计算机网络安全基础第8章
计算机网络安全基础_第08章_防火墙技术
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
1.试验网络
在大多数情况下,应该在内部防火墙中设置这样的
网络,并给每个试验网络配置一台路由器并连接到参数
网络。而主要的包过滤工作在连接参数网络与内部主网
的路由器上完成。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
2.低保密网络 试验网络比较危险,但它对整个内部网的安全构成
的威胁还不是最大的。而许多内部网组织结构里面的资 源本身就固有一些非安全因素。比如,校园网中那些包 含学生公寓网点的部分就被认为是不安全的,单位企业 网中的那些演示网部分、客户培训网部分和开放实验室 网部分都被认为是安全性比较差的。但这些网又比纯粹 的外部网与内部网其它部分的交互要多得多。这些网络 称为低保密网。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统:通过路由器或主机/服务器蓄意破坏文件系 统或阻止授权用户访问内部网 (外部网)和服务器。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
8.1.6 内部防火墙
但有时为了某些原因,我们还需要对内部网的部分 站点再加以保护以免受其它站点的侵袭。因此,有时我 们需要在同一结构的两个部分之间,或者在同一内部网 的两个不同组织结构之间再建立防火墙(也被称为内部 防火墙)。
第8章计算机安全
1.一个未经授权的用户访问了某种信息,则破坏了信息的可控性。
2.通讯的双方必须承认其接受信息或发送信息的事实,是指信息的不可抵赖性。
3.信息不暴露给未经授权的实体是指信息的保密性。
4.要求系统在规定的时间内和规定的条件下完成规定的功能,是指信息的可靠性。
5.下列情况中,破坏了数据的完整性的攻击是数据在传输中途被篡改。
6.下列情况中,破坏了数据的保密性的攻击是数据在传输中途被窃听。
7.使用大量垃圾信息,占用带宽(拒绝服务)的攻击破坏的是可用性。
8.数据备份主要的目的是提高数据的可用性。
9.计算机安全属性不包括及时性。
10.如果信息接收者已接收到信息,但不承认已接收,则破坏了信息的不可抵赖性。
11.向某个网站发送大量垃圾邮件,则破坏了信息的可用性。
12.如果信息在传输过程中被篡改,则破坏了信息的完整性。
13.密码技术不是用来实现信息的可控性。
14.网络安全的基本目标不包括实现信息的正确性。
15.数据备份保护信息系统的安全属性是可用性。
16.计算机安全的属性不包括数据的合理性。
17.保密数据的保密程度不包含私密。
18.密码技术主要保证信息的保密性和完整性。
19.计算机安全属性不包括语义正确性。
20.信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的属性指的是完整性。
21.确保信息不暴露给未经授权的实体的属性指的是保密性。
22.通信双方对其收、发过的信息均不可抵赖的特性指的是不可抵赖性。
23.下面不属于可控性的技术是文件加密。
24.得到授权的实体需要时就能得到资源和获得相应的服务,这一属性指的是可用性。
26.计算机安全不包括操作安全。
27.在计算机安全所涉及的领域中,由硬件安全不完备所造成的信息泄露、丢失是指实体安全。
28.下列选项中,属于计算机病毒特征的是潜伏性。
29.下列选项中,不属于计算机病毒特征的是偶发性。
30.下列选项中,不属于计算机病毒特征的是周期性。
31.计算机病毒最主要的特征是传染性和破坏性。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
计算机网络_自顶向下方法_(中文版课件)第八章_网络安全.TopDownV3-8
+ KB
网络安全 18
RSA: 加密,解密
0. 给定(n,e)和(n,d)如上面所计算 1. 为加密比特模式, m, 计算
c = m e mod n (即当 me被n相除时的余数)
(m mod n) d mod n = m edmod n = m
e
ed mod (p-1)(q-1)
1
(using number theory result above)
mod n
= m mod n
(因为我们选择ed(p-1)(q-1) 相除具有余数1 )
= m
网络安全 21
RSA: 另一个重要性质
Alice的 IP 地址
加密的 “I’m Alice” 口令
记录并重放 仍然有效!
