網絡信息安全概述第一頁，共四十六頁，2022年，8月28日10.2.1網絡安全隱患與對策網絡安全所面臨的威脅：（1）網絡中信息的威脅（2）對網絡中設備的威脅造成網絡威脅的來源：（1）人為的無意失誤（2）人為的惡意攻擊積極攻擊和消極攻擊（3）系統以及網絡軟件的漏洞和“后門”第二頁，共四十六頁，2022年，8月28日網絡安全策略

（1）物理安全策略確保通信設備實體和通信鏈路不受破壞；良好的電磁兼容工作環境，采用電磁屏蔽技術和干擾技術；完備的安全管理制度；（2）訪問控制策略保證網絡資源不被非法使用和非常訪問入網訪問控制，網絡登陸的控制，通過增加網絡口令的復雜性和加密網絡權限的控制對網絡資源分級，不同級別的用戶對不同的網絡資源有不同的訪問權限。目錄安全控制對目錄和文件的屬性進行控制，以使不同用戶對相同的目錄和文件具有不同的讀、修改、刪除、寫的權限。第三頁，共四十六頁，2022年，8月28日屬性安全控制網絡資源中的文件、目錄應設置合適的屬性。網絡服務器的安全控制設置對網絡服務器的使用，包括接入口令、訪問時間等網絡監測和鎖定控制記錄對網絡資源、網絡服務器的訪問記錄。網絡端口和結點的安全控制對網絡端口和結點的接入、操作信息的傳輸采用加密和安全認證措施。防火墻控制采用防火墻技術隔離內網和外網。第四頁，共四十六頁，2022年，8月28日（3）信息加密策略對網內存儲和傳輸的數據、口令、控制信息進行加密。加密方式包括鏈路加密、結點加密和端到端加密。（4）非技術性安全管理策略通過規章制度、行政手段、職業操守教育等措施，降低非技術原因導致的安全隱患。第五頁，共四十六頁，2022年，8月28日10.2.2病毒與防范病毒的傳播伴隨著信息資源的共享。第六頁，共四十六頁，2022年，8月28日10.3數據加密算法數據加密是計算機安全的重要部分。口令加密是防止文件中的密碼被人偷看。文件加密主要應用于因特網上的文件傳輸，防止文件被看到或劫持。 電子郵件給人們提供了一種快捷便宜的通信方式，但電子郵件是不安全的，很容易被別人偷看或偽造。為了保證電子郵件的安全，人們采用了數字簽名這樣的加密技術，并提供了基于加密的身份認證技術，這樣就可以保證發信人就是信上聲稱的人。數據加密也使因特網上的電子商務成為可能。 第七頁，共四十六頁，2022年，8月28日10.3.1數據加密的一般原理數據加密的基本過程包括對稱為明文的可讀信息進行處理，形成稱為密文或密碼的代碼形式。該過程的逆過程稱為解密，即將該編碼信息轉化為其原來的形式的過程。數據加密的基本概念：明文，加密密鑰，加密算法，密文，解密密鑰，解密算法第八頁，共四十六頁，2022年，8月28日（1）對稱密鑰加密 在保密密鑰中，加密者和解密者使用相同的密鑰，也被稱為對稱密鑰加密。這種加密算法的問題是，用戶必須讓接收人知道自己所使用的密鑰，這個密鑰需要雙方共同保密，任何一方的失誤都會導致機密的泄露，而且在告訴收件人密鑰過程中，還需要防止任何人發現或偷聽密鑰，這個過程被稱為密鑰發布。對稱密鑰算法：DES及各種變種、IDEA等第九頁，共四十六頁，2022年，8月28日（2）公開密鑰加密公用／私有密鑰，與單獨的密鑰不同，它使用相互關聯的一對密鑰，一個是公用密鑰，任何人都可以知道，另一個是私有密鑰，只有擁有該對密鑰的人知道。如果有人發信給這個人，他就用收信人的公用密鑰對信件進行過加密，當收件人收到信后，他就可以用他的私有密鑰進行解密，而且只有他持有的私有密鑰可以解密。這種加密方式的好處顯而易見。密鑰只有一個人持有，也就更加容易進行保密，因為不需在網絡上傳送私人密鑰，也就不用擔心別人在認證會話初期截獲密鑰。 ①公用密鑰和私有密鑰有兩個相互關聯的密鑰； ②公用密鑰加密的文件只有私有密鑰能解開； ③私有密鑰加密的文件只有公用密鑰能解開。公開密鑰算法：RSA等。第十頁，共四十六頁，2022年，8月28日密文的傳輸（1）鏈路加密在一條鏈路上傳輸的信息均被加密，包括報頭和路由信息。鏈路加密采用逐段加密，在鏈路節點上明文會短暫存在。（2）節點加密在鏈路上傳輸的數據是加密的，但報頭和路由信息不加密。（3）端到端加密對傳輸的分組逐個加密，加密的分組在網絡中不進行解密。報頭和路由信息不加密。