网络安全与管理第八章PPT课件
合集下载
第8章计算机网络管理与安全
第8章计算机网络管理与安全
n
设备管理和监视软件可以使网络管
理员查看网络设备及所有接口的物理状
态,并可从控制台上对网络设备进行配
置、性能监视和小型软件检修。
第8章计算机网络管理与安全
n
其GUI的界面能够提供交换机和路由
器的实际图形显示,提供网络设备前、
后面板的物理视图,可连续动态地显示
路由器、交换机、集线器或适配器的最
设备和操作系统管理的支撑软件系统。
第8章计算机网络管理与安全
n
网络管理软件可以在中央网络管理
站点上以图形的方式显示网络设备,提
供网络中互连的交换物
理视图和逻辑视图以便于漫游和执行想
要的功能,从而使网络管理员无需对远
程站点上的每台设备进行物理检测就能
够全面地查看网络设备。
于MIB定义信息的各种查询。
第8章计算机网络管理与安全
8.3 网络管理系统
第8章计算机网络管理与安全
n
网络管理系统提供了一组进行网络
管理的工具,网络管理人员依赖它进行
网络管理。
第8章计算机网络管理与安全
8.3.1 网管系统的组成和功能
n
网络管理的需求决定网管系统的组
成和规模,任何网管系统无论其规模大
第8章计算机网络管理与安全
8.2 简单网络管理协议
第8章计算机网络管理与安全
8.2.1 什么是SNMP
第8章计算机网络管理与安全
SNMP具有以下特点。
n (1)简单性。 n (2)可伸缩性 n (3)扩展性 n (4)健壮性
第8章计算机网络管理与安全
8.2.3 SNMP协议
n 1.SNMP模型
n 6.其它网络管理功能
第八章 网络安全管理.ppt
刺探秘密者的企图非常明确,它通过非法手段侵入他人 计算机系统,以窃取商业秘密与个人资料。
威胁
授权侵犯 旁路控制 拒绝服务
窃听 电磁/射频截获
人员疏忽 信息泄露 完整性破坏 截获/修改
假冒 媒体清理 物理侵入
重放 否认 资源耗尽 服务欺骗 窃取 通信量分析 陷门
特洛伊木马
描述
为某一特定的授权使用一个系统的人却将该系统用做其他未授权的目的 攻击者发掘系统的缺陷或安全脆弱性 对信息或其他资源的合法访问被无条件地拒绝,或推迟的操作 信息从被监视的通信过程中泄露出去 信息从电子或机电设备所发出的无线射频中被提取出来 一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人 信息被泄露或暴露给某个未授权的实体 通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损害 某一通信数据项在传输过程中被改变、删除或替代 一个实体(人或系统)假装成另一个不同的实体 信息被从废弃的或打印过的媒体中获得 一个入侵者通过绕过物理控制而获得对系统的访问 出于非法的目的而重新发送所截获的合法通信数据项的备份 参与某次通信交换的一方,事后错误地否认曾经发生过此次交换 某一资源(如端口)被故意超负荷地使用,导致其他用户的服务被中断 某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信息 某一安全攸关的物品,如令牌或身份卡被盗 通过对通信量的观察(有、无、数量、方向、频率)而造成信息泄露 将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入 数据时,允许安全 策略被违反 含有察觉不出或无害程序段的软件,当它被运行时,会损害用户的安全
3. 监测型(状态检测防火墙)
监测型防火墙是新一代的产品,监测型防火墙能够对各层的数据进行主动 的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够 有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还 带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节 点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破 坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中, 有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统 防火墙的定义,而且在安全性上也超越了前两代产品。
威胁
授权侵犯 旁路控制 拒绝服务
窃听 电磁/射频截获
人员疏忽 信息泄露 完整性破坏 截获/修改
假冒 媒体清理 物理侵入
