网络安全技术基础知识
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 能够完成“防火墙”工作的可以是简单的隐蔽路由器,这种“防火墙” 如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可 以在互联网协议端口级上阻止网间或主机间通信,起到一定的过滤作 用。 由于隐蔽路由器仅仅是对路由器的参数做些修改,因而也有人不 把它归入“防火墙”一级的措施。
防火墙
• 真正意义的“防火墙”有两类,一类被称为标准“防火 墙”;一类叫双家网关。标准”防火墙”系统包括一个 Unix工作站,该工作站的两端各有一个路由器进行缓冲。 其中一个路由器的接口是外部世界,即公用网;而另一个 则联接内部网。标准“防火墙”使用专门的软件,并要求 较高的管理水平,而且在信息传输上有一定的延迟。而双 家网关则是对标准“防火墙”的扩充。双家网关又称堡垒 主机或应用层网关,它是一个单个的系统,但却能同时完 成标准“防火墙”的所有功能。其优点是能运行更复杂的 应用,同时防止在互联网和内部系统之间建立的任何直接 的连接,可以确保数据包不能直接从外部网络到达内部网 络,反之亦然。
• “拿不走” 使用授权机制,实现对用户的权限控 制,即不该拿走的,“拿不走”;
• “看不懂” 使用加密机制,确保信息不暴漏给未 授权的实体或进程,即“看不懂”;
• “改不了” 使用数据完整性鉴别机制,保证只有 得到允许的人才能修改数据,而其它人“改不 了”;
• “走不脱” 使用审计、监控Leabharlann Baidu防抵赖等安全机制, 使得攻击者、破坏者、抵赖者"走不脱"。
网络的安全策略
• 网络安全政策的两个方面 – 总体策略:安全政策的总体思想 – 具体规则:哪些是允许的,哪些是被禁止的
• 实施安全策略应注意避免的问题 – 全局政策过于烦琐,而不是一个决定或方针 – 安全政策没有被真正执行,只是一纸空文 – 策略的实施成了仅仅是管理者的事,用户不积极参与
网络安全性策略应包含的内容
应用安全技术
• SHTTP (Security HTTP)
– 企业集成技术公司开发; – 文件级的安全机制 ; – 对多种单向散列(Hash)函数的支持,如:MD2、MD5和SHA; – 对多种单钥体制的支持,如:DES、3DES、RC2、RC4和CDMF; – 对数字签名体制的支持,如RSA和DSS。
从技术角度看,网络安全的内容大致包括4个方面: 网络实体安全。如机房的物理条件、物理环境及设施的安全标准, 计算机硬件、附属设备及网络传输线路的安装及配置等。 软件安全。如保护网络系统不被非法侵入,系统软件与应用软件 不被非法复制、篡改,不受病毒的侵害等。 网络中的数据安全。如保护网络信息的数据安全不被非法存取, 保护其完整一致等。 网络安全管理。如运行时突发事件的安全处理等包括采取计算机 安全技术,建立安全管理制度,开展安全审计,进行风险分析等内 容。
• SSH (Security Shell)
– SSH允许其用户安全地登录到远程主机上,执行命令,传输文件。 – 它实现了密钥交换协议以及主机及客户端认证协议。
安全要素
机密性(Confidentiality)
它主要利用现代密码技术对信息进行加密处理, 防止静态信息的非授权访问和动态信息的非法 泄漏或被截取。从某种意义上说,加密是实现 信息安全的有效而且必不可少的技术手段。
可控性 可审查性 不可否认性
通俗的安全
• “进不来” 使用访问控制机制,阻止非授权用户 进入网络,“进不来”
安全要素
完整性(Integrality)
是指信息在存储或传输时不被修改、破坏,或信 息包的丢失、乱序等。信息的完整性是信息安 全的基本要求,破坏信息的完整性是影响信息 安全的常用手段。
可靠性(Availability)
是指信息的可信度,接收者能接收到完整正确的 信息,以及发送者能正确地发送信息。可靠性 也是信息安全性的基本要素。
– 网络用户的安全责任:该策略可以要求用户每隔一段时 间改变其口令;使用符合一定准则的口令;执行某些检 查,以了解其账户是否被别人访问过等。重要的是,凡 是要求用户做到的,都应明确地定义。
