第11章-網(wǎng)絡(luò)安全技術(shù)_第1頁
第11章-網(wǎng)絡(luò)安全技術(shù)_第2頁
第11章-網(wǎng)絡(luò)安全技術(shù)_第3頁
第11章-網(wǎng)絡(luò)安全技術(shù)_第4頁
第11章-網(wǎng)絡(luò)安全技術(shù)_第5頁
已閱讀5頁,還剩85頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

吳功宜編著“十一五”國家重點圖書計算機科學(xué)與技術(shù)學(xué)科前沿叢書

計算機科學(xué)與技術(shù)學(xué)科研究生系列教材(中文版)

計算機網(wǎng)絡(luò)

高級教程

1《計算機網(wǎng)絡(luò)高級教程》第11章

網(wǎng)絡(luò)安全與

網(wǎng)絡(luò)管理技術(shù)的研究2《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全的基本概念3《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全問題已經(jīng)成為信息化社會的一個焦點問題;每個國家只能立足于本國,研究自己的網(wǎng)絡(luò)安全技術(shù),培養(yǎng)自己的專門人才,發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè),才能構(gòu)筑本國的網(wǎng)絡(luò)與信息安全防范體系。

4《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全領(lǐng)域中的一些觀念問題

網(wǎng)絡(luò)安全與現(xiàn)實社會安全關(guān)系網(wǎng)絡(luò)安全與網(wǎng)絡(luò)新技術(shù)的關(guān)系網(wǎng)絡(luò)安全與密碼學(xué)的關(guān)系

5《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)虛擬社會與現(xiàn)實社會的關(guān)系

6《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全技術(shù)研究內(nèi)容分類

7《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)攻擊分類8《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)攻擊手段的分類

9《計算機網(wǎng)絡(luò)高級教程》

DoS攻擊的分類

10《計算機網(wǎng)絡(luò)高級教程》DDoS攻擊過程

11《計算機網(wǎng)絡(luò)高級教程》防火墻技術(shù)12《計算機網(wǎng)絡(luò)高級教程》防火墻技術(shù)

防火墻的基本概念防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng),它包括硬件和軟件;設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用,防止內(nèi)部受到外部非法用戶的攻擊。

13《計算機網(wǎng)絡(luò)高級教程》防火墻的基本概念防火墻—為內(nèi)部網(wǎng)絡(luò)建立安全邊界(securityperimeter)構(gòu)成防火墻系統(tǒng)的兩個基本部件:

—包過濾路由器(packetfilteringrouter)

—應(yīng)用級網(wǎng)關(guān)(applicationgateway)組合方式有多種,防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式14《計算機網(wǎng)絡(luò)高級教程》包過濾路由器

包過濾路由器的結(jié)構(gòu)

15《計算機網(wǎng)絡(luò)高級教程》路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則(即訪問控制表),檢查每個分組的源IP地址、目的IP地址,決定該分組是否應(yīng)該轉(zhuǎn)發(fā);包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容;對于TCP報頭信息可以是:

?源IP地址

?目的IP地址

?協(xié)議類型

?IP選項內(nèi)容

?源TCP端口號

?目的TCP端口號

?TCPACK標識

16《計算機網(wǎng)絡(luò)高級教程》包過濾的

工作流程17《計算機網(wǎng)絡(luò)高級教程》包過濾路由器作為防火墻的結(jié)構(gòu)

18《計算機網(wǎng)絡(luò)高級教程》應(yīng)用級網(wǎng)關(guān)的概念

多歸屬主機(multihomedhost)

典型的多歸屬主機結(jié)構(gòu)

19《計算機網(wǎng)絡(luò)高級教程》應(yīng)用級網(wǎng)關(guān)

20《計算機網(wǎng)絡(luò)高級教程》應(yīng)用代理(applicationproxy)

21《計算機網(wǎng)絡(luò)高級教程》防火墻的系統(tǒng)結(jié)構(gòu)