Alice的 IP地址
OK
Alice的 IP地址
加密的 “I’m Alice” 口令
网络安全
31
鉴别:另一种尝试
目标:避免重放攻击 不重数(Nonce): 数字(R)一生仅用 一次 ap4.0: 为了证实 Alice “活跃”, Bob向Alice发送不重数 。 Alice必须返回 R, 用共享的秘密密钥加密 “I am Alice” R KA-B(R) 实效,缺点?
网络安全 3
什么是网络安全?
机密性: 仅发送方,希望的接收方应当“理解” 报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输 或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用
计算机网络第8章
c = m e mod n
2. 接收方为了对收到的密文报文c解密, 则需计算
m = c d Βιβλιοθήκη od nm = (m e mod n) d mod n
c
8: 网络安全 8-19
RSA 例子:
Bob选择
p=5, q=7 那么 n=35, z=24 e=5 (因为5和24没有公因数) d=29 (因为5*29-1可以被24整除)
8: 网络安全
8-7
第八章 内容大纲
8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 什么是网络安全? 密码学的原理 鉴别 完整性 密钥分发和认证 访问控制: 防火墙 攻击和对策 多个层次中的安全性
8: 网络安全 8-8
密码技术
Alice的 K 加密密钥 A 明文 加密 算法 密文 Bob的 K 解密密钥 B 解密 算法 明文
明文: bob. i love you. alice 密文: nkn. s gktc wky. mgsbc
Q: 破解这种简单密码方案的难易程度: 穷举法 其它方法
8: 网络安全 8-10
对称密钥密码学
KA-B
明文 报文, m
KA-B
密文 K
A-B
加密 算法
(m)
解密 算法
明文
m=K
A-B
( KA-B(m) )
对称密钥技术: 发送方和接收方的密钥是相同的 公钥技术: 加密密钥双方均知, 解密密钥仅一方知道
8: 网络安全
8-9
对称密钥密码学
置换密码: 用一种东西替换另一种东西
单码代替密码: 用一个字母替换另一个字母 明文: abcdefghijklmnopqrstuvwxyz 密文: mnbvcxzasdfghjklpoiuytrewq 例如:
网络安全基础第三版课后完整答案
网络安全基础第三版课后完整答案加油计算机网络安全第一章:1、什么是OSI安全体系结构?安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。
第二章:1、对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?替换和转换3、两个人通过对称密码通信需要多少个密钥?1个4、分组密码和流密码的区别是什么?流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。
比如des是64比特的明文一次性加密成密文。
密码分析方面有很多不同。
比如流密码中,比特流的很多统计特性影响到算法的安全性。
密码实现方面有很多不同。
比如流密码通常是在特定硬件设备上实现。
分组密码既可以在硬件实现,也方便在计算机上软件实现。
5、攻击密码的两个通用方法是什么?密钥搜索和夯举方法6、什么是三重加密?在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。
三重DES有四种模型。
(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密?3DES加密过程中的第二步使用的解密没有密码方面的意义。
它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么?对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。