重放 否认 资源耗尽 服务欺骗 窃取 通信量分析 陷门
特洛伊木马
描述
为某一特定的授权使用一个系统的人却将该系统用做其他未授权的目的 攻击者发掘系统的缺陷或安全脆弱性 对信息或其他资源的合法访问被无条件地拒绝,或推迟的操作 信息从被监视的通信过程中泄露出去 信息从电子或机电设备所发出的无线射频中被提取出来 一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人 信息被泄露或暴露给某个未授权的实体 通过对数据进行未授权的创建、修改或破坏,使数据的一致性受到损害 某一通信数据项在传输过程中被改变、删除或替代 一个实体(人或系统)假装成另一个不同的实体 信息被从废弃的或打印过的媒体中获得 一个入侵者通过绕过物理控制而获得对系统的访问 出于非法的目的而重新发送所截获的合法通信数据项的备份 参与某次通信交换的一方,事后错误地否认曾经发生过此次交换 某一资源(如端口)被故意超负荷地使用,导致其他用户的服务被中断 某一伪系统或系统部件欺骗合法的用户,或系统自愿地放弃敏感信息 某一安全攸关的物品,如令牌或身份卡被盗 通过对通信量的观察(有、无、数量、方向、频率)而造成信息泄露 将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入 数据时,允许安全 策略被违反 含有察觉不出或无害程序段的软件,当它被运行时,会损害用户的安全
3. 监测型(状态检测防火墙)
监测型防火墙是新一代的产品,监测型防火墙能够对各层的数据进行主动 的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够 有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还 带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节 点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破 坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中, 有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统 防火墙的定义,而且在安全性上也超越了前两代产品。
网络安全管理培训课程(PPT43张)
二、 软 件 设 施 的 安 全 管 理
2. 软件设施安全管理主要环节 (1)购置管理 购置管理又包括如下主要环节: 一是选购;二是安装和检测;三是登记。 (2)使用和维护管理 (3)开发管理 (4)病毒管理
第十章 网络安全管理
第三节
网络信息的安全管理
一、密钥管理和口令管理
二、软件设施的安全管理 三、存储介质的安全管理
灾难恢复策略通常体现如下一些思想:
1. 灾难恢复策略的确立
失减到最小而进行的一系列活动。 坏的预计;充分利用一切现有资源在灾难时
用于恢复重建系统;既要重视灾后恢复,更
要注意灾前措施。
第十章 网络安全管理
第四节
三、 灾 难 恢 复 管 理
网络安全运行管理
对灾难恢复的管理主要包括如下内容: 2. 灾难恢复计划的制定 灾难恢复计划是为了贯彻灾难恢复策 略而在灾前灾后进行一系列相关活动的依 据。其主要内容应包括如下几个部分: (1)紧急措施 (2)资源备用 (3)关键信息 (4)演习方案 (5)恢复过程
第十章 网络安全管理
第二节
网络设施安全管理
二、 机 房 和 场 地 设 施 的 安 全 管 理
第二节
网络设施安全管理
2. 机房和场地设施安全管理的若干重要措施
(1)人员出入控制 (2)电磁辐射防护
第十章
网络安全管理
第十章
网络安全管理
第一节 网络安全管理概述 第二节 网络设施安全管理
第三节 网络信息的安全管理 第四节 网络安全运行管理
网络设施安全管理
1. 主要硬件设施及其安全需求
组成网络的硬件设施主要有
计算机、网络节点设备、传输介
质及转换器、输入输出设备等
第十章
2. 软件设施安全管理主要环节 (1)购置管理 购置管理又包括如下主要环节: 一是选购;二是安装和检测;三是登记。 (2)使用和维护管理 (3)开发管理 (4)病毒管理
第十章 网络安全管理
第三节
网络信息的安全管理
一、密钥管理和口令管理
二、软件设施的安全管理 三、存储介质的安全管理
灾难恢复策略通常体现如下一些思想:
1. 灾难恢复策略的确立
失减到最小而进行的一系列活动。 坏的预计;充分利用一切现有资源在灾难时
用于恢复重建系统;既要重视灾后恢复,更
要注意灾前措施。
