第6章 网络管理与网络安全 (二).

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

PKI基础.
电子商务的安全威胁及需求 防火墙、IDS、IPS技术等 加密技术 认证技术 安全协议
第5章 电子商务安全.
导入案例 2004年2月,日本因特网雅虎BB公司外泄450万笔个人资料,引起社会指责。雅虎BB以每笔赔偿500日元平息该事件,总计赔偿23亿日币。雅虎BB公司因此陷入财务危机。 2005年1月,东京迪斯尼乐园“终年通信证”的客户资料已被外泄,歹徒要求赎金,否则将公开这些资料。园方针对客户资料泄密事件向14万客户郑重道歉。
電子商務安全防護 線上交易安全機制.
第13章信息安全 本章导读: 本章主要知识点: 计算机病毒以及数据加密/解密的有关知识。 国家信息基础设施概述 网络安全技术
计算机网络教程 任课教师:孙颖楷.
全国高等职业教育计算机类规划教材 实例与实训教程系列 网络安全应用技术 密码技术.
第4章 信息资源安全管理 信息技术和信息化建设的快速发展,推动了信息安全风险的增长,信息安全管理同以往相比具有更重要的意义。
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
School of Computer Science
PKI在金融领域的应用及前景展望 中国金融认证中心 赵宇 2012年9月.
计算机网络(第 5 版) 第 7 章 网络安全 课件制作人:谢希仁.
智能信息安全 最后一课 孙松林 北京邮电大学
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
青岛市数字证书认证中心 2011年4月.
第五章电子商务安全管理.
实用操作系统概念 张惠娟 副教授 1.
电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制.
第8章 计算机的安全使用 本章学习目标 8.1 计算机安全的基本知识和计算机病毒 8.2 网络安全 8.3 系统更新和系统还原 短信互动题目
计算机基础知识 丁家营镇九年制学校 徐中先.
第10章 信息安全 信息技术基础.
資訊安全-資料加解密 主講:陳建民.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Signutil.
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
Chapter 8 Network Security
Chapter 8 Network Security
把COM口设置到没有使用的 COM1 – COM4
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
網路安全期末報告─SSL/TLS 指導教授:梁明章 報告學生:A 徐英智.
格物资讯开放ICON库 V0R2.
第17章 网站发布.
现代密码学理论与实践 第9章 公钥密码学与RSA
Windows 7 的系统设置.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
第 5 章 加密与认证技术 本章学习目标: 掌握加密通信的系统模型 了解密码学知识及常见的密码体制 了解三种网络加密方法的特点
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
微机系统的组成.
第9章 信息安全.
第8讲 网络安全 基本概念: 实用安全技术: 什么是安全性? 密码术 报文鉴别 信息安全性 密钥发放和确认 应用层: 安全邮件
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
实验七 安全FTP服务器实验 2019/4/28.
IT 安全 第 11节 加密控制.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
编译OpenSSL 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang 官网地址:
IT 安全 第 9节 通信和网络控制.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
第8章 信息安全技术基础 计划 2学时.
Google的云计算 分布式锁服务Chubby.
格物资讯ICON发布 V0R3.
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
第7章 计算机系统安全知识 7.1 计算机系统安全威胁 7.2 计算机系统安全概念 7.3 反病毒技术 7.4 反黑客技术
入侵检测技术 大连理工大学软件学院 毕玲.
实验六、COM类型病毒分析实验 实验开发教师: 刘乃琦 谌黔燕.
App 加密算法建议 Possible lab 土豪军 小陈.
深圳信息职业技术学院《电子商务基础》课程组版权所有
Presentation transcript:

第6章 网络管理与网络安全 (二)

网络安全技术 加密与认证技术 防火墙技术 入侵检测技术 VPN技术 网络病毒

加密与认证技术 早期加密 对称密钥算法 加密和解密的算法是相同的 强度依赖于加密密钥的安全性,而不依赖于加密算法的保密 凯撒密码 每个字符都被它的后三个字母所替换,这里后三个字符就是密码学中的密钥(Secret Key) 明文报文: RETURN TO BASE 加密报文: UHWXUQ WR EDVH 早期加密 对称密钥算法 加密和解密的算法是相同的 强度依赖于加密密钥的安全性,而不依赖于加密算法的保密 可以使用密钥空间穷举法进行破解 代表算法:DES,速度快

公开密钥算法 加密和解密使用不同的密钥 应用方式 公开密钥(Public Key),对外发布,网络服务器注册 秘密密钥(Secret Key) ,用户保存 代表算法:RSA算法,速度慢 应用方式 如果某用户想与另一用户进行保密通信,只需从公钥簿上查出对方的加密密钥,用它对所传送的信息加密发出即可。 对方收到信息后,用仅为自己所知的解密密钥将信息解密,了解报文的内容。

加密应用 RSA算法和DES结合使用 DES用于明文加密 RSA用于DES密钥的加密

公钥加密服务 - 保密性 发送方使用公钥加密 接受方式用私钥解密 无法保证完整性

报文摘要技术 完整性要求 报文摘要 信息在传输过程中未被非授权用户篡改,信息在传输过程中完整无缺 使用加密算法,代价太高 使用比原文少得多的文字概括文章的主要内容 算法要求: 1)给定报文P,能够很容易计算出报文摘要MD(P); 2)知道报文摘要MD(P),不能反推出报文P; 3)在计算可行性上,对于任何报文P,无法找到另一个报文 P’,P≠P’,但MD(P)=MD(P’)。

报文摘要技术应用 成熟算法 MD5(Message Digest 5)和SHA-1(Secure Hash Algorithm1) 报文摘要无法完全保证完整性,黑客将明文和摘要密文一起替换,接受者同样无法识别出原文已被替换。

数字签名 采用公开密钥方案进行数字签名 如何获得私钥?可信? 防止发送方或接受方抵赖的技术,主要用于解决否认、伪造、篡改及冒充等问题 主要技术,基于公钥密码体制 普通数字签名 特殊数字签名 采用公开密钥方案进行数字签名 用某实体的私钥对数据进行加密的过程 如何获得私钥?可信?