第8章 计算机安全真题及答案
第8章计算机安全网考真题(选择题)1.计算机安全的属性不包括________。
A。
保密性B. 完整性C. 不可抵赖性和可用性D. 数据的合理性参考答案: D 所属章节:[信息安全与网络道德]2.计算机安全属性不包括______。
A。
保密性B。
完整性C. 可用性服务和可审性D。
语义正确性参考答案: D 所属章节:[信息安全与网络道德]3.得到授权的实体需要时就能得到资源和获得相应的服务,这一属性指的是______.A。
保密性B。
完整性C. 可用性D. 可靠性参考答案: C 所属章节:[信息安全与网络道德]4.系统在规定条件下和规定时间内完成规定的功能,这一属性指的是______。
A。
保密性B. 完整性C。
可用性D。
可靠性参考答案: C 所属章节:[信息安全与网络道德]5.信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的属性指的是______。
A。
保密性B。
完整性C. 可用性D. 可靠性参考答案:B 所属章节:[信息安全与网络道德]6.确保信息不暴露给未经授权的实体的属性指的是______。
A. 保密性B. 完整性C. 可用性D. 可靠性参考答案: A 所属章节:[信息安全与网络道德]7.通信双方对其收、发过的信息均不可抵赖的特性指的是______。
A. 保密性B。
不可抵赖性C. 可用性D. 可靠性参考答案:B 所属章节:[信息安全与网络道德]8.计算机安全不包括_______。
A。
实体安全B. 操作安全C。
系统安全D。
信息安全参考答案: B 所属章节:[信息安全与网络道德]9.下列情况中,破坏了数据的完整性的攻击是_______A. 假冒他人地址发送数据B. 不承认做过信息的递交行为C. 数据在传输中途被篡改D。
数据在传输中途被窃听参考答案:C 所属章节:[信息安全与网络道德]10.下列情况中,破坏了数据的保密性的攻击是_______A. 假冒他人地址发送数据B. 不承认做过信息的递交行为C. 数据在传输中途被篡改D。
计算机基础知识-第8章网络基础知识概述
单模 SMF
2.多模光纤:光信号与光纤轴成多个可分辨角多光线传输,以 多个模式同时传输,其直径在50-200μm,比单模光纤传输 性能差。可分为多模突变型光纤和多模渐变型光纤,前者纤
芯较大,传输模态较多,带宽窄,转输容量小。
多模 MMF
无线介质
1.微波通信
把微波信号作为载波信号,用被传输的模拟信号或 数字信号来调制它。
1.星型结构 星型拓扑结构即任何两节点之间的通信都要通过中心节点进行转发,中
心节点通常是集线器。
星型拓扑结构
计算机网络的拓扑结构(cont.)
2.总线型结构 总线型网络是将若干个节点平等地连接到一条高速公用总线上的网络。
特点: (1) 结构简单灵活,便于扩充。 (2) 可靠性高 (3) 网络节点响应速度快 (4) 易于布线,成本较低。 (5) 实时性差 ⑹ 物理安全性差 ⑺ 故障诊断困难
计算机网络的产生和发展
• 第一代计算机网络的诞生
– 1946年产生第一台数字计算机
– 1954年收发器终端的产生
第8章 计算机信息安全基础PPT课件
15
2)公钥密码体制
公开密钥加密过程重要步骤如下。 (1)网络中的每个端系统都产生一对用于它将接收的报文 进行加密和解密的密钥。 (2)每个系统都通过把自己的加密密钥放进一个登记本或 者文件来公布它,这就是公开密钥。另一个则是私有的。 (3)如果A想给B发送一个报文,A就是B的公开密钥加密 这个报文。 (4)B收到这个报文后就用他的保密密钥解密报文。其他 所有收到这个报文的人都无法解密,因为只有B才有B的私有 密钥。
计算机安全包括:实体安全、软件安全、数据安全和 运行安全四部分。
3
8.1 计算机数据安全
一、数据安全概述
1、数据安全的重要性
数据安全有对立的两方面的含义: 一是数据本身的安全,主要是指采用现代密码算法对数 据进行主动保护,如数据保密、数据完整性、双向强身份认证 等; 二是数据防护的安全,主要是采用现代信息存储手段对 数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等 手段保证数据的安全,数据安全是一种主动的包含措施,数据 本身的安全必须基于可靠的加密算法与安全体系,主要是有对 称算法与公开密钥密码体系两种。