第十章 网络安全管理
第四节
三、 灾 难 恢 复 管 理
网络安全运行管理
对灾难恢复的管理主要包括如下内容: 2. 灾难恢复计划的制定 灾难恢复计划是为了贯彻灾难恢复策 略而在灾前灾后进行一系列相关活动的依 据。其主要内容应包括如下几个部分: (1)紧急措施 (2)资源备用 (3)关键信息 (4)演习方案 (5)恢复过程
第十章 网络安全管理
第二节
网络设施安全管理
二、 机 房 和 场 地 设 施 的 安 全 管 理
第二节
网络设施安全管理
2. 机房和场地设施安全管理的若干重要措施
(1)人员出入控制 (2)电磁辐射防护
第十章
网络安全管理
第十章
网络安全管理
第一节 网络安全管理概述 第二节 网络设施安全管理
第三节 网络信息的安全管理 第四节 网络安全运行管理
网络设施安全管理
1. 主要硬件设施及其安全需求
组成网络的硬件设施主要有
计算机、网络节点设备、传输介
质及转换器、输入输出设备等
第十章
网络管理与信息安全培训教材
第8章 网络管理与信息安全
第8章 网络管理与信息安全
第8章 网络管理与信息安全
8.4.1 数字证书
下面以OpenCA身份认证系统为例说明CA系统的工作流程。整个CA 采用图8.11所示的体系结构模型。
客户实体
访问控制
Web接口
L
D
A
RA
CA1
P
交叉认证
管理控制台
图8.11 CA系统结构
数据库
在OpenCA认证系统当中,整个CA系统由注册机构RA、认证机构CA、 CA管理员平台、访问控制系统以及目录服务器组成。
8. PKI提供的服务
➢ 认证。认证就是确认实体是它自己所申明的主体。在应用程序 中有实体鉴别和数据来源鉴别这两种情形。 ➢ 机密性。机密性就是确保数据的秘密,除了指定的实体外,无 人能读出这段数据。 ➢ 完整性。数据完整性就是确认数据没有被非法修改。 ➢ 不可否认。通常指的是对数据来源的不可否认和接受后的不可 否认。 ➢ 安全时间戳。安全时间戳就是一个可信的时间权威机构用一段 可认证的完整的数据表示时间戳。 ➢ 特权管理。在一个特定的环境中,必须为单个实体、特定的实 体组和指定的实体角色制定策略。
第8章 网络管理与信息安全
8.4.2 公钥基础设施
目录服务器( LDAP)
获取
获取
证书和CRL 证书
发布 证书和CRL
终端实体
登记注册信息
注册
和发布证书
RA
CA间管 理操作
获取证书、CRL、登记、查询
CA
CA
读取证书
证书库
存放证书
图8.14 PKI的运行模型
用户向RA提交证书申请或证书注销请求,由RA审核;RA将审核后 的用户证书申请或证书注销请求提交给CA;CA最终签署并颁发用户证 书,并且登记在证书库中,同时定期更新证书撤消列表CRL,供用户查 询。从根CA到本地CA之间存在一条链,下一级CA有上一级CA授权。
第8章 网络管理与信息安全
第8章 网络管理与信息安全
8.4.1 数字证书
下面以OpenCA身份认证系统为例说明CA系统的工作流程。整个CA 采用图8.11所示的体系结构模型。
客户实体
访问控制
Web接口
L
D
A
RA
CA1
P
交叉认证
管理控制台
图8.11 CA系统结构
数据库
在OpenCA认证系统当中,整个CA系统由注册机构RA、认证机构CA、 CA管理员平台、访问控制系统以及目录服务器组成。
8. PKI提供的服务
➢ 认证。认证就是确认实体是它自己所申明的主体。在应用程序 中有实体鉴别和数据来源鉴别这两种情形。 ➢ 机密性。机密性就是确保数据的秘密,除了指定的实体外,无 人能读出这段数据。 ➢ 完整性。数据完整性就是确认数据没有被非法修改。 ➢ 不可否认。通常指的是对数据来源的不可否认和接受后的不可 否认。 ➢ 安全时间戳。安全时间戳就是一个可信的时间权威机构用一段 可认证的完整的数据表示时间戳。 ➢ 特权管理。在一个特定的环境中,必须为单个实体、特定的实 体组和指定的实体角色制定策略。
第8章 网络管理与信息安全
8.4.2 公钥基础设施
目录服务器( LDAP)
获取
获取
证书和CRL 证书
发布 证书和CRL
终端实体
登记注册信息
注册
和发布证书
RA
CA间管 理操作
获取证书、CRL、登记、查询
CA
CA
读取证书
证书库
存放证书
图8.14 PKI的运行模型
用户向RA提交证书申请或证书注销请求,由RA审核;RA将审核后 的用户证书申请或证书注销请求提交给CA;CA最终签署并颁发用户证 书,并且登记在证书库中,同时定期更新证书撤消列表CRL,供用户查 询。从根CA到本地CA之间存在一条链,下一级CA有上一级CA授权。
《网络安全与管理》PPT课件
第 N 轮
128位密文