堡壘主機的概念

一個雙歸屬主機作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用;處于防火墻關(guān)鍵部位、運行應(yīng)用級網(wǎng)關(guān)軟件的計算機系統(tǒng)叫做堡壘主機。

22《計算機網(wǎng)絡(luò)高級教程》典型防火墻系統(tǒng)系統(tǒng)結(jié)構(gòu)分析

采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統(tǒng)結(jié)構(gòu)

23《計算機網(wǎng)絡(luò)高級教程》包過濾路由器的轉(zhuǎn)發(fā)過程

24《計算機網(wǎng)絡(luò)高級教程》S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程

25《計算機網(wǎng)絡(luò)高級教程》S-B2-B2防火墻系統(tǒng)結(jié)構(gòu)

26《計算機網(wǎng)絡(luò)高級教程》S-B2-B2配置的防火墻系統(tǒng)結(jié)構(gòu)層次結(jié)構(gòu)

27《計算機網(wǎng)絡(luò)高級教程》S-B1-S-B1防火墻系統(tǒng)結(jié)構(gòu)

28《計算機網(wǎng)絡(luò)高級教程》S-B1-S-B1配置的防火墻系統(tǒng)層次結(jié)構(gòu)

29《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)防攻擊與入侵檢測技術(shù)30《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)防攻擊與入侵檢測技術(shù)

網(wǎng)絡(luò)攻擊方法分析

目前黑客攻擊大致可以分為8種基本的類型:系統(tǒng)類入侵攻擊緩沖區(qū)溢出攻擊欺騙類攻擊拒絕服務(wù)攻擊對防火墻的攻擊利用病毒攻擊木馬程序攻擊后門攻擊31《計算機網(wǎng)絡(luò)高級教程》入侵檢測的基本概念入侵檢測系統(tǒng)IDS—識別對計算機和網(wǎng)絡(luò)資源惡意使用行為的系統(tǒng)監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為:

—來自系統(tǒng)外部的入侵行為

—來自內(nèi)部用戶的非授權(quán)行為

—相應(yīng)的防護手段32《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)防攻擊技術(shù)服務(wù)攻擊(applicationdependentattack)對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊,造成該網(wǎng)絡(luò)的“拒絕服務(wù)(denial-of-server)”,使網(wǎng)絡(luò)工作不正常;非服務(wù)攻擊(applicationindependentattack)不針對某項具體應(yīng)用服務(wù),而是基于網(wǎng)絡(luò)層等低層協(xié)議而進行的,使得網(wǎng)絡(luò)通信設(shè)備工作嚴重阻塞或癱瘓。33《計算機網(wǎng)絡(luò)高級教程》拒絕服務(wù)攻擊的目的:消耗帶寬消耗系統(tǒng)資源使系統(tǒng)與應(yīng)用崩潰34《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)防攻擊主要問題需要研究的幾個問題網(wǎng)絡(luò)可能遭到哪些人的攻擊?攻擊類型與手段可能有哪些?如何及時檢測并報告網(wǎng)絡(luò)被攻擊?如何采取相應(yīng)的網(wǎng)絡(luò)安全策略與網(wǎng)絡(luò)安全防護體系?35《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全漏洞與對策的研究網(wǎng)絡(luò)信息系統(tǒng)的運行涉及:計算機硬件與操作系統(tǒng)網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)軟件數(shù)據(jù)庫管理系統(tǒng)應(yīng)用軟件網(wǎng)絡(luò)通信協(xié)議網(wǎng)絡(luò)安全漏洞也會表現(xiàn)在以上幾個方面。

36《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)中的信息安全問題信息存儲安全與信息傳輸安全

信息存儲安全

如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會被未授權(quán)的網(wǎng)絡(luò)用戶非法使用信息傳輸安全

