第11章--傳統(tǒng)的網(wǎng)絡(luò)安全與云計算安全技術(shù)ppt課件(全)

1、第11章 傳統(tǒng)的網(wǎng)絡(luò)安全與云計算安全技術(shù)黎連業(yè) 教材 計算機網(wǎng)絡(luò)工程基礎(chǔ)教程 第 1 版 清華大學(xué)出版社 ( 2016.1 ) 不同學(xué)?？梢愿鶕?jù)各自的教學(xué)要求和計劃學(xué)時數(shù)對本章的教學(xué)內(nèi)容進行取舍。 傳統(tǒng)的網(wǎng)絡(luò)安全應(yīng)包括兩方面：一是網(wǎng)絡(luò)用戶資源不被濫用和破壞；二是網(wǎng)絡(luò)自身的安全和可靠性。網(wǎng)絡(luò)安全主要解決數(shù)據(jù)保密和認(rèn)證的問題。數(shù)據(jù)保密就是采取復(fù)雜多樣的措施對數(shù)據(jù)加以保護，防止數(shù)據(jù)被有意或無意地泄露給無關(guān)人員。認(rèn)證分為信息認(rèn)證和用戶認(rèn)證兩方面。信息認(rèn)證是指信息從發(fā)送到接收整個通路中沒有被第三者個性和偽造。用戶認(rèn)證是指用戶雙方都能證實對方是這次通信的合法用戶。通常在一個完備的保密系統(tǒng)中既要求信息認(rèn)證，

2、也要求用戶認(rèn)證。 隨著IT迅速的發(fā)展，互聯(lián)網(wǎng)得到了廣泛的應(yīng)用，在網(wǎng)絡(luò)上出現(xiàn)了木馬、病毒、蠕蟲、僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站、黑客攻擊、劫持等犯罪猖獗，現(xiàn)存幾萬種惡意代碼，每年千萬臺計算機被感染，犯罪性也越來越隱蔽。現(xiàn)在網(wǎng)絡(luò)安全的狀況是非常嚴(yán)峻。以病毒為例： 現(xiàn)在的病毒比原先的病毒大很多，而且還在快速增長，主要是：1病毒編寫目的不同以前的病毒是“損人不利己”的，現(xiàn)在絕大部分的病毒或者新出現(xiàn)的病毒大都是以“以盈利為主要目的”的。比如說你使用QQ，病毒在機器里存在盜號木馬，你剛一使用QQ，你的帳號就已經(jīng)被盜了。 2病毒編寫的組織化以前病毒編寫絕大部分是個人行為，現(xiàn)在越來越多的是團伙行為，甚至一些病毒是企業(yè)行為

3、。大家熟知的木馬軟件，就是非常典型的企業(yè)行為。3病毒已經(jīng)形成產(chǎn)業(yè)鏈 病毒上游可能會提供一些加殼工具、免殺工具，下游利用這些工具對病毒進行加工，以逃避殺毒軟件的查殺；上游編寫病毒，下游銷售病毒。4病毒多變種、小批量感染現(xiàn)在病毒編寫者為了避免編寫的所有病毒被殺毒軟件全部清除，采用不斷變種病毒的方式進行感染。即使某些變種病毒被殺毒軟件清除，仍然保持相當(dāng)多的病毒不被清除。這樣的話，殺毒軟件可能發(fā)現(xiàn)其中一些變種，但是它有可能清除不完全。5病毒數(shù)量呈幾何級數(shù)增長以前的病毒數(shù)量非常少，像06年以前一年只有幾種病毒，2006年后就變成了幾十種。網(wǎng)絡(luò)安全的動向： 信息安全正在早期的從防外為主，開始轉(zhuǎn)向內(nèi)控； 由

4、OSI的底層防護正在向多層集成聯(lián)動管理平臺過渡； 基于威脅特征向基于威脅行為防空轉(zhuǎn)變 由靜態(tài)防御向動態(tài)防御發(fā)展； 由單域防空向跨安全域可信交換防空遷移； 由邊界防空向源頭與信任鍵防空轉(zhuǎn)移。 談到云計算，安全性問題無法回避，云的出現(xiàn)使得網(wǎng)絡(luò)侵害主體都跑到云上，從而導(dǎo)致云成了作惡的源泉。實際上這也是目前云計算推廣應(yīng)用過程中所遇到的最大問題?！霸啤币查_始成為黑客或各種惡意組織攻擊的目標(biāo)。比如利用操作系統(tǒng)或者應(yīng)用服務(wù)協(xié)議漏洞進行的漏洞攻擊，或者針對存放在“云”中的用戶隱私信息的惡意攻擊、竊取、非法利用等，其手段繁多。事實上，更為嚴(yán)重的安全漏洞，正在一步步侵蝕云主機服務(wù)提供商及大型互聯(lián)網(wǎng)廠商的安全防線。