128明文
(a)加密
(b)解密
AES的加密解密流程
单击此处编辑母版标题样式 单击此处编辑母版标题样式 三、公开密钥体制 单击此处编辑母版标题样式
相对于对称加密算法,这种方法也叫做非对 称加密算法,需要公开密钥(public key)和 私有密钥(private key)两个密钥。
K2
置换选择2
循环左移第16轮来自K16置换选择2
循环左移
32位互换
DES经过总共16轮的替代和换位的变换后,使得密码分 析者无法获得该算法一般特性以外更多的信息。
逆初始置换 64位密文
DES算法描述
单击此处编辑母版标题样式 单击此处编辑母版标题样式 新一代加密标准AES 单击此处编辑母版标题样式
AES是一个迭代的、对称密钥分组的密码 算法可以使用128、192 和 256 位密钥,并且 用 128 位分组加密和解密数据,算法迭代次 数由分组长度和密钥长度共同决定。
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的五要素 单击此处编辑母版标题样式
网络安全包括五个基本要素 机密性 完整性 可用性 可控性 可审查性
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的分类 单击此处编辑母版标题样式
根据安全需求将其分为数据保密、数据完 整性、身份验证、授权、不可抵赖和不可 否认等几个部分; 根据解决手段可以分为病毒防范、防火墙、 存取控制、身份鉴别、安全综合解决方案; 根据威胁来源将其划分为网络攻击行为、 安全漏洞及恶意代码等类别。
当通信双方发生了下列情况时,数字签名技 术能够解决引发的争端: 否认:发送方不承认自己发送过某一报文。 伪造:接收方自己伪造一份报文,并声称 它来自发送方。 冒充:网络上的某个用户冒充另一个用户 接收或发送报文。 篡改:接收方对收到的信息进行篡改。
128位密文
128明文
(a)加密
(b)解密
AES的加密解密流程
单击此处编辑母版标题样式 单击此处编辑母版标题样式 三、公开密钥体制 单击此处编辑母版标题样式
相对于对称加密算法,这种方法也叫做非对 称加密算法,需要公开密钥(public key)和 私有密钥(private key)两个密钥。
K2
置换选择2
循环左移第16轮来自K16置换选择2
循环左移
32位互换
DES经过总共16轮的替代和换位的变换后,使得密码分 析者无法获得该算法一般特性以外更多的信息。
逆初始置换 64位密文
DES算法描述
单击此处编辑母版标题样式 单击此处编辑母版标题样式 新一代加密标准AES 单击此处编辑母版标题样式
AES是一个迭代的、对称密钥分组的密码 算法可以使用128、192 和 256 位密钥,并且 用 128 位分组加密和解密数据,算法迭代次 数由分组长度和密钥长度共同决定。
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的五要素 单击此处编辑母版标题样式
网络安全包括五个基本要素 机密性 完整性 可用性 可控性 可审查性
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的分类 单击此处编辑母版标题样式
根据安全需求将其分为数据保密、数据完 整性、身份验证、授权、不可抵赖和不可 否认等几个部分; 根据解决手段可以分为病毒防范、防火墙、 存取控制、身份鉴别、安全综合解决方案; 根据威胁来源将其划分为网络攻击行为、 安全漏洞及恶意代码等类别。
当通信双方发生了下列情况时,数字签名技 术能够解决引发的争端: 否认:发送方不承认自己发送过某一报文。 伪造:接收方自己伪造一份报文,并声称 它来自发送方。 冒充:网络上的某个用户冒充另一个用户 接收或发送报文。 篡改:接收方对收到的信息进行篡改。
第8章网络安全与管理new
(2) 加密密钥不能用来解密,即DPK(EPK(X))≠X; (3) 在计算机上可以很容易地产生成对的PK和SK,
但从已知的PK不可能推导出SK。
RSA体制
RSA算法是由Rivest、Shamir和Adleman于 1978年提出的,曾被ISO/TC97的数据加密技 术委员会SC20推荐为公开密钥数据加密标准。
8.3 网络热点技术
8.3.1 目录服务 8.3.2 负载均衡
8.1 计算机网络安全
计算机网络安全是指通过采取各种技术的和管理的 措施,确保网络数据的可用性、完整性和保密性,其目 的是确保经过网络传输和交换的数据不会发生增加、修 改、丢失和泄漏等 。
8.1.1 网络系统安全概述
计算机安全基础