第十一頁，共四十六頁，2022年，8月28日DES數據加密標準（DataEncryptionStandard，DES）是美國國家標準局開始研究除國防部以外的其它部門的計算機系統的數據加密標準。 DES是一個分組加密算法，它以64位為分組對數據加密。64位一組的明文從算法的一端輸入，64位的密文從另一端輸出。DES是一個對稱算法：加密和解密用的是同一算法。密鑰的長度為56位。（密鑰通常表示為64位的數，但每個第8位都用作奇偶校驗，可以忽略。）密鑰可以是任意的56位的數，且可在任意的時候改變。其中極少量的數被認為是弱密鑰，但能容易地避開它們。所有的保密性依賴于密鑰。第十二頁，共四十六頁，2022年，8月28日IDEA國際數據加密算法（InternationalDataEncryptionAlgorithm）IDEA與DES一樣，也是一種使用一個密鑰對64位數據塊進行加密的常規共享密鑰加密算法。同樣的密鑰用于將64位的密文數據塊恢復成原始的64位明文數據塊。IDEA使用128位（16字節）密鑰進行操作。第十三頁，共四十六頁，2022年，8月28日RSA RSA要求每一個用戶擁有自己的一種密鑰：（1）公開的加密密鑰，用以加密明文；（2）保密的解密密鑰，用于解密密文。 在RSA密鑰體制的運行中，當A用戶發文件給B用戶時，A用戶用B用戶公開的密鑰加密明文，B用戶則用解密密鑰解讀密文，其特點是：（1）密鑰配發十分方便，用戶的公用密鑰可以像電話本那樣公開，使用方便，每個用戶只需持有一對密鑰即可實現與網絡中任何一個用戶的保密通信。（2）RSA加密原理基于單向函數，非法接收者利用公用密鑰不可能在有限時間內推算出秘密密鑰。（3）RSA在用戶確認和實現數字簽名方面優于現有的其他加密機制。第十四頁，共四十六頁，2022年，8月28日10.4常用網絡安全1、身份鑒定（1）利用密碼、口令。（2）利用智能加密解密設備產生的密碼。（3）生物特征，比如指紋、聲音、虹膜等。第十五頁，共四十六頁，2022年，8月28日2、數字簽名數字簽名完成原始印章或親筆簽名的功能。一種基于密碼的身份鑒別技術。利用數字簽名的功用：（1）接收者能夠核實發送者對報文的簽名。（2）發送者事后不能夠抵賴對報文的簽名。（3）接收者不能偽造對報文的簽名。第十六頁，共四十六頁，2022年，8月28日利用公共密鑰算法進行數字簽名在利用公共密鑰算法進行數字簽名的系統中，利用散列函數（HashFunction）來產生數字簽名。數字簽名過程如下：（1）利用散列函數根據原始信息產生數字簽名；（2）數字簽名由發送者的專用密鑰加密；（3）原始信息和加密數字簽名發送到目的地；（4）目的地接收信息，并使用與原始信息相同的散列函數函數對信息產生其自己的數字簽名；（5）目的地還對所收到的數字簽名進行解密；（6）目的地將產生的數字簽名同附有信息的數字簽名進行對比，如果相吻合，目的地就知道信息的文本與用戶發送的信息文本是相同的，如果二者不吻合，則目的地知道原始信息已經被修改過。第十七頁，共四十六頁，2022年，8月28日3、數字證書數字證書是網絡通信中標識通信各方身份信息的一系列數據，即為用戶網絡身份證。通常由國家或國際間認可的權威機構制作、發放和管理，成為CA（CertifacateAuthority）中心。數字證書的格式通常遵循ITUX.509國際標準。X.509數字證書的內容包括：證書的版本信息證書序列號證書所使用的簽名算法證書的發行機構證書的有效期證書所有人名稱證書所有人的公開密鑰證書發行者對證書的簽名第十八頁，共四十六頁，2022年，8月28日4、防火墻1．防火墻的基本知識防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統，包括硬件和軟件，目的是保護網絡不被他人侵擾。本質上，它遵循的是一種允許或阻止業務來往的網絡通信安全機制，也就是提供可控的過濾網絡通信，只允許授權的通信。 通常，防火墻就是位于內部網或Web站點與因特網之間的一個路由器或一臺計算機，又稱為堡壘主機。其目的如同一個安全門，為門內的部門提供安全，控制那些可被允許出入該受保護環境的人或物。就像工作在前門的安全衛士，控制并檢查站點的訪問者。第十九頁，共四十六頁，2022年，8月28日