5、在云服務(wù)中，不同客戶之間的數(shù)據(jù)溢出；供應(yīng)商系統(tǒng)遭到大量惡意軟件攻擊；“惡意人群操作”導(dǎo)致的資料外泄;共享信息的不安全性；以及黑客盜取供應(yīng)商系統(tǒng)的數(shù)據(jù)。在云模式下云如何保證云中的用戶程序不被分析，數(shù)據(jù)不被復(fù)制，從而保證商業(yè)秘密不被侵害，用戶的數(shù)據(jù)不會被盜竊，還有待探討。 在本章中您能了解如下主要知識點： 傳統(tǒng)的網(wǎng)絡(luò)安全的內(nèi)容； 云計算的安全問題； 云的安全內(nèi)容； 數(shù)據(jù)中心安全的內(nèi)容。 111 傳統(tǒng)的網(wǎng)絡(luò)安全的內(nèi)容11.1.1 傳統(tǒng)的網(wǎng)絡(luò)安全的內(nèi)容11.1.2 傳統(tǒng)的網(wǎng)絡(luò)安全的威脅源11.1.3 網(wǎng)絡(luò)安全保護策略11.1.4 網(wǎng)絡(luò)安全設(shè)計11.1.5 網(wǎng)絡(luò)數(shù)據(jù)加密11.1.6 安全認(rèn)證11.1.7

6、 使用防火墻11.1.8 網(wǎng)絡(luò)綜合布線系統(tǒng)中的物理隔離技術(shù) 2第一代、第二代和第三代產(chǎn)品的不足之處第一代、第二代和第三代產(chǎn)品物理隔離技術(shù)的不足之處主要表現(xiàn)在4個方面，它們是：物理隔離技術(shù)僅僅是一種被動的隔離開關(guān)，手段單一，沒有與其他安全技術(shù)進行配合；物理隔離不能做到安全狀態(tài)檢測，容易被非法人員利用而混入內(nèi)部網(wǎng)絡(luò)；內(nèi)部防范措施。由于內(nèi)外網(wǎng)的存儲介質(zhì)都在本地，不能有效地防止內(nèi)部人員的信息主動泄密行為，尤其是內(nèi)部人員作案問題；復(fù)核取證難度大。內(nèi)部網(wǎng)絡(luò)信息一旦泄露出去，無法進行復(fù)核、取證、確認(rèn)信息泄露的行為人有相當(dāng)?shù)睦щy。 3 物理隔離技術(shù)的路線美國早在1999年就強制規(guī)定軍方涉密網(wǎng)絡(luò)必須與Inter

7、net斷開。我國政府在2000年也在不斷強調(diào)保密問題，要求有秘密的信息要與網(wǎng)絡(luò)物理隔離，作為物理隔離技術(shù)的路線，一般是客戶端選擇設(shè)備和網(wǎng)絡(luò)選擇器，用戶通過開關(guān)設(shè)備或鍵盤鏈控制選擇不同的存儲介質(zhì)體，管理端設(shè)立內(nèi)、外網(wǎng)存儲介質(zhì)，通過防火墻、路由器與外界相連。物理隔離技術(shù)從出現(xiàn)到現(xiàn)在，目前基本上可劃分為四代產(chǎn)品。 （1）第一代產(chǎn)品（2）第二代產(chǎn)品（3）第三代產(chǎn)品 (4) 第四代產(chǎn)品 目前在網(wǎng)絡(luò)綜合布線行業(yè)中，第一代、第二代產(chǎn)品的已淘汰，以第三代和第四代產(chǎn)品為主的物理隔離。 （1）第一代產(chǎn)品第一代產(chǎn)品采用的是雙網(wǎng)機技術(shù)，其工作原理是：在一個機箱內(nèi)，設(shè)有兩塊主機板、兩套內(nèi)存、兩塊硬盤和兩CPU、相當(dāng)于兩

8、臺計算機共用一個顯示器。用戶通過客戶端開關(guān)，分別選擇兩套計算機系統(tǒng)。使用單位不可避免地造成重復(fù)投資和浪費。第一代產(chǎn)品的特點是客戶端的成本很高，并要求網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu)，技術(shù)水平相對而言是簡單的。 （2）第二代產(chǎn)品第二代產(chǎn)品主要采用雙網(wǎng)線的安全隔離卡技術(shù)，其表現(xiàn)為：客戶端需要增加一塊PCI卡，客戶端硬盤或其它存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板，這樣通過該卡用戶就能控制客戶端的硬盤或其它存儲設(shè)備。用戶在選擇硬盤的時候，同時也選擇了該卡上所對應(yīng)的網(wǎng)絡(luò)接口，連接到不同的網(wǎng)絡(luò)。第二代產(chǎn)品與第一代產(chǎn)品相比，技術(shù)水平提高了，成本也降低了，但是這一代產(chǎn)品仍然要求網(wǎng)絡(luò)布線采用雙網(wǎng)線結(jié)構(gòu)。如果用戶在客戶端