1. 什么是计算机安全 国际标准化组织ISO对计算机安全作了如下定义:计算机 安全是指为保护数据处理系统而采取的技术的和管理的安 全措施,保护计算机硬件、软件和数据不会因偶然或故意 的原因而遭到破坏、更改和泄密。
替代密码(substitution cipher),每个字符都用字符表 中向左移动一个固定数字的字符替代。例如,将明文字符的 顺序保持不变,都左移3个字符,即密钥为3。
明文A B C D…W X Y Z
密文d e f q … z a b c
2)分组密码体制 把明文划分成固定的n比特的数据组,然后在密钥的 控制下按组进行加密
2. 计算机安全的主要内容 计算机硬件的安全性;软件安全性;数据安全性; 计算机运行安全性。
3. 破坏计算机安全的途径
• 计算机网络上的通信面临以下的四种威胁: (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。
但从已知的PK不可能推导出SK。
RSA体制
RSA算法是由Rivest、Shamir和Adleman于 1978年提出的,曾被ISO/TC97的数据加密技 术委员会SC20推荐为公开密钥数据加密标准。
8.3 网络热点技术
8.3.1 目录服务 8.3.2 负载均衡
8.1 计算机网络安全
计算机网络安全是指通过采取各种技术的和管理的 措施,确保网络数据的可用性、完整性和保密性,其目 的是确保经过网络传输和交换的数据不会发生增加、修 改、丢失和泄漏等 。
8.1.1 网络系统安全概述
计算机安全基础
1. 什么是计算机安全 国际标准化组织ISO对计算机安全作了如下定义:计算机 安全是指为保护数据处理系统而采取的技术的和管理的安 全措施,保护计算机硬件、软件和数据不会因偶然或故意 的原因而遭到破坏、更改和泄密。
替代密码(substitution cipher),每个字符都用字符表 中向左移动一个固定数字的字符替代。例如,将明文字符的 顺序保持不变,都左移3个字符,即密钥为3。
明文A B C D…W X Y Z
密文d e f q … z a b c
2)分组密码体制 把明文划分成固定的n比特的数据组,然后在密钥的 控制下按组进行加密
2. 计算机安全的主要内容 计算机硬件的安全性;软件安全性;数据安全性; 计算机运行安全性。
3. 破坏计算机安全的途径
• 计算机网络上的通信面临以下的四种威胁: (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断他人在网络上的通信。 (3) 篡改——故意篡改网络上传送的报文。 (4) 伪造——伪造信息在网络上传送。
计算机网络第8章 计算机网络安全与管理-课件
13
3.报文鉴别
8.1.3 网络安全的技术体系
4.CA认证
密钥管理是密码学中一个重要的分支,密钥分配又是密钥管 理中最大的问题。密钥分配根据密钥的不同分为对称密钥分 配和非对称密钥分配两种。CA(Certification Authority)认 证中心则是对非对称密钥进行分配认证的权威机构。 防火墙是建立在内外部网络之间的一种设备,主要起到访问 控制的作用。它严格控制进出网络边界的信息,只允许那些 授权的数据通过,防止内外部网络之间非法传递信息。 同时,它也阻止未经许可的用户访问内部网络。作为内部网 络和外部网络之间的安全屏障,防火墙目前使用的技术主要 有包过滤技术和代理服务技术等。
12
8.1.3 网络安全的技术体系
2.数据签名
数字签名是在加密技术的基础上,由发送方通过公钥密 码技术对传送的报文进行处理,产生其他人无法伪造的 密文,这个密文用来认证报文的来源并核实报文是否发 生了变化,防止发送者的抵赖行为。 报文鉴别是用来确定报文的确是由报文发送者发送的, 而不是其他冒充者伪造或篡改的。 通过报文鉴别可以使通信的接收方能够验证所接收报文 的来源和真伪,报文鉴别通过对报文摘要进行数字签名 达到鉴别目的。
7
8.1.1 网络安全威胁
对于主动攻击,由于信息的真实性和完整性遭 到了破坏,可以采取适当的措施对其加以检测, 并采用加密、鉴别反拒认和完整性技术来对付; 而对于被动攻击,通常检测不出来,因此需要 采用各种数据加密技术以防止数据被盗用或分 析。
8
8.1 网络安全概述
8.1.2 网络安全的目标和内容
1)可用性 授权的合法用户在其需要时可正常访问数据, 即不允许攻击者占用网络资源而阻碍授权用户的访问。 2)保密性 通过数据加密技术,确保信息不泄露给未授 权的实体或进程。 3)完整性 通过完整性鉴别机制,能够保证只有得到允 许的用户才能对数据进行修改,并且能够检测出收到的 数据在传输过程中是否被篡改。 4)不可抵赖性 又称不可否认性,是指使用审计、监控、 防抵赖等安全机制,通过数据签名、报文鉴别等方法, 防止交易双方否认或抵赖曾经完成的操作和承诺。