数 字 证 书 存 放 在 带 有 专 用 密 码 芯 片 的 USBKEY 中 , USBkey是当前主流的证书存放介质。
22
数字证书主要类型:
23
数字签名与验签基于PKI技术(公共密钥体制)基础, 在网络环境中实现通信中各实体的身份认证、保证数据的 完整性、抗否认性和信息保密等功能。
大多数情况下,数据压缩和数据备份结合使用,在操作 上一般分两种:一种是先通过压缩软件进行压缩,然后再进 行数据备份;另一种是在备份的同时进行压缩。
计算机网络第八章作业
一、单项选择题(1)Web 浏览器向侦听标准端口的Web 服务器发出请求之后,在服务器响应的TCP 报头中,源端口号是多少(C)。
A、13B、53C、80D、1024(2)BBS的含义是(C)。
A、文件传输B、3W浏览C、电子公告牌D、电子邮件(3)通过哪种协议可以在网络中动态地获得IP地址(A)。
A、DHCPB、SNMPC、PPPD、UDP(4)有关网络域名系统的描述中,不正确的是(C)。
A、网络域名系统的缩写为DNSB、每个域名可以由几个域组成,域与域之间用“.”分开C、域名中的最左端的域称为顶级域D、CN是常用的顶级域名代码(5)DNS的作用是(C)。
A、为客户机分配IP地址B、访问HTTP的应用程序C、将域名翻译为IP地址D、将MAC地址翻译为IP地址(6)DNS工作于(D)。
A、网络层B、传输层C、会话层D、应用层(7)在Internet中,使用FTP功能可以传送(A)类型的文件。
A、文本文件B、图形文件C、视频文件D、任何类型的文件(8)某人想要在电子邮件中传送一个文件,他可以借助(D)。
A、FTPB、TELNETC、WWWD、电子邮件中的附件功能(9)FTP工作于(D)。
A、网络层B、传输层C、会话层D、应用层(10)FTP控制连接端口号(B)。
A、20B、21C、23D、25(11)系统对WWW 网页存储的默认格式是(C)。
A、PPTB、TXTC、HTMLD、DOC(12)在Internet中,某WWW服务器提供的网页地址为,其中的“http”指的是(B)。
A、WWW服务器主机名B、访问类型为超文本传输协议C、访问类型为文件传输协议D、WWW服务器域名二、简述题1、简述DNS工作原理答:服务器的IP地址向DNS服务器请求进行域名解析,缓存已经解析过的主机名与IP地址对应关系。
解析过程如下:①应用程序请求一个主机名解析②DNS先在本地缓存中查询,若查到,返回IP地址给应用,流程结束。
第八章 信息安全基础知识
2. 应用级网关(Application Level Gateway)
应用级网关主要控制对应用程序的访问,它能够对进出的数据包进 行分析、统计,防止在受信任的服务器与不受信任的主机间直接建 立联系。而且它还提供一种监督控制机制,使得网络内3所示。
图8-4 代理服务防火墙功能模型
代理服务器收到用户对某站点的访问请求后,便立即检查该请求是 否符合规则。若规则允许用户访问该站点,代理服务器便会以客户 身份登录目的站点,取回所需的信息再发回给客户。 代理服务器将所有跨越防火墙的通信链路分为两段,外部用户只能 看到该代理服务器而无法获知任何内部资料,如IP地址,从而起到 了隔离防火墙内、外计算机系统的作用。
8.2.3 计算机病毒的分类
目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也 存在多种,常见的分类有以下几种:
(1)按病毒存在的媒体分类
引导型病毒 文件型病毒
混合型病毒
(2)按病毒的破坏能力分类
良性病毒
恶性病毒
(3)按病毒传染的方法分类
驻留型病毒
非驻留型病毒
(4)按照计算机病毒的链接方式分类
不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
8.3.2 防火墙的基本类型