– 系统管理员的安全责任:该策略可以要求在每台主机上 使用专门的安全措施、登录标题报文、监测和记录过程 等,还可列出在连接网络的所有主机中不能运行的应用 程序。
网络安全基础知识
网络信息安全的内涵和内容
网络的安全性问题实际上包括两方面的内容:一是网络的系统安全,二是网络 的信息安全。国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统 建立和采取的技术和管理的安全保护,使计算机硬件、软件、数据不因偶然和恶 意的原因而遭破坏、更改和显露。这个定义偏重于静态信息保护。从动态意义描 述计算机系统安全的定义为:计算机硬件、软件、数据不因偶然和恶意等原因而 破坏、更改和显露,系统能连续正常运行。
(3) 网络上信息传播的安全,即信息传播后果的安全,包括信息过滤等,侧重于 防止和控制非法有害信息传播的后果。
(4) 网络上信息内容的安全,即我们讨论的狭义的“信息安全”,侧重于保护信 息的保密性、完整性、真实性,以及防止假冒等。本质上是保护用户的利益 和隐私。 计算机网络安全的含义是通过各种密码技术和信息安全技术,保护在通信 网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播 及内容有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服 务。
• 鉴别 用来验证系统实体和系统资源(如用户、 进程、应用)的身份,例如鉴别想访问数据库的人 的身份,确定是谁发送了报文,防止有人假冒。
• 授权 是为完成某项任务而使用资源的权利、 特权、许可证的证据,这种授权必须在系统资源 的整个操作过程中始终如一地可靠地使用,还可 对使用网络服务,访问一些数据的敏感部分,规 定特殊的授权要求。
• 而真正的安全是关于网络的每一个部分的。
网络安全的关键技术
• 网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、 移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理 等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙” 技 术。
• “防火墙”是一种形象的说法,其实它是一种计算机硬件和软件的组 合,使互联网与内部网之间建立起 一个安全网关,从而保护内部网免 受非法用户的侵入。
计算机网络最重要的资源是它向用户提供的服务及所拥有的信息。
网络安全在不同的环境和应用中有不同的解释:
(1) 运行系统安全,即保证信息处理和传输系统的安全,涉及计算机系统安全、 物理上的安全等。侧重于保证系统的正常运行。
(2) 网络上系统信息的安全,包括用户识别、访问控制、安全审计跟踪、病毒防 治、加密等。
– 正确利用网络资源:规定谁可以使用网络资源,他们可 以做什么,他们不应该做什么等。如果用户的单位认为 电子邮件文件和计算机活动的历史记录都应受到安全监 视,就应该非常明确地告诉用户,这是其政策。
理解安全理念
• 安全(security)的定义是“防范潜在的危 机”。
• 保险(safety)则稍有不同,它更侧重于可 得性和连续的操作。
防火墙
• 随着“防火墙”技术的进步,在双家网关的基础上又演 化出两种“防火墙”配置,一种是隐蔽主机网关,另一种 是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一 种常见的“防火墙”配置。顾名思义,这种配置一方面将 路由器进行隐藏,另一方面在互联网和内部网之间安装堡 垒主机。堡垒主机装在内部网上,通过路由器的配置,使 该堡垒主机成为内部网与互联网进行通信的唯一系统。目 前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽 智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之 后,它是互联网用户唯一能见到的系统。所有互联网功能 则是经过这个隐藏在公共系统之后的保护软件来进行的。 一般来说,这种“防火墙”是最不容易被破坏的。
网络安全的主要技术
密码技术 计算机病毒防治技术 信息泄露防护技术 鉴别,授权和身份认证技术