3.报文鉴别
8.1.3 网络安全的技术体系
4.CA认证
密钥管理是密码学中一个重要的分支,密钥分配又是密钥管 理中最大的问题。密钥分配根据密钥的不同分为对称密钥分 配和非对称密钥分配两种。CA(Certification Authority)认 证中心则是对非对称密钥进行分配认证的权威机构。 防火墙是建立在内外部网络之间的一种设备,主要起到访问 控制的作用。它严格控制进出网络边界的信息,只允许那些 授权的数据通过,防止内外部网络之间非法传递信息。 同时,它也阻止未经许可的用户访问内部网络。作为内部网 络和外部网络之间的安全屏障,防火墙目前使用的技术主要 有包过滤技术和代理服务技术等。
12
8.1.3 网络安全的技术体系
2.数据签名
数字签名是在加密技术的基础上,由发送方通过公钥密 码技术对传送的报文进行处理,产生其他人无法伪造的 密文,这个密文用来认证报文的来源并核实报文是否发 生了变化,防止发送者的抵赖行为。 报文鉴别是用来确定报文的确是由报文发送者发送的, 而不是其他冒充者伪造或篡改的。 通过报文鉴别可以使通信的接收方能够验证所接收报文 的来源和真伪,报文鉴别通过对报文摘要进行数字签名 达到鉴别目的。
7
8.1.1 网络安全威胁
对于主动攻击,由于信息的真实性和完整性遭 到了破坏,可以采取适当的措施对其加以检测, 并采用加密、鉴别反拒认和完整性技术来对付; 而对于被动攻击,通常检测不出来,因此需要 采用各种数据加密技术以防止数据被盗用或分 析。
8
8.1 网络安全概述
8.1.2 网络安全的目标和内容
1)可用性 授权的合法用户在其需要时可正常访问数据, 即不允许攻击者占用网络资源而阻碍授权用户的访问。 2)保密性 通过数据加密技术,确保信息不泄露给未授 权的实体或进程。 3)完整性 通过完整性鉴别机制,能够保证只有得到允 许的用户才能对数据进行修改,并且能够检测出收到的 数据在传输过程中是否被篡改。 4)不可抵赖性 又称不可否认性,是指使用审计、监控、 防抵赖等安全机制,通过数据签名、报文鉴别等方法, 防止交易双方否认或抵赖曾经完成的操作和承诺。
第08章网络安全与网络管理PPT课件
网络安全漏洞也会表现在以上几个方面。
网络中的信息安全保密
信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用; 信息传输安全
如何保证信息在网络传输的过程中不被泄露与不被 攻击;
网络中的信息安全保密问题
信息源结点 信息源结点
截获 非法用户
( b ) 信 息被 截 获
网络防攻击主要问题需要研究的几个问题
网络可能遭到哪些人的攻击? 攻击类型与手段可能有哪些? 如何及时检测并报告网络被攻击? 如何采取相应的网络安全策略与网络安全防护体系?
网络安全漏洞与对策的研究
网络信息系统的运行涉及到:
计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议
窃听 非法用户
( c ) 信 息被 窃 听
信息目的结点 信息目的结点
信息源结点 信息源结点
篡改 非法用户 ( d ) 信 息被 篡 改
伪造 非法用户 ( e ) 信 息被 伪 造
信息目的结点 信息目的结点
数据加密与解密
将明文变换成密文的过程称为加密; 将密文经过逆变换恢复成明文的过程称为解密。
明文
构成对网络安全威胁的主要因素与相关技术的研究
网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题
网络防攻击问题
服务攻击: 对网络提供某种服务的服务器发起攻击,造成该网络的 “拒绝服务”,使网络工作不正常;
非服务攻击: 不针对某项具体应用服务,而是基于网络层等低层协议 而进行的,使得网络通信设备工作严重阻塞或瘫痪。
路径,以确保数据安全。 (8)公正机制:主要是在发生纠纷时进行公正仲裁用。
网络中的信息安全保密
信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用; 信息传输安全
如何保证信息在网络传输的过程中不被泄露与不被 攻击;
网络中的信息安全保密问题
信息源结点 信息源结点
截获 非法用户
( b ) 信 息被 截 获
网络防攻击主要问题需要研究的几个问题
网络可能遭到哪些人的攻击? 攻击类型与手段可能有哪些? 如何及时检测并报告网络被攻击? 如何采取相应的网络安全策略与网络安全防护体系?