典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火 墙的技术包括以下四大类:
1. 包过滤防火墙(Packet Filtering Firewall)
包过滤防火墙,又称网络级防火墙,通常由一台路由器或一台充当 路由器的计算机组成,如图8-2所示。
破坏性
计算机病毒的最终目的是破坏系统的正常运行,轻则降低速度,影 响工作效率;重则删除文件内容、抢占内存空间甚至对硬盘进行格式 化,造成整个系统的崩溃。
第八章 计算机安全及答案
第八章计算机安全【例题与解析】1、计算机病毒主要破坏数据的是()。
A 可审性B 可靠性C 完整性D 可用性【解析】C,数据完整性是数据不被改动,而计算机病毒是一种能够通过修改程序,尽可能地把自身复制进去,进而去传染给其他程序的程序。
2、下面说法正确的是()。
A 信息的泄露只在信息的传输过程中发生B信息的泄露只在信息的存储过程中发生C信息的泄露在信息的传输和存储过程中都发生D信息的泄露只在信息的传输和存储过程中都不发生【解析】C,信息在传输过程,存储过程都存在泄露。
3、下面关于计算机病毒描述错误的是()。
A 计算机病毒具有传染性B 通过网络传染计算机病毒,其破坏大大高于单机系统C 如果染上计算机病毒,该病毒会马上破坏你的计算机D 计算机病毒主要破坏数据的完整性。
【解析】C,由于计算机病毒都有其激发条件,只有满足激发条件,该病毒才会发错。
4、网络安全在分布网络环境中,并不对()提供安全保护。
A 信息载体B 信息的处理和传输C 信息的存储,访问 D信息语言的正确性【解析】D,由网络安全定义及其包括范围可知,D正确。
5、下面不属于网络安全的基本属性是()。
A 机密性B 可用性C 完整性D 语义的正确性【解析】D,由网络安全的基本属性可知,机密性,可用性和完整性都是网络安全的基本属性;语义正确性的判断,计算机目前还无法彻底解决。
6、下列不属于可用性服务的是()。
A 后备B 身份鉴定C 在线恢复D 灾难恢复【解析】B,身份鉴别属于可审性服务,而其他三项都是为了保证可用性的措施。
7、信息安全并不涉及的领域是()。
A 计算机技术和网络技术B 法律制度C 公共道德D 身心健康【解析】D,信息安全不单纯是技术问题,它涉及技术,管理,制度,法律,历史,文化,道德等诸多领域。
8、计算机病毒是()。
A 一种程序B 使用计算机时容易感染的一种疾病C 一种计算机硬件D 计算机系统软件【解析】A,由计算机病毒的定义可知。
9、下面不属于计算机病毒特性的是()。
计算机网络安全基础第三版习题参考答案
计算机网络安全基础(第三版)习题参考答案第一章习题:1.举出使用分层协议的两条理由?1.通过分层,允许各种类型网络硬件和软件相互通信,每一层就像是与另一台计算机对等层通信;2.各层之间的问题相对独立,而且容易分开解决,无需过多的依赖外部信息;同时防止对某一层所作的改动影响到其他的层;3.通过网络组件的标准化,允许多个提供商进行开发。
2.有两个网络,它们都提供可靠的面向连接的服务。
一个提供可靠的字节流,另一个提供可靠的比特流。
请问二者是否相同?为什么?不相同。
在报文流中,网络保持对报文边界的跟踪;而在字节流中,网络不做这样的跟踪。
例如,一个进程向一条连接写了1024字节,稍后又写了另外1024字节。
那么接收方共读了2048字节。
对于报文流,接收方将得到两个报文,、每个报文1024字节。
而对于字节流,报文边界不被识别。
接收方把全部的2048字节当作一个整体,在此已经体现不出原先有两个不同的报文的事实。
3.举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。
OSI模型(开放式系统互连参考模型):这个模型把网络通信工作分为7层,他们从低到高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
第一层到第三层属于低三层,负责创建网络通信链路;第四层到第七层为高四层,具体负责端到端的数据通信。
每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持。