网络安全的主要技术
密码技术信息安全的基础 信源、信道、信宿 • 病毒,是指能够破坏计算机系统,影响计
算机工作并能实现自我复制的一段程序或 指令代码。
网络安全的主要技术
• 信息泄露防治技术:辐射、线路窃听、带宽的增 加,威胁逐渐减少
防火墙
• 真正意义的“防火墙”有两类,一类被称为标准“防火 墙”;一类叫双家网关。标准”防火墙”系统包括一个 Unix工作站,该工作站的两端各有一个路由器进行缓冲。 其中一个路由器的接口是外部世界,即公用网;而另一个 则联接内部网。标准“防火墙”使用专门的软件,并要求 较高的管理水平,而且在信息传输上有一定的延迟。而双 家网关则是对标准“防火墙”的扩充。双家网关又称堡垒 主机或应用层网关,它是一个单个的系统,但却能同时完 成标准“防火墙”的所有功能。其优点是能运行更复杂的 应用,同时防止在互联网和内部系统之间建立的任何直接 的连接,可以确保数据包不能直接从外部网络到达内部网 络,反之亦然。
• “拿不走” 使用授权机制,实现对用户的权限控 制,即不该拿走的,“拿不走”;
• “看不懂” 使用加密机制,确保信息不暴漏给未 授权的实体或进程,即“看不懂”;
• “改不了” 使用数据完整性鉴别机制,保证只有 得到允许的人才能修改数据,而其它人“改不 了”;
• “走不脱” 使用审计、监控Leabharlann Baidu防抵赖等安全机制, 使得攻击者、破坏者、抵赖者"走不脱"。
网络的安全策略
• 网络安全政策的两个方面 – 总体策略:安全政策的总体思想 – 具体规则:哪些是允许的,哪些是被禁止的
• 实施安全策略应注意避免的问题 – 全局政策过于烦琐,而不是一个决定或方针 – 安全政策没有被真正执行,只是一纸空文 – 策略的实施成了仅仅是管理者的事,用户不积极参与
网络安全性策略应包含的内容
应用安全技术
• SHTTP (Security HTTP)
– 企业集成技术公司开发; – 文件级的安全机制 ; – 对多种单向散列(Hash)函数的支持,如:MD2、MD5和SHA; – 对多种单钥体制的支持,如:DES、3DES、RC2、RC4和CDMF; – 对数字签名体制的支持,如RSA和DSS。
从技术角度看,网络安全的内容大致包括4个方面: 网络实体安全。如机房的物理条件、物理环境及设施的安全标准, 计算机硬件、附属设备及网络传输线路的安装及配置等。 软件安全。如保护网络系统不被非法侵入,系统软件与应用软件 不被非法复制、篡改,不受病毒的侵害等。 网络中的数据安全。如保护网络信息的数据安全不被非法存取, 保护其完整一致等。 网络安全管理。如运行时突发事件的安全处理等包括采取计算机 安全技术,建立安全管理制度,开展安全审计,进行风险分析等内 容。
• SSH (Security Shell)
– SSH允许其用户安全地登录到远程主机上,执行命令,传输文件。 – 它实现了密钥交换协议以及主机及客户端认证协议。
安全要素
机密性(Confidentiality)
它主要利用现代密码技术对信息进行加密处理, 防止静态信息的非授权访问和动态信息的非法 泄漏或被截取。从某种意义上说,加密是实现 信息安全的有效而且必不可少的技术手段。
可控性 可审查性 不可否认性
通俗的安全
• “进不来” 使用访问控制机制,阻止非授权用户 进入网络,“进不来”
安全要素
完整性(Integrality)
是指信息在存储或传输时不被修改、破坏,或信 息包的丢失、乱序等。信息的完整性是信息安 全的基本要求,破坏信息的完整性是影响信息 安全的常用手段。
可靠性(Availability)
是指信息的可信度,接收者能接收到完整正确的 信息,以及发送者能正确地发送信息。可靠性 也是信息安全性的基本要素。
– 网络用户的安全责任:该策略可以要求用户每隔一段时 间改变其口令;使用符合一定准则的口令;执行某些检 查,以了解其账户是否被别人访问过等。重要的是,凡 是要求用户做到的,都应明确地定义。
– 系统管理员的安全责任:该策略可以要求在每台主机上 使用专门的安全措施、登录标题报文、监测和记录过程 等,还可列出在连接网络的所有主机中不能运行的应用 程序。
网络安全基础知识
网络信息安全的内涵和内容