用户私钥、包括CA中心的公钥都保存在硬件卡(通常是USB棒)中 公开密钥设施PKI CA认证中心,向用户发放数字证书 证书是一个经CA数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件 用户私钥、包括CA中心的公钥都保存在硬件卡(通常是USB棒)中

判断从CA和Mick两方获得的公钥是否一致,以鉴定Mick的身份 PKI – 身份认证 用CA私钥加密的Mick的公钥 判断从CA和Mick两方获得的公钥是否一致,以鉴定Mick的身份 用Mick私钥加密的Mick的公钥

PKI – 完整性 不可抵赖性 例:John向Mick借钱1000元,用Word文档写了借条一份,但John不能直接把借条发送给Mick,原因如下: (1)Mick可能会在收到借条后将“人民币1000元”改为“人民币2000元”; (2)如果John赖账,Mick无法证明这个借条就是John写的; (3)普通的Word文档不能作为法律证据。

PKI – 完整性 不可抵赖性 例:John向Mick借钱1000元,用Word文档写了借条一份,但John不能直接把借条发送给Mick,原因如下: (1)Mick可能会在收到借条后将“人民币1000元”改为“人民币2000元”; (2)如果John赖账,Mick无法证明这个借条就是John写的; (3)普通的Word文档不能作为法律证据。

PKI – 完整性 不可抵赖性 正确方法:John将文档签名后发送 电子签名法 具法律效力 密文可解 防抵赖 发送密文 防篡改

防火墙 防火墙由一系列软件或硬件设备构成一个系统,放置于两个信任级别不同的网络之间,是这两个网络之间信息的唯一交换出口,控制两个网络之间的通信

防火墙分类(1) 包过滤防火墙 工作在网络体系结构中的网络层和传输层 设置一系列包过滤规则 主要用来防止外来攻击 限制内部用户访问某些外部资源 规则定义 源IP地址 = 218.154.173.0/24 .and. 目的IP = 218.152.168.3/32 .and. 目的端口号 = 23, 匹配数据包采取的动作是:拒绝传输 作用:禁止218.154.173.0网段中的终端用Telnet方式访问218.152.168.0网段中IP地址为218.152.168.3的服务器

防火墙分类(2) 应用代理防火墙 完全“隔断”内部网络和外部网络的直接通信 通过为每种应用服务编制专门的代理程序

入侵检测技术 Intrusion Detection System,IDS

入侵检测系统的分类 基于主机入侵检测系统HIDS 基于网络入侵检测系统NIDS 从主机的日志、应用程序日志等审计记录文件中获取所需的数据源,并辅助使用主机上的其他信息,如文件系统属性、进程状态等来发现可能存在的攻击行为 基于网络入侵检测系统NIDS 监听网络中的数据包来获得必要的数据源,并通过协议分析、特征匹配、统计分析等各种手段发现可能的攻击行为

入侵检测系统的部署 IDS是并联在网络中 通过旁路监听的方式实时地监视网络中的流量 IDS不是防范工具,它并不能阻断攻击

VPN技术 提供了一种通过公用IP网络(如Internet)安全地对企业内部专用网络进行远程访问的连接方式 软件、硬件形式实现

VPN技术-隧道 隧道技术是一种通过使用公用网络的设施在网络之间传递数据的方式。 隧道协议将其它协议的数据帧或包重新封装在新的包头中发送 IPSec在两个IP栈之间商定所用的加密和数字签名方法,对数据加密后进行传输,能够提供IP包级的安全验证,保证数据完整性和可信任

VPN系统组成 VPN客户端 软件安装在客户计算机上 VPN服务器 传输介质 使用 “隧道(Tunneling)”做为传输介质

SSL VPN IPSec VPN SSL VPN 运行于网路层,无法识别应用 需安装端 基于安全套接层(Security Socket Layer,SSL)协议 数字证书进行双端实体认证 运行于传输层和应用层 电子图书馆 财务系统

网络病毒 计算机病毒是一种人为编制的特殊程序,能在计算机系统中驻留、繁殖和传播,通常对系统具有破坏作用 传染性 潜伏性 破坏性 变异性

主要的网络病毒 蠕虫病毒 特洛伊木马病毒 互联网环境中复制自身进行传播,传染目标是互联网内的所有计算机 如:熊猫烧香 非法运行在计算机系统内、能够被远程控制的程序。 木马运行后,通过网络内外勾结,非法监视、记录、控制目标计算机上合法用户的行为 传播方式:Email,软件下载

病毒预防 预防病毒 使用专业的反病毒软件 及时打补丁填补操作系统、浏览器等系统软件与应用软件的漏洞 不要随意下载网络上来历不明的软件 使用专门的杀木马软件 及时更新病毒库 网络版防病毒软件 集中更新