TCP/IP模型只有四个层次:应用层、传输层、网络层、网络接口层。
与OSI功能相比,应用层对应的是OSI的应用层、表示层、会话层;网络接口层对应着OSI的数据链路层和物理层。
两种模型的不同之处主要有:(1) TCP/IP在实现上力求简单高效,如IP层并没有实现可靠的连接,而是把它交给了TCP层实现,这样保证了IP层实现的简练性。
OSI参考模型在各层次的实现上有所重复。
(2) TCP/IP结构经历了十多年的实践考验,而OSI参考模型只是人们作为一种标准设计的;再则TCP/IP有广泛的应用实例支持,而OSI参考模型并没有。
第八章 计算机安全
第八章计算机安全单选题1、计算机病毒主要破坏数据的______。
A:可审性 B:可靠性 C:完整性 D:可用性答案:C2、下面说法正确的是______。
A:信息的泄露只在信息的传输过程中发生 B:信息的泄露只在信息的存储过程中发生C:信息的泄露在信息的传输和存储过程中都会发生 D:信息的泄露在信息的传输和存储过程中都不会发答案:C 3、下面关于计算机病毒描述错误的是______。
A:计算机病毒具有传染性 B:通过网络传染计算机病毒,其破坏性大大高于单机系统C:如果染上计算机病毒,该病毒会马上破坏你的计算机系统 D:计算机病毒主要破坏数据的完整性答案:C 4、网络安全在分布网络环境中,并不对______提供安全保护。
A:信息载体 B:信息的处理、传输 C:信息的存储、访问 D:信息语意的正确性答案:D5、下面不属于网络安全的基本属性是______。
A:机密性 B:可用性 C:完整性 D:正确性答案:D6、下列不属于可用性服务的是______。
A:后备 B:身份鉴别 C:在线恢复 D:灾难恢复答案:B7、信息安全并不涉及的领域是______。
A:计算机技术和网络技术 B:法律制度 C:公共道德 D:身心健康答案:D8、计算机病毒是______。
A:一种程序 B:使用计算机时容易感染的一种疾病 C:一种计算机硬件 D:计算机系统软件答案:A 9、下类不属于计算机病毒特性的是______。
A:传染性 B:突发性 C:可预见性 D:隐藏性答案:C10、关于预防计算机病毒说法正确的是______。
A:仅通过技术手段预防病毒 B:仅通过管理手段预防病毒C:管理手段与技术手段相结合预防病毒 D:仅通过杀毒软件预防病毒答案:C11、计算机病毒是计算机系统中一类隐藏在______上蓄意进行破坏的捣乱程序。
A:内存 B:外存 C:传输介质 D:网络答案:B12、下面关于计算机病毒说法正确的是______。
A:计算机病毒不能破坏硬件系统 B:计算机防病毒软件可以查出和清除所有病毒C:计算机病毒的传播是有条件的 D:计算机病毒只感染.exe或.com文件答案:C13、下面关于计算机病毒说法正确的是:______。
04741计算机网络原理2018版PPT课件_第8章_网络安全基础
换位密码可分为列置换密码和周期置换密码。
6
第二节 数据加密
三、典型对称密钥密码算法[领会] 现代密码可以分为对称密钥密码和非对称密钥密码两大类。对称密钥加密系
三、数字签名方法[领会]
数字签名在信息安全,包括身份认证,数据完整性,不可否认性以及匿名性等方面有重 要应用,特别是在大型安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。数 字签名是实现认证的重要工具。
数字签名与消息认证的区别:消息认证使接收方能验证发送方以及所发消息内容是否被篡 改过,当收发者之间没有利害冲突时,这对于防止第三着的破坏来说是足够了。但当接收者 和发送者之间有利害冲突时,就无法解决他们之间间的纠纷,此时须借助数字签名技术。
3
第一节 网络安全概述
一、网络安全的基本概念及属性[识记] 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者 恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中 断。 网络安全通信所需要的基本属性有:机密性、消息完整性、可访问与可用性、身份 认证。 二、网络安全威胁[领会] 网络主要面临的安全威胁有以下几个方面: (1)报文传输方面主要包括窃听、插人、假冒、劫持等安全威胁。 (2)常见的网络攻击包括拒绝服务DoS以及分布式拒绝服务DDoS等。 (3)映射。 (4)分组“嗅探”。 (5)IP欺骗。
