理技术。 掌握:网络安全与管理的概念;网络安全与管理技 术的应用。 熟悉:计算机密码技术、防火墙技术、虚拟专用网 技术、网络病毒防治技术。