如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊

37《計算機網(wǎng)絡(luò)高級教程》信息傳輸安全問題的4種基本類型38《計算機網(wǎng)絡(luò)高級教程》入侵檢測系統(tǒng)框架結(jié)構(gòu)

39《計算機網(wǎng)絡(luò)高級教程》入侵檢測系統(tǒng)IDS的基本功能監(jiān)控、分析用戶和系統(tǒng)的行為檢查系統(tǒng)的配置和漏洞評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性對異常行為的統(tǒng)計分析,識別攻擊類型,并向網(wǎng)絡(luò)管理人員報警

對操作系統(tǒng)進行審計、跟蹤管理,識別違反授權(quán)的用戶活動40《計算機網(wǎng)絡(luò)高級教程》入侵檢測的基本方法

對各種事件進行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能;入侵檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為:

?異常檢測

?誤用檢測

?兩種方式的結(jié)合41《計算機網(wǎng)絡(luò)高級教程》入侵檢測系統(tǒng)分類

按照檢測的對象和基本方法:基于主機的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于目標的入侵檢測系統(tǒng)基于應(yīng)用的入侵檢測系統(tǒng)

根據(jù)入侵檢測的工作方式:離線檢測系統(tǒng)在線檢測系統(tǒng)

42《計算機網(wǎng)絡(luò)高級教程》基于主機的入侵檢測系統(tǒng)的基本結(jié)構(gòu)

43《計算機網(wǎng)絡(luò)高級教程》基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的基本結(jié)構(gòu)

44《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)防病毒技術(shù)45《計算機網(wǎng)絡(luò)高級教程》惡意傳播代碼的基本概念惡意傳播代碼(maliciousmobilecode,MMC)是一種軟件程序,它能夠從一臺計算機傳播到另一臺計算機,從一個網(wǎng)絡(luò)傳播到一個網(wǎng)絡(luò);目的是在網(wǎng)絡(luò)和系統(tǒng)管理員不知情的情況下,對系統(tǒng)進行故意地修改;惡意傳播代碼包括病毒、木馬、蠕蟲、腳本攻擊代碼,以及惡意的Internet代碼。46《計算機網(wǎng)絡(luò)高級教程》病毒類型

引導(dǎo)型病毒可執(zhí)行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒47《計算機網(wǎng)絡(luò)高級教程》2004年—2005年手機病毒發(fā)展的情況

48《計算機網(wǎng)絡(luò)高級教程》計算機取證技術(shù)49《計算機網(wǎng)絡(luò)高級教程》計算機取證(computerforensics)的基本概念主動防御技術(shù)對計算機犯罪的行為進行分析,以確定罪犯與犯罪的電子證據(jù),并以此為重要依據(jù)提起訴訟對受侵犯的計算機與網(wǎng)絡(luò)設(shè)備與系統(tǒng)進行:

—掃描與破解

—對入侵的過程進行重構(gòu)

—完成有法律效力的電子證據(jù)的獲取、保存、分析、出示50《計算機網(wǎng)絡(luò)高級教程》計算機取證的基本概念對于構(gòu)建對入侵者有威懾力的主動網(wǎng)絡(luò)防御體系有著重要的意義,是一個極具挑戰(zhàn)性的研究課題;計算機取證技術(shù)與相關(guān)法律、法規(guī)的研究、制定已經(jīng)迫在眉睫。51《計算機網(wǎng)絡(luò)高級教程》計算機取證方法