IDEA加密算法广泛应用在安全电子邮件PGP中。 IDEA加密算法是一个分组长度为64位的分组密码算法,密钥长度为128位, 同一个算法既可用于加密,也可用于解密。算法运用硬件与软件实现都很容易,而 且比DES算法在实现上快得多。
《计算机网络技术基础》课件第八章
8.2 网络加密技术
16
2 非对称加密技术
非对称加密技术使用非对称加密算法,也称为公用密钥算法。在非对称加密算法中,用作 加密的密钥与用作解密的密钥不同,而且解密密钥不能根据加密密钥计算出来。
8.1 网络安全基础
6
概括起来,一个安全的计算机网络应具有以下特征。
(1)完整性
(2)保密性
(3)可用性
• 指网络中的信息 安全、精确和有 效,不因种种不 安全因素而改变 信息原有的内容、 形式和流向,确 保信息在存储或 传输过程中不被 修改、破坏或丢 失。
• 指网络上的保密 信息只供经过允 许的人员,以经 过允许的方式使 用,信息不泄露 给未授权的用户、 实体或过程,或 供其利用。
在网络上传输采用对称加密技术的加密文件时,当把密钥告诉对方时,很容易被其他人窃 听到。而非对称加密方法有两个密钥,且其中的“公钥”是公开的,收件人解密时只要用自 己的“私钥”即可解密,由于“私钥”并没有在网络中传输,这样就避免了密钥传输可能出 现的安全问题。
非对称密码技术成功地解决了计算机网络安全的身份认证、数字签名等问题,推动了包括 电子商务在内的一大批网络应用的不断深入和发展。非对称加密算法的典型代表是RSA算法。
网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更 改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。从本质上讲,网络安全问 题主要就是网络信息的安全问题。凡是涉及网络上信息的保密性、完整性、可用性、真实性 和可控性的相关技术和理论,都是网络安全的研究领域。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.1 网络安全协议
IPSec通过使用两种通信安全协议: 认证头(Authentication Header,AH)协议、 封装安全载荷(Encryption Service Payload, ESP)协议,并使用像Internet密钥交换 (Internet Key Exchange,IKE)协议之类的协 议来共同实现安全性。
计算机网络安全基础(第三版)
13
8.1 网络安全协议
(4)SSL告警协议 告警协议用来将SSL协议有关的警告传送给对 方实体。它由两个字节组成,第一个字节的值 用来表明警告的严重级别,第二个字节表示特 定告警的代码。 (5)SSL握手协议 SSL协议中最复杂的部分是握手协议。这个协 议使得服务器和客户能相互鉴别对方的身份、 协商加密和MAC算法以及用来保护在SSL记录中 发送数据的加密密钥。在传输任何应用数据前, 都必须使用握手协议。
计算机网络安全基础(第三版) 5
8.1 网络安全协议
(3)网络层安全协议 为开发在网络层保护IP数据的方法,IETF成立 了IP安全协议工作组(IPSec),定义了一系列 在IP层对数据进行加密的协议,包括: ① IP验证头(Authentication Header,AH)协 议; ② IP封装安全载荷(Encryption Service Payload,ESP)协议; ③ Internet密钥交换(Internet Key Exchange, IKE)协议。
第8章 网络安全技术
网络安全技术从理论上来说分为:攻击技术和 防御技术。攻击技术包括:网络监听、网络扫 描、网络入侵、网络后门等;防御技术包括: 加密技术、防火墙技术、入侵检测技术、虚拟 专用网技术和网络安全协议等。 对于攻击技术我们在第九章中加以介绍,本章 主要介绍网络安全协议、网络加密技术、防火 墙技术、入侵检测技术和虚拟专用网等网络安 全防御技术。