网络安全漏洞与对策的研究
网络信息系统的运行涉及到:
计算机硬件与操作系统 网络硬件与网络软件 数据库管理系统 应用软件 网络通信协议
窃听 非法用户
( c ) 信 息被 窃 听
信息目的结点 信息目的结点
信息源结点 信息源结点
篡改 非法用户 ( d ) 信 息被 篡 改
伪造 非法用户 ( e ) 信 息被 伪 造
信息目的结点 信息目的结点
数据加密与解密
将明文变换成密文的过程称为加密; 将密文经过逆变换恢复成明文的过程称为解密。
明文
构成对网络安全威胁的主要因素与相关技术的研究
网络防攻击问题 网络安全漏洞与对策问题 网络中的信息安全保密问题 网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题
网络防攻击问题
服务攻击: 对网络提供某种服务的服务器发起攻击,造成该网络的 “拒绝服务”,使网络工作不正常;
非服务攻击: 不针对某项具体应用服务,而是基于网络层等低层协议 而进行的,使得网络通信设备工作严重阻塞或瘫痪。
路径,以确保数据安全。 (8)公正机制:主要是在发生纠纷时进行公正仲裁用。
网络管理与安全
• RFC规定,PC在发ARP请求,任何一台PC都可以向其它
PC通告:自己就是,给攻击者带来漏洞
PC A
PC B
ARP请求
PC C
PC D
非法ARP响应: IP A<->MAC C
ARP欺骗
ARP欺骗
利用ARP漏洞,发送虚假ARP请求报文和响应报文, 报文中的源IP和源MAC均为虚假的;
扰乱网中各PC以及网关中保存的ARP表,使得合 法PC通讯中断,流量流入攻击者手中
交换机变成了一个Hub,用户的信息传输也没有安全 保障了
MAC攻击
MAC A X Y
Port 1 1 1
交换机MAC地址表空间很 快占满。
没有空间学习合法的MAC B,MAC C
PC A MAC A
MAC攻击:每秒发送成千 上万个随机源MAC的报文
交换机
单播流量在交换机内部以 广播包方式, 在所有端 口转发,非法者也能接受 到这些报文
一、网络管理功能
3.性能管理 性能管理保证有效地运营网络并提供约定的服务质量。性能管理
包括功能是正确地计算和收取用户使用网络服务的费用,
进行网络资源利用率的统计和网络的成本效益核算。
计费管理主要提供费率管理功能和账单管理功能
5.安全管理 安全管理的作用是提供信息的保密、认证和完整性保护机制,使
3.管理信息库 管理信息库(MIB)是网络管理系统需要管理数据的集合。 4.网络管理协议 网络管理协议是管理者与被管理者之间的操作规范,而具体的操
作对象是管理信息的集合——管理信息库(MIB)。
二、网络管理系统组成元素
一个网络管理协议必须包括以下功能: 读取:管理工作站读取代理上的管理信息库的某个值 设置:管理工作站设置代理上的管理信息库的某个值 通报:代理通知管理工作站有重大事件发生。
PC通告:自己就是,给攻击者带来漏洞
PC A
PC B
ARP请求
PC C
PC D
非法ARP响应: IP A<->MAC C
ARP欺骗
ARP欺骗
利用ARP漏洞,发送虚假ARP请求报文和响应报文, 报文中的源IP和源MAC均为虚假的;
扰乱网中各PC以及网关中保存的ARP表,使得合 法PC通讯中断,流量流入攻击者手中
交换机变成了一个Hub,用户的信息传输也没有安全 保障了
MAC攻击
MAC A X Y
Port 1 1 1
交换机MAC地址表空间很 快占满。
没有空间学习合法的MAC B,MAC C
PC A MAC A
MAC攻击:每秒发送成千 上万个随机源MAC的报文
交换机
单播流量在交换机内部以 广播包方式, 在所有端 口转发,非法者也能接受 到这些报文
一、网络管理功能
3.性能管理 性能管理保证有效地运营网络并提供约定的服务质量。性能管理
包括功能是正确地计算和收取用户使用网络服务的费用,
进行网络资源利用率的统计和网络的成本效益核算。
计费管理主要提供费率管理功能和账单管理功能
5.安全管理 安全管理的作用是提供信息的保密、认证和完整性保护机制,使
3.管理信息库 管理信息库(MIB)是网络管理系统需要管理数据的集合。 4.网络管理协议 网络管理协议是管理者与被管理者之间的操作规范,而具体的操
作对象是管理信息的集合——管理信息库(MIB)。
二、网络管理系统组成元素
