《計(jì)算機(jī)等級(jí)考試四級(jí)-網(wǎng)絡(luò)工程師第10章網(wǎng)絡(luò)安全技》由會(huì)員分享��,可在線閱讀�����,更多相關(guān)《計(jì)算機(jī)等級(jí)考試四級(jí)-網(wǎng)絡(luò)工程師第10章網(wǎng)絡(luò)安全技(49頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1�、單擊此處編輯母版標(biāo)題樣式,*,*,*,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),第,10,章 網(wǎng)絡(luò)安全技術(shù),本章要點(diǎn):,10.1,基本概念,10.2,數(shù)據(jù)備份,10.3,加密技術(shù),10.4,防火墻,10.5,防病毒,10.6,入侵檢測(cè),10.1.1,信息安全威脅,1,竊聽(tīng),信息在傳輸過(guò)程中被直接或是間接地竊聽(tīng)網(wǎng)絡(luò)上的特定數(shù)據(jù)包,通過(guò)對(duì)其的分析得到所需的重要信息�����。數(shù)據(jù)包仍然能夠到到目的結(jié)點(diǎn)��,其數(shù)據(jù)并沒(méi)有丟失�����。,2,截獲,信息在傳輸過(guò)程中被非法截獲����,并且目的結(jié)點(diǎn)并沒(méi)有收到該信息,即信息在中途丟失了�����。,10.1,基本概念,3,偽造,沒(méi)有任何信息從源信息結(jié)點(diǎn)發(fā)出���,但攻擊者偽造出信息并冒
2��、充源信息結(jié)點(diǎn)發(fā)出信息����,目的結(jié)點(diǎn)將收到這個(gè)偽造信息�����。,4,篡改,信息在傳輸過(guò)程中被截獲��,攻擊者修改其截獲的特定數(shù)據(jù)包��,從而破壞了數(shù)據(jù)的數(shù)據(jù)的完整性���,然后再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點(diǎn)��。在目的結(jié)點(diǎn)的接收者看來(lái)�����,數(shù)據(jù)似乎是完整沒(méi)有丟失的���,但其實(shí)已經(jīng)被惡意篡改過(guò)。,重點(diǎn)提示:,網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)���,對(duì)網(wǎng)絡(luò)系統(tǒng)的硬����、軟件和系統(tǒng)中的數(shù)據(jù)資源進(jìn)行保護(hù),從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)�����、安全且可靠的運(yùn)行�。網(wǎng)絡(luò)中存在的信息安全威脅有竊聽(tīng)、截獲��、偽造和篡改���。,圖,10-1,信息安全威脅,10.1.2,網(wǎng)絡(luò)攻擊,1,服務(wù)攻擊,服務(wù)攻擊即指對(duì)網(wǎng)絡(luò)中的某些服務(wù)器進(jìn)行攻擊�,使其“拒絕服務(wù)”而造成網(wǎng)絡(luò)無(wú)法正常工作���。
3�、,2,非服務(wù)攻擊,利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時(shí)的漏洞來(lái)達(dá)到攻擊的目的�,它不針對(duì)于某具體的應(yīng)用服務(wù),因此非服務(wù)攻擊是一種更有效的攻擊手段�。,10.1.3,網(wǎng)絡(luò)安全的基本要素,(,1,)機(jī)密性,(,2,)完整性,(,3,)可用性,(,4,)可鑒別性,(,5,)不可抵賴性,10.1.4,計(jì)算機(jī)系統(tǒng)安全等級(jí),1,D,類,D,類的安全級(jí)別最低,保護(hù)措施最少且沒(méi)有安全功能。,2,C,類,C,類是自定義保護(hù)級(jí)����,該級(jí)的安全特點(diǎn)是系統(tǒng)的對(duì)象可自主定義訪問(wèn)權(quán)限。,C,類分為兩個(gè)級(jí)別:,C1,級(jí)與,C2,級(jí)���。,(,1,),C1,級(jí),C1,級(jí)是自主安全保護(hù)級(jí)�,它能夠?qū)崿F(xiàn)用戶與數(shù)據(jù)的分離����。數(shù)據(jù)的保護(hù)是以用戶組為單位的���,