计算机网络安全基础(第三版) 4
8.1 网络安全协议
(2)传输层安全协议 ●安全套接层(Secure Socket Layer,SSL)协 议工作在传输层,独立于上层应用,为应用提 供一个安全的点点通信隧道。SSL机制由协商 过程和通信过程组成,协商过程用于确定加密 机制、加密算法、交换会话密钥服务器认证以 及可选的客户端认证,通信过程秘密传送上层 数据。 ●私密通信技术(Private Communication Technology,PCT)协议与SSL协议有很多相似 之处。现在PCT协议已经同SSL协议合并为TLS (传输层安全)协议,只是习惯上仍然把TLS 协议称为SSL协议。
计算机网络安全基础(第三版)
9
8.1 网络安全协议
3. 传输层安全协议
安全套接层(Secure Sockets Layer,SSL)协 议是由Netscape公司开发的一套Internet数据 安全协议,目前已广泛用于Web浏览器与服务 器之间的身份认证和加密数据传输。SSL协议 位于TCP/IP与各种应用层协议之间,为数据通 信提供安全支持。
计算机网络安全基础(第三版)
10
8.1 网络安全协议
(1)SSL协议体系结构 SSL协议被设计成使用TCP来提供一种可靠的端 到端的安全服务。SSL协议分为两层,其中SSL 握手协议、修改密文协议和告警协议位于上层, SSL记录协议为不同的更高层协议提供了基本 的安全服务,可以看到HTTP可以在SSL协议上 运行。 SSL协议中有两个重要概念,即SSL连接和SSL 会话。
计算机网络安全基础(第三版)
11
8.1 网络安全协议
SSL协议体系结构
握手协议 修改密文协议 SSL 记录协议 TCP IP 告警协议 HTTP
计算机网络安全基础(第三版)
12
8.1 网络安全协议
(2)SSL记录协议 SSL记录协议为SSL连接提供:机密性和报文完 整性两种服务。 (3)SSL修改密文规约协议 SSL修改密文规约协议由值数为1的单个字节组 成。这个报文的惟一目的就是使得挂起状态被 复制到当前状态,从而改变这个连接将要使用 的密文簇。
计算机网络安全基础(第三版) 6
8.1 网络安全协议
2. 网络层安全协议IPSec
IPSec是一个工业标准网络安全协议,为IP网络 通信提供透明的安全服务,保护TCP/IP通信免 遭窃听和篡改,可以有效抵御网络攻击。 IPSec有两个基本目标:保护IP数据包安全;为 抵御网络攻击提供防护措施。 IPSec结合密码保护服务、安全协议组和动态密 钥管理,三者共同实现这两个目标,它不仅能 为局域网与拨号用户、域、网站、远程站点以 及Extrant之间的通信提供有效且灵活的保护, 而且还能用来筛选特定数据流。
计算机网络安全基础(第三版)
2
8.1 网络安全协议
计算机网络安全基础(第三版)
3
8.1 网络安全协议
1. 安全协议概述
(1)应用层安全协议 主要有以下五个协议:
●安全Shell(SSH)协议 ●SET(Secure Electronic Transaction)协议 ●S-HTTP ● PGP协议 ● S/MIME协议
计算机网络安全基础(第三版) 7
8.1 网络安全协议
IPSec提供3种不同的形式来保护通过公有或私 有IP网络传送的私有数据。 (1)认证。通过认证可以确定所接受的数据与 所发送的数据是否一致,同时可以确定申请发 送者在实际上是真实的,还是伪装的发送者。 (2)数据完整验证。通过验证,保证数据在从 原发地到目的地的传送过程中没有发生任何无 法检测的丢失与改变。 (3)保密。使相应的接收者能获取发送的真正 内容,而无关的接收者无法获知数据的真正内 容。
ቤተ መጻሕፍቲ ባይዱ
计算机网络安全基础(第三版)
1
8.1 网络安全协议
安全协议本质上是关于某种应用的一系列 规定,包括功能、参数、格式和模式等, 连通的各方只有共同遵守协议,才能相互 操作。 大部分安全措施都采用特定的协议来实现, 如在网络层加密和认证采用IPSec(IP Security)协议、在传输层加密和认证采 用SSL协议等。