9、交換兩個網(wǎng)絡(luò)的網(wǎng)線連接，內(nèi)外網(wǎng)的存儲介質(zhì)也同時被交換了，這時信息的安全還存在著隱患。 （3）第三代產(chǎn)品第三代產(chǎn)品采用基于單網(wǎng)線的安全隔離卡，加上網(wǎng)絡(luò)選擇器的技術(shù)?？蛻舳巳匀徊捎妙愃朴诘诙p網(wǎng)線安全隔離卡的技術(shù)，所不同的是第三代產(chǎn)品只利用一個網(wǎng)絡(luò)接口，通過網(wǎng)線將不同的電平信息傳遞到網(wǎng)絡(luò)選擇端，在網(wǎng)絡(luò)選擇端安裝網(wǎng)絡(luò)選擇器，并根據(jù)不同的電平信號，選擇不同的網(wǎng)絡(luò)連接，這類產(chǎn)品能夠有效利用用戶現(xiàn)有的單網(wǎng)線網(wǎng)絡(luò)環(huán)境，實現(xiàn)成本較低，由于選擇網(wǎng)絡(luò)的選擇器不在客戶端，系統(tǒng)的安全性有了很大的提高。 (4)第四代產(chǎn)品第四代產(chǎn)品可分為網(wǎng)閘和雙網(wǎng)隔離。 網(wǎng)閘網(wǎng)閘是由軟件和硬件組成。網(wǎng)閘的硬件設(shè)備由三部分組成:外部處理

10、單元、內(nèi)部處理單元、隔離硬件。網(wǎng)閘帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。 雙網(wǎng)隔離雙網(wǎng)隔離采用了“整機隔離”技術(shù)，突破了傳統(tǒng)隔離只能實現(xiàn)硬盤、網(wǎng)絡(luò)隔離的局限，創(chuàng)造性地實現(xiàn)了內(nèi)存隔離。它通過內(nèi)外網(wǎng)絡(luò)絕對的 物理隔離方式，在二個網(wǎng)絡(luò)間實施在線地、自由地切換，保證計算機的數(shù)據(jù)在網(wǎng)絡(luò)之間不被重用。這就解決了傳統(tǒng)隔離技術(shù)在雙網(wǎng)切換時，由于內(nèi)存數(shù)據(jù)不能有效刷新所可能導(dǎo)致的數(shù)據(jù)泄露等安全隱患，相當(dāng)于用一臺PC實現(xiàn)了兩臺物理隔離PC的安全效果。目前在網(wǎng)絡(luò)綜合布線行業(yè)中，第一代、第二代產(chǎn)品的已淘汰，以第三代和第四代產(chǎn)品為主的物理隔離。

11、113 云的安全內(nèi)容1131 云安全的三個層次1132云用戶應(yīng)用常見的問題1133 公司對云安全調(diào)查結(jié)論1134 云安全問題的解決辦法1135 云計算環(huán)境下安全防護的主要思路 云安全（Cloud Security）是指“云”端數(shù)據(jù)的使用安全。云用戶的機器不再是獨立的機器，而是網(wǎng)絡(luò)中的一個節(jié)點，交給全球運行的服務(wù)網(wǎng)絡(luò)。云用戶的數(shù)據(jù)放在“云”上，數(shù)據(jù)存于“云”中，就意味著數(shù)據(jù)被盜用和濫用的可能。如果不是重要的數(shù)據(jù)，云用戶關(guān)注度不大，如果是機密數(shù)據(jù)，屬于云用戶的隱私被盜用和濫用，對云用戶的打擊是非常大的。云用戶的機器交給全球運行的服務(wù)網(wǎng)絡(luò)同時，不可避免就是需要提供更多更詳細(xì)的云用戶（個人或企業(yè)）的敏

12、感信息，才能獲得更好的服務(wù)。敏感信息公布于眾，使得云用戶毫無隱私可言，特別是目前政府機構(gòu)以及公共服務(wù)機構(gòu)越來越多的發(fā)布包含個人信息的數(shù)據(jù)。在云計算的背景下，無論是數(shù)據(jù)發(fā)布中的敏感信息，還是服務(wù)中的敏感信息，云用戶的信息的安全和保護都顯得尤為重要。 114數(shù)據(jù)中心安全的內(nèi)容1141云數(shù)據(jù)中心面臨的安全問題1142云數(shù)據(jù)中心面臨的的安全建設(shè) 習(xí)題（1）簡述傳統(tǒng)的網(wǎng)絡(luò)安全（2）簡述通信安全性的具體定義（3）簡述傳統(tǒng)的網(wǎng)絡(luò)安全的威脅源（4）簡述人為威脅源（5）簡述網(wǎng)絡(luò)安全保護層及其功能（6）簡述安裝新網(wǎng)絡(luò)的安全設(shè)計（7）簡述現(xiàn)有網(wǎng)絡(luò)的安全設(shè)計（8）簡述安全認(rèn)證（9）簡述Internet防火墻服務(wù)目的（10）簡述使用防火墻的優(yōu)點 （11）簡述防火墻存在的不足