4����、并實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行自主存取控實(shí)現(xiàn)制�����。,(,2,),C2,級(jí),C2,級(jí)是受控訪問(wèn)級(jí)�,該級(jí)可以通過(guò)登錄規(guī)程、審計(jì)安全性相關(guān)事件來(lái)隔離資源�����。,3,B,類,B,類是強(qiáng)制式安全保護(hù)類,它的特點(diǎn)在于由系統(tǒng)強(qiáng)制實(shí)現(xiàn)安全保護(hù)�,因此用戶不能分配權(quán)限,只能通過(guò)管理員對(duì)用戶進(jìn)行權(quán)限的分配����。,(,1,),B1,級(jí),B1,級(jí)是標(biāo)記安全保護(hù)級(jí)。該級(jí)對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行標(biāo)記���,并對(duì)標(biāo)記的主客體實(shí)行強(qiáng)制存取控制�����。,(,2,),B2,級(jí),B2,級(jí)是結(jié)構(gòu)化安全保護(hù)級(jí)����。該級(jí)建立形式化的安全策略模型��,同時(shí)對(duì)系統(tǒng)內(nèi)的所有主體和客體�����,都實(shí)現(xiàn)強(qiáng)制訪問(wèn)和自主訪問(wèn)控制�。,(,3,),B3,級(jí),B3,級(jí)是安全級(jí)��,它能夠?qū)崿F(xiàn)訪問(wèn)監(jiān)控器的要求�����,訪問(wèn)監(jiān)控器是指
5�����、監(jiān)控器的主體和客體之間授權(quán)訪問(wèn)關(guān)系的部件����。該級(jí)還支持安全管理員職能��、擴(kuò)充審計(jì)機(jī)制��、當(dāng)發(fā)生與安全相關(guān)的事件時(shí)將發(fā)出信號(hào)��、同時(shí)可以提供系統(tǒng)恢復(fù)過(guò)程���。,4,A,類,A,類是可驗(yàn)證的保護(hù)級(jí)。它只有一個(gè)等級(jí)即,A1,級(jí)��。,A1,級(jí)的功能與,B3,幾乎是相同的�����,但是,A1,級(jí)的特點(diǎn)在于它的系統(tǒng)擁有正式的分析和數(shù)學(xué)方法,它可以完全證明一個(gè)系統(tǒng)的安全策略和安全規(guī)格的完整性與一致性��。同時(shí)�����,,A1,級(jí)還規(guī)定了將完全計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場(chǎng)安裝所遵守的程序�。,10.1.4,網(wǎng)絡(luò)安全模型,1,基本模型,在網(wǎng)絡(luò)信息傳輸中,為了保證信息傳輸?shù)陌踩?,一般需要一個(gè)值得信任的第三方,負(fù)責(zé)向源結(jié)點(diǎn)和目的結(jié)點(diǎn)進(jìn)行秘密信息分發(fā)�,同時(shí)在
6、雙方發(fā)生爭(zhēng)執(zhí)時(shí)�,也要起到仲裁的作用。在基本的安全模型中����,通信的雙方在進(jìn)行信息傳輸前,先建立起一條邏輯通道���,并提供安全的機(jī)制和服務(wù)�����,來(lái)實(shí)現(xiàn)在開(kāi)放網(wǎng)絡(luò)環(huán)境中信息的安全傳輸����。,(,1,)從源結(jié)點(diǎn)發(fā)出的信息,使用如信息加密等加密技術(shù)對(duì)其進(jìn)行安全的轉(zhuǎn)�����,從而實(shí)現(xiàn)該信息的保密性�����,同時(shí)也可以在該信息中附加一些特征的信息�,作為源結(jié)點(diǎn)的身份驗(yàn)證。,(,2,)源結(jié)點(diǎn)與目的結(jié)點(diǎn)應(yīng)該共享如加密密鑰這樣的保密信息��,這些信息除了發(fā)送雙方和可信任的第三方以外�����,對(duì)其他用戶都是保密的�。,圖,10-2,網(wǎng)絡(luò)安全基本模型,2,P2DR,模型,(,1,)安全策略(,Policy,),安全策略是模型中的防護(hù)�、檢測(cè)和響應(yīng)等部分實(shí)施的依據(jù),
