• / 85

网络安全ppt.ppt.ppt

资源描述:
《网络安全ppt.ppt.ppt》由本站会员分享,支持在线阅读,更多《网络安全ppt.ppt定稿.ppt》相关的内容可在三九文库网上搜索。

信息安全技术密码学基础常规现代加密技术公钥密码学技术数据保护技术数据隐藏技术,网络安全技术网络防御技术IP和TCP层安全应用层安全安全网络技术,信息与网络检测技术入侵检测技术网络信息获取技术逆向工程计算机取证,网络安全现状常见网络攻击方法网络安全和攻击安全政策和机制安全标准和组织,Email,Web,ISP门户网站,复杂程度,时间,互联网应用和时间,Internet软件联盟统计的全球互联网主机的数量,中国网民规模和年增长率,中国网民上网计算机数,网络安全问题日益突出,CERT有关安全事件的统计计算机紧急响应组织(CERT),互联网安全性研究的开始,1988年11月3日,第一个“蠕虫”被放到Internet上。

在几小时之内,数千台机器被传染,Internet陷入瘫痪。“蠕虫”的作者RobertMorrisJ.r被判有罪,接受三年监护并被罚款。“Morris蠕虫”的出现改变了许多人对Internet安全性的看法。一个单纯的程序有效地摧毁了数百台(或数千台)机器,那一天标志着Internet安全性研究的开始。,CERT有关安全事件的统计,中国互联网安全隐患,间谍软件、木马病毒、网络钓鱼陷井、互联网邮件病毒、浏览网页恶意程序;间谍软件占到了网络危害的23%,木马病毒占到了48%,邮件蠕虫病毒达到21%,网络钓鱼占了4%,恶意网页危害占了4%。系统漏洞、IE浏览器漏洞、邮件漏洞,网络安全现状常见网络攻击方法网络安全和攻击安全政策和机制安全标准和组织。

暴力攻击和字典程序攻击,针对密码数据库文件或当前的登录提示发起进攻暴力攻击是通过系统地尝试每种字母、数字和符号的可能组合,从而发现用户帐户密码字典程序攻击是从预先定义好的通用或预计的密码列表中尝试每一个可能的密码,直到破解密码。,DOS攻击,目的是使计算机或网络无法提供正常的服务,DoS攻击有计算机网络带宽攻击和连通性攻击。分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。,欺骗攻击,假地址和节点号替代有效的源/宿IP地址和节点号,中间人攻击,通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间。

这台计算机就称为“中间人”。入侵者把这台计算机模拟原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,这种“拦截数据修改数据发送数据”的过程就被称为“会话劫持”,探测攻击,探测攻击是一些导致恶意用户获得网络或网络上进行传输的信息的操作。探测通常是一个包截获程序,它可以将网络上传输的报文内容复制到文件中。探测攻击常常集中在客户端和服务器之间的连接初始化上,获得登录证书、密钥等。当探测攻击正确实施时,对网络上的所有其他实体都是不可见的,并且常常接着会发生欺骗攻击。防止探测攻击的方法要物理访问控制,在网络连接上使用加密传输。,垃圾邮件攻击,垃圾邮件可能是厂家的无害广告,

也可能是病毒或特洛伊木马附件这样的有害垃圾邮件。垃圾邮件通常不是一种安全性的攻击,但却是一种拒绝服务攻击。垃圾邮件消耗相当大部分的互联网带宽和CPU等资源,导致整个互联网性能降低。垃圾邮件攻击会通过占满邮箱存储空间,阻止合法消息的发送,引发DOS问题。,网络安全现状常见网络攻击方法网络安全和攻击安全政策和机制安全标准和组织,威胁类型,信息安全包括数据安全和系统安全数据安全受到四个方面的威胁设信息是从源地址流向目的地址,那么正常的信息流向是:,信息源,信息目的地,中断威胁,使在用信息系统毁坏或不能使用的攻击,破坏可用性(availability)。如硬盘等一块硬件的毁坏,通信线路的切断,文件管理

信息源,信息目的地,侦听威胁,一个非授权方介入系统的攻击,破坏保密性(confidentiality).非授权方可以是一个人,一个程序,一台微机。这种攻击包括搭线窃听,文件或程序的不正当拷贝。,信息源,信息目的地,修改威胁,一个非授权方不仅介入系统而且在系统中瞎捣乱的攻击,破坏完整性(integrity).这些攻击包括改变数据文件,改变程序使之不能正确执行,修改信件内容等。,信息源,信息目的地,伪造威胁,一个非授权方将伪造的客体插入系统中,破坏真实性(authenticity)的攻击。包括网络中插入假信件,或者在文件中追加记录等。,信息源,信息目的地,被动攻击,监听,目的:获得信息方法:析出消息内容、通信量分析。

主动攻击,伪装重放篡改拒绝服务,伪装攻击,一个实体假装成另外一个实体。在鉴别过程中,获取有效鉴别序列,在以后冒名重播的方式获得部分特权。,重放攻击,获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变,则容易被第三者获取,并用于冒名重放。,修改攻击,信件被改变,延时,重排,以至产生非授权效果。如信件“允许张三读机密帐簿”可被修改成“允许李四读机密帐簿”。,拒绝服务攻击,破坏设备的正常运行和管理。这种攻击往往有针对性或特定目标。一个实体抑制发往特定地址的所有信件,如发往审计服务器的所有信件。另外一种是将整个网络扰乱,扰乱的方法是发送大量垃圾信件使网络过载,以降低系统性能。,