防火墻在因特網與內部網中的位置

從邏輯上講，防火墻是分離器、限制器和分析器。從物理角度看，各站點防火墻物理實現的方式有所不同。通常防火墻是一組硬件設備，即路由器、主計算機或者是路由器、計算機和配有適當軟件的網絡的多種組合。第二十頁，共四十六頁，2022年，8月28日防火墻是由管理員為保護自己的網絡免遭外界非授權訪問但又允許與因特網聯接而發展起來的。從網際角度，防火墻可以看成是安裝在兩個網絡之間的一道柵欄，根據安全計劃和安全策略中的定義來保護其后面的網絡。由軟件和硬件組成的防火墻應該具有以下功能。（1）所有進出網絡的通信流都應該通過防火墻。（2）所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權。（3）理論上說，防火墻是穿不透的第二十一頁，共四十六頁，2022年，8月28日2．防火墻的基本功能（1）防火墻能夠強化安全策略（2）防火墻能有效地記錄因特網上的活動（3）防火墻限制暴露用戶點（4）防火墻是一個安全策略的檢查站3．防火墻的不足之處（1）不能防范惡意的知情者（2）防火墻不能防范不通過它的連接（3）防火墻不能防備全部的威脅（4）防火墻不能防范病毒第二十二頁，共四十六頁，2022年，8月28日 防火墻通常是一個具備包過濾功能的簡單路由器，支持因特網安全。 每個包有兩個部分：數據部分和包頭。包頭中含有源地址和目標地址等信息。 包過濾一直是一種簡單而有效的方法。通過攔截數據包，讀出并拒絕那些不符合標準的包頭，過濾掉不應入站的信息。每個數據包都包含有特定信息的一組報頭，其主要信息是：（1）IP協議類型（TCP、UDP，ICMP等）；（2）IP源地址；（3）IP目標地址；（4）IP選擇域的內容；（5）TCP或UDP源端口號；（6）TCP或UDP目標端口號；（7）ICMP消息類型。數據包過濾第二十三頁，共四十六頁，2022年，8月28日1）包過濾是如何工作的 包過濾技術可以允許或不允許某些包在網絡上傳遞，它依據以下的判據： （1）將包的目的地址作為判據； （2）將包的源地址作為判據； （3）將包的傳送協議作為判據。 包過濾系統只能讓我們進行類似以下情況的操作： （1）不讓任何用戶從外部網用Telnet登錄； （2）允許任何用戶使用SMTP往內部網發電子郵件； （3）只允許某臺機器通過NNTP往內部網發新聞。第二十四頁，共四十六頁，2022年，8月28日 1．包過濾的優點 包過濾方式有許多優點，而其主要優點之一是僅用一個放置在重要位置上的包過濾路由器就可保護整個網絡。如果我們的站點與因特網間只有一臺路由器，那么不管站點規模有多大，只要在這臺路由器上設置合適的包過濾，我們的站點就可獲得很好的網絡安全保護。 2．包過濾的缺點（1）在機器中配置包過濾規則比較困難； （2）對系統中的包過濾規則的配置進行測試也較麻煩；（3）許多產品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產品比較困難。第二十五頁，共四十六頁，2022年，8月28日 2）包過濾路由器的配置 在配置包過濾路由器時，首先要確定哪些服務允許通過而哪些服務應被拒絕，并將這些規定翻譯成有關的包過濾規則。 下面給出將有關服務翻譯成包過濾規則時非常重要的幾個概念。（1）協議的雙向性。協議總是雙向的，協議包括一方發送一個請求而另一方返回一個應答。在制定包過濾規則時，要注意包是從兩個方向來到路由器的。（2）“往內”與“往外”的含義。在制定包過濾規則時，必須準確理解“往內”與“往外”的包和“往內”與“往外”的服務這幾個詞的語義。第二十六頁，共四十六頁，2022年，8月28日 （3）“默認允許”與“默認拒絕”。網絡的安全策略中的有兩種方法：默認拒絕（沒有明確地被允許就應被拒絕）與默認允許（沒有明確地被拒絕就應被允許）。從安全角度來看，用默認拒絕應該更合適。3）包的基本構造