7����、一個(gè)安全策略體系的建立包括策略的制定����、評(píng)估與執(zhí)行�����。,(,2,)防護(hù)(,Protection,),防護(hù)技術(shù)包括:防火墻�、操作系統(tǒng)身份認(rèn)證、數(shù)據(jù)加密�、訪問(wèn)控制、授權(quán)���、虛擬專用網(wǎng)技術(shù)和數(shù)據(jù)備份等�����,它對(duì)系統(tǒng)可能出現(xiàn)的安全問(wèn)題采取預(yù)防措施����。,(,3,)檢測(cè)(,Detection,),檢測(cè)功能使用漏洞評(píng)估�����、入侵檢測(cè)等系統(tǒng)檢測(cè)技術(shù),當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)����,發(fā)揮功用。,(,4,)響應(yīng)(,Response,),響應(yīng)包括緊急響應(yīng)和恢復(fù)處理����,而恢復(fù)又包括系統(tǒng)恢復(fù)和信息恢復(fù),響應(yīng)系統(tǒng)在檢測(cè)出入侵時(shí)����,開(kāi)始事件處理的工作。,圖,10-3 P2DR,模型,重點(diǎn)提示:,網(wǎng)絡(luò)安全的基本要素包括:保密性����、完整性、可用性��、可鑒別性
8�����、和不可抵賴性���。美國(guó)國(guó)防部和國(guó)家標(biāo)準(zhǔn)局將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為,A,��、,B,�、,C,����、,D,這,4,類,共有,7,級(jí)�����。網(wǎng)絡(luò)基本安全模型要求通信的雙方在進(jìn)行信息傳輸前���,先建立起一條邏輯通道���,并提供安全的機(jī)制和服務(wù)并且有一個(gè)可供信任的第三方進(jìn)行扮演仲裁者和秘密信息發(fā)布者的角色。,10.2,數(shù)據(jù)備份,10.2.1,數(shù)據(jù)備份模型,1,物理備份,物理備份是將磁盤塊的數(shù)據(jù)從拷貝到備份介質(zhì)上的備份過(guò)程�,它忽略了文件和結(jié)構(gòu),它也被稱為“基于塊的備份”和“基于設(shè)備的備份”��。,2,邏輯備份,邏輯備份順序地讀取每個(gè)文件的物理塊�,并連續(xù)地將文件寫(xiě)在備份介質(zhì)上,實(shí)現(xiàn)每個(gè)文件的恢復(fù)����,因此��,邏輯備份也被稱為“基于文件的備份”
9��、��。,10.2.2,冷備份與熱備分,1,冷備份,冷備份是指“不在線”的備份�,當(dāng)進(jìn)行冷備份操作時(shí)���,將不允許來(lái)自用戶與應(yīng)用對(duì)數(shù)據(jù)的更新�。,2,熱備份,熱備份是指“在線”的備份���,即下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中�����,只不過(guò)傳到令一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放�����。,重點(diǎn)提示:,數(shù)據(jù)備份是為了盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息���。數(shù)據(jù)備份模型分為:物理備份和邏輯備份�。,10.2.3,數(shù)據(jù)備分的設(shè)備,1,磁盤陣列,2,磁帶機(jī),3,磁帶庫(kù),4,光盤塔,5,光盤庫(kù),6,光盤鏡像服務(wù)器,10.2.4,數(shù)據(jù)備份的策略,1,完全備份,完全備份即是將用戶指定的數(shù)據(jù)甚至是整個(gè)系統(tǒng)
10��、的數(shù)據(jù)進(jìn)行完全的備份����。,2,增量備份,增量備份是針對(duì)完全備份�,在進(jìn)行增量備份,只有那些在上次完全或者增量備份后被修改了的文件才會(huì)被備份�。,3,差異備份,差異備份是將最近一次完全備份后產(chǎn)生的所有數(shù)據(jù)更新進(jìn)行備份。差異備份將完全恢復(fù)時(shí)所涉及到的備份文件數(shù)量限制為,2,個(gè)��。,表,10-1,三種備份策略的比較,空間使用,備份速度,恢復(fù)速度,完全備份,最多,最慢,最快,增量備份,最少,最快,最慢,差異備份,少于完全備份,快于完全備份,快于增量備份,重點(diǎn)提示:,數(shù)據(jù)備份的策略是用來(lái)解決何時(shí)備份��、備份何種數(shù)據(jù)以及用何種方式恢復(fù)故障的問(wèn)題��。它可以分為:完全備份�����、增量備份和差異備份�。其中完全備份使用的空間最多,