靜態(tài)取證模型

52《計算機網(wǎng)絡(luò)高級教程》計算機取證方法

動態(tài)取證模型

53《計算機網(wǎng)絡(luò)高級教程》蜜罐(honeypot)通過模擬一個主機、服務(wù)器或其他網(wǎng)絡(luò)設(shè)備,給攻擊者提供一個容易攻擊的目標;轉(zhuǎn)移網(wǎng)絡(luò)攻擊者對有價值的資源的注意力,保護網(wǎng)絡(luò)有價值的資源;通過對攻擊者的攻擊目標、企圖、行為與破壞方式等數(shù)據(jù)的收集、分析,了解網(wǎng)絡(luò)安全狀態(tài),研究相應(yīng)的對策;對入侵者的行為和操作過程進行記錄,為起訴入侵者搜集有用的證據(jù)。54《計算機網(wǎng)絡(luò)高級教程》蜜罐技術(shù)分類研究型蜜罐的部署與維護都很復(fù)雜,主要用于研究、軍事或重要的政府部門;實用型蜜罐作為產(chǎn)品,主要用于大型企業(yè)、機構(gòu)的安全保護。55《計算機網(wǎng)絡(luò)高級教程》蜜罐在研究中需要注意的問題如何防止攻擊者利用蜜罐作為跳板,發(fā)動對第三者的入侵;增加了系統(tǒng)的復(fù)雜性,會出現(xiàn)更多的漏洞,可能會導(dǎo)致系統(tǒng)遭到更多的攻擊;維護需要花費很多的精力和時間,如果不去維護,會產(chǎn)生新的問題;獲取電子證據(jù)的合法性問題。56《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)

57《計算機網(wǎng)絡(luò)高級教程》災(zāi)難恢復(fù)與業(yè)務(wù)可持續(xù)性在概念上的區(qū)別

JonWilliamToigo《DisasterRecoveryPlanningPreparingfortheUnthinkable(ThirdEdition)》“除了9.11事件所產(chǎn)生的社會與政治后果,這場災(zāi)難很特別的一點,或許是發(fā)現(xiàn)如此眾多的受到影響的機構(gòu),竟然沒有任何災(zāi)難恢復(fù)規(guī)劃。對于世貿(mào)中心的440多家商業(yè)機構(gòu),曼哈頓區(qū)被電力、通信和設(shè)備中斷所影響的成千上萬的公司,還有五角大樓中眾多的政府機構(gòu),只有一小部分—或許是200家—有預(yù)先制訂的災(zāi)難恢復(fù)規(guī)劃”。

58《計算機網(wǎng)絡(luò)高級教程》災(zāi)難恢復(fù)與業(yè)務(wù)可持續(xù)性在概念上的區(qū)別“災(zāi)難”一般是指洪水、颶風(fēng)與地震之類的自然災(zāi)害所造成的危害,已經(jīng)有所指的特定領(lǐng)域;信息技術(shù)領(lǐng)域中所指的是:由于網(wǎng)絡(luò)環(huán)境中出現(xiàn)的問題,導(dǎo)致基于網(wǎng)絡(luò)的計算機系統(tǒng)業(yè)務(wù)流程的非計劃性中斷;造成業(yè)務(wù)流程的非計劃性中斷的原因除了洪水、颶風(fēng)與地震之類的自然災(zāi)害、恐怖活動之外,還有網(wǎng)絡(luò)攻擊、病毒與內(nèi)部人員的破壞,以及其他不可抗拒的因素;59《計算機網(wǎng)絡(luò)高級教程》突發(fā)事件會造成網(wǎng)絡(luò)與信息系統(tǒng)、硬件與軟件的損壞,以及密鑰系統(tǒng)與數(shù)據(jù)的丟失,關(guān)鍵業(yè)務(wù)流程的非計劃性中斷;針對各種可能發(fā)生的情況,提前做好預(yù)防突發(fā)事件出現(xiàn)造成重大后果的預(yù)案,控制突發(fā)事件對關(guān)鍵業(yè)務(wù)流程所造成的影響;將“災(zāi)難恢復(fù)規(guī)劃”的術(shù)語改為“業(yè)務(wù)持續(xù)性規(guī)劃”會更恰當(dāng)些。60《計算機網(wǎng)絡(luò)高級教程》業(yè)務(wù)持續(xù)性規(guī)劃的基本內(nèi)容