包的構造有點像洋蔥一樣，它是由各層連接的協議組成的。每一層，包都由包頭與包體兩部分組成。在包頭中存放與這一層相關的協議信息，在包體中存放包在這一層的數據信息。這些數據信息也包含了上層的全部信息。在每一層上對包的處理是將從上層獲取的全部信息作為包體，然后依本層的協議再加上包頭。這種對包的層次性操作（每一層均加裝一個包頭）一般稱為封裝。第二十七頁，共四十六頁，2022年，8月28日數據包的封裝

第二十八頁，共四十六頁，2022年，8月28日4）依據地址進行過濾 在包過濾系統中，最簡單的方法是依據地址進行過濾。用地址進行過濾可以不管使用什么協議，僅根據源地址/目的地址對流動的包進行過濾。我們可用這種方法只讓某些被指定的外部主機與某些被指定的內部主機進行交互。還可以防止黑客用偽包裝成來自某臺主機，而其實并非來自于那臺主機的包對網絡進行的侵擾。第二十九頁，共四十六頁，2022年，8月28日5）依據服務進行過濾 1．往外的Telnet服務 在往外的Telnet服務中，一個本地用戶與一個遠程服務器交互。我們必須對往外與往內的包都加以處理。 2．往內的Telnet服務 3．依據源端口來過濾 依據源端口來過濾必須有個前提，提供端口號的機器必須是真實的。如若入侵者已經通過root完全控制了這臺機器，那他就可隨意在這臺機器上，也就等于在我們包過濾規則的端口上運行任意的客戶程序或服務器程序。有時我們就根本不能相信由對方機器提供的機器源地址，因為有可能那臺機器就是入侵者偽裝的。

第三十頁，共四十六頁，2022年，8月28日防火墻類型

第三十一頁，共四十六頁，2022年，8月28日1、數據包過濾防火墻第三十二頁，共四十六頁，2022年，8月28日2、雙宿網關防火墻第三十三頁，共四十六頁，2022年，8月28日3、屏蔽主機防火墻第三十四頁，共四十六頁，2022年，8月28日4、屏蔽子網防火墻第三十五頁，共四十六頁，2022年，8月28日網絡地址翻譯

網絡地址翻譯（NAT，NetworkAddressTranslation）最初的設計目的是增加在專用網絡中可使用的IP地址數，但現在則用于屏蔽內部主機。NAT通過將專用網絡中的專用IP地址轉換成在Internet上使用的全球唯一的公共IP地址，實現對黑客有效地隱藏所有TCP/IP級的有關內部主機信息的功能，使外部主機無法探測到它們。

NAT實質上是一個基本代理：一個主機充當代理，代表內部所有主機發出請求，從而將內部主機的身份從公用網上隱藏起來了。第三十六頁，共四十六頁，2022年，8月28日按普及程度和可用性順序，NAT防火墻最基本的翻譯模式包括：靜態翻譯。在這種模式中，一個指定的內部網絡源有一個從改變的固定翻譯表。動態翻譯。在這種模式中，為了隱藏內部主機的身份或擴展內部網的地址空間，一個大的Internet客戶群共享單一一個或一組小的InternetIP地址。負載平衡翻譯。在這種模式中，一個IP地址和端口被翻譯為同等配置的多個服務器的一個集中處，這樣一個公共地址可以為許多服務器服務。網絡冗余翻譯。在這種模式中，多個Internet連接被附加在一個NAT防火墻上，從而防火墻根據負載和可用性對這些連接進行選擇和使用。第三十七頁，共四十六頁，2022年，8月28日第三十八頁，共四十六頁，2022年，8月28日虛擬專用網VPN采用加密和認證技術，利用公共通信網絡設施的一部分來發送專用信息，為相互通信的節點建立起的一個相對封閉的、邏輯上的專用網絡。通常用于大型組織跨地域的各個機構之間的聯網信息交換，或是流動工作人員與總部之間的通信。只允許特定利益集團內可以建立對等連接，保證在網絡中傳輸的數據的保密性和安全性。目標是在不安全的公共網絡上建立一個安全的專用通信網絡。第三十九頁，共四十六頁，2022年，8月28日虛擬專用網VPN的好處實現了網絡安全。簡化網絡設計和管理。降低成本。容易擴展，適應性強。可隨意與合作伙伴聯網。完全控制主動權。支持新興應用。第四十頁，共四十六頁，2022年，8月28日IPVPN的基本信息