11���、備份速度最慢����,恢復(fù)程度最快;增量備份使用空間最小��,備份速度最快���,恢復(fù)速率最慢�����;差異備份摒除了前兩種備份方式的缺點(diǎn)���,吸收了它們的優(yōu)點(diǎn)。,10.3,加密技術(shù),10.3.1,加密與解密,1,基本流程,A,發(fā)送消息“,Password is welcome”,這樣的報(bào)文給,B,���,但不希望有第三個(gè)人知道這個(gè)報(bào)文的內(nèi)容�����,因此他使用一定的加密算法�,將該報(bào)文轉(zhuǎn)換為別人無(wú)法識(shí)別的密文����,這個(gè)密文即使在傳輸?shù)倪^(guò)程中被截獲���,一般人也無(wú)法解密。當(dāng),B,收到該密文后�,使用共同協(xié)商的解密算法與密鑰,則將該密文轉(zhuǎn)化為原來(lái)的報(bào)文內(nèi)容��。,圖,10-4,加密與解密的流程,密鑰位數(shù),嘗試個(gè)數(shù),密鑰位數(shù),嘗試個(gè)數(shù),40,112,56,
12���、128,64,表,10-2,密鑰位數(shù)與嘗試密鑰的個(gè)數(shù),2,密鑰,加密與解密的操作過(guò)程都是在一組密鑰的控下進(jìn)行的,這個(gè)密鑰可以作為加密算法中可變參數(shù)����,它的改變可以改變明文與密文之間的數(shù)學(xué)函數(shù)關(guān)系。,10.3.2,對(duì)稱密鑰技術(shù),1,工作原理,對(duì)稱密鑰技術(shù)即是指加密技術(shù)的加密密鑰與解密密鑰是相同的��,或者是有些不同���,但同其中一個(gè)可以很容易地推導(dǎo)出另一個(gè)��。,圖,10-5,對(duì)稱密鑰技術(shù),2,常用對(duì)稱密鑰技術(shù),常用的對(duì)稱密鑰算法有,DES,算法與,IDES,算法�。,(,1,),DES,算法,DES,算法是一種迭代的分組密碼�����,它的輸入與輸出都是,64,,包括一個(gè),56,位的密鑰和附加的,8,位奇偶校驗(yàn)位�����。,(
13�、,2,),IDEA,算法,IDEA,算法的明文與密文都是,64,位的,密鑰的長(zhǎng)度為,128,位���,它是比,DEA,算法更有效的算法����。,10.3.3,非對(duì)稱密鑰技術(shù),1,工作原理,不可能從任何一個(gè)密鑰推導(dǎo)出另一個(gè)密鑰����。同時(shí)加密密鑰為公鑰是可以公開(kāi)的,而解密密鑰為私鑰是保密的��。在此����,非對(duì)稱密鑰技術(shù)也被稱為公鑰加密加技術(shù)。,圖,10-6,非對(duì)稱密鑰技術(shù),2,常用非對(duì)稱密鑰技術(shù),常用的非對(duì)稱密鑰算法包括,RSA,算法�����、,DSA,算法、,PKCS,算法與,PGP,算法����。其中最常見(jiàn)的技術(shù)即為,RSA,算法,它的理論基礎(chǔ)是數(shù)論中大素?cái)?shù)分解�����,它的保密性隨著密鑰的長(zhǎng)度的增加而增強(qiáng)�。但是�����,現(xiàn)在使用這種算法來(lái)加密大量
14��、的數(shù)據(jù)�����,其實(shí)現(xiàn)的速度太慢了���,因此該算法現(xiàn)在廣泛應(yīng)用于密鑰的分發(fā)��。,重點(diǎn)提示:,加密的基本思想即是將明文轉(zhuǎn)變?yōu)槊芪?��,而解密則是將密文轉(zhuǎn)變?yōu)槊魑?����,這樣保證了信息傳輸?shù)谋C苄?��。密鑰是加重密算法中的可變參數(shù),密鑰的位數(shù)長(zhǎng)度決定了加密算法的安全性��。傳統(tǒng)的密碼體制包括對(duì)稱密碼體制和非對(duì)稱密碼體制�。,10.4,防火墻,10.4.1,防火墻的基本概念,(,1,)所有的從外部到內(nèi)部的通信都必須經(jīng)過(guò)它。,(,2,)只有有內(nèi)部訪問(wèn)策略授權(quán)的通信才能被允許通過(guò)���。,(,3,)系統(tǒng)本身具有很強(qiáng)的高可靠性���。,圖,10-7,防火墻的安裝位置,10.4.2,防火墻的基本類型,1,包過(guò)濾路由器,圖,10-8,包過(guò)濾路由器的工作原