一个网络管理协议必须包括以下功能: 读取:管理工作站读取代理上的管理信息库的某个值 设置:管理工作站设置代理上的管理信息库的某个值 通报:代理通知管理工作站有重大事件发生。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3
6
应用级防火墙
7
应用级防火墙
– 又称为代理服务器 – 作为应用级流量的中继点
8
电路级网关
• 工作在传输层:TCP连接由网关交互
9
入侵者
• 越来越严重的问题
– 始于1986/87年“Wily Hacker”
• 有些看来无害,但严重耗费资源成本 • 有些利用其他主机或系统发动攻击
10
入侵检测
• 按照分析技术分类
– 滥用检测 – 常检测
• 按照数据源分类
– 基于主机的入侵检测系统 – 基于网络的入侵检测系统 – 分布式检测系统
11
常用的入侵检测技术
• 1.模式匹配 • 2.统计分析 • 3.基于专家系统的技术
12
计算机病毒及其防范
• 计算机病毒特点
– 隐蔽性 – 传染性 – 潜伏性 – 破坏性
• 引导型病毒 • 文件型病毒 • 混合型病毒
• 其他恶意程序 • 陷门(后门)
• 外壳型病毒
• 特洛伊木马
• 蠕虫
14
计算机病毒及其防范
• 检测
– 比较法 – 搜索法 – 特征字识别法 – 分析法 – 通用解密技术 – 人工智能技术
• 鉴别 • 清除
Байду номын сангаас15
常用杀毒软件
通过学生自己安装使用不同软件实 验
防火墙
• 定义 • 防火墙位置
1
防火墙
• 功能
– 设置策略、访问控制 – 控制内部特殊主机的访问(如web、ftp、mail等服
务器) – 监控并记录通信活动
• 特性
– 所有进出流量都应经过防火墙 – 只有允许的流量通过 – 防火墙不可穿透
2
防火墙
• 缺点
– 不能防御绕过防火墙的攻击(如拨号) – 不能消除内部的威胁(如内部人员泄密) – 不能防范病毒 – 不能防范未知的威胁
13
计算机病毒及其防范
• 计算机病毒分类
– 按照攻击对象
• DOS病毒 • Windows病毒 • Mac病毒 • Unix病毒 • 网络病毒
– 按照连接方式分类
• 源码型病毒 • 入侵型病毒 • 操作系统型病毒
• 计算机病毒分类
– 按照破坏力分类
• 良性病毒 • 恶性病毒
– 按照病毒的宿主分 类
16
6
应用级防火墙
7
应用级防火墙
– 又称为代理服务器 – 作为应用级流量的中继点
8
电路级网关
• 工作在传输层:TCP连接由网关交互
9
入侵者
• 越来越严重的问题
– 始于1986/87年“Wily Hacker”
• 有些看来无害,但严重耗费资源成本 • 有些利用其他主机或系统发动攻击
10
入侵检测
• 按照分析技术分类
– 滥用检测 – 常检测
• 按照数据源分类
– 基于主机的入侵检测系统 – 基于网络的入侵检测系统 – 分布式检测系统
11
常用的入侵检测技术
• 1.模式匹配 • 2.统计分析 • 3.基于专家系统的技术
12
计算机病毒及其防范
• 计算机病毒特点
– 隐蔽性 – 传染性 – 潜伏性 – 破坏性
• 引导型病毒 • 文件型病毒 • 混合型病毒
• 其他恶意程序 • 陷门(后门)
• 外壳型病毒
• 特洛伊木马
• 蠕虫
14
计算机病毒及其防范
• 检测
– 比较法 – 搜索法 – 特征字识别法 – 分析法 – 通用解密技术 – 人工智能技术
• 鉴别 • 清除
Байду номын сангаас15
常用杀毒软件
通过学生自己安装使用不同软件实 验
防火墙
• 定义 • 防火墙位置
1
防火墙
• 功能
– 设置策略、访问控制 – 控制内部特殊主机的访问(如web、ftp、mail等服
务器) – 监控并记录通信活动
• 特性
– 所有进出流量都应经过防火墙 – 只有允许的流量通过 – 防火墙不可穿透
2
防火墙
• 缺点
– 不能防御绕过防火墙的攻击(如拨号) – 不能消除内部的威胁(如内部人员泄密) – 不能防范病毒 – 不能防范未知的威胁
13
计算机病毒及其防范
• 计算机病毒分类
– 按照攻击对象
• DOS病毒 • Windows病毒 • Mac病毒 • Unix病毒 • 网络病毒
– 按照连接方式分类
• 源码型病毒 • 入侵型病毒 • 操作系统型病毒
• 计算机病毒分类
– 按照破坏力分类
• 良性病毒 • 恶性病毒
– 按照病毒的宿主分 类
16