网络的安全性问题实际上包括两方面的内容:一是网络的系统安全,二是网络 的信息安全。国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统 建立和采取的技术和管理的安全保护,使计算机硬件、软件、数据不因偶然和恶 意的原因而遭破坏、更改和显露。这个定义偏重于静态信息保护。从动态意义描 述计算机系统安全的定义为:计算机硬件、软件、数据不因偶然和恶意等原因而 破坏、更改和显露,系统能连续正常运行。
(3) 网络上信息传播的安全,即信息传播后果的安全,包括信息过滤等,侧重于 防止和控制非法有害信息传播的后果。
(4) 网络上信息内容的安全,即我们讨论的狭义的“信息安全”,侧重于保护信 息的保密性、完整性、真实性,以及防止假冒等。本质上是保护用户的利益 和隐私。 计算机网络安全的含义是通过各种密码技术和信息安全技术,保护在通信 网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播 及内容有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服 务。
• 鉴别 用来验证系统实体和系统资源(如用户、 进程、应用)的身份,例如鉴别想访问数据库的人 的身份,确定是谁发送了报文,防止有人假冒。
• 授权 是为完成某项任务而使用资源的权利、 特权、许可证的证据,这种授权必须在系统资源 的整个操作过程中始终如一地可靠地使用,还可 对使用网络服务,访问一些数据的敏感部分,规 定特殊的授权要求。
• 而真正的安全是关于网络的每一个部分的。
网络安全的关键技术
• 网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、 移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理 等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙” 技 术。
• “防火墙”是一种形象的说法,其实它是一种计算机硬件和软件的组 合,使互联网与内部网之间建立起 一个安全网关,从而保护内部网免 受非法用户的侵入。
计算机网络最重要的资源是它向用户提供的服务及所拥有的信息。
网络安全在不同的环境和应用中有不同的解释:
(1) 运行系统安全,即保证信息处理和传输系统的安全,涉及计算机系统安全、 物理上的安全等。侧重于保证系统的正常运行。
(2) 网络上系统信息的安全,包括用户识别、访问控制、安全审计跟踪、病毒防 治、加密等。
– 正确利用网络资源:规定谁可以使用网络资源,他们可 以做什么,他们不应该做什么等。如果用户的单位认为 电子邮件文件和计算机活动的历史记录都应受到安全监 视,就应该非常明确地告诉用户,这是其政策。
理解安全理念
• 安全(security)的定义是“防范潜在的危 机”。
• 保险(safety)则稍有不同,它更侧重于可 得性和连续的操作。
防火墙
• 随着“防火墙”技术的进步,在双家网关的基础上又演 化出两种“防火墙”配置,一种是隐蔽主机网关,另一种 是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一 种常见的“防火墙”配置。顾名思义,这种配置一方面将 路由器进行隐藏,另一方面在互联网和内部网之间安装堡 垒主机。堡垒主机装在内部网上,通过路由器的配置,使 该堡垒主机成为内部网与互联网进行通信的唯一系统。目 前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽 智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之 后,它是互联网用户唯一能见到的系统。所有互联网功能 则是经过这个隐藏在公共系统之后的保护软件来进行的。 一般来说,这种“防火墙”是最不容易被破坏的。
网络安全的主要技术
密码技术 计算机病毒防治技术 信息泄露防护技术 鉴别,授权和身份认证技术
网络安全的主要技术
密码技术信息安全的基础 信源、信道、信宿 • 病毒,是指能够破坏计算机系统,影响计
算机工作并能实现自我复制的一段程序或 指令代码。
网络安全的主要技术
• 信息泄露防治技术:辐射、线路窃听、带宽的增 加,威胁逐渐减少