15、理,2,應(yīng)用網(wǎng)關(guān),圖,10-9,應(yīng)用網(wǎng)關(guān)的工作原理,3,應(yīng)用代理,圖,10-10,應(yīng)用代理的工作原,理,4,狀態(tài)檢測(cè),狀態(tài)檢測(cè)能通過(guò)狀態(tài)檢測(cè)技術(shù)���,動(dòng)態(tài)地維護(hù)各個(gè)連接的協(xié)議狀態(tài)����。,重點(diǎn)提示:,防火墻在網(wǎng)絡(luò)之間通過(guò)執(zhí)行控制策略來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)��,防火墻包括硬件和軟件兩部分。防火墻根據(jù)其實(shí)現(xiàn)技術(shù)可以分為:包過(guò)濾路由器����、應(yīng)用網(wǎng)關(guān)、應(yīng)用代理和狀態(tài)檢測(cè),4,類�。,10.4.3,防火墻的結(jié)構(gòu),1,包過(guò)濾型結(jié)構(gòu),包過(guò)濾型結(jié)構(gòu)是通過(guò)專用的包過(guò)濾路由器或是安裝了包過(guò)濾功能的普通路器來(lái)實(shí)現(xiàn)的。包過(guò)濾型結(jié)構(gòu)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析����,按照一定的安全策略對(duì)這些信息進(jìn)行分析與限制。,2,雙宿網(wǎng)關(guān)結(jié)構(gòu),連接了兩個(gè)網(wǎng)絡(luò)的多
16�、宿主機(jī)稱為雙宿主機(jī)。多宿主機(jī)是具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī)��,每個(gè)接口都可以和一個(gè)網(wǎng)絡(luò)連接����,因?yàn)樗茉诓煌木W(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換換���,因此也稱為網(wǎng)關(guān)�����。雙宿網(wǎng)關(guān)結(jié)構(gòu)即是一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)作為防火墻���,將外部網(wǎng)絡(luò)與同部網(wǎng)絡(luò)實(shí)現(xiàn)物理上的隔開(kāi)�。,圖,10-11,雙宿網(wǎng)關(guān)結(jié)構(gòu),3,屏蔽主機(jī)結(jié)構(gòu),屏蔽主機(jī)結(jié)構(gòu)將所有的外部主機(jī)強(qiáng)制與一個(gè)堡壘主機(jī)相連�,從而不允許它們直接與內(nèi)部網(wǎng)絡(luò)的主機(jī)相連,因此屏撇主機(jī)結(jié)構(gòu)是由包過(guò)濾路由器和堡壘主機(jī)組成的����。,4,屏蔽子網(wǎng)結(jié)構(gòu),屏蔽子網(wǎng)結(jié)構(gòu)使用了兩個(gè)屏蔽路由器和兩個(gè)堡壘主機(jī)。在該系統(tǒng)中�����,從外部包過(guò)濾由器開(kāi)始的部分是由網(wǎng)絡(luò)系統(tǒng)所屬的單位組建的�����,屬于內(nèi)部網(wǎng)絡(luò)�,也稱為“,DMZ,網(wǎng)絡(luò)”。外部包過(guò)濾路由器與外部堡壘主機(jī)構(gòu)成了防火墻的過(guò)濾子網(wǎng)��;內(nèi)部包過(guò)濾路由器和內(nèi)部堡壘主機(jī)則用于對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行進(jìn)一步的保護(hù)���。,圖,10-12,包過(guò)濾路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程,圖,10-13,屏蔽子網(wǎng)結(jié)構(gòu)示意圖,10.4.4,防火墻的安裝與配置,1,防火墻的網(wǎng)絡(luò)接口,(,1,)內(nèi)網(wǎng),內(nèi)網(wǎng)一般包括企業(yè)的內(nèi)部網(wǎng)絡(luò)或是內(nèi)部網(wǎng)絡(luò)的一部分����。,(,2,)外網(wǎng),外網(wǎng)指的是非企業(yè)內(nèi)部的網(wǎng)絡(luò)或是,Internet,,內(nèi)網(wǎng)與外網(wǎng)
計(jì)算機(jī)等級(jí)考試四級(jí)-網(wǎng)絡(luò)工程師第10章網(wǎng)絡(luò)安全技