規(guī)劃的方法風(fēng)險分析方法數(shù)據(jù)恢復(fù)規(guī)劃61《計算機網(wǎng)絡(luò)高級教程》數(shù)據(jù)恢復(fù)規(guī)劃數(shù)據(jù)分類鑒別數(shù)據(jù)的影響等級網(wǎng)絡(luò)分級備份策略存儲手段與制度異地存儲的安全性遠程鏡像記錄存儲的備份方案實施數(shù)據(jù)恢復(fù)終端用戶的恢復(fù)策略應(yīng)急決策機制數(shù)據(jù)恢復(fù)評估62《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全服務(wù)與密碼學(xué)應(yīng)用技術(shù)

63《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全服務(wù)與安全標準

網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本的服務(wù)功能:數(shù)據(jù)保密(dataconfidentiality)認證(authentication)

數(shù)據(jù)完整(dataintegrity)

防抵賴(non-repudiation)

訪問控制(accesscontrol)64《計算機網(wǎng)絡(luò)高級教程》加密與認證技術(shù)

密碼算法與密碼體制的基本概念

數(shù)據(jù)加密與解密的過程

65《計算機網(wǎng)絡(luò)高級教程》密碼體制密碼體制是兩個基本構(gòu)成要素

—加密/解密算法

—密鑰對稱密碼體制非對稱密碼體制66《計算機網(wǎng)絡(luò)高級教程》對稱密鑰(symmetriccryptography)密碼體系

對稱加密的特點

67《計算機網(wǎng)絡(luò)高級教程》非對稱密鑰(asymmetriccryptography)密碼體系

非對稱密鑰密碼體系的特點68《計算機網(wǎng)絡(luò)高級教程》公共蜜鑰基礎(chǔ)設(shè)施PKI結(jié)構(gòu)

69《計算機網(wǎng)絡(luò)高級教程》密鑰長度

密鑰長度與密鑰個數(shù)

密鑰長度(位)組合個數(shù)40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×103870《計算機網(wǎng)絡(luò)高級教程》數(shù)字信封技術(shù)

71《計算機網(wǎng)絡(luò)高級教程》數(shù)字簽名技術(shù)

72《計算機網(wǎng)絡(luò)高級教程》數(shù)字簽名技術(shù)的分類

不可否認簽名防失敗簽名盲簽名

群簽名

73《計算機網(wǎng)絡(luò)高級教程》身份認證技術(shù)的發(fā)展

身份認證可以通過三種基本途徑之一或它們的組合實現(xiàn):所知(knowledge):個人所掌握的密碼、口令所有(possesses):個人身份證、護照、信用卡、鑰匙;個人特征(characteristics)74《計算機網(wǎng)絡(luò)高級教程》個人特征容貌膚色發(fā)質(zhì)身材姿勢手印指紋腳印唇印顱相口音腳步聲體味視網(wǎng)膜血型遺傳因子筆跡習(xí)慣性簽字打字韻律在外界刺激下的反應(yīng)75《計算機網(wǎng)絡(luò)高級教程》信息隱藏技術(shù)

76《計算機網(wǎng)絡(luò)高級教程》信息隱藏技術(shù)

77《計算機網(wǎng)絡(luò)高級教程》信息隱藏的基本模型

78《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全應(yīng)用技術(shù)研究

79《計算機網(wǎng)絡(luò)高級教程》網(wǎng)絡(luò)安全應(yīng)用技術(shù)研究IP安全電子郵件安全Web安全VPN技術(shù)網(wǎng)絡(luò)信息過濾技術(shù)

80《計算機網(wǎng)絡(luò)高級教程》IPSec協(xié)議認證頭AH協(xié)議封裝安全載荷ESP協(xié)議Internet安全關(guān)聯(lián)密鑰管理協(xié)議ISAKMPInternet密鑰交換IKE協(xié)議81《計算機網(wǎng)絡(luò)高級教程》I

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論