网络安全现状常见网络攻击方法网络安全和攻击安全政策和机制安全标准和组织,网络安全服务,安全服务安全机制安全模式安全分析,安全服务,保密性鉴别性完整性不可否认性,保密性(confidentialiy),保密性是用加密的方法实现的。加密的目的有三种:密级文件改为公开文件;无论是绝密文件还是机密文件,经加密都变成公开文件;这样在通信线路上公开发送,在非密的媒体中公开存放,不受密级管理的限制;实现多级控制需要。密级划分也是等级划分,按不同密级加密是为了实现多级控制。总经理权限应该比普通职工的权限要大一些,总经理能看的文件,普通职工不一定能看。密级划分只是多级控制的一部分。就一件事来说,这一部分人是有关人员。

另一部分人是无关人员,但就另一件事来说,这有关人员和无关人员发生变化。这种变动中的多级控制是一个复杂问题,以后漫漫涉及到。构建VPN的需要。修筑加密通道,防止搭线窃听和冒名入侵。,保密性(confidentialiy),连接保密:即对某个连接上的所有用户数据提供保密。无连接保密:即对一个无连接的数据报的所有用户数据提供保密。选择字段保密:即对一个协议数据单元中的用户数据的一些经选择的字段提供保密。信息流安全:即对可能从观察信息流就能推导出的信息提供保密。,鉴别性(authentication),鉴别性保证真实性.鉴别主要包括:标识鉴别和数据鉴别。标识鉴别是对主体的识别和证明,特别防止第三者的冒名顶替。

数据鉴别是对客体的鉴别,主要检查主体对客体的负责性,防止冒名伪造的数据:1)发方是真实的;(客户)2)收方是真实的;(服务器)3)数据源和目的地也是真实的;,完整性(integrity),可恢复的连接完整性:该服务对一个连接上的所有用户数据的完整性提供保障,而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。无恢复的连接完整性:该服务除了不具备恢复功能之外,其余同前。选择字段的连接完整性:该服务提供在连接上传送的选择字段的完整性,并能确定所选字段是否已被修改、插入、删除或重放。无连接完整性:该服务提供单个无连接的数据单元的完整性,能确定收到的数据单元是否已被修改。选择字段无连接完整性:该服务提供单个无连接数据单元中各个选择字段的完整性。

能确定选择字段是否被修改。,不可否认性(nonrepudiation),当发方发送信息时,收方能够证明信息源是合法的;当收方接到信息时,发方能够证明信息目的地是合法的。为作到这一点,发放发送信息时要有发方的签名,收方应发收方签名的回执,不得否认发送:这种服务向数据接收者提供数据源的证据,从而可防止发送者否认发送过这个数据。不得否认接收:这种服务向数据发送者提供数据已交付给接收者的证据,因而接收者事后不能否认曾收到此数据。,安全机制,加密机制数字签名机制访问控制机制数据完整性机制交换鉴别机制业务流量填充机制路由控制机制公证机制,加密机制,加密是提供数据保密的最常用方法。按密钥类型划分,加密算法可分为对称密钥加密算法和非对称密钥两种。

按密码体制分,可分为序列密码和分组密码算法两种。用加密的方法与其他技术相结合,可以提供数据的保密性和完整性。除了对话层不提供加密保护外,加密可在其他各层上进行。与加密机制伴随而来的是密钥管理机制。,数字签名机制,数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题:否认:发送者事后不承认自己发送过某份文件。伪造:接收者伪造一份文件,声称它发自发送者。冒充:网上的某个用户冒充另一个用户接收或发送信息。篡改:接收者对收到的信息进行部分篡改。,访问控制,访问控制是按事先确定的规则决定主体对客体的访问是否合法。当一个主体试图非法使用一个未经授权使用的客体时。

该机制将拒绝这一企图,并附带向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。,数据完整性机制,数据完整性包括两种形式:一种是数据单元的完整性,另一种是数据单元序列的完整性。数据单元完整性包括两个过程,一个过程发生在发送实体,另一个过程发生在接收实体。保证数据完整性的一般方法是:发送实体在一个数据单元上加一个标记,这个标记是数据本身的函数,如一个分组校验,或密码校验函数,它本身是经过加密的。接收实体是一个对应的标记,并将所产生的标记与接收的标记相比较,以确定在传输过程中数据是否被修改过。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据。

交换鉴别机制,交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有:口令:由发方实体提供,收方实体检测。密码技术:将交换的数据加密,只有合法用户才能解密,得出有意义的明文。在许多情况下,这种技术与下列技术一起使用:时间标记和同步时钟双方或三方“握手”数字签名和公证机构利用实体的特征或所有权。常采用的技术是指纹识别和身份卡等。,业务流量填充机制,这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。采用的方法一般由保密装置在无信息传输时,连续发出伪随机序列,使得非法者不知哪些是有用信息、哪些是无用信息。,路由控制机制,在一个大型网络中,从源节点到目的节点可能有多条线路。

有些线路可能是安全的,而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由,以保证数据安全。,公证机制,在一个大型网络中,有许多节点或端节点。在使用这个网络时,并不是所有用户都是诚实的、可信的,同时也可能由于系统故障等原因使信息丢失、迟到等,这很可能引起责任问题,为了解决这个问题,就需要有一个各方都信任的实体公证机构,如同一个国家设立的公证机构一样,提供公证服务,仲裁出现的问题。一旦引入公证机制,通信双方进行数据通信时必须经过这个机构来转换,以确保公证机构能得到必要的信息,供以后仲裁。,安全模式,系统安全一般四层来考虑:信息通道上的考虑系统门卫的考虑系统内部的考虑CPU的考虑。,通道模式。

展开阅读全文
 温馨提示:
下载提示
关于本文
本文标题:网络安全ppt.ppt.ppt
链接地址:https://www.999doc.com/425468.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright © 2016-2021  999doc三九文库网 版权所有

经营许可证编号:苏ICP备2020069977号  网站客服QQ:772773258  联系电话:0518-83073133